Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционного банковского обслуживания

628 views
520 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
628
On SlideShare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Медведев Вячеслав Владимирович - Беззащитность участников систем дистанционного банковского обслуживания

  1. 1. Беззащитность участников систем дистанционногобанковского обслуживания
  2. 2. Нам пишут 2
  3. 3. Хакеры удвоили количество атак на банковские счетаукраинских предприятий. Под их прицел попали системы"клиент-банк", при помощи которых бухгалтера проводятплатежи своих компаний. За январь–август 2012 г. вподразделение по борьбе с киберпреступностью МВДпоступило 40 заявлений от субъектов предпринимательскойдеятельности, жаловавшихся на взлом систем "клиент-банк"Правоохранителям удалось предупредить 15 фактовзавладения средствами компаний на сумму 30 млн грн. http://www.depo.ua 3
  4. 4. Опубликованное – вершина айсберга, топящего бизнес илишающего надеждыСколько случаев осталось известно только жертвам? Никтоне хочет сознаваться и терять репутацию… http://www.depo.ua 4
  5. 5. Характер жалоб клиентов кредитных организаций на несанкционированное списание средств со счета Физические лица Юридические лицаКоличество жалоб в2011 г. 7 4Похищено со счетовклиентов кредитных 428 тыс. руб 10,3 млн. руборганизацийХарактер хищений • кража пароля при использовании компрометация системы «Интернет-банкинга»; ключей ЭЦП • кража контрольного номера перевода при переводе денежных средств по системе Western Union; • при совершении операции получения наличных средств в банкомате По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ” 5 из 32
  6. 6. млн. руб. 2010г.: - 2 из 6 попыток успешные (33%);12 2010 год - посягательств на 4,8 млн.руб.,10 2011 год - похищено 175 тыс.руб. (4%) 8 - средняя сумма хищения 90 тыс. руб. 6 2011г.: 4 - 9 из 23 попыток успешные (~40%); 2 - посягательств на 12 млн.руб. - похищено 8,5 млн.руб. (70%) 0 - средняя сумма хищения 450 тыс. руб. Попытки Хищения По материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ” 6 из 32
  7. 7. В Украине ситуация аналогична, но в меньших масштабах Пока в меньших масштабах… 7
  8. 8. Еще год назад службам безопасности удавалось перехватитьденьги клиентов: несанкционированный платежблокировался в момент его совершения в "клиент-банке"либо после поступления на транзитный счет преступника вдругом финучреждении, но в 2012 г. мошенники научилисьзаметать следыЭрсте Банк – из 19 взломов: в 12 случаях хищения денегостановлены еще в нашем банке, в трех — средства вернулииз других банков, в четырех — деньги разыскать и вернуть неудалось http://www.depo.ua 8
  9. 9. Как преступники получают доступ к деньгам?Антивирус купили, админ тоже не зря свой хлеб ест,системы обновляются… А деньги пропали! Кто виноват? 9
  10. 10. Современные вредоносные программы: • Создаются профессионалами и на момент создания не обнаруживаются антивирусами - и более того предпринимают попытки удаления антивируса • Используют самые последние разработки в области создания вредоносного ПО.Таким образом имеется возможность выполнениябанковских проводок с использованием удаленногодоступа – в уже имеющейся или параллельной сессии 10 из 32
  11. 11. Trojan.Carberp для перехвата связанной с работой ДБОинформации использует различные методы:  логирование нажатий пользователем клавиш,  вклинивание в HTTP-трафик в поисках учетных данных и передаваемых значений экранных форм,  встраивание в процессы программ системы банк-клиент,  создание скриншотов в моменты ввода важной информации,  перехваты отдельных функций, которые могут участвовать в передаче данных,  поиск и похищение сертификатов и ключей.Все варианты троянцев зашифрованы вируснымиупаковщиками.Среди команд, которые способен выполнятьTrojan.Carberp, имеются директивы запуска произвольныхфайлов на инфицированном компьютере, команда установкисеанса «удаленного рабочего стола» по протоколу RDP, идаже удаления на зараженном ПК операционной системы. 11 из 32
  12. 12. Современные вредоносные программы: • Отлично маскируются в системе. Trojan.Carberp запускаясь на инфицированной машине, предпринимает целый ряд действий для того, чтобы уйти от средств контроля и наблюдения. После успешного запуска троянец внедряется в другие работающие приложения, а свой основной процесс завершает, таким образом, вся его дальнейшая работа происходит частями внутри сторонних процессов, что является его характерным свойством. Миф о том, что появление любого вируса можно заметить визуально отжил себя окончательно • конкурируют между собой - в Trojan.Carberp имеется возможность уничтожения «конкурирующих» банковских троянцев • действуют в составе ботнетов, управляемых из одного (или нескольких) командных центров. Таким образом зараженная машина или сеть служит еще и источником заражения • благодаря возможности удаленного управления и возможности использования плагинов имеется возможность организации атаки на конкретную компанию по заказу извне. На данный момент имеются версии плагинов под большинство известных банковских систем! 12 из 32
  13. 13. Начнем с определений 13
  14. 14. Дистанционное банковское обслуживание –предоставление платежных и информационных услугудаленным клиентам кредитной организации посредствомтелекоммуникационных средств и сетей передачи данных. тыс. ед. 1800 1657 1600 1400 1200 1000 800 605 600 396 341 400 200 0 2008 2009 2010 2011 Счета ДБО в т.ч. через И нтернет и мобильные телефоны Количество счетов клиентов КО в РБ, доступ к которым предоставлен дистанционным способомПо материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ” 14 из 32
  15. 15. Дистанционное банковское обслуживание реализуется поразному – как правило через системы: • Банк-клиент (с использованием специально разработанного ПО, работающего на стороне клиента) • Мобильный клиент с работой через специальное ПО, плагин к браузеру или СМС • Обслуживание через банкомат или терминал (АТМ клиент)При этом работа возможна и с рабочего места, и смобильного устройства и из дома. Банк априори не знаетоткуда должно прийти указание на перевод средств 15 из 32
  16. 16. Виды атаки:• Атака на каналы передачи данных• Вирусная атака на сервер• Атака на компьютер через Интернет с целью кражи секретного ключа ЭЦП, паролей• Атака на компьютер через Интернет с целью захвата удаленного управления ресурсами компьютера• Атака с целью подмены документа при передаче его на подпись• Атака с целью подмены части или всего использующегося ПО• Внедрение программных закладок или троянских программПо материалам IV Межбанковской конференции “УРАЛЬСКИЙ ФОРУМ: ИНФОРМАЦИОНННАЯ БЕЗОПАСНОСТЬ БАНКОВ” 16
  17. 17. Вывод средств производится на:1. банковские карты для обналичивания,2. счета мобильных телефонов, в основном «Билайн» (услуга «МОБИ.Деньги»)3. электронные кошельки виртуальных платежных систем, в основном Яндекс.Деньги, Qiwi. От момента совершения мошеннической операции и до вывода средств проходит 1-3 минуты! 17
  18. 18. Для защиты непосредственно систем ДБО используются:• Виртуальные клавиатуры• Аутентификация в системе ДБО• Запрет входящих каналов на время работы ДБО• Подтверждение платежей с помощью криптокалькуляторов (потенциально с использованием ключевых параметров платежа) или SMS• Организация доверенной среды (загрузка доверенной операционной системы) - изоляция рабочего места ДБО от внешнего мира (LiveCD) или использование защищенного терминального режима доступа• Защита платежных данных при передаче – шифрование данных• Защищенное хранение ключей ЭЦП. Неизвлекаемое хранение на USB-токенах и смарт-картах• Ввод платежной информации на внешних устройствах (гарантия совпадения показываемой и формируемой платежки) Что из этих средств уже скомпрометировано? 18 из 32
  19. 19. • Виртуальные клавиатуры обходятся снятием экрана• Запрет входящих каналов на время работы обходится внедрением вируса до начала работы системы• Аутентификация в системе — зависит от пользователей — социальная инженерия использовалась и используется• Организация доверенной среды — изоляция рабочего места от внешнего мира через LiveCD обходится с помощью буткитов• Виртуальные среды (в том числе на Java) взламываются путем подмены базовых компонентов• Использование внешних систем подразумевает использование программных компонентов, что позволяет компрометировать и эти устройства, считавшиеся панацеей• Подтверждение по СМС не подходит для большинства организаций — в силу количества операций 19
  20. 20. Что было не так давно (да и сейчас есть повсеместно)?Лень двигатель человечества. Хакеры сообразили, что всегопроще распространять вирусы силами их жертв. В итоге до70 процентов вирусов проникают на компьютеры (в томчисле терминалы банковских систем) через флешки самихже пользователей/обслуживающего персонала.При чем зачастую по причине отсутствия на этихкомпьютерах обновлений безопасности, работе подадминистратором и мало-мальски серьезных паролей Мелисса, Конфикер…
  21. 21. Как сейчас проникают в систему жертвы? 21
  22. 22. Можно по старинке – фишингом - выудив у жертвы базуданных e-mail адресов корпоративных клиентовМожно ограбить жертву… Но люди ленивы, а чем преступники хуже всех? 22
  23. 23. Для проникновения/внедрения вирусов в защищаемуюсистему используются:  Методы социальной инженерии (вирус Стихнет)  Взлом сайтов и ресурсов сети Интернет, наиболее часто посещаемых целевой группой (семейство Carberp)Также целью криминальных структур являются личныеустройства и домашние компьютеры сотрудников и клиентовкомпании-цели. Целью их взлома и заражения является какхищение и подмена данных, так и проникновение с ихпомощью в защищаемую сеть. От момента совершения мошеннической операции и до вывода средств проходит 1–3 минуты! 23
  24. 24. Как ни защищай сеть, а по работе нужно выходить в Интернет, чтобы быть в курсе законотворчества, новостей бизнеса… Нужно быть в курсе! 24
  25. 25. Учтем что: Все люди одной специальности ходят на одни и те же сайты. Большинство все также работает под Windows с правами администратора Большинство выходит в Интернет с рабочего компьютера У почти всех стоят Adobe Acrobat и Adobe Flash.
  26. 26. Все это значит, что вы сами назначаете место встречи схакерами.Априори зная ваши предпочтения они легко могуторганизовать на вас атаку – и делают это 26 из 32
  27. 27. Для заражения ВСЕЙ целевой группы жертв нужно просто взломать сайт, на которые заходит целевая группа!Карбер – о нем надо знать всем, чтобы не увидеть его в лицо!
  28. 28. http://updates.drweb.com/ - ТОЛЬКО для обновлений за 2012-03-02:Trojan.Carberp.14(2) Trojan.Carberp.15(7) Trojan.Carberp.194Trojan.Carberp.195 Trojan.Carberp.196 Trojan.Carberp.197 Trojan.Carberp.198Trojan.Carberp.199 Trojan.Carberp.200 Trojan.Carberp.201 Trojan.Carberp.202Trojan.Carberp.203 Trojan.Carberp.204 Trojan.Carberp.205 Trojan.Carberp.206Trojan.Carberp.207 Trojan.Carberp.208(14) Trojan.Carberp.209Trojan.Carberp.210 Trojan.Carberp.211 Trojan.Carberp.213 Trojan.Carberp.214Trojan.Carberp.215 Trojan.Carberp.216 Trojan.Carberp.217 Trojan.Carberp.218Trojan.Carberp.219 Trojan.Carberp.220 Trojan.Carberp.221 Trojan.Carberp.222Trojan.Carberp.224 Trojan.Carberp.225 Trojan.Carberp.226 Trojan.Carberp.227Trojan.Carberp.228 Trojan.Carberp.229 Trojan.Carberp.230 Trojan.Carberp.231Trojan.Carberp.232 Trojan.Carberp.233 Trojan.Carberp.234 Trojan.Carberp.235Trojan.Carberp.236 Trojan.Carberp.237 Trojan.Carberp.238 Trojan.Carberp.239Trojan.Carberp.240 Trojan.Carberp.241 Trojan.Carberp.242 Trojan.Carberp.243Trojan.Carberp.244 Trojan.Carberp.245 Trojan.Carberp.246 Trojan.Carberp.247Trojan.Carberp.248 Trojan.Carberp.249 Trojan.Carberp.250 Trojan.Carberp.251Trojan.Carberp.252 Trojan.Carberp.253 Trojan.Carberp.254 Trojan.Carberp.255Trojan.Carberp.256 Trojan.Carberp.257 Trojan.Carberp.258 Trojan.Carberp.259Trojan.Carberp.260 Trojan.Carberp.261 Trojan.Carberp.262 Trojan.Carberp.263Trojan.Carberp.264 Trojan.Carberp.265 Trojan.Carberp.266 Trojan.Carberp.267Trojan.Carberp.29(14) Trojan.Carberp.33(10) Trojan.Carberp.45(4)Trojan.Carberp.5(3) Trojan.Carberp.60(6) Trojan.Carberp.61 Trojan.Carberp.80 28
  29. 29. На данный момент ситуация я Trojan.Carberp напоминаетситуацию с всем известным WinLock’ом — новыемодификации, протестированные заранее на последнихверсиях антивирусов, выходили ежедневно — и,естественно, антивирусам требовалось время, чтобы начатьудалять новый для них вид угрозы. Но Carberp гораздоопаснее — если WinLock просто не давал работать итребовал отправки СМС, то Trojan.Carberp направлен надлительную работу в системе. 29
  30. 30. Троянцы семейства Trojan.Carberp нацелены на хищение денежныхсредств компаний и частных лиц. Распространяется Trojan.Carberp сиспользованием набора эксплоитов Black Hole Exploit Kit —коллекции уязвимостей, эксплуатирующих ошибки инедокументированные возможности современного ПО, в частности,браузеров и операционных систем. В большинстве случаев жертвеBlack Hole не нужно предпринимать вообще никаких действий длятого, чтобы «получить троянца»: заражение происходитавтоматически при просмотре инфицированных веб-сайтовРазработкой и “продвижением” Trojan.Carberp занимаетсяорганизованная группа: разработчики находятся в одной стране,сервера, с которых непосредственно распространяется троян – вдругой, организаторы – в третьей 30 из 32
  31. 31. Carberp контролирует работу пользователей и собирает логи для: • Windows Live Messenger • Vypress Auvis • Google talk • Group Mail • Paltalk • Incredi Mail • QIP Online • Mail.Ru • JAJC • Eudora • Miranda ICQ • The Bat! • Yahoo Messenger • Becky! Internet Mail • Outlook • Windows Mail • Jabber • MRA • AOL Instant Messenger • Internet Explorer • Camfrog • Safari • POP Peeper • Firefox • PocoMail • Chrome • OperaCarberp собирает пароли от Windows Commander, Total Commander,FileZilla, FTP Commander, CuteFTP, CoffeeCup, Frigate3, WinSCP, FreeFTP, LeapFTP, Cryper Web Site Publisher, Far Manager FTP 31
  32. 32. Carberp пытается внедриться на страницы с именами • esk.sbrf.ru • online.sberbank.ru • *.alfabank.* • sbi.sberbank.ru • ibank.prbb.ru • *telebank.ruCarberp пытается перехватить платежи через PayPal, IBank,Cyberplat и PSB 32
  33. 33. Что может противопоставить этому системныйадминистратор, имея в наличии антивирус?Если он использует только антивирус (или точнее —файловый монитор, отслеживающий файловую активность),то ничего - перед выпуском вредоносные программытестируются на антивирусах и в момент выпуска необнаруживаются ими. Через некоторое время новая заразабудет найдена, но на весь этот промежуток защиты не будет. 33
  34. 34. Проблема разКомпоненты защиты для OS Windows “Зачем мне нужны непонятные компоненты?”
  35. 35. Проблема в том, что Просто Антивирус сам по себе уже не панацея 35
  36. 36. Если компания использует только антивирус (или точнее —файловый монитор, отслеживающий файловую активность),то она открыта всем ветрам - перед выпуском вредоносныепрограммы тестируются на антивирусах и в момент выпускане обнаруживаются ими. Через некоторое время новая заразабудет найдена, но на весь этот промежуток защиты не будет.Отказываясь от современных средств защиты компанияоставляет себя в прошлом 36
  37. 37. Современный антивирус не равен файловому антивирусу!С помощью входящей в его состав системы ограничениядоступа можно разрешить доступ сотрудникам только кизбранным сайтам.Антивирус имеет функцию проверки ссылок — это тоженужно использовать.Антивирус может не позволять сотрудникам изменятьнастройки самостоятельно по причине, что «все тормозит»,руководствуясь правилами, внесенными через системуцентрализованного управления. 37
  38. 38. Проблема дваКак происходят кражи?• 67% способствовали значительные ошибки• 64% способствовала хакерская активность• 38% использовали malware• 22% имели в составе злоупотребление привилегиями• 9% произошли путем физических атак91% всех компрометаций связаны с работой ОПГ “2010 Data Breach Investigations Report”, Verizon Business
  39. 39. Проблема триДостаточно ли защитить только организацию? Или данныеи деньги ее работников тоже требуют защиты?Совместимы ли выгода компании, лояльность ее клиентов исотрудников? 39
  40. 40. 60 процентов компьютеров в компании принадлежат еесотрудникам – и их безопасность никак не контролируется.Домашние компьютеры персонала, обслуживающего сетибанкоматов – основной источник вирусов“На андроиде вирусов нет! их нужно самомуставить, а я не дурак!”
  41. 41. 60 процентов компьютеров не имеют никакой защиты!Статистика антивирусных проверок показывает, что всреднем незащищенный компьютер поражен десятью вредоносными программами!
  42. 42. • Вне офиса люди никак не защищены от атак хакеров.• Используемые приложения могут как иметь уязвимости, так и содержать в своем составе троянцев. Являясь отличными специалистами в своей области, сотрудники компании не являются отличнымиспециалистами по безопасности – либо находятся в плену мифов. Отсутствие защиты не просто снижает эффективностьработы — это создает возможность утечки, подмены или компрометации важных материалов. 42
  43. 43. Проблема четыреРабочие станции защищены, а мобильные устройства нет?Уже существует первый банковский троянец для платформыAndroid - Android.SpyEye.1. При обращении к различным банковским сайтам, адреса которых присутствуют в конфигурационном файле троянца, в просматриваемую пользователем веб-страницу осуществляется инъекция постороннего содержимого, которое может включать различный текст или веб-формы. Таким образом, ничего не подозревающая жертва загружает в браузере настольного компьютера или ноутбука веб-страницу банка, в котором у нее открыт счет, и обнаруживает сообщение о том, что банком введены в действие новые меры безопасности, без соблюдения которых пользователь не сможет получить доступ к системе «Банк-Клиент», а также предложение загрузить на мобильный телефон специальное приложение, содержащее троянскую программу. 43 из 32
  44. 44. На известных докладчику примерах
  45. 45. Почему Dr.Web Комплексная Защита?Использование Офисного контроля дает возможность исключитьпроникновение вирусов через сменные носители, и исключить рисквнедрения вирусов с заведомо вредоносных сайтов
  46. 46. Почему Dr.Web Комплексная Защита?Все помнят количество дыр в Adobe flash/acrobat, через которыепотоком шли вирусы? Использование SpIDer Gate и SpIDer Maildпозволяет исключить проникновение вредоносных объектов из-зауязвимости программ (таких как браузеры, adobe flash и adobeacrobat, почтовые клиенты), поскольку весь трафик проверяется доего поступления в соответствующую программу! Проверен будетдаже шифрованный трафикНаличие в старшей версии Dr.Web (в отличии от более дешевогорешения Dr.Web Антивирус) дополнительных модулей позволяетобеспечить комплексную антивирусную защиту, поскольку основнаямасса вредоносных программ (в том числе нацеленных на кражуденежных средств и контроль за своими жертвами) попадает вкомпьютеры пользователей из сети Интернет
  47. 47. Итого• Современные информационные технологии принципиально не защищены от заражения новыми вирусами в условиях свободного использования ресурсов Интернет• Низкий уровень понимания рисков и угроз информационной безопасности приводит к игнорированию ими элементарных требований информационной безопасности• Применение любых средств защиты упирается в человека, как самое слабое звено в системе защиты• В условиях масштабных заражений всегда найдутся люди, которые что- либо нарушают и в первую очередь становятся жертвами мошенников• Недостатки законодательства, интернациональность и распределенность членов криминальных сообществ осложняют взаимодействие и координацию работы правоохранительных органов.
  48. 48. Факторы, способствующие мошенничеству:1. Клиентами не обеспечивается:- надежное хранение секретных ключей;- защита компьютера от НСД;- эффективная антивирусная защита.2. В договорах о предоставлении услуг ДБО не отраженыобязанности и ответственность клиента по выполнениютребований информационной безопасности, риски.4. В договорах не регламентированы механизмыреагирования на инцидент.5. Квалификация сотрудников клиента не позволяетобеспечить требования информационной безопасности,изложенные в договоре.
  49. 49. Попытки проникновения в ДБО будут только увеличиваться • Количество “интересующихся” всё возрастает • Успешные взломы широко освещаются • Мобильность распространяется всё шире© ICL-КПО ВС 2012 50 из 32
  50. 50. Вопросы? Благодарим за внимание! Желаем вам процветания и еще больших успехов! www.drweb.ua Номер службы технической поддержки (044) 279-77-70Запомнить просто! – возникла проблема – набери DRWEB! (044) 238-24-35

×