15.10.2010
Результаты ежегодного исследования безопасности отечественных Банк-Клиентов
На конференции «INFOBEZ-EXPO/ИнфоБезопасность», проходившей 5-7 октября 2010 г. в Москве в Экспоцентре на Красной Пресне, специалисты DSecRG рассказали о проблемах безопасности в отечественных банковских продуктах. В частности, внимание было обращено на отсутствие у разработчиков процедур тестирования безопасности собственного кода, что приводит к проявлению классических уязвимостей. При этом было рассказано как про ошибки в клиентской части ПО, так и в серверной.
В рамках выступлений специалистами DSecRG был продемонстрирован эксплоит, нацеленный на клиентское ПО системы Банк-Клиент, который не обнаруживался антивирусами и использовал последние методики для обхода защитных механизмов ОС (DEP/ASLR), что возможно не только потому, что в коде присутствуют ошибки, но и потому, что разработчики часто пренебрегают использованием защитных механизмов
операционной системы.
“Все что было сказано и продемонстрировано, необходимо лишь для того, чтобы банки
и разработчики ПО для банков поняли, что взламывать можно все, включая их продукты. Сейчас очень важно поднять качество кода отечественного ПО, ведь найти ошибку, скажем, в Банк-Клиенте сейчас легче, чем в популярном западном ПО. Поэтому необходимо обращать внимание на такое положение дел, ведь злоумышленники тоже ищут эти уязвимости и используют их в своих целях, и мы должны максимально усложнить им эту
задачу ”, - комментирует Алексей Синцов, ведущий аудитор компании Digital Security.
В целом, за два года работы исследовательского центра DSecRG были обнаружены ошибки в коде большинства популярных банковских решений таких компаний, как BSS, INIST, ЦФТ, R-Style и Сигнал-КОМ. Производители были своевременно уведомлены о данных уязвимостях и сообщили об их успешном закрытии и отправке обновлений всем клиентам.
В связи со спецификой продуктов, в которых были найдены уязвимости, детальная техническая информация опубликована только на закрытом форуме Ассоциации Российских Членов Европей.
Более подробную информацию об обнаруженных уязвимостях в банковских продуктах можно получить на сайте исследовательского центра:
http://dsecrg.ru/pages/vul/show.php?id=202
http://dsecrg.ru/pages/vul/show.php?id=203
http://dsecrg.ru/pages/vul/show.php?id=204