ЭКСПЕРТНОЕ МНЕНИЕ
ОБЩЕЕ. КОНФЕРЕНЦИЯ ANTIFRAUD RUSSIA 2013
10 Декабря 2013По информации блога http://sborisov.blogspot.ru/
На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле.
На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду. Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android, которая не обеспечивает ни какой безопасности (примерно об этом я и писал в предыдущей статье).
Основные тезисы с пленарного заседания подробно представлены в обзоре на banki.ru.
Отмечу те моменты, которые понравились лично мне. (В течении конференции публиковал их в твиттере с тегом #antifraudrussia)
Как всегда, было интересно послушать Илью Сачкова из Group-IB. Он приводил основные моменты из отчета своей компании “Рынок преступлений в области высокихтехнологий: состояние и тенденции 2013 года”. Аналогичный доклад Илья уже делал на нескольких конференциях в этом году, но для того, кто не читал полную версию отчета, послушать было интересно. По расчетам Group-IB получилось, что объем рынка киберпреступности уменьшился. Остальные участники конференции говорили о росте.
Илья отметил новые тренды – целевые атаки на сотрудников банков, заражение и подмена POS-терминалов. Например в прошлом году было зафиксировано 23 заражения АРМ-а операциониста банка, с которого в дальнейшем осуществлялся несанкционированный доступ.
Также Илья обратил особое внимание на теневой интернет, такой как сеть Tor и неконтролируемую валюту - bitcoin. По его словам, там в открытую продают оружие, наркотики и базы данных пластиковых карт. Выявлялись прецеденты, когда человек заказывал наркотики, которые доставлялись ему службой “Почта России”.
Илья призвал бороться с такими сетями. Так как обычной фильтрацией по iP-адресам и URL не обойтись (так как сети децентрализованные, нет одного узла который достаточно будет запретить) то необходимо использовать технологии типа DPI.
">http://www.youtube.com/watch?v=fhaJXNlIPvs
Евгений Балезин из MasterCard привел интересную статистику Trustwerse и собственную. По их статистике основной целью атак были магазины электронной коммерции и точки продаж (магазины). Прокомментировал, что заражать вредоносным кодом POS-терминалы сложно, а вот подменить POS-терминал можно легко, в сговоре с персоналом магазина.
Игорь Ляпунов из Джет-а, развернул нас от хищного оскала киберпреступников к добрым лицам внутренних нарушителей. Привел несколько случаев мошенничества не связанных с ИТ, с которыми сталкивался. Один из случаев – мошенничество в самом интеграторе Джет, когда менеджеры при формировании заявки на премии указывали не все расходы по проекту, которые были на самом деле. В итоге получали лишние сотни тысяч рублей премиальных.
Стоянов Руслан из Лаборатории Касперского рассказал про “темный путь”: от неофита до киберпреступника, а так-же предложил бороться с киберпреступниками как с педофилами. А именно выпустить законы о запрете данного контента, определить характеристики, фильтровать информационные хакерские ресурсы, фильтровать сервисное облако, придумать уголовные статьи, по которым пройдут владельцы сервисного облака для киберпреступников.
На круглом столе «Как защитить интересы банков и клиентов в рамках законодательства о Национальной платежной системе» мы не увидели заявленных Руслана Гаттарова из СФ РФ , Олега Иванова из АРБ, Дмитрия Фролова из ЦБ РФ. Дмитрий Волков из Group-IB и Ильдар Мингазов из Управления "К" держались немного в стороне от общего обсуждения. Они рассказали свою часть про проблемы и успехи в поимке киберпреступников и в остальном обсуждении фактически не участвовали.
Представителями банков выражалось мнение, что дополнительная защита приводит к увеличению тарифов с одной стороны и недовольству части клиентов с другой стороны (клиенты не рады сложностям, которые приносят дополнительные меры защиты). Поэтому, пока клиенты не начнут осознавать необходимость ИБ и не начнут предъявлять требования к банку, можно особо не беспокоится.
С другой стороны, Клуб держателей карт, рассказал про основные жалобы клиентов, констатировал малую степень уведомления банками клиентов по вопросам ИБ и предложил явно запретить безчиповые карты и электронные платежи без двухфакторной аутентификации.
В остальном, обсуждение на круглом столе свелось к констатации проблем с ст. 9 161-ФЗ:
· банки не имеют юридической возможности приостанавливать платежи, даже если знают что это мошенничество.
· банки не имеют права проводить расследование преступлений.
· нет механизма для черных списков, хотя все (банки) понимают что они нужны
Общее мнение круглого стола - изменения в 9 статье 161-AP с нового года вступают в силу, а банки к ним не готовы, законодательство надо совершенствовать и срочно. Как кто и когда должен начать изменение законодательства - не понятно. Явно не хватало отсутствующих участников от ЦБ РФ, СФ РФ и АРБ для разъяснения этого вопроса.
А в кулуарах Евгений Безгодов, из Дейтерия рассказал как PCI DSS выпустила кривой перевод стандарта на русский язык. Рабочая группа в течении года его корректировала. Сейчас на финальной стадии они с Евгением Бартовым из Альянс-PRO допиливают и PCI DSS в ближайшее время опубликует.
Из секций, понравился доклад Сергея Размахнина из МТС. Он обратил внимание на то, что фрод стал слишком быстро меняться. Пока к ним приходит информация о фроде, злоумышленники успевают короткий номер и текст и способ атаки поменять. Применяют интересный метод защиты – услугу мониторинг сети интернет от Яндекса для обнаружения коротких номеров и ключевых слов. Для поставщиков контента требуют обязательного уведомления о платном контенте – иначе возвращают все средства абонентам.
Алексей Сизов из Джет-а, рассказывал как антифрод системы “тормозят”. Мобильные платежи обрабатываются в доли секунды, а антифрод системы выполняют кучу аналитики и не успевают за платежными системами даже если запускаются параллельно. Выходы – либо запускать антифрод раньше чем обработку платежей (предсказания?) либо внедрять возможность мобильного блокирования и отзыва мобильных платежей.
Дмитрий Костров, выступал как независимый эксперт и сделал обзор всех нормативных документов в области СОРМ. Особо отметил новые документы. Выходят ещё одни технические требования по СОРМ - теперь будет присоска ФСБ напрямую к базам данных абонентов. Так-же планируются поправки - малых операторов освободить от СОРМ, если их трафик проходит через СОРМ крупных операторов.
Ну и самое интересная и жаркая дискуссия развернулась на круглом столе «Безопасная разработка банковского ПО: есть ли панацея от мошенников?». Несмотря на то, что слушателей было немного, на самом столе собрали представители разных сторон: разработчика - производителя ПО, банка- потребителя, аудитора – тестирующего ПО, учебного центра, регулятора, правоохранительного органа и у каждого было свое мнение. Утверждения одних участников тут же опровергались следующими. Но аргументировано и весело – хоть на цитаты разбирай.
К числу высказанных и опровергнутых в итоге могу отнести:
· “Шилов (Бифит): любой нормальный разработчик по- умолчанию занимается безопасностью продукта. Никакая стимуляция ему не нужна.”
Соучастники стола опровергли это фактами, что в ПО (в том числе банковском ПО) регулярно находят критические уязвимости, тем что любой бизнес идет по пути минимизации затрат.
· “(Представители банков): мы готовы платить за безопасность банковского ПО, если разработчик будет отвечать финансово за любой ущерб связанный с ошибками в ПО”. Юридически будет очень сложно доказать что преступление совершено из-за наличия уязвимости в ПО. Тем боле что уязвимость может быть одновременно в ОС, СУБД и прикладном ПО. МВД подтвердили что в уголовных делах разработчики не фигурируют, только банк, клиент и нарушитель. А если проводить аналогию – то придется с производителей дверей требовать компенсацию за квартирные кражи. Но этого никто не делает. Потому что есть некие продукты. Покупатель сравнивает характеристики и выбирает себе подходящий. Далее он может сам проверить его на прочность, а может провести независимую экспертизу. Так-же независимую экспертизу может провести и группа покупателей.
· “(Представители разработчиков): Мионбразования виновато в плохой подготовке студентов”.
В результате обсуждения выяснили, что студентов врядли удастся ещё в ВУЗе заставить делать безопасный код. Для этого надо следовать большому количеству строгих правил и стандартов, для чего у студентов нет никакого стимула. Если кто-то идет по пути программирования, то он хочет творить, создавать, делать что-то новое. Зато Талантливого программиста Разработчик может отправить на специальные курсы (Рустэм обещал такие организовать) плюс применять корпоративные правила безопасной разработки и превратить его в Безопасного Программиста.
· “(Представители разработчиков): Банки хотят безопасность, а сами не готовы платить за безопасность”.
В ходе обсуждения выяснилось что за безопасное ПО банки готовы доплачивать разумный процент. За это требовать от разработчика SLA или другие гарантии.
· “(Представители банков): В ТЗ мы указываем только функциональные требования к банковскому ПО. То что оно должно быть безопасным мы подразумеваем по умолчанию. Этим должен заниматься разработчик”.
Разработчик делает только то что требуется. Его задача в минимальные сроки и за минимальные затраты выполнить требования. А вкладывать в продукт всё о чем мог подразумевать заказчик (котики?) он не будет. Требования по безопасности обязан выдвинуть банк – заказчик.
· “(Представители разработчиков): Программисты не любят пентестеров, вы ломаете нам код. Обламываете крылья”.
Соблюдать требования ИБ некомфортно, это вызывает дополнительные трудозатраты, но приучить себя можно, перетерпеть. Ему ведь за это платят деньги. Это в том случае если будет спрос на безопасность. У Microsoft он возник 4-5 лет назад и они внедрили SDL.
· “(ВСЕ): Так как всем нужен стимул чтобы заниматься ИБ, хорошо если ктото большой и сильный обяжет всех это делать”.
Сычев из ЦБ ответил: можете даже не рассчитывать на такой сценарий. В планы ЦБ не входят обязательные требования, проверки, сертификации банковского ПО.
Высказывания с которыми большинство согласилось:
· “Бешков (Microsft): если разработчика не мотивировать кнутом, то ничего делать не будет”.
Поэтому Microsoft выстроили свой анализатор кода в Visual Studio по умолчанию. Поэтому разработчику кто-то должен предъявить жесткие требования по ИБ, заключить SLA. И разработчику должно быть что терять (репутация, деньги) – только тогда он будет заниматься ИБ. Поэтому банкам надо публиковать информацию об инцидентах, связанных ошибками в банковском ПО.
· “Рустем (Appercut): лечить надо то что болит. У многих ИТ директоров дыры в ПО - не болят. А вот стабильная работа ДБО их больше волнует”.
Большинство согласилось, что если заказчик (банк) не заинтересован в безопасности (а заинтересован в чем-то другом), то ни разработчик ни аудитор ни поставщики решений безопасности его не убедят заниматься безопасностью.
· “Медведовский (DSec): разработчики живут на другой планете. Мы обнаруживаем огромное количество критичных уязвимостей в банковском ПО. Зарегистрировано много инцидентов связанное со слабостью защитных механизмов ДБО”
· “Шилов (Бифит): за прошлый год только 7 из 400 заказчиков-банков обратилось с информацией об уязвимостях. И то ошибки были в окружении - ОС и Вебсервере”
· “Сычев (ЦБ): Требования к безопасности банковского ПО может выдвигать только заказчик. Чтобы требования были адекватными и комплексными, можете объединяться и делать сообща”
PS: Питание и организация мероприятия на отлично. А в процессе написания статьи ни одной кружки-термоса не пострадало.
ЕЩЕ ПО ТЕМЕ:
HICCUPER.COM ТОЖЕ ИНТЕРЕСУЕТ ВАШЕ МНЕНИЕ
30.11.2013Сайтов, которые предлагают участникам высказать свое мнение на ту или иную тему, уже предостаточно. Поэтому каждый новый вызывает интерес, прежде всего, с одной точки зрения – чем он отличается от всех остальных? Отличия «Хиккапера» можно назвать в чем-то инновационными.
У FACEBOOK ПОЯВИТСЯ СПЕЦИАЛЬНАЯ ДЕТСКАЯ ВЕРСИЯ
28.09.2013Ведущая мировая социальная сеть Facebook ведет активную разработку специальной технологии, которая позволит безопасно регистрироваться и участвовать в работе сервиса детям до 13 лет
СОТРУДНИКИ FACEBOOK ИМЕЛИ ПРЯМОЙ ДОСТУП К ЛИЧНЫМ ДАННЫМ И ПЕРЕПИСКЕ ПОЛЬЗОВАТЕЛЕЙ
20.07.2013Бывшая сотрудница Facebook Кэтрин Лосс в интервью The Guadrian заявила, что сотрудники социальной сети имели прямой доступ к личным данным и переписке пользователей. Кэтрин Лосс (Katherine Losse), бывший автор речей для Марка Цукерберга, рассказала, что сотрудники техподдержки и служба безопасности имели "суперпароль", позволяющий войти в соцсеть под аккаунтом любого пользователя и таким образом просмотреть все личные данные, в том числе переписку. Об этом она узнала в 2005 году, когда только поступила на работу в Facebook в качестве 51-го сотрудника
КАК ПОМОЧЬ ПОСТРАДАВШИМ ОТ НАВОДНЕНИЯ В КУБАНИ
29.08.2013Как помочь пострадавшим от наводнения в Кубани? Мы собрали наиболее полезные интернет-сайты, выполняющие роль координаторов помощи.