В конце прошлого года theRunet писал о самых простых способах хакерских атак на банки. Теперь более подробно рассмотрим способы получения доступа в базу данных и расскажем о том, как организации могут защитить себя от атак.
Стоит отметить, что база данных системы дистанционного банковского обслуживания (БД ДБО) всё-таки содержит информацию не о «реальных» деньгах, а лишь передаёт информацию об операциях в центральную автоматизированную банковскую систему (АБС).
Но, одна из очень распространённых проблем в наших банках — отсутствие проверки электронной подписи клиента при выгрузке платёжных поручений из ДБО в АБС. Т.е. злоумышленник, получив доступ в БД ДБО, может сделать поддельную запись о платёжном поручении от любого клиента на любой счёт, при этом поставить лишь «галочку», что подпись данного платежного поручения была проверена и, что оно может быть выгружено в АБС.
Дальше это поручение автоматически уйдёт и исполнится в АБС. Таким образом, важно понимать, что после того, как злоумышленник получит доступ в базу данных, его почти ничто остановить не сможет. Путей получения доступа в базу данных, имея доступ к корпоративной сети банка (через захваченный хостинг), очень много.
Способы получения доступа к базе данных
Во-первых, это корпоративный домен на базе MS AD. Без корректной и хорошей настройки он представляет собой достаточно слабо защищённую инфраструктуру, особенно, если злоумышленник имеет доступ хотя бы к одному из компьютеров, входящих в домен (а в нашем сценарии это так).
Одной из основных проблем AD является его глубокая интеграция. И если злоумышленник захватит контроль хотя бы над одним хостом, то он сможет вынуть из его памяти учётные данные какого-то множества пользователей, и, используя их, будет захватывать контроль над другими серверами, вытаскивать учётные данные оттуда и продолжать атаку.
Итогом окажется нахождение учётной записи, имеющей доступ на сервер базы данных ДБО или АБС. На первый взгляд, кажется, что это непросто. Однако, описанная выше техника — одна из самых распространённых и хорошо проработанных. К тому же, она давно автоматизирована.
Второй пример – это уязвимости конкретной АБС или ДБО, а также их компонентов. Возможностей для атаки изнутри сети гораздо больше, чем снаружи. Так, были случаи, когда, например, любой пользователь сети имел возможность аутентифицировать в системе с максимальными правами, просто зная имя администратора системы.
Или, например, когда через веб-функционал системы, созданный для работы с клиентами ДБО, любой пользователь корпоративной сети мог без аутентификации читать файлы сервера. И, как вариант, прочитать файл с паролем от базы данных ДБО. Кроме того, те же базы данных от компании Oracle по умолчанию содержат ряд критичных уязвимостей, которые разработчик не исправит в ближайший год-два точно (архитектурные уязвимости). А вот злоумышленник ими воспользоваться может и получить доступ в БД. Причём для этого ему даже не нужны учётные данные.
Таким образом, мы видим, что злоумышленник достаточно просто может атаковать внутренние системы банка и получить от этого большую финансовую выгоду. Ведь всё, что ему нужно – захватить один из хостов внутри корпоративной сети, что достаточно просто, и он будет обладать потенциалом доступа к внутренним системам.
Способы защиты
Надо помнить, что безопасность – это комплексный и изменяющийся процесс, так что универсальной таблетки не существует. При этом ущерб можно минимизировать. Вот несколько советов от Владимира Фоменко, директора хостинговой компании King Servers:
Во-первых, это хорошая сегментация сети, а также строгие правила на файерволлах. Как показывает опыт внутренних аудитов, этим пренебрегают в очень многих банках.
Во-вторых, это инвентаризация и регулярное обновление программного обеспечения. Это сверхнеобходимо – знать, что есть и внутри, и особенно снаружи вашей сети. Причём не просто знать название программного обеспечения, а иметь представление о его версии и возможностях, версии дополнительных модулей и библиотек.
В-третьих, стоит упомянуть про социальную инженерию. Человеческий фактор исправить трудно, но ограничить настройками – легко. Так, например, по статистике атак на пользователей, примерно в 7 случаях из 10 для захвата контроля используются уязвимости в Java. При этом надо понимать, что для Java систематически появляются в общем доступе уязвимости «нулевого дня» (без исправлений от разработчика) и обновления здесь не является решением, так как атака может произойти до выпуска обновления.
Зато корректными настройками мы можем ограничить всех пользователей от использования Java, за исключением тех, кому это реально необходимо (а таких будет совсем не много). Ну и конечно, систему надо проверять. Пен-тест, или глубже – аудит, покажет, каков же реальный уровень защищённости системы, что же злоумышленник сможет сделать с вашей системой.
Троянцы, DDos-атаки и «чистый взлом»
Возвращаясь к атакам на банки, на чёрном рынке сейчас активно продвигается BackDoor.IRC.Medusa.1 — тот самый троянец, что с 11 по 14 ноября 2016 года использовался в атаках на веб-сайты Rosbank.ru (Росбанк), Eximbank.ru (Росэксимбанк), а также Fr.livraison.lu и En.livraison.lu (сеть ресторанов Livraison) и Korytov-photographer.ru (частный веб-сайт). Создатели троянца утверждают, что ботнет из 100 зараженных компьютеров способен генерировать до 25 000 запросов в секунду с пиковым значением 30 000.
Когда банк сталкивается с публичной угрозой атаки скорее всего подготовительный этап прошел некоторое время назад и возможно, что сама атака уже начата. Чтобы оценить серьезности угрозы, нужно понять, о чем именно идет речь. Если это обычная DDoS-атака, то сегодня они происходят через взломанные домашние роутеры, тот самый интернет вещей. В этом случае атаку может проводить 1-2 человека.
Если речь от чистом взломе, то требуется много подготовительной работы. Нужно получить доступ к внутренней информации, найти слабые места в защите. В 95% случаев такие данные получают через инсайдерскую информацию или как еще говорят покупную уязвимость. В этом случае задействовано большое количество людей и подготовка требует времени и денег.
Почему важна безопасность дата-центра
Независимо от того, какой центр обработки данных используется в организации — частный или коммерческий, — перед компанией стоит непростая задача по обеспечению безопасности и целостности хранимой на нем информации. Защитные решения для таких систем должны быть гибкими: обеспечивая необходимый уровень безопасности существующей среды сегодня, они должны легко масштабироваться, чтобы поддержать любые ее изменения в будущем. Кроме того, такое решение должно включать специализированные технологии для защиты систем хранения данных и виртуальных сред.
Современная информационная система компании представляет собой комплекс отдельных взаимодействующих сегментов. Одним из сегментов является периметр информационной инфраструктуры, можно выделить внешний и внутренний периметр инфраструктуры.
Внешний периметр (классический firewall) обеспечивает безопасность при атаках извне, соответственно внутренний обеспечивает безопасность при атаках направленных изнутри компании. Как внешний периметр, так и внутренний должен основываясь на желательной аутентификации и в любом случае на авторизации пользователей предоставлять доступ всем участвующим сторонам к необходимым сервисам и данным.
В свою очередь основными задачами внутреннего периметра являются непрерывность бизнес процессов — практически отсутствие ложных срабатываний, тщательное отслеживание действий пользователя для предотвращения утечки информации и недопущения попытки использовать нелегитимное ПО для различных вредоносных действий.
Антивирусное программное обеспечение является одной из наиболее важных составляющих системы информационной безопасности. Однако когда необходимо обеспечить защиту крупных интрасетей от вирусов и других вредоносных программ, необходимо использовать специальные корпоративные версии защитных программных средств.