Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента
Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента
Анализ защищенности систем ДБО в большой части касается исследования уровня безопасности конечного клиента при использовании ДБО. Механизмы, размещенные на стороне сервера, как правило, являются корректно написанными и прошедшими сертификацию PA-DSS. Динамика появления новых угроз в отношении клиентов Интернет-браузеров задает высокий темп повышения осведомленности банковских структур о таковых с целью оповещения своих клиентов о необходимом уровне информационной безопасности. Когда данная процедура не работает на практике, клиент сталкивается со множеством проблем.
В качестве такого примера следует выделить инцидент, связанный с рекомендацией пользователю использовать неактуальную версию JAVA JRE (). Пользователи, чья версия данного компонента являлось иной (например, обновленной на последнюю), не могли попасть в систему ДБО:
"The version of Sun Java™ software currently installed on your computer does not meet the requirements to run CitiDirect® Online Banking".
Неактуальная версия данного расширения содержала много известных миру уязвимостей, позволяющих выполнить неавторизированный код на стороне клиента. Организационные и технические усилия (контроль версий расширений) банка в данном случае привели к обратному, снизив эффективность обеспечения ИБ.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.
