Enviar búsqueda
Cargar
Alexey Sintsov - Where do the money lie
•
1 recomendación
•
918 vistas
DefconRussia
Seguir
International Security Conference "ZeroNights 2011" - http://www.zeronights.org/
Leer menos
Leer más
Dispositivos y hardware
Vista de diapositivas
Denunciar
Compartir
Vista de diapositivas
Denunciar
Compartir
1 de 60
Descargar ahora
Descargar para leer sin conexión
Recomendados
Bervyachonok_epasaule
Bervyachonok_epasaule
FinancialStudio
Продукты корпоративного блока банка
Продукты корпоративного блока банка
ITB-vladimir
Payture платежные шлюзы в е-commerce e-travel_2012
Payture платежные шлюзы в е-commerce e-travel_2012
Payture
Live Mobile: "From Mobile Wallet To Wallet In Mobile" by Alexey Barinskiy, Qi...
Live Mobile: "From Mobile Wallet To Wallet In Mobile" by Alexey Barinskiy, Qi...
Андрей Акимов
Hlaponin_Svitit
Hlaponin_Svitit
FinancialStudio
Mobile Device Security
Mobile Device Security
qqlan
Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest
Recomendados
Bervyachonok_epasaule
Bervyachonok_epasaule
FinancialStudio
Продукты корпоративного блока банка
Продукты корпоративного блока банка
ITB-vladimir
Payture платежные шлюзы в е-commerce e-travel_2012
Payture платежные шлюзы в е-commerce e-travel_2012
Payture
Live Mobile: "From Mobile Wallet To Wallet In Mobile" by Alexey Barinskiy, Qi...
Live Mobile: "From Mobile Wallet To Wallet In Mobile" by Alexey Barinskiy, Qi...
Андрей Акимов
Hlaponin_Svitit
Hlaponin_Svitit
FinancialStudio
Mobile Device Security
Mobile Device Security
qqlan
Penetration testing (AS IS)
Penetration testing (AS IS)
Dmitry Evteev
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest 2012. Белов С. — Пентест на стероидах. Автоматизируем процесс
CodeFest
Pentest requirements
Pentest requirements
Glib Pakharenko
Avoid the Hack
Avoid the Hack
Jason Jakus
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
beched
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
qqlan
Web security
Web security
Sync.NET
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow
Database honeypot by design
Database honeypot by design
qqlan
Что такое пентест
Что такое пентест
Dmitry Evteev
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
Vadym_Chakrian
Wps pixie dust attack
Wps pixie dust attack
invad3rsam
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
Olesya Shelestova
#root это только начало
#root это только начало
Vlad Styran
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
yaevents
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
IT Club Mykolayiv
Wi Fi Security
Wi Fi Security
yousef emami
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Угадываем пароль за минуту
Угадываем пароль за минуту
Positive Hack Days
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
Крекс, Фекс, Пекс или как заработать на нейронных сетях
Крекс, Фекс, Пекс или как заработать на нейронных сетях
Skolkovo Robotics Center
Мошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операций
КРОК
Más contenido relacionado
Destacado
Pentest requirements
Pentest requirements
Glib Pakharenko
Avoid the Hack
Avoid the Hack
Jason Jakus
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
beched
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
qqlan
Web security
Web security
Sync.NET
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow
Database honeypot by design
Database honeypot by design
qqlan
Что такое пентест
Что такое пентест
Dmitry Evteev
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
Vadym_Chakrian
Wps pixie dust attack
Wps pixie dust attack
invad3rsam
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
Olesya Shelestova
#root это только начало
#root это только начало
Vlad Styran
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
SQALab
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
yaevents
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
IT Club Mykolayiv
Wi Fi Security
Wi Fi Security
yousef emami
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Teymur Kheirkhabarov
Угадываем пароль за минуту
Угадываем пароль за минуту
Positive Hack Days
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
qqlan
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
qqlan
Destacado
(20)
Pentest requirements
Pentest requirements
Avoid the Hack
Avoid the Hack
Что общего у CTF и тестов на проникновение?
Что общего у CTF и тестов на проникновение?
Kaspersky SAS SCADA in the Cloud
Kaspersky SAS SCADA in the Cloud
Web security
Web security
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Defcon Moscow #0x0A - Dmitry Evteev "Pentest vs. APT"
Database honeypot by design
Database honeypot by design
Что такое пентест
Что такое пентест
С чего начать свой путь этичного хакера?
С чего начать свой путь этичного хакера?
Wps pixie dust attack
Wps pixie dust attack
автоматизируем пентест Wifi сети
автоматизируем пентест Wifi сети
#root это только начало
#root это только начало
Этичный хакинг или пентестинг в действии
Этичный хакинг или пентестинг в действии
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Сканирование уязвимостей со вкусом Яндекса. Тарас Иващенко, Яндекс
Кое-что о Wi-Fi (Денис Жевнер)
Кое-что о Wi-Fi (Денис Жевнер)
Wi Fi Security
Wi Fi Security
этичный хакинг и тестирование на проникновение (Publ)
этичный хакинг и тестирование на проникновение (Publ)
Угадываем пароль за минуту
Угадываем пароль за минуту
Миссиоцентрический подход к кибербезопасности АСУ ТП
Миссиоцентрический подход к кибербезопасности АСУ ТП
D1 t1 t. yunusov k. nesterov - bootkit via sms
D1 t1 t. yunusov k. nesterov - bootkit via sms
Similar a Alexey Sintsov - Where do the money lie
Крекс, Фекс, Пекс или как заработать на нейронных сетях
Крекс, Фекс, Пекс или как заработать на нейронных сетях
Skolkovo Robotics Center
Мошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операций
КРОК
Электронные Банковские Деньги
Электронные Банковские Деньги
i-fa
Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Uisg itgov 7_top10
Uisg itgov 7_top10
uisgslide
Kuznetsov_Vasco
Kuznetsov_Vasco
FinancialStudio
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Vsevolod Shabad
терещенко Activ identity_4tress_as
терещенко Activ identity_4tress_as
Валерий Коржов
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Digital Security
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
Digital Security
NETteller — вершина интернет-банкинга
NETteller — вершина интернет-банкинга
Tachat Igityan
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Aleksey Lukatskiy
Case project
Case project
AtlasBlockchain
Электронные деньги (Волченко)
Электронные деньги (Волченко)
ekz0t1c
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Aleksey Lukatskiy
Safe tech калемберг_интернет-банкинг. как сделать работу клиента безопасной
Safe tech калемберг_интернет-банкинг. как сделать работу клиента безопасной
Expolink
Safe Tech: интернет-банкинг - как сделать работу клиента безопасной
Safe Tech: интернет-банкинг - как сделать работу клиента безопасной
Expolink
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопа...
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопа...
Expolink
Banking Security Misunderstanding
Banking Security Misunderstanding
Aleksey Lukatskiy
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Aleksey Lukatskiy
Similar a Alexey Sintsov - Where do the money lie
(20)
Крекс, Фекс, Пекс или как заработать на нейронных сетях
Крекс, Фекс, Пекс или как заработать на нейронных сетях
Мошенничество в системах ДБО. Анализ и контроль операций
Мошенничество в системах ДБО. Анализ и контроль операций
Электронные Банковские Деньги
Электронные Банковские Деньги
Uisg itgov 7_top10
Uisg itgov 7_top10
Uisg itgov 7_top10
Uisg itgov 7_top10
Kuznetsov_Vasco
Kuznetsov_Vasco
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
Как повысить результативность борьбы с фродом: опыт "Халык Банка"
терещенко Activ identity_4tress_as
терещенко Activ identity_4tress_as
Практические аспекты оценки защищенности систем ДБО
Практические аспекты оценки защищенности систем ДБО
Основные проблемы безопасности систем ДБО
Основные проблемы безопасности систем ДБО
NETteller — вершина интернет-банкинга
NETteller — вершина интернет-банкинга
Список потребностей CxO банка и как натянуть на них кибербезопасность
Список потребностей CxO банка и как натянуть на них кибербезопасность
Case project
Case project
Электронные деньги (Волченко)
Электронные деньги (Волченко)
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
Safe tech калемберг_интернет-банкинг. как сделать работу клиента безопасной
Safe tech калемберг_интернет-банкинг. как сделать работу клиента безопасной
Safe Tech: интернет-банкинг - как сделать работу клиента безопасной
Safe Tech: интернет-банкинг - как сделать работу клиента безопасной
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопа...
SafeTech (Д. Калемберг) - Интернет-банкинг: как сделать работу клиента безопа...
Banking Security Misunderstanding
Banking Security Misunderstanding
Финансовое обоснование инвестиций в ИБ банка
Финансовое обоснование инвестиций в ИБ банка
Más de DefconRussia
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...
DefconRussia
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...
DefconRussia
[Defcon Russia #29] Алексей Тюрин - Spring autobinding
[Defcon Russia #29] Алексей Тюрин - Spring autobinding
DefconRussia
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
DefconRussia
Георгий Зайцев - Reversing golang
Георгий Зайцев - Reversing golang
DefconRussia
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC
DefconRussia
Cisco IOS shellcode: All-in-one
Cisco IOS shellcode: All-in-one
DefconRussia
Олег Купреев - Обзор и демонстрация нюансов и трюков из области беспроводных ...
Олег Купреев - Обзор и демонстрация нюансов и трюков из области беспроводных ...
DefconRussia
HTTP HOST header attacks
HTTP HOST header attacks
DefconRussia
Attacks on tacacs - Алексей Тюрин
Attacks on tacacs - Алексей Тюрин
DefconRussia
Weakpass - defcon russia 23
Weakpass - defcon russia 23
DefconRussia
nosymbols - defcon russia 20
nosymbols - defcon russia 20
DefconRussia
static - defcon russia 20
static - defcon russia 20
DefconRussia
Zn task - defcon russia 20
Zn task - defcon russia 20
DefconRussia
Vm ware fuzzing - defcon russia 20
Vm ware fuzzing - defcon russia 20
DefconRussia
Nedospasov defcon russia 23
Nedospasov defcon russia 23
DefconRussia
Advanced cfg bypass on adobe flash player 18 defcon russia 23
Advanced cfg bypass on adobe flash player 18 defcon russia 23
DefconRussia
Miasm defcon russia 23
Miasm defcon russia 23
DefconRussia
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...
DefconRussia
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условиях
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условиях
DefconRussia
Más de DefconRussia
(20)
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...
[Defcon Russia #29] Борис Савков - Bare-metal programming на примере Raspber...
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...
[Defcon Russia #29] Александр Ермолов - Safeguarding rootkits: Intel Boot Gua...
[Defcon Russia #29] Алексей Тюрин - Spring autobinding
[Defcon Russia #29] Алексей Тюрин - Spring autobinding
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
[Defcon Russia #29] Михаил Клементьев - Обнаружение руткитов в GNU/Linux
Георгий Зайцев - Reversing golang
Георгий Зайцев - Reversing golang
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC
[DCG 25] Александр Большев - Never Trust Your Inputs or How To Fool an ADC
Cisco IOS shellcode: All-in-one
Cisco IOS shellcode: All-in-one
Олег Купреев - Обзор и демонстрация нюансов и трюков из области беспроводных ...
Олег Купреев - Обзор и демонстрация нюансов и трюков из области беспроводных ...
HTTP HOST header attacks
HTTP HOST header attacks
Attacks on tacacs - Алексей Тюрин
Attacks on tacacs - Алексей Тюрин
Weakpass - defcon russia 23
Weakpass - defcon russia 23
nosymbols - defcon russia 20
nosymbols - defcon russia 20
static - defcon russia 20
static - defcon russia 20
Zn task - defcon russia 20
Zn task - defcon russia 20
Vm ware fuzzing - defcon russia 20
Vm ware fuzzing - defcon russia 20
Nedospasov defcon russia 23
Nedospasov defcon russia 23
Advanced cfg bypass on adobe flash player 18 defcon russia 23
Advanced cfg bypass on adobe flash player 18 defcon russia 23
Miasm defcon russia 23
Miasm defcon russia 23
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...
Andrey Belenko, Alexey Troshichev - Внутреннее устройство и безопасность iClo...
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условиях
Sergey Belov - Покажите нам Impact! Доказываем угрозу в сложных условиях
Alexey Sintsov - Where do the money lie
1.
Где лежат деньги? Алексей
Синцов Руководитель Департамента Аудита ИБ Digital Security © 2002—2011 , Digital Security
2.
Где лежат деньги?
#whoami Digital Security: • Аудит/Тест на проникновение (ISO/PCI/PA–DSS и бла-бла-бла) • Анализ защищенности ERP/SAP/ ДБО/Citrix/VMware • Разработка «специализированного софта» • Поиск ошибок и уязвимостей (DSecRG) • Поиск путей эксплуатации Журнал XAKEP: • Когда-то: колонка «Обзор Эксплойтов» • Статьи на тему разработки эксплойтов и тестов на проникновение Люблю поболтать: • CONFidence 2011 Krakow • Hack In The Box 2010 Amsterdam • Chaos Construction 2011 СПБ © 2002—2011, Digital Security
3.
Где лежат деньги? $$$
Где можно поднять немного РЕАЛЬНЫХ денег ? Клиенты: Банковские Карты Банки: ДБО/АБС Клиенты: ДБО Процессинги ТСП: Шопы Мерчанты © 2002—2011, Digital Security
4.
Где лежат деньги? $$$
Где можно поднять немного РЕАЛЬНЫХ денег ? Клиенты: Банковские Карты Банки: ДБО/АБС Клиенты: ДБО Процессинги ТСП: Шопы Мерчанты © 2002—2011, Digital Security
5.
Где лежат деньги? Цель
- ПО Банка • Мало информации • Инциденты - не было/неизвестны/скрыты (нужное подчеркнуть) • Ответственность Банка • Будущие цели … © 2002—2011, Digital Security
6.
Где лежат деньги? Как
это работает СЕРВЕРНАЯ ЧАСТЬ КЛИЕНТСКАЯ Ы Ы Ы Ы Ы ActiveX WEB- Ы приложение АБС/СУБД СУБД Браузер WEB-сервер Операционная Операционная Операционная Операционная Система Система Система Система © 2002—2011, Digital Security
7.
Где лежат деньги? ... ©
2002—2011, Digital Security
8.
Где лежат деньги? Так
где лежат деньги? © 2002—2011, Digital Security
9.
Где лежат деньги? Так
где лежат деньги? АБС - счета клиентов и все самое ценное там Процессинг - работа с картами WEB SOFT RDBMS SOFT RDBMS Деньги тут © 2002—2011, Digital Security
10.
Где лежат деньги? Атака
в лоб…. WEB • В 90% отечественных ДБО есть/были XSS • SQLi - то же бывают ^^^^^^^^^^^^^^^^^^^^^^^^^^^ …это и так все знают (Правда?) © 2002—2011, Digital Security
11.
Где лежат деньги? Атака
в лоб…. WEB • В 90% отечественных ДБО есть/были XSS • SQLi - то же бывают ^^^^^^^^^^^^^^^^^^^^^^^^^^^ …это и так все знают (Правда?) • Ошибки авторизации (местами их и вовсе не бывает) • Раскрытие данных • Ошибки АРХИТЕКТУРЫ • И многое другое…….. Не слишком ли много для такого критичного продукта? © 2002—2011, Digital Security
12.
Где лежат деньги? Хотите
примеров? Их есть у меня! ДБО для физ. лиц (pre-auth): > GET /online/usersPANList.jsp?uname=OAOKlient3 HTTP/1.1 > …. > …. < 200 OK HTTP/1.1 < …. < PAN[0]=4234567890123456 < PAN[1]=4234567890123457 < …. Получаем карты без аутентификации… Кстати, PCI DSS НЕ работает тут… © 2002—2011, Digital Security
13.
Где лежат деньги? Хотите
примеров? Их есть у меня ещё! ДБО для юр. лиц (post-auth): GET /online/userinfo.jsp?uid=1478 HTTP/1.1 • Это было c CitiBank недавно…. GET /online/main_template.jsp?uid=1478 HTTP/1.1 • Доступ к ЧУЖИМ шаблонам страниц • С возможностью ИЗМЕНЕНИЯ • С уязвимостью типа stored XSS … Инфицирование всех профелей EPIC FAIL © 2002—2011, Digital Security
14.
Где лежат деньги?
Баги-багами, а деньги-то где? Для примера c физ. лицами : • CSRF для получения данных виртуальных карт CVV2 … • HolderName = Virtual Card • EXP. Date = + 1 месяц // Если не вируталка, то все кроме CVV2 Profit! Для примера с юр лицами: - ЭЦП ставит клиент на своем ПК! - Баги на сервере НЕ могут влиять на ключ клиента. - Деньги не украсть? P.S. • Мы говорим о клиенте который защищен и не затроянен. • Используем только дыры на ДБО. © 2002—2011, Digital Security
15.
Где лежат деньги? XSS
vs. Token XSS -> OOO “WikiLeaks” -> 3.000 RUR © 2002—2011, Digital Security
16.
Где лежат деньги? XSS
vs. Token Troll-in-the-Browser -> OOO “WikiLeaks” -> 3.000 RUR © 2002—2011, Digital Security
17.
Где лежат деньги? XSS
vs. Token Bender-in-the-Browser <- OOO “WikiLeaks” <- 3.000 RUR <- OOO “RogaKopyta” <- 3.000 RUR © 2002—2011, Digital Security
18.
Где лежат деньги? XSS
vs. Token Bender-in-the-Browser <- OOO “WikiLeaks” Подписать <- 3.000 RUR <- OOO “RogaKopyta” <- 3.000 RUR © 2002—2011, Digital Security
19.
Где лежат деньги? XSS
vs. Token Bender-in-the-Browser <- OOO “WikiLeaks” Подписать <- 3.000 RUR -> OOO “RogaKopyta” -> 3.000 RUR -> Sign © 2002—2011, Digital Security
20.
Где лежат деньги? XSS
vs. Token Bender-in-the-Browser <- OOO “WikiLeaks” <- 3.000 RUR Отправить <- Статус: подписано -> OOO “RogaKopyta”---- > -> 3.000 RUR ---- > -> Sign ---- > © 2002—2011, Digital Security
21.
Где лежат деньги? XSS
vs. Token Bender-in-the-Browser <- OOO “WikiLeaks” <- OOO “RogaKopyta” <- 3.000 RUR <- 3.000 RUR <- Статус: Выполнено <- Статус: Выполнено © 2002—2011, Digital Security
22.
Где лежат деньги? Решение
1: Уведомление по второму каналу Troll-in-the-Browser <- OOO “WikiLeaks” Подготовить! <- 3.000 RUR -> OOO “RogaKopyta” -> 3.000 RUR 1. SHA1(in + RND) -> Подготовить = hash 2. Send SMS © 2002—2011, Digital Security
23.
Где лежат деньги? Решение
1: Уведомление по второму каналу Troll-in-the-Browser <- OOO “WikiLeaks” Отмена! <- 3.000 RUR -> OOO “RogaKopyta” -> 3.000 RUR 1. SHA1(in + RND) -> OOO “RogaKopyta” -> Подготовить = hash -> 3.000 RUR -> hash 2. Send SMS 3. Send hash for sign -> OOO “RogaKopyta” -> 3.000 RUR © 2002—2011, Digital Security
24.
Где лежат деньги? Решение
1: Уведомление по второму каналу Troll-in-the-Browser <- OOO “WikiLeaks” Отмена! <- 3.000 RUR -> OOO “RogaKopyta” -> 3.000 RUR 1. SHA1(in + RND) -> Подготовить = hash 2. Send SMS 3. Send hash for sign + OTP -> OOO “RogaKopyta” -> 3.000 RUR + OTP © 2002—2011, Digital Security
25.
Где лежат деньги? Решение
2: Токен с дисплеем Troll-in-the-Browser <- OOO “WikiLeaks” Отмена! <- 3.000 RUR ^ ^ ^ | | | -> OOO “RogaKopyta” -> 3.000 RUR -> Sign © 2002—2011, Digital Security
26.
Где лежат деньги? SMS
- OTP SuperBankInfo: Перевод: 3.000 руб на счет: 400810000010010 © 2002—2011, Digital Security
27.
Где лежат деньги? Кое-что
об АБС Кому Сколько Сессия Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
28.
Где лежат деньги? Кое-что
об АБС Кому Сколько Сессия Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
29.
Где лежат деньги? Кое-что
об АБС Кому Сколько Принято Кому Сколько Id Status:0 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
30.
Где лежат деньги? Кое-что
об АБС id Подпись Сессия Кому Сколько Id Status:0 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
31.
Где лежат деньги? Кое-что
об АБС id Подпись Сессия Кому Сколько Id Status:0 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
32.
Где лежат деньги? Кое-что
об АБС id Подпись Подписано Кому Сколько Id Status:1 Browser WEB SOFT RDBMS RDBMS UID.pub Деньги тут © 2002—2011, Digital Security
33.
Где лежат деньги? Кое-что
об АБС INSERT INTO ABS.docz … id FROM DBO.docz WHERE status=1 Кому Кому Сколько Сколько Id Id_ABS Status:1 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
34.
Где лежат деньги? Кое-что
об АБС id Доставлено Кому Кому Сколько Сколько Id Id_ABS Status:2 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
35.
Где лежат деньги? Кое-что
об АБС id Ваше желание исполнено! Кому Сколько Кому Id Сколько Status:3 Id_ABS Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
36.
Где лежат деньги? Атака
с учетом архитектуры • Обход проверки ЭЦП • Не спасут Токены • Не спасут Токены с дисплеем • Уведомления - постфактум (DoS via SMS) © 2002—2011, Digital Security
37.
Где лежат деньги? Атака
Кому Сколько Сессия Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
38.
Где лежат деньги? Отсылка
без ЭЦП… Кому Сколько Сессия Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
39.
Где лежат деньги? Жаль,
что нет ключа у нас Кому Сколько Принято Кому Сколько Id Status:0 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
40.
Где лежат деньги? SQLi
против АБС Id; update … ‘; update … set status =1 Кому Сколько Id Status:1 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
41.
Где лежат деньги? Троллим
АБС INSERT INTO ABS.docz … id FROM DBO.docz WHERE status=1 Кому Кому Сколько Сколько Id Id_ABS Status:1 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
42.
Где лежат деньги? Платежка
ушла id Доставлено Кому Кому Сколько Сколько Id Id_ABS Status:2 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
43.
Где лежат деньги? …
yea. id Ваше желание исполнено! Кому Кому Сколько Сколько Id Id_ABS Status:3 Browser WEB SOFT RDBMS RDBMS Деньги тут © 2002—2011, Digital Security
44.
Где лежат деньги? Логика
работы с Token’ом • Подпись «на лету» • Подпись с сохраненным PIN’ом • Ввод PIN’а средствами JavaScript <object … id=‘token’> … <script> token.silent_mode=true; var sign = token.Sing(data); //PIN из памяти… </script> Можно выполнить подпись на ДРУГОМ сайте и отправить платежку, например, используя CSRF P.S. Молчу уж про XSS… © 2002—2011, Digital Security
45.
Где лежат деньги? Клиентское
ПО ActiveX - SafeForScripting - SafeForInit - Домен © 2002—2011, Digital Security
46.
Где лежат деньги? Клиентское
ПО ActiveX - SafeForScripting - SafeForInit - Домен -------------> bankZ.ru <> bankckient.bankZ.ru © 2002—2011, Digital Security
47.
Где лежат деньги? Old
1DAY - Мы уведомили производителя ДВА года назад Но на одном из доменов обновления нет… © 2002—2011, Digital Security
48.
Где лежат деньги? New
0DAY - Ошибки логики… Свежая, но стоит ли раскрывать? --- #NOMOREFREEBUGS © 2002—2011, Digital Security
49.
Где лежат деньги? New
0/1DAY - Мне нечего сказать… p.S Не только ActiveX © 2002—2011, Digital Security
50.
Где лежат деньги?
Выводы • Ошибки в коде • Ошибки в архитектуре • Ошибки при внедрении • Отсутствие применения существующих мер защиты (от DEP до HTTPOnly) • Отсутствие процедур проверки ИБ • Отсутствие процедуры распространения КРИТЧИНЫХ патчей! • Банки НЕ информируются о наличиях проблем с ИБ в ПО! Классические ошибки в коде + слабая архитектура + отсутствие защит = ДБО Зато сертифицированные СКЗИ есть! © 2002—2011, Digital Security
51.
Где лежат деньги? Выводы ©
2002—2011, Digital Security
52.
Где лежат деньги? Меры
смягчения: СУБД • Роли приложений • Шифрование паролей • Роли операторов • Хранение ЭЦП • Роли администраторов • Хранимые процедуры © 2002—2011, Digital Security
53.
Где лежат деньги? Меры
смягчения: WEB - HttpOnly - Secure - Уникальный токен запроса - SSL - Frame Busting XSS позволяет подменять данные и код на странице платежной системы! CSRF позволяет выполнять действия от имени пользователя в Системе! https://www.owasp.org/index.php/ https://www.owasp.org/index.php/Cross- https://www.owasp.org/index.php/Clickjacking OWASP_Code_Review_Guide_Ta Site_Request_Forgery_(CSRF)_Prevent ble_of_Contents ion_Cheat_Sheet © 2002—2011, Digital Security
54.
Где лежат деньги?
Меры смягчения: ПО - ASLR - DEP - /GS - SEHOP - Анализ кода - Анализ логики - Фаззинг https://www.securecoding.cert.org/confluence/display/s eccode/CERT+C+Secure+Coding+Standard https://www.securecoding.cert.org/confluence/pages/vi http://www.microsoft.com/security/sdl/default.aspx ewpage.action?pageId=637 © 2002—2011, Digital Security
55.
Где лежат деньги? Процессы…
Рекомендую… © 2002—2011, Digital Security
56.
Где лежат деньги? Заключение •
Большая часть ДБО - содержит уязвимости. (По результатам пен-тестов, в 100% системах были XSS уязвимости) • Что бы обойти защиту Token’а - достаточно XSS или CSRF • Большую часть ошибок могут поэксплуатировать НЕ специалисты (CitiBank) • При неправильной архитектуре - ЭЦП и вовсе ‘ФИКТИВНАЯ’ защита • Уязвимое ПО выдается не только Банку, но и его клиентам. • Вендоры НЕ информируют Банки о наличиях проблем с ИБ в ПО! • Системы разрабатывалась без учета возможных угроз + • Проблемы ИБ внутри Банка (фильтрация, сегментация, патч-менеджмент) • Ошибки при внедрении Деньги лежат в … © 2002—2011, Digital Security
57.
Где лежат деньги? Заключение •
Большая часть ДБО - содержит уязвимости. (По результатам пен-тестов, в 100% системах были XSS уязвимости) • Что бы обойти защиту Token’а - достаточно XSS или CSRF • Большую часть ошибок могут поэксплуатировать НЕ специалисты (CitiBank) • При неправильной архитектуре - ЭЦП и вовсе ‘ФИКТИВНАЯ’ защита • Уязвимое ПО выдается не только Банку, но и его клиентам. • Вендоры НЕ информируют Банки о наличиях проблем с ИБ в ПО! • Системы разрабатывалась без учета возможных угроз + • Проблемы ИБ внутри Банка (фильтрация, сегментация, патч-менеджмент) • Ошибки при внедрении Деньги лежат в … © 2002—2011, Digital Security
58.
Где лежат деньги? Заключение ©
2002—2011, Digital Security
59.
Где лежат деньги? Заключение ©
2002—2011, Digital Security
60.
www.twitter.com/asintsov
a.sintsov@dsec.ru © 2002—2011, Digital Security
Descargar ahora