Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

3. Влияние «теневого интернета» на безопасность электронного банкинга

Опыт – самый лучший учитель, только плата за обучение слишком велика.

Томас Карлейль, английский философ

Введение

Опасность тем страшней, чем она маловероятней.

Джон Голсуорси, английский прозаик и драматург

Конец XX и начало XXI вв. олицетворяют собой быстрое развитие информационных технологий, которые существенно упрощают жизнь людей и позволяют им вести более динамичный образ жизни, сосредоточив свои усилия на организации решения той или иной задачи, а не на ее самостоятельном решении. Жизнь человека уже не представляется возможной без мобильных устройств, компьютеров, технологий «умного дома», корпоративных систем, систем электронного правительства, электронных денег, ЭБ и, конечно же, локальных и глобальных сетей.

Специфика интернета размывает такие привычные понятия, как государственные границы, начало и конец совершения преступления, традиционная идентификация индивидуума и т. д. Однако специфичность виртуальной среды не отменяет законы и признанные правила реального мира. Свобода слова, неприкосновенность жизни человека, защита прав физических и юридических лиц, интеллектуальной собственности, легальность денежной эмиссии, обеспечение защищенного перевода денежных средств по-прежнему остаются актуальными проблемами, в связи с чем повышается значимость вопросов информационной безопасности.

Работа ведется на всех уровнях: от защиты пароля персонального компьютера владельцем до противодействия кибертерроризму и кибершпионажу со стороны органов государственной безопасности. И чем активнее повседневные процессы переносятся в виртуальное пространство, тем острее становятся вопросы безопасности. Это обусловлено неизменностью человеческой сущности, которая может породить действия как хулиганского характера (пример: молодой человек, который создает дома вредоносное программное обеспечение и распространяет его посредством электронной почты), так и идеологического характера (пример: применяемая в КНР практика подготовки хакеров, которые в дальнейшем атакуют серверы государственных служб других стран)[68]68
  Официальное воровство: как Китай крадет технологии у всего мира. URL: http://inosmi.ru/fareast/20150911/230231504.html.


[Закрыть].

Технологии обхода защитных средств и технологии защиты развиваются в совместном противоборстве, и бывает так, что одни технологии переходят в другие. Хорошим примером являются технологии так называемого «теневого интернета» (примером могут служить системы TOR и I2P).

«Теневой интернет» представляет собой часть интернета, которая скрыта от непосвященных людей, не имеющих идентификатора для работы со скрытыми сервисами. Эти технологии предположительно были созданы спецслужбами Соединенных Штатов Америки для обеспечения конфиденциальности работы агентов[69]69
  URL: https://wikileaks.org/wiki/WikiLeaks: Tor.


[Закрыть]. В итоге «теневой интернет» стал решать задачи совершенно иного характера, в том числе связанные с незаконными сделками по продаже наркотиков, вооружения, организацией заказных убийств, а также взаимодействием террористических и радикальных ячеек по всему миру с целью организации акций устрашения. «Теневым интернетом» пользуются и различные хакерские группы, например Anonymous, цель которых – отстаивание свобод человека и неприкосновенности его жизни. Такой феномен, как группа Anonymous, вызывает общественный резонанс, потому что действия группы, с одной стороны, не направлены на извлечение прибыли, а с другой – являются незаконными, поскольку обычно влекут за собой порчу чужого имущества (визуального представления официального веб-сайта, оборудования и т. д.).

В условиях размытости границ в интернете, а также плотного взаимодействия индивидуумов одна и та же группа лиц зачастую может по заказу выполнять действия как мошеннического, так и террористического характера, что обостряет необходимость поиска и нейтрализации злоумышленника, какие бы цели он ни преследовал.

Банковский сектор как основной поставщик услуг ЭБ является одной из приоритетных целей злоумышленников. Это связано с намерениями мошенников незаметно украсть электронные денежные средства клиентов банка или самого банка.

Несмотря на повышенную угрозу хищений электронных денежных средств, а также возможные санкции со стороны контрольно-надзорных органов, руководство кредитных организаций не всегда в должной мере осознает необходимость увеличения расходов на обеспечение информационной безопасности, а иногда и вообще идет по пути максимального сокращения сотрудников информационной безопасности в целях уменьшения расходов. Сотрудникам профильных подразделений бывает трудно убеждать руководство, пытаясь «на пальцах» объяснить модель угроз и рисков и подкрепить свои доводы статистикой инцидентов. Сказывается инерция высшего образования: вузов, в которых ведется подготовка по специализации «информационная безопасность банков», буквально единицы.

Эта и ряд других проблем обеспечения информационной безопасности в гражданских публичных сферах в значительной мере связаны с тем, что данная проблематика появилась в России относительно недавно.

3.1. Проблемы политического характера

Если у вас нет денег, вы все время думаете о деньгах. Если у вас есть деньги, вы думаете уже только о деньгах.

Пол Гетти,

американский нефтяной магнат и промышленник, один из первых в истории долларовых миллиардеров, учредитель Музея Гетти

Данные проблемы можно условно разделить на два типа:

– возможные зарубежные санкции и их последствия;

– агрессивные (военные) действия в киберпространстве со стороны враждебно настроенного государства или террористических формирований (экстремистских ячеек).

В первом случае необходимо обратиться к опыту 2014 г., когда по решению США платежные системы перестали обслуживать держателей карт некоторых российских банков. Под санкции попали крупные государственные банки (с государственным участием): ОАО «Сбербанк России», ОАО «Банк ВТБ», а также сравнительно небольшие ОАО «СМП-Банк» и ОАО «АБ «Россия».

Потенциальной угрозой для российских банков и платежных систем являются новые зарубежные санкции, которые могут быть поддержаны иностранными производителями программного обеспечения. Возможна заморозка не только поставок новых продуктов, но и обновления уже работающих версий.

Следует помнить, что программное обеспечение банковских автоматизированных систем и систем ДБО во многом базируется на продукции Oracle, Microsoft, Symantec, Cisco и других иностранных компаний, даже если они работают в России через дочерние организации. Эти компании в один «прекрасный» момент могут, сославшись на санкции, прекратить поддержку своих продуктов в организациях из санкционных списков.

Из-за этого критически возрастут уязвимости, которыми способны воспользоваться злоумышленники. Но налицо будет и угроза блокировки операционной деятельности банка извне, что сделает невозможными расчеты между клиентами, в частности торговыми предприятиями (например, сети продуктовых магазинов со складом).

В результате осуществления этой угрозы торговым предприятиям придется платить штрафы по договорным обязательствам, прекратится поступление продукции на прилавки, начнутся отток покупателей и уменьшение товарооборота. Банк же потеряет реальную прибыль, так как однодневный простой для него выражается в многомиллионных суммах. В худшем случае банк может лишиться клиента.

Тем не менее, санкции обычно носят временный характер, что хорошо видно на примере Ирана. С 2006 г. страна находилась под различными санкциями. Однако в 2015–2016 гг. большая часть из них была снята, в том числе блокирование доступа к системе SWIFT, которая используется для международных переводов между банками.

Во втором же случае речь идет о военных действиях (кибервойнах), направленных на дестабилизацию работы банковских сервисов, включая ЭБ. Конечно, в большой степени это касается банков, обслуживающих крупные предприятия России: заводы, фабрики, сектор добычи полезных ископаемых, атомную отрасль и т. д.

Ни для кого уже не секрет, что по требованию американских спецслужб разработчики закладывают уязвимости в информационные системы и оборудование, производимые в США. По аналогичному пути идут разработчики КНР и Израиля. Эти страны преследуют различные цели: начиная от разведывательных, то есть сбора информации, и заканчивая удаленным выведением из строя систем или оборудования, уничтожением данных и т. д.

Кроме того, во многих странах идет подготовка войсковых киберподразделений, которые решают задачи нанесения противнику ущерба в киберпространстве.

Хорошим примером может послужить атака, предположительно со стороны ВМС США и Израиля, на ядерный центр Ирана в 2010 г., когда с помощью вируса было выведено из строя 100 ядерных центрифуг. Ирану потребовалось два года, чтобы возобновить исследования в ядерной области[70]70
  URL: http://www.nytimes.com/2011/01/16/world/middleeast/16stuxnet.html?_r=0.


[Закрыть].

В случае атаки на крупный или средний российский банк, включая его резервные центры (резервные ЦОД), можно получить ситуацию экономического коллапса, так как географически распределенные организации не смогут осуществлять переводы ни с помощью интернет-банкинга, ни при личном визите клиента. Прекратится товарооборот, начнутся повсеместный голод, волнения. То есть страна будет оккупирована в считанные дни без ввода войск.

Для решения подобных проблем необходимы государственное участие и системный подход, в том числе поддержка научных исследований и разработчиков решений по информационной безопасности, а также государственное субсидирование отечественных предприятий – производителей ИТ-оборудования и программного обеспечения.

3.2. Проблема «теневого интернета» на примере системы TOR и идентификации злоумышленников

Всякая вещь в природе является либо причиной, направленной на нас, либо следствием, идущим от нас.

Марсилио Фичино, итальянский гуманист и философ

Для кражи денежных средств клиента или банка злоумышленники все чаще прибегают к системам «теневого интернета» как площадки для проведения операций с сокрытием личности преступника.

Существуют две схожие версии создания «теневого интернета».

Первая версия: «теневой интернет» – это следствие желания людей вести деятельность, не подконтрольную силовым ведомствам. Примером может быть переписка, в которой выражаются политические взгляды.

Вторая версия: «теневой интернет» – это инструмент для анонимного взаимодействия силовых ведомств со своими агентами, а также их финансирования с помощью виртуальной валюты, которая не подконтрольна традиционной банковской системе, что делает более успешным проведение операций этими агентствами.

Авторы склоняются ко второй версии, так как исходный код был разработан Военно-морскими силами Соединенных Штатов Америки, а в дальнейшем выложен в общий доступ (предположительно в целях масштабного развертывания за счет обывателей). Но в целом идея создания «теневого интернета» независимо от деталей сводилась к ведению скрытой, не подконтрольной кому-либо, деятельности. Технологии «теневого интернета» развивались стремительно. В начале это были ресурсы (файловые серверы, веб-сайты и т. д.), которые невозможно было найти через поисковые системы типа Google или Yandex. Сейчас же это широко развитые, гибкие, защищенные системы вроде I2P и TOR.

Следует заметить, что в основе работы большинства систем «теневого интернета» лежит технология NAT, проксирования и тоннелирования, позволяющая пользователям маскироваться. «Теневой интернет» дал надежное прибежище криминальному контингенту.

Вот несколько ярких примеров «луковичных» веб-сайтов из системы TOR, используемых в криминальных целях (на момент публикации часть веб-сайтов может не функционировать):

1) http://rumonv62ul3roit.onon – анонимный форум. Обсуждаются различные темы, включая изготовление оружия и наркотиков в домашних условиях, уход от правосудия;

2) http://clsvtzwzdgzkjda7.omon – форум хакеров. Активно обсуждаются вопросы, связанные со взломом сети, элементов банковской инфраструктуры, кражи денег с пластиковых карт;

3) http://silkroadvb5piz3r.onion – веб-сайт по продаже наркотиков, оружия, детской порнографии (рис. 35). Вход только по приглашению (технология приглашения на веб-сайт неизвестна, при входе требуется аутентификация). Первая версия веб-сайта закрыта ФБР США в 2013 г., третья версия веб-сайта закрыта ФБР США в 2017 г.;

Рис. 35. Веб-сайт по продаже наркотиков в сети TOR

4) http://665lw5dt6g32twwo.onion – веб-сайт российских националистов. На веб-сайте ведется централизованная координация действий участников, в том числе силовых акций и действий по подрыву доверия к ветвям власти.

Этот список – лишь выдержка из обширного перечня веб-сайтов «теневого интернета» в составе сети TOR. Очевидно, что более 90 % вебсайтов в «теневом интернете» используются в целях, далеких от законных. Следовательно, цели, заявленные при широком развертывании сетей типа TOR, такие как сохранение права человека на частную жизнь, не соответствуют действительности и в реальности сети используются для совершения незаконных действий и ухода от правосудия.

Согласно технической документации, размещенной на официальном веб-сайте разработчиков, сеть TOR представляет собой набор созданных на добровольной основе серверов, которые позволяют пользователям этой сети работать с ресурсами интернета, сохраняя свою анонимность и обеспечивая безопасность своих действий. Основной особенностью является создание набора тоннелей при соединении пользователя с каким-либо ресурсом. В отличие от прямых соединений пользователей при стандартной работе в интернете, это дает возможность публиковать любую информацию, не боясь быть идентифицированным кем-либо.

Заявленные разработчиками цели использования сети TOR:

– обычные граждане имеют возможность без отслеживания их действий посещать любые ресурсы интернета;

– журналисты могут взаимодействовать по защищенным каналам с диссидентами и осведомителями;

– некоммерческие организации могут работать за рубежом со своими домашними веб-сайтами, не уведомляя об этом;

– всевозможные группы активистов могут использовать данную систему для реализации прав и свобод граждан всего мира;

– ВМС США используют систему для сбора оперативной информации из общедоступных источников, чтобы скрывать адреса, принадлежащие ВМС США, и тем самым не привлекать внимания к своей активности.

Яркими представителями спонсоров развития сети TOR являлись и являются:

– ВМС США (2001–2006 гг.);

– Национальный научный фонд США (2007 г.);

– Google (2008–2009 гг.);

– Национальная исследовательская лаборатория США (20062010 гг.);

– Национальная христианская организация США – National Christian Foundation (2010–2012 гг.);

– Фонд Форда (2012–2014 гг.);

– Министерство иностранных дел Германии (2015 г.);

– Государственный департамент США – Бюро демократии, прав человека и труда (2017–2019 гг.).

Работа сети TOR представляет собой взаимодействие большого количества серверов, каждый из которых отдает часть пропускной способности своего интернет-подключения для нужд сети. Этот принцип схож с принципом работы пиринговых сетей. Любой пользователь сети TOR может через настройки программы предоставлять свой компьютер как сервер, тем самым развивая анонимную сеть и повышая собственную анонимность.

Браузер TOR, который предварительно устанавливается пользователем и работает в том числе как прокси-сервер, случайным образом выбирает несколько серверов из доступных (список серверов браузер TOR периодически скачивает с центрального сервера) и создает тоннель, проходящий через эти серверы. Трафик пользователя будет пропускаться через данный тоннель. У тоннеля есть вход (браузер TOR на компьютере пользователя) и выход (последний сервер в тоннеле).

TOR шифрует передаваемые пользователем данные открытыми ключами серверов, входящих в цепочку тоннеля (рис. 36). При этом компьютер пользователя отсылает данные на первый сервер в этой цепи, который снимает с данных свой слой шифра и передает их далее, а с реальной точкой назначения непосредственно общается сервер, служащий точкой выхода из тоннеля.

Рис. 36. Принцип работы сети TOR

Данная технология защищает пользователя от слежки и негативных последствий посещения специфических веб-сайтов в сети. В точке назначения невозможно определить IP-адрес и местонахождение пользователя, так как пользователь не связывается с ней напрямую; кроме того, серверы-посредники получают ограниченные, только необходимые, сведения.

К примеру, первый сервер в цепочке сети TOR, выбранный для тоннеля, не может точно определить, назначены ли данные для пользователя или он тоже является посредником в цепочке для другого пользователя. Ни один узел в цепочке тоннеля, кроме выходного сервера, не имеет доступа к передаваемым данным (в незашифрованном виде), так как это не нужно для их работы. Серверам из цепочки в тоннеле необходима лишь информация о том, какой следующий сервер в цепи посредников будет получать зашифрованное содержимое.

Для того чтобы каждый сервер в цепи имел только часть необходимой именно для него информации, используется шифрование с открытыми ключами. Данный метод шифрования хорошо себя зарекомендовал и очень надежен, и даже если отдельный сервер в цепочке находится под контролем противника, он не сможет получить информацию, предназначенную для других серверов в цепочке тоннеля.

Только последний сервер R3 в цепочке тоннеля может расшифровать передаваемые данные, которые он отсылает в конечный пункт назначения (интернет-ресурс). Обратный ответ он может доставить на компьютер пользователя таким же образом, с сохранением анонимности.

Другими словами, имеются:

– входной узел для первичного шифрования;

– посреднический узел, который осуществляет только обмен между узлами сети TOR;

– выходной узел, который является передаточным звеном между сетью TOR и интернет-ресурсом.

В последней версии TOR используются также сторожевые узлы, которые защищают от компрометации. Фактически они снижают вероятность компрометации, но не обеспечивают полную защищенность. В сети TOR также есть анонимные мостовые узлы, которые применяются для построения цепочек. Их основная цель – противодействовать блокированию узлов системы TOR по списку.

В качестве еще одной особенности можно отметить построение в системе TOR новой цепочки каждые 10 минут и наличие встроенных механизмов имитации работы некоторых протоколов с целью обеспечения защищенного обмена между мостами и узлами.

Однако следует заметить, что построение подобных географически распределенных цепей узлов сети снижает скорость работы в интернете.

Основные уязвимости, дестабилизирующие работу сети TOR, можно разбить на три вида:

– уязвимости браузера TOR, работающего на базе браузера Mozilla;

– уязвимости архитектуры сети TOR;

– уязвимости, связанные с работой других сервисов.

В первом случае речь идет об уязвимостях самого браузера и сопутствующих элементов – плагинов. Действительно, уязвимости браузера позволяют заинтересованным лицам произвести атаки на сам клиент. Однако даже с ресурсами Агентства национальной безопасности США уследить за всеми пользователями невозможно, учитывая, что устраняются уязвимости довольно быстро. Это подтверждается опубликованными в WikiLeaks документами, ранее украденными Эдвардом Сноуденом. К уязвимостям плагинов можно отнести внутренние ошибки Flash и HTML5, с помощью которых можно вынудить пользователя сети TOR отправить реальный адрес. В настоящий момент эти уязвимости стали менее актуальными в связи с отсутствием поддержки данных плагинов в последних версиях браузера TOR.

Во втором случае речь идет о еще менее эффективных способах, которые требуют использования высокопроизводительных компьютеров:

– атаке по времени, то есть расшифровке данных в результате анализа параметров времени шифрования. Эффективность этого способа низка, так как шифрование происходит на всех трех узлах цепи серверов TOR. Для анализа параметров времени шифрования необходимо слушать трафик на первом узле, однако использование сторожевых узлов сводит эту возможность к минимуму;

– глобальном пассивном наблюдении. Этот способ позволяет наблюдать отклонения по назначению трафика, тем самым выявляя нужный трафик. Однако при малых скоростях выявить отклонения невозможно, а работа пользователей TOR связана преимущественно с малыми скоростями, что обусловлено географической распределенностью узлов, которые участвуют в построении цепи;

– взломе и заражении мостов TOR c дальнейшей слежкой за пользователями, в том числе подменой ключей шифрования. Поиск мостов и их взлом также считаются малореализуемой задачей;

– выводе из строя сторожевых узлов с помощью DDoS-атак. В настоящее время эта уязвимость стала неактуальной, поскольку разработчики проекта TOR максимально скрывают адреса сторожевых узлов.

В третьем случае уязвимость связана с работой пользователей через TOR с системой Bitcoin. Методика использует уязвимость протокола криптовалюты, которая позволяет клиентам осуществлять свободный сбор статистики и произвольный выбор узлов. Поэтому атакующий, используя даже незначительное в общей массе количество случайных соединений, может собрать достаточно информации для последующего ее анализа. После накопления определенного массива данных, применяя DoS-атаку на сеть Bitcoin, можно деанонимизировать не менее половины ее пользователей. Так как в системе Bitcoin по умолчанию применяется бан IP-адресов, причастных к DoS-атакам, атака через выходные узлы TOR позволяет последовательно выводить из строя клиентов, работающих через эту анонимную сеть. И как следствие, становится возможным выделение тех IP-адресов, которые не работают с клиентом, выходящим в сеть через TOR. Опасность этой атаки заключается в том, что она работает, даже если соединения с Bitcoin зашифрованы. Однако атака неэффективна в случае краткосрочных действий пользователей в сервисе Bitcoin, не говоря о том, что работа с виртуальной валютой не является нарушением закона.

Новые исследования на тему уязвимостей TOR публикуются регулярно, однако в большинстве своем уязвимости или носят краткосрочный характер, то есть легко устраняются, или могут быть использованы только при каких-то ограничениях и (или) в малых сегментах сети.

В настоящий момент TOR остается одной из самых защищенных систем. В разных странах (в т. ч. силовыми ведомствами) ведутся работы по модификации TOR или использованию дополнительных программ вкупе с TOR с целью создания более защищенной системы.

Таким образом, система TOR является неотъемлемой частью «теневого интернета» и используется преимущественно для ведения незаконной деятельности, а также ухода от правосудия, в том числе при атаках на СЭБ. Несмотря на это, различные коммерческие и государственные организации (преимущественно из США) продолжают спонсировать данный проект под предлогом защиты прав человека. Технология работы сети, а также ее постоянное развитие не позволяют в полной мере противоборствовать незаконным действиям, совершаемым в ее рамках. А топология самой системы исключает возможность предотвратить ее использование, деанонимизировать большую часть пользователей, взломать сеть или вывести ее из строя, что заставляет применять инновационный подход к противодействию подобным сетям.