54 ч 10 мин назад

материалов на сайте: 5487

Банки с дырками

УЦСБ проверил кибербезопасность уральских банков.

10.05.2016 12:48

В 2015-2016 годах почти три десятка крупных банков России стали жертвами хакерских атак. Чтобы проверить защищенность банков, компания Уральский центр систем безопасности (УЦСБ) провела независимое исследование банков представленных в Екатеринбурге.

В область исследования попали 56 банков, представленных в Екатеринбурге. Анализ защищенности проводился только для официальных банковских сайтов (сайтов, содержащих информацию о банковских продуктах, тарифах, услугах, и пр.). Интернет-банки из области исследования были исключены, т.к. их безопасности и так уделяется повышенное внимание, а компрометация официального сайта банка, если физически он находится во внутренней сети банка, может привести к не менее негативным последствиям.

Методика

Исследование заключалось в выявлении уязвимостей без осуществления несанкционированного доступа к ресурсам банков и нарушения работы исследуемых сайтов.

В первую очередь каждый из сайтов был проверен на наличие стандартных уязвимостей:

·         использование уязвимого ПО;

·         наличие на веб-сервере в открытом доступе файлов с чувствительной информации;

·         проверка возможности передачи доменной зоны.

Далее несколько самых интересных функций каждого из сайтов проверялись на наличии наиболее тривиальных уязвимостей: SQL- и XPATH-инъекций и XSS.

Результаты

В ходе исследования был обнаружен ряд стандартных SQL-инъекций и XSS, несмотря на то, что современные технологии в виде шаблонизаторов и ORM не только упрощают процесс разработки, но и при правильном использовании в качестве приятного бонуса позволяют обезопасить приложение от данных уязвимостей.

Впрочем, для доступа к БД не всегда нужно было пользоваться SQL-инъекциями. Иногда бэкапы БД довольно удобно были расположены в корневом каталоге сайта по типу:

www.verynicebank.ru/dump.sql

На одном из сайтов была обнаружена уязвимость Heartbleed в OpenSSL, позволяющая несанкционированно читать оперативную память веб-сервера(уязвимость известна с апреля 2014 - прим. ред.). При эксплуатации этой уязвимости на невысоконагруженных серверах довольно быстро удается получить приватный ключ шифрования веб-сервера, что позволяет злоумышленнику расшифровывать трафик TLS/SSL-соединений с сайтом.

Также на ряде сайтов использовалось ПО, выпущенное 10 лет назад. Информация об уязвимостях данного ПО появилась в открытых источниках минимум в 2012 году.

На исследованных сайтах было обнаружено огромное количество технологического мусора, оставшегося после разработки.  В одном случае с сайта забыли убрать не банальный phpinfo, а служебный каталог системы контроля версий Mercurial. Данный каталог содержит все версии отслеживаемых файлов в специальном формате. Чтобы посмотреть список файлов достаточно загрузить www.verynicebank.ru/.hg/dirstate:

Само содержимое файлов в таком случае будет доступно по ссылкам вида

www.verynicebank.ru/.hg/store/test1.txt.i. Заметьте, что для загрузки файлов с сервера не нужен включенный листинг директорий.

На одном веб-сервере в открытом доступе лежал файл с аутентификационной информацией:

А в одном банке попытались ограничить доступ к панели администратора по IP-адресу, довольно успешно: доступ действительно получить не удастся, но при попытках зайти в панель с недоверенного IP-адреса CMS падает с ошибкой (и полной трассировкой вызовов):

Статистика

В результате было обнаружено более 60 уязвимостей на 41 банковском сайте (всего рассматривались 56 сайтов). То есть почти три четверти из анализируемых банков имели какие-либо недостатки в системе защиты своих сайтов. Информацию о найденных уязвимостей в числах можно получить из картинки ниже.

1.

SQL-инъекции

3

2.

XPATH-инъекции

1

3.

Возможность загрузки на веб-сервер произвольных файлов сценариев

1

4.

Возможность управления некоторыми файлами на сервере (например, изменение файлов установки банк-клиентов)

1

5.

Доступ к резервным копиям БД

1

6.

Heartbleed

1

7.

XSS

6

8.

Уязвимость DNS-серверов к запросам на передачу доменной зоны

6

9.

Доступ к служебным файлам с чувствительной информацией (например, файлам системы контроля версий)

12

10.

Разглашение информации об ошибках

5

11.

Доступ к служебным файлам с некритичной информацией (например, phpinfo)

16

12.

Открытое перенаправление

8

13.

Другое

2

 

37 из 64 уязвимостей были найдены на сайтах банков из Топ-100 по версии banki.ru. Впрочем, по количеству уязвимостей, приводящих к самым серьезным последствиям, лидируют банки за пределами топа: среди топовых банков из первых 6 типов уязвимостей была обнаружена только одна SQL-инъекция.

В качестве заключения

По результатам исследования УЦСБ проинформировал все банки о найденных на их сайтах уязвимостях. Однако обратной связи не было получено ни от одного банка, за исключением тех случаев, когда уведомления передавались лично.

На момент публикации статьи полностью устранили уязвимости 4 банка, помимо них частично устранили уязвимости 5 банков. С некоторыми банками продолжается вестись работа по устранению уязвимостей.

Незачёт, или анализ защищенности web-порталов вузов

УЦСБ провел исследование и выдал вузам "хвостовки"

УЦСБ выявил уязвимость в SCADA-системе RSView32

После чего американская компания-производитель выпустила исправленную версию

Далее: < 18 мая: День Cisco в УрФУ

Нам важно знать, что Вы думаете об этой новости:

1 2 3 4 5
Рейтинг: 5/5  (Всего голосов 7)
Система Orphus

nothing to show. fill records

Надискутировали

Вечнозеленые материалы: