Perché così tante banche hanno una sicurezza dell'e-banking relativamente debole? [chiuso]

Naviga le tue risposte
3

Seguo alcune personalità Twitter legate all'infosec: Paul Moore, Taylor Swift, Troy Hunt sono i principali 3. Paul Moore è attualmente in procinto di cambiare banca, tweeting e retweeting frequenti su quanto siano insicure queste banche:

  1. requisiti per password ridotte (non sono consentiti simboli, la lunghezza massima bassa è la più grande 2);
  2. implementazioni TLS buggy (articolo di Troy Hunt: link ), con molte banche che falliscono in roba come Forward Secrecy, SHA-1, RC4 e TLS 1.2;
  3. strani metodi di verifica della password che di solito dimostrano che non sono password di hashing (come chiedere 2 caratteri specifici da una password);
  4. modi strani per trasferire le credenziali dell'account (come chiedere un DM su Twitter o supportare le persone che danno le nuove credenziali al telefono).

Mi rendo conto che non tutte le banche hanno questi problemi (ad esempio, le banche belghe non usano affatto le password, ma richiedono l'accesso all'e-banking tramite un lettore di carte con la carta di debito, e la maggior parte di esse ha il TLS appropriato ), ma sembra che alcune banche abbiano almeno due di questi problemi e, quando li chiamano, si comportano come se non fosse un problema. Nel frattempo, ci fidiamo di queste aziende con i nostri soldi.

Perché così tante banche hanno uno o più di questi problemi? Mi rendo conto che alcuni di essi sono dovuti a requisiti legacy, ma non possono essere dovuti a interfacce obsolete?

    
posta Nzall 19.06.2015 - 21:40
fonte

3 risposte

10

Il motivo principale è perché, nonostante tutti questi problemi, non subiscono regolarmente violazioni o furti tali da essere un elemento di differenziazione del mercato.

Le password indebolite continuano a respingere la maggior parte degli attacchi online contro gli account dei clienti se abbinati ai blocchi di sistema, all'autenticazione a più fattori e ad altri controlli di intrusione. La maggior parte delle password dei clienti bancari vengono rubate tramite trojan sui loro sistemi, che funzionano indipendentemente dalla forza della password.

Analogamente alle deboli implementazioni SSL / TLS, solo un numero limitato di aggressori in una posizione (ad esempio accesso alla rete e risorse computazionali) ne approfitta per rubare gli account dei clienti o i soldi.

Alla fine della giornata le banche sono in affari per fare soldi. Mirano a implementare una sicurezza sufficiente per evitare perdite e punizioni regolamentari. In alcuni casi sono limitati da ciò che possono fare i sistemi legacy, ma la maggior parte non sarebbe mai all'avanguardia delle pratiche di sicurezza, indipendentemente dal fatto che non aggiunge molto valore.

Questo non vuol dire che la sicurezza di ogni banca sia dove deve essere, solo che tendono a proteggere le aree che causano loro problemi e potrebbero aspettare che questi problemi emergano per risolverli.

    
risposta data 19.06.2015 - 22:17
fonte
1

Hanno poco incentivo a farlo.

  • Hanno polizze assicurative che coprono le frodi. Se il costo della riparazione di X hole è maggiore di quello che perde la frode, potrebbe non essere troppo motivato a risolverlo.

  • Non c'è legislazione che li costringa a supportare tali tecnologie (Forward Secrecy, TLS 1.2, ecc.)

  • Non c'è alcuna pressione da parte degli utenti a modi migliori, e quindi possono ignorare poche voci abbastanza facilmente.

Fortunatamente, non tutte le banche sono così, ma penso che spieghi abbastanza bene perché alcuni agiscono in questo modo.

Inoltre, è possibile che i loro esperti non sappiano / si preoccupino di X o abbiano un'opinione diversa (nel campo della sicurezza ci sono delle differenze su come considerare alcune caratteristiche ).

Informazioni sui punti che hai citato:

crazy low password requirements (no symbols allowed, low max length are the biggest 2);

Questo non è giustificabile IMHO.

buggy TLS implementations (article from Troy Hunt: http://www.troyhunt.com/2015/05/do-you-really-want-bank-grade-security.html), with many banks failing on stuff like Forward Secrecy, SHA-1, RC4 and TLS 1.2;

L'aggiornamento di qualsiasi cosa è davvero difficile per istituzioni come le banche. Usano versioni vecchie e il supporto dei nuovi protocolli (ad esempio l'aggiornamento) è difficile da fare. (Un sacco di test e preparazione)

weird password verification methods that usually prove that they're not hashing passwords (like asking for 2 specific characters from a password);

Questo non è necessariamente negativo se ben progettato. Consente a un utente malintenzionato che è riuscito a derubare la richiesta (tramite un phishing, di solito) di non ottenere le credenziali complete. Non lo consiglierei comunque per il tuo CMS.

weird ways to transfer account credentials (like asking a DM on Twitter, or support people giving your new credentials over the phone).

È strano, anzi.

    
risposta data 20.06.2015 - 01:48
fonte
1

Le banche non sono luoghi in cui la creatività viene premiata o dove il cambiamento fa parte della cultura. Inoltre, il settore finanziario non è ben noto per trattare bene i dipendenti, quindi il talento tende a partire.

Per queste ragioni, le banche operano come i dinosauri. Non devono innovare, quindi non lo fanno.

Non sarei troppo sicuro che non si verifichino violazioni, dal momento che anche il settore bancario è noto per l'estrema segretezza.

    
risposta data 20.06.2015 - 07:34
fonte

Leggi altre domande sui tag

Che cosa dovrei dire al mio cliente se vedo che il loro sito è suscettibile all'iniezione SQL? Praticare un foro (fisico) su una smart card g10 openpgp [chiusa]