Digital Security предупреждает банки об опасности

25.04.2014

В связи с участившимися случаями появления критичных уязвимостей (в том числе, представляющих опасность для банковских систем и клиентов финансовых организаций) возникла необходимость в оперативном информировании о возникающих угрозах банковского сообщества. Компанией Digital Security, предоставляющей консалтинговые услуги в области ИБ, совместно с клубом «Антидроп», куда входит более 500 банков, было принято решение о выпуске своевременных оповещений в случае появления таких угроз с детальными рекомендациями по устранению или минимизации рисков.

Данная инициатива возникла в ответ на участившиеся случаи мошеннических действий в банковской сфере, а также на недавние инциденты, поставившие под угрозу конфиденциальные данные (включая информацию о банковских счетах) миллионов пользователей по всему миру. Речь идет, прежде всего, о критичной уязвимости защитного протокола OpenSSL, получившей имя Heartbleed – «кровоточащее сердце», и заключается в следующем: версии (1) TLS и (2) DTLS в протоколе OpenSSL 1.0.1 до версии 1.0.1g неправильно обрабатывают пакеты расширения Heartbeat Extension, что позволяет злоумышленникам удаленно завладевать ценной информацией из памяти процесса. Хакеры используют специально разработанные пакеты, приводящие к переполнению буфера чтения, о чем свидетельствует считывание частных ключей. Злоумышленники могут не только перехватывать данные SSL-соединения, но и напрямую атаковать VPN-системы, получив логины и пароли. Уязвимость Heartbleed является критически опасной угрозой и может иметь далеко идущие последствия, потенциально открывая хакерам доступ к конфиденциальным и бизнес-данным.

Также большую опасность представляет собой уязвимость в Apache Struts, Java-фреймворке с открытым исходным кодом. Она была найдена несколько месяцев назад Takeshi Terada из Mitsui Bussan Secure Directions, но активно используется до сих пор. Достаточно сказать, что Apache Struts применяется во многих платежных веб-приложениях, включая банк-клиенты. В частности, его используют Qiwi, Альфа-Банк.

Илья Медведовский, генеральный директор Digital Security:

Осознавая ответственность перед банковским сообществом, с которым мы работаем много лет в тесном сотрудничестве в сфере ИБ, мы приняли решение начать программу оперативного информирования специалистов в случае появления критичных для банков угроз. Быстрое реагирование на появление критичных уязвимостей и их устранение позволит минимизировать риски и вывести уровень оперативной готовности российских финансовых организаций на более высокую ступень.

Александр Виноградов, начальник управления ИБ ЗАО КБ «Златкомбанк»:

18 апреля 2014 года на сайте Центрального банка Российской Федерации (Банк России) была вывешена информация «О мерах по минимизации риска, связанного с наличием уязвимости в программном обеспечении “OpenSSL”», в которой Банк России просит кредитные организации выполнить необходимые меры по минимизации риска, связанного с наличием указанной уязвимости. С полным текстом можно ознакомиться по ссылке.