Contenu connexe
Similaire à Основные проблемы безопасности систем ДБО
Similaire à Основные проблемы безопасности систем ДБО (20)
Plus de Digital Security (10)
Основные проблемы безопасности систем ДБО
- 2. Основные проблемы
безопасности систем ДБО
Cистемы ДБО
Модели:
Банк-клиент
• Клиентское ПО
Интернет-клиент
• Браузер
Мобильный клиент
• ПО/Браузер/СМС
АТМ клиент
• Банкомат/Терминал
© 2002—2010, Digital Security 2
- 3. Основные проблемы
безопасности систем ДБО
Интернет клиент
Где могут быть проблемы?
Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)
© 2002—2010, Digital Security 3
- 4. Основные проблемы
безопасности систем ДБО
Безопасность клиентской части Интернет-Банка
С точки зрения злоумышленника, пользователь Интернет-Банка
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше – выше шансы успешной
атаки
Результат атаки: получение доступа к любым операциям со
счетами клиента и ключам ЭЦП
Но:
• ответственность клиента
• ущерб репутации банка
© 2002—2010, Digital Security 4
- 5. Основные проблемы
безопасности систем ДБО
Безопасность серверной части Интернет-Банка
Внешний нарушитель
Атакует внешний периметр и программное обеспечение
Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
Имеет счет (привилегированный пользователь)
Атакует приложение, используя свою учетную запись
Результат атаки: компрометация базы данных, получение
доступа к банковской тайне, компрометация клиентов,
получение доступа ко всем счетам, отказ в обслуживании
© 2002—2010, Digital Security 5
- 6. Основные проблемы
безопасности систем ДБО
Слабые места Банк-Клиентов
Клиентская часть
ActiveX
Браузер
Человеческий фактор
Иное ПО
Слабая защита корпаративной сети в целом
Серверная часть
WEB приложения
Программное обеспечение сервисов. Например, веб-сервер
Архитектура
Инсайд
© 2002—2010, Digital Security 6
- 7. Основные проблемы
безопасности систем ДБО
Откуда угрозы?
Интернет
ДМЗ
© 2002—2010, Digital Security 7
- 8. Основные проблемы
безопасности систем ДБО
WEB
Популярные ошибки:
Инъекция SQL
Межсайтовый скриптинг
Ошибки бизнес логики
Особенности:
Вся защита на WEB. В БД – один пользователь
В БД, как правило, нет шифрования
© 2002—2010, Digital Security 8
- 9. Основные проблемы
безопасности систем ДБО
Ошибка Cross-Site-Scripting
© 2002—2010, Digital Security 9
- 10. Основные проблемы
безопасности систем ДБО
ActiveX
Ошибки ActiveX: переполнение буфера
Ошибки ActiveX : небезопасные методы
Ошибки IE
Ошибки Acrobat Reader
Ошибки Flash
© 2002—2010, Digital Security 10
- 11. Основные проблемы
безопасности систем ДБО
Ошибки ActiveX
Переполнение
буфера в стеке
Небезопасный метод
© 2002—2010, Digital Security 11
- 12. Основные проблемы
безопасности систем ДБО
USB-Token?
Не у всех есть
Подмена документа
Троян может все то, что может пользователь
Вывод: USB - Token не панацея
© 2002—2010, Digital Security 12
- 13. Основные проблемы
безопасности систем ДБО
USB-Token. . .
© 2002—2010, Digital Security 13
- 14. Основные проблемы
безопасности систем ДБО
Тестируем защищённость
1. Сегментация/фильтрация
2. Демоны/сервисы
3. Парольная политика
4. Управление ключами
5. Защищенность ПО БК
6. Защищенность клиента
7. Защищенность БД
8. Анализ логики/архитектуры
Защита не должна быть только на уровне ПО БК
© 2002—2010, Digital Security 14
- 15. Спасибо
за внимание!
© 2002—2010, Digital Security 15