Клиент банкапод атакой

Содержание

Слайд 2

Интернет-банкинг

2

© 2002—2009, Digital Security

Клиент банка под атакой

Практически все банки предоставляют услуги по

Интернет-банкинг 2 © 2002—2009, Digital Security Клиент банка под атакой Практически все
интернет-банкингу
Существуют различные аспекты безопасности интернет- банкинга
Рассмотрим безопасность ПО, поставляемого банками клиенту

Слайд 3

Специфика модели нарушителя

3

© 2002—2009, Digital Security

С точки зрения злоумышленника, пользователь интернет-банкинга является

Специфика модели нарушителя 3 © 2002—2009, Digital Security С точки зрения злоумышленника,
более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше, чем банков
У одного пользователя может быть клиентское ПО от разных банков

Клиент банка под атакой

Слайд 4

Безопасность пользователей банк-клиентов

4

© 2002—2009, Digital Security

Безопасность пользователя зависит, от:
сохранности ЭЦП и

Безопасность пользователей банк-клиентов 4 © 2002—2009, Digital Security Безопасность пользователя зависит, от:
пароля
сложности подделки ЭЦП и подбора пароля
безопасности рабочей станции
безопасности канала передачи
безопасности клиентского ПО банк-клиента

Клиент банка под атакой

Слайд 5

© 2002—2009, Digital Security

Особенности клиентского ПО

5

Клиент банка под атакой

Многие банки не пишут

© 2002—2009, Digital Security Особенности клиентского ПО 5 Клиент банка под атакой
свое собственное ПО, а используют решения сторонних производителей
Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика

Слайд 6

Уязвимости ПО банк-клиентов

6

© 2002—2009, Digital Security

Доступ к HDD клиента на чтение и

Уязвимости ПО банк-клиентов 6 © 2002—2009, Digital Security Доступ к HDD клиента
запись
Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен
Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам

Клиент банка под атакой

Слайд 7

Уязвимости ПО банк-клиентов

7

© 2002—2009, Digital Security

Клиент банка под атакой

Переполнение буфера
Банк клиенты, как

Уязвимости ПО банк-клиентов 7 © 2002—2009, Digital Security Клиент банка под атакой
и любое другое ПО, подвержены уязвимостям переполнения буфера
В простейшем варианте уязвимость приводит к отказу в обслуживании
Если возможно выполнение произвольного кода, то можно:
получить удаленный административный доступ к системе
добавить учетную запись
загрузить троянскую программу
украсть ключи и другую критичную информацию

Слайд 8

Реализация атаки

8

© 2002—2009, Digital Security

Клиент банка под атакой

Перечисленные уязвимости возможно реализовать удаленно,

Реализация атаки 8 © 2002—2009, Digital Security Клиент банка под атакой Перечисленные
передав жертве ссылку на злонамеренный сайт
Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт
По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков

Слайд 9

9

Результат атаки

© 2002—2009, Digital Security

Клиент банка под атакой

Данные уязвимости позволяют атакующим проникнуть

9 Результат атаки © 2002—2009, Digital Security Клиент банка под атакой Данные
на машину с установленным банк-клиентом и:
загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль
найти ключи на жестком диске или дискете
если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ
Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании

Слайд 10

10

Результаты исследований

© 2002—2009, Digital Security

Были проанализированы 3 банк-клиента зарубежных производителей, используемых в

10 Результаты исследований © 2002—2009, Digital Security Были проанализированы 3 банк-клиента зарубежных
ряде европейских банков
В 2-х была обнаружена уязвимость доступа к дискам
В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода)
Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow

Клиент банка под атакой

Слайд 11

11

Защита с точки зрения разработчика

© 2002—2009, Digital Security

Закрытие уязвимостей в ПО
необходимо

11 Защита с точки зрения разработчика © 2002—2009, Digital Security Закрытие уязвимостей
помнить про такие классические ошибки, как переполнение буфера
необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе
необходимо ограничить доступ к функциям работы с реестром
Сторонний аудит безопасности приложений

Клиент банка под атакой

Имя файла: Клиент-банкапод-атакой.pptx
Количество просмотров: 90
Количество скачиваний: 0
- Предыдущая
Система проводит мониторинг и анализ данных по запросу заказчика. Что это?
Следующая -
Всеукраїнський фестиваль-конкурс«Мати України»

Похожие презентации

Муниципальное общеобразовательное учреждение «Средняя общеобразовательная школа № 5»
Я и мое занятие
Системы для сбора и сортировки мусора Устойчивость к температурным режимам и химическим веществам
Механизм организации внеурочной деятельности в «Модели образовательной системы «Уникум»ориентированной на индивидуальное разв
“Человек без всякого воображения может собирать факты, но никогда не сделает великого открытия, а русский физик-теоретик академик
Календарь школьных дел
КНИГА ДЛЯ РОДИТЕЛЕЙв курсе ОРКСЭ
ГАОУ ВПО Дагестанский государственный институт народного хозяйства. Факультет Бухгалтерский учет и аудит
Атомные электростанции (АЭС)
Гамбург – Берн – Рим
Построение сети инновационных кластеров Санкт-Петербурга
4_Dengi_i_ikh_funktsii (1) (3)
Контурная резьба
Презентация на тему Литературная викторина
Газпром газораспределение
Организация неотложной помощи
ФОРМЫ КУЛЬТУРЫ.
Берілген суреттер арқылы сабақ тақырыбын болжау
Памятка для исполнительных органов государственной власти Костромской области по проведению протокольных мероприятий в админис
ПАКЕТ НОВЫХ ИЗОБРЕТЕНИЙ
Презентация на тему Правила поведения летом
Основные предметы:
Назывные предложения 8 класс
Презентация на тему Гаршин сказка о жабе и розе
Презентация на тему Лоси
Требования ФГОС по развитию компетенций и вузовские электронные курсы. Что может заменить практикумы и интерактивные формы прове
Коммуникационное агентство 22:22. Проекты
Международные организации
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть