- Главная
- Разное
- Дизайн
- Бизнес и предпринимательство
- Аналитика
- Образование
- Развлечения
- Красота и здоровье
- Финансы
- Государство
- Путешествия
- Спорт
- Недвижимость
- Армия
- Графика
- Культурология
- Еда и кулинария
- Лингвистика
- Английский язык
- Астрономия
- Алгебра
- Биология
- География
- Детские презентации
- Информатика
- История
- Литература
- Маркетинг
- Математика
- Медицина
- Менеджмент
- Музыка
- МХК
- Немецкий язык
- ОБЖ
- Обществознание
- Окружающий мир
- Педагогика
- Русский язык
- Технология
- Физика
- Философия
- Химия
- Шаблоны, картинки для презентаций
- Экология
- Экономика
- Юриспруденция
Клиент банкапод атакой презентация
Содержание
- 1. Клиент банкапод атакой
- 2. Интернет-банкинг 2 © 2002—2009, Digital Security
- 3. Специфика модели нарушителя 3 © 2002—2009,
- 4. Безопасность пользователей банк-клиентов 4 © 2002—2009,
- 5. © 2002—2009, Digital Security Особенности клиентского
- 6. Уязвимости ПО банк-клиентов 6 © 2002—2009,
- 7. Уязвимости ПО банк-клиентов 7 © 2002—2009,
- 8. Реализация атаки 8 © 2002—2009, Digital
- 9. 9 Результат атаки © 2002—2009, Digital
- 10. 10 Результаты исследований © 2002—2009, Digital
- 11. 11 Защита с точки зрения разработчика
- 12. 12 Защита с точки зрения клиента
Интернет-банкинг 2 © 2002—2009, Digital Security Клиент банка под атакой Практически все банки предоставляют услуги по интернет-банкингу Существуют различные аспекты безопасности интернет- банкинга Рассмотрим безопасность ПО, поставляемого банками
Слайд 2
Интернет-банкинг
2
© 2002—2009, Digital Security
Клиент банка под атакой
Практически все банки предоставляют услуги
по интернет-банкингу
Существуют различные аспекты безопасности интернет- банкинга
Рассмотрим безопасность ПО, поставляемого банками клиенту
Существуют различные аспекты безопасности интернет- банкинга
Рассмотрим безопасность ПО, поставляемого банками клиенту
Слайд 3
Специфика модели нарушителя
3
© 2002—2009, Digital Security
С точки зрения злоумышленника, пользователь интернет-банкинга
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше, чем банков
У одного пользователя может быть клиентское ПО от разных банков
Пользователь защищен слабее банка
Пользователей гораздо больше, чем банков
У одного пользователя может быть клиентское ПО от разных банков
Клиент банка под атакой
Слайд 4
Безопасность пользователей банк-клиентов
4
© 2002—2009, Digital Security
Безопасность пользователя зависит, от:
сохранности ЭЦП
и пароля
сложности подделки ЭЦП и подбора пароля
безопасности рабочей станции
безопасности канала передачи
безопасности клиентского ПО банк-клиента
сложности подделки ЭЦП и подбора пароля
безопасности рабочей станции
безопасности канала передачи
безопасности клиентского ПО банк-клиента
Клиент банка под атакой
Слайд 5
© 2002—2009, Digital Security
Особенности клиентского ПО
5
Клиент банка под атакой
Многие банки не
пишут свое собственное ПО, а используют решения сторонних производителей
Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика
Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика
Слайд 6
Уязвимости ПО банк-клиентов
6
© 2002—2009, Digital Security
Доступ к HDD клиента на чтение
и запись
Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен
Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам
Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен
Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам
Клиент банка под атакой
Слайд 7
Уязвимости ПО банк-клиентов
7
© 2002—2009, Digital Security
Клиент банка под атакой
Переполнение буфера
Банк клиенты,
как и любое другое ПО, подвержены уязвимостям переполнения буфера
В простейшем варианте уязвимость приводит к отказу в обслуживании
Если возможно выполнение произвольного кода, то можно:
получить удаленный административный доступ к системе
добавить учетную запись
загрузить троянскую программу
украсть ключи и другую критичную информацию
В простейшем варианте уязвимость приводит к отказу в обслуживании
Если возможно выполнение произвольного кода, то можно:
получить удаленный административный доступ к системе
добавить учетную запись
загрузить троянскую программу
украсть ключи и другую критичную информацию
Слайд 8
Реализация атаки
8
© 2002—2009, Digital Security
Клиент банка под атакой
Перечисленные уязвимости возможно реализовать
удаленно, передав жертве ссылку на злонамеренный сайт
Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт
По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков
Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт
По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков
Слайд 9
9
Результат атаки
© 2002—2009, Digital Security
Клиент банка под атакой
Данные уязвимости позволяют атакующим
проникнуть на машину с установленным банк-клиентом и:
загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль
найти ключи на жестком диске или дискете
если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ
Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании
загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль
найти ключи на жестком диске или дискете
если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ
Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании
Слайд 10
10
Результаты исследований
© 2002—2009, Digital Security
Были проанализированы 3 банк-клиента зарубежных производителей, используемых
в ряде европейских банков
В 2-х была обнаружена уязвимость доступа к дискам
В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода)
Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow
В 2-х была обнаружена уязвимость доступа к дискам
В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода)
Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow
Клиент банка под атакой
Слайд 11
11
Защита с точки зрения разработчика
© 2002—2009, Digital Security
Закрытие уязвимостей в ПО
необходимо помнить про такие классические ошибки, как переполнение буфера
необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе
необходимо ограничить доступ к функциям работы с реестром
Сторонний аудит безопасности приложений
Клиент банка под атакой
Слайд 12
12
Защита с точки зрения клиента
© 2002—2009, Digital Security
Безопасные настройки браузера
Запуск браузера
от непривилегированной учетной записи
Дополнительные средства защиты от фишинг-атак и XSS
Не переходить на непроверенные ссылки
Дополнительные средства защиты от фишинг-атак и XSS
Не переходить на непроверенные ссылки
Клиент банка под атакой
