Бифит - Практика хищений по системам електронного...
TRANSCRIPT
Ялта, 2009
Практика хищений по системам электронного банкинга
Новые угрозы и методы борьбы с ними
Компания «БИФИТ»www.bifit.com.ua
16-Я МЕЖДУНАРОДНАЯ КОНФЕРЕНЦИЯ «БАНКОВСКИЕ СИСТЕМЫ И СЕТИ»
2007-2008 гг.
Регистрация первых случаев «технологичных»
хищений секретных ключей ЭЦП клиентов.
Первые успешные попытки хищения средств
Угрозы хищений в системах электронного банкинга
Суть причины угрозы
Хранение секретных ключей ЭЦП в файлах
Суть технологии хищения ключей
Заражение компьютера клиента злонамеренным ПО,похищающим файл хранилища и перехватывающим пароль доступа к ключу ЭЦП
Неспособность клиента обеспечить доверенную среду
Суть технологии противостояния хищению ключа
Угрозы хищений в системах электронного банкинга
1. Формирование ЭЦП в доверенной среде вне ПК,
во внешнем устройстве, неподверженному угрозам
2. Генерация ключа ЭЦП внутри такого устройства
3. Принципиальное исключение передачи
секретного ключа ЭЦП в ПК
4. Взаимодействие с внешним устройством должно
осуществляться через самый распространенный
интерфейс компьютерной периферии – USB
Персональный аппаратный криптопровайдер – ПАК
Принцип работы ПАК
ЭЦП
Секретный ключ ЭЦП
ДСТУ4145-2002
Противодействие угрозам хищений
2008-2009 гг.
Эволюция угроз, связанных с хищениями
- расширение спектра технологий хищений: новые трояны, фишинговые атаки
- применение DDoS-атак для маскировки хищений
- усложнение технологий вывода средств: вместо переводов на карты и в цифровую наличность – переводы на счета подставных юридических лиц
DDoS-атаки. Анатомия угрозы
Эволюция угроз, связанных с хищениями
2. С использованием похищенных ключей осуществляется перевод средств со счета клиента
3. После исполнения банком распоряжения на списание средств со счета клиента организуется DDoS-атака с целью помешать клиенту войти в систему электронного банкинга и обнаружить факт хищения средств
1. Злоумышленник похищает секретные ключи ЭЦП
клиента, используя троянскую программу
DDoS-атаки. Анатомия угрозы
Эволюция угроз, связанных с хищениями
Результаты DDoS-атаки:
- полная недоступность Интернет-каналов банка
- невозможность доступа всех клиентов к сервису электронного банкинга
- невозможность взаимодействия с филиалами
- недоступность иных каналов (телефон, факс) при осуществлении атаки и на них
Вывод:
Эволюция угроз, связанных с хищениями
Применение в процессе хищений DDoS-атак создает новые угрозы для банка
Если раньше хищения приводили к финансовым потерям отдельных клиентов, то в случае DDoS-атаки результатом становится серьезная угроза операционной деятельности банка (вплоть до полной остановки)
Эволюция угроз, связанных с хищениями
Хранение секретных ключей ЭЦП в файлах
Хищение секретных ключей ЭЦП
Хищение средств со счета клиента
DDoS-атаки для маскировки хищений
Угроза операционной деятельности банка
Новые угрозы: методы противодействия
Механизмы защиты от DDoS-атак:
- программные
- аппаратные
Основной недостаток – высокая цена надежных промышленных решений (от $100000 за Cisco Guard)
Новые угрозы: методы противодействия
Хранение секретных ключей ЭЦП в файлах
Хищение секретных ключей ЭЦП
Хищение средств со счета клиента
DDoS-атаки для маскировки хищений
Угроза операционной деятельности банка
Персональный аппаратный криптопровайдер
Ключевое требование – 100% перевод клиентов
на персональные аппаратные криптопровайдеры
Новые угрозы: методы противодействия
При наличии клиентов, хранящих ключи в файлах, угроза хищений и сопутствующих DDoS-атак сохраняется, т.е. сохраняется угроза нарушения операционной деятельности банка
Основной метод – плановый перевод всех клиентов на обязательное использование ПАК
Переход на использование ПАК
Достоинства:- проработанная методология- отсутствие необходимости продвижения ПАК- принципиальное решение проблемы хищений
В настоящее время более 20 банков-партнеров компании БИФИТ приняли решение о плановом переводе всех клиентов на обязательное использование ПАК
Факторы, содействующие продвижению ПАК
Переход на использование ПАК
1. Насыщение рынка сертифицированными доступными решениями
2. Законодательное регулирование использования ПАК в банковской сфере
Насыщение рынка сертифицированными доступными решениями
Факторы содействия продвижению ПАК
Путь – создание и сертификация ПАК украинскими разработчиками
Компания «БИФИТ» ведет работы по созданию собственного ПАК
Законодательное регулирование использования ПАК в банковской сфере
Факторы содействия продвижению ПАК
Пример: Германия
Требование к ЭЦП в финансовой сфере: принципиальная невозможность копирования секретного ключа
Для формирования ЭЦП используются аппаратные решения (на базе смарт-карт), подлежащие сертификации государственным регулирующим органом
Компания «БИФИТ» первой в Украине и России встроила поддержку ПАК «iBank 2 Key» в системы электронного банкинга «iBank 2 UA» и «iBank 2»
ПАК «iBank 2 Key»
В настоящее время банки-партнеры компании используют более 90 тысяч ПАК «iBank 2 Key»
USB-токен «iBank 2 Key» на базе карточного чипа с КОС «УкрКОС v.2.0» и СКЗИ «CryptoLine»
ПАК «iBank 2 Key»
Смарт-карта «iBank 2 Key»
ПАК «iBank 2 Key»
Функционально идентична USB-токену
Подключается к компьютеру через CCID-совместимый картридер
Достоинства:- компактность- удобство хранения и использования- наличие «рекламной площади» для банка
Для поддержки смарт-карт «iBank 2 Key» компания БИФИТ осуществляет поставки доступных CCID-совместимых картридеров
ПАК «iBank 2 Key»