Первые попытки создать системы дистанционного банковского обслуживания (ДБО) были зафиксированы 20 лет назад. В то время требования к защите были довольно определенными - доверенная среда и только она. Потом требования размылись, частично из-за отсутствия атак, частично - из-за отсутствия серьезного интереса у регуляторов. Так или иначе, о требованиях забыли. Конкуренция между компаниями, работающими в сфере ДБО, переместилась из сферы безопасности в сферу стоимости. Конечно, о безопасности пришлось забыть. Не вспоминали об этом и регуляторы.
В результате проблемы стали появляться. На редкие призывы задуматься об информационной безопасности никто внимания не обращал.
Настоящие проблемы в ДБО начались с появления трояна, который похищал ключи, размещенные на дискете. Этой проблемой стоило заняться профессионально. Однако, решение пришло, казалось бы, само собой - раз с дискеты воруют, положим ключи в другое место. И положили. На токен.
Абсолютно очевидно, что токены не делают ДБО безопасней, однако некоторые в эти абсурдные рекомендации поверили. Началась вакханалия бессмысленных решений: виртуальные клавиатуры (якобы хакер, способный внедрить клавиатурного шпиона для физической клавиатуры, не сможет внедрить его для виртуальной!), списки одноразовых паролей, SMS-информирование и т.д., и т.п. Но ведь работать с документами можно только в доверенной среде. Волеизъявление человека гарантированно защищено от изменений только в доверенной среде. Доверенная среда обеспечивает достаточные условия для функционирования криптографии.
Знания эти давно не являются сакральными, они доступны всем желающим, и для того чтобы не знать этого - нужно сильно постараться или притвориться. Большинство добросовестных вендоров это знают и понимают. Эксперты оценивают, что «банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно, поле для деятельности хакеров крайне велико». Когда человек доверяет плохому или некомплексному продукту, у него возникает ощущение безопасности, что при реальной незащищенности обычно приводит к печальным последствиям. 3 млрд. долларов потерь в 2010 году, и 7 млрд. долларов - в 2011. Вот и результат.
Дешево, быстро, опасно - вот как расшифровывают сегодня ДБО.
На счетах банков вкладчики разместили около 11 триллионов рублей, и значительная часть их может быть утрачена в результате хакерских атак.
Что же нам надо. Рассмотрим гипотетическую компанию, которой нужно управлять счетом дистанционно.
Описание компании
Итак, компания - малое предприятие с небольшим количеством работающих (примерно 10-15 человек). Вид деятельности - торгово-закупочная. Персонал обладает квалификацией в области мелкооптовой торговли, типичный уровень образования - среднее специальное. В основном персонал работает в офисе, используя для работы Интернет. Все компьютеры объединены в локальную сеть, используемая ОС - Windows, сеть администрируется внешним администратором в режиме фриланса, все сотрудники размещаются в одном офисе. От бухгалтерии сотрудники ожидают немедленного осуществления платежей и информирования о поступивших платежах, владелец компании ожидает эффективного и беспроблемного финансового менеджмента.
Отсюда и возникает основное требование к решениям по ДБО - ничего не требовать, но обеспечивать основной процесс. Конфиденциальность платежей не является сколько-нибудь важной, важна безопасность и оперативность. Значит, нужно использовать электронную подпись (ЭП), и, следовательно, необходимо обеспечить выполнение требований по неизменности среды применения ЭП.
Рассмотрим теперь, кто и как может помешать деятельности компании.
Нарушитель внешний. Внешний нарушитель - организованная группа хакеров-профессионалов, имеющая в своем распоряжении все известные средства вторжений и перехвата. Дополнительную угрозу представляет администратор.
Нарушитель внутренний. Внутренний нарушитель - не может делать ничего, кроме как подсмотреть пароль и несанкционированно воспользоваться системой ДБО. Максимум - установить на компьютер троян.
Итак, по известной классификации - внешний нарушитель Н5, внутренний - Н2. Наиболее опасные угрозы - перехват портов и перехват управления.
Как обеспечить безопасность ДБО?
Компьютер сделать изолированным невозможно, он был, есть и будет в составе ЛВС. Атаки на ДБО возможны со стороны Интернет, других компьютеров из ЛВС, возможны и закладки в компьютере для ДБО. Сеть не защищена. Основные угрозы - из Интернет. Таким образом, быть уверенным в том, что среда исполнения задач на компьютере является доверенной - совершенно невозможно.
Решения для ДБО
Традиционными для ДБО являются многие решения, но нет решений, при которых выполняются все требования регуляторов и ожидания пользователей. Рассмотрим некоторые из них.
Использование токенов в качестве хранилища ключей. Не противостоит и не может противостоять ни одной из современных атак - ни перехвату ключей, ни перехвату управления. Мероприятие, на наш взгляд, абсолютно бессмысленное с точки зрения безопасности.
Использование токенов с обеспечением неизвлекаемости ключей. Защищает ключи от перехвата, но не защищает от их несанкционированного использования в результате перехвата управления. Применение в ДБО ничем не обосновано, так как не защищает ни от внутреннего, ни от внешнего нарушителя.
Защита компьютера от НСД к нему с помощью электронного замка. В качестве примера надежного СЗИ НСД можно назвать аппаратный модуль доверенной загрузки (АМДЗ) «Аккорд-АМДЗ». В достаточной степени защищает от внутреннего нарушителя при использовании изолированного компьютера, но такой защиты недостаточно для компьютера из незащищенной ЛВС, и тем более недостаточно для защиты от внешнего нарушителя.
Фиксированная среда исполнения задачи. Фиксация среды обеспечивается загрузкой ОС и исполняемой задачи с носителя, на котором неизменность записанных программ обеспечивается технологически (CD-диски, специальные загрузочные флешки, работающие в режиме ReadOnly (только чтение)). Это отчасти надежное и дешевое решение, но совершенно неудобное и некомплексное. Для каждого компьютера такой носитель нужно изготавливать отдельно, ведь его невозможно настроить, во всяком случае, невозможно сохранить настройки. Отдельно нужно хранить ключи подписи и другую важную информацию.
Организация изолированной программной среды (ИПС). ИПС организуется сертифицированными средствами разграничения доступа. Наиболее развитыми средствами создания ИПС является, например, специализированное ПО «Аккорд-Win32». Используется совместно с АМДЗ «Аккорд». Решение надежное, но дорогое, и требует профессиональных знаний по настройке СЗИ НСД.
Незащищенный компьютер с доверенным средством визуализации. Этот подход довольно давно предложен компанией IBM (еще в 2008 году). USB-устройство (ZTIC - Zone Trusted Information Channel) за счет собственных ресурсов устанавливает SSL-соединение с банковским сервером, по созданному защищенному каналу передает информацию банку, на встроенном дисплее отображает информацию о платеже, распоряжение о котором получил банк, и пользователь может отменить распоряжение, если на дисплее не то, что должно быть.
Остроумное решение ограничено тем, что дисплей - это всего две текстовых строки, а на устройстве всего две кнопки - для подтверждения платежа или отказа от него.
К этому времени в ОКБ САПР было разработано собственное устройство примерно этого типа, с условным названием «Шипка с экраном». Оно отображало платежки на цветном графическом экране 3,5", подписывало и шифровало.
В серию это устройство не пошло, так как мы увидели принципиальное ограничение этого подхода, а именно: или в устройстве крайне ограничены возможности и его очень неудобно применять, или оно само требует полноценной защиты от атак по перехвату управления, так как становится практически полноценным компьютером. Проверенным, и значит доверенным, может быть только простое устройство.
Тем не менее, идея не потеряла актуальности, и подобные устройства сегодня анонсируют ряд компаний, в том числе «Актив», «Банк Москвы» и другие.
Чем устройство, имеющее экран, процессор, ОС, СКЗИ, прикладное ПО, средства удаленного обновления - отличается от компьютера? Для него снова нужно обеспечивать доверенную загрузку, создавать ИПС и так далее и тому подобное. Дешево ли это? Увеличивает ли это безопасность?
Вывод - или неудобно, или проблемы не решаются.
Доверенный сеанс связи (ДСС). Концепция ДСС развивается ОКБ САПР уже довольно давно. Суть концепции заключается в том, что компьютер практически всегда используется в незащищенных сетях, и только иногда - в защищенных. Значит, нужно добиваться не «тотальной» защиты, что дорого и неудобно, а защиты, при которой «опасные» ресурсы разделяются, и не могут использоваться совместно.
Необходимый уровень защищенности ПК обеспечивается только на те периоды времени, когда высокая защищенность действительно необходима.
При этом пользователи могут выбирать режим работы на своем ПК: обычный режим (без доступа к сервисам доверенной ИС) и режим доверенного сеанса связи, в рамках которого обеспечивается защищённая работа с сервисами ИС.
Доверенный сеанс связи - период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищенное соединение, а также поддерживаются достаточные условия работы с ЭП.
Интересный вариант создания ДСС используется с 2008 года в одной из государственных структур. Задача - использовать одни и те же ПК в различных режимах в разные временные интервалы. При этом в защищенном режиме отключена сеть и недоверенные источники информационных ресурсов, а в незащищенном режиме недоступен защищенный диск. Такой режим обеспечивается совместным применением многих СЗИ НСД, в том числе Аккорд-АМДЗ и Аккорд-Win32, а переключение дисков «на лету» осуществляется с помощью специального аппаратного дополнения к СЗИ НСД «Аккорд», которое называется «Коммутатор SATA-устройств». Решение очень интересное и надежное, однако, для ДБО небольшой компании несколько дороговато. Широко применяемые решения должны быть дешевле.
Дешевле - средство обеспечения доверенного сеанса «МАРШ!», изготавливаемый в виде специализированного USB-устройства.
При начале доверенного сеанса связи пользователь загружается с «МАРШ»а (из защищенной от записи памяти), обеспечивая тем самым доверенную среду, жесткий диск компьютера не используется. Далее стартует браузер и все сопутствующее программное обеспечение, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией с соблюдением всех требований 63-ФЗ.
После загрузки ОС на компьютер клиента и старта браузера устанавливается доверенный сеанс связи с сервером (VPN-шлюзом) центральной ИС (в данном случае - Банка). Сервер ИС выполняет авторизацию пользователя на доступ к сервисам ИС и соединение с требуемым сервисом ИС.
Такой вариант организации ДБО представляется наиболее соответствующим современным требованиям. Однако и он не лишен недостатков. Так, при использовании такого устройства пользователь должен будет провести настройку на параметры сети, которые определяются провайдером и зависят от него. Иногда это не слишком просто, и бухгалтер с такой настройкой может не справиться. Необходимо обеспечить «one-click» технологию и добиться независимости от провайдера.
Если собрать вместе все недостатки традиционных и новых решений, то можно сформулировать требования и к функциональности, и к защитным свойствам средств обеспечения безопасности ДБО.
Требования по функциональности
- Достаточность функций для любой архитектуры системы
- Мультиплатформенность решения
- Поддержка любой периферии
- Независимость от провайдеров сети
- One-click решение
- Возможность работы как в защищенном, так и в незащищенном режиме
- Низкая стоимость
Требования по безопасности
- Защита от перехвата паролей
- Защита от перехвата портов
- Неизвлекаемость ключей
- Защита от перехвата управления
- Безопасное обновление
Разработка устройства, которое отвечает всем требованиям, уже завершена. О нем мы расскажем в следующем выпуске журнала.
Об авторе Конявский В. А., д.т.н., научный руководитель ВНИИПВТИ,
член Научного совета Совета Безопасности России
Доклад сделан на XVII Международной научно-практической конференции «Комплексная защита информации» г. Суздаль, 15-18 мая 2012 г.
Подробнее о конференции: http://www.okbsapr.ru/news.html?new=511 или: http://www.avangardpro.ru/suzdal/gal.php.