Проблемы и уязвимости в системах ДБО презентация

ДБО - механизмы защиты © 2002—2011, Digital Security В отечественных системах ДБО для юридических лиц кроме аутентификации применяется только ОДНА система защиты - СКЗИ Любая другая технология

Слайд 1 Проблемы и уязвимости в

системах ДБО

© 2002—2011 , Digital Security

Digital Security


Слайд 2
ДБО - механизмы защиты
© 2002—2011, Digital Security


В отечественных системах ДБО для

юридических лиц кроме аутентификации применяется только ОДНА система защиты - СКЗИ

Любая другая технология или система - добровольное дело разработчика.

Нет стандарта безопасности для таких систем
Никто не проверяет безопасность кода системы
Никто не проверяет, как была внедрена система
Системы ДБО не проверяются даже QSA аудиторами в рамках работ по PCI DSS


Уязвимости в системах ДБО


Слайд 3
Хакеры
© 2002—2011, Digital Security


Злоумышленники могут использовать уязвимости не только клиента банка,

но и самого банка, а вернее системы ДБО. Используя эти уязвимости, хакер может получить большие возможности по манипуляции данными в системе ДБО, в том числе, может управлять счетами клиентов.

Это возможно:

Множество уязвимостей в коде
Ошибки в архитектуре
Отсутствие защитных технологий (разработчик просто не использует их)
Ошибки при внедрении
Уязвимости в банковской сетевой инфраструктуре


Уязвимости в системах ДБО


Слайд 4
Уязвимости
© 2002—2011, Digital Security





Межсайтовый скриптинг
Внедрение SQL запросов
Обход аутентификации
Обход авторизации
Выполнение кода
Ошибки логики
Уязвимости

клиентских плагинов


➔ Эти и многие другие ошибки в WEB интерфейсе ДБО приводят к возможности фишинга на домене банка, атакам Man-In-The-Browser, атакам на клиентов с доверенного домена, что в конечном счете приводит к нарушению банковской тайны, утечке персональных данных, выполнению поддельных платежных поручений и компрометации ПК пользователей

Уязвимости в системах ДБО


Слайд 5
Обход СКЗИ
© 2002—2011, Digital Security





Имея уязвимости в WEB или, например, доступ

к СУБД, в некоторых случаях возможен обход проверки ЭЦП вообще, а в некоторых случаях достаточно лишь уязвимости межсайтового скриптинга, чтобы поставить подпись для поддельного платежного поручения, даже если клиент использует Token и даже если ПК клиента не скомпрометирован.

В большинстве случаев, СКЗИ используетcя в прозрачном режиме, что позволяет хакеру незаметно использовать её даже удаленно за счет механизмов управления СКЗИ методами WEB.

➔ Все это, в совокупности с общепроцессными проблемами ИБ ведет к существованию реального риска неавторизированной установки ЭЦП или обхода проверки ЭЦП вообще даже без компрометации ПК клиента.

Уязвимости в системах ДБО


Слайд 6
Плагины
© 2002—2011, Digital Security





Установка плагинов для клиентов - необходимая часть для

того, чтобы клиент мог работать с системой ДБО. Однако эти плагины также содержат ошибки и уязвимости, что позволяет компрометировать ПК клиента, даже если все другие известные уязвимости в прикладном ПО и ОС устранены.

Устанавливая новый непроверенный софт, мы ухудшаем безопасность клиента.



➔ Используя уязвимости в плагинах, злоумышленник может выполнить целевую атаку и установить вредоносное ПО без ведома пользователя.

Уязвимости в системах ДБО


Слайд 7
Видео-демонстрация
© 2002—2011, Digital Security



Уязвимости в системах ДБО


Слайд 8
Обновления
© 2002—2011, Digital Security





Не все разработчики ДБО и далеко не всегда

уведомляют о проблемах ИБ своих клиентов - банки. Так как у большинства банков «специализированые» инсталляции, обновление которых затруднительно в массовых масштабах (фактически, каждое обновление уникально).

Существуют банки с уязвимым ПО о дырах которого разработчики знают уже более года. Тем не менее банк об этом не знает за счет закрытости такой информации.


Уязвимости в системах ДБО


Слайд 9
Отсутствие защиты
© 2002—2011, Digital Security





Разработчики систем ДБО не были готовы к

тому, что их продукт будут ломать хакеры. У разработчиков отсутствуют процессы разработки безопасного кода. Это следует из того, какие уязвимости и в каком количестве мы находили, а также с тем, что менялось со временем, например, по использованию защитных технологий и методов. В системах ДБО они не применяются в 90% случаев. Например:

FrameBusting
HTTPonly
Secure cookie ← Всех этих известных
DEP и популярных средств защиты
ASLR нет в Ваших ДБО

Уязвимости в системах ДБО


Слайд 10
Итого
© 2002—2011, Digital Security





Мы знаем о чем говорим, за 3 года

нам удавалось находить уязвимости в продуктах от следующих производителей:

BSS
Inist
R-Style Softlab
Сигнал-КОМ
CompassPLUS
StepUP
ЦФТ



Уязвимости в системах ДБО


Обратная связь

Если не удалось найти и скачать презентацию, Вы можете заказать его на нашем сайте. Мы постараемся найти нужный Вам материал и отправим по электронной почте. Не стесняйтесь обращаться к нам, если у вас возникли вопросы или пожелания:

Email: Нажмите что бы посмотреть 

Что такое ThePresentation.ru?

Это сайт презентаций, докладов, проектов, шаблонов в формате PowerPoint. Мы помогаем школьникам, студентам, учителям, преподавателям хранить и обмениваться учебными материалами с другими пользователями.


Для правообладателей

Яндекс.Метрика