Raport specjalny: Jak podnieść się po nokdaunie

BANK 2015/07-08

Cyberprzestępczość to zmora wszystkich użytkowników internetu. Szczególnie jednak zagrożone atakiem hakerów są instytucje finansowe. I nic w tym dziwnego, jeżeli weźmiemy pod uwagę fakt, że firmy przechowujące wrażliwe dane, zwłaszcza dotyczące zgromadzonych pieniędzy, stale znajdą się na celowników przestępców.

Cyberprzestępczość to zmora wszystkich użytkowników internetu. Szczególnie jednak zagrożone atakiem hakerów są instytucje finansowe. I nic w tym dziwnego, jeżeli weźmiemy pod uwagę fakt, że firmy przechowujące wrażliwe dane, zwłaszcza dotyczące zgromadzonych pieniędzy, stale znajdą się na celowników przestępców.

Monika Król

Niedawna informacja o skutecznym włamaniu do systemu transakcyjnego Plus Banku jest niestety tego potwierdzeniem. Kolejny raz głośno mówi się o audytach bezpieczeństwa IT oraz metodach skutecznej obrony aplikacji webowych przed atakiem.

Co właściwie się stało?

Internauta o pseudonimem Polsilver na największym podziemnym forum dyskusyjnym, TORepublic, przyznał się do ataku na serwis transakcyjny Plus Banku. Podał m.in., że jego ofiarą padło 15 tys. kont użytkowników systemu banku, w tym loginy i hasła, dane osobowe, informacje o transakcjach z wielu rachunków oraz kart płatniczych. Polsilver zażądał od banku 400 tys. zł okupu i zagroził, że jeśli go nie otrzyma to ujawni przejęte informacji w sieci.

Obecnie praktycznie każda z instytucji finansowych oferuje dostęp do usług przez internet. Od strony technicznej, rozwiązanie stanowi aplikacja Web, przeznaczona do przeprowadzania transakcji finansowych. Takie rozwiązanie siłą rzeczy niesie ze sobą wysokie ryzyko. A atak na system może skutkować nie tylko bardzo poważnymi konsekwencjami dla samego banku, ale także dla klientów tej instytucji. Aplikacja webowa jest, niestety, słabym punktem każdego systemu informatycznego. Jest ona wystawiona na zewnątrz, oferuje dostęp dla klientów, ale jednocześnie wprost prosi się o zainteresowanie hackerów.

Mierząc się z atakiem

Są dwie podstawowe techniki ataku na aplikacje webowe. Pierwsza metoda polega na wstrzyknięciu odpowiednio spreparowanego kodu do aplikacji – otwiera w ten sposób hackerom dostęp do zasobów systemu. Druga wykorzystuje błędy w skryptach (tzw. Cross-Site Scripting). Obrona przed najważniejszymi atakami polega przede wszystkim na zapewnieniu, by aplikacja nie przetwarzała obcych danych, albo na tym, by takich danych do aplikacji nie dopuścić, odpowiednio wcześniej je blokując.

Wspomniane techniki ataku są najczęściej wykorzystywanymi, nie są jednak jedynymi sposobami na dobranie się do internetowego systemu. Szyfrowanie SSL jest bardzo ważną metodą zapewnienia poufności transmisji danych przez internet. Ale i ona staje się obecnie – za sprawą cyberprzestępców – zagrożeniem dla aplikacji Web. Trzeba dodać, że za pośrednictwem szyfrowanego połączenia można przesłać właściwie dowolne informacje, także związane z atakami. Aby taki atak odfiltrować, należy zapewnić widoczność informacji, która jest przesyłana na drodze klient-serwer wewnątrz szyfrowanego połączenia. To z kolei naraża na przesyłanie poufnych informacji otwartym kodem – i tak koło ...

Artykuł jest płatny. Aby uzyskać dostęp można:

  • zalogować się na swoje konto, jeśli wcześniej dokonano zakupu (w tym prenumeraty),
  • wykupić dostęp do pojedynczego artykułu: SMS, cena 5 zł netto (6,15 zł brutto) - kup artykuł
  • wykupić dostęp do całego wydania pisma, w którym jest ten artykuł: SMS, cena 19 zł netto (23,37 zł brutto) - kup całe wydanie,
  • zaprenumerować pismo, aby uzyskać dostęp do wydań bieżących i wszystkich archiwalnych: wejdź na aleBank.pl/sklep.

Uwaga:

  • zalogowanym użytkownikom, podczas wpisywania kodu, zakup zostanie przypisany i zapamiętany do wykorzystania w przyszłości,
  • wpisanie kodu bez zalogowania spowoduje przyznanie uprawnień dostępu do artykułu/wydania na 24 godziny (lub krócej w przypadku wyczyszczenia plików Cookies).

Komunikat dla uczestników Programu Wiedza online:

  • bezpłatny dostęp do artykułu wymaga zalogowania się na konto typu BANKOWIEC, STUDENT lub NAUCZYCIEL AKADEMICKI

Udostępnij artykuł: