Security Lab

RBK.money по следам The Standoff

RBK.money по следам The Standoff

На прошедшем недавно мероприятии The Standoff мы тестировали на прочность наш процессинг в рамках информационной защиты кибергорода и его инфраструктуры

image

На прошедшем недавно мероприятии The Standoff мы тестировали на прочность наш процессинг в рамках информационной защиты кибергорода и его инфраструктуры. О том, как всё прошло, и о текущей ситуации в отрасли, рассказал технический директор RBK.money, Антон Куранда.

— Если вас еще не взломали, то вы пока не настолько интересны.

В плане инфобезопасности нельзя прикрыться каким-то решением и сказать — всё, отлично, у нас стоит антивирус от такой-то компании или система защиты от такого-то вендора, нас никто не взломает. На самом деле, взломать можно что угодно и кого угодно, тут вопрос в целесообразности и затраченных на этот взлом ресурсах. Конечно, огромную роль играют и специалисты по информационной безопасности, их навыки, опыт и (что главное) сам подход к безопасности и желание развиваться. Единственный гарантированный способ защитить свой аккаунт на каком-то сервисе от взлома — это не иметь там аккаунта. Как нельзя взломать и посмотреть электронные профили какого-нибудь отшельника в горах, у которого нет розеток и устройств, чтобы их в эти розетки воткнуть. Собственно, вот вам максимальный уровень кибербезопасности.

Конечно, в современном мире без электронных устройств никуда. Что в рамках целых городов и мегаполисов, что в обычной жизни отдельно взятого человека. Поэтому надо не расслабляться раньше времени, а продолжать участвовать в вечной битве меча и щита, постоянно проверяя свои сервисы и инфраструктуру. Поэтому The Standoff — это отличный шанс вживую проверить, достаточно ли защищен твой сервис или все же не очень. Ведь по ту сторону его будут пытаться взломать мотивированные и высокопрофессиональные люди, для которых сама возможность взломать наш процессинг — это не столько деньги из bug bounty программы, сколько профессиональный интерес и возможность «пощекотать» свое эго. А это куда круче денег в плане мотивации, если мы говорим об этих специалистах.

Я думаю, таких мероприятий должно быть больше. В идеале кибергорода можно было бы органично интегрировать в образовательную систему, чтобы подростки еще на старте понимали, зачем это, почему это важно и как все работает, что снаружи, что изнутри. Это на самом деле очень важно, ведь хороших специалистов по инфобезопасности на рынке не так чтобы много, а вот потребность в них уже сейчас сильно превышает предложение. И в будущем этот разрыв только увеличится. Причем это должны быть люди с определенными характеристиками.

Идеальный директор по информационной безопасности на примере RBK.money

В моем понимании у такого человека должен быть бэкграунд активного пентестера и участника профильных тусовок, который в состоянии пойти и сломать какой-нибудь сервис в white hat-режиме. В нашем случае задача директора была создать application security-штуки, внедрить все это в нашу систему непрерывной сборки софта, поставить сканеры уязвимостей, внимательно смотреть за периметром изнутри и снаружи. А также самому время от времени ломать этот периметр, причем не в режиме пентеста (он устарел). Вот почему.

Один большой (и продвинутый) банк как-то нанял хорошего пентестера. Тот быстренько нашел у них на периметре какую-то RCE-шку и принес на блюдечке, мол, смотрите, все, я попал во внутреннюю структуру банка. На самом деле, это не отчет о найденной уязвимости. Надо не только проломиться внутрь, но сделать так, чтобы тебя никто не заметил. Потом освоиться внутри и найти финансовые данные. Потом вероломно использовать их в своих целях и вывести средства — вот это показатель того, что уязвимость есть и ее можно эксплуатировать.

За таким подходом будущее, причем не только в RBK.money, но и в любой организации, которая печется о безопасности (своей и клиентов).

Кстати, о деньгах

Банки считаются самыми защищенными в этом плане. Как думаете, почему? Потому что у них есть деньги и потому что они хранят деньги, а это важно? На самом деле потому, что финансовые организации очень часто пробуют взломать. И эти ребята по большей части всегда настороже. Плюс регулятор (ЦБ) делает правильные шаги в плане внедрения стандартов по обеспечению технической безопасности. И нужно не только им соответствовать, но и делать честные тесты самим у себя внутри. Вы же не отчет для дяденек в костюме делаете, а пытаетесь измерить настоящий уровень своей защищенности. Надо внедрять практики application security. В идеале нужен антифрод на уровне самого регулятора, куда будет оперативно собираться вся актуальная информация о фроде, и если в одном банке украли карту — в других она уже не пройдет.

Бытует мнение, что двухфакторная верификация сильно помогает повысить уровень защищенности. На самом деле, зависит от способа. К примеру, пресловутые SMS в качестве второго фактора впору включать именно в антирейтинг технологий такого плана. Хоть фрод такого уровня, как перевыпуск SIM-карты, и ловится как банками, так и операторами, они могут проверить изменение уникального номера симки, при желании их все равно можно обойти. А сколько есть случаев, когда наивный обладатель телефона сам сообщает мошеннику пришедший в SMS код, вы и без меня знаете.

Opensource и защита

Думаю, мы первые (и пока единственные) в мире разработчики софта, которые пошли и выложили свою платежную систему с исходными кодами в опенсорс. Я вообще более чем положительно отношусь к опенсорсу, Linux перевернул мое мировоззрение еще в 90-х годах, я осознал, что можно просто взять и открыть для сообщества и энтузиастов целую операционную систему, на которой сейчас работает почти весь мировой серверный парк.

Мы подумали, что нам вполне по силам взять на себя аналогичную миссию, но в мире финтеха. Да, да, который по умолчанию кажется максимально закрытым и секретным — отсюда и большая часть его проблем в сфере инфобезопасности. Де-факто наша платежная система сегодня — это Linux в мире финтеха. Берите код, дорабатывайте под себя, делайте его лучше. Все риски нивелируются лицензией, которая предоставляет полные исключительные права на исходное ПО. Хотите взять наш код и сделать на его базе отличное бесплатное решение — пожалуйста. Хотите собрать что-то коммерческое и продавать — тоже можно.

За опенсорсом — сообщество и миллионы светлых голов, которые любят и умеют писать код. Игнорировать это, как минимум, странно.

Микросервисы и суперприложения

Микросервисы сейчас очень популярны. Настолько, что многие уже просто используют микросервисы ради микросервисов, даже если это вообще не нужно в конкретном случае. У нас тоже микросервисная архитектура, в которой огромное количество маленьких приложений выполняет какую-то свою роль, все они построены в контейнеры со сложными зависимостями друг от друга. Это большой плюс в плане скорости — чем меньше у вас подобные фрагменты, тем быстрее вы отдает на продакшен новые фичи и тем быстрее они докатываются до клиентов.

Если же у вас один здоровенный монолит, то он почти наверняка станет камнем преткновения среди ваших разработчиков, которые будут стоять в очереди, как в первый Макдональдс, в попытках доделать какие-то фичи. Микросервисы распараллеливают разработку и существенно ускоряют процессы. Ну и, конечно, микросервисы не требуют такого ТТХ железа для нормальной работы, как монолит — это немного ломает парадигму, что можно взять и пойти так же хорошо работать на менее дорогих серверах. Яндекс работает на микросервисах. Amazon работает на микросервисах. Google… ну, вы поняли.

Есть и минусы. Такой подход требует от вас наличия в штате хорошего devops sec. Ведь чем больше в системе отдельных частей, тем более она уязвима. Поэтому когда вы максимально автоматизируете конвейер выкатки микросервисов, встраиваете необходимые анализаторы кодов и автоматизированный пентест, такой человек смотрит на всю эту систему со своей профессиональной точки зрения, оценивает риски и уровень защиты, и только после его одобрения фича выкатывается на продакшн.

Примерно так же популярны стали и суперприложения. Если у компании есть больше двух своих сервисов с клиентской базой, она уже начинает с интересом посматривать в сторону супераппа для них, чтобы “править ими всеми”. Получаем такой каталог услуг в виде приложения, который максимально замыкает на себя пользователя. Дают скидки за использование продуктов, которые ты можешь потратить (сюрприз) на использование соседних продуктов в супераппе. А далеко не каждый пользователь будет рад такой, пусть и очень мягкой попытке завязать все привычные действия на одно приложение или одну компанию в целом.

The Standoff

Отличное мероприятие и очень полезный опыт. У нас тут немного двоякое ощущение. Во-первых, круто, что нас так и не сломали, значит, мы на самом деле не зря старались и подход к безопасности через максимальную открытость работает. Если кому-то, конечно, нужны были подтверждения.

Во-вторых, если бы нас сломали, это тоже было бы круто — мы бы узнали о какой-то новой дыре, закрыли бы её и все подобные в будущем.

Нам было весело, ведь когда в городе встала настоящая боевая платежная система, а не написанная на заглушках, появились свои интернет-магазины и даже олигарх, это привлекло еще больше команд нападающих, так что мы теперь здесь надолго. И в следующем году я планирую участвовать в команде защитников.

Нужно на будущее больше продумывать инфраструктуру, то есть сделать город еще более точной копией с точки зрения финансовой системы и в идеале завести туда госсервисы, включая Систему Быстрых платежей и все остальное.

Надо специально давать специалистам ломать свои продукты, если, конечно, вам хочется сделать действительно защищенный продукт. Если же безопасность бизнеса и ваших клиентов не вызывает у вас большого беспокойства, тогда, конечно, можно максимально от всех отгородиться, и продолжать так работать.

Какое-то время...


Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.