Комп'ютерну систему Інтернет-банкінгу можна зламати
Комп'ютерний експерт заявив, що комп'ютерну систему Інтернет-банкінгу, яка застосовується багатьма банками, можна з легкістю подолати і зламати, в результаті чого рахунки клієнтів декількох Шведських банків знаходяться під загрозою.
Шведський хакер, добре відомий в колах комп'ютерної безпеки, який попросив не розкривати його прізвище, продемонстрував компанії Reuters як протягом декількох хвилин можна зламати захист веб сервера, який використовує програму компанії Microsoft MSFT.O.
Він показав, як зламати систему безпеки Інтернет-банкінгу, швидко проникнувши на веб сайти трьох з чотирьох найбільших шведських банків, після чого він зумів приховати сліди свого проникнення.
«Цей протокол дуже легко зламати» - заявив комп'ютерний експерт і додав: «протокол SSL не забезпечує тієї безпеки, на яку сподівається клієнт банку».
Техніка атаки використовувала комбінацію вразливостей, над якими компанія Microsoft має тільки обмежений контроль. При цьому велика частина провини падає на мережевих адміністраторів, які працюють в банках і інших фінансових організаціях, які примудряються неправильно встановлювати продукти компанії Microsoft.
Використовуючи даний метод, атакуючий може зайти на веб сайт банку як клієнт банку за допомогою сертифіката автентичності і отримати доступ до кореневого розділу сайту, а звідти вже проникнути у внутрішню мережу організації.
Компанія Microsoft і банки заперечують існування цієї загрози. При цьому компанія Microsoft підтвердила існування помилки в протоколі SSL, сказавши, що йде робота над виправленням цієї помилки, але в той же час заявивши, що помилка не представляє смертельної загрози.
Представник Microsoft в Швеції заперечував, що протокол SSL можна зламати за допомогою того способу, який був застосований хакером.
Анонімний експерт заявив, що зловмисник може негативно вплинути на безпечність через сотні комп'ютерів, зробивши роботу поліції з виявлення злочину практично неможливою, тому що у поліції піде до 4-5 місяців для того, щоб розплутати сліди, залишені при роботі тільки через 10 комп'ютерів.
Чотири Шведських банку не є чимось унікальним. Згідно комп'ютерного експерта багато з всесвітньо відомих фінансових установ також уразливі проти подібних атак, тому що вони побудували систему безпеки на протоколі SSL.
Представники всіх чотирьох Шведських банків заявили, що вони не знали про будь-яких проникненнях в їх комп'ютерні системи, але один з них сказав, що жодна система безпеки не може бути досконалою.
Як правило, банки говорять, що все в порядку, але це нісенітниця. Будь-яка система має свої вади, особливо при наявності внутрішньої інформації. Експерт з комп'ютерної безпеки Ларс-олово Гуттке з фірми Deprotect заявив, що його компанії вдалося використати приховані інструкції для перерахування десятків мільйонів доларів з рахунку, відкритого в провідному Європейському банку.
Банк попросив компанію Deprotect протестувати систему безпеки банку. Через два тижні Гуттке розповів банку про перерахування грошей, а внутрішня система контролю, встановлена в банку, нічого не помітила. Перерахування не було помічено з тієї причини, що перерахування робилися невеликими партіями з тим, щоб не привертати до себе уваги.
Гуттке також сказав: «може піти кілька днів на те, щоб знайти дірку, і як тільки це буде зроблено, зламати банківську систему не так вже й складно».
Гуттке ще сказав, що банки витрачають величезні суми грошей для зміцнення системи роботи з клієнтами, але при цьому ігноруються внутрішні системи, за допомогою яких можна проникнути в мережу банку.
Інформація про злочини, пов'язаних зі зломом банківських систем, маловідома і ретельно приховується банком, тому що банки бояться, що оприлюднення таких випадків вдарить по престижу банку.
З одного боку все хочуть при відкритті рахунку знайти такий банк, який надає зручний Інтернет-банкінг і мало хто готовий відмовитися від зручностей Інтернет-банкінгу з метою максимальної безпеки грошових коштів, розміщених на рахунку.
Тому, ми в якійсь мірі розуміємо ті банки, які не поспішають запроваджувати у себе систему Інтернет-банкінгу та вважають за краще працювати з клієнтами через факс. Однак з цих банків необхідно виділити ті банки, які з одного боку пропонують систему Інтернет-банкінгу, але таким чином, що справжність платіжного доручення тестується не за допомогою протоколу SSL, а іншими способами, що не мають до комп'ютерної системи банку ніякого відношення. Тоді навіть якщо хакер і зайде на ваш рахунок в цьому банку, то все, що він зможе зробити, це отримати виписку про стан рахунку, а перерахувати ваші гроші в інше місце не зможе. В цьому відношенні нам сподобалася система віддаленого управління рахунком Прибалтійського банку Ріетуму, яка не має тих вад, про які йде мова в цій статті. Більш детальну інформацію про те, як уберегти платіжні інструкції, що відправляються в банк, від перехоплення третіми особами, можна дізнатися з нашої книги, інформацію про яку можна отримати на нашому сайті.