Компания Positive Technologies представила результаты аналитического исследования уязвимостей систем ДБО за 2011 и 2012 годы. Работы проводились в рамках оказания услуг по анализу защищенности ряду крупнейших российских банков. Более 70% всех протестированных решений относятся к системам ДБО, обслуживающим физические лица.
Как следует из отчета, злоумышленник может получить доступ к ключевым компонентам (ОС или СУБД сервера) каждой третьей системы ДБО. В ряде случаев возможен захват полного контроля над системой, что позволяет проводить в ней любые денежные операции, осуществлять атаки на смежные комплексы во внутренней сети банка (АБС) или вызвать отказ в обслуживании. 37% систем ДБО позволяют получить доступ к личным кабинетам отдельных клиентов и выполнять несанкционированные операции с их счетами.
Уязвимости высокой степени риска были выявлены в каждой второй системе ДБО. Но даже отсутствие критических недостатков безопасности вовсе не означает, что финансовые средства банка и его клиентов надежно защищены. Для несанкционированного проведения транзакций на уровне пользователя системы ДБО нарушителю достаточно использовать несколько отдельных уязвимостей средней степени риска (а такие недостатки защиты были обнаружены во всех рассмотренных системах).
Общая проблема рассмотренных в отчете систем ДБО заключается в непроработанном механизме аутентификации, в том числе в слабой парольной политике и недостаточной защите от подбора учетных данных (Brute Force). Подобным уязвимостям оказались подвержены 82% систем. Каждая из более чем 60% исследованных систем ДБО содержала как минимум один из недостатков механизма идентификации пользователей — предсказуемый формат идентификаторов или раскрытие информации о существующих в системе идентификаторах. Кроме того, более 80% систем содержали различные недоработки в исполнении механизма авторизации, причем в трех системах двухфакторная авторизация при проведении транзакции отсутствовала вовсе. По отдельности указанные недостатки, как правило, не несут серьезных рисков для системы, но их сочетание может быть использовано злоумышленником для получения доступа в личные кабинеты пользователей путем подбора идентификаторов, паролей и для последующего проведения транзакций.
Оценивая уязвимости систем ДБО различных производителей, эксперты Positive Technologies обнаружили, что наибольшее число критических ошибок содержится в продуктах известных вендоров. Системы, поставляемые профессиональными разработчиками, в среднем содержат почти в 4 раза больше уязвимостей на уровне кода приложения, чем продукты собственной разработки. Более того, критические уязвимости такого рода были обнаружены лишь в системах от вендоров. Сложная архитектура, кроссплатформенность и большое количество функций подобных систем не всегда позволяют вендору обеспечить должный уровень защищенности.
Исследователи Positive Technologies подчеркнули, что недостаточно проводить анализ защищенности системы ДБО только перед вводом ее в эксплуатацию. Необходимо также регулярное тестирование безопасности в процессе эксплуатации. Во внедренных системах было выявлено примерно в полтора раза больше уязвимостей всех уровней риска по сравнению с аналогами, находящимися на стадии приемки работ и ввода в эксплуатацию. Проблемы в действующих системах ДБО были вызваны некорректной конфигурацией, неправильной реализацией механизмов защиты и ошибками на уровне кода приложения.
«Анализируя результаты проведенной за последние годы работы, можно отметить две тенденции. Во-первых, банки сегодня ясно осознают реальность хакерских атак на системы ДБО и принимают соответствующие меры. Обычной практикой стало проведение оценки защищенности таких систем, по меньшей мере перед вводом их в эксплуатацию. При этом для систем, самостоятельно разрабатываемых банками, все более востребованным становится анализ исходных кодов. Во-вторых, изменился характер уязвимостей, которыми могут воспользоваться нарушители. Разработчики более или менее научились не допускать уязвимостей, позволяющих получать непосредственный контроль над серверами систем ДБО, но по-прежнему допускают ошибки в реализации отдельных механизмов защиты. На сегодняшний день наиболее вероятный сценарий успешной атаки на серверную часть системы ДБО — получение доступа к учетным записям отдельных клиентов с использованием недостатков в механизмах идентификации и аутентификации, управления сессиями, словарных паролей и т. п. Создается впечатление, что разработчики опасаются чересчур усложнить пользовательский интерфейс, но в результате облегчают жизнь не только клиентам, но и преступникам», — прокомментировал заместитель технического директора Positive Technologies Дмитрий Кузнецов.