Текст книги "Кибербезопасность в условиях электронного банкинга. Практическое пособие"

3.3. Описание сети I2P и принцип ее работы

Умеющий ходить – не оставляет следов, умеющий говорить – не совершает ошибок, умеющий запирать дверь – не пользуется замками, но запирает их так крепко, что открыть их невозможно.

Лао-цзы (Ли Эр), древнекитайский философ

Второй по популярности сетью в «теневом интернете» является I2P. Если TOR изначально создавалась именно для анонимной работы в интернете, представляет собой цепочку proxy-серверов и как результат развития позволяет теперь создавать веб-сайты не с ICANN-именами, то I2P представляет собой одну большую VPN-сеть, где шифруются IP-адреса и формируются тоннели разной длины. И основная цель такой сети – как раз анонимное высказывание своих мыслей в сообществе: работа в интернете из этой сети не может быть анонимной.

I2P была создана в 2003 г. и активно развивается вплоть до настоящего времени. Некоторые примеры веб-сайтов данной сети (на момент публикации веб-сайты могут быть не доступны):

– silkroadreloaded.i2p – продажа наркотиков;

– http://bitcoin4cash.i2p/ – покупка криптовалюты;

– http://duck.i2p/ – криптоказино.

Концептуальными элементами сети I2P являются:

– маршрутизаторы, которые участвуют в построении тоннелей;

– тоннели;

– сетевая база данных.

Первый элемент и является по сути элементом, анонимизирующим пользователей, так как работает не с реальными адресами, а с I2P-адресами каждого приложения, которое запущено у пользователя, обращающегося к маршрутизатору. Маршрутизаторы имеют как реальные IP-адреса, так и BP-адреса.

Второй элемент – это путь через цепочку маршрутизаторов. Тоннель выстраивается от отправителя к получателю данных. Если получатель планирует передать данные обратно отправителю, то выстраивается другой тоннель. Поэтому клиент всегда имеет входящий и исходящий тоннели (рис. 37).

Третий элемент – это базы, где хранятся сведения о маршрутизаторах и тоннелях (которые обновляются в режиме реального времени). При выстраивании тоннеля из базы берутся сведения о входящих и исходящих тоннелях получателя.

Основной принцип работы сети: любой клиент – это маршрутизатор. IP-адреса клиентов/маршрутизатор зашифрованы алгоритмом AES. Клиент знает только адреса ближайших маршрутизаторов.

Кроме технологии анонимизации работы пользователей, в данной сети все сообщения шифруются на четырех уровнях: сквозное, чесночное, тоннельное шифрование, а также шифрование транспортного уровня.

Главная особенность сети I2P заключается в том, что маршрутизация и построение тоннеля осуществляются не по общесетевым правилам, а по принципу передачи сообщения через API от одного клиента к другому: в начале происходит расшифровка части сообщения Java-приложением маршрутизатора, а затем узнается следующий маршрутизатор и пересылается нерасшифрованный вариант.

Рис. 37. Принцип работы сети I2P

Главной уязвимостью I2P, по мнению различных экспертов, является возможность перехвата всего тоннеля. Для обеспечения анонимности внутри I2P применяются тоннели, представляющие собой цепочки маршрутизаторов, через которые передаются сообщения. Тоннели бывают исходящие и входящие. Исходящие предназначены для сокрытия местоположения отправителя, а входящие – получателя. Потому LeaseSet’ы и представляют собой список входных узлов и идентификаторов входящих тоннелей, информация об исходящих тоннелях не публикуется. Местоположение второго конца тоннеля держится в секрете. Для получения ответов клиент посылает серверу собственный LeaseSet. Каким путем проложен тоннель и соответственно на каком узле находится его второй конец – известно только создателю тоннеля. Все промежуточные участники тоннеля знают лишь следующий узел, которому следует передать перешифрованное сообщение. Но это в теории – на практике же промежуточные узлы также знают, откуда пришло сообщение, потому что сообщения между узлами передаются по обычному интернету и узнать IP-адрес отправителя не составляет труда. Далее при достаточном размере базы можно найти и RouterInfo.

Таким образом, если промежуточный узел тоннеля принадлежит злоумышленнику, то он немедленно узнает и двух своих соседей, что компрометирует одно– или двухшаговые тоннели, поскольку позволяет отследить всю цепочку. Теоретически можно увеличить длину тоннелей вплоть до восьми узлов, практически же каждый дополнительный узел резко замедляет скорость работы и надежность, поскольку присутствие узла онлайн на все время существования тоннеля не гарантировано. Поэтому в настоящий момент в I2P используются трехшаговые тоннели.

Таким образом, для успешной деанонимизации узла злоумышленнику следует узнать маршрут любого из тоннелей в любой момент – для этого достаточно, чтобы два узла одного тоннеля были ему доступны. При нынешнем размере сети в несколько тысяч узлов такой сценарий вполне по силам крупным структурам. Если в деанонимизации серверов ранее описанный перехват reseeding^ мало поможет, поскольку серверы выбирают узлы входящих тоннелей сами, то для выявления клиентов, посещающих «неблагонадежные» ресурсы, данный метод идеален: все узлы, в том числе выходные, используемые клиентом для построения его исходящих тоннелей, будут априори принадлежать злоумышленнику. Тем самым сразу станет известно, откуда пришло сообщение, предназначенное какому-нибудь входящему тоннелю сервера.

3.4. Проблема борьбы с «теневым интернетом» и средствами анонимизации

Человек бывает настолько самонадеян, насколько он ограничен пониманием.

Александр Поп, английский поэт, один из крупнейших авторов британского классицизма

Текущие средства, направленные на деанонимизацию преступников, преимущественно связаны с поиском уязвимостей в системах анонимизации, привлечением машинного обучения для выявления особенностей поведения самого злоумышленника, активным мониторингом трафика и т. д. С учетом роста преступности данные меры в итоге станут неэффективными. «Теневой интернет», кроме того, используется как площадка для разворачивания серверов управления бот-сетями, серверов с машинным обучением для изменения поведения злоумышленников, изменения поведения систем взлома с целью обхода средств безопасности и т. д.

В этой неравной борьбе, по мнению авторов, необходимо менять правила работы самого интернета: отказываться от протоколов и технологий типа SOCKS, NAT, менять работу иных протоколов с целью однозначной привязки IP-адреса к пользователю и т. д.

Однако в настоящий момент повсеместные скандалы, связанные с манипулированием мнением избирателей (пример: Cambridge Analitica[71]71
  URL: https://www.cnbc.com/2018/03/21/facebook-cambridge-analytica-scandal-everything-you-need-to-know.html.


[Закрыть]), а также использование интернет-цензуры (в Иране, КНР, КНДР, а в последнее время и в РФ) не позволяют в полной мере убедить общественность и бизнес, активно участвующие в развитии интернета в рамках таких организаций, как ICANN, ISOC, IETF и др., что необходимо пожертвовать частью своей приватности в пользу борьбы с киберпреступностью. То есть желание пользователей интернета защитить свою частную жизнь и иметь свободный доступ к информации перевешивает риски, связанные с опасностями «теневого интернета» и средств анонимизации.

3.5. Проблемы законодательного характера

Добрые нравы имеют большую силу, чем хорошие законы.

Публий Тацит, древнеримский историк

В нынешних реалиях российские банки стараются максимально переложить риски информационной безопасности при предоставлении услуг ЭБ, включая риски кражи электронной подписи, несанкционированного доступа в личный кабинет, мошенничества и т. д., на самого клиента. Однако изменения в ч. 11 ст. 9 Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] кардинально улучшили ситуацию с защитой прав клиентов, переложив ответственность за безопасность денег клиента на сами банки.

Необходимо отметить, что ЭБ не ограничивается переводом электронных денежных средств: он также подразумевает возможность клиента давать поручение на приобретение ценных бумаг или валюты на Московской бирже в рамках брокерского договора. А риски по этому направлению иной раз куда выше, чем при переводе электронных денежных средств в системе «Банк-Клиент».

До сих пор большинство договоров банков по указанным услугам с клиентами выстраиваются с максимальной защитой интересов банков, а не клиентов. В подобных условиях банк обходится минимальным набором защитных механизмов.

Усложняет ситуацию то, что в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи» [60] отсутствует унифицированный подход к электронной подписи, выраженный в обязательстве любой организации принять документ, подписанный усиленной квалифицированной электронной подписью.

Гражданин или юридическое лицо не может сгенерировать ключи электронной подписи и выпустить в сертифицированном удостоверяющем центре по доступной цене квалифицированный сертификат, а далее использовать усиленную квалифицированную подпись в любой системе интернет-банкинга банка, микрофинансовой организации, ломбарда, платежного агента и т. д. С другой стороны, не решены проблемы идентификации клиентов в самих удостоверяющих центрах, за последние годы зафиксировано огромное количество случаев мошенничества, в том числе связанных с переоформлением собственности. Поэтому российские банки как нельзя кстати начали активно работать над внедрением средств биометрической идентификации клиентов, что в итоге должно повлиять и на уровень безопасности, и на удобство самих клиентов.

Федеральный закон от 27.07.2006 № 152-ФЗ (ред. от 21.07.2014) «О персональных данных» [52] с учетом невысоких штрафных санкций, предусмотренных КоАП РФ, не обязывает со всей серьезностью относиться к обеспечению безопасности персональных данных. Яркими примерами стали утечки в 2019 г. у Сбербанка и ВТБ[72]72
  URL: https://www.interfax.ru/business/683812.


[Закрыть], сведения о каких-либо штрафных санкциях в отношении этих банков в СМИ отсутствуют. Европейская практика в рамках General Data Protection Regulation показала, что высокие штрафы[73]73
  URL: https://www.enforcementtracker.com/.


[Закрыть] стимулируют коммерческие и государственные компании активнее тратиться на средства безопасности[74]74
  URL: https://www.gartner.com/en/newsroom/press-releases/2018-08-15-gartner-forecasts-worldwide-information-security-spending-to-exceed-124-billion-in-2019.


[Закрыть](в т. ч. средства двухфакторной аутентификации), а также внедрять процессы ИБ в соответствии с такими стандартами, как ISO 27001.

Законодательная база России в области информационной безопасности не в полной мере соответствует реальным нуждам в данной области. Создание новых законов и редактирование действующих, то есть процесс законотворчества, требуют вовлечения людей, непосредственно обеспечивающих информационную безопасность на местах. А высокие штрафы за невыполнение законов, стандартов и требований мегарегулятора должны побудить банки серьезнее относиться к защите конфиденциальной информации.

3.6. Проблемы обеспечения информационной безопасности в банковском секторе на местах

Нельзя добиться скорости второпях.

Добиться скорости можно, только действуя медленно.

Стивен Хантер. Я, снайпер

СЭБ, кроме случаев аутсорсинга, является неотъемлемой частью инфраструктуры банка, и качество обеспечения безопасности на местах напрямую сказывается на возможности злоумышленника произвести атаку на банк. Зачастую сам банк является пользователем систем интернет-банкинга. К ним можно отнести системы управления депозитарными счетами в уполномоченных банках Московской биржи, перевода денежных средств через Банк России, отправки отчетности в Банк России, взаимодействие с платежными системами, например «Город» или QIWI, для ускоренного перевода платежей, связанных с оплатой мобильной связи и т. д., систему SWIFT, системы перевода моментальных платежей типа Western Union и другие.

Положение Банка России от 09.06.2012 № 382-П «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств» [21], а также отраслевые стандарты Банка России по информационной безопасности[75]75
  С содержанием стандартов Банка России по информационной безопасности можно познакомиться на официальном веб-сайте Банка России. URL: http:// www.cbr.ru/psystem/.


[Закрыть], ГОСТ Р 57580.2-2018 «Безопасность финансовых (банковских) операций. Защита информации финансовых организаций. Методика оценки соответствия» призваны максимально обезопасить банки от возможных попыток злоумышленников украсть деньги или нанести вред банку, например сорвать сделку крупного клиента, который должен внести до определенного времени авансовый платеж, чтобы начать сотрудничество с покупателем.

Основные ошибки и проблемы при обеспечении информационной безопасности на местах:

1. Некачественно сформированный процесс управления криптографическими ключами. Обычно это проявляется в том, что ключи передаются неуполномоченным лицам, конечная отправка рейсов, платежей осуществляется не с выделенного рабочего места – как выделенного физически, так и отделенного от основной сети банка.

В небольших банках встречается ситуация, когда ключи нескольких пользователей записаны на один накопитель, постоянно находятся на компьютере и администраторы удаленно осуществляют отправку.

Это открывает широкие возможности злоумышленникам, которые каким-то образом проникли в банк – через занесенный вирус или нелояльного сотрудника самого банка, в том числе сотрудника ИТ-подразделения.

2. Неподготовленность персонала к воздействиям извне. Социальная инженерия остается одной из самых актуальных проблем. Нередко злоумышленники собирают информацию о работниках в социальных сетях, на форумах и т. д. и затем, представляясь сотрудниками регуляторов, различных ведомств, специалистами технической поддержки, просят перевести денежные средства. Также нередки случаи, когда злоумышленники направляют работникам письма от имени проверяющих органов с вложением (якобы отчетом), открыв которое, сотрудник банка заражает рабочую станцию и злоумышленник осуществляет дальнейшее развитие атаки вглубь инфраструктуры банка.

3. Низкая организованность при предоставлении доступа. Например, нередко в банках можно наблюдать ситуацию, когда на площадке (в помещении), где работают дилеры, используется вход в системы под одной учетной записью, что усложняет контроль действий дилеров и расследование инцидентов.

4. Экономия на средствах безопасности. Злоумышленники имеют высокую мотивацию и хорошую подготовку, в том числе используют средства машинного обучения, чтобы обходить шаблоны и правила стандартных средств безопасности. В большинстве случаев в банках требуется наличие инструментов Threat Intelligence, SOAR, WAF, а также Deception Technologies для противодействия таргетированным атакам.

5. Плохое сегментирование сети на сетевом уровне, отсутствие шифрования.

6. Нерегулярное сканирование инфраструктуры на наличие уязвимостей, а также отсутствие полноценных пентестов, в том числе с участием Red Team. В тех банках, в которых ведется собственная разработка кода, не всегда присутствует полноценный цикл безопасной разработки, включающий в себя обучение разработчиков основным уязвимостям, формирование требований к безопасной архитектуре программы, статический и динамический анализ кода и т. д.

7. Сокращение штата подразделения, ответственного за информационную безопасность (неудивительно, что большую часть противоправных действий осуществляют бывшие сотрудники банковских подразделений ИТ/ИБ), или наличие непрофессиональных сотрудников. Нередка ситуация, когда менеджерский состав подразделения информационной безопасности формируется по принципу «свой-чужой», при этом предпочтение отдается надежности, а не талантливости и качеству работы.

8. Несвоевременное обеспечение информационной безопасности систем интернет-банкинга. Показательный инцидент произошел в марте 2014 г., когда, используя уязвимости Heartbleed, злоумышленники вмешались в работу системы продажи билетов РЖД и смогли перехватывать платежи процессинга ВТБ[76]76
  URL: http://mir-procentov.ru/banks/news/komprometatsiya-bankovskih-kart.html.


[Закрыть].

9. Отсутствие риск-ориентированного подхода к обеспечению информационной безопасности. Это, пожалуй, самая распространенная ошибка, даже среди крупных банков. Риск-ориентированный подход подразумевает баланс между потребностями бизнеса и решением проблем безопасности, а также использование инновационных ИТ-решений в области безопасности. К сожалению, в большинстве случаев преобладает или узкотехнический, или нормативно-регламентирующий подход.

Данный список неполон. Однако названные типичные проблемы и ошибки предоставляют злоумышленникам хорошую возможность, заразив сеть банка или используя уязвимости систем интернет-банкинга, получить доступ к управлению денежными средствами с целью их кражи. Только вовлеченность руководства кредитных организаций и риск-ориентированный подход позволят изменить ситуацию и повысить уровень безопасности ЭБ.

3.7. Проблемы обеспечения информационной безопасности на стороне клиента

Если слепой, споткнувшись о камень, упадет на дороге, всегда ругает камень, хотя виною его слепота.

Генрик Сенкевич, польский писатель, лауреат Нобелевской премии

Концептуальная схема, выработанная российским банковским сообществом, предполагает, что большую часть рисков при использовании систем интернет-банкинга несет сам клиент.

Нередки случаи, когда банки навязывают средства безопасности, которые фактически не выполняют свою функцию. В том числе это касается различных токенов, которые не в состоянии защитить от подмены платежа в момент подписания, а SMS могут быть перехвачены. К сожалению, в России очень медленно внедряются технологии типа Mobile ID[77]77
  URL: https://moscow.megafon.ru/corporate/productsandsolutions/products/ mobile_id.html#description.


[Закрыть], которые в ЕС в настоящий момент доступны за символическую плату.

Банковские системы по противодействию мошенничеству также могут быть обойдены злоумышленниками с помощью имитации повседневного платежа, постепенного вывода денег, использования всех данных самого клиента и т. д.

Сами клиенты часто пренебрегают правилами безопасности:

1) сообщают пароль и данные банковской карты незнакомым лицам, в том числе по телефону;

2) переходят на поддельные веб-сайты, не обращая внимания на оформление и адрес веб-сайта;

3) размещают в свободном доступе паспортные данные, что позволяет злоумышленникам подделать доверенность и выпустить новую SIM-карту для подтверждения платежей;

4) не заботятся об антивирусной защите, поэтому мошенникам не составляет труда получить доступ к СЭБ.

Данный список также неполон, однако демонстрирует слабую осведомленность клиентов о мерах безопасности. Отсутствие у банков жесткой обязанности предоставлять клиентам безопасный сервис ведет к тому, что мошенники и по сей день имеют возможность наращивать капитал, полученный преступным путем.

Обеспечение безопасности СЭБ в России требует комплексного подхода. Отсутствие большого числа ИТ-систем собственного производства, широкое распространение «теневого интернета», нежелание банков обеспечивать информационную безопасность на местах, низкая осведомленность обычных пользователей, в первую очередь граждан и представителей малого бизнеса, создают плодотворное поле для процветания мошеннического контингента.

Предстоит большая работа для того, чтобы изменить ситуацию. Однако в России есть люди, которым небезразлично состояние информационной безопасности как на их рабочих местах, так и в стране в целом. При поддержке Банка России и силовых ведомств, а также правильном законодательном фоне возможно обеспечить защищенный ЭБ и создать качественно новый интернет-продукт для клиентов кредитных организаций и не только для них.

4. Характеристика хищений денежных средств с использованием вредоносных компьютерных программ неправомерного доступа к информации

Наибольший соблазн преступления заключается в расчете на безнаказанность.

Марк Туллий Цицерон, древнеримский политический деятель

4.1. Вредоносные компьютерные программы как средство совершения хищений денежных средств

Не пренебрегай врагами: они первыми замечают твои ошибки.

Антисфен, древнегреческий философ

История рассматриваемых преступлений сравнительно коротка. Появление и массовое распространение вредоносных программ, специально предназначенных для совершения хищений денежных средств в системах платежей, впервые стали отмечаться специалистами в 20052006 гг.[78]78
  Как сообщается в статье ООО «Доктор Веб» «История развития преступной отрасли создания банковских троянцев», троянская программа GoldSpy предназначалась для хищения электронных денег в уже не существующей в настоящее время американской платежной системе E-Gold. URL: http://antifraud. drweb.com/bank_trojs/history/?lng=ru.


[Закрыть] В 2007 г. была обнаружена ставшая впоследствии самой массовой и по-своему знаменитой троянская программа «Зевс» (Zeus, Zbot). В 2009 г. появился SpyEye, в 2010 г. – «Карберп» (Carberp, «Цербер») и HodProt (Origami). Некоторые из этих программ до сих пор используются преступными группами – прежде всего вредоносные программы, являющиеся новыми версиями «Зевса» или созданные на его основе[79]79
  Подробнее см.: Эволюция Zeus. URL: http://habrahabr.ru/post/161707/.


[Закрыть]. Кроме того, в последние годы появилось большое количество новых специализированных вредоносных программ. В настоящее время актуальны такие банковские троянские программы (или их модификации более широкого назначения), как Corkow, Ranbyus, Lurk, Shiz, BifitAgent. Отдельно и очень активно развиваются троянские программы, специально предназначенные для работы на мобильных устройствах.

Разумеется, хищения в электронных системах, использовавшихся в нашей стране, как уже было отмечено, примерно с середины 90-х гг., происходили и раньше, в том числе с применением различных вредоносных программ. Однако эти преступления носили преимущественно индивидуальный характер и часто совершались с участием человеческого фактора в той или иной форме или с использованием различных приемов социальной инженерии, а вредоносные программы распространялись только адресно. Быстрое распространение недорогого широкополосного доступа к интернету и сопутствовавшее ему развитие различных электронных систем переводов денежных средств открыли компьютерным преступникам новые возможности монетизации их деятельности, причем с доходностью, значительно превышающей доходность от любых других видов компьютерных преступлений.

Для получения скрытого доступа к электронным средствам платежа (ЭСП), перехвата и копирования необходимой для совершения перевода денежных средств информации, а затем и совершения самих несанкционированных переводов со счетов жертв потребовалось создание нового класса вредоносных программ – так называемых банковских троянских программ.

Согласно ст. 273 УК РФ вредоносными считаются «компьютерные программы либо иная компьютерная информация, заведомо предназначенные для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации». Согласно примечанию 1 к ст. 272 УК РФ, «под компьютерной информацией понимаются сведения (сообщения, данные), представленные в форме электрических сигналов, независимо от средств их хранения, обработки и передачи». Определения, данные в УК РФ, являются весьма широкими по смыслу, вполне универсальны и проверены практикой правоохранительных органов. Всем, кто имеет хотя бы поверхностное представление об информационной безопасности, хорошо известно, насколько велико разнообразие вредоносных программ и широк спектр решаемых ими задач. Вирусы, «черви», бэкдоры (средства скрытого удаленного доступа), «клавиатурные шпионы», макровирусы для Word и Excel, вирусы загрузочных секторов (буткиты), скриптовые вирусы (shell-вирусы, java-вирусы и т. д.), разнообразное мошенническое программное обеспечение, шпионские и рекламные программы – вот далеко не полный список того, что обычно относится к категории вредоносных программ.

Описываемые программы относятся к категории троянских. На практике их еще называют «трояны», «троянцы», «троянские кони», «трои». Такое наименование они получили по аналогии с известным античным мифом о гигантской деревянной статуе коня, внутри которой в осажденную Трою тайно проникли греческие воины на заключительном этапе Троянской войны.

Троянская программа незаметно для пользователя устанавливается на компьютере или мобильном устройстве для выполнения каких-либо задач – как правило, вредоносных. В отличие от так называемых компьютерных вирусов и червей, троянские программы обычно не имеют функционала для собственного воспроизведения и распространения своих копий. Установка троянских программ может производиться вручную злоумышленником, получившим непосредственный или удаленный доступ к целевому компьютеру или мобильному устройству, либо самим пользователем по ошибке, неведению, в связке с другими программами. Массовое же распространение троянских программ производится через компьютерные сети, обычно с использованием дополнительных вредоносных программ, уязвимостей операционных систем и пользовательского программного обеспечения, иных специальных приемов и технологий. Массовое и одновременно скрытое заражение троянскими программами как можно большего количества компьютеров и устройств – отдельная сложная задача для преступников, о способах решения которой будет сказано далее.

Троянские программы могут решать следующие задачи:

– получение, копирование и передача любой информации, представляющей ценность, в том числе данных, необходимых для аутентификации в любых системах, для несанкционированного доступа к ресурсам любого типа, для использования ЭСП любого типа;

– осуществление скрытого удаленного доступа к компьютеру или мобильному устройству, в том числе с возможностью управления (администрирования);

– загрузка и передача любых файлов, внесение изменений в любые файлы или программы, удаление файлов или программ, установка других программ, в том числе вредоносных;

– создание помех в работе компьютера или мобильного устройства, выведение их из строя;

– скрытое наблюдение за любыми действиями пользователя и других программ, включая сбор сведений о посещаемых сетевых ресурсах, копирование текста, набираемого на клавиатуре, снятие снимков экрана, скрытое включение микрофона и видеокамеры, запись потокового аудио и видео и т. п.;

– сбор адресов электронной почты из почтовых программ пользователя для последующего использования их в целях рассылки спама;

– использование зараженного компьютера или мобильного устройства для участия в DDoS-атаках, в качестве прокси, для посещения рекламных веб-сайтов, просмотра рекламных объявлений и т. п.;

– дезактивация антивирусных программ или создание помех в их работе, обход или выведение из строя программных или аппаратных средств защиты;

– внедрение кода в загружаемые пользователем при помощи программы браузера веб-страницы (технология так называемых веб-инжектов (от англ. web injection — инъекция в веб-сайт)) с целью подмены информации на просматриваемых пользователем веб-сайтах, перехвата вводимых аутентификационных данных, запроса дополнительных сведений, необходимых для совершения неправомерных действий (например, телефонного номера); сетевой адрес оригинального веб-сайта, посещаемого пользователем, может быть при помощи веб-инжектов скрыто подменен на адрес так называемого фишингового веб-сайта.

Приведенный список не является исчерпывающим, однако из него уже видно, насколько широкие возможности могут предоставлять злоумышленникам троянские программы. Непосредственное назначение и использование троянской программы в каждом случае зависят от ее функционала и криминальной специализации лица, управляющего данной программой.

В случае если некая троянская программа распространяется достаточно широко и устанавливается на множестве компьютеров и иных устройств, возникает такое явление, как ботнет – сеть ботов.

Термином «бот», представляющим собой сокращение от слова «робот», в компьютерной индустрии традиционно называют любые автономные программы, обычно выполняющие однообразную повторяемую работу. Точно так же ботами принято называть вредоносные программы, хотя часто под ботами подразумеваются не только программы, но и сами зараженные ими устройства. Иногда вместо термина «бот» используется слово «зомби» и соответственно вместо термина «ботнет» – «зомби-сеть». Ботнет можно определить как компьютерную сеть, обычно построенную по архитектуре «клиент-сервер» из компьютеров-ботов (мобильных устройств – ботов) с установленной на каждом из них вредоносной программой или несколькими взаимосвязанными вредоносными программами. В большинстве случаев в такой сети имеется единый центр управления, называемый административной панелью ботнета (админ-панелью), ботнет-контроллером, управляющим сервером, контрольно-командным центром ботнета (англ. C&C – command & control).

Центр управления ботнетом в большинстве случаев представляет собой веб-сайт в интернете, запущенный на виртуальном или выделенном физическом сервере (либо в крупных ботнетах на группе серверов). Сам факт существования центра управления ботнетом, сохраняемые в нем данные и осуществляемые с его помощью соединения, а также операции скрываются и защищаются различными способами. Доступ к центру управления ботнетом осуществляется после аутентификации.

Центр управления ботнетом в зависимости от возможностей, назначения и порядка использования ботнета и ботов может быть предназначен для решения следующих задач:

– ведение списка имеющихся ботов, поиск, выборка и классификация ботов по различным критериям;

– сохранение и обработка информации, поступающей от ботов, в частности аутентификационных данных пользователей, экранных снимков рабочих столов и т. п.;

– передача ботам индивидуальных или групповых команд на выполнение каких-либо действий в соответствии с назначением и использованием программ, например на загрузку определенных модулей (плагинов), изменение настроек конфигурации и т. п.;

– удаление и (или) выведение из строя ботов;

– установление удаленного управления ботами с использованием встроенного функционала или при помощи дополнительно устанавливаемых вредоносных программ;

– организация работы с ботнетом нескольких пользователей, в том числе с различными правами и уровнями доступа, контроль за работой пользователей.

Первые ботнеты с централизованным управлением появились в конце 1990-х – начале 2000-х гг. Уже в 2007 г., по оценке создателя протокола TCP/IP Винта Серфа[80]80
  Носакин Р. Ботнет великий и ужасный // Компьютерра онлайн. 07.05.2007. URL: http://old.computerra.ru/focus/317787/.


[Закрыть], около четверти из 600 млн компьютеров, подключенных на тот момент к интернету, могли состоять в различных ботнетах. Теоретически и практически любой компьютер или иное устройство могут быть одновременно заражены несколькими различными или однотипными вредоносными троянскими программами (с разными центрами управления) и состоять таким образом в нескольких ботнетах сразу.

Рассмотрим банковские троянские программы и ботнеты на их основе. Задачи банковского трояна могут быть описаны следующим образом:

– после скрытой установки на компьютере или мобильном устройстве обнаружить наличие или следы использования ЭСП: программ типа «толстый клиент», используемых для доступа к банковским счетам или электронным денежным средствам; «тонких клиентов» для доступа к платежным веб-сайтам операторов по переводу денежных средств; программ операторов по переводу денежных средств (межрегиональных переводов) или программ платежных агентов (операторов микроплатежей);