31.01.2012

Современные угрозы в области дистанционного банкинга

"Национальный банковский журнал", № 1, 2011
Статья Сергея Котова, эксперта по информационной безопасности компании "Аладдин Р.Д."

При исполнении программ дистанционного банковского обслуживания риски возникают чаще всего на стороне клиента.

Для того чтобы минимизировать риски при работе систем дистанционного банковского обслуживания, нужны усилия как со стороны банковских организаций, так и со стороны клиентов. Банки должны предоставить клиенту возможность применять наиболее современные и адекватные средства защиты и донести до него суть проблемы, объяснить разницу между предлагаемыми средствами защиты и особенностями их эксплуатации. Далее уже во многом от клиента зависит, насколько эффективной окажется защита.

Традиционно основная проблема дистанционного банковского обслуживания состоит в обеспечении доверенности среды исполнения банковских приложений. Если банки обычно прилагают достаточно усилий, чтобы защитить приложения и организовать безопасность их исполнения на своей стороне, то со стороны пользователей возникают сложности. Прежде всего, это непонимание опасности (недостаток информированности и соответствующей квалификации), затем отсутствие возможности адекватно реализовать защиту (по материальным причинам, условиям функционирования бизнеса и т.п.) и, наконец, наше славное «авось» (которое в силу первых двух причин можно возвести в квадрат).

Вследствие этого при исполнении программ дистанционного банковского обслуживания возникает множество рисков, причем чаще всего на стороне клиента. В связи с тем, что в настоящее время технологии создания вредоносного программного обеспечения и атак на банковские системы с его использованием развиваются стремительно, риски потери средств, если их не учитывать и не обрабатывать, становятся совершенно неадекватными. Классика обработки – выбор банка между страхованием и минимизацией данных рисков.

Для минимизации нужны усилия двух сторон. Многие банки придерживаются той точки зрения, что клиент должен защищаться самостоятельно, и минимизируют собственные риски грамотным составлением клиентского договора, в котором практически всю ответственность за возможные проблемы несет клиент, что не совсем правильно. Со стороны банка клиенту, прежде всего, должна быть предоставлена возможность применения наиболее современных и адекватных средств защиты. Далее клиент, имея возможность использовать те или иные средства, должен с пониманием ситуации (а понимание возникает не само по себе – здесь тоже требуются усилия двух сторон) сделать свой выбор – осуществлять ли защиту средств, и если да, то каким образом.

Вторая задача банка – донести до клиента, который не обязан быть специалистом в области информационной безопасности, суть проблемы и объяснить разницу между предлагаемыми средствами защиты и особенностями их эксплуатации. На этом активная роль банка заканчивается (разумеется, если мы подразумеваем, что сам банк также применил все необходимые средства защиты).

Что происходит со средой исполнения банковских программ на стороне клиента? Во-первых, зачастую клиенты используют одни и те же компьютеры и для повседневной жизни, и для работы с ДБО. В том числе эти же компьютеры используются и для доступа к самым разным (зачастую несущим прямую угрозу) ресурсам Интернета, поэтому риск заражения компьютера вредоносными программами, нацеленными на атаку систем дистанционного банковского обслуживания, очень велик. Но, даже формально зная это, многие клиенты, как ни странно, экономят на антивирусной защите и устанавливают программное обеспечение от совершенно неизвестных производителей либо бесплатные варианты с усеченной функциональностью. В то же время на рынке существуют качественные антивирусные решения, которые регулярно и автоматически обновляются, а также имеют в составе дополнительные средства защиты в виде межсетевых экранов (файерволлов). Как показывает практика, многие клиенты этим пренебрегают.

Во-вторых, «тонкое» место любой системы ДБО – это вопрос аутентификации: клиент должен быть уверен, что он попал в банк, а банк, соответственно, должен быть уверен, что к нему обратился клиент. Все старые средства аутентификации типа «логин-пароль» на данный момент не актуальны. Успешная атака на такие варианты защиты происходит очень легко, и потеря средств практически гарантирована. Минимум, который банк должен предложить клиенту, – это двухфакторная аутентификация. Прежде всего, это USB-токены (или смарт-карты), в которых хранение ключей и сертификатов реализовано на аппаратном уровне в неизвлекаемом виде. Реализация этих средств, к сожалению, может существенно отличаться, но это уже вопрос отдельного подробного рассмотрения.

Другое «тонкое» место – это сами программы ДБО, их модули, библиотеки и т.д., которые устанавливаются на компьютере пользователя. Вариант, когда от пользователя это не требуется, значительно более надежен, так как если компьютер вдруг окажется зараженным, неизвестно, как это отразится на программе ДБО.

Однако и наличие одних лишь средств двухфакторной аутентификации на данный момент уже не гарантирует от потерь. Последние варианты вредоносных программ, атакующих системы ДБО, умеют полностью захватывать управление компьютером и, следовательно, управление токенами, которые к нему подключены. В результате под видом легального клиента, пользуясь всеми его легальными атрибутами, в том числе и ЭЦП, может выступать злоумышленник. Поэтому крайне желательно иметь не просто двухфакторную, а многофакторную аутентификацию (т.е. дополнять аутентификацию по USB-токену дополнительным фактором). Некоторые банки уже предлагают клиентам варианты с дополнительным введением одноразовых паролей. Эта система может быть реализована по-разному – как в виде OTP-токенов, так и с использованием SMS-канала. Хотелось бы особо отметить, что SMS-оповещения сами по себе, в отрыве от других средств аутентификации, являются совершенно ненадежным способом защиты. Они эффективны только в качестве дополнительного фактора, поскольку имеют множество «уязвимых мест», начиная от возможности кражи телефона и заканчивая перехватом телефонного трафика.

Хорошим вариантом дополнительного фактора аутентификации является биометрия. Она может использоваться как средство доступа к токену, если считыватель смарт-карты оснащен еще и биометрическим датчиком. Применение биометрии делает перехват пароля к USB-ключу гораздо более проблематичным.

Следует помнить и о том, что программные перехватчики клавиатурных кодов давно стали рядовым явлением. Более того, появились такие системы, которые перехватывают даже коды экранной клавиатуры, не подразумевающей физического нажатия клавиш. При наборе пароля с помощью клавиатуры возникают две проблемы: злоумышленник может, во-первых, подсмотреть используемую комбинацию (в качестве хоть и экзотического, но вполне реального варианта можно привести практику подслушивания набираемого на клавиатуре кода) и, во-вторых, установить кейлоггер (перехватчик данных) и получить доступ к токену. Далее USB-ключ может быть украден, либо, если беспечный владелец оставляет его в системном блоке, злоумышленник может воспользоваться паролем.

Основная проблема состоит в том, что 100% защиты от угроз не существует. Верная стратегия состоит в том, чтобы сделать атаку слишком дорогой, таким образом понижая вероятность самой атаки и ее эффективность. Разумеется, это требует инвестиций в системы информационной безопасности со стороны банков. Возникает и вопрос политики банка: готов он раздавать USB-токены бесплатно или рассчитывает брать за них оплату. Это также и вопрос решения владельца средств: хочет ли он доплачивать за безопасность.

Наконец, один из главных моментов для банков: средства аутентификации и защиты данных обязательно должны быть сертифицированы, потому что только это дает гарантию честности производителя и качества самого решения, а значит, и безопасности.