Слабые пароли - основной недостаток систем ДБО

Слабые пароли - основной недостаток систем ДБО

Наиболее распространенные уязвимости в системах дистанционного банковского обслуживания (ДБО) связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%), говорится в исследовании Positive Technologies.

Согласно сообщению, во многих системах также присутствует раскрытие информации о версиях используемого программного обеспечения (73%), что облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на пользователей (например, с использованием методов социальной инженерии). Самые распространенные уязвимости, по результатам проведенного исследования, имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие индивидуальных для конкретных систем критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой, пишет digit.ru.

Как сообщил Digit.ru Сергей Гордейчик, заместитель генерального директора Positive Technologies, «В поисках компромисса между защищенностью и удобством, часто выбор делается в пользу последнего, поскольку пользователи ДБО не всегда в состоянии запоминать и использовать сложные пароли. В целом, мы считаем, что аутентификация по паролю уже не соответствует современным требованиям безопасности. Что касается подбора (Bruteforce), то этот класс уязвимостей распространяется не только на пароли, но и на другие секреты (идентификатор пользователя, номер счета или карты, cvv/cvc, одноразовый пароль, CAPTCHA). Зачастую о возможности подбора этих значений разработчики забывают. Кроме того, в последнее время активно внедряются системы ДБО для мобильного банкинга, смартфонов и планшетов. И в стремлении упростить интерфейс и реализацию подобных систем разработчики „забывают“ о уже реализованных во „взрослой“ версии ДБО защитных механизмах».

По данным исследования, более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных вендорами. Часто для несанкционированного проведения транзакций на уровне пользователей систем ДБО злоумышленнику достаточно воспользоваться несколькими уязвимостями средней критичности, что позволяет сделать вывод: отсутствие уязвимостей высокой степени риска не означает, что система хорошо защищена, отмечается в сообщении.

Согласно результатам исследования, в каждой третьей системе возможно получение доступа к операционной системе или СУБД сервера, в ряде случаев возможно получение полного контроля над ОС или СУБД. Еще 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. Среди обнаруженных уязвимостей ДБО экспертами было выявлено 8% уязвимостей высокого уровня риска, 51% среднего уровня риска, и 41% — низкого уровня.

По мнению Евгении Поцелуевской, руководителя аналитической группы отдела анализа защищенности Positive Technologies, банки принимают меры для того, чтобы защититься от подбора паролей к личным кабинетам пользователей, но часто эти меры оказываются недостаточными. Во всех исследованных компанией системах те или иные ограничения на выбор пароля пользователя присутствовали, но каких-то требований не хватало. В каждой пятой системе, минимальная длина пароля составляла 6 символов — несколько лет назад этого было бы достаточно, но в современных условиях пароль такой длины может быть подобран достаточно быстро. Лучше, чтобы длина пароля составляла как минимум 8 символов.

«Эти и другие пробелы в парольной политике могут быть связаны желанием обеспечить более удобную работу с системой для пользователей, а также с тем, что банки полагаются на то, что используемые механизмы защиты от подбора паролей сильно ограничат возможности атакующего. Но, как показывает практика, и эти механизмы несовершенны (вторая по распространенности уязвимость). Уязвимости этой категории, как правило, связаны с тем, что не всегда специалисты банков и разработчики систем ДБО обладают глубокими практическими знаниями в области информационной безопасности, которые позволили бы им предусмотреть все возможные варианты обхода существующей защиты», — сообщила Поцелуевская.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В России предложили штрафовать за поиск экстремистских материалов и VPN

Ко второму чтению законопроекта №755710-8 предложены поправки, вводящие штрафы за умышленный поиск и получение доступа к «заведомо экстремистским материалам», а также за рекламу VPN-сервисов и других технических средств, позволяющих обходить блокировки.

Поправки внесены в законопроект о внесении изменений в КоАП, изначально касавшийся исключительно регулирования транспортно-экспедиционной деятельности. Документ был принят в первом чтении 20 января 2025 года.

Как сообщает «Интерфакс», предлагается дополнить КоАП РФ новой статьёй 13.53, устанавливающей ответственность за умышленный поиск в интернете «заведомо экстремистских материалов», включённых в соответствующий список, а также за получение доступа к ним, в том числе с использованием VPN. За это предусмотрен штраф для граждан в размере от 3 до 5 тысяч рублей.

Реклама технических средств доступа к информационным ресурсам, доступ к которым ограничен, повлечёт административную ответственность: штраф для граждан составит от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч рублей, для юридических лиц — от 200 до 500 тысяч рублей.

Неисполнение владельцем VPN-сервиса требований по взаимодействию с Роскомнадзором или отказ от подключения к государственной информационной системе учёта ресурсов повлечёт аналогичные штрафы: для граждан — от 50 до 80 тысяч рублей, для должностных лиц — от 80 до 150 тысяч, для юридических лиц — от 200 до 500 тысяч рублей. При повторных нарушениях размер штрафов увеличится в 2–4 раза.

Как отметил юрист Станислав Селезнёв в комментарии для Forbes, ранее в российском законодательстве отсутствовала ответственность за потребление контента. Сведения о поисковых запросах и доступе к сайтам правоохранительные органы могут получать у владельцев поисковых систем и операторов связи — если пользователь не шифрует трафик.

По словам источника Forbes, доказать факт такого правонарушения затруднительно без изъятия устройства.

«К тексту очень много вопросов и замечаний. Можно лишь пожелать, чтобы для думских инициатив были предусмотрены процедуры, аналогичные тем, что применяются к правительственным законопроектам — это могло бы значительно повысить качество депутатских инициатив», — отметил собеседник Forbes из отрасли.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru