1. Типовые проблемы
безопасности банковских
систем
Дмитрий Евтеев,
руководитель отдела анализа защищенности,
Positive Technologies

2. Угрозы безопасности в банковском секторе
Отказ в обслуживании (АБС, ...)
НСД к СУБД АБС, в т.ч. процессинга
Атака на клиентов (подмена содержимого,
фишинг, ...)
Физика и «около физика» (ATM, ...)
Невыполнение требований регуляторов

3. Типовая банковская информационная система

4. Атаки на клиентов Банка

5. Атаки на клиентов: банальный фишинг

6. Массовые атаки на клиентов Банка: заражение
вредоносным кодом
Как?
• Неподготовленный пользователь «втыкает во
все и вся»
• Путешествует по интернету используя
уязвимый браузер с уязвимыми плагинами
Результат?
• Фарминг
• Win32/Trojan.Downloader.Carberp,
Win32/Spy.Shiz…

7. Массовые атаки на клиентов Банка: заражение
вредоносным кодом

8. Каждому по ботнету
msf, immunity canvas (VulnDisco SA, …)… - browser autopwn
Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,
FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,
IcePack, Impassioned Framework, justexploit, Liberty, Limbo,
LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,
NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,
Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,
WebAttacker, YES Exploit system, ZeuS, Zombie Infection…

9. Целевые атаки на клиентов Банка
Как?
• Многие системы дистанционного банковского
обслуживания (далее – ДБО) используют ActiveX
• Установленные компоненты ActiveX на компьютер
пользователя в свою очередь могут содержать
уязвимости
Результат?
• Целевые атаки на компьютеры
пользователей клиентов Банка
• Комплексные атаки на системы ДБО

10. А насколько безопасен Ваш серфинг?
http://www.surfpatrol.ru/

11. Целевые атаки на внешние банковские системы

12. Что расположено на периметре банковской
информационной системы
Многочисленные веб-сервисы, в первую очередь,
для обслуживания физических и юридических лиц
• Интернет банк, мобильный банк…
Сервисы инфраструктуры
• DNS, SMTP, OWA…
Удаленный доступ к сети
(обычно для «повелителей сети»)

13. Наиболее распространенные системы ДБО для
Российского рынка (физики)
http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf

14. Наиболее распространенные системы ДБО для
Российского рынка (юрики)
http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf

15. Типовые проблемы безопасности ДБО
Разграничение
прав доступа

16. Как монетизировать сценарий атаки на ДБО
1. Поиск уязвимостей
- Проверка слабостей парольной политики
- Проверка слабостей механизмов защиты от перебора
- Поиск путей сбора действующих идентификаторов
2. Реализация сценария атаки
- Перебор "действующих" идентификаторов с одним паролем
3. Монетизация сценария атаки
- Обход OTP и осуществление транзакции
- Изменение платежного поручения
- ...

17. Как монетизировать сценарий атаки на ДБО. Часть 2
1. Поиск уязвимостей
- Верификация уязвимости CVE-NO-NAME
(возможность доступа к файловой системе)
2. Реализация сценария атаки
- Поиск файлов системы протоколирования
- Доступ к файлам конфигурации ДБО
- ...
3. Монетизация сценария атаки
J

18. Как монетизировать сценарий атаки на ДБО в картинках
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных
данных, получению злоумышленником исходных кодов
приложения, файлов конфигурации и т. п. Так же данная
уязвимость позволяет злоумышленнику выполнять SMB- и
HTTP-запросы в пределах сети атакуемого сервера.
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)

19. Типовые уязвимости прикладных банковских систем на
примере PHDays I-Bank
Система разрабатывалась специально для
конкурса, проводимого на PHDays 2012
PHDays I-Bank содержит типовые уязвимости,
которые мы находили в реальных системах
ДБО См. Статистика веб-уязвимостей за 2010-
2011 годы (раздел 5.8):
http://www.ptsecurity.ru/download/статистика RU.pdf
Типовые уязвимости систем ДБО
http://www.slideshare.net/phdays/ss-14005562
PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО,
которая действительно работает в каком-либо
из существующих банков.

20. Другие цели для осуществления атаки…
Вспомогательные приложения (helpdesk и пр.)
История одного банка…
http://devteev.blogspot.com/2011/09/4.html

21. За (?!) периметром сети

22. Атаки на ATM

23. Атаки на ATM: jailbreak
WinXP SP2/SP3, драйвера и ППО
* изредка встречаются
Embedded/POSReady-варианты и
совсем редко Windows NT, OS/2,
Linux.
Рендер – IE, Chrome, возможны
самописные.

24. Атаки на ATM: насколько сложно получить удаленный
доступ к банкомату

25. Как монетизировать сценарий атаки на ATM
1. Поиск целей
- Сетевое сканирование, направленное на обнаружение
банкоматов
2. Реализация сценария атаки
- Осуществление НСД к банкоматам (подбор паролей,
использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки
- Прослушивание трафика/извлечение из служебных журналов PAN
- Перебор exp.date и CVV2/CVC2 для CNP J

26. Атаки на ATM: скимминг/шимминг…
Скимминг
Шимминг
Тонкая гибкая плата вставляется через щель картридера
и считывает данные введенных карт.
Высокотехнологичное устройство, толщина которого не
должна превышать 0,1 мм (исходя из размеров карт и
слота картридера). Фактов обнаружения в России нет.
http://www.securitylab.ru/news/395811.php
Траппинг (ливанская петля)
мошеннический захват карты
(Факт – 2009 год, Омск)
Накладка изымается вместе с картой.
Фальшивый банкомат

27. Атаки на ATM: физический взлом
Не всегда и не везде есть возможность крепления банкомата к полу
анкерными болтами – проходимость (клиентопоток) для банка
важнее безопасности. Незакрепленные банкомат относительно
легко увезти. Закрепленные банкоматы – дополнительная опора при
вскрытии на месте. Как? Смотрим тут 
Вскрытие некоторых сейфов – «высверлить дырку в боковой стенке
напротив ригеля и стукнуть кувалдой по пруту (при этом замок
срежет болты)». Ригель и корпус замка – силуминовые.
Число случаев мошенничества с
банкоматами выросло в 9 раз!

28. Атаки на ATM: реальная защита криптоключей
PIN entry device (PED)
• Шифрование DES, 3DES, RSA
• PIN-блок формируется в клавиатуре,
расшифровывается на хосте в банке
– в открытом виде PIN не «ходит»
• Ключи хранятся ТОЛЬКО в EPP (и должны
вводиться непосредственно с PED…)

29. Как монетизировать сценарий атаки на ATM. Часть 2
1. Поиск целей
- Сетевое сканирование, направленное на обнаружение
банкоматов
2. Реализация сценария атаки
- Осуществление НСД к банкоматам (подбор паролей,
использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки
- Дождаться момента некорректной смены ключей шифрования
- Появляется возможность подмены трафика!
- Выяснение месторасположения банкомата (например, через
служебные сообщения); налик J

30. Атаки на ATM: мошенничество с подменой
достоинства выдаваемых/принимаемых купюр
Выдаваемые банкноты не
валидируются (т.е. можно выдавать
фантики)
При приеме распознавание
осуществляется валидатором (4
машиночитаемых признака),
шаблоны валют хранятся во флеш-
памяти устройства
Соответствие шаблона и номинала
валют хранится либо в реестре, либо
в файлах (обычно .ini)
Диспенсер

31. Как монетизировать сценарий атаки на ATM. Часть 3
1. Поиск целей
- Сетевое сканирование, направленное на обнаружение
банкоматов
2. Реализация сценария атаки
- Осуществление НСД к банкоматам (подбор паролей,
использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки
- Выяснение месторасположения банкомата (например, через
служебные сообщения)
- Смена идентификаторов номиналов
- Снятие/внесение 100 рублей; profit!

32. инсайдерские действия сотрудников…

33. Наш ответ хакерам злоумышленникам
Комплексный аудит СУИБ

34. Спасибо за внимание!
Вопросы?
devteev@ptsecurity.ru
http://devteev.blogspot.com
https://twitter.com/devteev