Общее. Конференция Antifraud Russia 2013

На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле.

На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду.  Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android, которая не обеспечивает ни какой безопасности (примерно об этом я и писал в предыдущей статье).

Основные тезисы с пленарного заседания подробно представлены в обзоре на banki.ru.

Отмечу те моменты, которые понравились лично мне. (В течении конференции публиковал их в твиттере с тегом #antifraudrussia)

Как всегда, было интересно послушать Илью Сачкова из Group-IB. Он приводил основные моменты из отчета своей компании “Рынок преступлений в области высокихтехнологий: состояние и тенденции 2013 года”. Аналогичный доклад Илья уже делал на нескольких конференциях в этом году, но для того, кто не читал полную версию отчета, послушать было интересно. По расчетам Group-IB получилось, что объем рынка киберпреступности уменьшился.  Остальные участники конференции говорили о росте.

Илья отметил новые тренды – целевые атаки на сотрудников  банков, заражение и подмена POS-терминалов. Например в прошлом году было зафиксировано 23 заражения АРМ-а операциониста банка, с которого в дальнейшем осуществлялся несанкционированный доступ.

Также Илья обратил особое внимание на теневой интернет, такой как сеть Tor и неконтролируемую валюту - bitcoin. По его словам, там в открытую продают оружие, наркотики и базы данных пластиковых карт.  Выявлялись прецеденты, когда человек заказывал наркотики, которые доставлялись ему службой “Почта России”.

Илья призвал бороться с такими сетями. Так как обычной фильтрацией по iP-адресам и URL не обойтись (так как сети децентрализованные, нет одного узла который достаточно будет  запретить) то необходимо использовать технологии типа DPI.

http://www.youtube.com/watch?v=fhaJXNlIPvs

Евгений Балезин из MasterCard привел интересную статистику Trustwerse и собственную. По их статистике основной целью атак были магазины электронной коммерции и точки продаж (магазины). Прокомментировал, что заражать вредоносным кодом POS-терминалы сложно, а вот подменить POS-терминал можно легко, в сговоре с персоналом магазина.

Игорь Ляпунов из Джет-а, развернул нас от хищного оскала киберпреступников к добрым лицам внутренних нарушителей. Привел несколько случаев мошенничества не связанных с ИТ, с которыми сталкивался. Один из случаев – мошенничество в самом интеграторе Джет, когда менеджеры при формировании заявки на премии указывали не все расходы по проекту, которые были на самом деле. В итоге получали лишние сотни тысяч рублей премиальных.

Стоянов Руслан из Лаборатории Касперского рассказал про “темный путь”: от неофита до киберпреступника, а так-же предложил бороться с киберпреступниками как с педофилами. А именно выпустить законы о запрете данного контента, определить характеристики, фильтровать информационные хакерские ресурсы, фильтровать сервисное облако, придумать уголовные статьи, по которым пройдут владельцы сервисного облака для киберпреступников.

На круглом столе «Как защитить интересы банков и клиентов в рамках законодательства о Национальной платежной системе» мы не увидели заявленных Руслана Гаттарова из СФ РФ , Олега Иванова из АРБ, Дмитрия Фролова из ЦБ РФ. Дмитрий Волков из Group-IB и  Ильдар Мингазов из Управления "К" держались немного в стороне от общего обсуждения. Они рассказали свою часть про проблемы и успехи в поимке киберпреступников и в остальном обсуждении фактически не участвовали.

Представителями банков выражалось мнение, что дополнительная защита приводит к увеличению тарифов с одной стороны и недовольству части клиентов с другой стороны (клиенты не рады сложностям, которые приносят дополнительные меры защиты). Поэтому, пока клиенты не начнут осознавать необходимость ИБ и не начнут предъявлять требования к банку, можно особо не беспокоится.

С другой стороны, Клуб держателей карт, рассказал про основные жалобы клиентов, констатировал малую степень уведомления банками клиентов  по вопросам ИБ и предложил явно запретить безчиповые карты и электронные платежи без двухфакторной аутентификации.

В остальном, обсуждение на круглом столе свелось к констатации проблем с ст. 9 161-ФЗ:

·        банки не имеют юридической возможности приостанавливать платежи, даже если знают что это мошенничество.

·        банки не имеют права проводить расследование преступлений.

·        нет механизма для черных списков, хотя все (банки) понимают что они нужны

Общее мнение круглого стола - изменения в 9 статье 161-AP с нового года вступают в силу, а банки к ним не готовы,  законодательство надо совершенствовать и срочно. Как кто и когда должен начать изменение законодательства - не понятно. Явно не хватало отсутствующих участников от ЦБ РФ, СФ РФ и АРБ для разъяснения этого вопроса.

А в кулуарах Евгений Безгодов, из Дейтерия рассказал как PCI DSS выпустила кривой перевод стандарта на русский язык. Рабочая группа в течении года его корректировала. Сейчас на финальной стадии они с Евгением Бартовым из Альянс-PRO допиливают и PCI DSS в ближайшее время опубликует.

Из секций, понравился доклад Сергея Размахнина из МТС.  Он обратил внимание на то, что фрод стал слишком быстро меняться. Пока к ним приходит информация о фроде, злоумышленники успевают  короткий номер и текст и способ атаки поменять. Применяют интересный метод защиты – услугу мониторинг сети интернет от Яндекса для обнаружения коротких номеров и ключевых слов. Для поставщиков контента требуют обязательного уведомления о платном контенте – иначе возвращают все средства абонентам.

Алексей Сизов из Джет-а, рассказывал как антифрод системы “тормозят”. Мобильные платежи обрабатываются в доли секунды, а антифрод системы выполняют кучу аналитики и не успевают за платежными системами даже если запускаются параллельно. Выходы – либо запускать антифрод раньше чем обработку платежей (предсказания?) либо внедрять возможность мобильного блокирования и отзыва мобильных платежей.

Дмитрий Костров, выступал как независимый эксперт и сделал обзор всех нормативных документов в области СОРМ. Особо отметил новые документы. Выходят ещё одни технические требования по СОРМ - теперь будет присоска ФСБ напрямую к базам данных абонентов. Так-же планируются поправки - малых операторов освободить от СОРМ, если их трафик проходит через СОРМ крупных операторов.

Ну и самое интересная и жаркая дискуссия развернулась на круглом столе «Безопасная разработка банковского ПО: есть ли панацея от мошенников?». Несмотря на то, что слушателей было немного, на самом столе собрали представители разных сторон: разработчика - производителя ПО, банка- потребителя, аудитора – тестирующего ПО, учебного центра, регулятора, правоохранительного органа и у каждого было свое мнение. Утверждения одних участников тут же опровергались следующими. Но аргументировано и весело – хоть на цитаты разбирай.

К числу высказанных и опровергнутых в итоге могу отнести:

·        “Шилов (Бифит): любой нормальный разработчик по- умолчанию  занимается безопасностью продукта. Никакая стимуляция ему не нужна.”

Соучастники стола опровергли это фактами, что в ПО (в том числе банковском ПО) регулярно находят критические уязвимости, тем что любой бизнес идет по пути минимизации затрат.

·        “(Представители банков): мы готовы платить за безопасность банковского ПО, если разработчик будет отвечать финансово за любой ущерб связанный с ошибками в ПО”. Юридически будет очень сложно доказать что преступление совершено из-за наличия уязвимости в ПО. Тем боле что уязвимость может быть одновременно в ОС, СУБД и прикладном ПО. МВД подтвердили что в уголовных делах разработчики не фигурируют, только банк, клиент и нарушитель. А если проводить аналогию – то придется с производителей дверей  требовать компенсацию за квартирные кражи. Но этого никто не делает. Потому что есть некие продукты. Покупатель сравнивает характеристики и выбирает себе подходящий. Далее он может сам проверить его на прочность, а может провести независимую экспертизу. Так-же независимую экспертизу может провести и группа покупателей.

·        “(Представители разработчиков): Мионбразования виновато в плохой подготовке студентов”.

В результате обсуждения выяснили, что студентов врядли удастся ещё в ВУЗе заставить делать безопасный код. Для этого надо следовать большому количеству строгих правил и стандартов, для чего у студентов нет никакого стимула. Если кто-то идет по пути программирования, то он хочет творить, создавать, делать что-то новое. Зато Талантливого программиста Разработчик может отправить на специальные курсы (Рустэм обещал такие организовать) плюс применять корпоративные правила безопасной разработки и превратить его в Безопасного Программиста.

·        “(Представители разработчиков): Банки хотят безопасность, а сами не готовы платить за безопасность”.  

В ходе обсуждения выяснилось что за безопасное ПО банки готовы доплачивать разумный процент. За это требовать от разработчика SLA или другие гарантии.

·        “(Представители банков): В ТЗ мы указываем только функциональные требования к банковскому ПО. То что оно должно быть безопасным мы подразумеваем по умолчанию. Этим должен заниматься разработчик”.

Разработчик делает только то что требуется. Его задача в минимальные сроки и за минимальные затраты выполнить требования. А вкладывать в продукт всё о чем мог подразумевать заказчик (котики?) он не будет. Требования по безопасности обязан выдвинуть банк – заказчик.

·        “(Представители разработчиков): Программисты не любят пентестеров, вы ломаете нам код. Обламываете крылья”.  

Соблюдать требования ИБ некомфортно, это вызывает дополнительные трудозатраты, но приучить себя можно, перетерпеть. Ему ведь за это платят деньги. Это в том случае если будет спрос на безопасность. У Microsoft он возник 4-5 лет назад и они внедрили SDL.

·        “(ВСЕ): Так как всем нужен стимул чтобы заниматься ИБ, хорошо если ктото большой и сильный обяжет всех это делать”.  

Сычев из ЦБ ответил: можете даже не рассчитывать на такой сценарий. В планы ЦБ не входят обязательные требования, проверки, сертификации банковского ПО.

Высказывания с которыми большинство согласилось:

·        “Бешков (Microsft): если разработчика не мотивировать кнутом, то ничего делать не будет”.

Поэтому Microsoft выстроили свой анализатор кода в Visual Studio по умолчанию. Поэтому разработчику кто-то должен предъявить жесткие требования по ИБ, заключить SLA. И разработчику должно быть что терять (репутация, деньги) – только тогда он будет заниматься ИБ. Поэтому банкам надо публиковать информацию об инцидентах, связанных ошибками в банковском ПО.

·        “Рустем (Appercut): лечить надо то что болит. У многих ИТ директоров дыры в ПО - не болят. А вот стабильная работа ДБО их больше волнует”.  

Большинство согласилось, что если заказчик (банк) не заинтересован в безопасности (а заинтересован в чем-то другом), то ни разработчик ни аудитор ни поставщики решений безопасности его не убедят заниматься безопасностью.

·        “Медведовский (DSec): разработчики живут на другой планете. Мы обнаруживаем огромное количество критичных уязвимостей в банковском ПО. Зарегистрировано много инцидентов связанное со слабостью защитных механизмов ДБО”

·        “Шилов (Бифит): за прошлый год только 7 из 400 заказчиков-банков обратилось с информацией об уязвимостях. И то ошибки были в окружении - ОС и Вебсервере”

·        “Сычев (ЦБ): Требования к безопасности банковского ПО может выдвигать только заказчик. Чтобы требования были адекватными и комплексными, можете объединяться и делать сообща”

PS: Питание и организация мероприятия на отлично. А в процессе написания статьи ни одной кружки-термоса не пострадало.