Bezpieczeństwo banków internetowych
Poznańscy specjaliści zbadali bezpieczeństwo szyfrowania transmisji SSL. Takie szyfrowanie często stosują różne serwisy (m.in. usługodawcy internetowi, serwisy finansowe, portale bankowe). Jak się okazuje część banków nadal posługuje się wersją SSL'a z 1993 roku.
Opisane błędy nie są ziejącymi dziurami, które stanowią natychmiastowe zagrożenie dla klientów banków, ale są czynnikami osłabiającymi bezpieczeństwo bankowości internetowej i mogą znaleźć zastosowanie podczas przyszłych ataków prowadzonych przez phisherów.
Trudno wśród portali bankowych byłoby znaleźć serwer z konfiguracją kompletnie pozbawioną usterek, ale te kilka, które taką konfigurację posiada świadczy o tym, że jest to możliwe. Ignorowanie tych usterek może sprawić, że kiedy następnym razem zostanie opublikowany błąd w implementacji czy też założeniach projektowych protokołu podatne na atak będzie z dnia na dzień 60% serwerów. Mimo, że są to instytucje finansowe, gdzie bezpieczeństwo jest istotne, widać w większości przypadków brak podejścia procesowego, brak kompletności systemu zabezpieczeń. Widać szereg usterek, które świadczą o zbyt małym nacisku położonym na bezpieczeństwo teleinformatyczne. Poza tym jak praktyka pokazuje ilość błędów odkryta w pewnej części systemu jest wprost proporcjonalna do ilości błędów w całym systemie.">Raport, który opublikował Zespół Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego zawiera analizę implementacji szyfrowania SSL w polskich bankach i instytucjach finansowych.
Szyfrowanie SSL jest często traktowane "po macoszemu" przez integratorów uruchamiających serwisy bankowe. Protokół SSL od powstania w 1993 roku przechodził wiele metamorfoz, które w większości służyły załataniu odkrywanych w międzyczasie dziur lub podnoszeniu długości kluczy szyfrujących.
Z raportu wynika, że blisko 2/3 portali umożliwia łączenie się z witrynami stosując słabe zabezpieczenia. 63% oferuje szyfry blokowe, które powinny zostać wyłączone ze względu na krótki klucz. Do niektórych banków można się połączyć "szyfrowaniem bez szyfrowania", to jest przez SSL ale z wyłączonym szyfrowaniem.
Pojawiające się różnice w konfiguracji portali należących do tego samego banku mogą
świadczyć o braku spójnej polityki zarządzania systemami informatycznymi jako elementu systemu
zarządzania bezpieczeństwem.
Opisane błędy nie są ziejącymi dziurami, które stanowią natychmiastowe zagrożenie dla klientów banków, ale są czynnikami osłabiającymi bezpieczeństwo bankowości internetowej i mogą znaleźć zastosowanie podczas przyszłych ataków prowadzonych przez phisherów.
Trudno wśród portali bankowych byłoby znaleźć serwer z konfiguracją kompletnie pozbawioną usterek, ale te kilka, które taką konfigurację posiada świadczy o tym, że jest to możliwe. Ignorowanie tych usterek może sprawić, że kiedy następnym razem zostanie opublikowany błąd w implementacji czy też założeniach projektowych protokołu podatne na atak będzie z dnia na dzień 60% serwerów. Mimo, że są to instytucje finansowe, gdzie bezpieczeństwo jest istotne, widać w większości przypadków brak podejścia procesowego, brak kompletności systemu zabezpieczeń. Widać szereg usterek, które świadczą o zbyt małym nacisku położonym na bezpieczeństwo teleinformatyczne. Poza tym jak praktyka pokazuje ilość błędów odkryta w pewnej części systemu jest wprost proporcjonalna do ilości błędów w całym systemie.">
Z raportu wynika, że blisko 2/3 portali umożliwia łączenie się z witrynami stosując słabe zabezpieczenia. 63% oferuje szyfry blokowe, które powinny zostać wyłączone ze względu na krótki klucz. Do niektórych banków można się połączyć "szyfrowaniem bez szyfrowania", to jest przez SSL ale z wyłączonym szyfrowaniem.
Pojawiające się różnice w konfiguracji portali należących do tego samego banku mogą
świadczyć o braku spójnej polityki zarządzania systemami informatycznymi jako elementu systemu
zarządzania bezpieczeństwem.
Opisane błędy nie są ziejącymi dziurami, które stanowią natychmiastowe zagrożenie dla klientów banków, ale są czynnikami osłabiającymi bezpieczeństwo bankowości internetowej i mogą znaleźć zastosowanie podczas przyszłych ataków prowadzonych przez phisherów.
Trudno wśród portali bankowych byłoby znaleźć serwer z konfiguracją kompletnie pozbawioną usterek, ale te kilka, które taką konfigurację posiada świadczy o tym, że jest to możliwe. Ignorowanie tych usterek może sprawić, że kiedy następnym razem zostanie opublikowany błąd w implementacji czy też założeniach projektowych protokołu podatne na atak będzie z dnia na dzień 60% serwerów. Mimo, że są to instytucje finansowe, gdzie bezpieczeństwo jest istotne, widać w większości przypadków brak podejścia procesowego, brak kompletności systemu zabezpieczeń. Widać szereg usterek, które świadczą o zbyt małym nacisku położonym na bezpieczeństwo teleinformatyczne. Poza tym jak praktyka pokazuje ilość błędów odkryta w pewnej części systemu jest wprost proporcjonalna do ilości błędów w całym systemie.">Raport, który opublikował Zespół Bezpieczeństwa Poznańskiego Centrum Superkomputerowo-Sieciowego zawiera analizę implementacji szyfrowania SSL w polskich bankach i instytucjach finansowych.
Szyfrowanie SSL jest często traktowane "po macoszemu" przez integratorów uruchamiających serwisy bankowe. Protokół SSL od powstania w 1993 roku przechodził wiele metamorfoz, które w większości służyły załataniu odkrywanych w międzyczasie dziur lub podnoszeniu długości kluczy szyfrujących.
Z raportu wynika, że blisko 2/3 portali umożliwia łączenie się z witrynami stosując słabe zabezpieczenia. 63% oferuje szyfry blokowe, które powinny zostać wyłączone ze względu na krótki klucz. Do niektórych banków można się połączyć "szyfrowaniem bez szyfrowania", to jest przez SSL ale z wyłączonym szyfrowaniem.
Pojawiające się różnice w konfiguracji portali należących do tego samego banku mogą
świadczyć o braku spójnej polityki zarządzania systemami informatycznymi jako elementu systemu
zarządzania bezpieczeństwem.
Opisane błędy nie są ziejącymi dziurami, które stanowią natychmiastowe zagrożenie dla klientów banków, ale są czynnikami osłabiającymi bezpieczeństwo bankowości internetowej i mogą znaleźć zastosowanie podczas przyszłych ataków prowadzonych przez phisherów.
Trudno wśród portali bankowych byłoby znaleźć serwer z konfiguracją kompletnie pozbawioną usterek, ale te kilka, które taką konfigurację posiada świadczy o tym, że jest to możliwe. Ignorowanie tych usterek może sprawić, że kiedy następnym razem zostanie opublikowany błąd w implementacji czy też założeniach projektowych protokołu podatne na atak będzie z dnia na dzień 60% serwerów. Mimo, że są to instytucje finansowe, gdzie bezpieczeństwo jest istotne, widać w większości przypadków brak podejścia procesowego, brak kompletności systemu zabezpieczeń. Widać szereg usterek, które świadczą o zbyt małym nacisku położonym na bezpieczeństwo teleinformatyczne. Poza tym jak praktyka pokazuje ilość błędów odkryta w pewnej części systemu jest wprost proporcjonalna do ilości błędów w całym systemie.
Dodano: 2006-02-18