1. Вступ
2. масові атаки
3. Цільові атаки
4. інсайдерський слід
5. PCI DSS нічого не гарантує
6. Системи обробки транзакцій вимагають особливого підходу до захисту
7. Safe'n'Sec TPSecure - захист банкоматів і POS терміналів
8. Порівняння рішень для захисту банкоматів

Банкомати та платіжні термінали швидко переходять на системи з елементної базою Intel, операційні системи на базі Microsoft Windows і використовують протоколи TCP / IP. Все це серйозно збільшує ризики атак на дані пристрої, прецеденти яких вже були. В даній статті проаналізовані існуючі загрози для систем обробки транзакцій, підходи до їх захистів, а також зроблено базове порівняння рішень Safe'n'Sec TPSecure, McAfee SolidCore і Symantec EndPoint Protection.

1. Введення

2. Масові атаки

3. Цільові атаки

4. інсайдерської слід

5. PCI DSS нічого не гарантує

6. Системи обробки транзакцій вимагають особливого підходу до захисту

7. Safe'n'Sec TPSecure - захист банкоматів і POS терміналів

8. Порівняння рішень для захисту банкоматів

Вступ

Метою кіберкріміналітета, природно, є гроші. Для їх відбирання у населення придумуються і використовуються численні методи і технології - пишуться шкідливі програми, зламуються сервера підприємств, крадуться дані і т.п. Сьогодні всі розуміють, що кіберзлочинність - це великий бізнес, на якому можна заробити грошей часто більше, ніж на торгівлі наркотиками або зброю, а ризики бути спійманим і покараним при цьому набагато менше. Тільки за відомими даними МВС РФ в 2009 році в Росії було реєстровано понад 17 тисяч злочинів у сфері інформаційних технологій.

масові атаки

У гонитві за чужими грошима кримінальна активність спрямована по двох основних векторів. Перший з них - масові персональні користувачі. Тут активно застосовуються різні шкідливі програми, соціальна інженерія, вимагання і безліч інших видів інтернет-шахрайства, включаючи популярні останнім часом методи з використанням SMS-платежів.

Іноді під масовий застрелив потрапляють великі фінансові організації. Так, наприклад, знаменитий черв'як Slammer заблокував в 2003 році роботу 13.000 банкоматів Bank of America, і всіх банкоматів канадського Imperial Bank of Commerce. Ситуація повторилася з хробаком Welchia, коли також були вражені банкомати Diebold декількох комерційних банків, що працюють під управлінням операційної системи Windows XP Embedded. Заражені банкомати починали активно шукати інші машини, в операційній системі яких була вразливість RPC DCOM і в результаті, Welchia спочатку виводив з ладу систему банківського захисту від зовнішніх вторгнень, а потім і зовсім відключав банкомати.

«Як таке можливо, - запитаєте ви, - щоб банкомати заражалися подібно простим домашнім комп'ютерам?» Вся справа в масовому перекладі банкоматів з IBM OS / 2 через закінчення її підтримки з боку вендора на модифіковані версії Microsoft Windows. Це призвело до того, що банкомати подібно звичайним робочим станціям або домашніх комп'ютерів стали уразливі перед шкідливими програмами, що використовують уразливості базових компонентів Windows.

У серпні 2009 року європейське агентство з мережевої та інформаційної безпеки (ENISA) опублікувало звіт під назвою «Злочини зі зломом банкоматів: Огляд ситуації в Європі і методи запобігання» ( ATM crime - Overview of the European situation and golden rules on how to avoid it ). У звіті звертається увага на зростаюче число злочинів зі зломом банкоматів і наводяться засоби захисту від них. З точки зору ENISA наявність декількох сторін, що беруть участь в експлуатації мереж банкоматів, призводить до проблем їх комунікації, зокрема, з питань безпеки. Часто буває складно визначити, хто саме відповідальний за цю проблему.

Крім цього після установки банкомати рідко оновлюються і погано справляються. Відповідно до вимог регуляторів, в тому числі ФЗ №152 «Про захист персональних даних», оновлення для операційної системи (в даному випадку для модифікованих версій Microsoft Windows) спочатку повинні бути протестовані, сертифіковані ФСТЕК, а тільки потім поширені, що створює додаткові труднощі .

За даними зі звіту компанії VDC для директорів з інформаційних технологій компаній, що займаються роздрібною торгівлею, в 43% від загального числа систем касових терміналів використовувалася операційна система Microsoft Windows. У звіті по роздрібним мережам касових терміналів в Північній Америці, підготовленому IHL Group і випущеному в березні 2008 року, 76% всіх нових касових терміналів були поставлені з попередньо встановленою операційною системою Microsoft Windows, в 2007 році цей показник становив 71%.

Швидке збільшення частки Windows на ринку пояснюється не тільки зростанням кількості банкоматів, а й заміною старих через невідповідність новим вимогам платіжних систем Europay / Mastercard і Visa, зокрема підтримки вбудованих комп'ютерних чіпів, а також вимогам законодавства розвинених країн про рівні можливості для інвалідів.

В результаті касові термінали і банкомати через використання в них старих версій Microsoft Windows (як правило, це NT 4.0 і XP) стають в один ряд з простими персональними комп'ютерами для потенційних атак зловмисників.

Цільові атаки

Другий вектор атаки - це підприємства державного і фінансового сектора, які безпосередньо працюють з коштами або ліквідними на чорному ринку персональними даними громадян. Головною мішенню тут стають банки. Де ж, як не у них, можна швидко розжитися великими грошима? Але масові технології на цьому напрямку не так ефективні, дані добре захищаються, є служба безпеки, до того ж кожна організація по-своєму унікальна, має свої бізнес-процеси і набір технологій захисту. Щоб бути успішним на цьому напрямку кіберзлочинцям доводиться освоювати «творчий підхід», розробляти індивідуальні або, як прийнято говорити, цільові (таргінг, від анг. Targeted) атаки.

Часто атаки на інформаційні системи банків проводяться через халатно залишені лазівки або елементарно опрацьованою моделі ризиків. Це можуть бути недокументовані мережеві підключення, відкриті бездротові мережі, неоновлення програмне забезпечення, Незаблокована підключення зовнішніх пристроїв, відсутність регламенту доступу до важливої ​​інформації і т.п.

Незважаючи на те, що перехід від закритих систем обробки транзакцій до відкритих пропонує ряд переваг (легкість у використанні, низька вартість установки і експлуатації і т.д.), він створює безліч уразливих місць (це особливо стосується автоматичних терміналів), що підвищує ризик відомих і невідомих погроз. Часті оновлення і перезавантаження системи, які необхідні для роботи традиційних засобів захисту від шкідливих програм з метою забезпечення безперервної безпеки, просто нездійсненні в автоматичних системах, таких як банкомати і POS-термінали.

Хорошим прикладом цільової атаки є злом платіжної системи RBS WorldPay в листопаді 2009 року, коли в банкоматах 280 міст світу за 15 хвилин була вкрадена сума, приблизно рівна 9 млн. Дол. США.

Але найцікавіший випадок був зафіксований в березні 2009 року, коли фахівці антивірусних компаній Sophos, «Доктор Веб» і «Лабораторії Касперського» виявили троянську програму (Troj / Skimer-A, Trojan.Skimer і Backdoor.Win32.Skimer.a відповідно), викрадала інформацію про власників банківських карт прямо в банкоматах під керуванням Diebold Agilis.

Згідно з опублікованою інформацією зараження банкоматів були зафіксовані в мережах Росбанка, Бінбанку і «Петрокоммерца». За даними самої компанії Diebold, цей вірус був виявлений в січні 2009 року, тоді ж виробник вніс необхідні зміни в ПО і попередив банки-клієнти. Ніхто достеменно не знає, коли саме були заражені банкомати і скільки ще модифікацій є і буде у цього банківського трояна. Антивірусні аналітики схильні вважати, що дана троянська програма активно розвивається і допрацьовується зловмисниками для подальшого використання.

Буквально через кілька місяців, влітку 2009 року, банківське співтовариство і його клієнти, знову була стривожена новиною про виявлену в банкоматах Східної Європи троянської програми. Згідно з дослідженням аналітиків Trustwave, ці шкідливі програми зчитують дані магнітних смуг банківських карт, а також PIN, і одночасно надають злочинцям зручний інтерфейс управління і можливість роздрукувати вкрадену інформацію за допомогою вбудованого принтера для друку чеків.

Важливо відзначити, що зараження банкоматів і банківські трояни - не тільки російська проблема, як іноді подається в зарубіжних ЗМІ. Загроза однаково актуальна у всіх країнах світу, де використовуються платіжні карти і встановлені банкомати.

У підсумку 2009 виявився чорним для безпеки в банківській галузі. Якщо раніше мова йшла про те, що віруси могли, в гіршому випадку, привести до некоректної роботи банкоматів, то сьогодні ми говоримо про те, що атаки на банкомати здатні завдати шкоди клієнтам банків. Зрозуміло, подібного роду інциденти вкрай негативно позначаються на репутації банків, тому вимоги до якісних характеристик банкоматів і їх захист постійно посилюються.

інсайдерський слід

У всіх описаних вище сумних історіях не варто виключати горезвісний людський фактор. Багато великих крадіжки грошових коштів та даних клієнтів явно були б неможливими без участі спільників (інсайдерів) всередині самої компанії, що атакується.

Представники Diebold прямо заявляли про те, що для того щоб впровадити шкідливе ПЗ шахраї повинні були мати фізичний доступ до «начинки» конкретного банкомату, і такого роду аспекти безпеки банкоматів, як обмеження доступу до них, зміна заводського пароля, установка відеокамер і т.д . знаходяться вже в компетенції банків.

У випадку з банкоматами Diebold зловмисники повинні були знати, як працюють банкомати Diebold і їх програмне забезпечення Agilis Software на базі Microsoft Windows XP, мати доступ до опису API і іншим технічним деталям.

Більш того, для підвищення ймовірності успіху цільової атаки зловмисникам непогано було володіти інформацією про встановлені засобах захисту в банку-жертві і процесах обслуговування та забезпечення безпеки інформаційних систем. Без допомоги інсайдера отримати таку інформацію складно.

Не варто думати, що завжди до крадіжки грошей причетні поточні співробітники банку, продалися зловмисникам. Інсайдерами можуть виступати колишні співробітники банку, прекрасно обізнані про внутрішні справи, або ж співробітники банку, які використовуються «втемну». Категорія колишніх сильно поповнилася в період глобальної економічної кризи, а недбалих і некомпетентних в питаннях безпеки рядових співробітників буде багато в усі часи.

PCI DSS нічого не гарантує

Однією з вимог індустріального стандарту безпеки для організацій, що працюють з платіжними картками (PCI DSS Requirements and Security Assessment Procedures, v1.2, жовтень 2008), є «забезпечення захисту системи від існуючих і розвиваються загроз, зокрема, шкідливих програм».

Вимоги PCI DSS обов'язкові і змушують як фінансові, так і роздрібні організації стрімко переходити на нові операційні системи і програми для того, щоб забезпечити виконання вимог стандартів, під загрозою штрафів з боку компаній-емітентів кредитних карт або з боку федеральних або місцевих органів в разі витоку даних. Вимога 7. Надання доступу до інформації про власників карт строго з урахуванням виробничої необхідності зобов'язує ввести системи контролю доступу, що захищають від ненавмисних помилок або зловмисних дій інсайдерів. Крім того, Вимога 10. Відстеження і моніторинг всіх операцій доступу до даних мережі та інформації про власників карт направлено на максимальне зниження збитків від дій інсайдерів. Дана вимога передбачає ведення контрольного журналу по призначених для користувача і системним компонентам.

Було багато написано про необхідність і ефективності стандарту PCI DSS і містяться в ньому вимоги про те, щоб всі компанії, що займаються обробкою платежів з використанням дебетових і кредитових карт, повинні забезпечити захист своїх систем від "існуючих і ймовірних загроз атаки із застосуванням шкідливого програмного забезпечення" . Очевидно одне, стандарт PCI DSS на практиці нічого рівним рахунком не гарантує.

Постраждалі Royal Bank of Scotland (RBS WorldPay) і Heartland Payment Services (жертва вже легендарного Альберта Гонсалеса ) Були PCI DSS Compliant і їм це не допомогло. Заражені троянськими програмами банківські системи були також сертифіковані по PCI DSS і їм це не допомогло.

Очевидно, що ніякі стандарти все одно не допоможуть від цільових атак на конкретний банк. Точно також проти цільових атак по визначенню не приносять користі стандартні традиційні засоби захисту. Зрозуміло і те, що потрібно використовувати якийсь абсолютно інший підхід до захисту система обробки транзакцій. Про те, яким він може бути, я розповім в наступному розділі.

Системи обробки транзакцій вимагають особливого підходу до захисту

Останні роки корпоративні рішення в області захисту від шкідливих програм принципово залишалися незмінними. Класичний сигнатурної виявлення доповнювалося проактивними компонентами, такими як евристика, емуляція коду або поведінковий аналіз. З урахуванням того, що в вірусні лабораторії вендорів щодня прибувають десятки тисяч нових зразків шкідливих програм , Традиційні технології не в змозі забезпечити надійний рівень захисту для критично важливих інформаційних систем, до яких відносяться банківські системи.

По-перше, зловмисники завжди можуть оттестировать свої шкідливі програми на стандартних антивірусних засобах захисту, щоб забезпечити успішне проникнення в систему. По-друге, спеціально написані шкідливі програми через свою унікальність можу дуже довго залишатися непоміченими в системі обробки транзакцій, так як антивірусним вендорам просто нізвідки буде отримати зразок для аналізу і забезпечення детектив.

Очевидно, що в таких умовах необхідний інший підхід до захисту, повністю заснований на проактивного захисту всіх точок системи обробки транзакцій не тільки від зовнішніх, а й від внутрішніх загроз (встановити шкідливі програми, викрасти інформацію або порушити роботу системи цілком може і хтось із обслуговуючого персоналу). Це стає можливим тільки завдяки жорсткому контролю над програмним забезпеченням в режимі реального часу, що гарантує, що в роботу дозволених додатків не зможе втрутитися ніхто і ніщо.

Тільки забезпечивши безпечну роботу додатків, можна гарантувати, що система буде безперервно перебувати в справному стані, буде захищена від втручання в її роботу відомих і нових шкідливих програм і не стане жертвою витоку даних - випадкової або зловмисно спровокованої зсередини організації. Більш того, рішення повинно надавати всі ці можливості без необхідності безперервного оновлення, коригування та перезавантаження для гарантії працездатності захисту.

Рішенням в повній мірі відображає такий новий підхід є, наприклад, Safe'n'Sec TPSecure російської компанії SNSafe & Software. Це рішення багато в чому є унікальним на ринку і спеціально призначене для захисту системи обробки транзакцій, тому хотілося б зупинитися на ньому докладніше.

Safe'n'Sec TPSecure - захист банкоматів і POS терміналів

Захист банкоматів за допомогою Safe'n'Sec TPSecure здійснюється відповідно до політиками контролю активності додатків. Продукт контролює кожну дію в процесі роботи системи, блокує всі підозрілі дії і дозволяє виконуватися тільки довіреною процесам з так званого «білого» списку (списку довірених процесів). Саме такий підхід, мабуть, найбільш ефективний для забезпечення захисту банкоматів і POS-терміналів, так як набір активних процесів в них дуже стабільний. При встановленому Safe'n'Sec TPSecure запуск невпізнаних додатків неможливий до тих пір, поки користувач з відповідними правами не вкаже ступінь довіри до цього додатка.

Насправді Safe'n'Sec TPSecure - це не просто блокування по білим списками. Він заснований на технології VIPO (Valid Inside Permitted Operations), яка об'єднує в собі адаптивне профілювання, виконання додатків в захищеному середовищі (sandbox - «пісочниця») і підсистему поведінкового аналізу.

Технологія VIPO заснована на перехопленні викликів системних функцій на рівні ядра операційної системи (Ring 0) і завантажується раніше всіх інших додатків. Вона дозволяє ідентифікувати, аналізувати і, при необхідності, блокувати доступ до файлової системи, об'єктів системного реєстру, до запуску додатків і до інших операцій, здатним впливати на цілісність захищаються додатків. Таким чином, технологія VIPO створює захист ядра операційної системи для запобігання запуску будь-якого небажаного коду.

Після установки Safe'n'Sec TPSecure і його початкового налаштування оперативне адміністрування більше не буде потрібно, так як рішення не потребує постійного оновлення. Safe'n'Sec TPSecure буде повністю автоматично блокувати всі несанкціоновані дії, оскільки для відновлення устаткування та відновлення його роботи не буде потрібно перезавантаження системи.

Виконання несанкціонованого коду, що намагається потрапити в операційну систему, запобігає за допомогою ізольованої віртуального середовища - «пісочниці». У ній код може виконуватися безпечно для обчислювальної системи, що не впливаючи на інші її частини. На практиці це означає, що шкідлива програма не може отримати доступ до операційної системи, дозволеним додатків або буферу обміну даними для впровадження перехоплювачів, клавіатурних шпигунів і інших небажаних програм. Це також означає неможливість змінити код і дані, що належать іншим процесам, а також несанкціоновано модифікувати виконувані файли.

Функціональні можливості Safe 'n' Sec TPSecure:

• Блокування першій-ліпшій можливості несанкціонованого підключення та впровадження всякого роду ПО з боку обслуговуючого банкомати персоналу.
• Захист доступу до критично важливих даних (власники карт, PIN-коди, паролі).
• Стеження за усіма подіями в мережі, подій в банкоматах і генерує консолідований аналітичний звіт з широкими можливостями фільтрації з метою ретроспективного аналізу і розслідування конкретного інциденту вторгнення шкідливого коду.
• Мобільна консоль централізованого управління (дозволяє істотно знизити часові витрати на розгортання системи безпеки).
• Автономна роботи (без зв'язку з сервером управління).

Важливо відзначити, що настройка Safe'n'Sec TPSecure здійснюється фахівцями SN Safe & Software під запити і потреби конкретного замовника. При цьому загальна вартість володіння комплексним продуктом залишається для клієнтів на рівні стандартних продуктів.

Порівняння рішень для захисту банкоматів

Наприкінці хочемо провести невеличке порівняння кілька рішень для захисту банкоматів від декількох виробників. В принципі для захисту працюючих на базі Microsoft Windows банкоматів можуть використовуватися будь-які сумісні продукти, призначені для захисту кінцевих точок корпоративної мережі. Однак в силу описаних в попередніх розділах причин вони, все-таки, повинні бути спеціальними.

Обмежимося порівнянням наступні продукти:

Ці продукти можуть використовуватися для захисту різних банкоматів, включаючи наступні моделі:

• Diebold ATMs: Opteva 500, Opteva 510, Opteva 720 (Windows XP, Agilis® Software, DORS);
• NCR ATMs: NCR 5674, NCR 5675, NCR 5877, NCR Self Service 32 (Windows NT, Windows XP, software: S4I; Aptra Advance NDC; Aptra Active XFS; Aptra Advance);
• Smart Card Service terminals: ITT 522, ITT 522.18, ITT 550;
• Wincor Nixdorf ATMs: ProCash Compact, ProCash 1500, ProCash 1500xe (Microsoft Windows NT 4.0, Microsoft Windows XP, software: NDC, DDC, ProChip / EMV).

Докладні тести рішень для банкоматів і їх детальне технічне порівняння виходить за рамки даної статті, тому нижче ми обмежимося порівнянням базових можливостей.

Safe'n'Sec
TPSecure

McAfee
SolidCore

Symantec
EndPoint Protection

Класична сигнатурної і проактивний захист

Опціонально, движки VBA32, Dr.Web, BitDefender *

Опціонально, власний движок McAfee

Власний движок Symantec

Білі списки додатків (whitelisting)

+

+

+

Контроль доступу додатків до даних

+

+

+

Захищена віртуальне середовище для недовірених додатків (sandbox)

+

-

-

Обмеження доступу до пристроїв і даними

Політики доступу на рівні ПО або пристроїв (ID, виробник, тип і т.д)

Політики доступу на рівні ОС і файлів

Політики доступу на рівні ПО або пристроїв (ID, виробник, тип і т.д)

Контроль цілісності додатків

+

+

+
System Lockdown

Сумісність з банківським ПЗ

+

+

+

Відсутність необхідності постійного оновлення модулів або антивірусних баз

+

+
Крім випадку опционального використання антивірусного движка

+

Крім антивірусного движка

Інтеграція з банківськими системами оновлення ПЗ

+

+

+

Підтримка різних механізмів поновлення банківського ПЗ, заміни пристроїв банкоматів і самого захисту

+

+

+

специфіка продукту

Спеціалізоване рішення, великі можливості кастомизация, модульна архітектура, можливість установки доп. модуля DLP Guard

Спеціалізоване рішення, є можливості кастомізації, кілька варіантів поставки

Універсальне рішення, просте впровадження і високий рівень сумісності

* - класичний антивірусний движок використовується тільки один раз перед установкою самого Safe'n'Sec TPSecure.

Як видно з таблиці вище, обрані три продукти не так сильно відрізняються технологічно, як за своєю ідеологією. Всі три продукти підтримують білі списки додатків і мають можливості обмеження доступу до даних і контролю цілісності додатків. Однак, Symantec EndPoint Protection - для багатьох відомий і звичний продукт для захисту корпоративних робочих станцій. У контексті нашої статті цей продукт реалізує класичний підхід до захисту і може виявитися оптимальним рішенням для консервативних клієнтів, для яких важлива простота установки і мінімальні налаштування рішення в поєднанні з хорошим функціоналом.

З іншого боку, детально розглянутий нами вище Safe'n'Sec TPSecure і McAfee SolidCore створені спеціально для захисту банкоматів. Safe'n'Sec TPSecure має в своєму арсеналі додатковий рівень захисту у вигляді захищеної віртуальної середовища.

Порівнювати на верхньому рівні можливості управління, настройки політик безпеки, масштабованість, отказоустройчівость або звітності не представляється можливим, це питання зовсім іншого дослідження. Кожен потенційний замовник для оцінки цих показників повинен орієнтуватися на свою думку і індивідуальний досвід, що враховує специфіку його підприємства.