Исследовательский центр Digital Security Research Group который год проводит регулярные ежегодные исследования безопасности отечественных систем ДБО. Это связано с повышенной критичностью ПО данного класса, интересом к этому вопросу со стороны злоумышленников, а также с тем, что отсутствует какая-либо информация о безопасности таких продуктов. В этом году в ежегодном исследовании мы уделили внимание не только безопасности кода плагинов браузера, но и архитектуре системы, а также веб-интерфейсам и прикладному ПО. Кроме того, исследователями было обращено внимание на процессы распространения исправлений для банков от разработчиков, что также представляет серьезную угрозу. Результаты данного исследования были представлены на
международной конференции ZeroNights 2011в ноябре в Санкт-Петербурге.
«К сожалению, некоторые разработчики очень своеобразно относятся к процессу распространения обновлений. Например, до сих пор есть банки с уязвимым ПО, при этом разработчик знает об этом более года, а вот банк - нет. Мы понимаем трудность распространения исправлений в такой сложной среде, но и молчать тоже нельзя. Мы в рамках исследовательской деятельности сообщаем производителю о проблеме, но производитель ничего не делает, считая, что лучше промолчать, чем принять для себя этот репутационный риск. Кроме этого, год назад мы говорили разработчикам о необходимости пересмотреть свой подход к разработке банковского ПО, но, к сожалению, по прежнему находим простейшие ошибки с помощью фаззеров, способные, например, полностью вывести из строя систему ДБО из сети Интернет. В этом году мы также уделили внимание веб и
архитектуре. Так, например, мы показали, как используя лишь одну уязвимость класса XSS на веб-сервере, можно обмануть пользователя ДБО с токеном и отправить мошенническое платежное поручение. Или другой пример - как используя SQL инъекцию, вообще обойти проверку ЭЦП» - прокомментировал результат исследования руководитель департамента аудита ИБ Алексей Синцов.
- Стоимость медиауслуг (открыть PDF) -
.png)