2008-07-24

銀行業網站在設計上的安全漏洞頗為普遍

Security flaws in online banking sites found to be widespread
http://www.physorg.com/news136023039.html

July 23, 2008

(PhysOrg.com) -- 在 Michigan 大學研究所調查的銀行網站中,超過 75% 至少有一種設計上的瑕疵,那可能導致客戶的金錢或甚至是身分易遭受網路竊盜的傷害。

Atul Prakash,電機工程與電腦科學系教授,與博士生 Laura Falk 及 Kevin Borders 在 2006 年檢查 214 個金融單位的網站。他們將在 7/25 於 Carnegie Mellon 大學舉辦之 Symposium on Usable Privacy and Security 會議上首度呈現這些發現。

這些設計瑕疵並非透過修補程式就能被修理的臭蟲。根據該研究,它們根源於這些網站的流動(flow)與佈局(layout)。這些瑕疵包括:將登錄(log-in)欄位與連絡資訊置於不安全的網頁,以及無法將使用者保持在他們最初所參訪過的網站上。Prakash 表示,某些銀行也許在資料被收集後,已經採取步驟來解決這些問題,但就他所見,整體而言仍有許多需要改進。

"讓我們驚訝的是,能危及安全的設計瑕疵頗為普遍,而且包括國內幾家最大的銀行," Prakash 說。"我們的焦點在於:使用者試圖要小心,但不幸的是,當客戶在線上進行銀行業務時,某些銀行網站使得客戶很難做出正確的安全判斷。"

這些瑕疵在安全上留下缺點,駭客將能利用它們以獲得私人資訊與帳戶的存取權利。FDIC 表示,電腦入侵,雖然比起金融犯罪,例如詐貸(mortgage fraud)與支票詐騙(check fraud),較為少見,不過對於銀行與它們的客戶來說是個成長中的問題。

一份新近的 FDIC Technology Incident Report,彙編自銀行每季提出的可疑活動報告,列出 536 件電腦入侵,每個事件平均損失 30,000 美元。這在 2007 年第二季造成將近 1600 萬美元的損失。在 2007 年第一季與第二季間的電腦入侵增加了 150%。該報告表示,在 80% 的案例中,入侵來源未知,但它發生在線上進行銀行業務期間。

Prakash 等人所尋找的設計瑕疵包括:

-- 將登入欄位置於不安全的網頁:47% 的銀行有這種過失。駭客能將輸入至欄位中的資料重新路由,或創造一個假網頁來獲得這些資訊。在無線網路中那可能招致中間人攻擊(man-in-the-middle attack)而無須改變使用者電腦上所顯示的銀行 URL,故甚至是警覺性很高的客戶也會受害。為了解決此問題,銀行應當在要求敏感資訊的網頁上使用 SSL 協定(URL 開頭是 https),Prakash 說。大部分銀行在某些網頁上使用 SSL,但只有少數全部都使用。

-- 將連絡資訊與安全通知置於不安全的網頁:達 55%,這是最容出現的瑕疵。攻擊者可以改變地址或電話號碼,並設立他自己的客服中心來收集需要幫助之客戶的私人資訊。銀行對於容易在他處取得的資訊較少關注,Prakash 說。但客戶會相信銀行網站上的資訊是正確的。這個問題能藉由標準的 SSL 協定加強這些網頁的安全而獲得解決。

-- 信任鏈(chain of trust)中有缺口(breach):銀行為了某些交易,在沒有警告的情況下,將客戶重新導向至銀行網域外部的網站,這無法替良好的安全判斷維持一個(前後一致的)脈絡(context),Prakash 說。他發現這個問題站所調查銀行的 30%。經常看見網站改變,包括 URL,這很難讓使用者知道是否該信任這個新網站。解決方法,Prakash 說,是警告使用者,他們將離開銀行網站到一個受到信任的新網站。再不然,銀行能將所有的網頁放在同一部 server 上。銀行將某些安全功能外包時通常會出現這種問題。

-- 允許不適當的(inadequate)使用者 IDs 與密碼:研究者尋找那些把社會安全號碼或 e-mail 地址當成使用者 ID 的網站。雖然這些資訊客戶很容易記得,不過它也很容易被猜出或找出。研究者也尋找那些沒有陳述密碼設定政策或允許不安全密碼(弱密碼)的網站。所調查網站中,28% 有這種問題。

-- 不安全地 E-mailing 敏感的安全資訊:e-mail 的資料傳遞路徑一般而言並不安全,Prakash 說,然而 31% 的銀行網站有這種瑕疵。這些銀行提供以 e-mail 寄送密碼或報告書(statements)。在某些報告書的例子中,使用者經常未被告知,他們將收到一個連結(「真正的」報告書)或是一個報告書已經可以取得的通知。通知本身並不是個問題,但以電子郵件方式寄送密碼、連結或報告書,不是個好點子,Prakash 說。

※ 一篇不錯的網站規劃參考。

沒有留言: