|
Рынок российских и международных стандартов безопасности, несмотря на благоприятные условия для совершенствования, парадоксальным образом оторван от реальности.
1 мая, в День труда, ожидается введение в действие новых версий стандартов СТО БР РФ 1.0/1.2. Скорее всего, при выборе даты никто ничего не подразумевал, но введение нового стандарта безопасности в День труда как бы намекает...
Новая версия стандартов учитывает последние изменения в требованиях по обеспечению защиты персональных данных, в частности Постановления Правительства № 1119 и 21-го Приказа ФСТЭК. Учтены требования Положения ЦБ РФ № 382-П от 09.06.2012 о требованиях к обеспечению защиты информации при осуществлении переводов денежных средств. Ожидается, что этот бесспорно на данный момент лучший в России стандарт безопасности будет развиваться и дальше. Но все ли дыры безопасности будут закрыты новыми версиями руководящих документов? Однозначно нет.
Поступательное развитие, постоянное добавление новых методов защиты, четкие формулировки с одной стороны и неуменьшающееся количество вредоносных программ в сетях компаний и организаций с другой. Почему компании, прошедшие аттестацию по лучшим стандартам, на практике остаются беззащитными? В рамках одной статьи невозможно назвать все причины, которых на самом деле множество, поэтому рассмотрим только одну угрозу, вызывающую активный интерес СМИ, - заражение вредоносными программами или вирусами.
Действующие редакции СТО БР РФ 1.0/1.2 и Приказа ФСТЭК России № 21 -это действительно достаточно совершенные акты. Что и как они рекомендуют защищать?
Давайте рассмотрим, что подразумевают руководящие документы под защищаемыми объектами. Тщательный анализ требований показывает: от внимания регуляторов ускользнул целый ряд систем и процессов. Отсутствуют рекомендации по защите встраиваемых систем (банкоматов и терминалов), нет требований по защите мобильных платежей, защите информации, передаваемой по беспроводным сетям, защите от мошенничества при бесконтактной передаче данных (в частности, по протоколу NFS; случаи списания средств мошенниками уже известны). И это далеко не полный список.
Может быть, во всех вышеперечисленных случаях угрозы надуманны и существуют только в пресс-релизах разработчиков средств защиты?
Для примера начнем с банкоматов. Встраиваемые устройства работают в особом режиме - они должны функционировать (как и автоматизированные системы управления технологическими процессами) безотказно и непрерывно в режиме 24 часа 7 дней в неделю. Требование непрерывной работы приводит к тому, что устройства не могут перезагружаться в случае прихода того или иного обновления, требующего перезагрузки. А поскольку заранее неизвестно, какое обновление потребует перезагрузки и как оно повлияет на работу удаленного устройства, то зачастую обновления не устанавливаются. Сейчас много говорят о том, что в связи с прекращением поддержки Windows XP, банкоматы на основе этой ОС останутся работать с обнаруженными и незакрытыми уязвимостями. Но, положа руку на сердце, всегда ли на таких банкоматах в ходе регламентов прописывалось применение всех обновлений безопасности?
В результате устройства со всеми найденными от момента создания ОС уязвимостями оказываются идеальной целью для киберпреступников. По сути, хакеров сдерживает только одно - сложность внедрения вредоносных программ. На данный момент, если не считать проникновения из внутренних сетей организации, наиболее часто сети банкоматов заражаются через сменные устройства обслуживающего персонала. Но в этом случае на устройства попадают вредоносные программы общего назначения, не рассчитанные на хищения именно с банкоматов. Максимум, что может произойти при таком заражении, - синий экран или шифрование информации с выводом на экран требования о выкупе. Это неприятно, грозит потерей репутации, распространением фотографий по всему Интернету, но хотя бы не ведет к прямым потерям денежных средств. Целенаправленные атаки тоже возможны, но для них необходим универсальный ключ для вскрытия банкоматов и доступ к конкретным устройствам для их заражения. Возможность заражения путем нештатного использования устройств (например, выхода с них в сеть Интернет) можно не учитывать - это решается организационными методами.
Тем не менее, несмотря на явную сложность процедуры заражения, возможность получения доступа к большому числу финансовых операций невероятно привлекательна для злоумышленников. В связи со вступлением в силу Федерального закона № 161-ФЗ от 27.06.2011 «О национальной платежной системе» финансовые организации все чаще используют фрод-системы, отслеживающие характеристики платежей клиентов. В этих условиях затеряться среди переводов с банкомата или терминала гораздо проще, чем среди прогнозируемых финансовых операций отдельных компаний. Итог предсказуем: менее чем за полмесяца этого года появились два новых троянца для банкоматов.
Trojan.Skimer.19 (рис. 1) перехватывает нажатия клавиш EPP (Encrypted Pin Pad) в ожидании специальной комбинации, с использованием которой троянец активируется и может выполнить введенную злоумышленником на клавиатуре команду, например вывести на дисплей банкомата окно со сводной статистикой (количество выполненных транзакций, уникальных карт, перехваченных ключей и т.д.).
Trojan.PWS.OSMP.21 (рис. 2) распространяется в виде динамической библиотеки, которая проникает в терминал с использованием инфицированного флеш-накопителя и прописывает себя в отвечающую за автозагрузку ветвь системного реестра Windows под именем Taskbar.
Мало? Рядом с сотнями тысяч ежедневно появляющихся вредоносных программ для десктопов - безусловно. Но по сравнению с количеством обнаруживаемых целевых атак (а это именно целевая атака) два троянца за такой короткий срок - это много. К тому же угрозы нарастают очень быстро: за всю историю противоборства антивирусов и хакеров было обнаружено всего несколько специализированных программ такого рода. |
