Доклады, выступления, видео и электронные публикации

Серебряная пуля для хакера

Отдыхая от трудов праведных, мы не раз смотрели фильмы и читали книги, в которых борцы с нечистью разного рода в конце концов побеждали, применяя различные сакральные инструменты, такие, как осиновый кол, чеснок или серебряные пули. Кто этим не располагает — как правило, погибает, за исключением главного героя и его подруги во рваной маечке. Наша жизнь похожа на эти фильмы, мы тоже сталкиваемся с различными упырями и вампирами, но только от информационных технологий. Конечно, хочется иметь автомат с пресловутыми серебряными пулями, хочется надеяться на хэппи энд. Теоретически понятно, что нужно делать, но все за всех не сделать все-равно, и многие все-таки «погибают» в этой борьбе. Потом начинается анализ причин.

Одна из самых распространенных «отмазок» у «специалистов по информационной безопасности» — это аппеляция к известному афоризму о противостоянии брони и снаряда. Говорится все это с напускным сожалением и грустью, но кроется за этим только одно — попытка найти приемлемое оправдание своей не слишком эффективной работе.

Удивительно, но от многократного повторения в это начинают верить и руководители. Вот на недавней встрече заинтересованных сторон один из серьезных руководителей, подводя итоги совещания, отметил, что, по его мнению, «серебряную пулю» создать нельзя. Мне понравилась эта ассоциация, и, видимо, не только мне, так как теперь афоризм о броне и снаряде все чаще замещается сетованием о невозможности создания серебряной пули.

Конечно, это не так. «Серебряная пуля» в технической защите информации существует, и все знают, что это. Просто часто создание доверенной среды информационного взаимодействия подменяют имитацией деятельности, а надежные средства замещают на более дешевые, имитирующие выполнение защитных функций. Одна из причин этого — то, что там, где защита не очень нужна — ее требуют. А раз так — выполняют требования формально. А вот там, где защита нужна действительно — нет никаких требований. Нет требований — зачем тратить деньги? Переложим бремя рисков на потребителя, вот и все — рассуждают недальновидные руководители.

Есть, например, требования по защите персональных данных — но они «давно украдены до нас» — и зачем эти требования выполнять? Уровень развития предоставления госуслуг в электронном виде таков, что серьезно говорить о потребности в защищенном взаимодействии не приходится, хотя формально меры защиты применяются. Как нигде более, защита нужна в дистанционном банковском обслуживании (ДБО), а здесь требования отсутствуют, хотя ежедневно воруют миллионы.

На счетах клиентов в банках находится более 17 триллионов рублей, и все они под прицелом организованных преступных хакерских группировок. Очевидно, что невозможно этой опасности противостоять, если ждать, когда будут сформированы требования к конкретному случаю со стороны регуляторов.

Эту проблему нужно рассмотреть подробно, всесторонне.

Ниже:

  • Поговорим о нормативной базе и следствиях из неё
  • Рассмотрим аксиомы ДБО
  • Обсудим понятие доверенной среды
  • Коснемся технических, организационных и ментальных аспектов комплексного решения

Нормативная база и следствия из нее

В любом договоре на банковское обслуживание совершенно точно написано, что банк исполняет поручения клиента по распоряжению счетом. На эту фразу мы редко обращаем внимание, так как это выглядит само собой разумеющимся. Но стоит вдуматься — клиента, а не преступника.

Это означает, что банк обязан точно установить, что поручение на распоряжение счетом получено именно от клиента, а не от хакера, и только тогда обязан это поручение выполнить. Другими словами — идентификация и аутентификация клиента должна выполняться банком, за правильность этих процедур отвечает банк, и если случается ошибка, то ответственность за нее несет банк.

Для того, что бы достойно выполнить эту задачу, банки предпринимают все возможные, со своей точки зрения, меры - но, как правило, эти меры ограничиваются мероприятиями внутри банка. Для клиента не предлагается ничего — в лучшем случае, какой-то токен, не обеспечивающий практически никакой защиты от хакерских атак. И если инцидент случается — вместо усиления защиты вспоминается о броне и снаряде (мол, опять мы проспали появление новых «снарядов»), и виноватым пытаются сделать клиента (ну что же Вы с ключём так неаккуратно, мы же вам говорили, что же теперь делать, Вы и себя, и нас подвели, ...).

Если банк обязан — то он и отвечает. Именно поэтому положения 161-ФЗ сформулированы так, как сформулированы. Сначала верни деньги, а потом разбирайся. И это правильно.

Однако посмотрим на ситуацию со стороны банков. Им-то что делать? Нет ведь надежных средств, обеспечивающих доверенную среду со стороны клиента, а без этого надежную защиту не создать! Да и как научить клиента правильно это все использовать? Да еще тут и броня со снарядом — впору вообще отказаться от ДБО, неохота только терять деньги, на этом ДБО зарабатываемые.

Ниже мы расскажем о целом ряде современных решений. Сейчас нужно просто отказаться от пораженческих настроений. Нельзя получить результат, не веря в победу. Не верите — меняйте работу. На крайний случай — становитесь хакерами, такие хакеры неопасны.

Продолжим.

Итак, банк исполняет поручения клиента.

Поручение — это вид волеизъявления. На бумаге волеизъявление фиксируется собственноручной подписью, а если поручение передается в электронном виде — то используется электронная подпись (ЭП). Именно ЭП придает юридическую силу документу, в том числе — поручению. Таким образом, банк должен использовать ЭП, уже хотя бы для того, что бы оставаться в правовом поле. Конечно, можно придумать бесконечное множество суррогатов подтверждения волеизъявления, но зачем?

Далее — исполняет. Это слово означает, что банк, поняв, ЧЬЕ поручение, делает именно то, ЧТО поручено, и никак иначе. Главное здесь — это то, что исполнение поручения в исходном виде должно быть доказуемым, иначе недобросовестные клиенты (есть и такие) замучают банк претензиями. Это означает, что и здесь нельзя обойтись без ЭП — ведь подтвердить юридическую значимость действий можно только так. Электронный документ, как и любой другой, характеризуется формой и содержанием. Характеристика формы — юридическая значимость. Не каждый из нас может понять смысл письма на китайском языке, но то, что это документ — заметит каждый. И наоборот — каракули на клочке бумаги вряд ли кто примет за документ, даже если там будут написаны разумные вещи.

Есть также и характеристика содержания — это юридическая сила. Как форма и содержание — юридическая сила и юридическая значимость неразрывны, но различны. Они всегда проявляются, но в разных случаях — по разному. В ДБО — вот так.

Именно поэтому банкам целесообразно использовать электронную подпись. Сейчас это не слишком сложно. Другое дело - использовать квалифицированный сертификат или обычный? Это выбор банка, регламентации нет. На мой взгляд, сегодня целесообразно принимать поручения клиентов, подписанные как с использованием квалифицированных сертификатов, так и с использованием сертификатов, которые выпускает сам банк. Это максимально расширяет клиентскую базу без потери уровня безопасности. Со временем, на мой взгляд, будет миграция в сторону квалифицированных сертификатов.

Как же на практике решаются перечисленные задачи? В целом — никак. Электронная подпись практически не применяется, надежная защита информационного взаимодействия подменяется односторонней защитой финансовых интересов банка за счет клиента, техническая защита подменяется имитацией. Говоря словами известного персонажа: «Все врут».

Вот несколько примеров идей, очевидно недостоверных, но которые высказывались публично и поэтому требуют публичного обсуждения:

  • применение токенов обеспечивает достаточный уровень защищенности ДБО;
  • квалифицированная ЭП может быть получена в недоверенной среде;
  • если стоит ЭП, то документу можно доверять;
  • главный приоритет — удобство клиента, а безопасность — его проблема.

Никакой токен не создает доверенной среды, поэтому первое утверждение недостоверно. В недоверенной среде возможны перехват управления, атака на порты, работа под враждебным гипервизором и так далее. Токен — просто хранилище ключей, которое ничем не лучше, чем дискетка, просто токен легче потерять. Неизвлекаемость ключа — полезное свойство, но оно полезно только при доверенности среды, в другом случае — это имитация защиты, далее будут примеры, подтверждающие этот вывод.

Второе утверждение можно объяснить только дремучей безграмотностью лиц, его придумавших. Недоверенная среда — это «чашка Петри», питательная среда для вирусов и троянов, услужливо посеянных в ней хакерами, готовящимися атаковать Ваш компьютер. Не будем даже говорить о том, что требование доверенности среды прямо связано с требованиями 63-ФЗ - наверное, многие здесь тоже пытаются «суровость» закона компенсировать необязательностью его исполнения. Но вот здесь — точно зря!

Утверждение о том, что подпись под файлом делает его документом — очевидно ложно. Даже если проверка подписи дает правильный результат — это ни о чем не говорит. Правильную подпись хакера под платежкой, отправленной от моего имени, банк не должен считать основанием для платежа. Важны не только результаты проверки подписи, но и полномочия и правомочия подписавшего — а этих полей сегодня нет даже в квалифицированном сертификате.

Четвертый тезис — о приоритете удобства над безопасностью — можно обсудить подробнее. Мне, например, кажется, что безопасность важнее. Хотя я и допускаю, что есть люди, для которых важнее удобство — например, потому, что они плохо владеют компьютером. Это вполне весомый аргумент, его не стоит воспринимать с улыбкой. Вспомните, как мы преодолевали первые километры, только получив водительское удостоверение. Было сложно. Но и здесь, хотя особого выбора не было, хотелось управлять безопасным «мерседесом», а не «копейкой» итальянской сборки.

Личные предпочтения важны, но еще важнее право выбора. Почему кто-то вообще присваивает себе право решать, что лучше для меня? Верю опыту банкиров, но это скорее опыт зарабатывания денег для банка, а не опыт обеспечения безопасности клиента. Это личные предпочтения банкиров, а не забота о клиенте. Мне кажется, что даже из самых благих намерений (которыми, как известно, и вымощена дорога в ад), не нужно навязывать клиенту свои представления о его предпочтениях. Кому-то важно удобство, кому-то — безопасность. Дайте выбрать самому клиенту, уважайте его: вы, банки — сервис для клиента, а не наоборот. Полагаю, что клиенту должен быть предложен выбор - Дешево, Быстро, Опасно (ДБО), — или Дороже, но БезОпасно (ДБО). Клиент выберет сам, а банк должен предоставить ему возможность выбора, конечно, зарабатывая на этом. Нужно просто в клиентском договоре предоставить клиенту выбор — дешевый токен — и тогда все риски на стороне клиента, или доверенная среда, и тогда за безопасность отвечает банк. Тогда все будет по-честному.

***

Впрочем, следует подумать и о том, что такое дорого, а что дешево. В одном из крупнейших банков страны перед нами поставили задачу — клиентское устройство должно стоить не более 50 рублей. Вот это действительно дешево. Но правильно ли? Известно, что любой товар такой стоимости человек покупает трижды — 2 раза теряет, так как цена незначима. Значимо — около 100$, такой менталитет, говорят маркетологи. С другой стороны, 50 рублей — это цена самой дешевой микросхемы микропроцессора, и, конечно, никакое нормальное устройство, не имитацию, за эти деньги сделать нельзя. Я думаю, это не забота упомянутого банка о клиентах. Добейтесь лучше, что бы у вас десятки миллионов за раз не воровали.

С другой стороны, если кому-то ДБО нужно, значит, как минимум, компьютер у него есть. Если за компьютер уже уплачено 1500 долларов, то будет ли дорого еще 150$ за безопасность ДБО? И зачем человеку ДБО, если для его бизнеса такая цена кажется высокой?

Таким образом, недорогое устройство для ДБО — стоит от 100 до 150$.

Аксиомы ДБО

Итак, установлено, что:

  • электронные платежные документы должны подписываться электронной подписью
  • ЭП ставится с помощью средства электронной подписи (СЭП)
  • СЭП требует доверенной среды.

С этого момента можно не отвлекаться на поиск решения без доверенной среды. Я бы предложил идеи защиты информационного взаимодействия вне доверенной среды рассматривать наряду с идеями по созданию вечного двигателя — в комиссии по лженауке, а не выносить дискуссию на страницы приличных журналов.

Также, думаю, не стоит рассматривать и идеи использования дополнительных каналов — вроде sms-информирования. Сама по себе идея полезна, но именно как механизм информирования. К безопасности это не имеет отношения. Даже если организовать SMS-подтверждение, то это лишь незначительно усложнит задачу хакеру, но не защитит клиента надежно. Известны случаи хищения десятков миллионов рублей со счетов в крупнейших банках как-раз при наличии sms-подтверждения. Не думаю, что стоит распространять «успешный» опыт хакерских атак, поэтому не описываю подробно, как совершалась эта атака.

В дальнейших публикациях я рассмотрю, как именно можно очень недорого создать доверенную среду у клиента, как управлять безопасностью, и какие средства для этого нужны и как это сделать организационно[1].

Окончание следует.

[1] Статья написана в рамках работ по реализации комплексного проекта по созданию высокотехнологичного производства, поддержанного субсидией Министерства образования и науки Российской Федерации, «Создание инженерно-технических решений для высокотехнологичного производства инновационных программно-аппаратных средств защиты информации на базе перспективных высокоскоростных интерфейсов информационного взаимодействия» (шифр 2012-218-03-087).

Автор: Конявский В. А.

Дата публикации: 01.01.2013

Библиографическая ссылка: Конявский В. А. Серебряная пуля для хакера // Защита информации. Inside. СПб., 2013. № 4. С. 54–56.


Scientia potestas est
Кнопка связи