Прочитал отчет, подготовленный исследовательской группой компании Digital Security, по теме безопасности систем ДБО. На мой взгляд конечно фабула для этого отчета (цитирую) "Эффект дежавю: безопасность банк-клиентов находится на уровне 90-х годов", слишком уж сильная. В 90-х дистанционного банкинга вообще не было :) (поправьте меня если я ошибаюсь).
К основным проблемам исследователи DSecRG отнесли:
В общем-то этот список перекликается со списком OWASP Top 10 (можно посмотреть тут), поэтому я все же склонен считать что ситуация с нашими системами ДБО соответствует общемировым тенденциям в безопасности веб-приложений. Но это не значит, что я считаю, что это нормально. Банковские системы безусловно должны показывать более высокие уровни защиты, т.к. для любого банка (на мой взгляд) безопасность и надежность должны быть основными приоритетами при работе с клиентами.
Немного критики авторам отчета. Я не очень понял на какую аудиторию он рассчитан. Если на бизнес-аудиторию, т.е. на представителей руководства банков, то он изобилует большим количеством технических терминов и будет для них полностью непонятен. В такой ситуации надо было бы писать проще, приводить живые примеры возможных атак и пр. Если этот отчет рассчитан на аудиторию специалистов по информационной безопасности или разработчиков, то тогда в нем слишком мало информации. Хотелось бы, чтобы результаты исследований были расписаны более подробно. С примерами уязвимых кодов приложений, эксплоитов и т.п. Предлагаю авторам подготовить детальную статью и опубликовать ее в каком-нибудь отечественном журнале по информационной безопасности, или в том же (IN)SECURE.
К основным проблемам исследователи DSecRG отнесли:
- Межсайтовые запросы (CSRF)
- Межсайтовый скриптинг (XSS)
- SQL-Injection
- Переполнение буфера
- Ошибки авторизации
- Архитектурные проблемы
В общем-то этот список перекликается со списком OWASP Top 10 (можно посмотреть тут), поэтому я все же склонен считать что ситуация с нашими системами ДБО соответствует общемировым тенденциям в безопасности веб-приложений. Но это не значит, что я считаю, что это нормально. Банковские системы безусловно должны показывать более высокие уровни защиты, т.к. для любого банка (на мой взгляд) безопасность и надежность должны быть основными приоритетами при работе с клиентами.
Немного критики авторам отчета. Я не очень понял на какую аудиторию он рассчитан. Если на бизнес-аудиторию, т.е. на представителей руководства банков, то он изобилует большим количеством технических терминов и будет для них полностью непонятен. В такой ситуации надо было бы писать проще, приводить живые примеры возможных атак и пр. Если этот отчет рассчитан на аудиторию специалистов по информационной безопасности или разработчиков, то тогда в нем слишком мало информации. Хотелось бы, чтобы результаты исследований были расписаны более подробно. С примерами уязвимых кодов приложений, эксплоитов и т.п. Предлагаю авторам подготовить детальную статью и опубликовать ее в каком-нибудь отечественном журнале по информационной безопасности, или в том же (IN)SECURE.
Да, ессно, что проблемы одни и те же, так как "технологии" общие. Но вопрос в другом - у наши разработчики вообще об этом не думали, а некоторые не думают до сих пор. И дело не только в багах, сколько в архитектуре и общем подходе к разработке. Для ДБО это недопустимо в 21 век-то...
ОтветитьУдалитьНа счет реальных примеров, думаю Вы понимаете, что публикация сплойтов под русские ДБО вызовет не самые приятные мысли у тех-же банков (особенно учитывая, что многие банки получают патч не сразу... даже не через год). Тоже самое касается и "подробностей". Нет желания участвовать во всем этом..., главное разработчики в курсе 8) Что такое XSS и SQL - объяснять и показывать (и, видимо, слушать..) в 100500ый раз не интересно ни кому. А вот как можно реализовывать эти баги в контексте обхода Токенов, и проверки ЭЦП - это то, о чем хотелось рассказать.
Саша, и речь идет не о том, что банк-клиенты находятся на том уровне, на которыом они были в 90-е годы.
ОтветитьУдалить"Банк-клиенты содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы."
Это означает, что такой бардак был свойственен веб-системам конца 90-х - начала 2000-х годов - ошибки в ДБО древние, то есть, свойственные веб-системам 10-15 летней давности.
А насчет реальных примеров с эксплойтами - спасибо, шутку оценили. Может еще список банков привести, где есть дырки и рядом эксплойты привести с механизмами атак :).
Тема слишком тонкая, даже если в исследовании идет речь не о банках, а о производителях решений, которые сильно отличаются от банка к банку. И уж тем более ни о какой публикации эксплойтов не может быть и речи даже если разраб сообщил, что все исправил (это ему так обычно только кажется, особенно с учетом тучи кастом билдов от банка к банку) - все здесь решается сугубо кулуарно.
Поэтому не ждите подробностей - тема уж тонкая слишком.
>А насчет реальных примеров с эксплойтами - спасибо, шутку оценили. Может еще список банков привести, где есть дырки и рядом эксплойты привести с механизмами атак :).
ОтветитьУдалитьА почему нет ? :) А если серьезно, то неужели нет способа дать больше деталей ? Не называя при этом систему ДБО, разработчика, можно даже поменять какие-то специфичные вещи, вроде названия параметров в URL, чтобы не было понятно о какой системе идет речь. В западных журналах я такое встречал, прям по косточкам разбирали прикладную систему. Думать, что хакеры не владеют приемами, которые применяете вы, думаю наивно. Владеют и, возможно, про все эти уязвимости также хорошо знают.
> Что такое XSS и SQL - объяснять и показывать (и, видимо, слушать..) в 100500ый раз не интересно ни кому. А вот как можно реализовывать эти баги в контексте обхода Токенов, и проверки ЭЦП - это то, о чем хотелось рассказать.
Соглашусь, но лишь частично. Раз вы эти баги до сих пор находите, значит говорить надо и пусть даже в 100501ый раз. Да и среди ИБшников людей в этом разбирающихся не так много. Насчет их использования для реализации атак на ДБО тоже согласен, интересно. Но как я сказал, лично мне не хватило технических подробностей. А тем, кому нужно общее описание либо не будут читать этот отчет, либо не поймут его (по моему мнению).
Что-то из уязвимостей мы ранее (09-10 годы) публиковали на закрытом форуме АРЧЕ
ОтветитьУдалитьЧто-то без деталей на dseсrg.ru (в 11 году)
Технические детали без указания где и у кого - доклад "Где лежат деньги" на ZeroNights
Он же будет на PCI DSS Russia 2012
Вообще мы результаты исследований ДБО публикуем уже как три года подряд. Здесь же мы сделали одно общее за 3 года.
Просто никто внимания на это не обращает. А тут сньюс добавило жаренного и понеслось - всем вдруг стало интересно.
Так это же хорошо :-) что стало интересно.
ОтветитьУдалитьКонечно хорошо.
ОтветитьУдалитьА то большинство банков сегодня сильно напоминают страусов с головой в песке и голой задницей наружу.