Вести с Кавказа или защитим свои капиталы вместе (Интернет-банк и ЭЦП)
4 августа 2008 г.
Андрей Ерин
Начальник службы информационной безопасности c 2007 по 2010 год
Интернет-банк, Информационная безопасность, Клиенты, Свободные посты
Сижу я в отпуске на склоне Эльбруса, на высоте 4220 м, любусь неземными красотами Кавказа и тут сообщение: срочно… статья в журнал… информационная безопасность не ждет…
Связка: сотовый, GPRS, Bluetooth, ноут – и статья пошла. Писал я её писал, а потом началась война с маркетингом: то слово “воровство” им не нравится (но ведь тырят у народа деньги по всей России, жалко дураков, а решение есть простое), то написано не литературно, то не в стиле журнала. Короче искромсали все мое детище. А тут блог – свобода слова и все такое… В общем публикую первоисточник, можно сказать “самиздат”:
Авторская версия статьи
Участившиеся случаи воровства денег со счетов клиентов Российских Интернет-банков, казалось бы, дискредитируют саму идею дистанционного обслуживания расчетных счетов. Воровство происходит по уже налаженной схеме: заражается компьютер клиента Банка, с помощью специальной вредоносной программы воруется секретный ключ электронной цифровой подписи (ЭЦП), перехватываются пароли и дело остается только во времени, когда у мошенника дойдут руки до очередной жертвы.
Во все времена преступники использовали современные и эффективные достижения человеческого разума во благо себе и были на шаг впереди владельцев собственности. И только тем собственникам, которые быстро реагируют на действия преступного мира, удается защитить свои капиталы. Мне хотелось бы развеять панические настроения и внести ясность в происходящее, чтобы стало понятно, что нужно делать для защиты своих денежных средств в Интернет-банках. Сначала мы схематично рассмотрим, что такое ЭЦП, как происходит заражение компьютеров вредоносными программами и остановимся на токенах – техническом решении, позволяющем полностью избавиться от воровства секретного ключа ЭЦП.
1. Что такое ЭЦП и как это делают в России
Самым современным методом формирования ЭЦП является алгоритм на основе эллиптических кривых, определенный ГОСТ Р 34.10-2001. Электронная цифровая подпись представляет собой число определенной длины, которое вычисляется с помощью содержимого подписываемой информации и секретного ключа.
Секретный ключ ЭЦП также является числом заданной длины, выбирается оно с помощью генератора случайной величины. Это и есть тот самый уникальный компонент, знание которого дает возможность подделать ЭЦП его владельца. Секретный ключ потому и называется секретным, что пользователь должен хранить его таким образом, чтобы никто другой не смог узнать его значение.
Для формирования ЭЦП фиксированной длины берется не само сообщение, а его хэш (число, вычисленное на основе содержания текста). Российский стандарт ГОСТ Р 34.11-94 вычисляет из текста любого размера хэш-значение размером 32 байта. Наиболее распространенные зарубежные стандарты вычисляют хэши размером до 20 байт, что дает более низкую криптостойкость по сравнению с отечественным стандартом. Далее этот хэш шифруется с помощью секретного ключа, во всем мире самым криптостойким считается отечественный стандарт шифрования ГОСТ 28147-89, и вместе с сообщением отправляется получателю. После этого получатель открытым ключом расшифровывает полученный хэш и сравнивает его с вычисленным самостоятельно хэшем полученного сообщения. Если они совпали, то подпись считается верной.
2. Как заражают ПК и воруют ЭЦП
По статистике известно, что одна из наиболее серьезных проблем обеспечения информационной безопасности – низкая осведомленность пользователей в ИТ технологиях и их беспечность, доходящая до безалаберности. Во всех случаях, описанных в специализированных источниках, а также и в расследованных нами, для похищения секретных ключей и паролей к ним использовались программы класса «Троянский конь» или «Трояны», к которым также относятся «Похитители паролей» и «Клавиатурные шпионы».
Троян – это специальная вредоносная программа, написанная злоумышленниками с главной целью: нанести ущерб зараженному компьютеру. Существует несколько способов установки Трояна на компьютер жертвы: например, через установку «полезных» программ, скачиваемых пользователями из Интернета или через ссылки в письмах. Нажимая на эту ссылку, пользователь как бы говорит: «Да, я согласен на установку Вашей вредоносной программы». Также можно заполучить Трояна и путешествуя в сети по незнакомым сайтам.
Вы спросите про антивирусы, но, во-первых, на тех компьютерах, которые мы изучили в ходе расследования инцидентов кражи, антивируса вообще не было или он не обновлялся несколько лет.
Во-вторых, если вирус-загрузчик Трояна «свеженький» или, вообще, написан специально для Вас, то ни один традиционный антивирус его не определит. Есть специализированные утилиты, идентифицирующие вредоносные программы по косвенным признакам их активных действий, но они требуют квалифицированной ручной работы, к тому же такая идентификация проходит постфактум, когда Троян уже сработал и возможно украл все, что надо.
3. СУИБ ISO 27001:2005 в качестве инструмента быстрого реагирования
В нашем Банке, впервые в России в финансовой сфере, внедрена и успешно функционирует Система управления информационной безопасностью (СУИБ) сертифицированная на соответствие международному стандарту ISO 27001:2005. Эта система, не смотря на ресурсоемкость при внедрении, реально способствует отслеживанию информационных рисков и оперативному реагированию на наиболее критичные из них. Теперь клиенты могут быть спокойными, что информационная безопасность в «Банк24.ру» обеспечивается системно и круглые сутки. Ярким примером моментального реагирования на инциденты информационной безопасности служит предотвращения массового воровства денежных средств со счетов клиентов Банка при помощи украденных у них секретных ключей ЭЦП.
Происходило это так. Был зафиксирован один случай обращения клиента с заявлением о воровстве, мы его зарегистрировали, но случай был единичным. Неоспоримо виноватым был сам клиент, на его компьютере мы нашли десяток разных Троянов и несколько клавиатурных шпионов. Не смотря на явную вину клиента, инцидент определился как риск, влияющий на репутацию Банка, но с низкой критичностью. После получения информации от правоохранительных органов о массовом подобном воровстве в масштабах России, идентифицированный риск, по своей критичности, поднялся, в перечне рисков, в зону немедленного реагирования. В соответствии с процедурами СУИБ нами были предприняты меры смягчения критичного риска. В качестве быстрой меры, в течение суток, была включена фильтрация групп адресов, с которых злоумышленники отправляли подложные платежки, подписанные ворованными ЭЦП. Но, для реализации этих мер, понадобился огромный ручной труд по взаимодействию с клиентами, адреса которых попали в группу фильтрации, соответственно указанные операции замедлились до суток. К тому же мошенники стали менять свои адреса, и на ручную фильтрацию попадало все больше и больше клиентов.
4. Токен – это защитный микрокомпьютер
В качестве более долгосрочной, но гораздо более эффективной, меры смягчения риска был выбран, рекомендованный разработчиком Интернет-банка, микрокомпьютер токен. Термин «токен» имеет множество значений, но нашем случае ближе к контексту одно из значений английского слова token — отличительное свойство или характеристика. В этом значении оно используется для идентификации, когда человек или программа должна удостовериться в личности собеседника.
В мировой практике микрокомпьютеры под названием токены используются для защиты ЭЦП давно и успешно. Защитная функция токена в том, что секретный ключ определяется генератором случайной величины внутри устройства и не покидает его никогда, а весь процесс подписи документа осуществляется процессором токена. Главная особенность отечественных токенов, применяемых нами, в том, что все рассмотренные выше криптографические вычисления проводятся в соответствии с российскими стандартами ГОСТ и токен имеет лицензию ФСБ.
Заслуга «Банк24.ру» (ОАО) в том, что мы, после внедрения СУИБ, оперативно реагируем на все инциденты информационной безопасности. Через неделю после принятия решения мы тестировали первые токены на обновленном Интернет-банке. Еще через неделю мы уже предоставляли клиентам услугу защиты секретного ключа ЭЦП с помощью токенов российской разработки.
IDCrisis 4 августа 2008 г., 21:52
А разве токены не возможно подделать? Например, с некоторым дорогим лицензионным ПО тоже идут токены для защиты лицензионных копий. На их взлом уходит много времени, однако зто воможно. После взлома создаются виртуальные образы токенов, которые программа воспринимает в качестве настоящих. Или же токены Банка настолько сложны для расшифровки, что это просто не реально?
Cooler 5 августа 2008 г., 9:59
Почему бы не предложить клиентам банка, пользующимся удаленным управлением счетом заполнить список адресов, с которых они заходят в систему интернет-банк (домашний ip адрес, рабочий ip адрес,…). Ну и разрешать проведение платежей только с адресов из этого списка.
5 августа 2008 г., 11:24Начальник службы информационной безопасности c 2007 по 2010 год
Для IDCrisis:
Устройство для защиты ПО называется HASP (Hardware Against Software Piracy, что в переводе означает “аппаратные средства защиты авторских прав”). Внешне оно не отличается от токена, но внутри реализован несколько другой механизм защиты, об этом косвенно можно судить по разнице в перечне криптографических алгоритмов, используемых в токенах, предлагаемых нашим банком и в HASP.
Как пишет один из разработчиков подобных устройств: «Мощный 128-битный криптографический алгоритм AES, который реализован в HASP HL, практически гарантирует программные продукты, защищенные им от взлома. Во всяком случае, серьезно усложняет задачу потенциальным злоумышленникам».
Подпись ЭЦП внутри токена делает эту задачу практически не выполнимой для преступника.
В теории любая защита когда-нибудь будет взломана, вопрос только во времени и стоимости реализации такой задачи. В настоящее время преступникам нет смысла заниматься изысканиями – у них есть легкий способ хищения секретного ключа с дискеты, флэшки или жесткого диска ПК, что они и делают успешно и массово.
5 августа 2008 г., 11:29Начальник службы информационной безопасности c 2007 по 2010 год
Для Cooler:
Такая услуга есть и бесплатно, в статье упоминается про IP фильтрацию. Проблема в том, что ряд клиентов имеют динамические IP адреса, а кто-то хочет работать в отпусках, командировках и т.д. Да и подделать IP адрес для мошенника не такая уж большая проблема.
Виталий 6 августа 2008 г., 13:06
Спасибо незнал
Константин 25 сентября 2009 г., 17:36
у современных компьютеров сейчас, как минимум, два стандартных пути ввода информации – клавиатура и мышь.
вопрос: кто мешает разработчикам систем «клиент-банк» ограничить ввод идентифицирующей клиента информации – с помощью мыши, а НЕ с клавиатуры?
думаю, это будет немного дешевле, чем те же токены
но я о другом.
хочу спросить – а как вы оцениваете правовую сторону вопроса безопасности систем «клиент-банк»? КТО, по-вашему – несёт ответственность за взлом этих систем и кражу денег со счетов клиента – банк, взявшийся профессионально хранить эти деньги, или, оплошавший в силу своей непрофессиональности в области защиты информации, клиент? и в какой пропорции?
2 октября 2009 г., 17:56Начальник службы информационной безопасности c 2007 по 2010 год
Если, “оплошавший в силу своей непрофессиональности в области защиты информации, клиент” не выполнил рекомендаций банка и деньги увели по вине клиента (вину устанавливает суд), то ответственность клиента 100%.
По опыту работы: если клиентами выполняются все наши рекомендации по безопасности, то у мошенников ничего и не получается.
Насчет виртуальной клавиатуры: в своем Интерент-банке для физ лиц мы её сделали
И-банк для юрлиц – разработка не наша, разработчик говорит, что большинству клиентов не удобно работать с виртуальноу клавиатурой.
Хочу еще раз отметить, что токен снимает все вопросы с воровством ЭЦП. Эта рекомендация стоит 1500 руб, но она реально защищает деньги