Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Основные проблемы безопасности систем ДБО

1,688 views

Published on

Published in: Technology
  • Be the first to comment

Основные проблемы безопасности систем ДБО

  1. 1. Основные проблемы безопасности систем ДБО Алексей Синцов Ведущий аудитор Digital Security © 2002—2010 , Digital Security
  2. 2. Основные проблемы безопасности систем ДБО Cистемы ДБО Модели:  Банк-клиент • Клиентское ПО  Интернет-клиент • Браузер  Мобильный клиент • ПО/Браузер/СМС  АТМ клиент • Банкомат/Терминал © 2002—2010, Digital Security 2
  3. 3. Основные проблемы безопасности систем ДБО Интернет клиент Где могут быть проблемы?  Клиентская часть ПО - Безопасность ActiveX - Безопасность работы ПО с ЭЦП  Серверная часть системы - Серверное ПО системы ДБО - ПО обслуживающих серверов (ОС, СУБД, Веб-сервер) © 2002—2010, Digital Security 3
  4. 4. Основные проблемы безопасности систем ДБО Безопасность клиентской части Интернет-Банка С точки зрения злоумышленника, пользователь Интернет-Банка является более простой и удобной целью атаки, чем сам банк:  Пользователь защищен слабее банка  Пользователей гораздо больше – выше шансы успешной атаки Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП Но: • ответственность клиента • ущерб репутации банка © 2002—2010, Digital Security 4
  5. 5. Основные проблемы безопасности систем ДБО Безопасность серверной части Интернет-Банка Внешний нарушитель  Атакует внешний периметр и программное обеспечение Интернет-Банка Внешний нарушитель – пользователь интернет-банка  Имеет счет (привилегированный пользователь)  Атакует приложение, используя свою учетную запись Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании © 2002—2010, Digital Security 5
  6. 6. Основные проблемы безопасности систем ДБО Слабые места Банк-Клиентов Клиентская часть  ActiveX  Браузер  Человеческий фактор  Иное ПО  Слабая защита корпаративной сети в целом Серверная часть  WEB приложения  Программное обеспечение сервисов. Например, веб-сервер  Архитектура  Инсайд © 2002—2010, Digital Security 6
  7. 7. Основные проблемы безопасности систем ДБО Откуда угрозы? Интернет ДМЗ © 2002—2010, Digital Security 7
  8. 8. Основные проблемы безопасности систем ДБО WEB Популярные ошибки:  Инъекция SQL  Межсайтовый скриптинг  Ошибки бизнес логики Особенности:  Вся защита на WEB. В БД – один пользователь  В БД, как правило, нет шифрования © 2002—2010, Digital Security 8
  9. 9. Основные проблемы безопасности систем ДБО Ошибка Cross-Site-Scripting © 2002—2010, Digital Security 9
  10. 10. Основные проблемы безопасности систем ДБО ActiveX  Ошибки ActiveX: переполнение буфера  Ошибки ActiveX : небезопасные методы  Ошибки IE  Ошибки Acrobat Reader  Ошибки Flash © 2002—2010, Digital Security 10
  11. 11. Основные проблемы безопасности систем ДБО Ошибки ActiveX Переполнение буфера в стеке Небезопасный метод © 2002—2010, Digital Security 11
  12. 12. Основные проблемы безопасности систем ДБО USB-Token?  Не у всех есть  Подмена документа  Троян может все то, что может пользователь Вывод: USB - Token не панацея © 2002—2010, Digital Security 12
  13. 13. Основные проблемы безопасности систем ДБО USB-Token. . . © 2002—2010, Digital Security 13
  14. 14. Основные проблемы безопасности систем ДБО Тестируем защищённость 1. Сегментация/фильтрация 2. Демоны/сервисы 3. Парольная политика 4. Управление ключами 5. Защищенность ПО БК 6. Защищенность клиента 7. Защищенность БД 8. Анализ логики/архитектуры Защита не должна быть только на уровне ПО БК © 2002—2010, Digital Security 14
  15. 15. Спасибо за внимание! © 2002—2010, Digital Security 15

×