GSS 資安電子報0013期【網路銀行之安全演進(上)】

入侵的經濟效益是：只要花一點時間就能入侵系統，並假裝自己在加勒比海度假，做為不在場證明。而另外一邊，資安專家努力加強防禦，讓駭客花上大量心力入侵系統。何故？有了堅強防禦，駭客入侵的效益就會降低。結果？大部分的駭客會另覓較簡單的目標。這個現象說明了提高網路銀行安全性的經濟效益，而這可以用個例子說明：如果在野外裡遇上了熊，你不必跑贏熊，只要跑得比同伴快就行了。

不管銀行規模大小，將銀行業務搬到網路上就是個困難的決定。曾有一個銀行資深主管說道：「以往銀行穩建的形象，現在已取決於使用的網路技術。目前可說是網路科技公司負責提供網路銀行服務」1。紐約時報在2005年針對網路銀行業務進行專題報導，詳述銀行業如何從傳統業務移轉到網路業務，「當時業界的共識是，Internet使用者的比傳統銀行客戶獲利更為可觀。分析師認為，線上交易成本低於傳統臨櫃交易，但對銀行業者更重要的是，網路銀行的使用者黏著度更好。」2

依據某一網路銀行的分析報告3，不同管道之交易成本如下：

• 分行1.07美元
• 電話服務中心0.85美元
• 自動回應系統0.44美元
• 自動提款機0.27美元
• 撥接連通網路銀行0.015美元
• Internet網路銀行0.01美元

這給了銀行業一個警訊：不辦理網路銀行業務，就等著消失。美國不是唯一一個網路銀行快速崛起的地方，像英國，網路銀行從2005年就成長了50%4。除此之外，超過半數民眾(57%)使用網路銀行多於臨櫃，只有10分之1的人(11%)沒有在網路上理財5。在芬蘭，只有10%到15%的交易是透過臨櫃處理6。

網路銀行的業務驅策力很清楚，但隨之而來的風險也非常巨大。客戶可以在家輕鬆的上網使用網路銀行，駭客也同樣能輕鬆的在家想辦法竊取這些資料。銀行業選擇接受這樣的挑戰，但挑戰總是有輸有贏。網路銀行必須有效的運用網路與應用程式安全技術，抵禦大量的駭客攻擊。

現今美國前十大銀行裡有九家使用Fortify軟體。事實上，Fortify掃過的程式碼管控了美國67%的存款。從這些銀行身上，我們可以瞭解金融服務業如何提升軟體安全。

即使是單一一次成功的入侵，也能使得入侵成為一種吸引人、風險低的遊戲…而電腦系統裡的機敏資料風險正逐步上升。
—US Defence Security Service, 2007

網路銀行的演進，對銀行業、保險業、運輸業、醫療業等的軟體開發團隊來說是個很好的範例。網路銀行對系統的大小、複雜度與風險有著最高等級的安全要求。銀行入侵者—包括有組織的犯罪團體、以國家為首的駭客組織，或是互打駭客戰的政府。藉由學習網路銀行資安的最佳範例，組織可學習如何由有效的開發過程與測試，強化軟體安全等級。

現今美國大型的銀行正努力的在網路層面保護他們的網路銀行。這些銀行採用防火牆、防毒軟體等工具由外圍保護內部脆弱的應用程式與資料，而這些正是駭客覬覦的標的。網路銀行真正的資安挑戰在應用程式層，必須用更先進的資安觀念與改良的軟體開發流程。有強烈的證據顯示，網路銀行成功地保全這些應用程式：

• 客戶大幅成長—美國的網路銀行客戶在2006年增加至4400萬。事實上，美國前十大網路銀行的客戶仍多於Internet使用人口增加數7。這樣的成長趨勢不但是產業界之首，而且這些客戶的對安全的敏感度也非常高。Ponemon機構在2006年的一份報告顯示，34%的客戶在經歷過一次資安危機，就會選擇更換銀行，而45%客戶經歷兩次危機，就乾脆不使用網路銀行8。
• 入侵事件減少—2006年Gartner報告顯示只有8%的銀行遭受外部攻擊9。相較之下，Web Application Security Forum報告顯示，2006年是Web應用程式被入侵的最慘的一年。
• 客戶的資安意識提升—美國客戶對於網路銀行資安的意識提升。最近對客戶的調查顯示，68%的客戶認為他們現在的網路銀行更為安全10。
• 新樣態的入侵手法—入侵銀行越來越困難，於是駭客使用電子郵件對網路銀行客戶進行「釣魚」。60%的銀行曾遭受釣魚手法攻擊11，過去幾年的釣魚攻擊整整高漲了8倍之多12。釣魚手法儼然成為最新的攻擊手法，而且攻擊系統能力不亞於其他手法。一旦網銀系統被成功入侵，帳號資料也勢必曝光。釣魚手法是種凌遲受害者的攻擊手法，分段的竊取帳號資料。大多數的銀行已經採取非常手段，以網路面、應用程式面和軟體開發流程技術，保護網路銀行系統。
• 弱肉強食—Gartner報告顯示，入侵對象轉移到資源較少、應用程式面防禦能力較低的小型銀行13。由於攻擊數量不成比例，突顯出大型銀行擁有的資安資源遠勝於小型銀行14。

金融交易背後需要複雜、費時的軟體開發週期。基本上，網路應用程式每季更新一次。通常應用程式更新針對的是錯誤修正，而新功能增加是每年兩次。每季一次的更新週期有兩個月用來開發，一個月測試和認證。

現今的企業網銀系統通常使用Java、.NET、PLSQL(Oracle)或TSQL(MS SQL)開發。網路銀行服務範圍也從一般銀行客戶走入投資業務，如抵押借款、汽車貸款等等。應用程式規模都很龐大，一般都會超過一千萬行源碼，如果是數個系統加起來，更有可能超過五千萬行源碼。

目前當務之急是對抗駭客，現在最常見的攻擊手法為：

1. Cross-site scripting (XSS) —網路銀行最常見攻擊手法，原因很簡單：這是釣魚攻擊最容易進入的管道。一旦XSS攻擊成功，駭客可使用的手段包括：
   • 以假網頁取得密碼
   • 轉帳
   • 刪除或修改資料

值得注意的是，駭客成功得手以後，受害客戶根本無從得知。

1. SQL injection — 金融系統設計相當繁複，必須倚賴相當多網頁輸入與輸出欄位。駭客以查詢語法輸入欄位後進行SQL Injection攻擊，騙取系統並得到像是帳號等敏感資料。事實上，SQL Injection是最容易取得資料庫內容的攻擊手法。
2. 提升權限— 這種攻擊手法有兩大類：
   • 垂直式— 駭客取得最高權限後新增/刪除使用者資料，並進行轉帳。
   • 水平式— 駭客取得受害客戶的資料後，進行後續攻擊。銀行無法得知客戶資料已經洩漏，而且也無法得知是否為正常客戶的正常使用行為。

這份攻擊手法列表並不詳盡。銀行通常還會有一份內部清單，依照OWASP弱點名次排序的弱點列表。

藉由學習網路銀行所建立的最佳範例，組織可以藉由有效的軟體開發與測試，提升軟體安全能力。

註：

1. Fortify Software customer interview with a top five US-based online bank.
2. http://select.nytimes.com/search/restricted/article?res=F70C14FC35590C748CDDAA0894DD404482
3. http://www.arraydev.com/commerce/jibc/2007-04/AbdullahFinal_PDFversion.pdf
4. http://www.virsulist.com/en/news?id=208274029
5. http://www.financedaily.co.uk/News/ConfidenceinOnlineBankingGrows_264.html
6. http://www.valt.helsinki.fi/comm/argo/anet00/Nicola1.htm
7. Ibid.
8. http://www.csoonline.com/caveat/022707.html
9. FFIEC Guidance Drives Online US Banking Security Upgrades, Gartner Research, January 2007.
10. Comscore Networks, The State of Online Banking, April 2007.
11. Ibid.
12. http://www.itpro.co.uk/news/94589/consumers-not-playing-safe-when-banking-online.html?searchString=online+banking
13. FFIEC Guidance Drives Online US Banking Security Upgrades, Gartner Research, January 2007.
14. http://www.financedaily.co.uk/News/Online