31 января 2012 года интернет-издание CNews опубликовало аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Исследованию проводилось в России центром Digital Security Research Group (DSecRG) в 2009-2011 гг (см. полный текст исследования).

Если текст исследования и аналитику можно прочитать, по ссылкам приведенным выше, то способы защиты там не приводятся. Наша задача предложить всем заинтересованным лицам возможный способ повышения безопасности не только банковского ПО для ДБО, но и банковского ПО в целом.

Ошибки в программах – обычное дело

Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: - «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В процессе жизненного цикла программы выпускаются обновления, исправляющие ошибки, однако далеко не редки случаи, когда исправление, закрывающее одни недостатки, привносит в программу другие. Данный процесс цикличен и даже программы, для которого выпущено множество обновлений все равно остается уязвимым.»

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не выявляются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком и разработчик оперативно выпускает обновления, устраняющие эти ошибки.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует ПО по назначению, так как подобные ошибки могут не проявляться в процессе эксплуатации программы. Зачастую, злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в программах, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно исследуя код, обнаружить ошибки и использовать их. Особенно если речь идет о программе, работающей удаленно, а не локально на компьютере хакера.

В обзоре CNews приводятся слова Управляющего директора дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам.» Следует отметить, что защита исходного кода является превентивной мерой защита, которая нивелирует саму возможность атаки, а не ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок». Мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применение превентивной меры, защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из бизнес-задач и тех аппаратных ресурсах, на которых потом программа будет функционировать. Учитывая пожелание заказчика и потенциального клиента, разработчик не уделяет должного внимания вопросу безопасности. Как отмечает в CNews, во многих банковских системах архитектура не учитывает возможные атаки, а под час значительно облегчает злоумышленникам проникновение: «Кроме вышеперечисленных недостатков, в ряде отечественных систем ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС).»

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течении многих лет занимающиеся проблемами защиты кода программ. В частности аналитики и инженеры StarForce.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим система защита постепенно устаревает и уменьшает свою эффективность. Необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк», - «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить стоимость обновления системы защиты банка и сделать ее адекватной современным угрозам со стоимостью защиты ПО от анализа и взлома, то сумма будет отличаться в разы в пользу защиты кода. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и НЕИЗВЕСТНЫХ угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частотности целый раздел посвящен защите исходного кода программ от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми нежели деньги, физически лежащие внутри банкомата», - пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). - «Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений.»

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу», - говорит технический директор StarForce Technologies Александр Зацепин, - «При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или как ее еще называют обфускация, обеспечивает невозможность понимания логики работы приложения.»

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и применение дистанционного банковского обслуживания. Кибер-преступники придумывают все новее способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и найдя в нем ошибки и уязвимости, проникают через них внутрь.

Системы защиты могут быть эффективны, только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно, изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода – мера превентивная, устраняющая причину, а не следствие взлома.

Стоимость защита кода программ в разы меньше стоимости обновления традиционных систем защиты.