Бифит - Практика хищений по системам електронного...

Ялта, 2009

Практика хищений по системам электронного банкинга

Новые угрозы и методы борьбы с ними

Компания «БИФИТ»www.bifit.com.ua

16-Я МЕЖДУНАРОДНАЯ КОНФЕРЕНЦИЯ «БАНКОВСКИЕ СИСТЕМЫ И СЕТИ»

2007-2008 гг.

Регистрация первых случаев «технологичных»

хищений секретных ключей ЭЦП клиентов.

Первые успешные попытки хищения средств

Угрозы хищений в системах электронного банкинга

Суть причины угрозы

Хранение секретных ключей ЭЦП в файлах

Суть технологии хищения ключей

Заражение компьютера клиента злонамеренным ПО,похищающим файл хранилища и перехватывающим пароль доступа к ключу ЭЦП

Неспособность клиента обеспечить доверенную среду

Суть технологии противостояния хищению ключа

Угрозы хищений в системах электронного банкинга

1. Формирование ЭЦП в доверенной среде вне ПК,

во внешнем устройстве, неподверженному угрозам

2. Генерация ключа ЭЦП внутри такого устройства

3. Принципиальное исключение передачи

секретного ключа ЭЦП в ПК

4. Взаимодействие с внешним устройством должно

осуществляться через самый распространенный

интерфейс компьютерной периферии – USB

Персональный аппаратный криптопровайдер – ПАК

Принцип работы ПАК

ЭЦП

Секретный ключ ЭЦП

ДСТУ4145-2002

Противодействие угрозам хищений

2008-2009 гг.

Эволюция угроз, связанных с хищениями

- расширение спектра технологий хищений: новые трояны, фишинговые атаки

- применение DDoS-атак для маскировки хищений

- усложнение технологий вывода средств: вместо переводов на карты и в цифровую наличность – переводы на счета подставных юридических лиц

DDoS-атаки. Анатомия угрозы

Эволюция угроз, связанных с хищениями

2. С использованием похищенных ключей осуществляется перевод средств со счета клиента

3. После исполнения банком распоряжения на списание средств со счета клиента организуется DDoS-атака с целью помешать клиенту войти в систему электронного банкинга и обнаружить факт хищения средств

1. Злоумышленник похищает секретные ключи ЭЦП

клиента, используя троянскую программу

DDoS-атаки. Анатомия угрозы

Эволюция угроз, связанных с хищениями

Результаты DDoS-атаки:

- полная недоступность Интернет-каналов банка

- невозможность доступа всех клиентов к сервису электронного банкинга

- невозможность взаимодействия с филиалами

- недоступность иных каналов (телефон, факс) при осуществлении атаки и на них

Вывод:

Эволюция угроз, связанных с хищениями

Применение в процессе хищений DDoS-атак создает новые угрозы для банка

Если раньше хищения приводили к финансовым потерям отдельных клиентов, то в случае DDoS-атаки результатом становится серьезная угроза операционной деятельности банка (вплоть до полной остановки)

Эволюция угроз, связанных с хищениями

Хранение секретных ключей ЭЦП в файлах

Хищение секретных ключей ЭЦП

Хищение средств со счета клиента

DDoS-атаки для маскировки хищений

Угроза операционной деятельности банка

Новые угрозы: методы противодействия

Механизмы защиты от DDoS-атак:

- программные

- аппаратные

Основной недостаток – высокая цена надежных промышленных решений (от $100000 за Cisco Guard)

Новые угрозы: методы противодействия

Хранение секретных ключей ЭЦП в файлах

Хищение секретных ключей ЭЦП

Хищение средств со счета клиента

DDoS-атаки для маскировки хищений

Угроза операционной деятельности банка

Персональный аппаратный криптопровайдер

Ключевое требование – 100% перевод клиентов

на персональные аппаратные криптопровайдеры

Новые угрозы: методы противодействия

При наличии клиентов, хранящих ключи в файлах, угроза хищений и сопутствующих DDoS-атак сохраняется, т.е. сохраняется угроза нарушения операционной деятельности банка

Основной метод – плановый перевод всех клиентов на обязательное использование ПАК

Переход на использование ПАК

Достоинства:- проработанная методология- отсутствие необходимости продвижения ПАК- принципиальное решение проблемы хищений

В настоящее время более 20 банков-партнеров компании БИФИТ приняли решение о плановом переводе всех клиентов на обязательное использование ПАК

Факторы, содействующие продвижению ПАК

Переход на использование ПАК

1. Насыщение рынка сертифицированными доступными решениями

2. Законодательное регулирование использования ПАК в банковской сфере

Насыщение рынка сертифицированными доступными решениями

Факторы содействия продвижению ПАК

Путь – создание и сертификация ПАК украинскими разработчиками

Компания «БИФИТ» ведет работы по созданию собственного ПАК

Законодательное регулирование использования ПАК в банковской сфере

Факторы содействия продвижению ПАК

Пример: Германия

Требование к ЭЦП в финансовой сфере: принципиальная невозможность копирования секретного ключа

Для формирования ЭЦП используются аппаратные решения (на базе смарт-карт), подлежащие сертификации государственным регулирующим органом

Компания «БИФИТ» первой в Украине и России встроила поддержку ПАК «iBank 2 Key» в системы электронного банкинга «iBank 2 UA» и «iBank 2»

ПАК «iBank 2 Key»

В настоящее время банки-партнеры компании используют более 90 тысяч ПАК «iBank 2 Key»

USB-токен «iBank 2 Key» на базе карточного чипа с КОС «УкрКОС v.2.0» и СКЗИ «CryptoLine»

ПАК «iBank 2 Key»

Смарт-карта «iBank 2 Key»

ПАК «iBank 2 Key»

Функционально идентична USB-токену

Подключается к компьютеру через CCID-совместимый картридер

Достоинства:- компактность- удобство хранения и использования- наличие «рекламной площади» для банка

Для поддержки смарт-карт «iBank 2 Key» компания БИФИТ осуществляет поставки доступных CCID-совместимых картридеров

ПАК «iBank 2 Key»

Компания «БИФИТ»www.bifit.com.ua

Шилов Станислав info@bifit.com.ua

Спасибо за внимание

Ваши вопросы