Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies.

Презентация:



Advertisements
Похожие презентации
W w w. a l a d d i n. r u С.А. Белов, руководитель стратегических проектов, Aladdin Москва, 11 декабря 2008 Использование токенов с аппаратной реализацией.
Advertisements

W w w. a l a d d i n. r u Методы снижения рисков при осуществлении финансовых транзакций в сети Интернет Денис Калемберг, Менеджер по работе с корпоративными.
Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.
Г.Алматы © 2011 ТОО «Ak Kamal Security» Безопасность Интернет-Банкинга и других web-приложений Ak Kamal e-Security Suite.
W w w. a l a d d i n. r u А.Г. Сабанов, зам.ген.директора, ЗАО «Аладдин Р.Д.» Инфофорум, 27 апреля 2009 Об одной проблеме применения ЭЦП как сервиса безопасности.
Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.
О безопасности сайта думают в последнюю очередь! индивидуальные разработчики думают о безопасности сайтов в самую последнюю очередь клиенты не готовы платить.
Александр Федоров Начальник управления информационной безопасности ЗАО Банковские информационные системы (БИС) ЗАЩИТА ДАННЫХ В СИСТЕМЕ ДБО Защита данных.
Клиент банка под атакой © 2009, Digital Security.
Администрирование информационных систем Шифрование.
Безопасность интернет-проекта Основные угрозы Инструменты безопасности в платформе.
ЦИФРОВЫЕ СЕЙФЫ СИСТЕМА ЗАЩИТЫ ВАЖНОЙ ИНФОРМАЦИИ. Существующие методы передачи конфиденциальной информации, такие как электронная почта, файловые сервера.
"Бумажная безопасность" - как угроза информационному обществу Борис Симис Директор по развитию Positive Technologies.
Мобильный офис глазами пентестера Дмитрий Евтеев (Positive Technologies)
Разработка типовых решений на платформе 1 С-Битрикс Алексей Сидоренко директор по развитию компании «1 С-Битрикс»
Платежные системы Интернет Наиболее универсальными автоматизированными системами электронной коммерции являются системы для реализации платежей в среде.
ЭЛЕКТРОННЫЕ ГОСУДАРСТВЕННЫЕ УСЛУГИ Взгляд со стороны злоумышленника.
1 Брелок eToken. 2 Это первый полнофункциональный аналог смарт-карты, выполненный в виде брелока, архитектурно реализован как USB карт-ридер с встроенной.
Программный комплекс «МагПро КриптоТуннель». Основным назначением «МагПро КриптоТуннель» является: Организация безопасного канала передачи данных защита.
БЕЗОПАСНОСТЬ ИНИСТ БАНК-КЛИЕНТ. Введение Основным назначением системы «ИНИСТ Банк- Клиент» является предоставление клиентам банков возможности удаленного.
Транксрипт:

Аутентификация в системах Интернет-банкинга Анализ типичных ошибок Сергей Гордейчик Positive Technologies

О чем пойдет речь Аутентификация в системах Интернет-Банк Актуальные векторы угроз Уязвимости приложений Системы одноразовых паролей Цифровые сертификаты Резюме

Аутентификация в Интернет-Банках Требуется обеспечить высокий уровень безопасности Широкое использование Интернет-технологий HTTP/HTTPS для передачи данных Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java) Наследование уязвимостей Web-приложений Низкое доверие к каналу связи и стандартным средствам криптографической защиты Высока опасность успешных атак типа «фишинг», «человек по середине» Низкое доверие к рабочему месту клиента Вероятно отсутствие обновлений безопасности Низкий уровень ИТ и ИБ грамотности Возможно наличие вредоносных программ Вероятна работа с недоверенного рабочего места

Актуальные векторы угроз

Атаки на сеть Большинство транзакций производится из незащищенных сетей Как правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты Комбинации технических и социотехнических атак SSL/TLS + аутентификация клиента по сертификатам

Атаки на клиента Самая большая проблема Защита рабочих мест вне компетенции владельца ИС Рекомендательный характер мер Отсутствие обновлений, антивирусного ПО, пиратское ПО Широкое использование социотехник злоумышленниками Высокий уровень развития вредоносного ПО

Атаки на сервер Менее популярны, но не менее эффективны Зачастую присутствуют уязвимости Web-приложений Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF) SSL – не защита от уязвимостей Web-приложений

Системы одноразовых паролей Достаточно широко распространены Невысокая стоимость при потенциальной защищенности Мало зависят от ОС/Браузера Возможны разные варианты реализации Заранее рассчитанные списки паролей Генераторы паролей SMS-сервис

Типичные ошибки Уязвимости Web-приложений Наличие уязвимости позволяет провести транзакцию без знания пароля Необходимость контроля HTTP-сессии Одноразовые пароли тоже пароли Возможен перехват Небольшая энтропия – подбор значения Большое «окно»

Цифровые сертификаты Наиболее мощный инструмент Позволяют компенсировать уязвимости Web- приложений Транзакция должна быть подписана Зависят от ОС/Браузера Использование для защиты сети (SSL/TLS) Основные проблемы связаны с хранением закрытого ключа

Резюме «Серверный» SSL/TLS недостаточно надежен Велика вероятность социотехнических атак Аутентификация клиента по сертификатам Уязвимости Web зачастую не учитываются Большинство Web-приложений содержит серьезные проблемы Анализ защищенности/использование Web Application Firewall (PCI DSS) Одноразовые пароли – тоже пароли К ним применимы стандартные парольные атаки Стандартные контрмеры (защита от подбора и т.д.) При использовании сертификатов требуется надежное хранилище Смарт-карты и токены

Спасибо за внимание! Сергей Гордейчик