MillyBbb 2 Опубликовано 7 февраля, 2012 Share Опубликовано 7 февраля, 2012 (изменено) DSecRG, исследовательский центр компании Digital Security, опубликовал отчет о результатах исследований защищенности банк-клиентов ведущих российских производителей за период с 2009 по 2011 гг. Основной вывод из трехлетнего исследования подавляющего большинства имеющихся на российском рынке систем ДБО заключается в том, что, несмотря на чрезвычайную критичность программного обеспечения данного класса, общий уровень защищенности систем ДБО, по оценкам исследователей, находится на крайне низком уровне. Банк-клиенты содержат большое количество критичных уязвимостей разных классов, большая часть из которых была свойственна системам, разработанным еще в 90-е годы. Так, в совокупности с отсутствием защитных механизмов и наличием уже далеко не новых уязвимостей, в системах ДБО актуальны атаки, приводящие к подделке злоумышленником платежных поручений с корректной ЭЦП пользователя. Атакующие могут элементарно взаимодействовать с ActiveX-компонентами токена или системы ДБО, выполняя скрытый перебор ПИН-кодов с вредоносного сайта и подпись любых данных. Алексей Синцов, руководитель департамента аудита ИБ Digital Security: "Опыт нашей работы показал печальный факт: критичность ПО не влияет на уровень его защищенности. Разработчики уделяют внимание безопасности кода, только когда их продукт начинают массово взламывать. Пример такого отношения – то, что сейчас происходит с ПО АСУ ТП. Точно такая же ситуация – и с банковским ПО". "Аудит защищенности банк-клиентов является одной из наших основных специализаций. Поэтому дежавю - вот первое, что приходит нам в голову для наиболее точной характеристики результатов проведенного исследования. Мы как будто перенеслись на 10–15 лет назад в "славные" 90-е годы, когда о безопасности бизнес-приложений, к которым относятся системы ДБО, не задумывался практически никто. Разработчики систем ДБО по-прежнему допускают те же ошибки, не заметив, что мир безопасности, как и мир киберпреступности, за последнее десятилетие сделал огромный шаг вперед ", – отметил Илья Медведовский, директор Digital Security. Источник: AntiMalware Полный отчет: Digital Security Изменено 7 февраля, 2012 пользователем MillyBbb Цитата Ссылка на сообщение Поделиться на другие сайты
ЗЛОЙДЕД 333 Опубликовано 7 февраля, 2012 Share Опубликовано 7 февраля, 2012 Наши банки не настолько богаты, чтобы тратить деньги на новые банк-клиенты =) Цитата Ссылка на сообщение Поделиться на другие сайты
MillyBbb 2 Опубликовано 7 февраля, 2012 Автор Share Опубликовано 7 февраля, 2012 проблемы не только у банков, но и у клиентов, не желающих вникать в проблемы своей безопасности «Само проникновение осуществляется, например, через рассылку по электронной почте. В рассылке указывается ссылка либо на файл, который надо скачать, либо на сайт, либо на PDF-документ. Уязвимости в ПО (Acrobat Reader, Internet Explorer, Java VM и т.д.) эксплуатируют данные документы или сайты и пытаются установить вредоносное ПО.» и это до сих пор работает! Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.