Jump to content
Калькуляторы

GroupIB: "Мало кто помнит, что заказ или организация DDoS - это уголовное преступление"

Материал:

Группа информационной безопасности GroupIB - небольшое экспертное учреждение, которое занимается расследованием компьютерных преступлений. Созданное, по официальной информации, в 2003 году, оно обладает техническими и интеллектуальными возможностями для того, чтобы не только получить, но и грамотно оформить техническую документацию по DDoS-атакам для правоохранительных органов. О практике подобных действий, ботсетях, специфике расследований и тактике DDoS-атак злоумышленников нам рассказал генеральный директор компании Илья Сачков.

 

Полный текст

Share this post


Link to post
Share on other sites

Такие ватермарки - неуважение к пользователям.

Share this post


Link to post
Share on other sites

Такие ватермарки - неуважение к пользователям.

Мда, "собственник" явно добьется обратного эффекта...

Share this post


Link to post
Share on other sites
По числу таких атак немного, но по ущербу они могут быть весьма значительными, в среднем от 500 тыс. до 1 млн. долл., хотя мы видели платежки до 25 млн. долл. за раз.

500k$ - это 15 млн. руб.

 

Таких крупных хищений по системам ДБО - единицы. Особенно в последние пол-года.

 

Ибо такие суммы в направлении ранее не встречавшихся для данного юрика получателей, банки в подавляющем большинстве случаев подтверждают телефонным звонком руководству организации.

 

В реальной практике подавляющее большинство хищений по системам ДБО не выходит за 250 тысяч рублей.

 

Утверждаю из консолидированного опыта как разработчик системы ДБО "iBank2", широко используемой в российских банках.

 

Что касается 25 M$ - это уже Инцидент. С большой буквы. Тут надо бы за такой барский пассаж либо конкретику писать в подтверждение, либо забирать свои слова.

 

Хищение на 30 млн. руб. - это уже для ДЭБа с Житной.

 

Сначала готовится специальный компьютерный вирус, задача которого "проскользнуть" на компьютер пользователя, отсканировать его систему безопасности и найти возможность инициировать загрузку модуля для кражи данных, а также обеспечить его связь со своим модулем управления. Этот же "сканер" определяет и методы защиты, а также версию программы-клиента, которая стоит на компьютере бухгалтера. Соответственно, производится поиск ключей на жестком диске (иногда "для простоты работы" их туда сохраняют - Прим. ред.), а также, если есть, USB-токена.

"Проскользнуть", блин...

 

Матрица-N прям :)

 

Да по помойка и порносайтам клиенты шарятся.

 

Зайдешь с history браузера, посмотришь куда гендиректор/главбух ходят, и ....

 

Кстати, USB-токены бывают радикально разных двух типов - банальные файловые хранилища, отдающие в комп по правильному пин-коду файл с секретным ключом ЭЦП клиента, и USB-токены с неизвлекаемыми секретными ключами ЭЦП клиента - на вход токена платежка, на выходе токена ЭЦП под платежкой. Секретный ключ ЭЦП генерируется внутри USB-токена, хранится в защищенной памяти и никогда никем и ни прикаких условиях не может быть считан (скопирован) из этого USB-токена.

 

Первый тип USB-токена - файловое хранилище - профанация защиты.

 

Второй тип USB-токена - с неизвлекаемыми секретными ключами - не позволяет злоумышленнику скопировать секретный ключ ЭЦП клиента.

 

USB-токены с неизвлекаемыми секретными ключами ЭЦП клиентов за последние два года мы поставили в российские банки более 250 тысяч штук. Глобальная проблема хищения секретных ключей ЭЦП была решена.

 

Но вот вторая проблема - несанкционированное использование этих ключей при онлайновых атаках (когда клиент воткнул USB-токен в комп) - осталась. Особенно, когда USB-токен воткнут круглосуточно в системный блок под столом с круглосуточным доступом в Интернет.

 

И первые инциденты онлайновых атак на юриков начали появляться весной этого года. Воткнул юрик USB-токен в комп, подключился к iBank'у, сделал платежку, подписал и отправил в банк. Пошел покурить (токен не вынул). Возвращается, а на экране его монитора создается, сохраняется и подписывается еще одна платежка, и уходит в банк. Звонит тут же юрик в банк, блокирует платеж. Потом комп нам. Далее на компе обнаруживается троян с функциями RAdmin'а...

 

Далее обеспечивается возможность для удаленного управления таким компьютером. Как только бухгалтер начинает работу, контроль перехватывается и, скажем, инициируя отправку текущего платежа в пару тысяч рублей и вводя пароль или одноразовый код, в дополнение к USB-ключу, он может отправить десяток миллионов совсем на другой счет. Те хакеры, которые так работают, конечно, гении. На компьютере того же бухгалтера эмулируются все процедуры работы с банковским сервером, только на самом деле происходит все совсем другое.

Бредятина. Мы каждый попадающий к нам троян под нож кладем. Смотрим как и что нового. Всё на практике банально. Санала файлики с секретными ключами ЭЦП вылавливались.

 

Потом появились плагины к трояну с функцией удаленного доступа к консоли юрика.

 

Еще одно из "изобретений" - зашаривание трояном USB-портов. Плюс туннерирование трафика с хоста злоумышленника через комп клиента и прям до банка. Чтобы IP-адрес отправителя был клиентский.

 

То есть клиентский Java-апплет запускается и работает на компьютере злоумышленника. Для формирования ЭЦП используется зашаренный USB-порт на компе клиента, куда последний по дурости воткнут без присмотра свой USB-токен. Подпись формируется в USB-токене. Трафик от злоумышленника до клиента туннелируется в XMPP, а потом уходит в банк.

 

Ни с какой эмуляции трояном процедур работы с банковским сервером, по крайней мере для iBank2, мы никогда не сталкивались. Но видели очень много. Ибо самим интересно.

 

По поводу "гениев". Сами трояны - банальные конструкторы, которыми кишит Интернет. Сделаны конструкторы хорошо, добротно. А вот трояны на базе этих конструкторов - студенческие поделки. Даже на курсовой не потянут. Максимум на что хватает ума с "шифрованием" пересылаемых данных - base64 с изменением регистра.

 

По поводу DDoS'а - уже писали. DDoS на банк начинается сразу после отправки в банк левой платежки. Были случаи DDoS'а юрика.

Share this post


Link to post
Share on other sites

Хороший, годный пиар. И тема в целом раскрыта, так что получилось ненавязчиво...

Share this post


Link to post
Share on other sites
В реальной практике подавляющее большинство хищений по системам ДБО не выходит за 250 тысяч рублей.

 

Нас недавно именно так и наказали.

Но все таки на сумму превышающую 250т.р.

 

Увели деньги и грохнули комп главбуха. Пока комп поднимали, пока чухнули что случилось, плакать стало уже поздно.

Share this post


Link to post
Share on other sites
Еще одно из "изобретений" - зашаривание трояном USB-портов. Плюс туннерирование трафика с хоста злоумышленника через комп клиента и прям до банка. Чтобы IP-адрес отправителя был клиентский.

 

То есть клиентский Java-апплет запускается и работает на компьютере злоумышленника. Для формирования ЭЦП используется зашаренный USB-порт на компе клиента, куда последний по дурости воткнут без присмотра свой USB-токен. Подпись формируется в USB-токене. Трафик от злоумышленника до клиента туннелируется в XMPP, а потом уходит в банк.

 

Ни с какой эмуляции трояном процедур работы с банковским сервером, по крайней мере для iBank2, мы никогда не сталкивались. Но видели очень много. Ибо самим интересно.

Поставьте механическую или сенсорную кнопку подтверждения транзакции на токене.

Много проблем решите

Share this post


Link to post
Share on other sites
Нас недавно именно так и наказали.

Но все таки на сумму превышающую 250т.р.

Увели деньги и грохнули комп главбуха. Пока комп поднимали, пока чухнули что случилось, плакать стало уже поздно.

И чего, деньги совсем ушли, назад никак? Там же видно, куда они ушли, в чей адрес, платежка же в банк пришла и банк ее исполнил?

Share this post


Link to post
Share on other sites

А куда кнопку ставить на смарт-карту?! Кнопка не спасает.

 

Идеальный вариант - "картридер" с экранчиком и своим ДОВЕРЕННЫМ ПО на борту. На вход такому девайсу подаем платежку. Оная показывается клиенту на экранчике девайса. То есть клиент видит ЧТО подписывает. Вся криптография - в смарт-карте.

 

Девайс - компактный настольный, подключаемый по USB к компу. Под смарт-карту. Вся криптография (сертифицированная ФСБ, с российсикми ГОСТами - в карте).

 

Прототип девайса уже практически сделали. Фактически эдакий аппаратный "плагин" к Web-браузеру для просмотра и формирования ЭЦП под документами.

 

Даже рабочее название девайсу придумали - Trustscreen :)

 

Как бюджетный вариант предлагаем банкам настраивать индивидуально по каждому юрику пороговую сумму для платежки, при превышении которой к стандартной ЭЦП требуется еще и подтверждение этой платежки одноразовым паролем с использованием OTP-токенов или одноразовых паролей через SMS. Радикально помогает от онлайновых атак.

 

Но в любом случае эпоха хранения секретных ключей ЭЦП в копируемых файлах/хранилищах ПРОШЛА.

 

Смарт-карта и USB-токен с неизвлекаемыми секретными ключами ЭЦП клиента - это категорическая необходимость для механизма ЭЦП. С этим уже все и в ЦБ РФ согласны, и в 8-ом Центре ФСБ (ФАПСИ).

Edited by bifit

Share this post


Link to post
Share on other sites
Поставьте механическую или сенсорную кнопку подтверждения транзакции на токене.

Много проблем решите

Вот-вот!!! Делов-то на рыбью ногу: светодиод и кнопочка на этом USB-свистке. Диод мыргает - нажать просит. Если ты сам транзакцию не инициировал, - начнаем нервничать.

 

Кстати, то же относится к "беспроводным кошелькам" на базе банковского пластика, которые горе-изобретаторы пытаются внедрить.

Share this post


Link to post
Share on other sites

Проблема в том, что на экране компьютера клиента потенциально может отображаться одна платежка, а на вход токену/смарт-карте для формирования ЭЦП подаваться другая платежка.

 

И кнопка+светодиод НИКАК этому не противодействуют.

 

То есть USB-токен/смарт-карта не решают проблему "подписывать то, что надо".

 

Для контроля подписываемого документа нужна отдельная среда - тот же трастскрин или MAC-токен (эдакий калькулятор), формирующий HMAC от секретного ключа внутри и параметров документа.

 

Еще один вариант - мидлет с поддержкой QR-кодов. Подводишь мобилу с камерой к экрану монитора, считываешь мидлетом двумерный штрих-код с экрана, смотришь в мидлете, что тебе предлагается заверить (в QR-код можно загнать платежку). И если согласен - мидлет по аналогии с MAC-токеном формирует HMAC (эдакий аналог собственноручной подписи), который клиент вводит в качестве подтверждения платежки. Есть такое решение. Но на прогрессивную молодежь это позиционируется, а не на консервативных бухгалтеров.

Share this post


Link to post
Share on other sites

А то что информационная безопасность начинается с бумаг, об этом клиентам никто не рассказывает?

И иметь отдельный компик, с которого в Интернет за порнухой никто не ходит, это для клиента непосильная задача?

Или как компромисс - конфигурация, при загрузке которой возможна связь с единичным защищенным маршрутом - точка - точка с банком клиента, это тоже не судьба?

Share this post


Link to post
Share on other sites
А то что информационная безопасность начинается с бумаг, об этом клиентам никто не рассказывает?

И иметь отдельный компик, с которого в Интернет за порнухой никто не ходит, это для клиента непосильная задача?

Или как компромисс - конфигурация, при загрузке которой возможна связь с единичным защищенным маршрутом - точка - точка с банком клиента, это тоже не судьба?

В данном случае речь, похоже, идет не о компе работника банка, а о компе клиента, где отношение к ИБ может быть самым разным.

Share this post


Link to post
Share on other sites
отправил AlexBT

И иметь отдельный компик, с которого в Интернет за порнухой никто не ходит, это для клиента непосильная задача?

Или как компромисс - конфигурация, при загрузке которой возможна связь с единичным защищенным маршрутом - точка - точка с банком клиента, это тоже не судьба?

Для массового клиента-юрика - абсолютно точно не судьба. Подробности - см. жаркие обсуждения банковских айтишников на форуме "Электронный банкинг" на http://dom.bankir.ru/forumdisplay.php?f=18

Edited by Dimitry_Repan

Share this post


Link to post
Share on other sites

Так. Тогда вопрос "для простых юриков".

Вот есть банк, который дает только usb-смарткарты. Без вариантов.

Что делать?

1. Однозначно менять банк на тот, где есть неизвлекайки.

2. Делать отдельный комп на котором строить платежи и т.п.

3. Достаточно хорошего антивируса и не ходить в сети где попало.

 

 

Share this post


Link to post
Share on other sites

Рекомендации юрику:

 

1. Эпоха хранения секретный ключей ЭЦП в файлах прошла. Всегда и везде надо использовать устройства с неизвлекаемым ключами. Мы рекомендуем в формате смарт-карт. Хотя конечно можно и USB-токен. Причин в пользу смарт-карт несколько:

 

- Очень часто USB-токен один раз втыкают в свой системный блок сзади под столом и никогда не вынимают. Отсюда угроза несанкционированного использования USB-токена, круглосуточно и бесконтрольно подключенного к компьютеру с доступом в Интернет. Если USB вынесен на стол в виде настольного USB-хаба или USB-портов сбоку монитора (у меня Dell 24" с USB-портами слева - очень удобно) - тогда можно рекомендовать USB-токен.

 

- Смарт-карта всегда будет на столе ибо вместе со смарт-картой юрику нужен картридер. Как правило, простенький добротный настольный за 10$ с подключением к USB.

 

- Смарт-карта привлекательнее чем USB-токен, поэтому с большей вероятностью из двух вариантов с рабочего стола стырят смарт-карту. Плюс инстинкт вынимать карту из банкомата. Короче - вероятность вытаскивания смарт-карты из картридера выше, чем USB-токена из монитора или настольного USB-хаба. И как следствие ниже вероятность онлайновых атак на юрика с несанкционированным использованием девайса с неизвлекаемыми секретными ключами ЭЦП.

 

- Смарт-карта банально компактнее USB-токена. Большинство главбухов - женского пола. А карманы на женской одежде носят декоративный характер, в отличие от функциональности карманов на одежде мужчин. И женщинам тонкую гнущуюся смарт-карту с собой носить проще и удобнее, чем объемный USB-токен. Опять же в портмоне смарт-карта влазит штатно, а USB-токен либо отдельно хранить, либо к связке ключей цеплять.

 

Есть еще одна причина в пользу смарт-карт - банки на сматр-картах при изготовлении размещают свои логотипы, информацию с телефоном банковской техподдержки, с URL точки входа в систему банка. В общим смарт-карта - эдакая рекламная площадка для банка.

 

2. Делать отдельный выделенный под ДБО (дистанционное банковское обслуживание) комп - это конечно ОЧЕНЬ хорошо. Если ресурсы позволяют - так и делайте. Но не превращайте это в профанацию. Уж если выделили отдельный комп - тогда ставьте на него Linux, закрывайте все порты, удаляйте не нужные приложения, ставьте и постоянно обновляйте антивирус, на корпоративном файрволе разрешайте доступ с этого компа только на банковские точки входа в системы электронного банкинга.

 

3. Третий вариант - наиболее жизненный. При работе на компьютере в Интернете надо "вести здоровый образ жизни", использовать системное ПО из доверенных источников, оперативно накатывать патчи на системное ПО, использовать и оперативно обновлять антивирус, персональный файрвол, средство защиты от НСД.

 

4. Использовать механизм оперативного информирования руководства юрика через SMS без возможности отключить SMS-информирование удаленно через электронный банкинг.

 

5. Для платежей на сумму свыше критичной - использовать кроме штатной ЭЦП еще и дополнительное средство подтверждения платежки одноразовым паролем или АСП (тот же HMAC).

 

6. Использовать ДВЕ ЭЦП под платежкой - одна ЭЦП диреткор и одна ЭЦП главбуха. Причем секретные ключи этих ЭЦП должны быть на разных токенах и исопльзолваться на разных компьютерах. Главбух на работе может со своим USB-токеном/смарт-картой создать платежку и подписать свой ЭЦП. А директор со своего ноутбука просмотреть эту платежку в Интернет-Банкинге и подписать своей директорской ЭЦП из своего USB-токена/смарт-карты. В iBank'е по каждому юрику для каждого типа документа можно установить свое необходимое количество ЭЦП. Система поддерживает до 8 груп ЭЦП - оператор без права заверять документы ЭЦП (группа 0), директор со своими замами (группа 1), главбух со своими замами (группа 2), внешний контролер со своими замами (группа 3) и т.д.

Edited by Dimitry_Repan

Share this post


Link to post
Share on other sites
В данном случае речь, похоже, идет не о компе работника банка, а о компе клиента, где отношение к ИБ может быть самым разным.
Поверьте, вирья на компах работников банков не меньше, чем у хомячков.

 

2. Делать отдельный комп на котором строить платежи и т.п.

Самое простое и легкое решение. В добавок комп еще и оградить на корпоративном фаерволе от интеренета вообще, и разрешить ходить только на определенные ip в определенное время (т.е. вне рабочего времени комп в инет не ходит).

Share this post


Link to post
Share on other sites
Уж если выделили отдельный комп - тогда ставьте на него Linux, закрывайте все порты, удаляйте не нужные приложения, ставьте и постоянно обновляйте антивирус, на корпоративном файрволе разрешайте доступ с этого компа только на банковские точки входа в системы электронного банкинга.
А как быть, если банк-клиент написан горе-кодерами на дельфях, работает только в определенной версии винды (включая опеределенные версии виндовых библиотек) ? Плюс вопрос про связку с бухгалтерской программой - там все тотально под винду. Так что linux , даже с wine - не может быть операционной системой для машины, откуда платежки идут.

 

А вот купить нетбук с установленной и обновляющейся виндой, и, когда он не нужен - усыплять и убирать его в сейф - вполне легко. Плюс прикрыть доступ этого компа на фареволе. И вопрос бесопастности будет зависить в основном от персонала - насколько хорошо он будет выполнять инструкцию "провел платежки - усыпил и убрал комп в сейф".

 

Share this post


Link to post
Share on other sites

А еще есть формуляр на криптографическое средство, в котором много чего полезного написано по части ИБ для клиента.

Share this post


Link to post
Share on other sites

Ага, пообсуждав тему, закономерно приходим к банальному выводу: ИБ - это не техника, а оргмероприятия. Техникой все не закроешь. Оргмероприятиями можно закрыть даже серьезные проблемы в технике. Такие дела...

Share this post


Link to post
Share on other sites
Guest интересующийся

Касательно сумм - они бывают очень разные, но на практике почти всегда измеряются миллионами рублей. Вариантов, что на счету организации были миллионы, а сняли только несколько сотен тысяч я не припомню. В некоторых случаях такие платежи являются нетипичными и отсекаются банком путем звонку клиенту. А для многих клиентов подобные платежи не представляют из себя ничего необычного. Да и сами такие платежи наиболее часто идут во второй половине дня, в пятницу. При этом часто оказывается, что у клиента на месте уже никого нет - все "на шашлыки" разъехались, и на телефонный звонок из банка просто никто не отвечает. И у банка возникает дилема: пропустить или отложить до понедельника платеж на несколько миллионов. Иногда откладывают и в понедельник имеют с клиентом разговор на повышенных тонах о том, почему банк необоснованно задержал платеж. А иногда не решаются заблокировать и получают успешный увод денег.

 

Касательно токенов все тоже не столь однозначно: с точки зрения защиты информации токен с неизвлекаемыми ключами не сопоставим с "файловым" токенам. А с точки зрения бизнеса все интереснее: на практике клиенты достаточно часто токены ломают. Типичная ситуация: системный блок стоит на полу/рядом с проходом, токен воткнут в разъем на передней/верхней панели. Одно неверное движение ногой/филейной частью главбуха и "свисток" распадается на 2 части.

Резервной копии ключей нет и быть не может. А тут платежи стоят в очереди, и их, зачастую, очень много.

А единственный вариант повторного подключения к системе - генерация ключевой пары, запроса на сертификацию, подготовка доверенности, заявления на сертификацию и прочих бумаг, явка в УЦ с бумагами, генерация сертификата в УЦ, передача сертификата клиенту. Т.е. несколько дней клиент будет без Банк-клиента. А если у клиента несколько тысяч платежей в день? Вот и выставляют клиенты требования, что лучше хранить ключи на дискете, а еще 5 ее экземпляров, на всякий случай, в сейфе.

Share this post


Link to post
Share on other sites
на корпоративном файрволе разрешайте доступ с этого компа только на банковские точки входа в системы электронного банкинга.
Плюс прикрыть доступ этого компа на фареволе.
Мне любопытно - а что, по-умолчанию компу просто даётся доступ через NAT без каких-либо ограничений?

И что ограничивать, если у компа доступ в инет только на 80-ый порт через squid+проброс пары портов на определённые порты через NAT, и всё?

Share this post


Link to post
Share on other sites
Нас недавно именно так и наказали.

Но все таки на сумму превышающую 250т.р.

Увели деньги и грохнули комп главбуха. Пока комп поднимали, пока чухнули что случилось, плакать стало уже поздно.

И чего, деньги совсем ушли, назад никак? Там же видно, куда они ушли, в чей адрес, платежка же в банк пришла и банк ее исполнил?

Ушло в сбер на частное рыло. "В качестве уплаты претензий господину такому-то по причинение вреда здоровью"

 

Мы отдали вопрос в милицию и даже нет желания интересоваться как там дела. Там по этому делу несколько пострадавших, мы далеко не самые крупные. Наверное, люди которые это сделали понимали как будут уводить деньги из сбера.

 

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
Sign in to follow this