Безопасность систем интернет-банка – это возможно

1.

С помощью интернет-банка вы просматриваете информацию по счетам, картам, депозитам и кредитам, управляете своими счетами через интернет, а также можете создавать, редактировать, сохранять, распечатывать, подписывать и отправлять в банк следующие исходящие документы:

• поручение на внутрибанковский перевод,
• долгосрочное распоряжение на внутрибанковский перевод,
• поручение на межбанковский перевод,
• долгосрочное распоряжение на межбанковский перевод,
• поручение на оплату квартплаты,
• долгосрочное распоряжение на оплату квартплаты,
• поручение на оплату газоснабжения,
•  долгосрочное распоряжение на оплату газоснабжения,
• поручение на оплату телефона,
• долгосрочное распоряжение на оплату телефона,
• поручение на оплату электроэнергии,
• долгосрочное распоряжение оплату электроэнергии,
• поручение на внутрибанковский перевод валюты,
• заявление на перевод валюты,
• заявление на возврат перевода,
• заявка на покупку иностранной валюты,
• заявка на продажу иностранной валюты,
• долгосрочная заявка на покупку валюты,
• заявка на покупку валюты за другую валюту,
• долгосрочное распоряжение на внутрибанковский перевод валюты,
• поручение на пополнение карточки,
• поручение на пополнение банковской карты другого клиента,
• заявление на открытие дополнительной карточки,
• заявление на перевыпуск карточки,
• заявление об утере/краже карточки,
• заявление на выдачу карточки,
• заявление на покупку дорожных чеков,
• заявления на открытие, закрытие, пополнение срочного вклада, частичное снятие средств со срочного вклада, снятие суммы процента со счета капитализации,  заявления на установление неснижаемого остатка при пролонгации, на замену счета возврата основной суммы вклада,
• кредитная анкета,
• поручения на оплату услуг операторов мобильной связи, интернет-провайдеров, IP-телефонии, коммерческого телевидения, образовательных услуг, услуг туристических, страховых компаний,
• поручения на пополнение электронных кошельков,
• получения на погашение ссуд и займов.

Этот список постоянно расширяется и изменяется, соединение карточек и удаленного банкинга создает совершенно новое качество услуг. И делает Интернет-банк еще более привлекательным не только для клиентов, но и для мошенников.

2.

Интернет, МВД и другие источники говорят о беспрецедентном увеличении числа мошенничеств в платежных и банковских системах. Только по одному случаю в августе 2010 года по информации руководителя пресс-службы управления «К» МВД Ирины Зубаревой МВД России разоблачило схему по обналичиванию денег с помощью поддельных пластиковых карт и с использованием системы ДБО. Ущерб был оценен в 2 млрд. рублей. Зубарева отметила, что группировку организовал руководитель отдела пластиковых карт одного из крупных банков. «Она занималась обналичиванием денежных средств с использованием поддельных дебетовых банковских карт, которые оформлялись на утерянные паспорта граждан», – рассказала собеседник агентства.

Таким образом за 2 года, а именно столько действовали преступники, злоумышленники подделали около тысячи карт и заработали свыше 200 млн. рублей. Общее количество самих правонарушений, по данным ФБР за 2009 год выросло с 275 000 до 336 000, а по объёмам − более чем в 2 раза, до $ 560 млн. В прошлом, 2010 году, по оценкам разработчика антивирусных решений Eset, уровень мошенничества в системах дистанционного банковского обслуживания вырос ещё, и составил около 2,5 млрд. евро. Специалисты считают, что ущерб компаний от атак хакеров примерно в пять раз больше, то есть около 350 млрд. рублей — ровно та же сумма, что разворовывается в России только на госзакупках. (http://www.rbcdaily.ru/2011/06/23/focus/562949980486201).

И это число будет расти и дальше. Причин этому может быть несколько, среди наиболее распространенных:

• недостаточная осведомленность клиентов об опасности использования Интернет - среды для финансовых операций;
• недостаточное внимание клиентов к обеспечению собственной безопасности в Интернете;
• использование нелицензионного программного обеспечения;
• использование неадекватных уровней безопасности в системах ДБО;
• технологические ошибки в разработке систем ДБО;
• использование в системах ДБО не сертифицированных СКЗИ;
• широкая доступность в интернете мошеннических услуг и программного инструментария для совершения компьютерных преступлений;
• несовершенство уголовного права в части, касающейся компьютерных преступлений, в частности, касающихся совершения мошеннических операций в ДБО;
• несовершенство уголовно-процессуального права, отсутствие единых и утвержденных методик у правоохранительных органов по расследованию компьютерных преступлений в сфере ДБО;
• недостаточная кадровая обеспеченность правоохранительных органов сотрудниками, способными проводить экспертизу и расследовать компьютерные преступления в сфере ДБО;
• затрудненность взаимодействия кредитных организаций в случае совершения мошеннических платежей из-за неучета установленными Центральным Банком правилами специфики таких платежей (возникают сложности с отзывом платежей, с блокировкой счетов мошенников и т.п.);
• сложности  взаимодействия кредитных организаций в части, касающейся обмена информацией о мошенниках и о мошеннических платежах (в том числе, связанные с ограничениями федерального законодательства в части передачи информации);
• малое количество успешных уголовных дел из-за сложностей и несовершенства законодательства и правовых уловок, которыми пользуются мошенники и их адвокаты;
• формализм и движение по пути наименьшего сопротивления при рассмотрении дел, связанных с мошенничествами в ДБО как правоохранительными органами, так и судами. Что приводит к зацикливанию процесса, когда, например, дело в принципе не возбуждается из-за разной трактовки понятия места совершения преступления и постоянной пересылки материалов заявления между разными территориями. Или к замещению целей, когда вместо поиска мошенников внимание концентрируется либо на клиенте, либо на банке. Например, можно сконцентрировать внимание на использовании клиентом нелицензионного программного обеспечения и привлечь к ответственности за это клиента. Или на основании использования банком несертифицированных средств криптографической защиты в ДБО можно обязать банк выплатить украденные деньги клиенту. При этом задача наказания истинных виновных отходит на второй план;
• отсутствие единого центра сбора анализа и распространения информации о мошеннических действиях в ДБО, а также единой государственной системы противодействия таким действиям;
• отсутствие действующих международных соглашений и законодательства по противодействию мошенничеству в ДБО.

3.

Очевидно, что, с одной стороны, системы ДБО не всегда достаточно хорошо защищены от атак из интернета (как минимум, на стороне клиента). С другой стороны, банки и правоохранительные органы в силу различных причин не готовы к эффективному совместному противодействию мошенникам. С третьей стороны, мошенники находятся в условиях, когда доказать их причастность к противоправной деятельности крайне тяжело, а значит и сложно привлечь к ответственности за ее совершение. Другими словами, это означает, что в сегодня банки и их клиенты в основном предоставлены сами себе в вопросе защиты от деятельности мошенников.

В таких условиях наиболее естественным шагом со стороны банков были действия по внедрению механизмов безопасности в системы ДБО (как для серверной части интернет-банкинга, так и для средств идентификации, аутентификации на стороне клиента). Соответствующие средства защиты внедрялись в промышленных системах производителями по заказам банков, а в самописных системах – силами собственных  разработчиков систем ДБО в кредитных организациях.

Каждый новый виток мошенничеств или атак на систему ДБО породил свое семейство новых механизмов безопасности.

Основные исторические вехи атак на ДБО условно можно поделить на следующие этапы:

• атаки на каналы передачи данных, атаки на передаваемые документы,
• подложные документы по используемым каналам (фальшивые «Авизо»),
• компрометация таблиц переменных кодов и подделка платежных документов,
• атака на компьютер через Интернет с целью кражи секретного ключа ЭЦП и пароля,
• атака на компьютер через Интернет с целью захвата удаленного управления ресурсами компьютера,
• атака подмены документа системы ДБО (в первую очередь, подмены платежного поручения).

4.

В процессе борьбы за выживание системы ДБО породили вполне адекватные механизмы безопасности:

• логин, пароль − обеспечивают идентификацию и аутентификацию клиента. Подвержены несанкционированному копированию с использованием троянов типа «KEYLOGGER»;
• одноразовый пароль без устаревания − обеспечивает защиту от несанкционированного перехвата управления компьютером клиента, однако не защищает от атаки перехвата и последующего использования разовых паролей, а также от атаки на документ (скрытая подмена или модификация документа в момент его создания). При использовании SMS-пароля возможна также преднамеренная или случайная блокировка SIMкарты, отсутствие зоны приема, ложное копирование SIMкарты, несанкционированное пользование телефоном.
• одноразовый пароль с временной синхронизацией − обеспечивает защиту от несанкционированного перехвата управления компьютером, а также, отчасти, от атаки перехвата разовых паролей, так как после запроса системой ДБО разового пароля он действует только в течение определенного времени и его нельзя использовать повторно.
• электронная цифровая подпись (ЭЦП) − придает юридическую значимость электронному документу, обеспечивает неотказуемость. При этом для файловых ключей ЭЦП актуальны угрозы кражи или копирования носителя секретных ключей, несанкционированного копирования (кражи) файлов секретных ключей с использованием специальных троянских программ. Файловые ключи ЭЦП также не защищены от атак удаленного управления и от атак подмены платежного документа.
• USB-токены (или смарт-карты) с аппаратной криптографией: при использовании USB-токена (или смарт-карты) с неизвлекаемым хранением ключей обеспечивается защита от копирования ключа ЭЦП. Причем, если выработка ЭЦП для электронного документа выполняется посредством использования аппаратных средств  криптографии в самом USB-ключе (или в смарт-карте), то при этом достигается защита ключа ЭЦП и от кражи из оперативной памяти. Не защищает USB-токен (или смарт-карта) от захвата и дистанционного управления компьютером клиента при помощи специальных программ, а также от атаки подмены документа.
• виртуальная клавиатура− должна была обеспечивать защиту логина и пароля от кражи троянскими программами класса "KEYLOGGER", теперь уже устарела. Трояны стали много умнее.
• технология «каптча» − должна защищать от автоматизированного подбора логинов и паролей. Без счетчика числа попыток – неэффективна.
• пользовательский индивидуальный интерфейс − должен обеспечивать защиту сайта системы Интернет–Банк–Клиент (ИБК) от фишинговых атак. Пока работает при защите от «массовых» атак, для индивидуальной атаки на конкретного клиента не работает.
• SMS-информирование− работает всегда, но является пассивным средством безопасности. На безопасность влияет косвенно, укорачивает время реакции клиента на несанкционированное списание и позволяет быстрее заблокировать атакуемый счет. Работает, пока работает телефон и позволяет сеть.
• средства доверенного формирования ЭЦП и проверки подписываемого документа − как правило, используют USB-токены, но при этом они еще дополнительно позволяют осуществить визуальную доверенную проверку ключевых полей подписываемого документа (например, полей платежного поручения) в момент подписания.
• штатные средства WEB, применение защищенных протоколов HTTPS и SSLи другие штатные средства безопасности – работают каждое в своей зоне ответственности.
•  антивирусные средства− нужны всегда, но требуют внимательности и аккуратности, тогда они помогают.

5.

Из нашего опыта наиболее распространенные сейчас атаки можно свести к 4 видам:

1. Хищение ключей ЭЦП с незащищенных носителей − наиболее простая и отработанная технология, при помощи которой до сих пор реализуется большинство атак на клиентов систем ДБО, хранящих ключи ЭЦП на Flash-дисках, дискетах, в папке на жестком диске и т.д.;
2. Хищение закрытых ключей ЭЦП из оперативной памяти − чуть более сложная атака, по сравнению с первой. Обычно применяется в случае использования клиентом средства защищенного хранения ключей ЭЦП, которое позволяет извлекать их из закрытой области памяти. (Хотя, безусловно данная атака действует и против ключей ЭЦП, хранящихся в обычном файловом виде).
3. Удаленное несанкционированное управление ключами ЭЦП непосредственно с компьютера клиента − одна из наиболее опасных и перспективных атак. Реализуется либо при помощи средств удаленного управления компьютером клиента (класса TeamViewer), либо с использованием удаленного подключения к USB-порту (технология USB-over-IP). Ограничением данной атаки является обязательное подключение носителя с ключем в момент ее проведения. Данная атака позволяет несанкционированно использовать, в том числе, и ключи ЭЦП, хранящиеся на устройствах неотчуждаемого хранения и аппаратной выработки ЭЦП.
4. Подмена документа при передаче его на подпись− наиболее сложный и наиболее опасный на сегодняшний день вид атак. В данном случае пользователь видит на экране монитора одну информацию, а на подпись отправляется другая. Параллельно могут быть подменены данные об остатках на счете, выполненных транзакциях и т.д. Сочетание традиционных методов защиты (аппаратные средства СКЗИ для хранения и выработки ЭЦП, одноразовые пароли и т.д.) бесполезны, так как пользователь не может видеть то, что он подписывает.

Также следует отметить, что каждая из четырех перечисленных технологий эффективна не только на своем уровне защиты, но и на всех более «простых». Данная ситуация проиллюстрирована на рисунке 1 (Прим. редакции: см. http://safe-tech.ru/index.php/materialy/dbo-problemy-bezopasnosti).

Соотношение уровней защиты и технологий атак на средства выработки ЭЦП

Наиболее «эффективная» атака по третьей схеме. На рисунке 2 показана примерная схема такой атаки.