21.10.2013 Новости, БезопасностьКомпания Positive Technologies представила результаты аналитического исследования уязвимостей систем ДБО за 2011 и 2012 годы. Работы проводились в рамках оказания услуг по анализу защищенности ряду крупнейших российских банков. Более 70% всех протестированных решений относятся к системам ДБО, обслуживающим физические лица. Как следует из отчета, злоумышленник может получить доступ к ключевым компонентам (ОС или СУБД сервера) каждой третьей системы ДБО. В ряде случаев возможен захват полного контроля над системой, что позволяет проводить в ней любые денежные операции, осуществлять атаки на смежные комплексы во внутренней сети банка (АБС) или вызвать отказ в обслуживании. 37% систем ДБО позволяют получить доступ к личным кабинетам отдельных клиентов и выполнять несанкционированные операции с их счетами. Уязвимости высокой степени риска были выявлены в каждой второй системе ДБО. Но даже отсутствие критических недостатков безопасности вовсе не означает, что финансовые средства банка и его клиентов надежно защищены. Для несанкционированного проведения транзакций на уровне пользователя системы ДБО нарушителю достаточно использовать несколько отдельных уязвимостей средней степени риска (а такие недостатки защиты были обнаружены во всех рассмотренных системах). Общая проблема рассмотренных в отчете систем ДБО заключается в непроработанном механизме аутентификации, в том числе в слабой парольной политике и недостаточной защите от подбора учетных данных (Brute Force). Подобным ...
читать далее.