До сих пор рассуждения о компьютерной безопасности в биржевой торговле носили теоретический характер. Брокеры говорили о том, что российский фондовый рынок малопривлекателен для хакеров, так как участников на нем мало и взломать брокерский счет с крупной суммой денег, хозяин которого за ним плохо следит, проблематично. Однако создан прецедент, который уже заставил беспокоиться биржевых игроков.
Троянская ликвидность
В Пермской деловой газете "Новый компаньон" опубликована статья "Хакеры сработали QUIKLY", в которой идет речь о том, что в августе прошлого года интернет-мошенник применил вирус-троян, который крадет ключи доступа и пароль к популярнейшей системе интернет-трейдинга QUIK. По словам ведущего аналитика "Лаборатории Касперского" Александра Гостева, для изготовления вируса была использована программа-конструктор, сам вирус ранее был уже известен, но в данной ситуации его "заточили" именно под QUIK. Троянец использовал дыру в безопасности Internet Explorer и заражал посетителей интернет-сайта. Это означает, что у потерпевших не были установлены обновления (hotfix) Windows.
Сейчас известно о двух жертвах — клиентах компании БКС. Злоумышленник, получив доступ к чужим счетам, используя малоликвидные фьючерсные контракты в FORTS, проиграл деньги жертв на свой собственный счет, открытый в "Финаме", а затем вывел их на банковский счет. Здесь не все до конца понятно, так как на FORTS часто дежурят роботы, которые либо перехватывают заявки со «вкусными» ценами, либо препятствуют перекидкам, мгновенно выставляя свои заявки, чуть лучшие по ценовым условиям. Также непонятно, как взломщик собирался избежать разоблачения, ведь счет, на который перекидываются деньги, и его номинальный владелец вычисляются сразу биржей и брокером. Но это другая глава Уголовного кодекса, а во всем этом деле наибольший интерес представляет способ, каким мошенник украл файлы для работы QUIK, и то, как можно от этого защититься. Ведь предъявлять претензии брокеру бесполезно: проблема сохранности ключей доступа и пароля — личное дело каждого инвестора, и этот факт отражен в договоре на брокерское обслуживание.
Глас народа
Очевидно, что хакер получил известные пользователям QUIK файлы pubring.txk и secring.txk (ключи доступа), но этого для обретения контроля над чужим брокерским счетом недостаточно. Необходимо иметь логин и пароль к системе. И в данной ситуации вирус перехватывал обращения клиента к системе QUIK и записывал все вводимые с клавиатуры данные.
Этот вирус был обнаружен "Лабораторией Касперского" 25 июля 2007 года. Им оказалась новая версия уже известного трояна Bancos.aam, которую засекли на сайтах GZT.ru, RBC.ru, Utro.ru. Было установлено, что из баннерной системы Utro.ru и происходило соединение с печально известной сетью Russian Business Network. Впоследствии специалисты стали классифицировать мутацию Bancos.aam как Trojan-Spy.Win32.Broker.
По поводу всей этой истории на форуме сайта компании — разработчика QUIK развернулась дискуссия. Естественно, что над прагматичностью довлели экстремистские призывы типа "Давно пора перенести QUIK на Linux. “Винда” — решето", однако разработчики предлагают другие способы предохранения от компьютерной заразы.
Приветствуется установка QUIK на выделенный специально для этого компьютер, и его нужно закрыть в сети Firewall’ом таким образом, чтобы доступ в интернет с него мог осуществлять только QUIK и только на адрес и порт сервера QUIK-брокера. Кроме этого необходимо иметь антивирусное программное обеспечение и регулярно его обновлять, а компьютер не использовать даже для серфинга по веб-сайтам. И наконец, необходимо своевременно устанавливать Hotfix’ы операционной системы. Кроме того, имеющий публичный статический IP-адрес может привязать его к своему логину и паролю на сервере брокера.
Логика рекомендаций такова: в этой истории был использован уже известный троян, поэтому он должен был ловиться антивирусами. Но если к делу приступит настоящий мастер по взлому, то сделанный им троян защита не опознает. Так что лучшее средство безопасности — воздерживаться от контактов по Сети, за исключением сервера QUIK-брокера.
Другой вариант защиты — использование метода двухфакторной авторизации, когда пользователь при входе в систему должен ввести дополнительный (второй) пароль, сообщаемый ему посредством SMS, e-mail или устно по телефону. Второй пароль необходимо вводить, если выполняется попытка установки связи с компьютера, с которого до сего момента пользователь ни разу не устанавливал связь. Для этого сервер QUIK идентифицирует и запоминает параметры каждого подключения пользователя, использующего двухфакторную авторизацию, и при подозрении на изменение параметров подключения запрашивает пароль. Такой вариант защиты достаточно новый, и некоторые брокеры уже приступили к его внедрению.
