Новини

12:28
Что сказал постпред Украины при ООН о смерти Чуркина
12:01
Что не дает доллару подорожать еще сильнее
11:52
Странное поведение Порошенко на траурном молебне
11:39
Битва на выживание: состязание осьминога и краба с неожиданным концом
11:14
Синоптики предупредили киевлян об ухудшении погодных условий
11:09
Семенченко: "У мене для вас погана новина, Петро Олексійович"
10:53
Сорос сделал ставку на крах Трампа – Bild
10:45
Беларусь не будет впускать "граждан" ЛНР и ДНР
10:43
Боксер-гей избил гомофоба за оскобление
10:09
Активистки Femen обнажились в знак протеста против вице-президента США
09:53
Савченко отказалась от депутатской неприкосновенности и призвала всех своих коллег сделать тоже самое
09:35
Утреннее затишье в зоне АТО переросло в ожесточенные бои, у ВСУ - десяток раненных
08:44
Певица Елена Темникова отказалась от нижнего белья на отдыхе
08:35
Украинцам выключат соцсети. Зачем затеяли интернет-блокаду
08:22
Жертвы "Синего кита" раскрыли жуткие подробности смертельной игры
08:15
Стало известно, сколько Ани Лорак зарабатывает в России
08:10
Украинцы включили режим экономии (опрос)
08:09
За 2016 год жителей Украины стало на 176 тысяч меньше
07:55
Беременная Анна Седокова опубликовала пикантный снимок
07:45
В США массово увольняют мигрантов
07:42
НБУ вводит в оборот новую монету
07:35
Катастрофа надвигается на Россию: восемь регионов навсегда уйдут под воду
07:34
Вера Брежнева похвасталась роскошными формами в смелом наряде
07:31
Бойцы АТО добыли "крутой" боевой трофей
07:23
Поклонники в восторге от нового селфи Натальи Могилевской
22:19
Чума свиней распространилась в пяти областях Украины
21:47
Из Украины хотят запустить еще один поезд в Европу
21:30
Кадры испытаний российской военной техники в Арктике
20:12
Считают ли украинцы, что Майдан был бесполезным
19:58
Умер постпред России в ООН Виталий Чуркин
19:46
Укроборонпром представил беспилотник «Фантом» с высокоточным оружием
19:36
Что Порошенко пообещал родственникам Героев Небесной Сотни
19:05
Идея с арендой Крыма. "Артеменко не мог написать предложения от себя"
18:55
Родичі Героїв Небесної сотні зустріли Порошенка вигуками - Ганьба!
18:38
Переходим на электрокары: насколько подешевеют авто
18:36
3,2 тыс. бывших "предпринимателей" встали на учет в службе занятости
15:57
На Прикарпатье семья едва не стала жертвой "невидимого убийцы"
15:44
Власти за последние месяцы на угле заработали 10 млрд грн - Тимошенко
Більше новин

Банковское ПО чрезвычайно уязвимо для кибератак

1

Банковское ПО чрезвычайно уязвимо для кибератакИсследователи центра Digital Security Research Group (DSecRG) проанализировали ситуацию, сложившуся на российском рынке банковского ПО.

Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Наша задача — предложить всем заинтересованным лицам возможный способ повышения безопасности не только программного обеспечения для дистанционного обслуживания клиентов, но и банковского ПО в целом.

31 января 2012 года в интернете был опубликован аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Исследование проводилось в России в 2009-2011 гг.

Ошибки в программах – обычное дело


Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В ходе жизненного цикла программы выпускаются новые версии, исправляющие эти ошибки, однако, не редки случаи, когда исправление, закрывающее один недостаток, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпущено множество обновлений все равно остаются уязвимыми».

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не обнаруживаются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком, и разработчик оперативно выпускает обновления для их устранения.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует программу по назначению, так как подобные ошибки могут не проявляться в процессе ее эксплуатации. Зачастую именно злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в ПО, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А, проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно изучить код, обнаружить ошибки и использовать их, особенно если речь идет о программе, работающей удаленно, а не локально, на компьютере хакера.

В обзоре приводятся слова Управляющего директора Дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам». Следует отметить, что защита исходного кода является превентивной мерой, которая нивелирует даже саму возможность атаки, а не только ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок»: мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применения превентивных мер защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из имеющихся бизнес-задач и аппаратных ресурсов заказчика. Учитывая пожелания клиента, разработчик не уделяет должного внимания вопросу безопасности. Отмечается, что во многих банковских системах архитектура не учитывает возможные атаки, а подчас даже значительно облегчает злоумышленникам проникновение. «Кроме вышеперечисленных недостатков, в некоторых отечественных системах ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС)».

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течение многих лет занимающиеся проблемами защиты кода программ.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим, система защиты постепенно устаревает и ее эффективность уменьшается, так что необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк»: «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить затраты на обновления системы защиты банка, адекватной современным угрозам, со стоимостью защиты кода от изучения и взлома, то сумма будет отличаться в разы в пользу последней. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и неизвестных угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частности, целый раздел посвящен защите исходного кода ПО от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, — пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). — Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений».

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу, — говорит технический директор StarForce Technologies Александр Зацепин. — При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или, как ее еще называют, обфускация, обеспечивает невозможность понимания логики работы приложения».

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и развитием дистанционного банковского обслуживания. Кибер-преступники придумывают все новые способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и, найдя в нем ошибки и уязвимости, проникают через внутрь с их помощью.

Системы защиты могут быть эффективны только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода — мера превентивная, устраняющая причину, а не следствие взлома.

Кроме того, стоимость защиты кода программ в разы меньше затрат на обновление традиционных систем безопасности.

Дмитрий Гусев, StarForce Technologies
Источник


Загрузка...

Дмитрий 13 февраля 2012 17:04
банковское ПО неуязвимо, если четко выполнять инструкции по безопасности.