17 Ноября, 2011

Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента

Андрей Комаров
Анализ защищенности систем ДБО в большой части касается исследования уровня безопасности конечного клиента при использовании ДБО. Механизмы, размещенные на стороне сервера, как правило, являются корректно написанными и прошедшими сертификацию PA-DSS. Динамика появления новых угроз в отношении клиентов Интернет-браузеров задает высокий темп повышения осведомленности банковских структур о таковых с целью оповещения своих клиентов о необходимом уровне информационной безопасности. Когда данная процедура не работает на практике, клиент сталкивается со множеством проблем.



В качестве такого примера следует выделить инцидент, связанный с рекомендацией пользователю использовать неактуальную версию JAVA JRE ( http://seclists.org/fulldisclosure/2011/Nov/27 ). Пользователи, чья версия данного компонента являлось иной (например, обновленной на последнюю), не могли попасть в систему ДБО:

"The version of Sun Java™ software currently installed on your computer does not meet the requirements to run CitiDirect® Online Banking".
Неактуальная версия данного расширения содержала много известных миру уязвимостей, позволяющих выполнить неавторизированный код на стороне клиента. Организационные и технические усилия (контроль версий расширений) банка в данном случае привели к обратному, снизив эффективность обеспечения ИБ.
или введите имя

CAPTCHA
Алексей
17 Ноября, 2011
Бугагашечка
Я об этом год назад говорил. Тогда проблема (такая же, с обновлением JRE) была, вроде, с iBank Да кто меня слушал... разработчикам не до этого...
0 |
18 Ноября, 2011
Верно замечено, данные процессы в реалиях выполняются параллельно.
0 |
пир
17 Ноября, 2011
автору неплохо бы матчать поизучать, прежде чем писать чушьну причем тут па-дсс тут а - серверная часть ДБО не попадает под па-дсс, и никогда не попадала - это эмиссия, а не эквайринг "эксперты" херовы, твою мать, понаплодились ... и что па-дсс дает-то, кроме формального сертификата - к безопасности он отношения мало имеет "механизмы сервера являются как правил корректно написанными" - падсталом а на практике дыра на дыре ну не шаришь никак в теме - ну так не пиши хоть чушь а
0 |
Алексей
18 Ноября, 2011
Зато под PCI DSS попадает... (хоть и не проверяется)
0 |
Пир
18 Ноября, 2011
Что при этом никак не влияет на их дырявость
0 |
18 Ноября, 2011
Данные умозаключения утверждают об абсурдности проведения PCI DSS / PA DSS, что в реальности отражает Ваше личное недоверие и непонимание к нормативной базе области. Такой же опыт и мнение имеют и сотрудники отдельных банков, говоря о том, что не надо делать ничего, нужно - делать все самим, а именно так, как они знают. Данное мнение изменяется после столкновения на практике с реальными инцидентами ИБ. Не делать или делать - не обозначает значит "хорошо", важно - обеспечивает ли это безопасность системы ДБО, включая ее клиентов, в целом. В приведенном примере было указано то, что имея все общепризнанные практики по обеспечению ИБ, банк рекомендует своим клиентам столкнуться с реальной угрозой ИБ на практике.
0 |
Алексей
18 Ноября, 2011
Вообще, в идеале - должно. PCI DSS подразумевает правило - использовать обновленное ПО без багов. Если есть критический патч безопасности, то фикс должен быть накатан в течение месяца.
0 |
18 Ноября, 2011
Вы абсолютно правы, именно, все эти процедуры прямо или косвенно повышают защищенность систем ДБО, в комплексе с другими мерами соответственно.
0 |
18 Ноября, 2011
абсолютно верно
0 |
18 Ноября, 2011
Добрый день! Немного конкретики и ответственности! Бизнес предприятия, разрабатывающие программное обеспечение, которое обрабатывает данные кредитных карт, например для банков, банкоматов и электронного бизнеса, также попадают под действие стандарта PA DSS. Программное обеспечение должно соответствовать стандарту PA DSS, даже если оно не хранит, а просто обрабатывает данные платежных карт. Соответствие программного решения стандарту PA DSS должно подтверждаться в любом случае, например, даже если оно уже одобрено банком-эквайером в другом контексте. В этом плане, среди платежных решений (Интернет-банкингов в том числе) можно выделить Wincor Nixdorf, который содержит в себе механизмы управления терминалами, а так же полноценную систему управления платежами через Интернет и эмиссию (прошло сертификацию PA-DSS). Подобная процедура не решает и не должна решить всех проблем ИБ в отношении защищенности приложения, но существенно повышает его защищенность по следующим причинам: - оно прошло аудит безопасности со стороны независимых экспертов; - уровень доверения ПО (оно авторизировано и прошло стороннюю проверку). В 80% всех инцидентов ДБО возникло на клиентской стороне, а не на серверной, и именно по причине параллельности выполняемых усилий в отношении обеспечения безопасности системы ДБО в целом и её конечного клиента.
0 |
Алексей
19 Ноября, 2011
Дело в том, что ДБО может НЕ проходить PA DSS, так как ПО обрабатывает карточки ТОЛЬКО своего-родного банка (эмиссия). Просто таv моного чего должно быть по PCI DSS, но нету: - паны в открытом виде в HTML. - отображение CVV2 для виртуальных карт - нет таймаута сессий - нет проверки на сильный пароль - уязвимости - не соответствие лучшим практикам ИБ при проектировании-программировании - слабая ролевая модель в СУБД - отсутствие контроля целостности - слабое журналирование - + много чего ещё... расcкажу на ZeroNights
0 |
19 Ноября, 2011
Это все понятно, обязательного требования для организаций, занимающихся эмиссией - нет, но "запускать" такого рода процессы для повышения безопасности они вполне могут. В посте нигде не были обозначены обязательства или какие-либо нормативные условия, речь шла о безопасности клиента ДБО. Более того требования PA-DSS не распространяются на приложения собственной разработки (где явно могут быть и будут уязвимости) и приложения, разработанные на заказ для одного единственного потребителя (аналогично).
0 |
Алексей
19 Ноября, 2011
Безопасность клиента ДБО, это как спасение утопающего На 90%. Я согласен с тем, что хорошо бы было, если бы разработчики ДБО относились к безопасности своего продукта, хотя бы как Microsoft/Adobe/... . Но они не могут, не та сфера... или как это модно говорить "такая специфика". Но, ИМХО, ещё пару лет, и будет лучше... когда начнут бить, когда будет фуллдисклоза побольше от анонимусов, когда это станет фактором "конкуренции" Когда банки замучаются от убытков клиентов (вообще то уже)... пять лет назад было НАМНОГО хуже. Так что всему свое время. Тем не менее не согласен с утверждением "Механизмы, размещенные на стороне сервера, __как правило__, являются __корректно написанными__ и __прошедшими сертификацию PA-DSS__".
0 |
треп
19 Ноября, 2011
"Тем не менее не согласен с утверждением "Механизмы, размещенные на стороне сервера, __как правило__, являются __корректно написанными__ и __прошедшими сертификацию PA-DSS__". " перефразируя - как уже было отмечено это утверждение полная чушь человека, вообще ничего не понимающего в данном вопросе слышал звон, да не знает о чем он
0 |
Алексей
20 Ноября, 2011
Ну это грубо 8( Просто может быть разное мнение и разный опыт у разных людей. Вполне себе верю, что где-то есть и качественное ПО, так же, и в том, что разработчики ДБО смогли получить PA-DSS. (скорее на западе) и уж точно, автор прав с клиентской частью и отсутствием ответственности у разработчиков.
0 |
20 Ноября, 2011
именно так, среди отечественного рынка - не видел ни один, из запада - выделил пример. на мой взгляд, такое делается больше из репутационных соображений, что возможно приносит свои плоды. Даже наша организация сталкивается с тем, что банки, внедряющие системы ДБО, обращаются за анализом их защищенности и аудитом их исходных кодов (!), что говорит о их озабоченности в отношении безопасности серверной стороны. Клиенту они такой услуги, кроме типового договора на обслуживание, отдельных рекомендаций по собственной безопасности при работе с ДБО, в отдельных случаях - подарка AV, дать не могут. В этом, как правильно, замечено, и заключается проблема.
0 |
20 Ноября, 2011
Друг мой, хватит - неправильно поступаете, да тем более анонимно, если Вы девушка и Вам есть чего стесняться - уточняйте заранее. Напишите статью, оспорьте дискуссию фактами, приведите свое мнение, согласно которому будет приведена статистика, что в 90% случаев были скомпрометированы серверные части Интернет-банкинов, процессинговых центров, а 10% - это клиентские инциденты. Вы такой статистики - не приведете. Вам ясно пояснили, что количество инцидентов с ДБО случается именно в отношении клиентов, это не мое личное суждение, а общеизвестный факт. Именно Вы ничего не понимаете в данном вопросе, и если таким анонимным "троллям" отвечать - можно здорово потратить свое время. Именно поэтому, был приведен факт того, что инцидентов на серверной части ДБО происходит меньше, чем с их клиентами, пост именно об этом. С Алексеем Синцовым соглашусь, Алексей, речь шла приоритетно о Западном рынке. Отечественный рынок пока мало, что знает о PA-DSS, по ясным причинам, и инцидентов в ДБО на отечественном рынке в серверной части практически не было, такая статистика имеется и подтверждена, грабят клиентов, хотя бы потому, что это проще и доступнее (!).
0 |