Эксперты вскрыли многочисленные бреши в информационной безопасности российских банков
Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.Лихие 90-е
По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы (см. полный текст исследования).
При разработке банковского ПО не используются современные технологии, при этом процессы разработки безопасного кода и архитектуры отсутствуют, отмечают аналитики. По их данным, число уязвимостей достаточно высоко и стабильно сохраняется на протяжении трех лет по всему рынку. При этом некоторые из них настолько просты и легко эксплуатируемы, что угроза очень высока. Так, например, одна система отдавала полный номер банковской карты (PAN) при неудачной попытке аутентификации по существующему логину.
Специалисты Digital Security Research Group пришли к выводу о том, что на сегодняшний день уровень зрелости современных отечественных систем ДБО с точки зрения ИБ отстает от аналогичных продуктов западного производства. «Хотя можно найти и сходства: чем менее популярно ПО на открытом рынке и более узко специализировано, тем меньше разработчики уделяют внимание ИБ, вне зависимости от критичности продукта», — заключили в DSecRG.
Главные «тараканы» российских ДБО
Как выяснили аналитики, большинство уязвимостей, найденных в российских банк-клиентах, приводит к раскрытию персональных данных, банковской тайны, а также нарушению целостности информации о счетах (подделка платежных поручений). Кроме того, множество угроз продолжает оставаться за пределами внимания специалистов ИБ банков и разработчиков ДБО, утверждают в DSecRG.
В ходе исследования специалисты DSecRG протестировали системы следующих производителей: БСС, «R-Style», CompassPlus, «Сигнал КОМ», ЦФТ, «Инист» и «Степ Ап». Выяснилось, что все эти продукты содержали те или иные уязвимости.
В протестированном ПО веб-сервисов «всплыли» такие уязвимости, как: «межсайтовый скриптинг» — в 6 продуктах, «инъекция SQL-кода» — в 3 продуктах, «ошибки авторизации» — в 4 продуктах, «межсайтовые запросы» — в 5 продуктах. Ситуация с клиентским ПО (ActiveX) аналогична: уязвимости типа «выполнение произвольного кода» и «вызов небезопасных методов» были найдены в 4 из 6 систем.
Специалисты DSecRG также отследили, как производитель распространяет обновления для своих систем среди банков (клиентов). «Все те ошибки, что мы обнаружили за период 2009–2010 гг., можно встретить и в 2011 году у различных банков, которые не обновили ПО системы по каким-либо причинам. Такие факты были выявлены неоднократно, — сообщили в DSecRG. — Более того, было выяснено, что банки вообще не в курсе, что в их ПО существуют проблемы с безопасностью, несмотря на то, что разработчик этого ПО знает об ошибках более года и даже выпустил обновления, решающие эти проблемы».
Кроме вышеперечисленных недостатков, в ряде отечественных систем ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС).
Поскольку АБС недоступна из интернета, разработчики посчитали, что проверку достаточно делать только при приеме платежного поручения. Однако известные уязвимости и атаки (например, SQL-инъекция) могут скомпрометировать целостность результата этой проверки и, тем самым, форсировать выгрузку платежных поручений без ЭЦП в АБС, после чего оператор банка обработает их как нормальные, говорят в DSecRG.
В ходе исследований специалисты DSecRG также выявили общие архитектурные проблемы при доступе к системе ДБО сотрудников банка. В частности, при тестировании ПО было обнаружено, что фактически доступ к СУБД происходит под одной ролью, имеющей доступ ко всей СУБД, а разделение по ролям ограничивает лишь само приложение клиента, установленное на рабочей станции пользователя.
Аналитики атакуют
В ходе тестирования российских систем ДБО специалистам DSecRG на практике удалось реализовать атаку на ПК клиента через уязвимости в веб-модулях банк-клиента (XSS, CSRF). Такая атака приводит к подделке платежного поручения с корректной ЭЦП пользователя. «Данная атака известна как «человек в браузере» (MitB), — пояснили в DSecRG. — Мы тестировали данную атаку не только технически, но и практически — на операторах, которые работают с такими системами. В итоге они отправляли тестовые поддельные переводы (на тестовом стенде), не замечая атаки и подделки реквизитов получателя, что говорит о потенциале такого рода угроз».
Специалисты Digital Security утверждают, что реализовали и более опасный вид описанной выше атаки для нескольких продуктов. Общий подход и используемые уязвимости те же (CSRF, XSS), но при этом пользователю не требуется выполнять какие-то действия в системе ДБО. Используя JavaScript, запускаемый в скрытом для пользователя фрейме, можно имитировать его действия и отправить подписанное платежное поручение. Таким образом, злоумышленник, заманив клиента ДБО на специальный сайт, имеет возможность тайно украсть его деньги. В то же время, атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор PIN-кодов с вредоносного сайта и подпись любых данных, в том числе и платежного поручения.
Результаты исследования защищенности отечественных систем ДБО DSecRG прокомментировали для CNews представители «ОТП Банка», "Райффайзенбанка", «ФлексБанка», банка «Ренессанс Кредит» и «Транскапиталбанка».
«Многое зависит от клиента»
Председатель правления «ФлексБанка» Марина Мишурис считает, что говорить об уровне 90-х гг. - слишком громкое заявление. «Проблемы безопасности, безусловно, есть, и это касается не только банковских услуг: утечки информации онлайн-сервисов по продаже билетов этим летом показали, что существующие меры защиты данных в Сети не могут обеспечить стопроцентной гарантии, механизмы защиты нужно дорабатывать, чем и занимаются целые отряды программистов. Если говорить именно о ДБО, то резонансных утечек в банковской сфере я не припомню».
По мнению Мишурис, говоря о клиентской части сервиса, важно, чтобы сам клиент соблюдал все правила работы с данными: не передавал никому свои реквизиты, не сохранял пароли в веб-формах, старался совершать покупки только на проверенных и надёжных сайтах. Также полезно, по её словам, подписаться на услугу SMS-информирования об операциях по счету карты, что позволит оперативно выявить несанкционированные операции.
«Если следовать логике Digital Security, то за последние 10-15 лет ничего нового в защите систем ДБО не появилось. А как же возникновение таких инструментов защиты, как USB-токены с неизвлекаемым ЭЦП, внедрение систем аутенификции/подтверждения платежей при помощи ОТП-токенов или одноразовых SMS-кодов, организация защиты от DDOS-атак как на стороне банков, так и на базе разработчиков систем ДБО, разработка специальных программных модулей, направленных на выявление и уничтожение вредоносных банковских программ?», — не соглашается с выводами специалистов DSecRG и начальник управления информационной безопасности «ОТП Банка» Сергей Чернокозинский.
По его мнению, если бы системы защиты ДБО не развивались, то сейчас бы мы наблюдали картину массового мошенничества в ДБО и, как следствие, отмирания ДБО как банковского продукта. Ситуация, которую мы видим сейчас, скорее говорит об обратном, полагает он: многие банки, которые не имели собственных систем ДБО, занимаются их активным внедрением, а число клиентов ДБО неуклонно растет».
Начальник управления ИТ «ФлексБанка» Александр Полукаров полагает, что при использовании банк-клиента с использованием ключевой информации утечка, в основном, происходит по причине вредоносных программ. Для защиты от утечки в данном случае желательно использовать токены для хранения ключей, антивирусное ПО, и желательно, чтобы работа велась в ПО для безопасного исполнения программ, рекомендует он.
«Разработчики могли бы быть порасторопнее»
Дмитрий Неверов, начальник отдела мониторинга безопасности банка «Ренессанс Кредит», поддерживает результаты исследования Digital Security. «Они отражают текущую ситуацию с безопасностью банковских приложений. Уязвимости есть в любом ПО, однако проблема заключается в том, что разработчики практически не уделяют внимания безопасности кода», - говорит он.
По мнению Неверова, для снижения рисков несанкционированного доступа к информации, составляющей банковскую тайну, а также к персональным данными клиентов банков необходимо, в первую очередь, повышать компетентность разработчиков в вопросах написания безопасного кода и в области ИБ в целом, а также проводить регулярные комплексные мероприятия, такие как тесты на проникновение, сканирование уязвимостей, аудиты безопасности кода, мониторинг попыток проникновения.
"Уровень безопасности готовых решений в области ДБО, доступных на российском рынке, действительно оставляет желать лучшего, - подтверждает Светлана Белялова, начальник управления контроля за операционными рисками "Райффайзенбанк". - Не следует забывать, что программное обеспечение готовых систем электронного банкинга , в первую очередь, призвано реализовывать функционал платежей в электронной форме. Не исключено, что разработчики и продавцы такого программного обеспечения не ставят себе целью обеспечить достаточный уровень безопасности, а также не имеют квалифицированного персонала для проработки и интеграции соответствующего функционала безопасности в составе типового решения".
"Однако далеко не все организации банковского сектора используют готовые решения в предоставлении сервисов ДБО клиентам и самостоятельно занимаются разработкой и постоянным совершенствованием продуктов электронного банкинга, - добавляет Белялова. - Затраты на усовершенствование уровня безопасности систем ДБО являются существенными".
Управляющий директор дирекции информационных и платежных технологий «Транскапиталбанка» Валерий Шеин отмечает, что современные отечественные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам. «Эксперты компании Digital Security справедливо считают, что уровень защищенности систем ДБО низкий, но мне кажется, нужно рассматривать и другие звенья этой цепочки», — считает Шеин.
По его мнению, наиболее слабым звеном выступает сам клиент - именно он заражает свой компьютер всеми возможными вирусами, не позаботившись об современной лицензионной антивирусной системе; именно клиент оставляет токен с ключами постоянно подключенным к USB-порту компьютера, в то время как и банк, и производитель систем ДБО рекомендуют подключать токен только на сеанс подписи платежа, или просто хранит ключи электронной подписи на жестком диске компьютера.
«Наиболее сильным звеном в этой системе является банк, который, заботясь о своей репутации, инвестирует значительные средства в системы информационной безопасности. Хотя и банку есть что усовершенствовать — например, системы fraud-мониторинга (контроль подозрительных платежей), которые могут быть интегрированы как с АБС, так и с системой ДБО», — добавил Валерий Шеин.