Weitere ähnliche Inhalte
Ähnlich wie Основные проблемы безопасности систем ДБО
Ähnlich wie Основные проблемы безопасности систем ДБО (20)
Mehr von Digital Security
Mehr von Digital Security (10)
Основные проблемы безопасности систем ДБО
- 2. Основные проблемы
безопасности систем ДБО
Cистемы ДБО
Модели:
Банк-клиент
• Клиентское ПО
Интернет-клиент
• Браузер
Мобильный клиент
• ПО/Браузер/СМС
АТМ клиент
• Банкомат/Терминал
© 2002—2010, Digital Security 2
- 3. Основные проблемы
безопасности систем ДБО
Интернет клиент
Где могут быть проблемы?
Клиентская часть ПО
- Безопасность ActiveX
- Безопасность работы ПО с ЭЦП
Серверная часть системы
- Серверное ПО системы ДБО
- ПО обслуживающих серверов (ОС, СУБД, Веб-сервер)
© 2002—2010, Digital Security 3
- 4. Основные проблемы
безопасности систем ДБО
Безопасность клиентской части Интернет-Банка
С точки зрения злоумышленника, пользователь Интернет-Банка
является более простой и удобной целью атаки, чем сам банк:
Пользователь защищен слабее банка
Пользователей гораздо больше – выше шансы успешной
атаки
Результат атаки: получение доступа к любым операциям со
счетами клиента и ключам ЭЦП
Но:
• ответственность клиента
• ущерб репутации банка
© 2002—2010, Digital Security 4
- 5. Основные проблемы
безопасности систем ДБО
Безопасность серверной части Интернет-Банка
Внешний нарушитель
Атакует внешний периметр и программное обеспечение
Интернет-Банка
Внешний нарушитель – пользователь интернет-банка
Имеет счет (привилегированный пользователь)
Атакует приложение, используя свою учетную запись
Результат атаки: компрометация базы данных, получение
доступа к банковской тайне, компрометация клиентов,
получение доступа ко всем счетам, отказ в обслуживании
© 2002—2010, Digital Security 5
- 6. Основные проблемы
безопасности систем ДБО
Слабые места Банк-Клиентов
Клиентская часть
ActiveX
Браузер
Человеческий фактор
Иное ПО
Слабая защита корпаративной сети в целом
Серверная часть
WEB приложения
Программное обеспечение сервисов. Например, веб-сервер
Архитектура
Инсайд
© 2002—2010, Digital Security 6
- 7. Основные проблемы
безопасности систем ДБО
Откуда угрозы?
Интернет
ДМЗ
© 2002—2010, Digital Security 7
- 8. Основные проблемы
безопасности систем ДБО
WEB
Популярные ошибки:
Инъекция SQL
Межсайтовый скриптинг
Ошибки бизнес логики
Особенности:
Вся защита на WEB. В БД – один пользователь
В БД, как правило, нет шифрования
© 2002—2010, Digital Security 8
- 9. Основные проблемы
безопасности систем ДБО
Ошибка Cross-Site-Scripting
© 2002—2010, Digital Security 9
- 10. Основные проблемы
безопасности систем ДБО
ActiveX
Ошибки ActiveX: переполнение буфера
Ошибки ActiveX : небезопасные методы
Ошибки IE
Ошибки Acrobat Reader
Ошибки Flash
© 2002—2010, Digital Security 10
- 11. Основные проблемы
безопасности систем ДБО
Ошибки ActiveX
Переполнение
буфера в стеке
Небезопасный метод
© 2002—2010, Digital Security 11
- 12. Основные проблемы
безопасности систем ДБО
USB-Token?
Не у всех есть
Подмена документа
Троян может все то, что может пользователь
Вывод: USB - Token не панацея
© 2002—2010, Digital Security 12
- 13. Основные проблемы
безопасности систем ДБО
USB-Token. . .
© 2002—2010, Digital Security 13
- 14. Основные проблемы
безопасности систем ДБО
Тестируем защищённость
1. Сегментация/фильтрация
2. Демоны/сервисы
3. Парольная политика
4. Управление ключами
5. Защищенность ПО БК
6. Защищенность клиента
7. Защищенность БД
8. Анализ логики/архитектуры
Защита не должна быть только на уровне ПО БК
© 2002—2010, Digital Security 14
- 15. Спасибо
за внимание!
© 2002—2010, Digital Security 15