Слово “банк” у многих из нас ассоциируется с такими
понятиями как: надёжность, безопасность, компетентность,
ответственность, респектабельность. В этой статье речь пойдёт об одной
из составляющих - об информационной безопасности средств электронной
коммерции (он-лайн банкинг, интернет-магазины, автоматизированные
пункты продаж, электронные платёжные системы и т.п.), которые набирают
свою популярность в Украине с каждым годом.

По роду своей работы мне часто приходилось
заниматься тестированием безопасности веб-сайтов зарубежных компаний. Я
не раз убеждался в том, что большинство сайтов имеют серьёзные проблемы
информационной безопасности, что подтверждает официальная статистика
хищений в сети Интернет. Цифры впечатляют. Только за один 2007 год
прямой финансовый ущерб потребителей США составил 3.2 миллиарда
долларов (не учитывая косвенных потерь американского бизнеса). В целом
же общие мировые потери эксперты оценивают около 100 миллиардов
долларов в год. И это только официально зарегистрированные случаи.
Считается что не более 5% потерпевших заявляет о подобных проблемах. А
сколько тех, кто даже и не заметил, что стал жертвой виртуальных
карманников? Можно разве что догадываться о реальных масштабах проблемы.

Читатель может возразить - а, ну то в Америке, у них
совсем другие денежные обороты электронных платежей, практически каждый
житель имеет (и главное регулярно пользуется) платёжной картой, а часто
и не одной. Покупка товаров и услуг в США в Интернет для многих стала
повседневной рутиной, не то что в нашей стране, где кредитные карты
чаще всего используются только как средство хранения или обналичивания
денег, а не как средство платежа. Это факт. Как факт и то, что “их”
производители программного обеспечения, провайдеры интернет-услуг и
просто рядовые пользователи поднаторели в противостоянии
интернет-мошенникам.

Что же касается Украины (да и прочих стран
постсоветского пространства), то наш развивающийся рынок электронной
коммерции может оказаться (или уже есть) следующей мишенью хакеров,
чему “благоприятствуют” такие факторы как:

• Значительное отставание Украины от западных стран по
  степени развития и внедрения компьютерных технологий, в том числе
  средств защиты передаваемой и хранимой информации;
• Лидирование постсоветских стран по числу хакерских атак, производимых с их территории (примерно 20% от общего числа);
• Недостаточно развитая культура потребления интернет услуг и просто банальная компьютерная неграмотность наших сограждан;
• Отсутствие обязательных регламентирующих норм, правил обеспечения и контроля информационной безопасности в сети Интернет;
• Сложность выявления и доказательства фактов интернет-мошенничества как с технической, так и юридической точки зрения.

Интернет - это сеть, состоящая из множества дыр

Изначально Интернет создавался как средство
коммуникации между университетами, поэтому о вопросах информационной
безопасности тогда никто не задумывался. В результате чего большинство
веб-сайтов сегодня имеют серьёзные уязвимости безопасности, и в том
числе сайты весьма популярных украинских банков, интернет- магазинов и
платёжных систем, в чём я лично убедился при беглом обзоре ряда таких
веб-сайтов.

Даже такое поверхностное исследование выявило, что
примерно треть веб-сайтов банков и почти все сайты интернет-магазинов
имеют неудовлетворительную защиту конфиденциальной информации. Исходя
из собственного опыта тестирования можно ожидать, что число “дырявых”
сайтов может вырасти до 70% при более тщательном их тестировании.

Вот примеры наиболее типичных уязвимостей:

• Ваша персональная информация такая как: регистрационное имя
  (логин), пароль, e-mail, паспортные данные, индивидуальный
  идентификационный код, девичья фамилия матери, даже данные кредитной
  карты (!!!) и многое другое - всё это может передаваться в Интернет
  открытым текстом без какого-либо шифрования. Перехват такой информации
  в сети Интернет не представляет особых трудностей. Вы бы, наверное, не
  стали отправлять денежные купюры в обычном конверте, надеясь на
  добропорядочность работников почты.
• Информация о ваших
  платежах может быть доступна другим пользователям. Например, любой
  зарегистрированный пользователь сможет увидеть когда и за что вы
  платили, номер счёта, какой у вас телефон, адрес, e-mail, ICQ и т.д. То
  есть ваша личная финансовая жизнь становится публичной помимо вашей
  воли.
• Вы просто открваете страницу популярного блога а
  в это время деньги с вашего счёта преводятся на другой. Если похищена
  небольшая сумма то единственное что вы можете заметить - некоторые
  элементы веб-страницы блога не отображаются.
• Часто
  встречается возможность внедрения хакерских ссылок, полей ввода и
  программного кода на сайтах, при этом сервер воспринимает этих
  “подкидышей” как своих собственных до тех пор пока кукушонок не клюнет
  приёмного родителя. Уязвимые веб-страницы могут быть использованы для
  хищения паролей, номеров кредиток или размещения компрометирующего или
  неподобающего материала.
• Возможен прямой доступ к базе
  данных для чтения, изменения и удаления не только информации хранимой в
  базе данных, но и самой структуры базы данных. т.е. “Бери - не хочу” -
  всё зависит только от опытности и намерений взломщика.
• Можно
  войти в систему под чужим именем вообще без пароля. Достаточно просто
  ввести “волшебное слово” (известное хакерам) в поле ввода пароля или
  командную строку браузера и …. вуа-ля - вы совсем другой человек (для
  банка) с его активами и пассивами.
• Нередко встречаются
  случаи, когда можно читать, изменять, удалять, создавать и даже
  запускать на выполнение файлы, хранящиеся на веб-серверах. Эти файлы
  могут содержать такие важные данные как:
  
  
  
  
  1. идентификаторы и персональные данные клиентов банка;
  
  
  2. параметры конфигурации системы (включая права доступа);
  
  
  3. администраторские логины и пароли для доступа к базе данных или локальной файловой сети;
  
  
  4. исходные коды программ, файлы данных и резервные копии баз данных
  
  
  5. и т.п.

Довольно часто при сбое системы на экран выводится
много технической информации. Для обычного пользователя - это
информационный мусор, но для взломщиков - это просто подарок судьбы.
Такие сообщения запросто могут содержать администраторские пароли и
логины, название таблиц и полей базы данных, программный код, пути к
файлам с конфиденциальной информацией и много другой ценной информации.
К сожалению, это является практически стандартным поведением для многих
популярных веб-серверов.

• Почтовый сервер банка может быть использован для рассылки СПАМа с компрометирующим его же содержанием.
• В
  конечном итоге несколько сотен или даже тысяч компьютеров пользователей
  могут быть использованы для проведения массированной атаки на сайт их
  банка, чтобы вывести его из строя на пару часов, а, может, и навсегда
  если “повезёт”…

Этот список можно было бы продолжать и дальше. Всё
это выглядит так, как будто при строительстве банка забыли поставить
одну из стен… Или как минимум, что ключи от бронированной входной двери
хранятся снаружи под ковриком.

Заказчики и исполнители

Большинство хакеров взламывают сайты только из
побуждений профессионального самоутверждения или любопытства.
Убедившись, что защита сломлена, они обычно не идут дальше. В крайнем
случае могут умыкнуть небольшую сумму, чтобы “компенсировать” свои
технологические издержки. Известны даже случаи когда сами “взломщики”
из благих побуждений сообщали “жертвам” об обнаруженной лазейке и …
оказывались за решёткой.

Сами по-себе хакеры особой опасности не
представляют, но несомненно, стоит опасаться закзчиков и потребителей
хакерских “отмычек”. Кто же они, люди без страха и упрёка? Заказчиками
хакеров могут быть:

• жулики, те что снимают небольшие суммы денег с большого
  числа банковских счетов, а так же те кто обналичивают или “отоваривают”
  их;
• конкуренты, ведущие технический и финансовый шпионаж;
• спецслужбы, наблюдающие за банками или их клиентами;
• рейдеры, собирающие компромат или готовящие кибер-атаки, способные парализовать работу приглянувшегося им учреждения.
• продавцы
  конфидециальной частной и коммерческой информации (базы данных
  паспортных столов, налоговых инспекций, клиентов баков и тп.).

Но ситуация не является патовой. Большинство
уязвимостей уже выявлены, и существуют доступные методы и средства,
которые позволяют закрыть бреши в защите веб-приложений. Проблема в
другом - руководство и технические специалисты не уделяют этим
проблемам должного внимания, а может быть просто игнорируют их.

Больше всего поражает “откровения” персонала
поддержки и руководства некоторых сайтов. Когда я, например, позвонил в
службу поддержки одного известного интернет-магазина чтобы предупредить
о найденных на их сайте “дырах”, то мне ответили (с большим апломбом)
буквально следующее: “Персональная информация пользователя, никакой
ценности не представляет, и вводится пользователем для его же удобства,
поэтому он (пользователь) сам отвечает за то- где, кому и какую
информацию он предоставляет…”. Если не обращать внимания на тон ответа,
то как ни печально, но это правда - спасение утопающих дело рук самих
утопающих. Если мы с вами не будем беспокоиться о собственной
информационной и финансовой безопасности, то могут найтись те, кто
“побеспокоится” об этом, но только в сугубо своих интересах…

Письма “мёртвого” человека

Наибольшее число хакерских атак в настоящее время
происходит при помощи Фишинга. Это наиболее простой (с технической
точки зрения) и наиболее эффективный способ хищения информации в сети
интернет. Как это работает?

Обычно в случае Фишинга вы получаете от хакера
e-mail или чат сообщение (ICQ, MSN, Skype и т.п.) которое содержит в
себе ссылку-приманку (подобные сообщения могут приходить даже на
мобильные телефоны). Такие ссылки-приманки также могут появится на
популярных сайтах, посетители которых могут публиковать свои сообщения,
в том числе и ссылки (форумы, блоги, социальные сети и т.п.). Это в
полной мере относится и к форумам тех банков, на которые нацелены
хакерские атаки. Причём адрес отправителя сообщения будет в точности
соответствовать e-mail службы поддержки вашего банка. На это не стоит
полагаться - злоумышленник может подставить любой обратный адрес. При
нажатии на эту ссылку вы попадаете на страницу-ловушку, которая либо
очень похожа, либо в точности повторяет страницу регистрации и/или
оплаты вашего банка или интернет-магазина. При этом адрес страницы
может быть идентичным адресу “настоящей” страницы или быть очень
похожим на него. Вам остаётся только ввести ваши логин/пароль или
данные кредитной карточки и нажать Ok. И … ждать пока ваш счёт не
похудеет на энную сумму без вашего ведома.

Ниже перечислены наиболее типичные признаки писем-приманок:

• В приветствии письма отсутствует ваши имя и фамилия или как
  минимум имя учётной записи (логин). Письмо начинается безличным
  обращением , например “Уважаемый клиент”.
• Письмо
  приходит внезапно - вы уже давно зарегистрировались, не меняли свою
  учётную запись, не производили покупок или других операций, после
  которых обычно приходит уведомление, не подписывались на рассылку
  рекламы и новостей.
• Под вполне благовидным предлогом
  вам предлагают сменить ваш пароль, например, во избежании
  мошенничества. В любом случае, упоминание о том, что надо явно ввести
  ваш пароль или тем более данные кредитки должно вызывать подозрение и
  звонок в службу поддержки этого сайта.

Особо обратите внимание на письма якобы от вашего банка с примерно таким содержанием:

• Банк информирует вас о возможном хищении с вашей карточки.
  Чтобы попасть на страницу последних платежей по вашей карточке вам
  необходимо ввести регистрационное имя и пароль.
• Приходит
  уведомление о успешном или отклонённом платеже, который вы не
  совершали. Естественно такое письмо имеет ссылку на “страницу
  регистрации”.
• Требуется материальная помощь в лечении тяжелобольного и предлагается сделать пожертвование он-лайн.
• Вы
  выиграли денежный приз в лотерее проводимой вашим банком и вам надо
  указать номер кредитной карточки и PIN-код для его получения.
• Вам предлагают купить товар по смешной цене.
• И т.п.

Банкиру на заметку

Как же поступить руководству банка, чтобы уберечь
своих клиентов (а значит и банк) от подобных “неприятностей”? Есть
несколько простых советов:

• Проведите комплексное независимое тестирование безопасности
  вашего веб-сайта и веб-сервисов (если такие имеются). Все найденные
  уязвимости должны быть немедленно устранены или максимально
  минимизированы.
• Проводите тестирование безопасности
  регулярно - хакеры не дремлют и постоянно изыскивают новые лазейки для
  своих атак. Плюс новые версии программного обеспечения, могут содержать
  новые уязвимости.
• Своевременно обновляйте программное
  обеспечение: веб-серверов, баз данных, операционных систем и т.д.
  Злоумышленники могут легко определить устаревшую версию приложения,
  установленного на вашем сервере и воспользоваться известными
  уязвимостями старой версии.
• Веб-страницы содержащие
  конфиденциальную информацию должны шифроваться и предаваться по
  безопасному протоколу HTTPS. Не стоит экономить на приобретении SSL
  сертификата - безопасность стоит дороже.
• Используйте
  Intrusion Detection System (IDS) приложения, которые подобно
  антивирусам могут блокировать хакерские атаки, используя базу данных
  известных уязвимостей, или выявить потенциально опасные запросы,
  основываясь на эвристических методах оценки.

Послесловие

100% защищённости информации, хранимой и
передаваемой в Интернет, никто гарантировать не может, поэтому нам,
пользователям, следует помнить - что безопасность нашей
конфиденциальной информации всё ещё сильно зависит от того, как мы ею
распоряжаемся. С другой стороны, владельцы веб-сайтов и провайдеры
интернет-услуг могут (и должны) принять все меры, чтобы снизить эти
риски на несколько порядков относительно текущей ситуации.
Информационные риски - это и финансовые риски, а безопасность клиентов
- это и безопасность бизнеса в целом.