Анализ уязвимости банк-клиента

За последнее время многое написали об уязвимостях интернет-банков и банкоматов. Я решил добавить свои пять копеек и проанализировать банк-клиент достаточно известной фирмы на тему получения доступа к счету сторонними лицами.

Итак. Клиентская часть состоит из следующих элементов:

1. Непосредственно клиентская программа;
2. Система криптозащиты (СКЗИ);
3. Почтовая система.

Для того, чтобы получить доступ к счету, необходимо следующее:

1. Дистрибутив системы, включая СКЗИ и почтовый модуль. При большом желании это не проблема.

2. Реквизиты фирмы, к счетам которой нужно получить доступ. Тут тоже ничего сложного, а в случае массового хищения, то и вовсе не обязательо.

3. Идентификатор фирмы в банковской системе.

4. Почтовый адрес в системе, а так же конфигурационный файл для почтового модуля.

5. Ключи для СКЗИ.

Разберем подробнее

Вся информация о реквизитах организаций и идентификаторы в банковской системе хранятся в файле БД. Если нет желания копаться с форматом файла, можно забрать файл целиком — в дистрибутив программы входит утилита для их просмотра.

Почтовый адрес можно узнать из конфигурационного файла почтового модуля. Он хранится там в незашифрованном виде. Конфигурационный файл для почтовой системы лежит как правило в папке почтового модуля и имеет определенный формат имени.

Самое сложное — ключи к СКЗИ. Как правило они находятся на внешнем источнике (Флешка, дискета и т.д) и используются только в момент работы самой системы. Путь, по которому клиентская программа ищет ключи, прописан в ее файле конфигурации открытым текстом. При этом некоторые клиенты умудряются скидывать ключи на жесткий диск, хранить их на постоянно вставленных флешках, SD-картах или дискетах. Но даже если носитель с ключами присутствует только в момент работы с ситемой, то, как мне кажется, нет ничего сложного отследить запуск программы и обратиться по указанному в конфигурации пути для копирования ключей.

Таким образом, не составляет сложности написать программу, которая находясь на компьютере с ситемой сможет собрать все данные и отправить их в нужном направлении. Далее злоумышленник просто разворачивает у себя копию системы, используя все полученные данные и вуаля. Теоретически, написав подобие вируса или червя, можно попытаться внедрить его на неограниченное число компьютеров. В случае обнаружения банк-клиента червь сам будет копировать нужные данные и отправлять их. Дальше классика жанра: во второй половине дня пятницы по всем организациям формируются платежки на нужные суммы и рассылаются в банки. Практика показывает, что во второй половине дня пятницы многие работают на автопилоте, мало кто проверяет выписки по счету, и к моменту утра понедельника, когда все всплывет, злоумышленник уже может иметь на счету круглую сумму.

В комментариях к статье «Атака на банк-клиент или Охота на миллион» интересовались, что делать дальше, ведь по платежкам можно отследить счет, куда направлялись деньги. Опишу один из способов, с которым я столкнулся буквально месяц назад.

Мне в почтовый ящик (который в подъезде висит) с завидной релярностью приходил спам с предложением получить кредитную карту от одного желтого банка. Я решил попробовать, оставил заявку с паспортными данными и адресами прописки и проживания. Через неделю пришло письмо с картой, обратным конвертом и заявлением. Все что мне было нужно, подписать заявление, вложить его в конверт вместе с ксерокопией паспорта и отправить. Через неделю пришла смс, о том, что данные получены и все что мне осталось — позвонить по номеру и получить пин-код.

На почте теоретически требуют паспорт для получения заказного письма, но в конкретном моем случае хватило заполненной квитанции. К тому же карту прислали по фактическому адресу, а не по адресу прописки, что облегчает задачу получения карты.

Таким образом, имея на руках чужой паспорт или ксерокопию можно заполучить карту на левого человека. На нее и можно переводить украденные деньги. Ну а чтобы снять их, достаточно пройтись по любой улице ночью, закутанным в шарф и обналичить деньги в любом встречном банкомате.

Таким образом видно, что сочетание человеческого фактора и раздолбайства может оказать неоценимую помощь в деле избавления от честно заработанных денег.

Попробуем теперь сделать выводы из всего этого.
Большинство фирм, в которых мне доводилось побывать, относятся к безопасности мягко говоря никак. Носители с ключами постоянно вставлены, компьютеры постоянно подключены к интернету, антивирусы с базами, устаревшими на пару месяцев, а то и больше. В 70% организаций нет штатных айтишников.

В случае конкретной системы банк-клиента можно соблюсти 3 простых правила, серьезно снижающих риск кражи данных системы:

1. Не использовать установки по умолчанию. Для почтового модуля, например, можно указать папку для хранения файла конфигурации.

2. Использовать для банк-клиента выделенный компьютер (физический или виртуальный), не имеющий постоянного доступа в интернет, блокирование для этого компьютера всех портов, кроме необходимых для работы банк-клиента.

3. Храниение ключей в защищенном месте, использование их только в момент подписи документов.

Спасибо за внимание и помните, безопасности не бывает мало!


0 комментариев

Только зарегистрированные и авторизованные пользователи могут оставлять комментарии.