Приложение 1. Типовые недостатки в реализации функций безопасности автоматизированных систем. Рекомендации в области стандартизации Банка России PC БР ИББС-2.6-2014 "Обеспечение информационной безопасности организаций банковской системы Российской Федерации. Обеспечение информационной безопасности на стадиях жизненного цикла автоматизированных банковских систем"

Приложение 1

Типовые недостатки в реализации функций безопасности автоматизированных систем

1. Общие недостатки АБС и банковских приложений

1.1. Управление доступом

1.1.1. Наличие у пользователя прав доступа, не являющихся безусловно необходимыми для выполнения технологических операций, предусмотренных его ролью в организации БС РФ.

1.1.2. Наличие у технологической учетной записи, от имени которой функционирует составная часть АБС, прав доступа, не являющихся безусловно необходимыми для выполнения операций, предусмотренных для этой составной части АБС проектной документацией.

1.1.3. Наличие в АБС учетных технологических записей со стандартными паролями, задаваемыми автоматически при установке программного обеспечения.

1.1.4. Реализация в АБС дискреционной, мандатной или иных моделей управления доступом вместо ролевой модели.

1.1.5. Отсутствие в АБС встроенных средств формирования отчетов о пользователях и их привилегиях.

1.1.6. Реализация функций управления доступом только на уровне АБС.

1.1.7. Наличие в графическом интерфейсе пользователя АБС элементов управления, предназначенных для выполнения операций, права на выполнение которых у пользователя отсутствуют.

1.1.8. Отсутствие ограничений на количество одновременных подключений (сессий) пользователя в АБС. Упрощает использование нарушителями учетных записей, принадлежащих сотрудникам организации БС РФ.

1.2. Идентификация и аутентификация

1.2.1. Отсутствие аутентификации серверной стороны при взаимодействии пользователя с АБС и составных частей АБС между собой.

1.2.2. Взаимодействие составных частей АБС без аутентификации инициатора взаимодействия.

1.2.3. Использование протоколов аутентификации, допускающих незащищенную передачу аутентификационных данных пользователей (в том числе передачу их открытым текстом или с использованием обратимых преобразований).

1.2.4. Выполнение в алгоритмах аутентификации сужающих преобразований аутентификационных данных (например, приведение букв идентификатора пользователя и (или) пароля к одному регистру, ограничение количества значащих символов пароля).

1.2.5. Использование предсказуемых идентификаторов (например, производных от имени и фамилии пользователя, совпадающих с идентификаторами в адресах электронной почты, порядковых номеров, формирование идентификаторов по единому алгоритму).

1.2.6. Отсутствие принудительного ограничения на минимальную сложность паролей (например, ограничение минимальной длины пароля, наличие символов различных классов, несовпадение пароля с идентификатором пользователя, несовпадение нового пароля с одним из ранее использовавшихся).

1.2.7. Использование при создании новых учетных записей единого первоначального пароля или формирование таких паролей по единому алгоритму, а также отсутствие механизма принудительной смены первоначального пароля при первом входе пользователя в систему.

1.2.8. Хранение в АБС паролей пользователей с использованием обратимых преобразований. При несанкционированном доступе нарушителя к ОС или СУБД серверных компонентов АБС приводит к компрометации всех учетных записей данной АБС и отдельных учетных записей в остальных АБС организации БС РФ.

1.2.9. Использование процедур самостоятельного восстановления или смены забытых пользователями паролей.

1.2.10. Отсутствие предварительной аутентификации при смене пароля пользователем. В ряде случаев делает возможным обход аутентификации путем задания нарушителем нового пароля пользователя.

1.2.11. Отображение символов пароля при вводе.

1.2.12. Отсутствие противодействия автоматизированному подбору идентификаторов и паролей пользователей, в том числе:

- отсутствие автоматического временного блокирования учетной записи при превышении заданного количества неуспешных попыток аутентификации;

- отсутствие механизмов, исключающих возможность автоматизированного подбора паролей (например, САРТСНА).

1.2.13. При автоматическом блокировании учетной записи в случае превышения заданного количества неуспешных попыток аутентификации - отсутствие автоматического разблокирования учетной записи по истечении заданного интервала времени, что позволяет нарушителю блокировать доступ пользователей в АБС.

1.2.14. Необходимость выполнения отдельных программных модулей АБС с правами администратора операционной системы. При наличии уязвимостей программного кода приложения позволяет нарушителю получить полный контроль над приложением и операционной системой.

1.2.15. Аутентификация пользователей средствами программного кода автоматизированного рабочего места (далее - АРМ) при отсутствии аутентификации пользователя серверными компонентами АБС, что делает возможным обход аутентификации нарушителем.

1.2.16. Наличие аутентификационных данных, необходимых для доступа компонентов АБС к прочим АБС организации БС РФ, в программном коде компонентов АБС и (или) в доступных пользователям конфигурационных файлах.

1.2.17. Использование протоколов взаимодействия, уязвимых для перехвата и повторного использования постаутентификационных данных (хеш-значений паролей, идентификаторов сессии, аутентификационных маркеров и т.п.), уязвимых к перехвату и повторному использованию.

1.3. Регистрация событий и просмотр журналов регистрации событий

1.3.1. Отсутствие или отключение средств синхронизации времени операционной системы.

1.3.2. Отсутствие механизмов регистрации отдельных типов событий, существенных для расследования инцидентов, в том числе:

- создание новых учетных записей и изменение прав доступа учетных записей;

- неуспешные операции (например, ошибки аутентификации, недостаточные права доступа при выполнении операций, недоступность интерфейсов составных частей АБС);

- срабатывание функций безопасности, направленных на противодействие компьютерным атакам (например, автоматическое блокирование учетных записей, автоматическое завершение сессий, поступление некорректных исходных данных на внешние и интерфейсы АБС);

- выполнение операций, предусмотренных моделью угроз в качестве составной части реализации угрозы.

1.3.3. Отсутствие в данных журналов регистрации событий существенных сведений о регистрируемых событиях, позволяющих установить обстоятельства наступления события.

1.3.4. Наличие в данных журналов регистрации событий конфиденциальных и чувствительных данных (пароли пользователей, данные платежных карт и т.п.).

1.3.5. Регистрация отдельных событий только составными частями АБС, потенциально доступными нарушителю (например, АРМ пользователя, общедоступные веб-серверы).

1.3.6. Хранение журналов регистрации событий в незащищенном виде (например, в общедоступном пользователям для изменения файле или таблице базы данных).

1.3.7. Возможность изменения пользователями параметров регистрации событий.

1.3.8. Отсутствие встроенных или специализированных средств анализа журналов регистрации событий, в том числе поиска событий по заданным критериям (по имени и идентификатору пользователя, дате, времени и т.д.).

1.3.9. Отсутствие механизмов оперативного уведомления администраторов АБС о событиях, имеющих признаки инцидента безопасности.

1.4. Обработка ввода и вывода

1.4.1. Отсутствие предварительной проверки корректности входных данных (например, проверки ограничений на длину текстовых строк, отсутствия в них недопустимых символов и комбинаций символов, соответствия числовых значений граничным условиям).

1.4.2. Наличие в видимых пользователями сообщениях об ошибках чувствительной информации (например, аутентификационных данных, сведений, идентифицирующих программное обеспечение составных частей АБС, диагностической информации).

1.4.3. Отсутствие проверки корректности выходных данных, в том числе:

- возможность формирования серверными компонентами АБС исполняемых файлов и сценариев на основе задаваемых пользователями исходных данных;

- возможность включения в выходные данные, передаваемые между составными частями АБС, фрагментов, не соответствующих спецификациям протоколов взаимодействия и (или) используемых для эксплуатации типовых уязвимостей.

1.5. Криптографическая защита

1.5.1. Использование для взаимодействия составных частей АБС (в том числе размещенных в пределах контролируемой зоны) протоколов, не обеспечивающих криптографическую защиту данных.

1.5.2. Отсутствие технологической возможности использования приложением сертифицированных СКЗИ при выполнении операций, требующих криптографической защиты данных (в том числе и в случаях, когда возможность использования несертифицированных СКЗИ предусмотрена решением руководства организации БС РФ).

1.5.3. При использовании приложением сертифицированных СКЗИ - выполнение криптографических операций с использованием программного интерфейса, характерного только для определенной модели СКЗИ.

1.5.4. Использование процедур генерации криптографических ключей, допускающих возможность копирования симметричного ключа и (или) закрытой части асимметричного ключа пользователем.

1.5.5. Использование для генерации псевдослучайных последовательностей (например, для формирования идентификаторов сессий, challenge-запросов, GUID) программных генераторов, не входящих в состав СКЗИ.

1.5.6. Использование СКЗИ в режимах и условиях, не предусмотренных эксплуатационной документацией СКЗИ.

1.6. Безопасная архитектура и разработка

1.6.1. Отказ от использования в программном коде компонентов АБС механизмов защиты, предоставляемых архитектурой процессора, операционной системой и средствами компиляции кода (например, защиты от переполнения буфера, защиты от нарушения обработки исключений, защиты от исполнения кода в сегментах стека и данных, случайного размещения сегментов в адресном пространстве).

1.6.2. Использование функций стандартных библиотек, уязвимых к атакам переполнения буфера, при наличии аналогичных функций с встроенной защитой.

1.6.3. Отсутствие предварительной инициализации переменных и структур данных при выделении оперативной памяти.

1.6.4. Присутствие в операционной системе, СУБД, серверных компонентах прикладного ПО функционирующих и доступных для взаимодействия сетевых служб, использование которых не предусматривается проектной документацией.

1.7. Защита данных

1.7.1. Отсутствие в АБС механизмов очистки остаточной информации при удалении данных.

1.7.2. Отсутствие защиты от несанкционированного доступа к разделяемым ресурсам операционной системы (например, к разделяемой памяти, именованным каналам, отображаемым в памяти файлам).

1.7.3. Некорректное использование средств синхронизации доступа к разделяемым ресурсам операционной системы (например, критических секций, семафоров).

1.8. Конфигурация безопасности

1.8.1. Отсутствие механизмов защиты от несанкционированного доступа к настройкам приложения.

1.8.2. Отсутствие возможности экспорта настроек приложения в формат, пригодный для анализа специалистом.

1.9. Контроль целостности и достоверности

1.9.1. Отсутствие в АБС средств контроля целостности программного кода и корректности настроек составных частей АБС.

1.9.2. Отсутствие механизмов обработки ошибок и отката к предыдущему состоянию при выполнении отдельных операций.

1.9.3. Отсутствие механизмов перевода АБС в аварийный режим функционирования при выявлении нарушения целостности программного кода или некорректности настроек.

1.9.4. Отключение отдельных функций безопасности при переводе АБС в аварийный режим функционирования.

1.9.5. Отсутствие механизмов генерации диагностической информации при переводе АБС в аварийный режим функционирования.

2. Типовые недостатки приложений дистанционного банковского обслуживания и электронных средств платежа

2.1. Идентификация и аутентификация

2.1.1. Использование однофакторной аутентификации при выполнении финансовых операций.

2.1.2. Предсказуемый алгоритм формирования однократных паролей и (или) возможность повторного использования однократных паролей.

2.2. Безопасность транзакций

2.2.1. Использование для подтверждения транзакций средств авторизации (например, простой электронной подписи), допускающих возможность формирования подтверждения третьими лицами, в том числе сотрудниками организации БС РФ.

2.2.2. Выбор механизмов авторизации следует осуществлять исходя из критичности транзакций и возможных проблем, которые могут быть связаны с обеспечением аутентичности и целостности данных. Примерами недостатков в реализации механизмов авторизации могут являться:

- отсутствие средств подтверждения для неплатежных операций, влияющих на платежный процесс (создание шаблонов платежных поручений, ведение справочников реквизитов получателей платежей, изменение лимитов и т.п.);

- использование для формирования электронной цифровой подписи ключевых носителей, допускающих экспорт закрытой части ключа подписи;

- отсутствие возможности подписания электронных платежных поручений юридических лиц электронными подписями двух уполномоченных лиц;

- возможность повторного использования электронного платежного документа;

- отсутствие сквозного контроля электронных подписей в электронном платежном документе на всех этапах его обработки.

3. Типовые недостатки веб-приложений

3.1. Размещение компонентов веб-приложения

3.1.1. Размещение в единой демилитаризованной зоне веб-серверов и иных составных частей нескольких АБС.

3.1.2. Хранение данных, используемых веб-сервером, а также журналов регистрации событий на системном разделе жесткого диска.

3.1.3. Совместное расположение журналов регистрации событий и системных файлов.

3.1.4. Наличие на веб-сервере тестовых приложений и сценариев, а также программных компонентов, не входящих в состав АБС.

3.2. Управление сессиями

3.2.1. Использование предсказуемых идентификаторов сессий.

3.2.2. Возможность повторного использования идентификатора сессии (в том числе использование одинаковых идентификаторов в нескольких сессиях одного пользователя, неизменность идентификатора сессии после повторной аутентификации пользователя).

3.2.3. Возможность использования идентификатора сессии после ее завершения.

3.2.4. Раскрытие идентификаторов сессий, в том числе передача идентификаторов в незашифрованном виде, а также включение идентификаторов в записи журналов регистрации событий, в сообщения об ошибках.

3.3. Управление доступом

3.3.1. Отсутствие контроля доступа на уровне идентификаторов ресурсов (URI), в том числе возможность несанкционированного доступа к отдельным разделам и объектам веб-сайта путем указания их URI в веб-браузере пользователя.

3.3.2. Возможность просмотра содержимого каталогов веб-сайта в случаях, когда такой просмотр не является необходимым.

3.3.3. Использование при обработке данных в формате XML внешних сущностей (External Entity), внешних параметров сущностей (External Parameter Entity) и внешних описаний типа документа (External Doctype).

3.4. Защита данных

3.4.1. Отсутствие в параметрах веб-формы, предназначенных для ввода конфиденциальной информации, директив, запрещающих кеширование данных.

3.4.2. Передача конфиденциальной и аутентификационной информации в сообщениях HTTP-GET.

3.4.3. Отсутствие атрибута HTTPOnly у параметров cookie, значения которых не должны быть доступны сценариям, выполняемым веб-браузером.

3.4.4. Отсутствие атрибута secure у параметров cookie, содержащих чувствительную информацию.

3.5. Обработка ввода и вывода

3.5.1. Отсутствие проверки корректности вводимых пользователем данных или выполнение такой проверки только сценариями, исполняемыми веб-браузером.

3.5.2. Отсутствие директивы, определяющей используемую кодировку в заголовках сообщений HTTP, а также использование разных кодировокдля разных источников входных данных.

3.5.3. Отказ от использования встроенных средств проверки корректности входных параметров, реализованных в стандартных программных библиотеках.

3.5.4. Отсутствие или отключение средств предотвращения атак, связанных с испол