Информационный портал mskIT

Оригинал документа: http://mskit.ru/news/n137444/


     
 

Взлом системы ДБО — дело пяти минут: Positive Technologies на банковском форуме в Магнитогорске

20.02.2013 12:48
Евгения Поцелуевская, руководитель аналитической группы отдела анализа защищенности Positive Technologies, провела мастер-класс «Типичная атака на систему ДБО» в рамках пятого уральского форума «Информационная безопасность банков».

В ходе мастер-класса были наглядно продемонстрированы некоторые распространенные уязвимости самых популярных систем дистанционного банковского обслуживания. Евгения показала техники и методы, которыми могут воспользоваться потенциальные злоумышленники, а также пошагово воспроизвела их возможные действия при взломе систем ДБО.

В качестве демонстрационного стенда использовалась тестовая система интернет-банкинга PHDays I-Bank, разработанная специалистами Positive Technologies. Она содержит типовые уязвимости систем ДБО, которые были обнаружены в ходе проведения работ по анализу защищенности в отношении реальных систем электронного банкинга.

Как рассказала Евгения, более 70% исследованных систем ДБО содержали уязвимости, позволяющие либо осуществлять несанкционированные транзакции на уровне пользователя, либо получать возможность выполнения команд на сервере, захвата полного контроля над СУБД и всей системой.

В ходе мастер-класса участники познакомились с методами обхода механизмов аутентификации и авторизации по одноразовым паролям, что приводит к проведению транзакций от лица пользователей системы. Также была продемонстрирована эксплуатация уязвимости Race Condition, которая позволяет, по сути, делать деньги из воздуха, в разы увеличивая средства на счету злоумышленника. Данная уязвимость связана с ошибками в логике работы приложения и до сих пор в том или ином виде может встретиться в реальных системах. В заключение Евгения показала, как уязвимость приложения к внедрению внешних сущностей XML (XML External Entity) в сочетании с хранением важных данных в открытом виде в лог-файлах, может привести к получению злоумышленником карточных данных, идентификаторов и паролей пользователей, и, как следствие, к несанкционированному проведению транзакций. Следует отметить, что последние два недостатка являются весьма распространенными на практике. Так, например. немаскированные номера PAN встретились в половине изученных систем ДБО.

Редактор раздела: Александр Авдеенко (info@mskit.ru)

Рубрики: Безопасность

наверх
 
 
     

А знаете ли Вы что?

     
   
     


Copyright 2004 mskIT. Все права защищены
Перепечатка материалов приветствуется при ссылке на www.mskIT.mskit.ru
Ресурс разработан и поддерживается компанией Peterlink Web