ИНФОРМАЦИОННЫЙ ПОРТАЛ
Ваш путеводитель в мире IRC и ИТ-технологий!

Мир IT стремительно меняется, следите за новинками в сфере IT вместе с нами. Главные новости и события мира информационных технологий, обзоры гаджетов и софта, мнения экспертов о новинках - на нашем сайте.

 

ЭКСПЕРТНОЕ МНЕНИЕ

ОБЩЕЕ. КОНФЕРЕНЦИЯ ANTIFRAUD RUSSIA 2013

10 Декабря 2013

По информации блога http://sborisov.blogspot.ru/

 

На днях прошла четвертая международная конференция Antifraud Russia 2013 посвященная борьбе с мошенничеством в сфере высоких технологий, а особенно в банковской сфере, телекоммуникациях, ритейле, электронной торговле.

 

 


На конференцию было зарегистрировано порядка 450 участников. Так как к концу пленарного заседания конференц-зал был полон (а в нем, 672 места), то эта цифра очень похожа на правду.  Один из основных трендов, который озвучивался большинством докладчиков – активно развиваются платежи с мобильных платформ под управлением ОС Android, которая не обеспечивает ни какой безопасности (примерно об этом я и писал в предыдущей статье).

 

 

Основные тезисы с пленарного заседания подробно представлены в обзоре на banki.ru.

 

Отмечу те моменты, которые понравились лично мне. (В течении конференции публиковал их в твиттере с тегом #antifraudrussia)

 

Как всегда, было интересно послушать Илью Сачкова из Group-IB. Он приводил основные моменты из отчета своей компании “Рынок преступлений в области высокихтехнологий: состояние и тенденции 2013 года”. Аналогичный доклад Илья уже делал на нескольких конференциях в этом году, но для того, кто не читал полную версию отчета, послушать было интересно. По расчетам Group-IB получилось, что объем рынка киберпреступности уменьшился.  Остальные участники конференции говорили о росте.

 

Илья отметил новые тренды – целевые атаки на сотрудников  банков, заражение и подмена POS-терминалов. Например в прошлом году было зафиксировано 23 заражения АРМ-а операциониста банка, с которого в дальнейшем осуществлялся несанкционированный доступ.

 

 

Также Илья обратил особое внимание на теневой интернет, такой как сеть Tor и неконтролируемую валюту - bitcoin. По его словам, там в открытую продают оружие, наркотики и базы данных пластиковых карт.  Выявлялись прецеденты, когда человек заказывал наркотики, которые доставлялись ему службой “Почта России”.

 

Илья призвал бороться с такими сетями. Так как обычной фильтрацией по iP-адресам и URL не обойтись (так как сети децентрализованные, нет одного узла который достаточно будет  запретить) то необходимо использовать технологии типа DPI.

">http://www.youtube.com/watch?v=fhaJXNlIPvs


Евгений Балезин из MasterCard привел интересную статистику Trustwerse и собственную. По их статистике основной целью атак были магазины электронной коммерции и точки продаж (магазины). Прокомментировал, что заражать вредоносным кодом POS-терминалы сложно, а вот подменить POS-терминал можно легко, в сговоре с персоналом магазина.

 

 

 

Игорь Ляпунов из Джет-а, развернул нас от хищного оскала киберпреступников к добрым лицам внутренних нарушителей. Привел несколько случаев мошенничества не связанных с ИТ, с которыми сталкивался. Один из случаев – мошенничество в самом интеграторе Джет, когда менеджеры при формировании заявки на премии указывали не все расходы по проекту, которые были на самом деле. В итоге получали лишние сотни тысяч рублей премиальных.

 

 


Стоянов Руслан из Лаборатории Касперского рассказал про “темный путь”: от неофита до киберпреступника, а так-же предложил бороться с киберпреступниками как с педофилами. А именно выпустить законы о запрете данного контента, определить характеристики, фильтровать информационные хакерские ресурсы, фильтровать сервисное облако, придумать уголовные статьи, по которым пройдут владельцы сервисного облака для киберпреступников.

 

 

 

На круглом столе «Как защитить интересы банков и клиентов в рамках законодательства о Национальной платежной системе» мы не увидели заявленных Руслана Гаттарова из СФ РФ , Олега Иванова из АРБ, Дмитрия Фролова из ЦБ РФ. Дмитрий Волков из Group-IB и  Ильдар Мингазов из Управления "К" держались немного в стороне от общего обсуждения. Они рассказали свою часть про проблемы и успехи в поимке киберпреступников и в остальном обсуждении фактически не участвовали.

 

 

 

Представителями банков выражалось мнение, что дополнительная защита приводит к увеличению тарифов с одной стороны и недовольству части клиентов с другой стороны (клиенты не рады сложностям, которые приносят дополнительные меры защиты). Поэтому, пока клиенты не начнут осознавать необходимость ИБ и не начнут предъявлять требования к банку, можно особо не беспокоится.

 

С другой стороны, Клуб держателей карт, рассказал про основные жалобы клиентов, констатировал малую степень уведомления банками клиентов  по вопросам ИБ и предложил явно запретить безчиповые карты и электронные платежи без двухфакторной аутентификации.

 

В остальном, обсуждение на круглом столе свелось к констатации проблем с ст. 9 161-ФЗ:

·        банки не имеют юридической возможности приостанавливать платежи, даже если знают что это мошенничество.

·        банки не имеют права проводить расследование преступлений.

·        нет механизма для черных списков, хотя все (банки) понимают что они нужны

 

Общее мнение круглого стола - изменения в 9 статье 161-AP с нового года вступают в силу, а банки к ним не готовы,  законодательство надо совершенствовать и срочно. Как кто и когда должен начать изменение законодательства - не понятно. Явно не хватало отсутствующих участников от ЦБ РФ, СФ РФ и АРБ для разъяснения этого вопроса.

 

А в кулуарах Евгений Безгодов, из Дейтерия рассказал как PCI DSS выпустила кривой перевод стандарта на русский язык. Рабочая группа в течении года его корректировала. Сейчас на финальной стадии они с Евгением Бартовым из Альянс-PRO допиливают и PCI DSS в ближайшее время опубликует.

 

Из секций, понравился доклад Сергея Размахнина из МТС.  Он обратил внимание на то, что фрод стал слишком быстро меняться. Пока к ним приходит информация о фроде, злоумышленники успевают  короткий номер и текст и способ атаки поменять. Применяют интересный метод защиты – услугу мониторинг сети интернет от Яндекса для обнаружения коротких номеров и ключевых слов. Для поставщиков контента требуют обязательного уведомления о платном контенте – иначе возвращают все средства абонентам.

 

 

Алексей Сизов из Джет-а, рассказывал как антифрод системы “тормозят”. Мобильные платежи обрабатываются в доли секунды, а антифрод системы выполняют кучу аналитики и не успевают за платежными системами даже если запускаются параллельно. Выходы – либо запускать антифрод раньше чем обработку платежей (предсказания?) либо внедрять возможность мобильного блокирования и отзыва мобильных платежей.


Дмитрий Костров, выступал как независимый эксперт и сделал обзор всех нормативных документов в области СОРМ. Особо отметил новые документы. Выходят ещё одни технические требования по СОРМ - теперь будет присоска ФСБ напрямую к базам данных абонентов. Так-же планируются поправки - малых операторов освободить от СОРМ, если их трафик проходит через СОРМ крупных операторов.

 

Ну и самое интересная и жаркая дискуссия развернулась на круглом столе «Безопасная разработка банковского ПО: есть ли панацея от мошенников?». Несмотря на то, что слушателей было немного, на самом столе собрали представители разных сторон: разработчика - производителя ПО, банка- потребителя, аудитора – тестирующего ПО, учебного центра, регулятора, правоохранительного органа и у каждого было свое мнение. Утверждения одних участников тут же опровергались следующими. Но аргументировано и весело – хоть на цитаты разбирай.

 

 

 

К числу высказанных и опровергнутых в итоге могу отнести:

 

·        “Шилов (Бифит): любой нормальный разработчик по- умолчанию  занимается безопасностью продукта. Никакая стимуляция ему не нужна.” 

Соучастники стола опровергли это фактами, что в ПО (в том числе банковском ПО) регулярно находят критические уязвимости, тем что любой бизнес идет по пути минимизации затрат.

·        “(Представители банков): мы готовы платить за безопасность банковского ПО, если разработчик будет отвечать финансово за любой ущерб связанный с ошибками в ПО”. Юридически будет очень сложно доказать что преступление совершено из-за наличия уязвимости в ПО. Тем боле что уязвимость может быть одновременно в ОС, СУБД и прикладном ПО. МВД подтвердили что в уголовных делах разработчики не фигурируют, только банк, клиент и нарушитель. А если проводить аналогию – то придется с производителей дверей  требовать компенсацию за квартирные кражи. Но этого никто не делает. Потому что есть некие продукты. Покупатель сравнивает характеристики и выбирает себе подходящий. Далее он может сам проверить его на прочность, а может провести независимую экспертизу. Так-же независимую экспертизу может провести и группа покупателей.

·        “(Представители разработчиков): Мионбразования виновато в плохой подготовке студентов”.

В результате обсуждения выяснили, что студентов врядли удастся ещё в ВУЗе заставить делать безопасный код. Для этого надо следовать большому количеству строгих правил и стандартов, для чего у студентов нет никакого стимула. Если кто-то идет по пути программирования, то он хочет творить, создавать, делать что-то новое. Зато Талантливого программиста Разработчик может отправить на специальные курсы (Рустэм обещал такие организовать) плюс применять корпоративные правила безопасной разработки и превратить его в Безопасного Программиста.

·        “(Представители разработчиков): Банки хотят безопасность, а сами не готовы платить за безопасность”.  

В ходе обсуждения выяснилось что за безопасное ПО банки готовы доплачивать разумный процент. За это требовать от разработчика SLA или другие гарантии.

·        “(Представители банков): В ТЗ мы указываем только функциональные требования к банковскому ПО. То что оно должно быть безопасным мы подразумеваем по умолчанию. Этим должен заниматься разработчик”.

Разработчик делает только то что требуется. Его задача в минимальные сроки и за минимальные затраты выполнить требования. А вкладывать в продукт всё о чем мог подразумевать заказчик (котики?) он не будет. Требования по безопасности обязан выдвинуть банк – заказчик.

·        “(Представители разработчиков): Программисты не любят пентестеров, вы ломаете нам код. Обламываете крылья”.  

Соблюдать требования ИБ некомфортно, это вызывает дополнительные трудозатраты, но приучить себя можно, перетерпеть. Ему ведь за это платят деньги. Это в том случае если будет спрос на безопасность. У Microsoft он возник 4-5 лет назад и они внедрили SDL.

·        “(ВСЕ): Так как всем нужен стимул чтобы заниматься ИБ, хорошо если ктото большой и сильный обяжет всех это делать”.  

Сычев из ЦБ ответил: можете даже не рассчитывать на такой сценарий. В планы ЦБ не входят обязательные требования, проверки, сертификации банковского ПО.

 

Высказывания с которыми большинство согласилось:

·        “Бешков (Microsft): если разработчика не мотивировать кнутом, то ничего делать не будет”.

Поэтому Microsoft выстроили свой анализатор кода в Visual Studio по умолчанию. Поэтому разработчику кто-то должен предъявить жесткие требования по ИБ, заключить SLA. И разработчику должно быть что терять (репутация, деньги) – только тогда он будет заниматься ИБ. Поэтому банкам надо публиковать информацию об инцидентах, связанных ошибками в банковском ПО.

·        “Рустем (Appercut): лечить надо то что болит. У многих ИТ директоров дыры в ПО - не болят. А вот стабильная работа ДБО их больше волнует”.  

Большинство согласилось, что если заказчик (банк) не заинтересован в безопасности (а заинтересован в чем-то другом), то ни разработчик ни аудитор ни поставщики решений безопасности его не убедят заниматься безопасностью.

·        “Медведовский (DSec): разработчики живут на другой планете. Мы обнаруживаем огромное количество критичных уязвимостей в банковском ПО. Зарегистрировано много инцидентов связанное со слабостью защитных механизмов ДБО”

·        “Шилов (Бифит): за прошлый год только 7 из 400 заказчиков-банков обратилось с информацией об уязвимостях. И то ошибки были в окружении - ОС и Вебсервере”

·        “Сычев (ЦБ): Требования к безопасности банковского ПО может выдвигать только заказчик. Чтобы требования были адекватными и комплексными, можете объединяться и делать сообща”

 

PS: Питание и организация мероприятия на отлично. А в процессе написания статьи ни одной кружки-термоса не пострадало.

 

 


ЕЩЕ ПО ТЕМЕ:

ВЗЛОМ ТВИТТЕРА — ИЛИ РЕКЛАМНЫЙ ХОД?

25.07.2013

Подстроить взлом собственного Твиттера может быть весьма успешным рекламным ходом. И это на своем личном примере доказала сеть ресторанов Chipotle, набрав за один день в десятки раз больше фолловеров, чем обычно, благодаря фальшивому взлому.

ВКОНТАКТЕ ВВЕЛ ВАЛИДАЦИЮ ИЗВЕСТНЫХ ЛЮДЕЙ

22.11.2013

Крупнейшая российская социальная сеть «ВКонтакте» ввела процедуру подтверждения подлинности аккаунтов известных людей

КАК ВОССТАНОВИТЬ СВОЙ АККАУНТ НА FACEBOOK

3.12.2013

Ваша учетная запись на Facebook была внезапно отключена? Не волнуйтесь, это бывает со всеми, и, как правило, данная проблема устраняется применением небольших усилий, о которых сегодня расскажет «Руформатор». 

WHATSAPP ПОЛУЧИЛ ГОЛОСОВЫЕ СООБЩЕНИЯ; MAU - 300 МЛН

7.08.2013

Популярный мобильный мессенджер WhatsApp для Android, iPhone, Windows Phone, BlackBerry и даже Symbian запустил сервис голосовых сообщений....