2. Угрозы безопасности в банковском секторе
Отказ в обслуживании (АБС, ...)
НСД к СУБД АБС, в т.ч. процессинга
Атака на клиентов (подмена содержимого,
фишинг, ...)
Физика и «около физика» (ATM, ...)
Невыполнение требований регуляторов
6. Массовые атаки на клиентов Банка: заражение
вредоносным кодом
Как?
• Неподготовленный пользователь «втыкает во
все и вся»
• Путешествует по интернету используя
уязвимый браузер с уязвимыми плагинами
Результат?
• Фарминг
• Win32/Trojan.Downloader.Carberp,
Win32/Spy.Shiz…
9. Целевые атаки на клиентов Банка
Как?
• Многие системы дистанционного банковского
обслуживания (далее – ДБО) используют ActiveX
• Установленные компоненты ActiveX на компьютер
пользователя в свою очередь могут содержать
уязвимости
Результат?
• Целевые атаки на компьютеры
пользователей клиентов Банка
• Комплексные атаки на системы ДБО
12. Что расположено на периметре банковской
информационной системы
Многочисленные веб-сервисы, в первую очередь,
для обслуживания физических и юридических лиц
• Интернет банк, мобильный банк…
Сервисы инфраструктуры
• DNS, SMTP, OWA…
Удаленный доступ к сети
(обычно для «повелителей сети»)
16. Как монетизировать сценарий атаки на ДБО
1. Поиск уязвимостей
- Проверка слабостей парольной политики
- Проверка слабостей механизмов защиты от перебора
- Поиск путей сбора действующих идентификаторов
2. Реализация сценария атаки
- Перебор "действующих" идентификаторов с одним паролем
3. Монетизация сценария атаки
- Обход OTP и осуществление транзакции
- Изменение платежного поручения
- ...
17. Как монетизировать сценарий атаки на ДБО. Часть 2
1. Поиск уязвимостей
- Верификация уязвимости CVE-NO-NAME
(возможность доступа к файловой системе)
2. Реализация сценария атаки
- Поиск файлов системы протоколирования
- Доступ к файлам конфигурации ДБО
- ...
3. Монетизация сценария атаки
J
18. Как монетизировать сценарий атаки на ДБО в картинках
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных
данных, получению злоумышленником исходных кодов
приложения, файлов конфигурации и т. п. Так же данная
уязвимость позволяет злоумышленнику выполнять SMB- и
HTTP-запросы в пределах сети атакуемого сервера.
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
19. Типовые уязвимости прикладных банковских систем на
примере PHDays I-Bank
Система разрабатывалась специально для
конкурса, проводимого на PHDays 2012
PHDays I-Bank содержит типовые уязвимости,
которые мы находили в реальных системах
ДБО См. Статистика веб-уязвимостей за 2010-
2011 годы (раздел 5.8):
http://www.ptsecurity.ru/download/статистика RU.pdf
Типовые уязвимости систем ДБО
http://www.slideshare.net/phdays/ss-14005562
PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО,
которая действительно работает в каком-либо
из существующих банков.
20. Другие цели для осуществления атаки…
Вспомогательные приложения (helpdesk и пр.)
История одного банка…
http://devteev.blogspot.com/2011/09/4.html
23. Атаки на ATM: jailbreak
WinXP SP2/SP3, драйвера и ППО
* изредка встречаются
Embedded/POSReady-варианты и
совсем редко Windows NT, OS/2,
Linux.
Рендер – IE, Chrome, возможны
самописные.
24. Атаки на ATM: насколько сложно получить удаленный
доступ к банкомату
25. Как монетизировать сценарий атаки на ATM
1. Поиск целей
- Сетевое сканирование, направленное на обнаружение
банкоматов
2. Реализация сценария атаки
- Осуществление НСД к банкоматам (подбор паролей,
использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки
- Прослушивание трафика/извлечение из служебных журналов PAN
- Перебор exp.date и CVV2/CVC2 для CNP J
26. Атаки на ATM: скимминг/шимминг…
Скимминг
Шимминг
Тонкая гибкая плата вставляется через щель картридера
и считывает данные введенных карт.
Высокотехнологичное устройство, толщина которого не
должна превышать 0,1 мм (исходя из размеров карт и
слота картридера). Фактов обнаружения в России нет.
http://www.securitylab.ru/news/395811.php
Траппинг (ливанская петля)
мошеннический захват карты
(Факт – 2009 год, Омск)
Накладка изымается вместе с картой.
Фальшивый банкомат
27. Атаки на ATM: физический взлом
Не всегда и не везде есть возможность крепления банкомата к полу
анкерными болтами – проходимость (клиентопоток) для банка
важнее безопасности. Незакрепленные банкомат относительно
легко увезти. Закрепленные банкоматы – дополнительная опора при
вскрытии на месте. Как? Смотрим тут
Вскрытие некоторых сейфов – «высверлить дырку в боковой стенке
напротив ригеля и стукнуть кувалдой по пруту (при этом замок
срежет болты)». Ригель и корпус замка – силуминовые.
Число случаев мошенничества с
банкоматами выросло в 9 раз!
28. Атаки на ATM: реальная защита криптоключей
PIN entry device (PED)
• Шифрование DES, 3DES, RSA
• PIN-блок формируется в клавиатуре,
расшифровывается на хосте в банке
– в открытом виде PIN не «ходит»
• Ключи хранятся ТОЛЬКО в EPP (и должны
вводиться непосредственно с PED…)
29. Как монетизировать сценарий атаки на ATM. Часть 2
1. Поиск целей
- Сетевое сканирование, направленное на обнаружение
банкоматов
2. Реализация сценария атаки
- Осуществление НСД к банкоматам (подбор паролей,
использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки
- Дождаться момента некорректной смены ключей шифрования
- Появляется возможность подмены трафика!
- Выяснение месторасположения банкомата (например, через
служебные сообщения); налик J
30. Атаки на ATM: мошенничество с подменой
достоинства выдаваемых/принимаемых купюр
Выдаваемые банкноты не
валидируются (т.е. можно выдавать
фантики)
При приеме распознавание
осуществляется валидатором (4
машиночитаемых признака),
шаблоны валют хранятся во флеш-
памяти устройства
Соответствие шаблона и номинала
валют хранится либо в реестре, либо
в файлах (обычно .ini)
Диспенсер
31. Как монетизировать сценарий атаки на ATM. Часть 3
1. Поиск целей
- Сетевое сканирование, направленное на обнаружение
банкоматов
2. Реализация сценария атаки
- Осуществление НСД к банкоматам (подбор паролей,
использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки
- Выяснение месторасположения банкомата (например, через
служебные сообщения)
- Смена идентификаторов номиналов
- Снятие/внесение 100 рублей; profit!