Сценарии обеспечения безопасной работы клиентов в системах ДБО
Денис Калемберг, Ника Комарова, Банковские технологии №6
Согласно стратегии развития банковского сектора Российской Федерации, Центробанк еще в марте проводил анкетирование кредитных организаций. Фокус исследования – применение современных технологий дистанционного банковского обслуживания в российских банках. Исходя из результатов анкетирования, в пользу дистанционного банковского обслуживания высказалось подавляющее большинство - 95,6% организаций-респондентов. Практическое применение нашли около 20 вариантов организации ДБО. В 734 организациях (77,4%) в эксплуатации находится от 2 до 5 разновидностей электронного банкинга. 6,5% опрошенных организаций используют от 6 до 10 типов ДБО, приводит статистику ПРАЙМ-ТАСС.
Очевидно, что дистанционное банковское обслуживание – это достаточно прочно стоящий на ногах банковский сервис, востребованный клиентами и удобный для финансовых организаций. Постепенно выравнивающаяся пропорция юридических и физических лиц в контексте использования ДБО также активно способствует его распространению. Не вызывает сомнений и тот факт, что появление разных типов ДБО – это вопрос времени и развития технологий. Однако, находясь в постоянной гонке за инновациями и комфортом, удаленные сервисы нередко обнаруживают слабую сторону в вопросах безопасности. Как следствие – рост мошенничеств, связанных с несанкционированным переводом денежных средств со счетов клиентов, пользующихся дистанционными банковскими услугами, например, через канал Интернет.
Спрос и предложение «черного» рынка
Эксперты по информационной безопасности который год бьют тревогу, говоря о формировании нелегального сетевого рынка со своим товаром и услугами, продавцами и заказчиками. Речь уже идёт не только о торговле различными банковскими реквизитами пользователей. По данным Symantec, они находятся в условно свободной продаже и торгуются в коридоре от 10 до 1 тыс. долл. При этом средний баланс банковского счета с возможностью удаленного доступа составляет 40 тыс. долл. В Symantec отмечали случаи, когда все деньги с банковского счета были украдены мошенниками в течение 15 минут. Теневой оборот этой части рынка оценивается около 22 млн долл.
Аналитики PandaLabs в своем исследовании, обнародованном в начале 2009 года, делают тот же неутешительный вывод. Основная цель сетевых мошенников сегодня - кража банковских данных жертвы с целью удаленного доступа к её банковскому счету. Одной из наиболее распространенных угроз по-прежнему признаются трояны, часть которых имеет вполне определенные «русские корни» (Sinowal, Torpig, Bankolimb). Причем приобрести качественный экземпляр вредоносного кода не составляет особого труда: эксперты утверждают, что в Интернете существуют полноценные рынки для продажи специальных средств, позволяющих создать троян или купить готовый «продукт» с развитым функционалом, возможностью удаленного контроля и получением необходимых инструкций (см. Рис 1). Опасной тенденцией является то, что список целевых систем электронного банкинга содержится в конфигурационном файле трояна. Этот файл либо распространяется вместе с трояном, либо пересылается с сервера, контролируемого кибер-преступниками, соотвественно, при добавлении новой «жертвы» в список – нет необходимости изменять сам троян.
Итак, при всей востребованности Интернет-банкинга, обратной стороной сервиса являются высокий уровень рисков, связанных с удалённым обслуживанием клиентов, обусловленный наличием «черного» рынка по торговле клиентскими данными для доступа к счетам. На этом рынке есть соответствующее «разделение труда»; для проведения атак задействуется достаточно большое количество звеньев, связать их воедино позволяют Интернет-коммуникации. Одни добывают реквизиты доступа, другие их продают, третьи организуют мошеннические операции. Подчеркнем, что атака всегда производится субъектом, который хорошо знает и саму систему электронного банкинга, и слабые места её защиты. При такой организации, бороться с мошенниками традиционными методами весьма затруднительно, поскольку под удар попадают, как правило, рядовые члены преступных групп, но не хозяева «новых бизнесов».
Что происходит и почему?
Главным источником угроз для систем электронного банкинга является неподконтрольная для банков среда Интернет. Для организации атаки с целью кражи реквизитов доступа и незаконного проведения операций со счетами клиентов злоумышленники широко используют уязвимости WEB приложений и фишинг.
Вопрос о том, кто должен нести ответственность за уязвимости сайтов, ошибки программистов и недостаточное внимание к безопасности со стороны хостинг-провайдеров по-прежнему остаётся открытым. Согласно статистическим данным, приводимым Positive Technologies, более 70% всех существующих сайтов требуют незамедлительного устранения уязвимостей. При этом не надо быть опытным программистом, считают аналитики, чтобы организовать атаку на любой Web-ресурс, используя такие распространенные методы как Cross-Site Scripting, PHP Including, SQL-инъекции. Понятно, что взлом сайта - это серьёзный удар по репутации компании. Чем известнее и крупнее «жертва», тем выше её убытки. Однако, несмотря на это, корпоративные Интернет-ресурсы остаются уязвимыми. Аналитика Positive Technologies обращает внимание на тот факт, что даже после повторного аудита защищенности Интернет-ресурса (то есть, когда заказчик уже поставлен в известность о найденных брешах в системе информационной безопасности сайта), активные действия по снижению рисков предпринимаются не более чем в 50% случаев. В результате, посещая привычный Интернет-ресурс, скажем, электронного СМИ, утверждать, что он не содержит вредоносного кода, попросту нельзя.
Переходя по ссылкам спам-писем пользователь опять же подвергается риску попасть на «заряженный» шпионским ПО сайт. По данным Aladdin, процент «грязного» спама, то есть писем содержащих подобные ссылки, в 1.5 раза превышает объем стандартной нежелательной корреспонденции. Смежной угрозой, источник которой та же электронная почта, является фишинг. Этот вид Интернет-мошенничества последние несколько лет лидирует среди угроз безопасности систем дистанционного банковского обслуживания, что подтверждают исследователи международной компании «Делойт Туш Томацу» (Deloitte Touche Tohmatsu). Согласно опросам руководителей служб безопасности ста ведущих международных финансовых институтов — 46% признают фишинг проблемой номер один среди внешних угроз банковской безопасности.
Схема фишинг-атаки известна, однако это не умаляет её эффективности. Независимо от попыток банка предупредить пользователей о возможной угрозе, размещая соответствующие призывы игнорировать якобы официальные электронные письма банка, пользователи упорно кликают на ссылки. Как это происходит? Пользователю системы Интернет-банкинга присылается письмо якобы от имени клиентской службы банка, в котором весьма убедительно предлагается пройти по ссылке на сайт банка (очень похожей на настоящую). Пользователь кликает ссылку, его "пробрасывает" по нескольким сайтам, с которых шпионское ПО "собирается" по кускам и загружает себя на пользовательский компьютер. Далее, если «смысловая нагрузка» не была заложена изначально он будет ждать указаний управляющего сервера.
Далее программа-шпион копирует файл-контейнер с ключами электронной цифровой подписи (ЭЦП), перехватывает стандартную пару для доступа логин\пароль с помощью keylogger’a и отправляет все это по команде управляющего сервера на нужный адрес. Причем, используемый «шпион» будет специально написан под конкретную систему банкинга. Дальнейший сценарий с рыночными перспективами понятен.
От защиты объекта к защите взаимодействия
Для снижения рисков, связанных с дистанционным обслуживанием, банковские организации применяют самые различные меры, начиная от постоянных предупреждений пользователей о возможных атаках и заканчивая ограничениями на объемы транзакций. А вот с технической точки зрения для защиты доступа к своим реквизитам пользователям по-прежнему предлагаются многоразовые пароли, услуги с отправкой пароля по sms и иные малопригодные способы «слабой» парольной аутентификации т.е. подтверждения того, что пользователь является именно тем, за кого себя выдает.
В последнее время распространение получили технологии, основанные на одноразовых паролях. В отличие от классического, одноразовый пароль (OTP) используются только один раз. При каждом запросе на предоставление доступа пользователь вводит новый пароль, генерируемый либо с помощью специального ОТР-приложения, либо с помощью ОТР-устройства. Сгенерированное в телефоне значение пароля должно совпасть со значением, сгенерированным на стороне сервера, и тогда процедуру аутентификации можно считать успешной. Безусловно, ОТP является здравой альтернативой рудиментарным многоразовым парольным комбинациям, а отчуждаемый OTP-генератор поднимает уровень безопасности системы еще на несколько ступеней выше. Однако наилучшим способом подтверждения подлинности совершаемых транзакций, авторства и целостности электронного документа в системах информационной безопасности финансовых организаций без сомнения является применение технологии электронной цифровой подписи (ЭЦП). Предоставление услуг на базе ЭЦП неразрывно связано с обеспечением сохранности криптографических ключей обеспечивающих использование электронной цифровой подписи. Это требование закреплено в Федеральном законе № 1-ФЗ «Об электронной цифровой подписи», предписывающем «хранить в тайне закрытый ключ электронной цифровой подписи». Однако на практике большое число банков недостаточно прорабатывают вопросы защиты своих клиентов от атак злоумышленников. Одной из распространенных оплошностей является предоставляемая клиенту возможность сохранять файл-контейнер с ключами ЭЦП на незащищенных носителях типа HDD, Flash-дисков или даже дискеты, это делает их легкодоступными для копирования и как следствие для их хищения. Известно, что большая часть накопленной к настоящему времени судебной практики по вопросам юридически-значимого документооборота связана с компрометацией закрытого (секретного) ключа.
Подведем промежуточные итоги. Итак, основные угрозы для Интернет-банкинга связаны с кражей регистрационных данных клиентов, то есть пользовательских аккаунтов, и перехват ключей ЭЦП, кодов авторизации, одноразовых паролей. Соответственно базовыми технологиями противодействия этим угрозам являются аутентификация, то есть доказательство подлинности субъекта при доступе к информационным ресурсам, и обеспечение защиты ЭЦП, т.е. надежного хранения ключевой информации пользователя. Рассмотрим имеющиеся на рынке решения и проведем их сравнительный анализ.
Некоторые сценарии обеспечения защиты в ДБО для «тонкого клиента»
Программный OTP-токен. Программные токены реализуют концепцию One-Time Password и, с рядом допущений, эмулируют функциональность аппаратных OTP-устройств. Данный тип токенов генерирует одноразовый пароль в самом мобильном устройстве (Windows Mobile, BlackBerry ,J2ME, Palm), что позволяет избежать передачи пароля по SMS. Применение программных эмуляторов OTP-устройств снижает риск перехвата пароля, высылаемого банком или платежной системой пользователю.
С точки зрения безопасности преимуществом программных OTP является так называемый «разделяемый секрет» (сервер и телефон), что снижает риск кражи пользовательских данных. Уязвимость данной технологии заключается в хранении ключа ОТР: сохраняя его в мобильном устройстве (точнее в ОТР-приложении) нельзя быть уверенным в том, что он надёжно защищен. Мобильный телефон или КПК может быть подключен к Интернет, т.е. подвержен все тем же угрозам, связанным со шпионским ПО.
Аппаратный OTP-токен. Автономные генераторы одноразовых паролей, такие как, например, eToken PASS не требуют подключения к компьютеру и установки дополнительного программного обеспечения. Это позволяет использовать их в любых операционных системах, а также при доступе к защищенным ресурсам с мобильных устройств и терминалов, не имеющих USB-разъема. Как и программные ОТР-токены, устройства для генерации одноразовых паролей снимают проблемы кражи регистрационных данных клиента и перехвата SMS с одноразовым паролем. В данном случае, пароль хранится в отчуждаемом устройстве - eToken PASS, что обеспечивает не только мобильность клиента (ПК, телефон), но и существенно повышает безопасность. Кроме того, eToken PASS для аутентификации использует протокол RADIUS, что позволяет использовать его в любых приложениях и службах, поддерживающих этот протокол (VPN, Microsoft ISA, Microsoft IIS, Outlook Web Access и многие другие). Преимуществом eToken PASS является наличие готового комплекта разработчика, что даёт возможность легко дополнить собственные приложения аутентификацией по одноразовым паролям.
Однако подтверждая факт транзакции, большинство аппаратных ОТР-устройств не способно подтвердить содержание передаваемой информации. Кроме того, аутентификация в данном сулучае является односторонней – подтверждается лишь факт «подлинности» клиента, но не сервера. Это дает шанс на проведения атак типа «человек-в-середине», когда злоумышленник вклинивается в информационный обмен между пользователем и банком. «Представляясь» сервером для пользователя и пользователем для сервера, злоумышленник перехватывает введённый пользователем одноразовый пароль, и передает его серверу, но уже от своего имени. Сервер, получив правильный пароль, разрешает доступ к закрытой информации. Не вызывая подозрений, злоумышленник может позволить пользователю поработать, например, со своим счётом, пересылая ему всю информацию от сервера и обратно, но при завершении пользователем своего сеанса работы не разрывать связь с сервером, а совершить нужные транзакции якобы от имени пользователя.
Однако, даже при таком скромном описании схемы целевой атаки, понятно, что для её реализации на атакуемом счёте должна содержаться внушительная сумма. В основном же, ОТР-устройства используются в платёжных системах и ДБО для физических лиц, сохраняющих на своих счетах не столь серьёзные капитал, что делает сложную атаку «человек-в-середине» нерентабельной. При этом ОТР-токен приобретается единожды, в отличие, скажем, от широкораспространенных scratch-карт, которые приходится покупать каждый раз, как только на предыдущей стирается последняя парольная комбинация. Кроме того, как уже было сказано выше OTP-токен – это надежная и безопасная альтернатива sms-обслуживанию, так как защищает от всех типов массовых нецелевых атак. Таким образом, для применения в х системах электронного банкинга для физических лиц ОТР-токены представляют наилучшее сочетание цены и качества.
Токены с аппаратной ЭЦП по алгоритму ГОСТ 34.10-2001. Технические средства в виде смарт-карт или USB-ключей с аппаратной реализацией ЭЦП по алгоритму ГОСТ Р 34.10-2001 – новый виток в развитии технологий защиты ключевой информации пользователя. Закрытые ключи электронной цифровой подписи генерируются и обрабатываются внутри микросхемы смарт-карты и не могут быть извлечены оттуда, что исключает возможность их копирования злоумышленником. Примером такой технологии является eToken ГОСТ. Совмещая функции специализированного носителя ключевой информации и средства усиленной аутентификации, eToken ГОСТ решает задачу сохранения в тайне закрытого ключа подписи, что сводит на нет риск компрометации и последующего несанкционированного использования ключа ЭЦП.
Кроме того, двухфакторная аутентификация клиента реализуется на уровне приложения и является двусторонней, т.е. подтверждается подлинность как пользователя, так и сервера.
Лучшим применением для таких токенов является подпись Web-форм и небольших документов (до 5-7 Кб). В силу технологических нюансов такой токен может «тратить» немало времени на расчет хэш-функции. Если подпись емкой электронной документации не требуется, а зачастую это именно так, спектр применения не ограничен. Особым преимуществом такого решения является то, что на рабочее место не требуется установка ни драйверов eToken ГОСТ (устройство является CCID-совместимым), ни какого-либо дополнительного ПО.
Помимо технологических преимуществ такие токены обеспечивают выполнение требований статьи 12 ФЗ «Об электронной цифровой подписи», согласно которой к обязательствам владельца сертификата ключа подписи, в частности, относится сохранение в тайне закрытого ключа ЭЦП.
Токены с аппаратной ЭЦП по алгоритму ГОСТ 34.10-2001 и подгружаемой криптографической библиотекой. Специализированные носители ключевой информации, обладающие возможностью работать с дополнительно загружаемой сертифицированной криптобиблиотекой – технологии завтрашнего дня. Разработка этих технологий началась в конце 2008 года, но уже в текущем году на рынке появятся первые токены с подобными функциональными возможностями.
Для объяснения сути технологии, рассмотрим сценарий на примере уже упомянутого eToken ГОСТ. Для использования функционала этого устройства необходимо чтобы используемое системой ДБО приложение «умело» с ним работать и «знало» как управлять ключами и сертификатами.
Кроме того, если вопрос работы с ёмкими документами всё же стоит, необходимо нивелировать недостаток длительного вычисления хэш-функции внутри самого токена. Для решения этих задач используется «аутсорсинг» то есть дополнительно подгружаемая криптобиблиотека. В итоге описываемое решение будет обладать всеми преимуществами токенов с аппаратной реализацией ЭЦП по ГОСТ, однако, благодаря dll-библиотеке скорость его работы будет намного выше Кроме того, подобный сценарий позволяет реализовать полноценную работу с сертификатами. Как известно, сам токен обеспечивает только работу с открытым и закрытым ключами пользователя, тогда как возможности криптобиблиотеки позволяют расширить функционал решения за счет реализации классических функций PKI (проверки валидности, цепочки сертификатов, срок действия и др). Это позволяет использовать такие токены для подписи документов большого объема. Сама криптобиблиотека скачивается на компьютер пользователя, программным образом вычисляет хэш и «передает» его в токен, где меньше он подписывается ЭЦП менее чем за секунду. Далее все операции с ЭЦП производятся внутри ключа. Таким образом, за счет криптографических преобразований решается проблема контроля целостности передаваемых данных и при этом существенно увеличена скорость обработки больших документов.
Пожалуй, единственным вопросом остается загрузки криптобиблиотеки с сервера через потенциально небезопасный канал Интернет. Эта проблема может быть решена с помощью дополнительных защитных мер, в частности, создания защищенного канала (SSL/TLS, VPN), подписи загружаемых модулей на сертификате сервера и т.д.
... Для «толстого» клиента тоже
Токены и системы шифрования. Несмотря на общую тенденцию перехода к использованию тонких клиентов, классическая схема – «толстый» клиент – пока сохраняет свои позиции. В сценарии, предлагаемом компаниями Aladdin и КРИПТО-ПРО, защита электронных документов обеспечивается с помощью применения специализированных носителей ключевой информации eToken и системы шифрования КриптоПро CSP. На рабочем месте пользователя с помощью единого инсталлятора, устанавливаются драйвера токена и сама система КриптоПро CSP. Единый инсталлятор обеспечивает возможность пользователям выбирать конфигурацию дистрибутива (версия CSP КриптоПро, тип ключевого носителя и т.п.) для автоматической установки системы. eToken обеспечивает надёжную защиту закрытых ключей ЭЦП, сохраняемых в специальной области памяти, из которой эти ключи невозможно извлечь. Все остальные функции реализует криптопровайдер CSP (v3.6), умеющий «отдавать» токену операции с ЭЦП по защищенному протоколу.
Данное решение отличается, пожалуй, наиболее высоким уровнем безопасности, но, в отличие от приведенных выше сценариев для «тонкого» клиента, его цена значительно выше, поскольку включает стоимость самого токена и криптопровайдера. К тому же, данное решение требует установки на рабочем месте криптопровайдера и драйверов eToken.
Цена вопроса
Несмотря на все ухищрения разработчиков и маркетологов, старая истина рынка информационной безопасности по-прежнему не подвергается сомнению. Справедлива она и в плоскости защиты систем электронного банкинга: чем выше обеспечиваемый уровень защиты, тем выше его стоимость. Выбор технологии зависит от решаемых задач, которые, в свою очередь, напрямую связаны с уровнем рисков, характерных для той или иной системы. Единого, универсального решения, приемлемого как по цене, так и по надёжности на рынке пока нет. Зато альтернатив, консолидирующих опыт ведущих разработчиков средств аутентификации и защиты ключевой информации, представлено немало. В общей схеме, стоимость предложенных средств безопасности для систем дистанционного банковского обслуживания представлена на.
Как уже было отмечено выше, на первое место сегодня выходит изменение подхода к обеспечению безопасности: от защиты объекта вектор постепенно смещается к защите взаимодействия всей цепочки элементов. И, пожалуй, самым важным достижением новой концепции является постепенное осознание того, что для создания надёжной системы информационной безопасности необходимо тщательно прорабатывать всю security-архитектуру решения с учетом постоянных изменений векторов угроз.