Primjena RS kodova na opticke prenosne medije tipa CD i DVD
E-banking i sigurnost tehnickih rjesenja za Internet transakcije -presentation
1. E-banking i sigurnost
tehničkih rješenja za Internet
transakcije
Univerzitet u Sarajevu
Elektrotehnički fakultet
Mentor: dr. Narcis Behlilović
Kandidat: Aldina Bajraktarević
2. KRATKI HISTORIJAT IDEJE e-BANKINGa
PROBLEMI KORISNIKA USLUGA e-BANKING
AKTUENI TRENDOVI
PREGLED STANJA e-BANKARSTVA U BIH
PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I ELEKTRONSKOG BANKARSTVA
MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U TRANSAKCIJI
SSL PROTOKOL
ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI
MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI
PRIMJERI USPJEŠNIH NAPADA
RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE
PAYPAL
MONEYBOOKERS
PIKPAY
MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI
3.
4. E-banking ili elektronsko bankarstvo je opći
pojam za procese kojima korisnik može
obavljati bankarske transakcije elektronskim
putem bez posjećivanja institucije nadležne za
transakciju (banke, bankomati, ...).
KUPAC PRODAVAC
BANKA BANKA
Naručuje robu i
usluge
Šalje fakturu
Obavještava
prodavca da je
uplata izvršena
Daje nalog banci
da prebaci novac
prodavcu
Informiše
kupca da je
njegov račun
zadužen
Prebacuje sredstva na račun
prodavca
Informiše o izvršenoj uplati
Financijska i vremenska dobit
kvalitet
5. • Pronalazak novca (između 4. i 8. stoljeća p.n.e)
• Prvi elektronski transfer novca izvršen je još davne 1860. godine. -Western Union iz
SAD-a uz pomoć telegrafa
Prve ideje za rješavanje problema porasta
obima papirnih tokova platnog prometa kroz
proces kompjuterizacije i eliminisanje papira,
ponudila su dva američka profesora, Jakobs
Henri (Jacobs Henry) i Robert H. Gregory
(Robert H. Gregory).
6. Osnovni nedostaci e-Bankinga su:
• odsustvu sigurnosti pri obavljanju poslovanja;
• nepostojanju zakonske regulative;
• nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od zloupotrebe
internet bankarstva.
Usluge koje klijenti mogu dobiti on-line su:
• pribavljanje informacija o tekućem računu,
stanje na računu, dozvoljeni limit;
• printanje izvještaja o prometu na računu;
• transfer sa računa na račun;
• plaćanje računa;
• kupovina i prodaja akcija;
• naručivanje isplata;
• praćenje transfera novca;
• pregled aktuelnih kamata;
• kontakt sa bankom,...
7. Korištenje interneta u BiH u stalnom je
porastu. Prema procjenama nadležnih
agencija, više od 2.000.000 ljudi u ovoj
zemlji koristi globalnu kompjutersku mrežu,
što je oko 52 posto od ukupnog broja
stanovnika.
70.474
96.041
Prema podacima CB BiH, upotreba
e-bankinga za građane BiH:
2011 2012
23.865
29.599
Pravna lica
2011 2012
8. 2006. godine BiH postaje
članica Konvencije o
cyber kriminalu Vijeća
Evrope. Ovo je do sada
najveći, najopsežniji ali i
najkvalitetniji evropski
dokument o takvoj vrsti
kriminala koji su
potpisale i neke
neevropske zemlje.
Zakon o elektronskom
potpisu 2006.
Ne postoji PKI infrastruktura za
pravna i fizička lica na nivou
države
Implementacija???
MUP RS-a formirao posebnu jedinicu za
borbu protiv cyber kriminala, što je prvo
odjeljenje te vrste u cijeloj BiH
9. U nadležnim institucijama trebalo bi razviti
organizacije i educirati ljude kako bismo
bili spremni da se borimo protiv ovog
oblika kriminala. Do tada će postojeći
zakoni za ovu oblast ostati samo na
papiru.
14. SSL je autentifikacijski protokol, neovisan od aplikacije, i pruža sljedeće usluge:
• Klijent-poslužitelj provjeru autentičnosti;
• Tajnost podataka;
• Provjera podataka izvora;
• Integritet podataka.
15. Jednokratne lozinke su oblik „jake
autentifikacije“, koja pruža veću
razinu zaštite i koriste se za bankovne
transakcije preko Interneta, mrežnim
sistemima u firmama i drugim
sistemima koji sadrže osjetljive i
povjerljive informacije.
Naprednije vrste tokena
zahtijevaju neki oblik
veze sa računarom (npr.
USB ili Bluetooth) kako bi
stupili u kontakt sa
poslužiteljem.
16. HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer
Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za
osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi HTTPS za
internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na portu 443 za
komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i druge web stranice
kao što su PayPal, Amazon, itd.
17. Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo:
netstat –an :
19. 1. echo '1' > /proc/sys/net/ipv4/ip_forward
// Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može
proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru.
2. Saznati adresu mrežnog gatewaya
netstat –nr
20. 3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack.
arpspoof -i eth0 77.78.248.141
4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju
HTTPS raskrivanje napada koji su izneseni na Black Hat DC 2009.
To će transparentno oteti HTTP promet na mreži, gledati https veze i preusmjeravanja,
a zatim mapirati veze u dvojne HTTP veze ili homografski slične HTTPS veze.
4.1 Download-ovati SSLStrip
22. 4.3 cd sslstrip-0.9
4.4 python setup.py install
5. Izvršenje SSL Strip napada
5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port
8080
// Potrebno je podesiti firewall
pravilo preko naredbe iptables,
na način da se omogući
preusmjerenje upita sa porta
80 na 8080.
5.1.1 python sslstrip.py –w secret
24. Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već
snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje
HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na
sljedeći način:
Phishing Pharming Blackhole kit
Carding- ako ne pokrijete karticu prilikom placanja,čitanje 16-cifrenog broja
sa kartice sasvim dovoljan
Lažiranje poruka e-pošte i web stranica->cilj saznati povjerljive i korisne informacije
Preusmjeravanje korisnika na lažni web site
JavaScript kod
25. PAYPAL
MONEYBOOKERS
PIKPAY
Posrednik u kupovini između kupca i prodavca
E-servis koji omogućava platne usluge i transfer novca putem Interneta
Internet servis koji pruža On-line plaćanje, on-line naplata, podizanje novca u
lokalnim bankama
city deal
ekupon
Najveći nivo
sigurnosti, fizička
sigurnost servera,
ANTI-FRAUD
timovi, verifikacija
Verisign...
28. Kako bi administrator određenoj pametnoj
kartici dodao certifikat, potrebno je da ručno
pristupi CA, i da naravno preko mašine kojoj
pristupa CA, bude priključen čitač kartica.
Nakon što administartor ubaci karticu, koristi
tkz. ActivCard Gold. To je programski paket,
koji upotrebom kartice i čitača kartice ili USB
ActivKey-a osigurava najviši nivo sigurnosti
autentifikacije korisnika.
Analizirajući sistem koristi dužinu ključa od
1024 i hash algoritam SHA-1. Kada
administrator doda digitalni certifikat, onda se
automatski podaci prenose preko serijskog
broja u aplikaciju.
VeriSign je poznata kompanija
kojoj banka plaća usluge
korištenja cetifikata. Da bi banka
koristila usluge VeriSigna na tri
godine, to košta cca 2.500,00
EURa.
34. Rezultati on-line ankete urađene na bazi 55 ispitanika
• U skorije vrijeme će sve veći broj firmi i građana uvidjeti da je mnogo jednostavnije obavljati internet transakcije
iz svog doma, po mnogo nižoj cijeni i na jednostavan način. S druge strane, kombinacija backtrack, sslstrip i MiTM
je samo jedno od potencijalno jakih sredstava za narušavanje sigurnosti bankovnih računa na vrlo „jednostavan“ način.
35. Ono što se ostavlja kao otvoreno pitanje
bankama i ostalim pružaocima usluga
internet bankarstva, jeste pitanje spoja
usluge, cijene, sigurnosti i same reklame u
jednu jedinstvenu cijelinu, koja bi izazvala
povjerenje kod korisnika usluga, a ujedno
donijela određene profite.
KUPAC
PRODAVAC
BANKA