СДБО в Республике Беларусь · pwc cybersecurity club, 02.10.2015 10 4 5 5 11...
TRANSCRIPT
СДБО в Республике Беларусь. Использование протоколов безопасности
СДБО в Республике Беларусь. Использование протоколов безопасности
Меньшиков С.В.Эксперт по ИБ
PwC CyberSecurity Club, 02.10.2015
Система дистанционного банковского обслуживания (СДБО)
Объекты исследования и анализа:• СДБО для физических лиц• СДБО для юридических лиц
В данном случае рассматриваются ресурсы в виде интернет приложений с WEB-интерфейсом
PwC CyberSecurity Club, 02.10.2015
Система дистанционного банковского обслуживания (СДБО)
Банки РБ: 27 банков
из них
имеют СДБО для ФЛ (интернет-банк) – 21имеют СДБО для ЮЛ (интернет-банк) – 12
PwC CyberSecurity Club, 02.10.2015
Система дистанционного банковского обслуживания (СДБО)
PwC CyberSecurity Club, 02.10.2015
77.8%
22.2%
Наличие ДБО ФЛ
44%
56%
Наличие СДБО ЮЛ (Интернет-Банк)
Используются протоколы безопасности (TLS) на своих основных корпоративных сайтах (не СДБО) только 9 из 27
При этом практически на всех сайтах банков есть онлайн-формы, через которые отправляются паспортные данные для заявок на кредит
PwC CyberSecurity Club, 02.10.2015
33%
67%
Системы дистанционного банковского обслуживания (СДБО)для физических лиц
PwC CyberSecurity Club, 02.10.2015
A, 2, 9.5%
A-, 1, 4.8%
B, 6, 28.6%
C, 2, 9.5%
F, 10, 47.6%
Overal Rating
Системы дистанционного банковского обслуживания (СДБО)для физических лиц
PwC CyberSecurity Club, 02.10.2015
7
21
11 11
0
5
10
15
20
25
SSL 3 TLS 1.0 TLS 1.1 TLS 1.2
Системы дистанционного банковского обслуживания (СДБО)для физических лиц
Основные уязвимости:
• FREAK (Factoring Attack on RSA-EXPORT Keys) attack (CVE-2015-0204)
• Logjam attack or Weak Diffie-Hellman (CVE-2015-4000)
• SHA-1
• RC4
• сертификат с расширенной проверкой (EV)
• Настройка Forward Secrecy
• Secure Sockets Layer version 3.0 (SSLv3)
Сертификат с расширенной проверкой (EV) используют только 9 из 21 банка
Настройка Forward Secrecy реализована в 3 из 21 банков
PwC CyberSecurity Club, 02.10.2015
Системы дистанционного банковского обслуживания (СДБО)для физических лиц
PwC CyberSecurity Club, 02.10.2015
10
4
55
11
17
0
5
10
15
20
RC4
POODLE SSL (CVE-2014-3566)
POODLE TLS (CVE-2014-8730)
FREAK (CVE-2015-0204)
Logjam attack or WeakDiffie-Hellman (CVE-
2015-4000)
SHA-1
Подверженность уязвимостям
Системы дистанционного банковского обслуживания (СДБО)для юридических лиц
PwC CyberSecurity Club, 02.10.2015
A-8%
B67%
C8%
F17%
Системы дистанционного банковского обслуживания (СДБО)для юридических лиц
PwC CyberSecurity Club, 02.10.2015
3
12
89
0
2
4
6
8
10
12
14
SSL 3 TLS 1.0 TLS 1.1 TLS 1.2
Системы дистанционного банковского обслуживания (СДБО)для юридических лиц
Основные уязвимости:
• FREAK (Factoring Attack on RSA-EXPORT Keys) attack (CVE-2015-0204)
• Logjam attack or Weak Diffie-Hellman (CVE-2015-4000)
• SHA-1
• RC4
• сертификат с расширенной проверкой (EV)
• Настройка Forward Secrecy
• Secure Sockets Layer version 3.0 (SSLv3)
Сертификат с расширенной проверкой (EV) используют только 4 из 12 банка
Настройка Forward Secrecy реализована в 4 из 12 банков
PwC CyberSecurity Club, 02.10.2015
Системы дистанционного банковского обслуживания (СДБО)для юридических лиц
PwC CyberSecurity Club, 02.10.2015
10
0
212
10
0
2
4
6
8
10
RC4
POODLE SSL (CVE-2014-3566)
POODLE TLS (CVE-2014-8730)
FREAK (CVE-2015-0204)
Logjam attack or WeakDiffie-Hellman (CVE-
2015-4000)
SHA-1
Подверженность уязвимостям
Мировое состояние
Существует сходство и различие с состоянием в РБ
PwC CyberSecurity Club, 02.10.2015
Очевидные проблемы Систем дистанционного банковского обслуживания (СДБО) РБ :
• В ряде случаем не использование протоколов безопасности
• Не использование TLS 1.2• Использование Secure Sockets Layer version 3.0 (SSLv3)• Использование RC4• Использование SHA-1
• Не использование сертификат с расширенной проверкой (EV)
• Отсутствие настройка Forward Secrecy
PwC CyberSecurity Club, 02.10.2015
Приводит к основным проблемам:
• Возможность эксплуатации атак MITM• Потеря денежных средств клиентами• Репутационные риски банков• ….
PwC CyberSecurity Club, 02.10.2015
Первопричины:
• Первостепенность функционала над безопасностью• Экономия• Низкая клиентоориентированность• Общая культура безопасности в РБ• Отсутствие негативного опыта• Узость рынка• Отсутствие нормативных требований• …
PwC CyberSecurity Club, 02.10.2015
Что делать?
• Не отставать от технологий (проактивный подход)• Использовать продвинутые актуальные протоколы
безопасности• Оперативно устранять уязвимости Патчи, настройки, перевыпуск сертификатов
или ничего не делать. ..Но помнить, что со временем «за Вами придут»!
Бездействие и выжидательная позиция на руку только злоумышленникам.
PwC CyberSecurity Club, 02.10.2015
Что может помочь?
• Накопление компетенции внутри организаций
• Объединение специалистов в группы, обмен опытом и информацией (некие ассоциации, «отстаивающие» вопросы ИБ, FinCERT)
• Профессиональная деятельность на рынке CyberSecurity
PwC CyberSecurity Club, 02.10.2015
Спасибо
Меньшиков С.В.is-svm.blogspot.com
+375 29 391 01 09