Банки и все, что с ними
связанно - всегда были мишенью для всякого
рода мошенников. В наше время эти
мошенничества связанны с электронной
преступностью. И я, как человек, который
пытается предотвратить их, хотел бы немного
осветить данный вопрос и развенчать миф о
хакере-одиночке - проникающим в банковские
системы и получающим ПОЛНЫЙ доступ к ее
информационным ресурсам.
Для начала рассмотрим
вопрос обеспечения безопасности
вычислительного комплекса. Под
безопасностью системы понимают -
способность противодействовать попыткам
проникновения, НСД, получения прав и
привилегий, а также уничтожения или
искажения информации. Нас больше всего
интересует внутренняя безопасность, т.е.
обеспечение функционирования системы в
штатном режиме и обеспечении целостности,
сохранности и конфиденциальности
информации.
Чтобы начать предметный
разговор о безопасности банковской системы,
необходимо, наверное, классифицировать
угрозы безопасности:
- НСД
- Garbaging
- Salami attack
- System hack
- Manhole
- Trojan horses
- Directional viruses
- Worms (черви)
- Greedy -
- Grabber -
- Trapdoor -
- Bacteria -
(несанкционированный доступ) - получение
доступа к информационному ресурсу, на
который у злоумышленника нет прав.
- в качестве примера, точно описывающего
данную угрозу, можно привести фрагмент из
фильма "ХАКЕРЫ" о сборе
производственного мусора около объекта
предполагаемого взлома. Чем может быть
интересен мусор ??? А вы никогда не
замечали за собой привычку записывать
имя или пароль на клочке бумаги лежащем у
вас на столе ??? А что с этим листиком
происходит дальше ??? Вот именно - он
оказывается в МУСОРКЕ.
- возможна лишь в системах, работающих с
денежными счетами. Принцип этой атаки -
сохранение дробных сумм, которые
остаются после начисления процентов.
Если банк имеет большие оборотные
средства - то количество всех дробных
остатков - достаточно для того, чтобы у
взломщика появилась заинтересованность
в реализации данного вида атаки.
- проникновение в систему злоумышленника
с помощью входных данных полученных незаконным образом.
- атака посредством недокументированной
точки входа в программу. Возможны как
умышленно созданные manholes, так и
образовавшиеся в результате ошибок
реализации программного обеспечения.
Обычно обнаруживаются в результате
исследования исходного кода ПО или
случайного поиска.
(Троянский конь) - ПО имеющее в своем
составе модули или процедуры, которые
выполняют недокументированные действия.
В результате действия "троянского коня"
возможно искажение, хищение, удаление
критически важной информации.
(целенаправленные вирусы) - программа,
основной функцией которой является самораспространение. В качестве
необязательных функций могут быть и
деструктивные.
- Подобны вирусам. Распространяются
только в сетях. Единственное отличие - не
способны самовоспроизводиться.
ПО, монополизирующее системные ресурсы
вычислительного комплекса.
ПО, специализирующееся на хищении
паролей.
Так называемый "черный ход" в
программу. С его помощью можно получить
доступ к некоторым системным функциям
вычислительного комплекса.
ПО, которое размножается и становиться
паразитом, занимая системные ресурсы,
загружая ЦП на максимальную
производительность, что приводит к
выходу вычислительного комплекса из
строя или катастрофически снижает его
производительность.
Анализируя список
существующих угроз - можно определить
основные направления защиты банковской
системы :
- Физическая защита. Т.е.
защита оборудования от механических
повреждений, хищений, установки спец.
оборудования для электромагнитного
съема. - Защита от НСД.
- Защита электронного
документооборота. Т.е. шифрование с
открытым ключом всей значимой
электронной переписки. - Антивирусная защита.
Установка комплекса
специализированного программного
обеспечения по предотвращению
проникновения в вычислительную сеть
вредоносных программ.
Разобравшись с тем, что
такое безопасность и определившись в
значимости вопроса ее обеспечения перейдем
к освещению средств защиты электронных
систем.
К средствам защиты
относят программные, аппаратные и
аппаратно - программные системы.
По своим характеристикам
самую надежную систему защиты позволяют
реализовать только аппаратные и аппаратно -
программные средства. Это связанно с тем,
что данные системы чаще всего
специализированные, то есть выполняющие
определенные функции, что является большим
преимуществом, т.к. защитить или
протестировать специализированное
устройство намного проще, чем
универсальное. Еще одним преимуществом
специализированных систем является то, что
они позволяют физически и логически
изолировать блоки с критически важной
информацией. Кроме того, программно -
аппаратные системы обеспечивают надежную
защиту от модификации, удаления или хищения
информации системными программистами или
высоко квалифицированным персоналом.
Обычно в программно - аппаратных средствах
обеспечения безопасности
предусматривается функция стирания
секретной информации при попытках
физического проникновения в аппаратную
часть системы.
Учитывая еще и
экономическую эффективность системы
обеспечения безопасности, чаще применяют
только программные средства, т.к. стоимость
специализированных аппаратных модулей -
достаточно высока. При использовании
программных средств, вы получаете очень
гибкую, обеспечивающую достаточный уровень
защиты, и в то же время незначительную по
стоимости обслуживания программных
комплексов,(в сравнении с аппаратными,
систему. Еще одним немаловажным
преимуществом программной реализации
защиты - является возможность ее изменения
в сторону усложнения или упрощения, в
зависимости от потребностей обеспечения
безопасности.
С помощью программных
средств можно реализовать следующие
способы защиты:
- Криптографическое
преобразование.
Т.е. шифрование информации. Самыми
распространенными методами являются DES
и RSA. DES - DATA ENCRIPTION STANDART - этот стандарт
криптографического преобразования
данных разработанный фирмой IBM для
собственных нужд, но позже ставший
федеральным стандартом США. Алгоритм DES
широко используется во всем мире,
является открытым и был опубликован. Он
прост в понимании, использует метод
защиты, который основан на ключе и не
зависит от степени "секретности"
алгоритма. RSA - на данный момент
является самым перспективным методом, т.к.
не требует передачи ключа для
шифрования другим пользователям.
Криптографическая модификация данных
осуществляется первым открытым ключом,
а восстановление информации происходит
с помощью второго секретного ключа.
Основное применение RSA на данный момент -
защита электронного документооборота. В
качестве примера можно привести
протокол SSL (Secure Sockets Layer), гарантирующий
безопасную передачу данных по сети. SSL
комбинирует криптографическую систему
с открытым ключом и блочное шифрование
данных. Единственным недостатком
алгоритма RSA является то, что он не до
конца изучен и не существует 100% гарантии
его надежности. - Аутентификация
пользователей.
Т.е. проверка правильности введенной
пользователем регистрационной
информации для входа в систему.
Используется для принудительного
применения избирательных прав доступа к
информационным ресурсам и прав на
выполнение операций в системе. - Разграничение
прав и привилегий пользователей на
доступ к информационным ресурсам. Контроль
целостности информации, антивирусная
защита, аудит. Т.е.
отслеживание деятельности
пользователей и ПО работающих в системе
путем регистрации предопределенных
типов событий в системном журнале
безопасности, а также выполнение
определенных ответных действий или
запрещение выполнения. - Наблюдение за
работой комплексов защиты информации,
как программных, так и аппаратных.
Т.е. реализация средств контроля и
управления защитными механизмами
системы обеспечения безопасности. - Резервное
копирование и в последствии
восстановление информации. - Брандмауер (firewall)
- система или комбинация систем,
создающая защитный барьер между двумя
или большим количеством сетей и
предотвращающая вторжение в частную
сеть. Firewall'ы служат виртуальными
барьерами для передачи пакетов из одной
сети в другую.
Главным недостатком
систем защиты, построенных на основе только
программных комплексов, является
возможность их анализа при НСД. В
результате чего нельзя исключить
возможность разработки способов
преодоления комплекса программных средств
обеспечения безопасности или его
модификации.
Продолжение следует...