Под ударом. Системы ДБО

от автора

Банк сегодня это не только место для хранения денег, куда можно прийти со сберкнижкой. Банковский бизнес уже давно является высокотехнологичной отраслью, для нормального функционирования которой необходимо огромное количество оборудования и программного обеспечения. Поменялось и отношение клиентов к банку: с проникновением Интернета в нашу обычную жизнь все больше людей не хотят тратить время на простаивание в очередях и предпочитают совершать операции онлайн. Удовлетворить этот спрос призваны системы дистанционного банковского обслуживания.

Интерес к безопасности подобных систем понятен, и банки, казалось бы, работают в этом направлении, используют всевозможные средства защиты (шифрование, электронную цифровую подпись и т. п.). Но как на самом деле обстоит дело с безопасностью систем ДБО? Эксперты Positive Technologies провели собственное исследование. Результаты под катом.

Данные для исследования

Для подготовки отчета использовалась статистика уязвимостей систем дистанционного банковского обслуживания за 2011 и 2012 годы, собранная специалистами Positive Technologies в ходе проведения работ для ряда крупных российских банков.

55% рассмотренных систем ДБО построены на базе решений, поставляемых известными вендорами. Менее половины исследованных систем представлены собственными разработками (в том числе, на языках Java, С# и PHP).

Распространенные уязвимости и угрозы

В ходе анализа выявлено большое количество уязвимостей различного уровня риска, при этом высокую степень риска имеют 8% уязвимостей, среднюю — 51%, и больше количество уязвимостей (41%) имеют низкую степенью риска.

Наиболее распространенные уязвимости связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%). Во многих системах присутствует также раскрытие информации о версиях используемого программного обеспечения (73%), которое облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на пользователей (например, с использованием методов социальной инженерии).

Самые распространенные уязвимости имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие характерных для отдельной системы критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой.

image

Более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных вендорами.

Выводы

Степень защищенности систем ДБО выше, чем в среднем у других приложений, с которыми приходится сталкиваться специалистам Positive Technologies, и критические уязвимости (RCE, SQL Injection) встречаются в них не так часто. Но несмотря на это комбинация некритических ошибок безопасности все равно может приводить к тому, что злоумышленник получает возможность обойти антифрод-системы и совершать неавторизованные транзакции.

image

Можно заметить, что ситуация с патч-менеджментом в банковской сфере лучше, чем принято думать. Гораздо большие проблемы наблюдаются в управлении конфигурациями: 34% исследованных систем настроены неверно. Кроме того, распространенность проблем безопасности, связанных с недостатками реализации механизмов защиты, и уязвимостей уровня кода веб-приложения говорит о необходимости более тщательного анализа безопасности приложения — как на уровне требований к функциям безопасности, так и на уровне требований к безопасности разработки (включая анализ исходных кодов).

Будем рады ответить на ваши вопросы. Спасибо за внимание!

С полной версией отчета об исследовании можно ознакомиться на сайте Positive Technologies.

ссылка на оригинал статьи http://habrahabr.ru/company/pt/blog/198362/


Комментарии

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *