SlideShare ist ein Scribd-Unternehmen logo

Основные проблемы безопасности систем ДБО

D
Digital Security
Technologie
1 von 15
Downloaden Sie, um offline zu lesen
Основные проблемы безопасности систем ДБО Алексей Синцов Ведущий аудитор Digital Security © 2002—2010 , Digital Security
Основные проблемы безопасности систем ДБО Cистемы ДБО Модели:  Банк-клиент • Клиентское ПО  Интернет-клиент • Браузер  Мобильный клиент • ПО/Браузер/СМС  АТМ клиент • Банкомат/Терминал © 2002—2010, Digital Security 2
Основные проблемы безопасности систем ДБО Интернет клиент Где могут быть проблемы?  Клиентская часть ПО - Безопасность ActiveX - Безопасность работы ПО с ЭЦП  Серверная часть системы - Серверное ПО системы ДБО - ПО обслуживающих серверов (ОС, СУБД, Веб-сервер) © 2002—2010, Digital Security 3
Основные проблемы безопасности систем ДБО Безопасность клиентской части Интернет-Банка С точки зрения злоумышленника, пользователь Интернет-Банка является более простой и удобной целью атаки, чем сам банк:  Пользователь защищен слабее банка  Пользователей гораздо больше – выше шансы успешной атаки Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП Но: • ответственность клиента • ущерб репутации банка © 2002—2010, Digital Security 4
Основные проблемы безопасности систем ДБО Безопасность серверной части Интернет-Банка Внешний нарушитель  Атакует внешний периметр и программное обеспечение Интернет-Банка Внешний нарушитель – пользователь интернет-банка  Имеет счет (привилегированный пользователь)  Атакует приложение, используя свою учетную запись Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании © 2002—2010, Digital Security 5
Основные проблемы безопасности систем ДБО Слабые места Банк-Клиентов Клиентская часть  ActiveX  Браузер  Человеческий фактор  Иное ПО  Слабая защита корпаративной сети в целом Серверная часть  WEB приложения  Программное обеспечение сервисов. Например, веб-сервер  Архитектура  Инсайд © 2002—2010, Digital Security 6
Основные проблемы безопасности систем ДБО Откуда угрозы? Интернет ДМЗ © 2002—2010, Digital Security 7
Основные проблемы безопасности систем ДБО WEB Популярные ошибки:  Инъекция SQL  Межсайтовый скриптинг  Ошибки бизнес логики Особенности:  Вся защита на WEB. В БД – один пользователь  В БД, как правило, нет шифрования © 2002—2010, Digital Security 8
Основные проблемы безопасности систем ДБО Ошибка Cross-Site-Scripting © 2002—2010, Digital Security 9
Основные проблемы безопасности систем ДБО ActiveX  Ошибки ActiveX: переполнение буфера  Ошибки ActiveX : небезопасные методы  Ошибки IE  Ошибки Acrobat Reader  Ошибки Flash © 2002—2010, Digital Security 10
Основные проблемы безопасности систем ДБО Ошибки ActiveX Переполнение буфера в стеке Небезопасный метод © 2002—2010, Digital Security 11
Основные проблемы безопасности систем ДБО USB-Token?  Не у всех есть  Подмена документа  Троян может все то, что может пользователь Вывод: USB - Token не панацея © 2002—2010, Digital Security 12
Основные проблемы безопасности систем ДБО USB-Token. . . © 2002—2010, Digital Security 13
Основные проблемы безопасности систем ДБО Тестируем защищённость 1. Сегментация/фильтрация 2. Демоны/сервисы 3. Парольная политика 4. Управление ключами 5. Защищенность ПО БК 6. Защищенность клиента 7. Защищенность БД 8. Анализ логики/архитектуры Защита не должна быть только на уровне ПО БК © 2002—2010, Digital Security 14
Спасибо за внимание! © 2002—2010, Digital Security 15

Empfohlen

Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматовExpolink
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСArtemAgeev
 
Использование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИспользование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИнтерТраст
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSSDigital Security
 
Lic.i banking
Lic.i bankingLic.i banking
Lic.i bankingTatiana_Boris
 

Empfohlen

Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОПрактические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБОDigital Security
 
Клиент банка под атакой
Клиент банка под атакойКлиент банка под атакой
Клиент банка под атакойDigital Security
 
Безопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSБезопасность платежных приложений, стандарт PA DSS
Безопасность платежных приложений, стандарт PA DSSDigital Security
 
защита по для банкоматов
защита по для банкоматовзащита по для банкоматов
защита по для банкоматовExpolink
 
Олег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСОлег Купреев. Атаки на банковские системы: как добраться до АБС
Олег Купреев. Атаки на банковские системы: как добраться до АБСArtemAgeev
 
Использование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИспользование мобильных устройств руководителями. Опыт Банка ВТБ
Использование мобильных устройств руководителями. Опыт Банка ВТБИнтерТраст
 
Основы PA-DSS
Основы PA-DSSОсновы PA-DSS
Основы PA-DSSDigital Security
 
Lic.i banking
Lic.i bankingLic.i banking
Lic.i bankingTatiana_Boris
 
Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Expolink
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Expolink
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 
Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...DefconRussia
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersEssential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersNikolay Romanov
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)Sergey Polovnikov
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database SecurityAndrei Novikau
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Expolink
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideDigital Security
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиExpolink
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Expolink
 
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuDeep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 

Weitere ähnliche Inhalte

Was ist angesagt?

Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоAleksey Lukatskiy
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Expolink
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Expolink
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомКРОК
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Expolink
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...SelectedPresentations
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасностьSoftline
 

Was ist angesagt? (7)

Безопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководствоБезопасность мобильного доступа: пошаговое руководство
Безопасность мобильного доступа: пошаговое руководство
 
Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?Stonesoft: ИБ в банке: мульти или моно?
Stonesoft: ИБ в банке: мульти или моно?
 
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
Anti-Malware. Илья Шабанов. "Тенденции по ИБ"
 
Защита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательствомЗащита персональных данных в соответствии с законодательством
Защита персональных данных в соответствии с законодательством
 
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
Алексей Лукацкий (Cisco) - Пошаговое руководство по защите мобильного доступа.
 
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
Демонстрация комплексной системы контроля проводного и беспроводного доступа ...
 
Softline: Информационная безопасность
Softline: Информационная безопасностьSoftline: Информационная безопасность
Softline: Информационная безопасность
 

Ähnlich wie Основные проблемы безопасности систем ДБО

Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыDigital Security
 
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...DefconRussia
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10uisgslide
 
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersEssential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersNikolay Romanov
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...ebuc
 
Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)Sergey Polovnikov
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database SecurityAndrei Novikau
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинYulia Sedova
 
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Expolink
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideDigital Security
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Expolink
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиExpolink
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Expolink
 
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuDeep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuVirtSGR
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписиAlexander Kolybelnikov
 
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011MUK
 
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозКомплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозDenis Bezkorovayny
 
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?Positive Hack Days
 

Ähnlich wie Основные проблемы безопасности систем ДБО (20)

Особенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферыОсобенности проведения тестов на проникновение в организациях банковской сферы
Особенности проведения тестов на проникновение в организациях банковской сферы
 
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
Pavel Volobuev, Alexander Minozhenko, Alexander Polyakov - Practical demonstr...
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Uisg itgov 7_top10
Uisg itgov 7_top10Uisg itgov 7_top10
Uisg itgov 7_top10
 
Essential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data CentersEssential security aspects in heterogenous Data Centers
Essential security aspects in heterogenous Data Centers
 
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
Надёжная Kомпьютерная Инициатива - ответ сегодняшним рискам ИT безопасности 2...
 
Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)Тенденции на рынке инфобезопасности (IDC)
Тенденции на рынке инфобезопасности (IDC)
 
McAfee Database Security
McAfee Database SecurityMcAfee Database Security
McAfee Database Security
 
Подход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим ЛукинПодход CTI к информационной безопасности бизнеса, Максим Лукин
Подход CTI к информационной безопасности бизнеса, Максим Лукин
 
Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.Check Point. Актуальные задачи сетевой безопасности.
Check Point. Актуальные задачи сетевой безопасности.
 
Типовые ошибки в Implementation Guide
Типовые ошибки в Implementation GuideТиповые ошибки в Implementation Guide
Типовые ошибки в Implementation Guide
 
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
Microsoft. Никита Трубецкой. "Защита корпоративной информации при доступе из ...
 
Check point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасностиCheck point. Актуальные задачи сетевой безопасности
Check point. Актуальные задачи сетевой безопасности
 
Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности Check Point - Актуальные угрозы сетевой безопасности
Check Point - Актуальные угрозы сетевой безопасности
 
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.RuDeep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
Deep Security_Конкурс продуктов портала VirtualizationSecurityGroup.Ru
 
безопасность использования электронной подписи
безопасность использования электронной подписибезопасность использования электронной подписи
безопасность использования электронной подписи
 
WEBSENSE TRITON APX
WEBSENSE TRITON APX WEBSENSE TRITON APX
WEBSENSE TRITON APX
 
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
Check Point: предотвращение атак - сделайте 2012 год не таким, как 2011
 
Комплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угрозКомплексная защита виртуальной среды от внешних угроз
Комплексная защита виртуальной среды от внешних угроз
 
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
Positive Hack Days. Козлов. Экономия при переходе в облака или безопасность!?
 

Mehr von Digital Security

Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSDigital Security
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS CertificationDigital Security
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSDigital Security
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствиюDigital Security
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSDigital Security
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSDigital Security
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложенийDigital Security
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийDigital Security
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеDigital Security
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюDigital Security
 

Mehr von Digital Security (10)

Сертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSSСертификация приложения по стандарту PA-DSS
Сертификация приложения по стандарту PA-DSS
 
Application Security and PA DSS Certification
Application Security and PA DSS CertificationApplication Security and PA DSS Certification
Application Security and PA DSS Certification
 
Основные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSSОсновные этапы процесса достижения соответствия PCI DSS
Основные этапы процесса достижения соответствия PCI DSS
 
На пути к PCI соответствию
На пути к PCI соответствиюНа пути к PCI соответствию
На пути к PCI соответствию
 
Ключевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSSКлючевые особенности сертификации по PA-DSS
Ключевые особенности сертификации по PA-DSS
 
Основные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSSОсновные проблемы внедрения PCI DSS
Основные проблемы внедрения PCI DSS
 
Безопасность бизнес-приложений
Безопасность бизнес-приложенийБезопасность бизнес-приложений
Безопасность бизнес-приложений
 
Основные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложенийОсновные мифы безопасности бизнес-приложений
Основные мифы безопасности бизнес-приложений
 
PCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновениеPCI DSS - основные заблуждения при проведении тестов на проникновение
PCI DSS - основные заблуждения при проведении тестов на проникновение
 
Часто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствиюЧасто задаваемые вопросы на пути к PCI соответствию
Часто задаваемые вопросы на пути к PCI соответствию
 

Основные проблемы безопасности систем ДБО

  • 1. Основные проблемы безопасности систем ДБО Алексей Синцов Ведущий аудитор Digital Security © 2002—2010 , Digital Security
  • 2. Основные проблемы безопасности систем ДБО Cистемы ДБО Модели:  Банк-клиент • Клиентское ПО  Интернет-клиент • Браузер  Мобильный клиент • ПО/Браузер/СМС  АТМ клиент • Банкомат/Терминал © 2002—2010, Digital Security 2
  • 3. Основные проблемы безопасности систем ДБО Интернет клиент Где могут быть проблемы?  Клиентская часть ПО - Безопасность ActiveX - Безопасность работы ПО с ЭЦП  Серверная часть системы - Серверное ПО системы ДБО - ПО обслуживающих серверов (ОС, СУБД, Веб-сервер) © 2002—2010, Digital Security 3
  • 4. Основные проблемы безопасности систем ДБО Безопасность клиентской части Интернет-Банка С точки зрения злоумышленника, пользователь Интернет-Банка является более простой и удобной целью атаки, чем сам банк:  Пользователь защищен слабее банка  Пользователей гораздо больше – выше шансы успешной атаки Результат атаки: получение доступа к любым операциям со счетами клиента и ключам ЭЦП Но: • ответственность клиента • ущерб репутации банка © 2002—2010, Digital Security 4
  • 5. Основные проблемы безопасности систем ДБО Безопасность серверной части Интернет-Банка Внешний нарушитель  Атакует внешний периметр и программное обеспечение Интернет-Банка Внешний нарушитель – пользователь интернет-банка  Имеет счет (привилегированный пользователь)  Атакует приложение, используя свою учетную запись Результат атаки: компрометация базы данных, получение доступа к банковской тайне, компрометация клиентов, получение доступа ко всем счетам, отказ в обслуживании © 2002—2010, Digital Security 5
  • 6. Основные проблемы безопасности систем ДБО Слабые места Банк-Клиентов Клиентская часть  ActiveX  Браузер  Человеческий фактор  Иное ПО  Слабая защита корпаративной сети в целом Серверная часть  WEB приложения  Программное обеспечение сервисов. Например, веб-сервер  Архитектура  Инсайд © 2002—2010, Digital Security 6
  • 7. Основные проблемы безопасности систем ДБО Откуда угрозы? Интернет ДМЗ © 2002—2010, Digital Security 7
  • 8. Основные проблемы безопасности систем ДБО WEB Популярные ошибки:  Инъекция SQL  Межсайтовый скриптинг  Ошибки бизнес логики Особенности:  Вся защита на WEB. В БД – один пользователь  В БД, как правило, нет шифрования © 2002—2010, Digital Security 8
  • 9. Основные проблемы безопасности систем ДБО Ошибка Cross-Site-Scripting © 2002—2010, Digital Security 9
  • 10. Основные проблемы безопасности систем ДБО ActiveX  Ошибки ActiveX: переполнение буфера  Ошибки ActiveX : небезопасные методы  Ошибки IE  Ошибки Acrobat Reader  Ошибки Flash © 2002—2010, Digital Security 10
  • 11. Основные проблемы безопасности систем ДБО Ошибки ActiveX Переполнение буфера в стеке Небезопасный метод © 2002—2010, Digital Security 11
  • 12. Основные проблемы безопасности систем ДБО USB-Token?  Не у всех есть  Подмена документа  Троян может все то, что может пользователь Вывод: USB - Token не панацея © 2002—2010, Digital Security 12
  • 13. Основные проблемы безопасности систем ДБО USB-Token. . . © 2002—2010, Digital Security 13
  • 14. Основные проблемы безопасности систем ДБО Тестируем защищённость 1. Сегментация/фильтрация 2. Демоны/сервисы 3. Парольная политика 4. Управление ключами 5. Защищенность ПО БК 6. Защищенность клиента 7. Защищенность БД 8. Анализ логики/архитектуры Защита не должна быть только на уровне ПО БК © 2002—2010, Digital Security 14
  • 15. Спасибо за внимание! © 2002—2010, Digital Security 15