Мудрый Экономист

Риски воздействия ddos-атак в условиях интернет-банкинга

"Расчеты и операционная работа в коммерческом банке", 2012, N 1

Наиболее востребованным способом осуществления операций у клиентов ДБО являются системы интернет-банкинга, которые позволяют управлять банковскими счетами через Интернет в онлайн-режиме. Сотрудникам банка необходимо знать основные угрозы информационной безопасности при расчетах с использованием систем интернет-банкинга, а также причины возникновения и характерные свойства DDoS-атак. И конечно же, не будет лишним понимание технологий поведения киберпреступников и наличие мер защиты от DDoS-атак <1>.

<1> Настоящая статья выражает исключительно мнение авторов и не отражает позицию Банка России.

В силу своих очевидных преимуществ системы дистанционного банковского обслуживания стали широко применяться в российских кредитных организациях. К их основным достоинствам можно отнести существенную экономию времени по причине отсутствия необходимости посещать банк лично и возможность 24 часа в сутки контролировать собственные счета, а также оперативно реагировать на изменения ситуации на финансовых рынках. Закономерно, что с развитием систем интернет-банкинга становятся актуальными вопросы, связанные с безопасностью их использования и появлением новых источников банковских рисков <2>.

<2> В большей степени они связаны с технической составляющей банковского бизнеса.

Наибольшие угрозы исходят от киберпреступников. Основными из них являются:

а) преступления при пособничестве инсайдеров (сотрудников кредитной организации), связанные с умышленными утечками информации;

б) спам (массовая рассылка коммерческой, политической и иной рекламы или иного вида сообщений (информации) лицам, не выражавшим желания их получать);

в) "нигерийские письма" (мошенники просят у получателя письма помощи во многомиллионных денежных операциях, обещая солидные проценты от сумм сделок <1>);

г) фишинг (вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей);

д) фарминг (процедура скрытного перенаправления жертвы на ложный IP-адрес);

е) DDoS-атаки (атака, целью которой является "обрушивание" вычислительных мощностей организации).

<1> Есть и другие варианты "нигерийских писем". См., напр.: Грень И.В. Компьютерная преступность. Минск: Новое знание, 2007.

DDoS-атаки за последние несколько лет существенно изменились. Они приобрели атрибуты организованной преступности и превратились в высокодоходный бизнес.

Начнем с определения, что такое DoS-атака (от англ. Denial of Service - отказ в обслуживании): это атака на вычислительную систему с целью создания таких условий, при которых правомерные пользователи системы не могут получить доступ к предоставляемым системой ресурсам. Если атака выполняется одновременно с большого числа компьютеров, она называется DDoS-атакой (от англ. Distributed Denial of Service - распределенная атака типа "отказ в обслуживании").

Причины возникновения DDoS-атак

Рассмотрим основные причины возникновения DDoS-атак <2>. Их можно объединить в три группы:

  1. конкуренция. Если предложение существенно превышает спрос, неизбежно возникает конкуренция. Сегодня достаточно популярной является услуга по проведению DDoS-атак на заказ. Чаще всего это происходит в случаях, когда фирма, которой не угоден конкурент в лице другой организации, обращается к хакеру с просьбой "парализовать" систему, которая взаимодействует с компьютерами соперника <3>;
  2. мошенничество. DDoS-атака организуется по инициативе самого хакера. При этом основной целью проводимой атаки является получение доступа к компьютеру пользователя с целью блокировки работы системы. После успешной атаки хакер требует выкуп за разблокировку системы. Зачастую менеджеры соглашаются на условия шантажистов и платят деньги. "Жертвы" объясняют это тем, что простои в работе приводят к получению убытков, которые являются большими, чем сумма, указанная хакером;
  3. развлечение. От DDoS-атак могут пострадать как рядовые пользователи, так и предприниматели, которые занимаются бизнесом в сети, а также крупные компании. Защита от DDoS-атак осуществляется, как правило, по желанию самого пользователя. Во многих западных государствах DDoS-атака приравнивается к преступлению. В России законодательная защита от DDoS-атак не обеспечивается, поскольку невозможно доказать сам факт преступления (хакер не проникает в систему, а попросту ее блокирует). Злоумышленников при этом найти очень сложно.
<2> Отметим, что изначально методика, заложенная в основу организации DDoS-атак, зародилась при проведении экспериментов по проверке систем на устойчивость к нагрузкам и не имела никакого отношения к преступной деятельности.
<3> Кстати, стоимость подобных услуг является достаточно высокой. В зависимости от длительности и интенсивности атаки заказчик может заплатить от ста до десятка тысяч долларов. На эту тему можно встретить достаточно много статей в Интернете (см., напр.: Цена на DDoS-атаки (http://antiddos.biz/stati/skolko-stoyat-ddos-ataki)).

Характерные свойства DDoS-атак Неограниченность

Как правило, для DDoS-атак не существует ограничений по мощности сервера - атаковать можно любой ресурс и любую систему, достаточно подобрать нужный тип атаки. Обычный червь может стать замечательным инструментом, при помощи которого будет производиться DDoS-атака. Защита от DDoS-атак должна применяться по отношению к любому ресурсу вне зависимости от его параметров.

Строгая секретность

К сожалению, инициаторов DDoS-атак выявить и найти тяжело <1>. Да и сам факт проведения подобных действий порой доказать невозможно. DDoS-атака может быть обнаружена в самом начале, а дальнейший ее путь зачастую очень тяжело проследить. Этот факт подтверждают данные, которые свидетельствуют о том, что около 90% хакеров, занимающихся организацией DDoS-атак, обнаружены не были.

<1> По мнению экспертов, 90% хакеров, занимающихся организацией DDoS-атак, остаются неизвестными.

Простота

Это свойство еще раз доказывает тот факт, что DDoS-атака может быть организована даже рядовым хакером, который не имеет многолетнего опыта подобной работы. Действовать злоумышленники могут как поодиночке, так и объединяясь в группы.

Примеры воздействий DDoS-атак

Приведем несколько показательных примеров воздействия DDoS-атак, ставших известными благодаря их освещению в средствах массовой информации.

В июне - августе 2007 г. была совершена DDoS-атака на "Южную телекоммуникационную компанию" <1>. Первая активность хакеров проявилась 27 июня 2007 г. в Астраханском филиале компании. Новая волна атаки началась 22 июля, в 7 раз превысив по интенсивности первоначальную. В тот день было зафиксировано больше 1,5 млрд обращений на сети компании, а 23 июля - до 4 млрд обращений в секунду.

<1> Веденеева Н. Суд над хакерами (http://www.comnews.ru/index.cfm?id=31315).

Объем запросов, который озвучила компания, свидетельствует о достаточно большом количестве используемых для атаки компьютеров (несколько десятков тысяч). Такие запросы требуют обработки, на которую затрачиваются ресурсы маршрутизаторов, возникает стопроцентная загрузка оборудования, отвечающего за маршрутизацию, и происходит замедление или полное прекращение предоставления сервисов для пользователей <2>.

<2> Заметим, что аренда такой виртуальной хакерской сети стоит несколько тысяч долларов в день.

Финансовые потери компании не были озвучены, так как судебного разбирательства не проводилось. Однако атака нанесла существенный удар по имиджу компании. По мнению экспертов, атака шла из-за рубежа (преимущественно из США, Великобритании и Нидерландов), поэтому быстро обнаружить источник вредоносной активности не получилось.

В августе 2007 г. системы обеспечения информационной безопасности банка "Северная Казна" <3> зафиксировали начало мощной распределенной сетевой атаки на систему интернет-банкинга. Атака продолжалась 2 дня. По словам пресс-секретаря банка Алексея Калистратова, финансового ущерба банк не понес <4>.

<3> Тюрикова А. Банк "Северная Казна" стал очередной жертвой хакеров (http://uralpolit.ru/page_67103.html).
<4> Однако потери, связанные с репутационными рисками, никто не оценивал.

Средства противодействия подобного рода вмешательствам сработали в штатном режиме, в результате чего злоумышленникам не удалось проникнуть на серверы банка. Однако входящие каналы связи оказались перегружены и пользователи не могли получить доступ к системе интернет-банкинга.

В июле 2010 г. DDoS-атаке подверглась платежная система Assist банка "ВТБ24", услугами по продаже билетов которой пользовалась авиакомпания ОАО "Аэрофлот". Компания посчитала недопустимо долгим недельный срок устранения последствий атаки и приняла решение о смене эквайрера. Теперь его функции выполняет "Альфа-Банк". Объем продаж авиабилетов Аэрофлотом через Интернет составлял 1 млн долл. США. При этом комиссия эквайрера составляла 0,3 - 0,5%, то есть платежной системе сотрудничество с этим клиентом ежедневно приносило 30 - 50 тыс. долл. США <1>.

<1> Хакерская атака заставила Аэрофлот сменить платежную систему (http://www.itsec.ru/newstext.php?news_id=68758).

Киберпреступления - это бизнес

Современная киберпреступность развивается так же, как и любой другой бизнес <2>. Прибыльность, управление рисками, освоение новых рынков являются важными составляющими этого бизнеса. Понимание механизмов работы интернет-мошенников позволит лучше выстроить линию собственной сетевой защиты.

<2> Касперский Е. Киберпреступность как бизнес (http://biz.liga.net/all/it/stati/2048983-kiberprestupnost-kak-biznes.htm).

Компании и организации, пострадавшие от киберпреступников, стараются не афишировать подобные факты.

Чаще всего организации, подвергшиеся атаке, сами проводят расследование или этим занимаются правоохранительные органы - но без огласки. Результаты практически никогда не становятся достоянием гласности. Согласно отчету Института защиты информации в компьютерных системах причины, по которым организации умалчивают об инцидентах с кражей данных, могут быть следующими:

Как реализуются атаки

У каждого поколения преступников свои инструменты. Современные киберпреступники выбрали своим оружием троянские программы, с помощью которых они строят ботнеты <1> для кражи паролей и конфиденциальной информации, проводят DoS-атаки и шифруют данные, чтобы затем шантажировать своих жертв. Характерной и опасной чертой сегодняшних вредоносных программ является то, что они стремятся сохранить свое присутствие на инфицированной машине. Для достижения этой цели киберпреступники используют различные технологии.

<1> Современные ботнеты представляют собой управляемую сеть зараженных компьютеров, которая облегчает контроль за ботами и упрощает процесс незаконного сбора данных. Прибыль зависит как от числа жертв, так и от частоты, с которой требуются новые вредоносные программы. Чем дольше вредоносная программа "живет" в компьютере-жертве, тем больше денег зарабатывают хозяева зомби-сети.

В настоящее время некоторые преступники предпочитают проводить отдельные атаки, нацеленные на конкретные организации. Написание специальной программы для одной целевой атаки представляет собой трудоемкую задачу. При этом важно еще обеспечить этой программе работоспособность на зараженном компьютере в течение долгого времени. Однако уж если эти целевые атаки удается запустить, успех им практически обеспечен: киберпреступники не только компенсируют себе все затраты на разработку и запуск атаки, но и получают солидную прибыль.

Отдельно следует остановиться на использовании ботнетов.

Технологии киберпреступников

Современные киберпреступники для получения желаемого результата должны правильно организовать два важных момента: доставку и обеспечение работоспособности программы.

Первый шаг любого киберпреступления - доставка и установка вредоносной программы. Преступники используют несколько технологий для достижения этой цели. Основные современные способы распространения вредоносных программ (т.н. векторы заражения) - это спам-рассылки и зараженные веб-страницы. Идеальным вариантом для преступников является компьютер-жертва, который имеет уязвимость. Уязвимость позволяет преступникам установить вредоносную программу, как только она доставлена со спам-рассылкой или с помощью так называемых технологий drive-by-download при посещении пользователем инфицированных сайтов в Интернете.

Следующая задача киберпреступников после доставки вредоносной программы - как можно дольше сохранить ее необнаруженной. Вирусописатели используют несколько технологий для того, чтобы увеличить "срок службы" каждой части вредоносной программы.

Чем менее видима программа для систем антивирусных радаров раннего оповещения, тем дольше ее можно будет использовать для получения доступа к зараженным компьютерам и сбора информации. Стандартные технологии сокрытия программы на компьютере включают: применение руткитов, блокирование системы извещений об ошибках и окон предупреждений, выдаваемых антивирусом, сокрытие увеличения размеров файлов, использование множества разнообразных упаковщиков. Атаку на технологии ДБО (включая интернет-банкинг) можно разбить на более мелкие составляющие:

  1. создание специального "инструментария" - программ-троянов для сбора данных;
  2. создание специального "инструментария" - программ-троянов для организации DDoS-атак;
  3. распространение троянов и создание БОТ-сетей;
  4. создание центра управления (координации) "операцией";
  5. проведение "операции";
  6. "зачистка" следов проведения "операции" - проведение DDoS-атак на системы ДБО.

DDoS-атаки используются злоумышленниками уже давно. Однако в последнее время их стали использовать не только для получения выгоды, но и как средство для выражения протеста: либо против решений государственных органов, либо против действий крупных корпораций. Такие атаки привлекают особое внимание СМИ и правоохранительных органов. Тенденция использования DDoS-атак для выражения протеста набирает силу, и в будущем стоит ожидать увеличения количества атак на сайты правительственных органов разных стран <1>.

<1> Наместников Ю. Обзор DDoS-атак во втором квартале 2011 г. (http://www.securelist.com/ru/analysis/208050712/Obzor_DDoS_atak_vo_vtorom_kvartale_2011_goda).

По данным Министерства внутренних дел Российской Федерации, число мошенничеств с использованием интернет-технологий в 2009 г. возросло на 30%. Размер украденных сумм увеличился в три раза, то есть каждое мошенничество стало в несколько раз эффективнее. Число привлеченных к уголовной ответственности по этим случаям, к сожалению, в процентном соотношении к количеству мошенничеств продолжает падать. Поймать преступников сложно: действуют цепочки профессионалов, каждый из которых в отдельности закон не нарушает <2>.

<2> Ушаков Б. Интернет - рай для мошенников (http://gazetastrela.ru/enter/indexx.php?id=8513&n=716&s=1&i=3&page=1).

Основные причины интернет-мошенничеств

Основные причины резкого возрастания числа интернет-мошенничеств можно разделить на две группы: субъективные, связанные с недостаточной осведомленностью участников информационных отношений в области защиты своих интересов, и объективные, связанные с применяемыми программно-техническими средствами.

Несмотря на многочисленные предупреждения и в договорах, и на сайтах банков, а также в СМИ, клиенты недостаточно глубоко и точно понимают, где и как у них могут украсть деньги и что делать, чтобы этого не произошло.

Пользователи уделяют слишком мало внимания обеспечению собственной безопасности в Интернете. Например, для многих из них до сих пор не является аксиомой, что нужно применять и своевременно обновлять антивирусные средства.

Кроме того, среди клиентов бытует мнение, что использование нелицензионного программного обеспечения напрямую не вредит безопасности, а нарушает лишь авторские права. Однако "пиратские" операционные системы не загружают регулярные обновления безопасности, в то время как антивирусные средства рассчитаны на то, что средства безопасности Microsoft будут обновлены и выполнят свою задачу. В итоге из-за неправильного их взаимодействия в системах защиты остаются бреши.

Следующая причина - использование неадекватных уровней безопасности в системах ДБО. Уровень безопасности должен зависеть от сумм и типов операций: операции между своими счетами, предопределенные операции с ограниченными суммами требуют совершенно иного уровня безопасности, чем операции в пользу третьих лиц без ограничения суммы. При упрощенной системе безопасности можно разрешать только все операции по собственным счетам. Если в системе нет запрета на платежи в пользу третьих лиц, необходимы криптография на компьютере пользователя и разовые пароли. Это позволяет хорошо защитить и банк, и клиента.

Встречаются и чисто технологические ошибки в разработке систем ДБО. Их должны закрывать профессионалы в области безопасности, иначе в системах могут возникать алгоритмические "дыры". Например, в своем компьютере клиент вставляет USB-токен и начинает работу. В момент подписания платежного документа программа-троян подкладывает фальшивое платежное поручение, которое подписывается правильными подписями и отправляется в банк. Это технологическая уязвимость: в некоторых системах существует незащищенный канал между микропроцессором шифрования и процессором компьютера, который недостаточно контролируется. Такая уязвимость закрывается профессиональными криптографами, так как простое применение сертифицированных криптографических библиотек эту проблему не поможет решить, потому что проблема - в неверных алгоритмах применения библиотек.

Еще одна причина - использование в системах ДБО несертифицированных средств криптографической защиты информации, что создает условия правовой незащищенности участников информационных отношений. Случаи взлома криптографии очень редки: зачем взламывать шифр, если можно украсть ключи? Деньги пропадают с использованием собственных ключей пользователя. Если клиент будет пытаться доказать свои права в суде, то во внимание будут приниматься только сертифицированные средства.

Меры безопасности

Основная и самая трудная мера - повышение осведомленности как самих клиентов в области собственной безопасности при использовании интернет-сервисов, так и сотрудников розничных отделений банков при продаже продуктов ДБО. Это могут быть различные наглядные пособия для клиентов, памятки, специализированные странички на сайтах банков, рекламные материалы. Для повышения квалификации сотрудников будет полезным проведение тренингов, создание систем мотивации. Врага надо знать, чтобы с ним бороться и эффективно использовать меры самообороны. Банкам следует настойчиво оповещать клиентов - пользователей систем ДБО о мерах безопасности и давать им подробные рекомендации о применении защитных мер, в том числе антивирусного программного обеспечения с функциями "антихакер" и "антишпион".

Следующие меры носят, скорее, технологический характер и входят в компетенцию самих банков. Считается, что чиповые карты более защищенные, чем магнитные, поэтому в качестве первой рекомендации банкам следует предложить переход на чиповые карты. На данном этапе развития технологий чиповую карту можно скопировать, только если она попадет в руки мошенников. Кроме того, необходимо внедрять использование "электронных кошельков" или "виртуальных" карт для интернет-платежей.

Получение своевременной информации о состоянии своего счета - гарантия оперативного принятия мер по возврату похищенных средств.

Услуги по предотвращению DDoS-атак предлагают не только компании, занимающиеся защитой от компьютерных вирусов и воздействий вредоносного кода, но и ведущие разработчики программных продуктов систем интернет-банкинга.

Так, например, услуги по очистке трафика предлагает один из ведущих отечественных разработчиков программных продуктов для систем интернет-банкинга - компания БИФИТ. К ним банк может подключиться даже в момент DDoS-атаки за 30 минут. Для средних банков эти решения будут стоить 3500 - 7000 долл. США, а крупным банкам обойдутся в 100 000 долл. США <1>.

<1> Шилов Ст. Практика защиты сервисов ДБО от DDoS-атак. Центр очистки трафика "ИБАНК2.РУ" // Банковские технологии. 2011. N 1.

В последнее время DDoS-атаки обнаружить становится труднее. Например, троян Zeus, созданный для кражи банковской информации посредством перехвата сообщений клавиатуры, оказался одной из наиболее труднообнаруживаемых вредоносных программ 2010 г., нацеленных на финансовые системы (обнаружен только в 23% случаев), и признан самой опасной из них. Сегодня на его долю приходится 44% всех случаев заражения финансовых систем <2>.

<2> См.: Разумов А. IT-безопасность: что нас ждет в 2011-м? // ПЛАС. 2011. N 5.

Выводы. В заключение следует отметить, что ущерб, причиняемый DDoS-атаками, во много раз больше стоимости средств защиты от них. Помимо финансовых убытков, DDoS-атаки приводят к подрыву репутации компании и сокращению ее доли рынка, вызывают юридические и другие проблемы. Без подготовки специалистов для организации защиты и понимания необходимости в защите даже программные средства, описанные выше, не смогут предотвратить атаки на автоматизированные банковские системы.

Минимизировать нежелательные последствия для банков можно, лишь проводя комплекс защитных мер, включая организационные, аппаратно-программные, технические и другие мероприятия. Дополнительным подспорьем для мошенников, использующих для своих афер DDoS-атаки, является и отсутствие ответственности в законодательстве Российской Федерации за подобные преступления.

П.В.Ревенков

К. э. н.,

заведующий сектором

департамент банковского

регулирования и надзора

Банк России

Д.С.Андронов

Преподаватель

кафедры прикладной информатики

Одинцовский гуманитарный институт