eSSL - клиент для безопасного доступа к интерфейсам платёжных систем

Данная разработка представляет собой модуль, написанный на языке perl, и предназначенный для организации БЕЗОПАСНОГО доступа к серверам платёжных систем из Ваших программ. Опыт эксплуатации данной библиотеки в системах iXCHANGER™ показал её высокую надёжность и удобство в применении.



ПРОБЛЕМА:

Как известно, наиболее распространённые open-source решения (модуль Net::SSLeay и основанные на нём SSL-функции модуля LWP) НЕ ПРЕДОСТАВЛЯЮТ функций проверки серверного сертификата перед отправкой информации по протоколу SSL. Это представляет достаточно серьёзную УГРОЗУ безопасности транзакций, т.к. путём нескольких нехитрых операций можно перенаправить траффик Вашей системы с сайта платёжной системы на сервер злоумышленника и произвести кражу ценной информации. Например, для скриптов, взаимодействующих с платёжной системой e-gold (казино, обменники, процессинговые системы) таким образом можно произвести КРАЖУ ОСНОВНОГО ПАРОЛЯ с последующим входом в аккаунт и КРАЖЕЙ ВСЕХ ДЕНЕГ, что уже наблюдалось нами на практике.

ПРИМЕЧАНИЕ: По нашим оценкам, ПОДАВЛЯЮЩЕЕ БОЛЬШИНСТВО автоматических обменных пунктов имеют подобную УЯЗВИМОСТЬ, что и становится одной из причин частых ВЗЛОМОВ обменников.



РЕШЕНИЕ:

Нами разработан модуль eSSL, представляющий собой БЕЗОПАСНЫЙ SSL-клиент, производящий ПРОВЕРКУ серверного сертификата ПЕРЕД соединением. Его преимущества:

- перед соединением с сайтом производится сверка сертификата сервера с эталонным сертификатом, хранящимся на Вашем сервере. В случае несовпадения (в результате перехвата траффика, использования "троянов", подмены ДНС и т.д.) попытка соединения блокируется;

- перед соединением производится проверка совпадения IP-адреса, возвращённого ДНС, и эталонного IP-адреса. В случае несовпадения (в результате атаки на ДНС) попытка соединения также блокируется;

- ведётся подобный журнал (log) соединений по протоколу SSL, в т.ч. возможна запись всего траффика.


Таким образом, используя данный модуль Вы обезопасите себя от большинства угроз, связанных с перехватом контрольной информации между Вашей системой и серверами платёжных систем.



ЗАВИСИМОСТИ:

Данная библиотека требует установки следующих модулей perl:

Socket
Net::SSLeay

Эти модули Вы можете найти на CPAN.org



УСТАНОВКА И ВНЕДРЕНИЕ:

Данный модуль предназначена для внедрения в Ваши программы на языке perl. Для того, чтобы использовать его, добавьте файлы из данного архива в каталог с Вашими скриптами, выставьте соответствующие права и добавьте в файлы скриптов, из которых предполагается вызов функций модуля следующую строку:

require "essl.pm";

Вместо "essl.pm" желательно указывать полный путь до файла на сервере.

В каталоге logs находится файл essl.log, в который производится запись журнала соединений. Вы можете перенести его в любое место на сервере, поменяв $essl_log_path в настройках модуля.

В файле certs/certs.pem находятся эталонные сертификаты в формате PEM. Его также можно перенести в любое место / переименовать, изменив $cert_file в настройках модуля.

ПРИМЕЧАНИЕ: Чтобы перекодировать файл с сертификатом из кодировки DER (например, сохранённого из MSIE в файл) следует (при установленном OpenSSL) дать такую команду:

openssl x509 -inform DER -outform PEM -in file.cer -out file.pem

Где file.cer - файл сертификата в формате DER, file.pem - результатирующий файл сертификата в формате PEM, содержимое которого потом следует добавить в файл certs.pem.

В комплекте поставки данного скрипта уже сохранены соотв. эталонные сертификаты WebMoney и e-gold.



ФУНКЦИИ:
(подробное описание в архиве)

ЗАПРОС HTTPS GET
=================
($page, $response, $headers, $server_cert) = eSSL::get($site, $port, $path, $wanted_ip, $content, $mime_type, $crt_path, $key_path);


ЗАПРОС HTTPS POST
==================
($page, $response, $headers, $server_cert) = eSSL::post($site, $port, $path, $wanted_ip, $content, $mime_type, $crt_path, $key_path);