Показано с 1 по 1 из 1.

Слабые пароли - основной недостаток систем ДБО

  1. #1
    NewsMaker Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    22.03.2011
    Сообщений
    7,807
    Вес репутации
    141

    Слабые пароли - основной недостаток систем ДБО

    Наиболее распространенные уязвимости в системах дистанционного банковского обслуживания (ДБО) связаны с недостатками парольной политики (82%) и слабой защитой от атак, направленных на подбор учетных данных пользователей (82%), говорится в исследовании Positive Technologies.

    Согласно сообщению, во многих системах также присутствует раскрытие информации о версиях используемого программного обеспечения (73%), что облегчает планирование атак на уязвимую систему. Среди уязвимостей уровня кода веб-приложения широко распространены недостатки, приводящие к межсайтовому выполнению сценариев (64%), что делает возможным проведение атак на пользователей (например, с использованием методов социальной инженерии). Самые распространенные уязвимости, по результатам проведенного исследования, имеют средний и низкий уровни риска. Однако сочетание подобных недостатков, а также наличие индивидуальных для конкретных систем критических уязвимостей может привести к серьезным последствиям, в том числе к получению полного контроля над системой, пишет digit.ru.

    Как сообщил Digit.ru Сергей Гордейчик, заместитель генерального директора Positive Technologies, «В поисках компромисса между защищенностью и удобством, часто выбор делается в пользу последнего, поскольку пользователи ДБО не всегда в состоянии запоминать и использовать сложные пароли. В целом, мы считаем, что аутентификация по паролю уже не соответствует современным требованиям безопасности. Что касается подбора (Bruteforce), то этот класс уязвимостей распространяется не только на пароли, но и на другие секреты (идентификатор пользователя, номер счета или карты, cvv/cvc, одноразовый пароль, CAPTCHA). Зачастую о возможности подбора этих значений разработчики забывают. Кроме того, в последнее время активно внедряются системы ДБО для мобильного банкинга, смартфонов и планшетов. И в стремлении упростить интерфейс и реализацию подобных систем разработчики „забывают“ о уже реализованных во „взрослой“ версии ДБО защитных механизмах».

    По данным исследования, более чем в 70% случаев было установлено, что злоумышленник может либо получить доступ к операционной системе или СУБД системы ДБО на уровне сервера, либо проводить несанкционированные транзакции на уровне отдельных пользователей. Уязвимости, приводящие к реализации подобных угроз, присутствуют как в системах собственной разработки, так и в системах, предоставленных вендорами. Часто для несанкционированного проведения транзакций на уровне пользователей систем ДБО злоумышленнику достаточно воспользоваться несколькими уязвимостями средней критичности, что позволяет сделать вывод: отсутствие уязвимостей высокой степени риска не означает, что система хорошо защищена, отмечается в сообщении.

    Согласно результатам исследования, в каждой третьей системе возможно получение доступа к операционной системе или СУБД сервера, в ряде случаев возможно получение полного контроля над ОС или СУБД. Еще 37% систем ДБО позволяют осуществлять несанкционированные транзакции на уровне пользователей. Среди обнаруженных уязвимостей ДБО экспертами было выявлено 8% уязвимостей высокого уровня риска, 51% среднего уровня риска, и 41% — низкого уровня.

    По мнению Евгении Поцелуевской, руководителя аналитической группы отдела анализа защищенности Positive Technologies, банки принимают меры для того, чтобы защититься от подбора паролей к личным кабинетам пользователей, но часто эти меры оказываются недостаточными. Во всех исследованных компанией системах те или иные ограничения на выбор пароля пользователя присутствовали, но каких-то требований не хватало. В каждой пятой системе, минимальная длина пароля составляла 6 символов — несколько лет назад этого было бы достаточно, но в современных условиях пароль такой длины может быть подобран достаточно быстро. Лучше, чтобы длина пароля составляла как минимум 8 символов.

    «Эти и другие пробелы в парольной политике могут быть связаны желанием обеспечить более удобную работу с системой для пользователей, а также с тем, что банки полагаются на то, что используемые механизмы защиты от подбора паролей сильно ограничат возможности атакующего. Но, как показывает практика, и эти механизмы несовершенны (вторая по распространенности уязвимость). Уязвимости этой категории, как правило, связаны с тем, что не всегда специалисты банков и разработчики систем ДБО обладают глубокими практическими знаниями в области информационной безопасности, которые позволили бы им предусмотреть все возможные варианты обхода существующей защиты», — сообщила Поцелуевская.

    anti-malware.ru

  2. Реклама
     

Похожие темы

  1. Логи с основной системы.
    От aurl в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 09.05.2013, 23:39
  2. В AES обнаружен серьезный недостаток
    От CyberWriter в разделе Новости компьютерной безопасности
    Ответов: 0
    Последнее сообщение: 18.08.2011, 21:10
  3. Ответов: 2
    Последнее сообщение: 30.06.2010, 20:59
  4. Основной скрипт исследования (заявка №641)
    От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
    Ответов: 2
    Последнее сообщение: 02.02.2010, 17:40
  5. Ответов: 7
    Последнее сообщение: 30.10.2009, 01:09

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00149 seconds with 18 queries