Alexey Sintsov - Where do the money lie

Где лежат деньги?

Алексей Синцов
Руководитель Департамента Аудита ИБ
Digital Security
© 2002—2011 , Digital Security


#whoami
Digital Security:
• Аудит/Тест на проникновение (ISO/PCI/PA–DSS и бла-бла-бла)
• Анализ защищенности ERP/SAP/ ДБО/Citrix/VMware
• Разработка «специализированного софта»
• Поиск ошибок и уязвимостей (DSecRG)
• Поиск путей эксплуатации
Журнал XAKEP:
• Когда-то: колонка «Обзор Эксплойтов»
• Статьи на тему разработки эксплойтов и тестов
на проникновение

Люблю поболтать:
• CONFidence 2011 Krakow
• Hack In The Box 2010 Amsterdam
• Chaos Construction 2011 СПБ

© 2002—2011, Digital Security


$$$

Где можно поднять немного РЕАЛЬНЫХ
денег ?

Клиенты:
Банковские Карты

Банки: ДБО/АБС
Клиенты: ДБО Процессинги
ТСП: Шопы
Мерчанты



Цель - ПО Банка

• Мало информации

• Инциденты - не было/неизвестны/скрыты (нужное подчеркнуть)

• Ответственность Банка

• Будущие цели …



Как это работает
СЕРВЕРНАЯ ЧАСТЬ КЛИЕНТСКАЯ

Ы Ы Ы Ы
Ы
ActiveX

WEB- Ы
приложение
АБС/СУБД СУБД
Браузер

WEB-сервер

Операционная Операционная Операционная Операционная
Система Система Система Система


...



Так где лежат деньги?



Так где лежат деньги?

АБС - счета клиентов и все самое ценное там

Процессинг - работа с картами

WEB  SOFT  RDBMS  SOFT  RDBMS

Деньги тут



Атака в лоб…. WEB

• В 90% отечественных ДБО есть/были XSS
• SQLi - то же бывают

^^^^^^^^^^^^^^^^^^^^^^^^^^^
…это и так все знают (Правда?)



Атака в лоб…. WEB

• В 90% отечественных ДБО есть/были XSS
• SQLi - то же бывают

^^^^^^^^^^^^^^^^^^^^^^^^^^^
…это и так все знают (Правда?)

• Ошибки авторизации
(местами их и вовсе не бывает)
• Раскрытие данных
• Ошибки АРХИТЕКТУРЫ
• И многое другое……..

Не слишком ли много для такого
критичного продукта?



Хотите примеров? Их есть у меня!

ДБО для физ. лиц (pre-auth):

> GET /online/usersPANList.jsp?uname=OAOKlient3 HTTP/1.1
> ….
> ….

< 200 OK HTTP/1.1
< ….
< PAN[0]=4234567890123456
< PAN[1]=4234567890123457
< ….

Получаем карты без аутентификации…
Кстати, PCI DSS НЕ работает тут…



Хотите примеров? Их есть у меня ещё!

ДБО для юр. лиц (post-auth):

GET /online/userinfo.jsp?uid=1478 HTTP/1.1

• Это было c CitiBank недавно….

GET /online/main_template.jsp?uid=1478 HTTP/1.1

• Доступ к ЧУЖИМ шаблонам страниц
• С возможностью ИЗМЕНЕНИЯ
• С уязвимостью типа stored XSS …
 Инфицирование всех профелей

EPIC FAIL



Баги-багами, а деньги-то где?

Для примера c физ. лицами :
• CSRF для получения данных виртуальных карт CVV2 …
• HolderName = Virtual Card
• EXP. Date = + 1 месяц
// Если не вируталка, то все кроме CVV2
Profit!

Для примера с юр лицами:
- ЭЦП ставит клиент на своем ПК!
- Баги на сервере НЕ могут влиять на ключ клиента.
- Деньги не украсть?

P.S.
• Мы говорим о клиенте который защищен и не затроянен.
• Используем только дыры на ДБО.



XSS vs. Token

XSS

-> OOO “WikiLeaks”
-> 3.000 RUR



XSS vs. Token

Troll-in-the-Browser

-> OOO “WikiLeaks”
-> 3.000 RUR



XSS vs. Token

Bender-in-the-Browser

<- OOO “WikiLeaks”
<- 3.000 RUR

<- OOO “RogaKopyta”
<- 3.000 RUR



XSS vs. Token


Подписать
<- 3.000 RUR

<- OOO “RogaKopyta”
<- 3.000 RUR



XSS vs. Token


Подписать
<- 3.000 RUR

-> OOO “RogaKopyta”
-> 3.000 RUR
-> Sign



XSS vs. Token


<- 3.000 RUR
Отправить
<- Статус: подписано

-> OOO “RogaKopyta”---- >
-> 3.000 RUR ---- >
-> Sign ---- >



XSS vs. Token


<- OOO “WikiLeaks” <- OOO “RogaKopyta”
<- 3.000 RUR <- 3.000 RUR
<- Статус: Выполнено <- Статус: Выполнено



Решение 1: Уведомление по второму каналу


Подготовить!
<- 3.000 RUR
-> 3.000 RUR 1. SHA1(in + RND)
-> Подготовить = hash
2. Send SMS





Отмена!
<- 3.000 RUR
-> 3.000 RUR 1. SHA1(in + RND)
-> 3.000 RUR
-> hash 2. Send SMS

3. Send hash for sign
-> 3.000 RUR





Отмена!
<- 3.000 RUR
-> 3.000 RUR 1. SHA1(in + RND)
2. Send SMS

3. Send hash for sign
+ OTP
-> 3.000 RUR + OTP



Решение 2: Токен с дисплеем


Отмена!
<- 3.000 RUR

^ ^ ^
| | |
-> 3.000 RUR
-> Sign



SMS - OTP

SuperBankInfo:
Перевод:
3.000 руб
на счет:
400810000010010



Кое-что об АБС

Кому
Сколько

Сессия

Browser  WEB  SOFT  RDBMS  RDBMS
Деньги тут



Кому
Сколько
Принято

Кому
Сколько
Id
Status:0

Деньги тут



id
Подпись

Сессия

Кому
Сколько
Id
Status:0

Деньги тут



id
Подпись
Подписано

Кому
Сколько
Id
Status:1

UID.pub Деньги тут



INSERT INTO ABS.docz …
id FROM DBO.docz
WHERE status=1

Кому Кому
Сколько Сколько
Id Id_ABS
Status:1

Деньги тут



id

Доставлено

Кому Кому
Id Id_ABS
Status:2

Деньги тут



id

Ваше желание
исполнено!
Кому
Сколько Кому
Id Сколько
Status:3 Id_ABS

Деньги тут


Атака с учетом архитектуры

• Обход проверки ЭЦП
• Не спасут Токены
• Не спасут Токены с дисплеем

• Уведомления - постфактум (DoS via SMS)



Атака

Кому
Сколько

Сессия

Деньги тут


Отсылка без ЭЦП…

Кому
Сколько

Сессия

Деньги тут


Жаль, что нет ключа у нас

Кому
Сколько

Принято
Кому
Сколько
Id
Status:0

Деньги тут


SQLi против АБС

Id; update …

‘; update … set status =1

Кому
Сколько
Id
Status:1

Деньги тут


Троллим АБС

INSERT INTO ABS.docz …
id FROM DBO.docz
WHERE status=1

Кому Кому
Id Id_ABS
Status:1

Деньги тут


Платежка ушла

id

Доставлено

Кому
Кому
Сколько
Сколько
Id
Id_ABS
Status:2

Деньги тут


… yea.

id

Ваше желание
исполнено! Кому
Кому
Сколько
Сколько
Id
Id_ABS
Status:3

Деньги тут


Логика работы с Token’ом

• Подпись «на лету»
• Подпись с сохраненным PIN’ом
• Ввод PIN’а средствами JavaScript

<object … id=‘token’>
…
<script>
token.silent_mode=true;
var sign = token.Sing(data); //PIN из памяти…
</script>

 Можно выполнить подпись на ДРУГОМ сайте и отправить
платежку, например, используя CSRF

P.S. Молчу уж про XSS…


Клиентское ПО

ActiveX

- SafeForScripting
- SafeForInit
- Домен



Клиентское ПО

ActiveX

- SafeForScripting
- SafeForInit
- Домен -------------> bankZ.ru <> bankckient.bankZ.ru



Old 1DAY -

Мы уведомили производителя ДВА года назад

Но на одном из доменов обновления нет…


New 0DAY -

Ошибки логики…

Свежая, но стоит ли раскрывать? --- #NOMOREFREEBUGS


New 0/1DAY -

Мне нечего сказать…

p.S Не только ActiveX


Выводы

• Ошибки в коде
• Ошибки в архитектуре
• Ошибки при внедрении
• Отсутствие применения существующих мер защиты (от DEP до HTTPOnly)
• Отсутствие процедур проверки ИБ
• Отсутствие процедуры распространения КРИТЧИНЫХ патчей!
• Банки НЕ информируются о наличиях проблем с ИБ в ПО!

Классические ошибки в коде + слабая архитектура + отсутствие защит = ДБО

Зато сертифицированные СКЗИ есть!



Выводы



Меры смягчения: СУБД

• Роли приложений • Шифрование паролей

• Роли операторов • Хранение ЭЦП

• Роли администраторов • Хранимые процедуры



Меры смягчения: WEB

- HttpOnly
- Secure
- Уникальный токен запроса
- SSL
- Frame Busting

XSS позволяет подменять данные и код на странице
платежной системы!

CSRF позволяет выполнять действия от имени
пользователя в Системе!
https://www.owasp.org/index.php/ https://www.owasp.org/index.php/Cross- https://www.owasp.org/index.php/Clickjacking
OWASP_Code_Review_Guide_Ta Site_Request_Forgery_(CSRF)_Prevent
ble_of_Contents ion_Cheat_Sheet


Меры смягчения: ПО

- ASLR
- DEP
- /GS
- SEHOP
- Анализ кода
- Анализ логики
- Фаззинг

https://www.securecoding.cert.org/confluence/display/s
eccode/CERT+C+Secure+Coding+Standard

https://www.securecoding.cert.org/confluence/pages/vi http://www.microsoft.com/security/sdl/default.aspx
ewpage.action?pageId=637



Процессы…

Рекомендую…



Заключение
• Большая часть ДБО - содержит уязвимости. (По результатам пен-тестов,
в 100% системах были XSS уязвимости)
• Что бы обойти защиту Token’а - достаточно XSS или CSRF
• Большую часть ошибок могут поэксплуатировать НЕ специалисты (CitiBank)
• При неправильной архитектуре - ЭЦП и вовсе ‘ФИКТИВНАЯ’ защита
• Уязвимое ПО выдается не только Банку, но и его клиентам.
• Вендоры НЕ информируют Банки о наличиях проблем с ИБ в ПО!

• Системы разрабатывалась без учета возможных угроз

+

• Проблемы ИБ внутри Банка (фильтрация, сегментация, патч-менеджмент)
• Ошибки при внедрении

 Деньги лежат в …



Заключение


www.twitter.com/asintsov
a.sintsov@dsec.ru

Alexey Sintsov - Where do the money lie

Recomendados

Recomendados

Más contenido relacionado

Destacado

Destacado (20)

Similar a Alexey Sintsov - Where do the money lie

Similar a Alexey Sintsov - Where do the money lie (20)

Más de DefconRussia

Más de DefconRussia (20)

Alexey Sintsov - Where do the money lie