Это интересно

Представлен сервис для имитации любого голоса на базе одной минуты речи

Канадский стартап Lyrebird представил нейросетевой сервис для имитации речи, использующий для обучения всего одну минуту аудиозаписи с оригинальным голосом. Об этом говорится на сайте компании.

Алгоритмы для имитации речи создавались и ранее, однако нейросетям, как правило, требуется довольно большое количество материала (записей оригинального голоса), чтобы научиться ее воспроизводить.

Монреальскому проекту Lyrebird удалось сократить необходимое для обучения программы время до минуты, заявили в компании. Созданный специалистами Монреальского университета алгоритм, в частности, позволяет за полсекунды обработать до тысячи предложений, которые программа «скажет» нужным голосом и с нужной пользователю интонацией.

 

 

В данный момент синтезированные Lyrebird голоса звучат немного электронно, однако в случае знаменитостей позволяют безошибочно определить, кому они принадлежат. Свою разработку стартап продемонстрировал на голосах Барака Обамы, Дональда Трампа и Хиллари Клинтон, заставив копии их голосов обсуждать сам сервис.

Сроки релиза продукта не сообщаются. Также остается неясным, будет ли сервис полностью бесплатным. На сайте проекта в данный момент говорится о том, что Lyrebird планирует выпустить API для работы с алгоритмом, и приглашает пользователей стать бета-тестерами через подписку на email-рассылку.

 

Олег Овечкин
Опубликовано 24 апреля 2017 года на сайте rb.ru
Подробнее...
Источник: https://rb.ru/news/lyrebird/?f

Ограбление по-хакерски. 2,2 млрд рублей украли в 2016 году из российских банков

В 2017-м ущерб, видимо, будет еще больше. Грабить финансовые организации, как ни странно, стало проще, а защита от мошенников нового типа работает плохо.

Фото: Reuters

Кража года

В последний день зимы 2016 года, 29 февраля, столичный Металлинвестбанк лишился 200 млн рублей. Их, как было установлено позже, украли хакеры. Все произошло быстро. Терминалы, с которых управляется корреспондентский счет кредитного учреждения в ЦБ, начали несанкционированно отправлять с него деньги на сторонние счета. Адресаты — частные лица в коммерческих банках по всей стране.

Подозрительное поведение компьютеров в Металлинвестбанке обнаружили сразу, заверил "Деньги" зампредправления Михаил Окунев. "Это был взлом канала автоматизированного рабочего места клиента Банка России, АРМ КБР",— сказал он. Взлом, по словам Окунева, продлился около часа. Чтобы остановить переводы, банк даже запросил ЦБ отключить его от системы расчетов. К этому времени с корсчета Металлинвестбанка ушло 667 млн рублей. "Треть денег вернулась сразу, примерно треть арестована на счетах в банках, мы рассчитываем, что они к нам вернутся по результатам суда, который, как мы ожидаем, начнется в апреле",— говорит Михаил Окунев. Около 200 млн рублей, как уже было сказано, банк все же не вернул: с подконтрольных счетов злоумышленники их либо быстро обналичили, либо перевели дальше.

У этой истории — нечастый для России финал. Через три месяца, в июне 2016-го, ФСБ и МВД сообщили, что совместно в 15 регионах РФ задержали 50 человек, входящих в хакерскую группу под названием Buhtrap. Ее заметили еще в 2014 году, когда она обчищала компании. А в августе 2015-го группировка переключилась исключительно на финансовые организации:

За полгода, по февраль 2016-го, Buhtrap совершила 13 успешных атак на российские банки, похитив 1,8 млрд рублей, отмечает Group-IB, специализирующаяся на предотвращении и расследовании кибератак.

Данная группировка, как говорят источники "Денег" на банковском рынке, стоит и за атакой на Металлинвестбанк. В Group-IB это мнение разделяют.

Рост на 300%

Хищение у Металлинвестбанка 667 млн рублей было в числе самых крупных в РФ — из тех, что были обнародованы. Средняя хакерская кража у российских банков в период с июня 2015-го по май 2016 года составляла около 140 млн рублей. Хотя были и большие суммы. "В двух случаях сумма хищений в 2,5 раза превзошла уставный капитал банка",— отмечается в прошлогоднем отчете Group-IB.

Всего за 2016 год, сообщил в феврале 2017-го ЦБ, у российских коммерческих банков хакеры похитили 2,2 млрд рублей.

"Если говорить о покушениях на хищения денежных средств со счетов кредитных организаций, то в 2016 году подобным атакам подверглись девять организаций,— уточнила "Деньгам" пресс-служба регулятора.— Злоумышленники пытались похитить около 5 млрд рублей. При этом удалось остановить хищения на общую сумму порядка 2,8 млрд рублей". Очевидно, банки в 2016 году лишились бы еще большей суммы, если бы не захват членов Buhtrap, группировки, на которую, по сведениям Group-IB, приходилось две трети украденного у банков.

Общая сумма киберхищений у финансовых организаций за минувший год, впрочем, может быть и больше. По крайней мере, по подсчетам Group-IB, за период с июня 2015-го по май 2016 года у российских банков в результате целевых атак (когда жертва не случайна, а подбирается со знанием дела) хакеры похитили 2,5 млрд рублей.

Сумма целевых киберхищений у банков, по сведениям Group-IB, к аналогичному периоду 2013-2014 годов выросла на 292%. (По данным ЦБ, с июня 2015-го по май 2016 года у российских банков хакеры украли 1,37 млрд рублей.) "Нас часто обвиняют, что мы цифры завышаем,— я считаю, что мы занижаем",— подчеркивает директор департамента киберразведки Group-IB Дмитрий Волков.

Более свежих цифр за 2017 год пока у компании нет, но в банковском сообществе неофициально "Деньгам" подтверждают если не увеличение суммы украденного, то рост числа кибератак в российских финансовых организациях. (При этом сумма похищенного за один раз может и снижаться.) "Атаки ради денег самих банков совершаются все чаще. Есть мнение, что в последние несколько лет число атак удваивается ежегодно",— подтверждает Эльман Мехтиев, исполнительный вице-президент Ассоциации российских банков (АРБ). А компания Positive Technologies, также занимающаяся расследованиями киберпреступлений, прогнозирует, что в 2017 году хакерских атак на банки в РФ будет больше на 30%. Это касается и процессинговых, брокерских структур, операторов денежных переводов — их потери от киберхищений также возрастут.

Не признаются

Металлинвестбанк — редкое исключение из правила. Он публично признал факт кражи и сумму ущерба от действий хакеров. О киберкражах (правда, без подробностей) сообщали также Русский международный банк и казанский Алтынбанк. Остальные предпочитают о потерях не распространяться.

Между тем в США, например, финансовые организации, если хотят избежать больших штрафов, сведения об ущербе от хакеров обязаны не только доводить до регулятора, но и раскрывать публично. У нас, говорят банкиры, такую информацию финансовые и кредитные учреждения не предавали широкой огласке, опасаясь больших имиджевых и репутационных потерь (а закон их к откровенности не обязывает).

Открытых полных данных о том, сколько хакеры украли со счетов у банков, их клиентов — физических или юридических лиц — в России нет.

Соответствующая статистика ЦБ формируется из отчетности банков, которые до 2015 года не спешили делиться с регулятором конфиденциальной информацией о киберкражах. Чуть более года назад их обязали это делать. "Данные Центробанка в целом по киберхищениям в РФ не отражают картины,— считает бывший руководитель подразделения в управлении К МВД, пожелавший остаться неназванным.— Их гораздо больше, чем говорят банки". Это, правда, касается в первую очередь киберкраж у клиентов финансовых организаций. Скрывать от ЦБ такие атаки против самих себя не в интересах банков, уверены собеседники "Денег". Но сделать это вполне реально.

"Формируя статистическую отчетность, Банк России исходит из того, что кредитные организации добросовестно подходят к формированию отчетности,— сообщила пресс-служба регулятора.— По итогам 2016 года статистика Банка России практически полностью коррелирует со статистикой МВД по такого рода преступлениям".

БАНКИ — ГЛАВНАЯ МИШЕНЬ

Несколько тысяч рублей, украденных с вашей карты,— добыча "щипачей". Профессиональные компьютерные преступники "берут" за раз сотни миллионов.

Если еще в 2013 году главной мишенью опытных хакеров были клиенты банков, то теперь — сами финансовые организации, говорят опрошенные "Деньгами" эксперты. Самые профессиональные киберпреступники, потренировавшись на компаниях, переориентировались на банки. Там риски и азарт выше, дело — сложнее, но и куш куда заманчивее.

Доход хакеров от целевых атак на банки за период с июня 2015-го по май 2016 года, по данным Group-IB, "перекрыл суммарный заработок от всех остальных способов хищений, сделав банки самой привлекательной мишенью". Если у банков за указанный период хакеры украли 2,5 млрд рублей, то у юрлиц — 956 млн, у физлиц через настольные компьютеры — 6,4  млн, у них же, но через смартфоны,— 348,6 млн.

С юрлиц за одну кражу в интернет-банкинге можно было "получить" почти в 300 раз меньше, чем с банков: 480 тыс. против 140 млн рублей.

С теми и другими работают наиболее квалифицированные хакеры — "элита". Счета обычных граждан обчищает отдельная группа кибермошенников — это, говорят эксперты, по сути, аналог малоквалифицированных щипачей в цифровую эпоху. С банковских счетов граждан через настольные персональные компьютеры они похищают в среднем за раз по 51,6 тыс. рублей, через смартфоны на Android — в среднем по 4 тыс. за раз (немного, но зато тут кражи совершаются намного чаще).

Неуязвимых нет

Всего в стране сейчас действует около 570 коммерческих банков, и хакеры, скорее всего, прощупали всех (включая более 300 закрытых в ходе затеянной ЦБ чистки). "Банков, которые не атакуют, нет",— уверен Эльмар Набигаев, руководитель отдела реагирования на угрозы информационной безопасности компании Positive Technologies. "Атакам хакеров подвергаются все,— соглашается Алексей Голенищев, директор по мониторингу электронного бизнеса Альфа-банка.— Но в защищенный банк, откуда сложно вывести деньги, мало кто полезет".

Многие финансовые организации, прежде всего региональные, слабо готовы к кибератакам. "Банки, особенно в регионах, до сих пор уверены, что кибермошенники потрошат лишь клиентов, за что уже поплатились",— замечает топ-менеджер из банковской сферы, пожелавший остаться анонимным. По словам Эльмара Набигаева, как правило, после первой кражи банки меняют свой подход. "Сейчас вообще таких стало меньше",— отмечает он. Меньше в том числе потому, что основная масса закрывшихся банков — региональные.

"Готовность — разная, в зависимости от величины банка. Крупные готовы к атакам, средние и малые — не все... Но никогда нельзя быть готовым на сто процентов к предательству внутри организации вне зависимости от размера банка",— замечает Эльман Мехтиев из АРБ. Роман Чаплыгин, директор направления анализа и контроля рисков кибербезопасности PwC, обращает внимание на нехватку финансирования: "В России существует множество банков, которые не обладают достаточным количеством финансовых средств для выстраивания системы кибербезопасности внутри организации и отражения атак".

Впрочем, есть и другая проблема. "Некоторые банки в России и за ее пределами не верят, что компьютерная преступность существует,— говорит Илья Сачков, гендиректор Group-IB.— Даже в уважаемых государственных учреждениях есть люди, которые тоже в это не верят".

О слабой готовности кредитных учреждений к кибератакам свидетельствуют и тесты на проникновение в информационную систему компаний и банков, проведенные в 2015 году Positive Technologies. Проверялось 17 учреждений в России и за рубежом, треть из которых составляли банки и финорганизации.

В 82% систем оказалось возможным попасть в сеть, в каждом втором случае удалось получить контроль над критически важными ресурсами компаний, а в 28% был получен полный контроль над всей инфраструктурой организации.

По словам Эльмара Набигаева, ситуация к сегодняшнему дню существенно не изменилась: "В банковской сфере с точки зрения безопасности все не очень хорошо. У большинства злоумышленников не вызывает затруднений получение полных привилегий в сети. Результаты наших расследований инцидентов в банках показывают, что в большинстве случаев атаки заканчивались полной компрометацией сети и кражей средств".

Слабость банков

Кредитные учреждения вроде бы вкладываются в кибербезопасность. Даже несмотря на кризис. "По нашим данным, в 2017 году в России бюджет на кибербезопасность вырос на 18%",— говорит Роман Чаплыгин из PwC.

Увеличение бюджета, однако, не всегда помогает. "Многие банки ограничиваются инвестициями в безопасность на уровне соответствия стандартам,— поясняет Эльмар Набигаев.— Галочку поставили в документе, правильное средство защиты купили — значит, все хорошо. Но нельзя просто купить железку и забыть, информационная безопасность — это процесс, инфраструктура банковской организации меняется, киберпреступники обновляют инструменты и схемы атак, поэтому и в безопасности постоянно должно что-то совершенствоваться".

Те, кто обеспечивал киберзащиту, которая не помогла, оказывались в очень щекотливой ситуации. "К сожалению, многие сотрудники службы информационной безопасности скрывали от менеджмента банков проблему, и это могло длиться до 2013-2014 года,— рассказывает Илья Сачков.— Ты потратил много денег, но проблему это не решило. И ты должен потратить еще. У нас с некоторыми банками даже были конфликты, когда мы через систему мониторинга были способны определять преступления на этапе их подготовки, знали, у кого могли украсть деньги, сообщали об этом сотрудникам службы информбезопасности, а они эти сведения никак не использовали, боялись показать руководству. И происходило хищение".

Те же, кому руководство банка средств на киберзащиту не выделило, используют это как повод снять с себя ответственность: мол, мы же просили деньги, а вы не дали, говорит пожелавший остаться анонимным топ-менеджер из банковской сферы. "В тех банках, где IT-безопасность — это часть службы, выросшей из службы физической безопасности, так и происходит чаще всего",— уверен наш собеседник.

Сергей Голованов, ведущий антивирусный эксперт "Лаборатории Касперского", участвовавший в расследовании киберкраж в финансовых организациях, соглашается: "Чаще всего проблемы у банков не с бюджетами, а с информированностью об инцидентах.

Большинство атак происходит по глупости, недосмотру, случайно, если хотите. И так во всем мире.

Если банк формально следует букве закона (так называемая бумажная кибербезопасность), то он все равно станет жертвой злоумышленника".

"Мало накупить дорогих систем,— отмечает Эльмар Набигаев.— Для их эффективной эксплуатации и настройки необходим высококвалифицированный и весьма дорогостоящий персонал, а далеко не каждый банк может себе позволить держать в штате таких профессионалов. Да их и мало очень".

Знающих специалистов мало не только в банках, но и в правоохранительных органах, говорит источник "Денег" в управлении К МВД: "Почти нет оперативников, следователей, способных понять техническую сторону дел, объединить эпизоды и объяснить их суть прокурору и судье".

Вор у вора

Пользуясь исключительно инсайдом, крадут в России деньги и у обнальных банков, которые принимают средства и получают указания, куда их перевести. "Есть группы злоумышленников — они получают доступ к такой почте у обнального банка или отправителя денег,— рассказывает Дмитрий Волков из Group-IB.— Мошенники видят переписку и со взломанной почты сами отправляют эти поручения банку.

Например, сегодня деньги должны уйти в Китай — злоумышленники перехватывают такое письмо, подменяют его: да, тоже Китай, но другое юрлицо. И 200 млн долларов уходят не в ту компанию.

Почту они контролируют. Банк спрашивает: "Точно туда отправлять?" Хакеры отвечают: "Да, туда". И все. Суммы хищений здесь большие, многое делается по наводке".

И кто признается ЦБ, клиентам или партнерам, что украли серые деньги, что пострадала отмывочная или обнальная, криминальная по сути, схема?

КАК ГРАБЯТ БАНКИ

Ваши сотрудники отказались от подписки на бумажную газету или популярный еженедельник? Ждите хакеров-грабителей.

Человеческий фактор

Атака на банк — в первую очередь атака на человека.

Злоумышленникам для начала важно проникнуть в компьютер банковского служащего.

Оттуда открывается доступ в локальные сети, хакеры получают привилегии администратора, что позволяет атаковать системы, отвечающие за финансовые трансакции: АРМ КБР, банкоматные сети, биржевые терминалы, электронные расчеты и межбанковские переводы, SWIFT и процессинговые системы. Что и дает возможность красть средства.

Именно так, скорее всего, произошла кража в Металлинвестбанке: платежные терминалы и корпоративная сеть здесь были объединены, что сыграло на руку хакерам. "Достоверно сложно утверждать, что послужило изначальной точкой входа в банковскую систему,— говорит Михаил Окунев.— Но все уязвимости мы закрыли и постоянно совершенствуемся в этом. Мы разделили физически общую банковскую сеть и те машины, которые отвечают за отправку любых платежей. Банк провел полную перестройку системы информационной безопасности".

Почтовый взлом

Способов проникновения на компьютер банковского служащего несколько. Самый распространенный — через электронную почту. Конкретным сотрудникам присылается некое письмо с документом, куда встроена вредоносная программа с так называемыми эксплойтами. Используя уязвимости в программном обеспечении, они находят черный ход на компьютер сотрудника. Чтобы вредоносный файл открыли, злоумышленники отправляют его от имени клиентов банка, или от ЦБ (как делала группа Buhtrap), или от госорганов.

Письмо может подтверждаться и телефонным звонком: мол, проверьте реквизиты договора, акт сверки, последние распоряжения. И необязательно это будет письмо с фальшивого адреса: хакеры могут отправлять зараженные файлы и с настоящих, но взломанных адресов. Кроме того, это может быть и подлинное письмо от партнеров, но с вредоносной программой.

"У злоумышленников появляются дополнительные возможности совершать атаки через многочисленных банковских контрагентов, у которых система защиты от киберугроз зачастую совсем не развита", —

говорит Роман Чаплыгин.

Что происходит дальше? Сотрудник открывает документ, например, в формате .pdf, а встроенная в него вредоносная программа проверяет, есть ли уязвимости в "читалке". Часто они есть, так как обновления, которые ставят "заплатки" на программное обеспечение, делаются нерегулярно. Впрочем, обновления не панацея, они только снижают риски: у программ, на радость хакерам, существуют уязвимости, неизвестные разработчикам.

Используя эти уязвимости, с помощью эксплойтов, встроенных в присланный документ, киберпреступники входят через черный ход на компьютер жертвы. "Злоумышленник ставит программу, которая позволят получить пароли администратора сети, потом он ходит по разным компьютерам и получает полный доступ,— рассказывает Илья Сачков.— Мы расследовали случай, когда злоумышленники контролировали всю банковскую сеть, похитив большую сумму с корсчета, которую потом распылили по разным счетам и обналичили. У них был доступ на почтовый сервер, главные серверы, и они читали, как банк реагировал на расследование".

Подлом через газету

Другой способ попасть на компьютер к сотруднику банка — массовый, уходящий, как говорят эксперты, в прошлое. Мошенники совершают так называемый подлом популярных сайтов, например деловых и новостных изданий, юридических или государственных справочников. Незаметно для их владельцев хакеры встраивают в сайт небольшую программу, которая проверяет у всех посетителей, какой у них браузер, операционная система, флеш-проигрыватель, pdf-ридер, версии их обновлений и пр. "Таким образом находится уязвимое программное обеспечение — в среднем у 13-15% посетителей",— рассказывает Дмитрий Волков. Кстати, сейчас этот способ, по данным Group-IB, активно используется для заражения троянами и краж денег со смартфонов на Android. Затем через обнаруженные черные ходы на компьютер загружаются программы, которые проверяют, в частности, есть ли у него связь с банковскими или бухгалтерскими программами, какой антивирус стоит и пр. Часть таких компьютеров может оказаться в банке.

Но злоумышленники не знают, на какой компьютер они попали. Чтобы справиться с проблемой, они, например, загружали модифицированную вредоносную программу, выясняющую, есть ли следы работы с банковскими или бухгалтерскими приложениями. "В некоторых случаях это работает: повезет, и

один из тысячи взломанных окажется компьютером бухгалтера, антивирус на нем плохой, появляется возможность украсть деньги",—

поясняет Волков. Если дело касается проникновения в банковскую сеть, то мошенники в последнее время, проникнув в компьютер, часто используют законные или бесплатные инструменты удаленного управления. Это раньше нужно было писать трояны, сейчас система хищений в банках сильно автоматизируется и удешевляется, проникновение в банковскую сеть, отмечает Group-IB, "не требует особого опыта или труднодоступного программного обеспечения".

Украсть и обналичить

По словам источника в управлении К МВД, за обналичку киберпреступники платили 30-60% от похищенного, в зависимости от "чистоты" денег, сложности схем. Если сумма большая, деньги распыляются: скажем, заранее покупается так называемый зарплатный проект, когда 50 млн рублей через юрлицо выводится на 50 банковских карт.

Или деньги летят, например, на две тысячи Qiwi-кошельков и 100 тыс. сим-карт, а с них — на банковские карты. Для снятия денег нанимают людей, которым приходится "светиться" у банкоматов; им платят около 5% от снятого.

Если же нужно получить много и сразу, человека отправляют в отделение банка с заверенными документами от директора фирмы-однодневки, и он получает все через кассу. Когда группы, занимающиеся обналичиванием, распадаются или уходят на дно, хищения временно прекращаются. Впрочем, обналичить деньги можно где угодно, говорит Эльмар Набигаев: хакеры успешно пользуются зарубежными счетами.

Атака на банкомат

Новые технологии меняют схему. Проникнув в сеть банка, можно украсть деньги из банкоматов. "Сейчас хакеры проникают в корпоративную сеть банка, находят банкоматную сеть, то есть внедряются на компьютеры сотрудников, которые эти банкоматы обслуживают, и загружают вредоносное ПО на банкоматы",— рассказывает Набигаев. Сообщники хакеров, занимающиеся обналичиванием, подходят к банкоматам, а хакер удаленно дает команду устройству на выдачу наличных. Такая схема кражи денег, по его словам, набирает популярность. Случаи подобных хищений попадали в СМИ, но суммы краж, а также владельцы банкоматов не уточнялись.

Схема удобна хакерам тем, что небольшое число обнальщиков позволяет обчистить много банкоматов. "Банки могут это не сразу заметить, так как инкассация банкоматов не ежедневная, а банковские системы могут сообщать, что деньги в банкоматах еще есть,— говорит Набигаев.— Может пройти неделя, пока выяснится: деньги похищены. Найти злоумышленников трудно, так как время уже потеряно, а следы их преступления, как правило, заметаются — например, хакеры отключают камеры на банкоматах".

Проникнув в компьютерную систему финансовой организации, в июле 2016 года группа молодых людей в масках организованно атаковала 34 банкомата одного из крупнейших тайваньских банков, First Bank, унеся 83,27 млн тайваньских долларов (более $2 млн).

В августе по аналогичной схеме было похищено 12 млн бат (около $350 тыс.) из 21 банкомата Government Savings Banks в Таиланде. В сентябре подобные атаки, отмечает Group-IB, были зафиксированы в Европе, однако огласке их не предали.

"Этапы киберхищения денег у банков"

Источник: Group-IB

"Летняя волна хищений была лишь тестированием возможностей атак на банкоматы, которые в будущем станут одним из основных векторов целевых кибернападений на банки",— считают эксперты Group-IB. Группу, обчищающую по этой схеме банкоматы, компания назвала Cobalt. Она, по информации Group-IB, атаковала банки в России, Великобритании, Нидерландах, Испании, Румынии, Белоруссии, Польше, Эстонии, Болгарии, Грузии, Молдавии, Киргизии, Армении и Малайзии. Техника проникновения в банки, отмечают эксперты по кибербезопасности, идентична методам, использованным группой Buhtrap. "Можно предполагать, что как минимум часть участников Buhtrap вошла в Cobalt или, что не менее вероятно, костяк Buhtrap просто переключился на атаки на банкоматы",— отмечает Group-IB.

КТО ГРАБИТ БАНКИ

Небритый мужик в маске и с пистолетом? Роковая красотка в черном латексе? Современный грабитель выглядит иначе. И еще недавно получал в школе пятерки по информатике.

Компания Group-IB считает, что против российских финансовых учреждений работает пять преступных групп, по многим признакам — русскоязычных. Собственно "кодеров", тех, кто пишет программы, используемые хакерами, немного, говорят расследователи киберпреступлений. И они, как правило, не участвуют в хищениях. Большинство кибервзломщиков копируют уже известное или используют имеющиеся в свободном доступе наработки.

Действуют они не в одиночку, поскольку реальную сложность для них представляет только финальный этап — обналичивание. "Такие группы работают с теми, кто занимается обналичкой. А это ОПГ",— объясняет Илья Сачков.

Быстрые деньги

Кто ограбил Металлинвестбанк, официально не разглашается, но едва ли хакерская группа Buhtrap отличается по своему составу от аналогичных. Как правило, говорит Сергей Голованов из "Лаборатории Касперского", это молодые образованные ребята, у которых была твердая пятерка по информатике в школе и которые неплохо закончили технический вуз: "Они попробовали один раз украсть деньги, и у них получилось. Они понимают, что после университета у них по большому счету есть следующие варианты карьеры: работать на дядю по восемь--десять часов в офисе или в свободном режиме писать вредоносные программы и таким образом зарабатывать деньги".

Выбор для многих очевиден: есть опыт знакомых, которые на киберпреступлениях поднялись. С гламурным имиджем, далеким от уголовного. В итоге человек быстро учится красть.

"В компьютерных преступлениях в РФ доминируют банковские преступления",—

говорит Илья Сачков. То есть российские кибермошенники крадут в основном деньги. Сегодня, по словам Голованова, в мире есть два основных географических региона, где сконцентрированы злоумышленники, которые охотятся за деньгами банков и их клиентов,— Россия и страны СНГ, а также Бразилия.

Самый знаменитый из российских хакеров, видимо, 30-летний Дмитрий Федотов, также известный как Paunch (брюхо), чьи программы с эксплойтами Blackhole и Cool Exploit Kit обеспечили 40% заражений по всему миру, а ущерб от них исчислялся миллиардами долларов. Долларовый миллионер ездил по Тольятти на единственном в городе белом "Кайене", что и помогло его арестовать. В апреле 2016 года он был осужден на семь лет — случай беспрецедентный, поскольку сам Федотов в киберхищениях не участвовал, только писал для них программы.

Хакеры на экспорт

Илья Сачков утверждает, что основные разработчики вредоносного обеспечения — русскоговорящие, и живут они по всему миру: "У таких людей высокий IQ, недостаток внимания родителей в детстве, отсутствие понимания, что такое хорошо и что такое плохо. Возможно, это потерянное поколение 1990-х".

16 из 19 известных банковских троянов связаны с русскоязычными хакерами, а российские кибервзломщики весьма успешно захватывают мировой рынок хакерского программного обеспечения.

"Появились маленькие преступные IT-компании, которые делают все необходимые для киберкраж инструменты,— поясняет Сачков.— Теперь не нужно иметь 20-летний опыт, чтобы заняться компьютерной преступностью". И стоит это, говорит источник в управлении К МВД, дешево.

После серии арестов в 2016 году (помимо членов Buhtrap задержали создателей банковского трояна Lurk, с помощью которого, по данным "Лаборатории Касперского", учувствовавшей в поимке, за последние пять лет украли 3 млрд рублей) мошенники стали переориентироваться на заграницу. Русскоязычные — как правило, из России и с Украины — хакеры вовсю администрируют крупные ботнеты, в которые уже попадают устройства "интернета вещей": умные холодильники, чайники и телевизоры. (И кажется, единственный способ быть уверенным, что ваша новая стиральная машина не взломала банк,— не подключать ее к сети.)

Эти хакеры сформировали рынок соответствующих услуг, отмечает Михаил Кондрашин, технический директор занимающейся анализом киберпреступности компании Trend Micro в России. Появившись году в 2004-м, русскоязычный хакерский андерграунд, по его словам, "кардинально изменил расстановку сил" в мире: "Теперь злоумышленникам не нужно было изобретать велосипед. Достаточно найти подходящего поставщика товара или услуги и реализовать задуманное сразу,— поясняет Кондрашин.— В результате атаки в интернете стали более сложными и многокомпонентными". Group-IB прогнозирует, что русскоязычные хакеры, получив успешный опыт атак на банки России и Украины, будут уходить в другие регионы мира.

 

ВЛАДИМИР РУВИНСКИЙ
Опубликовано 25 Марта 2017 года на сайте Коммерсант.ru
Подробнее...
Источник: http://kommersant.ru/doc/3235006

Google представила отчет о безопасности в системе Android за 2016 год

Google представила третий по счету годовой отчет о безопасности ОС Android и рассказала о предпринятых мерах для защиты более 1,4 млрд пользователей Android и их данных.

В 2016 году в Google улучшили средства блокировки опасных приложений, создали новые функции безопасности в Android 7.0 Nougat, а также сотрудничали с производителями устройств, исследователями и другими участниками экосистемы Android.

В Google создали разнообразные системы для борьбы с угрозами, например, анализаторы, которые постоянно проверяют приложения на небезопасное поведение, и функцию проверки приложений, регулярно сканирующую устройства пользователей на наличие потенциально опасных программ. Когда системы обнаруживают потенциальную угрозу, компания предупреждает пользователей, предлагая не скачивать приложение или полностью удалить его с устройства.

В Google постоянно отслеживают вирусные приложения и улучшают системы мониторинга. Это отразилось в статистике за последний год: проверка приложений выполнила 750 млн ежедневных сканирований, что на 450 млн больше, чем в 2015 году. Это позволило снизить коэффициент установки потенциально опасных приложений в 50 странах, где используют больше всего устройств Android.

Google Play по-прежнему остается самым безопасным сервисом для скачивания приложений на базе Android. Установки потенциально опасных приложений снизились практически в каждой категории.

К концу 2016 года всего 0,05% устройств, на которые устанавливали программы только из Google Play, содержали потенциально опасные приложения. В 2015 году этот показатель составлял 0,15%. Кроме того, установки опасных приложений снизились практически в каждой категории. 

Только 0,016% установленных приложений содержат «трояны». Этот показатель упал на 51,5% по сравнению с 2015 годом. Только 0,003% установленных приложений являются вредоносными загрузками. Этот показатель снизился на 54,6% по сравнению с 2015 годом. Только 0,003% установленных приложений содержат «бэкдоры». Этот показатель упал на 30,5% по сравнению с 2015 годом. Только 0,0018% установленных приложений оказались фишинговыми. Этот показатель снизился на 73,4% по сравнению с 2015 годом.

К концу 2016 года всего 0,05% устройств, на которые устанавливали программы только из Google Play, содержали потенциально опасные приложения. В 2015 году этот показатель составлял 0,15%. 

Хотя в конце 2016 года только на 0,71% всех устройств Android были установлены потенциально опасные приложения, этот показатель немного вырос с начала 2015 года, когда он составлял 0,5%. В 2017 году в Google планируют уменьшить его с помощью улучшенных инструментов и опыта 2016 года, вне зависимости от того, откуда люди скачали сервисы.

В 2016 году крупнейшими совместными проектами Google были программы ежемесячных обновлений и партнерство с сообществом, занимающимся исследованиями в области безопасности.

В 2016 году обновление системы безопасности было установлено на более чем 735 млн устройств от более чем 200 производителей. В течение года ежемесячно выпускались обновления для телефонов и планшетов под управлением Android 4.4.4 и выше. На их долю приходится 86,3% всех активных устройств Android в мире.

Google выпускает ежемесячные обновления системы безопасности для устройств Pixel и Nexus. Однако примерно половина Android-устройств, которые были активны в конце 2016 года, не получили обновления для системы безопасности в прошлом году. 

Программа поощрений Google Android Security Rewards значительно расширилась: в 2016 году было выплачено около $1 млн за обнаруженные уязвимости. 

 

Опубликовано 24 Марта 2017 года на сайте CNews.

Подробнее...

Источник: http://safe.cnews.ru/news/line/2017-03-24_google_predstavila_otchet_o_bezopasnosti_v_sisteme

Симка с деньгами. Как грабят по телефону

Номер мобильного телефона теперь не только главный идентификатор личности в интернете, но и ключ к банковскому счету, где деньги лежат. А те, кто по-прежнему считает свой мобильник просто средством связи, легко становятся жертвами мошенников.

Фото: Дмитрий Лебедев, Коммерсантъ

"Это не ваш номер"

"По вашему номеру проходит замена сим-карты. Если вы не заказывали данную услугу, то срочно обратитесь в наш контактный центр..." — такое СМС-сообщение получил 2 марта московский юрист Чермен Дзотов. Это было последнее СМС на его мобильный номер от МТС — через несколько минут сим-карта отключилась.

А дальше Чермен обнаружил, что не может зайти на свои страницы в Facebook и "ВКонтакте", в почтовый ящик на "Яндексе". "Последние три года я развивал в Facebook разные группы, например "Найдем адвоката", "Международный клуб журналистов", всего больше десятка,— рассказывает Чермен Дзотов.— Воспользовавшись привязанным номером телефона, злоумышленники сменили там пароли. Во всех группах меня лишили прав администратора. А одну из групп вообще закрыли".

Единственное, что успел сделать Дзотов,— связаться с банками и заблокировать счета, к которым также был привязан номер мобильного. Но самое обидное, что восстановить доступ к своему телефонному номеру Дзотов вряд ли сможет, ведь формально он ему никогда и не принадлежал.

"В 2010 году я приехал в Москву из Осетии поступать в аспирантуру Высшей школы экономики,— рассказывает Дзотов.— В первый же день, выйдя из метро "Чистые пруды", на ближайшем лотке сотовой связи приобрел московскую сим-карту МТС. Продавец сказал, что регистрировать ее не нужно. Что я тогда понимал? Вставил симку в мобильный и начал пользоваться".

А через семь лет, согласно версии компании МТС, в офис оператора пришел некий гражданин, который сообщил, что является владельцем номера, и, показав удостоверяющий личность документ, написал заявление о перевыпуске сим-карты.

"Это не ваш номер",— сказали Дзотову, когда он пришел в офис МТС. После запроса "Денег" в МТС начали внутреннюю проверку по этому случаю, однако при любом ее исходе вернуть номер Чермену Дзотову не удастся, так как формально владельцем изначально являлся другой человек.

Хитрый дилер

Согласно договорам с сотовыми операторами, продавшие сим-карты дилеры в течение определенного периода получают до 50% средств, внесенных пользователями на счета номеров. Формально дилер обязан при продаже сим-карты попросить у клиента паспорт, переписать его данные и зарегистрировать покупателя как владельца номера.

На практике же купить симку без паспорта можно и в интернете, и в каждом втором киоске на "Горбушке". Вариантов, на кого она будет записана, лично мне предлагалось несколько. Например, дилер готов был указать мои паспортные данные с моих же слов, "на память" — и мне ничто не мешало "вспомнить" настоящие данные другого человека. Второй вариант — симка уже зарегистрирована на юридическое лицо, на компанию-продавца. И третий: "мы зарегистрируем сим-карту на нашего сотрудника". Иногда дилеры для увеличения сбыта просто раздают всем желающим сим-карты, уже зарегистрированные на неизвестного владельца.

Абоненту достаточно пополнить счет номера. "Никакой регистрации — положи от 100 руб. и пользуйся",— пояснил мне человек, раздававший симки "Билайн" у входа в метро "Славянский бульвар".

Впрочем, возможность легализоваться — зарегистрировать на себя некогда приобретенный "анонимный" номер — имеется. "У нас в компании такая процедура существует,— рассказал "Деньгам" сотрудник клиентского офиса МТС.— Фактическому пользователю номера необходимо прийти в офис с сим-картой, написать заявление и предъявить доказательства пользования номером: квитанции о пополнении счета и т. п. После проверки номер может быть записан на него".

Симка с сюрпризом

Приобретая сим-карту у дилера, который игнорирует ее регистрацию, пользователь автоматически попадает в зону риска. Например, симка может содержать вредоносную программу — троян, который попытается украсть деньги либо со счета мобильного номера, либо с привязанного к номеру банковского счета. То есть программа будет вместо пользователя отправлять соответствующие СМС и прочие запросы, попутно стирая из памяти устройства их следы.

Не исключен вариант, когда продавец "ради удобства клиента" не просто зарегистрировал симку на себя, но и завел уже личный кабинет — в этом случае он имеет возможность распоряжаться средствами мобильного счета. Например, увести сразу всю сумму после первого пополнения счета или долгое время отщипывать от пополняемого счета понемногу, чтобы было незаметно.

Номер мобильного телефона сегодня не просто канал связи: у многих, как у Чермена Дзотова, на него завязана буквально вся жизнь.

И эта связь сохраняется, даже если номер уже ушел другому владельцу (оператор может повторно продать номер, который известное время не подает признаков жизни).

Именно на этом обстоятельстве основан относительно новый вид мошенничества.

"Известны случаи, когда злоумышленники приходили в офис сотового оператора и совершенно законно заключали договора и регистрировали на себя несколько десятков сим-карт. Потом проверяли, не осталась ли привязка номера к банковскому счету прежнего владельца,— рассказал "Деньгам" представитель управления "К" МВД РФ Александр Вураско.— Для этого просто отправляли СМС на сервисные номера популярных банков и смотрели, пришел ли ответ. Именно по такому принципу "пробивания" по списку банков действует и троян на смартфоне".

В интернете полно предложений об оптовой купле-продаже сим-карт без регистрации — такие используют хакеры для выхода в интернет, также они нужны для анонимной регистрации в соцсетях, на досках объявлений и т. д. Но для чего вывешиваются запросы на покупку действующих сим-карт — б/у, "зарегистрированных не менее трех месяцев назад"?

В марте этого года в Пермской области было завершено расследование по уголовному делу в отношении мошенницы-рецидивистки Аллы Федосеевой. Разместив объявления в соцсетях, она скупала у граждан ненужные им действующие сим-карты.

Новые симки стоят в опте 15-30 руб. Сколько предлагала гражданка Федосеева за карты б/у, неизвестно, но, видимо, для откликнувшихся жителей Татарстана, Удмуртии, Хакасии, Челябинской и Тюменской областей, а также Краснодарского края сумма оказалась интересной. Получив симку, мошенница проверяла привязку номера к банковским картам. И, если привязка обнаруживалась, через систему "мобильный банк" выводила деньги. Таким образом ей удалось похитить 9,5 млн руб. у 44 человек.

Слабое звено

Сейчас сим-карты продаются без предустановленного запирания на пин-код. А сами пользователи теперь пин на симку чаще всего не ставят, ограничиваясь общим паролем для доступа в смартфон. Казалось бы, элементарная вещь, но про нее все забыли.

"Когда села в электричку, обнаружила, что у меня пропал телефон,— рассказывает москвичка А.— Но я особо не волновалась — ни позвонить, ни отправить СМС вор не сможет, так как вход в смартфон защищен паролем". К тому моменту, когда А. добралась до дома и все-таки позвонила в свой банк, преступники уже успели увести деньги с ее счета: просто переставив незащищенную пином сим-карту в другой телефон.

Но даже самый осторожный и предусмотрительный пользователь абсолютно не защищен от риска, связанного с человеческим фактором: у сотового оператора сотни офисов по всей стране, и где-нибудь обязательно найдется слабое звено.

Известна масса случаев, когда у абонента блокировался номер, потому что где-то в другом городе в офис оператора поступило заявление на перевыпуск симки — якобы от самого владельца номера.

Пока человек разбирается, почему у него отключена сотовая связь, пока связывается с банком, преступники успевают похитить деньги. Причем симки с некоторыми номерами перевыпускались многократно — мошенники обращались с заявлениями в офисы в разных городах.

Порой здесь не обходилось без преступного сговора с сотрудником компании-оператора — симки выдавались, хотя личность владельца номера никак не удостоверялась. "Было такое,— подтвердил сотрудник "Билайна", пожелавший остаться неизвестным.— Наши с этим очень жестко разбирались — даже уголовные дела на сотрудников офисов заводили". А бывали истории, когда мошенник являлся в офис оператора с липовой доверенностью, якобы выданной хозяином сим-карты.

Список документов, удостоверяющих личность владельца номера, у крупнейших операторов ("Билайн", МТС, "МегаФон") примерно одинаковый. Помимо паспорта это военный билет (только для военнослужащих срочной службы) и удостоверение личности моряка. Заменой паспорта может служить "временное удостоверение личности гражданина РФ по форме 2П" — справка, выдающаяся на время переоформления паспорта.

Эту справку легко подделать, и именно ее предъявляли мошенники при запросе на перевыпуск карты в большинстве известных случаев.

С недавних пор процедура идентификации усложнилась. Например, у МТС к справке 2П необходимо приложить "дополнительный документ с фотографией (загранпаспорт, водительское удостоверение, социальную карту, УЭК, пенсионное удостоверение, удостоверение личности моряка, удостоверение личности военнослужащего, военный билет)".

Остановит ли это мошенников? Изготовление поддельных водительских прав, то есть ламинированной карточки с фото, обходится не дороже 1 тыс. руб. Не говоря уже о липовой социальной карте — куске пластика с фотографией. Кстати, именно по этой причине сами по себе водительские права не внесены сотовыми операторами в список документов, удостоверяющих личность.

Однако соблюдают ли сотрудники компаний эти внутренние инструкции? "Хочу обменять симку на новую, с поддержкой 4G. Паспорт дома, но есть водительские права" — с этой легендой я обошел несколько офисов мобильных операторов в крупном торговом центре. Почти во всех мне наотрез отказали — лишь в одной точке менеджер согласился помочь.

Но и он подстраховался — проверил, совпадает ли регион выдачи водительского удостоверения с регионом регистрации абонента, сверил дату рождения.

Однако заметим, что эти сведения далеко не секретные для того, кто подделает права конкретного гражданина.

Допускаю — если бы я еще погулял по столице, нашел бы и другие слабые звенья. А уж в провинции, думаю, проблем бы вообще не было.

Операторы против мошенников

Чтобы снизить риски мошенничества при перевыпуске сим-карт, сотовые операторы внедряют специальные регламенты. "Для гарантированного предотвращения хищения средств с банковского счета "МегаФон" разработал и предлагает банкам специальную услугу "Статус", которая позволяет любому банку осуществлять ряд проверок: была ли замена сим-карты, где находится клиент, менял ли он телефонный аппарат и т. п. И по итогам этих проверок подтверждать или не подтверждать операции перевода средств",— рассказала "Деньгам" руководитель пресс-службы "МегаФона" Юлия Дорохина.

"В 2014 году у нас запущено СМС-уведомление на новую и старую сим-карты при замене последней, блокировка на одни сутки входящих и исходящих СМС-сообщений при замене сим-карты по доверенности, а также блокировка на двое суток на вывод денежных средств с лицевого счета в рамках сервиса мобильной коммерции при замене сим-карты. Такие сроки позволяют реальным владельцам сим-карт принять меры для блокировки своих счетов и ставят заслон мошенникам, которые, как правило, выводят денежные средства в первые часы после подмены сим-карты",— говорит пресс-секретарь группы МТС Дмитрий Солодовников.

В "Билайне" сообщили об аналогичной суточной блокировке СМС, а также о суточном запрете на оплату товаров и услуг с баланса перевыпущенной сим-карты.

По словам Солодовникова, с целью борьбы с мошенничеством компания МТС технически готова предоставлять информацию о смене сим-карты напрямую банку — уже разработан специальный продукт. Однако действующее законодательство о персональных данных содержит ограничения для предоставления подобной информации банкам.

то касается пользователей, им рекомендуется сразу при заключении договора с оператором установить ограничения на перевыпуск сим-карты: запретить действия по доверенности и замену паспорта любым иным документом, включая справку 2П.

Интимный момент

Но самая лучшая защита, хотя тоже не стопроцентная,— завести для финансовых операций отдельный номер. Соответственно, если он не будет использоваться для звонков, не засветится в интернете, потенциальные злодеи вряд ли узнают о его существовании.

Установить сим-карту с этим интимным номером необходимо в отдельный аппарат, который ни для чего иного, кроме мобильного банкинга, использоваться не будет.

И если для СМС-сервисов не требуется специальное приложение в смартфоне, лучше всего выбрать самый простой кнопочный телефон — в нем вирусы точно не поселятся.

"В связи с массовым распространением смартфонов и активным использованием их для интернет-банкинга фактически была разрушена идея двухфакторной идентификации,— рассказал "Деньгам" эксперт, пожелавший остаться неизвестным.— Раньше один пароль приходил по e-mail на компьютер, а второй в виде СМС — на телефон, каналы были полностью независимы. Сейчас же, когда и e-mail, и СМС приходят на одно устройство, их перехватит один и тот же троян".

По данным компании Group-IB, с апреля 2015 по март 2016 года при помощи троянов для ОС Android со счетов российских пользователей было похищено около 350 млн руб.

Разумеется, трояны, прячущиеся на сим-картах,— редкость по сравнению с теми, что скачиваются вместе с непроверенными приложениями из интернета. Например, в 2016 году подобная вредоносная программа распространялась вместе с фальшивой версией прошлогоднего хита — игры Pokemon Go. К моменту разоблачения мошенничества это приложение было скачано на более чем 500 тыс. устройств, существенная часть которых находилась в России.

 

АЛЕКСЕЙ БОЯРСКИЙ
Опубликовано 11 Марта 2017 года на сайте Коммерсант.ru
Подробнее...
Источник: http://kommersant.ru/doc/3229055 

 

 

 

Все для удобства: криптосервисы осваивают облака и телефоны

В связи с ростом интереса компаний к защите данных от киберугроз все более актуальной становится тема сертифицированных и претендующих на сертификацию криптосредств. В силу того, что регулирование этой отрасли имеет национальную специфику почти во всех странах, законы развития и тенденции нашего рынка по-своему уникальны.

Криптографическому софту, используемому для работы с электронной подписью и шифрованными документами, давно стало тесно и одиноко на персональном компьютере. В погоне за большей защищенностью и удобством использования, да и просто отдавая дань моде, разработчики предложили страдальцу несколько компаньонов: криптосредства теперь доступны в облаках, на мобильных устройствах и в «продвинутых» токенах и смарт-картах.

Первые два вида решений – облачные и мобильные – претендуют на полноценную замену криптографии на ПК, тогда как токены и смарт-карты с криптографией «на борту» являются хорошим дополнением к привычному криптосредству. Ведь каким бы защищенным ни был носитель со встроенной криптографией, каким бы неизвлекаемым ни был ключ в этом устройстве, часть критичных функций все равно будет выполняться на компьютере, смартфоне или планшете, к которому подключен носитель. Отображение подписанного документа, построение и проверку цепочки сертификатов, быстрое симметричное шифрование осуществить на носителе невозможно, поэтому полноценным, функционально законченным средством криптозащиты информации такое устройство являться не может.

«Производители часто заявляют, что при использовании их устройства не требуется установка криптопровайдера на рабочую станцию, однако, например, для работы в ЕГАИС с токеном необходимо установить некий «единый клиент», размер дистрибутива которого составляет более ста мегабайт. Пользователю остается только радоваться тому, что в этом клиенте точно нет криптопровайдера», – отмечает коммерческий директор «КриптоПро» Юрий Маслов.

В данной статье мы подробно рассмотрим криптосредства для мобильных устройств, однако попутно не преминем напомнить, что наибольший потенциал в современной индустрии ИТ имеют гибридные «облачно-мобильные» решения. Ведь львиную долю своих возможностей смартфон и планшет раскрывают при совместном использовании с различными облачными сервисами. Но на самом деле и этого мало при работе с документами. На мобильном устройстве, при всех его достоинствах, удобно потреблять, но неудобно создавать контент. На устройстве с большими экраном и клавиатурой во много раз легче набрать несколько предложений текста, не говоря уже об электронных таблицах, чертежах и другом контенте. Поэтому в выигрыше окажутся решения на стыке трех миров – «облачно-мобильно-десктопные».

Создаваемые для мобильных платформ криптографические решения разделились на два класса. С одной стороны, развивается рынок законченных средств для работы с электронной подписью и с конфиденциальными данными для мобильных устройств. С другой стороны, расширяется спектр решений для использования телефона или планшета в качестве ключевого носителя при работе с криптосредством на ПК или в облаке.

Законченное мобильное криптосредство

При реализации полноценных криптосредств на мобильных платформах приходится решать целый ряд вопросов, нехарактерных для «больших» компьютеров. И речь даже не о меньших аппаратных ресурсах – для российских криптоалгоритмов разработано немало техник, позволяющих строить сбалансированные по производительности решения при самых разных ограничениях.

Во-первых, на мобильных устройствах существенно труднее найти подходящий источник случайности или сделать удобный биологический датчик случайных чисел. Во-вторых, из-за ограничений операционной системы с идеологией «песочницы» сложнее обеспечивать контроль целостности установленного криптосредства и обеспечивать защиту сетевых соединений. В-третьих, в той же модели нарушителя по причине «мобильной» специфики использования устройств возникают новые угрозы.

Для еще большей мобильности криптосредство должно поддерживать работу с ключевыми носителями по беспроводным интерфейсам, таким как NFC и Bluetooth. В этом случае нарушитель имеет доступ к каналу связи между устройством и ключевым носителем. Необходимо обеспечить защиту этого канала, не жертвуя при этом безопасностью, но и не заставляя пользователя вручную вводить длинный ключ вместо привычного пароля в восемь символов. Разработка и анализ математических методов решения этой задачи в настоящее время закончены в Техническом комитете «Криптографическая защита информации» (ТК 26), результатом является протокол, представленный в рекомендациях по стандартизации «Протокол выработки общего ключа с аутентификацией на основе пароля». Его встраивание в криптосредства позволит более не делить ключевые носители с беспроводным доступом на удобные и безопасные.

Телефон – ключевой носитель

В последние годы наблюдается общемировая тенденция по переносу пользовательских ключевых данных в телефоны. Это действительно удобно – вместо телефона и токена достаточно носить только одно устройство, которое и так «всегда со мной». Конечно, телефон при этом надо беречь как ключевой носитель, но уж раз в США, Японии и Великобритании люди готовы переходить на Apple Pay и Android Pay и хранить мобильник бережнее кошелька, то и с ключом электронной подписи в телефоне они справятся.

Такие решения позволяют в привычном ПО на рабочем компьютере ставить электронную подпись или аутентифицироваться с помощью ключа в телефоне, который подключается к криптосредству защищенным образом поверх Bluetooth, Wi-Fi или через обыкновенный провод.

Алексей Баранов, генеральный директор компании «Индид» считает, что: «Здесь проявляется преимущество мобильного устройства перед обычным ключевым носителем – оно может отобразить подписываемый документ на своем экране перед операцией подписи. Таким образом нейтрализуется возможная вирусная атака в виде подмены документа на компьютере пользователя».

На новом витке развития этих решений телефон-носитель подключается не к рабочему месту пользователя, а к облачному криптосредству. Работая в тандеме с «умным» мобильным устройством, облачный криптографический сервис позволяет полностью отказаться от установки чего-либо на ПК для подписания документов. Подготовленный любым способом документ отправляется в облако, возможно даже по недоверенному каналу, после чего пользователь проверяет на экране телефона содержимое документа и подтверждает операцию подписи. Для всего многообразия ПО, которое пока не умеет работать с облачной криптографией, можно установить «прослойку» в виде криптопровайдера, который перенаправляет все необходимые вызовы в облако и возвращает результат стандартным образом.

Однако «правильный» облачный криптосервис сам умеет хранить ключи пользователей и осуществлять операции с ними, и для такого сервиса наличие ключа подписи в телефоне кажется избыточным. Желая избавиться от него, но при этом оставить личное мобильное устройство как средство подтверждения пользователем операций с его ключом в облаке, мы переходим от парадигмы «телефон-ключевой носитель» к парадигме «телефон-аутентификатор». Для решения этой задачи на мобильном устройстве достаточно использовать только симметричные криптографические алгоритмы – в первую очередь, коды аутентификации сообщения (MAC).

«Отказ от полнофункционального криптосредства в мобильном приложении сильно облегчает экспорто-импортные процедуры для публикации такого приложения в магазинах Google и Apple, что может стать решающим фактором для широкого принятия рынком», – комментирует Денис Калемберг, генеральный директор компании SafeTech. И такие решения тоже не за горами.

А что если не смартфон?

Но что делать, если в качестве мобильного устройства выступает простенький телефон без «полноценной» операционной системы? Логично тогда использовать то единственное, что остается универсальным – SIM-карту.

Казалось бы, SIM-карта – это та же смарт-карта. Установи на нее Java-апплет, реализующий работу с ключами подписи, и задача решена. Однако не все так просто. Программная реализация алгоритма подписи на Java будет работать бесконечно долго, а сопроцессора с нужными для российской криптографии примитивами на дешевых SIM-картах для массового рынка нет. Использование более дорогих SIM-карт возможно, но на этапе сертификации необходимо предоставить полные исходные коды криптосредства, что может оказаться затруднительно, особенно для зарубежных поставщиков.

К счастью, здесь на выручку приходит тот же облачный криптосервис. Беря на себя всю «тяжелую» часть, он требует от SIM-карты только аутентификации операции подписи. Эта схема соответствует идеологии «телефон-аутентификатор», о которой мы уже говорили. SIM-карта, получив команду от сервиса подписи, отображает на экране телефона выжимку из подписываемого документа и в случае подтверждения пользователем отправляет обратно код аутентификации, вычисленный с помощью симметричного ключа. В отличие от подписи, приемлемой скорости вычисления кодов аутентификации можно достичь и без использования криптосопроцессора карты, и даже на недорогой SIM-карте для массового рынка.

Так и получается, что криптография и на «умных» мобильных устройствах, и на обычных телефонах гораздо лучше себя чувствует при поддержке со стороны облачного криптосервиса. Пользователи при этом получают еще более удобное и безопасное решение, а границы применения криптографии существенно расширяются.

Павел Смирнов, Станислав Смышляев, компания "КРИПТО-ПРО".

Опубликовано 12 Января 2017 года на сайте CNews.

Подробнее...

Источник: http://www.cnews.ru/articles/2017-01-12_kriptograficheskie_servisy_zahva...

Страницы