On-line bankovnictví mívá chyby přímo v návrhu

7. 8. 2008

Sdílet

Výzkumníci se soustředili na chyby v „návrhu“, tj. nikoliv na konkrétní softwarové problémy, ošetření řetězců vkládaných do formulářů apod. Tyto problémy nelze vyřešit na úrovni softwaru nějakou aktualizací nebo ošetřením vstupu.

Atul Prakash, profesor University of Michigan, spolu se svými doktorandy prozkoumali weby celkem 214 bank (bohužel není jasné, podle jakého klíče je vybírali). Narazili na několik hlavních chyb v zabezpečení on-line bankovnictví. Soustředili se přitom na chyby v „návrhu“, tj. nikoliv na konkrétní softwarové problémy, ošetření řetězců vkládaných do formulářů apod. Rovnou říkají, že detekované problémy nelze vyřešit na úrovni softwaru nějakou aktualizací nebo ošetřením vstupu.

Největší chyby podle této studie:
- umístění formulářů pro vkládání důvěrných dat na nedostatečně zabezpečených stránkách; dejme tomu, že přihlášení k aplikaci se provádí na „normální“ stránce a teprve poté se otevře spojení https. (47 % bank nevyhovělo)
- zveřejnění kontaktních apod. informací na nezabezpečené stránce. Na samotné informaci samozřejmě není nic tajného, člověk si jí může najít ve firemních materiálech nebo v telefonním seznamu apod. Problém ale je, že útočníci mohou nezabezpečenou stránku narušit, nenápadně třeba změnit telefonní číslo a zde začít shromažďovat citlivé informace. (55 % bank nevyhovělo)
- provádění transakce nebo její části mimo bankovní server (např. na jiné doméně apod.). Uživatel má pochybnosti o důvěryhodnosti. Pokud naopak službě věří, může jindy snadno naletět phishingu („bankovní aplikace“ na jiné adrese). Banky by každopádně měly, pokud používají tyto prostředky, používat nějaké upozornění ve stylu „pro dokončení transakce budete přesměrováni na server třetí strany XY, což je důvěryhodná certifikační autorita“.
- povolení nevhodných hesel, ID apod. (například hesla totožná se SSN, v našich podmínkách třeba s rodným číslem)
- posílání důvěrných dat e-mailem. Tímto způsobem by měla být zasílána pouze upozornění ve stylu „změnila se hotovost, zkontrolujte aktuální stav“, ovšem bez odkazu nebo dokonce hesla apod.

Zdroj: Sciencedaily

Poznámka: Je snad on-line bankovnictví našich bank o tolik lépe zabezpečené? Výše uvedené výtky se snad s výjimkou bodu 2 prakticky nevyskytují...

Viz také:
Samotné bankomaty jsou bezpečné, ale kabely ne
Česká spořitelna se stará, aby se příkaz nezadal dvakrát
PaySec: mikroplatby od ČSOB

Autor článku