Наиболее часто в системах ДБО встречались уязвимости, связанные с возможностью идентификации используемого ПО и с предсказуемыми форматами идентификаторов пользователей (57% систем). Более чем в половине систем (54%) обнаружены ошибки в программном коде типа "Межсайтовое выполнение сценариев". Если при наличии этой уязвимости в системе клиент банка перейдет по вредоносной ссылке, атакующий может получить доступ к системе ДБО с привилегиями этого клиента.
Распространены также уязвимости, позволяющие реализовать атаки на сессии пользователей (54% систем). Сюда относятся уязвимости, связанные с некорректным завершением сессий, некорректной настройкой cookie-параметров, возможностью параллельной работы нескольких сессий для одного пользователя, отсутствием привязки сессии к IP-адресу клиента и др. При успешной атаке злоумышленник может получить доступ к личному кабинету пользователя с его привилегиями.
В Positive Technologies пришли к выводу, что уязвимостей высокой степени риска больше в системах ДБО, предоставленных вендорами (49%), чем в системах собственной разработки конкретного банка (40%). Как отмечается в исследовании, системы, поставляемые профессиональными разработчиками, в среднем содержат в 2,5 раза больше уязвимостей на уровне кода приложения, чем системы собственной разработки. Этот факт эксперты объясняют тем, что при использовании ПО от вендора банк в вопросах качества кода полагается главным образом на поставщика. При этом сложная архитектура, кроссплатформенность и большое количество функций систем ДБО не всегда позволяют вендору обеспечить должный уровень защищенности на уровне кода приложения. Но и свои разработки не гарантируют защиту.
"Вопрос безопасности самописного программного обеспечения в корпоративной среде поднимается далеко не в первый раз, - отметил антивирусный эксперт "Лаборатории Касперского" Юрий Наместников. - Как показывает практика разработки крупных проектов, такие большие системы практически всегда функционируют с достаточно большим количеством ошибок, и, соответственно, в них априори присутствует ряд уязвимостей. Причем это не зависит от того, кто разрабатывал ПО, - сама организация или вендор". По словам эксперта, так как ошибок избежать в любом случае невозможно, с точки зрения безопасности наиболее важными факторами являются скорость обнаружения уязвимостей в ПО и, что не менее критично, скорость закрытия высокоприоритетных уязвимостей, которые могут привести к компрометации системы или выводу ее из строя.
"Имея дело с собственными разработками, банку сложнее находить уязвимости в ПО, так как процесс поиска и закрытия последних необходимо выстраивать самостоятельно от начала и до конца, - добавил Наместников. - С системами от вендоров дело несколько проще, поскольку аудитом безопасности и закрытием уязвимостей занимается сам вендор". Помимо этого, система, как правило, установлена не в одном банке, а следовательно, и скорость обнаружения критичных уязвимостей становится выше. Например, если в одном банке была обнаружена конкретная уязвимость, то оперативно она будет закрыта во всех банках, где установлено такое ПО.
Ведущий аналитик группы компаний CUSTIS Алексей Зенин пояснил, что некоторые разновидности "троянов" могут внедряться злоумышленниками скрытно. Вредоносная программа получает доступ к клиентскому интерфейсу системы ДБО, а также к ключам электронной подписи, что позволяет ей перевести деньги с банковского счета жертвы злоумышленникам. Причина более высокой уязвимости продуктов ДБО, разработанных вендорами, кроется в их широкой распространенности и доступности. "Разработка троянской программы - сложная и трудоемкая задача, посильная лишь высококвалифицированным программистам, но одной квалификации здесь недостаточно. Чтобы сделать отмычку к замку, необходим сам замок. Чтобы изготовить программу, взламывающую систему ДБО, злоумышленнику нужна копия системы ДБО "у себя дома" - так значительно проще обнаружить ее уязвимости и протестировать "трояна" перед отправкой в бой. Учитывая, что демонстрационные версии некоторых популярных систем ДБО может скачать любой желающий прямо с сайта поставщика данных ИТ-систем, разработать "отмычку" к распространенной системе ДБО значительно проще", - отметил Зенин.