Отчет DSecRG о безопасности банк-клиентов

Отчет DSecRG о безопасности банк-клиентов
Прочитал отчет , подготовленный исследовательской группой компании Digital Security, по теме безопасности систем ДБО.  На мой взгляд конечно фабула для этого отчета (цитирую) "Эффект дежавю: безопасность банк-клиентов находится на уровне 90-х годов", слишком уж сильная. В 90-х дистанционного банкинга вообще не было :)  (поправьте меня если я ошибаюсь).

К основным проблемам исследователи DSecRG отнесли:

  • Межсайтовые запросы (CSRF)
  • Межсайтовый скриптинг (XSS)
  • SQL-Injection
  • Переполнение буфера
  • Ошибки авторизации
  • Архитектурные проблемы

В общем-то этот список перекликается со списком OWASP Top 10 (можно посмотреть тут ), поэтому я все же склонен считать что ситуация с нашими системами ДБО соответствует общемировым тенденциям в безопасности веб-приложений. Но это не значит, что я считаю, что это нормально. Банковские системы безусловно должны показывать более высокие уровни защиты, т.к. для любого банка (на мой взгляд) безопасность и надежность должны быть основными приоритетами при работе с клиентами.

Немного критики авторам отчета. Я не очень понял на какую аудиторию он рассчитан. Если на бизнес-аудиторию, т.е. на представителей руководства банков, то он изобилует большим количеством технических терминов и будет для них полностью непонятен. В такой ситуации надо было бы писать проще, приводить живые примеры возможных атак и пр.  Если этот отчет рассчитан на аудиторию специалистов по информационной безопасности или разработчиков, то тогда в нем слишком мало информации. Хотелось бы, чтобы результаты исследований были расписаны более подробно. С примерами уязвимых кодов приложений, эксплоитов и т.п. Предлагаю авторам подготовить детальную статью и опубликовать ее в каком-нибудь отечественном журнале по информационной безопасности, или в том же (IN)SECURE .
Alt text

Александр Бондаренко

Блог Александра Бондаренко