В Москве прошел форум по практической безопасности Positive Hack Days III.

В рамках форума прошли дискуссии, соревнования и мастер-классы, посвященные банковской тематике. Студент пятого курса СамГАУ, специалист отдела анализа защищенности компании «Информзащита» Анатолий Катюшин под ником heartless в ходе конкурса «Большой ку$h», взломал систему дистанционного банковского обслуживания (ДБО) и «похитил» денежные средства. Состязание проходило в два этапа: сначала участникам для анализа были предоставлены копии виртуальных машин, содержащие уязвимые веб-сервисы ДБО, аналогичные реальным системам. На втором этапе конкурса хакеры должны были за ограниченное время эксплуатировать обнаруженные уязвимости и украсть как можно больше денег. Специально для конкурса «Большой ку$h» была разработана система ДБО PHDaysiBank, содержащая уязвимости, которые встречаются в банковских системах в реальной жизни.

В ходе форума лидер фракции ЛДПР в Госдуме Владимир Жириновский рассказал, что его коллеги-законодатели прежде сталкивались главным образом с негативными проявлениями информационной безопасности — взломами и атаками. «И хотя это совершенно новая область знаний, государству необходимо ее поддержать, — отметил политик. — Поэтому мы готовы создать правовую базу, чтобы эксперты по безопасности могли работать и не бояться ответственности. В свое время даже частное предпринимательство было уголовно наказуемым. Вполне понятно любопытство, проявляемое юными хакерами: что-то взломать, разобрать, посмотреть, как устроено. Без этого нельзя создать ничего нового. Но когда этот интерес крепко замешан на деньгах, когда молодой человек уходит в криминал — плохо становится всем».

Между тем, из ближнего и дальнего зарубежья в последнее время поступает все больше новостей по фактам хакерских атак, направленных на финансовые учреждения.

На прошлой неделе в Украине был задержан 23-летний киевлянин, который вместе с сообщником снял со счетов вкладчиков одного из столичных банков 8,4 млн. гривен. Аферу с похищением средств вкладчиков банка разработал 24-летний экс-менеджер этой кредитной организации. В апреле правоохранители задержали его на приграничной территории и изъяли 1 млн гривен.

11 мая группа злоумышленников взломала текущий счет группы компаний RPG Group (в одном из банков индийского Мумбаи) и выкрала 24000000 рупий (около $431000). Вся операция заняла у злоумышленников не более 3 часов. По информации Times of India, киберпреступники перевели похищенные деньги на 13 банковских счетов, разбросанных по всей стране. Банк заблокировал все вышеупомянутые счета, однако киберпреступникам все же удалось снять часть денег. По имеющимся данным, индийская полиция арестовала 3-х членов банды, попытавшихся снять деньги со счетов в отделениях банка в городах Коямпуттур и Хайдарабад. Как выяснилось, компания стала жертвой вредоносной программы, разосланной ее сотрудникам злоумышленниками.

В начале месяца была опубликована информация о крупномасштабной афере. Группа хакеров из Нью-Йорка похитила не менее 45 млн. долларов с дебетных карт MasterCard, выпущенных банками Объединенных Арабских Эмиратов и Омана. Злоумышленники провели две операции, каждая из которых заняла всего несколько часов. За это время взламывалась база процессингового центра, после чего информация передавалась сообщникам в 26 странах, которые обналичивали средства через банкоматы.

Словенская полиция задержала жителя Любляны, который с помощью специальных компьютерных программ за несколько месяцев украл у ряда компаний и физических лиц более 270 тыс евро. По данным полиции, злоумышленник мог достаточно долгое время незаметно контролировать работу компьютера своей жертвы с помощью программы-шпиона. Он был в состоянии дистанционно включать и выключать встроенные видеокамеры, микрофоны, фиксировать нажатие той или иной клавиши на клавиатуре. Таким образом, хакер получал доступ к именам пользователей и паролям системы "электронный банк". Пользуясь ими, преступник переводил средства на специально открытые счета. Затем его сообщник снимал наличные деньги в различных банкоматах по всей Словении.

Впрочем, не только банки, но и профессиональные ассоциации финансистов являются мишенью для хакерских атак. Работа Независимой ассоциации банков Украины (НАБУ) по преодолению киберпреступности привела к атаке на один из ее сайтов. Неизвестные, которые прячутся под названием SES TEAM, взломали специализированный сайт "Антикибер" (anticyber.com.ua), который является частью проекта НАБУ "Противодействие киберпреступности". Результатом действий злоумышленников стало изменение внешнего вида сайта. На данный момент работа ресурса восстановлена, но часть информации утеряна". Проект "Противодействие киберпреступности" и сайт "Антикибер" являются социальными проектами: сайт содержит ценную для любого пользователя финансовых услуг информацию, которая помогает ему не стать жертвой киберпреступников.

Участникам экспертного пула Bankir.Ru было предложено ответить на вопрос: "Как в России на текущий момент обстоит дело с противодействием взлому банковских систем?"

Комментирует Павел Ложкин, заместитель генерального директора компании «Андэк»:

- Описаны совершенно разные по своей сути варианты несанкционированного использования информационных систем, эксплуатации различных уязвимостей, которые, по сути, объединены в одно целое только одним простым выводом: если не задумываться об обеспечении информационной безопасности, то вам об этом помогут задуматься злоумышленники. И стоить вам это будет весьма и весьма недешево. Поэтому-то в России банки серьезно относятся к обеспечению информационной безопасности и, по крайней мере, необходимый набор защитных мер обеспечивается. Ситуация, когда за обучение в области информационной безопасности приходится платить, возникает именно тогда, когда клиенты не выполняют ряд простых, но эффективных правил использования дистанционного банковского обслуживания (ДБО), при этом основная проблема с мошенническими операциями возникает именно на стороне клиента, для этого злоумышленники используют уязвимости в компонентах клиентской части программ ДБО. И платить весьма и весьма дорого, поскольку злоумышленники, получив доступ к управлению счетом, забирают все, что там есть.

Комментирует Евгений Афонин, начальник отдела безопасности банковских систем компании «Информзащита»:

- Говоря о взломе банковских систем, большинство экспертов в первую очередь имеют в виду системы дистанционного банковского обслуживания (ДБО). Это связано, в том числе, с доступностью точек подключения к ДБО для злоумышленников из сети Интернет.
При совершении взломов ДБО мошенники распределяют между собой функции, применяют автоматизированные средства для атак, методы социальной инженерии, планируют атаки накануне выходных и праздничных дней, применяют DDoS, веерно переводят похищенные средства через цепочку нескольких организаций. Другими словами, взлом ДБО обычно совершается хорошо организованной преступной группой, которая тщательно планирует свои действия. Уязвимости операционных систем, Web-приложений, небезопасные архитектурные решения, недостаточная осведомленность персонала и клиентов, нарушения процессов управления ИБ, ИТ становятся для преступников подспорьем в организации успешных атак.
С другой стороны, повышению уровня безопасности систем ДБО способствуют требования и рекомендации регуляторов, международные стандарты и последовательное применение лучших мировых практик. Чтобы не быть голословным, приведу пример. С 1-го января 2014-го года вступает в силу 9 статья ФЗ-161 «О национальной платежной системе», обязывающая банки возмещать по заявлению клиентов похищенные денежные средства. В связи с этим банки не только включают в свои планы, но уже начинают создавать автоматизированные системы фрод-мониторинга, которые позволят минимизировать число успешных атак мошенников.
Реализация сервисов оплаты по платежным картам влечет необходимость ежегодной сертификации систем ДБО на соответствие требованиям международного стандарта PCI DSS. Официальный перевод этого стандарта на русский язык появился по инициативе Банка России в апреле текущего года. Ежегодный аудит безопасности системы ДБО является важной составляющей комплекса мер обеспечения информационной безопасности банка. Обычно аудит ДБО включает оценку архитектуры и оценку защищённости от наиболее опасных и популярных атак. Например, перечисленных в актуальном списке OWASP Top 10.
Еще одной мерой повышения уровня безопасности банковских систем является следование разработчиками банковского программного обеспечения стандартам безопасной разработки ПО и его сертификация. Часть банков уже используют такой подход, разрабатывая на основе международных стандартов и практик (PA-DSS, CERT Secure Coding и пр.), корпоративные стандарты безопасной разработки ПО.

Комментирует Ольга Корнеева, директор по маркетингу процессингового центра PayOnline:

- В первую очередь, стоит отметить, что требования к безопасности и целостности информационной инфраструктуры банковских организаций, предъявляемые государством, национальными и международными платежными системами, отличаются от требований, предъявляемых глобальными участниками рынка к платежным сервис-провайдерам, коим и является процессинговый центр PayOnline. Однако информационную инфраструктуру любого поставщика услуг эквайринга можно в общем описать тремя основными элементами: перечень компонентов информационной инфраструктуры по уровням (приложения, хранилища данных, компьютеры, сетевое оборудование), схема сетевой инфраструктуры и потоков данных (прикладной инфраструктуры). Требования к безопасности этих элементов в основе своей очень схожи, и имеют они не национальный, а международный характер. Это связано с доминирующей ролью ведущих международных платежных систем Visa и MasterCard на мировом эквайринговом рынке. Без соответствия требованиям МПС невозможна деятельность организаций, занимающихся оффлайн или онлайн эквайрингом, а также предоставлением любого рода услуг на эквайринговом рынке.
Работа над целостностью информационной структуры ведется непрерывно и затрагивает множество направлений, в нее вовлечены не только специалисты по информационной безопасности, но и IT департаменты, а также основные бизнес-подразделения компании, не связанные с информационной безопасностью напрямую, но имеющие доступ к одному или нескольким элементам информационной инфраструктуры. Например, процессинговый центр, обрабатывающий более 6 млн. транзакций в год, регулярно проходит ряд сертификаций и проверок и постоянно проводит работы по обеспечению наивысшего уровня безопасности и целостности информационной инфраструктуры. Проводится регулярное сканирование внешнего периметра сети на предмет уязвимостей (ASV-сканирование), тесты на проникновение, ежегодный сертификационный QSA-аудит, заполняются листы самооценки SAQ. В рамках поддержки соответствия международному стандарту безопасности PCI DSS также выполняются регулярные процедуры внутреннего сканирования защищенности системы, учета и контроля изменений в информационной инфраструктуре. Ведется постоянный учет и контроль доступа к данным, и другие регулярные действия, связанные с работой системы управления информационной безопасностью.
Основной проблемой финансовых и сервисных структур является не высокий профессионализм мошенников, а отсутствие системного подхода к работе с информационной инфраструктурой, самостоятельным поиском и ликвидацией уязвимостей, - процедур внутреннего аудита (ISA) и самооценки. Внимание должно уделяться каждому из основных направлений информационной безопасности: от конфигурации компонентов до физической защиты информационной инфраструктуры. При ответственном подходе к созданию и исполнению внутренних протоколов, связанных с проведением проверок, тестов и ликвидации потенциальных уязвимостей специалистами по информационной безопасности, можно рассчитывать на значительное повышение уровня безопасности информационной инфраструктуры.