Rambler's Top100
Все новости Новости отрасли

Половина цифровых проектов банков уязвима для хакеров

23 июля 2019

Активное внедрение финансовыми организациями технологий блокчейн угрожает их безопасности, вплоть до полной потери контроля над критически важными ресурсами.

Об этом говорится в отчете Positive Technologies, подготовленном для «Известий ».

Половина пилотов и более 70% смарт-контрактов (наиболее востребованный в финансовой среде инструмент на блокчейне) содержат уязвимости к хакерским атакам, пишут аналитики Positive Technologies в своем отчете, посвященном рискам использования банками технологий распределенных данных. Главный риск заключается в том, что проекты, запущенные даже в тестовом режиме, зачастую так или иначе связаны с основной корпоративной инфраструктурой финансовых организаций — как внешней, так и внутренней.

Из-за этого возможно проникновение в основную сеть банка с использованием уязвимости в системе на базе блокчейна. Например, для пилотного проекта формируется специальная трансакция с вредоносным кодом. Она поступает в закрытую тестируемую платформу, а затем используется как транспорт для атак на другие связанные системы. Это может привести к получению нарушителем полного контроля над критически важными ресурсами организации.

Использование блокчейн-технологий даже в пилотном режиме неотделимо от темы защищенности внутренней сети кредитно-финансовых организаций, пишут аналитики Positive Technologies. Посредством этих систем можно получить доступ к узлам, с которых выполняется управление банкоматами, к межбанковским переводам, карточному процессингу или платежным шлюзам. Действительно, есть определенная опасность, что злоумышленник подключит зараженные ноды (определенные алгоритмы, используемые в блокчейн) к общей сети, подтвердили «Известиям» в Doctor Web. В этом случае появится возможность проследить источник совершения трансакций и проникнуть в основную инфраструктуру организации.

Как и все новые технологии, системы на базе блокчейна могут быть незрелыми — без опыта противостояния угрозам, сказал «Известиям» антивирусный эксперт «Лаборатории Касперского» Алексей Маланов. Хотя они и активно тестируются российскими банками, судить об устойчивости таких пилотов к ошибкам пока затруднительно, поскольку в них принимает участие ограниченный круг лиц. Даже если находятся какие-либо уязвимости, то банк может их исправить, не привлекая внимания, заключил Алексей Маланов.

В финансовых организациях пока не видят серьезных угроз для безопасности своей инфраструктуры из-за блокчейн-проектов, поскольку значительная их часть реализуется в закрытом режиме. Но там признают, что технология уязвима, тем более на фоне того, что у программистов пока недостаточно опыта работы с системами, основанными на распределенном реестре. Такую точку зрения высказали в Сбербанке, ВТБ и Альфа-банке.

Из-за отсутствия общедоступного инструментария пока затруднены своевременное обнаружение подобных инцидентов и реагирование на них, считают в Positive Technologies. По сути, существуют лишь два вида ответа: «откатить» блокчейн до состояния, предшествующего атаке (но тогда утрачиваются все данные, занесенные в систему после нее), либо «принятие и смирение», говорят аналитики. Поэтому пока наиболее адекватный способ защиты — это заблаговременное предотвращение взлома. Например, исходя из особенностей архитектуры атак посредством блокчейна был разработан специальный алгоритм, позволяющий за один-два дня прогнозировать нападения группировки RTM (входит в топ-3 по частоте атак на банки), сообщили в Positive Technologies. Это позволило уведомлять кредитно-финансовые организации о новых серверах, с которых готовятся атаки.

Пока большинство громких кейсов, просочившихся в публичную плоскость, связаны с альтернативными финансовыми сервисами на блокчейне — такими, как взломы кошельков компаний, проводивших ICO, или криптовалютных бирж, рассказал технический директор компании DeviceLock Ашот Оганесян. Например, в начале июля этого года хакеры похитили $32 млн у японской биржи Bitpoint, двумя месяцами ранее — около $40 млн из одного из кошельков биржи Binance. По словам Ашота Оганесяна, технология становится излюбленной мишенью для хакерских атак, поскольку находится в большинстве юрисдикций на полулегальном положении, поэтому преступники чувствует определенную безнаказанность в своих действиях.

Однако, генеральный директор REG.RU Алексей Королюк уверен, что риски банкам удастся минимизировать благодаря использованию гибридной модели блокчейна. «Ключевой момент заключается в том, что в цифровых проектах финансовых институтов будет применяться гибридный блокчейн, не предполагающий объединения глобального множества участников сообщества реестра, - отмечает Алексей Королюк. - Называется он гибридным, потому что в нём держателями реестра будут финансовые институты либо ответственные стороны. Например, банк как кредитная организация, исполнитель услуг как участник и держатель реестра, агент как лицо, которое взаимодействует с конечным покупателем. Пользователи в свою очередь будут не полноценными участниками реестра, а только обладателями права на чтение. Т.е. будут иметь возможность прочитать его содержимое, но не смогут взаимодействовать с реестром полноценно и интегрировать в него данные. Такая гибридная модель — наиболее устойчивая для подобных систем, будет применяться в ближайшее время.

Полноценная же широко известная модель блокчейна "многие ко многим" применяться в ближайшее время не будет. Она не имеет смысла, потому что доверенная среда в рамках бизнес-интересов, для построения смарт-контрактов — это непосредственно наличие одинакового реестра у всех сторон контракта.

Нет никакого смысла распространять возможность ведения реестра на множество лиц, не являющихся участниками контракта. В этом, с одной стороны — суть подхода, который будет использоваться в современном блокчейне, с другой стороны — возможность получить более защищённую систему, сохранив её гибкость с точки зрения возможностей.

Соответственно, в указанной гибридной модели риски существенно снижены, они являются уже нормальными и допустимыми для подобных систем. Поэтому следует ожидать внедрения подобной технологии к 2021-2022 году, повсеместное применение — позднее. Сдерживающий фактор — низкая степень проникновение знаний в профессиональную среду разработчиков. Очень немного людей работают с подобными системами и разбираются в них на профессиональном уровне».

Источник: Известия

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!

Оставить свой комментарий:

Для комментирования необходимо авторизоваться!

Комментарии по материалу

Данный материал еще не комментировался.