Dizajnerske nedostatke, osim ranjivosti, štetnih web stranica banaka

Bankarski web stranice pate od nedostataka u dizajnu koji potkopavaju njihovu sigurnost, isključujući softverske ranjivosti, prema studiji Sveučilišta u Michiganu koja će biti izdana u petak.

Od ukupno 214 web stranice koje su ispitane 2006. godine, više od 75 posto imalo je barem jednu dizajn manjkav koji bi mogao dovesti do sigurnosnog problema, rekao je sveučilište. Protok i raspored web-lokacija mogu povećati rizik tih mjesta, a problemi se ne mogu popraviti zakrpom, za razliku od softverske ranjivosti.

Nekoliko studijskih otkrića objavilo je u utorak sveučilište.

Studija je poduzela Atul Prakash, stručnjak za informacijsku sigurnost i sigurnost na Sveučilištu Carnegie Mellon u Pittsburghu.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

profesor na Odsjeku za elektrotehniku ​​i računalnu znanost i dva doktorska studija, Laura Falk i Kevin Borders. Prakash je počeo istraživati ​​nakon što je primijetio probleme s web stranicom svoje banke, rekao je sveučilište.

Iako je istraživanje provedeno 2006. godine, mnogi problemi još uvijek utječu na financijska mjesta. Jedna od osnovnih problema je nedovoljna upotreba tehnologije šifriranja SSL (Secure Sockets Layer) na web stranicama.

Istraživanje je pokazalo da 47 posto banaka nije koristilo SSL na stranicama za prijavu, što bi moglo otvoriti vrata hakeru za preusmjeriti podatke na svoje računalo. Ne upotrebljavajući SSL također olakšava napad na čovjeka u sredini gdje podaci žrtve prolaze kroz računalo napadača prije nego što je preusmjeren na poslužitelj banke.

Još jedan prožimajući problem koji utječe na 55 posto institucija je stavljanje podataka o kontaktu i sigurnosni savjeti o nesigurnim stranicama. Hacker je mogao zamisliti da se upada u web stranicu i promijeni telefonski broj službe za korisnike kako bi izravno klijentima bankama pretvorio u fiktivni pozivni centar. Istraživači su otkrili da 30 posto web stranica preusmjerava korisnike na druge web stranice, što može naginjati kako bi osoba trebala procijeniti rizik, navodi se u studiji.

Budući da se banka nalazi u povjerenju, web mjesto na koje se povezuje neće se vjerojatno smatrati sigurnosnim rizikom čak i ako je to moguće. Banka bi trebala staviti sve svoje web stranice na isti poslužitelj, no neke su izdvojile sigurnosne značajke koje se nalaze na drugim domenama.

Slabi korisnički ID i lozinke i dalje su uznemirujući, dok 28 posto banaka nema smjernice za lozinku ili dopušta slabu one. Institucije će također poslati e-mail zaporke ili izjave, što je također rizično, navodi se u studiji.