Рубрикатор |
Статьи | ИКС № 01-02 2011 |
Олег ГЛЕБОВ  | 07 февраля 2011 |
Как защитить удаленный банкинг?
Атаки злоумышленников на системы удаленного банковского обслуживания не только не прекращаются, но делаются все более изощренными и дерзкими. Для того чтобы противостоять им, использовавшихся ранее программных комплексов обеспечения безопасности уже явно недостаточно. Выходом может стать применение аппаратных средств защиты ПО.
Многие банки сегодня переходят от работы с клиентами «лицом к лицу» к дистанционному обслуживанию. Это позволяет им, сохраняя прежний уровень обслуживания клиентов, сократить разросшиеся штаты, повысить эффективность бизнеса и даже – благодаря упрощению доступа к банковским услугам – заложить фундамент роста клиентской базы.
Однако из-за широкого спектра внешних угроз удаленные банковские сервисы могут дать обратный эффект. Активное применение онлайн-систем и клиентоориентированных программных продуктов предоставило больше возможностей для различного рода мошеннической деятельности. Причем специфика интернет-банкинга зачастую позволяет злоумышленникам использовать сеть для сокрытия следов своих незаконных действий, «растворяясь» вместе с похищенными деньгами.
Мобильный банкинг
Хакеров особенно привлекает возможность онлайн-доступа к банковским сервисам с мобильных устройств (смартфонов, КПК, нетбуков). Помимо традиционных способов мошенничества в сотовых сетях (с помощью SMS-ловушек) и в Интернете, сегодня широко распространены атаки на определенные модели устройств, версии операционных систем и программного обеспечения, направленные на манипуляцию данными на стороне клиента. Невозможность использования в мобильных устройствах аппаратных средств, предлагаемых ранее (USB), обусловила большую уязвимость онлайн-услуг. Предоставляя конечным клиентам программные средства защиты (ЭЦП, сертификаты и ключи под управлением middleware), банкам приходится полагаться на добросовестность пользователей, так как у них нет уверенности в том, что ОС устройств не заражены. Это обстоятельство ведет к тому, что злоумышленник может заранее подготовить вирусную или иную атаку и дожидаться лишь момента, когда владелец устройства воспользуется услугами банка.
В результате, по данным Центробанка и Ассоциации российских банков, в 2010 г. среди хакерских атак на первое место вышел взлом мобильных систем. Такое положение дел требует внедрения в банковской сфере новых методов защиты мобильных систем и услуг. Недостаточная надежность программных средств защиты ставит вопрос о применении аппаратных комплексов, которые уже активно используются в промышленном секторе.
К таким решениям относятся средства аппаратной защиты мобильных формфакторов: Compact Flash, Secure Digital и micro Secure Digital. Эти устройства, отличающиеся безотказностью, высоким быстродействием и длительным сроком службы, могут служить одновременно токеном, мобильным хранилищем данных и средством защиты программных продуктов. Тесная интеграция решений на основе карт SD и microSD с мобильными платформами Windows (а в будущем также Android и Apple iOS) может стать стимулом к применению методов защиты, в которых отдельное ПО хранится на карте памяти. А интеграция в PKI-решения, поддержка сертификатов и цифровых подписей позволит предоставить конечным пользователям значительно более высокий уровень безопасности при работе с веб-клиентом банка.
«Банк-клиент»
Кстати… Появился платежный инструмент на microSD-накопителе Visa выпустила коммерческую версию мобильного бесконтактного платежного решения In2Pay, представляющего собой карту microSD со специальным ПО и системой защиты данных. Карта устанавливается в смартфон и превращает его в платежный терминал. Устройство протестировано на совместимость с аппаратами BlackBerry Bold 9650, iPhone 3G/3GS/4 и Samsung Vibrant (Galaxy S), работающим на базе Android. В дальнейшем список моделей смартфонов и поддерживаемых ОС будет расширен. Продукт разработан совместно с компанией DeviceFidelity (США) и опробован в нескольких крупных банках: JP Morgan Chase, Wells Fargo Bank, US Bancorp и Bank of America. |
Аппаратные средства на рынке контроля цифровых прав совмещают в себе классический функционал хранилища сертификатов и ключей (токен) с возможностью защиты программных продуктов на базе комплексного шифрования AES. Поставляя конечному пользователю аппаратный ключ (в формфакторах USB, PCMCIA, CF, SD или microSD) взамен USB-токена, банковская служба безопасности получает на стороне конечного пользователя комплекс, который обеспечит стопроцентную надежность передачи данных и целостность компонентов, поскольку внешнее устройство полностью защищено от нелегального доступа, модификации или подмены данных.
Банкоматы
Использование банкоматов до недавнего времени по праву считалось не только самым распространенным, но и самым безопасным способом удаленного взаимодействия с банком. Согласно требованиям безопасности, установленным Центробанком, средства удаленного обслуживания клиентов должны быть снабжены аппаратным межсетевым экраном, а данные должны передаваться в зашифрованном виде. По своей сути банкомат – это рабочая станция, на которой установлены операционная система (Windows XP и др.), специализированное ПО для взаимодействия с пользователем и средства шифрования трафика (с программным хранением ключей и сертификатов). Атаки на банкоматы могут осуществляться как с помощью встроенных средств удаленного обновления прошивки банкомата с подменой подлинного ПО хакерским, так и путем удаленного заражения ОС банкомата с установкой руткита.
Применение карт промышленного стандарта Compact Flash позволяет защитить ПО банкомата одним устройством. Новые поколения ключей защиты надежно хранят сертификаты, ЭЦП и ключи шифрования, участвуя в процессе защиты передаваемых данных как безопасное внешнее устройство и исполняя роль токена. Установка ОС на дополнительную флэш-память ключа позволяет контролировать отдельные файлы системы и целостное выполнение самой операционной системы непосредственно крипточипом ключа. Расширенный диапазон рабочих температур, средства самодиагностики для увеличения срока службы, высокая скорость чтения и записи (23–24 Mбайт/с) для повышения производительности – эти характеристики решения на основе карт CF обеспечивают уверенность в его безотказности. Работающее в банкомате ПО может быть полностью защищено шифрованием, надежно храниться на флэш-памяти и контролироваться крипточипом (контрольные суммы хранятся локально в устройстве).