Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Уязвимости систем ДБО в 2011-2012 гг.

8,325 views

Published on

  • Follow the link, new dating source: ❶❶❶ http://bit.ly/39pMlLF ❶❶❶
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating direct: ♥♥♥ http://bit.ly/39pMlLF ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Уязвимости систем ДБО в 2011-2012 гг.

  1. 1. Уязвимости систем ДБОв 2011-2012 гг.Евгения ПоцелуевскаяPositive TechnologiesITSF 2013, Казань
  2. 2. Аналитика Positive Technologies― Статистика по результатам тестирований напроникновение за 2011-2012 гг.― Статистика по уязвимостям в веб-приложениях в 2012 г.― Статистика уязвимостей систем ДБО за 2011-2012 гг.http://www.ptsecurity.ru/lab/analytics/
  3. 3. Чтобы оставаться на месте, нужно бежать сломяголову, а чтобы двигаться вперед, надо бежать в двараза быстрее.Льюис Кэрол,«Алиса в Стране чудес»
  4. 4. Участники соревнованиязлоумышленникбанкклиенты банка
  5. 5. Этап 1: идентификация― Банк:• предсказуемыеидентификаторы• раскрытие информации обидентификаторах― Злоумышленник:• получает данные обидентификаторах и можетпереходить к подборупаролей
  6. 6. Этап 2: аутентификация― Банк:• Не используется двухфакторнаяаутентификация• Слабая парольная политика• Недостаточная защита отBrute Force― Клиент:• Выбирает слабые пароли― Злоумышленник:• Подбирает пароли и получаетдоступ к системе
  7. 7. Этап 3: авторизация― Банк:• Не используется двухфакторнаяавторизация• OTP запрашивается не длявсех транзакций• Недостаточная защита сессии― Клиент:• Небезопасно хранитавторизационные данные― Злоумышленник:• Проводит транзакции
  8. 8. Догоняем― Банк:• Исправляет недостатки в механизмах защиты• Дает рекомендации пользователям― Клиент:• выбирает идентификаторы, которые трудно подобрать (приналичии возможности)• выбирает стойкие пароли• надежно хранит данные для аутентификации и авторизации
  9. 9. Уязвимости серверной части― Банк:• Уязвимости в коде• Некорректная конфигурация• Уязвимые версии ОС и ПО― Злоумышленник:• Получает контроль надсистемой на уровне сервернойчасти― Клиент:• Ничего не может поделать
  10. 10. Видеоповтор
  11. 11. Главное, чтобы все не закончилось такЭ, банк! Гдемои деньги?
  12. 12. Вендорские vs. самописные
  13. 13. Тестовые vs. Продуктивные
  14. 14. Догоняем― Банк:• Устраняет уязвимости• Регулярно проводит анализ защищенности• Использует средства защиты на сетевомуровне, уровне ОС, СУБД и на уровне приложений― Клиент:• Надеется, что банк всѐ делает правильно
  15. 15. Атаки на пользователей― На стороне банка:• Уязвимости веб-приложения• Недостаточно эффективные механизмыаутентификации и авторизации― На стороне клиента:• недостаточная осведомленность в вопросах ИБ• уязвимые версии ОС и прикладного ПО• отсутствие антивируса
  16. 16. Самые распространенные уязвимости
  17. 17. Атаки на пользователей – догоняем:― Банк:• устраняет уязвимости• обучает клиентов― Клиент:• использует актуальные версии ПО• использует СЗИ на рабочей станции• не ходит по подозрительным ссылкам
  18. 18. Пока в гонке вооружений банки отстают
  19. 19. Чтобы опережать злоумышленников нужно― Для банка:не забывать о поддержании должного уровня защищенностисистемы вне зависимости от опыта и репутации подрядчикови персонала, ответственного за конфигурирование и поддержкусистемы ДБО― Для клиента:помнить, что безопасность его сбережений зависитне только от банка, но и от его собственных действий
  20. 20. Спасибо за внимание!Евгения Поцелуевскаяepotseluevskaya@ptsecurity.ruITSF 2013, Казань

×