DSecRG продемонстрировал эксплоит для клиентского ПО системы «Банк-Клиент»

Александр Панасенко 15 Октября 2010 - 10:04

...

Специалисты исследовательского центра DSecRG, основанного компанией Digital Security, на конференции «Infobez-Expo/ИнфоБезопасность» рассказали о проблемах безопасности в отечественных банковских продуктах. В частности, внимание было обращено на отсутствие у разработчиков процедур тестирования безопасности собственного кода, что приводит к проявлению классических уязвимостей. При этом было рассказано как про ошибки в клиентской части ПО, так и в серверной.

Так, в рамках выступлений специалистами DSecRG был продемонстрирован эксплоит, нацеленный на клиентское ПО системы «Банк-Клиент», который не обнаруживался антивирусами и использовал последние методики для обхода защитных механизмов ОС (DEP/ASLR), что возможно не только потому, что в коде присутствуют ошибки, но и потому, что разработчики часто пренебрегают использованием защитных механизмов операционной системы.

«Все, что было сказано и продемонстрировано, необходимо лишь для того, чтобы банки и разработчики ПО для банков поняли, что взламывать можно все, включая их продукты. Сейчас очень важно поднять качество кода отечественного ПО, ведь найти ошибку, скажем, в “Банк-Клиенте” сейчас легче, чем в популярном западном ПО. Поэтому необходимо обращать внимание на такое положение дел, ведь злоумышленники тоже ищут эти уязвимости и используют их в своих целях, и мы должны максимально усложнить им эту задачу», — подчеркнул Алексей Синцов, ведущий аудитор компании Digital Security.

В целом, за два года работы исследовательского центра DSecRG были обнаружены ошибки в коде большинства популярных банковских решений таких компаний, как BSS, INIST, ЦФТ, R-Style и «Сигнал-КОМ», говорится в сообщении Digital Security. Производители были своевременно уведомлены о данных уязвимостях и сообщили об их успешном закрытии и отправке обновлений всем клиентам.

В связи со спецификой продуктов, в которых были найдены уязвимости, детальная техническая информация опубликована только на закрытом форуме Ассоциации Российских Членов Европей. Более подробную информацию об обнаруженных уязвимостях в банковских продуктах можно получить на сайте исследовательского центра DSecRG.

Источник

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Екатерина Быстрова 21 Февраля 2025 - 11:16

iOS Эксплойты Шпионские программы Программы слежения Уязвимости программ Домашние пользователи Корпорации Apple

Apple может детектировать шпиона Pegasus лишь на 50% iPhone

Шпионская программа Pegasus, разрабатываемая израильской компанией NSO, стала одной из самых опасных киберугроз для пользователей iPhone. Несмотря на усилия Apple, на сегодняшний день купертиновцы могут детектировать Pegasus лишь на 50% мобильных устройств.

Интересно, что Глобальный центр исследований и анализа угроз (GReAT) «Лаборатории Касперского» в начале прошлого года выпустил утилиту для обнаружения шпиона Pegasus на iPhone.

Как правило, вредоносное приложение использует уязвимости нулевого дня в смартфонах от iOS. Например, в 2023 году Apple закрыла две такие дыры, через которые проникал Pegasus.

Разработчики iOS включили в ОС код, позволяющий выявить присутствие шпионского софта, даже если он использует новый метод проникновения на смартфон.

В случае детектирования Pegasus Apple рассылает затронутым пользователям соответствующее уведомление. Прошлым летом, например, корпорация уведомила таким образом пользователей почти из 100 стран.

Тем не менее Pegasus далеко не всегда удаётся детектировать. В частности, по данным компании iVerify, Apple пропускает шпионский софт приблизительно на половине мобильных устройств.

Напомним, в прошлом году Apple отозвала иск к NSO, побоявшись слить защиту от шпионов.