Разделы

Безопасность Интеграция ИТ в банках Техническая защита

Эксперты вскрыли многочисленные бреши в информационной безопасности российских банков

Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.

Лихие 90-е

По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы (см. полный текст исследования).

При разработке банковского ПО не используются современные технологии, при этом процессы разработки безопасного кода и архитектуры отсутствуют, отмечают аналитики. По их данным, число уязвимостей достаточно высоко и стабильно сохраняется на протяжении трех лет по всему рынку. При этом некоторые из них настолько просты и легко эксплуатируемы, что угроза очень высока. Так, например, одна система отдавала полный номер банковской карты (PAN) при неудачной попытке аутентификации по существующему логину.

Специалисты Digital Security Research Group пришли к выводу о том, что на сегодняшний день уровень зрелости современных отечественных систем ДБО с точки зрения ИБ отстает от аналогичных продуктов западного производства. «Хотя можно найти и сходства: чем менее популярно ПО на открытом рынке и более узко специализировано, тем меньше разработчики уделяют внимание ИБ, вне зависимости от критичности продукта», — заключили в DSecRG.

Главные «тараканы» российских ДБО

Как выяснили аналитики, большинство уязвимостей, найденных в российских банк-клиентах, приводит к раскрытию персональных данных, банковской тайны, а также нарушению целостности информации о счетах (подделка платежных поручений). Кроме того, множество угроз продолжает оставаться за пределами внимания специалистов ИБ банков и разработчиков ДБО, утверждают в DSecRG.

В ходе исследования специалисты DSecRG протестировали системы следующих производителей: БСС, «R-Style», CompassPlus, «Сигнал КОМ», ЦФТ, «Инист» и «Степ Ап». Выяснилось, что все эти продукты содержали те или иные уязвимости.

В протестированном ПО веб-сервисов «всплыли» такие уязвимости, как: «межсайтовый скриптинг» — в 6 продуктах, «инъекция SQL-кода» — в 3 продуктах, «ошибки авторизации» — в 4 продуктах, «межсайтовые запросы» — в 5 продуктах. Ситуация с клиентским ПО (ActiveX) аналогична: уязвимости типа «выполнение произвольного кода» и «вызов небезопасных методов» были найдены в 4 из 6 систем.

Специалисты DSecRG также отследили, как производитель распространяет обновления для своих систем среди банков (клиентов). «Все те ошибки, что мы обнаружили за период 2009–2010 гг., можно встретить и в 2011 году у различных банков, которые не обновили ПО системы по каким-либо причинам. Такие факты были выявлены неоднократно, — сообщили в DSecRG. — Более того, было выяснено, что банки вообще не в курсе, что в их ПО существуют проблемы с безопасностью, несмотря на то, что разработчик этого ПО знает об ошибках более года и даже выпустил обновления, решающие эти проблемы».

Кроме вышеперечисленных недостатков, в ряде отечественных систем ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС).

Поскольку АБС недоступна из интернета, разработчики посчитали, что проверку достаточно делать только при приеме платежного поручения. Однако известные уязвимости и атаки (например, SQL-инъекция) могут скомпрометировать целостность результата этой проверки и, тем самым, форсировать выгрузку платежных поручений без ЭЦП в АБС, после чего оператор банка обработает их как нормальные, говорят в DSecRG.

В ходе исследований специалисты DSecRG также выявили общие архитектурные проблемы при доступе к системе ДБО сотрудников банка. В частности, при тестировании ПО было обнаружено, что фактически доступ к СУБД происходит под одной ролью, имеющей доступ ко всей СУБД, а разделение по ролям ограничивает лишь само приложение клиента, установленное на рабочей станции пользователя.

Аналитики атакуют

В ходе тестирования российских систем ДБО специалистам DSecRG на практике удалось реализовать атаку на ПК клиента через уязвимости в веб-модулях банк-клиента (XSS, CSRF). Такая атака приводит к подделке платежного поручения с корректной ЭЦП пользователя. «Данная атака известна как «человек в браузере» (MitB), — пояснили в DSecRG. — Мы тестировали данную атаку не только технически, но и практически — на операторах, которые работают с такими системами. В итоге они отправляли тестовые поддельные переводы (на тестовом стенде), не замечая атаки и подделки реквизитов получателя, что говорит о потенциале такого рода угроз».

Специалисты Digital Security утверждают, что реализовали и более опасный вид описанной выше атаки для нескольких продуктов. Общий подход и используемые уязвимости те же (CSRF, XSS), но при этом пользователю не требуется выполнять какие-то действия в системе ДБО. Используя JavaScript, запускаемый в скрытом для пользователя фрейме, можно имитировать его действия и отправить подписанное платежное поручение. Таким образом, злоумышленник, заманив клиента ДБО на специальный сайт, имеет возможность тайно украсть его деньги. В то же время, атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор PIN-кодов с вредоносного сайта и подпись любых данных, в том числе и платежного поручения.

Результаты исследования защищенности отечественных систем ДБО DSecRG прокомментировали для CNews представители «ОТП Банка», "Райффайзенбанка", «ФлексБанка», банка «Ренессанс Кредит» и «Транскапиталбанка».

Почему администраторы не заметят миграцию данных в облака
Облака

«Многое зависит от клиента»

Председатель правления «ФлексБанка» Марина Мишурис считает, что говорить об уровне 90-х гг. - слишком громкое заявление. «Проблемы безопасности, безусловно, есть, и это касается не только банковских услуг: утечки информации онлайн-сервисов по продаже билетов этим летом показали, что существующие меры защиты данных в Сети не могут обеспечить стопроцентной гарантии, механизмы защиты нужно дорабатывать, чем и занимаются целые отряды программистов. Если говорить именно о ДБО, то резонансных утечек в банковской сфере я не припомню».

По мнению Мишурис, говоря о клиентской части сервиса, важно, чтобы сам клиент соблюдал все правила работы с данными: не передавал никому свои реквизиты, не сохранял пароли в веб-формах, старался совершать покупки только на проверенных и надёжных сайтах. Также полезно, по её словам, подписаться на услугу SMS-информирования об операциях по счету карты, что позволит оперативно выявить несанкционированные операции.

«Если следовать логике Digital Security, то за последние 10-15 лет ничего нового в защите систем ДБО не появилось. А как же возникновение таких инструментов защиты, как USB-токены с неизвлекаемым ЭЦП, внедрение систем аутенификции/подтверждения платежей при помощи ОТП-токенов или одноразовых SMS-кодов, организация защиты от DDOS-атак как на стороне банков, так и на базе разработчиков систем ДБО, разработка специальных программных модулей, направленных на выявление и уничтожение вредоносных банковских программ?», — не соглашается с выводами специалистов DSecRG и начальник управления информационной безопасности «ОТП Банка» Сергей Чернокозинский.

Какие компании наиболее уязвимы для киберпреступников
Безопасность

По его мнению, если бы системы защиты ДБО не развивались, то сейчас бы мы наблюдали картину массового мошенничества в ДБО и, как следствие, отмирания ДБО как банковского продукта. Ситуация, которую мы видим сейчас, скорее говорит об обратном, полагает он: многие банки, которые не имели собственных систем ДБО, занимаются их активным внедрением, а число клиентов ДБО неуклонно растет».

Начальник управления ИТ «ФлексБанка» Александр Полукаров полагает, что при использовании банк-клиента с использованием ключевой информации утечка, в основном, происходит по причине вредоносных программ. Для защиты от утечки в данном случае желательно использовать токены для хранения ключей, антивирусное ПО, и желательно, чтобы работа велась в ПО для безопасного исполнения программ, рекомендует он.

«Разработчики могли бы быть порасторопнее»

Дмитрий Неверов, начальник отдела мониторинга безопасности банка «Ренессанс Кредит», поддерживает результаты исследования Digital Security. «Они отражают текущую ситуацию с безопасностью банковских приложений. Уязвимости есть в любом ПО, однако проблема заключается в том, что разработчики практически не уделяют внимания безопасности кода», - говорит он.

По мнению Неверова, для снижения рисков несанкционированного доступа к информации, составляющей банковскую тайну, а также к персональным данными клиентов банков необходимо, в первую очередь, повышать компетентность разработчиков в вопросах написания безопасного кода и в области ИБ в целом, а также проводить регулярные комплексные мероприятия, такие как тесты на проникновение, сканирование уязвимостей, аудиты безопасности кода, мониторинг попыток проникновения.

"Уровень безопасности готовых решений в области ДБО, доступных на российском рынке, действительно оставляет желать лучшего, - подтверждает Светлана Белялова, начальник управления контроля за операционными рисками "Райффайзенбанк". - Не следует забывать, что программное обеспечение готовых систем электронного банкинга , в первую очередь, призвано реализовывать функционал платежей в электронной форме. Не исключено, что разработчики и продавцы такого программного обеспечения не ставят себе целью обеспечить достаточный уровень безопасности, а также не имеют квалифицированного персонала для проработки и интеграции соответствующего функционала безопасности в составе типового решения".

"Однако далеко не все организации банковского сектора используют готовые решения в предоставлении сервисов ДБО клиентам и самостоятельно занимаются разработкой и постоянным совершенствованием продуктов электронного банкинга, - добавляет Белялова. - Затраты на усовершенствование уровня безопасности систем ДБО являются существенными".

Управляющий директор дирекции информационных и платежных технологий «Транскапиталбанка» Валерий Шеин отмечает, что современные отечественные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам. «Эксперты компании Digital Security справедливо считают, что уровень защищенности систем ДБО низкий, но мне кажется, нужно рассматривать и другие звенья этой цепочки», — считает Шеин.

По его мнению, наиболее слабым звеном выступает сам клиент - именно он заражает свой компьютер всеми возможными вирусами, не позаботившись об современной лицензионной антивирусной системе; именно клиент оставляет токен с ключами постоянно подключенным к USB-порту компьютера, в то время как и банк, и производитель систем ДБО рекомендуют подключать токен только на сеанс подписи платежа, или просто хранит ключи электронной подписи на жестком диске компьютера.

«Наиболее сильным звеном в этой системе является банк, который, заботясь о своей репутации, инвестирует значительные средства в системы информационной безопасности. Хотя и банку есть что усовершенствовать — например, системы fraud-мониторинга (контроль подозрительных платежей), которые могут быть интегрированы как с АБС, так и с системой ДБО», — добавил Валерий Шеин.

Наталья Лаврентьева

Подписаться на новости Короткая ссылка