Системи Інтернет-банкінгу

Для автентифікації користувача використовуються різні механізми: парольний захист, авторизація по протоколу SSL/TLS і комбінований метод. Для захисту інформації та підтвердження авторства можуть бути залучені різні криптосистеми: «Крипто-Про CSP», «Верба-OW», «Crypton ArcMail», «Домен-К», а також зовнішні засоби захисту.

У процесі автентифікації, ім'я і пароль користувача повинні бути передані до додатка по протоколу HTTP.

При використанні форм введення і інших методів автентифікації, відмінних від інтегрованої, облікові дані вводяться на сторінці авторизації і передаються на сервер у відкритому, незахищеному вигляді. Для захисту переданої інформації необхідно використовувати протокол SSL, який при великій кількості запитів може впливати на продуктивність сервера.

Для захисту підсистеми автентифікації рекомендується:

- забезпечити засобами програми або засобами сервера додатків максимальну довжину, складність і випадковість значень сесійних ідентифікаторів. У Web-додатках рекомендується перевіряти відповідність ідентифікатора сесії і IP-адреси клієнта. Це затруднить зловмисника, в разі крадіжки ідентифікатора або отримання доступу до ресурсів законного клієнта;

- реалізувати механізм блокування облікового запису при перевищенні порогу неправильно введених паролів і можливо ідентифікаторів сесій;

- реалізувати механізм блокування ідентифікатора сесії при закінченні встановленого часу в тому випадку, коли аккаунт користувача не активний;

- виключити можливість прямого звернення неавторизованого користувача до захищених ресурсів за відомим URL. Доступ до захищених ресурсів повинен бути можливий тільки після проведення процедури автентифікації;

- забезпечити зберігання облікових даних користувачів в захищеному вигляді в БД. Зберігання облікових даних в HTML сторінках або файлах, що зберігаються на Web-сервері, і доступних користувачам за URL, повинно бути виключено;

- забезпечити авторизованому користувачеві можливість самостійного завершення сеансу роботи, при цьому додаток повинен видалити його ідентифікатор сесії і вважати даного клієнта неавторизованим;

- у випадку якщо додатком передбачається можливість внесення змін користувачем у власний профіль, при внесенні змін необхідно проводити додаткову процедуру автентифікації;

- сесія користувача повинна вважатися завершеною: при закінченні тимчасового не активного режиму користувача і при виході користувача із системи;

- сесійний ідентифікатор та cookie-файли не повинні містити паролі і будь-яку іншу інформацію, розкриття якої дозволить зловмисникові одержати в додатку повноваження законного користувача. У разі, якщо дана інформація повинна бути присутня, необхідно використовувати механізми шифрування даних.

2.1.2 SSL-протокол

Під протоколом розуміється алгоритм, який визначає порядок взаємодії учасників транзакції (власника карти, торгової точки, обслуговуючого банку, банку-емітента, центру сертифікації) та формати повідомлень, якими учасники транзакції обмінюються один з одним з метою забезпечення процесів авторизації і розрахунків.

У даний момент найбільш поширеним протоколом, використовуваним при побудові систем електронної комерції є протокол SSL.

SSL (англ. Secure Sockets Layer - рівень захищених сокетів) - це криптографічний протокол, який забезпечує встановлення безпечного з'єднання між клієнтом і сервером. Протокол був розроблений компанією Netscape Communications в 1994 році. Максимальна довжина ключа, використовуваного в даному протоколі, 128 біт, тобто існують 2128 можливих комбінацій "ключів", але лише один з цих ключів дозволяє отримати доступ до інформації.

SSL 2.0 - враховує два найбільш важливих аспекти захисту інформації в мережі: задачі автентифікації і шифрування.

Автентифікація необхідна для підтвердження того, що користувач і сервер саме ті, за кого себе видають. Для користувача це зазвичай означає лише введення свого ідентифікатора (логіна) і пароля. Однак автентифікація передбачає не просто ідентифікацію користувача на початку сеансу зв'язку. Інакше хакер зміг би перехопити по каналу зв'язку ці нехитрі процеси при підключенні терміналу і перехопити пароль та ідентифікатор користувача.

Для позбавлення від таких випадків використовується механізм шифрування на ходу і пароля, і ідентифікатора перед їх відправкою по мережі. З метою захисту будь-якого файлу, що, наприклад, завантажується з FTP-сервера, у SSL для цих цілей служить шифрування - а точніше, повне шифрування, яке дозволяє забезпечити безпеку практично всієї інформації, що передається між програмою перегляду, де використовується SSL, і сервером.

Протокол забезпечує конфіденційність обміну даними між клієнтом і сервером, що використовують TCP/IP, причому для шифрування використовується асиметричний алгоритм з відкритим ключем. При шифруванні з відкритим ключем використовується два ключі, причому будь-який з них може використовуватися для шифрування повідомлення. Якщо використовується один ключ для шифрування, то відповідно для розшифровки потрібно використовувати інший ключ. У такій ситуації можна отримувати захищені повідомлення, публікуючи відкритий ключ, і зберігаючи в таємниці секретний ключ.

Протокол SSL був прийнятий в якості стандарту, як і більшість стандартів в індустрії PC, скоріше в результаті загального визнання, ніж шляхом ретельної перевірки із залученням служб по стандартизації. Завдяки значній підтримці з боку винахідників і її частого визнання схема SSL стала лідируючою в галузі. Однак фірма Netscape вже зробила певні кроки для підкріплення публічного визнання цієї технології її сертифікацією в бюро стандартів. Вона подала на розгляд у комітет IETF (Internet Engineering Task Force) специфікацію SSL 3.0, як складову частину проекту Internet Draft, розраховуючи на її прийняття її в якості стандарту для Internet. Згодом на підставі протоколу SSL 3.0 був розроблений і прийнятий стандарт RFC, що отримав ім'я TLS.

Широке поширення протоколу SSL пояснюється в першу чергу тим, що він є складовою частиною всіх відомих браузерів і веб-серверів. Це, означає, що фактично будь-який власник карти, користуючись стандартними засобами доступу до Інтернету, отримує можливість провести транзакцію з використанням SSL. Інші достоїнства SSL - простота протоколу для розуміння всіх учасників транзакції і хороші операційні показники (швидкість реалізації транзакції). Протокол у процесі передачі даних використовує симетричні алгоритми шифрування, які на два порядки швидше асиметричних при тому ж рівні криптостійкості.

В першу чергу, протокол SSL дозволяє вирішити значну частину задачі по забезпеченню безпеки в системі Інтернет-банкінгу, проте його роль в основному обмежується забезпеченням шифрування даних, що передаються.

SSL надає канал, що має 3 основні властивості:

1. Автентифікація. Сервер завжди аутентифікується, в той час як клієнт аутентифікується в залежності від алгоритму.

2. Цілісність. Обмін повідомленнями включає в себе перевірку цілісності.

3. Приватність каналу. Шифрування використовується після встановлення з'єднання і використовується для всіх наступних повідомлень.

В якості прикладу, на рис. 2.1 зображена схема, що показує кроки, необхідні для встановлення захищеної сесії по протоколу SSL.



В процесі цієї процедури веб-браузер перевіряє, щоб:

- доменне ім'я в сертифікаті відповідало тому домену, від якого йде запит на захищене з'єднання;

- сертифікат не був прострочений;

- особа, яка підписала сертифікат домену, входила до числа довірених даного веб-браузера.

2.1.3 Електронно-цифровий підпис

Для ідентифікації достовірності інформації використовують відповідні технічні засоби. Зокрема, для прискорення документообігу між суб'єктами економічної діяльності, було запроваджено електронний цифровий підпис, за допомогою якого документи в електронній формі можуть набувати такої самої юридичної сили, що і документи на папері.

З січня 2004 року вступив у дію прийнятий парламентом Закон України «Про електронний цифровий підпис», в якому визначене поняття, сфера використання та юридична сила електронного цифрового підпису. Відповідно до нього: електронний цифровий підпис - вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується і дає змогу підтвердити його цілісність та ідентифікувати підписувача.

Електронний цифровий підпис може використовуватись юридичними та фізичними особами як аналог власноручного підпису для надання електронному документу юридичної сили. Юридична сила електронного документа, підписаного ЕЦП, еквівалентна юридичні силі документа на паперовому носієві, підписаного власноручним підписом правоздатної особи і скріплена печаткою. Приклад формування електронно-цифрового конверту приведений на рис. 2.2.



ЕЦП володіє всіма основними функціями особистого підпису:

- засвідчує те, що отриманий документ надійшов від особи, яка його підписала;

- гарантує цілісність та захист від спотворення/виправлення підписаного документу;

- не дає можливості особі, яка підписала документ, відмовитись від зобов'язань, що виникли в результаті підписання цього документу.

Для того, щоб підписати електронний документ, потрібен особистий ключ. Особистий ключ - це набір випадкової послідовності символів за певним криптографічним алгоритмом, за допомогою якого буде накладатися ЕЦП на створений електронний документ або на електронну операцію. Відкритий ключ - це ключ, який логічно пов'язаний з особистим ключем. За допомогою відкритого ключа перевіряється ЕЦП на електронному документі або електронній операції. Сертифікат відкритого ключа - електронний сертифікат, який видає центр сертифікації ключів, засвідчуючи, що відкритий ключ та логічно пов'язаний з ним особистий ключ належать конкретній особі. Приклад формування та використання ЕЦП приведений на рис. 2.3.



Технологія ЕЦП реалізована за наступною схемою: якщо особою створено електронний документ і підписано її власним ЕЦП, і при цьому будь-яка інша особа змінить хоча б один символ в цьому документі, ЕЦП автоматично видалиться. Законом України «Про електронний цифровий підпис» встановлено, що ЕЦП прирівнюється до власноручного підпису у разі, якщо сертифікат відкритого ключа, який видав центр сертифікації ключів, має позначку "посилений". Також слід зазначити, що відповідно до Закону лише акредитовані центри сертифікації ключів мають право формувати та видавати посилені сертифікати відкритого ключа, а також для накладання ЕЦП повинні використовувати надійні засоби ЕЦП.

Безпека використання ЕЦП забезпечується тим, що засоби, які використовуються для роботи з ЕЦП, проходять експертизу і сертифікацію в Департаменті спеціальних телекомунікаційних систем СБУ, яка гарантує неможливість злому та підробки ЕЦП.

2.2 Система захисту Інтернет-банкінгу від Приватбанку

Приват Банк ще з 2002 року запропонував комплекс банківських послуг нового покоління управління банківськими рахунками та отримання інформації про їх стан через Інтернет, яка отримала назву Приват24. Ставши користувачем Приват24, клієнт дістає можливість скористатися "робочим місцем клієнта", які організовані в рамках програми "Бізнес без меж" в багатьох відділеннях банку на території всієї України.

Аналізуючи систему захисту Інтернет-банкінгу від Приват Банку можна визначити певні особливості. По-перше, для входу в систему від клієнта вимагається введення його ідентифікаційних даних - логіна і пароля. Можливість перехоплення конфіденційної інформації під час її передачі від клієнта в систему запобігається шифруванням даних, що пересилаються.

Для передачі логіна, пароля і взагалі всіх даних користувача використовується протокол SSL з 128-бітовим ключем (сильна криптографія). Завдяки серверам, що підтримують цей протокол, сертифікатам SSL, користувач, що завантажує сайт, може бути упевнений як мінімум в трьох речах:

1. встановлення достовірності: сайт дійсно належить компанії, яка встановила свідоцтво.

2. секретність повідомлення: використовуючи унікальний "ключ сесії", SSL зашифрує всю інформацію, якою обмінюються сайт і його клієнти (наприклад, номер кредитної картки або персональні реєстраційні дані). Це гарантує, що передаванні серверу дані не можуть бути проглянуто або перехоплені сторонніми особами.

3. цілісність повідомлення: дані, передаванні за допомогою цього протоколу, не можуть бути частково втраченими або заміненими третіми особами.

Другий і найбільш істотний момент полягає в тому, що при здійсненні будь-якої фінансової транзакції система повинна переконатися, що всі розпорядження проводяться зареєстрованим клієнтом. Для цього вся інформація, що передається "підписується" клієнтом електронно-цифровим підписом. Саме по цьому "підпису" система ідентифікує користувача і дозволяє зробити необхідну операцію.

Для реєстрації в Приват24, входу в систему і підтвердження проведення платежів в кошику використовуються одноразові паролі, які приходять на зареєстрований мобільний номер користувача Приват24. Це не тільки зручно, але й безпечно.

Для входу в систему електронних платежів Приват24 необхідно ввести логін (номер стільникового телефону) і пароль, а потім клацнути на кнопці "Увійти". Приклад даного вікна зображено на рис. 2.4.



У результаті буде створено SMS запит на отримання динамічного пароля (8-мизначного числа), який повинен прийти по SMS на мобільний телефон клієнта. Динамічний пароль є одноразовим і він є активним (дійсним) протягом 30 хвилин. Для наступного входу в систему необхідно отримати новий динамічний пароль. Така технологія забезпечує захист пароля і можливість входити в систему електронних платежів з будь-якого (чужого) комп'ютера, підключеного до Інтернет.

Після введення в форму динамічного пароля, отриманого по SMS, як показано на рис. 2.5, потрібно клацнути кнопку «Увійти».



Після чого відкриється обліковий запис клієнта з безліччю вкладок.

До найважливіших засобів захисту системи слід віднести:

- відкритий і секретний ключі клієнта складають унікальну пару і перевіряються при вході в систему і в момент підпису кожного документа;

- секретний ключ створюється самим клієнтом в процесі реєстрації, зберігається на носії інформації, і не передається по каналах зв'язку, що повністю виключає можливість його "підслуховування";

- секретний ключ закритий на особистий пароль клієнта і має довжину, що виключає можливість його "підбору".

Приват Банк повідомляє на своїй веб-сторінці про наявність Інтернет-сайтів, які підозрюються в незаконному зборі інформації про реквізити платіжних карт клієнтів різних банків з метою їх подальшого несанкціонованого використання.

Несанкціоновані інтернет-трансакції, інформація про які надійшла від банків - емітентів платіжних карток, були проведені після реєстрації на веб-сайтах:

- http://ukrautosurfer.110mb.com/,

- http://serfing.110mb. com/,

- www.freelotto.com,

- http://userf.110mb.com/.

Вказівка на ці веб-ресурси розміщена на багатьох сайтах мережі Інтернет, у тому числі на тих, які пропонують роботу, участь у різноманітних акціях з виплатою бонусної нагороди тощо. Банк акцентує увагу на тому, що неприйнятним є розголошення інформації про реквізити платіжних карток (номер, термін дії, номери CVV2/CVC2) третім особам, у мережі Інтернет, на сумнівних сайтах.

Також у процесі роботи з системою Приват24 було встановлено, що для додаткового захисту системою встановлений таймер на сеанс роботи у вікні, який становить 19 хвилин 49 секунд, тобто якщо за цей час не проходить ніяких операцій, і клієнт не працює з особистим рахунком, то система налаштована автоматично виходити з сторінки клієнта. Додатковою послугою є те, що фіксується кожна спроба входу і всі дії, що виконуються користувачем. Передбачена функція моніторингу рахунку. Як тільки починається певний рух на рахунку клієнта, система автоматично відсилає повідомлення на мобільний телефон, або електронну почту - на вибір клієнта, що надає змогу контролювати рахунок.

2.3 Система захисту Інтернет-банкінгу від Укрексімбанку

Система Інтернет-банкінгу, якою можуть користуватися клієнти від Укрексімбанку отримала назву «Фінансовий портал».

Для захисту каналу зв'язку Укрексімбанк використовує промисловий стандарт SSL_шифрування із стійкою криптографією (довжина ключа 256 біт).SSL_сертифікат банку завірено міжнародним сертифікаційним агентством Thawte Consulting, що є довіреним за замовчуванням у браузерах Internet Explorer.

Банк пропонує на вибір два пристрої захисту:

1. Генератор одноразових паролів (рис. 2.6).

Виробник генератора - фірма Vasco.

Габарити пристрою:

- довжина - 6,3 см,

- ширина - 3,1 см,

- висота - 1,2 см.

Генератор не потрібно підключати до комп'ютера, він не вимагає установки драйвера.



2. Захищений носій особистого ключа для електронно-цифрового підпису - це спеціальний носій інформації, захищений від копіювання у вигляді USB флеш-карти. Використовується для підпису платіжних доручень без обмежень за сумою та кількістю платежів. Приклади такого носія зображені у табл. 2.1.



Система «Фінансовий портал» належить до класу систем захищеного електронного документообігу і використовується при роботі через мережу Інтернет. Обмін електронними документами відбувається безпосередньо між банком і клієнтом. Електронний документ, надісланий клієнтом і отриманий банком, відповідно до договору є підставою для здійснення фінансових операцій.

Для забезпечення безпеки роботи в системі «Фінансовий портал» використовуються:

1. Шифрування даних - для забезпечення конфіденційності переданої інформації. Всі електронні документи передаються в зашифрованому вигляді. Шифрування даних здійснюється на сесійних ключах по протоколу SSL.

2. Механізм електронного цифрового підпису (ЕЦП) - для забезпечення автентичності (доказ авторства) і цілісності документа в системі «Фінансовий портал». Саме електронний документ з ЕЦП є доказовою базою при вирішенні конфліктної ситуації. У системі реалізовані алгоритми ЕЦП - RSA ключем.

3. Механізм двофакторної автентифікації - для забезпечення суворої автентифікації клієнта при роботі з системою «Фінансовий портал». Для автентифікації можуть використовуватися такі пристрої: генератор одноразових паролів (Vasco) та захищений носій персонального ключа для електронно-цифрового підпису (iKey або MiniKey).

Дозволи:

- міжнародний сертифікат PCI DSS Compliance 01.12.2010;

- міжнародний сертифікат PCI DSS Compliance 01.12.2009;

- висновок ДСТСЗІ;

- ліцензія ДСТСЗІ.

Укрексімбанк на своїй веб-сторінці повідомляє клієнтів про те, що слід уважно ставитися до підозрілих повідомлень, які можуть надійти на мобільний телефон або поштову скриньку від третіх осіб нібито від імені Укрексімбанку. Відповідно до існуючих сервісів SMS-інформування та e-mail-інформування банк може надсилати повідомлення різного змісту, але ні в якому разі інформація не буде містити: електронні адреси третіх осіб; запит щодо введення номера платіжної картки, строку її дії, CVV2, PIN-коду; запит щодо заміни логіна чи пароля в системі Інтернетбанкінгу.

2.4 Система захисту Інтернет-банкінгу від Укрсоцбанку

Не завжди банку більш доцільно створювати систему дистанційного обслуговування самостійно, а краще скористатися готовим технічним рішенням від компанії-розробника банківського програмного забезпечення, яка вже встигла зарекомендувати себе на ринку. Основними системами такого типу стали:

- InterBank (R-Style Softlab),

- «ДБО BS-Client» (Bank's Soft Systems),

- iBank 2 (БІФІТ),

- Банк-Клієнт/Інтернет (ІНІСТ),

- «Телебанк» (СТЕП АП).

На рис. 2.7 представлена діаграма, що показує частку використання банками систем захисту Інтернет-банкінга від різних сторонніх розробників.



Компанія «БІФІТ» впровадила систему електронного банкінгу «iBank 2» і в Укрсоцбанку.

Для надання послуг електронного банкінгу через Інтернет в модулях Інтернет-банкінг використовується:

- шифрування даних - для забезпечення конфіденційності переданої через Інтернет інформації;

- електронний цифровий підпис (ЕЦП) під електронними документами - для забезпечення цілісності і аутентичності (доказ авторства) інформації;

- механізм суворої криптографічної автентифікації сторін при захищеній взаємодії через Інтернет.

Для криптографічного захисту інформації в систему «iBank 2 UA» вбудована сертифікована ДСТСЗІ СБУ платформо незалежна java-крипто бібліотека «Стандарт-Ява».

Для забезпечення криптографічного захисту інформації в систему «iBank 2 UA» вбудовані:

- крипто-бібліотека «Гепард 1.0», розроблена компанією «БІФІТ» і має експертний висновок ДССЗЗІ України № 5/1-3511 від 11.12.2008;

- крипто-бібліотека «Стандарт-Ява», розроблена компанією НВЦ «БІТіС» і має сертифікат відповідності № UA 1.112.0135242-06.

Крипто бібліотека «Гепард 1.0» має високу продуктивність, розрахована на використання в умовах великих навантажень на сервер і представлена двома реалізаціями - ANSI C і Java. Варіанти виконання ANSI C реалізації отримані для всіх сучасних програмно-апаратних платформ.

Java-крипто-бібліотека «Стандарт-Ява» вбудована і поширюється у складі iBank 2 UA на підставі Договору №1 від 20 січня 2003р. між компаніями «БІФІТ» і НВЦ «БІТіС».

Для забезпечення аутентичності і цілісності документа в системі Інтернет-банкінгу використовується механізм електронного цифрового підпису (ЕЦП) під електронними документами.

У системі реалізовані алгоритми відповідно до ГОСТ 34.310-95 (ЕЦП) та ГОСТ 34.311-95 (хеш-функція).

Для забезпечення конфіденційності в системі "Інтернет-Клієнт-Банк" використовується механізм шифрування даних. Шифрування даних здійснюється на сесійних ключах відповідно до «ГОСТ 28147-89 Системи обробки інформації. Криптографічний захист. Алгоритм криптографічного перетворення» у режимі гамування.

В якості радикального захисту секретних ключів ЕЦП клієнтів, банк провів впровадження нового функціоналу заснованого на використанні апаратного крипто-провайдера у вигляді смарт-карти "Персональна картка доступу" компанії ТОВ "Автор" (рис 2.8).



На вхід персонального апаратного крипто-провайдера передається електронний документ (наприклад, платіжне доручення), а на виході пристрою - ЕЦП під даним документом. При цьому доступ до всіх криптографічним функцій пристрою надається тільки після введення коректного пароля.

Головною перевагою смарт-картки «Персональна картка доступу" є те, що таємний ключ ЕЦП генерується смарт-картою при ініціалізації, зберігається в захищеній пам'яті смарт-карти і ніколи, ніким і ні за яких умов не може бути зчитаним з смарт-карти. Використання персональних апаратних крипто-провайдерів в системі "Інтернет-Клієнт-Банк" забезпечує гарантований захист секретних ключів ЕЦП клієнтів від розкрадань шкідливими програмами.

Також аналізуючи систему захисту необхідно виділити, що в якості альтернативних заходів по досягненню прийнятного рівня безпеки роботи в системі "Інтернет-Клієнт-Банк", банк провів впровадження нового функціоналу - розширеної автентифікації.

Розширена автентифікація корпоративних клієнтів реалізована з використанням клієнтами одноразових паролів. Клієнтам з увімкненою настройкою «Розширена автентифікація» для входу в АРМ «Інтернет-Банкінг» необхідно додатково вводити в своїх АРМах одноразовий пароль, згенерований на боці банку й надісланий у вигляді SMS повідомлення на телефон клієнта. Зловмисники, які викрали секретні ключі ЕЦП клієнта, не зможуть без одноразового пароля підключитися і направити в банк за системою «Інтернет-Клієнт-Банк »платіжні доручення з коректними ЕЦП клієнта. Одноразовий пароль використовується тільки в процедурі автентифікації клієнта при вході в АРМ «Інтернет-Банкінг» і не бере участі в процедурі підтвердження електронних документів клієнта. У той же час не пройшовши процедуру розширеної автентифікації з використанням одноразового пароля, зловмисник не зможе передати в банк платіжне доручення з коректними ЕЦП клієнта. Одноразовий пароль не захищає секретні ключі ЕЦП клієнта, не бере участь у процедурі підтвердження електронних документів клієнта, але реально не дозволяє зловмисникові скористатися раніше викраденим у клієнта секретним ключем ЕЦП для відправки в банк за системою «Інтернет-Клієнт-Банк» платіжних доручень від імені клієнта.

Також банк звертає увагу клієнта, що необхідно перевіряти наявність індикатора сайту банку, що зображений на рис. 2.9. Безпечний обмін даними через цей сайт гарантований сертифікатом THAWTE.

Служба Безпеки банку повідомляє про виявлення шкідливих програм, за допомогою яких шахраї намагаються роздобути секретні дані клієнта (у тому числі і ключі і паролі системи «Інтернет-Клієнт-Банк»). На сайті банку наведені приклади найпоширеніших попереджень шкідливих програм. Якщо при роботі з системою «Інтернет-Клієнт-Банк» клієнт побачив одне з таких вікон (рис.2.10, рис. 2.11), то комп'ютер інфікований і піддався атаці троянської програми.

2.5 Результати аналізу сучасних систем Інтернет-банкінгу

Узагальнюючи технології встановлення безпеки у сучасних системах Інтернет-банкінгу, можна зробити висновок, що на даному етапі найбільш розповсюдженими є такі методи захисту:

- шифрування даних за допомогою SSL-протоколу;

- використання заплутаної і перехресної системи логінів та паролів (постійна їх зміна);

- використання віртуальної клавіатури в системах Інтернет-банкінгу;

- використання електронно-цифрового підпису, що підтверджує особистість власника рахунку. Проте ця технологія суперечить методології анонімності в ряді платіжних систем;

- використання одноразових паролів для підтвердження фінансових операцій.

Проте проблема перехоплення конфіденційних даних клієнтів банку є ще досить актуальним питанням. В першу чергу шахрайства здійснюються з метою отримання ідентифікаційних даних людини, тобто логіна та пароля. Розглянемо більш детально методи захисту саме цієї інформації.

2.6 Одноразові паролі

Посилення захисту за допомогою одноразових паролів, які ще називають сеансовими ключами або змінними кодами - більш ускладнює атаку.

Стандартна техніка атаки в даному випадку ідентична атаці на eToken PRO: троян перехоплює черговий змінний код, введений користувачем, відображає повідомлення про помилку і використовує отриманий код для проведення нелегальної транзакції.

Розглянемо не тільки сам механізм автентифікації за допомогою змінних паролів, який достатньо надійний, а всю схему здійснення відправки одноразового коду по SMS. Саме такий погляд на SMS-банкінг дозволить виявити його слабкі місця і зрозуміти що мало впровадити рішення, а потрібно ще й продумати безліч аспектів забезпечення безпеки. В якості прикладу розглянемо схему, зображену на рис. 2.12.



Перший елемент - це банк, який відправляє SMS-повідомлення своєму клієнту. Він може це робити напряму через підключених до нього операторів зв'язку (для банків з великим потоком SMS-повідомлень), або через спеціалізованого оператора SMS-послуг. Загрози на даному рівні очевидні - персонал банку, що може здійснювати несанкціоновані дії.

Другий і третій елементи даної схеми - це оператор мобільного зв'язку і оператор SMS-послуг. Якщо на ділянці від банку до оператора одноразовий пароль захищений, то в SMS-центрі інформація зберігається у відкритому вигляді протягом невеликого інтервалу часу (зазвичай 3-7 днів максимум). Як відомо найбільш уразливим ланкою в будь-якій системі безпеки є людина, а саме персонал структури, який здійснює несанкціоновані дії, або впроваджує в банківський додаток шкідливе програмне забезпечення. Вважати цю загрозу неактуальною тільки з тієї причини, що таких фактів відомо не багато - нерозумно. Як мінімум з тієї причини, що аналогічні інциденти в російській банківській практиці вже були.

Іншим прикладом SMS-перехоплювача є установка спеціальної програми на сам телефон клієнта банку. Приклад такої програми існує у компанії IntelSpy. Непомітно встановлена програма копіює всі вхідні або відправлені SMS-повідомлення та передає по GPRS на спеціальний сервер, до якого і підключається користувач IntelSpy. Інший приклад аналогічної програми називається Mobcontrol. Дана загроза цілком реальна, але скористатися перехопленими SMS можна й не встигнути.

Якщо ж SMS-повідомлення зашифровані, то і в цьому випадку є рішення для шахраїв. Алгоритм A5/1, який використовується в GSM-мережах, вже давно не є стійким до криптоаналізу, про що експерти говорили дуже давно.

І ось 29-го грудня 2009-го року в «Нью-Йорк Таймс» була опублікована замітка про те, що німецький криптолог Карстен Нол на 26-й конференції Chaos Communications Congress продемонстрував злом алгоритму A5/1. Якщо раніше на злом йшло кілька тижнів, то К. Нол показав, як зменшити цей інтервал до декількох годин (модернізувавши метод Нола німецька група хакерів Chaos Computer Club обіцяла найближчим часом опублікувати методику розшифровки мобільних переговорів та SMS в реальному режимі часу). Рекомендації експертів перейти на алгоритм A5/3 часто викликають відторгнення у Асоціації GSM у зв'язку з високою вартості переходу на нього. Та й по стійкості і цього алгоритму в січні цього року було завдано удару.

Три дослідника:

- Орр Данкельман,

- Натан Келлер,

- Аді Шамір

(літера S в абревіатурі алгоритму RSA пов'язана з прізвищем саме Шаміра), опуб-лікували доповідь, що демонструє метод атаки на A5/3. У ході експерименту час дешифрування зайняло менше 2-х годин.

Всі перераховані вище загрози достатньо цікаві, але необхідно враховувати, що термін життя одноразового коду складає 10-15 секунд. За цей час зловмисники повинні його перехопити, розшифрувати (або дешифрувати) і використовувати при доступі до Інтернет-банку жертви.

Це дуже невеликий інтервал часу. Але є ще один елемент у даній схемі, який не «підвладний» банку та оператору мобільного зв'язку і при цьому доступ до нього може звести весь захист «нанівець». Це мобільний телефон, який одержує короткі повідомлення з одноразовими кодами. Зловмисник може піти трьома шляхами - клонувати телефон або його вкрасти. Існують приклади підміни реквізитів переказу коштів саме в момент натискання користувачем кнопки «Оплатити». Так, наприклад, діє троянець URLzone.

Вище розглянуті елементи, які беруть участь у передачі одноразових кодів від банку до його клієнта. І на кожній з ділянок є прогалини в безпеці. Десь це малоймовірні загрози, а десь - навпаки. Принаймні, приклади шахрайства такого типу вже відомі, у Альфа-банку, а отже банки повинні більш приділити увагу безпеці зі своєї сторони.

2.7 Віртуальна клавіатура

Далеко не кожен антивірус здатний впоратися з програмами для перехоплення конфіденційних даних. Тому при виборі системи Інтернет- банкінгу варто звернути увагу на можливість використання віртуальної клавіатури, при роботі на сайті системи он-лайн-банкінгу. Суть роботи таких клавіатур зрозуміла - вона захищає від спеціальних програм, які перехоплють введення з клавіатури даних (клавіатурних шпигунів), які можуть бути встановлені на комп'ютерах, з яких користувачі підключаються до Інтернет-банку.

Віртуальна клавіатура призначена для захисту пароля від шкідливих "шпигунських" і "троянських програм". Використання віртуальної клавіатури дозволить знизити ризик крадіжки пароля.

Будь-яке, навіть найскладніше шифрування - марна річ, якщо хтось стежить за вашими діями в той час, коли ви друкуєте. Саме це і роблять клавіатурні шпигуни (кейлоггери) - записують кожне натискання клавіші, і передають його тим людям, які можуть використовувати отриману інформацію проти вас - порушивши конфіденційність, діставшись до ваших фінансів.

Клавіатурні шпигуни - шкідливі програми, спеціально розроблені для крадіжки конфіденційних даних, які ви вводите, використовуючи Інтернет, щоб робити покупки он-лайн, займатися електронною комерцією, проводити банківські операції, перевіряти листи електронної пошти і т.д. Атаки клавіатурних шпигунів стають все більш складними, з'являються нові методи моніторингу і шпигунства за клавіатурою.

Одним з прикладів такої програми є Trojan-Banker.Win32.Banker.z, також відомий як:

- Trojan: Keylog-Stawin.gen (McAfee);

- Troj/Banker-Fam (Sophos);

- Trojan.Spy.Banker-4220 (ClamAV);

- W32/Heuristic-119!Eldorado (FPROT);

- TrojanSpy:Win32/Banker.Z (MS(OneCare));

- Trojan.PWS.Banker.4595 (DrWeb);

- Win32/Spy.Banker.Z trojan (Nod32);

- Trojan.Generic.480299 (BitDef7);

- Win32:Banker-BGO [Trj] (AVAST);

- Trojan-Spy.Win32.Banker.AE (Ikarus);

- PSW.Bancos.8.Y (AVG);

- (PCK/Dumped) (AVIRA);

- Infostealer.Tarno.D (NAV);

- Trojan.Spy.Banker.cnc (Rising).

Шкідлива програма, призначена для крадіжки інформації користувача, що відноситься до банківських систем, систем електронних грошей та пластикових карток. Знайдена інформація передається зловмисникові.

Для передачі даних «хазяїну» можуть бути використані електронна пошта, FTP, HTTP (за допомогою вказівки даних у запиті) та інші способи:

- Prednaznachen dlya krazhi razlichnoi? konfidentsial?noi? informatsii;

- Perehvatyvaet vvod simvolov s klaviatury;

- Yavlyaet·sya prilozheniem Windows (PE-EXE fai?l);

- Imyeet razmer 5184 bai?ta;

- Upakovan s pomoshch?yu FSG;

- Raspakovannyi? razmer -- okolo 150 KB.

Перевід: руський > український:

- призначений для крадіжки різної конфіденційної інформації;

- перехоплює введення символів з клавіатури;

- є додатком Windows (PE-EXE файл);

- має розмір 5184 байтів;

- упакований за допомогою FSG;

- розпакований розмір - близько 150 КБ.

Зібрану інформацію з клавіатурним введенням користувача троянець зберігає в текстовому файлі (% WinDir% \ krk.txt) і відправляє на електронну пошту зловмисникові.

Перехоплення даних шпигунським ПЗ можливий двома способами:

- шляхом реєстрації всіх натискань клавіш, що вводяться з звичайної клавіатури;

- шляхом зняття скріншотів тієї ділянки віртуальної клавіатури, на якому у цей момент вводяться дані.

Найбільш поширеним на даний момент є спосіб зняття миттєвих знімків екрану (скріншотів).

У запропонованій магістерській роботі розглянуто більш детально метод шифрування віртуальної клавіатури. Ця інформація наведена у наступному розділі роботи.

Размещено на Allbest.ru