www.anti-virus.by  / пресс-центр / новости иб ENGНа главнуюНаписать письмоПоискКарта сайта
 ВирусБлокАда 
ПОИСК ПО САЙТУ
Перейти к просмотру корзины В корзине:
0 прод.
 
 
 

НОВОСТИ ИБ

 

5 июля 2017

Отчет PT: в каждом втором онлайн-банке собственной разработки устаревшее ПО, в каждом третьем уязвимости позволяют украсть деньги

Безопасность общедоступных веб- и мобильных приложений в финансовой сфере до сих пор оставляет желать лучшего, поскольку для таких приложений характерны все уязвимости и угрозы, известные в области безопасности приложений (WASC TC v. 2), - отмечается в отчете Positive Technologies. При этом, подчеркивают эксперты, в случае банковских приложений реализация угроз приводит к серьезным последствиям — включая хищение денежных средств, несанкционированный доступ к персональным данным и банковской тайне, а также репутационные потери для бизнеса.

Общее число уязвимостей в финансовых приложениях в 2016 году снизилось, однако, согласно отчету, доля критически опасных уязвимостей выросла на 8%, среднего уровня риска — на 18%. Наиболее распространены оказались уязвимости, связанные с недостатками механизмов идентификации, аутентификации и авторизации.

В среднем в 2016 году на каждое финансовое приложение приходилось по 6 уязвимостей, что значительно меньше показателей предыдущего года, когда на каждую систему ДБО их приходилось около 9. Это говорит о том, что компании не игнорируют сведения о возможных угрозах, а принимают меры по защите приложений.

В 2015 году всего треть уязвимостей имели высокий уровень риска, но они были распределены равномерно практически по всем исследованным системам, лишь в 10% систем ДБО не было найдено критически опасных недостатков. В 2016 году картина изменилась: 38% выявленных недостатков — критически опасные, однако сосредоточены они в 71% проанализированных систем. А каждое третье приложение содержало уязвимости не выше среднего уровня опасности.

Как отмечают специалисты PT, приложения, разработанные вендорами, в среднем содержали два раза больше недостатков чем те, которые банки разработали самостоятельно. В первом случае 23% выявленных уязвимостей характеризовались высокой степенью риска, и среди них преобладали «Внедрение внешних сущностей XML» и «Нарушение логики работы приложения», а 65% уязвимостей представляли средний уровень опасности. Во втором случае (при собственной разработке) 39% также содержали критически опасные уязвимости, большую часть из которых составляли ошибки, связанные с недостаточной авторизацией и с реализацией двухфакторной аутентификации.

Каждый третий онлайн-банк содержит уязвимости, позволяющие украсть деньги, а в каждом втором онлайн-банке собственной разработки использовалось устаревшее ПО, - подчеркивается в отчете.

Двухфакторная аутентификация при входе в личный кабинет присутствовала лишь в 71% финансовых веб-приложений, а подтверждение транзакций одноразовым паролем требовалось и вовсе только в половине систем.

Среди недостатков реализации двухфакторной аутентификации (помимо ее отсутствия) эксперты отмечают следующие:

+ генерация одноразового пароля на стороне клиента;

+ одноразовый пароль не привязан к совершаемой операции;

+ отсутствие ограничения по числу попыток ввода одноразового пароля;

+ отсутствие ограничения на время жизни одноразового пароля.

Больше половины финансовых веб-приложений не обеспечивают достаточную защиту от подбора аутентификационных данных (идентификаторов и паролей пользователей). Среди недостатков данного типа эксперты выделают:

+ использование предсказуемых идентификаторов, таких как номер мобильного телефона;

+ использование предсказуемых паролей для входа в систему, таких как дата рождения пользователя, назначенных по умолчанию и без возможности смены;

+ отсутствие либо возможность обхода механизма CAPTCHA;

+ отсутствие временной блокировки учетных записей после нескольких неудачных попыток ввода учетных данных.

Кроме того, специалисты Positive Technologies обращают внимание на то, что мобильные банки отличаются проблемами с хранением и передачей данных: в каждом третьем приложении можно перехватить или подобрать учетные данные для доступа. Банковские iOS-приложения по-прежнему безопаснее, чем их аналоги для Android. При этом серверные части мобильных банков защищены значительно хуже клиентских: уязвимости высокой степени риска найдены в каждой исследованной системе.

Что касается автоматизированных банковских систем, то две трети уязвимостей, выявленных в них, оказались критически опасными — включая такие, которые позволяют получить административный доступ к серверу. Тренды целевых атак 2016 года показывают, что злоумышленники все активнее используют подобные возможности для атак на финансовый сектор.

Новости по теме

Google будет собирать данные об использовании банковских карт в физических магазинах

Еженедельно Сбербанк фиксирует свыше 5 тыс. атак с применением социальной инженерии


Все новости | Июль 2017 | Июнь 2017 | Май 2017 | Апрель 2017 | Март 2017 | Февраль 2017 | Август 2014 | Март 2014 | Февраль 2014 | Январь 2014 | Декабрь 2013 | Ноябрь 2013 | Октябрь 2013 | Сентябрь 2013 | Январь 2013 | Декабрь 2012 | Ноябрь 2012 | Октябрь 2012 | Сентябрь 2012 | Август 2012 | Июль 2012 | Июнь 2012 | Май 2012 | Апрель 2012 | Март 2012 | Февраль 2012 | Январь 2012 | Декабрь 2011 | Ноябрь 2011 | Октябрь 2011 | Сентябрь 2011 | Август 2011 | Июль 2011 | Июнь 2011 | Май 2011 | Сентябрь 2010 | Август 2010 | Июль 2010 | Июнь 2010 | Май 2010 | Апрель 2010 | Март 2010 | Февраль 2010 | Январь 2010 | Декабрь 2009 | Ноябрь 2009 | Октябрь 2009 | Сентябрь 2009 | Август 2009 | Июль 2009 | Июнь 2009 | Май 2009 | Апрель 2009 | Март 2009 | Февраль 2009 | Январь 2009 | Декабрь 2008 | Ноябрь 2008 | Октябрь 2008 | Сентябрь 2008 | Август 2008 | Июль 2008 | Июнь 2008 | Май 2008 | Апрель 2008 | Март 2008 | Февраль 2008 | Январь 2008 | Декабрь 2007 | Ноябрь 2007 | Октябрь 2007 | Сентябрь 2007 | Август 2007 | Июль 2007 | Июнь 2007 | Май 2007 | Апрель 2007 | Март 2007 | Февраль 2007 | Январь 2007 | Ноябрь 2006 | Октябрь 2006 | Сентябрь 2006 | Август 2006 | Июль 2006 | Июнь 2006 | Май 2006 | Апрель 2006 | Март 2006 | Февраль 2006 | Январь 2006 | Декабрь 2005 | Ноябрь 2005 | Октябрь 2005 | Сентябрь 2005 | Август 2005 | Июль 2005 | Июнь 2005 | Май 2005 | Апрель 2005 | Март 2005 | Апрель 2004 | Март 2004 | Февраль 2004
 
КОНТАКТЫ
220088, РБ, Минск, ул. Смоленская, 15 — 803б
телефон: (+375 17) 294-84-29 (коммерческий отдел)
телефон: (+375 17) 290-59-29 (технический отдел)
E-mail: info@anti-virus.by
Прислать вирус: feedback@anti-virus.by
Для персонального компьютераДля рабочей станции в сетиСредство программное КАНОЭКонсольный сканерДля файловых серверовАвтоматизированное управление и обновлениеЗащита почтовых системЗащита интернет-шлюзовПрограммное средство АркитУтилитыКорзинаКупить
Антивирус
Антивирус на месяцИмпортозамещениеПоддержка образованияПоддержка медициныДисконтная система «Клубная карта ХК «Динамо-Минск»
Основные сведенияБлогЛицензии и сертификатыКлиентыПартнерыУслугиВакансии
Новости компанииПродукты и обновленияНовости ИБПресс-китПодписка на рассылку
БеларусьУкраинаБолгарияВеликобританияГонконгИранКитайЛатвияПольшаРумынияЯпонияПриглашение к сотрудничеству