Новости

Как защитить удаленный банкинг?

09.02.2011

Олег Глебов, Ведущий технический специалист

Атаки злоумышленников на системы удаленного банковского обслуживания не только не прекращаются, но делаются все более изощренными и дерзкими. Для того чтобы противостоять им, использовавшихся ранее программных комплексов обеспечения безопасности уже явно недостаточно. Выходом может стать применение аппаратных средств защиты ПО.

Многие банки сегодня переходят от работы с клиентами «лицом к лицу» к дистанционному обслуживанию. Это позволяет им, сохраняя прежний уровень обслуживания клиентов, сократить разросшиеся штаты, повысить эффективность бизнеса и даже – благодаря упрощению доступа к банковским услугам – заложить фундамент роста клиентской базы.
 
Однако из-за широкого спектра внешних угроз удаленные банковские сервисы могут дать обратный эффект. Активное применение онлайн-систем и клиентоориентированных программных продуктов предоставило больше возможностей для различного рода мошеннической деятельности. Причем специфика интернет-банкинга зачастую позволяет злоумышленникам использовать сеть для сокрытия следов своих незаконных действий, «растворяясь» вместе с похищенными деньгами.
 
Мобильный банкинг

Хакеров особенно привлекает возможность онлайн-доступа к банковским сервисам с мобильных устройств (смартфонов, КПК, нетбуков). Помимо традиционных способов мошенничества в сотовых сетях (с помощью SMS-ловушек) и в Интернете, сегодня широко распространены атаки на определенные модели устройств, версии операционных систем и программного обеспечения, направленные на манипуляцию данными на стороне клиента. Невозможность использования в мобильных устройствах аппаратных средств, предлагаемых ранее (USB), обусловила большую уязвимость онлайн-услуг. Предоставляя конечным клиентам программные средства защиты (ЭЦП, сертификаты и ключи под управлением middleware), банкам приходится полагаться на добросовестность пользователей, так как у них нет уверенности в том, что ОС устройств не заражены. Это обстоятельство ведет к тому, что злоумышленник может заранее подготовить вирусную или иную атаку и дожидаться лишь момента, когда владелец устройства воспользуется услугами банка.
 
В результате, по данным Центробанка и Ассоциации российских банков, в 2010 г. среди хакерских атак на первое место вышел взлом мобильных систем. Такое положение дел требует внедрения в банковской сфере новых методов защиты мобильных систем и услуг. Недостаточная надежность программных средств защиты ставит вопрос о применении аппаратных комплексов, которые уже активно используются в промышленном секторе.
 
К таким решениям относятся средства аппаратной защиты мобильных формфакторов: Compact Flash, Secure Digital и micro Secure Digital. Эти устройства, отличающиеся безотказностью, высоким быстродействием и длительным сроком службы, могут служить одновременно токеном, мобильным хранилищем данных и средством защиты программных продуктов. Тесная интеграция решений на основе карт SD и microSD с мобильными платформами Windows (а в будущем также Android и Apple iOS) может стать стимулом к применению методов защиты, в которых отдельное ПО хранится на карте памяти. А интеграция в PKI-решения, поддержка сертификатов и цифровых подписей позволит предоставить конечным пользователям значительно более высокий уровень безопасности при работе с веб-клиентом банка.
 
«Банк-клиент»
 
Отсутствие контроля над системой «банк-клиент» на стороне пользователя и в удаленных пунктах средних банков (крупные банки, имеющие квалифицированную службу безопасности, в большинстве случаев застрахованы от подобных угроз) явилось причиной увеличения числа мошеннических действий в сфере денежных переводов в первой половине 2010 г. Как любой программный продукт, приложение «банк-клиент» подвержено незаконной модификации вирусным ПО (троянами и др.), подмене сертификатов и ключей. Проводя атаку, встраиваемые хакерские модули инициируют ложные переводы, которые подписываются подлинными сертификатами и ключами конкретного отделения. Установление личности злоумышленника для такого рода действий почти невозможно, поскольку ложные транзакции все чаще путем взлома локальной базы данных привязываются к реальным пользователям системы переводов. В ряде случаев не обеспечивает надежной защиты и использование безопасных хранилищ ключей и сертификатов USB-токенов и OTP-генераторов, так как на зараженной системе пользователь вводит подлинный пароль с OTP-генератора, не зная о факте подмены. Незащищенность приложений класса «банк-клиент» позволяет злоумышленникам сначала создать узконаправленные вирусы для определенных банков, а впоследствии – разработать универсальные методы взлома банковского обеспечения на стороне клиента. 

Аппаратные средства на рынке контроля цифровых прав совмещают в себе классический функционал хранилища сертификатов и ключей (токен) с возможностью защиты программных продуктов на базе комплексного шифрования AES. Поставляя конечному пользователю аппаратный ключ (в формфакторах USB, PCMCIA, CF, SD или microSD) взамен USB-токена, банковская служба безопасности получает на стороне конечного пользователя комплекс, который обеспечит стопроцентную надежность передачи данных и целостность компонентов, поскольку внешнее устройство полностью защищено от нелегального доступа, модификации или подмены данных.
 
Банкоматы
 
Использование банкоматов до недавнего времени по праву считалось не только самым распространенным, но и самым безопасным способом удаленного взаимодействия с банком. Согласно требованиям безопасности, установленным Центробанком, средства удаленного обслуживания клиентов должны быть снабжены аппаратным межсетевым экраном, а данные должны передаваться в зашифрованном виде. По своей сути банкомат – это рабочая станция, на которой установлены операционная система (Windows XP и др.), специализированное ПО для взаимодействия с пользователем и средства шифрования трафика (с программным хранением ключей и сертификатов). Атаки на банкоматы могут осуществляться как с помощью встроенных средств удаленного обновления прошивки банкомата с подменой подлинного ПО хакерским, так и путем удаленного заражения ОС банкомата с установкой руткита.
 
Применение карт промышленного стандарта Compact Flash позволяет защитить ПО банкомата одним устройством. Новые поколения ключей защиты надежно хранят сертификаты, ЭЦП и ключи шифрования, участвуя в процессе защиты передаваемых данных как безопасное внешнее устройство и исполняя роль токена. Установка ОС на дополнительную флэш-память ключа позволяет контролировать отдельные файлы системы и целостное выполнение самой операционной системы непосредственно крипточипом ключа. Расширенный диапазон рабочих температур, средства самодиагностики для увеличения срока службы, высокая скорость чтения и записи (23–24 Mбайт/с) для повышения производительности – эти характеристики решения на основе карт CF обеспечивают уверенность в его безотказности. Работающее в банкомате ПО может быть полностью защищено шифрованием, надежно храниться на флэш-памяти и контролироваться крипточипом (контрольные суммы хранятся локально в устройстве). 

Возврат к списку

 

Защита банкоматов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Компрометация приложений для смартфонов

Имя* Компания* Email* Телефон

* - Поля, обязательные для заполнения

Семинар ATAR

Фамилия* Имя* Должность* Компания* Email* Телефон* Защита от автоматического заполнения Введите символы с картинки*

* - Поля, обязательные для заполнения

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*

Заполните поля

Защита от автоматических сообщений
CAPTCHA
Введите слово на картинке*