Типовые проблемы безопасности банковских систем
DESCRIPTION
TRANSCRIPT
Типовые проблемы безопасности банковских систем
Дмитрий Евтеев,
руководитель отдела анализа защищенности, Positive Technologies
Отказ в обслуживании (АБС, ...)
НСД к СУБД АБС, в т.ч. процессинга
Атака на клиентов (подмена содержимого, фишинг, ...)
Физика и «около физика» (ATM, ...)
Невыполнение требований регуляторов
Угрозы безопасности в банковском секторе
Типовая банковская информационная система
Атаки на клиентов Банка
Атаки на клиентов: банальный фишинг
Как?
• Неподготовленный пользователь «втыкает во все и вся»
• Путешествует по интернету используя уязвимый браузер с уязвимыми плагинами
Результат?
• Фарминг
• Win32/Trojan.Downloader.Carberp, Win32/Spy.Shiz…
Массовые атаки на клиентов Банка: заражение вредоносным кодом
Массовые атаки на клиентов Банка: заражение вредоносным кодом
Каждому по ботнету
msf, immunity canvas (VulnDisco SA, …)… - browser autopwn
Ad’pacK, CRiMEPAC, Dark Dimension, Ei Fiesta, Eleonore,
FirePack, Fragus, Golod (Go-load), Hybrid Botnet system,
IcePack, Impassioned Framework, justexploit, Liberty, Limbo,
LuckySploit, Lupit, Mariposa, MPack, MyPolySploits, n404,
NEON, NeoSploit NeoSploit, Nukesploit P4ck, Phoenix, Siberia,
Sniper_SA, SpyEye, Strike, T-IFRAMER, Tornado, Unique Pack,
WebAttacker, YES Exploit system, ZeuS, Zombie Infection…
Как?
• Многие системы дистанционного банковского обслуживания (далее – ДБО) используют ActiveX
• Установленные компоненты ActiveX на компьютер пользователя в свою очередь могут содержать уязвимости
Результат?
• Целевые атаки на компьютерыпользователей клиентов Банка
• Комплексные атаки на системы ДБО
Целевые атаки на клиентов Банка
http://www.surfpatrol.ru/
А насколько безопасен Ваш серфинг?
Целевые атаки на внешние банковские системы
Многочисленные веб-сервисы, в первую очередь, для обслуживания физических и юридических лиц
• Интернет банк, мобильный банк…
Сервисы инфраструктуры
• DNS, SMTP, OWA…
Удаленный доступ к сети (обычно для «повелителей сети»)
Что расположено на периметре банковской информационной системы
http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf
Наиболее распространенные системы ДБО для Российского рынка (физики)
http://www.cnews.ru/downloads/CNews_DBO_Report_2012.pdf
Наиболее распространенные системы ДБО для Российского рынка (юрики)
Типовые проблемы безопасности ДБО
Разграничение прав доступа
Как монетизировать сценарий атаки на ДБО
1. Поиск уязвимостей- Проверка слабостей парольной политики- Проверка слабостей механизмов защиты от перебора- Поиск путей сбора действующих идентификаторов
2. Реализация сценария атаки- Перебор "действующих" идентификаторов с одним паролем
3. Монетизация сценария атаки- Обход OTP и осуществление транзакции- Изменение платежного поручения- ...
Как монетизировать сценарий атаки на ДБО. Часть 2
1. Поиск уязвимостей- Верификация уязвимости CVE-NO-NAME(возможность доступа к файловой системе)
2. Реализация сценария атаки- Поиск файлов системы протоколирования- Доступ к файлам конфигурации ДБО- ...
3. Монетизация сценария атакиJ
Как монетизировать сценарий атаки на ДБО в картинках
Внедрение внешних XML-сущностей (XXE)
— уязвимость может привести к разглашению важных данных, получению злоумышленником исходных кодов приложения, файлов конфигурации и т. п. Так же данная уязвимость позволяет злоумышленнику выполнять SMB- и HTTP-запросы в пределах сети атакуемого сервера.
https://www.owasp.org/index.php/Testing_for_XML_Injection_(OWASP-DV-008)
Типовые уязвимости прикладных банковских систем на примере PHDays I-Bank
Система разрабатывалась специально для конкурса, проводимого на PHDays 2012
PHDays I-Bank содержит типовые уязвимости, которые мы находили в реальных системах ДБО См. Статистика веб-уязвимостей за 2010-2011 годы (раздел 5.8): http://www.ptsecurity.ru/download/статистика RU.pdf
Типовые уязвимости систем ДБО http://www.slideshare.net/phdays/ss-14005562
PHDays I-Bank НЕ ЯВЛЯЕТСЯ системой ДБО, которая действительно работает в каком-либо из существующих банков.
Другие цели для осуществления атаки…
Вспомогательные приложения (helpdesk и пр.)
История одного банка…
http://devteev.blogspot.com/2011/09/4.html
За (?!) периметром сети
Атаки на ATM
Атаки на ATM: jailbreak
WinXP SP2/SP3, драйвера и ППО
* изредка встречаются
Embedded/POSReady-варианты и
совсем редко Windows NT, OS/2,
Linux.
Рендер – IE, Chrome, возможны
самописные.
Атаки на ATM: насколько сложно получить удаленный доступ к банкомату
Как монетизировать сценарий атаки на ATM
1. Поиск целей- Сетевое сканирование, направленное на обнаружение банкоматов
2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей, использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки- Прослушивание трафика/извлечение из служебных журналов PAN- Перебор exp.date и CVV2/CVC2 для CNP J
Атаки на ATM: скимминг/шимминг…
Скимминг
Шимминг
Тонкая гибкая плата вставляется через щель картридера и считывает данные введенных карт. Высокотехнологичное устройство, толщина которого не должна превышать 0,1 мм (исходя из размеров карт и слота картридера). Фактов обнаружения в России нет. http://www.securitylab.ru/news/395811.php
Траппинг (ливанская петля)
мошеннический захват карты (Факт – 2009 год, Омск) Накладка изымается вместе с картой.
Фальшивый банкомат
Не всегда и не везде есть возможность крепления банкомата к полу анкерными болтами – проходимость (клиентопоток) для банка важнее безопасности. Незакрепленные банкомат относительно легко увезти. Закрепленные банкоматы – дополнительная опора при вскрытии на месте. Как? Смотрим тут
Вскрытие некоторых сейфов – «высверлить дырку в боковой стенке напротив ригеля и стукнуть кувалдой по пруту (при этом замок срежет болты)». Ригель и корпус замка – силуминовые.
Атаки на ATM: физический взлом
Число случаев мошенничества с банкоматами выросло в 9 раз!
Атаки на ATM: реальная защита криптоключей
PIN entry device (PED)
• Шифрование DES, 3DES, RSA
• PIN-блок формируется в клавиатуре, расшифровывается на хосте в банке – в открытом виде PIN не «ходит»
• Ключи хранятся ТОЛЬКО в EPP (и должны вводиться непосредственно с PED…)
Как монетизировать сценарий атаки на ATM. Часть 2
1. Поиск целей- Сетевое сканирование, направленное на обнаружение банкоматов
2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей, использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки- Дождаться момента некорректной смены ключей шифрования- Появляется возможность подмены трафика!- Выяснение месторасположения банкомата (например, через служебные сообщения); налик J
Атаки на ATM: мошенничество с подменой достоинства выдаваемых/принимаемых купюр
Выдаваемые банкноты не валидируются (т.е. можно выдавать фантики)
При приеме распознавание осуществляется валидатором (4 машиночитаемых признака), шаблоны валют хранятся во флеш-памяти устройства
Соответствие шаблона и номинала валют хранится либо в реестре, либо в файлах (обычно .ini)
Диспенсер
Как монетизировать сценарий атаки на ATM. Часть 3
1. Поиск целей- Сетевое сканирование, направленное на обнаружение банкоматов
2. Реализация сценария атаки- Осуществление НСД к банкоматам (подбор паролей, использование известных уязвимостей ОС и т.п.)
3. Монетизация сценария атаки- Выяснение месторасположения банкомата (например, через служебные сообщения)- Смена идентификаторов номиналов- Снятие/внесение 100 рублей; profit!
инсайдерские действия сотрудников…
Наш ответ хакерам злоумышленникам
Комплексный аудит СУИБ