Даёшь коллективную безопасность

Особо опасны возможные негативные последствия хакерских нападений в виде ущерба имиджу банка, снижения рейтинга. Негативными результатами могут оказаться падение курса акций, разрыв выгодных контрактов, сокращение клиентской базы. Информационные атаки способны служить мощным оружием недобросовестных конкурентов и рейдеров. Не только искусственно создавать финансовые трудности, но и быть нацеленными на захват активов или даже полное уничтожение банка-жертвы.

Злоумышленники, которые организуют противоправные информационные атаки на банковские учреждения, зачастую добиваются не только или даже не столько собственной противозаконной выгоды. Их целями может быть также нанесение банкам ущерба ? финансового или репутационного, а также принуждение конкурента принимать выгодные злоумышленникам решения. С юридической точки зрения их можно соотносить со многими «традиционными» преступлениями, прописанными в Уголовном кодексе РФ.

ВРОДЕ ЗАУРЯДНОЙ УГОЛОВЩИНЫ

Завладевая реквизитами, идентификационными данными, конфиденциальной информацией, паролями клиентов банков, злоумышленники незаконно получают доступ к чужим данным. Образно говоря, изготавливают «отмычку» или копируют «ключ», незаконно присваивая полномочия распоряжаться чужими ресурсами – информационными, компьютерными и финансовыми. «Проба на прочность» информационной защиты эквивалентапопытке взлома.

Несанкционированный доступ к данным клиентов или внедрение в каналы связи между участниками расчётов помогают перехватить управление их персональными компьютерами и могут характеризоваться как взлом. Осуществление, с использованием похищенных данных, платежей на подставные фирмы от имени владельцев банковских счетов однозначно соответствует краже, противоправному тайному присвоению чужого имущества.

Создание bot-сетей из персональных компьютеров и серверов ? центров управления, зараженных вирусами, напоминают действия серийных угонщиков автотранспорта. Одновременная атака хакеров на веб-сервер банка, так называемая DDoS-атака (от англ. Distributed Denial of Service ? распределённая атака типа «отказ в обслуживании») соотносима с умышленным причинением ущерба чужому имуществу. Вплоть до приведения его в негодность, полного уничтожения.

Другие виды правонарушений, совершаемых в банковской сфере посредством информационных технологий, могут квалифицироваться не только какнедобросовестная конкуренция, но и как вымогательство, шантаж, терроризм. Существует и незаконный оборот IT-инструментария хакеров – в интернете, а также на оптических дисках продаются наборы вредоносного программного обеспечения для одиночек и организованных групп.

Более того, аналитики «Лаборатории Касперского» зафиксировали появление новой услуги  ? спам-рассылку «DDoS-сервиса». Клиенту обещают «вывести из строя сайт конкурента», рекламируют свои безграничные возможности – «наши бот-неты находятся в разных часовых поясах, что позволяет держать постоянно в он-лайне многочисленную армию ботов, нашу атаку нельзя закрыть по стране!». «Кибер-киллеры» завлекают низкими ценами: «1 час ? $ 20, сутки ? от $ 100, крупные проекты ? от $ 200, в зависимости от сложности заказа». Сулят заказчику «тест на 15 минут ? бесплатно!».

Вольными или невольными пособниками хакерских «бригад» выступают некоторые провайдеры. Допуская подмену адреса на DNS-сервере, они допускают возможности перебоев доступа к электронным банковским услугам, оставляя крайне мало шансов и банкам, и их клиентам самостоятельно противостоять угрозе фарминга.

КЛАССИФИКАЦИЯ DDoS-АТАК

В российской банковской системе накоплен богатый опыт противодействия различным информационным атакам. Его  достаточно, чтобы подробно классифицировать противоправные цели злоумышленников и методы их достижения. На основании имеющихся данных можно проанализировать существующие недостатки информационной защиты банков и определить меры по их устранению. DDoS-атаки классифицируются по нескольким основаниям: по объекту, траектории, нацеленности, направленности и легитимности.

Объект атаки выбирается хакерами по лёгкости поражения и функциональности. Персональные компьютеры клиентов соблазнительны более слабой защитой, их получается заражать в массовом порядке, организовать вирусные эпидемии. Но «персоналки» работают по слабо предсказуемому графику, для поддержания постоянной мощности bot-сети необходимо много зараженных машин.

Серверы интересны организаторам DDoS-атак высокой производительностью, они включены постоянно и подключены к сети по каналам широкополосного доступа. Коммутационное оборудование также постоянно подключено к каналам связи, и таких устройств много, уязвимости типовые, но они слишком узкофункциональные.

Траектории атак бывают рекурсивные и косвенные. При первых посылаются запрос, якобы от имени жертвы, на сторонний ресурс, ответы которого загружают каналы. Косвенные чаще всего направляются на активное сетевое оборудование ? маршрутизаторы и на DNS службу. Тем самым создают критическую нагрузку на ресурсы интернета, блокируя доступ пользователей к запрашиваемому ресурсу.

Также DDoS-атаки подразделяются по нацеленности, DNS-имени или IP-адреса, и по направленности ? на заполнение полосы пропускания, либо на исчерпание ресурсов атакуемого сервиса, операционной системы или приложения. Различают атаки и по легитимности, ведутся они в рамках легитимных протоколов, посредством лавинных атак на целевой сервис, или же посредством нелегитимного трафика на невостребованный протокол или порт.

Те, кто покушается на информационную безопасность банков, накопили в своих арсеналах обширный инструментарий для своей противоправной деятельности. Случаются и комплексные атаки, например, в рамках легитимного протокола заполняется канал, исчерпывая ресурсы, с подменой адреса отправителя пакета или без оной.

ПРЕСТУПНЫЙ ИНСТРУМЕНТАРИЙ

Самые распространённые механизмы заражения компьютерного оборудования вредоносными программами – это фишинг, фарминг, drive-by загрузки, «рабочими насадками» которых являются вредоносные программы, шпионские и троянские.

Такой механизм заражения как фишинг ближе всего к мошенничеству. Участников интернет-банкинга пытаются побудить к нарушению правил обмена электронными сообщениями, провоцируя размещением сообщений на форумах и в социальных сетях, рассылкой спама на e-mail, SMS-сообщений на мобильные телефоны. Мошенники не гнушаются методами «социальной инженерии» ? донимают клиентов банков голосовыми звонками, предлагая сообщить персональные данные,  якобы для уточнения службой безопасности банка.

Метод фарминга представляет собой направление банковского клиента на фальшивые веб-сайты, например, банка или официального производителя программного оборудования. Посещение контролируемого злоумышленниками ресурса позволяет тем скопировать реквизиты, пароли, данные кредитной карты жертвы, необходимые для проведения транзакций с банковских счетов.

Drive-by загрузки, проводящиеся без ведома пользователя – достаточно новый, наименее заметный и наиболее успешный вид заражения. Интернет-браузер используется для соединения с серверами, на которых хранится разнообразное вредоносное программное обеспечение, зачастую замаскированное под программы защиты данных, антивирусы, либо «вмонтировано» в них.

Вредоносное программное обеспечение на сегодня ? вирусы, шпионские и троянские программы, руткиты, утилиты для создания бот-сетей. В том числе и эксплойты, которые используют уязвимость ряда популярных пользовательских приложений: медиа-проигрывателя QuickTime, Adobe Flash Player, Adobe Reader, RealPlayer и программы-архиватора WinZip. Есть и специализированные наборы эксплойтов для проведения атак с использованием уязвимостей Adobe PDF или известных брешей в защите кода элементов управления ActiveX.

Некоторые bot-вирусы способны распространяться самостоятельно, поражая все доступные исполняемые файлы, отыскивая в сети новые и новые уязвимые компьютеры. Примерами таких ботов могут быть представители семейств Virus.Win32.Virut и Net-Worm.Win32.Kido. Первый из них является полиморфным файловым инфектором, а второй – сетевым червем. Их зловредную эффективность трудно переоценить: на сегодняшний день «зомби-сеть», построенная Kido, является одной из самых больших в мире.

ЧЕГО НАМ НЕ ХВАТАЕТ

Уровень угрозы заражения повышается основной тенденцией последних месяцев – злоумышленники пишут менее заметные, чем прежде, эксплойты. В четвертом квартале 2009 года ими было инфицировано в общей сложности 5,5 млн. веб-страниц более чем на 560 000 сайтов. По состоянию на конец прошлого года, согласно опубликованному калифорнийской компанией Dasient отчету, на компьютер жертвы в среднем устанавливалось 2,8 вредоносной программы. Статистика преступных посягательств на информационную безопасность российских банков в первом квартале 2010 год зафиксировала 6 атак в январе, 11 в феврале, 5 в марте и 12 в апреле.

Новые возможности для злоумышленников открывает не только совершенствование их арсенала, но и новые виды банковского сервиса. Финансовые расчёты через интернет, интернет-банкинг, дистанционное обслуживание используют преимущества глобальных коммуникаций и крайне привлекательны почти повсеместной доступностью.

Руководители не всех банков в достаточной степени осознают специфические риски, с которыми связано внедрение таких новых видов сервиса. Соответственно не беспокоятся о наличии подготовленных специалистов по информационной защите, их своевременной переподготовке.

Актуальная проблематика информационной защиты банков ? отсутствие схем экстренного оповещения об атаках и пресечения инцидентов, сложности возвращения клиентам «пострадавшего» банка платежей, недостаток координации с правоохранительными органами.

Недостатки типовых методов защиты. Межсетевые экраны защищают от атак, лишь пока не исчерпаны пропускные возможности полосы канала. Таков же недостаток систем IDS|IPS, бессильных против 99% DDoS-атак не использующих уязвимости. Оптимизация настроек увеличивает ресурс сервера, но всего в 2-3 раза, так как для отражения серьезной атаки требуется не менее чем 10-кратный запас мощности. Такие меры многократного резервирования как кластеризация, распределение ресурсов и аренда производительных каналов связи – в несколько раз более дороги, чем расходы на соответствующее увеличение мощности атаки.

ВСЕГДА НАЧЕКУ

Залог эффективного расследования инцидентов в области информационной безопасности банков – постоянная вовлеченность персонала в тематику,бесперебойное поддержание системы в постоянной «боевой готовности». Банковские специалисты обязаны знать текущий уровень  угроз, инструментарий и приёмы хакерских атак, типовые схем их нейтрализации, порядок действий в случае инцидентов. Обязательное условие ? закрытость работы по обеспечению информационной безопасности банков. Нельзя «засвечивать» методы противодействия, давать материал для развития технологий нападения.

Жизненно важны непрерывный мониторинг информационных угроз и аналитика. Требуется отслеживать как можно больше атак, собирать и обобщать данные, вести статистику, анализировать методы нападения, новый инструментарий и особенности его применения, сопоставлять данные из различных отраслей. Особенно эффективной должна стать «система коллективной безопасности» ? информационного обмена с регистраторами, хостерами и провайдерами.

В банках всегда под рукой должен быть полный перечень технических средств защиты, существовать и выполняться план профилактических мероприятий по предупреждению информационных угроз. Лучше всего регулярно уничтожать возможные лазейки для хакеров: чистить компьютеры пользователей от вредоносных программ, блокировать деятельность управляющих центров bot-сетей. Техническое противодействие злоумышленников лучше всего вести рука об руку с правовым – проведением расследований инцидентов, взаимодействием с правоохранительными органами, подачей судебных исков.

Кроме вышеперечисленных мер, настоятельно необходимы обучение и переподготовка специалистов в области информационной защиты, а также обучение самих клиентов хотя бы элементарным правилам противодействия хакерам. Последних нужно своевременно и полностью информировать об угрозах, существующих в системе дистанционного банковского обслуживания, а также учить «технике безопасности».

ВНЕШНИЙ КОНТУР ОБОРОНЫ

На рынке есть и профессиональные услуги по информационной защите не только компьютеров пользователей-клиентов, но и ресурса, который может располагаться в любом месте сети. Специализированные компании предлагают решения вроде Kaspersky DDoS Prevention ? мощные распределенные эшелонированные системы защиты и очистки от вредных программ. Круглосуточно и ежедневно ? в режиме 24/7 ведётся мониторинг интернета, работает аналитический центр, изучающий новые боты.

Применяются уникальные технология выявления bot-сетей по статистическим, поведенческим признакам и при помощи «ручного» анализа, изучается методы управления ими. Работает система раннего обнаружения атак ? постоянного опроса выявленных управляющих центров, изменений статуса. В отношении выявленных атак разрабатываются и осуществляются меры противодействия ? отражения, нейтрализация, блокировки, и уничтожение вредоносных программ, разрабатываются антивирусы.

Выстраивается «внешний контур» информационной безопасности  банков – осуществляется фильтрация трафика на производительных серверах, подключенных к высокоскоростным каналам связи и распределенных на площадках различных провайдеров. Такой «виртуальный щит» «переключает» на себя DDoS-атаки практически любой мощности.

Имеется подсистема фильтрации входящего трафика пользователя, которая делит его на легитимный и злонамеренный. Критерии задаёт стандартный для пользователя профиль, рассчитываемый на основе статистики обычного поведения. До ресурса клиента доходит «обезвреженный» трафик легитимных пользователей, фильтр не пропускает «нестандартный».

Стать автором BIS Journal