Большинство разработчиков систем ДБО скрывают проблемы ИБ в своих продуктах от банков

08.12.2011

В этом году в рамках исследования центр DSecRG уделил внимание не только безопасности кода плагинов браузера, но и архитектуре систем ДБО, веб-интерфейсам и прикладному ПО, а также процессам распространения исправлений уязвимостей от разработчиков к банкам. В 100% исследуемых систем были выявлены уязвимости ошибки межсайтингово скриптинга XSS. Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP Top 10. Чтобы показать, что данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. При этом такая атака возможна без заражения рабочей станции клиента банка.

Исследования показали:

• большинство программного обеспечения банков работает с токенами, используя веб-технологии, что  дает злоумышленнику возможность скрытно перебирать PIN-код от токена с любого сайта или даже незаметно устанавливать ЭЦП
• наличие ошибок архитектуры, которые позволяют обходить проверку ЭЦП при приеме платежного поручения, например, в случае воздействия уязвимости типа SQL-инъекции, при этом злоумышленник может изменить статус платежного поручения с помощью SQL-инъекции без установки ЭЦП, после чего такая платежка попадет в АБС, где уже нет такого понятия, как ЭЦП, и поэтому будет исполнена (если другие параметры платежного поручения не вызовут подозрения у операциониста банка)
• существование больших проблем с распространением исправлений уже давно найденных уязвимостей и применением решений с устаревшей клиентской частью ActiveX с уязвимостями, о которых было сообщено разработчику более года назад.

"То есть сегодня на практике мы видим то, что большинство разработчиков систем ДБО банально скрывают проблемы ИБ в своих продуктах от банков и даже не пытаются задумываться об их безопасности", - сказал исследователь Алексей Синцов.