Содержание
- 2. ДБО - механизмы защиты © 2002—2011, Digital Security В отечественных системах ДБО для юридических лиц кроме
- 3. Хакеры © 2002—2011, Digital Security Злоумышленники могут использовать уязвимости не только клиента банка, но и самого
- 4. Уязвимости © 2002—2011, Digital Security Межсайтовый скриптинг Внедрение SQL запросов Обход аутентификации Обход авторизации Выполнение кода
- 5. Обход СКЗИ © 2002—2011, Digital Security Имея уязвимости в WEB или, например, доступ к СУБД, в
- 6. Плагины © 2002—2011, Digital Security Установка плагинов для клиентов - необходимая часть для того, чтобы клиент
- 7. Видео-демонстрация © 2002—2011, Digital Security Уязвимости в системах ДБО
- 8. Обновления © 2002—2011, Digital Security Не все разработчики ДБО и далеко не всегда уведомляют о проблемах
- 9. Отсутствие защиты © 2002—2011, Digital Security Разработчики систем ДБО не были готовы к тому, что их
- 11. Скачать презентацию
Слайд 2ДБО - механизмы защиты
© 2002—2011, Digital Security
В отечественных системах ДБО для юридических
ДБО - механизмы защиты
© 2002—2011, Digital Security
В отечественных системах ДБО для юридических

Любая другая технология или система - добровольное дело разработчика.
Нет стандарта безопасности для таких систем
Никто не проверяет безопасность кода системы
Никто не проверяет, как была внедрена система
Системы ДБО не проверяются даже QSA аудиторами в рамках работ по PCI DSS
Уязвимости в системах ДБО
Слайд 3Хакеры
© 2002—2011, Digital Security
Злоумышленники могут использовать уязвимости не только клиента банка, но
Хакеры
© 2002—2011, Digital Security
Злоумышленники могут использовать уязвимости не только клиента банка, но

Это возможно:
Множество уязвимостей в коде
Ошибки в архитектуре
Отсутствие защитных технологий (разработчик просто не использует их)
Ошибки при внедрении
Уязвимости в банковской сетевой инфраструктуре
Уязвимости в системах ДБО
Слайд 4Уязвимости
© 2002—2011, Digital Security
Межсайтовый скриптинг
Внедрение SQL запросов
Обход аутентификации
Обход авторизации
Выполнение кода
Ошибки логики
Уязвимости клиентских
Уязвимости
© 2002—2011, Digital Security
Межсайтовый скриптинг
Внедрение SQL запросов
Обход аутентификации
Обход авторизации
Выполнение кода
Ошибки логики
Уязвимости клиентских

? Эти и многие другие ошибки в WEB интерфейсе ДБО приводят к возможности фишинга на домене банка, атакам Man-In-The-Browser, атакам на клиентов с доверенного домена, что в конечном счете приводит к нарушению банковской тайны, утечке персональных данных, выполнению поддельных платежных поручений и компрометации ПК пользователей
Уязвимости в системах ДБО
Слайд 5Обход СКЗИ
© 2002—2011, Digital Security
Имея уязвимости в WEB или, например, доступ к
Обход СКЗИ
© 2002—2011, Digital Security
Имея уязвимости в WEB или, например, доступ к

В большинстве случаев, СКЗИ используетcя в прозрачном режиме, что позволяет хакеру незаметно использовать её даже удаленно за счет механизмов управления СКЗИ методами WEB.
? Все это, в совокупности с общепроцессными проблемами ИБ ведет к существованию реального риска неавторизированной установки ЭЦП или обхода проверки ЭЦП вообще даже без компрометации ПК клиента.
Уязвимости в системах ДБО
Слайд 6Плагины
© 2002—2011, Digital Security
Установка плагинов для клиентов - необходимая часть для того,
Плагины
© 2002—2011, Digital Security
Установка плагинов для клиентов - необходимая часть для того,

Устанавливая новый непроверенный софт, мы ухудшаем безопасность клиента.
? Используя уязвимости в плагинах, злоумышленник может выполнить целевую атаку и установить вредоносное ПО без ведома пользователя.
Уязвимости в системах ДБО
Слайд 7Видео-демонстрация
© 2002—2011, Digital Security
Уязвимости в системах ДБО
Видео-демонстрация
© 2002—2011, Digital Security
Уязвимости в системах ДБО

Слайд 8Обновления
© 2002—2011, Digital Security
Не все разработчики ДБО и далеко не всегда уведомляют
Обновления
© 2002—2011, Digital Security
Не все разработчики ДБО и далеко не всегда уведомляют

Существуют банки с уязвимым ПО о дырах которого разработчики знают уже более года. Тем не менее банк об этом не знает за счет закрытости такой информации.
Уязвимости в системах ДБО
Слайд 9Отсутствие защиты
© 2002—2011, Digital Security
Разработчики систем ДБО не были готовы к тому,
Отсутствие защиты
© 2002—2011, Digital Security
Разработчики систем ДБО не были готовы к тому,

FrameBusting
HTTPonly
Secure cookie ? Всех этих известных
DEP и популярных средств защиты
ASLR нет в Ваших ДБО
Уязвимости в системах ДБО