Криптошлюз fin-TrusT

Курс повышения квалификации специалистов, работающих в области обеспечения безопасности значимых объектов критической информационной инфраструктуры по программе, согласованной с ФСТЭК России

Довольно быстро исчезли сомнения в том, что финансовые организации в большинстве своем попадают в зону действия нормативной базы, касающейся критических информационных инфраструктур. Краткий обзор, который может служить своего рода путеводителем по наиболее важным документам в этой области, можно прочитать здесь. Криптошлюз fin-TrusT, построенный на защищенной платформе m-TrusT предназначен для защиты сетевой коммуникации в финансовой организации, система которой категорирована как КИИ.

В подавляющем большинстве КИИ, не только финансовых организаций, непременной частью системы защиты сетевого взаимодействия являются средства криптографической защиты информации (СКЗИ), поскольку объекты КИИ в основном взаимодействуют по сетям общего доступа, причем с использованием стандартных цифровых каналов типа WiFi, BlueTooth и LTE. Изменение порядка взаимодействия с построением выделенных защищенных каналов не всегда возможно в принципе, а когда и возможно – то влечет за собой весьма продолжительные и дорогостоящие работы, несопоставимые с внедрением СКЗИ (откровенно говоря, даже не смешно представить себе такую постановку задачи для стоящего «в чистом поле» банкомата). Со стороны СКЗИ же, в свою очередь, предъявляются требования к СФК, условиям хранения и применения ключей и т. п., об этом уже говорилось не мало.

Если рассматривать в качестве примера объекта КИИ банкомат, то там сегодня все устроено на первый взгляд довольно просто. В его составе есть диспенсер (в нем лежат деньги и из него деньги выдаются), компьютер и периферийное оборудование. Компьютер взаимодействует с процессинговым центром (например, по IP-протоколу), и USB-кабелями соединен с диспенсером и другим периферийным оборудованием.

Подробнее про банкоматы

При работе с банкоматом с пластиковой карты считывается ее номер, с клавиатуры – PIN, все это передается в процессинговый центр, где и выполняется авторизация. Если все в порядке – проверяется запрашиваемая сумма. Затем компьютером банкомата формируется команда на выдачу денег, которая передается в диспенсер. Из защитных механизмов здесь используется только один – диспенсер размещен в сейфе.

Такого очень упрощенного описания уже достаточно, чтобы рассмотреть возможные атаки и методы защиты от них.

Атака на канал взаимодействия с процессинговым центром

Атака может быть реализована примерно так – вставляется любая карточка, вводится любой PIN, из процессингового центра приходит сигнал отказа в авторизации, но вот он и подменяется сигналом успешной авторизации. При этом злоумышленнику достаточно иметь возможность вмешаться в работу канала, изменять логику работы банкомата необходимости нет.

Атака имитацией сигнала на выдачу денег

Обращаем внимание на абзац, где условно описана работа банкомата, а именно на ту часть, где говорится, что команда на выдачу денег, которую исполняет диспенсер, формируется компьютером банкомата. А почему бы тогда злоумышленнику не использовать другой компьютер? Например, принести с собой ноутбук, отключить USB-кабель диспенсера от компьютера банкомата, подключить его к принесенному ноутбуку и подавать команды вида «дай 5000 рублей»? Естественно, диспенсер выполнит команду, если ее подать в нужном формате. Но это, конечно, дело техники, и никакого труда не представляет.

Эта же атака может быть реализована и по-другому. Так, злоумышленник может внедрить закладку в компьютер банкомата (это несложно сделать, например, при выполнении профилактических работ). Логика работы вредоносной программы может быть любой, например, при предъявлении определенной легальной карты может запрашиваться подтверждение на выдачу 100 рублей, а выдаваться вполне может значительно больше.

Казалось бы, разные атаки, но они отличаются только нюансами реализации. Суть одна – на диспенсер подается команда, сформированная нештатными программными средствами.

Атака имитацией сигнала на прием денег

Современные банкоматы не только выдают деньги, но и принимают их. Подсчитывают купюры, размещенные в приемнике купюр, вычисляют сумму, эта информация передается в процессинговый центр и зачисляется на счет клиента. На этом вполне может быть основана очень опасная атака – например, клиент вносит 100 рублей, а действиями закладки на его счет заносится значительно большая сумма – например, 100 000. Даже не ясно, можно ли будет этого клиента привлечь к ответственности (если поймают) – денег-то он не брал!?

Сбор критичной информации пользователей

Если вредоносная программа внедрена, то что может помешать ей запомнить все номера карт и PIN в один день, и все запросы на выдачу денег повторить в другое время по внешней команде – например, по предъявлению какой-то конкретной карты? Или просто передать эту информацию злоумышленникам, и кто знает, как они ею распорядятся?

Представляется, что такое перечисление возможных атак уже содержит ответ на извечный вопрос: «Что делать?».

Надо защитить каналы – как от процессингового центра к компьютеру, так и от компьютера к диспенсеру, и обеспечить целостность программно-аппаратной среды компьютера.

Нельзя сказать, что сегодня ничего из этого совершенно не делается. Конечно, некоторые меры принимаются. Как правило (не станем утверждать, что всегда), только для защиты канала между процессинговым центром и компьютером банкомата. И тех мер, что принимаются в большинстве случаев, явно не достаточно для удовлетворения требований к КИИ.

Фактически, в части защиты сетевой коммуникации все специфичное в требованиях к КИИ сводится к тому, что при взаимодействии с использованием сетей общего доступа каждый узел должен быть защищен СКЗИ высокого класса. Все остальное – следствия из этого обстоятельства или детали сертификационных требований. О последних можно прочитать в справочном разделе в конце этой главы, а вот на следствиях из необходимости оборудовать каждый банкомат (и не только их) СКЗИ, сертифицированным на высокий класс, в двух словах стоит остановиться здесь.

Неприемлемо использовать для этого установленный на компьютер в банкомате программный VPN. Даже в случае, если для него создана и поддерживается СФК, это неприемлемо потому, что при обслуживании в ПО этого компьютера могут быть внесены изменения, нарушающие СФК, а проведение в каждом случае соответствующих проверок – просто невозможно организационно, работа остановится. Более того, нет никаких гарантий, что непредсказуемые изменения – например, замена компьютера на свой, улучшенный – не будут произведены, например, при работах вообще не с компьютером, а с диспенсером.

Ситуация выглядит несколько лучше при использовании аппаратного шлюза, однако, если смотреть правде в глаза, отечественные сертифицированные устройства в этом качестве не используются. Причины на это, в общем, объективные. Они без слов понятны по рисунку, на котором показано, как выглядят криптошлюзы для защиты сетевой коммуникации на класс КС3.

Средства защиты сетевой коммуникации на КС3, внешний вид

 

Не то что бы их нельзя было установить в каждый банкомат, но они дороги, избыточны по своим характеристикам, очень велики по размеру и подвержены множеству уже хорошо разработанных и постоянно появляющихся новых атак.

Использование же импортных устройств подходящего размера неприемлемо по причине их несоответствия требованиям регуляторов.

Еще одна задача, которая стоит перед производителем криптошлюза для объекта КИИ (в частности, банкомата), связана уже не с требованиями, а с техническими особенностями этих объектов – она заключается в том, чтобы поддержать множество разнообразных интерфейсов.

Примеров таких СЗИ для защиты сетевой коммуникации в инфраструктуре, включающей разнообразное оборудование, взаимодействующее разнообразным образом по различным каналам, на сегодняшний день не много, но они есть. Так, можно использовать криптошлюз fin-TrusT. Это российское решение на базе защищенной интеграционной платформы MK-И. MK-И – это микрокомпьютер Новой гарвардской архитектуры m-TrusT и интерфейсная плата для его коммутации с сетевой инфраструктурой, которая может включать в себя самые разные типы оборудования. Поэтому интерфейсные платы делаются различными, а сам микрокомпьютер m-TrusT – универсальный, его форм-фактор не зависит от предполагаемого места установки.

Остановимся в двух словах на том, почему это важно, ведь, казалось бы, это касается только нюансов производства. Важно это потому, что изменения интерфейсной части не влияют на вычислительную часть компьютера, а это снимает основные сложности, вызываемые адаптацией серийного продукта – возможное внесение новых ошибок или дефектов, необходимость повторных проверок или сертификации и т. п.

В зависимости от архитектуры сети в качестве ответной части решения может использоваться такое же устройство в исполнении в стойку (если требуется небольшое количество подключений и ресурсы сервера VPN избыточны) или обыкновенный сервер VPN, стоимость которого ощутимо выше.

Криптошлюз функционирует прозрачно для пользователя, не добавляя никаких действий в его привычный набор действий.

Каждый микрокомпьютер «m-TrusT» является точкой сбора информационных и/или управляющих сигналов от ПКО, их шифрования для передачи по каналам связи, а также приема зашифрованных сигналов из каналов связи и их расшифровкой.

Типовые характеристики микрокомпьютеров и интерфейсный плат приведены на родительской страничке.

Наличие собственной ОС и вычислительных ресурсов позволяет обеспечить достаточную для защиты сетевого взаимодействия производительность (возможна защищенная передача видеосигнала с камер без ощутимого снижения качества изображения) и высокий уровень защищенности. Особенностями m-TrusT является наличие датчика случайных чисел и размещение ПО в памяти с физически устанавливаемым доступом read only (только чтение), что исключает вредоносное воздействие на ПО и обеспечивает неизменность среды функционирования средств криптографической защиты информации. Ресурсы m-TrusT позволяют обеспечить СФК, позволяющую сертифицировать вариант исполнения СКЗИ на m-TrusT на класс КС3. Помимо Новой гарвардской архитектуры защищенность платформы обеспечивается РКБ и СДЗ, сертифицированным ФСТЭК России.

Встроенное по умолчанию в fin-TrusT СКЗИ – DCrypt от компании ТСС – сертифицировано ФСБ России.

Возможна разработка интерфейсных плат для разнообразных типов разъемов, с учетом уже имеющегося опыта внедрения на транспорте, мы уверенно говорим о том, что эта задача решается с положительным результатом в разумные сроки. Для банкоматов, как показала практика, удобным может быть исполнение в едином корпусе, так как частого переоборудования в этом случае не требуется, а корпус в то же время снижает возможное воздействие внешних условий, которые могут быть довольно разнообразными у банкоматов, установленных вне помещений.

Разумеется, за счет описанных особенностей МК-И, построенный на нем криптошлюз fin-TrusT может поддержать любой из вариантов связи с процессинговым центром, или даже все их одновременно, причем с дублированием каждого канала (несколько шнурков Ethernet, несколько sim-карт для мобильного Интернета и т. д.), с тем чтобы во время работы использовать тот, что доступен в данный момент и в данном месте.

Разумеется, не всегда уместно использование СЗИ именно такого форм-фактора. Обычно оборудование, обрабатывающее данные с ПКО, представляет собой обыкновенные сервера в серверных стойках, размещенных стационарно и не имеющих каких-либо значительных конструктивных особенностей. И для этого элемента инфраструктуры финансовой организации больше подойдет исполнение «в стойку».

При этом технически – не считая корпуса – это одно и то же оборудование, оно работает, эксплуатируется и обслуживается одинаково – при подключении подразделения к ЦОДу, удаленного офиса к головному или банкомата к процессинговому центру.