Проблемы и уязвимости в системах ДБО

Февраль 13, 2021

Главная
Разное
Проблемы и уязвимости в системах ДБО

Содержание

2. ДБО - механизмы защиты © 2002—2011, Digital Security В отечественных системах ДБО для юридических лиц кроме
3. Хакеры © 2002—2011, Digital Security Злоумышленники могут использовать уязвимости не только клиента банка, но и самого
4. Уязвимости © 2002—2011, Digital Security Межсайтовый скриптинг Внедрение SQL запросов Обход аутентификации Обход авторизации Выполнение кода
5. Обход СКЗИ © 2002—2011, Digital Security Имея уязвимости в WEB или, например, доступ к СУБД, в
6. Плагины © 2002—2011, Digital Security Установка плагинов для клиентов - необходимая часть для того, чтобы клиент
7. Видео-демонстрация © 2002—2011, Digital Security Уязвимости в системах ДБО
8. Обновления © 2002—2011, Digital Security Не все разработчики ДБО и далеко не всегда уведомляют о проблемах
9. Отсутствие защиты © 2002—2011, Digital Security Разработчики систем ДБО не были готовы к тому, что их
11. Скачать презентацию

Слайд 2

ДБО - механизмы защиты
© 2002—2011, Digital Security

В отечественных системах ДБО для юридических

лиц кроме аутентификации применяется только ОДНА система защиты - СКЗИ
Любая другая технология или система - добровольное дело разработчика.
Нет стандарта безопасности для таких систем
Никто не проверяет безопасность кода системы
Никто не проверяет, как была внедрена система
Системы ДБО не проверяются даже QSA аудиторами в рамках работ по PCI DSS

Уязвимости в системах ДБО

Слайд 3

Хакеры
© 2002—2011, Digital Security

Злоумышленники могут использовать уязвимости не только клиента банка, но

и самого банка, а вернее системы ДБО. Используя эти уязвимости, хакер может получить большие возможности по манипуляции данными в системе ДБО, в том числе, может управлять счетами клиентов.
Это возможно:
Множество уязвимостей в коде
Ошибки в архитектуре
Отсутствие защитных технологий (разработчик просто не использует их)
Ошибки при внедрении
Уязвимости в банковской сетевой инфраструктуре

Уязвимости в системах ДБО

Слайд 4

Уязвимости
© 2002—2011, Digital Security

Межсайтовый скриптинг
Внедрение SQL запросов
Обход аутентификации
Обход авторизации
Выполнение кода
Ошибки логики
Уязвимости клиентских

плагинов
? Эти и многие другие ошибки в WEB интерфейсе ДБО приводят к возможности фишинга на домене банка, атакам Man-In-The-Browser, атакам на клиентов с доверенного домена, что в конечном счете приводит к нарушению банковской тайны, утечке персональных данных, выполнению поддельных платежных поручений и компрометации ПК пользователей

Уязвимости в системах ДБО

Слайд 5

Обход СКЗИ
© 2002—2011, Digital Security

Имея уязвимости в WEB или, например, доступ к

СУБД, в некоторых случаях возможен обход проверки ЭЦП вообще, а в некоторых случаях достаточно лишь уязвимости межсайтового скриптинга, чтобы поставить подпись для поддельного платежного поручения, даже если клиент использует Token и даже если ПК клиента не скомпрометирован.
В большинстве случаев, СКЗИ используетcя в прозрачном режиме, что позволяет хакеру незаметно использовать её даже удаленно за счет механизмов управления СКЗИ методами WEB.
? Все это, в совокупности с общепроцессными проблемами ИБ ведет к существованию реального риска неавторизированной установки ЭЦП или обхода проверки ЭЦП вообще даже без компрометации ПК клиента.

Уязвимости в системах ДБО

Слайд 6

Плагины
© 2002—2011, Digital Security

Установка плагинов для клиентов - необходимая часть для того,

чтобы клиент мог работать с системой ДБО. Однако эти плагины также содержат ошибки и уязвимости, что позволяет компрометировать ПК клиента, даже если все другие известные уязвимости в прикладном ПО и ОС устранены.
Устанавливая новый непроверенный софт, мы ухудшаем безопасность клиента.
? Используя уязвимости в плагинах, злоумышленник может выполнить целевую атаку и установить вредоносное ПО без ведома пользователя.

Уязвимости в системах ДБО

Слайд 7

Слайд 8

Обновления © 2002—2011, Digital Security Не все разработчики ДБО и далеко не

о проблемах ИБ своих клиентов - банки. Так как у большинства банков «специализированые» инсталляции, обновление которых затруднительно в массовых масштабах (фактически, каждое обновление уникально).
Существуют банки с уязвимым ПО о дырах которого разработчики знают уже более года. Тем не менее банк об этом не знает за счет закрытости такой информации.

Уязвимости в системах ДБО

Слайд 9

Отсутствие защиты © 2002—2011, Digital Security Разработчики систем ДБО не были готовы

что их продукт будут ломать хакеры. У разработчиков отсутствуют процессы разработки безопасного кода. Это следует из того, какие уязвимости и в каком количестве мы находили, а также с тем, что менялось со временем, например, по использованию защитных технологий и методов. В системах ДБО они не применяются в 90% случаев. Например:
FrameBusting
HTTPonly
Secure cookie ? Всех этих известных
DEP и популярных средств защиты
ASLR нет в Ваших ДБО

Уязвимости в системах ДБО

Проблемы и уязвимости в системах ДБО

Содержание

ДБО - механизмы защиты© 2002—2011, Digital Security В отечественных системах ДБО для юридических

Хакеры© 2002—2011, Digital Security Злоумышленники могут использовать уязвимости не только клиента банка, но

Обход СКЗИ© 2002—2011, Digital Security Имея уязвимости в WEB или, например, доступ к

Плагины© 2002—2011, Digital Security Установка плагинов для клиентов - необходимая часть для того,

Видео-демонстрация© 2002—2011, Digital Security Уязвимости в системах ДБО

Обновления© 2002—2011, Digital Security Не все разработчики ДБО и далеко не всегда уведомляют

Отсутствие защиты© 2002—2011, Digital Security Разработчики систем ДБО не были готовы к тому,

Похожие презентации

ДБО - механизмы защиты
© 2002—2011, Digital Security

В отечественных системах ДБО для юридических

Хакеры
© 2002—2011, Digital Security

Злоумышленники могут использовать уязвимости не только клиента банка, но

Обход СКЗИ
© 2002—2011, Digital Security

Имея уязвимости в WEB или, например, доступ к

Плагины
© 2002—2011, Digital Security

Установка плагинов для клиентов - необходимая часть для того,

Видео-демонстрация
© 2002—2011, Digital Security

Уязвимости в системах ДБО

Обновления
© 2002—2011, Digital Security

Не все разработчики ДБО и далеко не всегда уведомляют

Отсутствие защиты
© 2002—2011, Digital Security

Разработчики систем ДБО не были готовы к тому,