Инцидент глазами экспертов
Редакция журнала «ПЛАС» провела опрос среди экспертов, выяснив их мнение по данному инциденту. Сегодня мы приводим на своих страницах мнения как видных экспертов рынка, так и мнения экспертов, опрошенных рядом других СМИ, и выложенные в Сети.
Игорь Голдовский, генеральный директор компании "Платежные Технологии"
Следует признать, что сегодня в нашем распоряжении мало информации о том, что произошло в действительности. Похоже на то, что целью атаки на ChronoPay была, собственно, не кража карточных реквизитов для дальнейшего их использования для CNP-фрода, а компрометация компании: то ли конкуренты постарались, то ли сводились личные счеты с хозяином бизнеса. Другими словами, вероятнее всего, случившаяся атака представляет собой черный PR.
Наиболее правдоподобной версией произошедшего мне представляется версия гендиректора компании Павла Врублевского. Она заключается в том, что хакеры завладели доменным именем ChronoPay (на такую возможность указывает и тот факт, что за две недели до этого произошел взлом системы регистратора компании), т.е. создали сайт-фальшивку с доменным именем ChronoPay.com. В результате никакой кражи базы данных карт не было, а клиенты, набирая имя сайта Chronopay для авторизации, попадали на ложную авторизационную страницу, на которой реквизиты карт (номера карт, срок действия, CVV2/CVC2) и собирались. Другими словами, случившуюся атаку с технической точки зрения следует отнести к фишингу.
Еще один аргумент в пользу того, что эта версия наиболее правдоподобна. Компания ChronoPay одной из первых в России прошла сертификацию на соответствие требованиям стандарта PCI DSS и подтверждает это соответствие уже несколько лет подряд. Поэтому слабо верится в то, что в БД хранились значения CVC2/CVV2 (факт хранения этих данных является грубейшим нарушением требований PCI DSS). Кроме того, и номера карт могут храниться на сервере компании только в зашифрованном или «усеченном» виде.
По информации из разных источников, в ChronoPay работает грамотная команда специалистов, и такой глупости, как хранение номеров карт в открытом виде и значений CVV2/CVC2, они бы не допустили.
Если что-то и украли в ChronoPay, так это реквизиты карт (номера карт, сроки их действия и CVV2/CVC2), похищенные с авторизационной страницы серверафальшивки в период, когда доменное имя сервера chronopay.com находилось под контролем взломщиков (30 декабря 2010г. имя было возвращено). Последствия случившегося, на мой взгляд, будут незаметными, особенно если снова вернуться к вероятной цели взломщиков.
Кроме того, есть основание считать, что и данные, выложенные хакерами в Интернете по украденным реквизитам карт, были добыты не через ChronoPay.
Дело в том, что для выполнения авторизации необходимо иметь SSL-сертификат, в котором в поле Common Name указан URL сервера. Получить сертификат в каком-либо удостоверяющем центре для уже существующего URL можно только мошенническим способом. Здесь, правда, есть нюансы, но приводить их технические детали вряд ли правильно.
Видимо, эмитенты карт, реквизиты которых были опубликованы в Интернете, уже заблокировали эти карты в своих БД.
Здесь ситуация облегчается тем, что украденные реквизиты могут использоваться только для CNP-фрода, а все CNPтранзакции являются онлайновыми. Это означает, что скомпрометированную карту достаточно заблокировать в БД хоста эмитента. Нет необходимости помещать карту в стоп-листы платежных систем, что дорого и занимает время.
Очевидно, что в рассматриваемом случае (захват доменного имени) в основе атаки лежит ненадежность сегодняшнего Интернета. Такая простота в удалении доменного имени из регистра одного регистратора (DirectNic) и размещение его в регистре другого регистратора (Network Solutions) заставляет пожать плечами. Оставляют желать лучшего и механизмы управления записями на DNS-серверах. Если на DNS-сервере некоторым регистратором меняются данные для какого-то доменного имени, находящегося в регистре другого регистратора, должна быть авторизация на это действие со стороны обоих регистраторов. Это нетрудно сделать с использованием инфраструктуры PKI, которая так и не была создана в Интернете для управления DNS-серверами.
Очевидно, что в рассматриваемом случае никакой стандарт PCI DSS не поможет! Предпринятая атака касается основ Интернета. Помогло бы в данном случае использование протокола 3D Secure? Да, помогло бы в случае, когда держатель карты, реквизиты которой были украдены, зарегистрирован на программу MasterCard SecureCode/Verified-by-Visa и магазин поддерживает этот протокол. К сожалению, достаточно много магазинов, не поддерживающих 3D Secure, а потому украденными реквизитами карт есть где воспользоваться, даже если их владелец зарегистрирован в программе 3D Secure.
Сказанное выше ни в коей мере не умаляет значения стандартов PCI DSS и 3D Secure.
Андрей Грачев, начальник отдела сопровождения пластиковых карт департамента IT банка БНП Париба Восток
Компания ChronoPay входит в международный холдинг, oдно из направлений бизнеса которого – прием платежей через Интернет в различных регионах мира. ChronoPay имеет огромный опыт в этой области и, как крупный игрок рынка, должна уделять значительное внимание информационной безопасности, соответствуя требованиям платежных систем и соответствующим стандартам. Насколько я понял из контекста, данная атака, скорее всего, является следствием бизнес-конфликта, и ее цель – досадить друг другу и испортить репутацию бизнеса. Эта атака, судя по всему, действительно была связана с перехватом доменного имени (как одного из наиболее слабых звеньев, которые могут использоваться в аналогичных ситуациях): через компанию-регистратора были подделаны документы или изменен e-mail, на который зарегистрирован домен компании, и с помощью этого электронного адреса были изменены данные владельца домена (адреса DNS серверов, отвечающих за соответствие доменного имени физическим адресам серверов компании). Соответственно, пока не был восстановлен контроль над серверами, данные с подделанных платежных форм попадали к злоумышленникам. И Visa, и MasterCard очень аккуратно подходят к данному инциденту и пока не делают никаких выводов.
Николай Пятиизбянцев, эксперт АРЧЕ
На данный момент в России можно выделить две основные группы проблем в сфере борьбы с киберпреступлениями.
Первая – нехватка квалифицированных кадров. Наши правоохранительные органы не готовы к расследованию подобных преступлений по самой банальной причине нехватки квалифицированных специалистов. Сами правоохранительные органы вряд ли способны заниматься подготовкой последних, а хорошие специалисты по IT-безопасности пойдут работать, скорее, не в государственные, а в коммерческие структуры, где им предложат значительно больший уровень оплаты.
Вторая проблема – несовершенство законодательства. Уголовный кодекс РФ содержит всего 3 статьи, посвященные компьютерным преступлениям, и все они предусматривают небольшие сроки наказания. Однако, поскольку ст. 274 УК РФ предусматривает ответственность за инсайдерские действия, для наказания собственно «хакеров» остается всего 2 статьи, сроки наказания по которым минимальны: ч.1 ст. 272 предполагает наказание до 2 лет лишения свободы, а ч.1 ст. 273 – до 3 лет. На практике пойманные киберпреступники в подавляющем большинстве случаев, получают условные сроки.
Более того, даже такое мягкое наказание зачастую невозможно применить. Так, ст. 272, призванная защищать информацию, распространяется только на сведения, защищенные законом: секретные данные банков, налоговых органов и госучреждений, персональные данные. Сведения, составляющие коммерческую тайну, также защищены этим законом. Однако само понятие коммерческой тайны достаточно узко, и процедура признания сведений коммерческой тайной достаточно сложна.
На данный момент самыми раскрываемыми киберпреступлениями в России являются кражи логинов и паролей от различных ресурсов и deface (подмена) webстраниц. Более тяжкие преступления в сфере информационных технологий сотрудники раскрыть просто не в состоянии: сотрудники специализированных подразделений (например, подразделения «К» МВД РФ) не занимаются единичными случаями, а сотрудники на местах не способны справиться с подобными задачами.
Так, например, огромное число случаев взлома систем «банк-клиент», произошедших в последнее время, направляются для расследования на места, что снижает вероятность раскрытия данных преступлений практически до нуля.
Безусловно, существующее в РФ законодательство отстает от развития вредоносной деятельности различных видов. Фактически сейчас наказываются только корыстные действия киберпреступников. За подготовительные этапы преступлений, не связанные с получением выгоды и не наносящие никому материального ущерба, например, за создание вредоносного кода, в России практически никого не наказывают.
Стоит отметить, что «компьютерные» статьи УК РФ, упоминавшиеся выше, ни разу не изменялись со времени принятия самого кодекса в 1996г., когда в России не только о киберпреступности, но и об Интернете мало кто слышал.
В продолжение обсуждения ситуации вокруг взлома ChronoPay хочу отметить: заявления компании о том, что у них «ничего не украли», вряд ли соответствуют действительности. Помимо базы из 800 карт, в сеть попали SSL-ключи, якобы принадлежащие ChronoPay. Однако представители самой компании никак не опровергли эту информацию. Соответственно, произошло либо внутреннее хищение, либо взлом.
От представителей ChronoPay хотелось бы услышать ответы на два вопроса: Было ли хищение SSL-ключей? Использовались ли эти SSL-ключи при фишинговой атаке на сервис ChronoPay? Даже если предположить, что взлома системы ChronoPay не производилось, а имел место «всего лишь фишинг», это все равно говорит о нарушении системы информационной безопасности компании.