Скорее ДБО приравняет себя к традиционному банковскому обслуживанию, и клиенты банков со временем будут с удивлением узнавать (или вспоминать, кто постарше), что поход в банк может предполагать какое-то перемещение физического тела в пространстве, а не просто перемещение курсора по экрану монитора и физкультуры для пальцев. Да и банкам такая ситуация выгодна: меньше офисов, шире клиентура, быстрее оборот, меньше бумаги (в том числе с водяными знаками), меньше охраны и т. д.
Итак, статистика говорит, что распространение ДБО не остановить ни троянами, ни эксплойтами, ни руткитами (уже появляются банки с различной степенью успешности «заточенные» под дистанционное обслуживание). При этом она же сообщает о практически экспоненциальном росте мошенничества в системах ДБО. Это говорит о том, что оборона на данном этапе проигрывает атаке. Попробуем разобраться в причинах данного явления.
ДБО развивается активно, в соответствии со спросом, но пока экстенсивно, то есть количество систем существенно опережает качество. Под качеством в данном случае будем понимать объем предоставляемых сервисов, удобство использования, доступность и защищенность. Первые две составляющие в основном определяет бизнес. О доступности заботится IТ. Рассмотрим, что же влияет на безопасность.
ДБО – это, по существу, специфическое программное обеспечение, функционирующее в программной среде (операционной системе) и взаимодействующее с другим специализированным ПО на аппаратной части под управлением людей и в их интересах.
С аппаратным обеспечением все более или менее ясно. Чем его больше, и чем оно мощнее и новее, тем лучше для всех. Для ДБО это производительность и отказоустойчивость и, в немалой степени, безопасность (дополнительная нагрузка от систем безопасности может быть весьма существенной, да и в случае атаки «лишняя» производительность не будет лишней). Пользователю же банковское «железо» не интересно, а свое – малокритично. Клиентская часть интернет-банка потребляет весьма ограниченные вычислительные ресурсы. По существу, дело сводится к наличию необходимых портов и иногда установке необходимых драйверов (большей частью автоматической). Для клиент-банка потребуется установить клиентскую часть, но в большинстве случаев это несложно (особенно если учесть, что «толстый клиент» используется, в основном, в организациях, где установкой обычно занимается специалист).
С людьми несколько сложнее. В идеале, необходимое количество банковских работников, проверенных и обученных, с правильно прописанными ролями, под неусыпным контролем службы безопасности обслуживает некоторое количество пользователей, оснащенных необходимыми инструкциями и средствами защиты. На практике бывает по-другому: количество работников сокращено до минимума, а на обучении (повышении квалификации и т.п.) экономят в первую очередь. Про неусыпность по уже упомянутым причинам говорить сложно, роли не всегда грамотно прописываются. Работа с клиентом чаще всего ограничивается подписанием клиентского договора, по которому клиент отвечает за все, и несколькими предупреждениями на сайте. Стандартный набор средств защиты – предупреждение на сайте о необходимости проверять наличие https-соединения, логин-парольная аутентификация и одноразовые пароли, пересылаемые по sms. При этом логин вводится с обычной клавиатуры, что делает его уязвимым для программ-кейлоггеров, пароль – с помощью экранной, хотя перехват позиций курсора также не составляет проблемы. Что же касается sms -уведомлений, то есть и риски в связи с завозимыми из Китая подставными сотами, «мобильными вирусами», развивающимися впечатляющими темпами, возможностью кражи телефона или sim-карты.
На конференции по вопросам безопасности DeepSec (Вена, Австрия) была продемонстрирована уязвимость на уровне sim-карты (точнее SIM Application Toolkits), которая позволяет перенаправлять sms-сообщения на платные номера либо вообще блокировать их, создавая некое подобие DDOS-атаки. Таким образом может быть блокирован канал получения сеансовых паролей (для ряда интернет-банков это означает блокирование самой возможности работы в них), либо опциональная, на данный момент (в свете скорого вступления в силу 161-ФЗ) система информирования клиента о действиях с его счетом. Работы по защищенным решениям в этой области уже ведутся.
Эта несколько мрачная картина характерна, конечно, далеко не для всех банков, но в той или иной степени, как «среднее по больнице», вполне подтверждается статистикой. Большое количество банков переходит на технологии двухфакторной аутентификации с хранением ключевой информации в неизвлекаемом виде на eToken или в смарт-карте. Это совсем не блажь, а суровое требование времени, которое становится конкурентным преимуществом для тех, кто вовремя среагировал. Обратившись к статистике, можно заметить, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях (это проще и позволяет заниматься мошенничеством менее квалифицированным злоумышленникам).
К тому же, законодатели подталкивают к более серьезному обращению со средствами клиента. Для примера, вышедший в июне прошлого года № 161-ФЗ «О национальной платежной системе» устанавливает следующее: «…оператор по переводу денежных средств обязан возместить сумму операции, совершенной без согласия клиента, если не докажет, что клиент нарушил порядок использования электронного средства платежа…». Как в этой ситуации обойтись без строгой аутентификации, представить сложно. Некоторым «утешением» для банков может служить то, что процитированная часть 15 статьи 9 вступает в силу по истечении 18 месяцев после дня официального опубликования.
Конечно, двухфакторная аутентификация – не панацея. В условиях постоянно развивающихся средств нападения защита должна отвечать адекватно. На рынке уже появились средства, предоставляющие доверенную среду для проведения операций электронной подписи. Например, компьютеры, в которых средства доверенной загрузки реализованы в BIOS (например, фирмы Kraftway). Позволяет исключить воздействие вирусов, загружаемых до загрузки системы, и вирусов, модифицирующих сам BIOS. Осуществляется контроль загрузки операционной системы и приложений.
Появился на рынке и уже поддерживается как минимум двумя разработчиками систем ДБО считыватель смарт-карт SafeTouch с визуализацией значимых полей подписываемого документа. Платежка после формирования передается в ридер (по USB), и на его экран выводятся значимые поля документа (видно, не были ли они изменены). Наложение документа инициируется нажатием кнопки на устройстве и происходит в его изолированной среде, а уже подписанный документ передается обратно в компьютер. Таким образом исключается возможность атак с подменой документа и с захватом управления компьютером.
Давно стало общим местом обсуждение сложности обеспечения доверенной среды исполнения на стороне пользователя, но решена ли эта проблема на стороне банков? Различные опубликованные исследования (например, ежегодное исследование Digital Security Research Group) показывают – нет. В программном обеспечении практически всех разработчиков имеется достаточно большое количество уязвимостей, и системы ДБО здесь совсем не исключение. Разработчики операционных систем постоянно работают над их закрытием, регулярно публикуют обновления, вводят системы «безопасного» программирования и много внимания уделяют тестированию. К системам ДБО это отнести сложно. Существующие лучшие практики при написании кодов не учитываются, уязвимости остаются незакрытыми из релиза в релиз, либо на их месте появляются новые. Системы оперативного распространения патчей как будто не существует вообще. Еще хуже обстоит дело с «самописными» системами. Нет ни сколь-нибудь серьезной проверки на уязвимости, ни документирования процесса разработки, и касается все перечисленное как клиентской, так и серверной частей.
Серьезное влияние на безопасность ДБО оказывает уровень квалификации персонала (и банка, и клиента), его достаточность и мотивация, а также бюджет информационной безопасности. Недостаточная квалификация и мотивация ведут к таким, казалось бы, уже давно надоевшим, но все еще актуальным проблемам, как пароль по умолчанию на сетевом оборудовании, единый пароль на разных ресурсах, удаленный доступ в обход общих правил и политик. Поголовная виртуализация и стремление «в облака» также не уменьшают количество проблем. Ограниченность бюджета также ведет к затягиванию процесса внедрения полного комплекса необходимых технологий и замедлению реакции на возникающие новые риски. Выручает только тщательная и всесторонняя оценка рисков и хорошо продуманная система их управлением.
Среди типичных недостатков инфраструктуры можно перечислить малую пропускную способность каналов, отсутствие резервных каналов, замкнутость на единственного провайдера и отсутствие оперативного взаимодействия с ним, а также ограниченную мощность сетевого оборудования. Все это ведет к повышению рисков, связанных с блокированием каналов (DDOS, силовое воздействие, стихийное бедствие и т. д.) и, соответственно, неработоспособности сервисов, а недостаточная защищенность на канальном уровне – к увеличению риска атак на проникновение в АБС.
Существуют также проблемы законодательного плана. Во-первых, это недоработанность существующих и вновь принимаемых законов, отсутствие согласованности в законодательных инициативах. Например, декриминализация некоторых статей УК существенно осложняет и без того непростую работу правоохранителей.
Во-вторых, недостаток правоприменительной практики по многим статьям, отсутствие заинтересованности правоохранителей, отсутствие у них наработанных методик ведения уголовных дел по хищениям в ДБО. В-третьих, это плохое взаимодействие правоохранительных органов с банками и клиентами банков. Может быть, назрела необходимость создания специализированного полицейского подразделения, которое, взаимодействуя со службами безопасности банков, могло бы полностью расследовать и доводить до логического завершения дела по таким специфическим видам хищений. Оно же могло бы взять на себя методическое обеспечение всех заинтересованных сторон.
На самом деле, перечислены далеко не все проблемы. Их решение должно быть комплексным, и конечно, оно требует денег, но другого пути нет. Человек, отвыкший бегать в банк по любому поводу, особенно человек, освоивший мысль «время – деньги», не вернется к архаичным способам взаимодействия с платежной инфраструктурой.
Мобильный банкинг пока, на мой взгляд, – это экстрим для тех, кому не хватает адреналина (ничего плохого сказать не хочу, именно за счет таких людей и идет прогресс). Напомню хотя бы, что не для всех мобильных платформ (например, Apple iOS) существуют антивирусы, а вот «вредоносы» – для всех. Кроме того, из защищенных мне известно только о реализации Android от АНБ (США). Насколько эта реализация хороша, посмотрим на wikileaks.org и тому подобных ресурсах. Необходимо учитывать, что ДБО вряд ли возможно без персональных данных (их содержит даже сертификат), а это требует СКЗИ, сертифицированной по классу КС2 или выше, а таковых, на данный момент, для мобильных платформ нет.
Создание действительно защищенной среды еще впереди, но технологии уже есть, и их реализации, в том числе сертифицированные, на подходе. Осталось набраться терпения.
