УДК 336.647 Серпуховитина Наталья Викторовна доц., к.э.н. Фомин Иван Александрович

реклама
УДК 336.647
Серпуховитина Наталья Викторовна
доц., к.э.н.
Фомин Иван Александрович
студент гр. АСП 2-10
Московский государственный горный университет
ТЕХНИЧЕСКОЕ ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ
ДИСТАНЦИОННОГО ОБСЛУЖИВАНИЯ. ПРАКТИЧЕСКИЕ
РЕКОМЕНДАЦИИ ПО ИСПОЛЬЗОВАНИЮ УСЛУГИ ИНТЕРНЕТБАНКИНГА
TECHNICAL SAFETY DISTANCE PERFORMING SERVICES.
PRACTICAL RECOMMENDATIONS THE USING OF INTERNET
BANKING SERVICES
На данный момент услугой Интернет-банкинга в России пользуется
сравнительно небольшое количество населения – от 7 до 9 млн.
человек. [5] Это, отчасти, зависит и от низкой развитости
широкополосного доступа к сети Интернет (особенно в регионах), и от
малой компьютерной грамотности населения, и от сложности самих
программ, предоставляющих данную услугу.
Однако, рынок предоставления услуг «онлайн» является наиболее
динамично развивающимся в российском банковском секторе. Эксперты
предрекают рост количества пользователей данным ресурсом до 40-50
процентов в год. [1]
Рост, во многом, достигается за счет увеличения доверия пользователей
услуги Интернет-банкинга, который, в свою очередь, достигается за счет
совершенствования
систем
безопасности,
используемых
для
конфиденциальности предоставляемых в Сеть данных.
Но, с увеличением количества пользователей, растет и количество
Интернет-мошенников. Бурное развитие данного вида мошенничества
началось в 2009 г., когда ущерб российским банкам составил свыше
100 млн. долларов. [4]
Для предотвращения дальнейшего роста утечек информации и
сведения к минимуму потерь от атак злоумышленников, разработчики
банковских интернет-систем начали серьезную работу по отслеживанию
уязвимостей и внесению новых способов защиты пользовательской
информации. Наиболее узнаваемые типы уязвимостей и методы их
устранения рассмотрены в данной статье.
Для наиболее высокой безопасности систем Интернет-банкинга
обеспечивается защита информации на двух уровнях. Во-первых, для
входа в систему от пользователя требуются логин и пароль (т.н.
идентификационные данные), а также, уже в самой системе, происходит
123
передача другой конференциальной информации, поэтому необходимо
предотвратить возможность перехвата этих данных во время их передачи
от клиента в систему. [3]
Наиболее существенный момент состоит в том, что при
осуществлении любой транзакции в системе, система должна убедиться,
что все распоряжения производятся зарегистрированным клиентом. Для
этого система по полученной информации, которая относится к
транзакции, как бы идентифицирует клиента заново. В данном случае вся
передаваемая информация “подписывается” клиентом электронноцифровой подписью (ЭЦП). Именно по этой “подписи” система
аутентифицирует пользователя и позволяет совершить необходимую
операцию. ЭЦП – последовательность байтов, формируемая путем
преобразования подписываемого электронного документа специальным
программным средством по криптографическому алгоритму и
предназначенная для проверки авторства электронного документа. ЭЦП
является подтверждением подлинности, целостности и авторства
электронного документа. ЭЦП признается аналогом собственноручной
подписи (пункт 2 статьи 160 Гражданского Кодекса РФ).
Что касается передачи логина и пароля пользователя, для этого
зачастую используются стандартные средства обеспечения защиты
передачи информации в открытых сетях. Наиболее распространенным из
этих средств является протокол SSL (Secure Sockets Layer), который
является обязательным атрибутом любого современного браузера.
Протокол был разработан компанией Netscape в 1994 году. SSL
обеспечивает шифрование всей передаваемой информации от компьютера
клиента до сервера банка. Максимальная длина ключа, используемого в
данном протоколе, 128 бит, т.е. существуют 2128 возможных комбинаций
"ключей", но лишь один из этих ключей позволяет получить доступ к
информации. [2]
В России часто для передачи всех данных в системах Интернетбанкинг используются алгоритмы для шифрования отличные от SSL,
которые позволяют повысить безопасность систем путем использования
более длинных криптографических ключей.
Одним из самых распространенных алгоритмов является алгоритм
RSA, длина ключа у которого обычно 1024 бит. Принцип работы этого
алгоритма достаточно простой. Каждый участник криптосистемы
генерирует два случайных больших простых числа p и q, выбирает число e,
меньшее pq и не имеющее общего делителя с (p-1)(q-1), и число d, такое,
что (ed-1) делится на (p-1)(q-1). Затем он вычисляет n=pq, а p и q
уничтожает.
Пара (n, e) называется "открытым ключом", а пара (n, d) –
“закрытым ключом". Открытый ключ передается всем остальным
участникам криптосистемы (обычно это означает, что клиент обязательно
124
должен придти в офис банка для заверения открытого ключа), а закрытый
сохраняется в тайне.
Стойкость RSA есть функция сложности разложения произведения
pq на простые множители p и q (эту задачу придется решать тому, кто
вознамерится "вычислить" закрытый ключ из открытого). При достаточной
длине этих простых чисел (несколько тысяч двоичных разрядов) такое
разложение вычислительно невозможно.
Для обеспечения конфиденциальности, участник А "шифрует"
сообщение m участнику Б с помощью открытого ключа Б: c := me mod n, а
участник Б "расшифровывает его" с помощью своего закрытого ключа: m
:= cd mod n.
При
использовании
ЭПЦ
в
условиях
электронного
документооборота, также применяется технология "криптографии с
открытым ключом". Для наложения цифровой подписи участник А
"шифрует" сообщение m участнику Б с помощью своего закрытого ключа s
:= md mod n, и отправляет "подпись" s вместе с сообщением m. Участник Б
может верифицировать подпись участника А с помощью открытого ключа
А, проверив равенство m=se mod n.
Обычно первоначальный обмен ключами между клиентом и банком
осуществляется на магнитных носителях без передачи ключей через
открытые компьютерные сети. Секретный ключ клиента храниться на
сервере сертификации банка и не имеет открытой публикации. Клиенту
для осуществления всех операций с ЭЦП, на компьютер устанавливается
программное обеспечение, которое предоставляет банк. А все
необходимые данные для клиента – открытый, закрытый ключ,
идентификационные данные и пр., обычно хранятся на отдельной дискете,
или в специальном аппаратном устройстве, который подключается к
компьютеру клиента.
Что касается безопасности систем Интернет-банкинг, которые
позволяют клиенту банка иметь доступ к счету с помощью сотового
телефона, поддерживающего WAP, то в таких системах безопасность
намного меньше. Проблема кроется в самом протоколе WAP и процедуре
преобразования трафика при смене протоколов передачи. В сотовой сети
на участке между мобильным телефоном и WAP-шлюзом (защита
радиоканала) применяется Wireless Transport Layer Security (WTLS), а в
Интернет (защита стекаTCP/IP), как уже было сказано, - SSL. При
перекодировке из одного протокола в другой информация остается без
защиты. Пока, почти во всех системах WAP-банкинга клиент не может
проводить платежные операции, а только получать необходимую
информацию, поэтому уровень безопасности не так важен. Но скорее
всего, в ближайшее время ситуация изменится в сторону увеличения
функциональных возможностей WAP-банкинга. И тогда к безопасности
протокола WAP будут предъявляться новые требования. На данный
момент уже существует решение описанной выше проблемы – оно должно
125
воплотиться в следующей версии WAP – 2.0. Еще одним нюансом
безопасности WAP-систем является то, что вся передаваемая информация
шифруется с криптографическим ключом не более 124 бита.[8]
Как можно убедиться, обеспечение безопасности систем Интернетбанкинга - довольно трудоемкий и сложный процесс для разработчика.
Авторитетное рейтинговое агентство «Эксперт РА», составляющее
рейтинг российских Интернет-банков, среди своих критериев учитывало и
степень защищенности систем (табл. 1).
Таблица 1.
Топ-10 российских банков по финансовой и информационной
безопасности. [6]
Место
1
2
3
4
5
5
5
6
7
8
9
10
10
Интернетбанкинг
Банки-участники
системы
HandyBank
"Банк24.ру"
(ОАО)
"АзиатскоТихоокеанский
Банк" (ОАО)
"Запсибкомбанк"
ОАО
ОАО "МИнБ"
"НОМОСБАНК" (ОАО)
ЗАО
"Банк
Русский
Стандарт"
"КУБ" ОАО
ООО
"ХКФ
Банк"
Пробизнесбанк и
другие
банки
Финансовой
Группы
Лайф
(кроме
Банка24.ру)
ОАО
"МОСКОВСКИ
Й КРЕДИТНЫЙ
БАНК"
ОАО "АЛЬФАБАНК"
СБ Банк (ООО)
Отдельные
пароли на
каждую
операцию
Генератор
одноразовых
паролей
Виртуальная
клавиатура
Лимиты по
операциям,
устанавливаемые
банком
SMSоповеще
ние о
соверше
нных
транзакц
иях
Страхован
ие рисков
ущерба
клиенту со
стороны
третьих
лиц
Страхование
рисков
ущерба
клиенту со
стороны
сотрудников
Банка
1
1
1
1
1
1
1
1
1
1
1
1
0
1
1
1
0
1
1
1
1
1
0
1
1
0
1
1
1
1
1
1
1
0
0
1
1
1
1
1
0
0
1
1
1
1
1
1
0
1
0
1
0
1
0
1
1
0
1
1
1
0
0
1
0
1
1
1
0
0
1
0
1
1
1
0
0
1
1
1
1
1
0
0
1
0
0
1
1
0
0
Единица означает наличие опции в Интернет-банкинге, ноль —
отсутствие. В табл. 1 приведено семь параметров, всего оценивался
21 параметр.
126
Однако, несмотря на все увеличивающуюся эффективность систем
безопасности Интернет-банкинга, мошенникам удается получить
конфиденциальные данные клиента, используя уязвимости, находящиеся в
компьютере самого пользователя, используя специальные вирусы (т.н.
«троянские» программы). Данные программы попадают на компьютер,
который не защищен антивирусными программами, или же базы сигнатур
вирусов которого устарели. Попадая на компьютер, вирусы маскируются
под обычные программы, выполняющиеся операционной системой.
«Трояны» могут быть занесены на компьютер как использованием
небезопасного использования Интернет, так и через нелицензионное
программное обеспечение, которое может содержать в дистрибутивах
вредоносные программы. Схема действия получения пользовательских
данных через вирусы показана на рис. 1.
Рис. 1. Схема действия «троянской» программы во время сессии Интернетбанка [7]
Как мы видим на схеме, вирус направляет клиента на фальшивую
станицу, которая по виду совершенно не отличается от оригинальной.
Однако при вводе пользовательской информации такие «фейковые»
системы сообщают об ошибке, но на самом деле данные пользователя уже
оказались в базе данных злоумышленников.
Чтобы предотвратить такие проблемы, самому пользователю
необходимо внимательно изучить адресную строку сайта Интернет-банка.
Обычно, оригинальные системы располагаются на доменах, защищенных
протоколом HTTPS, например,
https://click.alfa-bank.by/webBank/private/details.action.
127
Если же возникла ситуация, описываемая выше, а именно сообщение
об ошибке обслуживания после ввода данных, то необходимо позвонить в
банк, обслуживающий данную систему, и поинтересоваться в ее
исправности. Если же банк не подтвердит неисправность, то необходимо
сразу же заблокировать свою карту.
Безопасность систем Интернет-банкинга является определяющим
критерием успешного внедрения и использования таких услуг. Но, как
можно убедиться, опасности могут быть подвержены не только сами
платежные Интернет-терминалы, но также и компьютеры самих клиентов.
Только внимательное использование услуг Интернет-банкинга вместе с
передовыми системами безопасности может предотвратить ущерб от
действий Интернет-мошенников.
Литература.
1. Ярочкин В.И. Безопасность банковских систем. – М.: Ось-89
2004. – 416 с.
2. Защита информации в банковском деле и электронном бизнесе.
М.А. Деднев, Д.В. Дыльнов, М.А. Иванов. – М.: КУДИЦ-Образ , 2004. –
512 с.
3. Безопасность коммерческого банка: организационно-правовые и
криминалистические проблемы: Монография. Гамза В.А., Ткачук И.Б. –
М.: Издатель - Шумилова И.И., 2002. – 251 с.
4. Интернет-ресурс:
Электронная
библиотека
http://infolibrary.com/content/305_53_Finansovie_internet_yslygi.html
(проверено:
15.11.2013).
5. Интернет-ресурс: Официальный сайт "Эксперт РА" Рейтинговое
агентство
http://www.raexpert.ru/researches/banks/internetbanking_k_dohodam/rating_func/ (проверено 15.11.2013)
6. Интернет-ресурс:
http://gaus24.com/ru/info/gaus-for-internetbanking (проверено 15.11.2013)
7. Интернет-ресурс: Экономический сайт http://www.citycor.ru/efin/i-bank/i-bank3.htm (проверено 15.11.2013)
8. Интернет-ресурс:
Информационное
агентство
http://bankir.ru/tehnologii/s/tendentsii-razvitiya-internet-bankinga-10001199
(проверено 15.11.2013)
Аннотация.
В данной статье рассмотрены пути обеспечения безопасности услуги
Интернет-банкинга. Выявлены наиболее уязвимые сегменты защиты
банковских Интернет-систем. Предоставлены практические рекомендации
по использованию услуги Интернет-банкинга для предотвращения утечек
информации.
128
This article describes ways to ensure the security of the Internet banking
services. Revealed the most vulnerable segments of the Internet banking security
systems. Provided by the practical recommendations for use of Internet banking
services in order to prevent leakage of information.
Ключевые слова.
интернет-банкинг, информационная безопасность, протокол HTTPS,
уязвимость, электронно-цифровая подпись, пользовательские данные,
дистанционное обслуживание
internet-banking, information security, protocol HTTPS, vulnerability,
digital signature, user data, remote maintenance
129
Скачать