Positive Technologies: две трети систем ДБО можно взломать

Компания Positive Technologies представила результаты аналитического исследования* уязвимостей систем ДБО (дистанционного банковского обслуживания) за 2011 и 2012 гг.

Как следует из отчета, злоумышленник может получить доступ к ключевым компонентам (ОС или СУБД сервера) каждой третьей системы ДБО. В ряде случаев возможен захват полного контроля над системой, что позволяет проводить в ней любые денежные операции, осуществлять атаки на смежные комплексы во внутренней сети банка (АБС) или вызвать отказ в обслуживании. 37% систем ДБО позволяют получить доступ к личным кабинетам отдельных клиентов и выполнять несанкционированные операции с их счетами.

Уязвимости высокой степени риска были выявлены в каждой второй системе ДБО. Но даже отсутствие критических недостатков безопасности вовсе не означает, что финансовые средства банка и его клиентов надежно защищены. Для несанкционированного проведения транзакций на уровне пользователя системы ДБО нарушителю достаточно использовать несколько отдельных уязвимостей средней степени риска (а такие недостатки защиты были обнаружены во всех рассмотренных системах).

Общая проблема рассмотренных систем ДБО заключается в непроработанном механизме аутентификации, в том числе в слабой парольной политике и недостаточной защите от подбора учетных данных (Brute Force). Подобным уязвимостям оказались подвержены 82% систем. Каждая из более чем 60% исследованных систем ДБО содержала как минимум один из недостатков механизма идентификации пользователей — предсказуемый формат идентификаторов или раскрытие информации о существующих в системе идентификаторах. Кроме того, более 80% систем содержали различные недоработки в исполнении механизма авторизации, причем в трех системах двухфакторная авторизация при проведении транзакции отсутствовала вовсе. По отдельности указанные недостатки, как правило, не несут серьезных рисков для системы, но их сочетание может быть использовано злоумышленником для получения доступа в личные кабинеты пользователей путем подбора идентификаторов, паролей и для последующего проведения транзакций.

Оценивая уязвимости систем ДБО различных производителей, эксперты Positive Technologies обнаружили, что наибольшее число критических ошибок содержится в продуктах известных вендоров. Системы, поставляемые профессиональными разработчиками, в среднем содержат почти в 4 раза больше уязвимостей на уровне кода приложения, чем продукты собственной разработки. Более того, критические уязвимости такого рода были обнаружены лишь в системах от вендоров. Сложная архитектура, кроссплатформенность и большое количество функций подобных систем не всегда позволяют вендору обеспечить должный уровень защищенности.

Исследователи Positive Technologies подчеркивают, что недостаточно проводить анализ защищенности системы ДБО только перед вводом ее в эксплуатацию. Необходимо также регулярное тестирование безопасности в процессе эксплуатации. Во внедренных системах было выявлено примерно в полтора раза больше уязвимостей всех уровней риска по сравнению с аналогами, находящимися на стадии приемки работ и ввода в эксплуатацию. Проблемы в действующих системах ДБО были вызваны некорректной конфигурацией, неправильной реализацией механизмов защиты и ошибками на уровне кода приложения.

* Работы проводились в рамках оказания услуг по анализу защищенности ряду крупнейших российских банков. Более 70% всех протестированных решений относятся к системам ДБО, обслуживающим физические лица.