BIS Journal №1(1)/2011

18 февраля, 2011

Безопасность достижима

При дистанционном банковском обслуживании – использовании систем электронного, интернет-банкинга – самой желанной целью злоумышленников является секретный ключ цифровой подписи клиента, доступ к которому они всеми силами пытаются получить. Приёмы и инструментарий атак развиваются столь стремительно, что для обеспечения безопасности платёжных операций посредством мобильного и интернет-банкинга клиенты должны регулярно обновлять средства информационной защиты.

САМАЯ ЖЕЛАННАЯ ЦЕЛЬ

Практика показывает, что основной угрозой при использовании систем электронного банкинга является получение злоумышленником доступа к секретному ключу цифровой подписи клиента. Это обусловлено следующими причинами. Первая – именно электронная цифровая подпись придает юридическую значимость электронному документообороту, делая электронный документ равнозначным документу на бумажном носителе и позволяя банку дистанционно исполнять его.

Вторая причина – злоумышленник, владеющий секретным ключом цифровой подписи клиента, может от его имени направить в банк распоряжение на списание средств со счета клиента и таким образом совершить хищение денежных средств. При этом банк формально обязан исполнить данное распоряжение, поскольку оно подписано подлинной цифровой подписью клиента.

Атаки злоумышленников, направленные на получение в свое распоряжение секретного ключа цифровой подписи клиента, можно разбить на две категории: регистрацию ключа цифровой подписи злоумышленником от имени клиента и получение доступа к зарегистрированному секретному ключу цифровой подписи клиента.

ФАЛЬШИВАЯ РЕГИСТРАЦИЯ

Регистрация ключа цифровой подписи злоумышленником от имени клиента возможна по такой схеме. Злоумышленник создает пару ключей цифровой подписи, а затем от имени клиента подает заявку на выпуск сертификата. Для этого используется либо сговор с сотрудниками банка, либо подделка документов, служащих основанием для регистрации ключей.

Для борьбы с такими атаками должны применяться организационные меры. В первую очередь – контроль и визирование заявки на выпуск сертификата несколькими ответственными сотрудниками, что радикально снижает вероятность сговора.

Далее – контроль подлинности документов, подтверждающих право на подачу заявки на выпуск сертификата (сличение печатей и подписей, нотариальное заверение, заверение лично присутствующим клиентом). Указанные атаки на практике встречались с самого начала использования систем электронного банкинга, однако носили единичный характер.

ЭЛЕКТРОННАЯ ОТМЫЧКА

Получение доступа к секретному ключу цифровой подписи клиента может проходить по следующим сценариям:

  • получение физического доступа к ключевым носителям недобросовестными сотрудниками клиента;
  • фишинговая атака;
  • хищение секретных ключей цифровой подписи с помощью различного рода вредоносных программ.

Наиболее опасны последние два типа атак, поскольку они позволяют осуществлять массовые попытки хищений.

На основании собранной статистики можно составить следующую хронологию развития угрозы, связанной с подобными «технологическими» попытками хищения ключей:

  • Конец 2007 года: в российских банках зарегистрированы первые случаи хищений секретных ключей цифровой подписи с помощью вредоносных программ. Вредоносные программы представляли собой трояны, написанные с помощью существовавших в то время конструкторов вредоносных программ. Похищенные средства обычно переводились на карточки.
  • 2008 год, 2-й квартал: увеличивается количество инцидентов, связанных с попытками хищений средств с использованием систем электронного банкинга. Отмечено появление новых специализированных троянов. Аналогичные инциденты зарегистрированы в украинских банках.
  • 2008 год, 3-й квартал: усложняются технологии хищения средств. Совместно с платежным поручением, направленным на хищение средств, злоумышленниками в банк направляются внешне легитимные платежные поручения (например, на оплату налогов) с целью затруднить банковскому операционисту обнаружение подозрительных документов. Усложняется технология вывода из банка похищенных средств – вместо переводов на карточки и в цифровую наличность осуществляются перечисления на счета специально открытых подставных юридических лиц. Это значительно затрудняет как обнаружение попыток хищений, так и их пресечение.
  • 2008 год, 3–4-й кварталы: зарегистрированы DDoS-атаки, проводимые злоумышленниками с целью маскировки попыток хищения денежных средств (подробности ниже).
  • Конец 2008-го – начало 2009 года: зафиксированы фишинговые атаки с целью хищения секретных ключей цифровой подписи. В основной массе фишинговые атаки проходят по стандартному сценарию: рассылка по электронной почте с целью заманить клиента на фишинговый сайт, где осуществляется хищение секретных ключей цифровой подписи клиента. Встречаются достаточно изощренные фишинговые атаки – например, доставка в офис клиента курьером якобы официального извещения о смене точки входа в систему электронного банкинга, распечатанного на бланке банка.
  • 2009 год, 2–3-й кварталы: появление более сложных троянов, в частности, направленных на обход механизма IP-фильтрации. Данные трояны использовали компьютер клиента в качестве прокси-сервера при совершении платежей, направленных на хищение средств. Это делалось для того, чтобы сеанс подключения к системе электронного банкинга и отправка платежного поручения выглядели происходящими с легитимного IP-адреса клиента, и таким образом обходился механизм IP-фильтрации, ограничивающий список IP-адресов, с которых возможна работа в системе.

ПОД ПРИЦЕЛОМ ВСЕ

В настоящее время практически во всех инцидентах сразу после успешного хищения средств квалифицированные злоумышленники организуют DDoS-атаку на банковский сервер. Цель – сделать невозможным для жертвы проверку состояния своего счета, исключить оперативное обнаружение хищения. Зарегистрированы случаи, когда DDoS-атаке подвергались не только интернет-каналы банка, но и телефоны и факсы (путем организации многочисленных звонков с анонимных шлюзов IP-телефонии).

Успешности DDoS-атак способствовала их высокая доступность. По данным, опубликованным на специализированных ресурсах, стоимость типовой суточной DDoS-атаки составляет от $60 до 150. Другие негативные факторы –  низкая пропускная способность интернет-каналов, связывающих банк с провайдером – от 10 до 100 Мбит/сек, а также отсутствие у банков и провайдеров специализированных средств противодействия DDoS-атакам.

Появление в арсенале злоумышленников DDoS-атак привело к заметной эскалации угрозы хищений. Если до этого жертвами инцидентов становились отдельные клиенты, теперь под угрозой оказывалась вся аудитория пользователей системы электронного банкинга. Из-за DDoS-атаки клиенты не могут подключиться к сервису электронного банкинга, осуществить срочные платежи. Более того, поскольку зачастую DDoS-атаки приводили к полной загрузке интернет-каналов банка, неработоспособными оказывались и иные сервисы и ресурсы, предоставляемые банком с использованием Интернета.

Атаки для дистанционного хищения ключей всегда направлены на клиента, на его компьютер. Используя системные уязвимости, вредоносное программное обеспечение проникает на компьютер клиента, получая доступ к файлам пользователя и возможность перехватить пароль доступа, вводимый с клавиатуры. После этого секретный ключ и пароль направляются злоумышленнику.

Сегодня надо признать, что такой атаке подвержены компьютеры абсолютного большинства пользователей вне зависимости от полномочий и занимаемых должностей. Уязвимость программной среды на компьютере связана с неспособностью типового пользователя обеспечить необходимый уровень «электронной гигиены» своего рабочего места в силу как отсутствия специальной подготовки, так и недисциплинированности, игнорирования рекомендаций по информационной безопасности.

ВСЁ ВРЕМЯ НАЧЕКУ

Все современные производители систем электронного банкинга встраивают в свои системы те или иные вспомогательные механизмы безопасности, призванные обеспечить защиту от хищений средств с использованием украденных секретных ключей цифровой подписи:

  • фильтрацию IP-адресов, MAC-адресов;
  • контроль реквизитов получателей платежей;
  • SMS-информирование клиентов о доступе к системе от их имени.

Однако данные механизмы имеют фундаментальный недостаток: они направлены не на устранение угрозы, а на снижение вероятности негативных последствий. При этом большинство механизмов могут быть обойдены злоумышленником: чтобы обойти контроль реквизитов получателя, злоумышленники совершают переводы на счета специально зарегистрированных подставных юридических лиц; для преодоления фильтрации по IP и MAC-адресам применяют специальные вредоносные программы, организуют туннелирование запросов злоумышленника через компьютер клиента и т.д.

Более того, при всей ограниченной эффективности поддержка таких технологий требует постоянных дополнительных затрат от банка. Например, для принятия решения по каждому документу, отнесенному системой контроля к подозрительным.

В целом применение таких технологий никак не устраняет фундаментальную проблему обеспечения безопасности самого уязвимого элемента всей системы безопасности электронного банкинга – секретного ключа цифровой подписи клиента.

РАДИКАЛЬНОЕ РЕШЕНИЕ

Единственным способом, гарантированно исключающим возможность хищения секретного ключа цифровой подписи любого пользователя, является перенос криптографической функции формирования цифровой подписи в доверенную среду, изолированную от угроз, типичных для программной среды персонального компьютера клиента.

Такой средой является персональный аппаратный криптопровайдер, ключевыми особенностями которого являются:

  • генерация пары ключей цифровой подписи внутри устройства;
  • неизвлекаемость секретных ключей цифровой подписи;
  • формирование цифровой подписи внутри у специализированных аппаратных устройств с использованием СКЗИ, предъявляющих гарантированно подписываемую информацию – средств криптографической защиты, сертифицированных ФСБ России.

Теперь про сертифицированные программные СКЗИ и «защищенные» хранилища ключей. Важно понимать, что применение сертифицированных программных СКЗИ как таковое не защищает от хищений секретные ключи цифровой подписи. Если ключи хранятся в файлах или системных реестрах, то даже их шифрование не исключает возможности получения доступа к ключам посредством вредоносного программного обеспечения.

Аналогичная картина с сертифицированными устройствами хранения ключей. Какой бы уровень защиты ключа при хранении не обеспечивался устройством (токеном), если для формирования цифровой подписи ключ загружается в программную среду персонального компьютера – он может быть похищен. Вредоносному программному обеспечению достаточно перехватить ввод с клавиатуры пароля доступа к ключу в «защищенном» хранилище, а позже послать в устройство запрос на получение ключа.

ЭВОЛЮЦИЯ ОБОРОНЫ

О дальнейшей эволюции угрозы хищений и механизмов защиты. Использование персонального аппаратного устройства позволяет принципиально решить проблему возможности хищения секретного ключа злоумышленником. Однако существует возможность осуществления хищения денежных средств, связанная с передачей на подпись персональному аппаратному устройству  электронного документа с реквизитами, измененными злоумышленником.

Клиенту в интерфейсе системы электронного банкинга показывается заполненный им документ, однако внутри аппаратного устройства подписывается документ, созданный злоумышленником, и он же отправляется в банк. Для противодействия такой потенциальной угрозе необходимо дальнейшее развитие концепции персонального аппаратного СКЗИ.

Устройство должно обеспечивать не только неизвлекаемое хранение секретных ключей цифровой подписи, но и возможность отображения на экране подписываемого электронного документа с подтверждением факта подписи аппаратно, на самом устройстве. В настоящее время такие устройства разрабатываются по техническим заданиям, согласованным ФСБ России.

Вместе с тем в случае усложнения функций персонального СКЗИ и, как следствие, повышения безопасности транзакций растет и цена устройства. Ясно, что банковской карточкой с электронным чипом обойтись не удастся. Поэтому высокозащищенные СКЗИ могут найти применение лишь для обслуживания крупных клиентов, осуществляющих транзакции по значительным суммам. Это обстоятельство уменьшает тиражность стойких СКЗИ, которые используют персональные компьютеры как средство коммуникаций либо действуют автономно, но в узкой предметной области.

КОМПАКТНОСТЬ И УНИВЕРСАЛЬНОСТЬ

Принципиально подобным высокозащищенным СКЗИ может быть компактный персональный компьютер, оснащенный профессиональными средствами защиты информации соответствующих категорий защищенности. Проблема заключается в сложностях эксплуатации. Пользователь должен иметь возможность воспользоваться по своему желанию интерфейсом, аналогичным по простоте банкомату, однако гораздо более надежным.

В очередной раз противоречие между защищенностью и широтой пользовательских функций должно найти разрешение на основе компромисса и множественности конкретных решений на базе типового аппаратного средства. В частности, подобное средство должно сочетать в себе как компактность и, желательно, возможность использования его вместо банковской карточки, так и широкий спектр задействованных средств коммуникаций. К последним можно отнести, например, средства современных радиоинтерфейсов.

К сожалению, прямое использование мобильных телефонов для этих целей не позволяет организовать высокозащищенный обмен с банковской структурой. Требуется разработка специализированного устройства, побочной функцией которого будет поддержание телефонных разговоров.

Признание банковским сообществом невозможности создания недорогого, по цене простых банковских карточек, высокозащищенного СКЗИ для крупных банковских транзакций поспособствует переходу к новой модели мобильного банковского обслуживания. Клиентов начнут диверсифицировать на крупных, использующих высоконадежные, но дорогие СКЗИ, и тех, кто пользуется электронным банкингом для мелких покупок и обслуживания некрупных счетов.

Смотрите также