| На главную | ||
| Добавить компанию | ||
| Регистрация | ||
| Разместить рекламу |
|
Навигация
Разместить новость
Разместить рекламу
Контакты
Каталог электротехники
Статьи по электротехнике / Безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка. |
26.04.2010Безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка.Полезные советы /Безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка (проверка системы). В данной статье рассмотрим вопрос - как проверить безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка, таким же образом можно проверить безопасность бизнес сайта и компьютерной сети своего бизнеса. Вопрос на данный момент очень актуальный, так как почти каждый банк владеет своим сайтом и своей "онлайн" системой управления банковским счетом, которые как правило расположены на сервере компьютерной сети банка. Как сайт банка, вместе с "онлайн" системой управления счетом, так и сама компьютерная система банка вызывает интерес к разного рода хакерам и лицам, которые занимается несанкционированным проникновением и незаконным сбором разного рода информации с дальнейшим незаконным ее использованием. Как показывает практика, почти все банки грешит в сфере безопасности и защите информации "онлайн" системы управления счетом или компьютерной системы, обманывая тем своих клиентов с утверждением, что обе эти системы... безопасны и кража информации, а также кража финансов, используя "онлайн" систему управления банковским счетом и компьютерную сеть банка, невозможна. Но не всегда это так и очень часто банк сознательно скрывает факты незаконного проникновения в сервер, систему управления счета и саму компьютерную систему банка, так как это может повлиять на рейтинг банка, его прибыль или вызвать переход клиентов в другой... более надежный банк. Необходимо пояснить, что в случае незаконного проникновения в систему и кражи средств или информации, и не сообщение об этом пострадавшим и правоохранительным органам, банк прямым образом нарушает свои прямые обязанности по сохранности финансовых средств клиента и тайны банковской информации клиента, которые закреплены как законодательством, так и договором между банком и клиентом. Для наглядности алгоритма и программного обеспечения, который используется при проверке, проведем проверку безопасности сайта и компьютерной сети банка "Райффайзенбанк". Первое: Проверка сайта на наличие уязвимости. Определение IP адреса сайта и входа в "онлайн" систему. Для этого используется программа Access Driver, с помошу которой мы определяем, что IP адрес сайта 193.28.44.146 и IP адрес входа в "онлайн" систему 193.28.44.148. Сканируя сайт этой программой устанавливаем, что сайт имеет 60 уязвимостей. Это обозначает, что имеется возможность использования эксплойтов, для проникновение и кражи информации на сайте. При проверке входа в "онлайн" систему, данной программой, язвимостей не обнаружено. Используя сканер безопасности XSpider при сканирование IP адрес сайта 193.28.44.146 устанавливаем, что открыты 3 порта 21, 80, 443 и с помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтового скриптинга. Это показывает,что имеется возможность, используя программы - сниффери, прослушивание и перехват важной информации (включая идентификационные данные клиентов), необходимой для незаконного проникновения. Также, прослушивая эти порта, возникает возможность установления IP адреса компьютеров клиентов, которые пользуются "онлайн" системой управления счетом данном банке, и с помощи программы - спуфер ( программа, которая подменивает настоящий IP адрес на любой другой IP адрес) использовать эти IP адреса при незаконном проникновение на сайт банка или в компьютерную сеть банка. Последнее, что надо отметить - сам сайт подвергнут фишинговой атаке. Второе: В службе WHOIS проверяем кому принадлежит установленные нами эти IP адреса 193.28.44.146 и 193.28.44.148. Видим, что оба IP адреса принадлежит компьютерной сети банка "Райффайзенбанк": inetnum 193.28.44.0 - 193.28.44.255 - интервал IP адресов принадлежит организации. netname RBA descr ZAO "RAIFFEISENBANK AUSTRIA" - название хозяина IP адресов. country RU admin-c ST1206-RIPE tech-c ST1206-RIPE status ASSIGNED PI mnt-by RIPE-NCC-HM-PI-MNT mnt-lower RIPE-NCC-HM-PI-MNT mnt-by ROSNIIROS-MNT mnt-routes RAIFFEISENBANK-MNT mnt-routes ROSNIIROS-MNT source RIPE # Filtered person Sergey Tretyakov - ответственное лицо и контактные данные в организации хозяина IP адресов. address Troitskaya 17/1, Moscow, Russia remarks phone: +7 (095)775-5240 phone +7 (495)775-5240 remarks fax-no: +7 (095)721-9901 fax-no +7 (495)721-9901 e-mail stretyakov@raiffeisen.ru С этим мы установили, что банк имеет свою сеть IP адресов и сам сайт, а также "онлайн" системы управления банковским счетом, расположены на серверах компьютерной сети банка. Третье: Проверка самой компьютерной сети банка. Это занимает больше времени, так как проверка производится несколькими программами. Используя программу Essential NetTools проверяем есть ли в компьютерной сети "разшаренные" IP адресов (адреса с свободным доступом любова другого компьютера к ним). Проверка показала, что таких IP адресов нет. Такую же операцию можем провести используя программу LanSpy, данная программа также укажет имеется ли открыты порта "Троянов" на компьютерах, которыми пользуется или пользовались лица незаконна проникшие в компьютерную сеть банка. Программа такой факт не зафиксировала. Такую же операцию по поиску открытых порта "Троянов" на компьютерах проведем используя программу NetTools - Trojan Hunter и также установили, что нет IP адресов с открытыми портами для "Трояна". Последней программой, которой сканируем всю компьютерную сеть банка, сканером безопасности XSpider определяем общее и специфическое состояние системы безопасности компьютерной сети. При проверке установили, что из все сети открытыми IP адресами были 23 и у всех работал в открытом режиме 21 порт. При проверке уязвимость и слабых мест не было обнаружено. У программы есть возможность проверить также и не отвечающие IP адреса сети, но мы не производили такую доскональную проверку, так как наша цель - показать сам принцип работы при проверке безопасности. Четвертое: Анализ и оценка полученной информации. Анализ и оценка полученной информации показывает, что сама компьютерная сеть банка условно безопасно, кроме безопасности самого сайта и "онлайн" системы управления банковским счетом, так как при наличие определенного программного обеспечения и навыков возможен незаконное проникновение в сеть, а также прослушивание и перехват идентификационных данных клиентов банка, что в дальнейшем может привести к незаконному проникновению в "онлайн" систему управления банковским счетом и кражу денежных средств, а также к незаконному получению информации об клиентах банка и их финансовых операциях. И это уже является прямым нарушением, со стороны банка, обязанности сохранения в тайне банковскую информацию от третьих лиц. |
ПОИСК ПО ПОРТАЛУ
РЕКОМЕНДУЕМ
НОВОСТИ
29.07.2010Строительство нового завода по производству светодиодных светильников
Компания ФОКУС приступила к строительству нового завода по производству светодиодных светильников на территории города Фрязино московской области.
Новости компаний /
23.07.2010
Особенности работы станции в различных регионах России
Новости компаний /
16.07.2010
Новая система управления заказами
Для улучшения работы предприятия завод УЗТТ внедряет новую систему управления заказами
Новости компаний /
15.07.2010
Мотор-редукторы
ЗАО «Европромтех», осуществляя поставку и ремонт редукторов, представляет интересы NORD Getriebebau в Москве и Московской области. Компания NORD в течение многих лет является одним из флагманов мирового рынка приводной техники. Конкурентно-способная стоимость продукции, использование новейших технологий, собственное научно-экспериментальное и конструкторское бюро, постоянные инновации в производстве помогли компании завоевать высокие позиции на международном рынке производителей приводной техники. Представительство в РФ было открыто в 2003 году. За этот срок компания заработала репутацию производителя с эталоном немецкого качества и успела заслужить уважение своих покупателей и доказать, что приводные системы NORD - высочайшее качество и надежность. Постоянная ориентированность на клиента, минимальные сроки поставки оборудования, гарантийные и послегарантийные сервисное обслуживание и ремонт редукторов и асинхронных двигателей – наши преимущества перед конкурентами.
NORD специализируется на изготовлении широкой гаммы приводов: от небольших электродвигателей и мотор-редукторов до векторно-управляемых асинхронных приводов. Номенклатура выпускаемого оборудования – это слудующие приводные системы:
Новости компаний /
15.07.2010
На УЗТТ внедрена система управления заказами
В июне 2010 года, на Уральском заводе трансформаторных технологий внедрена система управления заказами. В комплексе с другими мерами (запуском конвейера для производства ктп, модернизацией производственной базы, укомплектованности штата высококвалифицированными специалистами) новая система менеджмента дает возможность предприятию уменьшить сроки поставок выпускаемого электротехнического оборудования.
Новости компаний /
Объявления
Портал «ЭлектроДело»
Контакты
При копировании материалов с сайта ссылка на портал вида www.elektrodelo.ru обязательна!
|
|