Как защитить приложение клиент-банк от взлома?

Question

[alpa_kz]

Есть много статей где рассказывается про кражу денег клиентов Банка. Главной ошибкой является что приложение клиента заражен , из-за этого злоумышленник получает доступ к приложению. И при следующем денежном переводе деньги поступают к хакеру на счет. Как защитить клиентскую сторону, и серверную, и базы данных в которой происходить транзакции клиентов банка. Можете поделиться способами и методами. Или дать информацию, о актуальной уязвимости банковских приложениях???
---------------------------------------
Можете подсказать какие уязвимости часто остаются в клиентских приложениях ? или Как обезопасить сервер от проникновение от ошибки клиентского приложения?

Comments

[Андрей]

Любые средства защиты информации защищают только в случае организации взаимодействия между двумя доверенными системами. Защититься внутри недоверенной системы невозможно.

Answer 1

[nirvimel]

Подготовка:

1. В чистую виртуальную машину с отключенной сетью ставится чистый Windows с лицензионного диска (никакая не СБОРКА! и не готовый образ).
   
2. Никакой другой ПОЛЕЗНЫЙ софт на эту ВМ не ставится.
   
3. Ставится банк-клиент, скаченный с официального сайта.
   
4. Подключается сеть в режиме NAT.
   
5. Заносятся все данные и ключи. Проверяется подключение к серверу (увидеть свой баланс).
   
6. Делается снепшот виртуальной машины.
   

Работа:

1. Запуск ВМ. Работа в банк-клинте (как обычно). Откат ВМ к снепшоту, сделанному на этапе подготовки.
   

Только не говорите, что это НЕ УДОБНО.
Во-первых, это неправда; запустить/остановить/откатить VirtualBox (например) не сложнее, чем распечатать накладную в 1С.
Во-вторых, если бы даже это было действительно не удобно, то это все равно не имело бы значения, когда речь идет о безопасности банковских операций.

Comments

[АртемЪ]

Про DNS забыли.
Подмена днс сервера, невнимательность к сертификатам - и вуаля.

Answer 2

[Spetros]

Payment Application Data Security Standard (PA-DSS)

Comments

[Дядька Серёжа]

Спросили и про серверную, поэтому и PCI DSS, 382-П, СТО ИББС

Answer 3

[Дмитрий Иванов]

Не все так просто. Неспроста воруют деньги даже у самых крупных банков(сбер,втб и т.п). Они тоже следят за безопасностью и делаю все возможное. НО есть две больших проблемы. Во первых: для того что бы увести деньги-не нужно взламывать клиент-нужно лишь получить доступ над устройством. Устройство тоже нельзя защитить на 100%. Вирусы никто не отменял-они будут всегда. Во вторых:нельзя придумать защиту от человеческого фактора(установка неизвестных приложений,посещение разного рода сайтов,сообщение своих личных данных). По этому клиентскую сторону вы не защитите на 100%. Серверную еще более менее можно защитить от внешних атак. С клиентской не так все просто. По поводу данных-актуальные данные вам никто не сообщит.На то они и актуальные-если всем их говорить-узнают банки-придумают защиту.А так это знают единицы-они и пользуются. Так что 100% защиты не существует)