Ivan Marković

Srbija, godina 2011

Uvod

U cilju kreiranja bolje slike o stanju bezbednosti web sajtova banaka u Srbij i kao i internih sistema koji imaju interakcije sa njima, testirani su svi dokumenti koji se mogu nadi na web prezentacijama banaka a čije se ime može nadi na lokaciji “Udruženje banaka Srbije”: http://www.ubs-asb.com/Default.aspx?tabid=567, ukupno: 32. Sa 32 web prezentacije ukupno je preuzeto 5713 dokumenata. Od toga najveci deo su PDF dokumenti.

Microsoft Office: 478
PDF: 5235

Testiranje dokumenata obuhvata analizu atributa svakog dokumenta sa ciljem pronalaženja detalja koji mogu otkriti vitalne informacije vezane za:

- verzije aplikacija koje se koriste na internim sistemima za kreiranje ovih dokumenata
- autora dokumenta
- komentara u vezi sa revizijama
- informacijama vezanim za vreme koje je provedeno za rad na dokumentu
- informacijama o štampanju dokumenata
- ... i jos mnoge druge korisne informacije o internom sistemu banke.

Napomena: Svrha prikupljanja detalja je da pokaže da iskusan napadač može iskoristiti ove informacije za kreiranje targetiranih napada na interne sisteme i zaposlene. Moguce je kreirati takav dokument koji ce sadržati maliciozne akcije koji eksploatišu trenutnu verziju aplikacije za kreiranje dokumenta i uz malu dozu socijalnog inženjeringa poslati ga na email adresu autora.

Link do originalnog dokumenta: http://security-net.biz/files/Napad-na-atribute-online-dokumenata-[primer-banke-u-Srbiji]_Ivan-Markovic-NSS.pdf