УЦСБ
Решения
  • Информационная безопасность
    • Анализ защищенности
    • Безопасный удаленный доступ
    • Возможности вендоров по предоставлению лицензий для удаленного доступа
    • Обеспечение информационной безопасности
    • Безопасность промышленных систем автоматизации и управления
    • Консалтинг
    • Сервисная поддержка по вопросам ИБ
    • Обеспечение безопасности ПДн и ГИС
    • Выполнение требований Положений Банка России №683-П и №684-П
  • Информационные технологии
    • Цифровая трансформация
    • Сети передачи данных
    • Информационная инфраструктура
    • Информационные сервисы
    • Мультимедийные проекты
    • Сервисы взаимодействия
  • Инженерные системы
    • Центры обработки данных
    • Системы видеонаблюдения
    • Системы пожарной сигнализации
    • Системы объектовой охранной сигнализации
    • Системы защиты периметра
    • Системы контроля и управления доступом
    • Инженерно-технические сооружения
  • Примеры решений
    • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
      • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
      • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
      • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
    • Система диспетчеризации ЦОД DATCHECK
    • Efros Config Inspector
    • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
    • Умные решения в управлении ЖКХ на платформе HESKEY
    • CyberLympha DATAPK
    • Модульный ЦОД на основе решения DATARK
    • Система управления событиями ИБ
    • Система управления учетными записями и правами пользователей
    • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
Продукты и услуги
  • Корпоративный центр ГосСОПКА
  • Сервисная поддержка
  • Пентесты
  • Консалтинг ИБ
    • Услуги по консалтингу в сфере защиты информации
      • Критической информационной инфраструктуры
      • Государственных информационных систем
      • Финансовых организации
      • Персональных данных
      • Коммерческой тайны
      • Комплексный аудит ИБ
    • Полезные материалы
      • Вебинары серии «Безопасность Финансовых организаций»
      • Вебинары по КИИ
      • Обзоры изменений законодательства ИБ
      • Обзоры изменений в области КИИ
      • Общие статьи
      • Дистанционная оценка соответствия ГОСТ Р 57580
    • Преимущества
    • Лицензии
  • 187-ФЗ
  • Импортозамещение
  • Безопасная разработка ПО
Компания
  • Об УЦСБ
  • Лицензии и сертификаты
  • Партнеры
  • Награды и рейтинги
  • СМК
  • Охрана труда
  • Политика обработки ПДн
  • Важное
Мероприятия
  • Ближайшие мероприятия
  • Прошедшие мероприятия
  • Записи вебинаров
    • Серия вебинаров «SecOps от УЦСБ»
    • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
    • Вебинар «DATAPK: на страже АСУ ТП»
    • Вебинар «Анализ защищенности сети предприятия»
    • Вебинар «Офис на удаленке: эффективная и безопасная работа»
    • Серия вебинаров «Безопасность финансовых организаций»
    • Записи вебинара «Российское программное обеспечение. Методология перехода»
    • Серия вебинаров «Кибербезопасность АСУ ТП»
    • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
    • Серия вебинаров ИБ. Стратегия обороны
    • Серия вебинаров УЦСБ. Держи марку!
    • Серия вебинаров ИБ АСУ ТП NON-STOP
Пресс-центр
Карьера
Контакты
Ещё
    Задать вопрос
    +7 (343) 379-98-34
    Заказать звонок
    info@ussc.ru 

    Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
    • Вконтакте
    • Habr
    +7 (343) 379-98-34
    Заказать звонок
    УЦСБ
    Решения
    • Информационная безопасность
    • Информационные технологии
    • Инженерные системы
    • Примеры решений
    Продукты и услуги
    • Корпоративный центр ГосСОПКА
    • Сервисная поддержка
    • Пентесты
    • Консалтинг ИБ
    • 187-ФЗ
    • Импортозамещение
    • Безопасная разработка ПО
    Компания
    • Об УЦСБ
    • Лицензии и сертификаты
    • Партнеры
    • Награды и рейтинги
    • СМК
    • Охрана труда
    • Политика обработки ПДн
    • Важное
    Мероприятия
    • Ближайшие мероприятия
    • Прошедшие мероприятия
    • Записи вебинаров
    Пресс-центр
    Карьера
    Контакты
      УЦСБ
      Решения
      • Информационная безопасность
      • Информационные технологии
      • Инженерные системы
      • Примеры решений
      Продукты и услуги
      • Корпоративный центр ГосСОПКА
      • Сервисная поддержка
      • Пентесты
      • Консалтинг ИБ
      • 187-ФЗ
      • Импортозамещение
      • Безопасная разработка ПО
      Компания
      • Об УЦСБ
      • Лицензии и сертификаты
      • Партнеры
      • Награды и рейтинги
      • СМК
      • Охрана труда
      • Политика обработки ПДн
      • Важное
      Мероприятия
      • Ближайшие мероприятия
      • Прошедшие мероприятия
      • Записи вебинаров
      Пресс-центр
      Карьера
      Контакты
        УЦСБ
        УЦСБ
        • Решения
          • Назад
          • Решения
          • Информационная безопасность
            • Назад
            • Информационная безопасность
            • Анализ защищенности
            • Безопасный удаленный доступ
            • Возможности вендоров по предоставлению лицензий для удаленного доступа
            • Обеспечение информационной безопасности
            • Безопасность промышленных систем автоматизации и управления
            • Консалтинг
            • Сервисная поддержка по вопросам ИБ
            • Обеспечение безопасности ПДн и ГИС
            • Выполнение требований Положений Банка России №683-П и №684-П
          • Информационные технологии
            • Назад
            • Информационные технологии
            • Цифровая трансформация
            • Сети передачи данных
            • Информационная инфраструктура
            • Информационные сервисы
            • Мультимедийные проекты
            • Сервисы взаимодействия
          • Инженерные системы
            • Назад
            • Инженерные системы
            • Центры обработки данных
            • Системы видеонаблюдения
            • Системы пожарной сигнализации
            • Системы объектовой охранной сигнализации
            • Системы защиты периметра
            • Системы контроля и управления доступом
            • Инженерно-технические сооружения
          • Примеры решений
            • Назад
            • Примеры решений
            • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Назад
              • Система автоматизации процессов управления информационной безопасностью (САПУИБ) на базе eplat4m
              • Модуль Eplat4m «Управление соответствием требованиям по ИБ. САПУИБ-И»
              • Модуль Eplat4m «Управление инцидентами информационной безопасности. САПУИБ-И»
              • Модуль Eplat4m «Управление классификацией объектов защиты. САПУИБ-И»
            • Система диспетчеризации ЦОД DATCHECK
            • Efros Config Inspector
            • Модуль Eplat4m «Категорирование объектов критической информационной инфраструктуры»
            • Умные решения в управлении ЖКХ на платформе HESKEY
            • CyberLympha DATAPK
            • Модульный ЦОД на основе решения DATARK
            • Система управления событиями ИБ
            • Система управления учетными записями и правами пользователей
            • E4 аудит. Онлайн-сервис дистанционной оценки соответствия ГОСТ Р 57580
        • Продукты и услуги
          • Назад
          • Продукты и услуги
          • Корпоративный центр ГосСОПКА
          • Сервисная поддержка
          • Пентесты
          • Консалтинг ИБ
            • Назад
            • Консалтинг ИБ
            • Услуги по консалтингу в сфере защиты информации
              • Назад
              • Услуги по консалтингу в сфере защиты информации
              • Критической информационной инфраструктуры
              • Государственных информационных систем
              • Финансовых организации
              • Персональных данных
              • Коммерческой тайны
              • Комплексный аудит ИБ
            • Полезные материалы
              • Назад
              • Полезные материалы
              • Вебинары серии «Безопасность Финансовых организаций»
              • Вебинары по КИИ
              • Обзоры изменений законодательства ИБ
              • Обзоры изменений в области КИИ
              • Общие статьи
              • Дистанционная оценка соответствия ГОСТ Р 57580
            • Преимущества
            • Лицензии
          • 187-ФЗ
          • Импортозамещение
          • Безопасная разработка ПО
        • Компания
          • Назад
          • Компания
          • Об УЦСБ
          • Лицензии и сертификаты
          • Партнеры
          • Награды и рейтинги
          • СМК
          • Охрана труда
          • Политика обработки ПДн
          • Важное
        • Мероприятия
          • Назад
          • Мероприятия
          • Ближайшие мероприятия
          • Прошедшие мероприятия
          • Записи вебинаров
            • Назад
            • Записи вебинаров
            • Серия вебинаров «SecOps от УЦСБ»
            • Вебинар «Построение системы мониторинга ИБ АСУ ТП»
            • Вебинар «DATAPK: на страже АСУ ТП»
            • Вебинар «Анализ защищенности сети предприятия»
            • Вебинар «Офис на удаленке: эффективная и безопасная работа»
            • Серия вебинаров «Безопасность финансовых организаций»
            • Записи вебинара «Российское программное обеспечение. Методология перехода»
            • Серия вебинаров «Кибербезопасность АСУ ТП»
            • Серия вебинаров «Безопасность КИИ и требования 187-ФЗ»
            • Серия вебинаров ИБ. Стратегия обороны
            • Серия вебинаров УЦСБ. Держи марку!
            • Серия вебинаров ИБ АСУ ТП NON-STOP
        • Пресс-центр
        • Карьера
        • Контакты
        • +7 (343) 379-98-34
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        • Главная
        • Пресс-центр
        • Новости
        • Анализ защищенности официальных банковских сайтов

        Анализ защищенности официальных банковских сайтов

        14 апреля 2016
        Новости

        В 2015 году почти три десятка крупных банков России стали жертвами хакерских атак, потери от которых только с октября прошлого года составляют около двух миллиардов рублей по данным ЦБ РФ. Можно говорить, что злоумышленники переориентировались с клиентов банков – физических и юридических лиц, на сами банки.

        Для того, чтобы узнать, почему злоумышленникам удается совершить так много атак, эксперты компании УЦСБ провели независимое исследование по анализу защищенности официальных банковских сайтов (сайтов, содержащих информацию о банковских продуктах, тарифах, услугах, и пр.). В область исследования попали 56 банков, представленных в г. Екатеринбурге.

        Исследование заключалось в выявлении уязвимостей без осуществления несанкционированного доступа к данным и нарушения работы исследуемых сайтов. Проверялось наличие самых простых для эксплуатации хакерами уязвимостей:

        • инъекции (SQL-инъекции, XPATH-инъекции, XSS),
        • небезопасная настройка элементов инфраструктуры (веб-сервера, DNS-сервера),
        • доступ к файлам по небезопасным прямым ссылкам,
        • использование ПО с известными критичными уязвимостями,
        • открытое перенаправление.

        Самое главное – это результаты

        В результате проведенного исследования было выявлено более 60 уязвимостей на 41 банковском сайте. Таким образом, почти три четверти из анализируемых банков имели недостатки в системе защиты своих сайтов.

        На 7 из 56 сайтов были выявлены уязвимости высокой степени критичности. Это означает, что у злоумышленников была возможность взломать сайты 7 банков, прикладывая минимум усилий. В ряде случаев это позволило бы попасть во внутреннюю сеть банка и произвести атаку на критичные активы, например, на АРМ КБР (Автоматизированное рабочее место клиента Банка России (АРМ КБР) – программный комплекс для отправки платежных документов от банка в ЦБ РФ.

        Сводная статистика по банкам приведена на рисунке ниже.

         

        Выявленные уязвимости средней степени критичности позволяют либо провести атаку на посетителей веб-сайта (для этого злоумышленнику необходимо провести определенное взаимодействие с пользователем) либо получить значительную информацию об устройстве сайта или других элементах инфраструктуры банка.

        Уязвимости низкой степени критичности сами по себе опасности не несут, но предоставляют злоумышленнику информацию, которая может пригодиться для эксплуатации других уязвимостей в ходе реализации более сложных атак.

        Копнем немного глубже

        Среди уязвимостей высокой степени критичности чаще всех встречались инъекции, в т.ч. SQL-инъекции. Такие инъекции позволяют внедрить в легитимный запрос к системе управления базой данных веб-приложения произвольный SQL-код. Например:

        http://example.com/news.php?id=10 UNION SELECT 1,username,password,1 FROM admin

        Чаще всего это приводит к тому, что вся база данных оказывается в руках злоумышленника.

        Хорошим тоном при разработке считается использование технологии ORM, которая позволяет значительно упростить работу с СУБД. В качестве приятного бонуса современные библиотеки ORM также позволяют обезопасить приложение от SQL-инъекций.

        Небезопасная конфигурация является причиной появления примерно половины всех уязвимостей. В эту категорию попадают использование устаревшего ПО на веб-серверах и отсутствие базовых средств защиты, например, web application firewall.

        Также к небезопасной конфигурации можно отнести возможность доступа к резервным копиям (например, example.com/db_dump.zip) и служебным файлам и элементам интерфейса администратора (особенно если для администрирования не требуется авторизация).

        Источник бед на 99% 

        В большинстве случаев источником уязвимостей на сайтах являются люди, которым свойственно допускать ошибки, в том числе ненамеренно. Приведем характерные примеры, которые были выявлены в ходе исследования:

        1. На одном из сайтов была обнаружена уязвимость Heartbleed в криптографическом программном обеспечении OpenSSL, позволяющая несанкционированно читать оперативную память веб-сервера. При эксплуатации этой уязвимости на невысоконагруженных серверах довольно быстро удается получить приватный ключ шифрования веб-сервера, что позволяет злоумышленнику расшифровывать трафик TLS/SSL-соединений с сайтом. Патч, устраняющий данную уязвимость, был выпущен 2 года назад.

        2. В сети можно встретить много файл-менеджеров, предлагающих простой способ их встраивания в уже существующий сайт. Не у всех из них есть какие-либо механизмы аутентификации пользователя. Пожалуй, самый яркий пример – CKFinder. Разработчики предлагают пользователям самостоятельно реализовать механизм аутентификации. Как можно догадаться, делают это не все. В результате любой желающий может управлять содержимым множества сайтов. 

        3. Огромное количество технологического мусора, оставшегося после разработки, было обнаружено на проанализированных сайтах. Такой мусор позволяет узнать не только подробности о внутреннем устройстве сайта, но порой и получить доступ к его исходному коду, что облегчает дальнейший поиск уязвимостей злоумышленнику. Например, во время запуска сайта часто забывают удалить служебные каталоги систем управления версиями (.git, .svn, .hg и т.д.). Структура этих каталогов такова, что зная формат хранения данных (а он, как правило, документирован), можно загрузить себе по одному файлу все содержимое репозитория, т.е. исходный код сайта. Обладая исходным кодом, злоумышленнику гораздо проще искать уязвимости и недокументированные возможности сайта.

         

        Что же делать?

        Злоумышленники постепенно осознают, что чем совершить много мелких краж у клиентов, проще украсть один раз большую сумму у банка. Как показывает недавний инцидент с фишинговыми письмами от поддельного FinCERT, злоумышленники также осведомлены о внутренней кухне обеспечения ИБ в банках. Пора уделить внимание актуальным угрозам – атакам на сайты банков (и другие ресурсы, доступные из интернета), атакам на АРМ КБР, фишингу с социальной инженерией, и принять меры по защите.

        По результатам исследования наши специалисты уведомили все банки о найденных на их сайтах уязвимостях (напомним, что рассматривались лишь самые простые для эксплуатации хакерами уязвимости). Спустя некоторое время мы проведем повторную проверку для оценки принятых мер по устранению уязвимостей.

        Поделиться
        Назад к списку
        Решения
        Информационная безопасность
        Информационные технологии
        Инженерные системы
        Примеры решений
        Продукты и услуги
        Корпоративный центр ГосСОПКА
        Сервисная поддержка
        Пентесты
        Консалтинг ИБ
        187-ФЗ
        Импортозамещение
        Безопасная разработка ПО
        Компания
        Об УЦСБ
        Лицензии и сертификаты
        Партнеры
        Награды и рейтинги
        СМК
        Охрана труда
        Политика обработки ПДн
        Важное
        Пресс-центр
        Карьера
        Контакты
        Подписка на рассылку
        +7 (343) 379-98-34
        Заказать звонок
        info@ussc.ru 

        Россия, 620100, г. Екатеринбург, ул. Ткачей, 6
        • Вконтакте
        • Habr
        Версия для печати
        Политика конфиденциальности
        © 2023 ООО «УЦСБ». Все права защищены.
        Разработка сайта IT Cloud
        Продолжая пользоваться нашим сайтом, Вы даете согласие на обработку ваших cookie файлов. Мы используем cookie-файлы, для того, чтобы получать статистику, которая помогает показывать вам самые интересные и выгодные предложения. Вы можете отключить cookie-файлы в настройках браузера.
        Заказать звонок
        Обратная связь
        Задать вопрос эксперту
        Офисы