Клиент банкапод атакой

Февраль 12, 2021

Главная
Разное
Клиент банкапод атакой

Содержание

2. Интернет-банкинг 2 © 2002—2009, Digital Security Клиент банка под атакой Практически все банки предоставляют услуги по
3. Специфика модели нарушителя 3 © 2002—2009, Digital Security С точки зрения злоумышленника, пользователь интернет-банкинга является более
4. Безопасность пользователей банк-клиентов 4 © 2002—2009, Digital Security Безопасность пользователя зависит, от: сохранности ЭЦП и пароля
5. © 2002—2009, Digital Security Особенности клиентского ПО 5 Клиент банка под атакой Многие банки не пишут
6. Уязвимости ПО банк-клиентов 6 © 2002—2009, Digital Security Доступ к HDD клиента на чтение и запись
7. Уязвимости ПО банк-клиентов 7 © 2002—2009, Digital Security Клиент банка под атакой Переполнение буфера Банк клиенты,
8. Реализация атаки 8 © 2002—2009, Digital Security Клиент банка под атакой Перечисленные уязвимости возможно реализовать удаленно,
9. 9 Результат атаки © 2002—2009, Digital Security Клиент банка под атакой Данные уязвимости позволяют атакующим проникнуть
10. 10 Результаты исследований © 2002—2009, Digital Security Были проанализированы 3 банк-клиента зарубежных производителей, используемых в ряде
11. 11 Защита с точки зрения разработчика © 2002—2009, Digital Security Закрытие уязвимостей в ПО необходимо помнить
13. Скачать презентацию

Интернет-банкинг
2
© 2002—2009, Digital Security
Клиент банка под атакой
Практически все банки предоставляют услуги по

интернет-банкингу
Существуют различные аспекты безопасности интернет- банкинга
Рассмотрим безопасность ПО, поставляемого банками клиенту

Специфика модели нарушителя
3
© 2002—2009, Digital Security
С точки зрения злоумышленника, пользователь интернет-банкинга является

более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше, чем банков
У одного пользователя может быть клиентское ПО от разных банков

Клиент банка под атакой

Безопасность пользователей банк-клиентов
4
© 2002—2009, Digital Security
Безопасность пользователя зависит, от:
сохранности ЭЦП и

пароля
сложности подделки ЭЦП и подбора пароля
безопасности рабочей станции
безопасности канала передачи
безопасности клиентского ПО банк-клиента

Клиент банка под атакой

© 2002—2009, Digital Security
Особенности клиентского ПО
5
Клиент банка под атакой
Многие банки не пишут

свое собственное ПО, а используют решения сторонних производителей
Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика

Уязвимости ПО банк-клиентов
6
© 2002—2009, Digital Security
Доступ к HDD клиента на чтение и

запись
Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен
Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам

Клиент банка под атакой

Слайд 7

Уязвимости ПО банк-клиентов
7
© 2002—2009, Digital Security
Клиент банка под атакой
Переполнение буфера
Банк клиенты, как

и любое другое ПО, подвержены уязвимостям переполнения буфера
В простейшем варианте уязвимость приводит к отказу в обслуживании
Если возможно выполнение произвольного кода, то можно:
получить удаленный административный доступ к системе
добавить учетную запись
загрузить троянскую программу
украсть ключи и другую критичную информацию

Слайд 8

Реализация атаки
8
© 2002—2009, Digital Security
Клиент банка под атакой
Перечисленные уязвимости возможно реализовать удаленно,

передав жертве ссылку на злонамеренный сайт
Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт
По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков

Слайд 9

9 Результат атаки © 2002—2009, Digital Security Клиент банка под атакой Данные

на машину с установленным банк-клиентом и:
загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль
найти ключи на жестком диске или дискете
если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ
Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании

Слайд 10

10
Результаты исследований
© 2002—2009, Digital Security
Были проанализированы 3 банк-клиента зарубежных производителей, используемых в

ряде европейских банков
В 2-х была обнаружена уязвимость доступа к дискам
В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода)
Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow

Клиент банка под атакой

Слайд 11

11 Защита с точки зрения разработчика © 2002—2009, Digital Security Закрытие уязвимостей

помнить про такие классические ошибки, как переполнение буфера
необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе
необходимо ограничить доступ к функциям работы с реестром
Сторонний аудит безопасности приложений

Клиент банка под атакой

Клиент банкапод атакой

Содержание

Слайд 2

Интернет-банкинг
2
© 2002—2009, Digital Security
Клиент банка под атакой
Практически все банки предоставляют услуги по

Слайд 3

Специфика модели нарушителя
3
© 2002—2009, Digital Security
С точки зрения злоумышленника, пользователь интернет-банкинга является

Слайд 4

Безопасность пользователей банк-клиентов
4
© 2002—2009, Digital Security
Безопасность пользователя зависит, от:
сохранности ЭЦП и

Слайд 5

© 2002—2009, Digital Security
Особенности клиентского ПО
5
Клиент банка под атакой
Многие банки не пишут

Слайд 6

Уязвимости ПО банк-клиентов
6
© 2002—2009, Digital Security
Доступ к HDD клиента на чтение и

Слайд 7

Уязвимости ПО банк-клиентов
7
© 2002—2009, Digital Security
Клиент банка под атакой
Переполнение буфера
Банк клиенты, как

Слайд 8

Реализация атаки
8
© 2002—2009, Digital Security
Клиент банка под атакой
Перечисленные уязвимости возможно реализовать удаленно,

Слайд 9

9
Результат атаки
© 2002—2009, Digital Security
Клиент банка под атакой
Данные уязвимости позволяют атакующим проникнуть

Слайд 10

10
Результаты исследований
© 2002—2009, Digital Security
Были проанализированы 3 банк-клиента зарубежных производителей, используемых в

Слайд 11

11
Защита с точки зрения разработчика
© 2002—2009, Digital Security
Закрытие уязвимостей в ПО
необходимо

Клиент банкапод атакой

Содержание

Интернет-банкинг2© 2002—2009, Digital SecurityКлиент банка под атакойПрактически все банки предоставляют услуги по

Специфика модели нарушителя3© 2002—2009, Digital SecurityС точки зрения злоумышленника, пользователь интернет-банкинга является

Безопасность пользователей банк-клиентов4© 2002—2009, Digital SecurityБезопасность пользователя зависит, от: сохранности ЭЦП и

© 2002—2009, Digital SecurityОсобенности клиентского ПО5Клиент банка под атакойМногие банки не пишут

Уязвимости ПО банк-клиентов6© 2002—2009, Digital SecurityДоступ к HDD клиента на чтение и

Уязвимости ПО банк-клиентов7© 2002—2009, Digital SecurityКлиент банка под атакойПереполнение буфераБанк клиенты, как

Реализация атаки8© 2002—2009, Digital SecurityКлиент банка под атакойПеречисленные уязвимости возможно реализовать удаленно,

9Результат атаки© 2002—2009, Digital SecurityКлиент банка под атакойДанные уязвимости позволяют атакующим проникнуть

10Результаты исследований© 2002—2009, Digital SecurityБыли проанализированы 3 банк-клиента зарубежных производителей, используемых в

11Защита с точки зрения разработчика© 2002—2009, Digital SecurityЗакрытие уязвимостей в ПО необходимо

Похожие презентации

Интернет-банкинг
2
© 2002—2009, Digital Security
Клиент банка под атакой
Практически все банки предоставляют услуги по

Специфика модели нарушителя
3
© 2002—2009, Digital Security
С точки зрения злоумышленника, пользователь интернет-банкинга является

Безопасность пользователей банк-клиентов
4
© 2002—2009, Digital Security
Безопасность пользователя зависит, от:
сохранности ЭЦП и

© 2002—2009, Digital Security
Особенности клиентского ПО
5
Клиент банка под атакой
Многие банки не пишут

Уязвимости ПО банк-клиентов
6
© 2002—2009, Digital Security
Доступ к HDD клиента на чтение и

Уязвимости ПО банк-клиентов
7
© 2002—2009, Digital Security
Клиент банка под атакой
Переполнение буфера
Банк клиенты, как

Реализация атаки
8
© 2002—2009, Digital Security
Клиент банка под атакой
Перечисленные уязвимости возможно реализовать удаленно,

9
Результат атаки
© 2002—2009, Digital Security
Клиент банка под атакой
Данные уязвимости позволяют атакующим проникнуть

10
Результаты исследований
© 2002—2009, Digital Security
Были проанализированы 3 банк-клиента зарубежных производителей, используемых в

11
Защита с точки зрения разработчика
© 2002—2009, Digital Security
Закрытие уязвимостей в ПО
необходимо