СДБО в Республике Беларусь · pwc cybersecurity club, 02.10.2015 10 4 5 5 11...

СДБО в Республике Беларусь. Использование протоколов безопасности

СДБО в Республике Беларусь. Использование протоколов безопасности

Меньшиков С.В.Эксперт по ИБ

PwC CyberSecurity Club, 02.10.2015

Система дистанционного банковского обслуживания (СДБО)

Объекты исследования и анализа:• СДБО для физических лиц• СДБО для юридических лиц

В данном случае рассматриваются ресурсы в виде интернет приложений с WEB-интерфейсом



Банки РБ: 27 банков

из них

имеют СДБО для ФЛ (интернет-банк) – 21имеют СДБО для ЮЛ (интернет-банк) – 12




77.8%

22.2%

Наличие ДБО ФЛ

44%

56%

Наличие СДБО ЮЛ (Интернет-Банк)

Используются протоколы безопасности (TLS) на своих основных корпоративных сайтах (не СДБО) только 9 из 27

При этом практически на всех сайтах банков есть онлайн-формы, через которые отправляются паспортные данные для заявок на кредит


33%

67%

Системы дистанционного банковского обслуживания (СДБО)для физических лиц


A, 2, 9.5%

A-, 1, 4.8%

B, 6, 28.6%

C, 2, 9.5%

F, 10, 47.6%

Overal Rating



7

21

11 11

0

5

10

15

20

25

SSL 3 TLS 1.0 TLS 1.1 TLS 1.2


Основные уязвимости:

• FREAK (Factoring Attack on RSA-EXPORT Keys) attack (CVE-2015-0204)

• Logjam attack or Weak Diffie-Hellman (CVE-2015-4000)

• SHA-1

• RC4

• сертификат с расширенной проверкой (EV)

• Настройка Forward Secrecy

• Secure Sockets Layer version 3.0 (SSLv3)

Сертификат с расширенной проверкой (EV) используют только 9 из 21 банка

Настройка Forward Secrecy реализована в 3 из 21 банков




10

4

55

11

17

0

5

10

15

20

RC4

POODLE SSL (CVE-2014-3566)

POODLE TLS (CVE-2014-8730)

FREAK (CVE-2015-0204)

Logjam attack or WeakDiffie-Hellman (CVE-

2015-4000)

SHA-1

Подверженность уязвимостям

Системы дистанционного банковского обслуживания (СДБО)для юридических лиц


A-8%

B67%

C8%

F17%



3

12

89

0

2

4

6

8

10

12

14

SSL 3 TLS 1.0 TLS 1.1 TLS 1.2


Основные уязвимости:

• FREAK (Factoring Attack on RSA-EXPORT Keys) attack (CVE-2015-0204)

• Logjam attack or Weak Diffie-Hellman (CVE-2015-4000)

• SHA-1

• RC4

• сертификат с расширенной проверкой (EV)

• Настройка Forward Secrecy

• Secure Sockets Layer version 3.0 (SSLv3)

Сертификат с расширенной проверкой (EV) используют только 4 из 12 банка

Настройка Forward Secrecy реализована в 4 из 12 банков




10

0

212

10

0

2

4

6

8

10

RC4

POODLE SSL (CVE-2014-3566)

POODLE TLS (CVE-2014-8730)

FREAK (CVE-2015-0204)

Logjam attack or WeakDiffie-Hellman (CVE-

2015-4000)

SHA-1

Подверженность уязвимостям

Мировое состояние

Существует сходство и различие с состоянием в РБ


Очевидные проблемы Систем дистанционного банковского обслуживания (СДБО) РБ :

• В ряде случаем не использование протоколов безопасности

• Не использование TLS 1.2• Использование Secure Sockets Layer version 3.0 (SSLv3)• Использование RC4• Использование SHA-1

• Не использование сертификат с расширенной проверкой (EV)

• Отсутствие настройка Forward Secrecy


Приводит к основным проблемам:

• Возможность эксплуатации атак MITM• Потеря денежных средств клиентами• Репутационные риски банков• ….


Первопричины:

• Первостепенность функционала над безопасностью• Экономия• Низкая клиентоориентированность• Общая культура безопасности в РБ• Отсутствие негативного опыта• Узость рынка• Отсутствие нормативных требований• …


Что делать?

• Не отставать от технологий (проактивный подход)• Использовать продвинутые актуальные протоколы

безопасности• Оперативно устранять уязвимости Патчи, настройки, перевыпуск сертификатов

или ничего не делать. ..Но помнить, что со временем «за Вами придут»!

Бездействие и выжидательная позиция на руку только злоумышленникам.


Что может помочь?

• Накопление компетенции внутри организаций

• Объединение специалистов в группы, обмен опытом и информацией (некие ассоциации, «отстаивающие» вопросы ИБ, FinCERT)

• Профессиональная деятельность на рынке CyberSecurity


Спасибо

Меньшиков С.В.is-svm.blogspot.com

+375 29 391 01 09

СДБО в Республике Беларусь · pwc cybersecurity club, 02.10.2015 10 4 5 5 11...

Documents