Новини

12:14
В США сошел с рельсов поезд со 120 авто BMW
11:58
Киевские перевозчики поднимут стоимость проезда до 8 грн
11:55
Amazon открыла "супермаркет будущего", в котором нет касс
11:21
Роботов уравняют в правах с людьми к 2056 году
11:10
Кредит под залог недвижимости: правильный выбор?
10:36
Секретное хранилище времен Второй мировой войны обнаружено во Франции
10:30
Население существует для того, чтобы платить налоги, – финансист Порошенко
10:21
Золотовалютные резервы Украины снизились впервые в 2016 году
10:18
Налички из деклараций нардепов хватит, чтобы год строить дороги по всей стране. Инфографика
10:15
Успешно запущена ракета «Вега» с украинским двигателем
09:54
Порошенко очень заинтересован в продолжении войны - опальный Онищенко
09:42
Трамп резко поменял свою позицию относительно Украины
09:40
Евросоюз отреагировал на протесты общества против снятия запрета на вырубку леса
09:35
Байден заявил, что задумал в 78 лет стать президентом
09:07
Родственникам не отдают тела убитых полицейских в Княжичах
08:58
Озвучена сумма мировой помощи Донбассу на 2017 год
08:55
51-летняя Повалий вышла в свет с откровенным вырезом на груди
08:36
Оксана Марченко покорила эффектным нарядом
08:29
Огромная змея залезла под капот автомобиля
08:05
Анна Седокова шокировала снимком в постели с Чадовым
07:54
Эпидпорог в Украине уже превышен
07:49
"Что вы хотите, они сами обворовывали дома" - Москаль о перестрелке в Княжичах
07:40
Легендарный певец Крис Кельми срочно госпитализирован в тяжелом состоянии
07:30
Чтобы взломать карту Visa и украсть ваши деньги нужно всего несколько секунд
07:11
Неудачный запуск российской ракеты с установки С-300
07:10
Вера Брежнева в пижаме умилила поклонников
07:07
Украина заняла девятое место по экспорту оружия в мире
21:20
Захарченко и Плотницкий ненавидят друг друга - Ходаковский
19:46
Руслан Сольвар забыл задекларировать недвижимость родственников на 36 млн
19:43
Охраннику Порошенко дали государственную квартиру за $250 тысяч
19:40
Ученые выяснили, куда пропали люди с Марса
13:20
Компромат на Порошенко. Интервью беглого Онищенко россТВ
12:49
Медведев понизил прожиточный уровень в России
12:45
"Азов" вступил в открытое противостояние со ставленником Авакова Черемухиным
12:39
Уголовник Хмара Алексей. Как обворовывать доноров
10:10
В гробнице Христа в Иерусалиме нашли еще одну могильную плиту
10:01
Евро рухнул до минимума за 21 месяц на итогах референдума в Италии
09:40
"Квартал 95" показал, как с украинцев будут "выбивать" долги за коммуналку
Більше новин

Банковское ПО чрезвычайно уязвимо для кибератак

1

Банковское ПО чрезвычайно уязвимо для кибератак Исследователи центра Digital Security Research Group (DSecRG) проанализировали ситуацию, сложившуся на российском рынке банковского ПО.

Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Наша задача — предложить всем заинтересованным лицам возможный способ повышения безопасности не только программного обеспечения для дистанционного обслуживания клиентов, но и банковского ПО в целом.

31 января 2012 года в интернете был опубликован аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Исследование проводилось в России в 2009-2011 гг.

Ошибки в программах – обычное дело


Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В ходе жизненного цикла программы выпускаются новые версии, исправляющие эти ошибки, однако, не редки случаи, когда исправление, закрывающее один недостаток, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпущено множество обновлений все равно остаются уязвимыми».

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не обнаруживаются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком, и разработчик оперативно выпускает обновления для их устранения.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует программу по назначению, так как подобные ошибки могут не проявляться в процессе ее эксплуатации. Зачастую именно злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в ПО, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А, проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно изучить код, обнаружить ошибки и использовать их, особенно если речь идет о программе, работающей удаленно, а не локально, на компьютере хакера.

В обзоре приводятся слова Управляющего директора Дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам». Следует отметить, что защита исходного кода является превентивной мерой, которая нивелирует даже саму возможность атаки, а не только ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок»: мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применения превентивных мер защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из имеющихся бизнес-задач и аппаратных ресурсов заказчика. Учитывая пожелания клиента, разработчик не уделяет должного внимания вопросу безопасности. Отмечается, что во многих банковских системах архитектура не учитывает возможные атаки, а подчас даже значительно облегчает злоумышленникам проникновение. «Кроме вышеперечисленных недостатков, в некоторых отечественных системах ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС)».

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течение многих лет занимающиеся проблемами защиты кода программ.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим, система защиты постепенно устаревает и ее эффективность уменьшается, так что необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк»: «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить затраты на обновления системы защиты банка, адекватной современным угрозам, со стоимостью защиты кода от изучения и взлома, то сумма будет отличаться в разы в пользу последней. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и неизвестных угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частности, целый раздел посвящен защите исходного кода ПО от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, — пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). — Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений».

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу, — говорит технический директор StarForce Technologies Александр Зацепин. — При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или, как ее еще называют, обфускация, обеспечивает невозможность понимания логики работы приложения».

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и развитием дистанционного банковского обслуживания. Кибер-преступники придумывают все новые способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и, найдя в нем ошибки и уязвимости, проникают через внутрь с их помощью.

Системы защиты могут быть эффективны только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода — мера превентивная, устраняющая причину, а не следствие взлома.

Кроме того, стоимость защиты кода программ в разы меньше затрат на обновление традиционных систем безопасности.

Дмитрий Гусев, StarForce Technologies
Источник

Загрузка...


Дмитрий 13 февраля 2012 17:04
банковское ПО неуязвимо, если четко выполнять инструкции по безопасности.