Kiểm thử tấn công vào hệ thống của Ngân hàng TOP 1000 thế giới

Nghiên cứu điển hình VSEC - BLOG

Tóm tắt

Khách hàng của chúng tôi hoạt động trong lĩnh vực ngân hàng và theo xu thế, khách hàng tích cực phát triển các tiện ích phần mềm trực tuyến để cung cấp dịch vụ thuận tiện hơn cho khách hàng hiện tại cũng như mở rộng mạng lưới khách hàng mới. Các tiện ích trực tuyến thường đi kèm theo rủi ro về bảo mật. Dịch vụ kiểm thử xâm nhập VCHECK của VSEC thể hiển một cách trực quan rủi ro nghiêm trọng của một ứng dụng trực tuyến của ngân hàng, một người dùng hợp lệ có thể chủ động lấy toàn bộ thông tin tài khoản ngân hàng của khác hàng khác.

Về khách hàng

Khách hàng là ngân hàng thương mại cổ phẩn thuộc Top 1000 ngân hàng lớn nhất thế giới, tổng giá trị tài sản gần 6 tỷ USD và hơn một triệu tài khoản hoạt động thường xuyên. Sau gần 25 năm hoạt động, khách hàng thường xuyên được trao nhận các giải thường từ các tổ chức quốc tế uy tín: EuroMoney, Asian Banker, The Banker,…

Thách thức

Để tạo tiện ích tốt hơn trong giao dịch, ngân hàng đã phát triển ứng dụng phần mềm trên điện thoại di động Mobile Bank-king. Qua phần mềm này, khách hàng có thể truy vấn và thực hiện các giao dịch cơ bản tương tự như khi thực hiện tại quầy giao dịch. Tại thời điểm đánh giá, hơn 1,06 triệu tài khoản ngân hàng được kích hoạt và sử dụng thường xuyên. Sự phát triển dịch vụ tạo áp lực cho vấn đề đảm bảo an toàn thông tin. Số tài khoản ngân hàng là loại thông tin không cần bảo mật. Nhiều người dùng khi giao dịch trực tuyến đều cung cấp số tài khoản ngân hàng trên website cho mọi người chuyển tiền khi mua bán hàng hóa-dịch vụ. Tuy vậy, một số thông tin liên quan đến tiền của tài khoản đó luôn luôn phải được bảo vệ ở mức cao nhất: số dư, thông tin giao dịch,… Trách nhiệm bảo mật thông tin đó thuộc về ngân hàng, nơi cung cấp hạ tầng công nghệ. Ở nước sở tại, ngân hàng nhà nước cũng đã ban hành nhiều quy định chặt chẽ ràng buộc ngân hàng tuân thủ và đảm bảo an toàn thông tin ví dụ như BASEL, PCI/DSS… Các nhân sự kỹ thuật kiêm nhiệm nhiều công việc khác nhau và khối lượng nhiều nên thông thường họ không đủ nguồn lực và thời gian cũng như kỹ năng để thực hiện việc đánh giá hay kiểm thử an toàn thông tin. Các quy định ngày càng cụ thể đòi hỏi các ngân hàng phải tuân thủ đúng đắn và duy trì liên tục việc kiểm tra kiểm soát.

Giải pháp

Một băn khoăn lớn nhất của ngân hàng là ứng dụng Mobile Banking đang cung cấp cho khách hàng sử dụng có đảm bảo an toàn hay không, dữ liệu người dùng được bảo vệ tốt như thế nào. Vì vậy Ngân hàng cần sử dụng dịch vụ kiểm thử xâm nhập an toàn thông tin để có thông tin khách quan và đa chiều. VCHECK là dịch vụ an toàn thông tin tổng thể của VSEC trong đó có dịch vụ kiểm thử xâm nhập (penetration testing). Dịch vụ có khả năng mô phỏng sát với thực tế nhất cách thức mà kẻ tấn công từ bên ngoài lợi dụng lỗ hổng thu thập trái phép dữ liệu của Khách hàng. Rất đơn giản, Ngân hàng cung cấp cho VSEC tên của ứng dụng Mobile Banking trên Apple Appstore (phiên bản iOS) hoặc Google Play (phiên bản Android) để bắt đầu quá trình kiểm thử xâm nhập. Cán bộ kỹ thuật của VSEC, đóng vai trò như người tấn công, mô phỏng các kỹ thuật thực tế để cố gắng tìm ra các lỗ hổng bảo mật của phần mềm. Các kỹ sư với kỹ năng thuần thục kết hợp với các công cụ chuyên dụng khác nhau sẽ tìm hiểu hoạt động của ứng dụng Mobile Banking, cách thức máy chủ tương tác với ứng dụng, phát hiện điểm yếu, dựng lại các lỗi bảo mật và cuối cùng đưa ra báo cáo. Sau 10 ngày, kỹ sư của VSEC mở tài khoản ngân hàng để đóng vai trò như một khách hàng của Ngân hàng. Với kỹ thuật chủ lực là sử dụng proxy đã giúp kỹ sư hiểu chi tiết cách thức hoạt động của ứng dụng và cách thức ứng dụng làm việc với máy chủ của Ngân hàng. Ứng dụng có nhiều thành phần khác nhau, kỹ sư của VSEC đã phát hiện lỗi nghiêm trọng khi cho phép anh ấy có thể xem bất kỳ thông tin nào của tài khoản khác. Lỗi bảo mật nghiêm trọng này xảy ra do lập trình viên đã không áp dụng chặt chẽ việc kiểm soát tài khoản người dùng cũng như các tiêu chuẩn về lập trình an toàn. Chúng tôi, VSEC, đã chuyển giao toàn bộ cách thức thực hiện cho Khách hàng. Đồng thời, VSEC đưa ra đề xuất khắc phục bằng cách chỉnh sửa ứng dụng và thêm khả năng xác thực truy vấn gửi lên máy chủ có hợp lệ không, thông tin có đúng của khách hàng đang sử dụng hay không.

Lợi ích của dịch vụ kiểm thử bảo mật VCHECK

Triển khai nhanh gọn và Khách hàng không cần cung cấp nhiều thông tin.