Internet Banking Security Considerations oceny
05 sierpnia 2008 w bankowości i EFTPoS, bezpieczeństwa
Byłem jakiś czas temu zapytał, jakie rzeczy mogą być brane pod uwagę, gdy spogląda się na Internet Banking.
Poniżej znajduje się lista rzeczy, które mogłyby być uznane. To był tylko zrzucić mózgu i jako taka nie może być kompletne.
Nie doceniać wartości standardowe dla infrastruktury stronie konfiguracji aparatu bazy danych konfiguracji / Architektura, inscenizacja środowiska i rozwoju / QA środowisk.
Kilka myśli:
- Wielu nie blokady kont po X nie loginów, to zwykle zrobić dla dobra obsługa klienta, ale pozostawia system podatny.
- I wszystkie inne rzeczy oczekuje na zdalne sesji logowania (wymuszone zmiany hasła, starzenie, itp))
- Narzędzia takie jak Brutus może być używany do brutalnej siły hack uwierzytelniane sesji.
- Wiele pozwalają sesji kolejnych numerów, które mają być zwiększane, na uwierzytelniony użytkownik w celu wyświetlenia innego klienta sesji.
- To może być po stronie serwera, po stronie klienta, ciasteczka, itp.
- Dlaczego ktoś sprawdzić rozwoju metodologii i kod używany.
- Baza danych zapytań łańcuchy mogą być wprowadzane do badania pola wpisu, pozwalając tabeli śmieci do przeglądarki.
- Sprawdź, czy wszystkie strony serwowane są bezpieczne i zawierać uwierzytelniania użytkownika flagi.
- Klient dane nie mogą być rozdzielone, to musi być sprawdzone.
- Klient dane nie powinny znajdować się na serwerze sieci Web.
- Uwierzytelnianie danych / systemu dane nie powinny znajdować się na serwer internetowy.
- Bazy danych powinny znajdować się na prywatnej / półpubliczne sieci prywatnej.
- A różnych segmentów do głównego systemu bankowego.
- Serwer powinien być podwójnym homed lub równoważne (VLAN niektóre techniki są dobre)
- Prywatnych i publicznych Oddzielne karty sieciowe, monitorowanie / kopia / administracja
- Infrastruktura konfiguracji wyraźnie zaprzecza inbound / wychodzące porty, prywatne IP & monitorowania ucieczki od sieci.
- Na wszystkich danych punktów segregacji zapewnienia przepisów, które docenia fakt, iż punkt ruchu.
- Wszystkie dane powinny być w miarę możliwości pochodzić z bezpiecznej bazie danych typu back-end.
- Może to być inscenizacja środowiska. tj. głównego systemu bankowego.
- To zwykle pozwala na transakcje do stawienia się w czasie rzeczywistym do klienta.
- Wiele transakcji może być batched w rzeczywistości. (wewnętrznego lub zewnętrznego do banku)
- Zapewnienie odpowiedniej zasady zostały ustalone, na zapory.
- Nie powinno być i wychodzących reguł zapory i filtrowania routery.
- Nie należy dopuszczać żadnych infrastruktury na czoło, aby umożliwić zdalną administrację połączeń. (Telnet, itp.)
- Użycie konsoli szeregowej portu do połączenia z serwerem lub back-end serwera terminali.
- Upewnij się, że oddzielny rozwój / QA / środowisku produkcyjnym oraz odpowiedni proces jest na swoim miejscu.
- Usługi, które nie są używane przez system są aktywne
- Powinny być one wyłączone.
- Skanowania portów na wsparcie infrastruktury (routerów / przełączników) i serwera (-ów).
- Zbadanie przyczyn wszystkie otwarte porty.
- Nie należy korzystać z głównej bramy zaufanym partnerem dla dostępu (clearingu / RAS / itp.)
- Czy wszystkie standardowe usługi IIS kontrole i NT kontroli (Przykładowe skrypty, zarządzanie zmianami, łatanie metodologii, itp.)
- Zapewnienie Denial of Service ostrożności zostały wzięte pod uwagę dla wszystkich infrastruktury i serwer urządzeń.
- Sprawdź adekwatności eskalacji procedury stosowane.
- Spójrz na monitorowanie w czasie rzeczywistym i ostrzegania.
- Spójrz na odpowiedzialność matrycy.
- Spójrz na kwestie własności.
- Rozważ upstream przewoźnika (-ów) Luka (Denial of Service, IP spoofing, DNS, hacking, itp)
- Rozważ klienta inżynierii społecznej, administracyjnej, partnera kont / systemów / infrastruktury.
- Helpdesk i procedur polityki i / lub zastępcy technologii (Caller ID, Gateway IP, itp.).
- Użyj dynamicznej haseł w miarę możliwości (SecureID, TACACS, itp.).
- Użyj szyfrowane tunelowanie gdzie potrzebne (IPSec, Zapora 1, itp.)
- Rozważ patrząc na inne klienta metod uwierzytelniania w celu wzmocnienia istniejących metod.
- Digital cert, adres IP zablokowane na rachunku, itp.
- Rozważyć możliwość wykorzystania CVV lub CVN bankowych wydanych kart.
- Zastanów się, jak hasła są rozprowadzane / zmiana dla klientów.
- Zwykły tekst e-mail, telefon, itp.
- Czy może ulec zmianie haseł w Internecie?
- Czy dodatkowe uwierzytelnianie stosowane między sekcjami usług uwierzytelniane raz?
- Rozważ to, co klient ma dostęp do uwierzytelniane raz.
- Spójrz na SWIFT, RTGS między przelewów bankowych, dostępu do karty kredytowej, itp.
- Jeśli atakujący nie dostać w, co może zrobić?
- Wykorzystanie technik w celu zapewnienia stron, dane klienta nie są buforowane na ISP lub systemu klienta.
- Są to flagi, które można ustawić w obrębie strony.
- Normalnie SSL jest buforowana, ale niektóre proxy sprzedawców zostały z techniki gry, aby to zrobić.
- Buforowanie stron z SSL na kliencie systemu może być włączona w niektórych przeglądarkach.
- Maj banki użyć Java (lub podobnym) apletu dla wszystkich interakcji klienta, ograniczenie wszystkich problemów buforowania.
- Zapewnienie papierowej i on-line dostępne są klauzule odpowiedzialności są kierowane do wszystkich obszarach dokonane.
- Zapewnienie klienta w procesie rejestracji bankowości odpowiedzialność jest zmniejszona.
- Widziałem jak oświadczenia "użyć tego systemu na własne ryzyko, odpowiedzialność za wszelkie zobowiązania lub roszczenia NIE ... ..."
- Nie bardzo skoncentrowane klientów, ale to, co ich prawnych departamentu zalecane.
Wszystkie powyższe mogą wpływać na bezpieczeństwo i / lub działania on-line systemu bankowego.
Inne rzeczy do rozważenia:
- Zewnętrzne rozwoju i poparcie wniosku.
- Własności i zarządzania sprzętu / aplikacji
- Publikowanie punktów nową zawartość (wewnętrzna / prywatne / zaufanych sieci lub przez Internet)
- Topologia z przodu. Tj. architektury bezpieczeństwa dokument powinien być w miejscu i właściwie zarządzane.
- Są ograniczone AP testów w każdym przypadku, gdy zmiany są wprowadzone do środowiska naturalnego? tzn. zintegrowane AP w procesie zarządzania zmianami.
- Dostęp do baz danych. Czy to jest buforowany na żywo, czy też do podstawowych systemów bankowych.
- Jakie urządzenia są przewidziane? Polecenie zapłaty + Karta kredytowa + SWIFT + ... .... Rozważ różne scenariusze do ataku w zależności od funkcji.
- Jakie inne usługi są udostępniane w obrębie segmentu sieci, że Internet Banking jest uruchomiona usługa. Czy można to być wykorzystane do kompromisu Internet Banking witrynie. np.. różnych wsparcia / business / organizacje o różnej strategii bezpieczeństwa / profile.
- Rozważenie wszystkich zewnętrznych usług pomocniczych w was AP. Spójrz na wewnętrznych / zewnętrznych DNS poisoning szans, poczty, itp. Co IPS's one wykorzystanie ISP każdą okazję, aby uzyskać dostęp do systemów i usług pomocniczych, które mogą wpływać na Internet Banking.
- W zależności od rozmiaru Banku, wiele organizacji nie używać tych samych grup wsparcia dla infrastruktury i aplikacji. W wyniku zewnętrznych połączeń do infrastruktury mogą być przekazywane do zewnętrznego wsparcia organizacji zarządzania infrastrukturą.
- Spójrz na biznes i uwierzytelniania użytkownika metod i ścieżek (po stronie klienta certyfikatów, bezpieczny identyfikator, karty, etc.) Rozważmy dwa czynnik uwierzytelniania użytkownika i nowoczesnych metod identyfikacji. np.. Jaka jest Twoja ulubiona potrawa oprócz normalnych nazw użytkownika i haseł. Czy pracownicy administracji korzystać z dynamicznych haseł (secureID, itp)?
- Sprawdź, czy Internet Banking wniosku wysyła e-mail do użytkowników, które mogą zawierać ciekawe informacje.
- Lepszy dostęp do stosowania mogą być zazwyczaj uzyskane od dostępu do systemu. tj. uzyskać uzasadnione konto w systemie. I stwierdzili, że niektóre próbki / administracja ekrany zostały ograniczone tylko do użytkowników uwierzytelnionych.
- Rozważ społecznej inżynierii Help Desk do resetowania hasła konta.