ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ И ЭКОНОМИЧЕСКАЯ БЕЗОПАСНОСТЬ ФИНАНСОВО-КРЕДИТНОЙ СИСТЕМЫ
УДК 336.7
оценка информационной безопасности систем дистанционного банковского обслуживания
ASSESSMENT OF INFORMATION SECURITY OF REMOTE BANKING SERVICES SYSTEMS
Соколова Татьяна Николаевна
Sokolova Tatyana Nikolaevna
кандидат экономических наук, доцент кафедры информационных систем в экономике, Саратовский социально-экономический институт (филиал) РЭУ им. Г.В. Плеханова, Саратов
Cand. Sc. (Economics), associate professor of the department of information systems in economics, Saratov socio-economic institute (branch) of Plekhanov Russian University, Saratov
e-mail: [email protected]
васильев владимир Сергеевич
Vasiliev Vladimir Sergeevich
студент 4-го курса факультета экономики и менеджмента, Саратовский социально-экономический институт (филиал) РЭУ им. Г.В. Плеханова, Саратов
4th year student of the faculty of economics and management, Saratov socioeconomic institute (branch) of Plekhanov Russian University, Saratov
e-mail: [email protected]
В научной статье приведены результаты анализа устойчивости систем дистанционного банковского обслуживания некоторых банков к MITM-атакам («человек посередине»).
Ключевые слова: дистанционное банковское обслуживание, интернет-банкинг, мобильный банкинг, информационная безопасность, MITM-атака, keylogger.
The article presents results of the analysis of vulnerability of remote banking systems of some banks to MITM attacks (man-in-the-middle).
Keywords: remote banking services, Internet banking, mobile banking, information security, MITM-attack, keylogger.
Введение
Технологии по предоставлению финансово-кредитными организациями своих услуг по передаваемым удаленно распоряжениям клиентов с использованием различных каналов телекоммуникации (системы дистанционного банковского обслуживания — ДБО) с каждым годом становятся все более востребованными. Так, по результатам исследований 2016 г., проведенных аналитическим агентством Markswebb Rank & Report, в России 35,3 млн человек пользуются интернет-банком хотя бы одного российского банка; мобильными банками пользуются 18 млн человек. 89 % пользователей мобильного банка пользуются и интернет-банком [3].
Интерес к таким сервисам растет как со стороны клиентов, так и со стороны банков, причем в перспективе, по мнению банкиров, все операции физических лиц должны проводиться через цифровые каналы. По мере расширения спектра услуг, предоставляемых удаленно, и увеличения числа пользователей этих сервисов возрастают требования к обеспечению информационной безопасности, в частности, сохранению конфиденциальной информации клиентов банка [1; 2].
Предлагая те или иные сервисы ДБО, банки всегда говорят об их безопасности. Так ли это?
Стоит признать, что в системе «Банк - канал передачи данных - компьютер клиента» банк является наиболее защищенным компонентом. Атаки на серверную часть систем ДБО ничем не отличаются от атак на обычные банковские системы. Наиболее уязвимым компонентом в этой цепочке является компьютер клиента, будь то домашний ПК, планшет или смартфон. Атаки на клиентскую часть возможны при наличии:
- физического доступа к устройству;
- вредоносного приложения на устройстве;
- возможности контролировать канал, например, в результате атаки «человек посередине».
Вероятность реализации первых двух угроз полностью зависит от пользователя. Свести риски к минимуму позволит соблюдение элементарных правил: не оставлять без присмотра и не передавать другим лицам свое мобильное устройство, регулярно обновлять и постоянно использовать антивирусное программное обеспечение.
Цель работы - оценить возможность реализации третьей угрозы: устойчивости
к MITM-атакам, а значит и безопасность систем ДБО некоторых банков.
Методы
Для анализа устойчивости сервисов ДБО к атакам «человек посередине» смоделируем ситуацию, которая нередко встречается в реальной жизни: человек (клиент банка) решил удаленно провести какую-либо операцию по своему счету, воспользовавшись общественной Wi-Fi сетью в кафе, метро, гостинице. Со стороны «злоумышленника» будем использовать роутер с настроенной Wi-Fi сетью, а также специально собранный дистрибутив Kali Linux для аудита безопасности информационных систем. Со стороны жертвы - телефон/компьютер с подключением к той же Wi-Fi сети, желание удаленно провести какую-либо операцию по счету через интернет-банк.
Большинство сайтов ДБО использует 128-битное шифрование, и соединение с платежным шлюзом и передача информации осуществляются в защищенном режиме с использованием протокола шифрования SSL (HSTS-HTTP Strict Transport Security, не разрешающий «понизить» HTTPS до HTTP).
По своей сути MITM-атака («человек посередине», англ. man in the middle) - это перехват данных канала связи между клиентом и сервером. В моделируемой ситуации атака будет осуществляться через ARP-спуфинг. Он основан на ARP-протоколе, по которому работает всё сетевое оборудование.
ARP (adress resolution protocol) - протокол канального уровня для определения MAC адреса по IP. Принцип работы данного протокола очень прост. Например, имеются А и Б в LAN или WAN сети с заданными IP-адресами. Машина А хочет переслать информацию на Б с известным IP-адресом. Поскольку MAC адрес не известен, посылается широковещательный запрос на все машины сети, который можно воспринимать как «Компьютер с адресом x.x.x.x, дайте мне ваш MAC», затем налаживается канал связи. ARP-спуфинг - использование данной схемы для перехвата этого широковещательного запроса, посыла ложного ARP-ответа и контроля трафика через себя.
Результаты
В ходе исследования была проверена устойчивость сервисов ДБО к MITM-атакам 12 банков.
По результатам исследования все банки можно разбить на четыре группы. В первую группу - самые надежные - можно отнести банки, система которых не позволила произвести инъекцию, keylogger и «понижение» протокола защиты не работают. Иными словами, злоумышленник не сможет получить доступ к вводимым в форме авторизации данным, даже перехватив канал связи, что характеризует сервисы данных банков лишь с положительной стороны. Возможные проблемы перехвата - это не проблемы пользователя, а групп разработчиков сервисов удаленного обслуживания, которые их постоянно совершенствуют.
В первую группу попали три банка: ПАО «Сбербанк России», ПАО «Банк ВТБ 24», АО «Банк Русский Стандарт».
«Сбербанк»: инъекция не проходит, keylogging и понижение протокола не работают.
Банк «ВТБ24»: не проходит инъекция в Chrome и keylogging в целом. Попытка реализации SSLstrip и dns-spoofing не увенчалась успехом: система «зависла», продолжение работы невозможно (рис. 1).
Банк «Русский стандарт»: также не проходит инъекция для keylogger^ и понижение протокола защиты.
Вторая группа - банки, сервисы которых позволили произвести инъекцию, но не сработали ни keylogger, ни понижение протокола защиты. Иными словами, в самом коде страниц сайта есть уязвимость, но конкретно для данного инструмента пентестинга не столь критичная. SSL протокол под HSTS не является панацеей от MITM-атак, но в рассматриваемой ситуации он оказался надежным инструментом защиты. Злоумышленнику придется искать другие способы и методы перехвата или в худшем (для него) случае декодирования и дальнейшей расшифровки, что существенно затрудняет кражу данных.
Во вторую группу попали четыре банка: ПАО «АКБ "Ак Барс"», Национальный банк «ТРАСТ», ПАО «МТС Банк», ПАО «Банк «Югра»
Банк «Траст»: прошла инъекция, но keylogging не работает.
Банк «Ак Барс»: инъекция внедряется, но sslstrip и keylogging не работают.
Банк «Югра»: SSLstrip не помог в понижении протокола для дальнейшего перехвата, хотя инъекция прошла успешно.
МТС Банк: инъекция прошла успешно, но понижение протокола и keylogging не работают. Эти действия вызывают некорректную работу сайта, сбой во время загрузки (рис. 2).
В третью группу вошли банки, сервисы удаленного обслуживания которых позволили успешно внедрить инъекцию, перехватить данные из формы авторизации клиента, пони-
| Файл Правка Вид Поиск Терминал
f -г Р1
Справка
■Р
*] MITMf vO.9,8 - 'The Dark Side' Spoof V0.6
I ARP spoofing enabled _ JSKeylogger V0.2
Sergio-Proxy V0.2.1 online
SSLstrip V0.9 by Moxie Marlinspike online
Net-Creds vl.0 online _ MITMf-API online
* Running on http://127.0.0.1:9999/ (Press CTRL+C to quit) HTTP server online DNSChef V0.4 online SMB server online
2017-03-16 20:33:11 192,168.1.167 [type:0ther-0ther os:0ther] сrt.comodoca.com
В____
Рис. 1. Протокол реализации MITM-атаки при подключении к сервису online-банкинг «ВТБ24»
I
жение протокола не понадобилось. Это позволяет злоумышленнику относительно легко перехватить данные для входа в личный кабинет «жертвы». Единственный значимый фактор - время, необходимое для сбора воедино связки логин-пароль.
В третью группу попали:
- АО «Российский Сельскохозяйственный банк» (Россельхозбанк) - один из крупнейших банков РФ, специализирующийся на финансировании предприятий агропромышленного комплекса;
- ПАО «Промсвязьбанк» - крупный универсальный банк с развитой сетью подразделений;
- АО «Экономбанк» - средний по размеру активов региональный финансовый институт, один из крупнейших в Саратовской области,
- ПАО «Совкомбанк» - крупный региональный финансовый институт с широкой сетью подразделений по России.
Банк «Россельхоз»: инъекция успешно внедрена, keylogger помог снять отдельно информацию по полям (рис. 3).
Рис. 2. Протокол реализации М1ТМ-атаки при подключении к сервису опНпе-банкинг «МТС»
Файл машина снрзу о тоссвльхоэ озн
I VXTipMiT-OiHK К1-Л©
С Ü online.rshb.ru/ib6/wf2/retai I/ib/loginretaildefault
root@pandemic: -
в © о
Файл Правка Вт Поиск Терм тал Справка
2017-63-16 21:04:25 192.168.1.167 [type:Chrome-rshb.ги
2В17-03-16 21:04:25 192.163.1.167 ltvse:Chrome-eld: |textfield |Jieys: login 2S17-03-16 21:64:25 192.168.1 r
2017-63-16 21:04:25 192.168.1 2817-03-16 21:04:25 192.168.1 r
2017-03-16 21:04:25 192.168.1 rshb.ru
2017-03-16 21:04:25 192.168.1 2017-03-16 21:04:26 192.168.1
r
2O17-03-16 21:04:26 192.168.1 rshb.ru
2017-03-16 21:04:30 192.168.1 eld: passwordfield | Keys: p 2017-03-16 21:04:30 192.168.1 r
2017-03-16 21:04:30 192.168.1 2017-03-16 21:04:30 192.168.1 г
-)1-»MH 1Q-J 1
49 os:Windows XP] [JSKeylogger] Injected JS file: online. 49 os:Windows XP1 IJSKevloooerl Host: online.rshb.ru I Fij
.167 [type:Chrome-49 os:Windows XP] Zapped a strice-trasport■sectuity heade
.167 [type:Chrome-,167 [type:Chrome-
49 os:Windows XP] online.rshb.ru
49 os:Windows XP) Zapped a strict-trasport-security heade
.167 [type:Chrome-49 os¡Windows XP] [JSKeylogger) Injected JS file: online.
.167 [type:Chrome-
.167 [type:Chrone-
.167 [type:Chrome-
.167 [type:Chrome•
.167 [type:Chrome-
49 os:Windows XP] online.rshb.ru
49 os:Windows XP] Zapped a strict-trasport-security heade
49 os:Windows XP] [JSKeylogger] Injected JS file: online,
49 os:Windows XP] [JSKeylogger] Host: online.rshb.ru | Fi
49 os:Windows XP] Zapped a strict-trasport-security heade
.167 [type:Chrome-49 os:Windows XP] online.rshb.ru ,167 [type:Chrome
49 osiWindows XP] Zapped a strict-trasport-security heade
1H7 It-una-rhrnmo.ilQ nt: ; Ui nrim.it: VP]_Г ICKowl nnnnrl_Tniortofl It; flip- nnlinp
Рис. 3. Протокол реализации М1ТМ-атаки при подключении к сервису опНпе-банкинг «Россельхозбанка»
«Промсвязьбанк» не имеет полноценного ДБО решения, но благодаря услуге «перевод между картами» становится приятной «добычей» key-logger^: сразу 2 карты и два CVV кода. В таком виде их можно применять, например, на Amazon, где не требуется смс-подтверждение (рис. 4).
Наконец последняя, самая небезопасная группа банков.
В форме ввода данных клиентской части присутствует такая уязвимость, что ни инъекция для keylogging'а, ни понижение протокола не требуются. При подключении к каналу злоумышленник получает данные для входа в ак-каунт «жертвы» (рис. 5). Такие же уязвимости были выявлены в авторизационной форме «^контакте», сервисов от Mail.ru и Rambler.ru.
Рис. 4. Протокол реализации МГГМ-атаки при подключении к сервису перевод между картами «Промсвязьбанк»
Рис. 5. Протокол реализации МГГМ-атаки при подключении к сервису опНпе-банкинг банка «Открытие»
Представителем этой группы является только один банк - ПАО «Банк "Финансовая Корпорация Открытие"» - крупнейший частный банк России. Он обладает хорошо развитой сетью подразделений и занимает уверенные позиции во всех ключевых направлениях банковского бизнеса, но демонстрирует абсолютную незащищенность данных при заполнении клиентом формы авторизации для входа в личный кабинет.
Заключение
Проведенный анализ сервисов дистанционного управления счетом показал, что да-
леко не все банки обеспечивают необходимый уровень защиты данных на стороне клиента. Из 12 протестированных банков только 7 показали хорошие результаты. Относительно легко злоумышленник может перехватить данные для входа в личный кабинет клиентов таких банков, как «Рос-сельхозбанк», «Промсвязьбанк», «Эконом-банк», «Совкомбанк», банк «Открытие». Клиентам этих банков стоит быть особенно внимательными и не пользоваться общедоступными Wi-Fi сетями для удаленного управления своим счетом.
Библиографический список (References)
1. Волошин И.П. Факторы риска при разработке программного обеспечения // Информационная безопасность регионов. 2016. № 3. С. 15-19
Voloshin I.P. (2016) Faktory riska pri razrabotke programmnogo obespecheniya [Risk Factors in Software Development] // Informatsionnaya bezopasnost' regionov. № 3. P. 15-19
2. Волошин И.П. Защита информации в информационных системах персональных данных // Информационная безопасность регионов 2016. № 1. С. 12-15.
Voloshin I.P. (2016) Zashchita informatsii v informatsionnykh sistemakh personal'nykh dannykh [Protection of Information in Personal Data Information Systems] // Informatsionnaya bezopasnost' regionov. № 1. P. 12-15.
3. e-Finance User Index 2016. URL: http://markswebb.ru/e-finance/e-finance-user-index-2016/ (дата обращения: 16.04.2017).
e-Finance User Index 2016. URL: http://markswebb.ru/e-finance/e-finance-user-index-2016/ (date of access: 16.04.2017).
УДК 347.73
нормативные акты центрального банка российской федерации в области валютного контроля как источники финансового права
NORMATIVE ACTS OF THE CENTRAL BANK OF THE RUSSIAN FEDERATION ABOUT FOREIGN EXCHANGE CONTROL AS SOURCES OF FINANCIAL LAW
Пастушенко Елена Николаевна
Pastushenko Elena Nikolayevna
доктор юридических наук, профессор, Саратовская государственная юридическая академия, Саратов
PhD (Law), professor, Saratov State Academy of Law, Saratov
e-mail: [email protected]