Взлом системы ДБО — дело пяти минут: Positive Technologies на банковском форуме в Магнитогорске

В ходе мастер-класса были наглядно продемонстрированы некоторые распространенные уязвимости самых популярных систем дистанционного банковского обслуживания. Евгения показала техники и методы, которыми могут воспользоваться потенциальные злоумышленники, а также пошагово воспроизвела их возможные действия при взломе систем ДБО.

В качестве демонстрационного стенда использовалась тестовая система интернет-банкинга PHDays I-Bank, разработанная специалистами Positive Technologies. Она содержит типовые уязвимости систем ДБО, которые были обнаружены в ходе проведения работ по анализу защищенности в отношении реальных систем электронного банкинга.

Как рассказала Евгения, более 70% исследованных систем ДБО содержали уязвимости, позволяющие либо осуществлять несанкционированные транзакции на уровне пользователя, либо получать возможность выполнения команд на сервере, захвата полного контроля над СУБД и всей системой.

В ходе мастер-класса участники познакомились с методами обхода механизмов аутентификации и авторизации по одноразовым паролям, что приводит к проведению транзакций от лица пользователей системы. Также была продемонстрирована эксплуатация уязвимости Race Condition, которая позволяет, по сути, делать деньги из воздуха, в разы увеличивая средства на счету злоумышленника. Данная уязвимость связана с ошибками в логике работы приложения и до сих пор в том или ином виде может встретиться в реальных системах. В заключение Евгения показала, как уязвимость приложения к внедрению внешних сущностей XML (XML External Entity) в сочетании с хранением важных данных в открытом виде в лог-файлах, может привести к получению злоумышленником карточных данных, идентификаторов и паролей пользователей, и, как следствие, к несанкционированному проведению транзакций. Следует отметить, что последние два недостатка являются весьма распространенными на практике. Так, например. немаскированные номера PAN встретились в половине изученных систем ДБО.