RU EN
SKY-FRAUD.RU - Carding forum | Кардинг форум
Добро пожаловать на SKY-FRAUD.RU, после регистрации , вам будут доступны все разделы форума.

Вернуться   SKY-FRAUD.RU > Проект NETSKY > СМИ о нас > Системы онлайн-банкинга известных вендоров защищены хуже самописных
 
Adv. info:
Основные домены форума: SKY-FRAUD.RU | S-FRAUD.RU              TOR: bcbm4y7yusdxthg3.onion              Monopoly.ms - Russian hacking community
СМИ о нас Интересные новости, касающиеся кардинг- и других тематик.
Ежедневное обновление и переводы зарубежных новостей.

UAS section 1
FE051217
Advert 3
Ответ
 
Опции темы Опции просмотра
Старый 22.10.2013, 18:49   #1
ScrugMacDac$
Banned
 
Аватар для ScrugMacDac$
 
ScrugMacDac$ вне форума
Регистрация: 02.09.2013
Сообщений: 310
По умолчанию Системы онлайн-банкинга известных вендоров защищены хуже самописных

вендору обеспечить необходимый уровень защищенности на уровне кода приложения.

Из 11 рассмотренных систем, 6 были построены на базе решений, поставляемых известными вендорами. Специалисты Positive Technologies не раскрывают имена разработчиков, однако подчеркивают, что системы ДБО от этих производителей широко распространены на российском рынке. Поэтому результаты данного исследования актуальны не только для представленной выборки, но и для сотни других банков.


Максим Волков, директор департамента информационных технологий «СБ Банка», рассказал CNews, что его банк использует самостоятельно разработанную систему ДБО. «Нам это позволяет оперативно реагировать на быстро меняющиеся условия обслуживания, - говорит он. - Есть еще мнение, что обычно (хотя не всегда) под стандартную реализацию ДБО придумать варианты эксплуатации ошибок в реализации безопасности проще. Это связано как минимум с широтой распространения сведений об этих самых недоработках».

По мнению Волкова, в течение 2012-2013 гг. случаев мошенничества через систему ДБО в «СБ Банке» выявлено не было.

Среди всех обнаруженных недостатков защиты ДБО было выявлено 8% уязвимостей высокого уровня риска, 51% среднего уровня риска и 41% — низкого уровня. Наиболее распространенные уязвимости: слабая парольная политика и недостаточная защита от подбора учетных данных (подвержены 82% рассмотренных систем). Во многих системах можно обнаружить информацию о версиях используемого ПО (73%), что облегчает планирование атак на уязвимую систему, подчеркивают специалисты Positive Technologies.

Все рассмотренные системы ДБО имели недостатки реализации механизма аутентификации - слабую парольную политику или недостаточную защиту от подбора учетных данных, а двухфакторная аутентификация использовалась только в двух исследованных системах.

Более 60% исследованных систем ДБО содержали как минимум один из недостатков механизма идентификации пользователей — предсказуемый формат идентификаторов пользователей или раскрытие информации о существующих в системе идентификаторах.

Более 80% систем содержали различные недостатки механизма авторизации, а в трех системах полностью отсутствовала двухфакторная авторизация при проведении транзакций. В Positive Technologies отмечают, что по отдельности эти уязвимости не несут высоких рисков для системы, однако их сочетание может быть использовано злоумышленником для получения доступа в личные кабинеты пользователей. При этом 73% систем ДБО, которые включены в исследование, предназначены для работы с физическими лицами.

«На сегодняшний день наиболее вероятный сценарий успешной атаки на серверную часть системы ДБО — получение доступа к учетным записям отдельных клиентов с использованием недостатков в механизмах идентификации и аутентификации, управления сессиями, словарных паролей и т. п. Создается впечатление, что разработчики опасаются чересчур усложнить пользовательский интерфейс, но в результате облегчают жизнь не только клиентам, но и преступникам», — отмечает Дмитрий Кузнецов, заместитель технического директора Positive Technologies.

Отчет по исследованию : ptsecurity.ru/download/Analitika_DBO.pdf

• Source: safe.cnews.ru/news/top/index.shtml?2013/10/21/546707
 
Ответить с цитированием

Advertising \ Реклама
Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donald Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU


Sell RDP/Продажа дедиков/RDP SHOP #1
Ссылки для доступа к сервису: UAS-STORE.RU \ U-A-S.RU


HQ DUMPS by Donal Trump
Ссылки для доступа к сервису: TRUMP-DMPS.RU



Ответ
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 
Опции темы
Опции просмотра
Ваши права в разделе
no Вы не можете создавать новые темы
no Вы не можете отвечать в темах
no Вы не можете прикреплять вложения
no Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход

Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Банк Halifax завершил первые испытания "сердечной аутентификации" для онлайн-счетов SkyNet СМИ о нас 0 20.03.2015 19:23
Win32/Emotet крадет логины и пароли от онлайн-банкинга SkyNet СМИ о нас 0 17.02.2015 21:01
Южнокорейских пользователей систем онлайн-банкинга атакует троянец SkyNet СМИ о нас 0 27.06.2014 18:17
Клиентов систем онлайн-банкинга атакует троян Dyre SkyNet СМИ о нас 0 26.06.2014 22:57
Пользователи сервисов онлайн-банкинга в Восточной Европе подверглись атаке хакеров ScrugMacDac$ СМИ о нас 0 23.10.2013 13:15


Forum partners: https://monopoly.ms