Статья опубликована в рамках: LXXI Международной научно-практической конференции «Научное сообщество студентов: МЕЖДИСЦИПЛИНАРНЫЕ ИССЛЕДОВАНИЯ» (Россия, г. Новосибирск, 17 июня 2019 г.)
Наука: Информационные технологии
Скачать книгу(-и): Сборник статей конференции
дипломов
ПРОБЛЕМЫ БЕЗОПАСНОСТИ ДИСТАНЦИОННОГО БАНКОВСКОГО ОБСЛУЖИВАНИЯ И МЕТОДЫ ИХ РЕШЕНИЯ
Современный мир невозможно представить себе без дистанционного банковского обслуживания (ДБО). С развитием интернета и информационных технологий стало возможным управлять своими деньгами, не выходя из дома. Банки, чтобы завлечь как можно больше людей, соревнуются, создавая всё более современные и совершенные системы ДБО. Но при этом мошенники тоже не спят и в ответ создают всё более совершенные способы забрать чужие деньги. Происходит постоянное движение: одни проблемы безопасности ДБО решаются, новые появляются. Количество угроз только растет и появляются новые виды атак, связанные с web-банкингом, вредоносным ПО для мобильных телефонов.
В данной работе я рассмотрю проблемы безопасности современных систем дистанционного банковского обслуживания в целом, рассмотрю методики тестирования системы на уязвимости, а также проанализирую одну из систем ДБО. Также я проанализирую возможные способы защиты от найденных уязвимостей и предложу решения для защиты от уязвимостей.
с ростом популярности систем ДБО для клиентов банков они стали популярны и для различных мошенников, использующих уязвимости в этих системах в своих целях.
Для этих целей применяются различные схемы атак. Сейчас, чтобы защититься от таких атак, банкам необходимо принимать комплекс мер, в котором для каждой уязвимости свое решение, при этом такие комплексы стоят недешево и не дают стопроцентную гарантию защиты. Поэтому не все банки могут себе позволить защиту от всех известных уязвимостей, и им приходится выбирать лишь часть уязвимостей, от которых нужна защита. Кроме того, защита должна реализовываться как на стороне банков, так и на стороне клиентов. И если на своей стороне банки еще в состоянии реализовать защиту, то на стороне клиентов они могут только посоветовать использование тех или иных механизмов безопасности.
Стандартный набор средств защиты – предупреждение на сайте о необходимости проверять наличие https-соединения, логин-парольная аутентификация и одноразовые пароли, пересылаемые по sms. При этом логин вводится с обычной клавиатуры, что делает его уязвимым для программ-кейлоггеров, пароль – с помощью экранной, хотя перехват позиций курсора также не составляет проблемы. Что же касается sms-уведомлений, здесь также есть возможность перехвата пароля.
Большое количество банков переходит на технологии двухфакторной аутентификации с хранением ключевой информации в не извлекаемом виде на eToken или в смарт-карте. Если рассмотреть статистику, можно увидеть, что 70% атак на клиентскую часть ДБО происходит при хранении ключей на незащищенных носителях [2].
С точки зрения возможностей защиты клиентские места ДБО можно разделить на два вида в зависимости от специфики их применения. Первый – это защита традиционного Клиент-банка, который обычно используется при работе с юридическими лицами. В этом случае необходимо устанавливать на рабочее место пользователя соответствующий пакет программного обеспечения [2].
Второй – это защита интернет-банка. В данном случае в качестве рабочего места пользователя выступает «тонкий» клиент, подразумевающий отсутствие какого-либо специализированного ПО на стороне клиента банка. Этот вариант используется прежде всего при работе с физическими лицами, но становится всё более популярным из-за отсутствия необходимости устанавливать дополнительные программные и аппаратные средства, а также своей мобильности [2].
Основные существующие уязвимости дистанционного банковского обслуживания, как они работают, к чему приводят и возможные методы защиты от них представлены в таблице 1.
Таблица 1.
Существующие уязвимости ДБО
|
Уязвимости |
Что это и как работает |
К чему может привести |
Возможные алгоритмы защиты |
|---|---|---|---|
|
Вредоносное ПО (трояны, клиенты бот-сетей и т.д.) |
Поддельные приложения, внешние вредоносные программы, которые находясь на устройстве, получают доступ к программе ДБО |
Хищение определенной информации клиента, выполнение несанкционированных операций |
Использование антивирусного ПО |
|
Фишинг |
Проведение массовых рассылок электронных писем. В письме содержится ссылка на поддельный сайт либо на сайт с редиректом. На сайте пользователю необходимо ввести логин/пароль. |
Получение мошенником логина и пароля клиента |
Встроенные в браузеры механизмы информирования пользователей об опасном сайте. Фильтры в почтовых системах. А также работа с пользователями, их информирование об опасностях. |
|
Использование атак типа Man-in-the-Middle для проведения подложных транзакций |
злоумышленник тайно ретранслирует и при необходимости изменяет связь между двумя сторонами, которые считают, что они непосредственно общаются друг с другом. Является методом компрометации канала связи, при котором взломщик, подключившись к каналу между контрагентами, осуществляет вмешательство в протокол передачи, удаляя или искажая информацию. |
Хищение личной информации клиента, проведение несанкционированных операций |
Не использовать публичные сети для работы с интернет-банком. Использовать плагины для браузера, такие как HTTPSEverywhere или ForceTLS, которые устанавливают защищенное соединение всякий раз, когда такая опция доступна. |
|
Уязвимости, известные в сфере безопасности веб-приложений |
Выполнение javascript-кода в различных местах приложения, логирование данных доступа (логина/пароля) |
Хищение личной информации клиента |
Использование протокола SSL, Многофакторная аутентификация при доступе, Аутентификация отдельных транзакций, SMS- аутентификация |
|
«атака подмены документа» |
злоумышленник с помощью вредоносного программного обеспечения подменяет реквизиты платежного поручения перед его отправкой банку. Причем для пользователя подмена реквизитов происходит совершенно незаметно, а потому он, ни о чем не подозревая, подписывает поддельный документ с помощью своей ЭЦП, вводит одноразовый пароль и отправляет поручение в банк. |
Хищение денежных средств клиента банка |
Методом противодействия таким атакам является использование средств визуализации подписываемых данных, которые сейчас активно внедряются разработчиками систем ДБО. Действенным средством борьбы с новым типом атак подтверждение через мобильный телефон. |
|
Android атаки (на мобильное приложение) |
Обычно это вирусы, трояны, которые могут получать доступ к другим приложениям, SMS-оповещениям, различной информации на устройстве. Это одна из самых распространенных атак, так как мобильные телефоны клиентов– наименее защищенная часть ДБО. |
социальная инженерия; переводы с карты на карту; переводы через онлайн-банкинг; перехват доступа к мобильному банкингу. |
1) анализ устройства пользователя (зараженные устройства, идентификация устройств); 2) мониторинг действий пользователя на уровне сессии (аномалии в работе пользователя: навигация, время, география); 3) поведенческий анализ пользователя в конкретном канале (какие действия совершаются в канале? каким образом (поведение)? |
Из таблицы 1 видно, что для большинства атак уже есть решение, и даже не одно. У банков есть выбор какие средства использовать для защиты, исходя из возможностей банка и сколько денег они могут на это потратить. Конечно, это примеры средств защиты, они также не дают гарантию зашиты от атак. В данной работе я рассмотриваю только уязвимости web-приложений, т.к. тестировать я буду систему Интернет-клиент.
Классификацией web-уязвимостей занимается компания OSWAP – международная некоммерческая организация, сосредоточенная на анализе и улучшении безопасности программного обеспечения. Эта компания создала список 10 самых опасных атак на web-приложения.
1. Cross-Site Request Forgery (Межсайтовая подделка запроса)
2. Information Leakage (Утечка информации)
3. Brute Force (Метод перебора)
4. SQL Injection (Внедрение SQL-кода)
5. OS Commanding (Внедрение команд ОС)
6. Path Traversal - имеют своей целью получение доступа к файлам и каталогам, которые расположены вне пределов, определенных конфигурацией (web root folder).
7. Insufficient Anti-Automation (Недостаточное противодействие автоматизации)
8. Cross-Site Scripting (Межсайтовый скриптинг)
9. Predictable Resource Location (Предсказуемое расположение ресурсов) -
10. Insufficient Transport Layer Protection [1].
Для проведения тестирования на проникновение существуют методики и рекомендации, в которых подробно расписано для чего нужно проводить тестирование, как и с помощью чего.
Мной была выбрана методология OWASP Testing Guide, т.к. она специально предназначена для веб-приложений и т.к. я рассматривала список самых опасных уязвимостей от компании OWASP.
В результате тестирования системы было выявлено несколько проблем.
1. Предсказуемость идентификаторов клиентов. В проверенной мной системе ДБО идентификатор клиента состоит только из цифр. Примеры идентификаторов: 1000001, 1000002.
2. Слабая парольная политика. В системе ДБО нет абсолютно никакой парольной политики. Удалось создать даже пароль «123»
6. One-time password (OTP). В данной системе есть возможность настроить подтверждение транзакций одноразовыми паролями, однако это дополнительная функция, не включенная по умолчанию. Кроме того, некоторые другие действия можно сделать без ввода одноразового пароля (отправить сообщение в техподдержку, изменить пароль, изменить или создать шаблон платежа, открыть новый счет).
7. Изменение шаблона платежа. В проверенной системе у злоумышленника есть возможность изменять данные шаблона, поэтому он без труда сможет заменить счет получателя, указав свой. Клиент может не заметить подмены и подтвердит выполнение транзакции.
Список литературы:
- Category:OWASP Top Ten Project [Электронный ресурс]. – Режим доступа: https://www.owasp.org/index.php/Category%3AOWASP_Top_Ten_Project, свободный;
- Защита ДБО: традиционные подходы [Электронный ресурс] – режим доступа: http://www.jetinfo.ru/stati/zaschita-dbo-traditsionnye-podkhody, свободный.
дипломов
Оставить комментарий