Rambler's Top100
Статьи ИКС № 01-02 2011
Олег ГЛЕБОВ  07 февраля 2011

Как защитить удаленный банкинг?

Атаки злоумышленников на системы удаленного банковского обслуживания не только не прекращаются, но делаются все более изощренными и дерзкими. Для того чтобы противостоять им, использовавшихся ранее программных комплексов обеспечения безопасности уже явно недостаточно. Выходом может стать применение аппаратных средств защиты ПО.

Олег ГЛЕБОВ, ведущий технический специалист Rainbow SecurityМногие банки сегодня переходят от работы с клиентами «лицом к лицу» к дистанционному обслуживанию. Это позволяет им, сохраняя прежний уровень обслуживания клиентов, сократить разросшиеся штаты, повысить эффективность бизнеса и даже – благодаря упрощению доступа к банковским услугам – заложить фундамент роста клиентской базы.

 

Однако из-за широкого спектра внешних угроз удаленные банковские сервисы могут дать обратный эффект. Активное применение онлайн-систем и клиентоориентированных программных продуктов предоставило больше возможностей для различного рода мошеннической деятельности. Причем специфика интернет-банкинга зачастую позволяет злоумышленникам использовать сеть для сокрытия следов своих незаконных действий, «растворяясь» вместе с похищенными деньгами.

 

Мобильный банкинг

 

Хакеров особенно привлекает возможность онлайн-доступа к банковским сервисам с мобильных устройств (смартфонов, КПК, нетбуков). Помимо традиционных способов мошенничества в сотовых сетях (с помощью SMS-ловушек) и в Интернете, сегодня широко распространены атаки на определенные модели устройств, версии операционных систем и программного обеспечения, направленные на манипуляцию данными на стороне клиента. Невозможность использования в мобильных устройствах аппаратных средств, предлагаемых ранее (USB), обусловила большую уязвимость онлайн-услуг. Предоставляя конечным клиентам программные средства защиты (ЭЦП, сертификаты и ключи под управлением middleware), банкам приходится полагаться на добросовестность пользователей, так как у них нет уверенности в том, что ОС устройств не заражены. Это обстоятельство ведет к тому, что злоумышленник может заранее подготовить вирусную или иную атаку и дожидаться лишь момента, когда владелец устройства воспользуется услугами банка.

 

В результате, по данным Центробанка и Ассоциации российских банков, в 2010 г. среди хакерских атак на первое место вышел взлом мобильных систем. Такое положение дел требует внедрения в банковской сфере новых методов защиты мобильных систем и услуг. Недостаточная надежность программных средств защиты ставит вопрос о применении аппаратных комплексов, которые уже активно используются в промышленном секторе.

 

К таким решениям относятся средства аппаратной защиты мобильных формфакторов: Compact Flash, Secure Digital и micro Secure Digital. Эти устройства, отличающиеся безотказностью, высоким быстродействием и длительным сроком службы, могут служить одновременно токеном, мобильным хранилищем данных и средством защиты программных продуктов. Тесная интеграция решений на основе карт SD и microSD с мобильными платформами Windows (а в будущем также Android и Apple iOS) может стать стимулом к применению методов защиты, в которых отдельное ПО хранится на карте памяти. А интеграция в PKI-решения, поддержка сертификатов и цифровых подписей позволит предоставить конечным пользователям значительно более высокий уровень безопасности при работе с веб-клиентом банка.

 

«Банк-клиент»

 

Кстати…

 

Появился платежный инструмент на microSD-накопителе

 

Visa выпустила коммерческую версию мобильного бесконтактного платежного решения In2Pay, представляющего собой карту microSD со специальным ПО и системой защиты данных. Карта устанавливается в смартфон и превращает его в платежный терминал. Устройство протестировано на совместимость с аппаратами BlackBerry Bold 9650, iPhone 3G/3GS/4 и Samsung Vibrant (Galaxy S), работающим на базе Android. В дальнейшем список моделей смартфонов и поддерживаемых ОС будет расширен.

 

Продукт разработан совместно с компанией DeviceFidelity (США) и опробован в нескольких крупных банках: JP Morgan Chase, Wells Fargo Bank, US Bancorp и Bank of America.

Отсутствие контроля над системой «банк-клиент» на стороне пользователя и в удаленных пунктах средних банков (крупные банки, имеющие квалифицированную службу безопасности, в большинстве случаев застрахованы от подобных угроз) явилось причиной увеличения числа мошеннических действий в сфере денежных переводов в первой половине
2010 г. Как любой программный продукт, приложение «банк-клиент» подвержено незаконной модификации вирусным ПО (троянами и др.), подмене сертификатов и ключей. Проводя атаку, встраиваемые хакерские модули инициируют ложные переводы, которые подписываются подлинными сертификатами и ключами конкретного отделения. Установление личности злоумышленника для такого рода действий почти невозможно, поскольку ложные транзакции все чаще путем взлома локальной базы данных привязываются к реальным пользователям системы переводов. В ряде случаев не обеспечивает надежной защиты и использование безопасных хранилищ ключей и сертификатов USB-токенов и OTP-генераторов, так как на зараженной системе пользователь вводит подлинный пароль с OTP-генератора, не зная о факте подмены. Незащищенность приложений класса «банк-клиент» позволяет злоумышленникам сначала создать узконаправленные вирусы для определенных банков, а впоследствии – разработать универсальные методы взлома банковского обеспечения на стороне клиента.
 

Аппаратные средства на рынке контроля цифровых прав совмещают в себе классический функционал хранилища сертификатов и ключей (токен) с возможностью защиты программных продуктов на базе комплексного шифрования AES. Поставляя конечному пользователю аппаратный ключ (в формфакторах USB, PCMCIA, CF, SD или microSD) взамен USB-токена, банковская служба безопасности получает на стороне конечного пользователя комплекс, который обеспечит стопроцентную надежность передачи данных и целостность компонентов, поскольку внешнее устройство полностью защищено от нелегального доступа, модификации или подмены данных.

 

Банкоматы

 

Использование банкоматов до недавнего времени по праву считалось не только самым распространенным, но и самым безопасным способом удаленного взаимодействия с банком. Согласно требованиям безопасности, установленным Центробанком, средства удаленного обслуживания клиентов должны быть снабжены аппаратным межсетевым экраном, а данные должны передаваться в зашифрованном виде. По своей сути банкомат – это рабочая станция, на которой установлены операционная система (Windows XP и др.), специализированное ПО для взаимодействия с пользователем и средства шифрования трафика (с программным хранением ключей и сертификатов). Атаки на банкоматы могут осуществляться как с помощью встроенных средств удаленного обновления прошивки банкомата с подменой подлинного ПО хакерским, так и путем удаленного заражения ОС банкомата с установкой руткита.

 

Применение карт промышленного стандарта Compact Flash позволяет защитить ПО банкомата одним устройством. Новые поколения ключей защиты надежно хранят сертификаты, ЭЦП и ключи шифрования, участвуя в процессе защиты передаваемых данных как безопасное внешнее устройство и исполняя роль токена. Установка ОС на дополнительную флэш-память ключа позволяет контролировать отдельные файлы системы и целостное выполнение самой операционной системы непосредственно крипточипом ключа. Расширенный диапазон рабочих температур, средства самодиагностики для увеличения срока службы, высокая скорость чтения и записи (23–24 Mбайт/с) для повышения производительности – эти характеристики решения на основе карт CF обеспечивают уверенность в его безотказности. Работающее в банкомате ПО может быть полностью защищено шифрованием, надежно храниться на флэш-памяти и контролироваться крипточипом (контрольные суммы хранятся локально в устройстве). 

Поделиться:
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!