|
|
Обзор подготовлен
В октябре 2011 года международная некоммерческая организация производителей оборудования и программ для банкоматов ATMIA (Automated Teller Machines Industry Associatio,) выпустила очередной набор рекомендаций по безопасности банкоматов. Этот документ впервые уделяет серьезное внимание защите от кибератак на программное обеспечение банкоматов.
Согласно материалам Википедии, первое устройство для механической выдачи наличных было разработано человеком по имени Лютер Джордж Симджан (Luther George Simjian) и было установлено в помещении «Банка Нью-Йорка» в городе Нью-Йорке в 1939 году. К сожалению, из-за отсутствия достаточного числа клиентов машина была демонтирована и больше нигде не появлялась. Сэр Джон Шеферд-Барон (John Shepherd-Barron) (1925 – 2010) изобрел банкомат в его современном виде в 1965 году. Банки De La Rue and Barclay’s запустили первые банкоматы в Лондоне 27 июня 1967 года.
Между тем, специалисты авторитетного британского исследовательского агентства Retail Banking Research прогнозируют, что к 2015 году количество банкоматов по всему миру возрастет до 3 млн штук. Тем самым, банкомат станет основным каналом распространения наличных во всех слоях общества.
Банковский сектор – один из секторов, приковывающих наибольшее внимание компьютерных злоумышленников всего мира. Особенно это касается систем дистанционного банковского обслуживания (ДБО). Махинации с банковскими картами происходят повсеместно. Тысячи людей ежедневно расстаются со своими деньгами из-за взломов систем безопасности банкоматов и терминалов. По данным советника президента Ассоциации российских банков по вопросам безопасности Олега Казакевича, которые он озвучил на выставке-конференции InfoBez-Expo 2011 в Москве, на первых позициях в рейтинге киберугроз расположены мошенничество в ДБО, DDoS атаки на банковские сети и несанкционированный доступ.
Причем DDoS, подчас, является отвлекающим маневром, который притягивает к себе внимание технических служб безопасности. А в это время злоумышленник выполняет нужные ему действия уже внутри банковской системы, с помощью ранее внедренных туда вредоносных программ.
Кроме того, господин Казакевич поделился и некоторыми цифрами ущерба, нанесенного банкам в России в 2011 году. В 2,5 млрд руб. оценивается ущерб от мошенничества с банковскими картами, 55 млн руб. увели у крупного московского банка в конце сентября 2011 г.
Если говорить о количестве атак, то, по словам советника, регистрируется 5-8 атак на системы ДБО в неделю. Цели атак бывают разные - от банального съема денег со счетов до рэкета и шантажа. Существуют и примеры недобросовестной конкуренции, когда финансовую организацию либо заставляют уйти с рынка, либо принуждают слиться с другой структурой.
Господин Казакевич отметил, что государство не готово к противодействию. И поэтому в данный момент АРБ готовит специальный программно-аппаратный комплекс противодействия широкому спектру угроз. «Сейчас у нас в стране 150 млн карт, - говорит он. - После принятия закона о национальной платежной системе количество карт вырастет на 90 млн. И их владельцами будут люди, которые ничего не знают о тех опасностях, которые их подстерегают».
Кроме материальных потерь от действий злоумышленников наиболее значимыми представляются и репутационные риски для банков.
В мире ситуация развивается похожим образом с тем лишь исключением, что цифры потерь многократно превышают российские. В связи с этим Международная некоммерческая организация производителей оборудования и программ для банкоматов (ATMIA) выпускает набор рекомендаций, целиком и полностью посвященный безопасности программного обеспечения (ПО) для банкоматов.
Опрос, охвативший 37 стран мира, показывает, что кибератаки занимают 3 место в рейтинге угроз на 2011 год. На первом месте, по-прежнему, традиционный скимминг, на втором - незаконные проникновения в помещения с банкоматом и его физический вынос. Особо отмечается, что кибератаки увеличивают свою долю, тогда как доля традиционных угроз снижается. В последнее время компьютеризации банковского обслуживания активно развивается и вместе с тем растет и число тех, кто пользуется ошибками и недоработками в компьютерных системах для мошеннических действий.
«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, - пишет во вступлении технический редактор документа Петер Кулик (Peter Kulik). - Кроме того, преступления, связанные с ПО, относятся к категории скрытых. Их очень трудно обнаруживать, и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений».
Хорошей иллюстрацией этому может служить пример одного кибер-ограбления, которое случилось в Канаде в 2011 году с компанией, продающий предоплаченные дебетовые карты. Мошенничество поражает своей простотой и эффективностью. Группа злоумышленников открыла несколько десятков дебетовых карт по всему миру, на каждую из которых было положено по $15. Затем была взломана система банка и найдена подсистема, отвечающая за контроль минимальной суммы на карте. Удаленно злоумышленники увеличили остатки на купленных картах до нескольких десятков тысяч долларов. В течение пары дней они сняли с этих карт около $1 млн в банкоматах по всему миру. Спустя несколько месяцев такая же ситуация повторилась с другим банком, правда сумма ущерба составила уже $13 миллионов. Тогда было открыто всего 22 дебетовые карты. При этом власти не произвели никаких арестов ни по первому, ни по второму делу.
Традиционные грабители банков, наверно, приходят в ужас, узнав о суммах, снимаемых киберпреступниками. Порой, журналисты, пишущие на эту тему, выходят на ту или иную персону внутри преступных организаций, которая делится некоторой информацией о том, как стало возможным осуществить виртуальное ограбление. Все они в один в один голос говорят о большом количестве «дыр» в банковском ПО, благодаря которым становится возможным проникновение и контроль над системой. И чем сложнее становится банковское ПО, тем больше уязвимостей и потенциальных точек проникновения остается для злоумышленников.
«Именно поэтому мы настоятельно рекомендуем всем организациям, занятым в сферах установки и обслуживания банкоматов изучить настоящий документ, - продолжает г-н Кулик, - Для эффективного противодействия преступникам необходимо, чтобы все заинтересованные организации по всему миру крайне серьезно отнеслись к руководству и учли у себя весь тот опыт, который мы скрупулезно собрали для них».
Как отмечают специалисты ATMIA, по сути, банкомат - это компьютер под управлением операционной системы с некоторым набором установленных программ. Хакер может вторгнуться в систему на программном уровне и заставить банкомат выполнять нужные ему действия. При этом хакер может оставаться незамеченным в течение длительного периода времени. Взлом ПО банкомата происходит потому, что хакеру удается изучить структуру установленных на банкоматах программ и понять как, они работают. Остальное – дело техники.
Дмитрий Сучков, технический директор российской компании SafenSoft, занимающейся разработкой ПО для безопасности компьютеров и сетей, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В процессе жизненного цикла программы выпускаются обновления, исправляющие ошибки, однако далеко не редки случаи, когда исправление, закрывающее одни недостатки, привносит в программу другие. Данный процесс цикличен и даже программы, для которых выпущено множество обновлений, все равно остаются уязвимыми».
По словам г-на Сучкова, основная цель злоумышленника заключается в извлечении той или иной финансовой выгоды. Логично, что целью атак является банковское ПО, оперирующее персональными данными и управляющее денежными потоками.
В тоже время д-р Дональд Кресси (Donald Cressey) разработал хорошо известный «преступный треугольник»: возможность + финансовая заинтересованность + рационализм. Возможность взлома ПО есть, значит, ее можно и нужно использовать. Финансовая заинтересованность или нужда в деньгах есть всегда, и проникновение в систему сулит немалый доход. А вот что касается рационального подхода, то это означает, что хакер не будет ломать «в лоб», а приложит свои усилия там, где проникнуть легче всего. А это как раз касается описанных выше уязвимостей и ошибок в ПО.
«Если злоумышленник сумел изменить операционную систему, управляющую банкоматом – это уже не ваш банкомат, - говорится в руководстве ATMIA. - Если злоумышленник сумел загрузить свою программу в банкомат – это уже не ваш банкомат. Если злоумышленник принудил вас запустить его программу на банкомате – это уже не ваш банкомат».
Индустриальный опыт показывает, что невозможно полностью избавиться от ошибок и «дыр» в программах. Если хакер использует эти уязвимости для проникновения в систему, то следует скрыть от него такие уязвимости. Сегодня злоумышленники применяют метод реверс-инжиниринга для исследования программ и нахождения в них ошибок. Реверс-инжиниринг отмечается ATMIA как один из наиболее популярных и прогрессирующих на сегодняшний день способов исследования и взлома программ.
«Современные технологии виртуализации открывают новые возможности для реверс-инжиниринга ПО и создания вредоносных программ для атак на банкоматы, - говорится в пункте 19 краткого изложения материалов руководства. - Реверс-инжиниринг позволяет изучить алгоритмы программы и буквально разобрать ее по винтикам. Как только работа алгоритмов программы становится понятна, их можно изменить и привнести в работу ПО любой сторонний функционал».
Для предотвращения внесения изменений в работу ПО банкомата специалисты ATMIA советуют использовать опыт профессионалов и применять специализированные средства борьбы. Здесь же приводится список средств, которые способны предотвратить модификацию ПО банкомата.
Методы защиты от реверс-инжиниринга
Метод защиты | Описание |
Обфускация программного кода | Обфускация – приведение исходного текста или исполняемого кода программы к виду, сохраняющему ее функциональность, но затрудняющему анализ, понимание алгоритмов работы и модификацию при декомпиляции (по определению Wikipedia.org). |
Технология виртуальной машины | Виртуальная машина - программная система, эмулирующая аппаратное или программное обеспечение (по материалам Wikipedia.org). Виртуальная машина представляет из себя закрытый, хорошо защищенный программный контейнер, в котором исполняется часть программного кода. |
Применение поведенческих анализаторов | Вредоносные программы, как правило, стараются получить доступ к тем участкам системы, которые работают на уровня ядра операционной системы. Такое поведение может считаться подозрительным, если программа, пытающаяся получить такой доступ, не входит в «белый список» программ, которым такой доступ разрешен. Данный способ помогает предотвратить функционирование вредоносных программ, которые уже попали в систему. |
Изолирование отдельных программных процессов в системе | Аналогично предыдущему пункту. В системе изолируется не программа целиком, а только один из ее процессов, который вызывает подозрение в своей злонамеренности. |
Шифрование траффика клиент-сервер | Для предотвращения «внедрения» в канал связи и перехвата данных, текущих между банкоматом и сервером банка. |
Источник: ATMIA, 2011
ATMIA отмечает, что подобные технологии защиты программ широко и успешно используются в других отраслях экономики и зарекомендовали себя как недорогой и эффективный способ frontline защиты от проникновения и перехвата управления хакерами (frontline – в переводе с англ. - передний край, фронт). Время, которое может потратить даже начинающий хакер на изучении незащищенной программы, может исчисляться часами и даже минутами. Однако, изучение запутанного, «размешанного» кода, который написан на собственном языке программирования и скомпилирован индивидуальным компилятором, да кроме того, работающего внутри виртуальной машины, является чрезвычайно сложной задачей. Известны случаи, когда злоумышленники тратили годы на взлом хорошо защищенной программы. Часто происходит так, что взломанная программа функционирует неверно, потому что хакеру не удалось проследить все связи внутри алгоритмов и восстановить их.
При этом программы могут быть очень громоздкими и сложными с тысячами функций. Технический директор компании StarForce Technologies, разрабатывающей и внедряющей технологии защита программного кода от исследования и взлома, Александр Зацепин считает, что защищать всю функции программы не имеет смысла: «Хакера не интересуют модули программы, которые, например, отрисовывают пользовательские окна на экране банкомата. Достаточно перенести в виртуальную машину функции программы, отвечающие за процессинговую часть или за сбор и передачу данных карты и пин-номера, и процесс получения доступа к этим критически важным участкам будет чрезвычайно затруднен». Специалист отмечает, что после защиты, процесс исследования программы и поиска уязвимостей в ней становится чрезвычайно трудоемким, требует много времени и средств.
Создание «белых списков», о которых говорилось выше, отмечается в документе ATMIA как один из наиболее действенных способов защиты от запуска вредоносного ПО в системе. Однако если какая-либо программа, входящая в белый список разрешенных, была ранее модифицирована злоумышленником, то она будет запущена и отработает до конца. Это хорошо иллюстрирует тот факт, что следует действовать системно и использовать различные средства защиты.
Основываясь на собственных данных, представители ATMIA прогнозируют увеличение интереса финансовых и кредитных организаций, чьи программные системы особо подвержены действиям хакеров, к системам защиты кода.
Сегодня банки с большим трудом завоевывают доверие клиентов. Для банка доверие - это оценка № 1 на пути к сердцу вкладчика. Утечка персональных данных, похищение денег со счетов клиентов, перебои в работе сервиса – все это может сыграть злую шутку с кредитной организацией и подорвать доверие к ней. Репутация – вот важнейший определяющий фактор, когда речь идет о том, чтобы отдать собственные деньги в чужие руки. Очевидно, что надежная защита банкомата, устройства, которое уже сегодня становятся наиболее распространенным способом общения клиента с банком, – это вложение в поддержание доброй репутации банка и доверия к нему со стороны текущих и потенциальных клиентов.
Дмитрий Гусев