Embed Size (px)
DESCRIPTION
Citation preview
Основные проблемы безопасности
систем ДБО
© 2002—2010 , Digital Security
Алексей Синцов
Ведущий аудитор Digital Security
Cистемы ДБО
2© 2002—2010, Digital Security
Основные проблемы безопасности систем ДБО
Модели:
Банк-клиент
• Клиентское ПО
Интернет-клиент
• Браузер
Мобильный клиент
• ПО/Браузер/СМС
АТМ клиент
• Банкомат/Терминал
Интернет клиент
3© 2002—2010, Digital Security
Где могут быть проблемы?
Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)
Основные проблемы безопасности систем ДБО
Безопасность клиентской части Интернет-Банка
4© 2002—2010, Digital Security
С точки зрения злоумышленника, пользователь Интернет-Банка
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше – выше шансы успешной
атаки
Результат атаки: получение доступа к любым операциям со
счетами клиента и ключам ЭЦП
Но:
• ответственность клиента
• ущерб репутации банка
Основные проблемы безопасности систем ДБО
Безопасность серверной части Интернет-Банка
5© 2002—2010, Digital Security
Внешний нарушитель
Атакует внешний периметр и программное обеспечение
Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
Имеет счет (привилегированный пользователь)
Атакует приложение, используя свою учетную запись
Результат атаки: компрометация базы данных, получение
доступа к банковской тайне, компрометация клиентов,
получение доступа ко всем счетам, отказ в обслуживании
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
Слабые места Банк-Клиентов
6
Клиентская часть
ActiveX
Браузер
Человеческий фактор
Иное ПО
Слабая защита корпаративной сети в целом
Серверная часть
WEB приложения
Программное обеспечение сервисов. Например, веб-сервер
Архитектура
Инсайд
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
Откуда угрозы?
7
Основные проблемы безопасности систем ДБО
Интернет
ДМЗ
© 2002—2010, Digital Security
WEB
8
Популярные ошибки:
Инъекция SQL
Межсайтовый скриптинг
Ошибки бизнес логики
Особенности:
Вся защита на WEB. В БД – один пользователь
В БД, как правило, нет шифрования
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
Ошибка Cross-Site-Scripting
9
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
ActiveX
10
Ошибки ActiveX: переполнение буфера
Ошибки ActiveX : небезопасные методы
Ошибки IE
Ошибки Acrobat Reader
Ошибки Flash
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
Ошибки ActiveX
11
Небезопасный метод
Переполнение
буфера в стеке
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
USB-Token?
12
Не у всех есть
Подмена документа
Троян может все то, что может пользователь
Вывод: USB - Token не панацея
Основные проблемы безопасности систем ДБО
© 2002—2010, Digital Security
USB-Token. . .
13
Основные проблемы безопасности систем ДБО
14
Тестируем защищённость
© 2002—2010, Digital Security
1. Сегментация/фильтрация
2. Демоны/сервисы
3. Парольная политика
4. Управление ключами
5. Защищенность ПО БК
6. Защищенность клиента
7. Защищенность БД
8. Анализ логики/архитектуры
Защита не должна быть только на уровне ПО БК
Основные проблемы безопасности систем ДБО
15
Спасибо за внимание!
© 2002—2010, Digital Security
