Услуги PT для банков

Услуги отдела анализа защищенности для банковского сектора

Дмитрий Евтеев,

руководитель отдела анализа защищенности, Positive Technologies

Отказ в обслуживании (АБС, ...)

НСД к СУБД АБС, в т.ч. процессинга

Атака на клиентов (подмена содержимого, фишинг, ...)

Физика и «около физика» (ATM, ...)

Невыполнение требований регуляторов

Угрозы безопасности в банковском секторе

Проблемы безопасности в банковском секторе

Число случаев мошенничества с банкоматами выросло в 9 раз:http://lenta.ru/news/2012/05/04/frauds

Взломать за 60 секунд ->

Мы понимаем ваши бизнес-риски, связанные с мошенничеством, финансовыми махинациями, утечкой конфиденциальных данных, потерей репутации.

Мы занимаемся минимизацией этих рисков каждый день!

Positive Technologies для банков

высокое качество экспертизыработы проводятся специалистами Positive Technologies, которые обладают уникальным опытом тестирований на проникновение, знаниями и обширными навыками в сфере анализа защищенности информационных систем, а также уникальными методиками собственной разработки и являются признанными экспертами в области практической информационной безопасности

мощная командасамая сильная команда на российском рынке оказания услуг по анализу защищенности прикладных систем

передовой инструментарийпри работе используются передовые инструментальные средства анализа защищенности, как свободно распространяемые, так и коммерческие, а также инструменты собственной разработки; ни одна российская компания в сфере анализа защищенности не обладает подобными ресурсами (!)

Positive Technologies – компания-практик!

Услуги Positive Technologies – это…

Услуги компании Positive Technologies для банков

От бла-бла-бла к предметной области

Типовые уязвимости прикладных банковских систем на примере PHDays I-Bank

PHDays I-Bank/Типовые уязвимости ДБО

Система разрабатывалась специально для конкурса, проводимого на PHDays 2012

PHDays I-Bank содержит типовые уязвимости, которые мы находили в реальных системах ДБОСм. Статистика веб-уязвимостей за 2010-2011 годы (раздел 5.8): http://www.ptsecurity.ru/download/статистика RU.pdf

PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО, которая действительно работает в каком-либо из существующих банков.

PHDays I-Bank/Недостаточная энтропия

Предсказуемые идентификаторы пользователей

В PHDays I-Bank, как и почти во всех реальных ДБО, идентификатор пользователя состоит из цифр.

Примеры идентификаторов: 1000001, 1000002, …

Недостатки парольной защиты

• Пароль по умолчанию сложный, но при этом пользователь может установить простой пароль

• Проверяется только длина пароля

• Проверка сложности пароля по регулярному выражению (можно задать словарный пароль!)

PHDays I-Bank/Подбор

Brute Force в интернет-банке? А как же защита?

Защита от атак, направленных на подбор:

Блокирование учетной записи

Блокирование IP-адреса

Использование технологии CAPTCHA

PHDays I-Bank/Как поступает атакующий

Собираются идентификаторы

Выбирается 1 или N паролей

Подбирается не пароль к идентификатору, а

идентификаторы к паролю

100000110000021000003

…

12345678

P@ssw0rd

1234567

qwerty

1001421:123456781002236:123456781002313:12345678

…

PHDays I-Bank/Проблемы реализации CAPTCHA

Возможна повторная отправка одного и того же

значения

Значение передается в скрытом поле HTML-формы

Некорректная проверка – достаточно чтобы совпала

длина или присутствовали некоторые символы

CAPTCHA не проверяется при передачи

определенного заголовка

…

PHDays I-Bank/Повторное использование

Предсказуемые значения идентификатора сессии

«сессия пользователя» : 11112222

Пример «живой» сессии 1 : 80526151

Пример «живой» сессии 2 : 80526162

Не эффективные механизмы защиты от уязвимости «Подделка HTTP-запроса»

PHDays I-Bank/Слабая энтропия идентификатора сессии

Cookie: auth=1000001|2|3016

PHDays I-Bank/Одноразовые пароли (OTP)

Одноразовые пароли используются для защиты от

несанкционированных пользователем действий

(выполнение транзакций, изменение пароля,

редактирование личных данных).

OTP может запрашиваться или после первичной

аутентификации (логин и пароль)

Или перед выполнением каждой транзакции (или

другом действии)

PHDays I-Bank/Уязвимые реализации OTP

В PHDays I-Bank были реализованы следующие сценарии:

Эмуляция использования внешнего устройства при проведении транзакций

Использование скретч-карт при проведении транзакций

Отсутствие двухфакторной аутентификации при проведении транзакций

Уязвимости:

Повторное использование

Не везде (всегда) используется

Недостаточная энтропия возможных значений

Логические уязвимости (и уязвимости приложения)

PHDays I-Bank/Уязвимые реализации OTP (пример)

Логическая уязвимость позволяет обойти шаг

проверки OTP и выполнить транзакцию напрямую!

PHDays I-Bank/Уязвимые реализации OTP (пример)

Заменяем step3 на step4

PHDays I-Bank/Уязвимые реализации OTP (пример)

Profit!!11

Как видно из сообщения, транзакция успешно

выполнена. Простой обход надежной защиты.

PHDays I-Bank/Атака через смежные системы

HelpDesk

История одного банка…

http://devteev.blogspot.com/2011/09/4.html

Race condition – смещение вектора атаки на процессинг

Если отправлять много запросов, то возможна ситуация,

когда запросы будут выполняться одновременно:

Запрос N Запрос N + 1

Проверка наличия необходимой суммы

Проверка наличия необходимой суммы

Зачисление денег Зачисление денег

Profit! $$$

Внедрение внешних XML-сущностей: перспективный сценарий развития атаки

Внедрение внешних XML-сущностей (XXE)

— уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера.

https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)

PHDays I-Bank/Когда уязвимостям подвержена реальная банковская система

Предположения:

Капитал I-Bank составляет 9 миллиардов рублей

100 000 клиентов пользуются интернет-банком

Средняя сумма на каждом счете 30 000 рублей

Перевыпуск одной скретч-карты - 450 рублей

PHDays I-Bank/Оценка влияния на бизнес: Вероятности эксплуатации

Вероятность эксплуатации = Вероятность обнаружения X Простота эксплуатации

Вероятность успешно пройти аутентификацию = 79%

Вероятность успешно провести транзакцию = 92%

PHDays I-Bank/Оценка влияния на бизнес: Ущерб (миллионов рублей)

Непосредственный ущерб ~30% из 100 000 клиентов подали в суд т.е. 30 000 (счет клиента) + ~20 000 (издержки) X ~30% (кол-во клиентов)= ~1500 млн. руб.

Перевыпуск скретч-карт 40% из 100 000 используют скретч-карты т.е. 450 руб. (перевыпуск 1-й карты) X 40% (кол-во клиентов)= 18 млн. руб.

Общий капитал банка = 9 миллиардов

PHDays I-Bank/Оценка влияния на бизнес: анализ рисков

Риск=Ущерб x Вероятность

Исходя из:

Непосредственный ущерб = 1500 млн. руб.Перевыпуск скретч-карт = 18 млн. руб.

Вероятность успешно пройти аутентификацию = 79%Вероятность успешно провести транзакцию = 92%

Получаем:

Риск = (1500 млн. руб. + 18 млн. руб.) x (79% x 92%)

Риск=12% от капитала

Уровень ущерба свыше 3% от капитала является критическим! (СТО БР)

PHDays I-Bank/Оценка влияния на бизнес: выбор не так уж сложен

(ми

лл

ион

ы р

убл

ей

)

Защищен – значит

вооруженРиск потери денежных средств Затраты на реализацию

механизмов защиты (приблизительно)

0

200

400

600

800

1000

1200

1112

20

Реализация механизмов защиты:Анализ защищенности приложенияУстранение уязвимостей приложенияСмена парольной политикиЗадействовать двухфакторную аутентификациюПеревыпуск скретч-карт

Спасибо за внимание!

137@ptsecurity.ruhttp://devteev.blogspot.comhttps://twitter.com/devteev