VII Международная студенческая научная конференция Студенческий научный форум - 2015

Аннотация

В статье представлена модель программно-аппаратного комплекса эмуляции уязвимостей систем дистанционного банковского обслуживания. Был проведен анализ возможности реализации проекта и его дальнейшее внедрение в процесс обучение специалистов по направлению информационная безопасность.

Ключевые слова: дистанционное банковское обслуживание, электронные деньги, уязвимости ДБО, интернет банкинг, мобильный банкинг

Введение

В наше время интернет используется повсеместно – у каждого есть один, два, а то и три устройства, способные выйти в глобальную сеть. Настоящие деньги меняются электронными. В погоне за удобством используют различные способы хранения и использования сбережений. Хранить деньги наличными не безопасно, но безопасно ли хранить их в банках, предоставляющих услуги дистанционного управления своим счетом.

Системы дистанционного банковского обслуживания

ДБО - общий термин для технологий предоставления банковских услуг на основании распоряжений, передаваемых клиентом удаленным образом, чаще всего с использованием компьютерных и телефонных сетей.

Технологии ДБО можно классифицировать по типам информационных систем (программно-аппаратных средств), используемых для осуществления банковских операций:

Системы «Клиент-Банк» (PC-banking, remote banking, direct banking, home banking) - это системы, доступ к которым осуществляется через персональный компьютер. Системы «Клиент-Банк» позволяют отправлять платежи в банк и получать выписки по счетам (информацию о движениях средств на счёте) из банка. Банк при этом предоставляет клиенту: техническую и методическую поддержку при установке системы, начальное обучение персонала клиента, обновление программного обеспечения и сопровождение в процессе дальнейшей работы.

В целях безопасности в системах «Клиент-Банк» используются различные системы криптографической защиты информации (СКЗИ), обеспечивающие шифрование и контроль целостности передаваемой в Банк информации. Системы «Клиент-Банк» принципиально подразделяются на 2 типа: толстый клиент и тонкий клиент.

Банк-Клиент ("толстый клиент") - на рабочей станции пользователя устанавливается отдельная программа-клиент. Программа-клиент хранит на компьютере все свои данные, как правило, это платёжные документы и выписки по счетам. Программа-клиент может соединяться с банком по различным каналам связи.

Преимуществом некоторого вида систем «толстых клиентов» является их богатый внутренний функционал по разделению ролей пользователей и разбору инцидентов.

Интернет-Клиент (тонкий клиент) - пользователь входит в систему через Интернет браузер. Система Интернет-Клиент размещается на веб-сервере банка. Все данные пользователя доступны на веб-сайте банка. По технологии Интернет-Клиент строятся также системы для мобильных устройств (mobile-banking). На основе Интернет-Клиента могут предоставляться информационные сервисы с ограниченным набором функций.

У дистанционного банковского обслуживания через Интернет есть ряд как преимуществ, так и недостатков. К преимуществам для организаций, предоставляющих такие услуги, можно отнести:

• Невысокую стоимость эксплуатации интернет-системы;

• Возможность интеграции с бухгалтерскими системами клиента;

• Доступность интернет-услуг для конечного пользователя;

• Поддержание лояльности клиентов, активно использующих данные услуги.

К недостаткам относится в первую очередь слабая защищённость интернет-решений от несанкционированного доступа.

Поддержание уровня защиты на надлежащем уровне требует значительных материальных затрат, которые могут себе позволить, в основном, крупные банки, рассчитывающие на значительные доходы от предоставления подобных услуг.

Обслуживание с использованием банкоматов (ATM-banking) и устройств банковского самообслуживания.

Технологии ДБО с использованием устройств банковского самообслуживания являются одними из наиболее популярных как в мире, так и в России.

Банкоматы и терминалы попадают в категорию ДБО, так как почти полностью предоставляют банковские услуги дистанционно, без посещения клиентом банковской организации. Кроме того, важным фактором для включения их в эту категорию является возможность дублирования основных функций стандартного банк-клиента, который банк предоставляет частным лицам для осуществления платежей.

Уязвимости систем ДБО

В основе данного анализа лежит отчет российской компании Positive Technologies, в котором приводилась статистика уязвимостей систем дистанционного банковского обслуживания за 2011 и 2012 годы, собранная специалистами этой компании в ходе проведения работ для ряда крупных российских банков [1].

55% рассмотренных систем ДБО построены на базе решений, поставляемых известными производителями. Менее половины исследованных систем представлены собственными разработками.

В ходе анализа выявлено большое количество уязвимостей различного уровня риска, при этом высокую степень риска имеют 8% уязвимостей, среднюю — 51%, и больше количество уязвимостей (41%) имеют низкую степенью риска.

В ходе анализа выявлено большое количество уязвимостей различного уровня риска, при этом высокую степень риска имеют 8% уязвимостей, среднюю — 51%, и больше количество уязвимостей (41%) имеют низкую степенью риска.

Наиболее распространенные уязвимости связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%). Во многих системах присутствует также раскрытие информации о версиях используемого программного обеспечения (73%), которое облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня исходного кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на компьютеры пользователей (например, с использованием методов социальной инженерии). Самые распространенные уязвимости имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие характерных для отдельной системы критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой.

Более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных внешними производителями.

В ходе проведенного исследования было показано, насколько уязвимы современные системы дистанционного банковского обслуживания.

Кроме того, необходимо уделить особое внимание корректной реализации механизмов защиты, особенно в части аутентификации и авторизации, а также обеспечить контроль качества кода веб-приложения. При эксплуатации системы необходимо регулярно проводить анализ защищенности, проверять корректность настроек компонентов системы ДБО и обновлять программное обеспечение до актуальных версий.

Обеспечение безопасности системы ДБО, как и любой информационной системы, требует комплексного подхода на всех этапах ее жизненного цикла.

Результаты проведенного исследования лишний раз подтверждают, что перед вводом системы ДБО в эксплуатацию необходимо проводить анализ ее защищенности, в том числе для систем, предоставляемых профессиональными производителями.

Для продуктивных систем, приобретаемых у профессиональных производителей, рекомендуется использовать межсетевой экран уровня приложения с целью исключения эксплуатации уязвимостей в коде приложения до выпуска производителем обновления.

Реализация процесса безопасной разработки и регулярный контроль защищенности системы ДБО позволят снизить риски несанкционированного доступа к системе и сохранить в целости денежные средства клиентов банка

Степень защищенности систем ДБО выше, чем в среднем у других приложений, с которыми приходится сталкиваться специалистам Positive Technologies, и критические уязвимости (RCE, SQL Injection) встречаются в них не так часто. Но, несмотря на это, комбинация некритических ошибок безопасности все равно может приводить к тому, что злоумышленник получает возможность обойти антифрод-системы и совершать неавторизованные транзакции [2].

Модель системы ДБО

Разрабатываемая модель системы состоит из программной и аппаратной части. Структурная схема стенда представлена на рисунке 1, а функциональное назначение каждого модуля описано в таблице 1.

Рисунок 1 – Схема взаимодействия компонентов модели

Модуль	Функциональное назначение
Клиенты	Система "Клиент-БАНК". Кошёлек - приложение для управление личным, используя сетевые технологии, взаимодействую с сервером Банка, предоставляющим API. Реализована в виде: - Web приложения для браузеров. - Android, iOS, Windows Phone приложения для КПК. - Приложения для ОС Windows, Linux, MacOS.
Банк API	Система ДБО. Web сервер, предоставляющий API. Реализует функции управления счетом, хранения данных о пользователях и операциях со счетами. Сервер БД.
Терминал	Банковский терминал самообслуживания. Выполняет функции приема платежей за услуги мобильной связи, перевод со счета на счет, оплата гос. услуг,пополнение счета и т.д.

Таблица 1 - Функциональное назначение модулей

Внедрение в образовательный процесс

Предлагаемый программно-аппаратный комплекс позволяет имитировать функционирование типовой системы ДБО. Данный комплекс является базой для проведения лабораторно-практических работ по курсам «Безопасность сетей ЭВМ», «Технологии обнаружения атак» и аналогичных курсах, в которых изучаются технологии и методы анализа защищённости автоматизированных систем управления от угроз информационной безопасности.

Создается заранее уязвимая система с типовым набором уязвимостей ДБО, которые предстоит найти студентам [3]. Задачей студентов является поиск, эксплуатация уязвимостей системы и выработка контрмер. Целями являются мобильные приложения Интернет-клиентов банка, терминал обслуживания, коммуникационные каналы и имитируемая система ДБО.

Результатами работы с программно-аппаратным комплексом будет являться овладение навыками классификации и формализации уязвимостей, исследования защищённости банковских систем и автоматизированных систем управления.

Заключение

В работе описана модель программно-аппаратного комплекса для эмуляции уязвимостей система ДБО, а также рассмотрена возможность создания лабораторного стенда и последующее внедрение его в процесс обучения специалистов по направлению подготовки «Информационная безопасность».

Список литературы

1. Positive Technologies "Статистика уязвимостей систем дистанционного банковского обслуживания" // URL: http://www.ptsecurity.ru/download/Analitika_DBO.pdf

2. Денис Калемберг, Олег Плотников"Подводные камни безопасности ДБО: опыт реализации проекта" // Журнал "Information Security/ Информационная безопасность" #4, 2010

3. Positive Technologies "Типичные уязвимости систем ДБО" // URL: http://blog.phdays.ru/2012/08/blog-post.html

Код для цитирования: Скопировать