В планируемой к выпуску новой версии 382-П одно из основных изменений коснулась требования по фиксации действий клиентов, осуществляющих перевод денежных средств. Это по сути проект 262-П, который вызвал немало вопросов в свое время, перенесенный в 382-П и выпавший из под контроля Росфинмониторинга. В 382-П необходимо будет фиксировать "идентификационную информацию, используемую для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства".
Вот тут самое интересное. Если посмотреть на мотивацию добавления такого требования, то оно направлена на борьбу с отмыванием денежных средств, полученных преступным путем, а также на борьбу с иными протиправными действиями. При борьбе с мошенничеством в системах ДБО также требуется фиксация такой информации. Но такое требование, если посмотреть правде в глаза, не сильно поможет в борьбе с реальными злоумышленниками; по крайней мере, компьютерными злоумышленниками.
Во-первых, все мы знаем, что злоумышленники переводят деньги не со своего компьютера, а с взломанного компьютера жертвы. Либо используя его как промежуточный узел, либо через троянца, действующего по заранее заданного сценарию и, если и имеющего связь с серверами управления, то одностороннюю (в любом случае установить реальную личность злоумышленника в этом случае невозможно).
Во-вторых, IP- или MAC-адрес легко подменить. Либо путем прямой манипуляции с компьютером, либо путем ARP Spoofing'а, IP Spoofing'а и других аналогичных сценариев. С номером телефона, идентификатором телефона (IMEI), серийным номером SIM-карты ситуация сложнее, но как оказывается и они могут быть подменены. Например, недавно, после обнаружения вредоносной программы Pincer для Android, эксперты из Sourcefire Vulnerability Research Team проанализировал и код Pincer и, основываясь на его коде, смогли подменить IMEI, телефонный номер, модель телефона.
Эксперты из Sourcefire не тестировали свой код на стабильность, но могу предположить, что в случае с умышленной несанкционированной активностью этим исследованиям могут дать соответствующее развитие и тогда идентифицировать мобильные устройства (пока только на базе Android), участвующие в мошеннических схемах, будет затруднительно. Да и вообще этот процесс можно автоматизировать так, чтобы идентифицирующие признаки менялись очень часто, что еще больше затруднит деятельность специалистов по защите информации.
Собственно, получается что большого смысла все попытки фиксировать IP, MAC, IMEI, номер телефона и т.п. не имеют. Злоумышленники могут их легко обойти, а вкладывать инвестиции в более надежные способы нецелесообразно. Особенно в условиях, когда даже обнаруженный и пойманный злоумышленник может выйти сухим из воды из-за пробелов в отечественном законодательстве. Мне кажется, что для борьбы с мошенниками все силы надо бросать на изменение Уголовного и Уголовно-процессуального кодексов, а также на обучение сотрудников правоохранительных и судебных органов. Технические меры безусловно важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится.
Вот тут самое интересное. Если посмотреть на мотивацию добавления такого требования, то оно направлена на борьбу с отмыванием денежных средств, полученных преступным путем, а также на борьбу с иными протиправными действиями. При борьбе с мошенничеством в системах ДБО также требуется фиксация такой информации. Но такое требование, если посмотреть правде в глаза, не сильно поможет в борьбе с реальными злоумышленниками; по крайней мере, компьютерными злоумышленниками.
Во-первых, все мы знаем, что злоумышленники переводят деньги не со своего компьютера, а с взломанного компьютера жертвы. Либо используя его как промежуточный узел, либо через троянца, действующего по заранее заданного сценарию и, если и имеющего связь с серверами управления, то одностороннюю (в любом случае установить реальную личность злоумышленника в этом случае невозможно).
Во-вторых, IP- или MAC-адрес легко подменить. Либо путем прямой манипуляции с компьютером, либо путем ARP Spoofing'а, IP Spoofing'а и других аналогичных сценариев. С номером телефона, идентификатором телефона (IMEI), серийным номером SIM-карты ситуация сложнее, но как оказывается и они могут быть подменены. Например, недавно, после обнаружения вредоносной программы Pincer для Android, эксперты из Sourcefire Vulnerability Research Team проанализировал и код Pincer и, основываясь на его коде, смогли подменить IMEI, телефонный номер, модель телефона.
До и после изменения идентификационных данных на Android |
Эксперты из Sourcefire не тестировали свой код на стабильность, но могу предположить, что в случае с умышленной несанкционированной активностью этим исследованиям могут дать соответствующее развитие и тогда идентифицировать мобильные устройства (пока только на базе Android), участвующие в мошеннических схемах, будет затруднительно. Да и вообще этот процесс можно автоматизировать так, чтобы идентифицирующие признаки менялись очень часто, что еще больше затруднит деятельность специалистов по защите информации.
Собственно, получается что большого смысла все попытки фиксировать IP, MAC, IMEI, номер телефона и т.п. не имеют. Злоумышленники могут их легко обойти, а вкладывать инвестиции в более надежные способы нецелесообразно. Особенно в условиях, когда даже обнаруженный и пойманный злоумышленник может выйти сухим из воды из-за пробелов в отечественном законодательстве. Мне кажется, что для борьбы с мошенниками все силы надо бросать на изменение Уголовного и Уголовно-процессуального кодексов, а также на обучение сотрудников правоохранительных и судебных органов. Технические меры безусловно важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится.