Что угрожает ИТ-системам банков?

Принято считать, что информационные системы банков хорошо защищены от атак хакеров и злоумышленников. Однако недавно полученные результаты тестирования банковского ПО показали серьезные уязвимости, которым зачастую подвержены информационные массивы кредитных учреждений.

Исследования были проведены австрийской компанией SEC Consult, специализирующейся на проблемах ИТ-безопасности. В тесте на присутствие уязвимостей в программных модулях участвовали крупные банки с автоматизированными ИС. К идее проведения подобного исследования учёных подтолкнули участившиеся кибератаки на банки, активное проникновение в банковские системы и заражение компьютеров вредоносными программами.

Для прояснения проблемы SEC Consult провела глубокое многоэтапное исследование случаев, в которых техническая защита информации и другие меры безопасности оказываются недостаточными. В результате были выявлены типичные уязвимости, которые проявляются наиболее часто в протестированных информационных банковских системах.

CrossSite Scripting (XSS) – похищение личных данных и шпионаж в отношении сотрудников банка. Как правило, пользователь получает электронное сообщение с «вредоносной» ссылкой, пройдя по которой, открывает хакеру доступ к контролю браузера, отслеживанию всех действий пользователя, совершению финансовых операций.

Privilege Escalation – изменение статуса пользователя в сторону повышения: за счёт небольших изменений «параметров видимого текста» хакеры получают доступ к «привилегированным» функциям.

Weak Encryption – хищение паролей: хакер отслеживает поток данных от CBS-клиента к CBS-серверу и, вследствие низкого уровня сложности пароля, захватывает аккаунт.

StandardQueryLanguage (SQL) Injection – атака, осуществляемая через слабо защищенные окна ввода данных. Из-за недостаточно надежной валидации вводимой информации хакер получает возможность корректировать отсылаемый запрос и извлекать интересующие его данные.

DirectOperating System(OS) Command Execution – удаленный контроль над CBS сервером: используя такую уязвимость, хакер загружает скрипт с командой для операционной системы, вследствие чего получает доступ к основным параметрам операционной системы.

Для нивелирования обозначенных рисков специалисты компании SEC рекомендуют банкам при покупке программных средств обращать внимание на технологический уровень поставщика и проведение им масштабных тестирований.

25.09.2012