Под ударом. Системы ДБО

^[1]Банк сегодня это не только место для хранения денег, куда можно прийти со сберкнижкой. Банковский бизнес уже давно является высокотехнологичной отраслью, для нормального функционирования которой необходимо огромное количество оборудования и программного обеспечения. Поменялось и отношение клиентов к банку: с проникновением Интернета в нашу обычную жизнь все больше людей не хотят тратить время на простаивание в очередях и предпочитают совершать операции онлайн. Удовлетворить этот спрос призваны системы дистанционного банковского обслуживания.

Интерес к безопасности подобных систем понятен, и банки, казалось бы, работают в этом направлении, используют всевозможные средства защиты (шифрование, электронную цифровую подпись и т. п.). Но как на самом деле обстоит дело с безопасностью систем ДБО? Эксперты Positive Technologies провели собственное исследование ^[2]. Результаты под катом.

Данные для исследования

Для подготовки отчета использовалась статистика уязвимостей систем дистанционного банковского обслуживания за 2011 и 2012 годы, собранная специалистами Positive Technologies в ходе проведения работ для ряда крупных российских банков.

55% рассмотренных систем ДБО построены на базе решений, поставляемых известными вендорами. Менее половины исследованных систем представлены собственными разработками (в том числе, на языках Java, С# и PHP).

Распространенные уязвимости и угрозы

В ходе анализа выявлено большое количество уязвимостей различного уровня риска, при этом высокую степень риска имеют 8% уязвимостей, среднюю — 51%, и больше количество уязвимостей (41%) имеют низкую степенью риска.

Наиболее распространенные уязвимости связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%). Во многих системах присутствует также раскрытие информации о версиях используемого программного обеспечения (73%), которое облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на пользователей (например, с использованием методов социальной инженерии).

Самые распространенные уязвимости имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие характерных для отдельной системы критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой.

Более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных вендорами.

Выводы

Степень защищенности систем ДБО выше, чем в среднем у других приложений, с которыми приходится сталкиваться специалистам Positive Technologies, и критические уязвимости (RCE, SQL Injection) встречаются в них не так часто. Но несмотря на это комбинация некритических ошибок безопасности все равно может приводить к тому, что злоумышленник получает возможность обойти антифрод-системы и совершать неавторизованные транзакции.

Можно заметить, что ситуация с патч-менеджментом в банковской сфере лучше, чем принято думать. Гораздо большие проблемы наблюдаются в управлении конфигурациями: 34% исследованных систем настроены неверно. Кроме того, распространенность проблем безопасности, связанных с недостатками реализации механизмов защиты, и уязвимостей уровня кода веб-приложения говорит о необходимости более тщательного анализа безопасности приложения — как на уровне требований к функциям безопасности, так и на уровне требований к безопасности разработки (включая анализ исходных кодов).

Будем рады ответить на ваши вопросы. Спасибо за внимание!

С полной версией отчета об исследовании можно ознакомиться на сайте ^[2] Positive Technologies.

Автор: ptsecurity

Источник ^[3]