Все исследования по безопасности российских систем дистанционного банковского обслуживания (ДБО) имеют одну общую закономерность: они никогда не рассматривают ситуацию (неуклонно ухудшающуюся) с точки зрения клиентов (как юридических лиц, так и физических). Кто бы и что бы ни формулировал по этому поводу (имеются в виду статьи и обзоры, а не жалобы и ругань пострадавших пользователей в форумах и блогах), всегда это позиция либо компаний — разработчиков ПО, либо банков, либо консалтинговых компаний, специализирующихся в сфере информационной безопасности (ИБ). Последние, как предполагается, выражают наиболее объективную точку зрения, которая должна служить базой для каких-то разумных решений и шагов. При этом мнением банковских клиентов о ситуации с интернет-банкингом никто по настоящему не интересуется. А жаль — пора уже от декларативных заявлений об “ориентированности на клиента” перейти к конкретным шагам.
Попробуем рассмотреть положение с безопасностью систем ДБО с позиции наиболее уязвимой стороны процесса, т. е. клиентов.
Добросовестность, заслуживающая лучшего применения
В январе 2012 г. появился обзор компании Digital Security (“№ 1 в аудите безопасности”, как скромно указано в заголовке) “Результаты исследования безопасности банк-клиентов российских производителей за период 2009—2011 гг.”. Во многих отношениях любопытный документ, в котором представлены результаты тщательного тестирования систем ДБО компаний БСС, “Р-Стайл”, CompassPlus и др. Он, в частности, фиксирует большое количество критичных уязвимостей разных классов в системах практически всех российских производителей. Однако, к сожалению, его реальная полезность и выводы вызывают сомнения по двум причинам. 1.
В самом начале делается многозначительная оговорка: “В данной работе предполагается, что компьютеры клиентов банка не заражены никаким вредоносным ПО, а предмет исследования ограничен проблемами безопасности ПО систем ДБО и не затрагивает проблем безопасности браузера, ОС или иного стороннего ПО”. Остается развести руками и констатировать, что исследователи так же далеки от народа (т. е. клиентов), как в свое время декабристы. Возможно, они даже не подозревают, что причинами 95% финансовых потерь клиентов от мошеннических транзакций в период 2010—2011 гг. были троянские программы. Другими словами — то самое “вредоносное ПО”. 2.
Исследование и его выводы акцентировались на недостатках ныне эксплуатируемых российских систем ДБО, которые (по своему построению и архитектуре) относятся к устаревшему поколению конца 1990-х. С тех пор хакерские методики сделали впечатляющий качественный скачок, а отечественные системы ДБО — нет. Устранять в них уязвимости, улучшать их и предлагать все новые вспомогательные сервисы можно бесконечно, но это напоминает совершенствование линейки черно-белых телевизоров, в то время как технологически продвинутые страны уже не первый год производят цветные.
О пользе сертификации
Недостатком упомянутого выше исследования следует считать не только сам подход, игнорирующий первостепенную проблему в угоду тщательному разбирательству второстепенных вопросов, но и то, что оно создает неверное впечатление, что корнем зла является качество кода и результирующие программные уязвимости существующих систем ДБО. Отсюда напрашивается совершенно определенный вывод, время от времени озвучиваемый на конференциях по ИБ поверхностными специалистами: надо сертифицировать эти системы! Уполномоченный федеральный орган для этого найдется, после чего российские системы ДБО будут технологически отставать от западных не на 5—7 лет (как сейчас), а на 10—12. Путь сертификации, как известно, требует дополнительных усилий и времени.
А ведь для клиента нет большой разницы, по какой именно системе ДБО у него “увели” деньги: сертифицированной или нет. Приговоренному к повешению совершенно не важно, имеет ли веревка сертификат качества. Пожалуй, в таком варианте заинтересованные лица даже предпочли бы несертифицированную веревку — больше вероятность, что оборвется.
Прилагательные “сертифицированный” и “хороший” далеко не всегда оказываются синонимами, а уж выражения “технологичный” и “дешевый” вообще сюда не относятся. Возьмем, например, добросовестное использование российскими банками в системах ДБО сертифицированного криптографического ПО. Справедливости ради отметим, что криптографическая стойкость отечественных алгоритмов ЭЦП и шифрования выше стойкости международных криптоалгоритмов, которые поддерживаются всеми ОС. Но и те и другие представляют собой алгоритмы временной стойкости, предназначенные для коммерческой сферы, а не для защиты гостайн. Просто “запас прочности” по вскрытию у одних несколько больше, чем у других. Но при этом он в любом случае вполне достаточен, чтобы обезопасить финансовые транзакции от вскрытия ключа группами хакеров или злоумышленников любого толка (соответствующие госслужбы здесь не рассматриваются). За 20 лет в мировой банковской практике не было ни одного случая криптоаналитического вскрытия ключа какого-либо из основных применяемых криптографических алгоритмов с целью мошеннических действий. Как говорится, практика — критерий истины. Помимо всего прочего хакеры весьма здравомыслящие люди (в отличие от чиновников, регулирующих сферу ИБ) и отлично понимают, что вскрытие ключа им не по силам, да и любые попытки такого рода нерентабельны, поскольку гораздо проще и быстрее вскрыть сервисную оболочку любого ПО, использующего криптографию. Возникает риторический вопрос из популярной рекламы: “Зачем же платить больше?”
Атаки хакеров на системы ДБО давно уже не носят целенаправленного характера. Массовым стал метод “пассивного заражения”, когда взламываются произвольные (но достаточно часто посещаемые) сайты и на них размещаются ссылки, которые незаметно для зашедшего пользователя перенаправляют его компьютер уже на чисто хакерский сайт, откуда закачивается троянская программа. Самым эффективным является аккуратный взлом одной из страниц сайта самого банка, после чего он становится для своих клиентов и поставщиком услуги интернет-банкинга, и источником заражения — как говорится, два в одном флаконе. После проникновения троян проверяет компьютер на наличие интересующих хакера информации и сервисов методом “сигнатур”, т. е. действует точно так же, как и антивирусная программа. (Иногда вообще создается впечатление, что вирусы и антивирусы пишут одни и те же люди. При этом антивирусы пишутся на работе, а вирусы — дома, поэтому качество ПО, созданного в комфортной обстановке, оказывается выше.) Хакер анализирует уже информацию, поступившую от троянских программ на “командный пункт” на промежуточном сервере (при десятках тысяч зараженных компьютеров иной подход и невозможен). Если троян обнаруживает что-то интересное, он выходит на связь, если нет — просто “молчит”.
Таким образом, для “тонкого клиента” интернет-банкинга это означает, что троян обнаруживает на компьютере установленную программу “КриптоПро CSP”, MessagePro или базирующийся на одной из них тот или иной пакет ПО, реализующий поддержку российских криптоалгоритмов, и целенаправленно предоставляет хакеру удаленный доступ к компьютеру. А если бы использовались международные криптоалгоритмы, то эта широко применяемая сейчас хакерская методика не срабатывала бы и злоумышленнику было бы намного сложнее зафиксировать сам факт использования компьютера для интернет-банкинга и разновидность применяемого “тонкого клиента”.
Иначе говоря, при прочих равных условиях пользователь “тонкого клиента”, применяющего сертифицированное российское криптографическое ПО, оказывается более уязвимым для мошенничества, чем пользователь аналогичного “тонкого клиента”, использующего международные коммерческие криптоалгоритмы. К этому следует добавить, что построение любой системы ДБО на российских криптоалгоритмах (по сравнению с международными) обходится банку значительно дороже, а эксплуатация ее как для банка, так и для клиента гораздо менее технологична. Но российские банки вынуждены действовать по принципу: “Не надо как лучше — надо как положено”.
Клиенты: пейзаж после битвы
Главной страдающей от мошенничеств стороной являются юридические лица, использующие, как правило, системы ДБО на базе ЭЦП. Физические же лица в основном применяют системы на базе таблиц одноразовых паролей или токенов OTP (One-Time Password), в итоге страдают главным образом от “фишинга” и теряют гораздо меньшие суммы. Хакерские методики в отношении юрлиц и физлиц различаются, так что рассмотрим проблему прежде всего с позиции клиентов-юрлиц как более интересную.
Корень зла на самом деле в том, что компьютер, с которого осуществляется работа с банковским сервером ДБО, чаще всего имеет свободный выход в Интернет. В итоге появляется и потенциальная возможность заражения, и возможность для проникшего трояна связаться изнутри с хакером через некоторый промежуточный сервер. Разумные рекомендации банков по безопасности типа “ограничить на уровне прокси-сервера выход в Интернет клиентского компьютера несколькими рабочими сайтами” — в подавляющем числе случаев игнорируются. Да и есть ли еще в небольшой компании прокси-сервер? Короче говоря, в итоге ОС компьютера заражается и хакер с помощью многофункциональных троянских программ, созданных, скажем, на базе такого мощного “конструктора”, как ZEUS, полностью контролирует ОС (используя ее уязвимости) и имеет все те же права, что и оператор. Не спасает и применение защищенных ключевых носителей типа eToken, поскольку хакер уже не крадет секретный ключ ЭЦП, а в рамках открытой сессии спокойно подписывает ЭЦП ложную транзакцию и отправляет ее прямо под носом у оператора с его же компьютера. При этом уровень троянских программ и хакерских методик настолько возрос, что оператор обычно даже не видит у себя на мониторе процесса этой отправки, а если все-таки что-то замечает или получает информацию о странной транзакции за счет SMS-информирования — ему весьма проблематично успеть “затормозить” ушедшие деньги. Клиенту надо связаться с отделением банка, отделению — со службой ИБ, службе ИБ — найти контакты и позвонить аналогичной службе ИБ того банка, куда переведены деньги, та, в свою очередь, должна связаться с операционным подразделением и распорядиться “заморозить” перевод. Если к этому добавить “упертость” юридических управлений некоторых банков, которые искренне придерживаются точки зрения, что нельзя “тормозить” формально совершенно законную транзакцию, подписанную подлинной ЭЦП, пока не будет судебного решения по поводу ее мошеннического характера, то остается только схватиться за голову. А хакеру достаточно после проведения ложной транзакции тут же воспользоваться online-сервисом уже банка-получателя, через Интернет разбросать деньги с заранее заведенного одноразового счета по нескольким карточным счетам и дать сигнал группе соратников обналичить деньги через произвольные банкоматы. При хорошей организации на все требуется полчаса. Разумеется, если до банкоматов не слишком далеко идти.
Защита клиента от него самого
Совершенно очевидно, что банки не в состоянии обеспечить безопасность эксплуатации клиентских компьютеров. А заклинания в виде “рекомендаций по безопасности” на подавляющую часть клиентов действуют слабо. Старая мудрость “кто дураком родился, тот дураком и помрет” продолжает оставаться актуальной и в век информационных технологий. Но банки ни в коем случае не желают отказываться от клиентов по критерию технологической тупости. Таким образом, чтобы стабилизировать положение, надо внедрить в том или ином виде принципиально иной подход к построению систем ДБО, включающий в себя “защиту от дурака”.
Все основные производители российских систем ДБО пока предпочитают идти по проторенному пути, добавляя к уже функционирующим системам то сервис SMS-информирования, то виртуальную клавиатуру, то малоэффективный (но дорогой) модуль анализа проходящих транзакций, и т. д. и т. п. Для них оказывается выгоднее зарабатывать деньги на “косметическом” ремонте, чем браться за разработку чего-то принципиально нового. Но все эти дополнительные модули к существующим системам ДБО играют роль примочек и компрессов для больного с гангреной ног. Боль смягчается, а болезнь быстро прогрессирует.
Что касается российских банков, то вкладываться в разработку собственной индивидуальной системы ДБО они считают нерентабельным. Особенно с учетом того, что деньги по условиям типовых договоров за счет ложных транзакций теряют клиенты, а не банки.
Самое обидное в нынешней ситуации, что успешные подходы к кардинальному решению проблемы уже имеются за границей. Например, некоторые немецкие банки несколько лет эксплуатируют систему, построенную по следующей схеме. Клиент работает не с eToken, а с USB-носителем, на котором помимо ключей на SIM-карте и криптопроцессора находится максимально усеченная (под задачу работы с банковским сервером) ОС на базе открытого ПО (в защищенном неизменяемом виде).
Таким образом, при начале работы в компьютер загружается отдельная специализированная ОС, а штатная (потенциально зараженная) ОС исключается из обращения. Что и обеспечивает защиту клиента от последствий собственного легкомыслия. К сожалению, хотя купить такого рода систему на Западе, вероятно, и получится, но ввезти ее в Россию (при сложностях с импортом криптографического ПО) и начать здесь эксплуатировать (при том, что она базируется на международных коммерческих криптоалгоритмах) — вряд ли выйдет.
Значит, остается ждать, пока либо российские производители систем ДБО возьмутся за ум, либо возмущенные клиенты организуют на Болотной площади митинг под лозунгом “За честный интернет-банкинг!” и остротой проблемы озаботятся наконец крупные банки.
С автором статьи, кандидатом технических наук, можно связаться по адресу: vlad7pnv@mail.ru.