Статьи

Магнитогорские записки. Часть 2.

7.03.2014

/

Продолжение рассказа о VI Уральском форуме «Информационная безопасность банков», который состоялся в феврале в окрестностях города Магнитогорска. С первой частью записок можно ознакомиться здесь.


Новости Банка России


ЦБ отправил заявку на включение символа рубля в Юникод! Может, и на стандартной клавиатуре он вскоре появится?

Роман Прохоров (ЦБ) обещал «рассмотреть возможность» публикации внутренних рекомендации ЦБ по проверке банков по 382-П. Я считаю, что это будет честно, так как регламенты проверок других регуляторов открыты.

Другая банковская тема, которая обсуждалась на ib-bank – это выполнение требований Положения Банка России N 397-П. Обязательных форм отчетности в положении не предусмотрено, поэтому ЦБ не планирует жестко следить за исполнением требований банками. Однако требования есть и их нужно выполнять.

С интересным докладом про борьбу со скиммингом и кардерами выступил Бондарев Сергей Николаевич (Сбербанк). Как известно, Сбербанк обладает крупнейшей сетью банкоматов в России, и для них противодействие кардерам - это очень актуальная проблема. Статистика тут неутешительная: на 2500 выявленных скиммеров приходится всего 60 уголовных дел, которые закончились тюрьмой лишь для 7 кардеров. Одна из проблем, с которой столкнулся Сбербанк, - это несовершенство нашей правовой базы. В УК РФ есть специальная «кардерская» 187 статья: «изготовление или сбыт поддельных кредитных либо расчетных карт и иных платежных документов», но эта статья не наказывает за хранение или использование поддельных банковских карт! Поймать кардера в момент использования фальшивых карт нелегко, а поймать в момент изготовления – практически невозможно. Из-за такой вот правовой коллизии Сбербанк пытается даже использовать против кардеров статью 138.1 УК РФ «незаконный оборот специальных технических средств, предназначенных для негласного получения информации» за установку скрытых камер наблюдения!

Еще интересная история у Сбербанка случилась с одним навязчивым киберсквоттеров, достать которого удалось только с помощью 179 статьи УК РФ.


АБИСС


Если посмотреть на историю Стандарта Банка России СТО БР ИББС, то долгое время стандарт развивался под крылом АБИСС. Одно время даже аудит соответствия требованиям СТО БР ИББС был уделом аудиторов – членов АБИСС. За членство необходимо было платить 500 тысяч рублей в год, поэтому аудит СТО БР ИББС на первых порах проводили только те организации, которым членство в АБИСС доставалось бесплатно. К счастью, это требование просуществовало в стандарте недолго, и на сегодняшний момент ЦБ не устанавливает никаких ограничений для организаций – аудиторов, так как за качество оценки перед ЦБ отвечает банк, а не аудитор.

В этом году у АБИСС сменился председатель. Место Павла Гениевского занял Виктор Анатольевич Пярин, который и поведал аудитории о планах АБИСС.

Дабы вернуть былую власть и благосостояние, АБИСС пытается навязать банковскому сектору очередную сертификацию услуг и продуктов. Но это начинание, к счастью, не встречает никакой поддержки ни у ЦБ, ни и у банков.


Госсектор


Из докладов представителей госсектора экономики мне запомнился больше всего доклад Александра Павловича Баранова про текущее состояние инфраструктуры открытых ключей (УЦ) в России. Технически сложным оказалось постоянно опрашивать все 300 отечественных аккредитованных удостоверяющих центров для получения актуального списка отозванных сертификатов, поэтому эта процедура практически никем не производится. Да и вообще, 300 УЦ – многовато. Вон в Америке всего 3.


Вендоры


Самый интересный доклад про взлом банковских сайтов был у израильской компании CheckMarx. Доклад почти целиком состоял из живой демонстрации различных вариантов SQL инъекции и смотрелся интересней и качественней, чем доклады отечественных пентестеров PT и Dsec.

Positive Technologies рассказывали о своем новом продукте – статическом анализаторе программного кода Application Inspector.

Дмитрий Волков из Group-ib традиционно поведал о тенденциях в отечественном ботостроении. Перспективная цель для злоумышленников – мобильный банкинг. В киберандерграунде существуют специальные сервисы по автоматической рассылке СМС сообщений, содержащих ссылки на вирусы. После заражения телефона, вирус может попытаться выведать у вас данные банковских карт с помощью фальшивых запросов «Обновите Вашу платежную информацию», например, через Google Play. Или с помощью скрытых смс перевести деньги через мобильный банк с банковского счета на счет оператора связи, а затем слить их через мобильные платежи (например, QIWI) на телефон злоумышленника. В ближайшее время стоит ожидать появление мобильных ботнетов, которые будут автоматически парсить смс сообщения, детектировать Банк-отправитель и автоматически переводить деньги со счетов абонента злоумышленнику разными способами.

В области защиты от DDoS можно выделить 2 доклада Лаборатории Касперского и компании Микротест, которая продвигала решения фирмы Arbor Networks. Для защиты от DDoS сегодня существует 3 принципиально разных решения.

  1. Специализированные сервисы на подобие CloudFlare, которые маскируют реальный ip адрес сайта и пропускают все запросы через фильтрующее облако. Подобный сервис предлагает и Лаборатория Касперского. Плюсы подобного подхода: не надо ничего менять, минусы: SLA соглашение распространяется только на оборудование, https остается за бортом, да и Новой Газете, к примеру, ЛК не очень помогла.
  2. Можно использовать хостинг с широкими каналами. Минус: если ддосят соседний сайт, ваш тоже лежит.
  3. Можно использовать endpoint решения, такие как Arbor. Https проверяют, сигнатуры ддоса обновляются, но в случае с NTP или DNS усилением сами по себе железки практически бесполезны, так как узким местом становится канал связи.

Представитель МТС рассказал про усилия в сфере борьбы с фродом. Операторы связи договорились о запрете межоператорского обмена СМС сообщений с коротких номеров. Ранее именно короткие номера были излюбленным способом кражи денег. Кроме того, МТС внедрила антифрод систему в свои процессы, и если вы только что сменили сим карту, то вам лучше не переводить деньги через мобильный банк какое-то время, а то попадете под сигнатуру. МТС запустила специальный сервис safety.mts.ru, посвящённый вопросам безопасности. Презентацию МТС, которую нельзя было фотографировать, можно скачать здесь.


Продукты


Интересные решения по аутентификации пользователей показывала компания SafeNet. Тут были и OTP токены, и оптические OTP токены с обратной связью (!), и система аутентификации по графическим паролям GrlDsure. Всем участникам конференции, кстати, SafeNet подарил по OTP токену.

Очень интересный доклад был у генерального директора Аладдина Груздева Сергея Львовича про электронную подпись на сим карте. Правда я так и не смог уточнить деталей работы сим карты. Java апплеты с карты запускаются в привилегированном режиме, в котором «процессор телефона становится на паузу» в течение нескольких секунд. Что происходит при этом с запущенными приложениями и сетевыми соединениями непонятно. Кроме того, насколько я понял, сим карта никак не идентифицирует отправителя специальных сообщений с подписью, и это тоже может быть проблемой.

На конференции показывали так же несколько отечественных «ноу-хау».

Первое устройство представляло собой китайскую HDMI флешку с урезанным андроидом, на которой был установлен терминал для доступа к «защищенному серверу» с клиентом ДБО. Пользователь вставляет эту флешку в любой монитор с HDMI входом, и у него появляется «защищенная программная среда» для доступа к ДБО. Настолько защищенная, что скопировать реквизиты для оплаты из какого-нибудь документа Word просто не получится :-). Ценник не показали, но думаю, что цена будет раза в 4 больше стоимости самого китайского донгла.

Второе инновационное устройство – это ПК ФАНТОМ. USB жесткий диск с установленным гипервизором Xen и двумя образами ОС Windows. Пользователь работает в одной ОС, а в нужный момент переключает с помощью гипервизора образы и работает в другой – «защищенной». ПК ФАНТОМ сертифицирован ФСТЭК России!

В общем, потри отечественное СЗИ - найдешь или китайца, или опенсорс с GPL.

Интересные новости я услышал от сотрудника Инфотекса. На IPSec ViPNet переезжать не планирует, зато проприетарный протокол IP 241 Инфотекс планирует сделать ГОСТом. Инфотекс – первый отечественный вендор, который запустил программу ответственного разглашения и готов работать с сообществом для выявления уязвимостей в своих продуктах. Вознаграждение за найденные дыры не обещают, но и не исключают.


Выводы и тенденции


Вендорская витрина на конференции для меня запомнилась розыгрышами. SafeNet разыграл среди пользователей, освоивших OTP токен, iPad. А CheckMarx собрал со всех визитки и разыграл квадрокоптер! В итоге довольными остались обе стороны: вендоры получили контакты потенциальных заказчиков, а участники конференции не скучали на кофебрейках.

Снижение стоимости планшетов и наличие открытой операционной системы Android позволило некоторым банкам предлагать для vip клиентов защищенные планшеты для доступа к ДБО. Это очень интересная идея, объединяющая удобство работы компьютера с защищенностью токена.

Нельзя не отметить присутствие на конференции целых трех израильских компаний: Checkpoint, Checkmarx и Cyberark. Израиль потихоньку становится ИТ страной и начинает активно экспортировать свои продукты и технологии.

Самый продолжительный доклад на всей конференции был у … бизнес-тренера! Редко какому регулятору или вендору выделяли более 20 минут для презентации, но бизнес-тренеру досталось почти 2 часа! Возможно, кто-то и счел его тренинг полезным, но, по-моему мнению, подобные мероприятия следует выносить за пределы расписания.

Для себя я отметил, что Интернет заметно преображает те стандартные процедуры, к которым мы привыкли. Параллельно с реальной конференцией идет вторая, в твиттере! Причем аудитория твиттерской трансляции обычно в разы превосходит реальную. К тому же, твиттер позволяет задавать вопросы докладчикам и регуляторам, выражать свое мнение комментариями и ретвитами и многое другое. Это тихая революция, которую, однако, следует учитывать организаторам конференций и докладчикам.

В конце статьи я бы хотел поблагодарить организаторов за безупречно проведенное мероприятие и руководство нашей компании за возможность в нем поучаствовать!

Артем Агеев.