Слово “банк” у многих из нас ассоциируется с такими понятиями как: надёжность, безопасность, компетентность, ответственность, респектабельность. В этой статье речь пойдёт об одной из составляющих - об информационной безопасности средств электронной коммерции (он-лайн банкинг, интернет-магазины, автоматизированные пункты продаж, электронные платёжные системы и т.п.), которые набирают свою популярность в Украине с каждым годом. По роду своей работы мне часто приходилось заниматься тестированием безопасности веб-сайтов зарубежных компаний. Я не раз убеждался в том, что большинство сайтов имеют серьёзные проблемы информационной безопасности, что подтверждает официальная статистика хищений в сети Интернет. Цифры впечатляют. Только за один 2007 год прямой финансовый ущерб потребителей США составил 3.2 миллиарда долларов (не учитывая косвенных потерь американского бизнеса). В целом же общие мировые потери эксперты оценивают около 100 миллиардов долларов в год. И это только официально зарегистрированные случаи. Считается что не более 5% потерпевших заявляет о подобных проблемах. А сколько тех, кто даже и не заметил, что стал жертвой виртуальных карманников? Можно разве что догадываться о реальных масштабах проблемы. Читатель может возразить - а, ну то в Америке, у них совсем другие денежные обороты электронных платежей, практически каждый житель имеет (и главное регулярно пользуется) платёжной картой, а часто и не одной. Покупка товаров и услуг в США в Интернет для многих стала повседневной рутиной, не то что в нашей стране, где кредитные карты чаще всего используются только как средство хранения или обналичивания денег, а не как средство платежа. Это факт. Как факт и то, что “их” производители программного обеспечения, провайдеры интернет-услуг и просто рядовые пользователи поднаторели в противостоянии интернет-мошенникам. Что же касается Украины (да и прочих стран постсоветского пространства), то наш развивающийся рынок электронной коммерции может оказаться (или уже есть) следующей мишенью хакеров, чему “благоприятствуют” такие факторы как: - Значительное отставание Украины от западных стран по
степени развития и внедрения компьютерных технологий, в том числе средств защиты передаваемой и хранимой информации; - Лидирование постсоветских стран по числу хакерских атак, производимых с их территории (примерно 20% от общего числа);
- Недостаточно развитая культура потребления интернет услуг и просто банальная компьютерная неграмотность наших сограждан;
- Отсутствие обязательных регламентирующих норм, правил обеспечения и контроля информационной безопасности в сети Интернет;
- Сложность выявления и доказательства фактов интернет-мошенничества как с технической, так и юридической точки зрения.
Интернет - это сеть, состоящая из множества дыр Изначально Интернет создавался как средство коммуникации между университетами, поэтому о вопросах информационной безопасности тогда никто не задумывался. В результате чего большинство веб-сайтов сегодня имеют серьёзные уязвимости безопасности, и в том числе сайты весьма популярных украинских банков, интернет- магазинов и платёжных систем, в чём я лично убедился при беглом обзоре ряда таких веб-сайтов. Даже такое поверхностное исследование выявило, что примерно треть веб-сайтов банков и почти все сайты интернет-магазинов имеют неудовлетворительную защиту конфиденциальной информации. Исходя из собственного опыта тестирования можно ожидать, что число “дырявых” сайтов может вырасти до 70% при более тщательном их тестировании. Вот примеры наиболее типичных уязвимостей: - Ваша персональная информация такая как: регистрационное имя
(логин), пароль, e-mail, паспортные данные, индивидуальный идентификационный код, девичья фамилия матери, даже данные кредитной карты (!!!) и многое другое - всё это может передаваться в Интернет открытым текстом без какого-либо шифрования. Перехват такой информации в сети Интернет не представляет особых трудностей. Вы бы, наверное, не стали отправлять денежные купюры в обычном конверте, надеясь на добропорядочность работников почты. - Информация о ваших
платежах может быть доступна другим пользователям. Например, любой зарегистрированный пользователь сможет увидеть когда и за что вы платили, номер счёта, какой у вас телефон, адрес, e-mail, ICQ и т.д. То есть ваша личная финансовая жизнь становится публичной помимо вашей воли. - Вы просто открваете страницу популярного блога а
в это время деньги с вашего счёта преводятся на другой. Если похищена небольшая сумма то единственное что вы можете заметить - некоторые элементы веб-страницы блога не отображаются. - Часто
встречается возможность внедрения хакерских ссылок, полей ввода и программного кода на сайтах, при этом сервер воспринимает этих “подкидышей” как своих собственных до тех пор пока кукушонок не клюнет приёмного родителя. Уязвимые веб-страницы могут быть использованы для хищения паролей, номеров кредиток или размещения компрометирующего или неподобающего материала. - Возможен прямой доступ к базе
данных для чтения, изменения и удаления не только информации хранимой в базе данных, но и самой структуры базы данных. т.е. “Бери - не хочу” - всё зависит только от опытности и намерений взломщика. - Можно
войти в систему под чужим именем вообще без пароля. Достаточно просто ввести “волшебное слово” (известное хакерам) в поле ввода пароля или командную строку браузера и …. вуа-ля - вы совсем другой человек (для банка) с его активами и пассивами. - Нередко встречаются
случаи, когда можно читать, изменять, удалять, создавать и даже запускать на выполнение файлы, хранящиеся на веб-серверах. Эти файлы могут содержать такие важные данные как: 1. идентификаторы и персональные данные клиентов банка; 2. параметры конфигурации системы (включая права доступа); 3. администраторские логины и пароли для доступа к базе данных или локальной файловой сети; 4. исходные коды программ, файлы данных и резервные копии баз данных 5. и т.п. Довольно часто при сбое системы на экран выводится много технической информации. Для обычного пользователя - это информационный мусор, но для взломщиков - это просто подарок судьбы. Такие сообщения запросто могут содержать администраторские пароли и логины, название таблиц и полей базы данных, программный код, пути к файлам с конфиденциальной информацией и много другой ценной информации. К сожалению, это является практически стандартным поведением для многих популярных веб-серверов. - Почтовый сервер банка может быть использован для рассылки СПАМа с компрометирующим его же содержанием.
- В
конечном итоге несколько сотен или даже тысяч компьютеров пользователей могут быть использованы для проведения массированной атаки на сайт их банка, чтобы вывести его из строя на пару часов, а, может, и навсегда если “повезёт”… Этот список можно было бы продолжать и дальше. Всё это выглядит так, как будто при строительстве банка забыли поставить одну из стен… Или как минимум, что ключи от бронированной входной двери хранятся снаружи под ковриком. Заказчики и исполнители Большинство хакеров взламывают сайты только из побуждений профессионального самоутверждения или любопытства. Убедившись, что защита сломлена, они обычно не идут дальше. В крайнем случае могут умыкнуть небольшую сумму, чтобы “компенсировать” свои технологические издержки. Известны даже случаи когда сами “взломщики” из благих побуждений сообщали “жертвам” об обнаруженной лазейке и … оказывались за решёткой. Сами по-себе хакеры особой опасности не представляют, но несомненно, стоит опасаться закзчиков и потребителей хакерских “отмычек”. Кто же они, люди без страха и упрёка? Заказчиками хакеров могут быть: - жулики, те что снимают небольшие суммы денег с большого
числа банковских счетов, а так же те кто обналичивают или “отоваривают” их; - конкуренты, ведущие технический и финансовый шпионаж;
- спецслужбы, наблюдающие за банками или их клиентами;
- рейдеры, собирающие компромат или готовящие кибер-атаки, способные парализовать работу приглянувшегося им учреждения.
- продавцы
конфидециальной частной и коммерческой информации (базы данных паспортных столов, налоговых инспекций, клиентов баков и тп.). Но ситуация не является патовой. Большинство уязвимостей уже выявлены, и существуют доступные методы и средства, которые позволяют закрыть бреши в защите веб-приложений. Проблема в другом - руководство и технические специалисты не уделяют этим проблемам должного внимания, а может быть просто игнорируют их. Больше всего поражает “откровения” персонала поддержки и руководства некоторых сайтов. Когда я, например, позвонил в службу поддержки одного известного интернет-магазина чтобы предупредить о найденных на их сайте “дырах”, то мне ответили (с большим апломбом) буквально следующее: “Персональная информация пользователя, никакой ценности не представляет, и вводится пользователем для его же удобства, поэтому он (пользователь) сам отвечает за то- где, кому и какую информацию он предоставляет…”. Если не обращать внимания на тон ответа, то как ни печально, но это правда - спасение утопающих дело рук самих утопающих. Если мы с вами не будем беспокоиться о собственной информационной и финансовой безопасности, то могут найтись те, кто “побеспокоится” об этом, но только в сугубо своих интересах… Письма “мёртвого” человека Наибольшее число хакерских атак в настоящее время происходит при помощи Фишинга. Это наиболее простой (с технической точки зрения) и наиболее эффективный способ хищения информации в сети интернет. Как это работает? Обычно в случае Фишинга вы получаете от хакера e-mail или чат сообщение (ICQ, MSN, Skype и т.п.) которое содержит в себе ссылку-приманку (подобные сообщения могут приходить даже на мобильные телефоны). Такие ссылки-приманки также могут появится на популярных сайтах, посетители которых могут публиковать свои сообщения, в том числе и ссылки (форумы, блоги, социальные сети и т.п.). Это в полной мере относится и к форумам тех банков, на которые нацелены хакерские атаки. Причём адрес отправителя сообщения будет в точности соответствовать e-mail службы поддержки вашего банка. На это не стоит полагаться - злоумышленник может подставить любой обратный адрес. При нажатии на эту ссылку вы попадаете на страницу-ловушку, которая либо очень похожа, либо в точности повторяет страницу регистрации и/или оплаты вашего банка или интернет-магазина. При этом адрес страницы может быть идентичным адресу “настоящей” страницы или быть очень похожим на него. Вам остаётся только ввести ваши логин/пароль или данные кредитной карточки и нажать Ok. И … ждать пока ваш счёт не похудеет на энную сумму без вашего ведома. Ниже перечислены наиболее типичные признаки писем-приманок: - В приветствии письма отсутствует ваши имя и фамилия или как
минимум имя учётной записи (логин). Письмо начинается безличным обращением , например “Уважаемый клиент”. - Письмо
приходит внезапно - вы уже давно зарегистрировались, не меняли свою учётную запись, не производили покупок или других операций, после которых обычно приходит уведомление, не подписывались на рассылку рекламы и новостей. - Под вполне благовидным предлогом
вам предлагают сменить ваш пароль, например, во избежании мошенничества. В любом случае, упоминание о том, что надо явно ввести ваш пароль или тем более данные кредитки должно вызывать подозрение и звонок в службу поддержки этого сайта. Особо обратите внимание на письма якобы от вашего банка с примерно таким содержанием: - Банк информирует вас о возможном хищении с вашей карточки.
Чтобы попасть на страницу последних платежей по вашей карточке вам необходимо ввести регистрационное имя и пароль. - Приходит
уведомление о успешном или отклонённом платеже, который вы не совершали. Естественно такое письмо имеет ссылку на “страницу регистрации”. - Требуется материальная помощь в лечении тяжелобольного и предлагается сделать пожертвование он-лайн.
- Вы
выиграли денежный приз в лотерее проводимой вашим банком и вам надо указать номер кредитной карточки и PIN-код для его получения. - Вам предлагают купить товар по смешной цене.
- И т.п.
Банкиру на заметку Как же поступить руководству банка, чтобы уберечь своих клиентов (а значит и банк) от подобных “неприятностей”? Есть несколько простых советов: - Проведите комплексное независимое тестирование безопасности
вашего веб-сайта и веб-сервисов (если такие имеются). Все найденные уязвимости должны быть немедленно устранены или максимально минимизированы. - Проводите тестирование безопасности
регулярно - хакеры не дремлют и постоянно изыскивают новые лазейки для своих атак. Плюс новые версии программного обеспечения, могут содержать новые уязвимости. - Своевременно обновляйте программное
обеспечение: веб-серверов, баз данных, операционных систем и т.д. Злоумышленники могут легко определить устаревшую версию приложения, установленного на вашем сервере и воспользоваться известными уязвимостями старой версии. - Веб-страницы содержащие
конфиденциальную информацию должны шифроваться и предаваться по безопасному протоколу HTTPS. Не стоит экономить на приобретении SSL сертификата - безопасность стоит дороже. - Используйте
Intrusion Detection System (IDS) приложения, которые подобно антивирусам могут блокировать хакерские атаки, используя базу данных известных уязвимостей, или выявить потенциально опасные запросы, основываясь на эвристических методах оценки. Послесловие 100% защищённости информации, хранимой и передаваемой в Интернет, никто гарантировать не может, поэтому нам, пользователям, следует помнить - что безопасность нашей конфиденциальной информации всё ещё сильно зависит от того, как мы ею распоряжаемся. С другой стороны, владельцы веб-сайтов и провайдеры интернет-услуг могут (и должны) принять все меры, чтобы снизить эти риски на несколько порядков относительно текущей ситуации. Информационные риски - это и финансовые риски, а безопасность клиентов - это и безопасность бизнеса в целом.
|