7 марта, воскресенье 08:26
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

iBank2 - комментарии БИФИТа к статье компании "ESET"

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • iBank2 - комментарии БИФИТа к статье компании "ESET"

    В новостях Банкира.РУ компания "ESET" разместила статью "ESET: Банковский троян Carberp использует новые техники атак на популярные клиенты систем ДБО" - http://bankir.ru/novosti/s/eset-bank...-dbo-10039873/

    Аналогичные статьи компании "ESET" с небольшими изменениями были размещены на других профильных ресурсах:

    - Хабрахабр - http://habrahabr.ru/company/eset/blog/174281/

    - CNEWS - http://safe.cnews.ru/news/2013/03/26...sredstv_523587

    - IXBT - http://www.ixbt.com/news/soft/index.shtml?16/66/53

    - Открытые системы - http://www.osp.ru/news/2013/0326/13018138/

    - CyberSecurity - http://www.cybersecurity.ru/crypto/172242.html

    - PCweek - http://www.pcweek.ru/security/news-c....php?ID=148805

    - SecurityLab - http://www.securitylab.ru/news/438954.php

    - NewsMe - http://newsme.com.ua/ua/tech/technologies/1728220/

    Компания "БИФИТ" считает необходимым сделать комментарии к данной статье и её производным.

    1. Если антивирусные аналитики компании "ESET" ничего не знают о встроенных в систему "iBank 2" механизмах противодействия вредоносному ПО - это не значит, что таких механизмов нет. Более того, это значит, что мы делаем всё хорошо.

    В iBank'е давно есть, активно используются и постоянно развиваются встроенные механизмы обеспечения безопасности, которые позволяют бороться с вредоносным ПО.

    О некоторых механизмах банки знают подробно. О других - частично. О третьих - знают только о факте их использования.

    Публично даже перечислять эти механизмы - значит, давать злоумышленникам материал для анализа. Чего делать крайне не хочется.

    Сделаю лишь одно исключение ибо анонс был запланирована на 1 апреля (не шутка).

    В рамках нашего пилотного проекта "Троян-детектор" в клиентский Java-апплет уже более полутора лет встроен и постоянно развивается детектор угроз, который выявляет аномалии в среде исполнения на компьютере клиента и информирует банк об этих аномалиях (вредоносном ПО).

    Банки, промышленно эксплуатирующие систему "iBank 2", знают об этом механизме и активно его используют в своей работе при обработке и принятии решений по платежам клиентов.

    С 1-го апреля проект становится коммерческим и начнутся поставки нового серверного модуля "Детектор угроз" для системы "iBank 2".

    Также в системе "iBank 2" присутствуют и активно используются банками известные дополнительные механизмы защиты:

    - Справочник доверенных получателей;

    - Белые и черные списки получателей;

    - Дополнительное подтверждение платежей (при превышении лимитов) кодами подтверждений, полученными по SMS, с использованием МАС-токенов и AGSES-карт;

    - Информирование клиентов по SMS о входе в систему, о доставке в банк новых платежных документов;

    - USB-токены и смарт-карты "iBank 2 Key" c неизвлекаемыми секретными ключами ЭЦП клиентов.

    Банкам уже более года рекомендуется вместо ОТР-токенов, одноразовый пароль которых никак не привязан к содержимому платежки или к реквизитам получателя, использовать чуть более дорогие но и более функциональные MAC-токены.

    МАС-токены генерируют коды подтверждений, являющиеся криптофункцией от БИКа банка получателя, расчетного счета получателя и суммы платежа.

    MAC-токены ActiveIdentity двух типов в количестве около 10 тысяч штук есть на складе БИФИТа в Москве. Большие партии (более 10 тыс. штук) - под заказ.

    Отдельная тема - внедрение в банках систем Fraud-мониторинга для ДБО.

    БИФИТ ведет разработку своей системы Fraud-мониторинга и сервиса.

    Также БИФИТ предлагает крупным банкам проекты по внедрению антифрод-системы RSA TM (более 8000 внедрений в мире, решение внедрено в Сбербанке и ВТБ, идут проекты в нескольких банках в России и СНГ).


    2. Автор статьи делает неправильный вывод об отсутствии в системе "iBank 2" механизмов обеспечения целостности: "Комплекс iBank2 не проверяет целостность своего кода..."

    Для обеспечения целостности клиентского Java-апплета "iBank 2" используется штатный механизм виртуальной Java-машины - ЭЦП разработчика под Java-апплетом. В клиентский Java-апплет встроены механизмы контроля целостности исполняемых модулей и данных в оперативной памяти компьютера.


    3. Описанное в статье компании "ESET" вредоносное ПО нам известно давно. БИФИТ постоянно отслеживает и анализирует новые версии вредоносного ПО.

    Упоминаемое в статье вредоносное ПО использует архитектурную особенность виртуальной Java-машины - возможность модификации байт-кода "на лету", непосредственно в оперативной памяти компьютера в процессе исполнения Java-апплета (проверка виртуальной Java-машиной ЭЦП разработчика под Java-апплетом происходит существенно ранее, перед запуском на исполнение этого Java-апплета).

    На основе указанной архитектурной особенности JVM построен целый ряд библиотек:
    - SM: http://asm.ow2.org/
    - BCEL: http://commons.apache.org/bcel/
    - Shrike: http://wala.sourceforge.net/wiki/index.php/Shrike_ technical_overview
    - Javassist: http://www.csg.is.titech.ac.jp/~chiba/javassist/

    Последняя библиотека и используется при работе трояна Carberp.


    4. Автор в своей статье использует неаккуратные формулировки, подменяющие суть.

    Например, под фразой: "Главной целью новой версии Carberp является модификация программного комплекса iBank 2 компании БИФИТ" подразумевается модификация вредоносным ПО клиентского Java-апплета iBank2, исполняющегося на уже инфицированном компьютере клиента в Web-браузере.

    Сам же программный комплекс "iBank 2", расположенный в банке, технически никак не может быть модифицирован "новой версией Carberp".

    Столь небрежные формулировки в общем-то характерны для пиаровских статей.

    Последняя же фраза автора: "Следует отметить, что решения ESET успешно детектируют как вредоносный код Carberp, так и его компоненты" однозначно идентифицирует статью как "продажную", а не аналитическую.

    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com
    Последний раз редактировалось Димитрий; 27.03.2013, 16:44.
    С уважением, Репан Димитрий
    Компания "БИФИТ" - www.bifit.com

  • #2
    В подтверждение написанного Димитрием, как клиент опытно эксплуатирующий систему, могу добавить следующее. С началом использования нашим банком пилотного "Троян-детектора" было определено более 54-х случаев заражения клиентской машины вредоносом. Совместно с другими технологиями (токены, OTP, MAC-токены), на данный момент, удается полностью избегать мошенничества.

    Комментарий


    • #3
      Дмитрий доброго дня!

      Рассмотрим третий пункт, Вы говорите, что “проверка виртуальной Java-машиной ЭЦП разработчика под Java-апплетом происходит существенно ранее, перед запуском на исполнение этого Java-апплета”. То есть после того, как проверка ЭЦП разработчика под Java-апплетом пройдена, вредоносному ПО уже ничего не мешает с помощью библиотеки Javassist менять содержимое самого Java-апплета в процессе его выполнения?

      Прокомментируйте пожалуйста.

      Спасибо!

      Комментарий


      • #4
        Lavrinenko, вы действительно не понимаете или тролите? ))) Приведите пример любого прикладного программного обеспечения, которое "мешает" своей модификации.

        Комментарий


        • #5
          То есть после того, как проверка ЭЦП разработчика под Java-апплетом пройдена, вредоносному ПО уже ничего не мешает с помощью библиотеки Javassist менять содержимое самого Java-апплета в процессе его выполнения?
          Lavrinenko, это Ваш первый пост на Банкире. Вы очень хотите знать технические подробности механизмов противодействия вредоносному ПО, встроенному в систему "iBank 2"?

          Если совсем кратко - в iBank2 встроены механизмы противодействие вредоносному ПО.

          Любые технические подробности в этой области являются строго КОНФИДЕНЦИАЛЬНЫМИ.

          Банки, промышленно эксплуатирующие систему "iBank 2", направляют запрос в нашу техподдержку и мы предоставляем КОНФИДЕНЦИАЛЬНУЮ информацию о механизмах противодействия. Если Вы сотрудник банка - пишите письмо с корпоративного e-mail'а на support@bifit.com

          Если Вы, Lavrinenko, просто технический специалист, коллега-разработчик, то скорее всего Вам знакомы методы противодействия реверс-инжинирингу, обеспечения целостности ПО, выявления нарушений последовательности исполнения кода, выявления аномалий в среде исполнения и т.д.

          Так вот все эти методы и еще много другого используется в iBank'е дабы противодействовать вредоносному ПО.

          Конечный результат всего этого противодействия - отказ банка в исполнении мошеннических платежек.

          Пост Akuma тому подтверждение.
          С уважением, Репан Димитрий
          Компания "БИФИТ" - www.bifit.com

          Комментарий


          • #6
            Сообщение от Димитрий Посмотреть сообщение
            Lavrinenko, это Ваш первый пост на Банкире. Вы очень хотите знать технические подробности механизмов противодействия вредоносному ПО, встроенному в систему "iBank 2"?

            Если совсем кратко - в iBank2 встроены механизмы противодействие вредоносному ПО.

            Любые технические подробности в этой области являются строго КОНФИДЕНЦИАЛЬНЫМИ.

            Банки, промышленно эксплуатирующие систему "iBank 2", направляют запрос в нашу техподдержку и мы предоставляем КОНФИДЕНЦИАЛЬНУЮ информацию о механизмах противодействия. Если Вы сотрудник банка - пишите письмо с корпоративного e-mail'а на support@bifit.com
            Спасибо за ответ и совет обратиться в саппорт с корпоративного адреса, так и сделаю.

            Комментарий


            • #7
              Сообщение от Akuma Посмотреть сообщение
              было определено более 54-х случаев заражения клиентской машины вредоносом.
              Прям таки 100% того , что в 54 случаях ПК клиента заражен. Может все таки в 54 случаев есть вероятность заражения? И если даже там 100% того что есть троян, как вы это проверили. Неужели звонили клиенту и он вам подтверждал что у него действительно есть троян.

              Комментарий


              • #8
                Сообщение от Rubaka Посмотреть сообщение
                Прям таки 100% того , что в 54 случаях ПК клиента заражен. Может все таки в 54 случаев есть вероятность заражения? И если даже там 100% того что есть троян, как вы это проверили. Неужели звонили клиенту и он вам подтверждал что у него действительно есть троян.
                Да, мы связываемся с клиентом по каждому случаю, просим произвести проверку антивирусным ПО (как штатным, так и одноразовыми утилитами). Так же рекомендуем переустановить JAVA-машину.
                Конечно, не все случаи подтверждаются именно обнаружением вирусного ПО, да и некоторые клиенты поначалу реагируют неадекватно... Но данную технологию считаю эффективной, так как она позволяет избегать мошеннических действий.

                Комментарий


                • #9
                  В кой-то веки подпишусь под словами Дмитрия Репана.
                  Да, меры есть, да используются. И да, банк (во всяком случае наш) благодарен за имеющиеся меры.

                  Комментарий


                  • #10
                    Напор продажных статей не угасает. Теперь, казалось бы, уважаемая компания AVAST включилась в гонку продажных статей. Прочитал — как из душа окатило. Стало вдруг совестливо и гадливо на душе:

                    https://blog.avast.com/2013/04/08/carberp_epitaph/
                    Last month a download of a java archive called AgentX.jar together with an encrypted data file rt.ini ((two steps of decryption one of which is RC4 with the key “123%esr2#221@#” ) was implemented in the Carberp module. They are dropped into the application directory of an e-banking system called IBank.
                    Неужели опять поклеп на непробиваемую защиту? Проясните ситуацию.

                    Комментарий


                    • #11
                      Если раньше на непробиваемую защиту писались продажные статьи в основном зарубежными компаниями, то сегодня поступил удар откуда не ждали.
                      Лаборатория Касперского написала свой блог:
                      http://www.securelist.com/ru/blog/20...erov_pribylo_2

                      Публика ожидает разъяснений.
                      Будет ли такой же разнос статьи, как устроен ESET'у?
                      Смогут ли эксперты определить градус продажности статьи Лаборатории Касперского?

                      Комментарий


                      • #12
                        Отвечу кратко.

                        1. Всё в статье написано верно.

                        2. Есть такой тип трояна. Давно его исследуем, следим за новыми модификациями. Детектор угроз iBank'а о нём знает.

                        3. БИФИТ постоянно закручивает гайки. В том числе и с помощью обфускации на уникальных словарях, чтобы троянам было сложнее влазить в код апплета.

                        4. Начиная с версии от 01 марта 2013 года в iBank встроены новые дополнительные механизмы активного противодействия конкретно этому типу трояна.

                        5. Обфускация злоумышленниками указанного трояна не сильно влияет на механизмы детектирования этого трояна, которые встроены и постоянно развиваются в системе "iBank2" (работающий троян оставляет много следов).

                        6. Разработчикам из Лаборатории Касперского желаем успешной и продуктивной работы.
                        С уважением, Репан Димитрий
                        Компания "БИФИТ" - www.bifit.com

                        Комментарий


                        • #13
                          Сообщение от Petrovi4 Посмотреть сообщение
                          Будет ли такой же разнос статьи, как устроен ESET'у?
                          Не помешало бы. )

                          Теперь банки обслуживают киберприступников.
                          Как следствие, растут и суммы на банковских счетах киберпреступников.

                          Комментарий

                          Обработка...
                          X