2. Уязвимости систем ДБО
в 2011-2012 гг.
Евгения Поцелуевская
Positive Technologies
ITSF 2013, Казань
3. Аналитика Positive Technologies
― Статистика по результатам тестирований на
проникновение за 2011-2012 гг.
― Статистика по уязвимостям в веб-приложениях в 2012 г.
― Статистика уязвимостей систем ДБО за 2011-2012 гг.
http://www.ptsecurity.ru/lab/analytics/
4. Чтобы оставаться на месте, нужно бежать сломя
голову, а чтобы двигаться вперед, надо бежать в два
раза быстрее.
Льюис Кэрол,
«Алиса в Стране чудес»
6. Этап 1: идентификация
― Банк:
• предсказуемые
идентификаторы
• раскрытие информации об
идентификаторах
― Злоумышленник:
• получает данные об
идентификаторах и может
переходить к подбору
паролей
7. Этап 2: аутентификация
― Банк:
• Не используется двухфакторная
аутентификация
• Слабая парольная политика
• Недостаточная защита от
Brute Force
― Клиент:
• Выбирает слабые пароли
― Злоумышленник:
• Подбирает пароли и получает
доступ к системе
8. Этап 3: авторизация
― Банк:
• Не используется двухфакторная
авторизация
• OTP запрашивается не для
всех транзакций
• Недостаточная защита сессии
― Клиент:
• Небезопасно хранит
авторизационные данные
― Злоумышленник:
• Проводит транзакции
9. Догоняем
― Банк:
• Исправляет недостатки в механизмах защиты
• Дает рекомендации пользователям
― Клиент:
• выбирает идентификаторы, которые трудно подобрать (при
наличии возможности)
• выбирает стойкие пароли
• надежно хранит данные для аутентификации и авторизации
10. Уязвимости серверной части
― Банк:
• Уязвимости в коде
• Некорректная конфигурация
• Уязвимые версии ОС и ПО
― Злоумышленник:
• Получает контроль над
системой на уровне серверной
части
― Клиент:
• Ничего не может поделать
15. Догоняем
― Банк:
• Устраняет уязвимости
• Регулярно проводит анализ защищенности
• Использует средства защиты на сетевом
уровне, уровне ОС, СУБД и на уровне приложений
― Клиент:
• Надеется, что банк всѐ делает правильно
16. Атаки на пользователей
― На стороне банка:
• Уязвимости веб-приложения
• Недостаточно эффективные механизмы
аутентификации и авторизации
― На стороне клиента:
• недостаточная осведомленность в вопросах ИБ
• уязвимые версии ОС и прикладного ПО
• отсутствие антивируса
18. Атаки на пользователей – догоняем:
― Банк:
• устраняет уязвимости
• обучает клиентов
― Клиент:
• использует актуальные версии ПО
• использует СЗИ на рабочей станции
• не ходит по подозрительным ссылкам
20. Чтобы опережать злоумышленников нужно
― Для банка:
не забывать о поддержании должного уровня защищенности
системы вне зависимости от опыта и репутации подрядчиков
и персонала, ответственного за конфигурирование и поддержку
системы ДБО
― Для клиента:
помнить, что безопасность его сбережений зависит
не только от банка, но и от его собственных действий