Стеклянные Банки. Угрозы информационной безопасности
Авторы Наши партнёры Наши проекты: IT WorldIT-WeeklyIT Contact
IT-Manager Allcio Manager
Вход
X

Логин

Пароль

Запомнить

Забыли свой пароль?

Стеклянные Банки

Лента новостейБезопасностьУгрозы

Стеклянные Банки

Илья Медведовский | 23.04.2015

Насколько защищены наши деньги —эта тема волнует буквально каждого, не правда ли? Можно их держать дома в стеклянной банке, но страшно — вдруг украдут. Гораздо безопаснее положить их в настоящий банк, справедливо полагая, что уж там-то они точно находятся под надежной защитой. А так ли это сейчас? Вопрос, к сожалению, во многом риторический. Насколько сложно злоумышленнику проникнуть в банковскую систему и украсть деньги — сегодня мы поговорим именно об этом.

«Ты помнишь, как все начиналось?»

А начиналось все достаточно банально — примерно шесть лет назад резко активизировались преступные группировки, чьей главной целью стали вовсе не банки, а их клиенты. Зачем атаковать банк, когда можно атаковать слабозащищенный компьютер его клиента, получить к нему доступ и через систему «банк-клиент» перевести необходимую сумму с его счета? Банк в этом случае обычно разводил руками и говорил, что это вина клиента. Деньги никто не возвращал, за редким исключением. Однако банки не устраивала подобная ситуация: обращений недовольных клиентов становилось все больше, к тому же в перспективе замаячила в итоге успешно принятая новая статья закона, серьезно осложняющая банку столь вольготное поведение. Все это привело к тому, что банки стали активно внедрять антифрод-системы, блокировавшие подозрительные операции со стороны клиента. Постепенно такие системы были внедрены подавляющим большинством крупных банков и с течением времени эффективно заработали, серьезно снизив вероятность успеха атаки на клиента, связанной с переводом денежных средств.

Тогда преступники поняли, что на клиенте больше не заработаешь, и тренд начал меняться. Случилось это примерно три года назад — число атак на клиентов стало резко уменьшаться, одновременно увеличились атаки на банки. А с прошлого года удары по банкам, платежным системам и процессингу стали постоянными и рост их количества принял лавинообразный характер. Теперь воруют десятками миллионов, причем регулярно. И в данном случае банку некому предъявить претензии, кроме как самому себе. Ситуация просто тяжелейшая — это видят все, кто находится внутри данной системы. То, что попадает в СМИ, лишь маленькая вершинка айсберга. Деньги, как известно, любят тишину, а потому глубина темного банковского моря скрывает львиную долю инцидентов, о которых банки не спешат делиться ни с кем, включая правоохранительные органы.

Парадокс, но, несмотря на катастрофическую ситуацию с банковской безопасностью, у банков до сих пор нет легального способа делиться друг с другом информацией об инцидентах, так как нет единого органа, координирующего их борьбу с киберпреступностью. Правда, в ближайшее время ситуация должна измениться, на что очень надеется все банковское сообщество, но об этом чуть позже.

«Спасение утопающих дело рук самих утопающих»

На самом деле, как обычно это бывает в ИБ, все достаточно банально: во многом виноват вендор. Главная беда банковской безопасности состоит в том, что банки на 100% зависят от вендоров, разрабатывающих критичные банковские приложения. Тех самых отечественных вендоров, не нуждающихся в импортозамещении (!), которые при этом не несут никакой ответственности за оставленные уязвимости в банковском ПО. И желания вкладывать деньги в обеспечение безопасности, занимаясь безопасной разработкой, у них нет, и не предвидится. Конкуренция на этом рынке невелика, софт других отечественных вендоров не менее дыряв, а значит, никто не будет менять шило на мыло. Тем более для банка переход связан с множеством проблем, соответственно, особой мотивации у вендора удлинять и удорожать цикл разработки как не было, так и нет.

И не удивительно, что, проведя пентест огромного числа банков за последние три года, мы видели такое, от чего у нормального человека навсегда будет отбито желание держать деньги в банке. Потому что банки оказались вовсе не железными, а стеклянными. Дыры на любой вкус. Без какой либо аутентификации трояним всех пользователей системы ДБО — легко. Админка процессинга, по разгильдяйству администраторов доступная в Интернете без пароля, — не вопрос. Мобильный банкинг с самопальным протоколом криптозащиты, уязвимый к атаке человек посередине — ничего удивительного. Архитектурно дырявая АБС, которая разрабатывалась вообще без единой мысли о том, что ее будут ломать, и в которой элементарно изменить данные о балансе на счете, — будни. Уязвимости — по вашему выбору, более чем в 95% случаев позволявшие нам по результатам пентестов провести успешную атаку, связанную с возможностью перевода денежных средств. Вот она — современная реальность стеклянных банков!

Не сложно догадаться, что об этом знаем не только мы, банки и правоохранительные органы, но и преступники, которые активно пользуются всеми предоставленными возможностями, регулярно атакуя банки и время от времени нанося им серьезный ущерб. Ждать помощи от вендоров банкам нет смысла — спасение утопающих дело рук самих утопающих, и сегодня банки активно борются сами. Надеюсь, что с течением времени все вместе мы сможем потушить этот разгорающийся пожар. Но прежде всего надо понимать, а где же именно горит?

После клиентов «загорелось» в системах ДБО. Банки отреагировали и начали массово проводить пентест подобных систем, взяв за практику регулярное его выполнение. Однако мы еще три года назад честно предупреждали, что ДБО лишь верхушка айсберга, преступники быстро сориентируются и начнут атаковать сердце банка — его автоматизированную банковскую систему (АБС), чьей безопасностью не занимался никто и никогда. И что самое страшное — АБС проектировались без какой-либо оглядки на безопасность. А сегодня мы имеем следующее: львиная доля атак направлена именно на абсолютно дырявые АБС. Однако до сих пор лишь единицы заказывают аудит АБС.

И сейчас для банков крайне важно, не ослабляя контроль за ДБО, срочно обратить внимание на системы АБС, занявшись регулярным аудитом их защищенности, что позволит в ближайшие три года несколько выправить сегодняшнюю плачевную ситуацию. Или пресловутый мобильный банкинг. С его помощью ты получаешь доступ к тому же счету, что и с обычного банкинга. И я прекрасно помню выражение лица владельца банка, которому мы показывали атаку на его мобильный банкинг, и его реакцию на пренебрежительную фразу ИТ-директора: «Да ладно, у нас не так много в нем пользователей (было на тот момент)». «Да мне не важно, сколько там пользователей!» —раздраженно воскликнул владелец банка. «Мне достаточно того, что им активно пользуется Иван Петрович, владелец компании, которая держит у нас все свои счета, являясь нашим крупнейшим корпоративным клиентом». Как говорил Мюллер: «Это не ерунда, дорогой Битнер! Это совсем даже не ерунда!»

«А что скажет товарищ Берия?»

А что же регуляторы, спросите вы. ФСБ занимается криптографией и безопасность банков — это не совсем ее епархия, конечно, кроме ключей и криптозащиты. Но это никто и не атакует, так как нет особого смысла. ФСТЭК тут вообще не при чем — это не задача данной службы. Правоохранительные органы — Управление «К» МВД РФ и ЦИБ ФСБ — да, борются с преступниками как могут, и их деятельность на виду (Управление «К»). Мы все с вами регулярно видим новости, что Управление «К» поймало очередного негодяя. Правда, к сожалению, далеко не всегда это заканчивается для него серьезным сроком, если вообще заканчивается.

А что же главный регулятор — Центральный Банк РФ? ЦБ, в отличие от Управления «К», не занимается оперативно-розыскной деятельностью. ЦБ не может и не должен ловить преступников. Но ЦБ может и должен предъявлять банкам требования по обеспечению ИБ, в том числе банковских приложений, и контролировать их выполнение. Эта работа началась в ЦБ достаточно давно, около 10 лет назад. Изначально ЦБ сфокусировался на процессе управления ИБ и базовых технических требованиях, что упрощало внутренний контроль, но не позволяло на практике сделать ПО банков более защищенным. Очередной парадокс состоял в том, что до недавнего времени ЦБ не предъявлял банкам требований, связанных с разработкой и безопасной эксплуатацией банковского софта. Но два года назад ситуация силами ГУБЗИ ЦБ РФ была сдвинута с мертвой точки — после недолгих баталий была создана очень узкая рабочая группа, и начата работа над стандартом безопасности жизненного цикла платежных приложений. В результате через год появился стандарт, регламентирующий безопасность жизненного цикла ключевых банковских приложений (прежде всего ДБО, процессинга и АБС), в котором ключевой контрольной процедурой стал регулярный пентест. Стандарт официально принят ЦБ чуть менее года назад. Хотя в силу специфики нашего законодательства данный стандарт и носит рекомендательный характер, все равно, с точки зрения практика, это была настоящая техническая революция для Центрального Банка, призванная сделать приложения более безопасными. В данном случае надо понимать, что ЦБ РФ никогда ничего не делает просто так и при желании всегда найдет способ потребовать выполнения того, что он считает нужным: «Железный банк всегда получает свое».

Но предъявлять требования к безопасности банков только половина дела. Важно еще обеспечить мониторинг и координацию действий в случае киберпреступлений в банковской сфере. Сегодня складывается парадоксальная картина, когда банки сами за себя. Конечно, банки пытаются объединяться и по мере сил совместно бороться с преступниками, обмениваясь информацией об инцидентах. Но законных оснований для этого нет. Более того, сегодня даже у органов правопорядка в принципе нет полномочий для предотвращения расползания инцидента из одного банка в другой — банк не обязан заявлять в полицию об инциденте. Не так давно произошла серьезная атака через уязвимость на процессинг сразу нескольких крупнейших российских банков, и каждый боролся сам по себе, не зная, что сосед находится в такой же ситуации.

Прекрасно понимая все это, последние несколько лет банковское сообщество буквально как манны небесной ждет создания единого центра координации и предотвращения инцидентов в банковской сфере — так называемого FinCERT. Его главная задача должна состоять не в формальном сборе информации об инцидентах, а в постоянном мониторинге, координации и серьезной технической помощи банкам в выявлении и устранении причин инцидентов. Речь не о поимке преступников — это функция полиции. Речь о техническом анализе причин таких происшествий и координации действий банков для оперативной борьбы с захлестнувшей волной киберпреступности и для предотвращения или блокирования мошеннических платежей. Это основная цель FinCERT сегодня, как ее видит все банковское сообщество. Именно такой помощи банки ждут от государства в лице ЦБ РФ. И подобный центр будет создан в самое ближайшее время — в мае текущего года. Решение уже принято на самом высоком уровне. Другой вопрос, что пока никому не понятно, какие именно задачи будет решать данный центр, а это краеугольный камень, ибо дьявол, как известно, в деталях, в данном случае — в технических. И, как клиенты банков, будем надеяться, что создаваемый в недрах ЦБ РФ FinCERT не станет очередным центром сбора формальной отчетности об инцидентах и практическая инициатива по созданию стандарта безопасности жизненного цикла банковских приложений будет дополнена формированием центра по техническому контролю и анализу инцидентов, в дальнейшем став надежным барьером на пути злоумышленников.

А есть ли свет в конце туннеля?

Безусловно, есть. С одной стороны, банки делают всё что могут. Правда, не все, а только те, кто понимает. Но таких сегодня становится больше — жизнь заставляет. Да, инертность высока, и этот «паровоз» очень сложно заставить набрать ход. Да, банки постепенно привыкают проводить с той или иной степенью регулярности пентест ДБО, пока еще, к сожалению, забывая про дырявые и регулярно атакуемые АБС.

С другой стороны, ЦБ РФ прилагает все усилия для нормализации обстановки, связанной с минимизацией возможностей проведения атак на банковскую систему РФ. Да, это не просто и не быстро, но дорогу, как известно, осилит идущий. Управление «К» также не дремлет, регулярно возбуждая дела против очередных пойманных негодяев. Банковские безопасники делают, что могут, и что не могут – делают тоже. Поэтому свет в конце туннеля есть. И мы его видим. Но где-то далеко. Совсем далеко. Главное, чтобы это был не мираж...

Теги: безопасность, банковские системы

Журнал IT-Manager № 04/2015    [ PDF ]    [ Подписка на журнал ]

Об авторе

Илья Медведовский

Илья Медведовский

Более 20 лет занимается информационной безопасностью. Это давно уже перестало быть просто бизнесом, увлекательной работой. ИБ - хобби, любимое дело, миссия и мечта. В течение 12 лет руководит консалтинговой компанией Digital Security, которая на сегодняшний день является одним из лидеров российского рынка аудита ИБ. В 2010 году создал также дочернюю международную компанию ERPSсan, осуществляющую разработку средств мониторинга защищенности SAP. Автор около 200 статей по информационной безопасности, а также легендарной хакерской серии книг «Атака через Интернет», в которую также вошли «Атака на Интернет» и «Атака из Интернета». Спикер на ведущих российских конференциях по ИБ.


мероприятия

| 07.12.2017
XIII Пиринговый форум

Краснопресненская наб.,12.

Также смотрите

Избавиться от хлама всегда полезно. Тем более что иногда уборка дает такой впечатляющий результат, который превосходит любые ожидания
Сегодня не просто дать краткий ответ на этот вопрос, не упустив те или иные важные моменты

Журнал IT-Manager: № 09/2017

Последние новости

Фоторепортажи

Мероприятия

<<<< Ноябрь >>>>
Пн Вт Ср Чт Пт Сб Вс
303112345
6789101112
13141516171819
20212223242526
27282930123