Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Безопасность "онлайн" системы управления банковским счетом и

parbaude

Зарегистрированный
Регистрация
13 Июль 2010
Сообщения
14
Реакции
0
Баллы
1
Адрес
Израиль. +972 526351963
В данной статье рассмотрим вопрос - как проверить безопасность "онлайн" системы управления банковским счетом и компьютерной сети банка, таким же образом можно проверить безопасность бизнес сайта и компьютерной сети своего бизнеса. Вопрос на данный момент очень актуальный, так как почти каждый банк владеет своим сайтом и своей "онлайн" системой управления банковским счетом, которые как правило расположены на сервере компьютерной сети банка.
Как сайт банка, вместе с "онлайн" системой управления счетом, так и сама компьютерная система банка вызывает интерес к разного рода хакерам и лицам, которые занимается несанкционированным проникновением и незаконным сбором разного рода информации с дальнейшим незаконным ее использованием.
Как показывает практика, почти все банки грешит в сфере безопасности и защите информации "онлайн" системы управления счетом или компьютерной системы, обманывая тем своих клиентов с утверждением, что обе эти системы... безопасны и кража информации, а также кража финансов, используя "онлайн" систему управления банковским счетом и компьютерную сеть банка, невозможна. Но не всегда это так и очень часто банк сознательно скрывает факты незаконного проникновения в сервер, систему управления счета и саму компьютерную систему банка, так как это может повлиять на рейтинг банка, его прибыль или вызвать переход клиентов в другой... более надежный банк.
Необходимо пояснить, что в случае незаконного проникновения в систему и кражи средств или информации, и не сообщение об этом пострадавшим и правоохранительным органам, банк прямым образом нарушает свои прямые обязанности по сохранности финансовых средств клиента и тайны банковской информации клиента, которые закреплены как законодательством, так и договором между банком и клиентом.
Для наглядности алгоритма и программного обеспечения, который используется при проверке, проведем проверку безопасности сайта и компьютерной сети банка "Райффайзенбанк".

Первое:
Проверка сайта на наличие уязвимости. Определение IP адреса сайта и входа в "онлайн" систему.

Для этого используется программа Access Driver, с помошу которой мы определяем, что IP адрес сайта 193.28.44.146 и IP адрес входа в "онлайн" систему 193.28.44.148.
Сканируя сайт этой программой устанавливаем, что сайт имеет 60 уязвимостей. Это обозначает, что имеется возможность использования эксплойтов, для проникновение и кражи информации на сайте. При проверке входа в "онлайн" систему, данной программой, уязвимостей не обнаружено.
Используя сканер безопасности XSpider при сканирование IP адрес сайта 193.28.44.146 устанавливаем, что открыты 3 порта 21, 80, 443 и с помощью использования метода TRACE в протоколе HTTP возможно выполнение атаки межсайтового скриптинга. Также это показывает,что имеется возможность, используя программы - сниффери, прослушивание и перехват важной информации (включая идентификационные данные клиентов), необходимой для незаконного проникновения, и прослушивая эти порта, возникает возможность установления IP адресов компьютеров клиентов, которые пользуются "онлайн" системой управления счетом данном банке, и с помощи программы - спуфер ( программа, которая подменивает настоящий IP адрес на любой другой IP адрес) использовать эти IP адреса при незаконном проникновение на сайт банка или в компьютерную сеть банка.
Последнее, что надо отметить - сам сайт подвергнут фишинговой атаке.

Второе:
В службе WHOIS проверяем кому принадлежит установленные нами эти IP адреса
193.28.44.146 и 193.28.44.148.
Видим, что оба IP адреса принадлежит компьютерной сети банка "Райффайзенбанк":
inetnum 193.28.44.0 - 193.28.44.255 - интервал IP адресов принадлежит организации.
netname RBA
descr ZAO "RAIFFEISENBANK AUSTRIA" - название хозяина IP адресов.
country RU
admin-c ST1206-RIPE
tech-c ST1206-RIPE
status ASSIGNED PI
mnt-by RIPE-NCC-HM-PI-MNT
mnt-lower RIPE-NCC-HM-PI-MNT
mnt-by ROSNIIROS-MNT
mnt-routes RAIFFEISENBANK-MNT
mnt-routes ROSNIIROS-MNT
source RIPE # Filtered
person Sergey Tretyakov - ответственное лицо и контактные данные в организации хозяина
IP адресов.
address Troitskaya 17/1, Moscow, Russia
remarks phone: +7 (095)775-5240
phone +7 (495)775-5240
remarks fax-no: +7 (095)721-9901
fax-no +7 (495)721-9901
e-mail stretyakov@raiffeisen.ru
С этим мы установили, что банк имеет свою сеть IP адресов и сам сайт, а также "онлайн" системы управления банковским счетом, расположены на серверах компьютерной сети банка.

Третье:
Проверка самой компьютерной сети банка.

Это занимает больше времени, так как проверка производится несколькими программами.
Используя программу Essential NetTools проверяем есть ли в компьютерной сети "разшаренные" IP адреса (адреса с свободным доступом любова другого компьютера к ним). Проверка показала, что таких IP адресов нет.
Такую же операцию можем провести используя программу LanSpy, данная программа также укажет имеется ли открыты порта "Троянов" на компьютерах, которыми пользуется или пользовались лица незаконна проникшие в компьютерную сеть банка. Программа такой факт не зафиксировала.
Такую же операцию по поиску открытых порта "Троянов" на компьютерах проведем используя программу NetTools - Trojan Hunter и также установили, что нет IP адресов с открытыми портами для "Трояна".
Последней программой, которой сканируем всю компьютерную сеть банка, сканером безопасности XSpider определяем общее и специфическое состояние системы безопасности компьютерной сети. При проверке установили, что из все сети открытыми IP адресами были 23 и у всех работал в открытом режиме 21 порт. При проверке уязвимость и слабых мест не было обнаружено.У программы есть возможность проверить также и не отвечающие IP адреса сети, но мы не производили такую доскональную проверку, так как наша цель - показать сам принцип работы при проверке безопасности.

Четвертое:
Анализ и оценка полученной информации.

Анализ и оценка полученной информации показывает, что сама компьютерная сеть банка условно безопасно, кроме безопасности самого сайта и "онлайн" системы управления банковским счетом, так как при наличие определенного программного обеспечения и навыков возможен незаконное проникновение в сеть, а также прослушивание и перехват идентификационных данных клиентов банка, что в дальнейшем может привести к незаконному проникновению в "онлайн" систему управления банковским счетом и кражу денежных средств, а также к незаконному получению информации об клиентах банка и их финансовых операциях.
И это уже является прямым нарушением, со стороны банка, обязанности сохранения в тайне банковскую информацию от третьих лиц.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Патрушев Михаил Владимирович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
25 Январь 2011
Сообщения
2.445
Реакции
203
Баллы
63
Адрес
Сочи
Спасибо! Но, с трудом воспринимается.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Детективное агентство ИКС-Инфо.

Зарегистрированный
Регистрация
11 Ноябрь 2010
Сообщения
204
Реакции
8
Баллы
38
Возраст
65
Адрес
Украина, Кривой Рог. +380 98 720 3431; +380 93 743
Веб-сайт
www.iks-info.narod2.ru
Частный детектив Анжеро-Судженск Кузбасс написал(а):
Спасибо! Но, с трудом воспринимается.

:? ... Ага...
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Орлан

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
6 Август 2011
Сообщения
2.514
Реакции
23
Баллы
38
Возраст
39
Адрес
Украина. Харьков (+38)-066-300-28-76; (8-057)-756-
спасибо 00очень полезная, для того кто понимает!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

ТИМУР

Приватный уровень доступа
Регистрация
17 Февраль 2011
Сообщения
302
Реакции
9
Баллы
18
Возраст
49
Адрес
Украина, Волынская область, г.Нововолынск
Спасибо. Трудновато понять , но интересно и познавательно.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Плотников Юрий Михайлович

Приватный уровень доступа
Действительный члены НП "МОД"
Регистрация
21 Июль 2010
Сообщения
3.699
Реакции
563
Баллы
113
Возраст
71
Адрес
Россия, Хабаровск. +7 914 544 16 90.
Веб-сайт
www.sysk-dv.ru
Спасибо! Сложно, но интересно!
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Stels

Зарегистрированный
Регистрация
20 Февраль 2012
Сообщения
109
Реакции
2
Баллы
18
Возраст
55
Веб-сайт
iapd.info
Безопасность любого банка условно-безопасная, вместе с тем:
Райффайзенбанк получил сертификацию платежной системы VISA по реализации технологии 3-D Secure (Verified by VISA) и MasterCard (MasterCard SecureCode Program) для эквайринга интернет-магазинов, что позволяет банку осуществлять VbV-эквайринг в соответствие с требованиями VISA и MasterCard. Данная технология значительно повышает безопасность проведения платежей за покупки в интернет-магазинах.

Используются:
"Verified by Visa и MasterCard® SecureCode — программы, которые используют метод предъявления пароля для аутентификации пользователя и защиты ваших транзакций от операций «Chargebacks».

Безопасный WEB сервер:
В правом нижнем углу вашего браузера должен быть виден символ . Это значит, что вся информация передается в защищенном режиме с использованием протокола SSL (Secure Sockets Layer). Откройте информацию о SSL-сертификате (для чего дважды щелкните по значку) и проверьте данные владельца сайта — на вкладке «Состав» (Details) в строке «Субъект» (Subject) должен содержаться следующий текст:
CN = e-commerce.raiffeisen.ru
O = ZAO Raiffeisenbank

Firewall:
Для защиты сервера e-commerce мы используем выделенную зону DMZ, которая защищена внешними аппаратными Firewall. Это позволяет быть уверенными, что доступ к серверу проводится только по разрешенным сетевым адресам.
 

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Детективное агентство ИКС-Инфо.

Зарегистрированный
Регистрация
11 Ноябрь 2010
Сообщения
204
Реакции
8
Баллы
38
Возраст
65
Адрес
Украина, Кривой Рог. +380 98 720 3431; +380 93 743
Веб-сайт
www.iks-info.narod2.ru

Свяжитесь с нами в мессанджерах или по телефону.

whatsapp telegram viber phone phone
+79214188555

Похожие темы

Похожие темы

До нового года осталось