Componenti

Flaws di progettazione, oltre alle vulnerabilità, Hurt Banking Sites

Martin Wolf, Financial Times: Stop banks from creating money (Positive Money)

Martin Wolf, Financial Times: Stop banks from creating money (Positive Money)
Anonim

I siti Web bancari soffrono di difetti di progettazione che compromettono la loro sicurezza, esclusive vulnerabilità del software, secondo uno studio dell'Università del Michigan che verrà pubblicato venerdì.

Dei 214 siti esaminati nel 2006, oltre il 75% ne aveva almeno uno difetto di progettazione che potrebbe portare a un problema di sicurezza, ha detto l'università. Il flusso e il layout dei siti possono rendere questi siti più rischiosi e i problemi non possono essere risolti con una patch diversa dalla vulnerabilità del software.

Alcuni dei risultati dello studio sono stati pubblicati martedì dall'università. I risultati completi saranno presentati al Symposium su Usable Privacy and Security incontro venerdì alla Carnegie Mellon University di Pittsburgh.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Lo studio è stato intrapreso da Atul Prakash, un professore nel Dipartimento di Ingegneria Elettrica e Informatica, e due studenti di dottorato, Laura Falk e Kevin Borders. Prakash ha iniziato a indagare dopo aver notato problemi con il sito Web della sua banca, ha detto l'università.

Sebbene la ricerca sia stata fatta nel 2006, molti dei problemi riguardano ancora i siti finanziari. Uno dei problemi principali è una sottoutilizzazione della tecnologia di crittografia SSL (Secure Sockets Layer) nelle pagine Web.

Lo studio ha rilevato che il 47% delle banche non utilizza SSL nelle pagine di accesso, il che potrebbe aprire la porta a un hacker reindirizzare i dati sul proprio PC. Non usare SSL rende anche più facile un attacco man-in-the-middle, in cui i dati della vittima passano attraverso il PC di un attaccante prima di essere indirizzato al server della banca.

Un altro problema pervasivo che interessa il 55% delle istituzioni sta mettendo le informazioni di contatto e consigli di sicurezza su pagine insicure. Un hacker potrebbe ipoteticamente irrompere nel sito Web e cambiare il numero di telefono del servizio clienti per indirizzare i clienti bancari a un call center fittizio. Ancora una volta, SSL è il rimedio.

I ricercatori hanno scoperto che il 30% dei siti reindirizza gli utenti ad altri siti Web, il che può distorcere il modo in cui una persona dovrebbe valutare il rischio, dice lo studio.

Dal momento che un sito bancario è affidabile, il sito a cui si collega probabilmente non sarà considerato un rischio per la sicurezza, anche se potrebbe esserlo. La banca dovrebbe mettere tutte le proprie pagine Web sullo stesso server, ma alcune hanno funzionalità di sicurezza in outsourcing che sono ospitate su altri domini.

Gli ID utente e le password deboli continuano a essere problematici, con il 28% delle banche che mancano di linee guida per le password o che consentono debole quelli. Le istituzioni invieranno anche e-mail password o dichiarazioni, che è anche rischioso, afferma lo studio.