Практические аспекты оценки защищенности систем ДБО
- 1. Практические аспекты оценки защищенности систем ДБО Алексей Синцов Ведущий аудитор Digital Security © 2002—2010 , Digital Security
- 2. Практические аспекты оценки защищенности систем ДБО Cистемы ДБО Модели: Банк-клиент • Клиентское ПО Интернет-клиент • Браузер Мобильный клиент • ПО/Браузер/СМС АТМ клиент • Банкомат/Терминал © 2002—2010, Digital Security 2
- 3. Практические аспекты оценки защищенности систем ДБО Интернет клиент Где могут быть проблемы? Клиентская часть ПО - Безопасность ActiveX - Безопасность работы ПО с ЭЦП Серверная часть системы - Серверное ПО системы ДБО - ПО обслуживающих серверов (ОС, СУБД, Веб-сервер) © 2002—2010, Digital Security 3
- 4. Практические аспекты оценки защищенности систем ДБО Безопасность клиентской части Интернет-Банка С точки зрения злоумышленника пользователь Интернет-Банка является более простой и удобной целью атаки, чем сам банк: Пользователь защищен слабее банка Пользователей гораздо больше – выше шансы успешной атаки Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП Но: • ответственность клиента • ущерб репутации банка © 2002—2010, Digital Security 4
- 5. Практические аспекты оценки защищенности систем ДБО Безопасность серверной части Интернет-Банка Внешний нарушитель Атакует внешний периметр и программное обеспечение Интернет-Банка Внешний нарушитель – пользователь интернет-банка Имеет счет (привилегированный пользователь) Атакует приложение, используя свою учетную запись Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании © 2002—2010, Digital Security 5
- 6. Практические аспекты оценки защищенности систем ДБО Слабые места Банк-Клиентов Клиентская часть ActiveX Браузер Человеческий фактор Иное ПО Серверная часть WEB приложения Программное обеспечение сервисов. Например, веб-сервер Архитектура © 2002—2010, Digital Security 6
- 7. Практические аспекты оценки защищенности систем ДБО WEB Популярные ошибки: Инъекция SQL Межсайтовый скриптинг Ошибки бизнес логики Особенности: Вся защита на WEB. В БД – один пользователь В БД, как правило, нет шифрования © 2002—2010, Digital Security 7
- 8. Практические аспекты оценки защищенности систем ДБО Ошибка Cross-Site-Scripting © 2002—2010, Digital Security 8
- 9. Практические аспекты оценки защищенности систем ДБО ActiveX Ошибки ActiveX: переполнение буфера Ошибки ActiveX : небезопасные методы Ошибки IE Ошибки Acrobat Reader Ошибки Flash © 2002—2010, Digital Security 9
- 10. Практические аспекты оценки защищенности систем ДБО Ошибки ActiveX Переполнение буфера в стеке Небезопасный метод © 2002—2010, Digital Security 10
- 11. Практические аспекты оценки защищенности систем ДБО USB-Token Не у всех есть Подмена документа Троян может все то, что может пользователь Вывод: USB - Token не панацея © 2002—2010, Digital Security 11
- 12. Практические аспекты оценки защищенности систем ДБО Тестируем защищённость 1. Сегментация/фильтрация 2. Демоны/сервисы 3. Парольная политика 4. Управление ключами 5. Защищенность ПО БК 6. Защищенность клиента 7. Защищенность БД 8. Анализ логики/архитектуры Защита не должна быть только на уровне ПО БК © 2002—2010, Digital Security 12
- 13. Спасибо за внимание! © 2002—2010, Digital Security 13