Аутентификация в системах Интернет-банкингаАнализ типичных ошибок

Содержание

Слайд 2

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

О чем пойдет речь

Аутентификация в системах Интернет-Банк
Актуальные векторы

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru О чем пойдет речь Аутентификация в системах
угроз
Уязвимости приложений
Системы одноразовых паролей
Цифровые сертификаты
Резюме

Слайд 3

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Аутентификация в Интернет-Банках

Требуется обеспечить высокий уровень безопасности
Широкое использование

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Аутентификация в Интернет-Банках Требуется обеспечить высокий уровень
Интернет-технологий
HTTP/HTTPS для передачи данных
Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам криптографической защиты
Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
Вероятно отсутствие обновлений безопасности
Низкий уровень ИТ и ИБ грамотности
Возможно наличие вредоносных программ
Вероятна работа с недоверенного рабочего места

Слайд 4

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Актуальные векторы угроз

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Актуальные векторы угроз

Слайд 5

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на сеть

Большинство транзакций производится из незащищенных сетей
Как

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сеть Большинство транзакций производится из
правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты
Комбинации технических и социотехнических атак
SSL/TLS + аутентификация клиента по сертификатам

Слайд 6

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на клиента

Самая большая проблема
Защита рабочих мест вне

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на клиента Самая большая проблема Защита
компетенции владельца ИС
Рекомендательный характер мер
Отсутствие обновлений, антивирусного ПО, пиратское ПО
Широкое использование социотехник злоумышленниками
Высокий уровень развития вредоносного ПО

Слайд 7

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Атаки на сервер

Менее популярны, но не менее эффективны
Зачастую

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на сервер Менее популярны, но не
присутствуют уязвимости Web-приложений
Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF)
SSL – не защита от уязвимостей Web-приложений

Слайд 8

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Системы одноразовых паролей

Достаточно широко распространены
Невысокая стоимость при потенциальной

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Системы одноразовых паролей Достаточно широко распространены Невысокая
защищенности
Мало зависят от ОС/Браузера
Возможны разные варианты реализации
Заранее рассчитанные списки паролей
Генераторы паролей
SMS-сервис

Слайд 9

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Типичные ошибки

Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию без

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Типичные ошибки Уязвимости Web-приложений Наличие уязвимости позволяет
знания пароля
Необходимость контроля HTTP-сессии
Одноразовые пароли тоже пароли
Возможен перехват
Небольшая энтропия – подбор значения
Большое «окно»

Слайд 10

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Цифровые сертификаты

Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция должна

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Цифровые сертификаты Наиболее мощный инструмент Позволяют компенсировать
быть подписана
Зависят от ОС/Браузера
Использование для защиты сети (SSL/TLS)
Основные проблемы связаны с хранением закрытого ключа

Слайд 11

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru

Резюме

«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических атак
Аутентификация

www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Резюме «Серверный» SSL/TLS недостаточно надежен Велика вероятность
клиента по сертификатам
Уязвимости Web зачастую не учитываются
Большинство Web-приложений содержит серьезные проблемы
Анализ защищенности/использование Web Application Firewall (PCI DSS)
Одноразовые пароли – тоже пароли
К ним применимы стандартные парольные атаки
Стандартные контрмеры (защита от подбора и т.д.)
При использовании сертификатов требуется надежное хранилище
Смарт-карты и токены
Имя файла: Аутентификация-в-системах-Интернет-банкингаАнализ-типичных-ошибок.pptx
Количество просмотров: 122
Количество скачиваний: 0