В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Михаил Калиниченко, генеральный директор S.N'. Safe & Software, Ltd.
ЭТИМ ЛЕТОМ банковская сфера, равно как и ее клиенты, снова была встревожена новостью об обнаруженной в банкоматах Восточной Европы троянской программе. Согласно исследованию аналитиков SpiderLabs, эти вредоносные приложения считывают данные магнитных полос банковских карт, а также PIN и одновременно предоставляют преступникам удобный интерфейс управления и возможность распечатать украденную информацию посредством встроенного принтера для печати чеков. Скорее всего, об этой же угрозе говорили в марте 2009 г., когда сотрудники Sophos обнаружили в банкоматах Diebold троянскую программу, способную вести подрывную деятельность в ПО Diebold Agilis, используя ряд недокументированных функций. По данным самой компании Diebold, этот вирус был обнаружен в январе 2009 г., тогда же производитель внес необходимые изменения в ПО и предупредил банки-клиенты. Представители Diebold заявили о том, что для того, чтобы внедрить вредоносное ПО, мошенники должны иметь физический доступ к "начинке" конкретного банкомата, и такого рода аспекты безопасности банкоматов, как ограничение доступа к ним, смена заводского пароля, установка видеокамер и т.д., находятся уже в компетенции банков.
Впервые проблема уязвимости банкоматов перед вирусами, хакерскими атаками и сбоями в работе ПО начала обсуждаться еще в 2004 г. Тогда многие специалисты по безопасности выражали опасение, что массовый перевод банкоматов во всем мире с OS/2 на ОС Windows делает их уязвимыми перед обычными компьютерными угрозами. По их мнению, в процессе перехода на Windows банки полностью меняют систему подключения банкоматов к своим информационным сетям. Во многих случаях это означает, что банкоматы и обычные офисные компьютеры банков оказываются подключенными к одним и тем же вычислительным сетям. Как следствие, банкоматы могут быть заражены компьютерными вирусами, попавшими в эти сети. Также нельзя исключать атаку изнутри - сознательный саботаж со стороны недобросовестного персонала или же злонамеренные действия преступного характера. Количество инцидентов, когда крупные сети банкоматов под управлением Windows выходили из строя благодаря компьютерным вирусам, ежегодно увеличивается, как и увеличивается число банковских клиентов, пострадавших от киберпреступников. Так, в 2003 г. вирус Slammer заблокировал работу 13 000 банкоматов Bank of America и всех банкоматов канадского Imperial Bank of Commerce. В этом же году червь Worm.Win32.Welchia поразил изготовленные компанией Diebold банкоматы, работающие под управлением операционной системы Windows XP Embedded. Зараженные банкоматы начинали активно искать другие машины, в операционной системе которых имелась уязвимость, и в результате Welchia сначала выводил из строя систему банковской защиты от внешних вторжений, а затем и вовсе отключал банкоматы.
В основном вредоносные коды проникают в информационные сети банков либо через недокументированное подключение к Интернету, либо через инфицированные ноутбуки обслуживающего персонала, либо вследствие целенаправленной атаки киберпреступников. Нельзя забывать и об инсайдерской составляющей этой проблемы: вирус может быть написан настоящими или бывшими сотрудниками банков. В случае с банкоматами Diebold злоумышленники должны были знать, как работают эти банкоматы и их программное обеспечение, иметь доступ к описанию API и другим техническим деталям. По мнению экспертов, все эти возможности заражения банкоматов так или иначе реальны. Но если раньше речь шла о том, что вирусы могли, в худшем случае, привести к некорректной работе банкоматов, то сегодня мы говорим о том, что вирусные и хакерские атаки на банкоматы способны нанести и в некоторых случаях уже нанесли ущерб клиентам банков. Разумеется, подобного рода ситуации негативно сказываются на репутации банков, поэтому требования к качественным характеристикам банкоматов и их защите постоянно усиливаются.
Замечу, что в настоящий момент эта проблема одинаково актуальна как в России, так и на Западе. Так, одним из требований соответствия стандартам Индустрии платежных карточек (PCI DSS Requirements and Security Assessment Procedures, v1.2, October 2008) является "обеспечение защиты системы от существующих и развивающихся угроз, в частности от вредоносного ПО". По мнению американских специалистов, решить эту задачу можно только с помощью специализированных систем защиты. Так, в сентябре 2009 г. наша компания готовит релиз нового решения Safe’n’Sec TPSecure, предназначенного специально для защиты банкоматов от внедрения вредоносных программ и их несанкционированной активности. Данная система защиты, как и все продукты Safe’n’Sec, разработана на основе технологий поведенческого анализа и разграничении системных привилегий V.I.P.O
Защита банкоматов с помощью нового решения Safe’n’Sec TPSecure осуществляется в соответствии с политикой контроля активности приложений. На основе определенного реестра санкционированных операций программа контролирует каждое минидействие (код) в процессе работы машины, блокирует все подозрительные действия и разрешает исполняться только заведомо доверенным процессам (из так называемого "белого" списка). На наш взгляд, именно эта технология сегодня является наиболее эффективной для обеспечения защиты информационной среды банкоматов и POS-терминалов.
Технология списка доверенных процессов Safe’n’Sec позволяет контролировать действие не только приложений, но также их сопутствующих элементов. Целенаправленная защита чтения/записи специальных файлов (данных владельцев карт, PIN-кодов, паролей) дает дополнительные возможности контроля. Таким образом, наша технология способна обеспечить активный мониторинг всех операций системы, одновременно защищая ее от внедрения несанкционированных приложений и вредоносного ПО через сеть.
Для банков, уделяющих самое пристальное внимание вопросам, связанным с безопасностью и конфиденциальностью информации, S.N. Safe&Software предлагает специальную версию программы, предназначенную для ведения протокола работы банкоматов. Данный продукт значительно облегчает анализ возможных утечек и позволяет защитить целостность системы от любого рода несанкционированных воздействий.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2009