Типовые проблемы безопасности банковских систем
DESCRIPTION
TRANSCRIPT
![Page 1: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/1.jpg)
Типовые проблемы безопасности банковских систем
Дмитрий Евтеев,
руководитель отдела анализа защищенности, Positive Technologies
![Page 2: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/2.jpg)
Отказ в обслуживании (АБС, ...)
НСД к СУБД АБС, в т.ч. процессинга
Атака на клиентов (подмена содержимого, фишинг, ...)
Физика и «около физика» (ATM, ...)
Невыполнение требований регуляторов
Угрозы безопасности в банковском секторе
![Page 3: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/3.jpg)
Типовая банковская информационная система
![Page 4: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/4.jpg)
Атаки на клиентов Банка
![Page 5: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/5.jpg)
Атаки на клиентов: банальный фишинг
![Page 6: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/6.jpg)
Как?
• Неподготовленный пользователь «втыкает во все и вся»
• Путешествует по интернету используя уязвимый браузер с уязвимыми плагинами
Результат?
• Фарминг
• Win32/Trojan.Downloader.Carberp, Win32/Spy.Shiz…
Массовые атаки на клиентов Банка: заражение вредоносным кодом
![Page 7: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/7.jpg)
Массовые атаки на клиентов Банка: заражение вредоносным кодом
![Page 8: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/8.jpg)
Каждому по ботнету
msf, immunity canvas (VulnDisco SA, …)… - browser autopwn
Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,
FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,
IcePack, Impassioned Framework, justexploit, Liberty, Limbo,
LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,
NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,
Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,
WebAttacker, YES Exploit system, ZeuS, Zombie Infection…
![Page 9: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/9.jpg)
Как?
• Многие системы дистанционного банковского обслуживания (далее – ДБО) используют ActiveX
• Установленные компоненты ActiveX на компьютер пользователя в свою очередь могут содержать уязвимости
Результат?
• Целевые атаки на компьютерыпользователей клиентов Банка
• Комплексные атаки на системы ДБО
Целевые атаки на клиентов Банка
![Page 10: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/10.jpg)
http://www.surfpatrol.ru/
А насколько безопасен Ваш серфинг?
![Page 11: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/11.jpg)
Целевые атаки на внешние банковские системы
![Page 12: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/12.jpg)
Многочисленные веб-сервисы, в первую очередь, для обслуживания физических и юридических лиц
• Интернет банк, мобильный банк…
Сервисы инфраструктуры
• DNS, SMTP, OWA…
Удаленный доступ к сети (обычно для «повелителей сети»)
Что расположено на периметре банковской информационной системы
![Page 13: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/13.jpg)
http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf
Наиболее распространенные системы ДБО для Российского рынка (физики)
![Page 14: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/14.jpg)
http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf
Наиболее распространенные системы ДБО для Российского рынка (юрики)
![Page 15: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/15.jpg)
Типовые проблемы безопасности ДБО
Разграничение прав доступа
![Page 16: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/16.jpg)
Как монетизировать сценарий атаки на ДБО
1. Поиск уязвимостей- Проверка слабостей парольной политики- Проверка слабостей механизмов защиты от перебора- Поиск путей сбора действующих идентификаторов
2. Реализация сценария атаки- Перебор "действующих" идентификаторов с одним паролем
3. Монетизация сценария атаки- Обход OTP и осуществление транзакции- Изменение платежного поручения- ...
![Page 17: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/17.jpg)
Как монетизировать сценарий атаки на ДБО. Часть 2
1. Поиск уязвимостей- Верификация уязвимости CVE-NO-NAME(возможность доступа к файловой системе)
2. Реализация сценария атаки- Поиск файлов системы протоколирования- Доступ к файлам конфигурации ДБО- ...
3. Монетизация сценария атакиJ
![Page 18: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/18.jpg)
Как монетизировать сценарий атаки на ДБО в картинках
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера.
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
![Page 19: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/19.jpg)
Типовые уязвимости прикладных банковских систем на примере PHDays I-Bank
Система разрабатывалась специально для конкурса, проводимого на PHDays 2012
PHDays I-Bank содержит типовые уязвимости, которые мы находили в реальных системах ДБО См. Статистика веб-уязвимостей за 2010-2011 годы (раздел 5.8): http://www.ptsecurity.ru/download/статистика RU.pdf
Типовые уязвимости систем ДБО http://www.slideshare.net/phdays/ss-14005562
PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО, которая действительно работает в каком-либо из существующих банков.
![Page 20: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/20.jpg)
Другие цели для осуществления атаки…
Вспомогательные приложения (helpdesk и пр.)
История одного банка…
http://devteev.blogspot.com/2011/09/4.html
![Page 21: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/21.jpg)
За (?!) периметром сети
![Page 22: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/22.jpg)
Атаки на ATM
![Page 23: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/23.jpg)
Атаки на ATM: jailbreak
WinXP SP2/SP3, драйвера и ППО
* изредка встречаются
Embedded/POSReady-варианты и
совсем редко Windows NT, OS/2,
Linux.
Рендер – IE, Chrome, возможны
самописные.
![Page 24: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/24.jpg)
Атаки на ATM: насколько сложно получить удаленный доступ к банкомату
![Page 25: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/25.jpg)
Как монетизировать сценарий атаки на ATM
1. Поиск целей- Сетевое сканирование, направленное на обнаружение банкоматов
2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей, использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки- Прослушивание трафика/извлечение из служебных журналов PAN- Перебор exp.date и CVV2/CVC2 для CNP J
![Page 26: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/26.jpg)
Атаки на ATM: скимминг/шимминг…
Скимминг
Шимминг
Тонкая гибкая плата вставляется через щель картридера и считывает данные введенных карт. Высокотехнологичное устройство, толщина которого не должна превышать 0,1 мм (исходя из размеров карт и слота картридера). Фактов обнаружения в России нет. http://www.securitylab.ru/news/395811.php
Траппинг (ливанская петля)
мошеннический захват карты (Факт – 2009 год, Омск) Накладка изымается вместе с картой.
Фальшивый банкомат
![Page 27: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/27.jpg)
Не всегда и не везде есть возможность крепления банкомата к полу анкерными болтами – проходимость (клиентопоток) для банка важнее безопасности. Незакрепленные банкомат относительно легко увезти. Закрепленные банкоматы – дополнительная опора при вскрытии на месте. Как? Смотрим тут
Вскрытие некоторых сейфов – «высверлить дырку в боковой стенке напротив ригеля и стукнуть кувалдой по пруту (при этом замок срежет болты)». Ригель и корпус замка – силуминовые.
Атаки на ATM: физический взлом
Число случаев мошенничества с банкоматами выросло в 9 раз!
![Page 28: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/28.jpg)
Атаки на ATM: реальная защита криптоключей
PIN entry device (PED)
• Шифрование DES, 3DES, RSA
• PIN-блок формируется в клавиатуре, расшифровывается на хосте в банке – в открытом виде PIN не «ходит»
• Ключи хранятся ТОЛЬКО в EPP (и должны вводиться непосредственно с PED…)
![Page 29: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/29.jpg)
Как монетизировать сценарий атаки на ATM. Часть 2
1. Поиск целей- Сетевое сканирование, направленное на обнаружение банкоматов
2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей, использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки- Дождаться момента некорректной смены ключей шифрования- Появляется возможность подмены трафика!- Выяснение месторасположения банкомата (например, через служебные сообщения); налик J
![Page 30: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/30.jpg)
Атаки на ATM: мошенничество с подменой достоинства выдаваемых/принимаемых купюр
Выдаваемые банкноты не валидируются (т.е. можно выдавать фантики)
При приеме распознавание осуществляется валидатором (4 машиночитаемых признака), шаблоны валют хранятся во флеш-памяти устройства
Соответствие шаблона и номинала валют хранится либо в реестре, либо в файлах (обычно .ini)
Диспенсер
![Page 31: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/31.jpg)
Как монетизировать сценарий атаки на ATM. Часть 3
1. Поиск целей- Сетевое сканирование, направленное на обнаружение банкоматов
2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей, использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки- Выяснение месторасположения банкомата (например, через служебные сообщения)- Смена идентификаторов номиналов- Снятие/внесение 100 рублей; profit!
![Page 32: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/32.jpg)
инсайдерские действия сотрудников…
![Page 33: Типовые проблемы безопасности банковских систем](https://reader033.vdocuments.site/reader033/viewer/2022061114/54621f11af79597f198b6ee7/html5/thumbnails/33.jpg)
Наш ответ хакерам злоумышленникам
Комплексный аудит СУИБ