17 Ноября, 2011

Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента

Андрей Комаров
Анализ защищенности систем ДБО в большой части касается исследования уровня безопасности конечного клиента при использовании ДБО. Механизмы, размещенные на стороне сервера, как правило, являются корректно написанными и прошедшими сертификацию PA-DSS. Динамика появления новых угроз в отношении клиентов Интернет-браузеров задает высокий темп повышения осведомленности банковских структур о таковых с целью оповещения своих клиентов о необходимом уровне информационной безопасности. Когда данная процедура не работает на практике, клиент сталкивается со множеством проблем.



В качестве такого примера следует выделить инцидент, связанный с рекомендацией пользователю использовать неактуальную версию JAVA JRE ( http://seclists.org/fulldisclosure/2011/Nov/27 ). Пользователи, чья версия данного компонента являлось иной (например, обновленной на последнюю), не могли попасть в систему ДБО:

"The version of Sun Java™ software currently installed on your computer does not meet the requirements to run CitiDirect® Online Banking".
Неактуальная версия данного расширения содержала много известных миру уязвимостей, позволяющих выполнить неавторизированный код на стороне клиента. Организационные и технические усилия (контроль версий расширений) банка в данном случае привели к обратному, снизив эффективность обеспечения ИБ.
comments powered by Disqus