Это интересно

Эксперты вскрыли многочисленные бреши в информационной безопасности российских банков

Digital Security Research Group исследовала российские системы дистанционного банковского обслуживания в России и выяснила, что у них крайне низкая степень защищенности, а большинство уязвимостей характерны для систем 90-х гг. Часть банкиров, опрошенных CNews, согласилась с выводами аналитиков.

По данным исследования, проведенного центром Digital Security Research Group (DSecRG) в 2009-2011 гг., банк-клиенты, представленные на российском рынке, содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы (см. полный текст исследования)

При разработке банковского ПО не используются современные технологии, при этом процессы разработки безопасного кода и архитектуры отсутствуют, отмечают аналитики. По их данным, число уязвимостей достаточно высоко и стабильно сохраняется на протяжении трех лет по всему рынку. При этом некоторые из них настолько просты и легко эксплуатируемы, что угроза очень высока. Так, например, одна система отдавала полный номер банковской карты (PAN) при неудачной попытке аутентификации по существующему логину.

Специалисты Digital Security Research Group пришли к выводу о том, что на сегодняшний день уровень зрелости современных отечественных систем ДБО с точки зрения ИБ отстает от аналогичных продуктов западного производства. «Хотя можно найти и сходства: чем менее популярно ПО на открытом рынке и более узко специализировано, тем меньше разработчики уделяют внимание ИБ, вне зависимости от критичности продукта», — заключили в DSecRG.

Подробнее...

Источник: http://www.cnews.ru/news/top/index.shtml?2012/01/31/475300

Банки богатые - пусть платят!

Лукацкий Алексей
Менеджер по развитию бизнеса - Cisco Systems
 
Именно это известное высказывание бывшего первого зама 8-го Центра ФСБ напомнило мне норму нового финансового законодательства.

"11. В случае утраты электронного средства платежа и (или) его использования без согласия клиента клиент обязан направить соответствующее уведомление оператору по переводу денежных средств в предусмотренной договором форме незамедлительно после обнаружения факта утраты электронного средства платежа и (или) его использования без согласия клиента, но не позднее дня, следующего за днем получения от оператора по переводу денежных средств уведомления о совершенной операции
12. После получения оператором по переводу денежных средств уведомления клиента в соответствии с частью 11 настоящей статьи оператор по переводу денежных средств обязан возместить клиенту сумму операции, совершенной без согласия клиента после получения указанного уведомления".

Что гласит данная норма ст.9 ФЗ "О национальной платежной системе" (вступает в силу через 18 месяцев после вступления в силу ФЗ)? А гласит она всего-навсего, что в случае любой хакерской атаки и незаконного снятия средств со счетов клиентов, банк будет обязан вернуть украденные деньги.

Приостановить мошеннический платеж (при условии, что его своевременно выявили) банк не имеет права по банковским правилам - это может сделать только клиент. По закону об НПС банк обязан перевести средства незамедлительно. Т.к. снятие средств со счетов обычно проводится в очень сжатые сроки и с момента перевода до момента обналичивания может пройти всего 3-4 часа, то большинство клиентов не в состоянии своевременно дать указание банку о незаконном списании средств со счета. Нередко деньги списываются за 20-30 минут до рейса и банк уже не в состоянии их своевременно вернуть.

Что у нас получается в этом случае? Банк всегда в проигрыше! Остановить мошенничество он не имеет права, а по закону деньги необходимо вернуть проштрафифшемуся клиенту.

Немного спасает ситуацию ч.13 ст.7 закона об НПС. Согласно ей банк обязан незамедлительно после перевода средств уведомить клиента об исполнении распоряжения на перевод. Об этом же говорит и ч.4 ст.9. Если клиент не сообщит в однодневный срок о том, что распоряжение незаконное, то дальше вступают в силу уже условия договора между клиентом и банком, а не требования закона. Однако по ФЗ банк "обязан обеспечить возможность направления ему клиентом уведомления об утрате электронного средства платежа и (или) о его использовании без согласия клиента". Кто его знает, что имел ввиду законодатель. Могу предположить, что речь идет о опубликовании контактов для связи и обеспечение бесперебойной работы этих контактов. В любом случае, банку остается надеяться на то, что он уведомил клиента, который забыл сообщить о незаконном списании средств. Только в этом случае банк освобождается от необходимости возмещения украденных денег.

Правда с уведомлением возникает еще один нюанс, о котором законодатель не думал. Каким образом банк будет оповещать? SMS? E-mail? Телефонный звонок? Но у нас далеко не у всех граждан (особенно в регионах) есть такие средства коммуникаций. Почта? Но тогда ни о какой оперативности уведомления и речи не идет - клиент не в состоянии будет в течение дня уведомить банк о незаконности списания. И опять же кто будет платить за эти уведомления? Сейчас SMS-информирование у многих банков - услуга платная. По закону об НПС уведомление становится обязанностью, а не правом, и банк не имеет право взимать за него деньги. Т.е. затраты опять ложатся на банк. Готов ли банк их принять безоговорочно или он захочет разделить траты с клиентом, а то и полностью переложить их на него? Ставки по кредитам, а также по ДБО могут возрасти...

ЗЫ. Кстати, в ч.4 ст.9 прописан срок хранения информации по электронным платежам - эту норму можно использовать и в контексте сроков хранения ПДн.

ЗЗЫ. Банк в соответствии с ч.3 ст.9 теперь обязан до заключение договора "информировать клиента об условиях использования электронного средства платежа, в частности о любых ограничениях способов и мест использования, случаях повышенного риска использования электронного средства платежа". Т.е. теперь это уже не просто пожелание - сообщать клиенту о рисках и требованиях по ИБ, но и обязанность банка.

Источник: http://www.dlp-expert.ru/blog/660/1012

Опубликован продвинутый код для кражи банковских данных

Хакер опубликовал код для мощной атаки межсайтового скриптинга, которая, как заявляется, идет дальше обычного похищения куки или реализации фишинга для кражи личной информации пользователей.

Уязвимости межсайтового скриптинга (XSS) позволяет хакерам контролировать содержание уязвимого, но все еще доверенного сайта, передавая критическую информацию киберпреступникам. Помимо создания средств для всплывающих окон, которые ведут на контролируемые хакерами сайты, XSS так же может привести к краже куки.

Никлас Фемерстранд – хакер, который в октябре 2011 обнаружил, что механизм отладки сайта American Express был уязвим к такого рода уязвимости. Он разработал так называемый "XSS на стероидах"-скрипт, исследовав похожую уязвимость на сайте одного из шведских банков.

"Существуют общепринятые мифы о XSS, в которых он может быть использован для фишинга и сбора куки", - сказал он. "Мой код разрушает эти мифы и преобразует непостоянный XSS в нечто устойчивое".

"Я создал такой код, который определяет свое собственное наличие и локально инфицирует полезной нагрузкой все ссылки веб-сайта для посетителя. В этом случае непостоянный XSS становится постоянным для него. Он также следит за поведением пользователя и отправляет интересную информацию хакеру (логины, пароли, информацию о кредитной карте)", - добавил он.

Фемерстранд опубликовал свой код на этом сайте на прошлой неделе.

"Изначально код был написал как доказательство того, насколько легко ограбить банк в настоящее время", - написал он. "Я вижу, что банки насмехаются над людьми. Банки недостаточно серьезно относятся к вопросам безопасности. Но когда человек видит надпись стандарт PCI DSS, он думает, что банк хорошо выполняет свою работу, но по сути, все, что делают подобные стандарты – выдают логотип "подтверждено нами же" и проверяют 4-ех значные ли PIN коды".

Подробнее...

Источник: http://www.xakep.ru/post/58030/

Digital Security Research Group: Ежегодное исследование безопасности систем ДБО

Digital Security Research Group представлена атака, позволяющая установить ЭЦП на поддельное платежное поручение при использовании токенов или смарт-карт без заражения рабочей станции клиента.

Исследовательский центр Digital Security Research Group (DSecRG) представил результаты ежегодного исследования безопасности отечественных систем ДБО.

В 100% исследуемых систем были выявлены ошибки класса XSS (межсайтовый скриптинг).

Данный тип уязвимости является вторым по популярности в списке уязвимостей OWASP TOP 10. Чтобы показать, что в контексте работы системы ДБО данный тип ошибок является действительно опасным, был разработан способ использования данной уязвимости для обмана пользователя и установки ЭЦП на поддельное платежное поручение даже в случае использования защиты в виде смарт-карты или токенов. Такая атака возможна без заражения рабочей станции клиента банка.

Подробнее...

Источник: http://dsec.ru/press_releases/?news_id=296

Безопасная система ДБО. Миссия выполнима!

Рынок ДБО растет, но… еще быстрее растут убытки пользователей этих сервисов. Банки инвестируют в проекты по безопасности ДБО десятки миллионов рублей, но проходит время, и мошенники вновь изобретают способ украсть деньги у их клиентов. Самое неприятное здесь в том, что выпускаемые средства защиты не являются превентивной мерой: в основном они призваны лишь «латать дыры», обнаруженные вследствие уже реализованных атак. О проблемах защиты дистанционных каналов рассказывает статья Дениса Калемберга, генерального директора компании «СэйфТек».

Подробнее...

Источник: http://www.int-bank.ru/analyst/solutions/426/

Страницы