Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Практические аспекты оценки
       защищенности систем ДБО

Алексей Синцов
Ведущий аудитор Digital Security


            ...
Практические аспекты
                                                    оценки защищенности систем ДБО


Cистемы ДБО

   ...
Практические аспекты
                                                       оценки защищенности систем ДБО


Интернет клие...
Практические аспекты
                                                   оценки защищенности систем ДБО


Безопасность клие...
Практические аспекты
                                                       оценки защищенности систем ДБО


Безопасность ...
Практические аспекты
                                                        оценки защищенности систем ДБО


Слабые места...
Практические аспекты
                                                         оценки защищенности систем ДБО


WEB
Популяр...
Практические аспекты
                                оценки защищенности систем ДБО


Ошибка Cross-Site-Scripting




© 20...
Практические аспекты
                                                         оценки защищенности систем ДБО


ActiveX


 ...
Практические аспекты
                                 оценки защищенности систем ДБО


 Ошибки ActiveX
                   ...
Практические аспекты
                                                          оценки защищенности систем ДБО


USB-Token
...
Практические аспекты
                                                     оценки защищенности систем ДБО


Тестируем защищ...
Спасибо
                                за внимание!




© 2002—2010, Digital Security                  13
Upcoming SlideShare
Loading in …5
×

Практические аспекты оценки защищенности систем ДБО

1,877 views

Published on

  • Be the first to comment

  • Be the first to like this

Практические аспекты оценки защищенности систем ДБО

  1. 1. Практические аспекты оценки защищенности систем ДБО Алексей Синцов Ведущий аудитор Digital Security © 2002—2010 , Digital Security
  2. 2. Практические аспекты оценки защищенности систем ДБО Cистемы ДБО Модели:  Банк-клиент • Клиентское ПО  Интернет-клиент • Браузер  Мобильный клиент • ПО/Браузер/СМС  АТМ клиент • Банкомат/Терминал © 2002—2010, Digital Security 2
  3. 3. Практические аспекты оценки защищенности систем ДБО Интернет клиент Где могут быть проблемы?  Клиентская часть ПО - Безопасность ActiveX - Безопасность работы ПО с ЭЦП  Серверная часть системы - Серверное ПО системы ДБО - ПО обслуживающих серверов (ОС, СУБД, Веб-сервер) © 2002—2010, Digital Security 3
  4. 4. Практические аспекты оценки защищенности систем ДБО Безопасность клиентской части Интернет-Банка С точки зрения злоумышленника пользователь Интернет-Банка является более простой и удобной целью атаки, чем сам банк:  Пользователь защищен слабее банка  Пользователей гораздо больше – выше шансы успешной атаки Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП Но: • ответственность клиента • ущерб репутации банка © 2002—2010, Digital Security 4
  5. 5. Практические аспекты оценки защищенности систем ДБО Безопасность серверной части Интернет-Банка Внешний нарушитель  Атакует внешний периметр и программное обеспечение Интернет-Банка Внешний нарушитель – пользователь интернет-банка  Имеет счет (привилегированный пользователь)  Атакует приложение, используя свою учетную запись Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании © 2002—2010, Digital Security 5
  6. 6. Практические аспекты оценки защищенности систем ДБО Слабые места Банк-Клиентов Клиентская часть  ActiveX  Браузер  Человеческий фактор  Иное ПО Серверная часть  WEB приложения  Программное обеспечение сервисов. Например, веб-сервер  Архитектура © 2002—2010, Digital Security 6
  7. 7. Практические аспекты оценки защищенности систем ДБО WEB Популярные ошибки:  Инъекция SQL  Межсайтовый скриптинг  Ошибки бизнес логики Особенности:  Вся защита на WEB. В БД – один пользователь  В БД, как правило, нет шифрования © 2002—2010, Digital Security 7
  8. 8. Практические аспекты оценки защищенности систем ДБО Ошибка Cross-Site-Scripting © 2002—2010, Digital Security 8
  9. 9. Практические аспекты оценки защищенности систем ДБО ActiveX  Ошибки ActiveX: переполнение буфера  Ошибки ActiveX : небезопасные методы  Ошибки IE  Ошибки Acrobat Reader  Ошибки Flash © 2002—2010, Digital Security 9
  10. 10. Практические аспекты оценки защищенности систем ДБО Ошибки ActiveX Переполнение буфера в стеке Небезопасный метод © 2002—2010, Digital Security 10
  11. 11. Практические аспекты оценки защищенности систем ДБО USB-Token  Не у всех есть  Подмена документа  Троян может все то, что может пользователь Вывод: USB - Token не панацея © 2002—2010, Digital Security 11
  12. 12. Практические аспекты оценки защищенности систем ДБО Тестируем защищённость 1. Сегментация/фильтрация 2. Демоны/сервисы 3. Парольная политика 4. Управление ключами 5. Защищенность ПО БК 6. Защищенность клиента 7. Защищенность БД 8. Анализ логики/архитектуры Защита не должна быть только на уровне ПО БК © 2002—2010, Digital Security 12
  13. 13. Спасибо за внимание! © 2002—2010, Digital Security 13

×