Читать книгу Журнал PC Magazine/RE №9/2012 - PC Magazine/RE - Страница 10

Trusteer Rapport: мошенникам места нет

Игорь Новиков

Система сетевой безопасности

Trusteer Rapport: все соединения под контролем

Trusteer Rapport

Рекомендуемая изготовителем цена: 400 руб. (за 1 пользователя).

Trusteer, www.trusteer.com; TopSecurity, www.tsecure.ru

Оценка: очень хорошо

Достоинства. Защита от взлома и фальсификации, предотвращение разведывательных атак, атак социальной инженерии, кражи учетных и персональных данных. Быстро внедряется, не требует изменений Web-приложений.

Недостатки. Настройка требует некоторых знаний, связанных с Сетью.

Про вирусы сегодня знает каждый школьник. Однако, когда речь заходит о сетевом мошенничестве или «фроде» (fraud), далеко не все считают нужным предпринимать специальные меры предосторожности. Многие ли обращают внимание на значки, которые оставляет fraud-фильтр в почтовом клиенте рядом с письмами сомнительного содержания?

Причина пренебрежения к этой угрозе объясняется ее природой – данное явление возникло на стыке технологий и социальной инженерии. Такие атаки учитывают психологию людей и уровень (недостаточный) их технической подготовки, тем более что масштабы бедствия не очевидны для рядовых пользователей. По разным данным, в настоящее время фишинговые угрозы связаны с работой финансовых учреждений, остальная часть затрагивает деятельность провайдеров, работу Интернет-магазинов, электронного правительства, онлайновых игр. Например, компании «МегаФон» за первое полугодие 2012 г. пришлось вернуть на счета своих абонентов более 22,5 млн. руб., компенсируя ущерб от мошенничества. Что же может помочь в таких ситуациях?

Один из способов борьбы – использование системы Trusteer Rapport, предназначенной для защиты от разных видов фрод-угроз. В первую очередь эта система может заинтересовать банки, несмотря на то что система универсальна и может применяться для любых прикладных задач. Ею может воспользоваться и ИТ-практик, который готов разобраться в особенностях применения системы прав в Windows, видах угроз, чтобы отличить мошеннические действия от передачи легального контента. Эти знания требуются, чтобы установить и настроить эту программу. Дальнейшая работа в защищенной среде доступна любому пользователю.

Rapport – не антивирус, эта система обеспечивает защиту канала взаимодействия пользователей между браузером и Web-сервером с помощью шифрованного туннеля. Кроме того, контролируется внутренняя целостность самого браузера, чтобы исключить перехват информации, например, с помощью вредоносного JavaScript или других атак такого типа. Rapport также защищает от фишинга, проверяя сертификат сайта, с которым пытается установить контакт браузер, и в случае подозрений на фишинг блокирует передачу конфиденциальных сведений на посторонний сайт.

Первая функция Trusteer Rapport, которую мы изучили, – защита от фишинга. Trusteer Rapport не только обеспечивает защиту, но и позволяет установить правила активной защиты, благодаря которым можно выявлять новые фишинг-сайты в реальном времени. Данные для настройки могут поступать от службы безопасности компании, а также приходить с сообщениями от клиентов и сотрудников, использующих ту же программу.

Для тестирования мы выбрали тип виртуальной фишинг-атаки, когда мошенник создает новый фишинг-сайт для банка и распространяет ссылки на него. Такой сайт может быть связан в реальном времени с настоящим банковским сайтом, что позволяет мошеннику обойти мощные двухфакторные системы аутентификации, используемые банком для защиты онлайнового контента. Опасность состоит в том, что в процессе регистрации фишинг-сайт пытается запросить у клиента ту же информацию, которую запрашивает легальная система. Затем мошенник передает полученные данные на сайт банка и отдает управление клиенту, получив все секретные данные. Не заметить такую фишинг-атаку легко, тем более что все последующие операции клиент проводит на легальном Web-ресурсе.

Что в этом случае делать? Данные регистрации клиента уже сохранены у преступников, и мошенники могут пользоваться счетом клиента как своим собственным. Но доказать, что последующие обращения к сайту совершались не клиентом, а кем-то еще, будет практически невозможно. Конечно, остается еще один форпост защиты – подключенная функция SMS-оповещения. Однако в случае кражи мобильного телефона клиента эта защита тоже исчезает.

Без такой программы, как Trusteer Rapport, обойтись в этой ситуации сложно. Программа создает специальный значок в поле адреса ввода и с его помощью показывает уровень доверия к текущему Web-сайту. Но даже если клиент не обратил внимания на отличие цвета значка на защищаемом сайте от дозволенного и начал вводить персональные данные (логин и пароль) в Web-форму, Trusteer Rapport остановит процесс и попросит подтвердить их передачу, если обращение производится к неизвестному источнику. Никакие подмены в адресе онлайнового ресурса теперь не страшны.

Проверка защиты от атаки типа «человек посередине» также показала высокую эффективность Trusteer Rapport. Известно, что сегодня в распоряжении мошенников имеется вполне реальная возможность вклиниться между клиентом и Web-сайтом. Несмотря на применение SSL-кодирования в канале передачи данных, злоумышленник может перехватить их трафик и открыть новый SSL-сеанс с адресатом, будто вас попросили шепотом сказать пароль, а вы громогласно произнесли его на публику. При наличии Trusteer Rapport такой «фокус» не пройдет: обнаружив подобную ситуацию, программа выдаст на экран предупреждение о недействительности применяемого сертификата, контролирующего доступ к защищенному онлайновому ресурсу. Если клиент предупрежден, значит, он защищен.

Еще одна опасность – мошенничество типа «человек в браузере» (Man-in-the-Browser). Для проверки этой защиты мы установили специальный BHO-модуль в браузер. Это может сделать любой пользователь. Но при установке антивирусная программа, скорее всего, предупредит его об изменениях. Кажется, что проблемы нет: устанавливаемый BHO-модуль может предлагать вполне «законную» функцию, например просмотр видео или торрент-загрузку. Однако после завершения установки антивирусная программа становится бессильной перед атаками, поскольку BHO-модуль был внесен с полного согласия пользователя. В Windows модули ВНО и панели инструментов имеют полный доступ к браузеру, включая способность считывать любую уязвимую информацию (имена пользователей, пароли, операции смены ключа, Web-страницы). До активизации Rapport защиты нет: мошеннический ВНО-модуль может делать все, что ему хочется. Однако после установки Rapport он больше не может действовать на сайте Интернет-банкинга. Установленная Rapport защита также не позволяет произвести атаку, когда вредоносный код поступает через содержимое Web-страниц. Если на машине клиента доступ к DOM-модели браузера разрешен, то мошенники могут заменить содержание считываемых из Интернета страниц и захватить информацию, которая там размещается. Rapport блокирует внешние программы, которые осуществляют доступ в DOM Web-документа браузера во время сеанса работы с защищаемым Web-ресурсом.

При испытании мы также проверили устойчивость продукта к «традиционным» способам кражи персональных данных: считыванию сеансовых cookie-файлов и перехвату ввода с клавиатуры. Мошенники знают: клавиатура «работает» всегда, а вводимые через нее данные передаются между программными модулями. То же самое касается cookie-файлов – ни один сайт, в том числе защищенный, не может сегодня без них нормально работать. Rapport, тем не менее, способен защитить и в такой ситуации. Он поступает с мошенниками так же, как они действуют сами: всем «непрошеным гостям» выдаются данные, отличающиеся от оригинала, и мошенники идут по ложному пути.