ДБО под прицелом

В последние годы мы наблюдаем постоянный рост количества преступлений, связанных с использованием систем дистанционного банковского обслуживания (ДБО). По словам специалистов, проводящих расследования подобных преступлений, доход одной отдельно взятой преступной группировки сравним с совокупным бюджетом служб информационной безопасности всех российских банков – и такая оценка не кажется преувеличением.

Безусловно, банки стараются изменить ситуацию: клиентам предлагают  аппаратные средства верификации и подписи платежных поручений, массово используются однократные пароли и SMS-подтверждения платежей, внедряются, хоть и осторожно, системы фрод-мониторинга. И все же проблема далека от решения. Анализ мер, принимаемых банками для противодействия мошенникам, выявляет три внутренних фактора, мешающих банкам добиться успеха.

Первое – это некоторая инертность мышления: банки в основном  принимают меры только против тех угроз, которые уже приобрели массовый характер. Разрыв в понимании уровня проблемы зачастую не позволяет техническим специалистам подразделений безопасности убедить менеджмент в реальности угрозы до тех пор, пока банк сам не столкнется с ее проявлениями. В итоге банки находятся в положении догоняющих, предоставляя инициативу мошенникам.

Второе – действующее законодательство позволяет во многих случаях переложить финансовую ответственность за мошенничество на клиента. В результате многие кредитные организации не хотят вкладываться в дополнительные меры безопасности, хотя и демонстрируют озабоченность связанными с мошенничеством репутационными издержками.

Третье – слишком узкая постановка проблемы представителями банковского сообщества. Статистика инцидентов показывает, что большая часть преступлений, затрагивающих системы ДБО, связана с низким уровнем защищенности рабочих мест клиентов. Хакеры инфицируют компьютеры пользователей, получают доступ к криптографическим ключам, а вместе с этим и возможность формировать и отправлять от имени клиента поддельные электронные платежные документы. Соответственно и предлагаемые решения, как правило, направлены в основном на повышение защищенности ключевых носителей и обеспечение доверия к платежным документам. В результате принимаемые банками меры лишь несколько затрудняют деятельность мошенников, не решая проблему в целом.

Давайте посмотрим на проблему шире. Платежный документ, формируемый клиентом, проходит несколько этапов обработки. Сначала он поступает в систему Банк-клиент, где производится его первичная обработка (проверка электронной подписи, авторизация с помощью однократных паролей и т. п.). Затем сведения о платеже поступают на обработку в автоматизированную банковскую систему. В результате обработки формируются пакеты платежных документов, отправляемые в соответствующие платежные системы. Строго говоря, кибермошенник может вмешаться в процесс на любом этапе обработки: на сегодняшний день применяемые банками меры защиты не являются для него непреодолимым препятствием. Давайте рассмотрим наиболее часто встречающиеся технические недостатки в защите, взглянув на нее глазами хакера и основываясь на опыте проведения тестов на проникновение.

Рисунок 1. Хакеру доступны разные пути достижения цели. Сегодня банки концентрируются только на некоторых из них.

1. АТАКА НА КЛИЕНТА

Действительно, клиент является самым слабым звеном цепи и атаковать его проще всего. Подавляющее большинство компьютеров уязвимо по отношению к атакам из сети интернет, например за счет уязвимостей в браузерах, Adobe Flash Player, пакете Microsoft Office и самой операционной системе. В результате квалифицированный хакер способен атаковать рабочее место почти любого пользователя сети интернет  и получить над ним контроль, установив троянскую программу. В результате хакер способен выполнять на этом рабочем месте любые действия от имени пользователя, в том числе (в случае с клиентскими рабочими местами систем ДБО) перехватывать авторизационные данные пользователей и формировать поддельные платежные документы,  используя те же самые средства криптографической защиты, которые использует клиент.

Понимая это, банки разумно рассматривают рабочее место клиента как заведомо недоверенную среду, контролируемую мошенником. Защитные меры принимаются в трех направлениях:

  • повышение осведомленности клиентов;
  • использование однократных паролей;
  • использование усиленных криптографических средств.

Повышение осведомленности включает в себя информирование клиентов о том, как важна безопасность при работе с ДБО, и разработку инструкций по безопасному использованию ДБО. К сожалению, оба этих пути неэффективны. Социотехнические исследования показывают, что даже тематические очные тренинги лишь на короткое время привлекают внимание аудитории к вопросам ИБ. Инструкции по безопасной работе, как правило, содержат общие требования обязательного использования антивирусов, парольной защиты,  обязательной установки обновлений безопасности.

Даже в таком объеме клиенты не всегда выполняют требования инструкции, в то время как для действительно серьезной защиты от хакера требуется проверка и дополнительная настройка более 200 параметров операционной системы и приложений, а также постоянное отслеживание новых версий используемых программ и их своевременная установка.  Неспециалисту и даже специалистам небольших компаний такая задача не по силам.

Возможность установки троянских программ позволяет хакеру сравнительно легко обходить механизмы защиты, использующие однократные пароли. Например, за счет локальной подмены ответа DNS на компьютере пользователя мошенники перенаправляют клиентов на свой сайт, в точности копирующий сайт системы ДБО. Это позволяет им взаимодействовать с реальной системой ДБО от имени клиента, вводя передаваемые им авторизационные данные и однократные пароли, но устанавливая при этом собственные реквизиты платежей.

По той же причине поддаются обходу и криптографические средства защиты. До сих пор в некоторых системах ДБО в качестве ключевого носителя используются обычные дискеты, что позволяет мошенникам просто копировать ключи.

Популярные до недавнего времени аппаратные ключевые носители, такие как iButton и eToken, при их использовании с сертифицированными криптопровайдерами также не обеспечивают защиту криптографического ключа: в момент выполнения криптографической операции ключ считывается операционной системой, где и перехватывается троянской программой. Следующее поколение аппаратных носителей, самостоятельно выполняющих криптографические операции, тоже не стало решением проблемы: контролируя операционную систему, троянская программа сама отдает ключевому носителю команду подписать сформированный ею поддельный платежный документ.

Отчасти проблему могло бы решить использование автономных криптографических устройств, которые самостоятельно отображают пользователю реквизиты платежного  документа и не управляются операционной системой. Но, даже решив проблему обеспечения подлинности отправляемых клиентами платежных поручений, банки оставляют нарушителю альтернативные пути.

2. АТАКИ НА СЕРВЕРЫ СИСТЕМ ДБО

Иногда серьезные уязвимости обнаруживаются непосредственно в серверной части систем ДБО. В веб-приложениях этих систем встречаются такие уязвимости как «Внедрение операторов SQL» или «Внедрение кода PHP», что позволяет хакеру получить полный контроль над системой. Частой проблемой является отсутствие принудительных ограничений на сложность паролей и отсутствие противодействия подбору паролей. В таких системах хакерам за сравнительно короткое время удается получить доступ к счетам 2—3% клиентов, использующих словарные пароли.

Встречаются недостатки, позволяющие обходить однократные пароли и SMS-информирование, например за счет изменения шаблонов, определяющих реквизиты коммунальных платежей. В целом банки уделяют серьезное внимание защищенности внешнего интерфейса систем ДБО, но в то же время нарушитель способен идти обходным путем.

При правильной реализации электронная подпись под платежными документами могла бы стать серьезным препятствием для мошенников, но этому мешает архитектура современных банковских приложений. Как правило, автоматизированная банковская система (АБС) и система Банк-клиент выполняются в виде самостоятельных информационных систем, взаимодействующих на уровне передачи данных (чаще – путем передачи файлов, реже – за счет совместного использования СУБД). Разработчики стремятся сделать интерфейсы взаимодействия максимально универсальными, чтобы обеспечить возможность интеграции систем самых разных производителей. Обратной стороной медали становится невозможность сквозного использования электронной подписи клиента для подтверждения подлинности платежного документа на всех стадиях его обработки.

Сейчас обработка электронного платежа часто выглядит следующим образом:

  • система Банк-клиент принимает документ, проверяет подлинность электронной подписи и вносит реквизиты платежа в базу данных;
  • на основе реквизитов платежа формируется и распечатывается бумажный платежный документ, который подписывается сотрудником банка и подшивается в документы операционного дня;
  • данные платежа экспортируются в АБС, где и производится его дальнейшая обработка.

Аналогично, только в обратном направлении, обрабатываются выписки по операциям клиентов. Отсюда видно, что с точки зрения платежного технологического процесса особую важность представляют данные, помещенные в СУБД системы Банк-клиент уже после того, как будет проверена электронная подпись клиента, или до того, как они будут подписаны электронной подписью банка. Получив контроль над этой СУБД, мошенник может произвольно формировать платежные документы от имени любого клиента и изменять выписки до их отправки клиентам. Это позволяет нарушителю в течение некоторого, возможно, продолжительного времени совершать мошеннические операции, оставаясь незамеченным до тех пор, пока по каким-либо причинам не будет проведена сверка остатков на счетах пострадавших клиентов.

Таким образом, нарушителю требуется преодолеть сетевой периметр, найти сервер СУБД системы ДБО и получить контроль над ней.

2.1. Преодоление сетевого периметра

Несмотря на то, что самим серверам ДБО банки уделяют значительное внимание, зачастую в общей ДМЗ с ними обнаруживаются серверы сторонних приложений, имеющие критические уязвимости. Наибольшую опасность представляют собой веб-приложения с уязвимостями высокого уровня критичности, в том числе – со стандартными паролями к интерфейсам управления. Подобные недостатки нередко эксплуатируются хакерами с помощью автоматизированных средств, и для преодоления сетевого периметра даже не требуется участие человека.

Рисунок 2. Троянская программа, размещенная на веб-сервере. Ее интерфейс позволяет хакеру использовать этот сервер для проведения атак на остальные серверы сетевого сегмента, в том числе и недоступные из сети интернет.

Другой путь преодоления сетевого периметра – использование недостатков в реализации различных интерфейсов удаленного доступа к корпоративным информационным ресурсам банка: SSH/TELNET, RDP, различные VPN-соединения, IMAP, OWA и т. п. Наиболее эффективно используемый недостаток – отсутствие механизмов противодействия автоматизированному подбору паролей. Как и в случае с клиентами ДБО, в среднем все те же 2—3% пользователей корпоративных информационных ресурсов используют словарные пароли. Если при этом в банке используется единый стандарт формирования имен пользователей (на основе числового идентификатора, комбинации инициалов и фамилии и т. п.), задача по подбору учетных записей значительно упрощается.

Рисунок 3. Таким видит эксперт среднестатистический веб-сервер. Каждая уязвимость «красной» категории позволяет хакеру получить контроль над ним.

Последствия успешного подбора существенно зависят от того, к какому компоненту корпоративной сети банка хакеру удалось получить доступ. Подобрав авторизационные данные учетной записи VPN, он получает возможность искать и атаковать уязвимые узлы корпоративной сети банка. Доступ к удаленному рабочему столу сервера Windows или к серверу Citrix позволяет злоумышленнику использовать локальные уязвимости операционной системы, повышая свои привилегии до администратора сервера.

Доступ к электронной почте не просто предоставляет нарушителю содержащуюся в переписке конфиденциальную информацию: у него появляется возможность получить информацию о сотрудниках банка и занимаемых ими должностях, изучить стиль общения, особенности характера и интересы сотрудников и с высокой эффективностью использовать методы социальной инженерии для получения доступа к рабочим местам наиболее интересных нарушителю сотрудников.

Так или иначе, атака на сетевой периметр с высокой вероятностью заканчивается тем, что нарушитель получает контроль над серверами или рабочими местами, находящимися в корпоративной сети банка.

2.2. Развитие атаки

Получив контроль над одним из узлов корпоративной вычислительной сети, нарушитель может пойти несколькими путями. Первое, что приходит в голову, это поиск уязвимых серверов, находящихся в одной подсети с контролируемым узлом. В этом случае на руку нарушителю играет уверенность ИТ-специалистов банка в невозможности преодолеть сетевой периметр – нередко в общении с администраторами информационных систем банков приходится слышать утверждение о том, что установка обновлений безопасности на серверы, находящие внутри локальной сети банка просто не нужна.

В результате при проведении анализа защищенности обнаруживаются серверы с уязвимостями, известными с 2008 года и ранее, эксплойты для которых публично доступны и могут быть использованы кем угодно. Подобные уязвимости позволяют нарушителю получать контроль над серверами, находящимися в пределах сетевой доступности. Если повезет, среди них окажется и искомая СУБД.

Есть и другие, более долгие и более надежные пути, например перехват и прослушивание сетевого трафика. Простейший способ – атака ARP spoofing, при проведении которой нарушитель вынуждает выбранный узел сети направлять свой сетевой трафик на контролируемый нарушителем узел. Возможны и более сложные атаки, например использование протокола STP, манипулирование которым позволяет нарушителю исказить топологию целого сегмента сети на канальном уровне и вынудить коммутаторы направлять на контролируемый нарушителем узел часть сетевого трафика. Подобные атаки представляют угрозу банку независимо от того, какие цели преследует нарушитель, так как способны надолго нарушить функционирование корпоративной сети банка.

Перехват сетевого трафика позволяет нарушителю извлекать из него авторизационные маркеры, хеши паролей, а иногда и учетные записи, передаваемые в открытом виде. Подобные сведения позволяют нарушителю получить доступ к все большему количеству сетевых узлов, при этом особый интерес для нарушителя представляют рабочие места ИТ-специалистов и общие папки файловых серверов, содержащие информацию о структуре информационных систем, планы IP-адресации и т. п. Нередко в подобных информационных ресурсах удается найти файлы с именами и паролями пользователей, файлы конфигурации с именами администраторов и паролями, защищенными обратимым шифрованием, и многое другое.

Все это используется нарушителем для расширения контролируемой области, итогом которого становится получение доступа к контроллеру домена и создание учетной записи доменного администратора. Получив подобные привилегии, нарушитель приобретает неограниченные возможности и способен контролировать любой сервер и рабочее место любого сотрудника банка. После этого обнаружение и контроль нужного сервера системы ДБО становится вопросом времени. В среднем при проведении теста на проникновение от получения контроля над одним из узлов ЛВС до получения контроля над указанной заказчиком информационной системой проходит 5-10 рабочих дней.

Нельзя сказать, что подобная активность остается незамеченной сотрудниками банка. Нередко в ходе тестов на проникновение действия атакующей стороны обнаруживаются специалистами банка, не подозревающими о проведении подобного теста. Как правило, специалисты устраняют обнаруженные «аномалии», не сообщая о них службе безопасности или руководству.

3. ЗАКЛЮЧЕНИЕ

Рассматривая проблему кибератак на системы ДБО нельзя не отметить диспропорцию между реальными возможностями нарушителей и теми усилиями, которые службы безопасности прикладывают для противодействия нарушителям. На сегодняшний день злоумышленники идут по наиболее простому пути и атакуют клиентов, но это не значит, что иные способы атак невозможны или сложны в реализации.

Сравнивая финансовые показатели российских банков с показателями соразмерных им банков США и Западной Европы нужно честно признать: то, что происходит с системами ДБО в России – лишь небольшая часть общего размаха киберпреступности. Российские системы ДБО интересны только сравнительно небольшому количеству преступных групп, действующих в России и на постсоветском пространстве.
 

Ситуация может радикально измениться, если из-за мирового финансового кризиса или из-за драконовских мер, принимаемых западными странами, все больше превращающимися в полицейские государства, российские банки окажутся привлекательными для более многочисленного криминального интернационала. Готовы ли они к такому вызову? Пока ответ скорее отрицательный.

Дмитрий Кузнецов -- Заместитель технического директора (ЗАО Positive Technologies)

BIS Journal №2(5)/2012

22 марта, 2012

Смотрите также