Button Up

Банковское ПО чрезвычайно уязвимо для кибератак

08.02.2012
cybercryme.jpg
31 января 2012 года интернет-издание CNews опубликовало аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Исследованию проводилось в России центром Digital Security Research Group (DSecRG) в 2009-2011 гг (см. полный текст исследования).

Если текст исследования и аналитику можно прочитать, по ссылкам приведенным выше, то способы защиты там не приводятся. Наша задача предложить всем заинтересованным лицам возможный способ повышения безопасности не только банковского ПО для ДБО, но и банковского ПО в целом.

Ошибки в программах – обычное дело

Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: - «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В процессе жизненного цикла программы выпускаются обновления, исправляющие ошибки, однако далеко не редки случаи, когда исправление, закрывающее одни недостатки, привносит в программу другие. Данный процесс цикличен и даже программы, для которого выпущено множество обновлений все равно остается уязвимым.»

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не выявляются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком и разработчик оперативно выпускает обновления, устраняющие эти ошибки.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует ПО по назначению, так как подобные ошибки могут не проявляться в процессе эксплуатации программы. Зачастую, злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в программах, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно исследуя код, обнаружить ошибки и использовать их. Особенно если речь идет о программе, работающей удаленно, а не локально на компьютере хакера.

В обзоре CNews приводятся слова Управляющего директора дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам.» Следует отметить, что защита исходного кода является превентивной мерой защита, которая нивелирует саму возможность атаки, а не ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок». Мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применение превентивной меры, защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из бизнес-задач и тех аппаратных ресурсах, на которых потом программа будет функционировать. Учитывая пожелание заказчика и потенциального клиента, разработчик не уделяет должного внимания вопросу безопасности. Как отмечает в CNews, во многих банковских системах архитектура не учитывает возможные атаки, а под час значительно облегчает злоумышленникам проникновение: «Кроме вышеперечисленных недостатков, в ряде отечественных систем ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС).»

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течении многих лет занимающиеся проблемами защиты кода программ. В частности аналитики и инженеры StarForce.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим система защита постепенно устаревает и уменьшает свою эффективность. Необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк», - «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить стоимость обновления системы защиты банка и сделать ее адекватной современным угрозам со стоимостью защиты ПО от анализа и взлома, то сумма будет отличаться в разы в пользу защиты кода. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и НЕИЗВЕСТНЫХ угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частотности целый раздел посвящен защите исходного кода программ от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми нежели деньги, физически лежащие внутри банкомата», - пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). - «Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений.»

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу», - говорит технический директор StarForce Technologies Александр Зацепин, - «При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или как ее еще называют обфускация, обеспечивает невозможность понимания логики работы приложения.»

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и применение дистанционного банковского обслуживания. Кибер-преступники придумывают все новее способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и найдя в нем ошибки и уязвимости, проникают через них внутрь.

Системы защиты могут быть эффективны, только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно, изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода – мера превентивная, устраняющая причину, а не следствие взлома.

Стоимость защита кода программ в разы меньше стоимости обновления традиционных систем защиты.

О компании StarForce

Компания «Протекшен Технолоджи» (торговая марка StarForce) – ведущий российский разработчик программных решений в области контроля и защиты программ и электронной информации от утечек, копирования и нелегального распространения. С 2000 года компания разрабатывает и внедряет ультрасовременные технологические решения, защищенные соответствующими патентами РФ, США и Канады, что позволяет обеспечить охрану интеллектуальной собственности и авторских прав во всем мире.

Являясь экспертом в области защиты цифровой информации и программного обеспечения от утечек, копирования, взлома и несанкционированного распространения, компания разработала собственную систему Управления Цифровыми Правами (StarForce DRM), открывающую перед нашими клиентами широчайшие возможности по доставке цифрового контента и слежению за продажами. Технологии StarForce внедрены в таких компаниях как РЖД, Corel, 1С, Mail.ru, Аэрофлот, SUN InBev Russia, АМД Лаборатории, ATC International, МедиаХауз, Руссобит-М, Новый Диск, Бука, Snowball, 2Play, GFI, CENEGA, Akella и в ряде других.

Контакты для прессы:
pr@star-force.com

Возврат к списку

Новости компании

29.02.2024
07.02.2024
06.02.2024
25.10.2023
������ ����� � ����� ��� macOS
������ ������ �� USB