Исправления проекта, кроме уязвимостей, повреждают банковские сайты

Банковские веб-сайты страдают от недостатков дизайна, которые подрывают их безопасность, исключая уязвимости программного обеспечения, согласно исследованию Университета Мичигана, которое будет опубликовано в пятницу.

Из 214 сайтов, опрошенных в 2006 году, более 75 процентов имели по крайней мере один что может привести к проблеме безопасности, сказал университет. Поток и компоновка сайтов могут сделать эти сайты более рискованными, и проблемы не могут быть исправлены с помощью исправления, в отличие от уязвимости программного обеспечения.

Несколько исследований были опубликованы во вторник университетом. Полные результаты будут представлены на симпозиуме по вопросам обеспечения безопасности и безопасности в пятницу в Университете Карнеги-Меллона в Питтсбурге.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

Исследование было проведено Атулом Пракашем, профессор кафедры электротехники и информатики и два докторанта Лаура Фальк и Кевин Бордерс. Пракаш начал расследование, заметив проблемы с веб-сайтом своего банка, сказал университет.

Хотя исследование было проведено в 2006 году, многие из этих проблем по-прежнему затрагивают финансовые сайты. Одной из основных проблем является недоиспользование технологии шифрования SSL (Secure Sockets Layer) на веб-страницах.

Исследование показало, что 47 процентов банков не использовали SSL на страницах входа, что могло бы открыть дверь для хакера перенаправить данные на собственный компьютер. Не использование SSL также облегчает атаку «человек в середине», когда данные жертвы проходят через ПК злоумышленника до того, как он направляется на сервер банка.

Еще одна распространенная проблема, затрагивающая 55 процентов учреждений, заключается в размещении контактной информации и рекомендации по безопасности на небезопасных страницах. Возможно, хакер мог проникнуть на веб-сайт и изменить номер телефона службы поддержки, чтобы направлять банковских клиентов в фиктивный колл-центр. Опять же, SSL является средством правовой защиты.

Исследователи обнаружили, что 30 процентов сайтов будут перенаправлять пользователей на другие веб-сайты, которые могут исказить, как человек должен оценивать риск, говорится в исследовании.

Поскольку банковский сайт доверен, сайт, на который он ссылается, скорее всего, не будет считаться угрозой безопасности, даже если это возможно. Банк должен помещать все свои веб-страницы на один и тот же сервер, но некоторые из них имеют сторонние функции безопасности, размещенные на других доменах.

Слабые идентификаторы пользователей и пароли продолжают оставаться сложными, поскольку 28 процентов банков либо не имеют рекомендаций по паролю, либо допускают слабые из них. Учреждения также будут отправлять по электронной почте пароли или заявления, что также является рискованным, говорится в исследовании.