Практические аспекты оценки защищенности систем ДБО

Практические аспекты оценки защищенности систем ДБО

© 2002—2010 , Digital Security

Алексей Синцов

Ведущий аудитор Digital Security

Cистемы ДБО

2© 2002—2010, Digital Security

Практические аспекты оценки защищенности систем ДБО

Модели:

Банк-клиент

• Клиентское ПО

Интернет-клиент

• Браузер

Мобильный клиент

• ПО/Браузер/СМС

АТМ клиент

• Банкомат/Терминал

Интернет клиент

3© 2002—2010, Digital Security

Где могут быть проблемы?

Клиентская часть ПО

- Безопасность ActiveX

- Безопасность работы ПО с ЭЦП

Серверная часть системы

- Серверное ПО системы ДБО

- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)

Практические аспекты оценки защищенности систем ДБО

Безопасность клиентской части Интернет-Банка

4© 2002—2010, Digital Security

С точки зрения злоумышленника пользователь Интернет-Банка

является более простой и удобной целью атаки, чем сам банк:

Пользователь защищен слабее банка

Пользователей гораздо больше – выше шансы успешной

атаки

Результат атаки: получение доступа к любым операциям со

счетами клиента и ключам ЭЦП

Но:

• ответственность клиента

• ущерб репутации банка

Практические аспекты оценки защищенности систем ДБО

Безопасность серверной части Интернет-Банка

5© 2002—2010, Digital Security

Внешний нарушитель

Атакует внешний периметр и программное обеспечение

Интернет-Банка

Внешний нарушитель – пользователь интернет-банка

Имеет счет (привилегированный пользователь)

Атакует приложение, используя свою учетную запись

Результат атаки: компрометация базы данных, получение

доступа к банковской тайне, компрометация клиентов,

получение доступа ко всем счетам, отказ в обслуживании

Практические аспекты оценки защищенности систем ДБО

© 2002—2010, Digital Security

Слабые места Банк-Клиентов

6

Клиентская часть

ActiveX

Браузер

Человеческий фактор

Иное ПО

Серверная часть

WEB приложения

Программное обеспечение сервисов. Например, веб-сервер

Архитектура

Практические аспекты оценки защищенности систем ДБО

© 2002—2010, Digital Security

WEB

7

Популярные ошибки:

Инъекция SQL

Межсайтовый скриптинг

Ошибки бизнес логики

Особенности:

Вся защита на WEB. В БД – один пользователь

В БД, как правило, нет шифрования

Практические аспекты оценки защищенности систем ДБО

© 2002—2010, Digital Security

Ошибка Cross-Site-Scripting

8

Практические аспекты оценки защищенности систем ДБО

© 2002—2010, Digital Security

ActiveX

9

Ошибки ActiveX: переполнение буфера

Ошибки ActiveX : небезопасные методы

Ошибки IE

Ошибки Acrobat Reader

Ошибки Flash

Практические аспекты оценки защищенности систем ДБО

© 2002—2010, Digital Security

Ошибки ActiveX

10

Практические аспекты оценки защищенности систем ДБО

Небезопасный метод

Переполнение

буфера в стеке

© 2002—2010, Digital Security

USB-Token

11

Не у всех есть

Подмена документа

Троян может все то, что может пользователь

Вывод: USB - Token не панацея

Практические аспекты оценки защищенности систем ДБО

12

Тестируем защищённость

© 2002—2010, Digital Security

1. Сегментация/фильтрация

2. Демоны/сервисы

3. Парольная политика

4. Управление ключами

5. Защищенность ПО БК

6. Защищенность клиента

7. Защищенность БД

8. Анализ логики/архитектуры

Защита не должна быть только на уровне ПО БК

Практические аспекты оценки защищенности систем ДБО

13

Спасибо за внимание!

© 2002—2010, Digital Security