Инструменты доверия
Статья с упоминанием "Антифрод-терминала" от компании "Аладдин Р.Д."
Дистанционное банковское обслуживание удобно пользователям и выгодно банкам, но небезопасно. На взломе ДБО киберпреступники выстроили весьма прибыльный бизнес. Технологии, позволяющие обезопасить дистанционную работу с банком, уже существуют. Портал Банки.ру выяснял, как работают защитные системы: уже вышедшие на рынок и те, которым ещё предстоит получить признание.
Непременным элементом в дистанционной работе с банком является какой-либо компьютер, будь то стационарная рабочая станция, домашний ПК, планшет или смартфон. Все эти устройства характеризуются тем, что, помимо работы с банком, применяются для самых разнообразных задач, в том числе для доступа в Интернет. И любое такое устройство может быть скомпрометировано, что позволит кибербандитам получить доступ к вашим банковским счетам.
В системе "Банк – канал передачи данных – компьютер клиента" можно доверять банку, можно защитить канал с помощью криптографического канала. Но компьютер клиента был, есть и всегда будет устройством недоверенным. Даже применение электронных ключей, без установки которых нельзя подписать созданный документ, не мешает хакерам подменить реквизиты платежа, и деньги будут уходить "не по адресу".
Антивирусы, брандмауэры и задание сложных паролей могут затруднить злоумышленникам задачу, но гарантий безопасности не дают. Поэтому основные надежды разработчики систем безопасности ДБО возлагают на заведомо доверенные инструменты, с помощью которых клиент банка создаёт платёжные документы или подписывает документы, созданные им в недоверенной среде персонального компьютера.
"В цепочке "Клиент – система интернет-банкинга – банк" самым слабым звеном является клиент. Поэтому подавляющее большинство атак злоумышленников направлено именно на клиента. Результат известен – заражение компьютера клиента вредоносными программами, хищение его аутентификационных данных или создание мошеннических платежей прямо на компьютере клиента, – говорит директор по продажам компании "БИФИТ" Станислав Шилов. – Рецепт борьбы с угрозой прост: критические операции должны осуществляться в отдельной доверенной среде, не подверженной вирусным атакам, с контролем содержимого клиентских операций. Такие устройства, используемые для подписи документов, получили название TrustScreen, что хорошо отражает их назначение – обеспечение доверенной среды с отображением содержимого подписываемого документа на экране. Компания "БИФИТ" завершила работы по созданию такого устройства, сейчас идёт производство первой партии".
Устройства TrustScreen уже перестали быть диковинкой. Подобные продукты есть в ассортименте многих компаний, занимающихся информационной безопасностью. Широкому их распространению мешает цена в несколько тысяч рублей, несмотря на то что они могут защитить от дистанционных ограблений на многие миллионы.
SafeTouch от компании SafeTech представляет собой небольшое устройство с ЖК-экраном, кнопками "Х" и "+" под ним и слотом для смарт-карты или USB-токена на боковой панели. Эта чёрная коробочка содержит в себе доверенную среду, в которую злоумышленник никак не может вмешаться.
Устройство подключается к компьютеру по USB, в него вставляется токен или смарт-карта. Когда пользователь создаёт платёжный документ в системе ДБО, реквизиты платежа уходят в SafeTouch, которое отображает их на экране. Если троянская программа сумела перехватить и изменить реквизиты, пользователь сможет увидеть подмену на экране устройства.
Если реквизиты верны, клиент нажимает кнопку "+" для подтверждения платежа, и установленная смарт-карта или токен подписывает реквизиты электронной подписью. Если троянец попробует подменить реквизиты на этом этапе, система ДБО банка определит несоответствие подписи реквизитам, и мошенническая трансакция будет заблокирована.
Необходимость физически нажать кнопку, чтобы подтвердить операцию, гарантирует, что хитроумный злоумышленник, взявший под контроль компьютер, не сможет подписать платёжный документ вместо клиента банка, даже если клиент легкомысленно оставит без присмотра подключенное устройство с установленным токеном и введенным ПИН-кодом.
Таким образом, чтобы провести мошенническую операцию, злоумышленник будет вынужден украсть устройство SafeTouch с установленной смарт-картой или токеном, к тому же ему ещё придётся узнать ПИН-код пользователя. Последнее, правда, вполне возможно благодаря тому, что ПИН-код вводится на компьютере и может быть перехвачен программой-кейлогером.
Аналогичным образом работают "Рутокен PINPad" компании "Рутокен", но есть и одно существенное отличие – вместо кнопок аппарат оснащён сенсорным экраном, что позволяет вводить ПИН-код токена или смарт-карты на самом устройстве. Перехватить ПИН-код злоумышленники уже не смогут.
Антифрод-терминал от компании "Аладдин Р.Д." оснащён ЖК-экраном, аппаратной цифровой клавиатурой и слотами для смарт-карт и токенов. Он умеет всё то же, что и предыдущие два рассмотренных нами устройства. Но в дополнение к этому содержит собственный криптографический чип. Этот чип применяется не для подписания документов – этим занимается смарт-карта или токен. С помощью чипа терминал подписывает журнал всех операций. Защищённый журнал, по замыслу разработчиков, обеспечит возможность разбора конфликтных ситуаций и облегчит расследование инцидентов.
По мнению начальника управления информационной безопасности банка "Союз" Сергея Потанина, в устройствах класса TrustScreen имеется существенный изъян – они получают информацию от компьютера, который может быть скопрометирован. Действительно, если троянец подменит реквизиты, пользователь сможет увидеть подлог, да вот только не факт, что он заметит изменения. Бухгалтер, оформляющий десятки и сотни документов в день, запросто может проглядеть несоответствие в двух-трёх цифрах номера счёта. Тем более если он вводил этот номер несколько месяцев или лет назад, при создании шаблона платежа. Потанин разработал собственное устройство, которое полностью снимает такие риски.
"Любое доверенное устройство, которое имеет дуплекс (двунаправленный обмен информацией) с недоверенной средой, всегда будет ею заражаться, всегда будут существовать атаки на протоколы, справочники и так далее, устройство будет компрометироваться. Моё устройство – однонаправленное, оно только выдаёт в компьютер скан-коды нажатых клавиш, ничего не получает и не обрабатывает никакой информации из компьютера пользователя, что не позволяет провести атаку на него из недоверенной среды", – рассказал порталу Банки.ру Сергей Потанин.
Разработка Потанина представляет собой отдельную клавиатуру, с которой пользователь ДБО вводит реквизиты платежа. Клавиатура подписывает вводимые реквизиты с помощью токена или смарт-карты, и сгенерированная подпись прикрепляется к документу. Получается, что при этом нельзя пользоваться справочниками и шаблонами в системе ДБО, все реквизиты каждого платежа необходимо вводить с доверенного устройства. Но изобретение Потанина умеет хранить собственные шаблоны и вводить сохраненные реквизиты в систему ДБО по команде пользователя.
Сергей Потанин занимается продвижением своей идеи уже третий год, но пока безрезультатно. По его словам, проблема исключительно в деньгах: "У нас уже есть небольшая опытная партия, выпущенная на мои средства и средства моих друзей для демонстрации принципов данного метода защиты ДБО. Устройство, конечно же, требует доработки, денег на это пока мы не нашли – нужно финансирование. Причём банки готовы приобретать такие устройства, но финансированием IT-стартапов они не занимаются, поэтому проект пока буксует. Парадокс: наше устройство получается слишком простым, дешёвым и надёжным, чтобы им заинтересовались крупные игроки рынка".
Ещё более радикальную идею пытается продвинуть Илья Рабинович, выпускник МИФИ, программист, занимающийся информационной безопасностью более десяти лет. Его замысел заключается в создании полностью доверенной среды, в которой пользователь ДБО будет создавать все платёжные документы.
Суть в следующем: доверенное устройство (небольшая коробочка, внутри которой кроется маломощный компьютер с UNIX-подобной операционной системой), подключается к компьютеру пользователя. Причём клавиатура, мышь и монитор подключаются через доверенное устройство. В обычном режиме работы доверенное устройство просто транслирует сигналы от клавиатуры и мыши в компьютер пользователя и передаёт изображение от компьютера на монитор.
Чтобы создать платёжный документ, пользователь нажимает определённую комбинацию клавиш, и доверенное устройство перехватывает управление на себя. Пользователь видит на мониторе картинку уже от доверенного устройства, и оно же получает сигналы от клавиатуры и мыши. Для доступа в Интернет доверенное устройство пользуется собственным сетевым портом. По защищённому каналу устройство подключается к серверу банка и действует как "тонкий клиент", то есть обеспечивает пользователю доступ к среде, работающей на сервере банка.
По словам Рабиновича, его продукт должен обходиться клиенту дешевле устройств TrustScreen и обеспечивать более защищённую и удобную работу с ДБО. Правда, пока это лишь идея в процессе патентования – ни финансирования, ни команды разработчиков у автора проекта нет. Особенности реализации устройства и его конечная стоимость находятся под вопросом. Как и защищённость. Поскольку доверенное устройство Ильи Рабиновича – по сути, компьютер с выходом в Интернет и может содержать программные уязвимости, нет никаких гарантий их отсутствия. И если злоумышленники обнаружат хотя бы одну такую уязвимость, к примеру в реализации протокола шифрования, то ваше "доверенное" устройство может однажды стать инструментом вашего же ограбления.
Оговоримся, что в любой идее и продукте можно найти изъяны, идеал по определению недостижим. Все решения только усложняют ворам жизнь, и то лишь в том случае, если слабым звеном не станет сама жертва, легкомысленно относящаяся к защите своих данных. Во всех случаях самая надёжная защита – ваши собственные бдительность и осторожность.