Типовые уязвимости платежных инфраструктур/очный...
TRANSCRIPT
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Евгений Боровков Инженер по защите информации
Deiteriy
Антон Остроконский Техник по защите информации
Deiteriy
Типовые уязвимости платежных инфраструктур
2 Небольшой пример
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Для начала мы покажем вам небольшой вектор атаки на демо-приложение, которое представляет из себя типовой платежный шлюз.
3 Схема сети
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
4 Исходные данные
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
1) В компании отсутствует упорядоченный процесс разработки ПО, что на данный момент является повсеместной практикой.
2) Системные администраторы халатно относятся к тонкой настройке ИБ, как это к сожалению, все еще очень часто бывает.
5 Результат
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Таким образом были скомпрометированы все номера карт, которые хранились в БД демо-приложения. Далее стоит рассказать о том, какие наиболее типичные уязвимости встречаются нам во время тестов на проникновение платежных приложений.
6 Хранение маскированных PAN и хешей полных PAN
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Во время демонстрации атаки, Вы могли заметить, что подбор номера карты, при наличии его маски (1234 56** **** 7890) и хеша, занимает менее секунды.
7 Хранение маскированных PAN и хешей полных PAN
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Имея на руках всю базу данных с масками и хешами, злоумышленник может подобрать все номера карт за короткий промежуток времени.
8 Плохо настроенный межсетевой экран
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Стоит заметить, что плохо настроенный межсетевой экран – это довольно распространенная ошибка. Во время тестов на проникновение неоднократно было замечено, что сетевой трафик слабо ограничивается, в результате чего появляется уйма возможностей получить доступ, который облегчает задачу злоумышленника.
9 Некорректно настроенные WAF или сканер веб-приложений
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Можно регулярно сканировать веб-приложения или установить WAF, но из-за неверной настройки этих инструментов они становятся бесполезными и не обеспечивают необходимый уровень безопасности. Стоит заметить, что данные инструменты необязательно должны быть дорогостоящими. При правильной настройке, open-source решения дают хороший результат.
10 Учетные данные, которые находятся прямо в коде
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Вы могли заметить, что БД была скомпрометирована из-за того, что учетные данные были обнаружены в исходном коде веб-приложения. Это тоже довольно распространенная ошибка среди разработчиков.
11 Плохие парольные политики
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Также, все еще, довольно распространенной ошибкой
являются плохие парольные политики, не обеспечивающие должный уровень безопасности. Слабые пароли быстро подбираются и приводят к компрометации одного или нескольких компонентов информационной инфраструктуры. Кроме того, необходимо исключить использование одинаковых паролей на разных компонентах инфраструктуры.
12 Отсутствие заголовков безопасности HTTP и атрибутов безопасности у cookie
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Отсутствие заголовков безопасности HTTP и атрибутов безопасности у cookie встречается в подавляющей части тестирований на проникновение. Корректная настройка этих параметров занимает менее получаса, но, по неизвестным нам причинам, многие этого не делают, хотя данные параметры помогают защититься от множества атак.
13 XSS
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
XSS – древняя уязвимость, которую начали считать опасной всего несколько лет назад. На самом деле, XSS позволяет сделать очень многое, например, отправить данные из всех форм на сервер злоумышленника. …в XXI веке продолжает встречаться чуть чаще, чем всегда… :(((
14 Автозаполнение форм
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
При включенном автозаполнении на платежной форме в
браузере пользователя начинают храниться карточные данные в открытом виде. Забавный факт: автозаполнение паролей отключено всегда. Автозаполнение номеров карт и CVV2 встречается регулярно.
15 Номера карт оседают в системах
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Сколько не говорили людям про аккуратное обращение с
данными платежных карт… а все равно: …то в логи в debug-режиме пишут всё… ну, вообще всё …то бэкап положат у всех на виду, ибо думают про доступность, забывают про конфиденциальность; …то нефильтрованные данные от партнеров прямо в резервные поля журналов транзакций записывают, а в них, бывает, такое приходит…
16 Уязвимости различных проприетарных сервисов
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Рекомендуем при сканировании уязвимостей всегда
включать опцию «сканировать мертвые хосты», таким образом можно узнать много нового о своем сетевом оборудовании и других устройствах.
17 Итог
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Как вы могли заметить, большинство типовых уязвимостей можно исправить без дорогостоящих покупок, а лишь применяя «прямые руки» коллег, работающих с инфраструктурой.
18
© ООО «Дейтерий», 2015 | 192236, Россия, Санкт-Петербург, ул. Софийская д. 8-1Б | +7 (812) 361-61-55 | www.deiteriy.com | [email protected]
Спасибо за внимание :)
Вопросы?