Wady projektu, poza słabymi punktami, strony banków hurtowych

Strony internetowe banków cierpią z powodu wad projektowych, które podważają ich bezpieczeństwo, z wyjątkiem luk w oprogramowaniu, według badania University of Michigan, które ma ukazać się w piątek.

Z 214 stron zbadanych w 2006 roku ponad 75 procent miało co najmniej jeden błąd projektowy, który mógłby doprowadzić do problemu bezpieczeństwa - powiedział uniwersytet. Przepływ i układ witryn może sprawić, że witryny te staną się bardziej ryzykowne, a problemów nie da się naprawić za pomocą łaty, w przeciwieństwie do luki w oprogramowaniu.

Kilka odkryć z badania zostało opublikowanych we wtorek przez uniwersytet. Pełne wyniki zostaną zaprezentowane podczas Sympozjum na temat prywatności i bezpieczeństwa, z którego można korzystać, w piątek na Carnegie Mellon University w Pittsburghu.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

Badanie zostało przeprowadzone przez Atul Prakash, profesor na Wydziale Elektrotechniki i Informatyki oraz dwóch doktorantów Laura Falk i Kevin Borders. Prakash rozpoczął śledztwo po zauważeniu problemów z witryną internetową swojego banku, podał uniwersytet.

Chociaż badania przeprowadzono w 2006 r., Wiele problemów nadal ma wpływ na strony finansowe. Jednym z głównych problemów jest niepełne wykorzystanie technologii szyfrowania SSL na stronach internetowych.

Badanie wykazało, że 47 procent banków nie używało SSL na stronach logowania, co może otworzyć drzwi dla hakerów. przekierować dane na swój własny komputer. Niewykorzystanie protokołu SSL ułatwia również atak typu "man-in-the-middle", w którym dane ofiary przechodzą przez komputer atakującego, zanim zostanie skierowany na serwer banku.

Kolejny wszechobecny problem dotyczący 55 procent instytucji to umieszczanie informacji kontaktowych i porady dotyczące bezpieczeństwa na niezabezpieczonych stronach. Haker mógłby włamać się na stronę internetową i zmienić numer telefonu obsługi klienta, aby skierować klientów bankowych do fikcyjnego centrum obsługi telefonicznej. Znowu SSL to środek zaradczy.

Naukowcy odkryli, że 30 procent witryn przekieruje użytkowników do innych stron internetowych, co może mieć wpływ na to, jak dana osoba powinna oceniać ryzyko, wynika z badania.

Ponieważ witryna banku jest zaufana, strona, do której prowadzi link, prawdopodobnie nie zostanie uznana za zagrożenie bezpieczeństwa, nawet jeśli może być. Bank powinien umieścić wszystkie swoje strony internetowe na tym samym serwerze, ale niektóre z nich zleciły funkcje zabezpieczeń hostowane w innych domenach.

Słabe identyfikatory użytkowników i hasła nadal są kłopotliwe, a 28% banków albo nie ma wytycznych dotyczących haseł, albo pozwala na słabe te. Instytucje będą także wysyłać e-maile z hasłami lub oświadczeniami, co jest również ryzykowne, wynika z badań.