Валерия Лич: Добрый день. Канал Mediametrics, программа Кибер-банкинг и ведущая Валерия Лич. Сегодня у нас в гостях Даниил Чернов, руководитель приложения безопасности Solar Security. Добрый день, Даниил.
Даниил Чернов: Добрый день, Валерия!
Валерия Лич: Расскажите, пожалуйста, нам о безопасности мобильного банкинга. Сегодня, наверное, это самое популярное приложение для мобильных телефонов?
Даниил Чернов: Безопасность мобильного банкинга штука достаточно всеобъемлющая. Дело в том, что... Ну, что такое программа? Программа-это набор алгоритмов, которые пишут разработчики. Так как эти программы в настоящее время уже достаточно большие, разработка часто ведется методом склеивания кусочков, которые доступны в депозитариях, как когда-то мы с вами писали рефераты, собирали кусочки текстов, склеивали воедино. Примерно так же разработчики пишут код.
Валерия Лич: Ну а кусочки уже оттестированны? Перепроверены?
Даниил Чернов: Но далеко не факт. То есть обычные упросорсные кусочки, они лежат в таком виде, которое взял и они работают, но далеко не факт, что этот кусочек будет соответствовать требованию безопасности какого-то конкретного банка.
Валерия Лич: Ну банк в любом случае же разрабатывает какое-то техническое задание для разработчика. Как же он потом проверять при приемке? Насколько это соответствует?
Даниил Чернов: Дело в том, что далеко не всегда, к сожалению, в техническом задании прописаны требования по безопасности, предъявляемые к приложению. В ТЗ мы можем найти картинки, как приложение должно выглядеть, найти описание требования бизнеса, как приложение должно обрабатывать запросы.
Валерия Лич: Если у клиентов будут уходить деньги, то клиенты будут уходить из банка.
Даниил Чернов: Согласен. Репутационные риски.
Валерия Лич: Но помимо репутационных, если у клиента увели деньги и человек в течение суток обратился в банк, ему обязаны вид вернуть, а потом уже разбираются с мошенниками как хотят, то есть тут не только репутационные, а ещё и финансовые потери.
Даниил Чернов: Ещё и финансовые потери. Всё правильно. Но, к сожалению, пока ещё, по крайней мере в нашей стране, нет большой практики закладывания требования по безопасности в ТЗ на разработку приложений. И нету распространённой практики по проверке приложения, которая получается на выходе. Тестировщики тестируют на что? Они тестируют, чтобы приложение работало, чтобы она не падало, чтобы она правильно выглядело, как того хотели постановщики задач.
Валерия Лич: Ну как выглядела там, скорее всего,вопросы дизайна. То есть халатик нравится, но пуговки не те.
Даниил Чернов: Пуговки не те, цветочки по углам и расставили, и в общем-то и всё. И получается такая ситуация, что требования безопасности в ТЗ не заложили, спрашивать не с кого, если стучится в лом, то в первую очередь спрашивала с главного человека, который отвечает в банке. Возможно, даже уволят. Но при этом далеко не всегда есть безопасность инструмент-контроля разработчиков, который позволяла бы проверяет все дырки, закладки и т.д.
Валерия Лич: А что Вы имеете в виду под инструментом проверки?
Даниил Чернов: Инструменты проверки это как и технические, так и процессные. Процессная, это как вы упомянули, техническое задание, в банке должна быть процедура, процесс, закладывание в ТЗ требования по безопасности. А технические-это проверка кода на этапе тестирования, на разных других этапах.
Валерия Лич: А почему всё-таки не делается?
Даниил Чернов: Потому что, на мой взгляд, крайне тяжело найти человека, который был бы крайним.
Валерия Лич: Твоих не хватает смелости брать на себя ответственности или всё-таки не хватает компетентных людей?
Даниил Чернов: И то, и другое. Давайте, представим, что мы с вами разработчики. Мы пишем код, У нас есть жесткий дедлайны, сроки сдачи софта, у нас на этом завязаны бонусы, какие-то другие плюшки, и вот в такой ситуации мы, наверное, с вами не захотим, чтобы у нас был еще один этап проверки и сами себя проверять на безопасность. Мы написали, мы сдали софт работы, зачем нам еще какие-то требования.
Валерия Лич: А завтра... Как насчёт того, что недовольный клиент...
Даниил Чернов: А если в ТЗ не заложено, что с нас спрашивать.
Валерия Лич: Опять-таки репутационные риски, что клиент всегда может сказать на весь белый свет, тем более если сейчас учитывай интернет, всем сказать вот такие вот негодяи, сделали нам такой вот нехороший софт.
Даниил Чернов: Это вопиющее безобразие. Клиент скажет нам "ай-яй-яй" и может публично устроить порку безопаснеькую, и может даже его сменить.
Валерия Лич: И на этом то есть всё?
Даниил Чернов: Ситуации бывают разные. Как правило такие инциденты они способствуют росту внутренней и зрелости компании банков. Когда бизнес уже вовлекается в этом, он сверху спускает задачи, что нужно построить процесс безопасного программирования. Вот это наверное такое ключевое слово, которое покрывает методологию разработки приложения, закладывание требований безопасности в ТЗ, с проверкой чего там написали разработчики, на этапе тестирования и недопущения приложение дальше Production.
Валерия Лич: С чем сталкиваются сегодня именно клиенты банков? Какие чаще всего виды мошенничества по мобильным приложением? Потому что СМИ в самом начале года ещё прогнозировали, что самый атакуемый будет именно мобильный банкинг, чаще всего подвергаться каким-то атакам.
Даниил Чернов: Самая распространённая атака и заключается в том, что пользователи часто сидят в интернете через публичный wi-fi в кафе, в ресторанах, в гостиницах, где угодно. Мы недавно выпускали исследования по защищённости мессенджеров, в общем-то, она отражает примерную ситуацию с мобильными банками. Одна из самых тяжелых уязвимостей, когда приложение не проверяет сертификат сервера. По большому счёту, я сижу в wi-fi со своим мобильным приложением, работаю с мобильным банком, рядом садится нехороший человек, он принимает у себя точку доступа с таким же именем wi-fi как у кафе, в котором я сижу, делает сигнал помощнее и по законам физики мой телефон пойдёт в точку доступа. И так как разработчики не проверяют механизм безопасности общения между мобильным приложением и сервером, нехороший хакер говорит я сервер банка, приложение мое видит и весь мой трафик может пройти через этого человека. Дальше всё зависит от того, что я делаю с приложением и какой трафик проходит между мобильным приложением и сервером. Скорее всего, он перехватит мой логин и пароль, возможно он перехватить данные банковских карточек, если они не зашифрованы.
Валерия Лич: А часто бывает так, что они всё-таки не зашифрованный?
Даниил Чернов: 50 на 50 примерно, если навскидку.
Валерия Лич: То есть банки не обязуется всё-таки шифровать данную информацию и по каким-то защищенным каналам передавать, что во сне если мошенник получил какую-то информацию, то это была какая-то абракадабра?
Даниил Чернов: Их обязуют шифровать, но обязуют шифровать внутри своего контура. Очень часто, стандарт, который это обязует делать, он достаточно либерально относится к скопу, области которые вам нужно выбрать и мобильное приложение он выпадает из области рассмотрения. Зашифровали хорошо, но часто не шифрует.
Валерия Лич: То есть никто по идее не виноват, получается.
Даниил Чернов: Да, такая вот технология. Что дальше происходит? Я бы не стал рассматривать такую ситуацию, когда хакеры пришел в кафе следить за каким-то человеком. Хотя может быть и такое. Как правило, туда приходит начинающие хакеры, они разворачивают точку доступа и хватают любую информацию запись, которая плохо лежит, пропускает через себя трафик и ловят логин и пароль от мобильных банков, всё что проходит с мессенджеров, если она не зашифрована и дальше сценарий развития просты, если они поймали логин и пароль, они могут либо сами воспользоваться им, либо могут продать.
Валерия Лич: Ну а как же насчет подтверждающего СМС?
Даниил Чернов: Тоже сейчас расскажу. То есть, если человек наловил логин и пароль,он может использовать либо это сам для дальнейших взломов, либо он это может продать.
Валерия Лич: А каким образом... требуется же чаще всего SMS подтверждение с неким кодом?
Даниил Чернов: Да. Сейчас я про это расскажу. Продать за несколько долларов можно карточки, которые потом уже обработает те, которые имеют больше ресурсов. Логин и пароль имеют определенную стоимость. Всё зависит от того какой банк и ещё ряд факторов. Ну, предположим, что человек хочет дальше ломать самостоятельно. SMS подтверждение оно есть у большинства банков, но а также далеко не у всех. Плюс надо смотреть какие дальше уязвимости. Мы недавно проводили анализ защищенности одного мобильного банка, там было SMS подтверждения, зайти туда можно было просто по логину и паролю. Дальше если вы хотели отправить платеж, нужно было вводить SMS подтверждение. Ну, там есть такая штука как шаблоны на платежи, то есть если мы часто делаем какие-то переводы, Мы обычно загоняем этот шаблон, чтобы не вводить постоянно. И в данном конкретном случае не требовалось подтверждения отправки денег по шаблону.
Валерия Лич: Ну а разве шаблон не создал сам хозяин начальный, перевоначальный?
Даниил Чернов: Сам. И вторая ступень, которая компрометировать всю систему, состояла в том, что шаблон можно было поменять без любого и SMS подтверждения. То есть мы открываем шаблон, вводим реквизиты которые нам нужны, и переводим деньги. Это один из случаев. Но более массово всё-таки они SMS подтверждения на шаблоны ставится, ряд банков даже включает одноразовые пароли с карточками, другие элементы защиты. Здесь есть второй фактор. Давай, теперь вернемся уже к нашим устройствам. Самое распространённое на рынке это iPhone, это Android. Они очень разные. Намного больше пользователь Android и соответственно больше вирусов под платформу Android.
Валерия Лич: То есть там всё-таки с помощью вирусов?
Даниил Чернов: Да. То есть помощью вирусов делается так, что SMS, которая приходит от банка, она пользователи не показывается. Она перехватывается вирусом или трояном и отправляется хозяину.
Валерия Лич: А вирусы каким образом попадают? Чаще всего откуда? Но мы не будем сейчас говорить о том, как все говорят, что не ходите на порносайты, не скачивайте ненужную музыку или ещё что там, нелегально.
Даниил Чернов: Основные каналы следующие. Давайте, остановимся на Android, потому что, во-первых, гораздо дешевле устройство, сильно много производителей. Производители дешевых устройств, они прекращают поддержку. И люди, которые пользуются телефонами, основная масса она далека от информационной безопасности. Платформа Android, на неё можно скачать различные приложения как с Google Play депозитарий, где хранятся приложения...
Валерия Лич: Ну там же всё-таки официально должны храниться приложение, разработана какими-то легальными разработчиками?
Даниил Чернов: Да. Но дело в том, что они тестируется Google автоматически. То есть там руками никто не смотрит. Допустим, легальное приложение, нужно быть крайне внимательным, когда мы ставим какую-либо игрушку-календарик или что-то такое нецелевое для нас. Есть та же игрушка-календарик, которая запрашивает доступ к приложению. Возникает вопрос зачем.
Валерия Лич: Чаще всего рассылать рекламу и нас спамить не по-доброму.
Даниил Чернов: Если вдруг видите, что приложение просит какие-то ненужные ему права, лучше от него отказаться. Потому что она установится с сюрпризом внутри, этим сюрпризом, например, будет троян, который будет делать то что ему захочется. Второй способ распространения через различные дырки, опять же посещении различных сайтов, где может случиться автозагрузка чего-то нехорошего и т. д. Есть целевые атаки, они всё больше набирают оборот.
Валерия Лич: Что вы имеете ввиду под целевыми атаками?
Даниил Чернов: Допустим, я поймал ваш логин пароль в том же кафе, где вы его использовали с мобильным банком. Помимо этого я мог там поймать еще что-нибудь, ваш e-mail, например. Я могу у вас поискать в соцсетях, в Facebook, могу поискать какие-то объявления от вас на сайтах различных. Моей задачей будет отправить вам адресное сообщение со ссылочкой, которую вы вероятнее всего откроете. Вы открываете ссылочку, и незаметно для вас идёт загрузка трояна.
Валерия Лич: А как же общаться с людьми? Если вас действительно есть какое-то объявление? Ну, кто-то хотят продает, например.
Даниил Чернов: Общаться надо. Если не хочется копаться внутри технике, просто заведите телефон сторонний, на котором нет мобильного банка для объявлений и прочего всего.
Валерия Лич: А чаще всего какие места подвергаются подобным атакам? Помимо кафе. И какие кафе, куда примерно кто ходит. Я не думаю, что какие-то студенческие как-то особо подвергались, или всё-таки мошенники не гнушаются никакими суммами? Студенты, конечно, более беспечной, но там приходится всё-таки по 100 рублей собирать.
Даниил Чернов: Я согласен. Давайте, представим, что мы с вами хотим надавить какую-то ценную информацию. Чтобы максимизировать наши усилия, мы пойдём, наверное туда, где больше людей и они побогаче, например, отели, рестораны. Холлы отелей, наверное, самое популярное место, потому что туда чаще всего приезжают люди, у которых телефон в роуминге, прибывают чтобы скорее пореветь почту, выйти на связь и они увидели точку Wi-fi и к ней присоединились. Там просто кладезь для начинающих и практикующих хакеров. Всякие выставки, но особенно хороши те выставки, где организаторы достаточную жадные и не дают бесплатный Wi-fi. Дают его за деньги, настройки или ещё как-нибудь, куда можно прийти и записать название выставки, пароль wi-fi и народ туда побежит.
Валерия Лич: То есть мошенники благополучно предоставляет интернет.
Даниил Чернов: Да. Но как-то проводили эксперимент, на одной из выставок, просто посмотреть сколько людей законнектятся к нам на выставке. За 3 дня ты нам коннектилось несколько сотен человек, которые хотели воспользоваться wi-fi по незащищенному протоколу.
Валерия Лич: То есть еще вы проверяли, как можно получить незаконную информацию?
Даниил Чернов: Мы не доводили дело до конца, то есть нашей задачей было просто посмотреть, сколько людей воспользоваться не безопасным интернетом. Прикинув, сколько человек было на выставке, примерно, 70% посетителей подключалась.
Валерия Лич: Это видимо те, кто пользовался интернетом. Остальным, похоже, он был не нужен.
Даниил Чернов: Остальные были заняты.
Валерия Лич: А какие еще моменты есть, тонкости? Как себя оградить от каких-то хулиганов? От каких-то мошенников? То есть есть люди, которые не с целью что-то укоротить, с целью просто сломать телефон, снести все приложения и всё остальное, чтобы аппарат перестал функционировать.
Даниил Чернов: Еще достаточно распространенное хулиганство, которое приносит значительные убытки, наверное... у банков основная головная боль, она связана с этим, когда так называемая социальная инженерия или попытка обмануть пользователя. Когда звонят человеку, представляются сотрудниками банка, могут что угодно сказать, что так, мол, так, у нас упала база данных и нам нужно восстановить данные вашей карточки, продиктуйте,пожалуйста, ваши данные.
Валерия Лич: Но чаще всего, у них кое-какие данные о Вас уже есть, потому что они могут продиктовать паспортные данные и т.д, ведь люди звонят не просто с потолка? Обладает некоторой частью данных, так сказать.
Даниил Чернов: Какие базы данных достаточно доступны для покупки за очень небольшие деньги.
Валерия Лич: А как же обеспечить, обезопасить свои данные?
Даниил Чернов: Я думаю, что никак. Нужно быть просто внимательным при использовании мобильного банка и никому не говорить данные вашей карточки.
Валерия Лич: А если спрашивают какие-то другие данные, пароль, например, который может помочь?
Если этот мошенник данные вашей карточки, например, в кафе где-нибудь уже получил?
Даниил Чернов: Сразу звонить в банк.
Валерия Лич: А если мы об этом не знали, данные как-то у нас летели, чаще всего мы узнаём, когда приходит СМС, что вы потратили такую-то сумму, а мы в этом месте, собственно, и не были из суммы такой не тратили. И Иванова Ивана Ивановича, на который перевели счёт, тоже и в глаза-то не видели.
Даниил Чернов: Можно звонить банки и объяснять, что транзакция несанкционированная и с просьбой его заблокировать. Единственное, что остается, то что деньги уже были списаны. Как можно заранее обезопасить себя от этого? Можно выставлять лимиты для совершения операции по карте без присутствия, например, покупки в интернете и что угодно, то есть вы можете выставить лимит в 0 и никто по этой карте не сможет ничего купить. Если Вы планируете совершить покупку по карте, выставляйте нужный лимит, покупайте, и снова лимит убираете в ноль. Второй вариант, это большинство банков позволяет открыть вам счета в банке, которые не привязаны к карте и вы можете хранить деньги на счетах и соответственно перекидывать деньги со счёта на карту, когда вы планируете сделать покупку в интернете, либо где-нибудь. Либо, самое простое, для каких-либо онлайн операций, завести виртуальную карту. Большинство банков позволяет это сделать и только заводить деньги на этой виртуальной карте, в том случае, когда вы хотите совершить покупку. Чтоб там ничего не было.
Валерия Лич: А какие ещё есть виды атак на мобильные приложения помимо трояна?
Даниил Чернов: Основные векторы - это непосредственно человек посередине, перехват трафика WiFi, это трояны, мы их называем трояны-универсалы, котов которые находятся на мобильном телефоне и просто воруют всё, что плохо лежит.
Валерия Лич: А как можно обнаружить его на телефоне, пока, например, тишина? Потому что, чаще всего, мошенники могут выжидать и месяц, и два, и полугода, прежде чем что-то сделать с вашими финансами. То есть вы, особо-то и не подозреваете, что за вами наблюдают. Как то можно заранее это узнать?
Даниил Чернов: Единственное решение, это антивирусная программа, которую я бы рекомендовал поставить всем, у кого платформа Android. Но опять же, если Троя написано Так заказ, например какой-нибудь крупный да, то большая вероятность, что антивирус его не поймает.
Валерия Лич: А пользователям что делать?
Даниил Чернов: Соблюдать рекомендации безопасности.
Валерия Лич: Обнаружить как-то заранее можно? То только постфактум кричать караул?
Даниил Чернов: Если никто не обнаруживает, то никто не может. Но если соблюдать те принципы безопасности, о которых мы с вами поговорили, то караул кричать не обязательно.
Валерия Лич: Я думаю, вряд ли это сегодня возможно, вы ставим сегодня себе много обновлений, приложений, когда скучно и есть интернет, надо видео посмотреть, какую-то музыку послушать неважно какую из какого ресурса, главное, чтобы это было интересно. Заходим в социальные сети, где у каждого больше, наверное, тысячи друзей, кто-то какую-то ссылку выложил, мы по ней прошли, потому что скучно, а тут вроде как развлекает. Это реальность современного мира всё-таки.
Даниил Чернов: Я согласен. Но опять же, нам ничего не мешает завести отдельный счёт на карточке, которые вы собираетесь расплачиваться в интернете, выставлять лимиты в 0.
Валерия Лич: То есть только дополнительное что-то?
Даниил Чернов: Дополнительными действиями. Они несложные. Это делается достаточно просто. Если уж совсем не хочется делать, удалите с устройства, с которого заходите по ссылкам на сайты, в соцсети, мобильный банк, а вы ходите в мобильный банк только с домашнего по поводу устройства, с которого больше ничего не делаете.
Валерия Лич: А Apple отдельно подвержены каким-то вирусам? И система Apple Pay?
Даниил Чернов: На Apple нельзя сказать, что вирусов нету, они есть. Они меньше распространены чем на Android, потому что он очень сильно распространён в мире. И плюс сама система операционная она дает гораздо меньше возможностей для творчества троянов и вирусов. Потому что она там более защищена. Тем не менее, основная опасность заключается в том, что большинство пользователей iPhone, они привыкли, что там ничего страшного не приключится, и, грубо говоря, если кто-то напишет хороший вирус, он достаточно быстро и легко может принести значительный ущерб безопасным пользователем iPhone.
Валерия Лич: То есть точно так же, в принципе, они не защищены, просто их меньше.
Даниил Чернов: Да, их меньше. Нет мотивации у вирусописателей писать про них вирус и плюс сама система она более сложная и соответственно сложнее написать под неё какой-то зловред. Тем не менее, он есть, живой пример этому пресловутый джейлбрейк. То есть Apple любит чтобы было всё ограничено, ничего лишнего, а пользователи, которые любят свободу, они пользуются джейлбрейком, так называемый взлом системой, и джейлбрейк выпускается после выхода каждого обновления вируса. Это происходит каждый раз через какую-то новую уязвимость. Допустим, вышел iOS 9, нашли одну уязвимость, сломали, сделали джейлбрейк под iOS 9. Apple это увидела, закрыла дырку, вышел iOS следующий, энтузиасты нашли новую дырку, через которую можно сломать систему.
Валерия Лич: Мне интересно, почему так интересно ломать??Это что получать доход? Всё-таки, как правило сами по себе Apple подороже и соответственно, видимо, клиенты они тоже побогаче. Есть, что взять.
Даниил Чернов: Им интересно. Если на Android можно писать троянчик, даже заказать его за 3 тысячи долларов и это доступно среднему уровню специалиста, кто Apple, чтобы написать вирус, там нужны более глубокие исследовании, понимание архитектуры, которая сильно закрыта, это уровень нужен колоссальный. То есть, я уверен, что под Apple вирусы пишут, уверен что они есть.
Валерия Лич: А Кто чаще всего пишет вирусы на сегодня у нас? То есть это специалисты всё-таки с высшим образованием? Либо это школьники нашкодившие?
Даниил Чернов: Вы знаете, есть очень широкий спектр людей, которые этим занимаются. В среднем чаще молодые люди. Не обязательно, что у них в высшее образование. Чтобы прокачать свои навыки, подготовить себя в этой области, достаточно интернета и большого желания. Нужно самообразовываться.
Валерия Лич: А сегодня за распространение подобной информации, например, как взломать сайт, как написать вирус, есть какое-то наказание?
Даниил Чернов: Если распространять информацию, как взломать сайт какого-нибудь уважаемого банка...Ну, в интернете это распространяется под видом, в том числе организации, которые подготавливают, так называемых, этичных хакеров. То есть те люди, которых нанимают для проведения теста на проникновение, где тестирования безопасности софта, чтобы они показали и какие есть дырки, чтобы банк смог их устранить. Есть лабораторные работы, при желании их можно найти, есть обучающие материалы, на английском языке их просто полно.
Валерия Лич: То есть все в открытом доступе?
Даниил Чернов: Где-то в открытом, где-то в закрытом.
Валерия Лич: Что значит в закрытом? То есть ты записался в эту школу и тебе по почте всю эту информацию сбросили в качестве урока.
Даниил Чернов: Качество урока, там теоретический материал будет, будут лабораторная работа, то есть вам откроют определённую страничку, где можно практиковать теоретический материал, перечень лабораторных работ, которые нужно будет пройти, то есть на практике покажут как это делается. Цена за такое обучение невысока.
Валерия Лич: И под этим как часто маскируются организованная какая-то преступность, которым нужны просто сейчас новые кадры?
Даниил Чернов: Я думаю, новые кадры они набирают по-другому.
Валерия Лич: Каким образом? Там же всё равно надо как-то обучать, чтобы люди попали, нашли новые контакты.
Даниил Чернов: Сейчас, в эпоху развития социальных сетей, люди, которые прошли обучение, получают определенный сертификат той или иной организации. И легко, простым поиском, увидеть кто это и что это и пообщаться.
Валерия Лич: Но кому-то интересно и, возможно, пойдёт там жаловаться, обращаться в полицию, что вот есть такие негодяи, вербуют.
Даниил Чернов: Замечательная штука интернет в том, что там при желании можно сохранить полную анонимность.
Валерия Лич: Но и при желании можно всё-таки найти, вычислить.
Даниил Чернов: Поверьте, если профессионал захочет, чтобы он оставался анонимным, его не получится вычислить.
Валерия Лич: То есть всё-таки у них безнаказанность продолжает развиваться?
Даниил Чернов: При общении, можно сохранить полную анонимность, но при действиях сложно сделать всё безупречно. И как правило, ловят на последних этапах, ну, и как правило, это уже обналичка украденных денег. Вот оттуда уже распутывают клубок непосредственно к тем, кто является мозгами.
Валерия Лич: Что вы имеете ввиду то есть ошибки в действиях. Ошибки именно у хакеров тоже действиях?
Даниил Чернов: Да.
Валерия Лич: На чём их чаще всего ловят? Что вы имеете в виду?
Даниил Чернов: Но, самое простое для примера, взломали систему и забыли почистить, замести следы, за что-то их поймали.
Валерия Лич: А вы можете рассказать какой-то реальный кейс, кого поймали.
Даниил Чернов: Это, наверное, к управлению УК ближе. Мы не ловим, мы-то тестируем защищённость мобильного банка.
Валерия Лич: А тестируйте уже после того, как произошли какие-то массовые кражи? Либо вас заранее какие-то крупные компании приглашают?
Даниил Чернов: К счастью, мы это делаем, до того как произошёл какой-либо инцидент. Тема проверки сайта на дыры она достаточно популярна. У нас есть свой продукт, у нас есть линия экспертных услуг по проверке, и клиенты к нам обращаются с просьбой проверить либо кто-то хочет у себя построить процесс проверки. Покупают наш продукт, ставят, выявляют в нём дырки. Это автоматизированная проверка. То есть это сканер защищённости кода, куда на этапе тестирования клиент загружает код приложения и сканер показывает в каком месте кода есть дырки и что с ними делать.
Валерия Лич: А после того, как обнаружены какие-то косяки, дырки, через которые мошенники делают какие-то действия. Что делать после этого, чтобы устранить?
Даниил Чернов: Если уже сломали и понятно, что нужно делать?
Валерия Лич: Но не всегда. Возможно, если у них там свой большой IT отдел, то они сами разберутся, если нет этого большого IT отдела?
Даниил Чернов: Обращаются, да.
Валерия Лич: И после каких, например, инцидентов крупных?
Даниил Чернов: Ну, например, увели деньги клиента, что стало с совершенной неожиданностью для сотрудников банка.
Валерия Лич: То есть единственный клиент или массово?
Даниил Чернов: Достаточно единственного случая инцидента, чтобы служба безопасности напряглась и начала работать в этом направлении.
Валерия Лич: Это в крупных банках чаще происходит, или мелкие банки тоже страдает от этого?
Даниил Чернов: Это происходит в разных банках, абсолютно в разных, нельзя тут выделить топ 10, топ 20 или топ 100.
Валерия Лич: Ну а крупные банки чаще не справляется со своими силами? Или они тоже приглашают сторонние организации?
Даниил Чернов: Сейчас идет процесс, что свои силы содержать дорого. Проще, взять в помощь какого-то эксперта, подрядчиков, которые помогут с этим на постоянной основе.
Валерия Лич: Но крупные банки всё равно содержат свои лаборатории, различные отделение.
Даниил Чернов: Да, но таких банков единицы пока.
Валерия Лич: Остальные всё-таки предпочитают разделение труда и обращаться к сторонним организациям.
Даниил Чернов: Да, либо вообще этим не заниматься.
Валерия Лич: А чем именно? Ведь мобильные банки сейчас всё равно, практически, любого банка. И клиенты и вряд ли пойдут в банк, если там нет интернет-банка или мобильного банкинга. Потому что каждый раз потом им придется ходить в отделение, мы уже как-то от этого отвыкли.
Даниил Чернов: Тем не менее, есть ряд банков, в которых мобильного банка ещё нету. Только-только, может быть, еще появился интернет-банк и заходить нужно со странички, а не с приложения. И многие банки небольшие, у которых нет сил своих разработать и оплатить разработку, они могут купить готовые решения, натянуть на них логотипчик банка.
Валерия Лич: А готовое решение постирали? Как часто они бывают с дырками?
Даниил Чернов: Очень часто. То есть каждое второе решение дырявые.
Валерия Лич: С чем это связано? Неквалифицированные разработчики или, в принципе, люди хотят сделать тяп-ляп. Либо побыстрее сделать и запустить в массу. Сегодня что-то продадим, а завтра и можно конторку прикрыть.
Даниил Чернов: Они квалифицированные, но они не предъявляют требовании, чтобы код был безопасным.
Валерия Лич: То есть у нас законодательно это нигде не закреплено?
Даниил Чернов: Да, к сожалению, пока нет.
Валерия Лич: То есть принципе делай, что хочешь, продавай, кому хочешь, ставь, как хочешь.
Даниил Чернов: по сути, да. Сейчас это законодательно нигде не регулируется. Не так давно Центробанк выпустил в качестве рекомендации построение по положению процесса безопасной разработки, но пока это рекомендательный момент.
Валерия Лич: Ну я думаю в сегодняшних условиях, учитывая как Центробанк отзывает лицензии, рекомендации носят характер ближе к обязательным.
Даниил Чернов: Начинают двигаться в этом направлении. Да, но пока это банкинг. Они в авангарде. Многие другие организация даже не смотрят в этом направлении.
Валерия Лич: А кого вы имеете в виду под другими организациями?
Даниил Чернов: Авиаперевозчики, страховые компании, любые компании В нежности, которые представлены в онлайн.
Валерия Лич: Но в онлайн, я думаю, практически, все представлены, так или иначе. А что вы имеете в виду именно под безопасностью? Например, те же авиакомпании.
Даниил Чернов: У них тоже есть мобильное приложение, как у банков. И часто в этих мобильных приложениях хранятся данные карточек, с которых можно либо оплатить, либо отменить билет.
Валерия Лич: То есть авиакомпании всегда хранят наши финансовые данные. То есть им это разрешено, и они нас не защищает от этого.
Даниил Чернов: Наши карточки могут, в целом, храниться где угодно. Особого контроля нет.
Валерия Лич: То есть в любом интернет-магазине? И мы от этого не застрахованы, данные то есть есть. То есть достаточно быть владельцем какого-либо интернет-ресурса, где достаточно сделать оплату, чтобы получить наши данные, необязательно в кафе как-то воровать или ещё что-то. И как часто, например, они сливают и продают на сторону вот эти данные?
Даниил Чернов: Да, всё верно. Вообще сложно сказать, я думаю, не сильно часто, потому что и ещё нужно знать и куда слить и как всё это монетизировать. Часто из-за халатности недосмотра, простота это становится достоянием общественности.
Валерия Лич: То есть в принципе ресурсы сами по себе не защищены?
Даниил Чернов: Интернет-магазинов? Ну, как правило Кто держит интернет магазины. Это предприниматель, который чувствует себя сильным в коммерции, у него несколько сотрудников, курьеры, контракты заключенные с поставщиками. Но у них просто не хватит рук внимания, чтобы заниматься безопасностью. Во-первых, это требует денег, об этом нужно задуматься.
Валерия Лич: У вас когда-нибудь были случаи, когда произошла массовая утечка вот этих данных?
Даниил Чернов: У нас был другой интересный кейс. Один интернет-магазин, а он арендовал страничку оплаты в одном из банков небольших. Ну там этот интернет-магазин, в чём заключается, один клиент набрал корзину, дальше чекаут, оплатить, попал на страничку банках, где нужно ввести данные карточки, нажать оплату. На стороне банка была дырочка, которая позволяла сумму платежа поменять копейку на один рубль и нажать оплатить. А банку просто приходило сообщение оплачено, без содержания суммы. То есть вы могли набрать на миллион рублей, поменять на один рубль, интернет-магазин получал от банка, что всё хорошо оплачено, без содержания суммы, вам отгружали товар и соответственно мошеннику миллион, а интернет-магазину рубль.
Валерия Лич: И как долго это схема работала?
Даниил Чернов: Она, к счастью, то есть потерь по ней не было,мы эту уязвимость обнаружили и банк с этим интернет-магазином построили более полный алгоритм. Теперь уже сообщается сумма покупки.
Валерия Лич: Именно интернет-магазин? Потому что я поняла, что клиент оплатил указанную фиксированную сумму.
Даниил Чернов: Клиент сам мог поменять эту сумму.
Валерия Лич: А какие ещё кейсы нам расскажите напоследок?
Даниил Чернов: Несколько лет назад был публичный кейс одного из банков топ 10. Мы заходили на его страничку интернет-банка и простыми манипуляциями стойки браузера мы могли сделать так, чтобы нам стали доступны данные других клиентов. Это у них была просто архитектурная недоработка. Эта слабая система была в том, что она не досматривал на каждом шаге полномочия каждого пользователя. Можно было получать данные клиентов, посмотреть информацию по счетам, но чего-то другого сделать было нельзя. Тем не менее, это утечку персональных данных, утечка финансовой информации.
Валерия Лич: Это достаточно долго, как я понимаю, работала?
Даниил Чернов: Трудно сказать, но месяца два, наверное, она просуществовала. Также кейс несколько лет назад был сломан один из онлайн-банков.
Валерия Лич: А свежие какие-нибудь кейсы есть? Или это информация, которая не должна быть не распространена?
Даниил Чернов: Да, ее желательно не распространять. Ну, в общем-то, свежие кейсы Они похожи по стилю. То есть банк ломали одного из оператора, сломали личный кабинет и через личный кабинет настраивали переадресацию SMS-сообщений. Как раз вот то, о чём мы говорили с подтверждение платежей, с подтверждением холода, ну, чего угодно. То есть это схема работала так, нам нужны были данные мобильного телефона, жертву логин пароль мы ловили через wi-fi и все SMS переадресовывались хакеру. Клиент при этом даже не знал, что происходит с его счётом, то есть никаких SMS он вообще не получал. Но, к счастью, банк возместил из своих средств все потери клиентам.
Валерия Лич: Спасибо большое, Даниил, за беседу. Мы узнали сегодня много нового. Всего доброго, до новых встреч.