Клиент банкапод атакой

Содержание

Слайд 2

Интернет-банкинг

2

© 2002—2009, Digital Security

Клиент банка под атакой

Практически все банки предоставляют услуги по

Интернет-банкинг 2 © 2002—2009, Digital Security Клиент банка под атакой Практически все
интернет-банкингу
Существуют различные аспекты безопасности интернет- банкинга
Рассмотрим безопасность ПО, поставляемого банками клиенту

Слайд 3

Специфика модели нарушителя

3

© 2002—2009, Digital Security

С точки зрения злоумышленника, пользователь интернет-банкинга является

Специфика модели нарушителя 3 © 2002—2009, Digital Security С точки зрения злоумышленника,
более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше, чем банков
У одного пользователя может быть клиентское ПО от разных банков

Клиент банка под атакой

Слайд 4

Безопасность пользователей банк-клиентов

4

© 2002—2009, Digital Security

Безопасность пользователя зависит, от:
сохранности ЭЦП и

Безопасность пользователей банк-клиентов 4 © 2002—2009, Digital Security Безопасность пользователя зависит, от:
пароля
сложности подделки ЭЦП и подбора пароля
безопасности рабочей станции
безопасности канала передачи
безопасности клиентского ПО банк-клиента

Клиент банка под атакой

Слайд 5

© 2002—2009, Digital Security

Особенности клиентского ПО

5

Клиент банка под атакой

Многие банки не пишут

© 2002—2009, Digital Security Особенности клиентского ПО 5 Клиент банка под атакой
свое собственное ПО, а используют решения сторонних производителей
Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика

Слайд 6

Уязвимости ПО банк-клиентов

6

© 2002—2009, Digital Security

Доступ к HDD клиента на чтение и

Уязвимости ПО банк-клиентов 6 © 2002—2009, Digital Security Доступ к HDD клиента
запись
Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен
Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам

Клиент банка под атакой

Слайд 7

Уязвимости ПО банк-клиентов

7

© 2002—2009, Digital Security

Клиент банка под атакой

Переполнение буфера
Банк клиенты, как

Уязвимости ПО банк-клиентов 7 © 2002—2009, Digital Security Клиент банка под атакой
и любое другое ПО, подвержены уязвимостям переполнения буфера
В простейшем варианте уязвимость приводит к отказу в обслуживании
Если возможно выполнение произвольного кода, то можно:
получить удаленный административный доступ к системе
добавить учетную запись
загрузить троянскую программу
украсть ключи и другую критичную информацию

Слайд 8

Реализация атаки

8

© 2002—2009, Digital Security

Клиент банка под атакой

Перечисленные уязвимости возможно реализовать удаленно,

Реализация атаки 8 © 2002—2009, Digital Security Клиент банка под атакой Перечисленные
передав жертве ссылку на злонамеренный сайт
Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт
По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков

Слайд 9

9

Результат атаки

© 2002—2009, Digital Security

Клиент банка под атакой

Данные уязвимости позволяют атакующим проникнуть

9 Результат атаки © 2002—2009, Digital Security Клиент банка под атакой Данные
на машину с установленным банк-клиентом и:
загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль
найти ключи на жестком диске или дискете
если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ
Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании

Слайд 10

10

Результаты исследований

© 2002—2009, Digital Security

Были проанализированы 3 банк-клиента зарубежных производителей, используемых в

10 Результаты исследований © 2002—2009, Digital Security Были проанализированы 3 банк-клиента зарубежных
ряде европейских банков
В 2-х была обнаружена уязвимость доступа к дискам
В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода)
Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow

Клиент банка под атакой

Слайд 11

11

Защита с точки зрения разработчика

© 2002—2009, Digital Security

Закрытие уязвимостей в ПО
необходимо

11 Защита с точки зрения разработчика © 2002—2009, Digital Security Закрытие уязвимостей
помнить про такие классические ошибки, как переполнение буфера
необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе
необходимо ограничить доступ к функциям работы с реестром
Сторонний аудит безопасности приложений

Клиент банка под атакой

Имя файла: Клиент-банкапод-атакой.pptx
Количество просмотров: 145
Количество скачиваний: 0
- Предыдущая
Система проводит мониторинг и анализ данных по запросу заказчика. Что это?
Следующая -
Всеукраїнський фестиваль-конкурс«Мати України»

Похожие презентации

Комаров Алексей Никанорович (1879–1977)
Конфликты и пути их решения
Психологическое профессиоведение
ЭЛЕКТРОННЫЕ МОДЕЛИ Схем теплоснабжения городов на инструментальных средствах ИГС «CityCom-ТеплоГраф» Ексаев Арсен Рудольфович И
Принципы бизнес-планирования. Участники процесса бизнес-планирования
Предоставление информации о проведении ярмарок, выставок народного творчества, ремёсел в МАУК ЦКР Строитель
Кухни в классическом стиле
Об утверждении формы расчета сумм налога на доходы физических лиц, исчисленных и удержанных налоговым агентом (форма 6-НДФЛ)
Женское образование: история и перспективы
Christmas in Ukraine
Жития
Социальная экология – модуль 15Охрана окружающей среды
Қазақстандағы геотермальді энергетиканың даму перспективалары және потенциалы
Языки и методы конструирования программ
А1. Орфоэпические нормы
Реформатор Российской империи
Web-аналітика: 3 найважливіші цифри
ПРАВИЛА БЕЗОПАСНОГО ПОВЕДЕНИЯ В СИТУАЦИЯХ КРИМИНОГЕННОГО ХАРАКТЕРА. Цели: познакомиться с правилами поведения в
Этот День Победы
(002)Sensor Configurations
Основы языка изображения
Я иду на урок
Redeem copun foret blanche
Содержание функции организации в современном менеджменте
Інерція та інертність
Мультфильм Меч в камне
Презентация на тему Общие вопросы хирургии повреждений Механическая травма. Вывихи. Переломы. Первая помощь, лечение.
Школьные принадлежности
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть