Madrock

Я попросил некоторое время назад, какие вещи могут быть рассмотрены при просмотре Интернет-банк.

Ниже приведен список вещей, которые могли бы быть рассмотрены. Она была просто свалка мозга и как таковое не может быть полным.

Нельзя недооценивать значение для вашей стандартной инфраструктуры, конфигурация веб-сайта, базы данных конфигурацией двигателей / архитектура, постановка охраны окружающей среды и развития / качества окружающей среды.

Некоторые мысли:

• Многие не Блокировка счета после Х "не логины, как правило, это делается для хорошего обслуживания клиентов, но оставляет систему уязвимой.

- А все остальные вещи Ожидается для удаленного входа сессии (принудительный пароль изменения, старение и т.д.))
- Такие средства, как Brutus могут быть использованы для грубой силы обходное аутентифицированных сессий.

• Многие позволяют сессии последовательность номеров увеличивается, позволяя авторизованным пользователям мнению другого клиента сессии.

- Это может быть сервер, то на стороне клиента, основанные маркеры и т.д.
- Получить-то, чтобы проверить развития методологии и код используется.
- Строки запроса к базе данных могут быть помещены в тестовую запись поля, позволяя таблице свалок для браузера.
- Проверить все страницы служил надежности и содержат аутентификации пользователя флаги.

• Заказчиком данных не могут быть удалены, это должно быть проверено.
• Заказчиком данных не должна размещаться на веб-сервере.

• Аутентификация данных / системы данных, не должны размещаться на веб-сервере.
• В базах данных должна располагаться на частных / полу-частной сети.

- Различные сегмента основной банковской системы.

• Webserver должно быть двойных homed или ее эквивалент (VLAN некоторые методы хороши)

- Отдельные частные и государственные сетевые карты, мониторинг / копирования / администрация
- Инфраструктура настройки прямо отрицает входящие / исходящие порты, частные IP мониторинга И вырваться из сети.

• На всех данных, разделение точек обеспечить правил в месте, которое оценивает движение, хотя этот вопрос.

• Все данные о клиентах, по мере возможности должны быть получены от безопасные обратно на конец базы данных.

- Это может быть постановка среды. т.е. не основной банковской системы.
- Это, как правило, позволяет операций в реальном времени, как к клиенту.
- Многие операции могут быть batched в реальности. (внутренней или внешней для банка)

• Обеспечение подходящего правила были определены меры по брандмауэров.

- Там должно быть въездному и выездному правил брандмауэров и маршрутизаторов фильтрации.

• Не допускать каких-либо инфраструктуры на передней конец возможным удаленный административных связей. (Telnet и т.д.)

- Использовать последовательный порт консоли для подключения к серверу и обратно в конце терминал-сервер.

• Ищите сегрегации / постановка онлайн заказчика содержание основных банковских систем

• Убедитесь в том, что отдельные разработки / QA / производственной среды и подходит процесс на месте.

• Услуги не используются системы являются активными

- Они должны быть отключены.

• Порт проверку вспомогательной инфраструктуры (маршрутизаторы / коммутаторы) и сервер (ы).

- Расследованию причин все открытые порты.

• Не используйте основной шлюз для надежных партнеров доступа (очистка / РАН / и т.д.)
• Делать все, что IIS стандартных проверок и проверок NT (Примеры скриптов, управление изменениями, исправления методологии и т.д.)
• Убедитесь, отказ в обслуживании предосторожности были приняты во внимание все инфраструктуры и серверного оборудования.
• Проверить адекватность процедуры эскалации используется.

- Смотри в режиме реального времени наблюдения и оповещения.
- Ищите ответственность матрицы.
- Посмотрите на владение вопросов.

• Рассмотрим вверх перевозчика (ов) уязвимость (отказ в обслуживании, подмену IP, DNS взлома и т.д.)
• Рассмотрим социальной инженерии заказчика, административных, партнер счета / системы / инфраструктуры.

- Helpdesk процедур и политики и / или альтернативных технологий (Caller ID, IP шлюза и т.д.).

• Использовать динамические пароли, где это возможно (SecureID, TACACS и т.д.).
• Использование зашифрованных туннелей при необходимости (IPSec, Firewall 1 и т.д.)
• Рассмотрим глядя на другого клиента аутентификации методов улучшения существующих методов.

- Цифровые CERT, IP-адрес блокируется на счете и т.д.
- Рассмотреть вопрос об использовании CVV или КППВ в Банк выпустил карты.

• Рассмотрим, как пароли распределяются / изменил для клиентов.

- Обычный текст электронной почты, телефон и т.д.
- Может быть изменено паролей в Интернете?

• Является дополнительной аутентификации используется между разделами услуги аутентифицированных раз?
• Рассмотрим, что клиент имеет доступ к аутентифицированных раз.

- Посмотрите на SWIFT, РТГ, межбанковские переводы, доступ к кредитной карточки и т.д.
- Если злоумышленнику получить в то, что можно сделать?

• Использование методов обеспечения страниц клиента подробности не кэшируется на провайдера или клиента системы.

- Эти флаги, которые могут быть установлены в пределах страницы.
- Обычно SSL кэшируется, но некоторые прокси-поставщиков, были игры с методами это сделать.
- Кэширование SSL-страниц на клиентской системе может быть включен в некоторых браузерах.
- Май банки используют Java (или аналогичный) Апплет для всех взаимодействие пользователей, ограничивая кэширование всех вопросов.

• Обеспечить бумажных и по линии ответственности положения имеются решения всех районах осуществляется.
• Обеспечить в рамках клиент Зарегистрироваться процесс банковских обязательств снижается.

- Я видел заявления, как "использовать эту систему на свой страх и риск, ответственность за какую-либо ответственность или требовать будут не ... ..."
- Не очень заказчика целенаправленной, но это то, что их правовой департамент рекомендовал.

Все вышеперечисленное может добиться безопасности и / или эксплуатации на соответствие банковской системы.

Другие вещи рассмотреть следующие вопросы:

• Внешние развития и поддержки приложений.
• Владение и управление аппаратно-приложений
• Издательские центры для нового содержания (внутренний / частных / доверенных сеть или Интернет)
• Топология интерфейса. Т.е. архитектура безопасности документе должны быть созданы и управляются надлежащим образом.
• ОГРАНИЧИВАЮТСЯ ЗС испытаний, когда были внесены изменения в окружающей среде? т.е. комплексного ЗС в изменении процесса управления.
• Доступ к базам данных. Это буферизованные или она живут в основной банковской системы.
• Какие объекты предоставляются? Прямой дебет + Кредитная карта + СВИФТ + ... .... Рассмотрим различные сценарии для атаки в зависимости от функции.
• Какие другие услуги распределяются в сетевом сегменте, что Интернет-банкинг на это работает. Может ли это быть использованы для компромисса Интернет Банкинг сайте. напр. различные Поддержка / бизнес / развития организаций с различными безопасности стратегии / профилей.
• Рассмотрим все внешние вспомогательные услуги в тебе AP. Посмотрите на внутренний / внешний DNS отравления возможностей, связанных с ретрансляцией почты и т.д. Что в ИПС они используются ISP любые возможности для доступа к системам поддержки или услуг, которые могут повлиять на Интернет-банк.
• В зависимости от размеров банка, многие организации не используют один и тот же группы поддержки инфраструктуры и приложений. В результате внешних подключений к инфраструктуре может быть предоставлена по внешней поддержке организации по управлению инфраструктурой.
• Посмотрите на бизнес-пользователей, и методы аутентификации и путей (на стороне клиента сертификаты, безопасного кода, Smart Card и т.д.). Рассмотрим два фактора аутентификации пользователей и современные методы идентификации. напр. Какая ваша любимая питание в дополнение к обычным имена пользователей и пароли. У системного администрирования персонала использовать динамические пароли (SecureID, и т.д.)?
• Смотрите, если Интернет-банк направляет заявку электронной почты для пользователей, которые могут содержать интересную информацию.
• Улучшение доступа к заявке, может быть получен после доступа к системе. т.е. получить законное счета в системе. Я обнаружил, что некоторые образцы / Администрация экраны были ограничены только авторизованным пользователям.
• Рассмотрим социальной инженерии Help Desk иметь учетную запись паролем.

Недавно

Вы можете последовать за всеми реакциями к этому входу через RSS 2.0 питание.
Вы можете оставить ответ, или TrackBack с вашего собственного сайта.