ИССЛЕДОВАНИЕ СОСТОЯНИЯ БЕЗОПАСНОСТИ ВЕБ-САЙТОВ БАНКОВСКОЙ СФЕРЫ СЕВЕРО-ЗАПАДНОГО ФЕДЕРАЛЬНОГО ОКРУГА НА ОСНОВЕ «ЛЕГАЛЬНЫХ» МЕТОДОВ АНАЛИЗА ЗАЩИЩЕННОСТИ А.В. Захаров
Научный руководитель - д.т.н., профессор Л.Г. Осовецкий
Статья описывает результаты разработки методики «легальных» методов анализа защищенности вебсайтов банковской сферы и апробации методики на веб-сайтах банков Северо-Западного федерального округа без нарушения прав владельцев. По результатам исследования разработаны рекомендации, предназначенные для банков, имеющих собственные веб-сайты или планирующих их создание. Данные рекомендации получены из анализа изъянов в безопасности, имеющих место у некоторых рассмотренных в исследовании банков, а также путем обобщения лучшей практики обеспечения информационной безопасности веб-сайтов и направлены на усиление безопасности.
Введение
Актуальность предлагаемого исследования обусловлена недостаточной изученностью российского сегмента сети Интернет в целом и состояния его региональных фрагментов в аспекте информационной безопасности. В последние 2-3 года и в России, и особенно за рубежом наблюдается быстрый рост числа Интернет-услуг, предоставляемых банками. Как следствие, незамедлительно появились новые виды угроз, и значительно увеличилось количество реализаций уже известных угроз, направленных на кражу информации о кредитных картах и счете клиента. Новостные ленты, посвященные компьютерной безопасности, постоянно извещают о новых инцидентах, связанных с онлайновыми аферами, приведшими к финансовому ущербу. Самой опасной угрозой последних лет, появившейся на фоне роста объема выполняемых через Интернет платежей, стал «фишинг» (англ. phishing - произносится как английское слово, означающее «рыбную ловлю»). По данным Gartner Group только за 2006 год общий ущерб от фишинга в США составил порядка 2 миллиардов долларов США.
Таким образом, можно утверждать, что именно банковско-финансовая сфера, представляющая возможности финансового обогащения, становится основным объектом атак интернет-злоумышленников. Современный веб-сайт представляет собой часть корпоративной инфраструктуры. Взлом корпоративного сайта - это удар по репутации и имиджу компании. Очень неприятным в подобных событиях становится огласка происшествия. Но потеря данных с сайта, информации о клиентах - это уже прямые убытки. И огласка таких происшествий происходит далеко не всегда. Чем серьезнее компания и известнее ее имя и продукты, тем существеннее бывают риски и убытки от взлома корпоративного сайта. В этой связи вопросы оценки состояния безопасности и степени уязвимости банковской сферы в Санкт-Петербурге и регионе представляют актуальную задачу.
Разработка методики проведения анализа защищенности веб-сайтов
Первый из рассматриваемых методов заключается в получении общедоступной информации о технической поддержке веб-сайта. Как известно, регистрация IP-адресов и доменных имен в Глобальной сети осуществляется централизованно на международном уровне. Информация о зарегистрированных адресах и их владельцах является общедоступной. В России эти сведения можно получить, в частности, на сайте Российского НИИ развития сетей. Данный сетевой сервис, известный под названием WHOIS, позволяет собрать детальную информацию о сетевой инфраструктуре банка (компании).
Также полезным инструментом для получения информации является сведения, предоставляемые компанией NetCraft, занимающейся мониторингом информационной безопасности в Интернете. Особое внимание уделяется компаниям из сферы электронной коммерции. Если веб-сайт, указанный в запросе пользователя на выдачу информации, отсутствует в базе веб-сайтов компании Netcraft, он будет добавлен в список вебсайтов, мониторинг безопасности которых осуществляет служба Netcraft.
В целом в аспекте «пассивного сбора информации» весь Интернет можно представить одним распределенным инструментом для сбора информации - в данном случае информации, раскрытие которой может оказаться критическим для безопасности системы.
Информация, которая может быть получена подобным образом, включает:
• имя домена или доменов банка;
• адреса подсетей, которыми владеет банк;
• точные адреса узлов, находящихся на периметре сети банка;
• сервисы, запущенные на определенных выше узлах;
• типы операционных систем, запущенных на определенных выше узлах;
• роли узлов, находящихся на периметре;
• механизмы сетевой безопасности, используемые компанией-жертвой (межсетевые экраны и его правила, фильтрующие маршрутизаторы и списки контроля доступа, системы обнаружения атак и т.д.);
• информация о пользователях и группах;
• дополнительная информация (сведения о SNMP, таблицы маршрутизации и т.п.).
Второй метод включает в себя анализ веб-сайта исследуемого банка на предмет информации, которая может помочь злоумышленнику. Так как каждая организация по-своему реализует сайты - со своими разделами и подразделами, то существует несколько наиболее типичных ошибок, которые облегчают злоумышленникам сбор информации о своей жертве и, в то же время, позволяют провести такой сбор информации совершенно легально.
На сервере практически любой компании (в том числе и банка) существует раздел «О компании», в котором рассказывается об истории создания компании, вехах в ее развитии, руководстве и т.д. Нередко можно встретить раздел, посвященный корпоративной политике, который облегчает хакерам реализацию атак social engineering. Также в данном разделе могут быть указаны рабочие часы, которые позволяют злоумышленнику реализовывать свои несанкционированные действия в нерабочие часы без боязни быть обнаруженными.
Наименее целесообразным является размещение на сайте подробного описания системы защиты корпоративной сети. В исходном коде страниц Web-сайта также может содержаться важная, а зачастую конфиденциальная информация. Например, на некоторых сайтах, построенных на основе программного обеспечения MS Internet Information Server и интегрированных с базой данных, в ASP-страницах могут содержаться пароли на доступ к БД или иным важным ресурсам. Третий метод включает анализ:
1. наличия на веб-сайте механизмов идентификации и аутентификации пользователей для доступа к определенным веб-страницам данного сайта (FIA_UID и FIA_UAU);
2. использования протоколов SSL или TLS для защиты протокола HTTP, реализующего функциональные требования безопасности FIA_UID, FIA_UAU, FDP_UCT и FDP_UIT.
Суть метода заключается в использовании специального вида запросов к поисковым интернет-сервисам для получения конфиденциальной информации. Одним из средств автоматизированного анализа с применением данной технологии является про-
граммный комплекс Foundstone SiteDigger (дословно «сайтокопатель»). В комплексе реализованы методы поиска разнообразной конфиденциальной информации на вебсайте, а также критичной информации о веб-сервере, оставленной администратором веб-сайта по недосмотру или вследствие ошибок конфигурирования. В основе работы комплекса лежит использование API-функций крупнейшей поисковой системы в мире - Google. Методы сбора информации об уязвимостях веб-сайтов с использованием поисковика Google в западной литературу даже получило специальное название - Google Hacks.
Методика анализа защищенности веб-сайтов
Таким образом, сформулируем общую методику проведения исследования. Данная методика позволяет осуществить моделирование типовых угроз для веб-сайтов и включает следующие шаги.
• На первом этапе осуществляется сбор информации об исследуемом объекте с использованием общедоступной информации о сетевой инфраструктуре объекта анализа - трассировку маршрутов к веб-сайту, анализ информации, выдаваемой службой whois, анализ программного обеспечения веб-серверов с использованием службы NetCraft и т.д.
• Анализ размещенной на веб-сайте информации позволяет выявить сведения, которые станут для злоумышленника основой для дальнейших действий. Выявление сведений о сотрудниках - для использования методов социальной психологии, номеров телефонов компании - для поиска модемов, изучение вакансий - для сбора информации об используемом в организации программном обеспечении (ПО) и т.д.
• Анализ утечек конфиденциальной информации с использованием программного комплекса Foundstone SiteDigger.
• Анализ защищенности информационного обмена и доступа к конфиденциальной информации на веб-сайте с использованием программного инструментально-моделирующего комплекса анализа защищенности, разработанного в диссертационном исследовании автора «Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет».
На основе собранной информации проводится анализ и оценка текущего состояния защищенности веб-сайтов банковской сферы СЗФО. По результатам исследования приводятся рекомендации по устранению уязвимостей и повышению уровня защищенности.
Анализ общедоступной информации легальными методами
С использованием службы NetCraft была собрана статистика по программному обеспечению веб-сайта банков СЗФО. Собранные данные, включающие программное обеспечение веб-сервера и операционную систему, представлены в табл. 1, 2. С использованием программного комплекса анализа защищенности хостов в Интернете были получены результаты применения комплекса средств защиты информационного обмена между веб-сайтов банка и его посетителями.
Программное обеспечение веб-сервера Доля (%)
Apache 79
Microsoft IIS 16
Другие 5
Таблица 1. Программное обеспечение веб-серверов
Операционная система на веб-сервере Доля (%)
FreeBSD 62
Linux/Unix-based 19
Windows 17
Другие 2
Таблица 2. Операционные системы, применяемые на веб-серверах
банковской сферы СЗФО
Анализ результатов свидетельствует о недостаточной распространенности использования протокола БЗЬ/ТЬБ для безопасного доступа к веб-сайту - поддержку этого протокола осуществляет только 38,3 % рассмотренных веб-сайтов (рис. 1). При этом отметим, что в данном испытании исследовался только лишь возможность доступа ко всему веб-сайту по защищенным протоколам. Безопасность доступа к услугам дистанционного банковского обслуживания исследована отдельно в следующем подразделе работы.
Рис. 1. Доли веб-сайтов (в %) с поддержкой и без поддержки протоколов SSL/TLS
Анализ сферы предоставления услуг дистанционного банковского обслуживания
через Интернет
В ряде случаев исследованию мешал факт сокрытия на веб-сайте подробной информации о предоставляемых сервисах. В этих случаях более детальную информацию предлагалось получить у менеджеров банка при личном посещении. Отметим, что подобные меры приводят к неудобству для клиентов, однако с точки зрения безопасности их можно назвать оправданными - применение различных ограничений на распространение информации о системах защиты способствует укреплению безопасности этих сервисов. Логичным является выбор банков о предоставлении детальной информации не всем (как в данном случае - посетителям веб-сайта банка), а только его клиентам.
Безопасность услуги дистанционного обслуживания клиентов через Интернет рассмотрим на примере типового механизма предоставления подобной услуги.
В 60 % рассмотренных процедур подключения услуги дистанционного банковского обслуживания требуется оформить договор и получить необходимые реквизиты в офисе банка. Однако личное присутствие требуется не всегда. Например, в ряде банков можно просто позвонить по указанному телефону, сообщить оператору свое имя, номер карты, кодовое слово и номер мобильного телефона. Оператор сообщит логин и вышлет SMS с временным паролем, который Вам необходимо будет сменить при первом входе в систему «Интернет-Банк».
Отметим также, что услуга «Интернет-банк» клиентам предоставляется как бесплатно, так и за дополнительную плату. Какой-либо корреляции между требованием оплаты услуги и предоставлением повышенного уровня безопасности мы не отметили.
Как правило, информация о предоставлении данных услуг размещается на главной странице. В единичных случаях нам пришлось внимательно изучить веб-сайт для обнаружения подобной информации.
По результатам исследования можно отметить, что на данный момент нет общего устоявшегося и закрепившегося названия для услуг, оказываемых банком дистанционно через сеть Интернет. На наш взгляд, этот факт свидетельствует о неразвитости данной услуги, о том, что предложение такого рода услуг находится на этапе становления в СЗФО. Так, в процессе исследования нам встречались следующие названия.
1. Интернет-банкинг.
2. Банк ON-LINE.
3. Интернет-банк.
4. iBank.
5. Телебанк.
6. Интернет-клиент.
7. Онлайн-банкинг.
8. Электронная коммерция.
9. Интернет-сервис БАНК.
10. Электронный банкинг.
11. Система дистанционного обслуживания Enter.IMB™.
12. Электронное банковское обслуживание.
Перейдем к анализу механизмов реализации услуги дистанционного банковского обслуживания и мер по их защите. В табл. 3 представлены средства безопасности, применяемые для защиты услуги дистанционного обслуживания клиентов через сеть Интернет.
Мера безопасности Количество применений
SSL/TLS 115
USB Token/Touch 11
Memory/Ключевая дискета
Специализированное программное обеспечение 52
JAVA-клиенты 12
Таблица 3. Механизмы обеспечения безопасности услуг вида «Банк-Клиент»
Отметим, что в ряде случаев веб-сайтом применяется комбинирование разных механизмов защиты, поэтому сумма применяемых механизмов защиты в таблице больше количества рассмотренных веб-сайтов. Как видно из таблицы, наиболее распространенным механизмом обеспечения безопасности информационного обмена является применение одного из протоколов TLS/SSL. Описание этого протокола уже приведено в первом разделе работы. Подавляющее большинство сертификатов банковских сайтов в случае применения протокола SSL выданы организацией Thawte.
Также популярным средством защиты является использование специального программного обеспечения при предоставлении услуги дистанционного клиентского обслуживания. В этом случае программа представляет собой приложение под определенную операционную систему (мы обнаружили только программное обеспечение под платформу Windows). Это приложение необходимо скачать и установить на пользовательский компьютер. Использование специализированного программного обеспечения повышает уровень безопасности информационного обмена, однако сужает универсальность использования услуги - доступ к ней возможен только с компьютера пользователя, а не из компьютерного клуба, интернет-кафе и т.д.
Следующей по популярности системой добавочной защиты является использование JAVA-клиентов. Мы специально выделили данный вид программной защиты в отдельный класс, так как JAVA-апплеты более универсальны вследствие кросс-платформенности языка JAVA. Применение JAVA-апплета для доступа к услугам вида
«банк-клиент» позволяет воспользоваться услугой с любого компьютера, имеющего интернет-браузер с поддержкой JAVA.
Для обеспечения высокого уровня безопасности ведущие банки предоставляют добавочный уровень защиты в виде использования ключевой дискеты, элемента Touch memory или USB-token. Touch Memory - это миниатюрное электронное устройство, выполненное на базе специальной микросхемы с автономным литиевым источником питания. Оно имеет энергонезависимую память и уникальный идентификационный номер. Герметичный стальной корпус, выполненный в виде таблетки диаметром несколько миллиметров, предохраняет устройство от вредных атмосферных воздействий, а также механических повреждений и электромагнитных полей. Touch Memory предназначен для осуществления защищенного доступа к специальным серверам банка и для заверения электронных документов, направляемых пользователем в банк, электронной подписью.
USB ключи представляют собой микроэлектронные устройства, позволяющие безопасно хранить разнообразную информацию, в том числе электронные сертификаты, персональные ключи и т.д. и подключаются к компьютеру через USB-порт. USB-ключ предназначен для осуществления защищенного доступа к специальным серверам банка и для заверения электронных документов, направляемых пользователем в банк, электронной подписью.
В банке осуществляется проверка электронных цифровых подписей на каждом документе, принятом от клиента. Встроенные средства шифрования обеспечивают передачу информации между клиентом и банком в зашифрованном виде. При этом используются сертифицированные криптографические средства защиты информации.
Средства информационной безопасности системы вида «банк-клиент» при корректном использовании в сочетании с необходимой организационной и правовой поддержкой гарантируют надежную защиту системы от несанкционированного доступа и модификации информации независимо от используемых для ее передачи каналов связи. Для обеспечения информационной безопасности в системе банк-клиент применяются следующие механизмы:
• разграничение прав подписи документов на клиентском месте;
• конфиденциальность доступа на веб-сервер банка, обеспечивающая гарантированную защиту банковской тайны;
• сертифицированная защита «активных элементов» системы на клиентском месте;
• сертифицированные средства криптозащиты информации, включая шифрование передаваемых данных и электронную цифровую подпись;
• защита паролем электронной цифровой подписи.
Регион СЗФО % доля банков, предоставляющих услуги дистанционного банковского обслуживания
Санкт-Петербург 78,5 %
Мурманская область 100 %
Вологодская область 100 %
Новгородская область 33,3 %
Республика Коми 100 %
Псковская область 0 %
Калининградская область 100 %
Таблица 4. Распространенность услуги дистанционного банковского обслуживания
по регионам СЗФО
Защита от фишинга
В данном случае об угрозе фишинга клиентов стали предупреждать уже после инцидента. Характерная ситуация - когда меры защиты принимаются не заблаговременно, а только после атаки. Тем не менее, на сайте двух банков имеются предупреждения для клиентов, которые должна снизить успешность фишинг-атак злоумышленников. Типовые рекомендации выглядят следующим образом.
• Банк НИКОГДА НЕ ЗАПРАШИВАЕТ Вашу персональную информацию по электронной почте и не просит Вас зайти в систему интернет-банкинга по ссылке в письме, так как это противоречит соображениям безопасности.
• Пожалуйста, обращайте внимание на сообщения о подозрительных операциях. Так, если Вам сообщают, что на Ваш счет поступили деньги, которых Вы не ожидали, этого достаточно, чтобы заподозрить попытку мошенничества.
• Самый надежный и безопасный способ воспользоваться нашей системой интернет-банкинга - набрать адрес сайта WWW.***.RU в адресной строке Вашего браузера (чаще всего это MS Internet Explorer) и пройти в систему по ссылке, которая есть на всех страницах сайта.
• Если Вы все же успели стать жертвой мошенников или подозреваете, что Ваши данные попали в чужие руки, рекомендуем Вам незамедлительно сообщить об этом в банк по телефонам...
• Даже в случае попадания Ваших данных к мошенникам, Вам совсем не обязательно закрывать счет в банке или блокировать банковскую карту. Достаточно связаться с круглосуточной службой поддержки банка по телефону . , и наши специалисты помогут Вам решить возникнувшую проблему.
• Не отвечайте на полученные по электронной почте подозрительные сообщения от банка, не связавшись предварительно с банком по известным Вам телефонам.
• Не сообщайте посторонним пароли системы "Интернет Банк-Клиент", PIN-код карты, номер карты, дату истечения срока действия карты, код безопасности карты (три цифры, напечатанные на полосе для подписи после номера карты), размер кредитной линии по карте, информацию об операциях по карте, персональную информацию, информацию о паролях и данных документов. Помните, что ответственным сотрудникам банка известна данная информация (кроме PIN-кода карты и пароля для входа в систему "Интернет Банк-Клиент"), и у них нет необходимости запрашивать ее у клиента. В случае, если у Вас возникли сомнения, попросите у сотрудника назвать свою фамилию и имя и свяжитесь с ним самостоятельно через справочную службу банка.
• Для приобретения товаров через Интернет, по почте или телефону пользуйтесь услугами известных и надежных компаний и магазинов.
Заключение
Сегодня в России около 15 млн. интернет-пользователей [10]. По оценкам специалистов, ориентирующихся в своих прогнозах на опыт ведущих зарубежных стран, атаки в киберпространстве в России, будут представлять угрозу национальной безопасности, когда это число возрастет примерно в 5 раз, хотя и в нынешней ситуации возникает опасность серьезного экономического ущерба. В первую очередь, учитывая глобальную тенденцию криминализации Интернета [11, 12], эти атаки будут направлены на те сферы информационной инфраструктуры, которые могут принести коммерческую выгоду злоумышленникам. В этой связи наиболее целесообразным в настоящее время является анализ и применение превентивных мер защиты, учитывающих текущую ситуацию и прогнозирование поля угроз.
В данной работе проведено одно из первых публичных исследований защищенности веб-сайтов одной из наиболее привлекательных для злоумышленников - банковской сферы Северо-Западного Федерального округа. Результаты исследования представляют оценку текущего состояния информационной безопасности региона в области защиты банками веб-ресурсов от внешних злоумышленников, состояние развития и сферы услуг, предоставляемых петербургскими банками и банками региона через Интернет, анализ применяемых средств и технологий защиты.
Методика исследования существенно отличается от распространенных методик, используемых в настоящее время, легальностью используемых методов анализа. Легальные методы исследования, разработанные, обобщенные и усовершенствованные в работе, находятся в рамках российского законодательства, так как не приводят к вторжению/нарушению работы сетей и отдельных ЭВМ. Все действия, выполненные в процессе анализа, лежат в рамках действий легальных пользователей веб-сайта. Целью методов является поиск таких изъянов или недостатков в защите веб-сайтов, которые позволяют злоумышленникам преодолеть систему защиты или получить критически важную информацию для последующего вторжения.
По результатам исследования разработаны рекомендации, предназначенные для банков, имеющих собственные веб-сайты или планирующих их создание. Данные рекомендации получены из анализа изъянов в безопасности, имеющих место у некоторых рассмотренных банков в исследовании, а также путем обобщения лучшей практики обеспечения информационной безопасности веб-сайтов и направлены на усиление безопасности банковских веб-сайтов. Важным аспектом является стратегическая направленность некоторых рекомендаций, которая позволяет уже сейчас подготовиться к защите от очень вероятных будущих угроз.
Литература
1. Вирусная энциклопедия Лаборатории Касперского. Американцы потеряли 1 миллиард долларов из-за фишинга. Internet URL: http://www.viruslist.ru
2. Биячуев Т.А. Модель и методы мониторинга и оценки защищенности веб-сайтов сети Интернет: Дис. на соиск. к.т.н.: G5.13.19. СПб, 2GG5. 2G8 с.
3. Леонов А. Интернет-разведка глазами хакера. Internet URL http://www.it2b.ru/it2b2.view2.page57.html
4. Ollmann G. Passive Information Gathering. The Analysis of Leaked Network Security Information», 2GG4. 42 p. Internet URL: http://www.technicalinfo.net/papers/PassiveInfoPart1.html
5. Сбор критических данных без вторжения. Internet URL: http://www.bugtraq.ru/library/security/G19.html
6. Tara Calishaen, Rael Dornfest Goolge Hacks. 1GG Industrial Strength Tips and Tools, O'Reilly, 287 p.
7. Желтые страницы Санкт-Петербург 2GG6. СПб: РУЗко, 2GG6. 1575 с.
8. Банки Северо-Запада России 2GG5. Телефонный справочник. СПб: Изд-во Ассоциации банков Северо-Запада России, 2GG5. 235 с.
9. Ушаков К. Особенности виртуальной рыбалки. Москва, CIO World №3, 2G марта 2GG6 г. - С. 51-54.
1G. Фонд общественного мнения. Опросы «Интернет в России / Россия в Интернете». Выпуск 13. Осень 2GG5. Internet URL: http://bd.fom.ru/report/map/dG51G6G
11. Лукацкий А. Криминализация Интернета и защита информационных систем. // Промышленные ведомости. 2GG5. №1G. С. 32-34.
12. Касперский Е. Прогнозы изменений в антивирусной индустрии. Internet URL: http://www.kaspersky.ru/threats?chapter=188269734