Типовые уязвимости платежных инфраструктур/очный...

Евгений Боровков Инженер по защите информации

Deiteriy

Антон Остроконский Техник по защите информации

Deiteriy

Типовые уязвимости платежных инфраструктур

2 Небольшой пример

Для начала мы покажем вам небольшой вектор атаки на демо-приложение, которое представляет из себя типовой платежный шлюз.

3 Схема сети

4 Исходные данные

1) В компании отсутствует упорядоченный процесс разработки ПО, что на данный момент является повсеместной практикой.

2) Системные администраторы халатно относятся к тонкой настройке ИБ, как это к сожалению, все еще очень часто бывает.

5 Результат

Таким образом были скомпрометированы все номера карт, которые хранились в БД демо-приложения. Далее стоит рассказать о том, какие наиболее типичные уязвимости встречаются нам во время тестов на проникновение платежных приложений.

6 Хранение маскированных PAN и хешей полных PAN

Во время демонстрации атаки, Вы могли заметить, что подбор номера карты, при наличии его маски (1234 56** **** 7890) и хеша, занимает менее секунды.

7 Хранение маскированных PAN и хешей полных PAN

Имея на руках всю базу данных с масками и хешами, злоумышленник может подобрать все номера карт за короткий промежуток времени.

8 Плохо настроенный межсетевой экран

Стоит заметить, что плохо настроенный межсетевой экран – это довольно распространенная ошибка. Во время тестов на проникновение неоднократно было замечено, что сетевой трафик слабо ограничивается, в результате чего появляется уйма возможностей получить доступ, который облегчает задачу злоумышленника.

9 Некорректно настроенные WAF или сканер веб-приложений

Можно регулярно сканировать веб-приложения или установить WAF, но из-за неверной настройки этих инструментов они становятся бесполезными и не обеспечивают необходимый уровень безопасности. Стоит заметить, что данные инструменты необязательно должны быть дорогостоящими. При правильной настройке, open-source решения дают хороший результат.

10 Учетные данные, которые находятся прямо в коде

Вы могли заметить, что БД была скомпрометирована из-за того, что учетные данные были обнаружены в исходном коде веб-приложения. Это тоже довольно распространенная ошибка среди разработчиков.

11 Плохие парольные политики

Также, все еще, довольно распространенной ошибкой

являются плохие парольные политики, не обеспечивающие должный уровень безопасности. Слабые пароли быстро подбираются и приводят к компрометации одного или нескольких компонентов информационной инфраструктуры. Кроме того, необходимо исключить использование одинаковых паролей на разных компонентах инфраструктуры.

12 Отсутствие заголовков безопасности HTTP и атрибутов безопасности у cookie

Отсутствие заголовков безопасности HTTP и атрибутов безопасности у cookie встречается в подавляющей части тестирований на проникновение. Корректная настройка этих параметров занимает менее получаса, но, по неизвестным нам причинам, многие этого не делают, хотя данные параметры помогают защититься от множества атак.

13 XSS

XSS – древняя уязвимость, которую начали считать опасной всего несколько лет назад. На самом деле, XSS позволяет сделать очень многое, например, отправить данные из всех форм на сервер злоумышленника. …в XXI веке продолжает встречаться чуть чаще, чем всегда… :(((

14 Автозаполнение форм

При включенном автозаполнении на платежной форме в

браузере пользователя начинают храниться карточные данные в открытом виде. Забавный факт: автозаполнение паролей отключено всегда. Автозаполнение номеров карт и CVV2 встречается регулярно.

15 Номера карт оседают в системах

Сколько не говорили людям про аккуратное обращение с

данными платежных карт… а все равно: …то в логи в debug-режиме пишут всё… ну, вообще всё …то бэкап положат у всех на виду, ибо думают про доступность, забывают про конфиденциальность; …то нефильтрованные данные от партнеров прямо в резервные поля журналов транзакций записывают, а в них, бывает, такое приходит…

16 Уязвимости различных проприетарных сервисов

Рекомендуем при сканировании уязвимостей всегда

включать опцию «сканировать мертвые хосты», таким образом можно узнать много нового о своем сетевом оборудовании и других устройствах.

17 Итог

Как вы могли заметить, большинство типовых уязвимостей можно исправить без дорогостоящих покупок, а лишь применяя «прямые руки» коллег, работающих с инфраструктурой.

Спасибо за внимание :)

Вопросы?

Типовые уязвимости платежных инфраструктур/очный...

Education

Защита облаков в условиях комбинирования частных и публичных облачных инфраструктур

Уязвимости сервисов

Человек смотрящий/очный семинар RISC

Технология Cisco nLight™ для построения транспортных инфраструктур нового поколения

Уязвимости Active Directory

Восток — дело тонкое, или Уязвимости медицинского и индустриального ПО

За кулисами Windows Update . От уязвимости к обновлению

Подход Лаборатории Касперского к защите критических инфраструктур

Уязвимости программного обеспечения телекоммуникационного оборудования Yota

ПОРТФЕЛЬ ЛАБОРАТОРИИ КАСПЕРСКОГО ДЛЯ ЗАЩИТЫ КРИТИЧЕСКИ ВАЖНЫХ ИНФРАСТРУКТУР

Возможности и уязвимости Web 2.0 как инструмент киберпреступников

Основные уязвимости и методы защиты оборудования и ПО видеоконференцсвязи

Олег Купреев «Уязвимости программного обеспечения телекоммуникационного оборудования»

Безопасность веб-приложений: основы. Клиентские уязвимости. ONsec.мифи.180212

Обзор актуальных решений для построения катастрофоустойчивых инфраструктур

Видимая польза невидимых инфраструктур

содоклад развитие инфраструктур

Деятельность подразделений ИБ в условиях сокращения бюджетов/очный семинар RISC

Практика мониторинга ИТ-инфраструктур промышленных компаний и ЦОД

65 - tsput.ru · Минаев Даниил 65 Прошел(а) во второй (очный тур) Камаева Валерия 65 Прошел(а) во второй (очный