Криптошлюз fin-TrusT

Курс повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры по программе, согласованной с ФСТЭК России

Довольно быстро исчезли сомнения в том, что финансовые организации в большинстве своем попадают в зону действия нормативной базы, касающейся критических информационных инфраструктур. Краткий обзор, который может служить своего рода путеводителем по наиболее важным документам в этой области, можно прочитать здесь.

В подавляющем большинстве КИИ, не только финансовых организаций, непременной частью системы защиты сетевого взаимодействия являются средства криптографической защиты информации (СКЗИ), поскольку объекты КИИ в основном взаимодействуют по сетям общего доступа, причем с использованием стандартных цифровых каналов типа WiFi, BlueTooth и LTE. Изменение порядка взаимодействия с построением выделенных защищенных каналов не всегда возможно в принципе, а когда и возможно – то влечет за собой весьма продолжительные и дорогостоящие работы, несопоставимые с внедрением СКЗИ (откровенно говоря, даже не смешно представить себе такую постановку задачи для стоящего «в чистом поле» банкомата). Со стороны СКЗИ же, в свою очередь, предъявляются требования к СФК, условиям хранения и применения ключей и т. п., об этом уже говорилось не мало.

Применение СКЗИ высоких классов явно предписано нормативными методическими документами финансовой сферы: согласно Положению Банка России № 683-П, системно значимые кредитные организации, а также кредитные организации, значимые на рынке платежных услуг должны реализовывать усиленный уровень защиты информации[1] по ГОСТ Р 57580.1-2017[2]. В данном ГОСТе для усиленного уровня защиты информации предписывается использование СКЗИ, имеющих класс не ниже КС2. Эти требования в первую очередь касаются именно контуров банковской инфраструктуры, предназначенных для работы банкоматов.

В банкомате все устроено на первый взгляд довольно просто. В его составе есть диспенсер (в нем лежат деньги и из него деньги выдаются), компьютер и периферийное оборудование. Компьютер взаимодействует с процессинговым центром (например, по IP-протоколу), и USB-кабелями соединен с диспенсером и другим периферийным оборудованием.

Подробнее про банкоматы

При работе с банкоматом с пластиковой карты считывается ее номер, с клавиатуры – PIN, все это передается в процессинговый центр, где и выполняется авторизация. Если все в порядке – проверяется запрашиваемая сумма. Затем компьютером банкомата формируется команда на выдачу денег, которая передается в диспенсер. Из защитных механизмов здесь используется только один – диспенсер размещен в сейфе.

Такого очень упрощенного описания уже достаточно, чтобы рассмотреть возможные атаки и методы защиты от них.

Атака на канал взаимодействия с процессинговым центром

Атака может быть реализована примерно так – вставляется любая карточка, вводится любой PIN, из процессингового центра приходит сигнал отказа в авторизации, но вот он и подменяется сигналом успешной авторизации. При этом злоумышленнику достаточно иметь возможность вмешаться в работу канала, изменять логику работы банкомата необходимости нет.

Атака имитацией сигнала на выдачу денег

Обращаем внимание на абзац, где условно описана работа банкомата, а именно на ту часть, где говорится, что команда на выдачу денег, которую исполняет диспенсер, формируется компьютером банкомата. А почему бы тогда злоумышленнику не использовать другой компьютер? Например, принести с собой ноутбук, отключить USB-кабель диспенсера от компьютера банкомата, подключить его к принесенному ноутбуку и подавать команды вида «дай 5000 рублей»? Естественно, диспенсер выполнит команду, если ее подать в нужном формате. Но это, конечно, дело техники, и никакого труда не представляет.

Эта же атака может быть реализована и по-другому. Так, злоумышленник может внедрить закладку в компьютер банкомата (это несложно сделать, например, при выполнении профилактических работ). Логика работы вредоносной программы может быть любой, например, при предъявлении определенной легальной карты может запрашиваться подтверждение на выдачу 100 рублей, а выдаваться вполне может значительно больше.

Казалось бы, разные атаки, но они отличаются только нюансами реализации. Суть одна – на диспенсер подается команда, сформированная нештатными программными средствами.

Атака имитацией сигнала на прием денег

Современные банкоматы не только выдают деньги, но и принимают их. Подсчитывают купюры, размещенные в приемнике купюр, вычисляют сумму, эта информация передается в процессинговый центр и зачисляется на счет клиента. На этом вполне может быть основана очень опасная атака – например, клиент вносит 100 рублей, а действиями закладки на его счет заносится значительно большая сумма – например, 100 000. Даже не ясно, можно ли будет этого клиента привлечь к ответственности (если поймают) – денег-то он не брал!?

Сбор критичной информации пользователей

Если вредоносная программа внедрена, то что может помешать ей запомнить все номера карт и PIN в один день, и все запросы на выдачу денег повторить в другое время по внешней команде – например, по предъявлению какой-то конкретной карты? Или просто передать эту информацию злоумышленникам, и кто знает, как они ею распорядятся?

Представляется, что такое перечисление возможных атак уже содержит ответ на извечный вопрос: «Что делать?».

Надо защитить каналы – как от процессингового центра к компьютеру, так и от компьютера к диспенсеру, и обеспечить целостность программно-аппаратной среды компьютера.

Нельзя сказать, что сегодня ничего из этого совершенно не делается. Конечно, некоторые меры принимаются. Как правило (не станем утверждать, что всегда), только для защиты канала между процессинговым центром и компьютером банкомата. И тех мер, что принимаются в большинстве случаев, явно не достаточно для удовлетворения требований к КИИ.

Фактически, в части защиты сетевой коммуникации все специфичное в требованиях к КИИ сводится к тому, что при взаимодействии с использованием сетей общего доступа каждый узел должен быть защищен СКЗИ высокого класса. Все остальное – следствия из этого обстоятельства или детали сертификационных требований. О последних можно прочитать в справочном разделе в конце этой главы, а вот на следствиях из необходимости оборудовать каждый банкомат (и не только их) СКЗИ, сертифицированным на высокий класс, в двух словах стоит остановиться здесь.

Неприемлемо использовать для этого установленный на компьютер в банкомате программный VPN. Даже в случае, если для него создана и поддерживается СФК, это неприемлемо потому, что при обслуживании в ПО этого компьютера могут быть внесены изменения, нарушающие СФК, а проведение в каждом случае соответствующих проверок – просто невозможно организационно, работа остановится. Более того, нет никаких гарантий, что непредсказуемые изменения – например, замена компьютера на свой, улучшенный – не будут произведены, например, при работах вообще не с компьютером, а с диспенсером.

Ситуация выглядит несколько лучше при использовании аппаратного шлюза, однако, если смотреть правде в глаза, отечественные сертифицированные устройства в этом качестве не используются. Причины на это, в общем, объективные. Они без слов понятны по рисунку, на котором показано, как выглядят криптошлюзы для защиты сетевой коммуникации на класс КС3.

Средства защиты сетевой коммуникации на КС3, внешний вид

Не то что бы их нельзя было установить в каждый банкомат, но они дороги, избыточны по своим характеристикам, очень велики по размеру и подвержены множеству уже хорошо разработанных и постоянно появляющихся новых атак.

Использование же импортных устройств подходящего размера неприемлемо по причине их несоответствия требованиям регуляторов.

Еще одна задача, которая стоит перед производителем криптошлюза для объекта КИИ (в частности, банкомата), связана уже не с требованиями, а с техническими особенностями этих объектов – она заключается в том, чтобы поддержать множество разнообразных интерфейсов.

Примеров таких СЗИ для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообразным образом по различным каналам, на сегодняшний день не много, но они есть. Так, можно использовать криптошлюз fin-TrusT. Это российское решение на базе микрокомпьютера Новой гарвардской архитектуры m-TrusT.

Fin-TrusT – это линейка криптошлюзов для финансовых организаций:

• «fin-TrusT банкомат» – криптошлюз в технологическом корпусе для установки в банкоматы с возможностью поддержки 2 и более операторов мобильного Интернета.
• «fin-TrusT офис» – криптошлюз в корпусе одноюнитового сервера для установки в бэк- или фронт-офис до 50 абонентских устройств.
• «fin-TrusT центр» – сервер VPN для установки в ЦОД или серверную стойку головного отделения.

«Fin-TrusT банкомат» поддерживает одновременную работу нескольких независимых каналов связи. К примеру, могут быть подключены 2 Ethernet от различных провайдеров и/или 2 LTE-модема различных операторов связи. Это позволяет продолжить работу даже при отказе одного из каналов, что повышает отказоустойчивость и является актуальной задачей именно для банкоматов.

В зависимости от архитектуры сети в качестве ответной части решения может использоваться такое же устройство в исполнении в стойку (если требуется небольшое количество подключений и ресурсы сервера VPN избыточны) или обыкновенный сервер VPN, стоимость которого ощутимо выше.

Криптошлюз функционирует прозрачно для пользователя, не добавляя никаких действий в его привычный набор действий.

Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Типовые характеристики микрокомпьютеров и интерфейсных плат приведены на родительской страничке.

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности. Особенностями m-TrusT является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры защищенность платформы обеспечивается РКБ и СДЗ, сертифицированным ФСТЭК России.

Встроенное по умолчанию в fin-TrusT СКЗИ – DCrypt от компании ТСС – сертифицировано ФСБ России России в исполнениях на m-TrusT на классы КС2 и КС3.

Таблицы выполнения мер, определенных ФСТЭК России, путем применения fin-TrusT, можно увидеть здесь.

[1] п. 3.1 Положения Банка России от 17 апреля 2019 г. № 683-п «Об установлении обязательных для кредитных организаций требований к обеспечению защиты информации при осуществлении банковской деятельности в целях противодействия осуществлению переводов денежных средств без согласия клиента»,

[2] ГОСТ Р 57580.1-2017 «Безопасность финансовых (банковских) операций. ЗАЩИТА ИНФОРМАЦИИ ФИНАНСОВЫХ ОРГАНИЗАЦИЙ. Базовый состав организационных и технических мер».