Демонстрация атаки на ДБО

Типичная атака на систему ДБО

Евгения Поцелуевская[email protected]

Positive Technologies – это:

MaxPatrol – уникальная система анализа

защищенности и соответствия стандартам

XSpider – инновационный сканер безопасности

Positive Research – один из крупнейших

исследовательских центров в Европе

Positive Hack Days – международный форум по

информационной безопасности

Проводим более 20-ти крупномасштабных тестирований на проникновение в год

Анализируем защищенность систем ДБО на потоке

Участвуем в ПК 3, разработке СТО БР ИББС

Развиваем SecurityLab.ru – самый популярный интернет-портал, посвященный информационной безопасности

Лицензиаты ФСТЭК, ФСБ, Министерства обороны РФ

Мы

А еще

Самые распространенные уязвимости систем ДБО

Отсутствует маскирование PAN

Возможна идентификация приложений

Недостаточная защита от Brute Force

Межсайтовое выполнение сценариев

Возможно проведение атак на сессию

Слабая парольная политика

Предугадываемый формат идентификаторов пользователей

Стандартные сообщения об ошибках

Незащищенная передача данных при аутентификации

Раскрытие информации об идентификаторах

Результаты анализа защищенности ДБО

Получение данных для подключения к СУБД и внутренним системам (возможно развитие из внутренней сети)

Доступ в личные кабинеты пользователей

Проведение транзакций без ввода OTP авторизованным пользователем

Несанкционированное проведение транзакций

Выполнение команд на сервере

Полный контроль над системой

Большинство систем ДБО содержали серьезные уязвимости, просто каждая ДБО была уязвима по-своему

Полный контроль над СУБД

PHDays I-Bank

PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО, которая действительно работает в каком-либо из существующих банков

Система разрабатывалась специально для конкурса на PHDays 2012

Демонстрация

Самые распространенные уязвимости систем ДБО

Отсутствует маскирование PAN

Возможна идентификация приложений

Недостаточная защита от Brute Force

Межсайтовое выполнение сценариев

Возможно проведение атак на сессию

Слабая парольная политика

Предугадываемый формат идентификаторов пользователей

Стандартные сообщения об ошибках

Незащищенная передача данных при аутентификации

Раскрытие информации об идентификаторах

Шаг 1: аутентификация

Недостаточная защита от Brute Force

Слабая парольная политика

Предугадываемый формат идентификаторов пользователей

В PHDays I-Bank, как и почти во всех реальных системах ДБО, идентификатор пользователя состоит из цифр.

Примеры идентификаторов: 1000001, 1000002, …

Пользователь может установить свой пароль. Проверяется только его длина. Наверняка найдется кто-то с паролем 12345678

Есть же CAPTCHA. В чем проблема?

Демонстрация

Проблемы реализации CAPTCHA у PHDays I-BANK

Значение передается в скрытом поле HTML-формы

PUlUTTVFak0= =ITM5EjM MjE5MTI=

public function encodeCaptchaCode($code) { return @base64_encode(@strrev(@base64_encode($code)));}

Для шифрования не используются временные значения – расшифровать строку проще простого

Как еще можно обходить CAPTCHA

Brute Force (допускается повторная отправка одного и того же значения)

Передавать значение, не совпадающее с кодом, но попадающее под требования проверки (приложение проверяет только длину кода или наличие определенных символов)

Передавать запросы, для которых CAPTCHA не проверяется (например, код может не требоваться при передаче определенных заголовков в запросе)

Использовать автоматические распознаватели текста (FineReader)

Автоматизировать удаление наложенных на текст шумов

...

На крайний случай всегда есть дрессированные обезьянки ручная проверка

Шаг 1: аутентификация

Недостаточная защита от Brute Force

Слабая парольная политика

Предугадываемый формат идентификаторов пользователей

Раскрытие информации об идентификаторах

Шаг 2: авторизация для проведения транзакции

Предугадать OTP не получится, алгоритм генерации достаточно надежный

Шаг 2: авторизация для проведения транзакции

Предугадать OTP не получится, алгоритм генерации достаточно надежный

Но так ли нужно его угадывать? ;)

Шаг 2: авторизация для проведения транзакции

Шаг1Ввод платежных реквизитов и суммы платежа

Шаг2Ввод одноразового пароля

Шаг3Проверка OTP, подтверждение транзакции

Шаг4Проведение транзакции

Демонстрация

Другие варианты обхода авторизации по OTP

Brute Forсe (возможна повторная отправка значений для одного и того же OTP)

Проведение транзакций небольшими частями, для которых ввод OTP не требуется (в системе установлены лимиты, начиная с которых необходима авторизация)

Предугадывание значений OTP (слабые алгоритмы генерации OTP)

Получение информации об ожидаемом значении OTP в открытом виде (например, путем получения доступа к лог-файлу)

Race condition

Если отправлять много запросов, то возможна ситуация,

когда запросы будут выполняться одновременно:

Запрос N

Проверка наличия необходимой

суммы

Зачисление денег

Profit! $$$

Запрос N+1

Проверка наличия необходимой

суммы

Зачисление денег

Хочу перевести 1000 рублей на

свой же счет

Race condition

Если отправлять много запросов, то возможна ситуация,

когда запросы будут выполняться одновременно:

Запрос N

Проверка наличия необходимой

суммы

Зачисление денег

Profit! $$$

Запрос N+1

Проверка наличия необходимой

суммы

Зачисление денег

Хочу перевести 1000 рублей на

свой же счет

Пользователь: хочу перевести 10 000 рублей на свой же счет

Race condition

Если отправлять много запросов, то возможна ситуация,

когда запросы будут выполняться одновременно:

Запрос N

Проверка наличия необходимой

суммы

Зачисление денег

Profit! $$$

Запрос N+1

Проверка наличия необходимой

суммы

Зачисление денег

Хочу перевести 1000 рублей на

свой же счет

Пользователь: хочу перевести 10 000 рублей на свой же счет

Приложение: Проверяю… у пользователя 10 000 рублей, достаточно для перевода.

Race condition

Если отправлять много запросов, то возможна ситуация,

когда запросы будут выполняться одновременно:

Запрос N

Проверка наличия необходимой

суммы

Зачисление денег

Profit! $$$

Запрос N+1

Проверка наличия необходимой

суммы

Зачисление денег

Хочу перевести 1000 рублей на

свой же счет

Пользователь: хочу перевести 10 000 рублей на свой же счет

Приложение: Проверяю… у пользователя 10 000 рублей, достаточно для перевода. ….Перевожу необходимую сумму (баланс=0 рублей)

Race condition

Если отправлять много запросов, то возможна ситуация,

когда запросы будут выполняться одновременно:

Запрос N

Проверка наличия необходимой

суммы

Зачисление денег

Profit! $$$

Запрос N+1

Проверка наличия необходимой

суммы

Зачисление денег

Хочу перевести 1000 рублей на

свой же счет

Пользователь: хочу перевести 10 000 рублей на свой же счет

Приложение: Проверяю… у пользователя 10 000 рублей, достаточно для перевода. ….Перевожу необходимую сумму (баланс=0 рублей)….Начисляю необходимую сумму (Запрос N: + 10 000, Запрос N+1: +10 000)

Демонстрация

XML External Entity

Уязвимость позволяет внедрять XML-код, и, как следствие:

Читать файлы на сервере

Сканировать ресурсы внутренней сети посредством HTTP-, SMB-, FTP- запросов

Реализовать отказ в обслуживании

Читать файлы общедоступных ресурсов на базе Windows (\\host\C$)

…

Демонстрация

Хотите пример из продуктивной системы?

Милочка, а проверьте-ка систему ДБО нашего банка

Да, сэр

через полчаса…

Да тут же SQL-инъекция! Грубейшая ошибка разработки веб-приложения!

А ведь можно было бы…

По содержимому базы проанализировать платежи: порядок обработки, статусы, суммы, получатели

А ведь можно было бы…

По содержимому базы проанализировать платежи: порядок обработки, статусы, суммы, получатели

Найти клиентов, периодически переводящих крупные суммы в пределах установленных лимитов

А ведь можно было бы…

По содержимому базы проанализировать платежи: порядок обработки, статусы, суммы, получатели

Найти клиентов, периодически переводящих крупные суммы в пределах установленных лимитов

Выбрать тех, где не подключена услуга SMS-оповещения (например, сосредоточиться на некарточных счетах)

А ведь можно было бы…

По содержимому базы проанализировать платежи: порядок обработки, статусы, суммы, получатели

Найти клиентов, периодически переводящих крупные суммы в пределах установленных лимитов

Выбрать тех, где не подключена услуга SMS-оповещения (например, сосредоточиться на некарточных счетах)

Создать свой платеж, присвоив ему нужный статус, или просто подменить реквизиты платежа, уже готового к отправке в АБС

А ведь можно было бы…

По содержимому базы проанализировать платежи: порядок обработки, статусы, суммы, получатели

Найти клиентов, периодически переводящих крупные суммы в пределах установленных лимитов

Выбрать тех, где не подключена услуга SMS-оповещения (например, сосредоточиться на некарточных счетах)

Создать свой платеж, присвоив ему нужный статус, или просто подменить реквизиты платежа, уже готового к отправке в АБС

Profit!

Заключение

Большинство систем ДБО имеют серьезные уязвимости

Заключение

Большинство систем ДБО имеют серьезные уязвимости

Эксплуатация уязвимостей часто бывает не такой уж сложной

Заключение

Большинство систем ДБО имеют серьезные уязвимости

Эксплуатация уязвимостей часто бывает не такой уж сложной

Тем важнее их своевременно обнаружить и устранить

ЗаключениеПроблема Решение

Возможен обход механизма аутентификации

Реализовать эффективный алгоритм генерации идентификаторов пользователей, которые не были бы легко угадываемы (например, идентификатор может включать символы, зависящие от имени пользователя)

Устранить уязвимости, связанные с раскрытием информации об используемых идентификаторах (исправить код приложения, что и где править – расскажем :) )

Реализовать строгую парольную политику (задать длину и сложность пароля, периодичность смены пароля, невозможность использования предыдущих паролей, а также легко угадываемых словарных паролей)

Использовать правильную CAPTCHA (не передавать код CAPTCHA вместе со страницей; «шум» должен мешать не человеку, а машине; и т.п.)

Реализовать блокировку попыток подбора данных (при этом блокировка должна зависеть как от частоты попыток подбора и количества неправильно введенных паролей, так и от количества неправильно введенных идентификаторов, чтобы избежать блокировки легитимных пользователей)

….

Возможен обход механизма авторизации по OTP

Реализовать эффективный алгоритм генерации OTP

Устранить недостатки в логике авторизации: OTP должен обязательно требоваться для всех транзакций, вне зависимости от суммы, времени суток, или индивидуальных настроек пользователей

Обеспечить защиту от подбора OTP (при каждом вводе неправильного значения OTP меняется)

…

Race Condition

Обеспечить невозможность одновременного доступа к данным с целью изменения для разных потоков или разных компонентов приложения (использовать блокировку данных на время обработки)

XXE

Обеспечить проверку и фильтрацию входных данных от пользователя (экранирование специальных символов)

При необходимости использования XML запретить поддержку внешних сущностей (External Entity) и DTD….

… …

Спасибо за внимание!

Евгения Поцелуевская[email protected]