Эксперты вскрыли многочисленные бреши в информационной безопасности российских банков

Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.

Лихие 90-е

По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы.

При разработке банковского ПО не используются современные технологии, при этом процессы разработки безопасного кода и архитектуры отсутствуют, отмечают аналитики. По их данным, число уязвимостей достаточно высоко и стабильно сохраняется на протяжении трех лет по всему рынку. При этом некоторые из них настолько просты и легко эксплуатируемы, что угроза очень высока. Так, например, одна система отдавала полный номер банковской карты (PAN) при неудачной попытке аутентификации по существующему логину.

Специалисты Digital Security Research Group пришли к выводу о том, что на сегодняшний день уровень зрелости современных отечественных систем ДБО с точки зрения ИБ отстает от аналогичных продуктов западного производства. «Хотя можно найти и сходства: чем менее популярно ПО на открытом рынке и более узко специализировано, тем меньше разработчики уделяют внимание ИБ, вне зависимости от критичности продукта», — заключили в DSecRG.

Главные «тараканы» российских ДБО

Как выяснили аналитики, большинство уязвимостей, найденных в российских банк-клиентах, приводит к раскрытию персональных данных, банковской тайны, а также нарушению целостности информации о счетах (подделка платежных поручений). Кроме того, множество угроз продолжает оставаться за пределами внимания специалистов ИБ банков и разработчиков ДБО, утверждают в DSecRG.

В ходе исследования специалисты DSecRG протестировали системы следующих производителей: БСС, «R-Style», CompassPlus, «Сигнал КОМ», ЦФТ, «Инист» и «Степ Ап». Выяснилось, что все эти продукты содержали те или иные уязвимости.

В протестированном ПО веб-сервисов «всплыли» такие уязвимости, как: «межсайтовый скриптинг» — в 6 продуктах, «инъекция SQL-кода» — в 3 продуктах, «ошибки авторизации» — в 4 продуктах, «межсайтовые запросы» — в 5 продуктах. Ситуация с клиентским ПО (ActiveX) аналогична: уязвимости типа «выполнение произвольного кода» и «вызов небезопасных методов» были найдены в 4 из 6 систем.

Специалисты DSecRG также отследили, как производитель распространяет обновления для своих систем среди банков (клиентов). «Все те ошибки, что мы обнаружили за период 2009–2010 гг., можно встретить и в 2011 году у различных банков, которые не обновили ПО системы по каким-либо причинам. Такие факты были выявлены неоднократно, — сообщили в DSecRG. — Более того, было выяснено, что банки вообще не в курсе, что в их ПО существуют проблемы с безопасностью, несмотря на то, что разработчик этого ПО знает об ошибках более года и даже выпустил обновления, решающие эти проблемы».

Кроме вышеперечисленных недостатков, в ряде отечественных систем ДБО были выявлены глобальные ошибки архитектуры. Так, в некоторых из них отсутствуют повторные проверки ЭЦП на платежных поручениях при их выгрузке в автоматизированную банковскую систему (АБС).

Поскольку АБС недоступна из интернета, разработчики посчитали, что проверку достаточно делать только при приеме платежного поручения. Однако известные уязвимости и атаки (например, SQL-инъекция) могут скомпрометировать целостность результата этой проверки и, тем самым, форсировать выгрузку платежных поручений без ЭЦП в АБС, после чего оператор банка обработает их как нормальные, говорят в DSecRG.

В ходе исследований специалисты DSecRG также выявили общие архитектурные проблемы при доступе к системе ДБО сотрудников банка. В частности, при тестировании ПО было обнаружено, что фактически доступ к СУБД происходит под одной ролью, имеющей доступ ко всей СУБД, а разделение по ролям ограничивает лишь само приложение клиента, установленное на рабочей станции пользователя.

Аналитики атакуют

В ходе тестирования российских систем ДБО специалистам DSecRG на практике удалось реализовать атаку на ПК клиента через уязвимости в веб-модулях банк-клиента (XSS, CSRF). Такая атака приводит к подделке платежного поручения с корректной ЭЦП пользователя. «Данная атака известна как «человек в браузере» (MitB), — пояснили в DSecRG. — Мы тестировали данную атаку не только технически, но и практически — на операторах, которые работают с такими системами. В итоге они отправляли тестовые поддельные переводы (на тестовом стенде), не замечая атаки и подделки реквизитов получателя, что говорит о потенциале такого рода угроз».

Специалисты Digital Security утверждают, что реализовали и более опасный вид описанной выше атаки для нескольких продуктов. Общий подход и используемые уязвимости те же (CSRF, XSS), но при этом пользователю не требуется выполнять какие-то действия в системе ДБО. Используя JavaScript, запускаемый в скрытом для пользователя фрейме, можно имитировать его действия и отправить подписанное платежное поручение. Таким образом, злоумышленник, заманив клиента ДБО на специальный сайт, имеет возможность тайно украсть его деньги. В то же время, атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор PIN-кодов с вредоносного сайта и подпись любых данных, в том числе и платежного поручения.

Результаты исследования защищенности отечественных систем ДБО DSecRG прокомментировали для CNews представители «ОТП Банка», «ФлексБанка», банка «Ренессанс Кредит» и «Транскапиталбанка».

«Аналитики преувеличивают», «клиент сам виноват»

Председатель правления «ФлексБанка» Марина Мишурис считает, что говорить об уровне 90-х гг. - слишком громкое заявление. «Проблемы безопасности, безусловно, есть, и это касается не только банковских услуг: утечки информации онлайн-сервисов по продаже билетов этим летом показали, что существующие меры защиты данных в Сети не могут обеспечить стопроцентной гарантии, механизмы защиты нужно дорабатывать, чем и занимаются целые отряды программистов. Если говорить именно о ДБО, то резонансных утечек в банковской сфере я не припомню».

По мнению Мишурис, говоря о клиентской части сервиса, важно, чтобы сам клиент соблюдал все правила работы с данными: не передавал никому свои реквизиты, не сохранял пароли в веб-формах, старался совершать покупки только на проверенных и надёжных сайтах. Также полезно, по её словам, подписаться на услугу SMS-информирования об операциях по счету карты, что позволит оперативно выявить несанкционированные операции.

«Если следовать логике Digital Security, то за последние 10-15 лет ничего нового в защите систем ДБО не появилось. А как же возникновение таких инструментов защиты, как USB-токены с неизвлекаемым ЭЦП, внедрение систем аутенификции/подтверждения платежей при помощи ОТП-токенов или одноразовых SMS-кодов, организация защиты от DDOS-атак как на стороне банков, так и на базе разработчиков систем ДБО, разработка специальных программных модулей, направленных на выявление и уничтожение вредоносных банковских программ?», — не соглашается с выводами специалистов DSecRG и начальник управления информационной безопасности «ОТП Банка» Сергей Чернокозинский.

По его мнению, если бы системы защиты ДБО не развивались, то сейчас бы мы наблюдали картину массового мошенничества в ДБО и, как следствие, отмирания ДБО как банковского продукта. Ситуация, которую мы видим сейчас, скорее говорит об обратном, полагает он: многие банки, которые не имели собственных систем ДБО, занимаются их активным внедрением, а число клиентов ДБО неуклонно растет».

Начальник управления ИТ «ФлексБанка» Александр Полукаров полагает, что при использовании банк-клиента с использованием ключевой информации утечка, в основном, происходит по причине вредоносных программ. Для защиты от утечки в данном случае желательно использовать токены для хранения ключей, антивирусное ПО, и желательно, чтобы работа велась в ПО для безопасного исполнения программ, рекомендует он.

«Разработчики могли бы быть порасторопнее»

Дмитрий Неверов, начальник отдела мониторинга безопасности банка «Ренессанс Кредит», поддерживает результаты исследования Digital Security. «Они отражают текущую ситуацию с безопасностью банковских приложений. Уязвимости есть в любом ПО, однако проблема заключается в том, что разработчики практически не уделяют внимания безопасности кода», - говорит он.

По мнению Неверова, для снижения рисков несанкционированного доступа к информации, составляющей банковскую тайну, а также к персональным данными клиентов банков необходимо, в первую очередь, повышать компетентность разработчиков в вопросах написания безопасного кода и в области ИБ в целом, а также проводить регулярные комплексные мероприятия, такие как тесты на проникновение, сканирование уязвимостей, аудиты безопасности кода, мониторинг попыток проникновения.

Управляющий директор дирекции информационных и платежных технологий «Транскапиталбанка» Валерий Шеин считает, что современные отечественные системы ДБО не успевают создавать эффективные меры противодействия интернет-мошенникам. «Эксперты компании Digital Security справедливо считают, что уровень защищенности систем ДБО низкий, но мне кажется, нужно рассматривать и другие звенья этой цепочки», — считает Шеин.

По его мнению, наиболее слабым звеном выступает сам клиент - именно он заражает свой компьютер всеми возможными вирусами, не позаботившись об современной лицензионной антивирусной системе; именно клиент оставляет токен с ключами постоянно подключенным к USB-порту компьютера, в то время как и банк, и производитель систем ДБО рекомендуют подключать токен только на сеанс подписи платежа, или просто хранит ключи электронной подписи на жестком диске компьютера.

«Наиболее сильным звеном в этой системе является банк, который, заботясь о своей репутации, инвестирует значительные средства в системы информационной безопасности. Хотя и банку есть что усовершенствовать — например, системы fraud-мониторинга (контроль подозрительных платежей), которые могут быть интегрированы как с АБС, так и с системой ДБО», — добавил Валерий Шеин.