22 декабря, 2011, BIS Journal №1(4)/2012

Безопасность систем интернет-банка – это возможно


Янсон Иван

бизнес-партнер по информационной безопасности (ПАО Сбербанк)

Окулесский Василий

руководитель Департамента, кандидат технических наук (ООО «ЦИБИТ»)

Что такое интернет-банк сегодня? Это огромный, постоянно расширяющийся спектр услуг…

Говорить об опасности транзакционных систем в интернете стало модным, говорить о безопасности в системах дистанционного банковского обслуживания (ДБО) – неинтересным, потому что до сих пор есть существенные проблемы принципиального характера, которые в теории имеют решение, а на практике – увы, нет. Однако…

1.

С помощью интернет-банка вы просматриваете информацию по счетам, картам, депозитам и кредитам, управляете своими счетами через интернет, а также можете создавать, редактировать, сохранять, распечатывать, подписывать и отправлять в банк следующие исходящие документы:

  • поручение на внутрибанковский перевод,
  • долгосрочное распоряжение на внутрибанковский перевод,
  • поручение на межбанковский перевод,
  • долгосрочное распоряжение на межбанковский перевод,
  • поручение на оплату квартплаты,
  • долгосрочное распоряжение на оплату квартплаты,
  • поручение на оплату газоснабжения,
  •  долгосрочное распоряжение на оплату газоснабжения,
  • поручение на оплату телефона,
  • долгосрочное распоряжение на оплату телефона,
  • поручение на оплату электроэнергии,
  • долгосрочное распоряжение оплату электроэнергии,
  • поручение на внутрибанковский перевод валюты,
  • заявление на перевод валюты,
  • заявление на возврат перевода,
  • заявка на покупку иностранной валюты,
  • заявка на продажу иностранной валюты,
  • долгосрочная заявка на покупку валюты,
  • заявка на покупку валюты за другую валюту,
  • долгосрочное распоряжение на внутрибанковский перевод валюты,
  • поручение на пополнение карточки,
  • поручение на пополнение банковской карты другого клиента,
  • заявление на открытие дополнительной карточки,
  • заявление на перевыпуск карточки,
  • заявление об утере/краже карточки,
  • заявление на выдачу карточки,
  • заявление на покупку дорожных чеков,
  • заявления на открытие, закрытие, пополнение срочного вклада, частичное снятие средств со срочного вклада, снятие суммы процента со счета капитализации,  заявления на установление неснижаемого остатка при пролонгации, на замену счета возврата основной суммы вклада,
  • кредитная анкета,
  • поручения на оплату услуг операторов мобильной связи, интернет-провайдеров, IP-телефонии, коммерческого телевидения, образовательных услуг, услуг туристических, страховых компаний,
  • поручения на пополнение электронных кошельков,
  • получения на погашение ссуд и займов.

Этот список постоянно расширяется и изменяется, соединение карточек и удаленного банкинга создает совершенно новое качество услуг. И делает Интернет-банк еще более привлекательным не только для клиентов, но и для мошенников.

2.

Интернет, МВД и другие источники говорят о беспрецедентном увеличении числа мошенничеств в платежных и банковских системах. Только по одному случаю в августе 2010 года по информации руководителя пресс-службы управления «К» МВД Ирины Зубаревой МВД России разоблачило схему по обналичиванию денег с помощью поддельных пластиковых карт и с использованием системы ДБО. Ущерб был оценен в 2 млрд. рублей. Зубарева отметила, что группировку организовал руководитель отдела пластиковых карт одного из крупных банков. «Она занималась обналичиванием денежных средств с использованием поддельных дебетовых банковских карт, которые оформлялись на утерянные паспорта граждан», – рассказала собеседник агентства.

Таким образом за 2 года, а именно столько действовали преступники, злоумышленники подделали около тысячи карт и заработали свыше 200 млн. рублей. Общее количество самих правонарушений, по данным ФБР за 2009 год выросло с 275 000 до 336 000, а по объёмам − более чем в 2 раза, до $ 560 млн. В прошлом, 2010 году, по оценкам разработчика антивирусных решений Eset, уровень мошенничества в системах дистанционного банковского обслуживания вырос ещё, и составил около 2,5 млрд. евро. Специалисты считают, что ущерб компаний от атак хакеров примерно в пять раз больше, то есть около 350 млрд. рублей — ровно та же сумма, что разворовывается в России только на госзакупках. (http://www.rbcdaily.ru/2011/06/23/focus/562949980486201).

И это число будет расти и дальше. Причин этому может быть несколько, среди наиболее распространенных:

  • недостаточная осведомленность клиентов об опасности использования Интернет - среды для финансовых операций;
  • недостаточное внимание клиентов к обеспечению собственной безопасности в Интернете;
  • использование нелицензионного программного обеспечения;
  • использование неадекватных уровней безопасности в системах ДБО;
  • технологические ошибки в разработке систем ДБО;
  • использование в системах ДБО не сертифицированных СКЗИ;
  • широкая доступность в интернете мошеннических услуг и программного инструментария для совершения компьютерных преступлений;
  • несовершенство уголовного права в части, касающейся компьютерных преступлений, в частности, касающихся совершения мошеннических операций в ДБО;
  • несовершенство уголовно-процессуального права, отсутствие единых и утвержденных методик у правоохранительных органов по расследованию компьютерных преступлений в сфере ДБО;
  • недостаточная кадровая обеспеченность правоохранительных органов сотрудниками, способными проводить экспертизу и расследовать компьютерные преступления в сфере ДБО;
  • затрудненность взаимодействия кредитных организаций в случае совершения мошеннических платежей из-за неучета установленными Центральным Банком правилами специфики таких платежей (возникают сложности с отзывом платежей, с блокировкой счетов мошенников и т.п.);
  • сложности  взаимодействия кредитных организаций в части, касающейся обмена информацией о мошенниках и о мошеннических платежах (в том числе, связанные с ограничениями федерального законодательства в части передачи информации);
  • малое количество успешных уголовных дел из-за сложностей и несовершенства законодательства и правовых уловок, которыми пользуются мошенники и их адвокаты;
  • формализм и движение по пути наименьшего сопротивления при рассмотрении дел, связанных с мошенничествами в ДБО как правоохранительными органами, так и судами. Что приводит к зацикливанию процесса, когда, например, дело в принципе не возбуждается из-за разной трактовки понятия места совершения преступления и постоянной пересылки материалов заявления между разными территориями. Или к замещению целей, когда вместо поиска мошенников внимание концентрируется либо на клиенте, либо на банке. Например, можно сконцентрировать внимание на использовании клиентом нелицензионного программного обеспечения и привлечь к ответственности за это клиента. Или на основании использования банком несертифицированных средств криптографической защиты в ДБО можно обязать банк выплатить украденные деньги клиенту. При этом задача наказания истинных виновных отходит на второй план;
  • отсутствие единого центра сбора анализа и распространения информации о мошеннических действиях в ДБО, а также единой государственной системы противодействия таким действиям;
  • отсутствие действующих международных соглашений и законодательства по противодействию мошенничеству в ДБО.

3.

Очевидно, что, с одной стороны, системы ДБО не всегда достаточно хорошо защищены от атак из интернета (как минимум, на стороне клиента). С другой стороны, банки и правоохранительные органы в силу различных причин не готовы к эффективному совместному противодействию мошенникам. С третьей стороны, мошенники находятся в условиях, когда доказать их причастность к противоправной деятельности крайне тяжело, а значит и сложно привлечь к ответственности за ее совершение. Другими словами, это означает, что в сегодня банки и их клиенты в основном предоставлены сами себе в вопросе защиты от деятельности мошенников.

В таких условиях наиболее естественным шагом со стороны банков были действия по внедрению механизмов безопасности в системы ДБО (как для серверной части интернет-банкинга, так и для средств идентификации, аутентификации на стороне клиента). Соответствующие средства защиты внедрялись в промышленных системах производителями по заказам банков, а в самописных системах – силами собственных  разработчиков систем ДБО в кредитных организациях.

Каждый новый виток мошенничеств или атак на систему ДБО породил свое семейство новых механизмов безопасности.

Основные исторические вехи атак на ДБО условно можно поделить на следующие этапы:

  • атаки на каналы передачи данных, атаки на передаваемые документы,
  • подложные документы по используемым каналам (фальшивые «Авизо»),
  • компрометация таблиц переменных кодов и подделка платежных документов,
  • атака на компьютер через Интернет с целью кражи секретного ключа ЭЦП и пароля,
  • атака на компьютер через Интернет с целью захвата удаленного управления ресурсами компьютера,
  • атака подмены документа системы ДБО (в первую очередь, подмены платежного поручения).

4.

В процессе борьбы за выживание системы ДБО породили вполне адекватные механизмы безопасности:

  • логин, пароль − обеспечивают идентификацию и аутентификацию клиента. Подвержены несанкционированному копированию с использованием троянов типа «KEYLOGGER»;
  • одноразовый пароль без устаревания − обеспечивает защиту от несанкционированного перехвата управления компьютером клиента, однако не защищает от атаки перехвата и последующего использования разовых паролей, а также от атаки на документ (скрытая подмена или модификация документа в момент его создания). При использовании SMS-пароля возможна также преднамеренная или случайная блокировка SIMкарты, отсутствие зоны приема, ложное копирование SIMкарты, несанкционированное пользование телефоном.
  • одноразовый пароль с временной синхронизацией − обеспечивает защиту от несанкционированного перехвата управления компьютером, а также, отчасти, от атаки перехвата разовых паролей, так как после запроса системой ДБО разового пароля он действует только в течение определенного времени и его нельзя использовать повторно.
  • электронная цифровая подпись (ЭЦП) − придает юридическую значимость электронному документу, обеспечивает неотказуемость. При этом для файловых ключей ЭЦП актуальны угрозы кражи или копирования носителя секретных ключей, несанкционированного копирования (кражи) файлов секретных ключей с использованием специальных троянских программ. Файловые ключи ЭЦП также не защищены от атак удаленного управления и от атак подмены платежного документа.
  • USB-токены (или смарт-карты) с аппаратной криптографией: при использовании USB-токена (или смарт-карты) с неизвлекаемым хранением ключей обеспечивается защита от копирования ключа ЭЦП. Причем, если выработка ЭЦП для электронного документа выполняется посредством использования аппаратных средств  криптографии в самом USB-ключе (или в смарт-карте), то при этом достигается защита ключа ЭЦП и от кражи из оперативной памяти. Не защищает USB-токен (или смарт-карта) от захвата и дистанционного управления компьютером клиента при помощи специальных программ, а также от атаки подмены документа.
  • виртуальная клавиатура− должна была обеспечивать защиту логина и пароля от кражи троянскими программами класса "KEYLOGGER", теперь уже устарела. Трояны стали много умнее.
  • технология «каптча» − должна защищать от автоматизированного подбора логинов и паролей. Без счетчика числа попыток – неэффективна.
  • пользовательский индивидуальный интерфейс − должен обеспечивать защиту сайта системы Интернет–Банк–Клиент (ИБК) от фишинговых атак. Пока работает при защите от «массовых» атак, для индивидуальной атаки на конкретного клиента не работает.
  • SMS-информирование− работает всегда, но является пассивным средством безопасности. На безопасность влияет косвенно, укорачивает время реакции клиента на несанкционированное списание и позволяет быстрее заблокировать атакуемый счет. Работает, пока работает телефон и позволяет сеть.
  • средства доверенного формирования ЭЦП и проверки подписываемого документа − как правило, используют USB-токены, но при этом они еще дополнительно позволяют осуществить визуальную доверенную проверку ключевых полей подписываемого документа (например, полей платежного поручения) в момент подписания.
  • штатные средства WEB, применение защищенных протоколов HTTPS и SSLи другие штатные средства безопасности – работают каждое в своей зоне ответственности.
  •  антивирусные средства− нужны всегда, но требуют внимательности и аккуратности, тогда они помогают.

5.

Из нашего опыта наиболее распространенные сейчас атаки можно свести к 4 видам:

  1. Хищение ключей ЭЦП с незащищенных носителей − наиболее простая и отработанная технология, при помощи которой до сих пор реализуется большинство атак на клиентов систем ДБО, хранящих ключи ЭЦП на Flash-дисках, дискетах, в папке на жестком диске и т.д.;
  2. Хищение закрытых ключей ЭЦП из оперативной памяти − чуть более сложная атака, по сравнению с первой. Обычно применяется в случае использования клиентом средства защищенного хранения ключей ЭЦП, которое позволяет извлекать их из закрытой области памяти. (Хотя, безусловно данная атака действует и против ключей ЭЦП, хранящихся в обычном файловом виде).
  3. Удаленное несанкционированное управление ключами ЭЦП непосредственно с компьютера клиента − одна из наиболее опасных и перспективных атак. Реализуется либо при помощи средств удаленного управления компьютером клиента (класса TeamViewer), либо с использованием удаленного подключения к USB-порту (технология USB-over-IP). Ограничением данной атаки является обязательное подключение носителя с ключем в момент ее проведения. Данная атака позволяет несанкционированно использовать, в том числе, и ключи ЭЦП, хранящиеся на устройствах неотчуждаемого хранения и аппаратной выработки ЭЦП.
  4. Подмена документа при передаче его на подпись− наиболее сложный и наиболее опасный на сегодняшний день вид атак. В данном случае пользователь видит на экране монитора одну информацию, а на подпись отправляется другая. Параллельно могут быть подменены данные об остатках на счете, выполненных транзакциях и т.д. Сочетание традиционных методов защиты (аппаратные средства СКЗИ для хранения и выработки ЭЦП, одноразовые пароли и т.д.) бесполезны, так как пользователь не может видеть то, что он подписывает.

Также следует отметить, что каждая из четырех перечисленных технологий эффективна не только на своем уровне защиты, но и на всех более «простых». Данная ситуация проиллюстрирована на рисунке 1 (Прим. редакции: см. http://safe-tech.ru/index.php/materialy/dbo-problemy-bezopasnosti).

Соотношение уровней защиты и технологий атак на средства выработки ЭЦП

Наиболее «эффективная» атака по третьей схеме. На рисунке 2 показана примерная схема такой атаки.

Для защиты от атак подмены документов (4 вид атаки) требуется совершенно иной подход – нужна доверенная среда хотя бы для ключевых полей платежного документа (например, БИК банка, номер счета и сумма).

Как это можно сделать? Есть несколько вариантов решения.

Первое:можно использовать специализированное недорогое устройство, которое гарантированно защищает платежный документ от данного типа атак (скрытная замена или модификация документа в момент его формирования). Устройство должно формировать доверенную среду для создания или проверки платежного документа или его частей и предоставлять механизмы проверки целостности и авторства контролируемых частей. Устройств, реализующих описанную функциональность, на сегодня известно уже довольно много.

Такой класс устройств фактически закрывает самый изощренный на сегодняшний день вид атак на системы ДБО и позволяет сформировать действительно полностью закрытый контур системы безопасности.

Второе: особенностью предыдущего решения является практическая инвариантность относительно прикладной системы. Это является с одной стороны большим достоинством, так это изделие может применяться практически в любой системе ДБО без ее кардинальной доработки. Недостатком решения является ограниченность применения в сервисах ДБО, которые не связанны с вводом цифровых ключевых параметров.

Альтернативой, не имеющей этих особенностей, может быть создание доверенной среды на базе стандартного ПК при использовании USB-флешки и USB-порта для загрузки доверенной операционной системы, прикладных задач и хранения неизвлекаемых ключей ЭЦП. Но и в этом варианте решения, тоже есть свое «но»: сложности с интеграцией бухгалтерских приложений с данным способом создания доверенной среды.

Третье: комбинированный вариант первого и второго решения – предварительно проверенный на закладки (прошедший спецпроверку и специсследования) нетбук (без CD или DVD) c перепрошитым BIOS и загрузкой с внешнего доверенного устройства, т.е. практически специализированный банковский терминал, но с одним отличием – он должен иметь возможность интегрироваться с бухгалтерскими приложениями клиента.

Очевидно, что каждое из предлагаемых решений имеет свою аудиторию. Первый вариант, специальное изделие ориентировано, прежде всего, на бухгалтеров юридических лиц, и для «финансово крупных» «физиков». Второй вариант, устройство доверенной загрузки – удел средних и мелких мобильных «физиков», а третий вариант – для вполне состоятельных клиентов, которые могут позволить личный переносной электронный терминал.

Таким образом, можно констатировать, что практически для всех видов угроз в ДБО банковским сообществом совместно с разработчиками систем ДБО в настоящее время уже найдены средства противодействия.

6.

Однако пока что говорить о полном решении проблемы защиты ДБО от мошеннических действий рано. Происходит это из-за следующих причин. С одной стороны, банковское сообщество достаточно разнородно и вследствие этого всегда останутся банки, которые не будут в состоянии внедрить в своих системах ДБО наиболее совершенные средства защиты. С другой стороны, вопрос использования или наоборот неиспользования средств защиты не всегда определяется только банком. На этот процесс влияет также и клиент, которому в одном случае средства защиты могут быть неудобны для использования (например, клиентам выполняющим пакетное подписание платежей), а в другом случае неприемлемы из-за их стоимости (например, клиентам- физическим лицам).

Очевидно, что в целом злоумышленников, нацеленных на извлечение прибыли, может остановить высокая цена ее достижения из-за повышения технической сложности или высокий риск привлечения к уголовной ответственности. С учетом отмеченной выше невозможности максимально защитить все системы ДБО и всех клиентов, у банковского сообщества остается только движение по пути обеспечения неотвратимости наказания для мошенников.

Ясно и то, что данный путь банки не могут пройти сами без участия законодательных органов, правоохранительных органов и профильного регулятора – Банка России.

Ожидаемыми мероприятиями на пути обеспечения неотвратимости наказания за компьютерные преступления в сфере ДБО являются следующие мероприятия:

  • совершенствование уголовного и уголовно-процессуального права в части касающейся компьютерных преступлений в сфере ДБО;
  • определение Банком России правил взаимодействия кредитных организаций в момент совершения мошеннических платежей;
  • сбор информации о мошеннических платежах в единый центр и распределение полученной информации по всем кредитным организациям (механизм схожий с предоставлением информации о подозрительных платежах в Росфинмониторинг в рамках закона 115-ФЗ);
  • обеспечение развития отношений с правоохранительными органами и законодателями других стран в сфере противодействия компьютерным преступлениям в сфере ДБО.

Обеспечение неотвратимости наказания за мошенническую деятельность в сфере ДБО является безо всякого преувеличения задачей государственной важности. Сегодня подавляющее большинство платежей осуществляется через системы типа Интернет-банк. Как говорилось в начале статьи, банки помимо обычных платежей предоставляют с помощью систем Интернет-банка ряд других финансовых услуг и сервисов.

Наблюдающийся в последнее время рост практически в геометрической прогрессии числа мошеннических платежей в сфере ДБО (двукратный в квартал) может привести к существенному росту стоимости всех банковских услуг (так как растущие потери будут компенсироваться ростом тарифов).

Это, в свою очередь, может дать дополнительный импульс инфляционным процессам или замедлить динамику экономического взаимодействия в государстве из-за отказа от электронных форм этого взаимодействия. В этой связи мы считаем, что проблема мошенничеств в ДБО непосредственно влияет на государственную безопасность России и должна быть доведена до Президента России.

 

Смотрите также

Активная защита ДБО

15 декабря, 2011

Презумпция вины

28 ноября, 2011

Дефицит недоверия

18 апреля, 2011
Подпишись на новости!
Подписаться