Mobilno RSS Facebook Twitter E-novice Nastavi za domačo stran Dodaj med priljubljene Podcast Rock Radio Pozabljeno geslo Registriraj se Prijava facebook_connect.gif



  • A- A+

09.05.2013      2:50
|
VARNO E-BANČNIŠTVO

Zaščita transakcij in utrjevanje platforme

  • A- A+

 

Vsebina je nadaljevanje rubrike Varno e-bančništvo iz aktualne revije Računalniške novice 9XVIII, ki je že na voljo.

 

Osnovna zaščita - avtentikacija, TLS (o tem sem pisal) in trdna aplikacijska varnost (več na straneh OWASP; velja za vse spletne aplikacije) ne ščitijo pred naprednimi zlorabami. Napadalec okuži uporabnikov računalnik z bančnim trojancem in si pridobi nadzor. Nato spremeni le ciljni račun in znesek v uporabnikovem plačilnem nalogu.

 

Dve smeri zaščite: verifikacija transakcije na način, ki ohrani povezavo s ključnimi podatki transakcije in ki ni odvisen od varnosti samega računalnika ALI ločevanje / utrjevanje platforme, da je trojanec ne okuži.

 

Verifikacija transakcije

Primer zaščite je potrditev plačila z naključno kodo, ki pride po SMS skupaj s podatki o plačilu – znesek, račun v dobro. Če je okužen le računalnik in ne telefon, zaščita deluje. Uporabnik mora pred uporabo kode preveriti podatke v SMS. Drugi primer je neodvisna naprava, ki zna poleg generiranja enkratnih gesel podpisati transakcijo. Uporabnik vnese znesek ter npr. 6 cifer računa v dobro, in naprava generira potrditveno kodo, ki velja samo za te podatke. Tretji primer se izvaja na strežniški strani - aplikacija spremlja uporabnikova plačila in oblikuje profil normalnega obnašanja, če zazna odstopanje sproži dodatno preverjanje, npr. operater pokliče uporabnika in preveri vsebino plačila.

 

Ločevanje in utrjevanje platforme

Komercialno rešitev predstavlja npr. varen USB ključek z vgrajenim brskalnikom, ki ga okužba računalnika ne doseže. Domače alternative vključujejo ločen e-bančni računalnik, ali vsaj ločen OS (zagon iz R/O medija, virtualka)  ali e-bančno uporabniško ime. V praksi pride do okužbe pri branju e-pošte in brskanju po spletu. Dokler to drži, ločevanje e-bančništva od teh dejavnosti deluje.

 

Vsak od načinov ima svoje prednosti in slabosti, a višja varnost predstavlja dodatno breme v smislu cene in uporabnosti.

 

Kot zanimivost - pri uporabi digitalnega podpisa s klasično pametno kartico, prikaz podpisanih podatkov  in vnos PINa potekata na računalniku, zato bi trojanec lahko prevzel nadzor nad njima.

 

Za radovedne: OWASP

OWASP predstavlja mednarodno neprofitno organizacijo, ki se osredotoča na izboljševanje varnosti programske opreme. Na njenih spletnih straneh so brezplačno na voljo številna uporabna gradiva in gradniki za izboljšanje varnosti aplikacij. http://bit.ly/fkoeaw   Dobra začetna točka je seznam največjih težav spletnih aplikacij OWASP TOP 10.

 

Slovenska sekcija OWASP se sestaja praviloma 4 krat letno izmenoma v Ljubljani in Mariboru http://bit.ly/H8FMIQ

 

Potrjevanje transakcij z neodvisno naključno kodo, poslano prek SMS

Strežnik prek SMS kanala uporabniku pošlje potrditveno kodo. Ob predpostavki, da bančni trojanec kontrolira le uporabnikov računalnik in komunikacije prek njega, uporabnik v primeru zlorabe dobi SMS s potrditveno kodo in podatki spremenjene transakcije, tako da lahko opazi račun v dobro, ki ga ni vnesel, in NE nadaljuje z vnosom kode. Če uporabnik mehanično prepiše potrditveno kodo ne da bi pogledal podatke transakcije, zaščita ne deluje. Problem je tudi sinhronizirana okužba računalnika in mobilnega telefona, o kakršni sem pisal zadnjič v kontekstu trojanca ZITMo/MITMo.

 

Uporabnik poleg računalnika potrebuje še mobilni telefon in povezavo v mobilno omrežje. Za varnost je ključno, da banka pošlje SMS izključno na preverjeno uporabnikovo mobilno številko, in da je postopek menjave številke varnostno kontroliran. Poznane zlorabe so t.i. SIM swap http://bit.ly/106eHPJ  in soroden nepooblaščen prenos mobilnih številk http://goo.gl/XJXGY, ki izkoriščajo dejstvo, da SIM kartica ni bila mišljena kot varnostni element e-bančništva in zato mobilni operaterji ne izvajajo enako strogih varnostnih kontrol kot banke. 

 

Podoben način zaščite je glasovni povratni klic k uporabniku za preverjanje vsebine transakcije.

 

Neodvisni generator podpisa

Naprava generira podpisno kodo, ki velja samo za podatke, ki jih je uporabnik vnesel neposredno v napravo. Če je napadalec spremenil podatke na uporabnikovem računalniku, preden so šli na strežnik, koda za potrditev spremenjenih podatkov, ki so prišli na strežnik, ne bo veljala. Napadalec pa ne more generirati veljavne kode za svoje podatke, ker nima skrivnega ključa, ki si ga delita uporabnik in banka. http://bit.ly/T3Lh0

 

Neprijetno pri tem načinu je, da mora uporabnik vnašati podatke tako v aplikacijo, kot v neodvisno napravo. Proizvajalci ponujajo rešitev – optični bralnik, ki podatke prebere iz ekrana računalnika, pri tem pa je za varnost ključno da uporabnik preveri podatke, ki jih je naprava prebrala z ekrana. http://bit.ly/10iLGA9

 

Smiselna je uporaba potrjevanja transakcij v povezavi z zaznavanjem potencialno sumljivih transakcij – tako da preverimo le tiste za katere vgrajena logika zazna, da so sumljive. S tem lahko sicer uide kakšna zloraba, uporabnikom prihranimo pa veliko neprijetnih dodatnih potrjevanj rutinskih transakcij. Vedno se išče sprejemljivo ravnotežje med varnostjo in uporabnostjo.












KOMENTIRAJ

X


ANKETA
Arhiv anket

Kako je tehnologija spremenila vaše življenje?










>>
Kako drastično je tehnologija spremenila svet?

ZADNJE RAČUNALNIŠKE TEŽAVE IN REŠITVE

ZADNJE KOMENTIRANE NOVICE

Zelo slaba novica za lastnike najboljšega pre... 32
Uroš Bilbija  |  Hahahaha ok najprej moraš ti razčistiti ...
Če nameravate kupiti pogon Solid State, nikar... 5
Sanel Mušanović  |  se strinjam! Bomo vidli kaj bo prinesla ...
Zelo slaba novica za lastnike najboljšega pre... 32
skosic  |  Takšna novica pove zelo veliko o tem da ...
Preverite, katerega giganta so tokrat pretent... 1
samos  |  ...na naprave internet stvari. Kaj ste s...
Revolucionarno odkritje: Baterije, ki jih lah... 10
Justin.Forfunky  |  200.000 polnjenj 3 meseci so recimo 130....
RN KANAL




e-novice Želim brezplačno izdajo uredniškega izbora
najboljših računalniških novic na e-mail
Potrdi
(predogled)
(predogled)
(predogled)
(predogled)
(predogled)


100% skrbno bomo varovali vašo zasebnost in odnaročili se boste lahko kadarkoli!
Twitter




V zgornje okence vpišite vaš elektronski naslov, na katerega boste prejeli nadaljna navodila.

Mozilla Firefox

Kliknite na meni Orodja (Tools) in izberite Možnosti (Options)
V zavihku Splošno (Main) v polje Domača stran (Home Page) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Internet Explorer

Kliknite na meni Orodja (Tools) in izberite Internetne možnosti (Internet Options)
V zavihku Splošno (General) v polje Home Page (Domača stran) vpišite naslov rn.si
Kliknite na gumb V redu (OK)

Chrome

Hkrati pritisnite ALT+F in izberite Možnosti
V zavihku Osnove kliknite na gumb Uporabi trenutno stran
Kliknite na gumb Zapri

Netscape Navigator

Kliknite na meni Tools in izberite Options
V zavihku Main v polje Home Page vpišite naslov rn.si
Kliknite na gumb OK

Opera

Hkrati pritisnite CRTL+F12
Kliknite gumb »Use current«
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+","
Izberete zavihek General
Kliknite gumb »Set to current page«

Mozilla Firefox

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Shrani (Save)

Internet Explorer

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Dodaj (Add)

Chrome

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb Končano (Finish)

Netscape Navigator

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Opera

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK

Safari

Hkrati pritisnite tipki CTRL+D
Kliknite na gumb OK