Upload
digital-security
View
2.103
Download
2
Embed Size (px)
DESCRIPTION
Citation preview
Практические аспекты оценки защищенности систем ДБО
© 2002—2010 , Digital Security
Алексей Синцов
Ведущий аудитор Digital Security
Cистемы ДБО
2© 2002—2010, Digital Security
Практические аспекты оценки защищенности систем ДБО
Модели:
Банк-клиент
• Клиентское ПО
Интернет-клиент
• Браузер
Мобильный клиент
• ПО/Браузер/СМС
АТМ клиент
• Банкомат/Терминал
Интернет клиент
3© 2002—2010, Digital Security
Где могут быть проблемы?
Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)
Практические аспекты оценки защищенности систем ДБО
Безопасность клиентской части Интернет-Банка
4© 2002—2010, Digital Security
С точки зрения злоумышленника пользователь Интернет-Банка
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше – выше шансы успешной
атаки
Результат атаки: получение доступа к любым операциям со
счетами клиента и ключам ЭЦП
Но:
• ответственность клиента
• ущерб репутации банка
Практические аспекты оценки защищенности систем ДБО
Безопасность серверной части Интернет-Банка
5© 2002—2010, Digital Security
Внешний нарушитель
Атакует внешний периметр и программное обеспечение
Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
Имеет счет (привилегированный пользователь)
Атакует приложение, используя свою учетную запись
Результат атаки: компрометация базы данных, получение
доступа к банковской тайне, компрометация клиентов,
получение доступа ко всем счетам, отказ в обслуживании
Практические аспекты оценки защищенности систем ДБО
© 2002—2010, Digital Security
Слабые места Банк-Клиентов
6
Клиентская часть
ActiveX
Браузер
Человеческий фактор
Иное ПО
Серверная часть
WEB приложения
Программное обеспечение сервисов. Например, веб-сервер
Архитектура
Практические аспекты оценки защищенности систем ДБО
© 2002—2010, Digital Security
WEB
7
Популярные ошибки:
Инъекция SQL
Межсайтовый скриптинг
Ошибки бизнес логики
Особенности:
Вся защита на WEB. В БД – один пользователь
В БД, как правило, нет шифрования
Практические аспекты оценки защищенности систем ДБО
© 2002—2010, Digital Security
Ошибка Cross-Site-Scripting
8
Практические аспекты оценки защищенности систем ДБО
© 2002—2010, Digital Security
ActiveX
9
Ошибки ActiveX: переполнение буфера
Ошибки ActiveX : небезопасные методы
Ошибки IE
Ошибки Acrobat Reader
Ошибки Flash
Практические аспекты оценки защищенности систем ДБО
© 2002—2010, Digital Security
Ошибки ActiveX
10
Практические аспекты оценки защищенности систем ДБО
Небезопасный метод
Переполнение
буфера в стеке
© 2002—2010, Digital Security
USB-Token
11
Не у всех есть
Подмена документа
Троян может все то, что может пользователь
Вывод: USB - Token не панацея
Практические аспекты оценки защищенности систем ДБО
12
Тестируем защищённость
© 2002—2010, Digital Security
1. Сегментация/фильтрация
2. Демоны/сервисы
3. Парольная политика
4. Управление ключами
5. Защищенность ПО БК
6. Защищенность клиента
7. Защищенность БД
8. Анализ логики/архитектуры
Защита не должна быть только на уровне ПО БК
Практические аспекты оценки защищенности систем ДБО
13
Спасибо за внимание!
© 2002—2010, Digital Security