Критическая уязвимость снижается в системах ДБО
Эксперты Positive Technologies зафиксировали снижение числа критически опасных уязвимостей в системах ДБО (онлайн-банках и мобильных банковских приложениях) в 2017 г. в России, странах СНГ и Европы. Если в 2016 г. уязвимости высокого уровня риска содержались в 71% проанализированных систем, то в 2017 г. - уже в 56%. Но несмотря на заметный рост уровня защищенности текущие недостатки все еще несут серьезные угрозы для банков и их клиентов.
Согласно данным исследования Positive Technologies, в среднем в 2017 г. на каждую систему ДБО приходилось по семь уязвимостей. Это больше показателя 2016 г., когда на каждое финансовое приложение приходилось только шесть недостатков. Однако доли уязвимостей высокого и среднего уровня риска заметно снизились. Например, в трети онлайн-банков отсутствовали критически опасные недостатки, а годом ранее уязвимости высокого уровня риска были во всех финансовых веб-приложениях, кроме одного.
Наиболее распространенными уязвимостями онлайн-банков в 2017 г. стали "межсайтовое выполнение сценариев" (75% систем) и "недостаточная защита от атак, направленных на перехват данных" (69%), которые позволяют совершать атаки на клиентов банков (например, перехватывать значения cookie или похищать учетные данные). Больше половины онлайн-банков (63%) содержали уязвимость высокого уровня риска "недостаточная авторизация", которая позволяет злоумышленнику получить несанкционированный доступ к функциям веб-приложения, не предназначенным для данного уровня пользователя. Кроме того, уязвимости в 94% онлайн-банков могли использовать злоумышленники для доступа к сведениям, составляющим банковскую тайну клиентов, и личной информации.
С мобильными банковскими приложениями ситуация похожа: снизились доли уязвимостей высокого (29% вместо 32% в 2016 г.) и среднего (56% вместо 60%) уровня риска. Соответственно, увеличилась доля уязвимостей низкого уровня риска. Это означает, что компании стремятся в первую очередь принимать меры для устранения критически опасных уязвимостей. Тем не менее в половине систем (48%) была выявлена хотя бы одна критически опасная уязвимость. В 52% мобильных банков уязвимости позволяли расшифровать, перехватить, подобрать учетные данные для доступа в мобильное приложение или вовсе обойти процесс аутентификации. В результате злоумышленник может получить возможность совершать операции в мобильном банке от лица легитимного пользователя.
Эксперты Positive Technologies обращают внимание на то, что iOS-приложения оказались защищены лучше, чем их аналоги для Android. Доля уязвимостей высокого уровня риска в iOS-приложениях составила всего 25%, в то время как в Android-приложениях она занимает 56%. Практически для всех рассмотренных мобильных банков (кроме одного) эксперты анализировали по два идентичных приложения, разработанных для разных операционных систем, и в некоторых случаях мобильное приложение для iOS не содержало уязвимостей, которые были обнаружены в Android-приложении.
"Чтобы полноценно оценить состояние защищенности банковских систем, мы оперируем одновременно двумя метриками - соотношением уязвимостей разного уровня риска и соотношением банковских систем, в которых найдены такие уязвимости. Таким образом, в 2017 г. четверть (25%) всех уязвимостей были высокого уровня опасности, но распределились они по банковским системам неравномерно. Некоторые приложения были существенно более уязвимы, чем остальные, и содержали множество недостатков, в других же число уязвимостей было невелико. В результате как минимум одна уязвимость высокого уровня опасности была выявлена в 56% приложений в 2017 г., что существенно меньше, чем в предыдущие", - объяснил старший эксперт отдела исследований безопасности банковских систем Positive Technologies Ярослав Бабин.
Эксперты Positive Technologies рассмотрели 41 систему, используемую для проведения финансовых операций. Из них 79% систем использовались для обслуживания физических лиц, а 21% - для юридических.
Анализируя статистику по защищенности финансовых систем, являющихся не собственной разработкой, а вендорским продуктом (коробочные решения), в 2015 г. специалисты Positive Technologies выявляли в среднем по 12,1 уязвимости на одну систему, в 2016 г. - по 10,7 уязвимости, в 2017 г. - только шесть уязвимостей. Таким образом, можно говорить о положительной динамике с точки зрения числа выявляемых уязвимостей. Согласно наблюдениям специалистов, она обусловлена более внимательным подходом разработчиков к вопросам безопасности выпускаемых решений (в частности, ДБО).
Большинство проанализированных систем ДБО (61%) составили мобильные приложения, среди которых примерно поровну распределились серверные части мобильных приложений и клиенты для мобильных операционных систем Android и iOS. Соответственно, 39% пришлись на онлайн-банки.
Ярослав Бабин рассказал, что в зависимости от типа уязвимости злоумышленники могут либо развивать атаку на инфраструктуру (сеть) банка, либо получать какую-то конфиденциальную информацию о клиентах, что в конечном итоге чревато для банка финансовыми и репутационными потерями.
Помимо анализа защищенности приложений, который регулярно проводят практически все банки, эксперты советуют не забывать про анализ исходного кода приложений. Специалисты советуют анализировать код и в системах, построенных на базе готовых вендорских решений: уязвимости могут возникать в процессе внедрения и настройки. До выпуска исправлений для выявленных уязвимостей рекомендуется использовать систему превентивного контроля (web application firewall), а после их устранения проводить проверку эффективности принятых мер.
При самостоятельном создании финансовых приложений эксперты советуют банкам уделять больше внимания вопросам безопасности на ранних стадиях - как на этапе проектирования приложений и подготовки технических заданий для программистов, так и в процессе разработки.
Руководитель отдела технического сопровождения продуктов и сервисов ESET Russia Сергей Кузнецов замечает достаточно много инцидентов, связанных с компрометацией ДБО (в частности, мобильные банкеры). Сами банки дорабатывают свои системы ДБО и закрывают критические уязвимости.
Говоря о предпочтениях злоумышленников, Сергей Кузнецов упомянул, что архитектура ОС Android оставляет больше простора для "творчества", благодаря чему пользуется большей любовью вирусописателей.
Руководитель продукта Kaspersky Fraud Prevention Александр Ермакович обращает внимание на то, что, помимо уязвимостей в системах ДБО, существует постоянная проблема - это кража учетных записей пользователей. Количество подобных инцидентов растет в последние годы как в России, так и по всему миру.
"Более того, злоумышленникам зачастую гораздо проще получить необходимую информацию о клиенте и воспользоваться его учетной записью, чем концентрироваться на поиске критических уязвимостей в системе ДБО. Именно поэтому сегодня очень остро стоят вопросы защиты пользовательских данных от кражи, аутентификации пользователей и обнаружения мошенничества в режиме реального времени", - рассказал Александр Ермакович.
Старший тренер лаборатории компьютерной криминалистики Group-IB Никита Панов связал снижение числа критических уязвимостей с постепенным выведением устаревших версий операционных систем из ИТ-инфраструктур банков, которые были очень уязвимы в отношении различных кибератак. Также многие банки производят миграцию кастомных баз данных, которые были написаны на устаревших продуктах (например, MS Access 2003), на обновленные защищенные версии.
Никита Панов поделился информацией о том, что чаще всего оплошности допускают разработчики при создании мобильных банковских приложений. "Оставляют различные уязвимости в коде, которые достаточно легко выявляются злоумышленниками. Думаю, что большинства подобных ошибок можно было бы избежать, максимально соблюдая баланс между необходимостью создания новых продуктов для пользователей услуг банков и соблюдением правил безопасной разработки кода", - считает он.
Специалист Group-IB предупредил, что сейчас появляется все больше так называемых телеграм-банков, что выглядит для потребителей весьма удобной заменой банковским приложениям, в которых многим людям бывает сложно разобраться. Но телеграм-банки работают на основе телеграм-ботов, в сторону которых будут направлены новые атаки злоумышленников.
По мнению вице-президента группы компаний InfoWatch, генерального директора Attack Killer Рустэма Хайретдинова, доля критических уязвимостей, а вместе с ними и количество атак действительно начинает снижаться. Он объясняет это тем, что после многочисленных атак на системы ДБО требования Банка России к безопасности приложений, обрабатывающих финансовую информацию, ужесточились.
"Внедрение разработчиками систем ДБО - как внешними, так и внутрибанковскими - элементов безопасной разработки в сочетании с независимым тестированием приложений привело к тому, что зачастую критические уязвимости удается обнаружить на ранних этапах жизненного цикла и устранить", - сказал Рустэм Хайретдинов.
Специалист InfoWatch прогнозирует снижение как количества уязвимостей в "живых" системах ДБО, так и количества успешных атак на них. По его словам, сегодняшние средства защиты позволяют находить уязвимости и блокировать их эксплуатацию злоумышленниками, не дожидаясь, когда программисты исправят эту уязвимость.