Технологии безопасности

Сайт посвященный вопросам безопасности

Зачем хакеры воруют торговые алгоритмы хедж-фондов и HFT-компаний

(adsbygoogle = window.adsbygoogle || []).push({});

Изображение: Russ Allison Loar, CC BY 2.0

После перерыва блог ITinvest возвращается на Хабр. Ранее мы уже рассказывали о том, как хакеры атакуют биржи и финансовые компании для кражи инсайдерской информации. Однако, часто злоумышленники не ограничиваются похищением финансовых данных и стремятся завладеть торговыми алгоритмами, которые хедж-фонды и HFT-фирмы используют для торговли на бирже.

Кража алгоритма: зачем это нужно

Представители компаний из сферы информационной безопасности еще в 2015 году рассказали журналистам о случаях взлома систем хедж-фондов и HFT-фирм с целью кражи торговых алгоритмов.

В частности, представители ИБ-вендора Kroll сообщали о нескольких случаях попыток похищения торговых алгоритмов — то есть программ, которые используются для автоматизированного осуществляется торговых операций на финансовых рынках. При этом предотвратить утечку алгоритмов удалось в двух случаях, в одном атака оказалась успешной. Также об участии в разборе инцидента безопасности, связанном с кражей торговых алгоритмов, заявляли в компании FireEye.

Атаки, направленные на кражу торговых алгоритмов редко осуществляются с целью использовать программный код для непосредственной торговли на бирже. Куда чаще в случае успешного взлома злоумышленники могут предложить вернуть похищенные алгоритмы за вознаграждение, угрожая опубликовать данные об атаке — это всегда провоцирует панику среди клиентов финансовой компании.

По словам ИБ-экспертов, такие атаки довольно трудоемки и редки. И случаются они главным образом ради вымогательства, поскольку применить информацию и особенно код для торговли будет сложно, хотя это и возможно, хотя в таких случаях угроза чаще исходит от недобросовестных сотрудников финансовых компаний.

К примеру, зимой 2015 года были предъявлены обвинения бывшему работнику одного из расположенных на Манхэттене хедж-фондов Two Sigma Кангу Гао (Kang Gao) — согласно опубликованным документам, его трудовой контракт запрещал доступ к торговым стратегиям, финансовым моделям, но несмотря на это сотрудник отправлял такие файлы сам себе на email. Впоследствии он намеревался запустить собственную HFT-фирму.

Как осуществляются атаки

Представители компаний, занимающихся информационной безопасностью, не публикую названия компаний, чьи торговые алгоритмы пытались украсть хакеры. Однако исследователь из Kroll Эрнест Гилберт заявлял в разговоре с журналистом Financial Times о том, что финансовые компании являются «заманчивой целью для хакеров», поскольку не все из них внедряют инструменты и подходы по обеспечению защиты информации, вроде сегментации сети и мониторинга трафика.

Часто атакующим не приходится придумывать изощренные способы проведения взлома — самым слабым звеном чаще всего являются сотрудники компании, которые могут открыть письмо с вредоносным вложением. При этом, снизить вероятность успешных атак можно с помощью ограничения доступа к интеллектуальной собственности в том числе по IP-адресам, а также с помощью мониторинга исходящего и входящего трафика с применением современных анализаторов, убежден Гилберт.

При этом, в зоне риска не только трейдинговые алгоритмы, но и инсайдерская информация (в том числе о новостях компаний) — преступников интересует все, что может дать преимущество конкуренту финансовой компании или другому трейдеру. Развитие современных черных рынков и криптовалют усугубляет ситуацию — белые воротнички, недовольные заработком в компании, и преступники могут здесь легко находить друг друга и проворачивать серьезные махинации.

Не все так плохо

Мы уже приводили сравнение уровня безопасности банков и бирж в плане количества и качества хакерских атак и пришли к выводу, что нападения на биржевые площадки и брокерские компании сравнительно редки. Если в банковском секторе взломы и попытки взломов принято считать уже вполне обыденным явлением, то каждая история с атакой на биржу вызывает серьезный общественный резонанс (при условии утечки данных об инциденте в прессу).

Системы безопасности на российских биржах выстроена достаточно неплохо. В 2015 году здесь был создан собственный центр информационной безопасности, активно обменивающийся информацией с банками и биржами. Московскую биржу заставили в 2016 году полностью перейти на новую информационную архитектуру и обновить оборудование, чтобы минимизировать потери от технических сбоев.

Если говорить о защищенности брокерского счета конкретного человека в сравнении с банковским, то вероятность взлома существует всегда — теоретически, злоумышленник может получить к нему доступ, похитив ключи шифрования и пароль (например, с помощью шпионской программы).

При этом вывести и обналичить средства будет гораздо сложнее — мошеннику придется начать манипулировать с ценными бумагами, продавая или покупая их с брокерского счета жертвы по невыгодным ценам. Однако это требует серьезных навыков работы на финансовых рынках, которые не обладают большинство хакеров. биржи сегодня ограничивают максимально допустимый диапазон колебания цен во время одной торговой сессии, так что атакующий вряд ли сможет таким образом «вывести» со счета на счет какую-то серьезную сумму.

Помимо этого, чтобы минимизировать возможный ущерб брокерские компании разрабатывают различные системы защиты клиентов. О том, как реализована подобная защита в торговой системе ITinvest MatriX можно прочитать здесь.

Другие материалы по теме финансов и фондового рынка от ITinvest:

Образовательные ресурсы ITinvest
Аналитика и обзоры рынка
Большой куш: Почему хакеры атакуют систему финансовых переводов SWIFT
Lazarus: Кто стоит за атаками на систему банковских переводов SWIFT
Как русские хакеры обокрали Nasdaq
Русские хакеры взломали Dow Jones и завладели инсайдерской информацией