Новини

18:49
На кого похож сын Потапа: поклонники обсуждают архивный снимок рэпера
18:47
В Сеть попал раритетный снимок Дональда Трампа с Леней Голубковым
18:39
Как очистить печень с помощью трав
18:04
Гройсман пообещал реформы уже в сентябре
17:55
За долг в 340 гривен субсидию заберут
17:54
Порошенко: Украина начинает техническое переоснащение армии
17:53
Визовый режим с Россией: в СБУ выступили с громким заявлением
17:45
Синоптики дали прогноз погоды на День независимости
17:45
Украинский город публично поддержал аннексию Крыма
17:30
В Украине резко понизилось производство водки и пива
17:15
Безвизовым режимом уже воспользовались 200 тысяч украинцев
16:30
В работе Facebook произошел сбой
16:11
Сын Героя Украины стал новым главой патрульной полиции Одессы
16:10
Нардепу Полякову надели электронный браслет
16:07
Назван самый надежный способ дожить до глубокой старости
15:22
Ольга Сумская показала снимок с дня рождения
15:13
На Гонконг обрушился тайфун
14:45
"Школьное" перемирие в зоне АТО может стать реальным миром - Геращенко
14:16
Внефракционный народный депутат потратил 5 миллионов на авто
14:15
Бывшая жена Потапа очаровала поклонников своей красотой
13:59
В суде Харькова, который рассматривал дело табачного гиганта, сгорело 70% компьютеров
13:57
Кличко дал прогноз на супербой Макгрегор - Мейвезер
13:51
Курс доллара приготовил украинцам сюрприз
13:48
В России на автозаводе произошла жуткая резня, много убитых и раненных
13:47
Жители Севастополя поздравили Украину
13:30
Макс Барских отдохнул на курорте в компании с украинской певицей
13:20
Украина не выживет в войне с Россией, если не станет членом НАТО - Кравчук
13:19
Ученые назвали продукты, которые понизят холестерин в организме
12:43
Правительство ограничило премии государственным исполнителям Минюста
12:37
Названы продукты, которые приводят к старению человека
12:29
Городские пляжи Алушты затопили фекалии
12:12
Наталья Могилевская удивила откровенным мини
11:44
В Харькове от молнии загорелось здание суда
11:35
Жириновскому грозит 12 лет тюрмы
11:30
Мэрайя Кэри шокировала общественность пышной фигурой
10:44
Стало известно, сколько в Украине запретили российских телеканалов
10:30
Медики назвали ранее неизвестные симптомы рака
10:28
Ученые рассказали о вреде воды из крана
Більше новин

Банковское ПО чрезвычайно уязвимо для кибератак

1

Банковское ПО чрезвычайно уязвимо для кибератакИсследователи центра Digital Security Research Group (DSecRG) проанализировали ситуацию, сложившуся на российском рынке банковского ПО.

Вывод аналитиков неутешительный: банковские программы обладают крайне низкой степенью защищенности. Наша задача — предложить всем заинтересованным лицам возможный способ повышения безопасности не только программного обеспечения для дистанционного обслуживания клиентов, но и банковского ПО в целом.

31 января 2012 года в интернете был опубликован аналитический отчет о безопасности банковского ПО, предназначенного для дистанционного обслуживания клиентов (ДБО). Исследование проводилось в России в 2009-2011 гг.

Ошибки в программах – обычное дело


Специалисты по программированию в один голос говорят о том, что любое ПО содержит ошибки и уязвимости.

Александр Яшкин, ведущий программист российской компании StarForce Technologies, считает, что подавляющее большинство программ в той или иной степени содержит ошибки или недоработки: «Практика показывает, что в процессе эксплуатации ПО рано или поздно, преднамеренно или непреднамеренно обнаруживаются уязвимости, которыми может воспользоваться злоумышленник. В ходе жизненного цикла программы выпускаются новые версии, исправляющие эти ошибки, однако, не редки случаи, когда исправление, закрывающее один недостаток, привносит в программу другие. Данный процесс цикличен, и даже программы, для которых выпущено множество обновлений все равно остаются уязвимыми».

К сожалению, в процессе разработки современной программы в коде остается большое количество ошибок, которые не обнаруживаются на стадии тестирования. Некоторые критические ошибки, как правило, выявляются уже в процессе эксплуатации ПО заказчиком, и разработчик оперативно выпускает обновления для их устранения.

Однако, далеко не всегда ошибки обнаруживаются теми, кто использует программу по назначению, так как подобные ошибки могут не проявляться в процессе ее эксплуатации. Зачастую именно злоумышленники при исследовании удаленной системы перед ее взломом случайно натыкаются на бреши в ПО, которые потом используют в своих целях. Через такие «дыры» в программах кибермошенник может пробраться в систему и получить в ней неограниченные права.

Как же предотвратить обнаружение уязвимостей и обезопасить систему от вторжения?

Одним из способов может являться защита исходного кода программы от декомпиляции, дизассемблирования и реверс-инжиниринга. А, проще говоря, от исследования и взлома. В этом случае хакеру будет чрезвычайно сложно изучить код, обнаружить ошибки и использовать их, особенно если речь идет о программе, работающей удаленно, а не локально, на компьютере хакера.

В обзоре приводятся слова Управляющего директора Дирекции информационных и платежных технологий «Транскапиталбанка» Валерия Шеина: «Современные системы ДБО просто не успевают создавать эффективные меры противодействия интернет-мошенникам». Следует отметить, что защита исходного кода является превентивной мерой, которая нивелирует даже саму возможность атаки, а не только ее последствия.

Вообще, борьба с киберпреступностью идет по схеме «удар-блок»: мошенники наносят удар первыми, а службы безопасности защищаются, реагируя на ту или иную угрозу. В случае применения превентивных мер защита уже готова к нанесению удара.

Эффективная безопасность закладывается на этапе разработки архитектуры программы

Процесс построения архитектуры будущей программы, как правило, имеет целью разработку наиболее эффективной модели функционирования программы, исходя из имеющихся бизнес-задач и аппаратных ресурсов заказчика. Учитывая пожелания клиента, разработчик не уделяет должного внимания вопросу безопасности. Отмечается, что во многих банковских системах архитектура не учитывает возможные атаки, а подчас даже значительно облегчает злоумышленникам проникновение. «Кроме вышеперечисленных недостатков, в некоторых отечественных системах ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС)».

Очевидно, что изучение мирового опыта позволяет выработать практические рекомендации по разработке безопасной архитектуры системы. В этом могут помочь соответствующие специалисты, в течение многих лет занимающиеся проблемами защиты кода программ.

Стоимость защиты

Внедрение комплексной системы защиты для банка – дело не дешевое. Но без этого никуда. Внедрять систему все равно надо. Однако, как мы видим, система защиты постепенно устаревает и ее эффективность уменьшается, так что необходимо постоянно ее обновлять.

Как утверждает Светлана Белялова, начальник управления контроля за операционными рисками «Райффайзенбанк»: «Затраты на усовершенствование уровня безопасности систем ДБО являются существенными».

Если сравнить затраты на обновления системы защиты банка, адекватной современным угрозам, со стоимостью защиты кода от изучения и взлома, то сумма будет отличаться в разы в пользу последней. А если учесть, что защита кода является превентивной мерой, реагирующей на широкий спектр известных и неизвестных угроз, то выбор решения становится очевидным.

Рекомендации профессионалов

Международная некоммерческая организация производителей банкоматов ATMIA в 2011 году выпустила свод практических рекомендаций по защите банкоматов и банковских программ от киберугроз. В частности, целый раздел посвящен защите исходного кода ПО от реверс-инжиниринга.

«Сегодня, когда запускается вторая редакция руководства, данные карт, которые могут быть похищены из банкомата, становятся более уязвимыми, нежели деньги, физически лежащие внутри банкомата, — пишет во вступлении технический редактор документа Peter Kulik (Петер Кулик). — Кроме того, преступления, связанные с ПО относятся к категории скрытых. Их очень трудно обнаруживать и они ведут к куда более драматичным результатам, нежели другие формы преступлений с банкоматами. Мы отдаем себе отчет в том, что наша индустрия сегодня недооценивает масштаб таких преступлений».

Для предотвращения проникновения в банковскую систему специалисты ATMIA советуют использовать обфускацию исходного кода, применять технологию виртуальной машины и др.

«Размещение критически важных модулей программы в виртуальной машине позволит сделать из них «черный ящик», внутреннее устройство которого не поддается изучению и анализу, — говорит технический директор StarForce Technologies Александр Зацепин. — При этом сама программа функционирует исправно. Кроме того, запутывание граф-алгоритма программы, или, как ее еще называют, обфускация, обеспечивает невозможность понимания логики работы приложения».

Выводы

Сегодня банковские системы, обслуживающие клиентов удаленно подвергаются огромным рискам. Связано это с повсеместным распространением интернета и развитием дистанционного банковского обслуживания. Кибер-преступники придумывают все новые способы нечестного отъема денег у банков.

Для проникновения внутрь банковских сетей хакеры исследуют банковское ПО и, найдя в нем ошибки и уязвимости, проникают через внутрь с их помощью.

Системы защиты могут быть эффективны только при комплексном подходе. Одним из элементов такого подхода может стать защита исходного кода банковского ПО от анализа и взлома. В этом случае хакеру будет чрезвычайно сложно, а подчас и совсем невозможно изучить алгоритмы работающей программы и найти в ней бреши, через которые можно осуществить вторжение.

Традиционные системы защиты постоянно «догоняют» угрозы и не способны противостоять новейшим способам взлома. Защита кода — мера превентивная, устраняющая причину, а не следствие взлома.

Кроме того, стоимость защиты кода программ в разы меньше затрат на обновление традиционных систем безопасности.

Дмитрий Гусев, StarForce Technologies
Источник


Загрузка...

Дмитрий 13 февраля 2012 17:04
банковское ПО неуязвимо, если четко выполнять инструкции по безопасности.