Всі новини

Банковское ПО чрезвычайно уязвимо для кибератак

Исследователи центра Digital Security Research Group (DSecRG) проанализировали ситуацию, сложившуся на российском рынке банковского ПО.

Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Наша задача — предложить всем заинтересованным лицам возможный способ повышения безопасности не только программного обеспечения для дистанционного обслуживания клиентов, но и банковского ПО в целом.

31 января 2012 года в интернете был опубликован аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Исследование проводилось в России в 2009-2011 гг.

Ошибки в программах – обычное дело


Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В ходе жизненного цикла программы выпускаются новые версии, исправляющие эти ошибки, однако, не редки случаи, когда исправление, закрывающее один недостаток, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпущено множество обновлений все равно остаются уязвимыми».

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не обнаруживаются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком, и разработчик оперативно выпускает обновления для их устранения.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует программу по назначению, так как подобные ошибки могут не проявляться в процессе ее эксплуатации. Зачастую именно злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в ПО, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А, проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно изучить код, обнаружить ошибки и использовать их, особенно если речь идет о программе, работающей удаленно, а не локально, на компьютере хакера.

В обзоре приводятся слова Управляющего директора Дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам». Следует отметить, что защита исходного кода является превентивной мерой, которая нивелирует даже саму возможность атаки, а не только ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок»: мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применения превентивных мер защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из имеющихся бизнес-задач и аппаратных ресурсов заказчика. Учитывая пожелания клиента, разработчик не уделяет должного внимания вопросу безопасности. Отмечается, что во многих банковских системах архитектура не учитывает возможные атаки, а подчас даже значительно облегчает злоумышленникам проникновение. «Кроме вышеперечисленных недостатков, в некоторых отечественных системах ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС)».

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течение многих лет занимающиеся проблемами защиты кода программ.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим, система защиты постепенно устаревает и ее эффективность уменьшается, так что необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк»: «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить затраты на обновления системы защиты банка, адекватной современным угрозам, со стоимостью защиты кода от изучения и взлома, то сумма будет отличаться в разы в пользу последней. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и неизвестных угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частности, целый раздел посвящен защите исходного кода ПО от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, — пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). — Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений».

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу, — говорит технический директор StarForce Technologies Александр Зацепин. — При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или, как ее еще называют, обфускация, обеспечивает невозможность понимания логики работы приложения».

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и развитием дистанционного банковского обслуживания. Кибер-преступники придумывают все новые способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и, найдя в нем ошибки и уязвимости, проникают через внутрь с их помощью.

Системы защиты могут быть эффективны только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода — мера превентивная, устраняющая причину, а не следствие взлома.

Кроме того, стоимость защиты кода программ в разы меньше затрат на обновление традиционных систем безопасности.

Дмитрий Гусев, StarForce Technologies
Источник

Загрузка...


Добавить комментарий
  • bowtiesmilelaughingblushsmileyrelaxedsmirk
    heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
    winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
    worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
    expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
    disappointedconfoundedfearfulcold_sweatperseverecrysob
    joyastonishedscreamtired_faceangryragetriumph
    sleepyyummasksunglassesdizzy_faceimpsmiling_imp
    neutral_faceno_mouthinnocent
1 комментарий
Дмитрий
банковское ПО неуязвимо, если четко выполнять инструкции по безопасности.
Читают Комментируют
Паспорта РФ и украинский язык: жители освобожденных сел удивили ВСУ
32 086
Соцсети взорвал двухэтажный балкон с лифтом в центре Киева
28 963
"На колени...": Сеть возмутило выступление украинского политика на КремльТВ
24 567
Уехали в "ДНР": в сети показали курсантов-предателей из харьковского вуза
23 662
После боя фанаты в Нью-Йорке остановили Ломаченко и заставили выполнить их просьбу
21 434
Украинская певица сделала резкое заявление о Виннике
21 115
"Когда он Крым отдаст Украине?": Жительница полуострова задала вопрос президенту РФ
20 734
Соцсети высмеяли террориста, выдающего себя за «коренного украинца»
18 522
Стало известно, кем Россия заменила террористов на Донбассе
18 128
"Дно": Конкурс красоты в «ДНР» подняли на смех
17 551
«Вот все и встало на свои места: он — бес!»: В Сети показали пудовую голову Путина
15 441
Соцсети подняли на смех опечатку в паспортах «ДНР»
14 850
Пленки Курченко и Саакашвили: криминолог сообщила о сенсационной детали
13 345
"На колени...": Сеть возмутило выступление украинского политика на КремльТВ
18
"Спасибо небу, что я стою здесь": Лобода произнесла речь на сцене в России
12
Уехали в "ДНР": в сети показали курсантов-предателей из харьковского вуза
7
В сети жестко высмеяли олимпийский позор Кремля
6
Эту страну не победить: Сеть насмешил «штурм» помоек российскими пенсионерами
6
Снежная королева уже не та: Сети повеселили фото новогоднего конкурса в оккупированном Крыму
5
Тимошенко потребовала от Порошенко немедленно освободить Саакашвили
5
Соцсети высмеяли террориста, выдающего себя за «коренного украинца»
5
"Дно": Конкурс красоты в «ДНР» подняли на смех
5
Порошенко: Ситуация с Саакашвили не стоит международного внимания
4
Создатель "ДНР" сделал громкое признание о связи с украинскими политиками
4
Путин, бай-бай! Президент России оконфузился на пресс-конференции
4
Мажоры из России устроили дикий беспредел в США
3
Как вы выбираете, какие игрушки подходят вашему ребенку?

Эта статья предлагает некоторые идеи для выбора игрушек, ...

Каким женщинам чаще всего изменяют мужчины

Проблемы в любви переживаются тяжелее всего. Предотвратить ...

Когда и какую воду пить лучше — теплую или холодную?

Мы все знаем о важности потребления достаточного количества ...

Десять эротических игр для вашей спальни

Сексологи все время советуют «привносить в секс ...