Perché le banche non vengono violate?

Penso sia giusto dire che l'idea che ogni grande organizzazione sia completamente impermeabile all'attacco è stata dimostrata falsa negli ultimi cinque anni circa. Tutti, dagli stati nazionali, alle grandi società, alle società di consulenza sulla sicurezza e ad altre società che si occupano della sicurezza hanno subito violazioni.

Una ragione per cui una banca non è stata gettata nel "caos completo" poichè è probabile che si tratti di una combinazione delle misure di sicurezza che hanno in atto per reagire agli attacchi, alle dimensioni e alla complessità dei loro sistemi e motivazioni di persone che hanno le risorse per attaccarle efficacemente.

Se pensi alle persone che sono più motivate ad attaccare i sistemi bancari, sono i criminali che vogliono rubare denaro da loro. Dal loro punto di vista non c'è motivo di causare il caos, vogliono entrare, rubare cose e andarsene senza essere notati, se possibile.

Per trasformare un profitto veloce, è più facile andare dopo gli utenti finali. Questo è il motivo per cui ci sono così tanti attacchi di phishing e password che rubano trojan.

Le operazioni bancarie su Internet tendono ad essere ben protette. Gli ambienti dell'ufficio interno meno, anche se tendono ad avere un buon AV. Ciò interrompe gli utenti di metasploit casuali, anche se un aggressore avanzato con exploit zero day potrebbe prontamente compromettere una workstation interna tramite il browser e procedere a un attacco grave.

Mi aspetto che sia l'NSA sia i cinesi abbiano hacker su larga scala in molte banche in tutto il mondo. Ma non sarebbero così stupidi da spazzare via la banca. È molto più prezioso sedersi tranquillamente e raccogliere dati. Se decidessero di cancellare la banca, ci sarebbero dei backup, ma sarebbe incredibilmente difficile riprendere le operazioni quotidiane - osservando le settimane anche con crack team di appaltatori. La banca verrebbe distrutta commercialmente.

Ho letto che durante la seconda guerra del Golfo gli Stati Uniti avrebbero potuto farlo alle banche irachene, ma hanno preso una decisione strategica di non farlo.

È un mondo spaventoso là fuori:)

Quando uno mette in sicurezza una scatola, mette diversi livelli di difesa in modo tale che un "hacker" possa sconfiggere una protezione, le conseguenze immediate saranno limitate, e nel momento in cui sconfiggerà i successivi livelli di protezione la sua azione si spera venga rilevata e neutralizzato.

Questo è per una semplice scatola. Ora con una banca che è una delle più grandi istituzioni internazionali, il corpo principale del sistema finanziario, basta moltiplicare questi livelli a livello di tutta l'azienda e limitare al minimo l'interazione al loro interno, e per ogni interazione si definiscono procedure molto rigide imponendo che, il maggior impatto potenziale abbia questa interazione, la maggior parte delle persone deve essere coinvolta (in tali domini il principio a quattro occhi è ampiamente applicato).

Distribuendo ampiamente le responsabilità e i dati, si distribuisce la potenza, quindi quando una parte della banca viene violata (o se un dipendente si rivolge contro il sistema) fornisce pochissima energia in modo che i pochi ripristini di backup e la cancellazione dell'accesso molto probabilmente annichilerà i danni.

Tuttavia, nessun sistema può mai essere considerato sicuro al 100%, ed è per questo che ciò che descrivi succede di tanto in tanto. Ad esempio, qui in Francia, solo pochi anni fa un commerciante ha sconfitto queste protezioni e causato una perdita di 4,9 miliardi di dollari alla sua banca (vedi Jérôme Kerviel ; interessante notare che il pericolo più critico non sono gli hacker esterni come si potrebbe pensare, ma i dipendenti interni ...), e sì, come hai detto, era un "gigantesco caos".

Quindi, per rispondere alla tua domanda, le banche vengono effettivamente violate, come qualsiasi altro sistema informativo, ma si spera che a causa delle loro dimensioni ciò non avvenga molto spesso.

Ritroviamo un equivoco: le banche vengono violate , sono solo (molto) più controllate della società media. Dalla mia esperienza come tester di penetrazione, non è insolito per le banche e le società finanziarie disporre di sistemi vulnerabili, ma ci sono elementi che li rendono più difficili da attaccare con successo.

Innanzitutto, le banche di solito rispettano il principio del privilegio minimo , riducendo le persone autorizzate a svolgere determinati compiti (critici o meno) in un gruppo limitato. Questa pratica riduce efficacemente le capacità di phishing e fornisce anche un perimetro specifico ogni volta che si verifica un problema (ad es. Attacco, frode).

Inoltre, le leggi specifiche dei paesi spesso richiedono alle banche di sul proprio sistema, rendendo più difficile eseguire un attacco senza essere rilevato in un breve lasso di tempo. Considera anche che le piste del denaro possono essere seguite e fermate (entro certi limiti) se considerate fraudolente.

Infine, le banche solitamente eseguono diverse valutazioni di sicurezza delle loro applicazioni critiche, specialmente quelle esposte su Internet e utilizzate dai loro clienti. Questo riduce effettivamente il rischio di essere hackerati, ma non elimina completamente il rischio.

Alla fine, nessun sistema è completamente sicuro e il fattore umano può effettivamente essere l'anello debole. Tuttavia, in un ambiente pesantemente controllato, come quello trovato nelle società bancarie, l'efficacia degli attacchi (esterni e interni) è mitigata dalla severa sicurezza implementata.

Anche se sembra strano per qualcuno che si concentra solo sugli aspetti tecnici dell'hacking in una banca, una delle ragioni per cui le banche sono più sicure di molte organizzazioni è che hanno una serie completa di politiche di sicurezza delle informazioni. Queste politiche guidano l'organizzazione attraverso molte aree che aiutano a proteggere i loro clienti.

Un buon esempio è una politica che definisce esattamente chi dovrebbe avere accesso a quali informazioni. Garantendo che solo le persone nel dipartimento X possono modificare i conti, limitano la capacità di un utente malintenzionato che potrebbe tentare di accedere ai conti con i social engineer. Un'altra politica potrebbe essere che tutte le password siano lunghe più di 16 caratteri, e un'altra potrebbe affermare che le persone con accesso ai contanti potrebbero non avere accesso ai sistemi, ecc. Potrebbero avere politiche su firewall, dispositivi IDP, dispositivi USB, smartphone, Wi- Autenticazione Fi, ecc. Una banca potrebbe avere dozzine o anche centinaia di queste politiche.

Fa tutto parte di una strategia globale chiamata "difesa in profondità". Proprio come non chiameresti una banca sicura semplicemente perché il loro cancello di recinzione è bloccato, non ti affidi solo ai firewall per fermare gli attaccanti.

La risorsa critica che garantisce la sicurezza delle banche è, a sorpresa, non del tutto tecnica. :)

Soprattutto, le banche gestiscono grandi dipartimenti di sicurezza interni con un numero considerevole di specialisti della sicurezza. Le banche sono più o meno le uniche organizzazioni in grado di pagare il conto per questo tipo di operazione.

Il resto è piuttosto semplice: i membri della sicurezza interna eseguono costantemente controlli e punture di sicurezza. Di fatto, le frodi bancarie istigate dai dipendenti sono molto comuni (dozzine di casi all'anno per banca), ma raramente sentiamo parlare di queste cose, perché normalmente la frode viene identificata piuttosto rapidamente dai tipi di sicurezza, i danni vengono ripristinati e gli autori dei reati vengono espulsi ( in un modo abbastanza silenzioso, per non rovinare la reputazione della banca).

Per riassumere, la tecnologia non è ancora pronta per risolvere i problemi sociali, quindi grandi battaglioni e buoni colpi sono ancora necessari per mantenere una sicurezza adeguata.

È davvero dannoso rubare una banca, mentre l'hacking di una banca potrebbe essere relativamente più facile, oltre a darti l'ovvio vantaggio di farti franca quanto vuoi. Giusto per chiarire, le banche hanno analisti e comitati di sicurezza che decidono il quadro della sicurezza dei server o del sito Web. Come risultato, a meno che tu non sia Jonathan James o lo stesso Mr McAfee, avrete bisogno di una squadra o di un gruppo di hacker dedicati, informazioni privilegiate e una grossa fetta di incompetenza da parte della banca per pensare anche a hackerare una banca. Se lo fai scappare, puoi tranquillamente ritirarti e passare il resto della tua vita in un attico in Brasile o nell'Isola di Man.

Bangberesh Bank Robbery

650 Milioni di sterline

13 milioni di dollari

Quindi, in lealtà, le banche sono hackerabili con risorse adeguate, ma estorcere denaro a utenti stupidi sarebbe un metodo più semplice per guadagnare denaro nelle estati.

Le banche di solito acquistano enormi sistemi per prevenire questo tipo di attacchi e scoprire vulnerabilità con un clic di un pulsante (Qualys per esempio). Il denaro non è un problema quando si tratta di banche. Per lo più non hanno bisogno di personale altamente qualificato per difendere i loro sistemi.