Евгения Поцелуевская, руководитель аналитической группы отдела анализа защищенности Positive Technologies, провела мастер-класс «Типичная атака на систему ДБО» в рамках пятого уральского форума «Информационная безопасность банков».
В ходе мастер-класса были наглядно продемонстрированы некоторые распространенные уязвимости самых популярных систем дистанционного банковского обслуживания. Евгения показала техники и методы, которыми могут воспользоваться потенциальные злоумышленники, а также пошагово воспроизвела их возможные действия при взломе систем ДБО.
В качестве демонстрационного стенда использовалась тестовая система интернет-банкинга PHDays I-Bank, разработанная специалистами Positive Technologies. Она содержит типовые уязвимости систем ДБО, которые были обнаружены в ходе проведения работ по анализу защищенности в отношении реальных систем электронного банкинга.
Как рассказала Евгения, более 70% исследованных систем ДБО содержали уязвимости, позволяющие либо осуществлять несанкционированные транзакции на уровне пользователя, либо получать возможность выполнения команд на сервере, захвата полного контроля над СУБД и всей системой.
В ходе мастер-класса участники познакомились с методами обхода механизмов аутентификации и авторизации по одноразовым паролям, что приводит к проведению транзакций от лица пользователей системы. Также была продемонстрирована эксплуатация уязвимости Race Condition, которая позволяет, по сути, делать деньги из воздуха, в разы увеличивая средства на счету злоумышленника. Данная уязвимость связана с ошибками в логике работы приложения и до сих пор в том или ином виде может встретиться в реальных системах. В заключение Евгения показала, как уязвимость приложения к внедрению внешних сущностей XML (XML External Entity) в сочетании с хранением важных данных в открытом виде в лог-файлах, может привести к получению злоумышленником карточных данных, идентификаторов и паролей пользователей, и, как следствие, к несанкционированному проведению транзакций. Следует отметить, что последние два недостатка являются весьма распространенными на практике. Так, например, немаскированные номера PAN встретились в половине изученных систем ДБО.
Пятый юбилейный уральский форум «Информационная безопасность банков», проходивший с 11 по 16 февраля 2013 года, — ключевое отраслевое мероприятие для специалистов в сфере информационной безопасности банков и других участников национальной платежной системы. В работе форума принимали участие около 350 представителей банковского сектора, надзорных и регулирующих органов, российских и зарубежных IT-компаний.