Защищенность Платежных Приложений
TRANSCRIPT
“Позитивный” анализ защищенности
Как оцениваем:• “Классический” внешний пентест• “Классический” внутренний пентест• Анализ архитектуры и окружения• Анализ ключевых фрагментов исходного кода
Что оцениваем:• Наличие/отсутствие серьезных уязвимостей• Возможность несанкционированного проведения
платежных операций• Готовность реагировать на инциденты
Есть поводы для оптимизма
2010 I 2010 II 2010 III 2010 IV 2011 I 2011 II 2011 III 2011 IV0%
10%20%30%40%50%60%70%80%90%
100%
Высокий Средний Низкий
2010 I 2010 II 2010 III 2010 IV 2011 I 2011 II 2011 III 2011 IV0%
10%20%30%40%50%60%70%80%90%
SQL Injection Path TraversalOS Commanding Remote File Inclusion
Снижение доли критических уязвимостей
Финансовый сектор
Промышленность
Государственный сектор
Информационные технологии
Телекоммуникации
0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%
2%
24%
9%
31%
22%
93%
64%
89%
65%
76%
5%
12%
2%
4%
2%
Высокий Средний Низкий
Банковский сектор заметно выигрывает у остальных отраслей
Что находим?
Уязвимости серьезные…• SQL Injection• Cross-Site Scripting• OS Commanding• Cross-Site Request Forgery
…и попроще• “Брутабельные” идентификаторы• “Брутабельные” пароли• “Брутабельная” CAPTCHA• Недостаточное использование OTP• Долгоживущие авторизационные маркеры
Организационные проблемы
Проблемы процесса разработки• Доработка в процессе эксплуатации• Отсутствие тестовых систем• Отсутствие модели угроз• “PA DSS? Нет, не слышал”
Неадекватная реакция на сообщения о недостатках• “Да я лучше вас знаю…”• Отсутствие реакции на ответственное раскрытие• Чрезмерная реакция на безответственное раскрытие
“Не вижу зла”
Необоснованное ограничение скопа• В поле зрения безопасников находятся только
платежные приложения• При этом в том же сегменте сети могут находиться
уязвимые информационные системы
“Мой периметр – моя крепость”• “Уязвимый сервис? Не проблема, он за файрволом”• Уязвимости рабочих мест: проблема, присущая всем• Реакция на инциденты – только постфактум
Корпоративные платежные системы
Игнорирование общепринятых стандартов• “Обмена с МПС нет, руководствоваться PA DSS и EMV
не обязательно”
Проблема единственного вендора
Непонимание вопросов безопасности разработчиками и эксплуатирующими подразделениями
• “Нет смысла шифровать трафик – GPRS/3G никто не перехватит”
• “Что плохого, если мы записываем закрытый ключ ЭП удаленно по нешифрованному каналу?”
• “Разве можно подменить данные прямо в СУБД?”
Повод для пессимизма
Объединение разнородных платежных сервисов в НПС создает крайне серьезную угрозу
“…должна обеспечиваться защита от несанкционированного доступа к защищаемой информации путем
использования уязвимостей программного обеспечения”
VS
