Типичные недостатки в обеспечении безопасности систем ДБО Борис Симис Директор по развитию Positive Technologies

Современные тенденции - банки Интернет-банкингу – ДА!Очередям у кассы – НЕТ!

Перевод банковских услуг в Интернет среду Тенденции Взрывной рост мошенничества с системами дистанционного банковского обслуживания Взломы банкоматов – как традиция Кража информации о кредитных картах – обычное событие

Основные пути проникновения в системы ДБО Инфраструктура Web-приложения Рабочие места пользователей Социтехники/Фишинг

Оценка практической защищенности предприятий России Источник: Positive Technologies, 2010

Сценарий. «США против Ястремского, Скотта» Получение доступа к локальным сетям торговых точек через недостатки конфигурации точек беспроводного доступа Установка сниферов, накопление данных магнитной полосы и PIN-блоков Расшифровка с помощью «неустановленных лиц» Схема действовала с 2003 по 2008 г. Только по одному из эпизодов доказана компрометация 41,000,000 карт. Выручка нарушителей составила $400,000

Пример: хищение данных из торговых сетей «США против Ястремского, Гонзалеса, Скотта»

Уязвимости Web приложений 1,5% сайтов в Интернете взломано

Сценарий. Атака на Heartland Payment Systems Изучив компании из «Top 500», обнаружили уязвимости класса SQL Injection на Web-серверах трех из них С помощью SQL-инъекции получили контроль над несколькими серверами, установили руткиты Получили доступ к ключевым компонентам инфраструктуры, установили сниферы Арендовали Web-серверы в 6 регионах, на которые автоматически закачивались данные магнитной полосы и PIN-блоки Схема действовала с октября 2006 г. по май 2008 г. Было скомпрометировано 130,000,000 карт. Несмотря на предупреждения о возможном фроде, HPS признала утечку и оповестила клиентов только в январе 2009 Это самая масштабная утечка, по ее итогам HPS была «задним числом» признана не соответствующей PCI DSS

Пример: атака на Heartland Payment Systems «США против Гонзалеса и сообщников

Защищенность частных пользователей Ежегодные конференции специалистов DefCon, BlackHat Взлом рабочей станции с предварительно установленными СЗИ – до 2 минут Взлом смартфона - секунды

Безопасный Интернет серфинг 78% российских Интернет пользователей уязвимы для удаленного взлома Источник: Positive Technologies, 2011

Социальная инженерия Тщательная подготовка Имитация call – центров Фишинг Рассылка дисков с лже обновлениями Очевидный рост подобных атак в России Невозможно защититься только техническими методами

Куда бедному крестьянину податься? Технические меры На сегодняшний день наиболее уязвимое звено Порядок в инфраструктуре Периодический аудит Авторизация – залог успеха Безопасность Web сайтов, WAF Механизмы реагирования на инциденты

Чего хотим от разработчиков ДБО: Готовность к устранению уязвимостей, встраивание WAF в продукт Возможность использования различных методов авторизации пользователей Проверка систем ДБО на уязвимости логики

Выводы Преступность растет и наглеет Технические средства защиты не поспевают за злоумышленниками Зачастую используются тривиальные уязвимости Широкое использование комбинирова н ных атак Надо объединиться бизнесу и правоохранительным органам для борьбы с атаками на системы ДБО

Спасибо за внимание! Симис Борис Борисович