Некоторые специалисты считают, что уязвимость, открытая в онлайновой системе платежей банка HSBC, не представляет угрозы.
Уязвимость, детали которой не приводились, могла быть использована при наличии клавиатурного шпиона на компьютере пользователя. Для доступа к счету через сайт требуется ввести пароль из букв и цифр, дату рождения и персональный идентификационный номер (PIN). Эксперты университета Кардифф утверждают, что хакеру достаточно было девяти входов пользователя, чтобы собрать клавиатурным шпионом данные, необходимые для доступа в систему. Грэм Клули (Graham Cluley), старший технологический консультант британской антивирусной компании Sophos, считает, что информация о серьезности уязвимости преувеличена, и пока Кардифф не представит достаточную информацию, нельзя говорить о ней наверняка. Он согласен, что девяти попыток хватит, но считает, что это слишком сложный вид атаки. То же самое говорят и в банке – атака требует слишком много времени и внимания, затрачиваемого на одну жертву, и, следовательно, невыгодна для грабителей. По крайней мере, за указанные два года ее никто не применил, утверждают в HSBC.
Алан Филипс (Alan Phillips), исполнительный директор компании ИТ-безопасности 7Safe, считает, что клавиатурных шпионов можно обмануть. Например, использовать экранную клавиатуру Windows XP или ту, которую банк предоставляет на сайте для ввода конфиденциальной информации. Клули не соглашается: среди клавиатурных шпионов существуют такие, которые перехватывают и ввод с экранной клавиатуры. Другая система защиты, выпадающие окна с буквами, также ненадежна, потому что и с них можно снять информацию. На всякий случай, Клули посоветовал всем устанавливать последние обновления антивирусов и не открывать вложения в незнакомых письмах.
Девять попыток, о которых идет речь, необходимы для того, чтобы собрать PIN-код полностью. Чтобы хакеры не смогли украсть все реквизиты за один раз, системы аутентификации обычно запрашивают лишь несколько цифр из длинного кода, каждый раз выбирая порядковые номера цифр случайным образом.
Возможно, проблема "раздута" из ничего – так работают многие банковские системы, по крайней мере те, которые не требуют вводить единовременный PIN, высылаемый по электронной почте при попытке входа (как E-Gold). Но и эта преграда тоже нейтрализуется (когда юзер находится внутри системы, троян может незаметно отключить эту функцию, взаимодействуя с браузером).
CNews.ru
От классики до авангарда — наука во всех жанрах