18 апреля, 2011, BIS Journal №2(2)/2011

Дефицит недоверия


Окулесский Василий

руководитель Департамента, кандидат технических наук (ООО «ЦИБИТ»)

Потанин Сергей

Заместитель начальника отдела защиты информации службы безопасности (ОАО «Банк Москвы»)

Банковским специалистам по информационной безопасности пришлось самостоятельно разработать техническое средство защиты

Свежий приём кибер-мошенников − атака на экран, подмена платёжного документа. В окне программы дистанционного банковского обслуживания, вроде I-bank, клиент, чтобы сделать электронный платёж своему адресату, заполняет нужные поля, защищённые традиционными средствами. Но на деле деньги перечисляются мошенникам, причём куда большие суммы. Парадокс, но сотрудникам службы информационной безопасности банка не удалось оперативно найти на рынке готовое решение. Оказалось, что легче и быстрее самостоятельно разработать техническое средство защиты от новой напасти.

ИЛЛЮЗИЯ ИЗОБИЛИЯ

Объемы финансовых правонарушений в интернете растут лавинообразно. Их количество, по данным ФБР, за 2009 год выросло с 275 000 до 336 000, а по объёмам − более чем в два раза, до $ 560 млн. В прошлом, 2010 году, по оценкам разработчика антивирусных решений Eset, уровень мошенничества в системах дистанционного банковского обслуживания вырос ещё на 30%.

Кибер-мошенники проявляют неутомимую изобретательность, изобретая всё более изощрённые средства нападения, атакуют новые объекты. Их неутомимости не стоит удивляться: атаки на платежные систем и популярные программы клиент-банк вредоносным программным обеспечением могут приносить преступникам миллионные прибыли.

Казалось бы, IT-рынок должен активно реагировать на новые угрозы, даже предвосхищать их и незамедлительно предлагать технические средства информационной защиты от них, в том числе для дистанционного банковского обслуживания. В наши дни рынок технических средств информационной безопасности буквально ломится от разнообразных предложений, чуть ли не на все случаи жизни. Бывает непросто выбрать из нескольких аналогов, создатели и поставщики каждого уверяют, что именно их предложение наилучшее.

Нынешнее изобилие технических предложений для обеспечения информационной безопасности банков трудно сравнивать с 1990-ми годами. Тогда сама банковская система переживала период становления, процесс информатизации шёл параллельно. Сотрудники банков, ответственные за IT, подолгу искали нужное оборудование, программное обеспечение, в том числе для информационной защиты. Порой приходилось что-то придумывать самим, иногда даже вооружаться паяльником.

Тем не менее, и сегодня в жизни сотрудников банковских подразделений информационной безопасности, как говорили прежде, «остаётся место для подвига». Изобилие оказывается неполным: «невидимая рука рынка» не гарантирует, что на нём вовремя появятся эффективные меры защиты от новейших информационных угроз, потому и приходится «проявлять героизм», не от хорошей жизни. Оказывается, порой бывает быстрее и проще самостоятельно разработать технические средства для решения специфических задач информационной защиты финансовых операций, чем ждать милостей от поставщиков.

ПО ЗАКОНАМ КИНОКОМЕДИИ

Свежий пример можно привести из собственной практики. Одна из последних «фишек» кибер-мошенников в сфере дистанционного банковского обслуживания − так называемая подмена экрана. В поле зрения специалистов по защите Банка Москвы эта новая угроза оказалась в мае-июне прошлого, 2010 года. Суть этого изящного механизма мошенничества, который придумали настоящие виртуозы, такова.

Вредоносное программное обеспечение, незаметно установленное на компьютер, с которого осуществляется дистанционное банковское обслуживание, создаёт у клиента полную иллюзию, что он направляет желаемую сумму денег по нужному адресу. Клиент в окне программы ДБО, вроде I-bank, заполняет нужные поля. Вводит сумму платежа и реквизиты адресата, проверяет, после чего подтверждает правильность данных с помощью цифровой подписи, банк перечисляет деньги…

Только напрасно клиент думает, что заплачено кому надо и сколько хотелось. То, что он видит на мониторе своего компьютера − виртуальная действительность, которая существует только для него. Параллельно со своего компьютера хакер вводит совсем другие данные − сумму платежа и реквизиты получателя, которые верно отражаются на его мониторе. Их-то и подтверждает клиент своей цифровой подписью, защищённой сертифицированной криптографией.

На деле с его счёта перечисляется не 1 000 рублей управляющей компании за жилищно-коммунальные услуги, а, скажем, 1 млн. рублей на счёт подставной фирмы-однодневки в далёком регионе. После чего деньги переводят на банковскую карточку для зарплаты, зарегистрированную на украденный паспорт, и быстро снимают наличными в банкоматах.

Сколько не сличай введённые с клавиатуры данные, не всматривайся в монитор, полной уверенности в правильности платёжа уже нет. Воистину для этой мошеннической схемы верно утверждение «не верь глазам своим». Почти как в кинокомедии про Ивана Васильевича, «меняющего профессию», где самого царя подменили. Только обворованному клиенту не до смеха.

ИЩУТ ЛАЗЕЙКИ

Появлению мошенничества с «подменой экрана» предшествовали несколько этапов борьбы разработчиков технических средств информационной защиты с хакерами. Были несколько «волн» различных поколений «троянов», ворующих идентификационные данные банковских клиентов. Кибер-преступники атаковали и каналы передачи данных, и передаваемые документы, то порознь, то одновременно.

Из вороха лет можно несколько условно выделить «исторические вехи» развития «инструментария» хищений в системах банковского обслуживания:

  • подложные документы по используемым каналам (пример − грандиозные аферы с фальшивыми авизо начала 1990-х гг.);
  • компрометация таблиц переменных кодов и подделка платежных документов;
  • атака на компьютер через интернет с целью кражи ЭПЦ и пароля;
  • атака на компьютер через интернет с целью захвата удаленного управления ресурсами компьютера;
  • и, наконец, атака на документ через интернет с целью подмены платёжного документа, − совсем свежий хакерский «продукт».

Поэтапно против каждого типа создавались эффективные технические средства защиты, применяемые банками в разных комбинациях. Их можно последовательно перечислить:

  • пара «логин − пароль долговременный»;
  • ЭЦП (файловая или в USB-токене);
  • одноразовый пароль (SMSили OTP);
  • виртуальная клавиатура;
  • технология «каптча» (captcha, от англ. «Completely Automated Public Turing test to tell Computers and Humans Apart» — полностью автоматизированный публичный тест Тьюринга для различения компьютеров и людей);
  • штатные средства WEB.
  • Пассивные виды защиты типа SMS-информирования;

К сожалению, ни одно из этих средств, ни вся их совокупность, по нашим оценкам, не могут обеспечить надёжную защиту от такого приёма кибер-мошенничества как подмена экрана / документа – следствие отсутствия доверенной среды формирования электронного документа.

КРИЗИС ДОВЕРИЯ

По большому счёту, это проблема концептуальная. Если банковский контур системы ДБО имеет вполне определенный, как правило, высокий уровень безопасности, то на стороне клиента все не так очевидно.  Допустим, для дистанционного банковского обслуживания используется, как полагается, специальная лицензированная программа. И, конечно же, работает она на базе лицензионной операционной системы. Вопрос в том, каков «срок годности» сертификата подлинности ОС? До первого посещения интернет-ресурса, на котором есть риск заразиться вредоносным программным обеспечением?

Полное спокойствие не гарантировано даже самому аккуратному и осторожному пользователю, который выходит в интернет исключительно только для дистанционных платежей и принципиально не посещает никакие иные сайты. Даже если при выходе в интернет не заходить на сомнительные сайты и следовать всем правилам безопасности, уже через очень короткое время программы-роботы засекают IP-адрес и начинают попытки проникновения на компьютер.

Стопроцентного доверия не заслуживает ни одно «железо». Хакеры научились даже менять прошивку BIOS. Кто поручится, что под видом изделия всемирно известного бренда клиент  не приобретает контрафактную материнскую плату с «закладками» криминальных мастеров? Что, отправлять каждую купленную «персоналку», каждую новую комплектующую или периферийное устройство на специальную экспертизу на предмет информационной безопасности? А кто будет гарантировать 100% работу антивирусных программ?

Кроме того, если быть до конца последовательными, то, даже говоря о подлинном оборудовании и программном обеспечении компаний −мировых лидеров, нельзя забывать о так называемых «недокументированных возможностях». Отдельный вопрос, для чего их закладывают разработчики, но очевидно, что ими как потенциальными информационными лазейками могут воспользоваться хакеры.

Согласитесь, невозможно выстроить абсолютно надежную информационную защиту на базе оборудования и программного обеспечения, всех возможностей которых до конца не знаешь. Как же преодолеть почти тотальный «кризис доверия»? Или положение, при котором недоверие к среде − редчайший дефицит, только утопия? Единственной гарантией защиты от подмены экрана (документа) может быть только создание «островка безопасности» − доверенной среды для ввода если не всего документа, то хотя бы его ключевых параметров, идентифицирующих электронную «платёжку».

АЛГОРИТМ ЗАЩИТЫ

Поскольку угроза сравнительно новая, «свежая», то найти её в готовом виде на рынке не удалось. Значит, следовало обратиться к компаниям, работающим на рынке технических средств защиты информации, пригодных для информационной защиты дистанционного банковского обслуживания. Ответная реакция удивила: никто не поспешил браться за разработку нового приспособления для защиты клиентской машины от подмены экрана / документа. Мотивация была разной: у нас другой путь, это защита не собственно системы ДБО, а компьютера клиента, да, и мы потратили немало средств на разработку и продвижение других проектов. Пока не окупятся прежние вложения, нет резона браться за новые разработки.

Сотрудникам Банка Москвы не оставалось ничего лучшего, как «тряхнуть стариной»: вспомнить прежние профессиональные навыки и попробовать самостоятельно создать столь нужное техническое устройство. Был сформирован временный творческий коллектив, перед которым встала задача создания доверенной среды для вводимых данных, необходимых для проведения платежа. Для защиты от подмены экрана / документа предстояло создать техническое устройство, гарантирующего «островок безопасности» на персональном компьютере, защиту ключевых данных, параметров платежа.

Был выработан следующий алгоритм решения поставленной задачи:

  • определение ключевых полей документа;
  • формирование этих полей в доверенной среде;
  • формирование контрольного признака для ключевых полей в доверенной среде;
  • включение контрольного признака в электронный документ;
  • проверка правильности контрольного признака на стороне приёма.

Разработчики поняли, что выполнять эти задачи можно при помощи специального устройства для ввода ключевой информации, определяющий платёж. Защищаемыми от подмены параметрами должны являться номер счёта, БИК банка-получателя и сумма платежа. Для них после ввода криптомодуль генерирует контрольный показатель − MAC-число, который проверяется по аналогичным криптографическим алгоритмам «проверочным модулем» на банковском сервере.

ОСТРОВОК БЕЗОПАСНОСТИ

Техническим решением «в пластике и металле» стал своего рода «токен с клавиатурой». Ближайший аналог, utp-tokenс клавиатурой и экраном, неудобен тем, что не соединён с компьютером, и пользователю надо вручную повторять ввод многих цифр на обычной клавиатуре. Для удобства, чтобы не воспроизводить вручную длинные наборы цифр ключевых данных, решение воплотили в привычном для бухгалтеров виде, напоминающем «цифровой блок» стандартной компьютерной клавиатуры. Устройство как дополнительная клавиатура присоединяется через USB-разъём к системному блоку персонального компьютера, не требуя драйверов.

Это устройство надёжно обеспечивает формирование «островка безопасности» − доверенного пространства для ключевых параметров информации о платеже, вводимой на персональный компьютер. Изобретение патентуется, заявка принята, ближайшая перспектива − экспертиза Научно-технологического совета Банка Москвы. В случае положительного развития событий, первая задача − оснастить свой банк, далее возможен вывод на рынок как коммерческого предложения. Сотрудники Банка Москвы создавали разработку в первую очередь для своего банка, но, когда решение было найдено, прикинули возможность более широкого применения.

Мобильное криптографическое устройство, способное, среди прочего, защитить от подмены экрана / документа, вполне пригодится другим кредитно-финансовым учреждениям и различным платёжным системам. Хоть разрабатывалось оно для дистанционного банковского обслуживания, найденное техническое решение оказалось куда более многофункциональным. Со специальными прошивками оно может использоваться в любых системах электронного документооборота, где есть необходимость использования доверенной среды.

В том числе − для обеспечения информационной безопасности операций с электронной картой, а также защищённой электронной подписи, проверки её подлинности при подозрении на мошенничество. В изделие может быть встроен любой механизм формирования ЭЦП на основе любого алгоритма или с использованием любого современного USB-хранилища не извлекаемых ключей. Изобретение может даже выполнять функции электронного паспорта физического или юридического лица.

От несанкционированного использования устройство защищено паролем длиной от 6 до 16 знаков. Оно одностороннего действия, работает только «на выдачу», поэтому недоступно для атак извне, его можно только попытаться взломать. Возможна дополнительная физическая защита от встраивания злоумышленниками приспособлений для «внешнего управления».

Расчёты показали: при массовом производстве цена для «внешнего покупателя» может составить 2 000 − 3 000 рублей за штуку. Потенциально у устройства своя «ниша»: оно может быть востребовано банковскими клиентами, у которых на счету от 100 000 рублей, с меньшими суммами кибер-мошенники возиться брезгуют. Тех, кто оперирует миллионами рублей и более крупными суммами, скорее, заинтересуется более сложными устройствами криптографической защиты, которые дополнительно гарантируют секретность передаваемых данных, недоступность для внешнего соглядатая.

 

Смотрите также

Подпишись на новости!
Подписаться