- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Аутентификация в системах Интернет-банкингаАнализ типичных ошибок презентация
Содержание
- 1. Аутентификация в системах Интернет-банкингаАнализ типичных ошибок
- 2. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru О чем
- 3. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Аутентификация в
- 4. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Актуальные векторы угроз
- 5. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на
- 6. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на
- 7. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Атаки на
- 8. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Системы одноразовых
- 9. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Типичные ошибки
- 10. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Цифровые сертификаты
- 11. www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru Резюме «Серверный»
- 12. Спасибо за внимание! Сергей Гордейчик gordey@ptsecurity.ru
Слайд 1Аутентификация в системах Интернет-банкинга
Анализ типичных ошибок
Сергей Гордейчик
Positive Technologies
Слайд 2www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
О чем пойдет речь
Аутентификация в системах Интернет-Банк
Актуальные
векторы угроз
Уязвимости приложений
Системы одноразовых паролей
Цифровые сертификаты
Резюме
Уязвимости приложений
Системы одноразовых паролей
Цифровые сертификаты
Резюме
Слайд 3www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Аутентификация в Интернет-Банках
Требуется обеспечить высокий уровень безопасности
Широкое
использование Интернет-технологий
HTTP/HTTPS для передачи данных
Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам криптографической защиты
Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
Вероятно отсутствие обновлений безопасности
Низкий уровень ИТ и ИБ грамотности
Возможно наличие вредоносных программ
Вероятна работа с недоверенного рабочего места
HTTP/HTTPS для передачи данных
Клиент - стандартный браузер и расширения (AJAX, ActiveX, Java)
Наследование уязвимостей Web-приложений
Низкое доверие к каналу связи и стандартным средствам криптографической защиты
Высока опасность успешных атак типа «фишинг», «человек по середине»
Низкое доверие к рабочему месту клиента
Вероятно отсутствие обновлений безопасности
Низкий уровень ИТ и ИБ грамотности
Возможно наличие вредоносных программ
Вероятна работа с недоверенного рабочего места
Слайд 5www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сеть
Большинство транзакций производится из незащищенных
сетей
Как правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты
Комбинации технических и социотехнических атак
SSL/TLS + аутентификация клиента по сертификатам
Как правило, применяется SSL/TLS (SSL+ГОСТ), что обеспечивает адекватный уровень защиты
Комбинации технических и социотехнических атак
SSL/TLS + аутентификация клиента по сертификатам
Слайд 6www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на клиента
Самая большая проблема
Защита рабочих мест
вне компетенции владельца ИС
Рекомендательный характер мер
Отсутствие обновлений, антивирусного ПО, пиратское ПО
Широкое использование социотехник злоумышленниками
Высокий уровень развития вредоносного ПО
Рекомендательный характер мер
Отсутствие обновлений, антивирусного ПО, пиратское ПО
Широкое использование социотехник злоумышленниками
Высокий уровень развития вредоносного ПО
Слайд 7www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Атаки на сервер
Менее популярны, но не менее
эффективны
Зачастую присутствуют уязвимости Web-приложений
Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF)
SSL – не защита от уязвимостей Web-приложений
Зачастую присутствуют уязвимости Web-приложений
Уязвимости Web-сервера могут использоваться для атак на клиентов (XSS, CSRF)
SSL – не защита от уязвимостей Web-приложений
Слайд 8www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Системы одноразовых паролей
Достаточно широко распространены
Невысокая стоимость при
потенциальной защищенности
Мало зависят от ОС/Браузера
Возможны разные варианты реализации
Заранее рассчитанные списки паролей
Генераторы паролей
SMS-сервис
Мало зависят от ОС/Браузера
Возможны разные варианты реализации
Заранее рассчитанные списки паролей
Генераторы паролей
SMS-сервис
Слайд 9www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Типичные ошибки
Уязвимости Web-приложений
Наличие уязвимости позволяет провести транзакцию
без знания пароля
Необходимость контроля HTTP-сессии
Одноразовые пароли тоже пароли
Возможен перехват
Небольшая энтропия – подбор значения
Большое «окно»
Необходимость контроля HTTP-сессии
Одноразовые пароли тоже пароли
Возможен перехват
Небольшая энтропия – подбор значения
Большое «окно»
Слайд 10www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Цифровые сертификаты
Наиболее мощный инструмент
Позволяют компенсировать уязвимости Web-приложений
Транзакция
должна быть подписана
Зависят от ОС/Браузера
Использование для защиты сети (SSL/TLS)
Основные проблемы связаны с хранением закрытого ключа
Зависят от ОС/Браузера
Использование для защиты сети (SSL/TLS)
Основные проблемы связаны с хранением закрытого ключа
Слайд 11www.ptsecurity.ru • www.xspider.ru • www.SecurityLab.ru
Резюме
«Серверный» SSL/TLS недостаточно надежен
Велика вероятность социотехнических
атак
Аутентификация клиента по сертификатам
Уязвимости Web зачастую не учитываются
Большинство Web-приложений содержит серьезные проблемы
Анализ защищенности/использование Web Application Firewall (PCI DSS)
Одноразовые пароли – тоже пароли
К ним применимы стандартные парольные атаки
Стандартные контрмеры (защита от подбора и т.д.)
При использовании сертификатов требуется надежное хранилище
Смарт-карты и токены
Аутентификация клиента по сертификатам
Уязвимости Web зачастую не учитываются
Большинство Web-приложений содержит серьезные проблемы
Анализ защищенности/использование Web Application Firewall (PCI DSS)
Одноразовые пароли – тоже пароли
К ним применимы стандартные парольные атаки
Стандартные контрмеры (защита от подбора и т.д.)
При использовании сертификатов требуется надежное хранилище
Смарт-карты и токены
