https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1
https://newera17031.activehosted.com/index.php?action=social&chash=a60937eba57758ed45b6d3e91e8659f3.2219&nosocial=1

觀點

從網路金融犯罪看資安

2005 / 02 / 02
文 / 陳貞璆
從網路金融犯罪看資安

金融管理篇
「網路金融犯罪對銀行而言,只是資安問題冰山一角的顯露,實際上最大的問題是出在銀行的內部控管上。」這是顧問公司勤業眾信萬幼筠協理的看法。另外,銀行對於金控的整併後帶來的新事業擴張和新IT技術,事實上正面臨前所未有的一大經營挑戰。 新技術推陳出新的速度加快,使得還來不及設計出防護程式,駭客就入侵到系統中,資安防護挑戰日增。另外,銀行業普遍對新技術熟悉度不足,掌握度不夠多以廠商的建言為主導,不清楚自己實際上真正需要的是什麼,因此也造成較依賴廠商的態度。 網路銀行等電子新事業的成立,系統從封閉式架構(Main Frame)轉換成開放式系統(Open System)。便利開放的同時,也成為有心人士像駭客入侵、資安防護漏洞所在。 那麼銀行同業業者,又是如何看待網路金融犯罪問題。其實銀行業的看法,與顧問業者如出一轍。建華銀行資訊處科長謝持恆指出,科技發展快速,只要一不留神,就很容易被有心人士利用,加上過去是封閉系統可以有效管理安全問題,但現在開放式系統較無法可管,你無法知道誰是客戶、誰是駭客。 且國內銀行普遍對網路銀行的安全的意識薄弱,比較重視功能多不多、方便性如何,最後才把安全納入考量,對於委外也沒善盡監督的責任,對於銀行而言應該視每個環節都很重要才是。反觀國外卻是以安全為重,這樣的精神值得台灣業者多學習。 謝持恆建議,銀行普遍都已有採買資安相關產品,但實際落實將產品應用才是可防止資安事件的最重要關鍵,畢竟好的資安產品需要好的資安政策配合落實。以建華銀行而言,去年已完成資訊部門的BS7799資安認證,今年將考慮擴大範圍至其他部門,讓資安更全面性。 「資安的人力過於精簡,使得資訊人員容易忙中有錯。」中國商銀資訊處處長黃永貴指出,從多個金融犯罪中可看出端倪,其中有些問題是可以預先防範的,像中國商銀早就注意懶人密碼問題,利用措施來防範,舉例透過電話和網路銀行交易,不開放未約定帳戶之轉帳,輔以one time password提高安全度。 在選擇委外廠商之時,也應該注意選擇對和合宜的廠商、同時委外管理也要如同公司內部管理、在程式開發時宜由委外廠商到公司內部,而非將資料攜進攜出增加風險。整體資訊安全步驟建議為:自己資訊人員測試、配合業務安全機制、加上安全小組、稽核處以達到高度安全性。「資安應該是不宜餘力,且不能掉以輕心。」黃永貴語重心腸表示,目前銀行的稽核表象形式大過於實際,標準定得太高,但是卻不實際,使得精神層面無法落實相當可惜。

程式篇:網路便利服務接踵而至的資安問題!
一般網路駭客竊盜手法有: 一、利用電子郵件引發網友開啟來路不明的郵件與 檔案,然後植入惡意程式如鍵盤側錄程式(key-logger)及木馬病毒(Trojan Virus)等,然後伺機開啟後門(Backdoor)將個人機密資料傳送出去。 二、利用系統漏洞製作成病毒程式大量散播,以最 短時間內感染其他電腦系統,並將木馬程式藏匿於中伺機竊取個人重要資料。 三、利用駭客工具鎖定對象直接入侵個人電腦或伺 服器主機,進一步竊取重要資料。 四、建立色情網站或者網路商店等,引誘網友線上 消費並輸入信用卡號及密碼,輕易獲得網友的個人私密資料。 五、在網咖及公用電腦中先植入駭客程式,然後等 待接續網友使用後,伺機竊取資料

網頁設計程式安全性憂慮
除了常見的駭客攻擊外,針對網頁設計以網頁應用程式弱點偵測也是不容乎視的部份。系統管理者可以讓系統架構透過嚴謹的網路架構分析與規劃,透過防火牆等相關技術,讓這個網路架構滴水不漏。但是在程式設計的過程中,人為的「邏輯錯誤」或是「參數配置的不當」都可以造成大錯。大多數人寫程式都習慣參考坊間書籍或是網路資源,毫不客氣用「剪貼法」或是「複製法」,因此許多程式設計員都缺乏基礎的程式設計安全觀念。往往只要考慮交了差就解決,客戶在驗收外包的系統時,多半只看功能面是否滿足,也很少去仔細考慮程式內容是否符合安全觀念。 在程式設計之時就要把相關資安的安全程式碼設計進入,精業技術顧問陳品維就指出,企業普遍利用Web中的ASP(Application Service Provider)模式,以建置自己的電子商務網站,達到快速便利低成本的建置目的,雖然方便但卻容易成為駭客入侵的溫床,安全問題顯現。其實在應用系統上,好的程式設計的方法和正確的參數配置也可以提高程式的性能,有時在同等情況下只要改變一個參數,程式執行效率就能大大提高。分析一般駭客如何透過應用程式入侵網站,其方法如下:
一、http入侵
針對一開始網頁的架構設計最基本的HTTP傳遞是否有參數裸露問題;或是環境變數無法解譯。 解決辦法:應避免資料直接裸露在URL傳遞中,以明碼暴露參數的種類、數量與形態。
二、用戶驗證漏洞
解決辦法:安全措施-三部曲
STEP 1:修改程式與搭配嚴謹的用戶端驗證
STEP 2:驗證用戶輸入的帳號跟密碼有無非法字元,加強前端程式上的安全檢查措施。
STEP 3:不要顯示錯誤訊息到前端,較不易透過錯誤訊息來探知系統的內部運作邏輯。
三、Include 連接檔案漏洞
將資料庫連接方式直接只保存為一個檔,在需要此連接的網頁中直接應用此檔,使用這方式固然方便,但是要是有人想要知道資料的連接方式,有可能猜出你連接檔的檔名,然後在WEB流覽器直接打入此檔案名。 解決辦法:安全措施-二部曲
STEP 1:注意連接檔案的命名 連接檔的副檔名可以是 .asp檔,不一定要是.inc檔。連接檔案的檔名不要太簡單被猜出來,譬如DBTT12YY.inc。
STEP 2:將連接的方式保存在其他的地方 網頁應用程式如何確保其安全性
當應用程式正式上線之後,則適合採用相關的應用程式弱點檢測,而非只是透過一般防毒、或防駭應用程式進行偵測。安永顧問李永強表示,一般偵測程式只能針對系統進行防範,但無法深入核心對應用程式進行偵測,做到真正防範駭客惡意攻擊應用程式的動作。因此只有透過擁有網頁應用程式之檢測進行防治,才能達到對已知的弱點、參數竄改、隱藏欄位的修改、跨網站描述語言、在cookie裡下毒、後門及除錯選項、協力廠商錯誤設定、緩衝區溢位攻擊、資料隱碼、資料編碼、隱形指令、利用HTTP的方式攻擊等之進行防範。















User篇:
使用者應該要如何防範、應該注意那些事情 一、針對駭客入侵類型 1、常檢查固定使用的網路交易信用卡(建議使用固定 的一張信用卡當作網路交易卡,並且限定信用額度)紀錄是否異常。 2、避免開啟來路不明的電子郵件及檔案,並且安裝 防毒體以避免駭客入侵 3、安裝防火牆以偵測駭客入侵竊取機密資料 4、不要在不明的地下網站做線上交易 5、不要在網咖或公用腦上做線上交易或轉帳 二、個人使用習慣方面 切勿用懶人密碼,例:以生日、身份證…等,以免被破解, 回顧2003年網路金融犯罪,顯露出銀行內控問題事態嚴重,今年度金融業者在持續擴大經營版圖的同時,如何維持服務品質,提高資安的防護是重要關鍵。資安防範,事前防範重於事後補救,制定好的資安政策、選擇合宜資安方案、找尋協力廠商並落實執行管理,都是業者所面臨的新挑戰。對於使用者而言,也應該要有正確的使用觀念,了解越是方便、就越要小心安全問題,以防止犯罪找上門來。

近幾個月網路金融犯罪事件回顧:
花旗網路銀行資料外洩事件 客戶資料庫後門事件 92.11.10
民眾在花旗的網路銀行上申請信用卡時,發現輸入不同的申請流水號,網址欄上竟可查詢到他人的基本資料,從一百多號到兩千多號更改一下,就能看到每個透過網站申請信用卡客戶的個人資料。 花旗銀行表示,花旗是國際公司所有主程式均經過紐約駭客測試,主程式沒有問題,這次出錯的是委外製作的網頁,屬於台灣行銷活動的網頁,雖是委外製作,但花旗內部未詳加檢查就把網頁放上去,幾個月(92年8月4號到11月10號)來也沒有發現問題。 省思:此事件顯然最後把關也沒做好,委外管理和內部控管皆出現疏失。
駭客入侵網路銀行事件 92.11.27
11月底的駭客入侵事件,影響層面更擴大,不只個人用戶受害,國內知名五百大企業也赫然在列。刑事局指出,包括國內知名前五百大企業在內有不少家受害。更諷刺的是歹徒挑上銀行號稱目前最為安全的交易機制之一的SET(Secure Electronic Transaction)加上電子交易認證(CA,Certificate Authority)機制下手,警方根據嫌犯罪供稱,已經成功破解機制審核漏洞,只要經進入被害人帳戶內,以刪除原有憑證,再以被害人真實資料動新申請,就可輕易躲過銀行對安全的稽核審查,經取得新憑證,就可以進一步盜領現金。 省思:網路金融犯罪問題,除了消費者個人自身的資安問題外,更是顯現出銀行在安全風險內控上出了嚴重問題,再不正視恐將會有越來越出事件出現。
泛亞銀行現金卡網路盜領事件 92.12.11
林姓男子一張未曾用過的預借現金卡,遭人竄改聯絡電話、帳單地址等個人資料,被盜領了三十二萬元。除此之外,還有三人被盜領、十名存戶資料遭竄改。 警方發現泛亞銀行消金部中區服務中心行員,利用業務之便,擅自連線聯合徵信公司查閱被害人個人資料並竄改。銀行存戶資料,都會存入聯合徵信公司,以供各銀行調查客戶信用,只有知道密碼才能進入連線電腦內查詢;多數銀行為防洩秘,規定承辦人員需經過一定程序才能取得密碼,但泛亞銀行卻不然,密碼幾乎是公開貼在辦公室,員工可以輕易的連線查詢。 省思:顯現該銀行在內控上的管理過於輕乎,才會造成行員有機可趁