Internet Banking de evaluare considerente de securitate

Marţi, august 5a, 2008 @ 10:38 | bancar şi EFTPoS, Securitate

Am fost întrebat de ceva timp în urmă ce fel de lucruri pot fi considerate, atunci când se uită la Internet Banking.

Mai jos este o listă de lucruri, care ar putea fi luate în considerare. A fost doar un creier de memorie şi ca atare nu poate fi completă.

Nu subestimaţi valoarea standard de infrastructură pentru dvs., site-ul de configurare, motor de baze de date de configurare / arhitectura, mediul de pregătire şi de dezvoltare / QA medii.

Unele ganduri:

Multe nu de blocare a conturilor după login-X nu a reuşit, în mod normal, acest lucru este făcut de bun serviciu clientului, dar pleaca de la sistemul de vulnerabile.

- Şi toate celelalte lucruri de aşteptat pentru o distanţă sesiune de conectare (forţat parola modificări, imbatranire, etc))
- Instrumente, cum ar fi Brutus se pot utiliza pentru a "brute force" hack autentificate sesiuni.

Multe permite sesiune de numere de secvenţă să fie creşte, permiţând o autentificate de utilizator pentru a vedea alte sesiune de client.

- Acestea pot fi de server parte, partea de client, pe bază de cookie-uri, etc
- Ia pe cineva pentru a verifica dezvoltarea metodologiilor şi codul de a fi utilizate.
- Baza de date de interogare siruri de caractere pot fi introduse în câmpurile de intrare de test, care să permită tabelul de la depozitele de browser.
- Verifica toate paginile servit sunt sigure şi conţine de autentificare a utilizatorilor de indicatori USE.

Clientul de date nu poate fi separat, aceasta trebuie să fie verificate.
Clientul a datelor nu ar trebui să locuiesc pe Server Web.

De autentificare a bazelor de date / sistem de date nu ar trebui să locuiesc pe server.
Bazele de date ar trebui să locuiesc pe un privat / semi-private de reţea.

- Un alt segment de la principalele sistemul bancar.

Web ar trebui să fie dublu homed sau un echivalent (de reţele VLAN, unele tehnici sunt bune)

- Separate de private şi publice plăci de reţea, de monitorizare / de rezervă / de administrare
- Infrastructura de înfiinţare a refuza în mod explicit de intrare / OUTBOUND porturi, privat de IP & monitorizare ieşind de la reţea.

La toate datele de segregare asigură reguli sunt puncte de locul în care apreciază că deşi punctul de trafic.

Toate client de date, dacă este posibil, ar trebui să fie sigure, de la o bază de date back-end.

- Aceasta poate fi un mediul de pregătire. adică nu principalele sistemul bancar.
- Aceasta permite de obicei, pentru tranzacţiile de a apărea în timp real către client.
- Multe tranzacţii pot fi batched în realitate. (interne sau externe la banca)

Asiguraţi-vă adecvat reguli au fost stabilite pe firewall-up.

- Nu ar trebui să fie de intrare şi de OUTBOUND reguli pe firewall-uri şi routere de filtrare.

Nu se permite nici o infrastructură de pe front-end, pentru a permite conexiuni la distanţă administrative. (Telnet, etc)

- Utilizaţi consola serială de port pentru a vă conecta la un server back-end sau Terminal Server.

Uita-te de segregare / de pregătire de conţinut online, de la client principal bancare sisteme de

Asiguraţi-vă că separat de dezvoltare / AC / mediu de producţie şi de sistem adecvat este în proces de loc.

Servicii care nu sunt utilizate de sistem sunt active

- Acestea ar trebui să fie dezactivat.

Port de scanare a infrastructurii de sprijin (routere / switch-uri) şi server (e).

- Investiga motivele pentru toate porturile deschise.

Nu utilizaţi în principal partener de încredere pentru gateway de acces (compensare / RAS / etc)
Nu toate că IIS standard de controale şi verificări NT (Exemplu de script-uri, managementul schimbării, patching, metodologii, etc)
Asiguraţi-vă negarea serviciului de precauţie au fost luate în considerare pentru toate de infrastructură şi de server de echipamente.
Verificaţi la caracterul adecvat al escaladarea procedurile folosite.

- Uită-te pentru monitorizarea în timp real şi de alertare.
- Uită-te pentru responsabilitatea in matrice.
- Uită-te pentru problemele de proprietate.

Luaţi în considerare în amonte de transport (e) de vulnerabilitate (Denial of Service, falsificarea adreselor IP, de DNS accesări forţate, ilegale, etc)
Luaţi în considerare de inginerie socială de client, administrative, de partener de conturi / sisteme / infrastructură.

- Procedurile şi politicile de asistenţă şi / sau tehnologii alternativ (ID apelant, IP a gateway-ului, etc.)

Utilizaţi, dacă este posibil, parole dinamic (SecureID, TACACS, etc.)
Utilizaţi criptat tunelare, în cazul în care este necesar (IPsec, Paravanul de protecţie 1, etc)
Luaţi în considerare alte privirea de la client de autentificare metode pentru a îmbunătăţi metodele existente.

- Digital CERT, adresa de IP pentru a cont de încuiată, etc
- Luaţi în considerare utilizarea de CVV sau CVN pentru banca a emis carduri.

Luaţi în considerare cât de parole sunt distribuite / schimbat pentru clienţi.

- Text simplu e-mail, telefon, etc
- Pot fi schimbat parole online?

Este suplimentare de autentificare utilizată între secţiunile de servicii, o dată autentificat?
Luaţi în considerare ceea ce clientul are acces la o dată autentificat.

- Uită-te la SWIFT, RBTR, inter-transferuri bancare, acces la cardurile de credit, etc
- Dacă un atacator nu ajung în, de ce pot face?

Utilizarea tehnicilor de pagini pentru a se asigura, detalii de client nu sunt în cache la ISP, sau sistem de client.

- Acestea sunt de indicatori USE care pot fi stabilite în termen de pagini.
- În mod normal, SSL este memorată în cache, dar unele au fost furnizori de proxy joc cu tehnici de a face acest lucru.
- SSL de cache a paginilor de pe clientul de sistem poate fi pornit de pe unele browsere.
- Mai bănci utiliza un Java (sau similare) pentru toate applet-client de interacţiune, limitându toate problemele de stocare în cache.

Asiguraţi-vă pe bază de hârtie şi on-line de clauzele de răspundere sunt disponibile sunt efectuate adresa de toate zonele.
Asiguraţi-vă de client în cadrul procesului de înscriere bancar răspundere este redusă.

- Am văzut declaraţii de genul "folosi acest sistem de pe propriul risc, responsabilitate sau răspundere pentru orice revendicare NU vor ... ..."
- Nu foarte concentrat client, dar asta e ceea ce a recomandat departamentul lor juridic.

Toate cele de mai sus pot efect de securitate şi / sau exploatarea unei on-line de sistemul bancar.

Alte lucruri de luat în considerare:

Externe de dezvoltare şi de susţinere a cererii.
Proprietate şi de gestionare a de hardware / aplicaţii
Editura puncte pentru conţinut nou (intern / privat / de încredere, la reţea sau Internet)
Topologie de front-end. Adică de Securitate Arhitectura documentul ar trebui să fie în locul şi gestionate corespunzător.
Sunt limitate AP teste efectuate ori de câte ori sunt făcute schimbări de mediu? AP adică integrate în procesul de gestionare a Schimbaţi.
Baza de date de acces. Este tamponat sau este de a trăi bancare de baza a sistemelor.
Ce facilităţi sunt prevăzute? Debit direct + Card de credit + SWIFT + ... .... Gândiţi-vă pentru diferite scenarii de atac în funcţie de caracteristică.
Ce alte servicii sunt partajate în cadrul reţelei de segment că serviciul de Internet Banking se execută. Pot fi folosite pentru a acestui compromis de Internet Banking site-ului. de ex. diferite de sprijin / de afaceri / dezvoltare cu diferite organizaţii de securitate de strategii / profile.
Luaţi în considerare toate serviciile de sprijin în termen de externe ai AP. Uite-te la intern / extern DNS intoxicaţie de şanse, mail relee, etc IPS Ce fac ei este de a utiliza ISP orice oportunitate de a sistemele de acces sau de sprijin, care pot afecta serviciile de Internet Banking.
În funcţie de mărimea a Băncii, de multe organizaţii de a nu se utiliza în acelaşi sprijin pentru grupurile de infrastructură şi de cerere. Ca rezultat conexiunile externe, pentru a infrastructurii pot fi furnizate pentru un extern de sprijin organizaţiei de a administra infrastructura.
Uitaţi-vă la mediul de afaceri şi de autentificare a utilizatorilor şi a metodelor de căi (certs partea de client, sigure de identificare, Smart Card, etc). Luaţi în considerare două factor de autentificare moderne de utilizator şi metodele de identificare. de ex. dvs. preferate de ceea ce este în plus faţă de alimente normale de utilizatori si parole. Nu utilizaţi sistemul de administrare de personal dinamic de parole (secureID, etc)?
Vezi daca aplicatia internet banking e-mail pentru a trimite utilizatorilor care pot conţine informaţii interesante.
Acces mai bun la aplicarea în general, poate fi dobândită după accesul la sistem. legitim, adică primi un cont de pe sistem. Am constatat că unele eşantion / ecrane de administrare au fost limitate la autentificat doar utilizatorii.
Luaţi în considerare sociale de Ajutor Birou de inginerie pentru a avea un cont de reiniţializare a parolei.

Recent

Amator de radio şi Radhaz

Securizat de dezvoltare a aplicaţiilor link-uri

Scoala de Kathy - o clădire şcoală proiect în Cambodgia.

Syetms salamandră de apă şi dispozitiv de considerente

Internet Banking de evaluare considerente de securitate

Mobile Banking de securitate şi considerente de evaluare a riscului

DNS Patching are nevoie de hack - problemă serioasă

Cisco trisat foaie de comandă

Hidden Emoticons Skype

PIN-ul de rupere de vize

Aveţi posibilitatea să urmaţi orice răspunsurile la această intrare prin intermediul RSS 2.0 feed.
Puteţi lăsa un răspuns, sau trackback de la propriul dvs. site.

Madrock

Categorii

Blogroll

Top Browsere

Top Sistem de operare

Vizitatori

Translator

Skype

Recent Posts

Internet Banking de evaluare considerente de securitate

Recent

Lasă un Răspuns