Компания Positive Technologies опубликовала отчет (pdf) со статистикой уязвимостей систем дистанционного банковского обслуживания. В рамках проведенного исследования было рассмотрено 11 систем дистанционного банковского обслуживания, анализ защищенности которых проводился в течение 2011 и 2012 гг.
Исходя из опубликованной информации, можно сделать вывод, что системы ДБО, как правило, имеют средний уровень защищенности. По мнению специалистов Positive Technologies, две трети систем ДБО можно взломать, а самые опасные уязвимости преобладают в системах ДБО, предлагаемых известными вендорами.
Наиболее распространенные уязвимости: слабая парольная политика и недостаточная защита от подбора учетных данных (брутфорс), которым подвержены 82% рассмотренных систем.
Более 60% исследованных систем ДБО содержали как минимум один из недостатков механизма идентификации пользователей — предсказуемый формат идентификаторов пользователей или раскрытие информации о существующих в системе идентификаторах пользователей. Все рассмотренные системы имели недостатки реализации механизма аутентификации: слабую парольную политику или недостаточную защиту от подбора учетных данных. Двухфакторная аутентификация использовалась только в двух исследованных системах. Более 80% систем содержали различные недостатки реализации механизма авторизации, при этом в трех системах двухфакторная авторизация при проведении транзакции отсутствовала вовсе.
В 27% случаев отсутствовала привязка сессии к IP-адресу и браузеру клиента, еще в 18% систем присутствовала привязка сессии к IP-адресу, но не к браузеру.
В каждой третьей системе была возможна параллельная работа с одной учетной записью.
В двух рассмотренных системах необходимые для авторизации данные передавались небезопасным образом — в POST- и GET-параметрах (таким образом данные могли быть закэшированы поисковыми системами или перехвачены при переходе на внешние ресурсы).
В ближайшее время Positive Technologies планирует публикацию более традиционного исследования безопасности веб-приложений, а также новый материал по уязвимостям корпоративных сетей на основе результат тестов на проникновение.
