А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

23 июля, 2010«BIS Journal» № 1(1)/2011

Фролов Дмитрий

руководитель Цетра мониторинга и реагирования на компьютерные атаки в кредитно-финансовой сфере (FinCERT), доктор политических наук, кандидат юридических наук (Банк России)


Даёшь коллективную безопасность

Информационные атаки могут не только обернуться крупными убытками, но и угрожать самому существованию банка

Угрозы информационной безопасности чреваты для банков разнообразными видами ущерба различной степени тяжести, а также и иных негативных последствий. Хищения хакерами клиентских денег, вызванные утечкой конфиденциальной информации, всегда чреваты незапланированными расходами на покрытие судебных издержек по искам пострадавших и выплаты им компенсаций. Однако информационные атаки могут угрожать не только благополучию, но и самому существованию банка.

Особо опасны возможные негативные последствия хакерских нападений в виде ущерба имиджу банка, снижения рейтинга. Негативными результатами могут оказаться падение курса акций, разрыв выгодных контрактов, сокращение клиентской базы. Информационные атаки способны служить мощным оружием недобросовестных конкурентов и рейдеров. Не только искусственно создавать финансовые трудности, но и быть нацеленными на захват активов или даже полное уничтожение банка-жертвы.

Злоумышленники, которые организуют противоправные информационные атаки на банковские учреждения, зачастую добиваются не только или даже не столько собственной противозаконной выгоды. Их целями может быть также нанесение банкам ущерба ? финансового или репутационного, а также принуждение конкурента принимать выгодные злоумышленникам решения. С юридической точки зрения их можно соотносить со многими «традиционными» преступлениями, прописанными в Уголовном кодексе РФ.

ВРОДЕ ЗАУРЯДНОЙ УГОЛОВЩИНЫ

Завладевая реквизитами, идентификационными данными, конфиденциальной информацией, паролями клиентов банков, злоумышленники незаконно получают доступ к чужим данным. Образно говоря, изготавливают «отмычку» или копируют «ключ», незаконно присваивая полномочия распоряжаться чужими ресурсами – информационными, компьютерными и финансовыми. «Проба на прочность» информационной защиты эквивалентапопытке взлома.

Несанкционированный доступ к данным клиентов или внедрение в каналы связи между участниками расчётов помогают перехватить управление их персональными компьютерами и могут характеризоваться как взлом. Осуществление, с использованием похищенных данных, платежей на подставные фирмы от имени владельцев банковских счетов однозначно соответствует краже, противоправному тайному присвоению чужого имущества.

Создание bot-сетей из персональных компьютеров и серверов ? центров управления, зараженных вирусами, напоминают действия серийных угонщиков автотранспорта. Одновременная атака хакеров на веб-сервер банка, так называемая DDoS-атака (от англ. Distributed Denial of Service ? распределённая атака типа «отказ в обслуживании») соотносима с умышленным причинением ущерба чужому имуществу. Вплоть до приведения его в негодность, полного уничтожения.

Другие виды правонарушений, совершаемых в банковской сфере посредством информационных технологий, могут квалифицироваться не только какнедобросовестная конкуренция, но и как вымогательство, шантаж, терроризм. Существует и незаконный оборот IT-инструментария хакеров – в интернете, а также на оптических дисках продаются наборы вредоносного программного обеспечения для одиночек и организованных групп.

Более того, аналитики «Лаборатории Касперского» зафиксировали появление новой услуги  ? спам-рассылку «DDoS-сервиса». Клиенту обещают «вывести из строя сайт конкурента», рекламируют свои безграничные возможности – «наши бот-неты находятся в разных часовых поясах, что позволяет держать постоянно в он-лайне многочисленную армию ботов, нашу атаку нельзя закрыть по стране!». «Кибер-киллеры» завлекают низкими ценами: «1 час ? $ 20, сутки ? от $ 100, крупные проекты ? от $ 200, в зависимости от сложности заказа». Сулят заказчику «тест на 15 минут ? бесплатно!».

Вольными или невольными пособниками хакерских «бригад» выступают некоторые провайдеры. Допуская подмену адреса на DNS-сервере, они допускают возможности перебоев доступа к электронным банковским услугам, оставляя крайне мало шансов и банкам, и их клиентам самостоятельно противостоять угрозе фарминга.

КЛАССИФИКАЦИЯ DDoS-АТАК

В российской банковской системе накоплен богатый опыт противодействия различным информационным атакам. Его  достаточно, чтобы подробно классифицировать противоправные цели злоумышленников и методы их достижения. На основании имеющихся данных можно проанализировать существующие недостатки информационной защиты банков и определить меры по их устранению. DDoS-атаки классифицируются по нескольким основаниям: по объекту, траектории, нацеленности, направленности и легитимности.

Объект атаки выбирается хакерами по лёгкости поражения и функциональности. Персональные компьютеры клиентов соблазнительны более слабой защитой, их получается заражать в массовом порядке, организовать вирусные эпидемии. Но «персоналки» работают по слабо предсказуемому графику, для поддержания постоянной мощности bot-сети необходимо много зараженных машин.

Серверы интересны организаторам DDoS-атак высокой производительностью, они включены постоянно и подключены к сети по каналам широкополосного доступа. Коммутационное оборудование также постоянно подключено к каналам связи, и таких устройств много, уязвимости типовые, но они слишком узкофункциональные.

Траектории атак бывают рекурсивные и косвенные. При первых посылаются запрос, якобы от имени жертвы, на сторонний ресурс, ответы которого загружают каналы. Косвенные чаще всего направляются на активное сетевое оборудование ? маршрутизаторы и на DNS службу. Тем самым создают критическую нагрузку на ресурсы интернета, блокируя доступ пользователей к запрашиваемому ресурсу.

Также DDoS-атаки подразделяются по нацеленности, DNS-имени или IP-адреса, и по направленности ? на заполнение полосы пропускания, либо на исчерпание ресурсов атакуемого сервиса, операционной системы или приложения. Различают атаки и по легитимности, ведутся они в рамках легитимных протоколов, посредством лавинных атак на целевой сервис, или же посредством нелегитимного трафика на невостребованный протокол или порт.

Те, кто покушается на информационную безопасность банков, накопили в своих арсеналах обширный инструментарий для своей противоправной деятельности. Случаются и комплексные атаки, например, в рамках легитимного протокола заполняется канал, исчерпывая ресурсы, с подменой адреса отправителя пакета или без оной.

ПРЕСТУПНЫЙ ИНСТРУМЕНТАРИЙ

Самые распространённые механизмы заражения компьютерного оборудования вредоносными программами – это фишинг, фарминг, drive-by загрузки, «рабочими насадками» которых являются вредоносные программы, шпионские и троянские.

Такой механизм заражения как фишинг ближе всего к мошенничеству. Участников интернет-банкинга пытаются побудить к нарушению правил обмена электронными сообщениями, провоцируя размещением сообщений на форумах и в социальных сетях, рассылкой спама на e-mail, SMS-сообщений на мобильные телефоны. Мошенники не гнушаются методами «социальной инженерии» ? донимают клиентов банков голосовыми звонками, предлагая сообщить персональные данные,  якобы для уточнения службой безопасности банка.

Метод фарминга представляет собой направление банковского клиента на фальшивые веб-сайты, например, банка или официального производителя программного оборудования. Посещение контролируемого злоумышленниками ресурса позволяет тем скопировать реквизиты, пароли, данные кредитной карты жертвы, необходимые для проведения транзакций с банковских счетов.

Drive-by загрузки, проводящиеся без ведома пользователя – достаточно новый, наименее заметный и наиболее успешный вид заражения. Интернет-браузер используется для соединения с серверами, на которых хранится разнообразное вредоносное программное обеспечение, зачастую замаскированное под программы защиты данных, антивирусы, либо «вмонтировано» в них.

Вредоносное программное обеспечение на сегодня ? вирусы, шпионские и троянские программы, руткиты, утилиты для создания бот-сетей. В том числе и эксплойты, которые используют уязвимость ряда популярных пользовательских приложений: медиа-проигрывателя QuickTime, Adobe Flash Player, Adobe Reader, RealPlayer и программы-архиватора WinZip. Есть и специализированные наборы эксплойтов для проведения атак с использованием уязвимостей Adobe PDF или известных брешей в защите кода элементов управления ActiveX.

Некоторые bot-вирусы способны распространяться самостоятельно, поражая все доступные исполняемые файлы, отыскивая в сети новые и новые уязвимые компьютеры. Примерами таких ботов могут быть представители семейств Virus.Win32.Virut и Net-Worm.Win32.Kido. Первый из них является полиморфным файловым инфектором, а второй – сетевым червем. Их зловредную эффективность трудно переоценить: на сегодняшний день «зомби-сеть», построенная Kido, является одной из самых больших в мире.

ЧЕГО НАМ НЕ ХВАТАЕТ

Уровень угрозы заражения повышается основной тенденцией последних месяцев – злоумышленники пишут менее заметные, чем прежде, эксплойты. В четвертом квартале 2009 года ими было инфицировано в общей сложности 5,5 млн. веб-страниц более чем на 560 000 сайтов. По состоянию на конец прошлого года, согласно опубликованному калифорнийской компанией Dasient отчету, на компьютер жертвы в среднем устанавливалось 2,8 вредоносной программы. Статистика преступных посягательств на информационную безопасность российских банков в первом квартале 2010 год зафиксировала 6 атак в январе, 11 в феврале, 5 в марте и 12 в апреле.

Новые возможности для злоумышленников открывает не только совершенствование их арсенала, но и новые виды банковского сервиса. Финансовые расчёты через интернет, интернет-банкинг, дистанционное обслуживание используют преимущества глобальных коммуникаций и крайне привлекательны почти повсеместной доступностью.

Руководители не всех банков в достаточной степени осознают специфические риски, с которыми связано внедрение таких новых видов сервиса. Соответственно не беспокоятся о наличии подготовленных специалистов по информационной защите, их своевременной переподготовке.

Актуальная проблематика информационной защиты банков ? отсутствие схем экстренного оповещения об атаках и пресечения инцидентов, сложности возвращения клиентам «пострадавшего» банка платежей, недостаток координации с правоохранительными органами.

Недостатки типовых методов защиты. Межсетевые экраны защищают от атак, лишь пока не исчерпаны пропускные возможности полосы канала. Таков же недостаток систем IDS|IPS, бессильных против 99% DDoS-атак не использующих уязвимости. Оптимизация настроек увеличивает ресурс сервера, но всего в 2-3 раза, так как для отражения серьезной атаки требуется не менее чем 10-кратный запас мощности. Такие меры многократного резервирования как кластеризация, распределение ресурсов и аренда производительных каналов связи – в несколько раз более дороги, чем расходы на соответствующее увеличение мощности атаки.

ВСЕГДА НАЧЕКУ

Залог эффективного расследования инцидентов в области информационной безопасности банков – постоянная вовлеченность персонала в тематику,бесперебойное поддержание системы в постоянной «боевой готовности». Банковские специалисты обязаны знать текущий уровень  угроз, инструментарий и приёмы хакерских атак, типовые схем их нейтрализации, порядок действий в случае инцидентов. Обязательное условие ? закрытость работы по обеспечению информационной безопасности банков. Нельзя «засвечивать» методы противодействия, давать материал для развития технологий нападения.

Жизненно важны непрерывный мониторинг информационных угроз и аналитика. Требуется отслеживать как можно больше атак, собирать и обобщать данные, вести статистику, анализировать методы нападения, новый инструментарий и особенности его применения, сопоставлять данные из различных отраслей. Особенно эффективной должна стать «система коллективной безопасности» ? информационного обмена с регистраторами, хостерами и провайдерами.

В банках всегда под рукой должен быть полный перечень технических средств защиты, существовать и выполняться план профилактических мероприятий по предупреждению информационных угроз. Лучше всего регулярно уничтожать возможные лазейки для хакеров: чистить компьютеры пользователей от вредоносных программ, блокировать деятельность управляющих центров bot-сетей. Техническое противодействие злоумышленников лучше всего вести рука об руку с правовым – проведением расследований инцидентов, взаимодействием с правоохранительными органами, подачей судебных исков.

Кроме вышеперечисленных мер, настоятельно необходимы обучение и переподготовка специалистов в области информационной защиты, а также обучение самих клиентов хотя бы элементарным правилам противодействия хакерам. Последних нужно своевременно и полностью информировать об угрозах, существующих в системе дистанционного банковского обслуживания, а также учить «технике безопасности».

ВНЕШНИЙ КОНТУР ОБОРОНЫ

На рынке есть и профессиональные услуги по информационной защите не только компьютеров пользователей-клиентов, но и ресурса, который может располагаться в любом месте сети. Специализированные компании предлагают решения вроде Kaspersky DDoS Prevention ? мощные распределенные эшелонированные системы защиты и очистки от вредных программ. Круглосуточно и ежедневно ? в режиме 24/7 ведётся мониторинг интернета, работает аналитический центр, изучающий новые боты.

Применяются уникальные технология выявления bot-сетей по статистическим, поведенческим признакам и при помощи «ручного» анализа, изучается методы управления ими. Работает система раннего обнаружения атак ? постоянного опроса выявленных управляющих центров, изменений статуса. В отношении выявленных атак разрабатываются и осуществляются меры противодействия ? отражения, нейтрализация, блокировки, и уничтожение вредоносных программ, разрабатываются антивирусы.

Выстраивается «внешний контур» информационной безопасности  банков – осуществляется фильтрация трафика на производительных серверах, подключенных к высокоскоростным каналам связи и распределенных на площадках различных провайдеров. Такой «виртуальный щит» «переключает» на себя DDoS-атаки практически любой мощности.

Имеется подсистема фильтрации входящего трафика пользователя, которая делит его на легитимный и злонамеренный. Критерии задаёт стандартный для пользователя профиль, рассчитываемый на основе статистики обычного поведения. До ресурса клиента доходит «обезвреженный» трафик легитимных пользователей, фильтр не пропускает «нестандартный».

Выстроить систему информационной безопасности банковской системы на федеральном уровне помогут следующие меры. Первая – выработка механизмов оперативного реагирования при атаках на интернет-банкинг и улучшение взаимодействия с правоохранительными органами. Вторая – активное формирование национальной инфраструктуры удостоверяющих центров. Третья – совершенствование нормативного регулирования ответственности злоумышленников и их пособников. В главу 28 Уголовного кодекса РФ, «Преступления в сфере компьютерной информации», должна быть внесена норма о признании DDoS-атак уголовно наказуемым деянием.


Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31