Использование необновленных расширений браузера в качестве требуемых для доступа к системе ДБО - неумышленная брешь в безопасности клиента

Анализ защищенности систем ДБО в большой части касается исследования уровня безопасности конечного клиента при использовании ДБО. Механизмы, размещенные на стороне сервера, как правило, являются корректно написанными и прошедшими сертификацию PA-DSS. Динамика появления новых угроз в отношении клиентов Интернет-браузеров задает высокий темп повышения осведомленности банковских структур о таковых с целью оповещения своих клиентов о необходимом уровне информационной безопасности. Когда данная процедура не работает на практике, клиент сталкивается со множеством проблем.



В качестве такого примера следует выделить инцидент, связанный с рекомендацией пользователю использовать неактуальную версию JAVA JRE ( http://seclists.org/fulldisclosure/2011/Nov/27 ). Пользователи, чья версия данного компонента являлось иной (например, обновленной на последнюю), не могли попасть в систему ДБО:

Неактуальная версия данного расширения содержала много известных миру уязвимостей, позволяющих выполнить неавторизированный код на стороне клиента. Организационные и технические усилия (контроль версий расширений) банка в данном случае привели к обратному, снизив эффективность обеспечения ИБ.