Новини

14:24
В Кабмине рассказали, вырастут ли цены на продукты после повышения пенсий
14:23
Супермодель Бар Рафаэли снова стала мамой
13:49
Президент утвердил официальную символику СНБО
13:30
В Белом доме рассказали, от чего будут зависеть отношения США и РФ
13:15
Дефицит бюджета США достиг почти $666 млрд
12:45
В НАТО усомнились в своей способности отразить возможный удар России
12:30
Ситуация на Донбассе накаляется
12:00
Украинцам будут по-другому начислять баллы за нарушения ПДД
11:36
Миллиардер из США начал кампанию за импичмент Трапма
11:21
Россия показала новые боевые вертолеты (видео)
11:13
В Сети высмеяли известного российского боксера
11:04
Могилевская шокировала подписчиков пикантным фото
10:50
Украина обратилась к ООН с насущной просьбой
10:26
Лобода роскошно отпраздновала 35-летие со звездными гостями
10:22
Бразильский подросток устроил смертельную стрельбу в школе (видео)
10:12
В Украине не хватает высококвалифицированных рабочих
10:08
НАТО назвало дату и место проведения саммита в 2018 году
10:04
Обнародованы кадры похищения младенца в Киеве (видео)
10:00
48-летняя Кетрин Зета-Джонс показала природную красоту
09:59
Оксана Марченко вернулась на ТВ в новом образе
09:02
Цены на бензин подбираются к отметке 30 грн/л
09:01
На Тернопільщині викрили підземну нарколабораторію завбільшки з футбольне поле
08:39
Саакашвили соберет в субботу народное вече
08:38
СМИ: Настя Каменских беременна
08:35
Экспорт вина из Грузии в 2017 г. составит более 70 млн бутылок - министр
08:32
"Апелляцию обсужу": адвокат Зайцевой прокомментировала решение суда
08:27
В сети высмеяли Поклонскую из-за неприлично дорогого аксессуара
08:24
В центре Киева на два месяца перекроют движение
08:23
На Мадагаскаре эпидемия чумы: погибли больше 90 человек
08:21
В Украине выдали миллионный ID-паспорт
08:20
Самый толстый в мире ребенок весит в 10 месяцев, как первоклассник
08:09
Из Киева в Одессу построят железную дорогу европейского образца
08:04
Во Вьетнаме крыса пытаясь укусить девушку довела ее до истерики
07:59
Жириновский: новогодние праздники в России нужно отменить
07:58
48-летняя Кэтрин Зета-Джонс показала себя без косметики
07:54
Автовладельцы назвали самые надежные автомобили этого года
07:48
Похищение младенца в Киеве: появилось видео преступления (видео)
07:27
Саакашвили: "Почему я вдруг тут стал Михо, я не понимаю"
Більше новин

Банковское ПО чрезвычайно уязвимо для кибератак

1

Исследователи центра Digital Security Research Group (DSecRG) проанализировали ситуацию, сложившуся на российском рынке банковского ПО.

Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Наша задача — предложить всем заинтересованным лицам возможный способ повышения безопасности не только программного обеспечения для дистанционного обслуживания клиентов, но и банковского ПО в целом.

31 января 2012 года в интернете был опубликован аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Исследование проводилось в России в 2009-2011 гг.

Ошибки в программах – обычное дело


Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В ходе жизненного цикла программы выпускаются новые версии, исправляющие эти ошибки, однако, не редки случаи, когда исправление, закрывающее один недостаток, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпущено множество обновлений все равно остаются уязвимыми».

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не обнаруживаются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком, и разработчик оперативно выпускает обновления для их устранения.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует программу по назначению, так как подобные ошибки могут не проявляться в процессе ее эксплуатации. Зачастую именно злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в ПО, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А, проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно изучить код, обнаружить ошибки и использовать их, особенно если речь идет о программе, работающей удаленно, а не локально, на компьютере хакера.

В обзоре приводятся слова Управляющего директора Дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам». Следует отметить, что защита исходного кода является превентивной мерой, которая нивелирует даже саму возможность атаки, а не только ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок»: мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применения превентивных мер защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из имеющихся бизнес-задач и аппаратных ресурсов заказчика. Учитывая пожелания клиента, разработчик не уделяет должного внимания вопросу безопасности. Отмечается, что во многих банковских системах архитектура не учитывает возможные атаки, а подчас даже значительно облегчает злоумышленникам проникновение. «Кроме вышеперечисленных недостатков, в некоторых отечественных системах ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС)».

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течение многих лет занимающиеся проблемами защиты кода программ.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим, система защиты постепенно устаревает и ее эффективность уменьшается, так что необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк»: «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить затраты на обновления системы защиты банка, адекватной современным угрозам, со стоимостью защиты кода от изучения и взлома, то сумма будет отличаться в разы в пользу последней. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и неизвестных угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частности, целый раздел посвящен защите исходного кода ПО от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, — пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). — Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений».

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу, — говорит технический директор StarForce Technologies Александр Зацепин. — При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или, как ее еще называют, обфускация, обеспечивает невозможность понимания логики работы приложения».

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и развитием дистанционного банковского обслуживания. Кибер-преступники придумывают все новые способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и, найдя в нем ошибки и уязвимости, проникают через внутрь с их помощью.

Системы защиты могут быть эффективны только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода — мера превентивная, устраняющая причину, а не следствие взлома.

Кроме того, стоимость защиты кода программ в разы меньше затрат на обновление традиционных систем безопасности.

Дмитрий Гусев, StarForce Technologies
Источник


Загрузка...


Комментарии 1

Дмитрий
Дмитрий от 13 февраля 2012 17:04
банковское ПО неуязвимо, если четко выполнять инструкции по безопасности.

Оставить комментарий

    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent