САМАЯ ЖЕЛАННАЯ ЦЕЛЬ
Практика показывает, что основной угрозой при использовании систем электронного банкинга является получение злоумышленником доступа к секретному ключу цифровой подписи клиента. Это обусловлено следующими причинами. Первая – именно электронная цифровая подпись придает юридическую значимость электронному документообороту, делая электронный документ равнозначным документу на бумажном носителе и позволяя банку дистанционно исполнять его.
Вторая причина – злоумышленник, владеющий секретным ключом цифровой подписи клиента, может от его имени направить в банк распоряжение на списание средств со счета клиента и таким образом совершить хищение денежных средств. При этом банк формально обязан исполнить данное распоряжение, поскольку оно подписано подлинной цифровой подписью клиента.
Атаки злоумышленников, направленные на получение в свое распоряжение секретного ключа цифровой подписи клиента, можно разбить на две категории: регистрацию ключа цифровой подписи злоумышленником от имени клиента и получение доступа к зарегистрированному секретному ключу цифровой подписи клиента.
ФАЛЬШИВАЯ РЕГИСТРАЦИЯ
Регистрация ключа цифровой подписи злоумышленником от имени клиента возможна по такой схеме. Злоумышленник создает пару ключей цифровой подписи, а затем от имени клиента подает заявку на выпуск сертификата. Для этого используется либо сговор с сотрудниками банка, либо подделка документов, служащих основанием для регистрации ключей.
Для борьбы с такими атаками должны применяться организационные меры. В первую очередь – контроль и визирование заявки на выпуск сертификата несколькими ответственными сотрудниками, что радикально снижает вероятность сговора.
Далее – контроль подлинности документов, подтверждающих право на подачу заявки на выпуск сертификата (сличение печатей и подписей, нотариальное заверение, заверение лично присутствующим клиентом). Указанные атаки на практике встречались с самого начала использования систем электронного банкинга, однако носили единичный характер.
ЭЛЕКТРОННАЯ ОТМЫЧКА
Получение доступа к секретному ключу цифровой подписи клиента может проходить по следующим сценариям:
Наиболее опасны последние два типа атак, поскольку они позволяют осуществлять массовые попытки хищений.
На основании собранной статистики можно составить следующую хронологию развития угрозы, связанной с подобными «технологическими» попытками хищения ключей:
ПОД ПРИЦЕЛОМ ВСЕ
В настоящее время практически во всех инцидентах сразу после успешного хищения средств квалифицированные злоумышленники организуют DDoS-атаку на банковский сервер. Цель – сделать невозможным для жертвы проверку состояния своего счета, исключить оперативное обнаружение хищения. Зарегистрированы случаи, когда DDoS-атаке подвергались не только интернет-каналы банка, но и телефоны и факсы (путем организации многочисленных звонков с анонимных шлюзов IP-телефонии).
Успешности DDoS-атак способствовала их высокая доступность. По данным, опубликованным на специализированных ресурсах, стоимость типовой суточной DDoS-атаки составляет от $60 до 150. Другие негативные факторы – низкая пропускная способность интернет-каналов, связывающих банк с провайдером – от 10 до 100 Мбит/сек, а также отсутствие у банков и провайдеров специализированных средств противодействия DDoS-атакам.
Появление в арсенале злоумышленников DDoS-атак привело к заметной эскалации угрозы хищений. Если до этого жертвами инцидентов становились отдельные клиенты, теперь под угрозой оказывалась вся аудитория пользователей системы электронного банкинга. Из-за DDoS-атаки клиенты не могут подключиться к сервису электронного банкинга, осуществить срочные платежи. Более того, поскольку зачастую DDoS-атаки приводили к полной загрузке интернет-каналов банка, неработоспособными оказывались и иные сервисы и ресурсы, предоставляемые банком с использованием Интернета.
Атаки для дистанционного хищения ключей всегда направлены на клиента, на его компьютер. Используя системные уязвимости, вредоносное программное обеспечение проникает на компьютер клиента, получая доступ к файлам пользователя и возможность перехватить пароль доступа, вводимый с клавиатуры. После этого секретный ключ и пароль направляются злоумышленнику.
Сегодня надо признать, что такой атаке подвержены компьютеры абсолютного большинства пользователей вне зависимости от полномочий и занимаемых должностей. Уязвимость программной среды на компьютере связана с неспособностью типового пользователя обеспечить необходимый уровень «электронной гигиены» своего рабочего места в силу как отсутствия специальной подготовки, так и недисциплинированности, игнорирования рекомендаций по информационной безопасности.
ВСЁ ВРЕМЯ НАЧЕКУ
Все современные производители систем электронного банкинга встраивают в свои системы те или иные вспомогательные механизмы безопасности, призванные обеспечить защиту от хищений средств с использованием украденных секретных ключей цифровой подписи:
Однако данные механизмы имеют фундаментальный недостаток: они направлены не на устранение угрозы, а на снижение вероятности негативных последствий. При этом большинство механизмов могут быть обойдены злоумышленником: чтобы обойти контроль реквизитов получателя, злоумышленники совершают переводы на счета специально зарегистрированных подставных юридических лиц; для преодоления фильтрации по IP и MAC-адресам применяют специальные вредоносные программы, организуют туннелирование запросов злоумышленника через компьютер клиента и т.д.
Более того, при всей ограниченной эффективности поддержка таких технологий требует постоянных дополнительных затрат от банка. Например, для принятия решения по каждому документу, отнесенному системой контроля к подозрительным.
В целом применение таких технологий никак не устраняет фундаментальную проблему обеспечения безопасности самого уязвимого элемента всей системы безопасности электронного банкинга – секретного ключа цифровой подписи клиента.
РАДИКАЛЬНОЕ РЕШЕНИЕ
Единственным способом, гарантированно исключающим возможность хищения секретного ключа цифровой подписи любого пользователя, является перенос криптографической функции формирования цифровой подписи в доверенную среду, изолированную от угроз, типичных для программной среды персонального компьютера клиента.
Такой средой является персональный аппаратный криптопровайдер, ключевыми особенностями которого являются:
Теперь про сертифицированные программные СКЗИ и «защищенные» хранилища ключей. Важно понимать, что применение сертифицированных программных СКЗИ как таковое не защищает от хищений секретные ключи цифровой подписи. Если ключи хранятся в файлах или системных реестрах, то даже их шифрование не исключает возможности получения доступа к ключам посредством вредоносного программного обеспечения.
Аналогичная картина с сертифицированными устройствами хранения ключей. Какой бы уровень защиты ключа при хранении не обеспечивался устройством (токеном), если для формирования цифровой подписи ключ загружается в программную среду персонального компьютера – он может быть похищен. Вредоносному программному обеспечению достаточно перехватить ввод с клавиатуры пароля доступа к ключу в «защищенном» хранилище, а позже послать в устройство запрос на получение ключа.
ЭВОЛЮЦИЯ ОБОРОНЫ
О дальнейшей эволюции угрозы хищений и механизмов защиты. Использование персонального аппаратного устройства позволяет принципиально решить проблему возможности хищения секретного ключа злоумышленником. Однако существует возможность осуществления хищения денежных средств, связанная с передачей на подпись персональному аппаратному устройству электронного документа с реквизитами, измененными злоумышленником.
Клиенту в интерфейсе системы электронного банкинга показывается заполненный им документ, однако внутри аппаратного устройства подписывается документ, созданный злоумышленником, и он же отправляется в банк. Для противодействия такой потенциальной угрозе необходимо дальнейшее развитие концепции персонального аппаратного СКЗИ.
Устройство должно обеспечивать не только неизвлекаемое хранение секретных ключей цифровой подписи, но и возможность отображения на экране подписываемого электронного документа с подтверждением факта подписи аппаратно, на самом устройстве. В настоящее время такие устройства разрабатываются по техническим заданиям, согласованным ФСБ России.
Вместе с тем в случае усложнения функций персонального СКЗИ и, как следствие, повышения безопасности транзакций растет и цена устройства. Ясно, что банковской карточкой с электронным чипом обойтись не удастся. Поэтому высокозащищенные СКЗИ могут найти применение лишь для обслуживания крупных клиентов, осуществляющих транзакции по значительным суммам. Это обстоятельство уменьшает тиражность стойких СКЗИ, которые используют персональные компьютеры как средство коммуникаций либо действуют автономно, но в узкой предметной области.
КОМПАКТНОСТЬ И УНИВЕРСАЛЬНОСТЬ
Принципиально подобным высокозащищенным СКЗИ может быть компактный персональный компьютер, оснащенный профессиональными средствами защиты информации соответствующих категорий защищенности. Проблема заключается в сложностях эксплуатации. Пользователь должен иметь возможность воспользоваться по своему желанию интерфейсом, аналогичным по простоте банкомату, однако гораздо более надежным.
В очередной раз противоречие между защищенностью и широтой пользовательских функций должно найти разрешение на основе компромисса и множественности конкретных решений на базе типового аппаратного средства. В частности, подобное средство должно сочетать в себе как компактность и, желательно, возможность использования его вместо банковской карточки, так и широкий спектр задействованных средств коммуникаций. К последним можно отнести, например, средства современных радиоинтерфейсов.
К сожалению, прямое использование мобильных телефонов для этих целей не позволяет организовать высокозащищенный обмен с банковской структурой. Требуется разработка специализированного устройства, побочной функцией которого будет поддержание телефонных разговоров.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных