Объект
Партнер
Пользователь
Новость
Отдел продаж
10:00-19:00, пн-пт
093 255 000 9
+380932550009
+380932550009
Контактный e-mail
Реквизиты Оплата
Тарифы - рассылка
Тарифы - баннеры
Подробнее Подробнее Подробнее
Главная / Недвижимость - Новости  / Самые интересные

Надёжно, как в банке! А Вы в это верите?

21.09.09  
Слово "банк" у многих из нас ассоциируется с такими понятиями как: надёжность, безопасность, компетентность, ответственность, респектабельность. В этой статье речь пойдёт об одной из составляющих - об информационной безопасности средств электронной коммерции (он-лайн банкинг, интернет-магазины, автоматизированные пункты продаж, электронные платёжные системы и т. п.), которые набирают свою популярность в Украине с каждым годом.
Что Вы об этом думаете ? Сказать
По роду своей работы мне часто приходилось заниматься тестированием безопасности веб-сайтов зарубежных компаний. Я не раз убеждался в том, что большинство сайтов имеют серьёзные проблемы информационной безопасности, что подтверждает официальная статистика хищений в сети Интернет. Цифры впечатляют. Только за один 2007 год прямой финансовый ущерб потребителей США составил 3.2 миллиарда долларов (не учитывая косвенных потерь американского бизнеса). В целом же общие мировые потери эксперты оценивают около 100 миллиардов долларов в год. И это только официально зарегистрированные случаи. Считается что не более 5% потерпевших заявляет о подобных проблемах. А сколько тех, кто даже и не заметил, что стал жертвой виртуальных карманников? Можно разве что догадываться о реальных масштабах проблемы.

Читатель может возразить - а, ну то в Америке, у них совсем другие денежные обороты электронных платежей, практически каждый житель имеет (и главное регулярно пользуется) платёжной картой, а часто и не одной. Покупка товаров и услуг в США в Интернет для многих стала повседневной рутиной, не то что в нашей стране, где кредитные карты чаще всего используются только как средство хранения или обналичивания денег, а не как средство платежа. Это факт. Как факт и то, что "их" производители программного обеспечения, провайдеры интернет-услуг и просто рядовые пользователи поднаторели в противостоянии интернет-мошенникам.

Что же касается Украины (да и прочих стран постсоветского пространства), то наш развивающийся рынок электронной коммерции может оказаться (или уже есть) следующей мишенью хакеров, чему "благоприятствуют" такие факторы как:

* Значительное отставание Украины от западных стран по степени развития и внедрения компьютерных технологий, в том числе средств защиты передаваемой и хранимой информации;
* Лидирование постсоветских стран по числу хакерских атак, производимых с их территории (примерно 20% от общего числа);
* Недостаточно развитая культура потребления интернет услуг и просто банальная компьютерная неграмотность наших сограждан;
* Отсутствие обязательных регламентирующих норм, правил обеспечения и контроля информационной безопасности в сети Интернет;
* Сложность выявления и доказательства фактов интернет-мошенничества как с технической, так и юридической точки зрения.

Интернет - это сеть, состоящая из множества дыр

Изначально Интернет создавался как средство коммуникации между университетами, поэтому о вопросах информационной безопасности тогда никто не задумывался. В результате чего большинство веб-сайтов сегодня имеют серьёзные уязвимости безопасности, и в том числе сайты весьма популярных украинских банков, интернет- магазинов и платёжных систем, в чём я лично убедился при беглом обзоре ряда таких веб-сайтов.

Даже такое поверхностное исследование выявило, что примерно треть веб-сайтов банков и почти все сайты интернет-магазинов имеют неудовлетворительную защиту конфиденциальной информации. Исходя из собственного опыта тестирования можно ожидать, что число "дырявых" сайтов может вырасти до 70% при более тщательном их тестировании.

Вот примеры наиболее типичных уязвимостей:

* Ваша персональная информация такая как: регистрационное имя (логин), пароль, e-mail, паспортные данные, индивидуальный идентификационный код, девичья фамилия матери, даже данные кредитной карты (!!!) и многое другое - всё это может передаваться в Интернет открытым текстом без какого-либо шифрования. Перехват такой информации в сети Интернет не представляет особых трудностей. Вы бы, наверное, не стали отправлять денежные купюры в обычном конверте, надеясь на добропорядочность работников почты.
* Информация о ваших платежах может быть доступна другим пользователям. Например, любой зарегистрированный пользователь сможет увидеть когда и за что вы платили, номер счёта, какой у вас телефон, адрес, e-mail, ICQ и т. д. То есть ваша личная финансовая жизнь становится публичной помимо вашей воли.
* Вы просто открваете страницу популярного блога а в это время деньги с вашего счёта преводятся на другой. Если похищена небольшая сумма то единственное что вы можете заметить - некоторые элементы веб-страницы блога не отображаются.
* Часто встречается возможность внедрения хакерских ссылок, полей ввода и программного кода на сайтах, при этом сервер воспринимает этих "подкидышей" как своих собственных до тех пор пока кукушонок не клюнет приёмного родителя. Уязвимые веб-страницы могут быть использованы для хищения паролей, номеров кредиток или размещения компрометирующего или неподобающего материала.
* Возможен прямой доступ к базе данных для чтения, изменения и удаления не только информации хранимой в базе данных, но и самой структуры базы данных. т. е. "Бери - не хочу" - всё зависит только от опытности и намерений взломщика.
* Можно войти в систему под чужим именем вообще без пароля. Достаточно просто ввести "волшебное слово" (известное хакерам) в поле ввода пароля или командную строку браузера и.... вуа-ля - вы совсем другой человек (для банка) с его активами и пассивами.
* Нередко встречаются случаи, когда можно читать, изменять, удалять, создавать и даже запускать на выполнение файлы, хранящиеся на веб-серверах. Эти файлы могут содержать такие важные данные как:

1. идентификаторы и персональные данные клиентов банка;
2. параметры конфигурации системы (включая права доступа);
3. администраторские логины и пароли для доступа к базе данных или локальной файловой сети;
4. исходные коды программ, файлы данных и резервные копии баз данных
5. и т. п.

* Довольно часто при сбое системы на экран выводится много технической информации. Для обычного пользователя - это информационный мусор, но для взломщиков - это просто подарок судьбы. Такие сообщения запросто могут содержать администраторские пароли и логины, название таблиц и полей базы данных, программный код, пути к файлам с конфиденциальной информацией и много другой ценной информации. К сожалению, это является практически стандартным поведением для многих популярных веб-серверов.
* Почтовый сервер банка может быть использован для рассылки СПАМа с компрометирующим его же содержанием.
* В конечном итоге несколько сотен или даже тысяч компьютеров пользователей могут быть использованы для проведения массированной атаки на сайт их банка, чтобы вывести его из строя на пару часов, а, может, и навсегда если "повезёт"...

Этот список можно было бы продолжать и дальше. Всё это выглядит так, как будто при строительстве банка забыли поставить одну из стен... Или как минимум, что ключи от бронированной входной двери хранятся снаружи под ковриком.

Заказчики и исполнители

Большинство хакеров взламывают сайты только из побуждений профессионального самоутверждения или любопытства. Убедившись, что защита сломлена, они обычно не идут дальше. В крайнем случае могут умыкнуть небольшую сумму, чтобы "компенсировать" свои технологические издержки. Известны даже случаи когда сами "взломщики" из благих побуждений сообщали “жертвам” об обнаруженной лазейке и... оказывались за решёткой.

Сами по-себе хакеры особой опасности не представляют, но несомненно, стоит опасаться закзчиков и потребителей хакерских "отмычек". Кто же они, люди без страха и упрёка? Заказчиками хакеров могут быть:

* жулики, те что снимают небольшие суммы денег с большого числа банковских счетов, а так же те кто обналичивают или "отоваривают" их;
* конкуренты, ведущие технический и финансовый шпионаж;
* спецслужбы, наблюдающие за банками или их клиентами;
* рейдеры, собирающие компромат или готовящие кибер-атаки, способные парализовать работу приглянувшегося им учреждения.
* продавцы конфидециальной частной и коммерческой информации (базы данных паспортных столов, налоговых инспекций, клиентов баков и тп.).

Но ситуация не является патовой. Большинство уязвимостей уже выявлены, и существуют доступные методы и средства, которые позволяют закрыть бреши в защите веб-приложений. Проблема в другом - руководство и технические специалисты не уделяют этим проблемам должного внимания, а может быть просто игнорируют их.

Больше всего поражает "откровения" персонала поддержки и руководства некоторых сайтов. Когда я, например, позвонил в службу поддержки одного известного интернет-магазина чтобы предупредить о найденных на их сайте "дырах", то мне ответили (с большим апломбом) буквально следующее: "Персональная информация пользователя, никакой ценности не представляет, и вводится пользователем для его же удобства, поэтому он (пользователь) сам отвечает за то- где, кому и какую информацию он предоставляет...". Если не обращать внимания на тон ответа, то как ни печально, но это правда - спасение утопающих дело рук самих утопающих. Если мы с вами не будем беспокоиться о собственной информационной и финансовой безопасности, то могут найтись те, кто "побеспокоится" об этом, но только в сугубо своих интересах...

Письма "мёртвого" человека

Наибольшее число хакерских атак в настоящее время происходит при помощи Фишинга. Это наиболее простой (с технической точки зрения) и наиболее эффективный способ хищения информации в сети интернет. Как это работает?

Обычно в случае Фишинга вы получаете от хакера e-mail или чат сообщение (ICQ, MSN, Skype и т. п.) которое содержит в себе ссылку-приманку (подобные сообщения могут приходить даже на мобильные телефоны). Такие ссылки-приманки также могут появится на популярных сайтах, посетители которых могут публиковать свои сообщения, в том числе и ссылки (форумы, блоги, социальные сети и т. п.). Это в полной мере относится и к форумам тех банков, на которые нацелены хакерские атаки. Причём адрес отправителя сообщения будет в точности соответствовать e-mail службы поддержки вашего банка. На это не стоит полагаться - злоумышленник может подставить любой обратный адрес. При нажатии на эту ссылку вы попадаете на страницу-ловушку, которая либо очень похожа, либо в точности повторяет страницу регистрации и/или оплаты вашего банка или интернет-магазина. При этом адрес страницы может быть идентичным адресу "настоящей" страницы или быть очень похожим на него. Вам остаётся только ввести ваши логин/пароль или данные кредитной карточки и нажать Ok. И … ждать пока ваш счёт не похудеет на энную сумму без вашего ведома.

Ниже перечислены наиболее типичные признаки писем-приманок:

* В приветствии письма отсутствует ваши имя и фамилия или как минимум имя учётной записи (логин). Письмо начинается безличным обращением, например "Уважаемый клиент".
* Письмо приходит внезапно - вы уже давно зарегистрировались, не меняли свою учётную запись, не производили покупок или других операций, после которых обычно приходит уведомление, не подписывались на рассылку рекламы и новостей.
* Под вполне благовидным предлогом вам предлагают сменить ваш пароль, например, во избежании мошенничества. В любом случае, упоминание о том, что надо явно ввести ваш пароль или тем более данные кредитки должно вызывать подозрение и звонок в службу поддержки этого сайта.

Особо обратите внимание на письма якобы от вашего банка с примерно таким содержанием:

* Банк информирует вас о возможном хищении с вашей карточки. Чтобы попасть на страницу последних платежей по вашей карточке вам необходимо ввести регистрационное имя и пароль.
* Приходит уведомление о успешном или отклонённом платеже, который вы не совершали. Естественно такое письмо имеет ссылку на "страницу регистрации".
* Требуется материальная помощь в лечении тяжелобольного и предлагается сделать пожертвование он-лайн.
* Вы выиграли денежный приз в лотерее проводимой вашим банком и вам надо указать номер кредитной карточки и PIN-код для его получения.
* Вам предлагают купить товар по смешной цене.
* И т. п.

Банкиру на заметку

Как же поступить руководству банка, чтобы уберечь своих клиентов (а значит и банк) от подобных "неприятностей"? Есть несколько простых советов:

* Проведите комплексное независимое тестирование безопасности вашего веб-сайта и веб-сервисов (если такие имеются). Все найденные уязвимости должны быть немедленно устранены или максимально минимизированы.
* Проводите тестирование безопасности регулярно - хакеры не дремлют и постоянно изыскивают новые лазейки для своих атак. Плюс новые версии программного обеспечения, могут содержать новые уязвимости.
* Своевременно обновляйте программное обеспечение: веб-серверов, баз данных, операционных систем и т. д. Злоумышленники могут легко определить устаревшую версию приложения, установленного на вашем сервере и воспользоваться известными уязвимостями старой версии.
* Веб-страницы содержащие конфиденциальную информацию должны шифроваться и предаваться по безопасному протоколу HTTPS. Не стоит экономить на приобретении SSL сертификата - безопасность стоит дороже.
* Используйте Intrusion Detection System (IDS) приложения, которые подобно антивирусам могут блокировать хакерские атаки, используя базу данных известных уязвимостей, или выявить потенциально опасные запросы, основываясь на эвристических методах оценки.

Послесловие

100% защищённости информации, хранимой и передаваемой в Интернет, никто гарантировать не может, поэтому нам, пользователям, следует помнить - что безопасность нашей конфиденциальной информации всё ещё сильно зависит от того, как мы ею распоряжаемся. С другой стороны, владельцы веб-сайтов и провайдеры интернет-услуг могут (и должны) принять все меры, чтобы снизить эти риски на несколько порядков относительно текущей ситуации. Информационные риски - это и финансовые риски, а безопасность клиентов - это и безопасность бизнеса в целом.

 

www.testassure.com
Новости, по теме:

 

comments powered by Disqus


  1. Чи можна купити електроенергію на онлайн-аукціонах
  2. Чи можна купити електроенергію на онлайн-аукціонах
  3. Что известно о киевских застройщиках
  4. Сдаем квартиру правильно и безопасно
  5. Почему шлифовка паркета так популярна
  6. Вывод из запоя в Киеве
  7. Кабельная стяжка
  8. Исправная сантехника – залог комфортного проживания!
  9. Лучшие казино в современных реалиях
  10. Угловые топки
  11. Что ожидать от Айфона 13
  12. Где можно безопасно и быстро занять деньги?
  13. Положительные отзывы о брокерской компании Freedom Finance подтверждают ее надежность и ответственность
  14. Причины полюбить осень
  15. Рулонный газон - оптимальный вариант обустройства ландшафтного дизайна
  16. Ипотека - залог уверенности в завтрашнем дне
  17. Что подарить партнерам по бизнесу: топ 5 лучших идей этого года
  18. Эффективные инвестиции и капиталовложения, практически исключающие неблагоприятные риски
  19. Букмекерская контора, отличающаяся выгодностью условий заключения пари и надежностью
  20. Особенности использования электрокартона от магазина ПКФ-Электропласт
  21. Защита строительной площадки с помощью системы видеонаблюдения



База прямых хозяйских и без комиссии

Самая низкая в Украине цена за полную базу!

Рассылка по недвижимости

Прорекламируйте свои объекты, заявки и бизнес! Более 16000 подписчиков. Самые низкие в Украине тарифы!

База прямых хозяйских и без комиссии

Самая низкая в Украине цена за полную базу!




©2004-2012 «Недвижимость 5000» — Рекламно-Информационный Портал
О компании | Карта сайта