Токен - новое слово в обеспечении безопасности денежных средств

Андрей Ерин,
начальник отдела информационной безопасности Банка24.ру

В последнее время в российской и зарубежной практике все чаще встречаются случаи, связанные с различными видами мошенничества в целях хищения денег со счетов клиентов российских Интернет-банков.

Мошенники действуют по уже накатанной схеме: заражается компьютер клиента банка, с помощью специальной вредоносной программы воруется секретный ключ электронной цифровой подписи (ЭЦП), перехватываются пароли, и дело остается только во времени, когда у мошенника дойдут руки до очередной жертвы.

Сначала схематично рассмотрим, что такое ЭЦП, как происходит заражение компьютеров вредоносными программами, и остановимся на токенах - техническом решении, позволяющем полностью избавиться от воровства секретного ключа ЭЦП.

ЭЦП в России

Самым современным методом формирования ЭЦП является алгоритм на основе эллиптических кривых, определенный  ГОСТ Р 34.10-2001. Электронная цифровая подпись представляет собой число определенной длины, которое вычисляется с помощью содержимого подписываемой информации и секретного ключа.

Секретный ключ ЭЦП также является числом заданной длины, выбирается оно с помощью генератора случайной величины. Это и есть тот самый уникальный компонент, знание которого дает возможность подделать ЭЦП его владельца. Секретный ключ потому и называется секретным, что пользователь должен хранить его таким образом, чтобы никто другой не смог узнать его значение.

Для формирования ЭЦП фиксированной длины берется не само сообщение, а его хэш (число, вычисленное на основе содержания текста). Российский стандарт ГОСТ Р 34.11-94 вычисляет из текста любого размера хэш-значение размером 32 байта. Наиболее распространенные зарубежные стандарты вычисляют хэши размером до 20 байт, что дает более низкую криптостойкость по сравнению  с  отечественным  стандартом. Далее хэш шифруется с помощью секретного ключа (во всем мире самым криптостойким считается отечественный стандарт шифрования ГОСТ 28147-89) и вместе с сообщением отправляется получателю. После этого получатель открытым ключом расшифровывает полученный хэш и сравнивает его с вычисленным самостоятельно хэшем полученного сообщения. Если они совпали, то подпись считается верной.

Троян - это специальная вредоносная программа, написанная злоумышленниками с целью нанести ущерб зараженному компьютеру. Существует несколько способов установки трояна на компьютер жертвы, например через установку "полезных" программ, скачиваемых пользователями из Интернета, или через ссылки в письмах. Нажимая на непроверенную ссылку, пользователь автоматически дает согласие: "Да, я согласен на установку вашей вредоносной программы". Еще один распространенный способ заражения трояном ПК - путешествие в сети по незнакомым сайтам.

Похитители паролей

По статистике, одна из наиболее серьезных проблем обеспечения информационной безопасности - низкая осведомленность пользователей в ИТ. Во всех известных случаях для похищения секретных ключей и паролей к ним использовались программы класса "троянский конь", или трояны, к которым также относятся "похитители паролей" и "клавиатурные шпионы".

Что касается антивирусов, то, во-первых, на тех компьютерах, которые специалисты Банка24.ру изучили в ходе расследования    инцидентов кражи, антивируса вообще не было или он не обновлялся несколько лет. Во-вторых, если вирус-загрузчик трояна "свеженький" или вообще написан специально для вас, то ни один традиционный антивирус его не определит. Есть специализированные утилиты, идентифицирующие вредоносные программы по косвенным признакам их активных действий, но они требуют квалифицированной ручной работы, к тому же такая идентификация проходит постфактум, когда троян уже сработал и, возможно, украл все, что надо.

СУИБ ISO 27001:2005 как инструмент быстрого реагирования

В целях обеспечения системного управления рисками в Банке24.ру (впервые в России в финансовой сфере) была внедрена и успешно функционирует система управления информационной безопасностью (СУИБ), сертифицированная на соответствие международному стандарту ISO 27001:2005. Эта система, несмотря на ресурсоемкость при внедрении, способствует отслеживанию информационных рисков и оперативному реагированию на наиболее критичные из них. Теперь клиенты могут быть уверены, что информационная безопасность в Банке24.ру обеспечивается системно и бесперебойно. Ярким примером моментального реагирования на инциденты информационной безопасности служит предотвращение воровства денежных средств со счетов клиентов Банка при помощи украденных у них секретных ключей ЭЦП.

В Банке был зафиксирован один случай обращения клиента с заявлением о пропаже денежных средств со счета. Несмотря на то что случай был единичным и неоспоримо произошел по вине клиента (на его ПК были найдены десятки различных вирусных программ), он был зафиксирован и определен как риск с низкой критичностью, но влияющий на репутацию Банка. После получения информации от правоохранительных органов о массовых подобных инцидентах в масштабах всей России идентифицированный риск по своей критичности поднялся в перечне рисков в зону немедленного реагирования.

В соответствии с процедурами СУИБ в Банке24.ру были предприняты меры смягчения критичного риска. В качестве быстрой меры в течение суток была включена фильтрация групп адресов, с которых злоумышленники отправляли  подложные  платежки, подписанные ворованными ключами. Но для реализации этих мер понадобился огромный ручной труд по взаимодействию с клиентами, адреса которых попали в группу фильтрации, соответственно указанные операции замедлились до суток. К тому же мошенники стали менять свои адреса, и на ручную фильтрацию попадало все больше и больше клиентов.

Микрокомпьютер

В качестве более долгосрочной, но гораздо более эффективной меры по смягчению подобного риска был выбран рекомендованный разработчиком Интернет-банка микрокомпьютер токен.

В мировой практике микрокомпьютеры под названием токены используются для защиты ЭЦП давно и успешно. Защитная функция токена в том, что секретный ключ определяется генератором случайной величины внутри устройства и не покидает его никогда, а весь процесс подписи документа осуществляется    процессором   токена.

Главная особенность отечественных токенов, применяемых в банке, в том, что все рассмотренные выше криптографические вычисления проводятся в соответствии с российскими стандартами ГОСТ и токен имеет лицензию ФСБ.

После внедрения в Банке24.ру СУИБ появилась возможность оперативно реагировать на все инциденты информационной безопасности. Через неделю после принятия решения о внедрении токенов банк уже тестировал первые токены на обновленном Интернет-банке. Еще через неделю Банк24.ру предоставил клиентам услугу защиты секретного ключа ЭЦП с помощью токенов российской разработки. Сегодня все клиенты, открывающие расчетные счета в Бан-ке24.ру, имеют возможность получить токены для более надежной защиты своих денежных средств.