Документ рассматривает основные проблемы безопасности систем дистанционного банковского обслуживания (ДБО), фокусируясь на уязвимостях клиентской и серверной частей. Учитываются угрозы от злоумышленников, а также популярные ошибки, такие как SQL-инъекции и межсайтовый скриптинг. В заключение подчеркивается необходимость комплексной защиты и тестирования защищенности для предотвращения атак на системы ДБО.

1. Основные проблемы безопасности
систем ДБО
Алексей Синцов
Ведущий аудитор Digital Security
© 2002—2010 , Digital Security

2. Основные проблемы
безопасности систем ДБО
Cистемы ДБО
Модели:
 Банк-клиент
• Клиентское ПО
 Интернет-клиент
• Браузер
 Мобильный клиент
• ПО/Браузер/СМС
 АТМ клиент
• Банкомат/Терминал
© 2002—2010, Digital Security 2

3. Основные проблемы
безопасности систем ДБО
Интернет клиент
Где могут быть проблемы?
 Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
 Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)
© 2002—2010, Digital Security 3

4. Основные проблемы
безопасности систем ДБО
Безопасность клиентской части Интернет-Банка
С точки зрения злоумышленника, пользователь Интернет-Банка
является более простой и удобной целью атаки, чем сам банк:
 Пользователь защищен слабее банка
 Пользователей гораздо больше – выше шансы успешной
атаки
Результат атаки: получение доступа к любым операциям со
счетами клиента и ключам ЭЦП
Но:
• ответственность клиента
• ущерб репутации банка
© 2002—2010, Digital Security 4

5. Основные проблемы
безопасности систем ДБО
Безопасность серверной части Интернет-Банка
Внешний нарушитель
 Атакует внешний периметр и программное обеспечение
Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
 Имеет счет (привилегированный пользователь)
 Атакует приложение, используя свою учетную запись
Результат атаки: компрометация базы данных, получение
доступа к банковской тайне, компрометация клиентов,
получение доступа ко всем счетам, отказ в обслуживании
© 2002—2010, Digital Security 5

6. Основные проблемы
безопасности систем ДБО
Слабые места Банк-Клиентов
Клиентская часть
 ActiveX
 Браузер
 Человеческий фактор
 Иное ПО
 Слабая защита корпаративной сети в целом
Серверная часть
 WEB приложения
 Программное обеспечение сервисов. Например, веб-сервер
 Архитектура
 Инсайд
© 2002—2010, Digital Security 6

7. Основные проблемы
безопасности систем ДБО
Откуда угрозы?
Интернет
ДМЗ
© 2002—2010, Digital Security 7

8. Основные проблемы
безопасности систем ДБО
WEB
Популярные ошибки:
 Инъекция SQL
 Межсайтовый скриптинг
 Ошибки бизнес логики
Особенности:
 Вся защита на WEB. В БД – один пользователь
 В БД, как правило, нет шифрования
© 2002—2010, Digital Security 8

9. Основные проблемы
безопасности систем ДБО
Ошибка Cross-Site-Scripting
© 2002—2010, Digital Security 9

10. Основные проблемы
безопасности систем ДБО
ActiveX
 Ошибки ActiveX: переполнение буфера
 Ошибки ActiveX : небезопасные методы
 Ошибки IE
 Ошибки Acrobat Reader
 Ошибки Flash
© 2002—2010, Digital Security 10

11. Основные проблемы
безопасности систем ДБО
Ошибки ActiveX
Переполнение
буфера в стеке
Небезопасный метод
© 2002—2010, Digital Security 11

12. Основные проблемы
безопасности систем ДБО
USB-Token?
 Не у всех есть
 Подмена документа
 Троян может все то, что может пользователь
Вывод: USB - Token не панацея
© 2002—2010, Digital Security 12

13. Основные проблемы
безопасности систем ДБО
USB-Token. . .
© 2002—2010, Digital Security 13

14. Основные проблемы
безопасности систем ДБО
Тестируем защищённость
1. Сегментация/фильтрация
2. Демоны/сервисы
3. Парольная политика
4. Управление ключами
5. Защищенность ПО БК
6. Защищенность клиента
7. Защищенность БД
8. Анализ логики/архитектуры
Защита не должна быть только на уровне ПО БК
© 2002—2010, Digital Security 14

15. Спасибо
за внимание!
© 2002—2010, Digital Security 15