Поделиться
Защищенность веб-приложений систем ДБО по-прежнему крайне низкая: исследование DSecRG
Исследовательский центр Digital Security Research Group (DSecRG) представил результаты ежегодного исследования безопасности отечественных систем ДБО. В этом году в рамках исследования внимание было уделено не только безопасности кода плагинов браузера, но и архитектуре систем ДБО, веб-интерфейсам и прикладному ПО, а также процессам распространения исправлений разработчиками банкам. В целом, как показали результаты исследования, уровень защищенности веб-приложений систем ДБО по-прежнему остается крайне низким — за два года ситуация мало изменилась, говорится в сообщении компании Digital Security.
В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг). Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP Top 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. При этом такая атака возможна без заражения рабочей станции клиента банка, подчеркнули в Digital Security.
Как было установлено исследователями, большинство ПО банков работает с токенами, используя веб-технологии, что также дает злоумышленнику рычаги давления. Например, злоумышленник может скрытно перебирать PIN-код от токена с любого сайта или даже незаметно устанавливать ЭЦП. Кроме того, были обнаружены ошибки архитектуры, которые позволяют обходить проверку ЭЦП при приеме платежного поручения, например, в случае воздействия уязвимости типа SQL-инъекции. Так, злоумышленник может изменить статус платежного поручения с помощью SQL-инъекции без установки ЭЦП, после чего такая платежка попадет в АБС, где уже нет такого понятия, как ЭЦП, и поэтому будет исполнена (если другие параметры платежного поручения не вызовут подозрения у операциониста банка), пояснили в Digital Security. Кроме большого количества ошибок в веб-приложениях, по-прежнему также актуальны проблемы с плагинами ActiveX на клиентах.
Результаты данного исследования были представлены на международной конференции ZeroNights 2011 в ноябре в Санкт-Петербурге. В ходе конференции Zero Nights были продемонстрированы эксплойты и 0-day уязвимости в пользовательских плагинах систем ДБО. По словам специалистов Digital Security, такие уязвимости опасны тем, что позволяют реализовывать целевые атаки на пользователей системы, компрометируя их рабочие станции.
«Несмотря на то что мы пытались обратить внимание на проблемы систем ДБО ещё два года назад — заметного улучшения качества кода не произошло, — прокомментировал результаты исследования Алексей Синцов, руководитель департамента аудита ИБ Digital Security. — Так, например, год назад в продукте была найдена одна уязвимость, о чем было сообщено разработчику. Разработчик выпустил обновление, но остальной код не стал проверять на наличие аналогичных проблем. Логично, что через год похожая проблема была найдена опять, в другом участке кода той же программы. Кроме того, практически во всех приложениях — как веб, так и ActiveX — не применяются известные и популярные защитные механизмы. И за два года ситуация не поменялась. Например, мы не встречали систем ДБО, которые использовали бы флаги для защиты cookie и, тем более, защиту от атак класса clickjacking».
По словам Алексея Синцова, исследование также показало, что существуют большие проблемы с распространением исправлений уже давно найденных уязвимостей. «Так, например, до сих пор мы видим применяемые многими решения с устаревшей клиентской частью ActiveX с уязвимостями, о которых было сообщено разработчику более года назад. Более того, такая же ситуация и с веб-уязвимостями (в серверной части), когда после выявления уязвимостей разработчик выпускает обновления и устанавливает их в рамках одного конкретного внедрения ДБО. При этом спустя полтора года мы видим другое внедрение этого же разработчика с аналогичными уязвимостями за счет использования общего ядра системы. То есть сегодня на практике мы видим то, что большинство разработчиков систем ДБО банально скрывают проблемы ИБ в своих продуктах от банков и даже не пытаются задумываться об их безопасности».
Короткая ссылка
