ptsecurity Oct 21 2013 at 10:36

Под ударом. Системы ДБО

3 min

12K

Positive Technologies corporate blogInformation Security*

+14

Comments 11

SinTeZoiD Oct 21 2013 at 12:29

Когда эникеил повидал много ДБО. От некоторых ощущение, что сделаны студентом на коленке. Настолько кривой и глючный был софт.
Ну это так, мысли наверное не совсем по теме.
Кстати а проверялась ли устойчивость к внутренним атакам(допустим кто-то из сотрудников получил несанкционированный доступ к ключам от ДБО)?

ptsecurity Oct 21 2013 at 12:43

В большинстве случаев использовалась модель горизонтального (от одного пользователя к другому пользоваться) и вертикального повышения полномочий (например от анонимуса к авторизированному пользователю или администратору). Вопросы обхода антифрода также рассматривались, но именно в этом ключе.

master1312 Oct 21 2013 at 13:54

Когда я закончил универ, один из моих однокурсников устроился в какой-то банк и сейчас разрабатывает там ПО (может, и не ДБО, но тем не менее). Между тем, программирует он так, что я бы лично ему и разработку калькулятора не доверил. Вот что он там может понаписать хорошего?

betasked Oct 21 2013 at 15:58

Самый ахтунговый банк-клиент я видел у банка Россия (они сейчас вроде на ibank2 перешли). Технологии начала 90х. Больше всего добивали некоторые термины вроде кнопки «Занести платежку».

Sleuthhound Oct 21 2013 at 20:39

Все эти анализы конечно полезны, но есть одно маленькое НО, в любой системе самое узкое место — ЧЕЛОВЕК. В системе ДБО самое уязвимое место — это тот кто вводит логин-пароль, подключает eToken или флешку с ключами, отдельная тема это конечно хранение ключей не на флешке, а на hdd + бумажка с паролем на мониторе или в соседнем шкафу.
Кстати классические eToken'ы как инструмент хранения ключей уже не панацея и обходятся на раз два. eToken + OTP — пока более или менее надежен.

Daemon_Hell Oct 22 2013 at 07:05

MAC токены существенно надежнее. В случае с OTP — используются ключи по порядку, так что атака с подменой платежки возможна.
MAC же генерирует ключ исходя из основных параметров платежки.

Sleuthhound Oct 22 2013 at 07:21

В MAC-токенах используются симметричные криптографические алгоритмы (ключ для формирования и проверки одноразового пароля и электронной подписи клиента является секретным) => возможен подбор ключа методом перебора => потенциальная уязвимость.

Да, не спорю они надежнее OTP токенов, но…

Daemon_Hell Oct 22 2013 at 07:38

Теоретически можно подобрать ключ, но любой уважающий себя банк должен забанить после десятка неудачных попыток.

d00kie Oct 22 2013 at 15:46

Обходил eToken + OTP и подменял платежку используя лишь одну уязвимость в ДБО — XSS. Так что все вообще очень относительно в этом деле 8)

Ndividuum Oct 24 2013 at 14:51

>>С полной версией отчета об исследовании можно ознакомиться на сайте Positive Technologies
«Запрашиваемая вами страница не найдена»

ptsecurity Oct 24 2013 at 15:07

Сейчас все будет, работы на сайте, ссылка правильная.