ИнфоБизнес N23\ 27 июня 2000

В одном из сравнительно недавних номеров “ИБ” автору этих строк уже доводилось писать о небезопасности онлайнового банковского обслуживания, но в самых общих чертах, без описания конкретных методов действий злоумышленников.

Теперь же появилась возможность восполнить этот пробел, опершись на обширное исследование Давида Фридмана, опубликованное в одном из последних номеров американского делового журнала “Forbes”.

Тщательно и обстоятельно проконсультировавшись с десятком авторитетных экспертов из компаний, занимающихся защитой Интернет-банков, а также с известными данными об успешных атаках, Фридман приходит к следующему выводу: ограбить электронный банк по-крупному - дело не столь сложное, как можно было бы подумать.

Прежде всего, необходимо подобрать команду. Для серьезного дела требуется по меньшей мере полдюжины толковых компьютерных умельцев, включая специалистов по банковским программным приложениям, трансфертным сетям, операционным системам, ну и по программам защиты, конечно Подыскать таких людей, пожалуй, наиболее сложная задача во всем предприятии, поскольку толковые специалисты и так неплохо зарабатывают честным путем. Но не все. Кроме того, понадобится по меньшей мере один человек из внутреннего персонала банка. Это может быть клерк от среднего до нижнего ранга: кассир, помощник менеджера по обработке данных или клерк, занимающийся денежными переводами Понадобится также человек с опытом в области физических мер безопасности, а также даровитый “инженер человеческих душ”, способный вести речи быстро и с обаянием.

При выборе банка-мишени следует избегать банков первого эшелона, поскольку они защищены слишком хорошо Не имеет смысла нацеливаться и на небольшие банки, особенно представленные лишь в Интернете, поскольку при их ограниченном денежном обороте менеджеры, скорее всего, сразу заметят, как миллионы вдруг начинают улетучиваться... По этой причине мишенью становится крепенький банк среднего размера.

Наконец, как и во всяком солидном деловом начинании, потребуется время для всех приготовлений и некоторый начальный капитал. Что касается времени подготовки, то, по свидетельству экспертов, на подготовку солидного электронного ограбления уходит около 6 месяцев. Начальный капитал потребуется на закупку оборудования, сопутствующие операционные издержки, авансы, взятки и тому подобные вещи. В американских условиях на все про все хватит 2 миллионов долларов. Цель мероприятия - похитить от нескольких десятков до 100 миллионов долларов

Специалист по физической защите и его ассистенты нанимаются в банк-мишень в качестве вахтера, электрика, уборщика или еще каких рабочих. Попав внутрь, они расставляют по всему банку “жучки”, а также делают копии с потенциально полезных документов, лежащих на рабочих столах, в шкафах и кабинетах. В то же самое время наш “социальный инженер” со своими ассистентами проводит несколько небольших разведывательных операций с целью получения представления о том, как банк заводит счета, модифицирует их, организует к ним доступ и проводит выплаты Например, такие люди представляют себя коммерческими клиентами, заводят друзей среди банковских служащих для общения в нерабочее время, а затем, выдавая самих себя за сотрудников банка, собирают по телефону максимум информации от клерков, клиентов, поставщиков программного обеспечения, компьютерных специалистов и других банков. Ну, а тем временем главный “засланный казачок” внутри банка пытается узнать все, что может о банковской сети, программах, процессах и служащих.

Реальное начало мероприятия проводится очень осторожно и на низком уровне в течение нескольких первых недель. На этом этапе не покушаются на системы, связанные с деньгами. Вместо этого сосредотачиваются на отыскании разнообразных путей для проникновения в сеть извне. При этом практически никогда не пытаются ломиться напрямую через межсетевые экраны (брандмауэры), а тихо подыскивают черные ходы. Один из таких способов - “сесть на телефон”, когда компьютер автоматически прозванивает все телефонные номера банка в поиске ответа от модема. Еще один подход — завести онлайновый счет в банке, а затем с банкинг-сервера попытаться перескочить в основную сеть банка. Хотя всем прекрасно известно, что банкинг-серверы должны быть физически отсоединены от основной сети. по недосмотру или “бедности” многие пренебрегают этой рекомендацией. Третий путь предоставляют сами банковские менеджеры, берущие ноутбуки домой и подключающиеся к своему банку через Интернет (как показывает опыт, этот путь особенно легок для проникновения). Если же у банка есть зарубежные отделения, то многие предпочитают проникать внутрь именно через них, поскольку уровень компьютерной защиты имеет тенденцию существенно понижаться при переходе в оффшор.

Какой бы маршрут ни был избран, атакующим нигде не продвинуться вперед, не имея паролей доступа служащих банка. Причем крайне желательно иметь несколько таких паролей, чтобы не привлекать лишних подозрений, чрезмерно перегружая компьютерное время одного человека. Существует масса способов для достижения этой цели. "Наши люди", работающие внутри банка, сумеют найти пароли, записанные прямо на столе; социальные инженеры сумеют заболтать сотрудников банка, можно использовать широко доступные программы для перебора паролей типа Crack; можно украсть пароли сотрудников банка с торговых сайтов, поскольку опыт показывает, что многие люди предпочитают пользоваться одним и тем же паролем в разных приложениях; ну

наконец, масса людей почему-то использует в качестве пароля такие волшебные слова, как “password” или “hello”.

Пробравшись в сеть, мы начинаем искать способы для захода в другие компьютеры и программное обеспечение. При каждом шаге здесь могут потребоваться новые пароли, но суть от этого не меняется, поскольку на данном этапе хакер может загружаться лишь на короткие периоды времени, избегая затрагивания чувствительных систем и не привлекая внимания своей активностью. Одновременно с этим социальные инженеры открывают в банке несколько десятков счетов различных типов и под разными фальшивыми именами. Через эти счета время от времени проводятся небольшие, а иногда и крупные суммы денег.

Как только “почувствовали” сеть, можно начинать попытки получить “корневой доступ” на некоторых из серверов. Другими словами, получить на сервере все права и привилегии, которыми обычно обладает лишь системный администратор. Все, что для этого требуется, — правильный пароль. Как правило, получить пароль сисадмина оказывается ничуть не сложнее, чем пароль обычный (поскольку администраторы—точно такие же люди, с теми же самыми слабостями и привычками). Кроме того, многие операционные системы поступают с “тайными” паролями доступа для обслуживающих техников, и эти пароли часто известны хакерам.

Заполучив корневой доступ, можно выкатывать тяжелую артиллерию из хакерского арсенала. Можно заводить новых пользователей, устанавливать потайные ходы и троянских коней, ставить программы-снифферы для отслеживания графика и проникновения в архивы электронной почты.

На этом этапе мы узнаем те форматы и коды, которые использует банк для перемещения денег. Кроме того, мы проникнем в файлы, хранящие сотни паролей доступа. которые нам еще пригодятся в последующем. И мы сможем запускать общедоступные сетевые программы-анализаторы (такие как Satan. Saint, или Sara), чтобы самым тщательным образом просканировать сеть в поисках слабых мест и дыр в защите. С этого момента мы уже можем заметать свои следы, подменяя журналы загрузки, содержащие записи о том, кто к чему обращался в данной сети, поэтому появляется возможность более длительного пребывания и более глубоких проникновении.

Одновременно действуя на другом фронте, мы пытаемся заполучить в свои руки копию программного обеспечения, которое банк использует для управления деньгами и счетами, поскольку нам хотелось бы тайно модифицировать программу к собственной выгоде.

Понятно, что для этих целей необходима не сама работающая программа, а ее исходный текст, написанный на понятном для человека языке. Сами программистские компании охраняют исходные тексты чрезвычайно ревниво, однако опыт показывает, что у посредника-поставщика добыть такие тексты много легче. Нередки случаи, когда сам банк вносит для удобства собственные изменения в программу, и в этом случае у него непременно где-то хранится копия. Если ее не удается найти в сети, то иногда помогает подкуп одного из консультантов банка по информационным технологиям. Известны также случаи, когда копию программы добывали через заграничное отделение банка, которому пришлось модифицировать программу для подстраивания к местным требованиям.

Когда программу удается заполучить, отыскиваются способы для полезного изменения одного из ее компонентов, после чего программу компилируют, превращая в работоспособный машинный код. Затем проникают в систему и подменяют настоящую программу модифицированной При несколько ином сценарии подменяют резервную копию, которая охраняется менее строго, а затем “обрушивают” работающую программу, чтобы вынудить администрацию поставить резервный вариант

Постепенно мы узнаем, как происходят внутренние перемещения денег между счетами (по сути дела, обретая уровень контроля, присущий кассиру), и как управлять денежными трансфертами, когда деньги переводятся в другой банк. Мы узнаем, какого рода проверки и верификации осуществляются при каждой транзакции заданного типа и размера, когда проводится аудиторская проверка, и какого рода действия приводят к подъему тревоги, когда компьютерные системы извещают системного администратора и менеджеров о подозрительных вещах

Но при этом мы еще не покушаемся ни на какие деньги. Одновременно, набираясь знаний о том, как функционируют системы банка, мы также накапливаем и все новейшие изобретения в хакерском инструментарии вирусы, автоспаммеры и прочие штучки для организации атак типа “отказ в обслуживании”. Все эти инструменты держатся наготове, но в ход пока что ничего не идет

Наконец, на завершающей стадии подготовки мы открываем многочисленные банковские счета на Ямайке, на Кипре и в нескольких других странах, обеспечивающих максимальную тайну вкладчикам и минимальное сотрудничество с международными правоохранительными органами. Кроме того, коль скоро подразумевается, что весь этот сценарий разыгрывается в США, мы открываем счета еще в нескольких американских банках, сопровождая эти действия подробнейшими инструкциями о том, как максимально быстро класть и снимать деньги в каждом из этих банков.

Теперь мы непременно дождемся одного из тех хорошо известных ежегодных периодов, когда наступает пик необычно высокой банковской активности. По свидетельству экспертов, самые напряженные дни наступают в преддверии Нового года.

Для начала мы активизируем компьютерные вирусы и другие инструменты атак типа “отказ в обслуживании”. Это, так сказать, цивилизованный эквивалент дымовых шашек. Одновременно можно добавить и какие-нибудь трюки с физическими угрозами, типа лопнувшего водопровода, короткого замыкания, сообщения о заложенной бомбе и т п. В результате всех этих напастей банковский персонал из кожи вон начнет лезть, чтобы удержать систему в работоспособном состоянии. Конечно же, банк можно было бы попросту закрыть и в спокойной обстановке заняться восстановлением и приведением систем в порядок. Однако это наименее вероятный сценарий, поскольку для банков нет ничего ужаснее, чем выглядеть недостаточно надежными.

Вся эта разыгравшаяся суматоха, конечно же. служит только в качестве отвлекающего маневра.

Основное же нападение будет происходить на двух

фронтах. Во-первых, мы переведем деньги с тысяч чужих счетов на один, который открыли для себя. Мы сделаем это либо став в системе неким тайным суперкассиром, либо запустив встроенные команды в модифицированной версии программы, управляющей счетами, либо же обоими этими способами. Мы будем снимать лишь сравнительно скромные количества денег с каждого из счетов - чуть меньше тех сумм, которые в банке избраны пороговыми для запуска процедур дополнительного контроля. В зависимости от того, что больше, это может составлять или 1 тысячу долларов, или 3% от общей суммы на счете. Для банковских систем контроля все это будет выглядеть как обработка чеков, выписанных на одном из банковских счетов, и проплачивающих суммы на другой счет того же банка. В это время года дополнительные объемы в потоке обработки чеков будут выглядеть лишь как малосущественная добавка. Если говорить строго, то даже такая небольшая добавка в обычных условиях привлекает внимание администрации, но в данный момент у менеджеров и персонала будет слишком много других забот. Когда же деньги накопятся на нашем счете, мы начинаем их перевод, по несколько тысяч долларов за раз (опять же, чтобы избежать сигналов тревоги или запросов на одобрение менеджера), на наши разнообразные внешние счета.

Второй фронт атаки строится на перехвате чужих денежных переводов, иными словами, захватываются крупные суммы денег, переводимые легитимными клиентами на счета в других банках. Было бы чрезвычайно сложно сфабриковать ложный трансфер любого значительного размера, поскольку крупные переводы (свыше, скажем. 10 тысяч долларов) требуют физического заверения. по меньшей мере, со стороны двух менеджеров. Не удастся нам захватить трансфер и на маршруте доставки между банками, поскольку эти коммуникации зашифрованы. Поэтому мы захватываем трансфер после того как он заверен, но перед тем как зашифрован, используя методы так называемой атаки “человек посередине”.

Когда предполагается, что одобренный администрацией трансфер находится во внутренней сети на пути к компьютеру. который его зашифрует, на самом деле он отправится на сервер, которым управляем мы, и где информация будет модифицирована так, чтобы получателем трансфера стал один из наших счетов. Как только это сделано, данные направляются в шифратор и для всех выглядят так, будто они пришли непосредственно с первой машины.

Те деньги, что мы перевели на себя с помощью обеих атак за период времени примерно в несколько часов, будут рассредоточены по нескольким американским банкам, но мы немедленно запустим заготовленные заранее инструкции, которые сведут эти суммы в первом из наших оффшорных банков. где сразу же вступят в действие другие инструкции, переводящие деньги во второй банк, в третий и так далее, пока в конечном итоге мы не обналичим эти деньги в самом последнем банке... Как показывает опыт, в процессе последующего расследования, все эти банки рано или поздно предоставят соответствующий отчет о прокачанных через них деньгах, однако к тому времени все они уже давно будут переведены в наличные.

Ну а их новые владельцы бесследно исчезают в уютных и укромных местах, чтобы как следует отдохнуть и начать подготовку к следующем мероприятию.