Большинство банков в России не соответствует базовым требованиям к настройке безопасности веб-ресурсов
Как рассказали «Известиям» в компании Digital Security, пробелы в защите были обнаружены у всех банков, причем самой распространенной уязвимостью является программа BEAST — от нее не защищены 79% кредитных организаций.
Для тестирования специалистами Digital Security были выбраны 200 ведущих российских банков. Чтобы выявить уязвимости, исследователи отправляли к веб-ресурсам кредитных организаций доступные любому пользователю запросы.
Самой распространенной уязвимостью, как показало исследование, оказалась программа BEAST — от этого не защищены 79% российских банков. Это, кстати, не самый высокий результат. Тестирование, которое затронуло также 20 крупных зарубежных банков, выявило, что в Японии, Китае и Бразилии этот показатель выше — 90%, 84% и 82% соответственно.
«За шифрование соединения отвечают протоколы, которые сегодня являются самыми популярными методами обеспечения защиты. Чтобы пользователь посетил нужный сайт и не перешел на сайт мошенника, у сервера должен быть цифровой сертификат, подтверждающий подлинность домена и владельца сайта», — говорится в исследовании Digital Security.
Но проблема в том, что банки зачастую пользуются устаревшими протоколами для шифрования соединения. Как выяснили специалисты, лишь 6% кредитных организаций используют последнюю версию протокола для официальных сайтов и ДБО юрлиц и еще 5% — для дистанционного обслуживания физлиц. Для примера — в Китае этот показатель составляет 63% и 44% соответственно.
В ходе исследования было обнаружено около 3% забытых доменов. Для проверки работоспособности сайта и его отладки создаются тестовые страницы в Сети, но разработчики часто пренебрегают их безопасностью, а иногда и вовсе оставляют в открытом доступе по окончании работ. При этом через такие уязвимые страницы можно получить доступ к рабочим ресурсам компании и нарушить их функционирование, отмечается в исследовании.
Еще одна выявленная проблема — 76% банков указывают в HTTP-заголовке имя своего сервера, за счет чего злоумышленник может получить информацию о том, какое программное обеспечение использует веб-сервис. Это позволяет сократить время проведения атаки. Злоумышленник, зная версию ПО, может сразу начать искать данные по возможным уязвимостям. При этом, утверждают авторы исследования, только 10% кредитных организаций используют механизм, который способен снизить риск атак, и лишь 3% настраивают его правильно.
И здесь Россия далеко не на первом месте — есть страны, где дела с этой проблемой еще хуже. Так, в Японии, Китае и Бразилии этот показатель достигает 100%, в Великобритании — 95%, в Ирландии — 92%, в Испании — 90%, в Италии — 87%, в Канаде и Франции — 80%, а в Португалии — 79%.
Источник: ITSec.Ru