20.04.2009

Интернет-банкинг: пока уязвим, но не безнадёжен!

Денис Калемберг, Т-Сомм №3

Денис Калемберг, менеджер по работе с корпоративными заказчиками, Aladdin
Ника Комарова, руководитель маркетинговых коммуникаций и PR, Aladdin


В последнее время новостные ленты СМИ, блоги, колонки экспертов нередко затрагивают тему информационной безопасности в контексте дистанционных банковских услуг. Антикризисные ли меры по сокращению штатов, убытки ли от произошедших инцидентов, забота о своей репутации в нестабильных экономических условиях или стремление заполучить новых клиентов – причин для поднятия вопросов защиты множество. Но гораздо важнее – её эффективная реализация, прозрачная для банка и удобная для пользователей. Как было справедливо замечено на одном из банковских форумов: в обеспечении системы защиты электронных банковских услуг необходимо применять принцип разумной достаточности. Иначе усилия служб безопасности в благом деле защиты пользовательских данных выльются в усилия пользователей обойти эти самые меры защиты.


Ситуация help, ситуация SOS!


Для того, чтобы разобраться в вопросе, что является объектом защиты в системе Интернет-банкинга, попробуем обрисовать возможную ситуацию с позиции пользователя. Допустим, он работает на фрилансе и за свой труд ежемесячно получает от некой компании фиксированную сумму, начисляемую на его счет в банке. Регулярно проверяя состояние счёта, он прекрасно осведомлён об объёме своих накоплений. Уехав, допустим, в командировку, по возвращении он обнаруживает, что денег на счету значительно меньше, чем было в момент последней проверки. Изучив историю собственных транзакций, он видит, что с его счёта им самим была списана значительная сумма «мелкими траншами». Причем, все транзакции подписаны его электронной цифровой подписью (ЭЦП) и к сожалению, на данный момент на его счете минимальный остаток средств. Не страдая амнезией, он понимает, что сам ничего со счёта не снимал, никаких покупок не делал. Свой файл с ключом ЭЦП никому не передавал, заветную пару логин\пароль на бумагу не записывал, следовал всем банковским инструкциям по обеспечению безопасности при работе со счетом... и тут на тебе. Что делать? Скорее всего, пользователь обратится в банк, где операционист примет его заявку на расследование инцидента и, может быть, заявит в милицию. Только вот чем закончится эта история и смогут ли вернуть фрилансеру его деньги, если по сути транзакции проходили от его имени? Да и как такое вообще могло произойти?


На острие атаки


Большинство банков, предоставляющих онлайн-сервисы, дают своим клиентам возможность выбора методов защиты. За определенную плату, разумеется. С одной стороны – логично: пользователь сам определяет уровень надежности защиты, которая ему необходима для того, чтобы быть спокойным за свои сбережения. Но с другой стороны, почему вопросами безопасности должен заниматься клиент, чаще всего не обладающий специальными знаниями в этой области? Тем более, что в случае возникновения инцидента, он всё равно обратится в организацию, предоставившую ему услугу Интернет-банкинга – платёжную систему или банк.

Не полагаясь на компетентность пользователя, и при этом стремясь обезопасить себя от возможных рисков (в том числе, репутационных) прогрессивные финансовые организации постепенно приходят к разумному компромиссу. Для поддержания уровня защиты системы Интернет-банкинга необходимо жестко регламентировать меры, которые обязан соблюдать клиент, пользуясь дистанционными банковскими услугами. Например, ряд банков сегодня вводит специальные ограничения на размер транзакций, которые можно совершать без использования ЭЦП. Но это – мера минимальная. Использование электронной цифровой подписи также должно быть сопряжено с соблюдением строгих мер безопасности. Но, к сожалению, на практике нередко встречается иная ситуация. Большинство банков по-прежнему предоставляют клиентамвозможность сохранять файл-контейнер с ключами ЭЦП на незащищенных носителях типа HDD, Flash-drive или даже дискеты, что делает их легкодоступными для копирования.

В описанном нами примере, с большой долей вероятности можно утверждать, что действовала программа-шпион (spyware), которая скопировала файл-контейнер, перехватила стандартную пару для доступа логин\пароль с помощью keylogger’a и отправила все это по команде управляющего сервера на нужный адрес. Причем, скорее всего используемый «шпион» был специально написан под конкретную систему банкинга. Соответственно, не только один наш фрилансер мог пострадать от подобной атаки (простые подсчеты могут дать реальную картину окупаемости «работы» вредоносного кода – стоит лишь проявить интерес и поискать «исполнителей» задачи). «Шпионы» как класс вредоносного ПО – не новинка сегодняшнего дня. Они активно использовались в Рунете и раньше. Разница лишь в том, что со временем они становятся «умнее» и ведут себя в системе максимально тихо, как для антивируса, который попросту не может детектировать шпионскую коммуникацию, так и для всей системы, не мешая ей работать в стандартном режиме. Разновидностей «шпионов», заточенных под сервисы Интернет-банкинга становится все больше, а следовательно инциденты, связанные с «отъемом денежных средств у населения» происходят все чаще, но о большинстве из них знают максимум пострадавшие и их ближайшие знакомые. Банки, по понятным причинам, сохраняют высокий уровень латентности таких инцидентов, предпочитая "не выносить сор из избы": зачастую для репутации дешевле просто вернуть деньги.


Находка для «шпиона»


Заполучить «шпиона» на свою машину можно различными способами, но обычно для этой цели злоумышленники используют целевые фишинг-атаки. Этот вид Интернет-мошенничества уже не первый год держит пальму первенства среди угроз безопасности систем дистанционного банковского обслуживания. К этому же выводу, например, пришли исследователи международной компании «Делойт Туш Томацу» (Deloitte Touche Tohmatsu): согласно опросам руководителей служб безопасности ста ведущих международных финансовых институтов — 46% признают фишинг проблемой номер один среди внешних угроз банковской безопасности.

Схема фишинг-атаки достаточно проста – пользователю присылается письмо, например, от имени клиентской службы банка, в котором весьма убедительно предлагается пройти по ссылке на сайт банка (очень похожей на настоящую). Пользователь кликает ссылку, его "пробрасывает" по нескольким сайтам, с которых вирус "собирается" по кускам и загружает себя на пользовательский компьютер. Далее он будет ждать указаний управляющего сервера (если смысловая нагрузка не была заложена изначально). Антивирус здесь, скорее всего не поможет.

Кроме того, существует и такой тип атаки как «человек посередине» (man in the middle). Суть этой атаки состоит в том, что злоумышленник вклинивается в информационный обмен между пользователем и сервером, «представляясь» пользователю сервером и наоборот. Вся информация от пользователя передаётся серверу, в частности и введённый им пароль (даже если используются одноразовые пароли), но уже от имени злоумышленника. Сервер, получив правильный пароль, разрешает доступ к закрытой информации. Не вызывая подозрений, злоумышленник может позволить пользователю поработать, например, со своим счётом, пересылая ему всю информацию от сервера и обратно, но при завершении пользователем своего сеанса работы не разрывать связь с сервером, а совершить нужные транзакции якобы от имени пользователя.

На каждую «хитрость» специалистов безопасности придумывается новая уловка злоумышленников. Например, когда мы научились обходить «кейлоггеры» при помощи виртуальной клавиатуры, появились программы-шпионы, которые «фотографируют» небольшую область экрана вокруг курсора мыши при нажатии ее левой клавиши, постоянно совершенствуются методы брут-форс атак на пароли, не останавливается поиск уязвимостей в существующих решениях. И процесс этот будет идти постоянно, поэтому принципиально невозможно спроектировать абсолютно безопасную систему раз и навсегда.


Защита разумная и достаточная


На «бытовом» уровне подход к выбору средств защиты Интернет-банкинга можно сформулировать так: необходимо разумное сочетание мер защиты, адекватное возможным потерям.

На языке специалистов информационной безопасности эта незамысловатая формула выливается в управление рисками. Если риск невысок, а последствия реализации угрозы (читай – масштаб ущерба) минимальны, можно говорить и об использовании «слабой» парольной защиты. Однако, для банковской сферы понятие «незначительных потерь» малоприменимо в силу специфики отрасли.

Помимо уже указанных ограничений на транзакции, рассмотрим возможный арсенал средств защиты современного банка. Начнем с самого простого решения, которое применяется обычно в системах, обслуживающих физических лиц – генераторы одноразовых паролей (брелоки, скретч-карты, sms-уведомления). Они достаточно удобны для пользователей, недорого стоят (в среднем 400-800 руб. за брелок) и не требуют установки клиентского программного обеспечения на компьютер, что позволяет также использовать их в мобильном банкинге. Однако 100% защиты они не дают, так как злоумышленником может быть применена уже упоминавшаяся нами атака "человек посередине".

Поскольку Интернет-банкинг использует небезопасные ресурсы глобальной сети, для обеспечения защиты соединения между пользователем и сервером банка обычно применяется протокол SSL (Secure Sockets Layer), работу с которым поддерживают большинство Web-приложений. После того, как обе стороны произвели взаимную аутентификацию с помощью одноразовых паролей, либо цифровых сертификатов, весь трафик, передаваемый в ходе сеанса, шифруется, обеспечивая защиту, и от перехвата информации, и от вставки ложных данных в сеанс. Здесь стоит отметить, что стандартная односторонняя аутентификация по цифровому сертификату сервера также не гарантирует полной защиты от атаки «человек посередине», хотя несколько усложняет задачу злоумышленнику.

Самым надежным средством контроля целостности и авторства произведенных операций на данный момент является, конечно, электронно-цифровая подпись (ЭЦП). Однако уровень риска, связанного с хищением криптографических ключей и осуществлением несанкционированных транзакций, по-прежнему остаётся очень высоким. Уже рассмотренные нами носители информации (дискеты, флеш-диски, HDD и т.д.) на деле предназначены для любых других нужд, кроме сохранения секретных ключей ЭЦП, поскольку оттуда они легко могут быть скопированы злоумышленниками. Получив доступ к секретным ключам ЭЦП, злоумышленник сможет похитить денежные средства со счета юридического или физического лица. Понимая это, прогрессивное банковское сообщество обратилось к использованию специализированных устройств (токенов).


Защита ЭЦП пользователя – задача №1


Естественно, возможность хранить ключи ЭЦП на специальных аппаратных носителях сопряжена с дополнительными тратами (обычно – около 1000 руб.), но если вы храните на своём счете значительные средства, лучше заплатить, чем потом пытаться стребовать с банка украденные деньги через суд.

В системах дистанционного банковского обслуживания на данный момент используется два основных типа токенов – те, которые реализуют работу с криптографическими ключами по алгоритмам ГОСТ и никогда «не выпускают» их наружу, а также те, которые хранят ключи в защищенной области памяти и «отдают» их внешнему криптопровайдеру во время операций подписи документа. Вопреки заявлениям некоторых производителей систем ДБО, второй тип токенов также обеспечивает достаточно высокий уровень защиты и тем более, это не "флешка с паролем", а принципиально иное устройство, с собственной операционной системой, файловой структурой и т.д.

Использование отчуждаемых специализированных аппаратных устройств позволяет вывести безопасность систем Интернет-банкинга на новый уровень. Эта перспектива нашла отклик у ряда платежных систем, а также банков (например, тот же Alfa-Client Online). Если в дальнейшем, стоимость токенов достигнет приемлемого уровня для большинства физических лиц (у юрлиц этот порог, понятно, выше), использующих Интернет-банкинг, то эта услуга с высоким уровнем безопасности имеет все возможности стать массовой. А это удовлетворяет интересам обеих заинтересованных сторон – и банка, и пользователя.


На правах заключения


Конечно, применение токенов накладывает на пользователей систем Интернет-банкинга ряд ограничений, например, им придется устанавливать на рабочем месте не только сертифицированный криптопровайдер, но и драйвера устройства. Это снижает мобильность клиента и увеличивает нагрузку на техническую поддержку банка. Однако прогресс не стоит на месте и на рынке уже появляются CCID-совместимые токены, драйвера для которых входят в состав большинства популярных операционных систем, а также устройства, автоматически скачивающие и устанавливающие виртуальные драйвера, что не требует наличия прав администратора у пользователя.

Кроме того, развитие систем дистанционного банковского обслуживания движется в направлении «тонких» решений, которые «не привязывают» клиента к одной рабочей станции. Но, как это часто бывает, средства обеспечения безопасности несколько «отстают» с уровнем мобильности, во всяком случае, в России, что в основном связано с необходимостью использовать сертифицированные продукты, отличающиеся от западных стандартов де-факто. Есть основания полагать, что это отставание серьезно сократится в течение текущего года, так как на российском рынке уже появляются достаточно интересные «мобильные» решения от производителей токенов, осталось только завершить процессы сертификации и обеспечить их интеграцию с системами ДБО.

Думается, если на рынке появятся решения, позволяющие пользователям безопасно работать со своим счетом, при этом, не требуя установки на рабочее место клиентской части, да еще и за приемлемую цену, количество подключенных к данной услуге физических и юридических лиц резко вырастет. Не зря эксперты Всемирного банка считают, что процент проникновения онлайн-банкинга в среде домашних пользователей к 2010 году превысит 90 % в экономически развитых регионах.