Как банки обеспечивают свою безопасность

Над исследованием работали:
Юшкевич Иван, Пластунов Андрей, Чербов Глеб,
Белов Сергей

Безопасность веб-ресурсов банков России
Введение
Цель исследования
Тестирование
HTTP-заголовки
X-Frame-Options
Content-Type-Options
Content-Security-Policy (CSP)
Server header
Strict-Transport-Security
Вывод
SSL
Рейтинг
SSL 2.0
SSL 3.0
RC4
Freak
POODLE
Heartbleed
“Wildcard” сертификат
Вывод
Проверка доменов
Регистратор
Домен в зоне РФ
Доменные зоны
Омоглифы
Дублирование символов
Смена расположения букв
Домен как поддомен
Передача зоны DNS - AXFR
Вывод
Заключение
1
2
2
3
3
4
4
5
5
5
6
7
8
8
9
9
10
10
12
12
13
14
14
15
15
16
16
17
17
17
18

www.dsec.ru2015 1
Как известно, уровень безопасности системы
определяется надежностью её самого слабого
узла. На практике, после проведения анализа
защищенности, основываясь на перечне найденных
уязвимостей, выбирается одна брешь или целая
цепочкаиопределяетсянаиболеепроблемноезвено.
Отметим сразу, что зачастую правильно настроенная
система может нивелировать риски существующей
уязвимости. Для примера возьмем атаку, известную
как межсайтовый скриптинг, на клиента системы
дистанционного банковского обслуживания
(ДБО). В теории, ее возможные последствия могут
серьезно навредить и банку, и клиенту. Но если
на ресурсе применяется правильно настроенная
технология Content-Security-Policy (CSP), риск
нивелируется, и конечного вектора для применения
найденной уязвимости не будет. Отметим, что
даже простая установка свойств для временных
файлов при работе с веб ресурсом (Cookies) может
существенно затруднить реализацию какого-либо
из векторов атак, поскольку злоумышленнику, в
первую очередь, придется искать возможность
обойти ту или иную меру безопасности. За обход
подобных защитных механизмов (при их правильной
настройке) разработчики браузеров выплачивают
вознаграждения (в среднем от $1000 до $5000), что
говорит о серьезном подходе при создании данных
механизмов. Для конечных пользователей подобные
дополнительные настройки обычно выглядят
незаметно и никак не влияют на работу с системой.
Начинаяэтоисследование,мыставилисвоейзадачей
выяснить, как топ 100 банков России обеспечивают
свою безопасность, применяя лучшие практики,
по аналогии с самыми популярными сайтами в
интернете.
В рамках исследования мы никак не вмешивались
в работу банков, все данные были собраны с
точки зрения обычного посещения пользователя
(несколько HTTP, SSL, DNS запросов).
К сожалению, результаты исследования показали,
что применение очевидных приемов (которые не так
затратны с точки зрения и финансовых ресурсов, и
технических) для повышения уровня защищенности
не очень популярно среди участников исследования.
Например, только 5 участников не позволяют
зарегистрировать домен с использованием
омоглифов, перестановок, повторений и
смены доменной зоны, что говорит о широких
возможностях для проведения фишинговых
компаний злоумышленниками. Справедливости
ради стоит отметить, что доменные имена данных
участников являются короткими, что, по сути,
не дает вариативности в проверках. Не удастся
зарегистрировать домен в зоне .com/.net/.org/.рф
всего для 25 участников. Если у участника есть ДБО
на поддомене, то можно зарегистрировать домен как
поддомен для всех участников.
Было неожиданным, что для 17 участников можно
извне отправить AXFR запрос на DNS сервер и
раскрытьвсезаписидлядоменабанка,черезкоторые
чаще всего можно определить инфраструктуру,
внутренние ресурсы, адреса значимых серверов
(например, Автоматизированной Банковской Систе-
мы, АБС).
Также было обнаружено, что у двух банков на
официальном сайте веб сервер уязвим к атаке Heart-
bleed. В случае, если для официального сайта и для
системы ДБО используется wildcard сертификат (или
просто одинаковый, выписанный для этих доменов),
это позволит злоумышленнику похитить приватный
ключ SSL и при проведении атаки “человек
посередине” даст возможность прослушивать и
изменятьтрафик,данныедляпроведениятранзакции
в ДБО, и как следствие привести к хищению денег со
счетов клиентов.
Сейчас, уже по результатам, мы надеемся, что отделы
безопасности банков проверят свои ресурсы и будут
еще ответственнее подходить к вопросам их защиты.
Особенно интересно полученная статистика данного
исследования может выглядеть на фоне роста
популярности и совершенствования различных
защитных механизмов, которые позволяют
обезопасить пользователя системы даже при
допущенной разработчиком уязвимости.
ВВЕДЕНИЕ

www.dsec.ru2015 2
Каждая проверка проводилась для официального
сайта,атакжедляДБОдляюридическихифизических
лиц. Итог, исходные данные:
Официальные сайты – 100 шт.
ДБО для физических лиц – 96 шт.
ДБО для юридических лиц – 81 шт.
Объяснить разницу в количестве систем ДБО можно
тем, что не все банки имеют одновременно ДБО для
физлиц и/или юрлиц.
Чтобы сравнить полученные результаты, исследо-
ватели осуществили аналогичные манипуляции с
популярными сайтами, представленными ниже:
Название
группы
Описание, назначение
Настойки
DNS
Получить информацию
о поддоменах компании,
конфигурации серверного ПО
Настройки
SSL
Возможность реализовать одну
из многих атак, связанных с SSL
(включая Heartbleed)
“Сквотинг”
доменов
Регистрация“похожих”доменов
для реализации фишинговых
атак
Главной целью данного исследования является
оценка уровня безопасности публично доступных
банковских ресурсов: официального сайта, ДБО
для физических и юридических лиц в соответствии
с лучшими практиками по настройке веб-ресурсов.
Мы выбрали несколько пунктов, которые можно
было бы проверить “пассивно”, т.е. не вмешиваясь в
работу банка и исключая какой-либо технический
ущерб.Важноотметить,чтовсяпроанализированная
нами информация находится в открытом доступе,
и манипуляции с этими данными не требуют
серьезныхнавыковисложныхсхем.Инымисловами,
мы решили показать, что при желании и усердии
к подобным результатам может прийти любой
заинтересованный пользователь.
В ходе исследования мы выяснили, какие потен-
циальные векторы атак могут быть доступны
злоумышленникам. Например, легко ли похитить
сессионные данные пользователя при наличии
уязвимости межсайтового скриптинга. Также нам
было интересно посмотреть, насколько просто
реализовать фишинговую атаку на пользователей
банка. Пройдясь по этим пунктам и условно
проставив “галочки”, злоумышленник может
выстроить векторы дальнейших атак на банк и его
пользователей.
Тестирование
Для тестирования мы взяли ТОП-100 банков России,
определенныхпоключевымпоказателям.Сполным
списком можно ознакомиться, пройдя по ссылке:
http://www.banki.ru/banks/ratings/ (актуальные дан-
ные на август 2015г.).
Сначала мы определили все официальные
сайты и интернет-ресурсы ДБО для физических
и юридических лиц. Далее, для каждого банка
были проведены проверки, осуществленные
несколькими стандартными запросами (по
протоколам HTTP/HTTPS/DNS), схожими с
обычными запросами от клиентов банка. Список
с разбивкой по группам можно увидеть в левом
столбце таблицы ниже.
ЦЕЛЬ ИССЛЕДОВАНИЯ
• wikipedia.org
• facebook.com
• twitter.com
• youtube.com
• linkedin.com
• yahoo.com
• yandex.ru
• amazon.com
• vk.com

www.dsec.ru2015 3
Заголовки в ответе веб-сервера позволяют опреде-
лить поведение браузера в тех или иных ситуациях.
В том числе, их наличие помогает избежать
некоторых атак или усложнить их проведение.
При этом, добавление заголовка не требует каких-
либо сложных действий или настроек. Однако,
некоторые настройки (например, CSP) отличает
слишком большое количество опций, некорректное
использование которых может как создать иллюзию
безопасности, так и вовсе повредить некоторый
функционал сайта.
В качестве примера для тестирования были
рассмотрены следующие заголовки:
Если первые четыре заголовка носят “положи-
тельный”характер и крайне желательно их исполь-
зовать, то последний “сообщает” злоумышленнику
о том, какие технологии применяются. Естественно,
от подобных заголовков лучше воздержаться.
В ходе проверки были получены следующие
результаты:
X-Frame-Options
Заголовок X-Frame-Options разрешает или запре-
щает отображение страницы, если она открыта во
фрейме.
У заголовка может быть три значения:
Рендеринг документа, при открытии во фрейме
возможен только с того же домена.
Рендеринг документа внутри фрейма запрещён.
Разрешает рендеринг, если внешний документ с
определенного значения Origin. Например, Twit-
ter разрешает показывать свой сайт только на
своём домене.
Данный заголовок позволяет защититься
средствами браузера от атаки «Clickjacking».Суть
её очень проста – фактически пользователь на
сайте нажимает на один элемент страницы, а в
действительности нажатие происходит на другой.
Поверх видимой страницы располагается
невидимый слой, в который и загружается нужная
злоумышленнику страница, при этом элемент
управления (кнопка, ссылка), необходимый для
осуществления требуемого действия, совмещается
свидимойссылкойиликнопкой,нажатиенакоторую
ожидается от пользователя. Например, вместо того,
чтобы перейти на другую страницу, пользователь
ставит “лайк” или добавляет в избранное какой-то
контент.
HTTP-ЗАГОЛОВКИ
1
2
3
Заголовок Описание
X-Frame-
Options
Разрешает или запрещает показ
сайта во фрейме (iframe)
X-content-
type-op-
tions
Данный заголовок сообщит
IE/Chrome, что нет необходи-
мости автоматически определять
Content-Type, а необходимо
использовать уже отданный
Content-Type
Content-
Security-
Policy
Позволяет явно задавать, откуда
может быть подгружен тот или
иной контент
Strict-
Transport-
Security
Позволяет предотвратить
использование HTTP версии
ресурса на определенное время
Server
header
Указывает серверное ПО
(например как apache, nginx,
IIS или др)

www.dsec.ru2015 4
В контексте ДБО это может привести к тому, что
пользователь сделает какой-либо “быстрый” пла-
теж, который обычно не требует подтверждений,
например оплаты телефона.
Рассмотрим полученные результаты:
ДБО для юридических лиц – используют 33%
ДБО для физических лиц – применяют 27%
Официальный сайт – в наличии у 14%
По сути, только треть рассматриваемых участников
применяет данный заголовок на страницах
доменов ДБО и еще меньше – на официальном
сайте. Это не очень хороший результат, поскольку
данный заголовок, если сайт активно не использует
фреймы, никак не повлияет на работоспособность
и может быть добавлен без проблем.
Content-Type-Options
Данный заголовок позволяет повысить защи-
щенность пользователей Internet Explorer, в основ-
ном,припроведенииXSSатак.Элементыscriptиstyle-
Sheet отклоняют ответы с неправильными типами
MIME, если сервер отправляет заголовок ответа
“X-Content-Type-Options: nosniff”. Это функция обеспе-
чения безопасности, которая помогает предотвра-
тить атаки с использованием подмены типов MIME.
Это поведение влияет на реакцию браузера при
отправке сервером в ответе заголовка “X-Con-
tent-Type-Options: nosniff”.
Если директива “nosniff” получена в ответе по
ссылке styleSheet, Internet Explorer не загружает
файл “stylesheet”, если тип MIME не соответствует
“text/css”.
Если директива “nosniff” получена в ответе по
ссылке script, то Internet Explorer не загружает файл
“script”, если его тип MIME не содержит одно из
следующих значений:
“application/ecmascript”
“application/javascript”
“application/x-javascript”
“text/ecmascript”
“text/javascript”
“text/jscript”
“text/x-javascript”
“text/vbs”
“text/vbscript”
Таким образом у злоумышленника не выйдет
использовать js файл с неверным типом MIME для
проведения атаки.
Content-Security-Policy (CSP)
Данный заголовок позволяет сообщить браузеру
(клиенту банка), с каких ресурсов ему можно
загружать контент (картинки, скрипты и т.п.), а
с каких – нет. При правильной настройке это
позволяет защитить клиента от атаки межсайтовым
скриптингом (XSS) и минимизировать риск от
возможных потерь. Данная атака без применения
CSP при работе с ДБО позволяет украсть данные
о счетах клиента, проведенных транзакциях и
в некоторых случаях вывести деньги на другие
счета. Применение CSP для официального сайта
позволяет повысить уровень доверия к банку, а
также минимизировать репутационные и другие
риски при найденной уязвимости и проведении
злоумышленниками данной атаки.

www.dsec.ru2015 5
Server header
Данный заголовок сообщает, на каком ПО работает
веб-сервер и может иметь следующее значение
(для примера):
Server:Apache/2.4.12 (Unix) mod_wsgi/3.5 Python/2.7.5
OpenSSL/1.0.1l
Раскрытие данной информации не несет
прямой угрозы, но может сократить время для
злоумышленника при проведении атак. Вместо
того, чтобы проверять ту или иную уязвимость,
можно сразу начать искать какие-нибудь данные по
определенной версии ПО.
ДБО для юридических лиц – 93%
ДБО для физических лиц – 89%
Официальный сайт – 95%
Strict-Transport-Security
HSTS механизм, активирующий форсированное
защищённое соединение через протокол HTTPS.
Данная политика позволяет сразу же устанавливать
безопасное соединение, вместо использования
HTTP-протокола.Механизмприменяет особыйзаго-
ловок Strict-Transport-Security для принудительного
использования браузером протокола HTTPS. HSTS
помогает предотвратить часть атак, направленных
на перехват соединения между пользователем и
веб-сайтом,вчастностиатакуспонижениемстепени
защиты и кражу cookies. В случае, если веб-сайт
принимает соединения по HTTP и перенаправляет
их на HTTPS, пользователь вполне может
обратиться к незашифрованной версии сайта до
перенаправления. Механизм HTTP Strict Transport
Security позволяет веб-сайту проинформировать
браузер, что тот не должен использовать HTTP и,
вместо этого, автоматически со своей стороны
преобразовывать все HTTP-запросы в HTTPS.
На сегодняшний день, данная технология
поддерживается:
• Chromium и Google Chrome
• Firefox 17
• Opera с версии 12
• Safari (OS X Mavericks)
И Internet Explorer 11, начиная с windows 8.
Поскольку это новый браузер, а некоторые ДБО
активно используют ActiveX компоненты, которые
требуют определенную версию браузера (IE9), то
рассчитывать на поддержку данной технологии в
ДБО для юридических лиц, вероятно, не стоит.
Результаты:
ДБО для юридических лиц – 38%
ДБО для физических лиц – 36%
Официальный сайт – 4%
Вывод
Хоть и использование HTTP заголовков приве-
денных выше не является обязательным, но
их внедрение (кроме CSP) не затратно и не
должно ничего “поломать” в текущей работе как
с официальным сайтом, так и с ДБО. Но в случае
атаки на клиентов банка данные заголовки
могут значительно усложнить ее, или даже
нейтрализовать. Также это может повысить уровень
доверия к банку у технических специалистов,
обнаруживших данные заголовки в ответе веб-
сервера.

www.dsec.ru2015 6
SSL
Название
проверки
Краткое описание
Рейтинг
Общий рейтинг настройки SSL.
Он зависит от многих факторов:
корректности сертификата,
настройки сервера, алгоритмов,
которые поддерживает сервер, и
другого. Градация от 2 до 5
Поддержка
SSL 2.0
Протокол имеет множество
уязвимостей и рекомендуется
к отключению на стороне сервера
Поддержка
SSL 3.0
Протокол имеет множество
уязвимостей, связанных с
архитектурой. Хотя он был
введен в качестве замены SSL
2.0, на сегодняшний день, его
рекомендуется отключить
Поддержка
RC4
Исследователями была
обнаружена возможность за
короткое время расшифровать
данные, которые были скрыты при
помощи шифра RC4
Уязвимость
к freak
Заключается в том, что
злоумышленник может заставить
пользователя и сервер применять
при установлении соединения
и обмене данными “экспортные”
ключи, длина которых сильно
ограничена
POODLE
Позволяет расшифровать данные
пользователя
Heartbleed
Получение доступа к данным,
которые находятся в памяти
клиента или сервера
Одним из самых важных пунктов является проверка
настроек SSL, поскольку этот криптографический
протоколсегодня–самыйпопулярныйметодобеспе-
чения защищенного обмена данными через
Интернет. Среди основных потенциальных угроз
здесь стоит отметить использование атак по
перехвату трафика (без подмены сертификата),
раскрытие оперативной памяти (атака Heartbleed)
и многое другое.
Для осуществления SSL-соединения необходимо,
чтобы сервер имел инсталлированный цифровой
сертификат. С его помощью возможно подтвердить
подлинность домена и проверить, кто является
владельцем сайта. Это важно для того, чтобы
пользователи посещали нужные им ресурсы, а не
фейковые страницы злоумышленников.
Немаловажная функция – шифрование интернет-
соединения, необходимое для предотвращения
возможногохищенияконфиденциальныхданныхпри
их передаче в Сети. Эта опция может значительно
усложнить задачу злоумышленникам. Допустим,
пользователь подключился к открытой сети WiFi
и с помощью мобильного банка или веб-браузера
решил оплатить покупки или пополнить баланс
счета. Между клиентом и ДБО установится SSL-
соединение и произойдет передача данных в
зашифрованном виде. Злоумышленник, даже если
перехватитэтиданные,долженбудетрасшифровать
их, что займет у него многие годы.
Предположим, что в системе ДБО, к которой
подсоединяется пользователь, не используется SSL,
и весь трафик “ходит” в открытом виде. Что тогда
может произойти? Злоумышленник, находящийся
в той же сети, будет просто “прослушивать” трафик,
и получит возможность перехватывать или
подменять данные (используя активные методы
– MiTM), чтобы похитить денежные средства
пользователей или получить доступ к их аккаунтам.
А если на сервере присутствует уязвимость Heart-
bleed, то злоумышленник сможет получить доступ
к данным пользователей, которые находятся в
оперативной памяти сервера.
Были выбраны следующие проверки:

www.dsec.ru2015 7
Только половина официальных сайтов использует
HTTPS для установки соединения.
Средняя оценка для:
Официального сайта –“3”
ДБО для физических лиц –“4”
ДБО для юридических лиц –“3+”
Средняяоценкадлявыбранныхпопулярныхсайтов:
Рейтинг
SSL имеет большое количество настроек и особен-
ностей, которые в той или иной мере влияют на
безопасность как самого соединения, так и его
участников в целом. Используя эту информацию,
можно провести общую оценку данной настройки.
Для этого мы использовали функционал,
предоставляемый Qualys (www.ssllabs.com). Он
позволяет на основе многочисленных параметров
создать общий рейтинг от A до F (или более
привычный аналог – от “5” до “2”). Соответственно
“5+” – это лучший результат, который может быть
достигнут с точки зрения защищенности.
Очень немногие компании (даже крупнейшие
интернет-корпорации) имеют его. Напротив, “2” (
или F) – наихудший результат. Его можно получить,
если сервер подвержен какой-либо критичной
уязвимости, поддерживает устаревшие протоколы
и обладает иными проблемами. Как и оценка
“5+”, наихудший результат встречается редко,
и, в основном, связан с непрофессионализмом
персонала.
Общие результаты:
Официальный сайт ДБО для физлиц ДБО для юрлиц
5+ 2% 10% 4%
5 13% 36% 25%
4 14% 15% 16%
3 10% 19% 14%
2 12% 15% 32%
google.com 4 wikipedia.org 5+
facebook.com 4 twitter.com 5
youtube.com 4 linkedin.com 5
yahoo.com 4 yandex.ru 4
amazon.com 5+ vk.com 5

www.dsec.ru2015 8
Таким образом, средняя оценка – “4+”. Оценки 4
у топа можно объяснить большим количеством
пользователей (сравнительно меньшим, чем у
банков), часть из которых не имеет возможности
обновить свои устройства (например – Windows
XP). Примерно так же обстоят дела и с системами
ДБО для физических лиц. Уровень защищенности
официальных сайтов и ДБО для юридических лиц с
точки зрения настроек SSL ниже, чем у популярных
сайтов.
SSL 2.0
Версия SSL 2.0 была выпущена в феврале 1995г.,
но содержала ряд недостатков с точки зрения
безопасности. Существуют атаки, которые могут
быть предприняты против данного протокола. Для
иллюстрации опишем некоторые из проблем:
SSL 2.0 имеет слабую MAC-конструкцию, которая
использует MD5 хэш-функцию с секретом
префикса, что делает его уязвимым для атак;
SSL 2.0 не имеет никакой защиты для протокола
рукопожатия, то есть атаки типа “человек
посередине” (man-in-the-middle) могут остаться
незамеченными;
SSL 2.0 использует TCP (закрытое соединение),
чтобы обозначить завершение передачи данных.
И злоумышленник может просто подделать TCP
FIN, оставив получателя без сообщения о конце
процесса.
В процессе тестирования мы выяснили, что SSL 2.0
используется в банках:
Юридические лица: 16%
Физические лица: 9%
Официальный сайт: 6%
Учитывая такое количество проблем, неудиви-
тельно, что данную версию протокола мало кто
использует. К примеру, только три участника
из протестированных применяют SSL 2.0 для
физических и юридических лиц одновременно.
Данный результат показывает, что большинство
банков следуют рекомендациям безопасности. В
качестве сравнения: никто из рейтинга top alexa не
поддерживает ssl v2.
SSL 3.0
Протокол SSL 3.0 появился через год после SSL
2.0 с целью устранения недостатков предыдущей
версии. Однако, в октябре 2014 года была
выявлена уязвимость CVE-2014-3566, названная
POODLE (Padding Oracle On Downgraded Lega-
cy Encryption). С ее помощью злоумышленник
может осуществить атаку Man-in-the-Middle на
соединение, зашифрованное с помощью SSL 3.0.
Уязвимость POODLE – это уязвимость протокола,
а не какой-либо его реализации, соответственно,
ей подвержены все соединения, зашифрованные
SSL v3. К примеру, злоумышленник с помощью
этой атаки может перехватывать шифрованный
трафик, прослушивать его, получать доступ
к конфиденциальной информации, которой
обменивается клиент с ДБО. Некоторые ресурсы
в сети активно призывают отключить поддержку
SSL3.0 из-за данной уязвимости. В частности, можно
почитать об этом здесь: http://disablessl3.com/.
Теоретически, реализовать атаку можно на любой
сервис,которыйпозволяетвлиятьнаотправляемые
данные со стороны атакуемого. Проще всего это
реализовать, например, если злоумышленнику
необходимо получить Cookies на HTTPS-странице,
добавляя свой код на HTTP-страницы, который
делает подконтрольные запросы на HTTPS-
страницы, и подменяя шифрованные блоки.
Итак, у нас получилось, что среди участников
тестирования поддерживают SSL v3:
Юридические лица: 32%
Физические лица: 18%
•
•
•

www.dsec.ru2015 9
Один из банков использует SSL 3.0 как для
функционирования ДБО для физлиц, так и для
работы ДБО для юрлиц и для официального сайта.
Еще семь участников поддерживают SSL 3.0 в ДБО
для физлиц и юрлиц, но не на главном сайте.
Только два сайта из рейтинга top alexa поддер-
живают SSL 3.0. Если мерить с точки зрения
процентного отношения, банки показывают схожие
результаты.
RC4
RC4–этопотоковыйшифр,широкоприменяющийся
в различных системах защиты информации
компьютерных сетей, в частности, SSL и TLS. Он был
создан в 1987 году, до сих пор широко используется
и считается одним из самых популярных и
рекомендуемых шифров. Одной из основных его
проблем с точки зрения безопасности является тот
факт, что, в отличие от современных шифров, RC4 не
применяет отдельной оказии наряду с ключом. Это
значит, что если один ключ используется в течение
долгого времени для шифрования нескольких
потоков, сама криптосистема с RC4 должна
комбинировать оказию и долгосрочный ключ для
получения потокового ключа для RC4. Один из
возможных выходов – генерировать новый ключ
для RC4 с помощью хэш-функции от долгосрочного
ключа и оказии. Однако, многие приложения,
использующие RC4, просто конкатенируют ключ и
оказию.
Исследователи обнаружили опасную уязвимость
(http://www.rc4nomore.com/) в данном шифре. В
случае с веб-сайтами, она позволяет дешифровать
часть зашифрованного HTTPS-потока (например,
сессионный идентификатор, передающийся в Cook-
ies) за десятки часов. Ее эксплуатация позволяет
реализовать MiTM-атаку, прослушивать и сохранять
зашифрованный трафик, а также предоставляет
возможность выполнять большое количество
запросов от имени жертвы (проще всего это
достигается через внедрение специального
скрипта на HTTP-страницы сторонних сайтов,
генерирующего большое количество запросов
на интересующий хакера ресурс). Кроме того,
злоумышленнику необходимо каким-то образом
узнать или установить свое значение Cookies,
которое было бы близко к искомому значению
в передаваемом трафике. В ходе исследования
было выяснено, что для совершения атаки на
дешифрование типичного значения сессии из 16
символов потребуется около 75 часов активных
действий, после чего получить искомое значение
можно в 94% случаев.
Только четыре участника поддерживают
использование RC4 для одновременно ДБО юрлиц
и физлиц, а также на официальном сайте. И пятая
часть поддерживает RC4 на ДБО для юрлиц и
физлиц одновременно.
Freak
Суть данной атаки сводится к инициированию
откатасоединениянаиспользованиеразрешённого
для экспорта набора шифров, включающего
недостаточно защищённые устаревшие алгоритмы
шифрования. Проблема позволяет вклиниться
в соединение и организовать анализ трафика в
рамках защищённого канала связи, используя
уязвимость (CVE-2015-0204), выявленную во многих
SSL-клиентах и позволяющую сменить шифры RSA
Alexa
top 10
Банки
20%
Офиц. сайт
ДБО для
физ. лиц
ДБО для
юр. лиц
27% 18% 32%
Alexa
top 10
Банки
50%
Офиц. сайт
ДБО для
физ. лиц
ДБО для
юр. лиц
35% 37% 56%

www.dsec.ru2015 10
на RSA_EXPORT и выполнить дешифровку трафика,
воспользовавшись слабым эфемерным ключом
RSA.
Предоставляемый в RSA_EXPORT 512-битный ключ
RSA уже давно не применяется в серверном и
клиентском ПО, так как считается небезопасным
и слабым к атакам. Для подбора ключа RSA-512
исследователям потребовалось около семи
с половиной часов при запуске вычислений
в окружении Amazon EC2. Ключ достаточно
подобрать для каждого сервера один раз, после
чего он может применяться для перехвата любых
соединений с данным сервером (mod_ssl по
умолчанию при запуске сервера генерирует один
экспортный RSA-ключ и повторно использует его
для всех соединений).
Очень небольшое число участников подвержено
данному типу атаки. Только у трех банков
одновременно ДБО для юрлиц и физлиц уязвимы
к Freak. Это неплохой показатель, поскольку, если
посмотреть на глобальную статистику, (https://
freakattack.com/), в сети на сегодняшний день этой
проблеме подвержены почти 10% всех сайтов.
Это подтверждают и результаты, представленные в
таблице ниже:
POODLE
В октябре 2014 года была выявлена уязвимость CVE-
2014-3566, названная POODLE. Как мы уже поясняли
выше, POODLE – это уязвимость протокола, а не
какой-либо его реализации, соответственно, ей
подвержены все соединения, зашифрованные
SSL v3. Иными словами, злоумышленник может
перехватить шифрованный трафик,
прослушать его, получив доступ к
конфиденциальной информации,
которой обменивается клиент и
ДБО.
Результат (количество банков, чьи системы уязвимы
к POODLE):
Heartbleed
Heartbleed – одна из самых
известных уязвимостей последнего
десятилетия. Информация о ней
была опубликована в апреле
2014 года, ошибка существовала с
конца 2011 года. Если описать ее в
нескольких предложениях, получим
следующее. Это ошибка (переполнение буфера)
в криптографическом программном обеспечении
OpenSSL, позволяющая несанкционированно
читать память на сервере или на клиенте, в том
числе, для извлечения закрытого ключа сервера.
Сервер не проверяет корректность некоторых
запросов, поступающих от клиентов. Установив
соединение, клиент периодически обращается к
серверу с просьбой подтвердить, что соединение
еще не разорвано. В ответ сервер должен вернуть
некоторый небольшой объем данных, причем
количество их определяет сам клиент. Так вот, если
клиент запросит больше данных, чем отправил, его
запрос все равно будет выполнен и сервер пришлет
ему кусок из оперативной памяти. Размер ограничен
64Кбайт,новедьможнопослатьмногозапросов.Тем
самым, количество переходит в качество – посылая
сотни, тысячи запросов, можно читать большие
блоки данных. Таким образом, сложных методов
Alexa
top 10
Банки
0%
Офиц. сайт
ДБО для
физ. лиц
ДБО для
юр. лиц
10% 6% 9%
Alexa
top 10
Банки
0%
Офиц. сайт
ДБО для
физ. лиц
ДБО для
юр. лиц
12% 6% 6%

www.dsec.ru2015 11
для эксплуатации данной ошибки не требуется. Если
сервер ДБО уязвим к Heartbleed, злоумышленник
может получить доступ к критичным данным в
считанные минуты. Посмотрим, сколько участников
предоставляют такую возможность.
Поскольку для данной уязвимости были
продемонстрированы рабочие эксплойты и
примеры получения доступа к данным (даже был
организован конкурс!), проблемы, которые она
может повлечь за собой, всем ясны. Тем не менее,
официальные сайты двух банков из прошедших
тестирование, содержат эту ошибку.
Результат:
Используя эту уязвимость, можно также получить
приватный сертификат, который реально исполь-
зоватьвMitMатаках.Иеслидляофициальногосайта
и для ДБО используется один и тот же сертификат
(или просто Wildcard), то это даст провести атаку
даже на защищенное HTTPS соединение.
Alexa
top 10
Банки
0%
Офиц. сайт
ДБО для
физ. лиц
ДБО для
юр. лиц
2% 0% 0%

www.dsec.ru2015 12
Wildcard Общий сертификат
Официальный сайт 21% 4%
ДБО для физ. лиц 35% 4%
ДБО для юр. лиц 28% 1%
“Wildcard” сертификат
Обычно стандартный SSL-сертификат выдается на
одно полное доменное имя. Это означает, что с его
помощью можно защитить только тот домен, для
которого он был выписан. Также в сертификате могут
быть указаны дополнительные доменные имена,
для которых он действителен. Однако, если нельзя
сказать, сколько доменов будет использовано, и при
этом для каждого нужен сертификат, для упрощения
работы используют Wildcard-сертификат. Применяя
Wildcard SSL, пользователь получает SSL-сертификат,
выданный для группы поддоменов *. Символ
звездочки (*) позволяет использовать сертификат
для любого количества поддоменов на
неограниченном количестве серверов. Таким
образом, процедура обновления и управления
сертификатами упрощается и обходится дешевле.
Однако, если какой-то поддомен будет взломан
злоумышленником, тот сможет завладеть
сертификатом и перехватывать трафик между
всеми доменами. Такого бы не случилось, если
бы для каждого поддомена использовался свой
собственный сертификат. Если применяется общий
сертификат, то один сертификат действует для
нескольких доменов сразу, но при этом не для всех
поддоменов сразу.
Результаты:
Вывод
Итоги проверки SSL совсем не радуют, хотя эта
тема очень подробно расписана на технических
блогах и сейчас не составляет трудностей верно
настроить SSL по инструкциям. Хотя тот факт, что
было найдено 2 ресурса с уязвимостью Heartbleed,
говорит или об отсутствии технического отдела
ИБ у некоторых банков, или полном непонимании
угроз от подобного вида уязвимостей. Говорить в
этих случаях например про RC4 не имеет смысла.

www.dsec.ru2015 13
Чтобы злоумышленнику получить доступ к конфи-
денциальной информации или в КИС, необязательно
пытаться обойти техническую защиту периметра,
искать “бреши в файерволах” и т.п. Одним из
самых действенных способов является рассылка
сотрудникам/клиентам писем с предложением
открыть резюме или протестировать новый сервис
банка,например.Конечно,успехподобногопредпри-
ятия зависит от истории, содержания текстов и
дальнейших действий со стороны жертв, но в упро-
щенном виде реализация этого сценария такова:
злоумышленник подбирает список сотрудников,
отправляет им письма с официальными ссылками,
“правильными”доменными именами. Далее, жертвы
проходят по ссылке якобы на стандартные страницы
сайта банка (на самом деле – подмененные). Для
успешной атаки нужно зарегистрировать доменное
имя, которые бы максимально было похоже на имя
банка, например.
После того, как пользователь попадает на
поддельную страницу, мошенники пытаются
побудить его ввести логин и пароль, которые он
использует для доступа к определённому сайту. Если
это происходит, злоумышленники получают доступ к
аккаунтам и банковским счетам жертвы.
Фишинг – одна из разновидностей социальной
инженерии,основаннаянанезнаниипользователями
основ сетевой безопасности: в частности, многие не
в курсе, что официальные сервисы не рассылают
писем с просьбами сообщить свои учётные данные,
пароль и прочее.
В качестве примера возьмем вымышленное
название банка (rusomebank, РуСамБанк), которые
будет иметь сайт – rusomebank.ru. Вот так это будет
выглядеть в браузере.
ПРОВЕРКА ДОМЕНОВ

www.dsec.ru2015 14
Злоумышленники могут подделать доменные
имена, создав похожие следующим образом:
В домене РФ, например, вместо somebank.ru –
самбанк.рф.
Использовать доменные зоны org, com и net.
Задействовать омоглифы – графически одина-
ковые или похожие друг на друга знаки, имеющие
разное значение. Например, у латинская буква l
может быть заменена цифрой 1.
С использованием удвоенных символов.
Взять поддомен с похожим именем. Если
ДБО располагается на поддомене, возможно
зарегистрировать домен, в котором точка (между
поддоменом и доменом) будет заменена на тире.
Использовать домен, зарегистрированный в дру-
гой стране.
Проверки выполнялись для основных сайтов, ДБО
для физических и юридических лиц.
Рассмотрим каждую из проверок более подробно и
посмотрим, какие результаты были получены.
Регистратор
В соответствии с законом о ПД(152-ФЗ), все данные
граждан России должны храниться на Российских
серверах. А как обстоят дела с регистратором
доменногоимени?Вслучаезапросаотслужбтехили
иных иностранных стран, где был зарегистрирован
домен, корневым регистратором могут быть
переписаны “A” записи, которые указывают на
серверы, на которых фактически располагается
ресурс. Это означает, что все запросы и ПД
пользователей будут направляться не на серверы,
которые располагаются в РФ, например, а на другие.
Однако, такая ситуация возможна только в том
случае, если предположить возможность влияния
иностранных агентов на регистраторов РФ.
По результатам тестирования, была обнаружена
очень небольшая доля участников – 6%, основные
домены которых зарегистрированы за рубежом.
Это объясняется тем, что некоторые банки
имеют головной офис за рубежом и являются
иностранными представителями.
Домен в зоне РФ
Домен РФ стал доступным для регистрации
сравнительно недавно (май 2010) относительно
зоны RU. У многих компаний, которые имеют
русскоязычное название, есть только домен в зоне
RU. То есть для осуществления фишинговой атаки
вполне подойдет такой сценарий: сообщение о
регистрации названия банка в зоне .рф. Поскольку
вымышленное “имя” не будет отличаться от
официального, шансы на успех высоки. В качестве
примера можно привести тот же somebank.ru,
который поменяем на самбанк.рф
Отметим, что в таком случае потери могут быть не
только финансовыми, но и репутационными. Ведь
по сути, речь идет о том, что злоумышленникам
удалось зарегистрировать название российского
банка в зоне РФ, публиковать провокационную
информацию о нем или совершать неправомерные
действия от“имени банка”. Ведь на такой страничке
можно разместить действующую систему ДБО,
которой станут пользоваться клиенты. Последствия
очевидны.
Пример зарегистрированного доменного имени в
зоне РФ:
1
2
3
4
5
6

www.dsec.ru2015 15
Среди протестированных банков существует
возможность регистрации домена в зоне РФ с их
названием почти у половины:
ДБО для физлиц: 40%
Для юрлиц: 37%
Доменные зоны
Зоны .org, .net, .com являются самыми популярными
международными доменными именами. Проверка
заключается в том, можно ли зарегистрировать
домен, который находится в зоне .ru, в одной из
предложенных зон. Сценарий фишинговой атаки
при этом аналогичен тому, что мы видели на
примере с доменной зоной РФ.
Официальный сайт: 42% доменов
ДБО для физлиц: 40% доменов
ДБО для юрлиц: 45% доменов
Таким образом, почти у половины банков можно
зарегистрировать домен в одной из зон .net/.com/.
org.
Омоглифы
Омоглифы – это графически одинаковые или
похожие друг на друга знаки, имеющие разное
значение. Заглавную букву О и число 0 легко можно
перепутать. Омоглифы могут появляться при
использовании разных алфавитов.
Используя данные из таблицы, для доменного
имени rusomebank.ru можем получить следующие
результаты:
rus0mebank.ru | rusornbank.ru | rusomedank.ru
В ходе проверки была использована следующая
таблица:
Адресная строка, которая содержит омоглиф, будет
выглядеть следующим образом:
Во время проверки заменялся только один символ,
и, к примеру, такие вариации названия “somebank.
ru”, как “rus0rnedank.ru”, не тестировались. Если
обнаруживалось, что у банка есть хотя бы одно
доменное имя с омоглифом, которые можно было
зарегистрировать, мы засчитывали штрафное очко.
Результы того, сколько банковских доменов имеют
ресурс, который содержит омоглиф и который
можно зарегистрировать:
ДБО для юрлиц: 68%
l 1
o 0
i j
m rn
q g
d b

www.dsec.ru2015 16
И только 14% банков не позволяют зарегистри-
ровать домен с омоглифом. Нельзя сказать, что
это хороший показатель, поскольку в большинстве
своем доменные их доменные имена не очень
длинные.
Дублирование символов
Другой способ ввести в заблуждение –
продублировать символы. Не всегда возможно
с первого раза заметить повторы в строке. Были
искусственно созданы ситуации, при которых
каждый символ в домене, кроме первого и
последнего, повторялись. Если оказывалось, что
домен можно зарегистрировать, ресурс получал
штрафное очко.
В ситуации с rusomebank.ru проверялись
следующие домены: ruusomebank.ru, russomebank.
ru, rusoomebank.ru, rusommebank.ru, rusomeebank.
ru, rusomebbank.ru, rusomebaank.ru, rusomebannk.
ru.
Результат тестирования (от общего числа банков):
Только у 6% банков нельзя зарегистрировать
доменное имя, содержащее дублированные
буквы, для остальных же участников можно
зарегистрировать либо один из сайтов, либо ДБО
физ/юрлиц.
Смена расположения букв
Данная проверка основывается на том, что можно
поменять расположение букв местами в слове,
кромепервойипоследней,ислововсеравноможно
будет прочитать. Для каждого доменного имени
осуществлялась перестановка пар букв местами
и проверялось, можно ли зарегистрировать такой
домен. Например, для доменного имени rusome-
bank.ru тестировали варианты: rsuomebank.ru,
ruosmebank.ru, rusmoebank.ru, rusoembank.ru, ru-
sombeank.ru, rusomeabnk.ru
В браузере смена символов может выглядеть
следующим образом: все равно можно будет
прочитать. Для каждого доменного имени
осуществлялась перестановка пар букв местами и
проверялось – можно ли зарегистрировать такой
домен. Например, для доменного имени rusome-
bank.ru тестировали варианты: rsuomebank.ru,
ruosmebank.ru, rusmoebank.ru, rusoembank.ru, ru-
sombeank.ru, rusomeabnk.ru
В браузере смена символов может выглядеть
следующим образом:
Результат проверки (штрафные баллы участников):
Только у 13 банков нельзя зарегистрировать
доменное имя с перестановленными буквами.

www.dsec.ru2015 17
Домен как поддомен
Зачастую ДБО располагается на отдельном
поддомене, и злоумышленник может попробовать
зарегистрировать домен, который будет похож на
поддомен банка.
Например:
dbo.rusomebank.ru – официальный поддомен для
ДБО.
dbo-rusomebank.ru – домен, который зарегистри-
ровал злоумышленник.
Данная техника может принести больше
результатов, поскольку домен наверняка не будет
зарегистрирован и он будет максимально похож на
сайт банка.
Результат:
Передача зоны DNS - AXFR
AXFR – вид транзакции DNS, который позволяет
осуществлять репликацию баз DNS между
серверами. По факту это такой же запрос, как и
любой другой, например, для того, чтобы узнать IP
адрес сайта. Может быть выполнен анонимно.
Но часто можно встретить ошибку в настройке
DNS серверов, когда на данный запрос приходит
ответ без каких-либо ограничений. Это позволяет
раскрыть всю зону (все записи) домена, в том числе,
приватные данные. Такими могут быть домены для
внутреннего пользования, например, как трекер
задач, внутренние порталы или адрес АБС.Зачем
это вообще может быть нужно? Зачастую основные
сайты компаний очень хорошо защищены и найти
на них серьезную уязвимость не представляется
тривиальной задачей. Однако, как говорится “Цепь
настолько сильна, насколько сильно ее самое
слабое звено”. На некоторых поддоменах иногда
можно найти тестовые версии сайтов, бекапы и
многое другое. Некоторые довольно крупные
компании были взломаны подобным образом, из-
за того, что на каком-то поддомене оставались
скрипты тестирования.
В данной проверке важно проверять все DNS
серверы, которые обслуживают домен, а не только
тот, который задан первым. Встречаются случаи,
когда домен обслуживает собственный DNS сервер
и сервер компании-партнера, который настроен с
ошибкой.
Результат: для 17 банков можно раскрыть всю зону
домена и получить доступ ко всем записям.
Вывод
В отличии от HTTP заголовков и настройки SSL,
работа с доменами подразумевает затраты со
стороны банка на покупку доменов, которые могут
участвовать в фишинге, и их продление каждый
год. Однако, как вариант для сотрудников банка –
все похожие доменные имена во внутренней сети
могут автоматически резолвиться на основной
сервер. Это позволит обезопасить сотрудников
внутренней сети, поскольку как не открывай
страницу фишингового сайта, она всегда будет
перенаправлятьсясерверомкомпаниинаосновной
сайт. Однако, к внешним пользователям такой
подходнеприменимиимничегонеостается,только
как быть более внимательными. Если затраты на все
схожие домены нецелесообразны для банка, можно
выбрать хотя бы наиболее критичные.
Но это не касается случая с AXFR, который оказался
“популярным” среди банков. Здесь нужна только
корректная настройка сервера и ограничение для
приема запросов данного типа.

www.dsec.ru2015 18
Подводя итоги исследования, мы получили общую
картину, сформировали выводы и всё отразили в
данном документе.
Следуястандартнымпрактикам–искатьизакрывать
уязвимости,большинствозабываетосамыхпростых
вещах, которые, в свою очередь, могут существенно
снизить опасность или значительно усложнить
эксплуатацию уязвимостей. Конечно же, мы имеем
ввиду “лучшие практики”. Хоть и сейчас почти не
встретишь значения Cookie для сессий без флагов
HTTPOnly и Secure, однако сокрытию заголовков
от сервера с используемым ПО или установке CSP
придается малое значение. Это может быть связано
с тем, что польза от тех или иных технологий видна
не сразу. Точно такая же история и по работе с
доменами. Можно контролировать входящую почту
и оперативно блокировать фишинговые письма,
но можно “закручивать гайки” путем сокращения
путей для фишинга (скупкой доменов). Скорее всего
результат не будет виден, так как возможности
для атаки будут сокращены, и злоумышленники
вообще могут отказаться от данного вида атаки (как
минимум – фишинговой рассылки от имени банка).
Данное исследование не затрагивало атаки и
уязвимости, защита от которых выстраивается
на базе фильтрации пользовательского ввода, а
включало в себя именно статистику использования
подходов по выполнению рекомендованных
настроек для веб-серверов и взаимосвязанных
компонентов, например, как работа с доменами.
Мы ожидали результатов, но точно не рассчитывали
встретить столь критичные проблемы, как AXFR в
17% случаев и уязвимость Heartbleed у 2 банков.
Пройдясь по различным пунктам, нам удалось
установить, что все основные уязвимости и
проблемы безопасности в той или иной мере
содержатсянавеб-ресурсахведущихбанковРоссии.
Существующие «бреши» потенциально позволяют
злоумышленникам рассчитывать на реализацию
атак в отношении этих финансовых организаций.
Если учесть, что проверка проводилась лишь для
публично доступных ресурсов, а вглубь систем
исследователи не проникали, ситуация с ИБ банков
представляется и вовсе тревожной.
Возможно, мы проведем еще одно подобное
исследование позже, чтобы посмотреть, как
изменится картина после данной публикации, и с
учетом возможных перестановок в рейтинге топ
100-банков.
ЗАКЛЮЧЕНИЕ

Digital Security – одна из ведущих российских кон-
салтинговых компаний в области информационной
безопасности, предоставляющая полный спектр
услуг, в том числе проведение аудитов ИБ и тестов
на проникновение, подготовку и сертификацию по
PCI и PA-DSS, СТО БР ИББС, аудит защищенности си-
стем ДБО, SCADA, ERP, бизнес-приложений, веб-при-
ложений и платформ виртуализации. Ключевым
направлением деятельности компании являются
исследования в области безопасности SAP-систем
и разработка системы мониторинга безопасности
SAP ERPScan. Помимо этого, компания занимается
консалтингом, тестами на проникновение и аудитом
кода для SAP-систем.
Digital Security является ведущим в мире партнером
SAP SE по обнаружению и устранению уязвимостей в
приложенияхисистемахSAP.ЭкспертыDigitalSecurity
оказываюткорпорацииуслугипоанализубезопасно-
сти новых продуктов SAP, а также почти ежемесячно
получают благодарности от SAP SE и находятся на
первом месте по количеству обнаруженных уязвимо-
стей.
В основе опыта компании лежит деятельность иссле-
довательского центра Digital Security, осуществляю-
щего поиск и анализ уязвимостей в критичных для
бизнеса приложениях таких компаний, как Oracle,
SAP, VMware, IBM, 1С и прочие. За время своей дея-
тельности специалисты центра получили множество
благодарностей от перечисленных компаний более
чем за 400 обнаруженных уязвимостей. Эксперты
исследовательского центра возглавляют проект
EAS-SEC, посвященный безопасности бизнес-при-
ложений, и являются постоянными докладчиками
международных конференций по практической без-
опасности: BlackHat, RSA, Defcon, HITB, InfoSecurity и
многих других.
Система мониторинга безопасности SAP ERPScan
хорошо известна на Западе, протестирована инже-
нерами SAP Product Security Response Team в про-
дуктивной системе SAP SE, имеет статус“SAP Certified
– Integration with SAP Applications” и была неод-
нок-ратно удостоена престижных международных
наград. Компания сотрудничает с клиентами и пар-
тнерами более чем в 20 странах, в том числе в США,
Германии, Испании, Голландии, Австралии, ЮАР, Ин-
дии, Корее, Беларуси, Казахстане, Турции, Польше.
Наши разработки и исследования были освещены в
популярнейших изданиях и на специализированных
ресурсахпоинформационнойбезопасности:Reuters,
CIO, PCWorld, DarkReading, Heise, Chinabyte.
Контактная информация:
OOO «Диджитал Секьюрити»
Россия, 115093, Москва
Партийный пер., д. 1, корп. 57, стр. 3
тел.: +7 (495) 223-0786
Россия, 197183, Санкт-Петербург
Петроградская набережная д. 16 лит. А.
тел.: +7 (812) 703-1547
info@dsec.ru, sales@dsec.ru
www.dsec.ru

Как банки обеспечивают свою безопасность

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Viewers also liked

Viewers also liked (11)

Similar to Как банки обеспечивают свою безопасность

Similar to Как банки обеспечивают свою безопасность (20)

More from Andrey Apuhtin

More from Andrey Apuhtin (20)

Как банки обеспечивают свою безопасность