'

Клиент банка под атакой

Понравилась презентация – покажи это...





Слайд 0

Клиент банка под атакой © 2009, Digital Security


Слайд 1

Интернет-банкинг 2 © 2002—2009, Digital Security Клиент банка под атакой Практически все банки предоставляют услуги по интернет-банкингу Существуют различные аспекты безопасности интернет- банкинга Рассмотрим безопасность ПО, поставляемого банками клиенту


Слайд 2

Специфика модели нарушителя 3 © 2002—2009, Digital Security С точки зрения злоумышленника, пользователь интернет-банкинга является более простой и удобной целью атаки, чем сам банк: Пользователь защищен слабее банка Пользователей гораздо больше, чем банков У одного пользователя может быть клиентское ПО от разных банков Клиент банка под атакой


Слайд 3

Безопасность пользователей банк-клиентов 4 © 2002—2009, Digital Security Безопасность пользователя зависит, от: сохранности ЭЦП и пароля сложности подделки ЭЦП и подбора пароля безопасности рабочей станции безопасности канала передачи безопасности клиентского ПО банк-клиента Клиент банка под атакой


Слайд 4

© 2002—2009, Digital Security Особенности клиентского ПО 5 Клиент банка под атакой Многие банки не пишут свое собственное ПО, а используют решения сторонних производителей Это ПО может скачать любой желающий; достаточно зайти в раздел демо-версии на сайте разработчика


Слайд 5

Уязвимости ПО банк-клиентов 6 © 2002—2009, Digital Security Доступ к HDD клиента на чтение и запись Суть уязвимости — наличие функций, которые сохраняют или читают файлы, при этом вызов функций ничем не ограничен Эти функции можно запустить удаленно, обращаясь к определенным ActiveX-компонентам Клиент банка под атакой


Слайд 6

Уязвимости ПО банк-клиентов 7 © 2002—2009, Digital Security Клиент банка под атакой Переполнение буфера Банк клиенты, как и любое другое ПО, подвержены уязвимостям переполнения буфера В простейшем варианте уязвимость приводит к отказу в обслуживании Если возможно выполнение произвольного кода, то можно: получить удаленный административный доступ к системе добавить учетную запись загрузить троянскую программу украсть ключи и другую критичную информацию


Слайд 7

Реализация атаки 8 © 2002—2009, Digital Security Клиент банка под атакой Перечисленные уязвимости возможно реализовать удаленно, передав жертве ссылку на злонамеренный сайт Можно передать ссылку на доверенный сайт, предварительно обнаружив на нем XSS-уязвимость, с помощью которой вызов будет перенаправлен на злонамеренный сайт По различным оценкам порядка 80-90% сайтов подвержено XSS, в том числе и сайты большинства банков


Слайд 8

9 Результат атаки © 2002—2009, Digital Security Клиент банка под атакой Данные уязвимости позволяют атакующим проникнуть на машину с установленным банк-клиентом и: загрузить специализированный троян или клавиатурного шпиона, что бы узнать логин и пароль найти ключи на жестком диске или дискете если ключи на устройстве USB-Token, то можно перехватить вызов функции подписи и подменить документ Уязвимость банк-клиента — ключ к проникновению во внутреннюю корпоративную сеть компании


Слайд 9

10 Результаты исследований © 2002—2009, Digital Security Были проанализированы 3 банк-клиента зарубежных производителей, используемых в ряде европейских банков В 2-х была обнаружена уязвимость доступа к дискам В 3-х — переполнение буфера (из них в 2-х возможность выполнения произвольного кода) Подобные уязвимости были обнаружены и западными исследователями в других зарубежных продуктах, например: danske bank ActiveX buffer overflow Клиент банка под атакой


Слайд 10

11 Защита с точки зрения разработчика © 2002—2009, Digital Security Закрытие уязвимостей в ПО необходимо помнить про такие классические ошибки, как переполнение буфера необходимо ограничить доступ к функциям, которые позволяют получить доступ к файловой системе необходимо ограничить доступ к функциям работы с реестром Сторонний аудит безопасности приложений Клиент банка под атакой


Слайд 11

12 Защита с точки зрения клиента © 2002—2009, Digital Security Безопасные настройки браузера Запуск браузера от непривилегированной учетной записи Дополнительные средства защиты от фишинг-атак и XSS Не переходить на непроверенные ссылки Клиент банка под атакой


×

HTML:





Ссылка: