Слабые пароли - основной недостаток систем ДБО

Слабые пароли - основной недостаток систем ДБО

Наиболее распространенные уязвимости в системах дистанционного банковского обслуживания (ДБО) связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%), говорится в исследовании Positive Technologies.

Согласно сообщению, во многих системах также присутствует раскрытие информации о версиях используемого программного обеспечения (73%), что облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на пользователей (например, с использованием методов социальной инженерии). Самые распространенные уязвимости, по результатам проведенного исследования, имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие индивидуальных для конкретных систем критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой, пишет digit.ru.

Как сообщил Digit.ru Сергей Гордейчик, заместитель генерального директора Positive Technologies, «В поисках компромисса между защищенностью и удобством, часто выбор делается в пользу последнего, поскольку пользователи ДБО не всегда в состоянии запоминать и использовать сложные пароли. В целом, мы считаем, что аутентификация по паролю уже не соответствует современным требованиям безопасности. Что касается подбора (Bruteforce), то этот класс уязвимостей распространяется не только на пароли, но и на другие секреты (идентификатор пользователя, номер счета или карты, cvv/cvc, одноразовый пароль, CAPTCHA). Зачастую о возможности подбора этих значений разработчики забывают. Кроме того, в последнее время активно внедряются системы ДБО для мобильного банкинга, смартфонов и планшетов. И в стремлении упростить интерфейс и реализацию подобных систем разработчики „забывают“ о уже реализованных во „взрослой“ версии ДБО защитных механизмах».

По данным исследования, более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных вендорами. Часто для несанкционированного проведения транзакций на уровне пользователей систем ДБО злоумышленнику достаточно воспользоваться несколькими уязвимостями средней критичности, что позволяет сделать вывод: отсутствие уязвимостей высокой степени риска не означает, что система хорошо защищена, отмечается в сообщении.

Согласно результатам исследования, в каждой третьей системе возможно получение доступа к операционной системе или СУБД сервера, в ряде случаев возможно получение полного контроля над ОС или СУБД. Еще 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. Среди обнаруженных уязвимостей ДБО экспертами было выявлено 8% уязвимостей высокого уровня риска, 51% среднего уровня риска, и 41% — низкого уровня.

По мнению Евгении Поцелуевской, руководителя аналитической группы отдела анализа защищенности Positive Technologies, банки принимают меры для того, чтобы защититься от подбора паролей к личным кабинетам пользователей, но часто эти меры оказываются недостаточными. Во всех исследованных компанией системах те или иные ограничения на выбор пароля пользователя присутствовали, но каких-то требований не хватало. В каждой пятой системе, минимальная длина пароля составляла 6 символов — несколько лет назад этого было бы достаточно, но в современных условиях пароль такой длины может быть подобран достаточно быстро. Лучше, чтобы длина пароля составляла как минимум 8 символов.

«Эти и другие пробелы в парольной политике могут быть связаны желанием обеспечить более удобную работу с системой для пользователей, а также с тем, что банки полагаются на то, что используемые механизмы защиты от подбора паролей сильно ограничат возможности атакующего. Но, как показывает практика, и эти механизмы несовершенны (вторая по распространенности уязвимость). Уязвимости этой категории, как правило, связаны с тем, что не всегда специалисты банков и разработчики систем ДБО обладают глубокими практическими знаниями в области информационной безопасности, которые позволили бы им предусмотреть все возможные варианты обхода существующей защиты», — сообщила Поцелуевская.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Басманный суд заочно арестовал Сергея Мацоцкого по делу о взятке

Басманный суд Москвы заочно арестовал одного из основателей компании IBS, бывшего члена совета директоров Альфа-банка и «Вымпелкома» Сергея Мацоцкого. Решение принято по ходатайству следствия в рамках уголовного дела о даче взятки в особо крупном размере.

Об этом сообщил «Интерфакс». Подробности уголовного дела официально не раскрываются. По оценке телеграм-канала Mash, Мацоцкому может грозить до 15 лет лишения свободы.

«Постановлением Басманного районного суда города Москвы удовлетворено ходатайство органов предварительного расследования об избрании меры пресечения в виде заключения под стражу в отношении Мацоцкого Сергея Савельевича, обвиняемого в совершении преступлений, предусмотренных ч. 5 ст. 291 УК РФ, меру пресечения в виде заключения под стражу на срок 2 месяца с момента его экстрадиции на территорию Российской Федерации либо с момента его задержания на территории Российской Федерации», — говорится в официальном сообщении судов общей юрисдикции Москвы.

Сергей Мацоцкий — один из основателей ИТ-интегратора IBS. В 2020 году он покинул компанию и создал инвестиционный холдинг «ГС-Инвест». Мацоцкого называют одной из влиятельных фигур в российской ИТ-отрасли. Его состояние оценивается в 14,5 млрд рублей.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru