PCI DSS Russia 2012

Вчера побывал на мероприятии PCI DSS Russia (организатор – Digital Security). Удивил общий настрой слушающих – столько негатива не всегда можно найти, даже если очень стараться. При этом причины остались для меня совершенно неизвестными. Вроде бы представители финансовых компаний в основном, но такое желание убедить каждого выступающего в его неправоте – откуда? Или доведение до абсурда ключевых принципов обеспечения ИБ с применением аргументации a la “Но ведь всё равно можно взломать!”. Конечно можно! А с таким отношениям к методам обеспечения ИБ еще и обязательно взломают.

Было интересно узнать, насколько сильно будоражат ума сотрудников банков требования стандарта. Оказалось, стандарт некоторыми воспринимается, как принуждение идти в школу. Особенно удивили вопросы из ряда: “А вот вы говорите, что стандарт полезный и прохождение аттестации влияет положительно на защищённость.. А если я отключу на год защиту – то о какой безопасности может идти речь?”. Я даже не знаю, как такие вопросы можно задавать. А если отключить защитные механизмы в сети – ведь сеть не будет защищена, зачем же покупать защитные механизмы, если, когда их отключаешь, сеть не защищена? Странная логика. Также было интересно узнать, что хакеры, дескать, “люди с суперспособностями” :) А ведь на самом деле ;-)

В целом, было интересно послушать многих докладчиков. С их стороны рекламы было немного. В одном из последних докладов приводилась различная финансовая статистика по кибер-крайму, бросилась в глаза одна цифра – стоимость средней атаки на банк (а точнее клиентов) – 30 000 руб. На всякий случай уточнил у докладчика, а что, дескать, входит в меню. На что получил ответ – что это проведение полностью атаки на одного(!) пользователя. А теперь, давайте, посмотрим на стоимость проведения атаки на пользователя согласно этим вашим интернетам (любые данные по стоимости услуг и т.п. находятся на специализированных форумах в публичном доступе). Общая формула расчёта стоимости будет выглядеть так (понятно, что возможны девиации, но это пример. Многие вещи из нижеприведённой формулы могут быть получены и на бесплатном основании, но эффективность их применения близка к нулю):

Аренда абузоустойчивого сервера + покупка связки эксплоитов (можно купить загрузки) + покупка вредоносного ПО + крипт вредоносного ПО (не обязательно) + покупка домена (не обязательно, но при покупке связки в 90% домен необходим)  + приобретение возможности НСД к ресурсам, с которых будет загружаться ПО (можно купить загрузки) + стоимость загрузок (в случае, если не самостоятельно добывается траффик) + стоимость отмывания (оформление офшорных счетов, или хотя бы левых персональных сертификатов в платёжных системах).

Итого, если убрать модификацию ПО и абузоустойчивый домен, а также расходы на отмывание, то минимальная цифра представляет собой и если рассматривать вариант, в котором загрузка ПО осуществляется путем приобретения соответствующего сервиса, средняя стоимость проведения атаки в месяц на 1000 пользователей составит:

$300 (сервер) + $800 (неуникальное вредоносное ПО, заточенное под отечественные банки и детектируемое 90% антивирусов) + $50 (стоимость 1000 загрузок ПО по зонам RU/UA) = $1150

Это оценка, при которой при редком везении можно получить результат. При этом под загрузками понимается совершенно левый, нецелевой трафик (например, не аудитория сайта forum.bank.ru).

Таким образом, если делать расчёт на одного пользователя (а это делать некорректно, атаки на клиентов банков в 99% случаев носят массовый характер) – стоимость атаки составит $1,15.

Если же считать более корректно, то стоимость атаки составляет примерно $2000 для проведения атаки на 1000 пользователей  без принятия мер к отмыванию. Цены на отмывание в инторнетах найти можно, но оценить их адекватность я не берусь.

Понравилась презентация Димы Евдокимова из DSec о безопасности мобильного банкинга. Вдохновила на более пристальный взгляд на эту область ИБ. А от Алексея Лукацкого узнал, что общепринятое наименование той интересной штуки, тестировать защищенность которой пришлось на днях (MobileIron) – MDM software.

P.S. Алексей, хорошего выступления на BlackHat!

P.S.S. Забыл  – успел найти XSS на веб-сервисе доступа в инет через Wi-Fi, пока сидел в зале. Там всё тривиально – что-то типа http://portal.wi-fu.com/dir/file1.jsp выводило file1 is not found.

3 thoughts on “PCI DSS Russia 2012

  1. Спасибо ;)

    Про штуку баксов на одного пользователя – немного не понятно было как считали, согласен. Может, имеется в виду общие затраты приводящие к пробиву одной машины с ДБО. То есть, по вашим расчетам (2000$ на 1000 пользователей), равносильно пробиву двух целевых юзеров (2 из 1000)? Тогда можно сказать, что мы потратили 2 тыщи и получили всего две тачки с ДБО…

  2. c3ret says:

    Алексей, мы на ты :)
    Не совсем понял указанную зависимость между расходами на 1к пользователей и вероятностью пробива :) Средний пробив связки, если я не ошибаюсь, составляет порядка 5-10%, то есть из 1000 это 50-100 пользователей. И ещё важно отметить, что последующая стоимость расходов на проведение атаки на +Nк пользователей будет снижаться с ростом N в силу того, что постоянные затраты (на серваки, связки) начинают размазываться по количеству трафика. Получается такой, своего рода, эффект масштаба ;-)
    P.S. Поездка была успешной? Все овации собраны, женщины утирались платочками, а дети стройной очередью дарили тюльпаны (NL жеж!)? Как был принят публикой?

  3. из 1000 это 50-100 и 2 из них с ДБО. Вот и выходит, что этот тот самый целевой пользователь. (я не утверждаю, что все именно так, я притягиваю сказанное к возможной реальности).
    —–
    P.S. Вообщем успешной. Вроде все ок. Даж фидбеки были и вопросы из зала нормальные ;)

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: