Spektakularne wpadki e

Transkrypt

Bankowość elektroniczna. Przegląd rozwią zań.
Bezpieczeństwo systemów komputerowych.
Temat seminarium: Bankowość elektroniczna. Przegląd rozwiąza ń
Autor: Krzysztof Mokrzycki
Bankowość elektroniczna.
Seminarium 2004 – PP, SKiSR
1
Bankowość elektroniczna. Przegląd rozwiązań
Plan prezentacji
1.
2.
3.
4.
5.
6.
Definicje
Przegląd polskiego rynku
Zapewnienie bezpieczeństwa
Porównanie zabezpieczeń polskich banków
Inne usługi przepływu pieniędzy poprzez Internet
Spektakularne wpadki e-bankow
2
Definicje(1): e-banking, v-banking
Bankowość wirtualna (virtual banking)
dostarczanie usług finansowych przez
instytucję,
która nie posiada fizycznych
punktów obsługi
Klienta
●
Bankowość elektroniczna (e-banking)
dostarczanie usług finansowych przez
nowoczesne
(“elektroniczne”) kanały komunikacji: przede wszystkim
Internet i
telefonie komórkową
●
3
Definicje(2):
Proste uwierzytelnianie - metoda oparta na tym, CO
ZNA użytkownik: identyfikator, hasło, PIN itp.
●
Silne uwierzytelnianie - metoda oparta na tym, CO MA
użytkownik: token, certyfikat, klucz prywatny, karta
elektroniczna. Najczęściej łączona z hasłem.
●
4
Definicje(2) : Token, TAN, Hasła
maskowalne
Token- urządzenie kryptograficzne wyglądem
przypominające kalkulator lub breloczek, generujące na
ekranie LCD ciąg cyfr lub liter potwierdzających operacje
wykonywane przez użytkownika.
●
TAN - lista jednorazowych haseł przypisana do
konkretnego użytkownika.
●
Hasła maskowane - hasła, w których podczas logowania
wpisuje się tylko niektóre znaki całości.
●
5
Prognoza rozw oj u bankow ości elekt ronicznej w
Polsce do roku 2004
3000000
model optymistyczny
model ostrożny
2500000
2,7mln
stan faktyczny
2000000
1,5 mln
1500000
1000000
500000
1.
20
0
4. 1
20
0
7. 1
20
0
1
11
.2
0
0
1. 1
20
0
4. 2
20
0
7. 2
20
0
2
10
.2
0
0
1. 2
20
0
4. 3
20
0
7. 3
20
0
3
11
.2
0
0
1. 3
20
0
4. 4
20
0
7. 4
20
0
4
11
.2
0
04
0
6
Usługi bankowości elektronicznej - marzec 2002
4%
4%
2%
mBank
5%
25%
BZ WBK
Inteligo
5%
BH
6%
ING
Lukas
PKO BP
BPH PBK
8%
20%
21%
PKO SA
inne
7
Usługi bankowości elektronicznej - marzec 2002
OPERACJE DOSTĘPNE PRZEZ KANAŁY ELEKTRONICZNE
-niefinansowe
-pasywne
-aktywne bezpieczne
- wypływy z konta
8
Metody zapewniające bezpieczeństwo:.
Szyfrowana transmisja danych:
- w internecie za pomocą protokołu SSL;
- w telefonie WAP za pomocą protokołu WTLS oraz
algorytmu A5.
●
Proste uwierzytelnianie
●
Silne uwierzytelnianie
●
Podpis elektroniczny (cyfrowy)
9
Metody zapewniające bezpieczeństwo:
Szyfrowanie
dla kluczy asymetrycznych:
512 - to zbyt mało,
768 - stosunkowo bezpiecznie,
1024 - silne bezpieczeństwo.
●
dla kluczy symetrycznych ():
40 - to zbyt mało (3h)*,
56 - stosunkowo bezpiecznie ( 250 dni )*,
128 - silne bezpieczeństwo(1 bilion x 1 bilion lat)**.
●
*Eksperyment został przeprowadzony przez sieć komputerów, których moc
obliczeniowa była równoważna 26 tysięcom komputerów klasy Pentium 200.
**superkomputer
10
Certyfkat SSL
W pierwszej fazie nawiązywania połączenia SSL serwer i
przeglądarka wymieniają tzw. certyfikaty. Certyfikat zawiera
następujące składniki:
nazwę właściciela certyfikatu,
●
nazwę wydawcy certyfikatu,
●
publiczny klucz właściciela dla algorytm asymetrycznego,
●
cyfrowy podpis wystawcy certyfikatu (np. Verisign),
●
okres ważności,
●
numer seryjny (tzw. fingerprint).
●
11
WTLS - szyfrowana transmisja we WAP-ie
Protokół WTLS służy do szyfrowania danych podczas WAPowania. WTLS jest analogicznym rozwiązaniem do SSL
stosowanym na dużym WWW. WTLS, podobnie jak cały WAP,
został opracowany w ramach prac WAP Forum. WTLS to skrót
od Wireless Transport Layer Security.
13
Tokeny
Generowanie hasła na podstawie zegara czasu
rzeczywistego
●
Generowanie hasła na podstawie wprowadzonego ciągu
cyfr - tzw. technika challenge-response (hasło – odzew)
●
Generowanie hasła na podstawie zewnętrznych bodźców
świetlnych – token jest wyposażony w diody analizujące
natężenie światła.
●
14
Inne metody podnoszące bezpieczeństwo:
Spójne procedury operacyjne dla administratorów sieci oraz
doradców klienta
●
Firewall
●
Rejestracja aktywności
●
Blokowanie konta
●
Automatycze wylogowanie
●
15
Zabezpieczenia polskich e-banków(1):
CityBank – (szyfrowanie,uwierzytelnianie
proste,silne,podpis cyfrowy,ocena)
●
protokół SSL,RC4, 128 bitów,RSA, 1024 bity
●
numer i PIN karty
●
brak
●
brak
słabe
16
VW Direct – (szyfrowanie,uwierzytelnianie
●
●
user i hasło dostępu
●
Token RSA SecureID
●
brak
niewystarczające
(brak możliwości natychmiastowego zablokowania
tokena po zgubieniu/kradzieży)
17
Nordea Bank – (szyfrowanie,uwierzytelnianie
●
●
identyfikator (brak hasła)
●
karta haseł jednorazowych (TAN)
●
brak
niewystarczające
(brak hasła w prostym uwierzytelnianiu)
18
BPH oraz ING Bank Śląski –
(szyfrowanie,uwierzytelnianie proste,silne,podpis
cyfrowy,ocena)
●
●
●
●
protokół SSL/SGC,RC4, 128 bitów,RSA, 1024 bity
user i hasło dostępu,hasło maskowane,
niezaszyfrowane w banku
klucz prywatny chroniony hasłem
podpis cyfrowy RSA 1024 bity,klucz prywatny
przechowywany w banku lub na dysku użytkownika
wystarczające
(TYLKO w przypadku przechowywania klucza na dysku)
19
PKO oraz Iinteligo – (szyfrowanie,uwierzytelnianie proste,silne,podpis
cyfrowy,ocena)
●
●
user i hasło dostępu
●
token ActiveCard(PKO) lub karta haseł jednorazowych TAN)
●
brak
wystarczające
20
Inne usługi przepływu pieniędzy poprzez Internet.
https://www.payu.pl/
http://www.ecard.pl/
21
Procedura płatności:
1.
Wejście na stronę i wybór produktów.
2.
Przekierowanie klienta na serwer Ecard
3.
4.
Wypełnienie formularza chronionego certyfikatem SSL
128 (podanie numer, data ważności, kod cvv2 lub
cvc2).
Autoryzacja ≈10s zwrócenie wyniku
22
Wykorzystanie SSL podczas transakcji:
CA
Certificate for SSL
3. Pay Info.
1. Product Info.
Customer
Browser
2. Order/Pay Info.
Mercha
nt
4. Authorization
Credit
Card
Pay
Delivery
Pay
on-line
SSL
off-line
X.25 / Proprietary Encryption
12
Cennik PayU:
1.
2.
płatność zwykła do 2000 zł –
Opłata stała 0,30 zł + 2,9% kwoty
powyżej 2000 zł –
Opłata stała 0,30 zł + 2,9% z początkowej
kwoty 2000 zł (58zł)
+ 1,9% z pozostałej kwoty powyżej 2000 zł
23
Cennik Ecard:
1.
prowizja od każdej transakcji w wysokości 3,9%
2.
abonament miesięczny w wysokości 190 zł
3.
opłata początkowa w wysokości 1 000 zł
24
Spektakularne wpadki e-bankow :
Wiosna 1995
Władimir Lewin, 24-letni informatyk z St. Petersburga,
założył międzynarodową siatkę, która włamała się do
Citibanku i przelała z kont jego klientów kilkanaście
milionów dolarów do różnych banków na całym świecie.
Lewin został aresztowany, a pieniądze odzyskane (zdążył
wydać tylko 400 tys. dolarów). Bank przez dłuższy czas nie
był jednak nawet w stanie policzyć dokładnie strat.
Czerwiec 2000
18-latek z małej wioski Clynderwen w Wielkiej Brytanii
włamał się do kilku e-banków w Anglii, Stanach
Zjednoczonych i Tajlandii, zdobywając 23 tys. numerów
kart kredytowych ich klientów (6,5 tys. opublikował w
internecie). Banki wyceniły straty na 3 mln dolarów.
25
Sierpień 2000
Trzech Anglików włamało się do największego brytyjskiego
banku internetowego Egg.com i ukradło z niego
kilkanaście tysięcy funtów. Zgubiło ich niedbalstwo podejrzenia banku wzbudziło to, że kilkunastu różnych
klientów dokonywało dużych operacji z jednego komputera
(jednego internetowego adresu IP). Włamywacze siedzą w
więzieniu.
Lipiec 2000
Luka w systemie zabezpieczeń internetowego oddziału
wielkiego banku Barclays pozwoliła oglądać niektórym
użytkownikom operacje wykonywane przez 85 tys.
klientów banku. Przestępcom jednak nie udało się
wykorzystać słabych zabezpieczeń - twierdził Barclays.
26
Wrzesień 2000
Ralph Dressel, analityk z brytyjskiego banku Royal
Skandia, włamał się do kont kilku banków obsługiwanych
przez oprogramowanie firmy Fiserv (z którego korzystało
wówczas 10 tys. instytucji finansowych na całym świecie). Zajęło mi to pięć minut - powiedział dziennikowi "The
Observer". Fiserv zignorował ostrzeżenia Dressela. Kiedy
wybuchł skandal, firma oświadczyła, że Dressel włamał się
tylko do wersji demonstracyjnej systemu używanej do
szkolenia pracowników.
Wrzesień 2000
Western Union, firma zajmująca się m.in.
międzynarodowymi transferami pieniędzy, ostrzegła
kilkadziesiąt tysięcy swoich klientów, że hakerzy zdobyli
ich dane po włamaniu się do serwerów firmy. Przez kilka
dni jej serwis internetowy
nie2004
działał,
a klientom
Seminarium
– PP, SKiSR
27
doradzono, aby wymienili karty kredytowe.
Listopad 2000
Dane karty kredytowej Rogera Moore'a i kilkudziesięciu
innych znanych aktorów zostały ujawnione w internecie
przez anonimowych hakerów. Nie wymagało to jednak od
nich żadnych specjalnych umiejętności - Credit Suisse
przypadkowo umieścił dane o ich transakcjach
wykonywanych kartami w publicznie dostępnej części
swojego serwisu internetowego. Bank obarczył winą za
skandal firmę odprowadzającą na konta gwiazd tantiemy za
ich filmy.
Marzec 2001
Zorganizowane grupy przestępcze z Rosji i Ukrainy
włamują się do amerykańskich banków - ostrzega FBI. Ich
łupem padło już ponad milion numerów kart kredytowych
"wydobytych" z 40 różnych instytucji finansowych.
Seminarium
– PP,ę
SKiSR
Gangsterzy zwykle staraj
ą się2004
nast
pnie wymuszać
28
szantażem pieniądze. FBI zaapelowało do banków o
Styczeń 2001
Uczeń liceum umieścił na amerykańskim serwerze kopię
strony banku PBK, by gromadzić dane o kartach
kredytowych jego klientów. Po tygodniu poszukiwań udało
się ustalić tożsamość hakera. Zatrzymano 17-letniego
Marka W., ucznia jednego z warszawskich liceów. Chłopak
poznał co najmniej dwa numery kart, za pomocą których
próbował dokonać zakupów na czyjeś konto.
- To nie pierwszy taki przypadek. Poprzednie zdarzyły się w
małych lokalnych bankach - mówił wówczas "Gazecie"
Paweł Biedziak, rzecznik Komendy Głównej Policji.
29
Lipiec 2001
Raphael Gray, 19latek ze Swansea, włamał się do kilku banków i sklepów internetowych. Opublikował w internecie dane kilkudziesięciu tysięcy ich klientów, żeby jak zeznał przed sądem pokazać, jak słabe mają zabezpieczenia. Zdobył m.in. numer karty Billa Gatesa, szefa Microsoftu, i w internetowej aptece zamówił dla niego kilka opakowań viagry z dostawą do domu.
Styczeń 2002
21letni Rosjanin z miasta Surgut na zachodniej Syberii włamał się do bazy danych amerykańskiej firmy Online Resources Corp., specjalizującej się w sprzedaży usług bankowych. Ujawnił w internecie dane 1,5 tys. klientów firmy i wymusił 10 tys. dolarów w zamian za zachowanie w tajemnicy danych pozostałych kilkudziesięciu tysięcy. Rosyjskie służby specjalne ujęły hakera, który czeka teraz na proces. Grozi mu 15 lat więzienia.
30
Bibliografia:
„PHP Czarna Księga” Peter Moulding,Helion
2002
http://www.transaction.net/
http://artykuly.prnews.pl/index.php/display,860
http://banki.prnews.pl/
http://www.ebanki.pl/banki/index.html
http://slimak.sciaga.pl/prace/praca/9766.htm
http://www.winter.pl/internet/bankowosc.html
http://www.ecard.pl/
https://www.payu.pl/
30
cos o dnsie, Selinuxie i itd.
Podsumowanie:
Myśląc o bezpieczeństwie banków wirtualnych
najczęściej koncentrujemy się na technologicznym
zabezpieczeniu naszych środków. Zapominamy
natomiast o fizycznym jego aspekcie. A tymczasem
nawet najlepsze systemy informatyczne nie uchronią
nas przed atakiem, jaki miał miejsce 11 września 2001
roku w Nowym Jorku. Wydarzenia tamtego dnia
uzmysłowiły milionom ludzi, że obecnie na
bezpieczeństwo należy patrzeć ze znacznie szerszej
perspektywy.
31

Spektakularne wpadki e

Transkrypt

Podobne dokumenty

„B an ko w o ść E lektro n iczn a”

Bankowość. Finanse. Samorząd. Wiedza on

Finanse Rok: 2 Semestr: 3 Język wykładowy

ISO 14001, EMAS III - Główny Instytut Górnictwa

„Ochrona środowiska w przedsiębiorstwie na przykładzie Linde Gaz

Grupa seminaryjna - kalendarz.ngo.pl

Seminarium: „ZARABIAĆ W KRYZYSIE Szanse i wyzwania w

Agencja Rynku Rolnego oraz Ministerstwo Rolnictwa i Rozwoju Wsi

jak zarządzać firmą, aby odnieść sukces na szybko