Προβλήματα ασφαλείας στο λογισμικό συναλλαγών των τραπεζών
Τεχνολογία
6 Ιούλιος 2008
Η υπόθεση εισβολής χάκερ στο δίκτυο των ATM μιας τράπεζας, οι οποίοι έκλεψαν τους κωδικού χιλιάδων πελατών έφερε στην επιφάνεια τα κενά ασφαλείας του νευραλγικής σημασίας τμήματος των τραπεζικών αρχείων.
Taxheaven.gr
Προβλήματα ασφαλείας στο λογισμικό συναλλαγών των τραπεζών
Η υπόθεση εισβολής χάκερ στο δίκτυο των ATM μιας τράπεζας, οι οποίοι έκλεψαν τους κωδικού χιλιάδων πελατών έφερε στην επιφάνεια τα κενά ασφαλείας του νευραλγικής σημασίας τμήματος των τραπεζικών αρχείων.
Η απάτη απέφερε στους δράστες εκατομμύρια δολάρια, αλλά το σημαντικότερο στοιχείο που προέκυψε είναι ότι οι επιτήδειοι δεν χρειάζεται να βάλουν στόχο τα ίδια τα ATM, αλλά τους υπολογιστές που χειρίζονται τις εγκρίσεις των συναλλαγών. Η υποδομή των συστημάτων ATM στηρίζεται στο λειτουργικό Windows της Microsoft και δίνει τη δυνατότητα στα μηχανήματα να επισκευάζονται και να εξετάζονται από απομακρυσμένους υπολογιστές, μέσω Ίντερνετ.
Επιπλέον, παρά τις παραινέσεις για προσεκτική διαχείριση και κωδικοποίηση των PIN εκ μέρους των τραπεζών, αποδεικνύεται ότι μεταξύ των ATM και των υπολογιστών που χειρίζονται τη συναλλαγή, υπάρχουν κενά ασφαλείας.
«Οι κωδικοί PIN θα πρέπει να είναι απαραβίαστοι. Αυτό που φαίνεται όμως είναι ότι τελικά τα PIN δεν κωδικοποιούνται όπως πρέπει» εξηγεί ο Αβίνα Λίταν, αναλυτής θεμάτων ασφαλείας της εταιρείας ερευνών Gartner.
«Οι τράπεζες χρειάζονται καλύτερα συστήματα εντοπισμού μιας απάτης και πολύ καλύτερη κωδικοποίηση». Δεν έχει γίνει σαφές πόσοι πελάτες της τράπεζας τελικά επηρεάστηκαν από το συμβάν, που διήρκεσε από τον Οκτώβριο του 2007 μέχρι τον Μάρτιο του 2008. Τα ATM που επηρεάστηκαν ήταν αυτά που λειτουργούσαν σε καταστήματα 24ωρης λειτουργίας, για τη λειτουργία των οποίων όμως δεν είναι υπεύθυνη η τράπεζα.
Υπό εξέταση το ζήτημα της πρόσβασης
Αντίθετα, την επίβλεψη τους έχουν δύο εταιρείες: Η Cardtronics, στην οποία ανήκουν τα μηχανήματα αλλά είναι υπεύθυνη για τη λειτουργία μερικών από αυτά, και η Brookfield, που είναι υπεύθυνη για τα υπόλοιπα. Το κρίσιμο ερώτημα, πώς κατάφεραν οι χάκερ να διεισδύσουν στο σύστημα, δεν έχει ακόμη διευκρινιστεί δημόσια. Το μόνο που είναι γνωστό είναι ότι χρησιμοποίησαν τον server μιας τρίτης εταιρείας που σημαίνει ότι πιθανότατα δε χρειάστηκε να ασχοληθούν καν με τα ATM.
Ενδεχομένως απέκτησαν πρόσβαση στις μηχανές με τη χρήση κακόβουλου λογισμικού που τους έδωσε τη δυνατότητα να υποκλέψουν τους κωδικούς πελατών την ώρα που εκείνοι πραγματοποιούσαν κάποια συναλλαγή.
«Ήταν μια μεγάλη υπόθεση, αλλά όχι κάτι πέρα από τα συνηθισμένα, τέτοιες προσπάθειες γίνονται κάθε μέρα» σχολιάζει ο Ντον Τζάκσον, διευθυντής εταιρείας ασφαλείας. «Αυτό που κάνει την περίπτωση ιδιαίτερη είναι οι ατυχείς συγκυρίες για τους δράστες που οδήγησαν στην τελική τους σύλληψη». Η τράπεζα που δέχτηκε τις επιθέσεις δεν έχει δώσει στη δημοσιότητα οποιοδήποτε στοιχείο σχετικά με το πόσοι πελάτες τελικά βρέθηκαν στο στόχαστρο των επιτήδειων, αλλά περιορίστηκε απλά να δηλώσει ότι δεν υπήρχε κάτι που οι πελάτες της θα μπορούσαν να κάνουν για να προστατευτούν.
www.kathimerini.gr