|
|
Взлом банковских систем: хроника и технологии
Случаи кибер-атак на банки не редкость, однако, не все из них становятся достоянием общественности. В первую очередь это связано с тем, что благополучие финансовых организаций зиждется на безупречной репутации и любой даже косвенный удар по имиджу может стать критическим. Если банк стал мишенью преступника, и в результате была похищена какая-то незначительная сумма, то банк предпочитает провести расследование своими внутренними силами, без огласки. В случае с Владимиром Левиным не удалось избежать огласки, хотя для крупного иностранного банка $10 млн. не является огромной суммой, вокруг которой следует поднимать шум. Боб Фрил (Bob Friel), один из экспертов в области информационной безопасности, сообщил, что ему известен случай, когда в результате компьютерной атаки у одного крупного банка было похищено $100 млн., однако за пределы банка дело не пошло. Проникновение в банковскую систему в целях хищения денежных средств может быть нелегкой задачей для программиста-одиночки. В большинстве случаев для выполнения таких задач требуется команда. Известно, что Владимир Левин имел сообщника в самом Citibank, поэтому ему удавалось осуществлять незаконный перевод денег со счетов банка на свои счета в течение длительного промежутка времени. Появление внутри организации пособников кибер-преступников вызвано недовольством некоторых сотрудников уровнем материального вознаграждения, атмосферой в компании и т.п. По мнению иностранных экспертов, для любой организации небезопасно создавать ситуацию, когда программист оказывается без работы или недоволен полученным вознаграждением. Возникновение же подобных ситуаций обусловлено экономическим состоянием внутри определенной страны. Очевидно, что при неблагоприятных экономических условиях, компания в целях снижения издержек может уволить часть своих сотрудников, среди которых обязательно будут программисты. Некоторые из таких специалистов могут таить злобу на организацию «так несправедливо поступившую с ними». Действия обиженных специалистов в отношении организации могут нанести существенный ущерб последней. Если речь идет о банке, то последствия могут быть весьма серьезными.
Лакомой целью взломщиков становятся банки средних размеров, которые стремительно входят в информационное поле под воздействием жесткой конкуренции со стороны более крупных «собратьев». Как правило, небольшие банки предоставляют новые ИТ-услуги, не обеспечивая должной защиты всех своих систем, с учетом появления этих новых услуг. Для кибер-взломщика необходимым условием для осуществления атаки на банковские системы является территориальная удаленность одних банковских серверов от других. Территориальная удаленность в данном случае вынуждает банк использовать открытые сети, такие, как интернет. Средние и мелкие банки в погоне за клиентом зачастую пренебрегают элементарными мерами предосторожности. Более того, некоторые банки размещают часть своих услуг на сторонних серверах, защищенных в еще меньшей степени, чем сами банки. Все это играет на руку взломщикам, которые могут проникнуть на подобные серверы, установить над ними контроль и с их помощью проникнуть в главную банковскую сеть, минуя межсетевые экраны. В основе данного метода проникновения лежит принцип использования слабого звена.
С развитием на Западе доступа в интернет через сети кабельного телевидения, возникает еще одна возможность мошенничества. Взломщик проникает на атакуемый компьютер, используя кабель, который может соединять, например, два соседние дома. Таким образом, можно получить доступ к большому числу компьютеров. При этом на некоторых компьютерах наиболее беспечных граждан могут храниться в открытом виде их банковские данные: фамилии, средства идентификации, способы доступа к счетам, последние проведенные транзакции и другая информация, которой взломщик не применет воспользоваться, планируя атаку на тот или иной банк. Как считают специалисты в ИБ, один из излюбленных способов взломщика — перебор паролей. Причем, для того, чтобы получить доступ к большей части информации, не требуется подбирать пароль администратора. Во многих учебниках по информационной безопасности содержаться инструкции к правильному составлению паролей, которые, по мнению экспертов, должны состоять не только из букв, но и цифр, вспомогательных символов, символов верхнего и нижнего регистров. Однако в большинстве случаев эти советы не выполняются. Более того, пользователи задают пароли на основе часто используемых слов для более легкого запоминания. В тех же случая, когда пароль создан по всем правилам безопасности, взломщик может использовать набор паролей «по умолчанию», которые внедрены разработчиком в свое ПО. Большое количество банков при создании защищенных систем полагаются на своих ИТ-специалистов. Однако не все может зависеть от последних. Использование целого набора средств по обнаружению вторжений в систему, борьбы с взломщиками и т.п. может оказаться бессильным в случае существования «открытых дыр», с помощью которых взломщики могут получить доступ к любому компьютеру. Учитывая сплоченность сообщества компьютерных взломщиков, можно предположить, что при успешном использовании вновь обнаруженной бреши, через короткое время механизм проникновения будет подробно описан на сотнях сайтах, посвященных тематике взлома, переведен на десятки языков и прочитан миллионами читателей, среди которых могут быть желающие опробовать этот механизм в действии. Именно так и произошло этим летом со службой RPC, через которую стало возможным получить доступ к удаленному компьютеру. Одним из эффективных механизмов атаки на банк является подмена данных в резервных копиях, которые хранятся, как правило, менее надежно, чем другая банковская информация. После подмены информации взломщики проводят «грубую» атаку на ресурсы банка, вынуждающую этот банк прибегнуть к восстановлению данных из резервных копий. В результате информация, введенная взломщиком в резервные копии, некоторое время может быть «легальной», что даст злоумышленнику возможность использовать несуществующие счета для осуществления различных финансовых операций. В результате деятельности банка, создается огромный поток данных, который курсирует от одних серверов к другим. Как правило, все данные, передаваемые банком, — зашифрованы. Теоретически, можно расшифровать поток данных, однако для практической реализации потребуются вычислительные мощности не одного десятка компьютеров и большое количество времени. К тому моменту, как данные будут расшифрованы, банк может перейти на другие стандарты или изменить ключ. Куда проще попытаться найти в переписке служащих банка ключевую фразу. Или можно пойти другим путем — перехватывать данные до того, как они будут шифроваться. Как считают иностранные специалисты в сфере ИБ, похитить деньги не так уж трудно — гораздо труднее уйти с ними. Поэтому злоумышленники используют весь возможный арсенал средств, чтобы «замести следы». Для того чтобы уйти незамеченными, кибер-взломщики зачастую прибегают к массированной кибер-бомбардировке всех ресурсов банка с тем, чтобы парализовать его деятельность на максимально долгое время. И к тому моменту, когда банку удается восстановить свои системы и обнаружить пропажу денег, все следы, указывающие на кибер-воров, надежно уничтожены. До тех пор, пока обеспечение информационной безопасности не станет приоритетной задачей, в СМИ будут периодически появляться новости о том, что очередной банк подвергся нападению кибер-воров. Роман Боровко / CNews Analytics Пример решения: Анализ информационных рисков
Информационные технологии значительно расширили возможности бизнеса. Но новые возможности всегда сопряжены с новыми рисками, подобно тому, как в финансовой сфере более высокая доходность означает более высокую степень риска. Чем сложнее информационная система, тем выше риск осуществления по отношению к ней различных угроз: например, проникновения в систему извне или несанкционированный доступ изнутри компании с целью финансового мошенничества или хищения коммерческой информации. По оценкам Gartner Group, за 2001 год потери бизнеса вследствие утечки конфиденциальной информации только через электронную почту составили порядка 24 миллиардов долларов. Таким образом, применение информационных технологий в бизнесе связано с определенным набором рисков. А когда ущерб от потенциальных угроз достаточно велик, необходимо внедрять экономически оправданные меры защиты. При этом не следует забывать, что набор рисков, присущий конкретной информационной системе, будет изменяться во времени. Это значит, что необходимо периодически производить переоценку рисков. К примеру, все ведущие консалтинговые компании рекомендуют выполнять анализ рисков информационной системы, как минимум, раз в год. |
Сообщить факт о Windows XP
Почему устарела Windows XP?
Сообщить цифры о Windows XP