Разыскиваемые ФБР по всему миру хакеры из группы Anonymous обещали «стереть NYSE с лица земли» и не оставить от нее ничего в интернете, но свое обещание не сдержали. Другие менее идеологически настроенные киберпреступники продолжают искать уязвимые места в работе не только бирж и брокеров, но и торговых роботов.
Трейдинг через интернет продолжает набирать обороты и становится все более популярным способом торговли на бирже. Порой в это сложно поверить, но на прибыльную стратегию может повлиять не ошибка в алгоритме, а вредоносное программное обеспечение. Это только в фильмах подросток с домашнего компьютера взламывает серверы Пентагона за пару минут. В жизни хакеры скорее ждут ошибку либо ищут ее в системе пользователя.
Токарь против американских брокеров
Министерство юстиции США предъявило обвинение выходцу из России Петру Мурмулюку (в деле фигурирует его второе имя — Дмитрий Токарь), похитившему $1 млн со счетов Scottrade, Etrade, Fidelity, Schwab и других американских брокеров. Он получал доступ к счетам, затем менял номера телефонов и электронные почты трейдеров, чтобы владельцы не получили информацию о состоянии счета, после чего похищал деньги.
Причин ошибок много: некоторые трейдеры, как и рядовые пользователи, не используют антивирусы и пароли, а многие оставляют терминал без присмотра. Копирование паролей и ключей к торговому терминалу осуществляется запуском программы в отсутствии хозяина или программами-шпионами («троянами»). Впоследствии такие вирусы незаметно передают информацию их создателям. Причем, антивирус подобную активность может пропустить, так как она выглядит, как безобидная загрузка веб-страниц. Особая опасность подстерегает трейдеров инвесткомпаний и банков, поскольку много любопытных глаз может наблюдать за их торговлей. А значит, знать сделки, объем позиции, клиентский и собственный интерес.
Помимо «троянов», популярны клавиатурные шпионы, которые пересылают создателю все, что набирается на клавиатуре. К примеру, такого шпиона обнаружила Лаборатория Касперского. Им можно было заразиться на популярных ресурсах gzt.ru, rbc.ru и прочих. Вирус умудрялся перехватывать обращение к системе QUIK, хотя антивирусы останавливали его. Пользователи зачастую недооценивают перехват данных в сети и думают, что секретный ключ обеспечивает необходимый уровень защиты. Однако этого недостаточно для защиты от кражи кода к роботу. Последнего можно избежать посредством использования экранной клавиатуры (см. рис. 1). Также стоит блокировать компьютер при уходе, устанавливать пароли, блокировать трафик для неизвестных программ.
Вид экранной клавиатуры
Йошкар-Олинский вирус
Атаки хакеров происходили и в России, хотя брокеры используют более защищенную технологию совершения сделок, чем популярные в США операции через веб-интерфейс (тонкий клиент). Но житель Йошкар-Олы Евгений Симонов сумел обойти защиту и обокрал клиентов пермского брокера почти на 2 млн рублей с помощью вируса, созданного для QUIK. Хакер получал доступ к компьютерам пользователей и продавал неликвидные фьючерсы с их счетов на свои по заниженной цене, фактически переводя себе деньги. Обычно клиент сам загружает вирус, например, пользуясь нелегальным софтом или ненадежными ссылками. Трейдеры могут получить их через библиотеки с индикаторами, в которые внедрен вредоносный код (обычно это программы на языках .NET и Java). После чего злоумышленник использует стандартную схему с низколиквидными ценными бумагами или производными. Обычно хакер приобретает на свое имя пакет акций какого‑нибудь эмитента третьего эшелона. Получив доступ к счету инвестора, на его деньги он начинает скупать эти бумаги. Из-за низкой ликвидности котировки тут же взлетают, а «на пике рынка» осуществляется продажа собственного пакета. Как только искусственная подпитка спроса исчезает, цены моментально возвращаются к изначальному уровню, а подешевевший «неликвид» оседает на счетах ничего не подозревающей жертвы.
Хакеры атакуют торговых роботов
В работу торгового терминала вмешаться не просто, зато можно легко модифицировать код роботов, запускаемых на компьютере. Например, в период написания алгоритма вирус незаметно добавляет несколько строк в файл, которые впоследствии либо нарушают работу программы, либо отправляют торговые сигналы злоумышленнику. В итоге, хакер получает готовую стратегию и возможность влиять на робота. Пользователь же может списать все неудачи на собственную ошибку. Наиболее подвержены модификации программы на языках Qpile, LUA, а также встроенные языки MQL или C# для популярной среди трейдеров Wealth-Lab. Кроме того, не стоит бездумно копировать код для роботов из интернета, поскольку таким образом тоже можно распространять зараженный код.
Также возможен перехват трафика и его искажение. Для этого необходимо запустить специальную программу и внести изменения в файл подключений (например, в ip.cfg для терминала QUIK). В результате, трафик, исходящий от терминала, попадает к злоумышленнику, который может его искажать либо задерживать. Например, для скальпера внедрение подобного «посредника» сделает извлечение прибыли практически невозможным. Обнаружить уязвимость можно в окне подключения, увидев что‑то наподобие изображенного на Рисунке 2 либо воспользовавшись утилитой netstat.
DDOS-атаки брокеров
WSJ сообщала, что российские хакеры регулярно просачивались в систему площадки Nasdaq. По утверждениям самой биржи, она не пострадала, но следы их внедрения были обнаружены специалистами. Полиция начала расследование и пыталась выяснить причины: от угрозы нации до обычного воровства.
Российские брокеры жаловались в СМИ, что их серверы часто атакуют хакеры. Защита от штурма DDOS-атакой требует больших ресурсов, и некоторым брокерам банально может их не хватить. Так, небольшие биржевые посредники используют всего 1–2 сервера, а для их блокировки достаточно пары домашних компьютеров.
Хакеры также пытаются устанавливать свое программное обеспечение в сетях брокера. Оно может лишь на несколько десятков миллисекунд придерживать клиентский трафик. Хотя для клиента это будет практически незаметно, хакер получит возможность создать удобную торговую стратегию. Такого вредителя опытный программист создаст за 20 минут. Бороться с проблемой можно введением ограничений подключения для «неизвестных» программ на компьютере, периодическим аудитом коннектов и работой через серьезного брокера.
Хакеры стараются действовать нетривиально, и стандартная логика не всегда помогает обнаружить их. Так, крупная финансовая компания неожиданно заметила, что счет, на котором торгует робот, стал быстро таять. Тщательные исследования не объяснили, почему совершаются убыточные сделки, так как проникновения не было, и все операции проводил сам робот. В итоге, все оказалось куда прозаичнее: источником информации для алгоритма были новости, которые, как оказалось, составлял другой автомат. Он и был доработан хакерами и указывал справедливую цену акций Barnes&Noble в $1 вместо рыночных $13. В другом случае житель Украины Александр Дорожко прочитал через сервер компании IMS Health пресс-релиз. Проанализировав его, он «загрузился» опционами Put, однако столь удачным инвестором заинтересовалась SEC.
Безопасный трейдинг
Перечисленные неприятности могут навести на мысли, что торговать на фондовом рынке небезопасно, но в действительности не стоит переживать по этому поводу. Получить вирус непросто: для этого нужно либо иметь врагов, либо раскрывать торговые тайны каждому встречному. Необходимо соблюдать простые меры предосторожности, которые снизят подобные риски: завести отдельные записи для администратора и для торговли, установив пароли на них, обзавестись антивирусами, устанавливать только лицензионные программы, а также выходить в сеть через firewall. Есть и другие способы, над которыми стоит задуматься создателям роботов и трейдерам: не качайте торренты или выделяйте для этого отдельный компьютер, создавайте роботов, используя FIX (в этом случае можно написать программу без каких‑либо компонент), пользуйтесь операционными системами семейства UNIX.
Следуя этим простым правилам, можно создать безопасное окружение для работы ваших торговых роботов. Они дадут приемлемый уровень надежности, так как в этом случае можно визуально оценить работу системы. Куда сложнее это сделать, если в последней 20 параметров, генетический алгоритм и нейронная сеть. Но и про меры безопасности все же забывать не стоит.
Иногда угроза приходит совсем не оттуда, откуда вы ее ждете. Стандартные меры безопасности и регулярный мониторинг счета способны сохранить ваши деньги от утечки на счета взломщиков.
Окно подключения QUIK