Проблемы и уязвимости в системах ДБО © 20022011, Digital Security Digital Security.

Презентация:

Advertisements

Похожие презентации

Особенности проведения тестов на проникновение в организациях банковской сферы © , Digital Security Илья Медведовский, к.т.н. Директор Digital.

Advertisements

Клиент банка под атакой © 2009, Digital Security.

Тест на проникновение в соответствии с PCI DSS Илья Медведовский Digital Security Директор, к.т.н.

РЕШЕНИЯ КОМПАНИИ «АКТИВ» ДЛЯ СИСТЕМ ДБО Сухов Евгений, компания «Актив» 7-8 февраля 2012 г. XII Международный Форум iFin-2012 «Электронные финансовые услуги.

Типичные недостатки в обеспечении безопасности систем ДБО Борис Симис Директор по развитию Positive Technologies.

Основные мифы безопасности бизнес-приложений Илья Медведовский, к.т.н., директор Digital Security.

Защита информации. Информационная безопасность это защищенность информации от любых действий, в результате которых информация может быть искажена или.

Обеспечение защиты системы ДБО от мошеннических действий Руслан О. Нестеров 16 июня 2010 г.

Модель угроз безопасности персональных данных при их обработке в информационных системах АПЭК Выполнил студент Группы 11 инф 112: Сотников П.В. Проверил.

Владимир Кузнецов Старший аудитор PA-DSS: Практика. Типовые задачи и способы их решения. Стандарт PA-DSS: безопасность платежных приложений Москва,

Б ЕЗОПАСНОСТЬ ПРИ РАБОТЕ В ИНТЕРНЕТЕ П РИ РАБОТЕ В СЕТИ И НТЕРНЕТ МОЖНО ВСТРЕТИТЬ МНОЖЕСТВО УГРОЗ КАК ДЛЯ КОМПЬЮТЕРА, ТАК И ДЛЯ ЧЕЛОВЕКА. Н АВЕРНОЕ КАЖДЫЙ.

Программный комплекс «МагПро КриптоТуннель». Основным назначением «МагПро КриптоТуннель» является: Организация безопасного канала передачи данных защита.

Единая система аутентификации Обзор решения Москва, 2012г.

Обзор Антивирусных программ. Борьба с вирусами В наше время существуют разные способы борьбы с вирусами. Самый лучший способ защитить свой персональный.

Горелов Дмитрий, компания «Актив» февраля 2012 г. IV Межбанковская конференция «Уральский Форум: Информационная Безопасность Банков» Технические.

Предотвращение мошенничества при проведении банковских транзакций докладчик: Павел Ложкин.

1 / RBBY Внедрение стандарта безопасности данных индустрии платежных карт (PCI DSS) в «Приорбанк» ОАО Минск Ноябрь 2010 «Сражаясь с тем, кто.

О перспективах внедрения программных продуктов, разработанных на кафедре информатики, в учебный процесс ШГТ проф. Львов М.С. доц. Круглик В.С.

Г.Алматы © 2011 ТОО «Ak Kamal Security» Безопасность Интернет-Банкинга и других web-приложений Ak Kamal e-Security Suite.

Нарушение целостности структуры SQL-запроса. Внедрение SQL-кода (SQL injection) один из распространённых способов взлома ПО, работающего с базами данных,

Транксрипт:

Проблемы и уязвимости в системах ДБО © , Digital Security Digital Security

ДБО - механизмы защиты © , Digital Security В отечественных системах ДБО для юридических лиц кроме аутентификации применяется только ОДНА система защиты - СКЗИ Любая другая технология или система - добровольное дело разработчика. Нет стандарта безопасности для таких систем Никто не проверяет безопасность кода системы Никто не проверяет, как была внедрена система Системы ДБО не проверяются даже QSA аудиторами в рамках работ по PCI DSS Уязвимости в системах ДБО

Хакеры © , Digital Security Злоумышленники могут использовать уязвимости не только клиента банка, но и самого банка, а вернее системы ДБО. Используя эти уязвимости, хакер может получить большие возможности по манипуляции данными в системе ДБО, в том числе, может управлять счетами клиентов. Это возможно: Множество уязвимостей в коде Ошибки в архитектуре Отсутствие защитных технологий (разработчик просто не использует их) Ошибки при внедрении Уязвимости в банковской сетевой инфраструктуре Уязвимости в системах ДБО

Уязвимости © , Digital Security Межсайтовый скриптинг Внедрение SQL запросов Обход аутентификации Обход авторизации Выполнение кода Ошибки логики Уязвимости клиентских плагинов банковской тайныперсональных данных выполнению поддельных платежных поручений компрометации ПК Эти и многие другие ошибки в WEB интерфейсе ДБО приводят к возможности фишинга на домене банка, атакам Man-In-The-Browser, атакам на клиентов с доверенного домена, что в конечном счете приводит к нарушению банковской тайны, утечке персональных данных, выполнению поддельных платежных поручений и компрометации ПК пользователей Уязвимости в системах ДБО

Обход СКЗИ © , Digital Security поставить подпись для поддельного платежного поручения использует TokenПК клиента не скомпрометирован Имея уязвимости в WEB или, например, доступ к СУБД, в некоторых случаях возможен обход проверки ЭЦП вообще, а в некоторых случаях достаточно лишь уязвимости межсайтового скриптинга, чтобы поставить подпись для поддельного платежного поручения, даже если клиент использует Token и даже если ПК клиента не скомпрометирован. В большинстве случаев, СКЗИ используетcя в прозрачном режиме, что позволяет хакеру незаметно использовать её даже удаленно за счет механизмов управления СКЗИ методами WEB. Все это, в совокупности с общепроцессными проблемами ИБ ведет к существованию реального риска неавторизированной установки ЭЦП или обхода проверки ЭЦП вообще даже без компрометации ПК клиента. Уязвимости в системах ДБО

Плагины © , Digital Security Установка плагинов для клиентов - необходимая часть для того, чтобы клиент мог работать с системой ДБО. Однако эти плагины также содержат ошибки и уязвимости, что позволяет компрометировать ПК клиента, даже если все другие известные уязвимости в прикладном ПО и ОС устранены. Устанавливая новый непроверенный софт, мы ухудшаем безопасность клиента. Используя уязвимости в плагинах, злоумышленник может выполнить целевую атаку и установить вредоносное ПО без ведома пользователя. Уязвимости в системах ДБО

Видео-демонстрация © , Digital Security Уязвимости в системах ДБО

Обновления © , Digital Security Не все разработчики ДБО и далеко не всегда уведомляют о проблемах ИБ своих клиентов - банки. Так как у большинства банков «специализированые» инсталляции, обновление которых затруднительно в массовых масштабах (фактически, каждое обновление уникально). Существуют банки с уязвимым ПО о дырах которого разработчики знают уже более года. Тем не менее банк об этом не знает за счет закрытости такой информации. Уязвимости в системах ДБО

Отсутствие защиты © , Digital Security Разработчики систем ДБО не были готовы к тому, что их продукт будут ломать хакеры. У разработчиков отсутствуют процессы разработки безопасного кода. Это следует из того, какие уязвимости и в каком количестве мы находили, а также с тем, что менялось со временем, например, по использованию защитных технологий и методов. В системах ДБО они не применяются в 90% случаев. Например: FrameBusting HTTPonly Secure cookie Всех этих известных DEP и популярных средств защиты ASLR нет в Ваших ДБО Уязвимости в системах ДБО

Итого © , Digital Security Мы знаем о чем говорим, за 3 года нам удавалось находить уязвимости в продуктах от следующих производителей: BSS Inist R-Style Softlab Сигнал-КОМ CompassPLUS StepUP ЦФТ Уязвимости в системах ДБО