Безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка (проверка системы).
В данной статье рассмотрим вопрос - как проверить безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка, таким же образом можно проверить безопасность бизнес сайта и компьютерной сети своего бизнеса.
Вопрос на данный момент очень актуальный, так как почти каждый банк владеет своим сайтом и своей "онлайн" системой управления банковским счетом, которые как правило расположены на сервере компьютерной сети банка.
Как сайт банка, вместе с "онлайн" системой управления счетом, так и сама компьютерная система банка вызывает интерес к разного рода хакерам и лицам, которые занимается несанкционированным проникновением и незаконным сбором разного рода информации с дальнейшим незаконным ее использованием.
Как показывает практика, почти все банки грешит в сфере безопасности и защите информации "онлайн" системы управления счетом или компьютерной системы, обманывая тем своих клиентов с утверждением, что обе эти системы... безопасны и кража информации, а также кража финансов, используя "онлайн" систему управления банковским счетом и компьютерную сеть банка, невозможна. Но не всегда это так и очень часто банк сознательно скрывает факты незаконного проникновения в сервер, систему управления счета и саму компьютерную систему банка, так как это может повлиять на рейтинг банка, его прибыль или вызвать переход клиентов в другой... более надежный банк.
Необходимо пояснить, что в случае незаконного проникновения в систему и кражи средств или информации, и не сообщение об этом пострадавшим и правоохранительным органам, банк прямым образом нарушает свои прямые обязанности по сохранности финансовых средств клиента и тайны банковской информации клиента, которые закреплены как законодательством, так и договором между банком и клиентом.
Для наглядности алгоритма и программного обеспечения, который используется при проверке, проведем проверку безопасности сайта и компьютерной сети банка "Райффайзенбанк".
Первое:
Проверка сайта на наличие уязвимости. Определение IP адреса сайта и входа в "онлайн" систему.
Для этого используется программа Access Driver, с помошу которой мы определяем, что IP адрес сайта 193.28.44.146 и IP адрес входа в "онлайн" систему 193.28.44.148.
Сканируя сайт этой программой устанавливаем, что сайт имеет 60 уязвимостей. Это обозначает, что имеется возможность использования эксплойтов, для проникновение и кражи информации на сайте. При проверке входа в "онлайн" систему, данной программой, уязвимостей не обнаружено.
Используя сканер безопасности XSpider при сканирование IP адрес сайта 193.28.44.146 устанавливаем, что открыты 3 порта 21, 80, 443 и с помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтового скриптинга. Также это показывает,что имеется возможность, используя программы - сниффери, прослушивание и перехват важной информации (включая идентификационные данные клиентов), необходимой для незаконного проникновения, и прослушивая эти порта, возникает возможность установления IP адреса компьютеров клиентов, которые пользуются "онлайн" системой управления счетом данном банке, и с помощи программы - спуфер ( программа, которая подменивает настоящий IP адрес на любой другой IP адрес) использовать эти IP адреса при незаконном проникновение на сайт банка или в компьютерную сеть банка.
Последнее, что надо отметить - сам сайт подвергнут фишинговой атаке.
Второе:
В службе WHOIS проверяем кому принадлежит установленные нами эти IP адреса 193.28.44.146 и 193.28.44.148.
Видим, что оба IP адреса принадлежит компьютерной сети банка "Райффайзенбанк":
inetnum 193.28.44.0 - 193.28.44.255 - интервал IP адресов принадлежит организации.
netname RBA
descr ZAO "RAIFFEISENBANK AUSTRIA" - название хозяина IP адресов.
country RU
admin-c ST1206-RIPE
tech-c ST1206-RIPE
status ASSIGNED PI
mnt-by RIPE-NCC-HM-PI-MNT
mnt-lower RIPE-NCC-HM-PI-MNT
mnt-by ROSNIIROS-MNT
mnt-routes RAIFFEISENBANK-MNT
mnt-routes ROSNIIROS-MNT
source RIPE # Filtered
person Sergey Tretyakov - ответственное лицо и контактные данные в организации хозяина
IP адресов.
address Troitskaya 17/1, Moscow, Russia
remarks phone: +7 (095)775-5240
phone +7 (495)775-5240
remarks fax-no: +7 (095)721-9901
fax-no +7 (495)721-9901
e-mail stretyakov@raiffeisen.ru
С этим мы установили, что банк имеет свою сеть IP адресов и сам сайт, а также "онлайн" системы управления банковским счетом, расположены на серверах компьютерной сети банка.
Третье:
Проверка самой компьютерной сети банка.
Это занимает больше времени, так как проверка производится несколькими программами.
Используя программу Essential NetTools проверяем есть ли в компьютерной сети "разшаренные" IP адреса (адреса с свободным доступом любова другого компьютера к ним). Проверка показала, что таких IP адресов нет.
Такую же операцию можем провести используя программу LanSpy, данная программа также укажет имеется ли открыты порта "Троянов" на компьютерах, которыми пользуется или пользовались лица незаконна проникшие в компьютерную сеть банка. Программа такой факт не зафиксировала.
Такую же операцию по поиску открытых порта "Троянов" на компьютерах проведем используя программу NetTools - Trojan Hunter и также установили, что нет IP адресов с открытыми портами для "Трояна".
Последней программой, которой сканируем всю компьютерную сеть банка, сканером безопасности XSpider определяем общее и специфическое состояние системы безопасности компьютерной сети. При проверке установили, что из все сети открытыми IP адресами были 23 и у всех работал в открытом режиме 21 порт. При проверке уязвимость и слабых мест не было обнаружено.
У программы есть возможность проверить также и не отвечающие IP адреса сети, но мы не производили такую доскональную проверку, так как наша цель - показать сам принцип работы при проверке безопасности.
Четвертое:
Анализ и оценка полученной информации.
Анализ и оценка полученной информации показывает, что сама компьютерная сеть банка условно безопасно, кроме безопасности самого сайта и "онлайн" системы управления банковским счетом, так как при наличие определенного программного обеспечения и навыков возможен незаконное проникновение в сеть, а также прослушивание и перехват идентификационных данных клиентов банка, что в дальнейшем может привести к незаконному проникновению в "онлайн" систему управления банковским счетом и кражу денежных средств, а также к незаконному получению информации об клиентах банка и их финансовых операциях.
И это уже является прямым нарушением, со стороны банка, обязанности сохранения в тайне банковскую информацию от третьих лиц.