web-dev-qa-db-fra.com

Est Swift (Banking) Software Architecture sécurisée?

Avec toutes les nouvelles des banques de piratage et de voler de l'argent de banques sur Swift , tandis que les vulnérabilités n'étaient pas directement liées à Swift, certaines questions se posent:

  • Sont des composants logiciels du Swift certifié par une organisation externe? Ont-ils subi des tests de sécurité rigoureux? (Je suis inquiet, ils seraient disponibles pour un public étroit et ne pourraient pas être soumis à suffisamment de contrôle ou de test de sécurité.)
  • Savoir que Swift a été lancé il y a de nombreuses années, était l'architecture logicielle conçue avec la sécurité à l'esprit?
  • L'architecture est-elle disponible pour l'examen de la sécurité?
bankscode-reviewarchitecture
10
Silverfox

Entre autres choses, Swift est une organisation coopérative d'institutions financières qui acceptent d'utiliser le même système de messagerie normalisé pour les transactions financières. En tant que tel, ils promotent publiquement l'utilisation de l'ISO 20022 en tant que norme principale pour la messagerie entre les institutions financières. Cela dit, chaque membre peut mettre en œuvre cette norme en utilisant une très grande variété de logiciels sur différentes plateformes chacune pouvant avoir ses propres vulnérabilités de sécurité. La norme elle-même est un peu datée et peut probablement être améliorée, mais le plus grand La création de vulnérabilités pour les institutions financières est la mise en œuvre et le choix des contrôles de sécurité de chaque entité.

La norme ISO 20022 est accessible pour examen, mais la mise en œuvre de chaque fournisseur n'est probablement pas. En ce qui concerne la certification, ces composants seraient probablement certifiés pour la compatibilité ISO 20022 si quelque chose et non pour la sécurité du point de vue d'un attaquant; Donc, ce n'est probablement pas quelque chose de significatif du point de vue de votre question.

Je pense qu'il serait sage que l'organisation crée un ensemble plus rigoureux de normes de sécurité que les membres doivent adhérer aussi, éventuellement, mais plus fort que les PCI-DSS, mais je soupçonne qu'il y aurait beaucoup d'objections à ce sujet des organisations membres que ne veulent pas les exigences supplémentaires. Cela dit, je pense que vous apportez des points très valables et je pense que cela serait très sage pour les organisations utilisant Swift pour faire pression sur leurs pairs pour aider à répondre aux besoins de sécurité. Plus important encore, je Pensez que beaucoup de ces organisations membres sont actuellement bloquées à l'aide de méthodes de sécurité traditionnelles pour lutter contre des adversaires beaucoup plus de haute technologie. Nous serions maintenant un bon moment pour que cette organisation a mis l'accent sur l'augmentation de la force de son réseau afin de réduire les dépenses futures liées à violations.

Une chose qui semble également être émergée au cours de la série récente d'attaques est que Swift indiquait une demande à toutes les banques connectées leur demandant de signaler des informations potentielles et des cyber-attaques. En tant que tel Il semble que Swift a laissé beaucoup de responsabilité en matière de sécurité entre les mains des banques individuelles et n'a pas pris en compte les banques qui n'effectueraient pas les mesures de sécurité appropriées pour défendre le Swift Réseau. Les aspects des attaques survenus peuvent également impliquer qu'il existe très peu de surveillance interne de Swift Transactions d'un point de vue purement de détection de fraude. L'article de Reuters suivant souligne qu'il apparaît que les relations entre les banques sont également fragiles et que de nombreuses banques les plus faibles sont peu susceptibles d'admettre leur sécurité de la sécurité et que ces barres courtes peuvent être quelque peu courantes parmi toutes les petites banques participant au réseau. De même, l'article va sur parler de l'importateur e de Swift Les participants à augmenter également leurs propres méthodes de vérification non rapide pour ajouter de la sécurité au moins sécurisée Swift processus comme tel qu'il semblerait impliquer cette industrie Les initiés n'ont pas beaucoup de confiance en la sécurité du fichier Swift réseau et que c'est un risque connu à bien des égards.

http://www.reuters.com/article/us-cyber-heist-swift-SpecialRepor-iduskcn0yb0dd

Enfin, il convient de noter que la norme ISO 20022 n'a pas grand-chose dans la voie de la sécurité dans la norme elle-même. Il s'agit d'une norme de communication très ancienne sans exigences pour de nombreux contrôles de sécurité modernes qui seraient probablement requis si un réseau similaire a été conçu aujourd'hui.

1
Trey Blalock

Il est important de se rappeler que, contrairement à de nombreux autres protocoles et méthodes d'interconnexion, Swift Transactions sont censés exécuter dans un environnement complètement isolé (c.-à-d. Seulement des liens établis et protégés entre les banques). Travailler l'efficacité de la sécurité de la connexion peut être une mauvaise décision (échec de la défense en profondeur), mais à ce stade, les "attaques de Swift" ont constitué de compromettre un aspect différent et plus vulnérable du système d'une banque (tels que les logiciels malveillants sur le PC du banquier) puis en utilisant cette brèche comme point de pivotement pour se déplacer vers le Swift système et exécuter le vol à l'aide de cet accès.

Il semblerait de se briser dans une voûte bancaire (avec un effort typiquement de gros, mais parfois non), puis de trouver facilement tout le petit coffre-fort portes avec un cornet pour obtenir le transport: vous pouvez dire que les coffres-forts devraient être mieux protégés. Pour résister à une simple attaque de graisse de coude, mais généralement plus d'efforts est mis en place dans la protection de l'accès au coffre-fort.

1
Jeff Meden