поиск по сайту
ДБО – как сделать это безопасным

Конявский В. А., научный руководитель ВНИИПВТИ, научный консультант ОКБ САПР

ДБО - как сделать это безопасным

Первые попытки создать системы дистанционного банковского обслуживания (ДБО) были зафиксированы 20 лет назад. В то время требования к защите были довольно определенными - доверенная среда и только она. Потом требования размылись, частично из-за отсутствия атак, частично - из-за отсутствия серьезного интереса у регуляторов. Так или иначе, о требованиях забыли. Конкуренция между компаниями, работающими в сфере ДБО, переместилась из сферы безопасности в сферу стоимости. Конечно, о безопасности пришлось забыть. Не вспоминали об этом и регуляторы.

В результате проблемы стали появляться. На редкие призывы задуматься об информационной безопасности никто внимания не обращал.

Настоящие проблемы в ДБО начались с появления трояна, который похищал ключи, размещенные на дискете. Этой проблемой стоило заняться профессионально. Однако, решение пришло, казалось бы, само собой - раз с дискеты воруют, положим ключи в другое место. И положили. На токен.

Абсолютно очевидно, что токены не делают ДБО безопасней, однако некоторые в эти абсурдные рекомендации поверили. Началась вакханалия бессмысленных решений: виртуальные клавиатуры (якобы хакер, способный внедрить клавиатурного шпиона для физической клавиатуры, не сможет внедрить его для виртуальной!), списки одноразовых паролей, SMS-информирование и т.д., и т.п. Но ведь работать с документами можно только в доверенной среде. Волеизъявление человека гарантированно защищено от изменений только в доверенной среде. Доверенная среда обеспечивает достаточные условия для функционирования криптографии.

Знания эти давно не являются сакральными, они доступны всем желающим, и для того чтобы не знать этого - нужно сильно постараться или притвориться. Большинство добросовестных вендоров это знают и понимают. Эксперты оценивают, что «банки выдали клиентам почти миллион защищенных носителей ключей ЭП (USB-токенов), соответственно, поле для деятельности хакеров крайне велико». Когда человек доверяет плохому или некомплексному продукту, у него возникает ощущение безопасности, что при реальной незащищенности обычно приводит к печальным последствиям. 3 млрд. долларов потерь в 2010 году, и 7 млрд. долларов - в 2011. Вот и результат.

Дешево, быстро, опасно - вот как расшифровывают сегодня ДБО.

На счетах банков вкладчики разместили около 11 триллионов рублей, и значительная часть их может быть утрачена в результате хакерских атак.

Что же нам надо. Рассмотрим гипотетическую компанию, которой нужно управлять счетом дистанционно.

Описание компании

Итак, компания - малое предприятие с небольшим количеством работающих (примерно 10-15 человек). Вид деятельности - торгово-закупочная. Персонал обладает квалификацией в области мелкооптовой торговли, типичный уровень образования - среднее специальное. В основном персонал работает в офисе, используя для работы Интернет. Все компьютеры объединены в локальную сеть, используемая ОС - Windows, сеть администрируется внешним администратором в режиме фриланса, все сотрудники размещаются в одном офисе. От бухгалтерии сотрудники ожидают немедленного осуществления платежей и информирования о поступивших платежах, владелец компании ожидает эффективного и беспроблемного финансового менеджмента.

Отсюда и возникает основное требование к решениям по ДБО - ничего не требовать, но обеспечивать основной процесс. Конфиденциальность платежей не является сколько-нибудь важной, важна безопасность и оперативность. Значит, нужно использовать электронную подпись (ЭП), и, следовательно, необходимо обеспечить выполнение требований по неизменности среды применения ЭП.

Рассмотрим теперь, кто и как может помешать деятельности компании.

Нарушитель внешний. Внешний нарушитель - организованная группа хакеров-профессионалов, имеющая в своем распоряжении все известные средства вторжений и перехвата. Дополнительную угрозу представляет администратор.

Нарушитель внутренний.  Внутренний нарушитель - не может делать ничего, кроме как подсмотреть пароль и несанкционированно воспользоваться системой ДБО. Максимум - установить на компьютер троян.

Итак, по известной классификации - внешний нарушитель Н5, внутренний - Н2. Наиболее опасные угрозы - перехват портов и перехват управления.

Как обеспечить безопасность ДБО?

Компьютер сделать изолированным невозможно, он был, есть и будет в составе ЛВС. Атаки на ДБО возможны со стороны Интернет, других компьютеров из ЛВС, возможны и закладки в компьютере для ДБО. Сеть не защищена. Основные угрозы - из Интернет. Таким образом, быть уверенным в том, что среда исполнения задач на компьютере является доверенной - совершенно невозможно. 

Решения для ДБО

Традиционными для ДБО являются многие решения, но нет решений, при которых выполняются все требования регуляторов и ожидания пользователей. Рассмотрим некоторые из них.

Использование токенов в качестве хранилища ключей. Не противостоит и не может противостоять ни одной из современных атак - ни перехвату ключей, ни перехвату управления. Мероприятие, на наш взгляд, абсолютно бессмысленное с точки зрения безопасности.

Использование токенов с обеспечением неизвлекаемости ключей. Защищает ключи от перехвата, но не защищает от их несанкционированного использования в результате перехвата управления. Применение в ДБО ничем не обосновано, так как не защищает ни от внутреннего, ни от внешнего нарушителя.

Защита компьютера от НСД к нему с помощью электронного замка. В качестве примера надежного СЗИ НСД можно назвать аппаратный модуль доверенной загрузки (АМДЗ) «Аккорд-АМДЗ». В достаточной степени защищает от внутреннего нарушителя при использовании изолированного компьютера, но такой защиты недостаточно для компьютера из незащищенной ЛВС, и тем более недостаточно для защиты от внешнего нарушителя.

Фиксированная среда исполнения задачи. Фиксация среды обеспечивается загрузкой ОС и исполняемой задачи с носителя, на котором неизменность записанных программ обеспечивается технологически (CD-диски, специальные загрузочные флешки, работающие в режиме ReadOnly (только чтение)). Это отчасти надежное и дешевое решение, но совершенно неудобное и некомплексное. Для каждого компьютера такой носитель нужно изготавливать отдельно, ведь его невозможно настроить, во всяком случае, невозможно сохранить настройки. Отдельно нужно хранить ключи подписи и другую важную информацию.

Организация изолированной программной среды (ИПС). ИПС организуется сертифицированными средствами разграничения доступа. Наиболее развитыми средствами создания ИПС является, например, специализированное ПО «Аккорд-Win32». Используется совместно с АМДЗ «Аккорд». Решение надежное, но дорогое, и требует профессиональных знаний по настройке СЗИ НСД.

Незащищенный компьютер с доверенным средством визуализации. Этот подход довольно давно предложен компанией IBM (еще в 2008 году). USB-устройство (ZTIC - Zone Trusted Information Channel) за счет собственных ресурсов устанавливает SSL-соединение с банковским сервером, по созданному защищенному каналу передает информацию банку, на встроенном дисплее отображает информацию о платеже, распоряжение о котором получил банк, и пользователь может отменить распоряжение, если на дисплее не то, что должно быть.

Остроумное решение ограничено тем, что дисплей - это всего две текстовых строки, а на устройстве всего две кнопки - для подтверждения платежа или отказа от него.

К этому времени в ОКБ САПР было разработано собственное устройство примерно этого типа, с условным названием «Шипка с экраном». Оно отображало платежки на цветном графическом экране 3,5", подписывало и шифровало.

В серию это устройство не пошло, так как мы увидели принципиальное ограничение этого подхода, а именно: или в устройстве крайне ограничены возможности и его очень неудобно применять, или оно само требует полноценной защиты от атак по перехвату управления, так как становится практически полноценным компьютером. Проверенным, и значит доверенным, может быть только простое устройство.

Тем не менее, идея не потеряла актуальности, и подобные устройства сегодня анонсируют ряд компаний, в том числе «Актив», «Банк Москвы» и другие.

Чем устройство, имеющее экран, процессор, ОС, СКЗИ, прикладное ПО, средства удаленного обновления - отличается от компьютера? Для него снова нужно обеспечивать доверенную загрузку, создавать ИПС и так далее и тому подобное. Дешево ли это? Увеличивает ли это безопасность?

Вывод - или неудобно, или проблемы не решаются.

Доверенный сеанс связи (ДСС). Концепция ДСС развивается ОКБ САПР уже довольно давно. Суть концепции заключается в том, что компьютер практически всегда используется в незащищенных сетях, и только иногда - в защищенных. Значит, нужно добиваться не «тотальной» защиты, что дорого и неудобно, а защиты, при которой «опасные» ресурсы разделяются, и не могут использоваться совместно.

Необходимый уровень защищенности ПК обеспечивается только на те периоды времени, когда высокая защищенность действительно необходима.

При этом пользователи могут выбирать режим работы на своем ПК: обычный режим (без доступа к сервисам доверенной ИС) и режим доверенного сеанса связи, в рамках которого обеспечивается защищённая работа с сервисами ИС.

Доверенный сеанс связи - период работы компьютера, в рамках которого обеспечивается доверенная загрузка ОС, организуется защищенное соединение, а также поддерживаются достаточные условия работы с ЭП.

Интересный вариант создания ДСС используется с 2008 года в одной из государственных структур. Задача - использовать одни и те же ПК в различных режимах в разные временные интервалы. При этом в защищенном режиме отключена сеть и недоверенные источники информационных ресурсов, а в незащищенном режиме недоступен защищенный диск. Такой режим обеспечивается совместным применением многих СЗИ НСД, в том числе Аккорд-АМДЗ и Аккорд-Win32, а переключение дисков «на лету» осуществляется с помощью специального аппаратного дополнения к СЗИ НСД «Аккорд», которое называется «Коммутатор SATA-устройств». Решение очень интересное и надежное, однако, для ДБО небольшой компании несколько дороговато. Широко применяемые решения должны быть дешевле.

Дешевле - средство обеспечения доверенного сеанса «МАРШ!», изготавливаемый в виде специализированного USB-устройства.

При начале доверенного сеанса связи пользователь загружается с «МАРШ»а (из защищенной от записи памяти), обеспечивая тем самым доверенную среду, жесткий диск компьютера не используется. Далее стартует браузер и все сопутствующее программное обеспечение, необходимое для работы. В браузере в доверенном сеансе обеспечивается защищенный обмен информацией с соблюдением всех требований 63-ФЗ.

После загрузки ОС на компьютер клиента и старта браузера устанавливается доверенный сеанс связи с сервером (VPN-шлюзом) центральной ИС (в данном случае - Банка). Сервер ИС выполняет авторизацию пользователя на доступ к сервисам ИС и соединение с требуемым сервисом ИС.

Такой вариант организации ДБО представляется наиболее соответствующим современным требованиям. Однако и он не лишен недостатков. Так, при использовании такого устройства пользователь должен будет провести настройку на параметры сети, которые определяются провайдером и зависят от него. Иногда это не слишком просто, и бухгалтер с такой настройкой может не справиться. Необходимо обеспечить «one-click» технологию и добиться независимости от провайдера.

Если собрать вместе все недостатки традиционных и новых решений, то можно сформулировать требования и к функциональности, и к защитным свойствам средств обеспечения безопасности ДБО.

Требования по функциональности

  1. Достаточность функций для любой архитектуры системы
  2. Мультиплатформенность решения
  3. Поддержка любой периферии
  4. Независимость от провайдеров сети
  5. One-click решение
  6. Возможность работы как в защищенном, так и в незащищенном режиме
  7. Низкая стоимость

Требования по безопасности

  1. Защита от перехвата паролей
  2. Защита от перехвата портов
  3. Неизвлекаемость ключей
  4. Защита от перехвата управления
  5. Безопасное обновление

Разработка устройства, которое отвечает всем требованиям, уже завершена. О нем мы расскажем в следующем выпуске журнала.


ФорумФорум
Форум ОКБ САПР
ОбучениеОбучение
Кафедра «Защита информации» ФРТК МФТИ и собственные курсы стажировок по нашей продукции.