Сейф для денег.

Aug 14, 2012 15:25

Или «Деньги для сейфа». А также «Деньги для денег» и «Сейф для сейфа».

Где хранятся деньги? Если они вдруг есть или внезапно появились. Даже если их нет - а вдруг они материализуются откуда-нибудь и их надо будет куда-то надёжно перепрятать?

Да, волшебные бабушкины чулки и укромные подматрасья никто не отменял. Но это «олд скул». В остальном налицо тенденция превращения «хрустящих и звенящих» денег в деньги виртуальные, к которым прицепом идёт много полезных «плюшек» как онлайн-банкинг, онлайн-покупки и чего только «онлайн» сегодня не сыщешь. А на них как мухи слетаются кибер-негодяи, дюже охочие до чужих банковских счетов и пластиковых карточек. И это не угроза пары немыто-волосатых маргиналов из подвала, а масштабная проблема мирового масштаба. Это чётко работающая криминальная индустрия c многомиллиардным оборотом. Немудрено, что защита финансовых транзакций в Интернете стала проблемой №1 [PDF] для большинства пользователей.

Соответственно, для новых денег тоже нужен сейф. Такой же виртуальный, но от этого не менее надёжный. Поэтому расскажу про нашу новую технологию "Безопасные платежи" (в английской версии - Safe Money), которая появилась в новой версии KIS.

Чтобы понять тонкости и преимущества этой технологии сначала посмотрим какие приёмчики в ходу у кибер-криминала, чтобы поглубже засунуть руку в наш виртуальный карман. Точнее, как они добывают явки логины-пароли пользователей для доступа к онлайн-банкингу и другим денежным аккаунтам?

Есть три основных варианта, самых популярных в кибер-воровском мире:
  • Заражение компьютера жертвы троянской программой для кражи данных и фонового сбора информации вроде скриншотов и нажатий клавиатуры. При этом заражают, как зачастую, через уязвимости в популярном софте.
  • Фишинг и социальный инжиниринг - имитация настоящих онлайн-магазинов, банковских веб-сайтов, диалогов, даже телефонных звонков и др.
  • Различные технологичные атаки вроде сниффинга, подмены DNS/Proxy-серверов, подмены сертификатов и др. для перехвата трафика по схеме Man-in-the-Middle, а также Man-in-the-Browser, вардрайвинг и др.
Отсюда следуют три основные проблемы защиты от финансового кибер-мошенничества. А именно: а) отсутствие надёжной идентификации сайтов, б) отсутствие доверенного соединения через интернет между клиентом и онлайн-сервисами, в) отсутствие гарантий, что программное обеспечение компьютера не содержит уязвимостей , которые могут эксплуатироваться зловредным ПО

На самом деле некоторые части этой проблематики закрывают современные продукты класса Internet Security. Например, только ленивый сейчас не предлагает встроенную защиту от фишинга (другой вопрос - качество защиты). Однако для рабочих сценариев из реальной жизни (о сценариях ниже) этого недостаточно. Мало того, что в большинстве продуктов отсутствуют все необходимые фичи. Хуже, что они не работают слаженно на решение конкретной проблемы. А тут требуется комплексное, многоуровневое  лекарство.

Здесь на сцену выходит технология "Безопасные платежи".

В начале работы с новой версией KIS вы вводите адрес(а) онлайн-сервисов, которые требуется защитить (банкинг, магазины, платежные системы и пр.)  Кроме того в продукте есть нехилая база адресов таких сайтов, включающая более 1500 различных банков в 84 доменах. При входе на сайт достаточно ответить на один вопрос «хотите ли вы запустить сессию в защищенном режиме», после чего  при всех дальнейших операциях с этими адресами автоматически будет запускаться специальная защищённая сессия браузера.



В чём состоит защищённый режим браузера?

Во-первых, мы автоматически задействуем ряд анти-фишинговых технологий, включая проверку репутации сайта в нашей облачной системе KSN (видеоподробности) и эвристический анализатор сайтов. Таким образом, даже если кибер-негодяи охмурили пользователя письмом якобы от его банка и заставили перейти на поддельный сайт, то защита распознает атаку, предупредит и заблокирует. Разумеется, спуфинг (подмена адресов сайтов) тоже не пройдёт.

Во-вторых, KIS проводит валидацию цифровых сертификатов (согласно базе данных KSN) для установления действительно доверительного, защищённого соединения с сайтом и предотвращения использования поддельных сертификатов.



В-третьих, каждый раз при запуске мы делаем экспресс-сканирование операционной системы для выявления критических уязвимостей, которые могут использоваться злоумышленниками для атаки на компьютер и обхода стандартной защиты. Если уязвимости найдены - пользователю выводится предупреждение и предлагается запустить Windows-апдейтер для установки обновлений.

Наконец, защищённый режим браузера включает расширенный режим контроля программ (HIPS) специально для веб-сайтов, защищает вводимые с клавиатуры символы при помощи как знакомой по предыдущим версиям наших продуктов виртуальной клавиатуры, так и новой технологии "Безопасная клавиатура", защищающей от клавиатурных перехватчиков (кейлоггеров) на уровне драйвера операционной системы.



Таким образом, мы создаём интегрированную, многоуровневую защиту, «заточенную» для борьбы с финансовым мошенничеством и специализированными вредоносами. Важно - защита синхронизирует все необходимые компоненты продукта (в том числе "Автоматическую защиту от эксплойтов" -  Automatic Exploit Prevention для блокировки как известных, так и неизвестных атак через уязвимости) для безопасной работы с «денежными» онлайн-сервисами. Проще говоря, под руководством "Безопасных платежей" защитные технологии больше не действуют поодиночке. Наоборот - работают сообща, обмениваются информацией, следуют единой стратегии, при этом каждая выполняет свой фронт работ.



Есть и другие преимущества этой технологии: она абсолютно прозрачна для пользователя. Не нужно каждый раз «ручками» включать специальный защищённый режим - это происходит автоматически, причём браузер наглядно сигнализирует об активации режима подсветкой окна, так что не перепутаешь. Технология не требует настройки и не «грузит» избыточными вопросами: пользователю выводятся только предупреждения о блокированных атаках. И, да, разумеется "Безопасные платежи" совместима с самыми популярными (читай: «самыми атакуемыми) браузерами - Internet Explorer, Chrome и Firefox.

А теперь по сценариям из реальной жизни.

Мы попросили независимую чешскую лабораторию Matousec провести сравнительный тест, эмулирующий распространённые атаки на «денежные» онлайн-сервисы для проверки качества виртуальных сейфов. Ребята тестировали 15 распространённых сценариев [PDF] и посмотрели как 14 разных продуктов с ними справляются:



Как видите, ситуация печальная. Половина вообще мышей не ловит, а 100% результат показали только два продукта, в их числе новый KIS с технологией Безопасные платежи. При этом второй продукт - узкоспециализированное решение для онлайн-банкинга, в котором нет всех полезных фичей для комплексной защиты от других типов угроз.

В заключение, отвечу на актуальный вопрос. Резонно спросить, а зачем вообще нужна эта технология? Нормальные банки вовсю используют многофакторную аутентификацию, одноразовые пароли, SMS-оповещения, защищённые соединения, политику оценки и аудита паролей, даже иногда попадаются сервисы с виртуальными клавиатурами (например, в Банке Москвы). Может "Безопасные платежи" вообще избыточная штука?

Действительно, некоторые прогрессивные банки сильно продвинулись в этом направлении, что не может не радовать! Но, во-первых, киберпреступники тоже не стоят на месте и постепенно учатся обходить средства подтверждения онлайн-операций. Пример - мобильный Zeus, «заточенный» на кражу одноразовых кодов доступа, присылаемых по SMS. Во-вторых, увы, таких продвинутых банков пока не так уж и много. А в онлайн магазинах вообще всё плохо. Там главное не безопасность, а юзабилити, поэтому все секюрити фишки быстро приносятся в жертву коммерции. Посмотрите на Амазон с его «покупкой за один клик» - для оформления заказа и оплаты с карточки достаточно ввести пароль. Наконец, «денежные» операции в интернете - самые чувствительные, развитие угроз - самое непредсказуемое и потому дополнительный уровень защиты никогда не будет лишним.

Вот так. Спасибо за то, что дочитали эту историю до самого конца. Всем желаю удачной работы, побольше денег и надёжного сейфа!

Подробнее о технологии "Безопасные платежи" (PDF).

technology

Previous post Next post
Up