24 октября 2013, 13:21
Количество просмотров 144

Инцидент глазами экспертов

Редакция журнала «ПЛАС» провела опрос среди экспертов, выяснив их мнение по данному инциденту. Сегодня мы приводим на своих страницах...
Инцидент глазами экспертов

Редакция журнала «ПЛАС» провела опрос среди экспертов, выяснив их мнение по данному инциденту. Сегодня мы приводим на своих страницах мнения как видных экспертов рынка, так и мнения экспертов, опрошенных рядом других СМИ, и выложенные в Сети.

Игорь Голдовский, генеральный директор компании "Платежные Технологии"

Следует признать, что сегодня в нашем распоряжении мало информации о том, что произошло в действительности. Похоже на то, что целью атаки на ChronoPay была, собственно, не кража карточных реквизитов для дальнейшего их использования для CNP-фрода, а компрометация компании: то ли конкуренты постарались, то ли сводились личные счеты с хозяином бизнеса. Другими словами, вероятнее всего, случившаяся атака представляет собой черный PR.

Наиболее правдоподобной версией произошедшего мне представляется версия гендиректора компании Павла Врублевского. Она заключается в том, что хакеры завладели доменным именем ChronoPay (на такую возможность указывает и тот факт, что за две недели до этого произошел взлом системы регистратора компании), т.е. создали сайт-фальшивку с доменным именем ChronoPay.com. В результате никакой кражи базы данных карт не было, а клиенты, набирая имя сайта Chronopay для авторизации, попадали на ложную авторизационную страницу, на которой реквизиты карт (номера карт, срок действия, CVV2/CVC2) и собирались. Другими словами, случившуюся атаку с технической точки зрения следует отнести к фишингу.

Еще один аргумент в пользу того, что эта версия наиболее правдоподобна. Компания ChronoPay одной из первых в России прошла сертификацию на соответствие требованиям стандарта PCI DSS и подтверждает это соответствие уже несколько лет подряд. Поэтому слабо верится в то, что в БД хранились значения CVC2/CVV2 (факт хранения этих данных является грубейшим нарушением требований PCI DSS). Кроме того, и номера карт могут храниться на сервере компании только в зашифрованном или «усеченном» виде.

По информации из разных источников, в ChronoPay работает грамотная команда специалистов, и такой глупости, как хранение номеров карт в открытом виде и значений CVV2/CVC2, они бы не допустили.

Если что-то и украли в ChronoPay, так это реквизиты карт (номера карт, сроки их действия и CVV2/CVC2), похищенные с авторизационной страницы серверафальшивки в период, когда доменное имя сервера chronopay.com находилось под контролем взломщиков (30 декабря 2010г. имя было возвращено). Последствия случившегося, на мой взгляд, будут незаметными, особенно если снова вернуться к вероятной цели взломщиков.

Кроме того, есть основание считать, что и данные, выложенные хакерами в Интернете по украденным реквизитам карт, были добыты не через ChronoPay.

Дело в том, что для выполнения авторизации необходимо иметь SSL-сертификат, в котором в поле Common Name указан URL сервера. Получить сертификат в каком-либо удостоверяющем центре для уже существующего URL можно только мошенническим способом. Здесь, правда, есть нюансы, но приводить их технические детали вряд ли правильно.

Видимо, эмитенты карт, реквизиты которых были опубликованы в Интернете, уже заблокировали эти карты в своих БД.

Здесь ситуация облегчается тем, что украденные реквизиты могут использоваться только для CNP-фрода, а все CNPтранзакции являются онлайновыми. Это означает, что скомпрометированную карту достаточно заблокировать в БД хоста эмитента. Нет необходимости помещать карту в стоп-листы платежных систем, что дорого и занимает время.

Очевидно, что в рассматриваемом случае (захват доменного имени) в основе атаки лежит ненадежность сегодняшнего Интернета. Такая простота в удалении доменного имени из регистра одного регистратора (DirectNic) и размещение его в регистре другого регистратора (Network Solutions) заставляет пожать плечами. Оставляют желать лучшего и механизмы управления записями на DNS-серверах. Если на DNS-сервере некоторым регистратором меняются данные для какого-то доменного имени, находящегося в регистре другого регистратора, должна быть авторизация на это действие со стороны обоих регистраторов. Это нетрудно сделать с использованием инфраструктуры PKI, которая так и не была создана в Интернете для управления DNS-серверами.

Очевидно, что в рассматриваемом случае никакой стандарт PCI DSS не поможет! Предпринятая атака касается основ Интернета. Помогло бы в данном случае использование протокола 3D Secure? Да, помогло бы в случае, когда держатель карты, реквизиты которой были украдены, зарегистрирован на программу MasterCard SecureCode/Verified-by-Visa и магазин поддерживает этот протокол. К сожалению, достаточно много магазинов, не поддерживающих 3D Secure, а потому украденными реквизитами карт есть где воспользоваться, даже если их владелец зарегистрирован в программе 3D Secure.

Сказанное выше ни в коей мере не умаляет значения стандартов PCI DSS и 3D Secure.

Андрей Грачев, начальник отдела сопровождения пластиковых карт департамента IT банка БНП Париба Восток

Компания ChronoPay входит в международный холдинг, oдно из направлений бизнеса которого – прием платежей через Интернет в различных регионах мира. ChronoPay имеет огромный опыт в этой области и, как крупный игрок рынка, должна уделять значительное внимание информационной безопасности, соответствуя требованиям платежных систем и соответствующим стандартам. Насколько я понял из контекста, данная атака, скорее всего, является следствием бизнес-конфликта, и ее цель – досадить друг другу и испортить репутацию бизнеса. Эта атака, судя по всему, действительно была связана с перехватом доменного имени (как одного из наиболее слабых звеньев, которые могут использоваться в аналогичных ситуациях): через компанию-регистратора были подделаны документы или изменен e-mail, на который зарегистрирован домен компании, и с помощью этого электронного адреса были изменены данные владельца домена (адреса DNS серверов, отвечающих за соответствие доменного имени физическим адресам серверов компании). Соответственно, пока не был восстановлен контроль над серверами, данные с подделанных платежных форм попадали к злоумышленникам. И Visa, и MasterCard очень аккуратно подходят к данному инциденту и пока не делают никаких выводов.

Николай Пятиизбянцев, эксперт АРЧЕ

На данный момент в России можно выделить две основные группы проблем в сфере борьбы с киберпреступлениями.

Первая – нехватка квалифицированных кадров. Наши правоохранительные органы не готовы к расследованию подобных преступлений по самой банальной причине нехватки квалифицированных специалистов. Сами правоохранительные органы вряд ли способны заниматься подготовкой последних, а хорошие специалисты по IT-безопасности пойдут работать, скорее, не в государственные, а в коммерческие структуры, где им предложат значительно больший уровень оплаты.

Вторая проблема – несовершенство законодательства. Уголовный кодекс РФ содержит всего 3 статьи, посвященные компьютерным преступлениям, и все они предусматривают небольшие сроки наказания. Однако, поскольку ст. 274 УК РФ предусматривает ответственность за инсайдерские действия, для наказания собственно «хакеров» остается всего 2 статьи, сроки наказания по которым минимальны: ч.1 ст. 272 предполагает наказание до 2 лет лишения свободы, а ч.1 ст. 273 – до 3 лет. На практике пойманные киберпреступники в подавляющем большинстве случаев, получают условные сроки.

Более того, даже такое мягкое наказание зачастую невозможно применить. Так, ст. 272, призванная защищать информацию, распространяется только на сведения, защищенные законом: секретные данные банков, налоговых органов и госучреждений, персональные данные. Сведения, составляющие коммерческую тайну, также защищены этим законом. Однако само понятие коммерческой тайны достаточно узко, и процедура признания сведений коммерческой тайной достаточно сложна.

На данный момент самыми раскрываемыми киберпреступлениями в России являются кражи логинов и паролей от различных ресурсов и deface (подмена) webстраниц. Более тяжкие преступления в сфере информационных технологий сотрудники раскрыть просто не в состоянии: сотрудники специализированных подразделений (например, подразделения «К» МВД РФ) не занимаются единичными случаями, а сотрудники на местах не способны справиться с подобными задачами.

Так, например, огромное число случаев взлома систем «банк-клиент», произошедших в последнее время, направляются для расследования на места, что снижает вероятность раскрытия данных преступлений практически до нуля.

Безусловно, существующее в РФ законодательство отстает от развития вредоносной деятельности различных видов. Фактически сейчас наказываются только корыстные действия киберпреступников. За подготовительные этапы преступлений, не связанные с получением выгоды и не наносящие никому материального ущерба, например, за создание вредоносного кода, в России практически никого не наказывают.

Стоит отметить, что «компьютерные» статьи УК РФ, упоминавшиеся выше, ни разу не изменялись со времени принятия самого кодекса в 1996г., когда в России не только о киберпреступности, но и об Интернете мало кто слышал.

В продолжение обсуждения ситуации вокруг взлома ChronoPay хочу отметить: заявления компании о том, что у них «ничего не украли», вряд ли соответствуют действительности. Помимо базы из 800 карт, в сеть попали SSL-ключи, якобы принадлежащие ChronoPay. Однако представители самой компании никак не опровергли эту информацию. Соответственно, произошло либо внутреннее хищение, либо взлом.

От представителей ChronoPay хотелось бы услышать ответы на два вопроса: Было ли хищение SSL-ключей? Использовались ли эти SSL-ключи при фишинговой атаке на сервис ChronoPay? Даже если предположить, что взлома системы ChronoPay не производилось, а имел место «всего лишь фишинг», это все равно говорит о нарушении системы информационной безопасности компании.

Рубрика:
{}
Теги:
#

PLUSworld в соцсетях:
telegram
vk
dzen
youtube