19.08.2016, 15:37:31
Войти Зарегистрироваться
Авторизация на сайте

Ваш логин:

Ваш пароль:

Забыли пароль?

Навигация
Новости
Архив новостей
Реклама
Календарь событий
Right Left

Головні уразливості онлайн-банків: авторизація, аутентифікація і Android

Уразливості високого рівня ризику в вихідному коді, а також серйозні недоліки механізмів аутентифікації і авторизації в багатьох системах дистанційного банківського обслуговування дозволяють проводити несанкціоновані транзакції або навіть отримати повний контроль над системою з боку зовнішнього зловмисника, що може привести до істотних фінансових і репутаційних втрат

Уразливості високого рівня ризику в вихідному коді, а також серйозні недоліки механізмів аутентифікації і авторизації в багатьох системах дистанційного банківського обслуговування дозволяють проводити несанкціоновані транзакції або навіть отримати повний контроль над системою з боку зовнішнього зловмисника, що може привести до істотних фінансових і репутаційних втрат. Такі висновки містяться в дослідженні вразливостей ДБО, виявлених експертами Positive Technologies в 2013 і 2014 роках в ході робіт з аналізу захищеності для ряду найбільших російських банків. У даній статті ми представляємо деякі результати цього дослідження.

В рамках дослідження було розглянуто 28 систем дистанційного банківського обслуговування фізичних (77%) і юридичних осіб (23%). Серед них були і мобільні системи ДБО, представлені серверної і клієнтської частиною (54%). Дві третини систем (67%) були власними розробками банків (використовувалися Java, C # і PHP), інші були розгорнуті на базі платформ відомих вендорів. Більшість систем ДБО (74%) перебували в промисловій експлуатації і були доступні для клієнтів, а чверть ресурсів становили тестові стенди, готові до переведення в експлуатацію.

загальні результати

Майже половина виявлених вразливостей систем ДБО (44%) має високий рівень ризику. Приблизно однакова кількість вразливостей мають середню і низьку ступінь ризику (26% і 30%). В цілому, уразливості високого рівня ризику були виявлені в 78% досліджених систем.

Велика частина вразливостей (42%) пов'язана з помилками реалізації механізмів захисту систем ДБО, закладених розробниками. Зокрема, до даної категорії вразливостей відносяться недоліки механізмів ідентифікації, аутентифікації і авторизації. На другому місці - уразливості, пов'язані з помилками в коді додатків (36%). Решта уразливості в основному пов'язані з недоліками конфігурації (22%).

Найбільш часто в системах ДБО зустрічалися уразливості, пов'язані з можливістю ідентифікації використовуваного ПО і з передбачуваними форматами ідентифікаторів користувачів (57% систем). Більш ніж у половині систем (54%) виявлені помилки в програмному коді типу «міжсайтовий виконання сценаріїв». Якщо при наявності цієї уразливості в системі клієнт банку перейде по спеціально сформованої шкідливої ​​посиланням, атакуючий може отримати доступ до системи ДБО з привілеями даного клієнта.

Поширені також уразливості, що дозволяють реалізувати атаки на сесії користувачів (54% систем). Сюди відносяться уразливості, пов'язані з некоректним завершенням сесій, некоректним настроюванням cookie-параметрів, можливістю паралельної роботи декількох сесій для одного користувача, відсутністю прив'язки сесії до IP-адресою клієнта та ін. При успішній атаці зловмисник може отримати доступ до особистого кабінету користувача з його привілеями .

У число найбільш поширених увійшла вразливість високого ступеня ризику «Впровадження зовнішніх сутностей XML», яка виявлена ​​в 46% систем. В результаті її експлуатації зловмисник може отримати вміст файлів, що зберігаються на уразливому сервері, дані про відкриті мережевих портах вузла, викликати відмову в обслуговуванні всієї системи ДБО, - а також, в ряді випадків, звернутися до довільного вузла від імені уразливого сервера і розвинути атаку.

Відмова в обслуговуванні системи ДБО може бути викликаний з використанням різних вразливостей в половині досліджених ресурсів (52%).

Найпоширеніші уразливості систем ДБО (частка систем)

Більшість поширених вразливостей має середній або низький рівень ризику. Проте, в поєднанні з особливостями функціонування конкретних систем ДБО це може привести до реалізації серйозних загроз безпеки, включаючи крадіжку конфіденційних даних (89% систем) і крадіжку грошових коштів (46%).

Досліджені системи ДБО містять також ряд істотних недоліків на рівні логіки. Наприклад, в ряді систем була виявлена ​​можливість атак на основі некоректного використання алгоритмів округлення чисел. Скажімо, зловмисник переводить 0,29 рублів в долари США. При вартості одного долара в 60 рублів, сума в 0,29 рублів відповідає 0,00483333333333333333333333333333 доларів. Дана сума буде округлена до двох знаків після коми, т. Е. До 0,01 долара (один цент). Потім зловмисник переводить 0,01 долара назад в рублі і отримує 0,60 рублів. Таким чином зловмисник «виграє» 0,31 рублів. В результаті автоматизації даної процедури, враховуючи відсутність обмежень по кількості транзакцій на добу і мінімального розміру транзакції, а також можливості експлуатації уразливості типу Race Condition ( «Стан гонки»), - в ряді випадків зловмисник може отримувати необмежені суми грошових коштів.

Уразливості по розробникам

Вразливостей високого ступеня ризику більше в системах ДБО, наданих вендорами (49%), ніж в системах власної розробки конкретного банку (40%). Крім того, системи, що поставляються професійними розробниками, в середньому містять в 2,5 рази більше вразливостей на рівні коду програми, ніж системи власної розробки. Даний факт можна пояснити тим, що при використанні ПО від вендора банк в питаннях якості коду покладається головним чином на постачальника. При цьому складна архітектура, кроссплатформенность і велика кількість функцій систем ДБО не завжди дозволяють вендору забезпечити належний рівень захищеності на рівні коду програми.

Середня кількість вразливостей в системах (в залежності від розробника)

Уразливості механізмів захисту

Найбільш поширеним недоліком механізмів ідентифікації систем ДБО є передбачуваність формату ідентифікатора облікового запису (64% систем). Знаючи кілька існуючих в системі ідентифікаторів, зловмисник може обчислити механізм їх формування і підібрати потрібний. 32% досліджених систем розкривали інформацію про існуючі в системі облікових записах, повертаючи різні відповіді в залежності від існування введеного ідентифікатора; в 20% випадків системи ДБО містили обидві вищезгадані уразливості ідентифікації.

58% розглянутих систем мали недоліки реалізації механізму аутентифікації - слабку парольний політику, недостатній захист від підбору облікових даних, можливість обходу механізму CAPTCHA або відсутність обов'язкової двофакторної аутентифікації при вході в особистий кабінет.

58% розглянутих систем мали недоліки реалізації механізму аутентифікації - слабку парольний політику, недостатній захист від підбору облікових даних, можливість обходу механізму CAPTCHA або відсутність обов'язкової двофакторної аутентифікації при вході в особистий кабінет

Уразливості механізмів аутентифікації (частки систем)

79% систем містили різні недоліки авторизації і захисту транзакцій. При цьому в 42% випадків зловмисник міг отримати несанкціонований доступ до даних користувачів (персональних даних, інформації про рахунки, платежі і т. П.), А в 13% систем порушник міг безпосередньо здійснювати банківські операції від імені інших користувачів.

Недоліки механізмів авторизації (частка вразливих систем)

Уразливості мобільних клієнтів

Клієнтське ПЗ для ОС Android більш вразливе в порівнянні з додатками для iOS. Зокрема, критично небезпечні уразливості містяться в 70% додатків для Android і в 50% додатків для iOS.

Частки клієнтських мобільних програм, схильних до уязвимостям

В середньому кожен додаток на базі Android містить 3,7 вразливостей, в той час як для iOS-додатки даний показник дорівнює 2,3.

Найбільш часто в мобільних системах ДБО зустрічалися уразливості, пов'язані з небезпечною передачею даних (73%), далі йдуть недостатній захист сесій (55%) і небезпечне зберігання даних в мобільному додатку (41%).

Найбільш поширені уразливості клієнтського ПЗ мобільних систем

Хоча найбільш поширені уразливості мобільних систем ДБО мають середню або низьку ступінь ризику, в ряді випадків сукупність виявлених недоліків дозволяла реалізувати серйозні загрози безпеки. Наприклад, одне з досліджених додатків відправляло широковещательное повідомлення, що містить отримане від банку SMS-повідомлення (з одноразовим паролем для проведення транзакції), яке могло бути перехоплено стороннім додатком. Крім того, дане мобільний додаток здійснювало журнал важливих даних, таких як обліковий запис користувача, внаслідок чого при успішному зараженні пристрою користувача шкідливим кодом атакуючий міг отримати повний доступ до аутентифікаційних даними і проводити транзакції від імені користувача мобільного додатка.

Більш детальні результати даного дослідження будуть представлені на міжнародному форумі з безпеки Positive Hack Days V, який пройде 26 і 27 травня в Москві. Там же можна взяти участь в конкурсах по злому банкоматів і онлайнових банківських сервісів. Подробиці на сайті www.phdays.ru .