Илья Медведовский: решать проблемы можно только совместными усилиями |
К таким выводам приходят эксперты компании Digital Security, осуществляющей аудит на соответствие требованиям международных стандартов в области информационной безопасности, основываясь на результатах тестов систем заказчиков из разных секторов экономики.
Показательно, что уязвимости обнаруживаются в информационных системах финансовых организаций, которым в первую очередь надлежит быть максимально защищенными. Многие отечественные банки сегодня беззащитны перед квалифицированными хакерами, которые легко могут не только использовать отдельные уязвимости, но и создавать цепочки уязвимостей, реализуя сложные многоуровневые атаки, причиняющие серьезный ущерб организациям финансового сектора.
О проблемах, которые существуют в области безопасности платежных систем, и нестандартных способах их решения подробно говорилось на конференции PCI DSS Russia, организованной консалтинговой компанией Digital Security.
В ходе мероприятия были представлены результаты исследования безопасности мобильных банковских приложений, проведенного экспертами Digital Security. По словам руководителя компании Ильи Медведовского, сегодня каждая мобильная операционная система (Android, iOS, Windows Phone, Symbian, BlackBerry и т. п.) содержит большое количество как новых уязвимостей, так и хорошо известных. Специалисты Digital Security в течение нескольких месяцев тестировали мобильные платежные приложения более 30 российских банков, включая «Альфа-Банк», «Банк24.ру», ВТБ, «Газпромбанк», «Мастер-Банк», «МДМ Банк», «Русский Стандарт», «Ханты-Мансийский Банк» и др. Эксперты компании провели статический анализ кода приложений с помощью инструмента собственной разработки. По итогам исследований был составлен рейтинг для двух распространенных мобильных платформ — iOS и Android.
Среди потенциальных угроз банковским приложениям, работающим на iOS, учитывались некорректная работа с SSL (35% приложений), использование базы данных SQLite, что подразумевает подверженность SQL-инъекциям (22%), использование межсайтового скриптинга (70%), применение хранилища данных Keychain, уязвимость перед атаками XXE (XML eXternal Entity), от которых не защищены 45% приложений, использование общего системного журнала (NSLog), применение скриншотов, системного буфера обмена и автокоррекции текста и наличие в готовом приложении отладочной информации, позволяющей злоумышленнику составить представление о его работе и уязвимостях.
Что касается Android-приложений, то здесь основными угрозами были названы соединения без использования SSL, некорректные проверки SSL-сертификата (15% приложений), использование межсайтового скриптинга (20%), применение межпроцессного взаимодействия (обмена данными между приложениями — 22%), наличие критичной информации (в частности, телефона с индентификатором IMEI), открытие файлов с общими правами доступа, уязвимость для XXE-атак и подверженность SQL-инъекциям при использовании баз данных SQLi.
В ходе исследований выяснилось, что хотя бы одну уязвимость содержит каждое из изученных приложений. Лидерами по безопасности среди приложений для iOS по версии Digital Security стали: СИАБ, «Мастер-Банк», Финансовая группа «Лайф», набравшие по 10 баллов (10 баллов — высшая оценка, соответствующая максимальной надежности); Банк24.ру и «Росевробанк» (по 6 баллов); банк БФА, банк «Народный кредит», Сбербанк (по 4 балла); «МТС-Банк» и банк «Cанкт-Петербург» (по 3 балла). Наименьшее количество уязвимостей в приложениях для Android было обнаружено у следующих организаций: СИАБ (10 баллов); банк «Cанкт-Петербург», МТС-Банк (по 9 баллов); ФБИиР, «Росевробанк» (по 8 баллов); «Московский кредитный банк», «Примсоцбанк», «Русский Стандарт», «МДМ-Банк» и «Инвестбанк» (по 7 баллов).
Таким образом, выяснилось, что разработчики мобильных приложений банк-клиент не уделяют достаточно внимания вопросам безопасности приложений, не следуют руководствам по безопасной разработке. Зачастую отсутствуют процессы разработки безопасного кода и архитектуры. В результате все рассмотренные приложения содержат хотя бы одну уязвимость, позволяющую либо перехватить данные, передающиеся между клиентом и сервером, либо напрямую эксплуатировать уязвимости устройства и самого мобильного приложения. Важно отметить, что в Топ-10 приложений с наименьшим числом угроз большинство крупных розничных банков не попало.
Представление результатов данного исследования и разговор о наличии уязвимостей вызвали активные дискуссии среди участников мероприятия. Медведовский, комментируя интерес аудитории к данной теме, отметил: «Мы постоянно обращаем внимание участников рынка на наличие опасных уязвимостей и необходимость совершенствования защитных механизмов. Мы рады тому, что наши исследования вызывают значительный резонанс в банковской сфере. Несомненно, решать проблемы можно только совместными усилиями».