Клиент банкапод атакой

Содержание

Слайд 2

Интернет-банкинг

2

© 2002—2009, Digital Security

Клиент банка под атакой

Практически все банки предоставляют услуги по

Интернет-банкинг 2 © 2002—2009, Digital Security Клиент банка под атакой Практически все
интернет-банкингу
Существуют различные аспекты безопасности интернет- банкинга
Рассмотрим безопасность ПО, поставляемого банками клиенту

Слайд 3

Специфика модели нарушителя

3

© 2002—2009, Digital Security

С точки зрения злоумышленника, пользователь интернет-банкинга является

Специфика модели нарушителя 3 © 2002—2009, Digital Security С точки зрения злоумышленника,
более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше, чем банков
У одного пользователя может быть клиентское ПО от разных банков

Клиент банка под атакой

Слайд 4

Безопасность пользователей банк-клиентов

4

© 2002—2009, Digital Security

Безопасность пользователя зависит, от:
сохранности ЭЦП и

Безопасность пользователей банк-клиентов 4 © 2002—2009, Digital Security Безопасность пользователя зависит, от:
пароля
сложности подделки ЭЦП и подбора пароля
безопасности рабочей станции
безопасности канала передачи
безопасности клиентского ПО банк-клиента

Клиент банка под атакой

Слайд 5

© 2002—2009, Digital Security

Особенности клиентского ПО

5

Клиент банка под атакой

Многие банки не пишут

© 2002—2009, Digital Security Особенности клиентского ПО 5 Клиент банка под атакой
свое собственное ПО, а используют решения сторонних производителей
Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика

Слайд 6

Уязвимости ПО банк-клиентов

6

© 2002—2009, Digital Security

Доступ к HDD клиента на чтение и

Уязвимости ПО банк-клиентов 6 © 2002—2009, Digital Security Доступ к HDD клиента
запись
Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен
Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам

Клиент банка под атакой

Слайд 7

Уязвимости ПО банк-клиентов

7

© 2002—2009, Digital Security

Клиент банка под атакой

Переполнение буфера
Банк клиенты, как

Уязвимости ПО банк-клиентов 7 © 2002—2009, Digital Security Клиент банка под атакой
и любое другое ПО, подвержены уязвимостям переполнения буфера
В простейшем варианте уязвимость приводит к отказу в обслуживании
Если возможно выполнение произвольного кода, то можно:
получить удаленный административный доступ к системе
добавить учетную запись
загрузить троянскую программу
украсть ключи и другую критичную информацию

Слайд 8

Реализация атаки

8

© 2002—2009, Digital Security

Клиент банка под атакой

Перечисленные уязвимости возможно реализовать удаленно,

Реализация атаки 8 © 2002—2009, Digital Security Клиент банка под атакой Перечисленные
передав жертве ссылку на злонамеренный сайт
Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт
По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков

Слайд 9

9

Результат атаки

© 2002—2009, Digital Security

Клиент банка под атакой

Данные уязвимости позволяют атакующим проникнуть

9 Результат атаки © 2002—2009, Digital Security Клиент банка под атакой Данные
на машину с установленным банк-клиентом и:
загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль
найти ключи на жестком диске или дискете
если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ
Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании

Слайд 10

10

Результаты исследований

© 2002—2009, Digital Security

Были проанализированы 3 банк-клиента зарубежных производителей, используемых в

10 Результаты исследований © 2002—2009, Digital Security Были проанализированы 3 банк-клиента зарубежных
ряде европейских банков
В 2-х была обнаружена уязвимость доступа к дискам
В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода)
Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow

Клиент банка под атакой

Слайд 11

11

Защита с точки зрения разработчика

© 2002—2009, Digital Security

Закрытие уязвимостей в ПО
необходимо

11 Защита с точки зрения разработчика © 2002—2009, Digital Security Закрытие уязвимостей
помнить про такие классические ошибки, как переполнение буфера
необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе
необходимо ограничить доступ к функциям работы с реестром
Сторонний аудит безопасности приложений

Клиент банка под атакой

Имя файла: Клиент-банкапод-атакой.pptx
Количество просмотров: 156
Количество скачиваний: 0
- Предыдущая
Система проводит мониторинг и анализ данных по запросу заказчика. Что это?
Следующая -
Всеукраїнський фестиваль-конкурс«Мати України»

Похожие презентации

Резиденция бизнес класса
PR-проект ГОСУДАРСТВЕННЫЙ ТЕАТР ОПРЕЫ И БАЛЕТА РЕСПУБЛИКИ КОМИ.НАСЛЕДИЕ.
Основное энергетическое уравнение турбины. Кавитация в гидромашинах
Николай Николаевич Носов и его книги
Презентация на тему Инфузория Туфелька
Сначала будет Слово
Сергей Александрович Есенин
РАЗРАБОТКА ИГР НА С++ ПРИЕМЫ И ПРАКТИКИ
Ленд-лиз в СССР
Бодяжиной Юлии Владимировны. Традиционный объяснительно- иллюстративный метод не позволяет в полной мере активизировать образов
Курация больного с оформлением истории болезни
Дыхание, голос. Страх выступления перед аудиторией
Организационная структура ВС РФ
Урок русского языка в 5 классе
КАФЕДРА МЕЖДУНАРОДНОГО ТУРИЗМА
М.Ю.Лермонтов. Страницы биографии
Сертификация QA
Устранение неисправностей по EFL 10
Финансовый менеджмент в управлении качеством
Презентация на тему Порядок действий должностных лиц таможенных органов в железнодорожном пункте пропуска
Детский дорожно-транспортный травматизм в г.Архангельск
«Петровская СОШ»Заикина Мария и Куриленко Анастасия11 класс«Образы природы в искусстве»
черчение (4)
Несовершеннолетние и уголовный закон
История зимних Олимпийских игр
Искусство Древнего Египта
Разработка “воронки” продаж - оцифровывание онлайн / офлайн бизнеса
Законодательные основы деятельности детских оздоровительных лагерей
LiveInternet
Обратная связь
Для правообладателей
Email: Нажмите что бы посмотреть