ݺߣ

ݺߣShare a Scribd company logo

Клиент банка под атакой

Download as PPT, PDF
D
Digital Security
1 of 12
Downloaded 29 times
Клиент банка под атакой © 2009, Digital Security
Интернет-банкинг 2 © 2002— 2009, Digital Security Клиент банка под атакой Практически все банки предоставляют услуги по интернет-банкингу Существуют различные аспекты безопасности интернет- банкинга Рассмотрим безопасность ПО, поставляемого банками клиенту
Специфика модели нарушителя 3 © 2002— 2009, Digital Security С точки зрения злоумышленника, пользователь интернет-банкинга является более простой и удобной целью атаки, чем сам банк: Пользователь защищен слабее банка Пользователей гораздо больше, чем банков У одного пользователя может быть клиентское ПО от разных банков Клиент банка под атакой
Безопасность пользователей банк-клиентов 4 © 2002— 2009, Digital Security Безопасность пользователя зависит, от : сохранности ЭЦП и пароля сложности подделки ЭЦП и подбора пароля безопасности рабочей станции безопасности канала передачи безопасности клиентского ПО банк-клиента Клиент банка под атакой
Особенности клиентского ПО © 2002— 2009, Digital Security 5 Клиент банка под атакой Многие банки не пишут свое собственное ПО, а используют решения сторонних производителей Это ПО может скачать любой желающий ; достаточно зайти в раздел демо-версии на сайте разработчика
Уязвимости ПО банк-клиентов 6 © 2002— 2009, Digital Security Доступ к HDD клиента на чтение и запись Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен Эти функции можно запустить удаленно, обращаясь к определенным ActiveX- компонентам Клиент банка под атакой
Уязвимости ПО банк-клиентов 7 © 2002— 2009, Digital Security Клиент банка под атакой Переполнение буфера Банк клиенты, как и любое другое ПО, подвержены уязвимостям переполнения буфера В простейшем варианте уязвимость приводит к отказу в обслуживании Если возможно выполнение произвольного кода, то можно : получить удаленный административный доступ к системе добавить учетную запись загрузить троянскую программу украсть ключи и другую критичную информацию
Реализация атаки 8 © 2002— 2009, Digital Security Клиент банка под атакой Перечисленные уязвимости возможно реализовать удаленно, передав жертве ссылку на злонамеренный сайт Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS -уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт По различным оценкам порядка 80-90% сайтов подвержено XSS , в том числе и сайты большинства банков
Результат атаки 9 © 2002— 2009, Digital Security Клиент банка под атакой Данные уязвимости позволяют атакующим проникнуть на машину с установленным банк-клиентом и : загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль найти ключи на жестком диске или дискете если ключи на устройстве USB - Token , то можно перехватить вызов функции подписи и подменить документ Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании
Результаты исследований 10 © 2002— 2009, Digital Security Были проанализированы 3 банк-клиента зарубежных производителей, используемых в ряде европейских банков В 2-х была обнаружена уязвимость доступа к дискам В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода) Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow Клиент банка под атакой
Защита с точки зрения разработчика 11 © 2002— 2009, Digital Security Закрытие уязвимостей в ПО необходимо помнить про такие классические ошибки, как переполнение буфера необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе необходимо ограничить доступ к функциям работы с реестром Сторонний аудит безопасности приложений Клиент банка под атакой
Защита с точки зрения клиента 12 © 2002— 2009, Digital Security Безопасные настройки браузера Запуск браузера от непривилегированной учетной записи Дополнительные средства защиты от фишинг-атак и XSS Не переходить на непроверенные ссылки Клиент банка под атакой

More Related Content

Клиент банка под атакой

  • 1. Клиент банка под атакой © 2009, Digital Security
  • 2. Интернет-банкинг 2 © 2002— 2009, Digital Security Клиент банка под атакой Практически все банки предоставляют услуги по интернет-банкингу Существуют различные аспекты безопасности интернет- банкинга Рассмотрим безопасность ПО, поставляемого банками клиенту
  • 3. Специфика модели нарушителя 3 © 2002— 2009, Digital Security С точки зрения злоумышленника, пользователь интернет-банкинга является более простой и удобной целью атаки, чем сам банк: Пользователь защищен слабее банка Пользователей гораздо больше, чем банков У одного пользователя может быть клиентское ПО от разных банков Клиент банка под атакой
  • 4. Безопасность пользователей банк-клиентов 4 © 2002— 2009, Digital Security Безопасность пользователя зависит, от : сохранности ЭЦП и пароля сложности подделки ЭЦП и подбора пароля безопасности рабочей станции безопасности канала передачи безопасности клиентского ПО банк-клиента Клиент банка под атакой
  • 5. Особенности клиентского ПО © 2002— 2009, Digital Security 5 Клиент банка под атакой Многие банки не пишут свое собственное ПО, а используют решения сторонних производителей Это ПО может скачать любой желающий ; достаточно зайти в раздел демо-версии на сайте разработчика
  • 6. Уязвимости ПО банк-клиентов 6 © 2002— 2009, Digital Security Доступ к HDD клиента на чтение и запись Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен Эти функции можно запустить удаленно, обращаясь к определенным ActiveX- компонентам Клиент банка под атакой
  • 7. Уязвимости ПО банк-клиентов 7 © 2002— 2009, Digital Security Клиент банка под атакой Переполнение буфера Банк клиенты, как и любое другое ПО, подвержены уязвимостям переполнения буфера В простейшем варианте уязвимость приводит к отказу в обслуживании Если возможно выполнение произвольного кода, то можно : получить удаленный административный доступ к системе добавить учетную запись загрузить троянскую программу украсть ключи и другую критичную информацию
  • 8. Реализация атаки 8 © 2002— 2009, Digital Security Клиент банка под атакой Перечисленные уязвимости возможно реализовать удаленно, передав жертве ссылку на злонамеренный сайт Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS -уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт По различным оценкам порядка 80-90% сайтов подвержено XSS , в том числе и сайты большинства банков
  • 9. Результат атаки 9 © 2002— 2009, Digital Security Клиент банка под атакой Данные уязвимости позволяют атакующим проникнуть на машину с установленным банк-клиентом и : загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль найти ключи на жестком диске или дискете если ключи на устройстве USB - Token , то можно перехватить вызов функции подписи и подменить документ Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании
  • 10. Результаты исследований 10 © 2002— 2009, Digital Security Были проанализированы 3 банк-клиента зарубежных производителей, используемых в ряде европейских банков В 2-х была обнаружена уязвимость доступа к дискам В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода) Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow Клиент банка под атакой
  • 11. Защита с точки зрения разработчика 11 © 2002— 2009, Digital Security Закрытие уязвимостей в ПО необходимо помнить про такие классические ошибки, как переполнение буфера необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе необходимо ограничить доступ к функциям работы с реестром Сторонний аудит безопасности приложений Клиент банка под атакой
  • 12. Защита с точки зрения клиента 12 © 2002— 2009, Digital Security Безопасные настройки браузера Запуск браузера от непривилегированной учетной записи Дополнительные средства защиты от фишинг-атак и XSS Не переходить на непроверенные ссылки Клиент банка под атакой