Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Типовые проблемы безопасности банковских систем

7,815 views

Published on

  • Sex in your area is here: ♥♥♥ http://bit.ly/2F7hN3u ♥♥♥
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Dating for everyone is here: ❤❤❤ http://bit.ly/2F7hN3u ❤❤❤
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
  • Be the first to like this

Типовые проблемы безопасности банковских систем

  1. 1. Типовые проблемыбезопасности банковскихсистем Дмитрий Евтеев, руководитель отдела анализа защищенности, Positive Technologies
  2. 2. Угрозы безопасности в банковском секторе Отказ в обслуживании (АБС, ...) НСД к СУБД АБС, в т.ч. процессинга Атака на клиентов (подмена содержимого, фишинг, ...) Физика и «около физика» (ATM, ...) Невыполнение требований регуляторов
  3. 3. Типовая банковская информационная система
  4. 4. Атаки на клиентов Банка
  5. 5. Атаки на клиентов: банальный фишинг
  6. 6. Массовые атаки на клиентов Банка: заражениевредоносным кодом Как? • Неподготовленный пользователь «втыкает во все и вся» • Путешествует по интернету используя уязвимый браузер с уязвимыми плагинами Результат? • Фарминг • Win32/Trojan.Downloader.Carberp, Win32/Spy.Shiz…
  7. 7. Массовые атаки на клиентов Банка: заражениевредоносным кодом
  8. 8. Каждому по ботнетуmsf, immunity canvas (VulnDisco SA, …)… - browser autopwnAd’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,IcePack, Impassioned Framework, justexploit, Liberty, Limbo,LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,WebAttacker, YES Exploit system, ZeuS, Zombie Infection…
  9. 9. Целевые атаки на клиентов Банка Как? • Многие системы дистанционного банковского обслуживания (далее – ДБО) используют ActiveX • Установленные компоненты ActiveX на компьютер пользователя в свою очередь могут содержать уязвимости Результат? • Целевые атаки на компьютеры пользователей клиентов Банка • Комплексные атаки на системы ДБО
  10. 10. А насколько безопасен Ваш серфинг? http://www.surfpatrol.ru/
  11. 11. Целевые атаки на внешние банковские системы
  12. 12. Что расположено на периметре банковскойинформационной системы Многочисленные веб-сервисы, в первую очередь, для обслуживания физических и юридических лиц • Интернет банк, мобильный банк… Сервисы инфраструктуры • DNS, SMTP, OWA… Удаленный доступ к сети (обычно для «повелителей сети»)
  13. 13. Наиболее распространенные системы ДБО дляРоссийского рынка (физики) http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf
  14. 14. Наиболее распространенные системы ДБО дляРоссийского рынка (юрики) http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf
  15. 15. Типовые проблемы безопасности ДБОРазграничение прав доступа
  16. 16. Как монетизировать сценарий атаки на ДБО1. Поиск уязвимостей- Проверка слабостей парольной политики- Проверка слабостей механизмов защиты от перебора- Поиск путей сбора действующих идентификаторов2. Реализация сценария атаки- Перебор "действующих" идентификаторов с одним паролем3. Монетизация сценария атаки- Обход OTP и осуществление транзакции- Изменение платежного поручения- ...
  17. 17. Как монетизировать сценарий атаки на ДБО. Часть 21. Поиск уязвимостей- Верификация уязвимости CVE-NO-NAME(возможность доступа к файловой системе)2. Реализация сценария атаки- Поиск файлов системы протоколирования- Доступ к файлам конфигурации ДБО- ...3. Монетизация сценария атакиJ
  18. 18. Как монетизировать сценарий атаки на ДБО в картинках Внедрение внешних XML-сущностей (XXE) — уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера. https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
  19. 19. Типовые уязвимости прикладных банковских систем напримере PHDays I-Bank Система разрабатывалась специально для конкурса, проводимого на PHDays 2012 PHDays I-Bank содержит типовые уязвимости, которые мы находили в реальных системах ДБО См. Статистика веб-уязвимостей за 2010- 2011 годы (раздел 5.8): http://www.ptsecurity.ru/download/статистика RU.pdf Типовые уязвимости систем ДБО http://www.slideshare.net/phdays/ss-14005562 PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО, которая действительно работает в каком-либо из существующих банков.
  20. 20. Другие цели для осуществления атаки… Вспомогательные приложения (helpdesk и пр.) История одного банка… http://devteev.blogspot.com/2011/09/4.html
  21. 21. За (?!) периметром сети
  22. 22. Атаки на ATM
  23. 23. Атаки на ATM: jailbreak WinXP SP2/SP3, драйвера и ППО * изредка встречаются Embedded/POSReady-варианты и совсем редко Windows NT, OS/2, Linux. Рендер – IE, Chrome, возможны самописные.
  24. 24. Атаки на ATM: насколько сложно получить удаленныйдоступ к банкомату
  25. 25. Как монетизировать сценарий атаки на ATM1. Поиск целей- Сетевое сканирование, направленное на обнаружениебанкоматов2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей,использование известных уязвимостей ОС и т.п.)3. Монетизация сценария атаки- Прослушивание трафика/извлечение из служебных журналов PAN- Перебор exp.date и CVV2/CVC2 для CNP J
  26. 26. Атаки на ATM: скимминг/шимминг… Скимминг Шимминг Тонкая гибкая плата вставляется через щель картридера и считывает данные введенных карт. Высокотехнологичное устройство, толщина которого не должна превышать 0,1 мм (исходя из размеров карт и слота картридера). Фактов обнаружения в России нет. http://www.securitylab.ru/news/395811.php Траппинг (ливанская петля) мошеннический захват карты (Факт – 2009 год, Омск) Накладка изымается вместе с картой. Фальшивый банкомат
  27. 27. Атаки на ATM: физический взломНе всегда и не везде есть возможность крепления банкомата к полуанкерными болтами – проходимость (клиентопоток) для банкаважнее безопасности. Незакрепленные банкомат относительнолегко увезти. Закрепленные банкоматы – дополнительная опора привскрытии на месте. Как? Смотрим тут Вскрытие некоторых сейфов – «высверлить дырку в боковой стенкенапротив ригеля и стукнуть кувалдой по пруту (при этом замоксрежет болты)». Ригель и корпус замка – силуминовые.Число случаев мошенничества сбанкоматами выросло в 9 раз!
  28. 28. Атаки на ATM: реальная защита криптоключей PIN entry device (PED) • Шифрование DES, 3DES, RSA • PIN-блок формируется в клавиатуре, расшифровывается на хосте в банке – в открытом виде PIN не «ходит» • Ключи хранятся ТОЛЬКО в EPP (и должны вводиться непосредственно с PED…)
  29. 29. Как монетизировать сценарий атаки на ATM. Часть 21. Поиск целей- Сетевое сканирование, направленное на обнаружениебанкоматов2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей,использование известных уязвимостей ОС и т.п.)3. Монетизация сценария атаки- Дождаться момента некорректной смены ключей шифрования- Появляется возможность подмены трафика!- Выяснение месторасположения банкомата (например, черезслужебные сообщения); налик J
  30. 30. Атаки на ATM: мошенничество с подменойдостоинства выдаваемых/принимаемых купюр Выдаваемые банкноты не валидируются (т.е. можно выдавать фантики) При приеме распознавание осуществляется валидатором (4 машиночитаемых признака), шаблоны валют хранятся во флеш- памяти устройства Соответствие шаблона и номинала валют хранится либо в реестре, либо в файлах (обычно .ini) Диспенсер
  31. 31. Как монетизировать сценарий атаки на ATM. Часть 31. Поиск целей- Сетевое сканирование, направленное на обнаружениебанкоматов2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей,использование известных уязвимостей ОС и т.п.)3. Монетизация сценария атаки- Выяснение месторасположения банкомата (например, черезслужебные сообщения)- Смена идентификаторов номиналов- Снятие/внесение 100 рублей; profit!
  32. 32. инсайдерские действия сотрудников…
  33. 33. Наш ответ хакерам злоумышленникам Комплексный аудит СУИБ
  34. 34. Спасибо за внимание!Вопросы?devteev@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev

×