Система и способ защиты операций с электронными деньгами
Патент 2584506
Авторы
- Добровольский Сергей Васильевич (RU)
- Калинин Александр Валентинович (RU)
- Мартыненко Владислав Валерьевич (RU)
- Солодовников Андрей Юрьевич (RU)
- Шовенберг Роэл (US)
Правообладатели
Классы МПК
- G06Q7/48 - Вычисление; счет (счетные устройства для подсчета очков при играх A63B 71/06,A63D 15/20,A63F 1/18; комбинации счетных устройств с пишущими приспособлениями B43K 29/08)
- G06F169 - Обработка цифровых данных с помощью электрических устройств (вычислительные машины, в которых часть вычислений осуществляется гидравлическими или пневматическими устройствами G06D; оптическими средствами G06E; автономные внешние вводные и выводные устройства G06K; компьютерные системы, основанные на специфических вычислительных моделях G06N; цепи полного /активного и реактивного/ сопротивления H03H)
Система и способ защиты операций с электронными деньгами
Иллюстрации
Изобретение относится к способам защиты процесса работы с электронными деньгами. Технический результат заключается в обеспечении безопасности процесса работы с электронными деньгами. Способ включает этапы, на которых: проверяют объекты на компьютере, связанные с электронными деньгами; осуществляют контроль доступа к процессу приложения, необходимого для хранения электронных денег и проведения транзакций, выделяют ресурсы данного приложения с помощью средств защиты приложения, осуществляют контроль доступа к данным ресурсам, осуществляют поиск угроз, связанных с приложением и с генерацией электронных денег и связанных с доступом к сети, осуществляют контроль трафика, связанного с приложением, и выполняют контроль операций с электронными деньгами. 8 ил.
Реферат
Область техники
Изобретение относится к антивирусным решениям, а более конкретно к системам и способам защиты процесса работы с электронными деньгами.
Уровень техники
В настоящий момент все больше внимания уделяется так называемым электронными деньгам, которые представляют собой денежные обязательства эмитента в электронном виде, которые находятся на электронном носителе в распоряжении пользователя. Электронные деньги могут быть выполнены на основе смарт-карт или сетей. Примерами электронных денег могут быть PayPal или Яндекс. Деньги.
В последние годы в мире появился еще один тип электронных денег - так называемая криптовалюта (англ. Cryptocurrency). Это вид цифровой валюты, эмиссия и учет которой основаны на криптографических методах, а функционирование системы происходит децентрализовано в распределенной компьютерной сети.
Можно выделить несколько отличительных черт, характерных для почти любых электронных денег. Ключевым моментом является использование специализированной программы - "кошелька" (англ. wallet) для хранения и обмена электронных денег и возможная необходимость синхронизации с сетью других участников (или эмитента), использующих такие же электронные деньги, с целью подтверждения транзакций. Еще одной немаловажной деталью является биржа по обмену электронных денег на реальные деньги или другие электронные деньги. Также можно упомянуть возможность генерации (так называемая "добыча", англ. mining) электронных денег с помощью специализированных программ, реализующих ресурсоемкий алгоритм, использующий ресурсы как современных процессоров и видеокарт, так и специализированных плат (англ. ASIC, Application Specific Integrated Circuit).
С ростом популярности электронных денег ими заинтересовались мошенники, которые используют методы социальной инженерии для кражи паролей от кошельков или распространяют троянские программы для генерации электронных денег у ничего не подозревающих пользователей. С появлением бирж они также стали объектом внимания мошенников, которые стараются украсть пароли доступа как к самой бирже, так и к пользовательским данным, которые там хранятся. Подобные проблемы хорошо описаны в публикациях "Sophos Security Threat Report 2014" или "Lecpetex: Virtual currency mining gets social".
Однако в настоящий момент не предложено решений, которые могли бы эффективно обезопасить работу пользователя с электронными деньгами на различных уровнях - от генерации до выполнения транзакций.
Анализ предшествующего уровня техники позволяет сделать вывод о неэффективности и в некоторых случаях о невозможности применения предшествующих технологий, недостатки которых решаются настоящим изобретением, а именно системой и способом защиты процесса работы с электронными деньгами.
Раскрытие изобретения
Технический результат настоящего изобретения заключается в обеспечении безопасности процесса работы с электронными деньгами. Настоящий результат достигается путем использования способа контроля операций с электронными деньгами, при этом способ включает этапы на которых: а) проверяют объекты на компьютере, связанные с электронными деньгами, при этом указанные объекты включают, по меньшей мере, одно из: приложение, необходимое для хранения электронных денег и проведения транзакций; приложение для генерации электронных денег; история запросов к бирже, где происходит обмен электронными деньгами; б) настраивают средства для обеспечения безопасности действий, связанных с электронными деньгами; в) выполняют контроль операций с электронными деньгами с помощью настроенных средств.
Согласно еще одному варианту реализации средства для обеспечения безопасности действий, связанных с электронными деньгами, включают, по меньшей мере, одно из следующих средств: средство защиты приложения, необходимого для хранения электронных денег и проведения транзакций; средство отслеживания вредоносных программ; средство контроля трафика.
Согласно другому варианту реализации средство защиты приложения, необходимого для хранения электронных денег и проведения транзакций, осуществляет контроль доступа к процессу приложения, необходимого для хранения электронных денег и проведения транзакций.
Согласно одному из частных вариантов реализации средство защиты приложения, необходимого для хранения электронных денег и проведения транзакций, выделяет ресурсы приложения, необходимого для хранения электронных денег и проведения транзакций.
Согласно еще одному варианту реализации ресурсом приложения, необходимого для хранения электронных денег и проведения транзакций, является файл wallet.dat.
Согласно другому варианту реализации средство защиты приложения, необходимого для хранения электронных денег и проведения транзакций, осуществляет контроль доступа к ресурсам приложения, необходимого для хранения электронных денег и проведения транзакций.
Согласно одному из частных вариантов реализации средство отслеживания вредоносных программ осуществляет поиск угроз, связанных с приложением, необходимым для хранения электронных денег и проведения транзакций.
Согласно еще одному варианту реализации средство отслеживания вредоносных программ осуществляет поиск угроз, связанных с генерацией электронных денег.
Согласно другому варианту реализации средство отслеживания вредоносных программ осуществляет поиск угроз, связанных с доступом к сети.
Согласно одному из частных вариантов реализации средство контроля трафика осуществляет контроль трафика, связанного с приложением, необходимым для хранения электронных денег и проведения транзакций.
Согласно еще одному варианту реализации средство контроля трафика осуществляет контроль трафика, связанного с биржей, где происходит обмен электронных денег.
Согласно другому варианту реализации предлагается система контроля операций с электронными деньгами, при этом система включает следующие средства: а) средство координации, связанное со средством защиты приложения, необходимого для хранения электронных денег и проведения транзакций, средством отслеживания вредоносных программ, средством контроля трафика, при этом средство координации проверяет объекты на компьютере, связанные с электронными деньгами, при этом указанные объекты включают, по меньшей мере, одно из: приложение, необходимое для хранения электронных денег и проведения транзакций; приложение для генерации электронных денег; история запросов к бирже, где происходит обмен электронными деньгами; а также средство координации предназначено для настройки указанных средств для обеспечения контроля операций с электронными деньгами; б) средство защиты приложения, необходимое для хранения электронных денег и проведения транзакций и которое осуществляет контроль доступа к процессу приложения, необходимого для хранения электронных денег и проведения транзакций; в) средство отслеживания вредоносных программ, которое осуществляет поиск угроз, связанных с приложением, необходимым для хранения электронных денег и проведения транзакций; г) средство контроля трафика, которое осуществляет контроль трафика, связанного с приложением, необходимым для хранения электронных денег и проведения транзакций.
Краткое описание чертежей
Дополнительные цели, признаки и преимущества настоящего изобретения будут очевидными из прочтения последующего описания осуществления изобретения со ссылкой на прилагаемые чертежи, на которых:
Фиг. 1 иллюстрирует общую схему работы с электронными деньгами.
Фиг. 2 показывает возможную схему угроз при работе с электронными деньгами.
Фиг. 3 представляет схему защиты процесса работы с электронными деньгами.
Фиг. 4 показывает способ работы средства защиты кошелька.
Фиг. 5 показывает способ работы средства отслеживания вредоносных программ.
Фиг. 6 иллюстрирует способ работы средства контроля трафика.
Фиг. 7 показывает способ работы настоящего изобретения.
Фиг. 8 представляет пример компьютерной системы общего назначения, на которой может быть реализовано настоящее изобретение.
Описание вариантов осуществления изобретения
Объекты и признаки настоящего изобретения, способы для достижения этих объектов и признаков станут очевидными посредством отсылки к примерным вариантам осуществления. Однако настоящее изобретение не ограничивается примерными вариантами осуществления, раскрытыми ниже, оно может воплощаться в различных видах. Сущность, приведенная в описании, является ничем иным, как конкретными деталями, необходимыми для помощи специалисту в области техники в исчерпывающем понимании изобретения, и настоящее изобретение определяется в объеме приложенной формулы.
Фиг. 1 иллюстрирует общую схему работы с электронными деньгами. Пользователь 100 может обратиться к бирже 140, где он может произвести обмен имеющихся у него электронных денег на реальные деньги или перевести их в свой кошелек 110. Кошелек 110 также должен быть связан с сетью 150, которая подтверждает все транзакции с данными электронными деньгами (надо отметить, что все транзакции с электронными деньгами требуют подтверждения от других участников 150 или эмитента, которые используют аналогичные электронные деньги). Кроме того, пользователь 100 может использовать приложение для генерации электронных денег 120 (например, в случае криптовалют), которое связано с сервером 160 (англ. Pool server), осуществляющим координацию работы подобных приложений (таких, как приложение 120) во всей сети. Как правило, генерация электронных денег включает расчет блоков, за которые дают определенное количество электронных денег, при этом электронные деньги затем делятся между участниками генерации в соответствии с их вкладом. Передача данных осуществляется через сетевую инфраструктуру 130, которая в рамках обобщения включает различные типы сетевого оборудования с программной частью, от сетевых карт и роутеров до оборудования сетевого провайдера.
Фиг. 2 показывает возможную схему угроз при работе с электронными деньгами. Например, вредоносная программа 110а может отслеживать работу с кошельком 110 и красть пароли от него (например, для доступа к файлу wallet.dat) для последующего использования злоумышленником. Вредоносное приложение для генерации электронных денег 120а может быть использовано без ведома пользователя для обогащения злоумышленника. Еще один вариант вредоносной деятельности включает использование прокси-сервера 115а для отслеживания работы пользователя 100 с биржей 140 (кража связки логин-пароль), для компрометации транзакций с кошелька 100 или для обеспечения мошеннической генерации электронных денег. Таким образом, требуется внедрение системы, реализующей защиту процесса работы с электронными деньгами на разных уровнях.
Фиг. 3 представляет схему защиты процесса работы с электронными деньгами. По сравнению с Фиг. 1 сюда добавлены средства: защиты кошелька 310, отслеживания вредоносных программ 320, контроля трафика 330 и координации 340. Средство защиты кошелька 310 предназначено для защиты процесса приложения кошелька 110, а также всех файлов, которые использует кошелек 110 (например, файл wallet.dat). Средство отслеживания вредоносных программ 320 выполняет функции антивирусного приложения, определяя вредоносные приложения для генерации электронных денег 120а (среди легитимных приложений 120), а также определяет вредоносные приложения, пытающиеся получить доступ к кошельку 110.
Средство контроля трафика 330 предназначено для определения работы вредоносных приложений, осуществляющих атаку типа "человек посередине" (англ. MITM, Man in the middle), например, при попытке фальсифицировать доступ пользователя 100 к бирже 140. Средство координации 340 выполняет роль координатора работы всех указанных выше средств 310-330, обновляет их функционал и базы данных, отключает или задействует указанные средства при необходимости, выполняет их настройку как в ручном, так и в автоматическом режиме, а также выполняет поиск объектов на компьютере, связанных с электронными деньгами, при этом указанные объекты включают, по меньшей мере, одно из: приложение, необходимое для хранения электронных денег и проведения транзакций (т.е. кошелек 110); приложение для генерации электронных денег 120а; историю запросов к бирже 140, где происходит обмен электронными деньгами.
Рассмотрим работу каждого из средств 310-330 по отдельности, а также приведем общий способ работы указанных средств в комплексе.
Фиг. 4 показывает способ работы средства защиты кошелька 310. На этапе 410 происходит проверка компьютера на наличие кошелька 110 (проверку условий может выполнять средство координации 340). Примером подобного поиска является поиск исполняемых файлов приложения кошелька 110 на жестком диске. Поиск может быть основан на использовании сигнатур или путем сравнения хеш-сумм файлов. После того как кошелек 110 был обнаружен, на этапе 420 производят поиск используемых им ресурсов. В качестве примера подобного ресурса можно привести файл wallet.dat. На этапе 430 с помощью средства защиты кошелька 310 производят контроль доступа к обнаруженным на этапе 420 ресурсам. Примером подобного контроля может быть запрет на открытие файла wallet.dat любыми приложениями, кроме приложения кошелька 110. Также в список ресурсов могут подпадать: записи в системном реестре, сетевые носители данных, облачные сервисы, переносные носители (флеш-диски), смартфоны, смарт-карты. Далее на этапе 440 отслеживают выполнение процесса приложения кошелька 110, ограничивая к нему доступ.
Примерами подобных ограничений могут быть:
- запрет доступа к виртуальной памяти процесса приложения кошелька 110 (например, путем перехвата функции WriteProcessMemory);
- контроль сетевых соединений процесса приложения кошелька 110 с целью противодействия возможным угрозам, таким как использование прокси-сервера 115а;
- контроль доступа к буферу обмена;
- запрет на снятие снимком экрана при активном окне процесса приложения кошелька 110;
- контроль родительского процесса при старте процесса приложения кошелька 110;
- запрет на управление потоками;
- контроль на отправку оконных сообщений;
- контроль на установку перехватчиков.
Фиг. 5 показывает способ работы средства отслеживания вредоносных программ 320. В частном варианте реализации отслеживание вредоносных программ выполняется с помощью средства отслеживания вредоносных программ 320. На этапе 510 происходит проверка условий старта антивирусного анализа (проверку условий может выполнять средство координации 340). Подобными условиями могут быть:
- наличие запущенных недоверенных процессов (например, которые не входят в "белый список", англ. whitelist);
- попытка доступа к буферу обмена со стороны недоверенных процессов;
- попытка доступа к процессу кошелька 110;
- запуск антивирусной проверки пользователем;
- периодическая антивирусная политика.
На этапе 520 производят поиск угроз, связанных с кошельком. Примерами подобных угроз могут быть вредоносные приложения типа кейлоггеров (англ. keylogger) или же те, которые делают снимки экрана. На этапе 530 производят поиск угроз, связанных с генерацией электронных денег. Примером подобной угрозы может быть троянская программа, которая использует ресурсы компьютера для генерации электронных денег без согласия пользователя. Примером эвристической сигнатуры для обнаружения вредоносного приложения для генерации электронных денег 120а может быть следующий набор признаков: неизвестное приложение длительное время использует ресурсы графического процессора (англ. GPU, Graphics Processing Unit) и периодически соединяется с сервером 160. На этапе 540 происходит поиск угроз, связанных с доступом к сети. Примерами подобных угроз являются вредоносные приложения 115а, которые могут заменять веб-страницы биржи 140 на фишинговые ресурсы при попытке доступа пользователя к ним, а также те вредоносные приложения 115а, которые могут отслеживать сетевые соединения кошелька 110 с сетью 150 для осуществления мошеннических транзакций электронных денег.
Фиг. 6 иллюстрирует способ работы средства контроля трафика. В частном варианте реализации контроль трафика выполняется с помощью средства контроля трафика 330. На этапе 610 проверяется необходимость проверки трафика (проверку условий может выполнять средство координации 340). В частности проверяется наличие кошелька 110, приложения для генерации электронных денег 120, история посещений пользователем биржи 140. На этапе 620 осуществляют контроль трафика, связанного с кошельком 110. Подобный функционал может выполнять также и средство защиты кошелька 310, отслеживая сетевые соединения процесса приложения кошелька 110 с сетью 150. В частном варианте реализации требуется отслеживать транзакции с кошелька 110 и выделять доверенных/недоверенных адресатов. На этапе 630 осуществляют контроль трафика, связанного с генерацией электронных денег. С этой целью отслеживают входящий/исходящий трафик между приложением для генерации электронных денег 120 и сервером 160, осуществляющим координацию работы подобных приложений (таких как приложение 120) во всей сети. В частном случае реализации существует необходимость разбора протоколов передачи данных, например, таких как Stratum. На этапе 640 контролируют трафик, связанный с биржей 140. В частном случае реализации в рамках такого контроля проверяют URL-адрес биржи 140, доверенность сертификата биржи 140 и другие параметры.
Фиг. 7 показывает способ работы настоящего изобретения. На этапе 710 с помощью средства координации 340 инициирует с помощью средств 310-330 проверку объектов на компьютере, связанных с электронными деньгами. Подобными объектами могут быть:
- кошелек 110, необходимый для хранения электронных денег и проведения транзакций;
- приложение для генерации электронных денег 120;
- история запросов к бирже 140, где происходит обмен электронных денег.
На этапе 720 настраивают средства 310-330 для обеспечения безопасности всех действий, связанных с электронными деньгами. Настройка может включать: указание процесса приложения кошелька 110 для средства защиты кошелька 310, базы данных и тип антивирусной проверки для средства отслеживания вредоносных программ 320, типы протоколов (а также портов) и URL-адресов, необходимые для отслеживания средству контроля трафика 330. На этапе 730 контролируют операции с электронными деньгами в соответствии с установленными настройками. Более подробно действия отображены на Фиг. 4-6. Периодически на этапе 740 производят повторный анализ объектов (как на этапе 710) для выявления возможных новых средств для работы с электронными деньгами. Также перепроверка может быть связана с обновлением баз данных средств 310-340.
Фиг. 8 представляет пример компьютерной системы общего назначения, персональный компьютер или сервер 20, содержащий центральный процессор 21, системную память 22 и системную шину 23, которая содержит разные системные компоненты, в том числе память, связанную с центральным процессором 21. Системная шина 23 реализована, как любая известная из уровня техники шинная структура, содержащая в свою очередь память шины или контроллер памяти шины, периферийную шину и локальную шину, которая способна взаимодействовать с любой другой шинной архитектурой. Системная память содержит постоянное запоминающее устройство (ПЗУ) 24, память с произвольным доступом (ОЗУ) 25. Основная система ввода/вывода (BIOS) 26 содержит основные процедуры, которые обеспечивают передачу информации между элементами персонального компьютера 20, например, в момент загрузки операционной системы с использованием ПЗУ 24.
Персональный компьютер 20 в свою очередь содержит жесткий диск 27 для чтения и записи данных, привод магнитных дисков 28 для чтения и записи на сменные магнитные диски 29 и оптический привод 30 для чтения и записи на сменные оптические диски 31, такие как CD-ROM, DVD-ROM и иные оптические носители информации. Жесткий диск 27, привод магнитных дисков 28, оптический привод 30 соединены с системной шиной 23 через интерфейс жесткого диска 32, интерфейс магнитных дисков 33 и интерфейс оптического привода 34 соответственно. Приводы и соответствующие компьютерные носители информации представляют собой энергонезависимые средства хранения компьютерных инструкций, структур данных, программных модулей и прочих данных персонального компьютера 20.
Настоящее описание раскрывает реализацию системы, которая использует жесткий диск 27, сменный магнитный диск 29 и сменный оптический диск 31, но следует понимать, что возможно применение иных типов компьютерных носителей информации 56, которые способны хранить данные в доступной для чтения компьютером форме (твердотельные накопители, флешкарты памяти, цифровые диски, память с произвольным доступом (ОЗУ) и т.п.), которые подключены к системной шине 23 через контроллер 55.
Компьютер 20 имеет файловую систему 36, где хранится записанная операционная система 35, а также дополнительные программные приложения 37, другие программные модули 38 и данные программ 39. Пользователь имеет возможность вводить команды и информацию в персональный компьютер 20 посредством устройств ввода (клавиатуры 40, манипулятора «мышь» 42). Могут использоваться другие устройства ввода (не отображены): микрофон, джойстик, игровая консоль, сканнер и т.п. Подобные устройства ввода по своему обычаю подключают к компьютерной системе 20 через последовательный порт 46, который в свою очередь подсоединен к системной шине, но могут быть подключены иным способом, например при помощи параллельного порта, игрового порта или универсальной последовательной шины (USB). Монитор 47 или иной тип устройства отображения также подсоединен к системной шине 23 через интерфейс, такой как видеоадаптер 48. В дополнение к монитору 47, персональный компьютер может быть оснащен другими периферийными устройствами вывода (не отображены), например колонками, принтером и т.п.
Персональный компьютер 20 способен работать в сетевом окружении, при этом используется сетевое соединение с другим или несколькими удаленными компьютерами 49. Удаленный компьютер (или компьютеры) 49 являются такими же персональными компьютерами или серверами, которые имеют большинство или все упомянутые элементы, отмеченные ранее при описании существа персонального компьютера 20, представленного на Фиг. 8. В вычислительной сети могут присутствовать также и другие устройства, например маршрутизаторы, сетевые станции, пиринговые устройства или иные сетевые узлы.
Сетевые соединения могут образовывать локальную вычислительную сеть (LAN) 50 и глобальную вычислительную сеть (WAN). Такие сети применяются в корпоративных компьютерных сетях, внутренних сетях компаний и, как правило, имеют доступ к сети Интернет. В LAN- или WAN-сетях персональный компьютер 20 подключен к локальной сети 50 через сетевой адаптер или сетевой интерфейс 51. При использовании сетей персональный компьютер 20 может использовать модем 54 или иные средства обеспечения связи с глобальной вычислительной сетью, такой как Интернет. Модем 54, который является внутренним или внешним устройством, подключен к системной шине 23 посредством последовательного порта 46. Следует уточнить, что сетевые соединения являются лишь примерными и не обязаны отображать точную конфигурацию сети, т.е. в действительности существуют иные способы установления соединения техническими средствами связи одного компьютера с другим.
В заключение следует отметить, что приведенные в описании сведения являются примерами, которые не ограничивают объем настоящего изобретения, определенного формулой.
Способ контроля операций с электронными деньгами, при этом способ включает этапы, на которых:а) проверяют объекты на компьютере, связанные с электронными деньгами, при этом указанные объекты включают, по меньшей мере, одно из:- приложение, необходимое для хранения электронных денег и проведения транзакций;- приложение для генерации электронных денег;- история запросов к бирже, где происходит обмен электронными деньгами;б) осуществляют контроль доступа к процессу приложения, необходимого для хранения электронных денег и проведения транзакций, с помощью средства защиты приложения, необходимого для хранения электронных денег и проведения транзакций;в) выделяют ресурсы приложения, необходимого для хранения электронных денег и проведения транзакций, где упомянутым ресурсом является файл wallet.dat, с помощью средства защиты приложения, необходимого для хранения электронных денег и проведения транзакций;г) осуществляют контроль доступа к ресурсам приложения, необходимого для хранения электронных денег и проведения транзакций, с помощью средства защиты приложения, необходимого для хранения электронных денег и проведения транзакций;д) осуществляют поиск угроз, связанных с приложением, необходимым для хранения электронных денег и проведения транзакций и связанных с генерацией электронных денег и связанных с доступом к сети, с помощью средства отслеживания вредоносных программ;е) осуществляют контроль трафика, связанного с приложением, необходимым для хранения электронных денег и проведения транзакций и связанного с биржей, где происходит обмен электронных денег, с помощью средства контроля трафика;ж) выполняют контроль операций с электронными деньгами с помощью указанных средств.