從現在公股銀行才要開始來做這四個對策來看,國內銀行的ATM安控機制,根本連幼稚園程度都談不上,原來是屬於托兒所等級。
「根據《經濟日報》報導,財政部已向公股行庫發出27日開會通知,並針對一銀ATM盜領事件,要求八大公股行庫提出ATM資訊安全檢查結果,以及因應對策。八大公股行庫這兩週也全面清查ATM軟硬體作業,並召開跨部門相關會議,研討應對措施,初步提出四大面向來著手。
這四大面分別是「一次性密碼」,讓密碼登入後即失效,下回登入須由新的密碼;「伺服器單獨管理」,讓ATM系統的伺服器獨立作業,不與其他作業系統連線;「關閉派版軟體連線」,不再全年無休開啟連線,除非有需求,否則一律關閉;「強化防火牆機制」,從技術面來讓防火牆功能加強。」
===
國內銀行漠視資訊安全的實況,實在駭人聽聞。
===
李家同師說的非常對!我以前做IBM網路加密器時,那時的ATM的網路服務,使用的是專線,金融卡、讀卡機、ATM、通訊伺服器與ATM伺服器,經過繁複的認證程序建立保密連線後,每筆交易需再透過層層加密與防火牆,才透過ATM伺服器與銀行內網資料庫,建立一次性的資料傳輸通道,下一筆交易就需要重新再建立多重金鑰與保密連線,ATM伺服器也只有提供特定的服務,通訊伺服器也絕對不傳輸未經認證的封包,發現異常並會自動啟動警報裝置,根本不可能給駭客有竄改或盜用的機會,更不要說置入遠端操控軟體了。
而且銀行內部用的是IBM的Token-Ring區域網路介面與主機SNA網路協定,OS也不同,根本與Internet不通聯,硬體與軟體都不相容,根本沒有被遠程侵入或駭客操控的機會。這就是為了防止有人偽冒ATM設備或更改其鍵盤或讀卡機而取得金融卡資料或密碼。這是最基本的銀行端末設備安全標準規範,有國際標準的,銀行不可能不遵行。
據說第一銀行派送ATM更新軟體的伺服器是連上Internet而被入侵,派送被植入惡意程式的軟體到各ATM。而且駭客是透過遠程操控介面執行該等軟體。都是透過網際網路,而不是金融卡交易用的專線。
應該是一銀內部有人打開釣魚郵件,密碼被破解,VPN被侵入了,而置入遠端操控軟體,透過其自動派送更新系統發送到各個ATM。
我搞不懂這牌子的ATM,為什麼要透過internet連線更新,產生駭客攻擊的漏洞與被遠程操控的機會,白痴的設計!況且,ATM操控軟體並不需要常常更新,而且一旦更新就要重新設定產生新的設備金鑰,都應該在監管下在現場手動進行作業,哪有要自動更新,還透過 internet遠程操控的道理?!真是胡搞!
請不要忘了,真的需要自動更新ATM控制軟體時,本來就有一條保密且認證過的專線連線可以用,根本不該接上internet。而且應該跟更換ATM硬體設備一樣,需要先驗證所派送軟體是否未經竄改或添附軟體,並確認是銀行安全主管授權進行的設備更新,才能啟動更新,而且需要重新產生金鑰與配對等。
現在的銀行安管主管都在幹啥?央行與金管會應該進行全面金檢才是!
