Σχεδίαση Ελαττώματα, Εκτός από Ευπάθειες, Hurt Banking Sites

Οι ιστοσελίδες Τραπεζών υποφέρουν από ελαττώματα στο σχεδιασμό που υπονομεύουν την ασφάλειά τους, χωρίς την ευπάθεια του λογισμικού, σύμφωνα με μελέτη του Πανεπιστημίου του Μίσιγκαν που θα κυκλοφορήσει την Παρασκευή.

Από τα 214 sites που ερευνήθηκαν το 2006, περισσότερα από 75% η οποία θα μπορούσε να οδηγήσει σε πρόβλημα ασφάλειας, δήλωσε το πανεπιστήμιο. Η ροή και η διάταξη των ιστότοπων μπορούν να καταστήσουν τους τόπους αυτούς πιο επικίνδυνους και τα προβλήματα δεν μπορούν να διορθωθούν με ένα έμπλαστρο σε αντίθεση με την ευπάθεια του λογισμικού.

Μερικά από τα ευρήματα της μελέτης κυκλοφόρησαν την Τρίτη από το πανεπιστήμιο. Τα πλήρη ευρήματα θα παρουσιαστούν στο Συμπόσιο για τη Χρήση της Προστασίας Προσωπικών Δεδομένων και της Ασφάλειας που θα πραγματοποιηθεί την Παρασκευή στο Πανεπιστήμιο Carnegie Mellon στο Πίτσμπουργκ.

Η μελέτη διεξήχθη από τον Atul Prakash, καθηγητή στο Τμήμα Ηλεκτρολόγων Μηχανικών και Επιστήμης Υπολογιστών και δύο διδακτορικούς φοιτητές, Λόρα Φαλκ και Κέβιν Γκρόντς. Ο Πρακάς άρχισε να ερευνά, αφού διαπίστωσε προβλήματα με την ιστοσελίδα της ίδιας της τράπεζάς του, δήλωσε το πανεπιστήμιο.

Αν και η έρευνα έγινε το 2006, πολλά από τα προβλήματα εξακολουθούν να επηρεάζουν τους χρηματοοικονομικούς χώρους. Ένα από τα βασικά προβλήματα είναι η υποεκτέλεση της τεχνολογίας κρυπτογράφησης SSL (Secure Sockets Layer) στις ιστοσελίδες.

Η μελέτη διαπίστωσε ότι το 47% των τραπεζών δεν χρησιμοποίησε SSL στις σελίδες σύνδεσης, γεγονός που θα μπορούσε να ανοίξει την πόρτα για έναν χάκερ μεταφορά δεδομένων στο δικό τους υπολογιστή. Η μη χρήση του SSL καθιστά ευκολότερη την επίθεση από τον άνθρωπο στη μέση, όπου τα δεδομένα του θύματος περνούν από τον υπολογιστή ενός εισβολέα πριν μεταφερθεί στον εξυπηρετητή της τράπεζας.

Ένα άλλο διαδεδομένο πρόβλημα που επηρεάζει το 55% των ιδρυμάτων είναι η τοποθέτηση πληροφοριών επικοινωνίας και συμβουλές ασφαλείας σε ανασφαλείς σελίδες. Ένας χάκερ θα μπορούσε ενδεχομένως να σπάσει τον ιστότοπο και να αλλάξει τον αριθμό τηλεφώνου εξυπηρέτησης πελατών σε απευθείας πελάτες των τραπεζών σε ένα πλασματικό τηλεφωνικό κέντρο. Ο ερευνητής ανακάλυψε ότι το 30% των ιστότοπων θα ανακατευτούσε τους χρήστες σε άλλες τοποθεσίες Web, γεγονός που μπορεί να οδηγήσει σε υποψία ότι κάποιος πρέπει να εκτιμήσει τον κίνδυνο.

Δεδομένου ότι ένας τόπος της τράπεζας είναι αξιόπιστος, ο ιστότοπος με τον οποίο συνδέεται δεν θα θεωρείται πιθανότατα κίνδυνος ασφαλείας, ακόμη κι αν είναι. Οι τράπεζες θα πρέπει να τοποθετήσουν όλες τις ιστοσελίδες τους στον ίδιο διακομιστή, αλλά μερικοί έχουν αναθέσει σε εξωτερικούς συνεργάτες χαρακτηριστικά ασφαλείας που φιλοξενούνται σε άλλους τομείς.

Τα αδύναμα αναγνωριστικά χρήστη και οι κωδικοί πρόσβασης εξακολουθούν να είναι ενοχλητικοί, με το 28% των τραπεζών να μην διαθέτουν οδηγίες για τον κωδικό πρόσβασης αυτές. Τα θεσμικά όργανα θα αποστέλλουν επίσης ηλεκτρονικούς κωδικούς πρόσβασης ή δηλώσεις, κάτι που είναι επίσης επικίνδυνο, ανέφερε η μελέτη.