Digital Security Research Group: Ежегодное исследование безопасности систем ДБО

08.12.2011

Исследовательский центр Digital Security Research Group который год проводит регулярные ежегодные исследования безопасности отечественных систем ДБО. Это связано с повышенной критичностью ПО данного класса, интересом к этому вопросу со стороны злоумышленников, а также с тем, что отсутствует какая-либо информация о безопасности таких продуктов. В этом году в ежегодном исследовании мы уделили внимание не только безопасности кода плагинов браузера, но и архитектуре системы, а также веб - интерфейсам и прикладному ПО. Кроме того, исследователями было обращено внимание на процессы распространения исправлений для банков от разработчиков, что также представляет серьезную угрозу. Результаты данного исследования были представлены на международной конференции ZeroNights 2011 в ноябре в Санкт-Петербурге. Результат исследований показал, что уровень защищенности web-приложений систем ДБО находится на крайне низком уровне. За два последних года этот уровень несколько поднялся, однако в массе проблемы все те же.

В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг). Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP TOP 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. Такая атака возможна без заражения рабочей станции клиента банка. Продолжая тему токенов, было установлено, что большинство ПО банка работает с данными устройствами, используя web технологии, что также дает злоумышленнику рычаги давления. Например, злоумышленник может скрытно перебирать PIN код от токена с любого сайта или даже незаметно устанавливать ЭЦП. Кроме того, были обнаружены ошибки архитектуры, которые позволяют обходить проверку ЭЦП при приеме платежного поручения, например, в случае воздействия уязвимости типа SQL-инъекции. Так злоумышленник может изменить статус платежного поручения с помощью SQL-инъекции, без установки ЭЦП, после чего такая платежка попадет в АБС, где уже нет такого понятия как ЭЦП, и поэтому будет исполнена (в том случае, если другие параметры платежного поручения не вызовут подозрения у операциониста банка). Кроме большого количества ошибок в web приложениях, по прежнему также актуальны проблемы с плагинами ActiveX на клиентах.

В ходе конференции ZeroNights были продемонстрированы эксплойты и 0-day уязвимости в пользовательских плагинах систем ДБО. Такие уязвимости опасны тем, что позволяют реализовывать целевые атаки на пользователей системы, компрометируя их рабочие станции.

Алексей Синцов, руководитель департамента аудита ИБ Digital Security"Несмотря на то, что мы пытались обратить внимание на проблемы систем ДБО ещё два года назад - заметного улучшения качества кода не произошло. Так, например, год назад в продукте была найдена одна уязвимость, о чем было сообщено разработчику. Разработчик выпустил обновление, но остальной код не стал проверять на наличие аналогичных проблем. Логично, что через год похожая проблема была найдена опять, в другом участке кода той же программы. Кроме того, практически во всех приложениях, как web, так и ActiveX, не применяются известные и популярные защитные механизмы. И за два года ситуация не поменялась. Например, мы не встречали систем ДБО, которые использовали бы флаги для защиты cookie и, тем более, защиту от атак класса сlickjacking. Более того, как показало исследование, существуют большие проблемы с распространением исправлений уже давно найденных уязвимостей. Так, например, до сих пор мы видим применяемые многими решения с устаревшей клиентской частью ActiveX с уязвимостями, о которых было сообщено разработчику более года назад. Более того, такая же ситуация и с web уязвимостями (в серверной части), когда после выявления уязвимостей разработчик выпускает обновления и внедряет их в рамках одного конкретного внедрения ДБО. При этом спустя полтора года мы видим другое внедрение этого же разработчика с аналогичными уязвимостями за счет использования общего ядра системы (при этом также много других не менее опасных уникальных уязвимостей, связанных со спецификой конкретного решения). То есть то, что мы видим сегодня на практике – большинство разработчиков систем ДБО банально скрывают проблемы ИБ в своих продуктах от банков и даже не пытаются задумываться об их безопасности».

В презентации приведены основные результаты наших исследований в отечественных системах ДБО.