100 Мифы и заблуждения информационной безопасности Лукацкий

Вид материалаДокументы

Содержание


Миф №86 «Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета»29.07.2010 03:00
Подобный материал:
1   ...   55   56   57   58   59   60   61   62   ...   69

Миф №86 «Одноразовые коды по SMS спасают от несанкционированного перевода денег со счета»29.07.2010 03:00


Systems

С тех пор как мобильный телефон стал такой же обязательной составляющей практически любого гражданина России, механизм коротких сообщений (SMS) стал активно внедряться в банковские технологии. Как правило, он используется для уведомления клиента банка о различных операциях, проведенных по его счетам, т.е. SMS используется в качестве инструмента информирования. Однако есть банки, и их число становится все больше, которые начинают более активно вовлекать SMS-технологии во взаимодействие с вкладчиками. В частности, достаточно активно используется механизм отправки по SMS одноразовых кодов (TAN-кодов) на совершаемые, например, через Интернет-банк, транзакции. Вот как, например, этот механизм описывается на сайте Альфа-банка: «Одноразовый пароль необходим для осуществления операций в интернет-банке «Альфа-Клик». Для получения одноразового пароля необходим мобильный телефон, номер которого был указан Вами при подключении услуги «Альфа-Клик». После ввода всех необходимых платежных данных, система предложит ввести одноразовый пароль для совершения операции. Для получения одноразового пароля нужно нажать на кнопку «Получить пароль», пароль будет доставлен SMS-сообщением на Ваш мобильный телефон. После получения SMS проверьте правильность реквизитов платежа, указанных в тексте сообщения, введите пароль и нажмите кнопку «Отправить».

Считается, что если злоумышленник еще в состоянии получить доступ к стандартным имени и паролю пользователя, то перехватить одноразовый код, переданный лично клиенту банка на его мобильный телефон, невозможно; как по причине технической сложности этой задачи, так и по причине недолговечности одноразового TAN-кода (срок жизни - несколько минут). Насколько эти выводы обоснованы?

Как и в предыдущих мифах, я предпочитаю рассматривать проблему комплексно, а не с точки зрения закрытия одной-двух угроз. Поэтому мы рассмотрим не столько сам механизм аутентификации с помощью одноразовых паролей, который достаточно надежен, а всю схему осуществления отправки одноразового кода по SMS. Именно такой взгляд на SMS-банкинг позволит выявить его слабые места и понять, что мало внедрить решение от именитого вендора; надо еще продумать и множество других аспектов обеспечения безопасности.



Элементов в этой схеме немало. Первый – это банк, который отправляет SMS своему клиенту. Он может это делать либо напрямую через подключенных к нему операторов связи (для банков с большим потоком SMS-сообщений), либо через специализированного оператора SMS-услуг (например, ссылка скрыта). Технически отправка также может осуществляться одним из нескольких способов:
  • Установка GSM-модема. Банковское приложение отправляет SMS-ки как обычный мобильный телефон.
  • XML-интеграция. Доработанное банковское приложение отправляет специально сформированный XML-запрос по протоколу HTTP(S), который на стороне оператора SMS-услуг транслируется в короткое сообщение клиенту банка.
  • Шлюз к СУБД. Банковское приложение передает информацию через шлюз к СУБД, предоставленный оператором SMS-услуг, через стандартный API, существующий в Oracle, MS SQL и т.п. Данный шлюз по защищенному каналу передает информацию оператору, который и транслирует ее в SMS.
  • Использование SMPP. Банковское приложение отправляет информацию через специализированный протокол отправки сообщений в сетях операторов связи. Подключение может осуществляться как с SMS-центру оператора связи, так и к оператору SMS-услуг.

Угрозы на данному уровне очевидны – персонал банка, осуществляющий несанкционированные действия, или встраивание в банковское приложение вредоносного программного обеспечения. Считать эту угрозу неактуальной только по той причине, что таких фактов еще не известно, неразумно. Как минимум по той причине, что аналогичные инциденты в российской банковской практике уже ссылка скрыта. Например, когда сотрудник ИТ-подразделения Росбанка встроил в банковскую систему собственную программу и незаконно снимал со счетов клиентов деньги.

Второй и третий элементы данной схемы – это оператор мобильной связи и оператор SMS-услуг (может отсутствовать, если банк напрямую подключается к мобильному оператору). Если на участке от банка до оператора одноразовый пароль защищен (по крайней мере я на это надеюсь), то в SMS-центре информация хранится в открытом виде в течение небольшого интервала времени (обычно 3-7 дней максимум). Как известно самым уязвимым звеном в любой системе безопасности является человек и на данном участке это проявляется в полной мере. Немного получающие операторы СМС-центров могут за вознаграждение передавать нужную информацию злоумышленникам достаточно оперативно. Разумеется, таких «кротов» выслеживают и увольняют с работы, но сбрасывать со счетов такую угрозу нельзя. Мои коллеги из служб безопасности банков считают эту угрозу вполне реальной и более приоритетной, чем, например, угрозу перехвата SMS по радио-каналу, рассматриваемую далее.

Сейчас по телевизору идет активная реклама т.н. смс-перехватчиков, которые якобы могут перехватывать все короткие сообщения, интересующего вас абонента. Надо сразу заметить, что это мошенничество, которое замаскировано под игру. Суть его заключается в установке на ваш компьютер программы, которая и будет получать «шпионские данные». Если не принимать в расчет, что эта программа обычно является троянским конем (крадущим ваши персональные данные или делающим из вашего компьютера участника ботнета), то она получает заранее подготовленные «шокирующие» сообщения, не имеющие ничего общего с реальным SMS-трафиком.

Другой пример SMS-перехватчика заключается в установке специальной программы на сам телефон клиента банка. Пример такой программы существует у компании IntelSpy. Незаметно установленная программа копирует все пришедшие или отправленные SMS-сообщения и передает и по GPRS на специальный сервер, к которому и подключается пользователь IntelSpy. Другой пример аналогичной программы называется ссылка скрыта. Данная угроза вполне реальна, но воспользоваться перехваченными SMS можно и не успеть.

Можно ли перехватить SMS с помощью специального радиооборудования? Можно. Стоимость такого оборудования измеряется не одной тысячей долларов, но технически данная задача не является сложной. Но дальше возникает вопрос, что делать с перехваченным сообщением? Ведь по заявлениям многих операторов мобильной связи весь сотовый трафик шифруется. Начну с того, что шифруется он не всегда. Например, во время массовых мероприятий, с целью снижения нагрузки на оборудование мобильной связи, шифрование может быть отключено. Так, например, было сделано во время празднования 300-летия Санкт-Петербурга. Шифрование может быть отключено по требованию правоохранительных органов (вспомните Норд-Ост). В местах пребывания Президента России также может быть отключено шифрование мобильной связи по требованию охраны главы государства, обеспечивающей его безопасности. Ну и конечно пресловутый СОРМ, позволяющий правоохранительным органам получать доступ к переговорам интересующих их абонентов.

Если же SMS-сообщения зашифрованы, то можно ли что-то предпринять злоумышленнику в этом случае? Оказывается можно. Алгоритм A5/1, который используется в GSM-сетях, уже давно не является стойким к криптоанализу, о чем эксперты говорили очень давно. Но такой анализ был достаточно дорогостоящим и доступным не всем. И вот 29-го декабря 2009-го года в «Нью-Йорк Таймс» была опубликована заметка о том, что немецкий криптолог Карстен Нол на 26-й конференции Chaos Communications Congress ссылка скрыта взлом алгоритма A5/1. Если раньше на взлом уходило несколько недель, то Нол показал, как уменьшить этот интервал до нескольких часов (модернизировав метод Нола немецкая хакерская группа Chaos Computer Club обещала в ближайшее время опубликовать методику расшифровки мобильных переговоров и SMS в реальном режиме времени). Часто звучащие рекомендации экспертов перейти на алгоритм A5/3 вызывают отторжение у Ассоциации GSM в связи с высокой стоимости перехода на него. Да и по стойкости и этого алгоритма в январе этого года был нанесен удар. Три исследователя - Орр Данкельман, Натан Келлер и Ади Шамир (буква S в аббревиатуре алгоритма RSA связана с фамилией именно Шамира), ссылка скрыта доклад, демонстрирующий метод атаки на A5/3. В ходе эксперимента время дешифрования заняло менее 2-х часов. От своего коллеги я услышал еще один интересный вариант взлома нестойких алгоритмов шифрования – привлечь к этому ботнет, который за счет большого количества распределенных «участников» может существенно ускорить процесс дешифрования.

Все вышеперечисленные угрозы достаточно интересны, но необходимо учитывать, что срок жизни одноразового кода составляет 10-15 секунд. За это время злоумышленники должны его перехватить, расшифровать (или дешифровать) и использовать при доступе к Интернет-банку жертвы. Это очень небольшой интервал времени. Но есть еще один элемент в данной схеме, который не «подвластен» банку и оператору мобильной связи и при этом доступ к нему может свести всю защиту «на нет». Это мобильный телефон, получающий короткие сообщения с одноразовыми кодами. Злоумышленник может пойти тремя путями – клонировать телефон, украсть телефон или… вот про «или» мы поговорим в самом конце. А пока перейдем к клонированию.

Клонирование сим-карт… Как много слухов и откровенных ссылка скрыта ходит на эту тему. Надо сразу заметить, что данную угрозу при анализе защищенности SMS-банкинга рассматривать не стоит вовсе (на современном этапе развития защитных и хакерских технологий). Относительно легко клонировались только старые SIM-карты; с современными такой фокус уже не проходит. Да и как незаметно получить доступ к симке на время ее клонирования тоже не совсем понятно. Владелец телефона сразу заметит пропажу и сообщит об этом оператору мобильной связи, который должен сразу эту карту заблокировать. Правда, в этом случае тоже есть нюансы, о которых нужно помнить, но принимать в расчет не стоит. Например, клиент банка не имеет возможности сообщить о краже SIM-карты по причине нахождения в самолете или в ином недоступном месте. У злоумышленников есть несколько часов, чтобы провернуть свое дело. Вариант с удержанием клиента банка в заложниках мы по понятной причине не рассматриваем (как говорят специалисты, данная угроза является неактуальной).

И вот тут мы подходим к самой последней, но достаточно реальной угрозе, имеющей очень много с клонирование сим-карты… но с клонированием легальным. Суть мошенничества проста – с ней ссылка скрыта Альфа-Банк в марте прошлого года. Злоумышленники с фальшивыми доверенностями обратились в офисы МТС и Мегафона соответственно с заявлением о перевыпуске SIM-карт. Персонал операторов мобильной связи ничего не заподозрил и выдал мошенникам новые SIM-карты, к которым и были привязаны комплекты одноразовых кодов и паролей в Альфа-Банке; после чего, используя получаемые по SMS одноразовые коды, злоумышленники перевели на подставные счета несколько десятков тысяч рублей.

На сайте Альфа-банка есть такая рекомендация: «В случае возникновения трудностей с получением одноразового пароля, Вам потребуется проверить номер мобильного телефона, указанный в системе Банка. Для этого нужно позвонить в Телефонный центр «Альфа-Консультант» по телефону в Москве +7 (495) 78-888-78 или 8 (800) 2-000-000 (для бесплатного звонка из регионов России). Если указанный Вами номер окажется неверным, необходимо изменить его самостоятельно при помощи любого банкомата в отделениях Альфа-Банка или через сотрудника Альфа-Банка». Однако для описываемой угрозы данный совет не работает. Т.к. злоумышленники вполне официально получили новую сим-карту, то первоначальная сим-карта клиента банка блокируется и он не может пользоваться своим телефоном. Пока еще он дойдет до ближайшего офиса сотового оператора и выявит факт мошенничества… В случае с Альфа-банком это произошло только через несколько дней. Этого времени достаточно, чтобы обчистить весь счет жертвы. Возникает вопрос, а как злоумышленники узнали логин и пароль доступа вкладчика? Вот как раз это делается достаточно «просто» - существует множество способов кражи, перехвата или подбора идентификационных данных, многие из которых мы уже рассматривали в предыдущих мифах. В данной угрозе мы уже никак не скованы временными рамками (или практически не скованы) и у злоумышленника есть достаточно времени, чтобы подчистую обчистить Интернет-счет клиента банка и успеть обналичить полученные преступным путем деньги.

А сейчас я хотел бы вновь вернуться к уровню банка. Ведь пока мы рассмотрели только цепочку по передаче SMS от банка до клиента. У нас же остается еще одна операция, которая тоже может представлять интерес для злоумышленников, – речь идет о вводе одноразового кода, полученного по SMS, в Интернет-банке. Существуют примеры подмены реквизитов перевода средств именно в момент нажатия пользователем кнопки «Оплатить». Так, например. действует троянец URLzone, который мы будем рассматривать в одном из следующих мифов.

Мы рассмотрели все элементы, участвующие в передаче одноразовых кодов от банка до его клиента. И на каждом из участков есть пробелы в безопасности. Где-то это маловероятные угрозы, а где-то прямо-таки зияющие дыры в защите. Разумеется, не все из них можно «поставить на поток», но как показал последний описанный пример с Альфа-банком достаточно одного пробела в системе безопасности и злоумышленники могут получить несанкционированный доступ к счету ничего не подозревающего клиента. И если многие угрозы носят технический характер и могут быть также устранены с помощью технических мер, то что делать если мошенник по фальшивой доверенности получил у оператора новую симку и стал получать все уведомления на свой телефон? С проникновением SMS-технологий в банковский сектор опасность этой угрозы может только возрасти