Современные информационные технологии /4.Информационная безопасность.

 

Аспирант кафедры инфокоммуникационных технологий и безопасности Петров А. В.

Соавтор: Плашенков В.В.

Череповецкий государственный университет, Россия

Разработка обобщенной модели угроз мобильного банкинга

Введение

В условиях ужесточения конкуренции на экономическом рынке популярность мобильных технологий продолжает расти, также увеличивается и интерес пользователей к приложениям, упрощающим финансовые операции. Банки, естественно, реагируют на запросы потребителей. Платежные приложения не являются исключением, и они постепенно появляются на наших мобильных устройствах (смартфонах, планшетах и т.д.).  Современное банковское обслуживание уже трудно представить без мобильных технологий, сюда входят такие услуги как смс уведомления, мобильный банкинг, доступ к личному счету, переводам и еще целый ряд услуг, которые необходимы клиентам. На данный момент практически 90% клиентов банковского сектора имеют подключённую услугу мобильного банкинга, хоть большая часть и не подозревают об этом. Это происходит из-за того что бы банки в автоматически и одностороннем порядке подключают данную услугу к новым клиентам.

Компания Digital Security, работающая в сфере аудита информационной безопасности, опубликовала отчет о безопасности банковских мобильных приложений. Интересным результатом исследования стало отсутствие большинства крупных розничных банков в Топ-10 приложений с наименьшим числом угроз.  Авторы документа, при составлении отчета были проанализированы мобильные приложения не менее 37 банков, включая, в частности, Альфа-банк, Росбанк, Сбербанк, «ВТБ 24». Хотя бы одну уязвимость содержит каждое из изученных приложений, отмечают исследователи, а это значит что практически любой банковский счет привязанный к услуге мобильного банка может быть опустошён.

Вербальная постановка задачи

В настоящее время существуют огромный перечень мобильных ОС Android, iOS, Windows Phone, Symbian, BlackBerry, каждая из которых имеет свою специфику, связанную с уязвимостями как хорошо известными, так и до сих пор непознанными. В качестве исследования примем к рассмотрению наиболее распространённые на данный момент мобильные ОС Android и iOS, данные основаны на регулярном исследовании РосИндекс.

Для iOS среди потенциальных угроз банковских приложений специалисты отмечают:

·                   некорректная работа с SSL (в 35% приложений);

·                   использование базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%);

·                   использование межсайтового скриптинга (70%);

·                   применение хранилища данных Keychain, подверженность XXE-атакам (45%);

·                   использование общего системного лога (NSLog);

·                   использование скриншотов;

·                   системного буфера обмена и автокоррекции текста и наличие в готовом приложении отладочной информации, позволяющей злоумышленнику составить представление о его работе и уязвимостях.

Для Android приложений отмечают следующие угрозы:

·                   соединения без использования SSL;

·                   некорректные проверки SSL-сертификата (в 15% приложений);

·                   использование межсайтового скриптинга (20%);

·                   использование межпроцессного взаимодействия (обмена данными между приложениями - 22%);

·                   использование критичной информации (в частности, IMEI телефона);

·                   открытие файлов с общими правами доступа, уязвимость для XXE-атак и подверженность SQL-инъекциям при использовании баз данных SQLi.

Кроме того, для всех ОС целесообразно отметь то, что злоумышленникам неважно, сколько именно и каких транзакций совершается ежедневно в приложениях для мобильного банкинга. Пусть даже пользователи всего лишь кладут деньги на свой счет для оплаты услуг оператора связи. Важно то, что злоумышленник через уязвимости в приложении может получить доступ к счету, где хранятся деньги клиента. Под злоумышленниками будем понимать любых лиц пытающихся получить несанкционированный доступ к приложению или к счету владельца.

Основной задачей данной работы является вывод обобщённого показателя, который отражает все аспекты приложений мобильного банкинга

Виды атак на мобильные приложения

Основных типов атак на приложения 3, среди которых:

1.                 Атаки на серверную часть ничем не отличаются от атак на обычные системы ДБО.

2.                 Атаки на клиентскую часть возможны при наличии: физического доступа к устройству, вредоносного приложения на устройстве или возможности контролировать канал, например, в результате атаки «человек посередине». При физическом доступе злоумышленник может получить доступ к файловой системе. Если приложение хранит аутентификационные данные или другие критичные данные в открытом виде либо критичные данные «утекают» в открытом виде, то для злоумышленника несложно получить эти данные и украсть деньги.

3.                 Атаки на канал связи, в ходе классической атаки «человек посередине» перехватываются данные между устройством клиента и сервером. Для этого необходимо находиться в одной сети с жертвой, например в публичной сети Wi-Fi, или использовать поддельные беспроводные точки доступа и поддельные базовые станции. Необходима уязвимость в мобильном приложении – некорректная работа с шифрованием передаваемых данных или полное отсутствие шифрования данных. Самый распространенный пример – неправильная работа с SSL. В результате злоумышленник может прослушивать и подменять передаваемые данные, что может в итоге привести к краже денежных средств со счета клиента.

Оценка уязвимостей

Оценка уязвимостей может осуществляться в соответствии с указными типами атак.

Реализованные уязвимости, проявляющие вследствие атаки на серверную часть чаще всего критические, поскольку получив доступ к серверу, злоумышленник сможет провести абсолютно любые операции со счетами владельцев. Но 80% банковского сектора к вопросам защиты серверной части относятся серьезно и поэтому данный тип атак довольно дорогостоящий к реализации и практически не выполним слабо подготовленным злоумышленником, при условии, что сервер не имеет общеизвестных критических уязвимостей. Критерий УСЧ имеет показатель (0;1) соответственно, защита сервера отсутствует или иметься.

Уязвимости, проявляющие вследствие атак на каналы связи более разнообразны и труднее подаются аналитике, от 90% угроз защищает наличие  SSL/TLS. SSL предназначен для обеспечения конфиденциальности, аутентичности и целостности сообщений, передаваемых между клиентом и сервером. Поэтому данный критерий также будет иметь значение (0;1). Среди других факторов стоит отметить также наличие или отсутствие собственного шифрования, некорректное использование SSL, компрометация корневого сертификата. Дополнительными методами защиты служат SSL Pinning, двухфакторная аутентификация. Следовательно, обобщённый критерий УКС может принимать значения от 0 – 6.

Уязвимости, проявляющие вследствие атак на клиента. Данный тип атак можно разделить на два вида – атаки методом социальной инженерии и получение физического доступа к устройству. От атак методом социальной инженерии защититься практически невозможно, поскольку это зависит от сознательности и внимательности пользователя, поэтому данный критерий всегда будет иметь 1. От уязвимостей, проявляющихся при физическом доступе защититься, возможно, поэтому данный критерий будет иметь значения (0;1).

Величина поправочного коэффициента показывает возможный ущерб от реализации различных типов уязвимостей. Уровень поправочного коэффициента рассчитывался экспертной оценкой методом ассоциаций, основанным на изучении схожего по свойствам объекта с другим объектом. Минимальное количество экспертов определяется числом функциональных сфер, в данном случае 3. Минимальное количество экспертов, возможно, определить по формуле N = 0,5 (3/α + 5), где 0 < α ≤ 1 – параметр, задающий минимальный уровень ошибки экспертизы [Т.Ю. Чернышева // Иерархическая модель оценки и отбора экспертов]. Исходя из этого условия, минимальное количество экспертов равно 4 (при α = 1). Для более точного результата оценки поправочных коэффициентов, было привлечено 7 экспертов.

Эксперты ввели следующие поправочные коэффициенты: УСЧ имеет поправочный коэффициентом 0,4. УКС имеет поправочный коэффициентом 0,3. АК имеет поправочный коэффициент 0,2. СИ имеет поправочный коэффициент 0,1.

К ограничениям в рамках данного исследования стоит отнести то, что рассматривается ситуация, когда устройство пользователя не имеет ни jailbreak, ни root-доступа. При наличии jailbreak или root-доступа уровень безопасности снижается на порядок, появляется еще больше векторов атаки, в том числе, нацеленных на кражу денег.

Выводы

Для оценки безопасности приложения необходимо свести все показатели, влияющие на это к единой цифре.

БМБ = 0,4*УСЧ  (0;1)+0,3*УКС (0;6)+0,2*АК  (0;1)+0,1*СИ (1)

где:

БМБ (безопасность мобильного банкинга);

УСЧ (уязвимости серверной части(0;1));

УКС (уязвимости каналов связи(0;6));

АК (атака на клиента(0;1));

СИ (социальная инженерия (1)).

Максимальный показатель БМБ 2.5, минимальный 0,1. Отсюда можно сделать 2 вывода:

1.                 Если по результатам аналитики мобильное приложение имеет показатель БМБ более 2,4 приложение может считаться условно защищённым.

2.                 Соответственно, наоборот, при показателе менее 2,4 приложение может считать незащищённым и легким для взлома.

Полученная модель производит расчет показателя безопасности мобильного приложения, учитывая основные аспекты влияющие на это.  

 

Литература:

1.     Миноженко А.В. Безопасность мобильного банкинга / Миноженко А.В. – Санкт-Петербург, 2013. – URL: http://dsec.ru/ipm-research-center/research/a_security_analysis_of_mobile_banking_applications_for_2013/

2.     Евдокимов Д.С. Анализ безопасности мобильных банковских приложений / Евдокимов Д.С. – Санкт-Петербург, 2012. – URL: http://www.dsecrg.ru/files/pub/pdf/Mobile_Banking_Security_2012.pdf