14.05.2013

Зачем фиксировать IP, MAC, IMEI, если их легко модифицировать?

В планируемой к выпуску новой версии 382-П одно из основных изменений коснулась требования по фиксации действий клиентов, осуществляющих перевод денежных средств. Это по сути проект 262-П, который вызвал немало вопросов в свое время, перенесенный в 382-П и выпавший из под контроля Росфинмониторинга. В 382-П необходимо будет фиксировать "идентификационную информацию, используемую для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства".

Вот тут самое интересное. Если посмотреть на мотивацию добавления такого требования, то оно направлена на борьбу с отмыванием денежных средств, полученных преступным путем, а также на борьбу с иными протиправными действиями. При борьбе с мошенничеством в системах ДБО также требуется фиксация такой информации. Но такое требование, если посмотреть правде в глаза, не сильно поможет в борьбе с реальными злоумышленниками; по крайней мере, компьютерными злоумышленниками.

Во-первых, все мы знаем, что злоумышленники переводят деньги не со своего компьютера, а с взломанного компьютера жертвы. Либо используя его как промежуточный узел, либо через троянца, действующего по заранее заданного сценарию и, если и имеющего связь с серверами управления, то одностороннюю (в любом случае установить реальную личность злоумышленника в этом случае невозможно).

Во-вторых, IP- или MAC-адрес легко подменить. Либо путем прямой манипуляции с компьютером, либо путем ARP Spoofing'а, IP Spoofing'а и других аналогичных сценариев. С номером телефона, идентификатором телефона (IMEI), серийным номером SIM-карты ситуация сложнее, но как оказывается и они могут быть подменены. Например, недавно, после обнаружения вредоносной программы Pincer для Android, эксперты из Sourcefire Vulnerability Research Team проанализировали код Pincer и, основываясь на его коде, смогли подменить IMEI, телефонный номер, модель телефона.

До и после изменения идентификационных данных на Android

Эксперты из Sourcefire не тестировали свой код на стабильность, но могу предположить, что в случае с умышленной несанкционированной активностью этим исследованиям могут дать соответствующее развитие и тогда идентифицировать мобильные устройства (пока только на базе Android), участвующие в мошеннических схемах, будет затруднительно. Да и вообще этот процесс можно автоматизировать так, чтобы идентифицирующие признаки менялись очень часто, что еще больше затруднит деятельность специалистов по защите информации.

Собственно, получается что большого смысла все попытки фиксировать IP, MAC, IMEI, номер телефона и т.п. не имеют. Злоумышленники могут их легко обойти, а вкладывать инвестиции в более надежные способы нецелесообразно. Особенно в условиях, когда даже обнаруженный и пойманный злоумышленник может выйти сухим из воды из-за пробелов в отечественном законодательстве. Мне кажется, что для борьбы с мошенниками все силы надо бросать на изменение Уголовного и Уголовно-процессуального кодексов, а также на обучение сотрудников правоохранительных и судебных органов. Технические меры безусловно важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится.

22 коммент.:

ZZubra комментирует...

А может это требование из разряда 80/20? Например, 80% нарушений в ДБО перекрываются идентификацией абонента по MAC, IP и IMEI, а 20% сложно поймать и проще разложить на платежи клиентов?
Да и работа над российским законодательством бессмысленна в глобальных "сетях" типа MasterCard:

http://news.tj/ru/news/khakery-iz-ssha-pokhitili-45-mln-dollarov-iz-bankomatov-po-vsemu-miru
http://www.unian.net/news/570008-gruppa-hakerov-ukrala-45-millionov-za-neskolko-chasov.html
http://biz.liga.net/all/it/novosti/2493890-khakery-ukrali-45-mln-s-bankovskikh-kart-po-vsemu-miru.htm

В описанном случае хоть 100 раз обученные сотрудники ИБ и тотальный контроль чипованных людей в РФ не поможет избежать обнуления счетов, например, потому что в ОАЭ людям верят "наслово".

А если брать наших юрлиц с банками и их ДБО, то стоит ли жестче заморачиваться, чем IP? Может там процент хищений 1-1,5% от всех транзакций по всей стране?

Хотя... не хотите ли Вы сказать, что процентные ставки в десятки процентов обусловлены воровством денег у банков???

e1am0 комментирует...

Ээээ... Как мы будем подменять IP в клиент-банке??? Это ж не одноразовая удпешка для днс-шторма какого-нить.

Юрий комментирует...

Непохоже на попытку подмены, просто мера по повышению вероятности поимки кибернегодяя. Так же можно сказать, что не нужно протоколировать сцену убийства, т.к. ее могли фальсифицировать. Если преступление совершено с чужого (ворованного) ПК, за дело принимаются реальные оперативники (у кго украден, при каких обстоятельствах, опись, протокОл, отпечатки пальцев). Если подмена - отсеем часть не озаботившихся или не обладающих навыком. Абсолютных мер не бывает, все-таки.

Евгений комментирует...
Этот комментарий был удален автором.
Евгений комментирует...

Алексей, небольшое уточнение - в указанной статье описан метод замены MAC, IMEI и номер телефона в эмуляторе Android'a. В настоящем телефоне этим данные все таки зашиты в железе и подменить их далеко не так просто...

Void Z7 комментирует...

Хороший инцидент, описан не со стороны черных и белых, а со стороны жертв =)

http://www.mobile-review.com/articles/2013/mega-ums-fraud-3.shtml

anti-forensics комментирует...

Зачем искать следы пальцев, если преступник мог их стереть? Зачем расследовать преступления, если преступники могут сокрыть все улики?

Если честно, то Вы глупость написали, очень большую.

> Во-первых, все мы знаем, что злоумышленники переводят деньги не со своего компьютера, а с взломанного компьютера жертвы. Либо используя его как промежуточный узел, либо через троянца, действующего по заранее заданного сценарию и, если и имеющего связь с серверами управления, то одностороннюю (в любом случае установить реальную личность злоумышленника в этом случае невозможно).

Во-первых, лог IP- и MAC-адресов позволяет отличить, использовался ли компьютер как прокси-сервер или платежное поручение отправлялось непосредственно с него. А это уже немаловажное обстоятельство.

> Во-вторых, IP- или MAC-адрес легко подменить.

Во-вторых, многие системы ДБО для юр. лиц логируют все MAC- и IP-адреса, имеющиеся на компьютере. Поэтому простое изменение MAC-адреса одной сетевой карты не уничтожает все идентификационные признаки компьютера злоумышленника. То же и с IP-адресами. И не все злоумышленники знают эту особенность (а если и знают, то не учитывают, ведь антифрод-системы и без подмены всех IP- и MAC-адресов можно обойти, к сожалению).

Существование контрмер не может служить основанием для неприменения мер. Это все равно, что отказаться от танков из-за существования ПТУР. Более того, логирование IP- и MAC-адресов будет полезно и для расследования экономических преступлений, а там злоумышленники не всегда "технари".

anti-forensics комментирует...

Более того, я хочу услышать и про целесообразность получения паспортных данных у клиентов банков. Зачем хранить паспортные данные, если у злоумышленников есть подставные лица? Зачем вообще подтверждать личность клиента при совершении каких-либо действий, требовать какие-то доверенности? У грамотных злоумышленников ведь всегда все с документами в порядке.

Евгений Родыгин комментирует...

Я вижу ключевую мысль не в указанном примере недостатков конкретно фиксации, а в перекосе возложения мер исключительно на технические.
Вывод мне нравится: "Технические меры безусловно важны, но и заменить ими организационно-правовые методы борьбы с киберпреступниками не получится." А вот этих мер мало и плохо воспринимаются. Их интеграция в модель защиты, в политики безопасности и т.п. вообще в зачатке.

anti-forensics комментирует...

Хорошо, какие изменения в УПК необходимо, на Ваш взгляд, внести?

ZZubra комментирует...

Не в тему, но все равно, вопрос постоянно поднимаемый. Сколько стоит скан паспорта? Ответ: http://www.marlboro.ru/

ПРАВИЛА ИСПОЛЬЗОВАНИЯ:
Для того чтобы мы могли предоставить вам постоянный доступ на Сайт, просим Вас в течение 7 дней с даты регистрации на Сайте предоставить нам копию страниц Вашего паспорта, содержащих вашу фотографию, фамилию, имя и отчество, подпись, дату и место рождения, данные о выдаче паспорта, а также номер и серию паспорта. Копию можно прислать одним из следующих способов: (i) приложить на Сайте в разделе «Личный кабинет», следуя инструкциям на Сайте, в разделе "Личный кабинет"/"Мой профиль"/"Паспорт«; (ii) прислав по электронной почте на адрес: help@marlboro.ru. При загрузке на Сайт принимаются отсканированные копии паспорта в форматах jpeg, jpg, gif. Фотокопии или отсканированные копии страниц паспорта должны быть четкими и не подверженными обработке любым способом для целей искажения информации. Мы имеем право отклонить предоставленную копию страниц паспорта в случае, если (i) качество копии не позволяет прочитать указанные данные, (ii) если паспортные данные не соответствуют данным, указанным при регистрации участника, или (iii) если у нас возникают сомнения относительно подлинности представленной копии. Срок проверки копии паспорта составляет 3 рабочих дня. После успешного прохождения проверки копии паспорта доступ на Сайт становится постоянным до тех пор, пока пользование Сайтом не будет прекращено по любому из оснований, предусмотренных применимым законодательством или настоящими Условиями пользования Сайтом.

ZZubra комментирует...

По поводу простоты: http://news.mail.ru/politics/13074983/

...сказал «Газете.Ru» президент «Опоры» Александр Бречалок. «На конференции ОНФ я попросил у Владимира Путина время на доработку этого вопроса. Мы получили по крайней мере мнение президента о необходимости дифференциации страховых взносов для предпринимателей», — напомнил он. В частности, в отношении взносов с доходов более 300 тыс. рублей предлагается установить предельную планку – два МРОТ. «Мы категорически против сложного администрирования. Для ИП все должно быть максимально просто. Будем выходить с совершенно другой инициативой, поддержанной тысячами предпринимателей, об упрощении администрирования взносов и налогов с ИП», — сообщил глава организации

Алексей Лукацкий комментирует...

anti-forensics:

1. К сожалению, данное требование является ОБЯЗАТЕЛЬНЫМ и непонятно как его выполнять, когда клиентская часть не фиксирует эти данные?
2. Фиксация IP/MAC для экономических преступлений не вызывает вопросов. Только причем тут требования по ИБ? Изначально эти требования относились к ПОД/ФТ и только потом их, причесав, перенесли в доки по ИБ.
3. За отсутствие фиксации таких данных (например, для физиков) следует нарушение ОБЯЗАТЕЛЬНЫХ требований ЦБ со вытекающими отсюда последствиями. Разницы ведь в требованиях не делается между физиками и юриками. И это требования, а не рекомендации.
4. А насчет УПК, как минимум, внести изменение, чтобы местом совершения преступления считался не первый банк, куда переведены средства, а место нахождения клиента. Хотя там много поправок применительно к УК/УПК можно предложить.

anti-forensics комментирует...

> 1. К сожалению, данное требование является ОБЯЗАТЕЛЬНЫМ и непонятно как его выполнять, когда клиентская часть не фиксирует эти данные?

Привожу Вашу цитату: "идентификационную информацию, используемую для адресации устройства, с использованием которого осуществлен доступ к автоматизированной системе, ПО с целью осуществления переводов денежных средств, которой в зависимости от технической возможности является IP-адрес, МАС-адрес, номер sim-карты, номер телефона и (или) иной идентификатор устройства". Обратите внимание на выделенный жирным шрифтом текст.

> 3. За отсутствие фиксации таких данных (например, для физиков) следует нарушение ОБЯЗАТЕЛЬНЫХ требований ЦБ со вытекающими отсюда последствиями. Разницы ведь в требованиях не делается между физиками и юриками. И это требования, а не рекомендации.

К сожалению, текст обсуждаемого документа я не видел. Но еще при обсуждении того самого Положения 282-П я неоднократно отмечал, что для физических лиц имеется упрощенный порядок идентификации, когда перечень сведений, подлежащий сбору и регистрации банком, состоит в "установление фамилии, имени и (если иное не вытекает из закона или национального обычая) отчества, реквизитов документа, удостоверяющего личность клиента". И никаких сведений, относимых к ИТ!

anti-forensics комментирует...

Прошу прощения за опечатку:

состоит в "установление фамилии

Нужно читать так:

состоит в установлении "фамилии

anti-forensics комментирует...

И еще одна опечатка: "перечень сведений, подлежащий" нужно читать как "перечень сведений, подлежащих".

> 4. А насчет УПК, как минимум, внести изменение, чтобы местом совершения преступления считался не первый банк, куда переведены средства, а место нахождения клиента.

Преступление, связанное с мошенничеством в системе интернет-банкинга, не привязано к одному месту, поскольку начато это преступление в одном месте, а закончено в другом (ч. 2 ст. 152 УПК). А значит предлагаемая поправка есть одна большая глупость, которая усугубит и без того сложную ситуацию с подследственностью. Не может результат деятельности злоумышленников, создавших вредоносную компьютерную программу, распространявших ее (ст. 273 УК), получавших неправомерный доступ к охраняемой законом компьютерной информации (ст. 272 УК) и, в итоге, совершивших мошенничество (ст. 159.6 УК), быть привязан к одному месту. А значит здесь нужно руководствоваться уже существующими нормами ст. 152 УПК.

Алексей Лукацкий комментирует...

Т.е. оставим все, как есть? И следователи и дальше будут отказывать в возбуждении уголовных дел (или закрывать их) по следующей мотивации: "таким образом, в настоящее время в действиях неизвестного лица отсутствует состав преступления, предусмотренный ст.159 ч.3 УК РФ, т.к. оно не установлено и неизвестно его отношение к содеянному".

Алексей Лукацкий комментирует...

Оставить ч.2 ст.152 - замечательное предложение. Т.е. деньги сняли в Москве, а обналичили в Новосибирске. И следователь ОВД, пользуясь своим правом и ни фига не понимая, как расследовать ст.272-274, отправляет материалы в Новосибирск. А как он их направляет? Неужели обычной почтой? Или все-таки ускоренным путем чтобы в Новосибирске следователь хотя бы попытался если не остановить преступление, то хотя бы успеть получить логи, видеозаписи и т.п. Ан нет. Пока материалы доходят из Москвы до Новосиба следов уже не остается. А если деньги выведены заграницей, то место совершения преступления у нас где? И опять проблема с действующей редакцией ч.2 ст.152. Ну и т.д.

anti-forensics комментирует...

> И следователи и дальше будут отказывать в возбуждении уголовных дел (или закрывать их) по следующей мотивации: "таким образом, в настоящее время в действиях неизвестного лица отсутствует состав преступления, предусмотренный ст.159 ч.3 УК РФ, т.к. оно не установлено и неизвестно его отношение к содеянному"

Подобная мотивировка уже противоречит УПК, поэтому вносить какие-то изменения в него не требуется. Тем более, что дебилизация понятия места преступления ну никак не улучшит ситуации с незаконными отказами в возбуждении уголовных дел.

В рассматриваемой ситуцации нужно менять не понятие места преступления, а улучшать механизм рассмотрения жалоб на действия должностных лиц и улучшать механизм надзора за законностью и мотивированностью отказов в возбуждении уголовных дел. А это уже совсем другие нормы права.

anti-forensics комментирует...

"ситуцации" читать как: "ситуации" :-)

> Или все-таки ускоренным путем чтобы в Новосибирске следователь хотя бы попытался если не остановить преступление, то хотя бы успеть получить логи, видеозаписи и т.п. Ан нет. Пока материалы доходят из Москвы до Новосиба следов уже не остается.

В УПК уже имеются механизмы для решения этой проблемы. Зачем еще один? Если человек работать не хочет, то никакой закон его не заставит.

> А если деньги выведены заграницей, то место совершения преступления у нас где? И опять проблема с действующей редакцией ч.2 ст.152. Ну и т.д.

Место начала преступления вполне может быть на территории России и место производства предварительного расследования тоже, плюс по преступлениям, совершенным гражданами России на территории других государств, есть соответствующая статья УК и разъяснения Конституционного суда.

anti-forensics комментирует...

> не улучшит ситуации

Исправляю на "не улучшит ситуацию".

> Конституционного суда

"Конституционного Суда", конечно же :-)

> В УПК уже имеются механизмы для решения этой проблемы

Поясняю: неотложные следственные действия, а также возможность использования результатов ОРД в качестве доказательств.

anti-forensics комментирует...

Кстати, нашел весьма хорошую иллюстрацию предлагаемым изменениям в УПК.

Проблема: «Оперативно-розыскными мероприятиями установлено: гражданин Иванов В.В. такого-то числа стоял на мосту и производил манипуляции со скотчем. При порыве ветра он запутался в скотче, перегнулся через парапет и упал в подвешенную по мостом спортивную сумку. Лямки сумки оборвались и Иванов В.В. упал в реку (лямки на самом деле были оборваны). Течение в реке составляет столько-то км/ч. Из-за трения молнии сумки о камни дна сумка застегнулась...

Отказать в возбуждении уголовного дела по статье 5, ч.2 УК РСФСР за отсутсвием состава преступления»
(ссылка на милицейские байки)

Предлагаемое решение: законодательно признать местом совершения убийства морг. Вопрос: где логика?