Олег Купреев. Атаки на банковские системы: как добраться до АБС

Атаки на банковские системы.
Олег Купреев
Digital Security

© 2002—2013, Digital Security
Атаки на банковские системы
Атаки на ДБО
2

ДБО защищены?
1) Мы имеем опыт проведения тестов на проникновение почти всех
систем ДБО, представленных на российском рынке.
2) В ходе работ были выявлены множественные уязвимости в каждой из
систем ДБО.
3) В результате всех работ были выявлены векторы атак, с помощью
которых можно украсть деньги у клиентов банков (иногда – у всех
клиентов!)
3

ActiveX-компоненты – специальные надстройки, устанавливаемые в
браузер (ОС) для взаимодействия с ЭЦП и токенами у клиента банка.
клиент ДБО
хакер
ActiveX. Пример 1. Заражение клиента банковским трояном
4

клиент ДБО
хакер
Вирус у клиента = полный контроль над клиентом = кража денег у клиента
вирус
5

клиент ДБО
хакер
вирус
6

клиент ДБО
хакер
вирус
7

ActiveX. Пример 2. Кража ЭЦП клиента через ActiveX
клиент ДБО
хакер
Все еще не используете токены? Тогда мы идем к вам!
ЭЦП
8

клиент ДБО
хакер
ЭЦП
9

клиент ДБО
хакерЭЦП
10

«Заманиваем» клиентов
клиент
Любой сайт
хакер
11

В 100% компонентов ActiveX различных систем ДБО нами были
выявлены критичные уязвимости!
Почему?
1) Не поставлен процесс тестирования и анализа безопасности у
разработчиков систем ДБО
2) Уязвимости в ActiveX не так знакомы программистам, как уязвимости из
OWASP TOP 10
12

Пример 3. Внутри банка. Насколько вы доверяете вашим операторам?
Оператор СУБД ДБО –
сердце всей системы
Оператор входит в систему по личному логину/паролю.
Есть ролевая модель (администраторы, операторы).
13

Оператор входит в систему по личному логину/паролю?
Есть ролевая модель (администраторы, операторы)?
14

1) Оператор входит под привилегированной учетной записью СУБД.
2) Оператор ограничен на клиентской стороне возможностями в
интерфейсе АРМ.
3) Зашифрованный пароль хранится в текстовом файле.
Логин и пароль от dba
15

1) Оператор входит под привилегированной учетной записью СУБД.
2) Оператор ограничен на клиентской стороне возможностями в
интерфейсе АРМ.
3) Зашифрованный пароль хранится в текстовом файле.
Логин и пароль от dba
1) Общеизвестная специфика системы
2) Пароль от СУБД зашифрован
16

Пароль от СУБД зашифрован – это защита?..
1) Зашифрованное – можно расшифровать.
2) Файл с паролем от привилегированной учетной записи СУБД ДБО
должен быть доступен для чтения оператору.
1) Общеизвестная специфика системы
2) Пароль от СУБД зашифрован
17

Насколько вы доверяете вашим операторам?
Оператор = > Администратор СУБД ДБО = > Возможность украсть деньги
у любого клиента банка
Это архитектурная проблема.
В ближайшее время не стоит ждать исправлений.
18

Пример 4. Опасные XSS
В 95% систем ДБО были выявлены уязвимости, позволяющие
злоумышленнику внедрять свой код JavaScript (XSS).
Не слишком ли много для столь критичного продукта?
XSS позволяет полностью контролировать то, что отображается у
пользователя, и то, что отправляется на сервер.
Злоумышленник может эмулировать действия клиента.
Злоумышленник может обойти защиту с использованием токенов.
19

клиент
ДБО
браузер
хакер
20

клиент
ДБО
браузер
хакер XSS
21

клиент
ДБО
браузер
хакер
XSS
22

клиент
ДБО
браузер
хакер
XSS
Удаленное управление,
подмена отображаемых данных
Кража денег
23

ДБО
браузеры
хакер
клиенты
XSS
Свяжем вместе две уязвимости:
1) Хранимая XSS
2) Некорректное разграничение доступа между клиентами
24

ДБО
браузеры
хакер
клиенты
XSS
Свяжем вместе две уязвимости:
1) Хранимая XSS
2) Некорректное разграничение доступа между клиентами
Хранимая XSS + Некорректное разграничение доступа =
Заражение всех клиентов банка JavaScript-кодом
КРАЖА ДЕНЕГ У ВСЕХ/ЛЮБОГО КЛИЕНТА БАНКА
25

Причины проблем
1) Мы имеем опыт проведения тестов на проникновение почти всех
систем ДБО, представленных на российском рынке.
2) В ходе работ были выявлены множественные уязвимости в каждой из
систем ДБО.
3) В результате всех работ были выявлены векторы атак, с помощью
которых можно украсть деньги у клиентов банков
Причина?
Отсутствие поставленного процесса тестирования и анализа
безопасности систем ДБО у разработчиков
26

Причины проблем. Пример 1
 Отсутствие поставленного процесса тестирования и
анализа безопасности систем ДБО у разработчиков
Проведено тестирование в ДБО для Банка А.
Результаты попадают к разработчику. Разработчик выпускает патчи для
банка А.
С выходом новой версии ДБО от того же разработчика количество
аналогичных уязвимостей выросло в разы.
27

Причины проблем. Пример 1
 Отсутствие поставленного процесса тестирования и
анализа безопасности систем ДБО у разработчиков
Защита?
a) Защита Cookie с помощью флага HttpOnly
b) Защита Cookie с помощью флага Secure
c) Защита от XSS с помощью заголовков Content-Security-Policy
d) Защита от clickjacking-атак с помощью заголовков X-FRAME-OPTIONS
e) Защита ActiveX-компонентов за счёт внедрения ASLR, DEP и т. д.
Эти методы затрудняют проведение атак и не влияют на функционал,
но не используются в большинстве систем ДБО.
Интересно, почему?
28

Причины проблем. Пример 2. Надежда на других?
 Отсутствие универсальных обновлений и не поставленный
процесс распространения обновлений среди банков
Система ДБО разработчика В установлена в банках А и Б.
После аудита безопасности ДБО банка А разработчик выпустил
обновления для закрытия выявленных уязвимостей.
Через год, при проведении аудита ДБО банка Б, были выявлены те же
уязвимости, что и в банке А.
При этом у банка Б стояла последняя версия ДБО.
Разработчик выпустил специальный патч для банка А, хотя это была
общесистемная проблема.
И это распространённое поведение разработчиков.
29

Что-то меняется?
4 года аудитов защищённости систем ДБО
Аудиты ДБО различных версий и внедрений от разработчиков
Ежегодно участники множества конференций с темами по проблемам
ДБО
Тенденции?
Средней уровень системы ДБО, количество уязвимостей, находимых в
ДБО, и их типы остаются на прежнем уровне
Интерес банков сильно повысился
30

Ещё больше проблем для банков…
Уязвимости
ДБО
дополнений
к ДБО
внедрения
ДБО
31

Внедрение – это непросто
Пример 1:
У нескольких протестированных банков был разрешён доступ к
административной панели из сети Интернет, причём без пароля.
Полная компрометация системы ДБО и кража денег у любого из клиентов
ДБО (или у всех).
Пример 2:
У нескольких протестированных банков отсутствовала или была
некорректно внедрена защита от CSRF-атак.
Злоумышленник имел возможность выполнять действия в ДБО от имени
клиента. Это в совокупности с другими уязвимостями приводило к краже
денег клиентов.
32

Защита?
•Web Application Firewall (WAF)
•Системы мониторинга и сбора логов
•Системы проверки целостности
•IPS/IDS
•Антифрод-системы
•И т.д.
В большинстве банков отсутствуют или некорректно внедрены!
33

Защита?
Web Application Firewall (WAF) – один из основных методов защиты ДБО,
даже от 0-day уязвимостей. Имеются бесплатные версии и при этом очень
качественные.
В большинстве банков отсутствует, либо некорректно внедрён, либо
некорректно настроен.
хакер WAF ДБОRUS SSL
RUS SSL
34

Выводы
Банк может надеяться только на себя. У разработчика свои
интересы
Создание защищённой и безопасной системы ДБО – это процесс
Создание защищённой и безопасной системы ДБО – это
комплексный подход
35

© 2002—2013, Digital Security 36
Мобильный банкинг

Исследования

Виды мобильных приложений
По месту расположения приложения:
• SIM-приложения;
• Веб-приложения;
• Мобильные приложения.
По типу
используемой технологии
взаимодействия с сервером:
• Сетевые приложения;
• SMS-приложения;
• USSD-приложения;
• IVR-приложения.
38

Мобильное банковское приложение
Приложение, разработанное для определенной мобильной ОС с
использованием специализированного API, устанавливаемое в
смартфон для взаимодействия со своим банковским сервисом
СерверКлиентское устройство
Соединение
ОС

Модели злоумышленника
1. Злоумышленник с физическим
доступом к устройству.
2. Злоумышленник, не имеющий
доступ к устройству,
находящийся рядом с жертвой
3. Злоумышленник, установивший
вредоносное ПО, на устройство
жертвы.

Проблема избыточности приложений
• Много функционала, не связанного напрямую с работой со
счетом
 Увеличивается область атаки
 Решение:
минимизировать приложение
…
…

Организационные проблемы
• Проблемы в процессе разработки между заказчиком и
исполнителем
 Отсутствие или слабые требования по ИБ в ТЗ
 Отсутствие хорошей тестовой среды
 Решение:
Рекомендации ЦБ РФ, SDL

Проблема хранения данных
• Мобильные устройства часто теряют и выпускают из виду
 Злоумышленник при получении физического доступа к
устройству может скачать критичные файлы
 Решение: не хранить критичную информацию на устройстве,
использовать сильную криптографию

Проблема работы в не доверенной среде
• Android-устройство с root-доступом
• iOS-устройство с установленным jailbreak
 Встроенные механизмы безопасности ОС частично или
полностью отключены
 Увеличивается вероятность заражения устройства
вредоносным кодом
 Решение: предупреждать пользователя и перекладывать
ответственность на него

Проблема многофакторной аутентификации
• В классической системе ДБО второй фактор часто приходит в
виде SMS на телефон
 В случае мобильного банкинга при этом подходе оба фактора
приходят на одно устройство
 Не поможет при наличии вируса на устройстве
 Решение: смягчающей мерой может быть шифрование
передаваемого SMS или использование дополнительного
внешнего устройства

Проблема распространения приложений
 Проблема касается только ОС со множеством магазинов
приложений
 В одном магазине легитимное приложение
 В другом магазине вредоносное приложение
 Решение: мониторинг магазинов приложений на наличие
подделок

Проблема защиты канала передачи данных
• Мобильные устройства очень часто присоединяются к
неизвестным сетям
• Устройства имеют очень много встроенных корневых
сертификатов
 При компрометации одного из встроенных сертификатов
компрометируются все данные, передаваемые по SSL
 Решение: необходимо шифрование канала передачи данных,
вшитый сертификат банка (SSL Pinning)

клиент ДБО
хакер
Пример 4. Мобильный банк
HTTPS/SSL
Мобильный банк. Атака типа «человек посередине» (MitM)
48

клиент ДБО
хакер
А что делать с SSL?
49

клиент ДБО
хакер
Уязвимости, связанные с SSL (самоподписанные сертификаты, некорректная
проверка имён хостов и т. д.) – примерно в 10-15% приложений
50

клиент ДБОхакер
Хакер имеет полный контроль над трафиком между ДБО и клиентом
Кража аутентификационных данных, кража денег клиента
Мобильный банк. Атака типа «человек посередине» (MiTM)
51

Видео
52
ВИДЕО ДЕМОНСТРАЦИЯ

Проблема защиты кода
• Программы пишутся с помощью языков программирования,
которые содержат много служебной информации:
o Имена классов
o Имена функций
o Имена переменных
 Упрощается анализ для потенциального злоумышленника
 Упрощается поиск уязвимостей в коде
 Решение: анализ кода на уязвимости, обфускация кода

Рекомендации
 Использовать SDL (Security Development Lifecycle)
 Также касается систем ДБО
 Определить минимально необходимый функционал
 Грамотно использовать многофакторную аутентификацию
 Обрабатывать ситуацию при работе в недоверенной среде
 Использовать вшитый сертификат банка
 Защищать код приложения

Предварительные данные из отчета
за 2013 год (NEW)
- Можно украсть деньги из ~10% приложений для мобильного
банкинга
- Множественные ошибки на стороне сервера
- Можно дотянуться даже до АБС
- Предварительно можно оставить без мобильного банкинга
клиентов около 10 банков

Как украсть миллиард?

Интернет банкинг на стороне клиента.

Как это работает?
58
ABS
WEB Server + App Server
DBMS
Operator
Operator’s environment

59
ABS
DBMS
Operator

60
ABS
DBMS
Operator

61
ABS
DBMS
Operator

Цель
62
ABS
DBMS
Operator

Цель
63
ABS
DBMS
Operator

Цель
64
ABS
DBMS
Operator

Рабочее место оператора
Оператор DBMS
oper_login
oper_pass
dbo_admin
Аутенификация

• dbo_admin единственный аккаунт в DBMS
• dbo_admin имеет полный доступ
• каждый оператор подключен к DBMS
напрямую
• аутентификацию пользователя проверяет
прилоежени
Dbo_admin

dbo_admin пароль зашифрован….
Пароль
… и хранится в .cfg файле рядом с
приложением

Цитата
“Его не возможно расшифровать!”
(c) Тех. поддержка BSS

На практике…
RSA modulus
RSA private exp
Unusual base64 alphabet

Дешифровщик
Well… looks like base64?

А так же…
Аналогичная система хранения пароля
используется в других продуктах BSS с тем же
самым ключом RSA.

Malware
72
ABS
DBMS
Operator
Get conf file
Decrypt dbo_admin pass
Wreak havoc

Векторы для атаки
•Инсайдер
•Целевая атака
•Вирусное ПО

Итого

Digital Security in Moscow: +7 (495) 223-07-86
Digital Security in Saint Petersburg: +7 (812) 703-15-47
Questions?
www.dsec.ru
www.erpscan.com
info@dsec.ru

Олег Купреев. Атаки на банковские системы: как добраться до АБС

More Related Content

What's hot

Viewers also liked

Similar to Олег Купреев. Атаки на банковские системы: как добраться до АБС

Олег Купреев. Атаки на банковские системы: как добраться до АБС