從網路金融犯罪看資安

金融管理篇
「網路金融犯罪對銀行而言，只是資安問題冰山一角的顯露，實際上最大的問題是出在銀行的內部控管上。」這是顧問公司勤業眾信萬幼筠協理的看法。另外，銀行對於金控的整併後帶來的新事業擴張和新IT技術，事實上正面臨前所未有的一大經營挑戰。 新技術推陳出新的速度加快，使得還來不及設計出防護程式，駭客就入侵到系統中，資安防護挑戰日增。另外，銀行業普遍對新技術熟悉度不足，掌握度不夠多以廠商的建言為主導，不清楚自己實際上真正需要的是什麼，因此也造成較依賴廠商的態度。 網路銀行等電子新事業的成立，系統從封閉式架構(Main Frame)轉換成開放式系統(Open System)。便利開放的同時，也成為有心人士像駭客入侵、資安防護漏洞所在。 那麼銀行同業業者，又是如何看待網路金融犯罪問題。其實銀行業的看法，與顧問業者如出一轍。建華銀行資訊處科長謝持恆指出，科技發展快速，只要一不留神，就很容易被有心人士利用，加上過去是封閉系統可以有效管理安全問題，但現在開放式系統較無法可管，你無法知道誰是客戶、誰是駭客。 且國內銀行普遍對網路銀行的安全的意識薄弱，比較重視功能多不多、方便性如何，最後才把安全納入考量，對於委外也沒善盡監督的責任，對於銀行而言應該視每個環節都很重要才是。反觀國外卻是以安全為重，這樣的精神值得台灣業者多學習。 謝持恆建議，銀行普遍都已有採買資安相關產品，但實際落實將產品應用才是可防止資安事件的最重要關鍵，畢竟好的資安產品需要好的資安政策配合落實。以建華銀行而言，去年已完成資訊部門的BS7799資安認證，今年將考慮擴大範圍至其他部門，讓資安更全面性。 「資安的人力過於精簡，使得資訊人員容易忙中有錯。」中國商銀資訊處處長黃永貴指出，從多個金融犯罪中可看出端倪，其中有些問題是可以預先防範的，像中國商銀早就注意懶人密碼問題，利用措施來防範，舉例透過電話和網路銀行交易，不開放未約定帳戶之轉帳，輔以one time password提高安全度。 在選擇委外廠商之時，也應該注意選擇對和合宜的廠商、同時委外管理也要如同公司內部管理、在程式開發時宜由委外廠商到公司內部，而非將資料攜進攜出增加風險。整體資訊安全步驟建議為：自己資訊人員測試、配合業務安全機制、加上安全小組、稽核處以達到高度安全性。「資安應該是不宜餘力，且不能掉以輕心。」黃永貴語重心腸表示，目前銀行的稽核表象形式大過於實際，標準定得太高，但是卻不實際，使得精神層面無法落實相當可惜。

程式篇：網路便利服務接踵而至的資安問題!
一般網路駭客竊盜手法有: 一、利用電子郵件引發網友開啟來路不明的郵件與 檔案，然後植入惡意程式如鍵盤側錄程式(key-logger)及木馬病毒(Trojan Virus)等，然後伺機開啟後門(Backdoor)將個人機密資料傳送出去。 二、利用系統漏洞製作成病毒程式大量散播，以最 短時間內感染其他電腦系統，並將木馬程式藏匿於中伺機竊取個人重要資料。 三、利用駭客工具鎖定對象直接入侵個人電腦或伺 服器主機，進一步竊取重要資料。 四、建立色情網站或者網路商店等，引誘網友線上 消費並輸入信用卡號及密碼，輕易獲得網友的個人私密資料。 五、在網咖及公用電腦中先植入駭客程式，然後等 待接續網友使用後，伺機竊取資料

網頁設計程式安全性憂慮
除了常見的駭客攻擊外，針對網頁設計以網頁應用程式弱點偵測也是不容乎視的部份。系統管理者可以讓系統架構透過嚴謹的網路架構分析與規劃，透過防火牆等相關技術，讓這個網路架構滴水不漏。但是在程式設計的過程中，人為的「邏輯錯誤」或是「參數配置的不當」都可以造成大錯。大多數人寫程式都習慣參考坊間書籍或是網路資源，毫不客氣用「剪貼法」或是「複製法」，因此許多程式設計員都缺乏基礎的程式設計安全觀念。往往只要考慮交了差就解決，客戶在驗收外包的系統時，多半只看功能面是否滿足，也很少去仔細考慮程式內容是否符合安全觀念。 在程式設計之時就要把相關資安的安全程式碼設計進入，精業技術顧問陳品維就指出，企業普遍利用Web中的ASP(Application Service Provider)模式，以建置自己的電子商務網站，達到快速便利低成本的建置目的，雖然方便但卻容易成為駭客入侵的溫床，安全問題顯現。其實在應用系統上，好的程式設計的方法和正確的參數配置也可以提高程式的性能，有時在同等情況下只要改變一個參數，程式執行效率就能大大提高。分析一般駭客如何透過應用程式入侵網站，其方法如下：
一、http入侵
針對一開始網頁的架構設計最基本的HTTP傳遞是否有參數裸露問題;或是環境變數無法解譯。 解決辦法：應避免資料直接裸露在URL傳遞中，以明碼暴露參數的種類、數量與形態。
二、用戶驗證漏洞
解決辦法:安全措施-三部曲
STEP 1：修改程式與搭配嚴謹的用戶端驗證
STEP 2：驗證用戶輸入的帳號跟密碼有無非法字元，加強前端程式上的安全檢查措施。
STEP 3：不要顯示錯誤訊息到前端，較不易透過錯誤訊息來探知系統的內部運作邏輯。
三、Include 連接檔案漏洞
將資料庫連接方式直接只保存為一個檔，在需要此連接的網頁中直接應用此檔，使用這方式固然方便，但是要是有人想要知道資料的連接方式，有可能猜出你連接檔的檔名，然後在WEB流覽器直接打入此檔案名。 解決辦法:安全措施-二部曲
STEP 1：注意連接檔案的命名 連接檔的副檔名可以是 .asp檔，不一定要是.inc檔。連接檔案的檔名不要太簡單被猜出來，譬如DBTT12YY.inc。
STEP 2：將連接的方式保存在其他的地方 網頁應用程式如何確保其安全性
當應用程式正式上線之後，則適合採用相關的應用程式弱點檢測，而非只是透過一般防毒、或防駭應用程式進行偵測。安永顧問李永強表示，一般偵測程式只能針對系統進行防範，但無法深入核心對應用程式進行偵測，做到真正防範駭客惡意攻擊應用程式的動作。因此只有透過擁有網頁應用程式之檢測進行防治，才能達到對已知的弱點、參數竄改、隱藏欄位的修改、跨網站描述語言、在cookie裡下毒、後門及除錯選項、協力廠商錯誤設定、緩衝區溢位攻擊、資料隱碼、資料編碼、隱形指令、利用HTTP的方式攻擊等之進行防範。















User篇：
使用者應該要如何防範、應該注意那些事情 一、針對駭客入侵類型 1、常檢查固定使用的網路交易信用卡(建議使用固定 的一張信用卡當作網路交易卡，並且限定信用額度)紀錄是否異常。 2、避免開啟來路不明的電子郵件及檔案，並且安裝 防毒體以避免駭客入侵 3、安裝防火牆以偵測駭客入侵竊取機密資料 4、不要在不明的地下網站做線上交易 5、不要在網咖或公用腦上做線上交易或轉帳 二、個人使用習慣方面 切勿用懶人密碼，例:以生日、身份證…等，以免被破解， 回顧2003年網路金融犯罪，顯露出銀行內控問題事態嚴重，今年度金融業者在持續擴大經營版圖的同時，如何維持服務品質，提高資安的防護是重要關鍵。資安防範，事前防範重於事後補救，制定好的資安政策、選擇合宜資安方案、找尋協力廠商並落實執行管理，都是業者所面臨的新挑戰。對於使用者而言，也應該要有正確的使用觀念，了解越是方便、就越要小心安全問題，以防止犯罪找上門來。

近幾個月網路金融犯罪事件回顧:
花旗網路銀行資料外洩事件 客戶資料庫後門事件　92.11.10
民眾在花旗的網路銀行上申請信用卡時，發現輸入不同的申請流水號，網址欄上竟可查詢到他人的基本資料，從一百多號到兩千多號更改一下，就能看到每個透過網站申請信用卡客戶的個人資料。 花旗銀行表示，花旗是國際公司所有主程式均經過紐約駭客測試，主程式沒有問題，這次出錯的是委外製作的網頁，屬於台灣行銷活動的網頁，雖是委外製作，但花旗內部未詳加檢查就把網頁放上去，幾個月(92年8月4號到11月10號)來也沒有發現問題。 省思:此事件顯然最後把關也沒做好，委外管理和內部控管皆出現疏失。
駭客入侵網路銀行事件　92.11.27
11月底的駭客入侵事件，影響層面更擴大，不只個人用戶受害，國內知名五百大企業也赫然在列。刑事局指出，包括國內知名前五百大企業在內有不少家受害。更諷刺的是歹徒挑上銀行號稱目前最為安全的交易機制之一的SET(Secure Electronic Transaction)加上電子交易認證(CA,Certificate Authority)機制下手，警方根據嫌犯罪供稱，已經成功破解機制審核漏洞，只要經進入被害人帳戶內，以刪除原有憑證，再以被害人真實資料動新申請，就可輕易躲過銀行對安全的稽核審查，經取得新憑證，就可以進一步盜領現金。 省思:網路金融犯罪問題，除了消費者個人自身的資安問題外，更是顯現出銀行在安全風險內控上出了嚴重問題，再不正視恐將會有越來越出事件出現。
泛亞銀行現金卡網路盜領事件　92.12.11
林姓男子一張未曾用過的預借現金卡，遭人竄改聯絡電話、帳單地址等個人資料，被盜領了三十二萬元。除此之外，還有三人被盜領、十名存戶資料遭竄改。 警方發現泛亞銀行消金部中區服務中心行員，利用業務之便，擅自連線聯合徵信公司查閱被害人個人資料並竄改。銀行存戶資料，都會存入聯合徵信公司，以供各銀行調查客戶信用，只有知道密碼才能進入連線電腦內查詢;多數銀行為防洩秘，規定承辦人員需經過一定程序才能取得密碼，但泛亞銀行卻不然，密碼幾乎是公開貼在辦公室，員工可以輕易的連線查詢。 省思:顯現該銀行在內控上的管理過於輕乎，才會造成行員有機可趁