Защищенность Платежных Приложений

Защищенность платежных приложений

Дмитрий КузнецовDKuznetsov@PTSecurity.ru

“Позитивный” анализ защищенности

Как оцениваем:• “Классический” внешний пентест• “Классический” внутренний пентест• Анализ архитектуры и окружения• Анализ ключевых фрагментов исходного кода

Что оцениваем:• Наличие/отсутствие серьезных уязвимостей• Возможность несанкционированного проведения

платежных операций• Готовность реагировать на инциденты

Есть поводы для оптимизма

2010 I 2010 II 2010 III 2010 IV 2011 I 2011 II 2011 III 2011 IV0%

10%20%30%40%50%60%70%80%90%

100%

Высокий Средний Низкий

2010 I 2010 II 2010 III 2010 IV 2011 I 2011 II 2011 III 2011 IV0%

10%20%30%40%50%60%70%80%90%

SQL Injection Path TraversalOS Commanding Remote File Inclusion

Снижение доли критических уязвимостей

Финансовый сектор

Промышленность

Государственный сектор

Информационные технологии

Телекоммуникации

0% 10% 20% 30% 40% 50% 60% 70% 80% 90% 100%

2%

24%

9%

31%

22%

93%

64%

89%

65%

76%

5%

12%

2%

4%

2%

Высокий Средний Низкий

Банковский сектор заметно выигрывает у остальных отраслей

Что находим?

Уязвимости серьезные…• SQL Injection• Cross-Site Scripting• OS Commanding• Cross-Site Request Forgery

…и попроще• “Брутабельные” идентификаторы• “Брутабельные” пароли• “Брутабельная” CAPTCHA• Недостаточное использование OTP• Долгоживущие авторизационные маркеры

Организационные проблемы

Проблемы процесса разработки• Доработка в процессе эксплуатации• Отсутствие тестовых систем• Отсутствие модели угроз• “PA DSS? Нет, не слышал”

Неадекватная реакция на сообщения о недостатках• “Да я лучше вас знаю…”• Отсутствие реакции на ответственное раскрытие• Чрезмерная реакция на безответственное раскрытие

“Не вижу зла”

Необоснованное ограничение скопа• В поле зрения безопасников находятся только

платежные приложения• При этом в том же сегменте сети могут находиться

уязвимые информационные системы

“Мой периметр – моя крепость”• “Уязвимый сервис? Не проблема, он за файрволом”• Уязвимости рабочих мест: проблема, присущая всем• Реакция на инциденты – только постфактум

Корпоративные платежные системы

Игнорирование общепринятых стандартов• “Обмена с МПС нет, руководствоваться PA DSS и EMV

не обязательно”

Проблема единственного вендора

Непонимание вопросов безопасности разработчиками и эксплуатирующими подразделениями

• “Нет смысла шифровать трафик – GPRS/3G никто не перехватит”

• “Что плохого, если мы записываем закрытый ключ ЭП удаленно по нешифрованному каналу?”

• “Разве можно подменить данные прямо в СУБД?”

Повод для пессимизма

Объединение разнородных платежных сервисов в НПС создает крайне серьезную угрозу

“…должна обеспечиваться защита от несанкционированного доступа к защищаемой информации путем

использования уязвимостей программного обеспечения”

VS

Спасибо за внимание!Вопросы?

Дмитрий КузнецовDKuznetsov@PTSecurity.ru