Компания Positive Technologies опубликовала отчет (pdf) со статистикой уязвимостей систем дистанционного банковского обслуживания. В рамках проведенного исследования было рассмотрено 11 систем дистанционного банковского обслуживания, анализ защищенности которых проводился в течение 2011 и 2012 гг.

Исходя из опубликованной информации, можно сделать вывод, что системы ДБО, как правило, имеют средний уровень защищенности. По мнению специалистов Positive Technologies, две трети систем ДБО можно взломать, а самые опасные уязвимости преобладают в системах ДБО, предлагаемых известными вендорами.

Наиболее распространенные уязвимости: слабая парольная политика и недостаточная защита от подбора учетных данных (брутфорс), которым подвержены 82% рассмотренных систем.

Более 60% исследованных систем ДБО содержали как минимум один из недостатков механизма идентификации пользователей — предсказуемый формат идентификаторов пользователей или раскрытие информации о существующих в системе идентификаторах пользователей. Все рассмотренные системы имели недостатки реализации механизма аутентификации: слабую парольную политику или недостаточную защиту от подбора учетных данных. Двухфакторная аутентификация использовалась только в двух исследованных системах. Более 80% систем содержали различные недостатки реализации механизма авторизации, при этом в трех системах двухфакторная авторизация при проведении транзакции отсутствовала вовсе.

В 27% случаев отсутствовала привязка сессии к IP-адресу и браузеру клиента, еще в 18% систем присутствовала привязка сессии к IP-адресу, но не к браузеру.

В каждой третьей системе была возможна параллельная работа с одной учетной записью.

В двух рассмотренных системах необходимые для авторизации данные передавались небезопасным образом — в POST- и GET-параметрах (таким образом данные могли быть закэшированы поисковыми системами или перехвачены при переходе на внешние ресурсы).

В ближайшее время Positive Technologies планирует публикацию более традиционного исследования безопасности веб-приложений, а также новый материал по уязвимостям корпоративных сетей на основе результат тестов на проникновение.



Оставить мнение