Стеклянные Банки

Стеклянные Банки
Илья Медведовский | 23.04.2015

Насколько защищены наши деньги —эта тема волнует буквально каждого, не правда ли? Можно их держать дома в стеклянной банке, но страшно — вдруг украдут. Гораздо безопаснее положить их в настоящий банк, справедливо полагая, что уж там-то они точно находятся под надежной защитой. А так ли это сейчас? Вопрос, к сожалению, во многом риторический. Насколько сложно злоумышленнику проникнуть в банковскую систему и украсть деньги — сегодня мы поговорим именно об этом.

«Ты помнишь, как все начиналось?»

А начиналось все достаточно банально — примерно шесть лет назад резко активизировались преступные группировки, чьей главной целью стали вовсе не банки, а их клиенты. Зачем атаковать банк, когда можно атаковать слабозащищенный компьютер его клиента, получить к нему доступ и через систему «банк-клиент» перевести необходимую сумму с его счета? Банк в этом случае обычно разводил руками и говорил, что это вина клиента. Деньги никто не возвращал, за редким исключением. Однако банки не устраивала подобная ситуация: обращений недовольных клиентов становилось все больше, к тому же в перспективе замаячила в итоге успешно принятая новая статья закона, серьезно осложняющая банку столь вольготное поведение. Все это привело к тому, что банки стали активно внедрять антифрод-системы, блокировавшие подозрительные операции со стороны клиента. Постепенно такие системы были внедрены подавляющим большинством крупных банков и с течением времени эффективно заработали, серьезно снизив вероятность успеха атаки на клиента, связанной с переводом денежных средств.

Тогда преступники поняли, что на клиенте больше не заработаешь, и тренд начал меняться. Случилось это примерно три года назад — число атак на клиентов стало резко уменьшаться, одновременно увеличились атаки на банки. А с прошлого года удары по банкам, платежным системам и процессингу стали постоянными и рост их количества принял лавинообразный характер. Теперь воруют десятками миллионов, причем регулярно. И в данном случае банку некому предъявить претензии, кроме как самому себе. Ситуация просто тяжелейшая — это видят все, кто находится внутри данной системы. То, что попадает в СМИ, лишь маленькая вершинка айсберга. Деньги, как известно, любят тишину, а потому глубина темного банковского моря скрывает львиную долю инцидентов, о которых банки не спешат делиться ни с кем, включая правоохранительные органы.

Парадокс, но, несмотря на катастрофическую ситуацию с банковской безопасностью, у банков до сих пор нет легального способа делиться друг с другом информацией об инцидентах, так как нет единого органа, координирующего их борьбу с киберпреступностью. Правда, в ближайшее время ситуация должна измениться, на что очень надеется все банковское сообщество, но об этом чуть позже.

«Спасение утопающих дело рук самих утопающих»

На самом деле, как обычно это бывает в ИБ, все достаточно банально: во многом виноват вендор. Главная беда банковской безопасности состоит в том, что банки на 100% зависят от вендоров, разрабатывающих критичные банковские приложения. Тех самых отечественных вендоров, не нуждающихся в импортозамещении (!), которые при этом не несут никакой ответственности за оставленные уязвимости в банковском ПО. И желания вкладывать деньги в обеспечение безопасности, занимаясь безопасной разработкой, у них нет, и не предвидится. Конкуренция на этом рынке невелика, софт других отечественных вендоров не менее дыряв, а значит, никто не будет менять шило на мыло. Тем более для банка переход связан с множеством проблем, соответственно, особой мотивации у вендора удлинять и удорожать цикл разработки как не было, так и нет.

И не удивительно, что, проведя пентест огромного числа банков за последние три года, мы видели такое, от чего у нормального человека навсегда будет отбито желание держать деньги в банке. Потому что банки оказались вовсе не железными, а стеклянными. Дыры на любой вкус. Без какой либо аутентификации трояним всех пользователей системы ДБО — легко. Админка процессинга, по разгильдяйству администраторов доступная в Интернете без пароля, — не вопрос. Мобильный банкинг с самопальным протоколом криптозащиты, уязвимый к атаке человек посередине — ничего удивительного. Архитектурно дырявая АБС, которая разрабатывалась вообще без единой мысли о том, что ее будут ломать, и в которой элементарно изменить данные о балансе на счете, — будни. Уязвимости — по вашему выбору, более чем в 95% случаев позволявшие нам по результатам пентестов провести успешную атаку, связанную с возможностью перевода денежных средств. Вот она — современная реальность стеклянных банков!

Не сложно догадаться, что об этом знаем не только мы, банки и правоохранительные органы, но и преступники, которые активно пользуются всеми предоставленными возможностями, регулярно атакуя банки и время от времени нанося им серьезный ущерб. Ждать помощи от вендоров банкам нет смысла — спасение утопающих дело рук самих утопающих, и сегодня банки активно борются сами. Надеюсь, что с течением времени все вместе мы сможем потушить этот разгорающийся пожар. Но прежде всего надо понимать, а где же именно горит?

После клиентов «загорелось» в системах ДБО. Банки отреагировали и начали массово проводить пентест подобных систем, взяв за практику регулярное его выполнение. Однако мы еще три года назад честно предупреждали, что ДБО лишь верхушка айсберга, преступники быстро сориентируются и начнут атаковать сердце банка — его автоматизированную банковскую систему (АБС), чьей безопасностью не занимался никто и никогда. И что самое страшное — АБС проектировались без какой-либо оглядки на безопасность. А сегодня мы имеем следующее: львиная доля атак направлена именно на абсолютно дырявые АБС. Однако до сих пор лишь единицы заказывают аудит АБС.

И сейчас для банков крайне важно, не ослабляя контроль за ДБО, срочно обратить внимание на системы АБС, занявшись регулярным аудитом их защищенности, что позволит в ближайшие три года несколько выправить сегодняшнюю плачевную ситуацию. Или пресловутый мобильный банкинг. С его помощью ты получаешь доступ к тому же счету, что и с обычного банкинга. И я прекрасно помню выражение лица владельца банка, которому мы показывали атаку на его мобильный банкинг, и его реакцию на пренебрежительную фразу ИТ-директора: «Да ладно, у нас не так много в нем пользователей (было на тот момент)». «Да мне не важно, сколько там пользователей!» —раздраженно воскликнул владелец банка. «Мне достаточно того, что им активно пользуется Иван Петрович, владелец компании, которая держит у нас все свои счета, являясь нашим крупнейшим корпоративным клиентом». Как говорил Мюллер: «Это не ерунда, дорогой Битнер! Это совсем даже не ерунда!»

«А что скажет товарищ Берия?»

А что же регуляторы, спросите вы. ФСБ занимается криптографией и безопасность банков — это не совсем ее епархия, конечно, кроме ключей и криптозащиты. Но это никто и не атакует, так как нет особого смысла. ФСТЭК тут вообще не при чем — это не задача данной службы. Правоохранительные органы — Управление «К» МВД РФ и ЦИБ ФСБ — да, борются с преступниками как могут, и их деятельность на виду (Управление «К»). Мы все с вами регулярно видим новости, что Управление «К» поймало очередного негодяя. Правда, к сожалению, далеко не всегда это заканчивается для него серьезным сроком, если вообще заканчивается.

А что же главный регулятор — Центральный Банк РФ? ЦБ, в отличие от Управления «К», не занимается оперативно-розыскной деятельностью. ЦБ не может и не должен ловить преступников. Но ЦБ может и должен предъявлять банкам требования по обеспечению ИБ, в том числе банковских приложений, и контролировать их выполнение. Эта работа началась в ЦБ достаточно давно, около 10 лет назад. Изначально ЦБ сфокусировался на процессе управления ИБ и базовых технических требованиях, что упрощало внутренний контроль, но не позволяло на практике сделать ПО банков более защищенным. Очередной парадокс состоял в том, что до недавнего времени ЦБ не предъявлял банкам требований, связанных с разработкой и безопасной эксплуатацией банковского софта. Но два года назад ситуация силами ГУБЗИ ЦБ РФ была сдвинута с мертвой точки — после недолгих баталий была создана очень узкая рабочая группа, и начата работа над стандартом безопасности жизненного цикла платежных приложений. В результате через год появился стандарт, регламентирующий безопасность жизненного цикла ключевых банковских приложений (прежде всего ДБО, процессинга и АБС), в котором ключевой контрольной процедурой стал регулярный пентест. Стандарт официально принят ЦБ чуть менее года назад. Хотя в силу специфики нашего законодательства данный стандарт и носит рекомендательный характер, все равно, с точки зрения практика, это была настоящая техническая революция для Центрального Банка, призванная сделать приложения более безопасными. В данном случае надо понимать, что ЦБ РФ никогда ничего не делает просто так и при желании всегда найдет способ потребовать выполнения того, что он считает нужным: «Железный банк всегда получает свое».

Но предъявлять требования к безопасности банков только половина дела. Важно еще обеспечить мониторинг и координацию действий в случае киберпреступлений в банковской сфере. Сегодня складывается парадоксальная картина, когда банки сами за себя. Конечно, банки пытаются объединяться и по мере сил совместно бороться с преступниками, обмениваясь информацией об инцидентах. Но законных оснований для этого нет. Более того, сегодня даже у органов правопорядка в принципе нет полномочий для предотвращения расползания инцидента из одного банка в другой — банк не обязан заявлять в полицию об инциденте. Не так давно произошла серьезная атака через уязвимость на процессинг сразу нескольких крупнейших российских банков, и каждый боролся сам по себе, не зная, что сосед находится в такой же ситуации.

Прекрасно понимая все это, последние несколько лет банковское сообщество буквально как манны небесной ждет создания единого центра координации и предотвращения инцидентов в банковской сфере — так называемого FinCERT. Его главная задача должна состоять не в формальном сборе информации об инцидентах, а в постоянном мониторинге, координации и серьезной технической помощи банкам в выявлении и устранении причин инцидентов. Речь не о поимке преступников — это функция полиции. Речь о техническом анализе причин таких происшествий и координации действий банков для оперативной борьбы с захлестнувшей волной киберпреступности и для предотвращения или блокирования мошеннических платежей. Это основная цель FinCERT сегодня, как ее видит все банковское сообщество. Именно такой помощи банки ждут от государства в лице ЦБ РФ. И подобный центр будет создан в самое ближайшее время — в мае текущего года. Решение уже принято на самом высоком уровне. Другой вопрос, что пока никому не понятно, какие именно задачи будет решать данный центр, а это краеугольный камень, ибо дьявол, как известно, в деталях, в данном случае — в технических. И, как клиенты банков, будем надеяться, что создаваемый в недрах ЦБ РФ FinCERT не станет очередным центром сбора формальной отчетности об инцидентах и практическая инициатива по созданию стандарта безопасности жизненного цикла банковских приложений будет дополнена формированием центра по техническому контролю и анализу инцидентов, в дальнейшем став надежным барьером на пути злоумышленников.

А есть ли свет в конце туннеля?

Безусловно, есть. С одной стороны, банки делают всё что могут. Правда, не все, а только те, кто понимает. Но таких сегодня становится больше — жизнь заставляет. Да, инертность высока, и этот «паровоз» очень сложно заставить набрать ход. Да, банки постепенно привыкают проводить с той или иной степенью регулярности пентест ДБО, пока еще, к сожалению, забывая про дырявые и регулярно атакуемые АБС.

С другой стороны, ЦБ РФ прилагает все усилия для нормализации обстановки, связанной с минимизацией возможностей проведения атак на банковскую систему РФ. Да, это не просто и не быстро, но дорогу, как известно, осилит идущий. Управление «К» также не дремлет, регулярно возбуждая дела против очередных пойманных негодяев. Банковские безопасники делают, что могут, и что не могут – делают тоже. Поэтому свет в конце туннеля есть. И мы его видим. Но где-то далеко. Совсем далеко. Главное, чтобы это был не мираж...

Теги: безопасность, банковские системы

Журнал IT-Manager    [ PDF ]    [ Подписка на журнал ]

Об авторе


Илья Медведовский

Илья Медведовский

Более 20 лет занимается информационной безопасностью. Это давно уже перестало быть просто бизнесом, увлекательной работой. ИБ - хобби, любимое дело, миссия и мечта. В течение 12 лет руководит консалтинговой компанией Digital Security, которая на сегодняшний день является одним из лидеров российского рынка аудита ИБ. В 2010 году создал также дочернюю международную компанию ERPSсan, осуществляющую разработку средств мониторинга защищенности SAP. Автор около 200 статей по информационной безопасности, а также легендарной хакерской серии книг «Атака через Интернет», в которую также вошли «Атака на Интернет» и «Атака из Интернета». Спикер на ведущих российских конференциях по ИБ.


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru


Другие материалы рубрики

Особенности отрасли в настоящее время — высокооплачиваемые специалисты, имеющие профильное образование. Информационная инфраструктура создается и развивается в соответствии с лучшими практиками, на основе обоснованных организационных и технических решений.
По данным «Лаборатории Касперского», в 2015 году каждый второй корпоративный компьютер в России подвергся хотя бы одной веб-атаке. И этот показатель значительно выше, чем в среднем по миру.

Мероприятия


08.09.2016
Санкт-Петербургский клуб ИТ-директоров «SPb CIO Club» и компания Event House приглашает Вас принять участие во втором Форуме по промышленной автоматизации «Industrial IT-Forum»! Промышленная автоматизация на предприятии – важная область, которой уделяется повышенное внимание. Использование информационных технологий - один из немногих технологически и экономически выгодных способов повышения эффективности подготовки производства. На современных предприятиях автоматизируются по максимуму все возможные участки работ. Новый взгляд на проблемы и тенденции информационных технологий в области промышленной автоматизации будут рассмотрены на II Форуме по промышленной автоматизации «Industrial IT Forum»

22.09.2016
24 июня 2016 года Госдумой шестого созыва был принят законопроект «Антитеррористический пакет» Яровой, который назван одним из самых резонансных. Существенная часть законопроекта призвана регулировать деятельность телекоммуникационных и интернет компаний. Согласно документу, операторы связи и «организаторы распространения информации» должны в течение полугода хранить вообще всю переданную информацию, то есть и записи телефонных звонков, и содержание смс-сообщений. В течение трех лет они также обязаны хранить сведения о переданных данных. Наконец, компании должны помочь ФСБ расшифровать весь трафик. Как законопроект повлияет на рынок? Смогут ли крупнейшие интернет-компании отстоять свою позицию? Готово ли государство прислушиваться к мнению бизнеса? На конференции Право.ru участники обсудят скрытые и явные угрозы «пакета Яровой», а также о другие законодательные изменения.