E-banking i sigurnost tehnickih rjesenja za Internet transakcije

1,717 views
1,558 views

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,717
On SlideShare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
27
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

E-banking i sigurnost tehnickih rjesenja za Internet transakcije

  1. 1. E-banking i sigurnost tehničkih rješenja za Internet transakcije 1 ELEKTROTEHNIČKI FAKULTET SARAJEVO ZAVRŠNI RAD E-banking i sigurnost tehničkih rješenja za Internet transakcije Mentor: dr. Narcis Behlilović Sarajevo, 25.02.2012. Kandidat: Aldina Bajraktarević
  2. 2. E-banking i sigurnost tehničkih rješenja za Internet transakcije 2 SADRŽAJ 1. UVOD................................................................................................................................3 1.1. KRATKI HISTORIJAT IDEJE e-BANKINGa.............................................................3 2. PROBLEMI KORISNIKA USLUGA e-BANKINGa..........................................................7 2.1.AKTUENI TRENDOVI ...............................................................................................7 3.PREGLED STANJA e-BANKARSTVA U BIH.................................................................9 4. PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I ELEKTRONSKOG BANKARSTVA...................................................................................12 4.1. MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U TRANSAKCIJI.................................................................................................................17 5. SSL PROTOKOL.............................................................................................................31 5.1. ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI.............................33 6. MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI........................................................37 6.1 PRIMJERI USPJEŠNIH NAPADA.............................................................................46 7. RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE.................................49 7.1 PAYPAL.....................................................................................................................50 7.2 MONEYBOOKERS ...................................................................................................51 7.3 PIKPAY......................................................................................................................52 8. MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI ....52 9. ZAKLJUČAK ..................................................................................................................55 POPIS KORIŠTENIH SKRAĆENICA.................................................................................57 LITERATURA.....................................................................................................................58
  3. 3. E-banking i sigurnost tehničkih rješenja za Internet transakcije 3 UVOD Razvojem tehnologije, pojavljuje se sve veća poslovna konkurencija, samim time banke vide elektronsko poslovanje kao priliku za osvajanje većeg tržišnog udjela. Najvažniji faktor uspjeha u takvom okruženju je izgradnja sigurnosne infrastrukture, koja će klijentima ulijevati povjerenje u on-line transakcije kao u transakcije obavljene na licu mjesta. Banke moraju s jedne strane biti potpuno sigurne da su korisnici koji pristupaju bankovnim računima upravo oni za koje se predstavljaju, dok s druge strane korisnici žele sa sigurnošću znati da su njihovi osobni podaci, podaci o računima i sredstvima na tim računima potpuno zaštićeni, da se ne mogu presresti i dospjeti do neovlaštenih osoba. Također korisnici moraju biti sigurni da je web stranica banke putem koje komuniciraju autentična, a ne lažna stranica kreirana u svrhu krađe njihovih osobnih i financijskih podataka. Pod elektroničkim poslovanjem podrazumjeva se svaka financijska transakcija ostvarena razmjenom informacija elektronskim putem. U današnje vrijeme pod e-poslovanjem smatraju se e-transakcije putem Interneta kao jedinstvenog medija. Dakle, potrebno je da banka ponudi korisniku/klijentu novu uslugu koja će štediti vrijeme, donositi novac, a ujedno imati isti ili čak bolji kvalitet. Svi ovi zahtjevi donose mnogo otvorenih pitanja za diskusiju, i ne kulminiraju u jednostavno rješenje. 1. KRATKI HISTORIJAT IDEJE e-BANKINGa Od prvog pronalaska novca (između 4. i 8. stoljeća p.n.e) pa do danas mijenjali su se različiti načini plaćanja. Vremenom se težilo za onaj način koji donosi najviše dobiti. Pri tome se podrazumjeva i financijska i vremenska dobit. A uz sve to neizostavna je i kvaliteta, kao osnovni faktor vrednovanja usluge sa aspekta korisnika. E-banking ili elektronsko bankarstvo je opći pojam za procese kojima korisnik može obavljati bankarske transakcije elektronskim putem bez posjećivanja institucije nadležne za transakciju (banke, bankomati, ...). Elektronsko bankarstvo donosi brojne pogodnosti bržim i jednostavnijim pristupom računima kao i financijskim sredstvima. U klasničnim uslovima banka je mogla komunicirati samo dok je trajalo radno vrijeme, pa je takav način stvarao ograničenje u komunikaciji, što podrazumijeva nepristupačnost klijentima i njihovim zahtjevima, a samim time i manju zaradu. Postoje tri modela bankarstva: daljinsko, direktno i virtuelno. Daljinsko bankarstvo nudi klijentima obavljanje transakcije na daljinu, slično kao što se vrši u tradicionalnom bankarstvu. Transakcije je moguće vršiti preko terminala i bankomata, gdje banka ne jamči sigurnost u potpunosti i preko interneta – banka osigurava hardware i software za obavljanje
  4. 4. E-banking i sigurnost tehničkih rješenja za Internet transakcije 4 transakcije i jamči potpunu sigurnost. Najčešće banka sam softver i hardver „posuđuje“ od neke eksterne firme. Direktno bankarstvo omogućava klijentima samostalno izvršavanje određenih poslova koje su za njih obavljale banke. U ovom slučaju banke djeluju kao pozadinski servis. Virtuelno bankarstvo podrazumjeva primjenu interneta i web tehnologija za obavljanje transakcija. Korisnicima nisu potrebni dodatni programi kao kod daljinskog i direktnog bankarstva, sve transakcije se obavljaju preko web sjedišta banke. Internet bankarstvo podrazumjeva dva načina rada: - Online bankarski servis - zahtjeva instalaciju softvera na PC-ju korisnika, bez tog softvera korisnik ne može raditi. Samim tim je ograničen na rad samo sa PC-a na kojem je izvršena ispravna instalacija softvera. - Internet bazirano bankarstvo - podrazumjeva pristup bankarskom servisu sa bilo kojeg računara koji se može spojiti na Internet. Internet bankarstvo svakako je najjednostavniji način financijskog poslovanja. Bez odlaska u poslovnicu korisnik/klijent je u mogućnosti plaćati razne račune, prenositi sredstva s jednog računa na drugi, provjeriti stanje po svim računima otvorenim u banci, pregledati promete, oročiti sredstva i drugo. Za njegovo korištenje potreban je samo računar sa izlazom na Internet. Internet transakcije predstavljaju tehnološku revoluciju u bankarstvu, koja će permanentno dovesti do uvođenja novih postupaka i tehnologija zasnovanih na kompjuterima i telekomunikacionim sistemima. Upotreba nove tehnologije u bankarstvu dovodi do novih vrsta usluga, novih sistema plaćanja, novih oblika distribucije i isporuke bankarskih usluga, sve s' ciljem manje potrošnje vremena, veće zarade i bolje usluge. Prvi elektronski transfer novca izvršen je još davne 1860. godine. Transfer je izvršila firma Western Union iz SAD-a uz pomoć telegrafa. Kasnije je telegrafski transfer novca postao uobičajan. Jedan od najvećih platnih i obračunskih sistema današnjice, američki Fedvajer (Fedwire), započeo je sa radom 1918. godine, kao servis za telegrafski transfer novca pri Sistemu federalnih rezervi SAD-a. Glavne promjene koje su do sada ostvarene na planu elektronskog bankarstva sastoje se pretežno u rutinskim transakcijama u bankama. Dosadašnji sistemi plaćanja zasnivali su se na čekovnom ili žiro platnom prometu. Kod čekovnog platnog prometa inicijativa plaćanja potiče od kupca koji plaća čekom na teret transakcionog računa kod svoje banke, a u korist prodavca koji dobija novac na računu kod njegove banke. Kod žiro platnog prometa inicijativa dolazi od kupca koji izdaje platni nalog svojoj banci da na teret njegovog transakcionog računa isplati naznačenu sumu korisniku plaćanja na njegov račun kod odgovarajuće banke. I jedan i drugi sistem plaćanja je karakterisala ogromna količina papira što je sve više dovodilo do troškovnog pritiska na banke usljed porasta obima finansijskih transakcija. Osim toga, papirni platni promet je zahtijevao dosta vremena za finalizaciju plaćanja, tako da je sve to uticalo na potiskivanje papirnog načina plaćanja u korist elektronskog sistema plaćanja.
  5. 5. E-banking i sigurnost tehničkih rješenja za Internet transakcije 5 Istinitost navedenih konstatacija potvrđuje slika 1. na kojoj je prikazano odvijanje jedne platno-prometne transakcije: KUPAC PRODAVAC BANKA BANKA Naručuje robu i usluge Šalje fakturu Obavještava prodavca da je uplata izvršena Daje nalog banci da prebaci novac prodavcu Informiše kupca da je njegov račun zadužen Prebacuje sredstva na račun prodavca Informiše o izvršenoj uplati Slika 1. Odvijanje platno-prometne transakcije Prve ideje za rješavanje problema porasta obima papirnih tokova platnog prometa kroz proces kompjuterizacije i eliminisanje papira, ponudila su dva američka profesora, Jakobs Henri (Jacobs Henry) i Robert H. Gregory (Robert H. Gregory). Kada je kasnije, u praksi, počela da se sprovodi kompjuterizacija sistema plaćanja, mijenjale su se metode i tehnička rješenja, ali je suština koncepta ostala ista. Ona se sastoji u mogućnosti da se tehničko-tehnološke i ekonomske karakteristike informacione tehnologije iskoriste za eliminisanje papira iz sistema plaćanja, povećanje brzine transakcionih i informacionih tokova i snižavanje transakcionih troškova. Bankarski informacioni sistemi za procesiranje podataka imaju za cilj da izvrše tehničke usluge, obezbijede sigurnost transakcija kao i ekonomičnost elektronskih usluga. Kvalitet tehničkih usluga u elektronskom bankarstvu treba da prije svega znači mnogo veću brzinu kod obavljanja transakcija u odnosu na ranije primjenjene metode. Sigurnost transakcija uključuje i tajnost, što je nužna pretpostavka za prihvatljivost elektronskih metoda za nebankarske učesnike. Ekonomičnost ovih transakcija znači da nove elektronske usluge ne mogu imati veću cijenu nego usluge koje su ranije vršene na konvencionalan način. Uzimajući u obzir ciljeve bankarskog informacionog sistema uviđa se da nije dovoljno samo postojanje tehnički zadovoljavajućeg rješenja već i da primjena tih sistema bude dovoljno ekonomična i time prihvatljiva za nebankarske korisnike. Da bi elektronski informacioni sistemi bili dovoljno ekonomični moraju postojati što šire mreže
  6. 6. E-banking i sigurnost tehničkih rješenja za Internet transakcije 6 učesnika odnosno potreban je dovoljno veliki broj korisnika ovih usluga u sistemu čime se obezbjeđuje odgovarajuća relativno niska cijena. Učesnicima u ovim mrežama smatraju se banke, ostale financijske institucije, trgovinske kompanije, industrijske kompanije i slično. Potreba za uvođenjem elektronskog prenosa sredstava u papirni platni promet javila se onda kada je obim platnog prometa narastao do te mjere da je postalo nemoguće da se obavlja na postojeći način, zbog fizičkih ili finansijskih ograničenja. Sredinom šezdesetih godina dvadesetog vijeka u Velikoj Britaniji i Sjedinjenim Američkim Državama broj transakcija u bankarstvu narastao je do neslućenih razmjera. Primjena tradicionalnih metoda obrade transakcija, jednostavno, više nije bila moguća, a problem je narastao do te mjere da je prijetio ugrožavanjem stabilnosti čitavog finansijskog sistema. Vlade Velike Britanije i Sjedinjenih Američkih Država su, krajem šezdesetih godina, preduzele mjere za automatizaciju sitnijih transakcija u bankarstvu, pogotovo onih koje su repetitivnog karaktera. Na bazi ideje, do koje su vodeće britanske banke došle nekoliko godina ranije, u Sjedinjenim Američkim Državama je 1968. godine formirana radna grupa za unapređenje razmjene „bez papira“ (SCOPE — Special Committee on Paperless Entries), koja je funkcionisala pri Banci federalnih rezervi u San Francisku. Cilj je bio da se stvori jeftin i pouzdan elektronski platni sistem, kao alternativa čekovima. Plan je bio jednostavan, a sastojao se iz pretvaranja periodičnih sitnih plaćanja čekovima (kao što su zarade i premije osiguranja) u posebno oblikovanu platnu evidenciju koja će moći da se „čita“ uz pomoć računara. Rezultat ovih napora bila je prva automatska klirinška banka (ACH - Automated Clearing House), koja je počela sa radom 1972. godine. Kao reakcija na povećanu tražnju za međunarodnim obračunom transakcija valutama i vrijednosnim papirima, razvijeni su elektronski platni sistemi za plaćanja na veliko. U oblasti međubankarskog izvještavanja trenutno dominira SWIFT, koji je osnovan 1973. godine u Briselu. Velika potražnja za bankarskim karticama je uticala na pojavljivanje bankarskog sistema od nacionalnog značaja - BankAmericard, koji je pokrenula Bank of America iz Kalifornije 1959. godine, da bi isti bio licenciran u drugim državama 1966. godine. Ovaj bankarski sistem od 1977. godine nosi naziv VISA. Kreditne kartice su se u današnjem obliku pojavile u SAD-u krajem šezdesetih godina da bi se tek kasnije proširile po svijetu. Debitne kartice su novijeg datuma, a najbrže se razvijaju u Velikoj Britaniji. Postoje raznovrsne definicije platnih kartica. Po jednoj su platne kartice mali komadi plastike koje sadrže sredstvo za identifikaciju, što omogućava osobi na koju kartica glasi da kupuje robu ili usluge na teret svog računa. Druge platnu karticu definišu kao specifičan instrument bezgotovinskog načina plaćanja emitovan od strane banke, trgovinske ili specijalizovane organizacije koja omogućava njenom vlasniku da jednostavnom prezentacijom kartice izmiri svoje obaveze plaćanja prema prodavcu robe ili vršiocu usluge. Kreditne kartice se najviše koriste u Sjedinjenim Američkim Državama – 3,5 kartice po stanovniku.
  7. 7. E-banking i sigurnost tehničkih rješenja za Internet transakcije 7 2. PROBLEMI KORISNIKA USLUGA e-BANKINGA Korisnik ne bi trebao koristiti istu šifru za eBanking uslugu i neki web forum. Administrator kao i osoblje web foruma može znati korisničko ime, šifru, e-mail adresu i ostale informacije. Također, sigurnost stranica kao što su web forumi je mnogo manja nego primjerice, sigurnost eBaya, PayPala ili servera banke. Stoga su upravo raznorazni forumi i slične stranice česta meta hakera u potrazi za parovima korisničko ime-lozinka. Hakeri će koristeći se ukradenim podacima kasnije pokušati prijaviti na mjesta znatno veće sigurnosti. Također, pogrešno je i razmišljanje da se koristi par komplikovanih šifri za usluge poput eBankinga i sličnog, i par lako pamtljivih, jednostavnih, za usluge tipa e-mail računa. Ukoliko je predmetna e-mail adresa povezana s eBankingom, maliciozni korisnik može vrlo lako izvršiti manipulaciju sa dostupnim podacima. Osnovni nedostaci e-Bankinga su:  odsustvu sigurnosti pri obavljanju poslovanja;  nepostojanju zakonske regulative;  nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od zloupotrebe internet bankarstva u kriminalne svrhe. Sigurnost, odnosno nedostatak sigurnosti i sistemi zaštite na Intenetu su krucijalni faktori rasta i razvoja Interneta. Ti faktori su veoma važni za funkcioniranje i razvoj internet bankarstva. Sa rastućim publicitetom otvorenih mreža kao što je Internet i elektroničkom razmijenom informacija i novca između geografski udaljenih lokacija, osiguravanje transakcija postaje od ključne važnosti. Banke koje koriste elektroničku razmjenu podataka u zatvorenim mrežama (Intranet) osiguravaju se utvrđivanjem identiteta i autorizacijom ljudi koji pristupaju mreži. U otvorenim mrežama, postojeći mehanizmi tehničke i pravne zaštite nisu dovoljni da spriječe neautorizirani pristup i hakerske upade. [2] 2.1 AKTUELNI TRENDOVI Prednost Interneta je u tome što je jeftin i omogućava korisniku brz pristup, tako da se sve veći broj korisnika upravo zbog toga odlučuje za internet bankarstvo. Internet je doveo do velike promjene u načinu na koji se obavljaju bankarske transakcije. Do izražaja je došao virtuelni aspekt poslovanja, koji se zasniva na smanjenju troškova transakcija i obezbjeđuje korištenje različitih bankarskih usluga. Internet analitičari smatraju da internet ima i da će imati odlučujući uticaj na razvoj za firme koje se bave pružanjem usluga plaćanja, kao što su banke. Internet uvodi drastične promjene u načinu poslavanja banaka, a naročito u sektoru stanovništva, jer se zasniva na virualnom kontaktu. Sve više korisnika, kako fizičkih lica, tako i kompanija u cijelom svijetu koristi se interno i eksterno internetom. Interno, korisnici dobijaju informacije, instrukcije, pristupaju različitim bazama i alatima za rješavanje
  8. 8. E-banking i sigurnost tehničkih rješenja za Internet transakcije 8 problema. Putem Interneta ovi korisnici su u prilici da pristupaju bankama i obavljaju operacije poput upita po tekućem računu, plaćanju računa, transfera novca sa računa na račun, kupovanje i prodaja akcija i informisanje o novim prozvodima koji se nude. Pored fizičkih lica sve veći broj kompanija pristupa banci na ovaj način, ali je njihov pristup malo kompleksniji, jer je neophodno definisati i ovlastiti osobe koje će na ovaj način obavljati poslove sa bankom. [6] Poslije dvije godine od uvođenja internet bankarstva u Švedskoj, banka Handelsbank je imala 43% od ukupnog broja korporativnih klijenata koji su koristili usluge ove vrste. Najveći broj korisnika je upravo u zemljama gdje je tehnologija najrazvijenija, dok u zemljama koje su u razvoju ili nerazvijenim zemljama sa siromašnom ekonomijom, lošom infrastrukturom i niskom edukacijom iz ove oblasti, ili se tek razvija ili se još uvijek ne razvija. Takav je slučaj, nažalost, sa Bosnom i Hercegovinom, kao zemljom koja je još uvijek u posljeratnoj tranziciji. Internet za banke predstavlja još samo jedan način za distribuciju i plasman usluga, oglašavanje i unapređivanje marketinga. Savremene banke da bi međusobno bile konkuretnije i da bi uopšte opstale na tržištu, moraju obezbjediti svojim klijentima neku vrstu elektronskog bankarstva. Pored toga moraju učiniti sve da ih druge banke ne prestignu i ne iznenade na tom polju. Osnovni zadatak elektronskog bankarstva je održavanje dobrog nivoa on-line usluga. Istraživanja i finansijski izvještaji pokazuju da je elektronsko bankarstvo budućnost financijskog sektora. Prema studiji IBM-a elektronsko bankarstvo predstavljalo je u 2001. godini oko 5% ukupnih transakcija u SAD i Evropi. Pored toga, studija je pokazala da će internet biti osnovni distribucioni kanal financijskih usluga u narednom periodu. Da bi klijenti mogli da uopće koriste usluge elektronskog bankarstva neophodno je da imaju računar i pristup internetu. Korisnikov računar postaje virtualni bankar koji predstavlja posrednika prilikom obavljanja bankarskih poslova. Sve usluge koje se pružaju putem elektronskog bankarstva neprestano se mijenjaju i unapređuju zbog velike konkurencije na on-line tržištu. Usluge koje klijenti mogu dobiti on-line su:  pribavljanje informacija o tekućem računu, stanje na računu, dozvoljeni limit;  printanje izvještaja o prometu na računu;  transfer sa računa na račun;  plaćanje računa;  kupovina i prodaja akcija;  naručivanje isplata;  praćenje transfera novca;  pregled aktuelnih kamata;  kontakt sa bankom,... Na razvoj elektronskog bankarstva utiču mnogobroji faktori, neki od njih su navedeni u nastavku:  Razvoj i primjena savremene informatičko-telekomunikacijske tehnologije bazirane na web tehnologijama koje su povoljne za realizaciju financijskih inovacija;
  9. 9. E-banking i sigurnost tehničkih rješenja za Internet transakcije 9  Izvođenje financijskih transakcija digitalnim računarskim putem, posredstvom specijalizovanih računarskih mreža koje ne moraju biti dio interneta i ne moraju biti bazirane na web tehnologiji;  Savremene modele poslovanja koje prati digitalna ekonomija moraju da prate i raznovrsne financijske institucije;  Deregualcija bankarskih i financijskih tržišta i visoka konkurentnost financijskih institucija na globalnom tržištu novca. [4] 3. PREGLED STANJA e-BANKARSTVA U BIH Opći svjetski trend je sve masovnije i sve brže stvaranje i primjena informaciono- komunikacijskih tehnologija. Ova transformacija se ogleda i u pravnom smislu te eLegislativa označava normativno uređenje specifičnosti koje primjena informaciono-komunikacionih tehnologija prouzrokuje u pojedinim pravnim institutima i granama prava. Samim time eLegislativa služi kao preduvjet za ubrzanje razvoja i prevazilaženja zaostajanja, kojem je Bosna i Hercegovina, sticajem različitih okolnosti, bila izložena. Za razliku od pristupa drugih međunarodnih organizacija, karakteristike ujednačavanja nacionalnih prava na kojima insistira Evropska zajednica su: obaveznost, uspostavljanje minimalnog zajedničkog sadržaja, horizontalno djelovanje, sloboda u izboru metoda usaglašavanja, mogućnost direktnog djelovanja kao i opcija da se na ove smjernice pozovu i privatno-pravni subjekti. Ukoliko želi postati članica Evropske zajednice, Bosna i Hercegovina mora uskladiti svoj pravni sistem sa komunitarnim pravom Evropske zajednice. Usklađivanje se mora izvršiti i s pravnom regulativom koja postoji na nivou pojedinih međunarodnih organizacija pri Ujedinjenim nacijama kao i s pravnom regulativom pojedinih međunarodnih strukturnih organizacija. Iz tih razloga komunitarno pravo Evropske zajednice treba biti osnovni obrazac za eLegislativu u Bosni i Hercegovini. Promjene koje će biti nužne u pravnom sistemu Bosne i Hercegovine mogu se sumirati kao sljedeće premise: definiranje zakonodavstva na državnom nivou, definiranje entitetskih zakonodavstava, usklađivanje entitetskih zakonodavstava, redukcija stepena odlučivanja, usvajanje pravnih propisa, u skladu sa ovim dokumentom, usklađivanje važećih pravnih propisa s novom eLegislativom, formiranje organizacionog i upravnog oblika za edukaciju, monitoring i sve ostale postprojektne aktivnosti. Projektne aktivnosti vezane za implementaciju eLegislative obuhvataju oblasti: zakonodavstvo za ePoslovanje, zakonodavstvo za eUpravu, zakonodavstvo za eObrazovanje, zakonodavstvo za IKT infrastrukturu i zakonodavstvo za IKT industriju. Informatička revolucija, za razliku od drugih promjena, ne trpi ni kratkotrajan pravni vakuum. Opasnost od zloupotreba je u ovom slučaju daleko veća od ranije poznatih zato što nedozvoljeni akti mogu odmah proizvesti štetne posljedice na globalnom nivou. S druge strane, pravna regulativa primjene IKT ima izrazito povoljne efekte. U tome je njena propulzivna snaga i sinenergičnost. Razvojna uloga eLegislative je višestruka. Ona, najprije, treba omogućiti nesmetanu percepciju i nadgradnju svjetskih dostignuća, ne samo u oblasti IKT nego i
  10. 10. E-banking i sigurnost tehničkih rješenja za Internet transakcije 10 kreiranju informatičkog društva. Samim time eLegislativa služi kao preduvjet razvoja i prevazilaženja zaostajanja kojem je BiH, sticanjem historijskih okolnosti, bila izložena. Drugi i konkretniji rezultat razvoja eLegislative treba biti percepcija rješenja poznatih nasvjetskom nivou i u EU posebno. Treće ali ne najmanje važan rezultat razvoja eLegislative biće jačanje jedinstvenog ekonomskog prostora u BiH. Globalni domet IKT i univerzalni karakter ePoslovanja mogu postojanje entitetskih i drugih parcijalnih tržišta, npr. Distrikta Brčko, učiniti skupim. Napokon, u modernom svijetu samo uređena primjena IKT i solidno konstituirano informatičko društvo mogu pojedincu osigurati bolji i humaniji život. eLegislativa je, pri tome, nezaobilazan instrument. Bosna i Hercegovina je tek krajem 2000. godine počela ozbiljnije ulaziti u sferu informacionih i komunikacionih tehnologija, u čemu inače osjetno zaostaje, ne samo za razvijenim zemljama Evrope i svijeta, već i za većinom tranzicijskih zemalja. U ovom trenutku ne postoje strateške odrednice niti politika jačanja svijesti društva o nužnosti najšire primjene IKT-a i o njihovim mogućnostima. Postojeća zakonska regulativa ne prati novosti na tržištu rada, niti prati nove izazove koje tržište donosi. Stopa penetracije interneta je najvjerodostojnji indikator razvijenosti IKT sektora u jednoj zemlji. U 2003. godini na svakih hiljadu stanovnika u BiH njih samo 13 ima priključak na internet, što je napredak u odnosu na 2002. godinu, kada ih je bilo samo oko 8. Tako npr. u Bugarskoj je stopa penetracije više od tri puta veća nego u BiH (oko 42 priključka na 1000 stanovnika), a u Hrvatskoj čak pet puta (oko 67). Sa druge strane, broj telefonskih priključaka na 100 stanovnika također je pouzdan indikator o razvoju ovog sektora u jednoj zemlji. Na svakih 100 stanovnika u BiH ima 12 fiksnih telefonskih priključaka i oko 9 mobilnih telefonskih linija. Tako npr. broj fiksnih telefonskih priključaka na 100 stanovnika u Bugarskoj je tri puta veći nego u BiH (37), a mobilnih linija dva puta (19). U Hrvatskoj je broj fiksnih telefonskih priključaka na 100 stanovnika također tri puta veći nego u BiH, a broj mobilnih linija čak devet puta. Prema istraživanju RAK-a ukupan broj korisnika interneta krajem prošle godine u BiH iznosio je 2.113.100, odnosno 55 posto stanovnika koristilo je internet, što je u odnosu na godinu ranije povećanje od 5,7 posto. Pravni okvir u BiH se formirao na tri osnovna načina: preuzimanjem propisa ex-SFRJ, legislativnom djelatnošću entiteta, kantonalnim zakonodavstvom i donošenjem propisa države BiH. Preuzeti propisi nisu, već zbog vremena nastanka, bili dizajnirani prema potrebama IKT. Međutim, noviji propisi entiteta, kantona i BiH u pojedinim oblastima zahtijevaju upotrebu IKT. U nastavku su navedeni najbitniji: • Zakon o slobodi pristupa informacija u BiH (Sl. gl. BiH 28/00) ; • Zakon o centralnoj evidenciji i razmjeni podataka (Sl. gl. BiH 32/01), koji zahtijeva osam povezanih evidencija sa podacima o građanima ; • Zakon o unutrašnjem platnom prometu (Sl. n. FBiH 15/00) ; • Zakon o platnim transakcijama (Sl. n. FBiH 32/00) ; • Zakon o vrijednosnim papirima (Sl. n. FBiH 39/98), koji zahtijeva elektronski zapis vrijednosnih papira, obuhvaćenih ovim aktom ; • Zakon o Registru vrijednosnih papira FBiH (Sl. n. FBiH 39/98), zajedno sa aktima koje Registar donosi ; • Zakon o osnivanju Instituta za standarde, mjeriteljstvo i intelektualno vlasništvo BiH (Sl. gl. BiH 51/00) ; • Zakon o industrijskom vlasništvu u Bosni i Hercegovini (Sl. gl. BiH 3/02) ;
  11. 11. E-banking i sigurnost tehničkih rješenja za Internet transakcije 11 • Zakon o autorskom pravu i srodnim pravima u Bosni i Hercegovini (Sl. gl. BiH 7/02); • Uredba Vlade FBiH o uspostavljanju, funkcioniranju i održavanju jedinstvenog informacionog sistema obnove i razvoja u FBiH (Sl. n. FBiH 45/00). Realnu sliku IKT sektora u BiH je teško steći, jer pored činjenice da je to potpuno novi, a uz to i multidisciplinaran sektor, ozbiljnije studije o problemima i potencijalu ovog sektora do sada nisu rađene. Nevjerovatnom zvuči činjenica da 95 posto domaćinstava u BiH posjeduje TV aparat. U dosadašnjim istraživanjima ministarstva za komunikacije BiH, pokazano je da oko 4,7 posto domaćinstava u BiH ima računar, a u urbanim dijelovima BiH 9,6 posto. Ove procjene pokazuju da BiH postoji potencijal, ali on je edukacijski neiskorišten i ugušen monopolističkom politikom postojećih telekom operatora i neadekvatnom politikom i strategijom u IKT sektoru od strane BiH administracije. Sektor telekomunikacijske infrastrukture sveden je na telekom operatore i njihov tehničko- tehnološki razvoj. Liberalizacija ovog tržišta nailazi na teškoće, mada je u mnogim segmentima, na primjer u mobilnoj telefoniji, ona prisutna. S druge strane, zbog značajnih propusta i neuređenosti sektora telekomunikacija, telekom operatori predstavljaju kočnicu u nekim segmentima razvoja IKT sektora. Mada je u toku izrade Studije izvodljivosti EU konstatovan znatan napredak koji je BiH postigla u reformama u sektoru telekomunikacija, EC vidi potrebu za intenzivnijom saradnjom, prije svega u sferi daljeg usaglašavanja sa «Acquis communautaire». Oblasti od posebne važnosti su dalje unapređenje zakonskih, regulatornih i institucionalnih rješenja u sferi IKT i poštanskih usluga, postupna liberalizacija, razvijanje okruženja povoljnog za ulaganja u IKT i primjena evropskih standarda. Saradnja u sferi jačanja infrastrukture za IKT pomogla bi u razvoju informatičkog društva u BiH. Činjenica da je e-trgovina pred sam kraj prethodnog stoljeća u globalnoj trgovini postala nezamjenjiva, te da je svoje tržište posebno našla kod malih i srednjih preduzeća, dovela je do prepoznavanja niza barijera u razvoju upravo ovog sektora. Da bi se otklonile brojne prepreke, te ubrzao razvoj elektronskog poslovanja, značajan broj međunarodnih organizacija počeo je regulatorno da djeluje u ovome domenu. Najvažniji segmenti za razvoj BiH privrede i društva u cjelini zahtijevaju normiranje i regulaciju, u skladu sa modernim evropskim standardima. Teme koje zahtijevaju pažnju zakonodavaca su: struktura i oblik komercijalnih dokumenta, e-potpisi, e-računi, e-ugovori, e- bankarstvo, e-plaćanja, i zaštita potrošača u e-poslovanju. U tradicionalnom načinu poslovanja između firmi, najčešće se radilo o poslovnim odnosima, uspostavljenim na lokalnom nivou, te tada nije ni bilo dileme koji propis će biti primijenjen jer se, u principu, uvijek primjenjivao lokalni propis. Međutim, u prodaji putem Interneta, s obzirom da ne postoje granice u trenutku kontaktiranja i naručivanja određene robe ili usluge, uvijek ostaje otvoreno pitanje koji propis primjeniti na konkretan slučaj. Izbor ovog prava posebno može otežati i činjenica da jedna ugovorna strana može imati sjedište u jednoj zemlji, prezentaciju na Internet stranici izvršiti u drugoj zemlji, isporuku robe vršiti iz treće zemlje, a plaćanje obavljati u četvrtoj zemlji. Ovakva situacija nije predviđena propisima. Pri tome potrebno je posebno voditi računa o vremenu i uslovima donošenja većine tih propisa, jer su na snazi brojni propisi doneseni u periodu prije rata, kada je društvena imovina bila osnov cjelokupnog poslovanja, a samim tim i pod posebnim režimom zaštite. Za razliku od susjednih zemalja, BiH još uvijek nema zakona koji određuje obim prava proisteklih iz, na
  12. 12. E-banking i sigurnost tehničkih rješenja za Internet transakcije 12 primjer, elektronskog potpisa. RS je nedavno donijela propis kojim se ova problematika uređuje, ali se taj propis uglavnom oslanja na odluke Centralne banke BiH. Centralna banka BiH je donijela dvije odluke o certifikaciji i autorizaciji potpisa: • Odluka Centralne banke BiH o minimalnim uslovima koje mora ispunjavati kvalificirano certifikaciono tijelo koje izdaje kvalificirane certifikate za elektronski potpis • Odluka Centralne banke BiH o reguliranju pravila za utvrđivanje elemenata za vjerodostojnost elektronskog potpisa (Sl. gl. BiH 10/02) Upitan je pravni osnov za nadležnost Centralne banke BiH da donosi ovakve odluke, s obzirom da ova rješenja trebaju biti zasnovana na zakonu. Prilikom istraživanja za ovaj rad poslan je konkretan upit Centralnoj banci da se izjasni po pitanju donošenja prethodno navedenih odluka, nadležni su naveli da su donesene odluke van snage, jer je donesen zakon o elektronskom bankarstvu kojeg se i CBBiH pridržava. Prethodno razmatrana pitanja moraju postati dio pozitivnog prava BiH u što skorijem roku, jer su IKT svakodnevno sve prisutnije u životu društva i privrede. Ignorisanje ove potrebe može imati nesagledive posljedice. Trenutno je u pripremi formiranje Agencije za zaštitu podataka na državnom nivou, pa pomenute smjernice moraju postati dio Zakona o formiranju Agencije. Glavne mjere u ovoj sferi trebaju biti: • izmijeniti zakone o komercijalnim dokumentima, elektronskom potpisu i zaštiti potrošača u elektronskom poslovanju; • usvojiti zakone o elektronskim računima, elektronskim ugovorima, elektronskom bankarstvu i elektronskom plaćanju; • formirati Agenciju BiH za IKT. 4. PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I ELEKTRONSKOG BANKARSTVA Bosna i Hercegovina je kao članica Inicijative za elektronsku jugoistočnu Evropu potpisala „eSEE Agendu za razvoj informacionog društva“ 2002. godine u Beogradu. U toj Agendi je dogovoreno da države potpisnice izrade i usvoje politiku i strategiju razvoja informacionog društva, a kroz prioritetnu oblast „Jedinstveni SEE informacioni prostor“ definira način uspostavljanja javne infrastrukture za sigurno poslovanje zasnovano na kvalificiranom elektronskom potpisu. Dalje, e-usluga iz eSEE Agende plus, u narednom periodu IDDEEA planira pružati neke od njih. Međutim, sporost u implementaciji Zakona o elektronskom potpisu BiH onemogućava da ove usluge budu transakcione. Ipak, poredeći postignuto sa zahtjevima iz eSEE Agenda plus i 23 bazična servisa e-Vlade koja bi trebala biti uspostavljena do kraja 2011. godine, BiH je nažalost daleko i iza zemalja u regiji, a posebno u Evropi i svijetu. Ključni problemi koji utječu na to su: nepostojanje institucionalnog uređenja neophodnog za koordinaciju aktivnosti u oblasti e-Vlade koje se izvršavaju na različitim nivoima vlasti i u različitim ministarstvima, iracionalno korištenje neadekvatno raspoređenih
  13. 13. E-banking i sigurnost tehničkih rješenja za Internet transakcije 13 informatičkih ljudskih resursa, te još uvijek neadekvatne IKT politike, pravnih okvira, metodologije i standarda za realiziranje projekata e-Vlade. Stoga, entuzijazam za kretanje naprijed je sada dodatno usporen zbog rastuće spoznaje da uspješna e-Vlada zahtijeva kombinaciju organizacijske promjene, reformu politike, i tehnološku investiciju. Vijeće ministara BiH je 2004. godine usvojilo Politiku, Strategiju i Akcioni plan razvoja informacionog društva u BiH za period 2004-2010. godine, a 2006. godine je usvojen Zakon o elektronskom potpisu BiH i Zakon o elektronskom pravnom i poslovnom prometu BiH. Takođe su usvojene i odluke koje uređuju oblast upotrebe elektronskog potpisa i pružanja usluga ovjeravanja koje osiguravaju potrebne pravne aspekte za implementaciju digitalnog potpisa. Država je usvojila savremeno zakonodavstvo, prije svega Zakon o elektronskom potpisu, Zakon o elektronskom pravnom i poslovnom prometu i prateća podzakonska akta za područja elektronskih potpisa, elektronskih sjednica vlade, Internet stranica, itd. Izmjene i dopune Zakona o općem upravnom postupku, koji uređuje najširi mogući spektar vladinih postupaka, su takođe usvojene kako bi se stvorili osnovi za elektronske usluge. U tom smislu trenutno su na snazi sljedeći pravni akti: • Zakon o elektronskom potpisu („Službeni glasnik BiH“, broj 91/06); • Zakon o elektronskom pravnom i poslovnom prometu („Službeni glasnik BiH“, broj 88/07); • Zakon o upravnom postupku („Službeni glasnik BiH” br. 29/02, 12/04, 88/07, 93/09); • Odluka o osnovama upotrebe elektronskog potpisa i pružanja usluga ovjeravan („Službeni glasnik BiH“, broj 21/09); • Odluka o elektronskom poslovanju i e-vladi (“Službeni glasnik BiH“ broj 07/10); • Odluka o uredskom poslovanju ministarstava, službi, institucija i drugih organa Vijeća ministara BiH – (“Službeni glasnik BiH” br. 21/01, 29/03); • Uputstvo o izradi i održavanju službenih Internet stranica institucija BiH (Službeni glasnik BiH broj 21/09). Trenutno su u pripremi i sljedeći pravni akti: • Pravilnik o unutrašnjoj organizaciji Ministarstva komunikacija i prometa BiH (osnivanje Ureda za nadzor i akreditacije); • Zakon o Agenciji za razvoj informacionog društva. Republika Srpska U skladu sa Strategijom eVlade 2009. - 2012. godine Vlada Republike Srpske je usvojila sljedeće zakone i podzakonske akte: • Zakon o elektronskom potpisu RS („Službeni glasnik RS“, broj 59/08) Ovaj zakon uređuje upotrebu elektronskog potpisa u pravnim poslovima i drugim pravnim radnjama, kao i prava, obaveze i odgovornosti u vezi s elektronskim certifikatima (potvrdama). Uz sam zakon, donesen je cijeli niz podzakonskih akata koji uređuju područja kao što su evidencija davaoca usluga certificiranja elektronskih potpisa, jedinstveni registar davaoca usluga certificiranja elektronskih potpisa koji izdaju kvalificirane certifikate, mjere i postupci upotrebe i zaštite elektronskog potpisa, sredstava za izradu elektronskog potpisa, obaveznog osiguranja davaoca usluga izdavanja kvalifikacionih certifikata itd., tj. slijedeće:
  14. 14. E-banking i sigurnost tehničkih rješenja za Internet transakcije 14 • Uredba o nosiocu poslova elektronske certifikacije u republičkim organima uprave (“Službeni glasnik RS“ br. 114/08, 73/09); • Pravilnik o evidenciji davaoca usluga certificiranja elektronskog potpisa certificiranih organa (“Službeni glasnik RS“ broj 88/09); • Pravilnik o sadržaju i načinu vođenja registra certifikacionih organa za izdavanje kvalificiranih elektronskih certifikata (“Službeni glasnik RS“ broj 88/09); • Pravilnik o mjerama zaštite elektronskog potpisa, i kvalificiranog elektronskog potpisa, najnižem iznosu obaveznog osiguranja i primjeni organizacionih i tehničkih mjera zaštite certifikata – (”Službeni glasnik RS” broj 88/09); • Pravilnik o tehničkim pravilima za osiguranje povezanosti evidencija („Službeni glasnik RS“ broj 88/09). Na osnovu odredbi Zakona o Vladi Republike Srpske i Zakona o sistemu javnih službi, Vlada Republike Srpske je 2007. godine donijela Odluku o osnivanju Javne ustanove „Agencija za informaciono društvo Republike Srpske“. Ovim aktom Republika Srpska osnovala je instituciju zaduženu za praćenje razvoja informacionog društva, te promociju upotrebe informaciono-komunikacionih tehnologija. Nadzor nad radom Agencije, u ime Vlade RS, obavlja Ministarstvo nauke i tehnologije RS. • Zakon o elektronskom dokumentu RS („Službeni glasnik RS“, broj 110/08) Ovaj zakon uređuje pravo fizičkih i pravnih lica na upotrebu elektronskog dokumenta u svim poslovnim radnjama i djelatnostima, te u postupcima koji se vode pred organima republičke uprave u kojima se elektronska oprema i programi mogu primjenjivati u izradi, prijenosu, pohranjivanju i čuvanju informacija u elektronskom obliku. Zakon takođe uređuje pravnu važnost te upotrebu i promet elektronskih dokumenata. • Zakon o elektronskom poslovanju RS (Službeni glasnik RS 59/09) Ovaj zakon definira pružanje usluga i pravila u vezi sa sklapanjem ugovora u elektronskom obliku. Federacija Bosne i Hercegovine Federacija BiH nema legislativu za primjenu elektronskog potpisa, jer se oslanja na Zakon o elektronskom potpisu BiH. Brčko Distrikt BiH • Zakon o elektronskom potpisu Brčko Distrikta BiH („Službeni glasnik BD br. 39/10, 61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011. • Zakon o elektronskoj ispravi Brčko Distrikta BiH („Službeni glasnik BD br. 39/10, 61/10); planirano da stupi na snagu 01.01.2011. – odgođeno do 31.06.2011. Zakon o elektronskom potpisu Brčko Distrikta BiH se ne razlikuje od zakona donesenih 2006. od strane Parlamentarne skupštine BiH ili zakona u Republici Srpskoj. Obzirom na nemogućnost implementacije Zakona o elektronskom potpisu BiH, tj. nepostojanja
  15. 15. E-banking i sigurnost tehničkih rješenja za Internet transakcije 15 Nadzornog organa koji bi vršio nadzor i akreditaciju CA, zakonodavac Brčko Distrikta BiH je procijenio da je optimalnije usvojiti posebni zakon u distriktu i na taj način primijeniti propis o elektronskom potpisu. U skladu sa članom 9. Zakona o elektronskom potpisu Brčko Distrikta BiH, Odjeljenje za javni registar propisuje mjere zaštite elektronskog potpisa i naprednog elektronskog potpisa, kao i mjere provjere identiteta potpisnika. Član 43. takođe propisuje da će šef Odjeljenja za javni registar donijeti sve neophodne podzakonske akte propisane zakonom, u roku od šest mjeseci od stupanja na snagu Zakona o elektronskom potpisu Brčko Distrikta BiH. Pravni učinci elektronskih potpisa – Osnovne odredbe Direktive navode da napredan elektronski potpis, baziran na kvalificiranoj potvrdi koji je kreirala naprava za kreiranje sigurnog potpisa zadovoljava zakonske uvjete za potpis vezane za podatke u elektronskom obliku jednako kao što svojeručni potpis zadovoljava uvjete vezane za podatke u papirnim, te da bi se trebao koristiti kao dokaz u pravnim postupcima – član 4. i član 5. Zakona o elektronskom potpisu BiH. Odgovornost - Zemlje članice moraju osigurati da je pružalac usluga ovjeravanja koji izdaje kvalificiranu potvrdu odgovoran vis-à-vis svake osobe koja se oslanja na potvrdu za: tačnost svih informacija u kvalificiranoj potvrdi, pridržavanje svih uvjeta iz Direktive pri izdavanju kvalificirane potvrde, osiguranje da je vlasnik identificiran u kvalificiranoj potvrdi u trenutku izdavanja potvrde bio u posjedu svih podataka za formiranje potpisa, koji odgovaraju podacima za provjeru potpisa sadržanim u potvrdi datog ili identificiranog u potvrdi, u slučajevima kada pružalac usluga ovjeravanja povlači podatke za formiranje potpisa ili provjeru potpisa, osiguravanje da su podaci za formiranje potpisa i s njima usuglašeni podaci za provjeru potpisa odgovarajući u komplementarnom smislu. Pružalac usluga ovjeravanja se neće smatrati odgovornim za štetu nastalu u vezi sa upotrebom kvalificirane potvrde za transakcije čija je vrijednost van navedenih ograničenja. – član 19. Zakona o elektronskom potpisu BiH. Generalno, svi spomenuti zakoni su uglavnom usklađeni sa Direktivom 1999/93/EC Evropskog parlamenta i Vijeća od 13. decembra 1999., o pravnom okviru Zajednice po pitanju elektronskih potpisa, i Direktivom 2000/31/EC Evropskog parlamenta i Vijeća od 8. juna 2000., po pitanju pravnih aspekata usluga informacionog društva, konkretno elektronskog poslovanja, na unutrašnjem tržištu („Direktiva o elektronskom poslovanju“). Stoga možemo zaključiti da postoji savremen i prilično detaljan pravni okvir. Ovaj okvir pruža predvidljive i pouzdane odgovore na pitanja vezana za integritet, autentičnost i nemogućnost poricanja elektronskog oblika i potpisa. Uprkos općoj usklađenosti sa direktivama EU i globalnim modelima za pravne dokumente, postoje određeni problemi: 1. neke od odredbi su komplicirane ili nepraktične i u nekim područjima previše restriktivne; 2. zakoni i predviđena obaveza da se registrira aktivnost CA postoje na državnom, ali i na entitetskom nivou; 3. neka pravna pitanja su ostala neriješena; u slučajevima u kojima se nije moguće osloniti na mjere EU acquisa, lokalna legislativa je neujednačena i nedovršena po pitanju određenih vrlo praktičnih aspekata (npr. pravni efekti prijenosa papirne dokumentacije u elektronski oblik,
  16. 16. E-banking i sigurnost tehničkih rješenja za Internet transakcije 16 dugoročnog elektronskog arhiviranja, postupci elektronske vlade, elektronskih nabavki, elektronskih sudskih postupaka, itd.); 4. čak i kada su zakoni neutralni po pitanju tehnologije ili oblika (gdje se tekst ne odnosi isključivo na papirne dokumente) te samim tim dopuštaju korištenje savremenih IKT alata, nadležna državna tijela uglavnom tumače zakone na tradicionalan način dopuštajući samo korištenje rukom pisanih potpisa i papirnih dokumenata. Iako je Zakon o elektronskom potpisu BiH na snazi već od 2006. godine, pojavila su se mnoga neriješena institucionalna i politička pitanja koja onemogućavaju ili usporavaju proces implementacije Zakona, a samim tim i razvoj područja primjene ePotpisa u BiH, među kojima su najvažniji: • Nerazumijevanja nadležnost u oblasti elektronskog potpisa i elektronskog poslovanja; • Institucije u BiH nisu u dovoljnoj mjeri bile posvećene implementaciji Zakona o elektronskom potpisu BiH; • Spori napredak reforme javne uprave i loše poslovno okruženje u društvu umanjuje značaj primjene ePotpisa i sve prednosti koji se time postižu; • Nepostojanje Ureda za akreditaciju i nadzor CA u okviru Ministarstva prometa i komunikacija BiH; U Bosni i Hercegovini trenutno ne postoji PKI infrastruktura za pravna i fizička lica na nivou države. Međutim, postoji niz nezavisnih PKI infrastruktura, prije svega elektronsko bankarstvo i djelomično u sektoru elektronske vlade koji djeluju u zatvorenim sistemima, čime je trenutno obuhvaćeno, ili će biti obuhvaćeno preko 10.000 firmi i skoro 10.000 državnih službenika. Stoga tehnički problem nije u tolikoj mjeri zasnovan na nepostojanju PKI infrastrukture na nivou države. Prije se može reći da je problem u okupljanju i spajanju različitih postojećih PKI infrastruktura i informatičkih sistema. Ubrzanje uvođenja elektronskog potpisa je od velike važnosti za BiH, jer trenutno BiH kasni u implementaciji elektronskog potpisa, što znači, da su usporene i sve primjene e-potpisa (eTrgovina, eBankarstvo, eUprava, ePoslovanje). Danas se procjenjuje da u BiH postoji oko 12.000 izdatih običnih certifikata (10.000 za poduzeća i 2.000 za državne službenike) i oko 100 kvalificiranih certifikata. Komparativni podaci za zemlje EU govore o 30 puta većem broju izdatih potvrda (ako se podaci relativiziraju na broj stanovnika), a za zemlje u regionu oko 2 do 3 puta više izdatih potvrda u odnosu na BiH. Privatni sektor, a posebno IT kompanije predstavljaju ogroman razvojni potencijal u BiH i svako dalje odlaganje u primjeni elektronskog potpisa predstavlja direktni gubitak za razvoj privrede u BiH, a u isto vrijeme dovodi ovaj sektor u još nepovoljniji položaj u odnosu na IT kompanije u regiji. Za dalji razvoj bankarskog sektora primjena elektronskog potpisa je od izuzetnog značaja, posebno za dalji razvoj modernog elektronskog bankarstva, usporava povezivanje poslovne zajednice sa poreskim upravama, obavljanja dnevnih transakcija elektronskim putem. Uspostavljanje sigurnog i modernog elektronskog bankarstva neophodno je za monitoring i kontrolu eventualnih aktivnosti “pranja novca” i borbe protiv finansiranja ilegalnih aktivnosti. Postojeća bankarska PKI može biti realna polazna osnova za uvođenje e- vlade, posebno imajući u vidu troškove izgradnje i održavanja PKI kao i veličinu i stvarne potrebe zemlje. Potrebno je uzeti u obzir informatičku pismenost prije svega građana, potom poslovne zajednice, kao i javnog sektora u BiH. U ovom smislu potrebno je uzeti u obzir dosadašnja iskustva kao i stručna znanja postojećih asocijacija informatičara u BiH. Uvođenjem elektronskog potpisa potrebno je raditi na razvijanju odgovarajućih elementa zaštite
  17. 17. E-banking i sigurnost tehničkih rješenja za Internet transakcije 17 potrošača. Adekvatna i efikasna primjena elektronskog potpisa treba biti praćena dobro pripremljenom javnom kampanjom koja bi ukazala na sve prednosti pune primjene elektronskog potpisa. [1] Pošto sadašnja zakonska regulativa ne omogućava uvođenje informacionih tehnologija, to je Vlada FBiH utvrdila je Nacrt zakona o elektronskom dokumentu i uputila ga Parlamentu FBiH na razmatranje i usvajanje. Ovaj zakonski projekt, također, treba posmatrati u kontekstu zakona koji su već u parlamentarnoj proceduri: Zakona o matičnim knjigama i Zakona o osobnom imenu. Ujedno, jedna od obaveza proistekla iz Direktiva Europske unije, jeste stvaranje pretpostavki za elektronski pristup informacijama. Riječ je o 20 usluga koje bi građanima trebale biti dostupne na ovaj način. Kako je Nacrtom zakona definirano, tijela uprave i lokalne samouprave, gospodarska društva, ustanove i druge pravne i fizičke osobe slobodno izraženom voljom prihvataju upotrebu i promet elektronskog dokumenta za svoje i potrebe poslovnih i drugih odnosa. Ukoliko to prihvate, ne mogu odbiti elektronski dokument samo zbog toga što je sačinjen, korišten i stavljen u promet u elektronskom obliku. Elektronski dokument ima pravnu valjanost kao i dokument na papiru ako je izrađen, poslan, primljen, čuvan i arhiviran primjenom raspoložive informacione tehnologije i ako ispunjava uvjete iz ovog zakona. Svaki takav dokument na kojem je elektronski potpis smatra se izvornikom. Upotreba elektronskog dokumenta je valjana ako on, uz ostalo, sadrži podatke o autoru, pošiljatelju i primatelju, te o vremenu slanja i prijema. (izvor 24. sjednica Vlade FBiH, 09.11.2011. saopćenje o radu http://www.fbihvlada.gov.ba) 4.1 MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U TRANSAKCIJI Pojam „sigurna“ mrežna transakcija podrazumijeva onu transakciju koju nije moguće narušiti bilo kakvom metodom. To prvobitno podrazumijeva da prilikom davanja podataka korisnik/klijent pristupi pravoj stranici za transakciju, te da isti bude ispravno detektovan od strane pružaoca usluga. Banka čiji će sistem biti analiziran u ovome radu, koristi sljedeće „metode“ tj. načini autorizacije za obavljanje „sigurne“ transakcije: 1. Smart Cards; 2. Tokeni; 3. Tanovi. Svaki od navedenih ima specifičan način rada, i naravno određeni nivo sigurnosti.
  18. 18. E-banking i sigurnost tehničkih rješenja za Internet transakcije 18 Pametna kartica se temelji na PKI (Public Key Infrastructure) tehnologiji koja se zasniva na asimetričnoj kriptografiji, odnosno na paru javnih i tajnih ključeva za šifriranje podataka. Svaki korisnik ima svoj tajni ključ i svoj javni ključ. Samo je javni ključ korisnika dat drugima na uvid. Korisnik podatke koje želi nekome poslati šifrira svojim tajnim ključem. Kada bi se takvi podaci poslali, pročitati bi ih mogao svatko tko posjeduje javni ključ pošiljatelja. Iz tog razloga pošiljatelj šifrira podatke još jedanput, ovaj put javnim ključem primatelja podataka. Na taj su način podaci dostupni samo primatelju. Naime, primatelj ih mora dešifrirati najprije pošiljateljevim javnim ključem, a zatim i svojim tajnim ključem. Svi su ti ključevi u digitalnom obliku pohranjeni na smart-kartici. Smart-kartica se uveliko razlikuje od kreditne kartice uprkos sličnostima u obliku i veličini. Dok je u unutrašnjost smart-kartice umetnut 8-bitni mikroprocesor, normalna kreditna kartica u potpunost je sačinjena od plastike. Prednost ove tehnologije jeste iznimno visok stepen sigurnosti. Naime, još uvijek nije zabilježen niti jedan slučaj provaljivanja ili zlouporabe bankarske transakcije na Internetu u kojoj su se korisnici autorizirali ovom metodom. Kod korištenja usluga Internet bankarstva kao najbolja metoda autorizacije ističe se token, koji predstavlja kompromis između cijene i učinkovitosti. Korištenje tokena smanjuje rizik od neovlaštenog pristupa podacima, a ne zahtjeva nikakva financijska ulaganja od strane korisnika. Token je uređaj nalik džepnom kalkulatoru. Takav uređaj se ustupa klijentu na privremeno korištenje prilikom registracije za uslugu Internet bankarstva. Prilikom odjave usluge klijent je dužan vratiti uređaj u podružnici u kojoj ga je zaprimio. Numeričke tipke na tokenu omogućavaju korisniku unos PIN-a (Personal Identification Number) koji je nužan za uspješnu autorizaciju kod samog tokena. PIN je broj od četiri do osam znamenaka kojeg korisniku ustupa banka. Nakon prve autorizacije korisnik ima mogućnost promijeniti PIN za otključavanje uređaja. Nakon autorizacije token generira niz brojeva koji se zajedno sa serijskim brojem tokena mora unijeti u aplikaciju. Serijski broj svakog tokena je jedinstven i sačinjava dio kriptografskog ključa koji omogućuje generiranje dinamičkog koda za pristup mreži. Da bi se spriječilo presretanje podataka u mreži, postoje i drugi načini zaštite kao što je zaštita putanje kojom se vrši protok podataka. Pri autorizaciji i validaciji podataka poslužitelj generira challenge, odnosno numeričku vrijednost sačinjenu od šest znamenaka. Te se znamenke dobiju iz datuma, vremena izvođenja transakcije i same novčane vrijednosti transakcije. Da bi se uspješno provela transakcija, klijent mora utipkati challenge u token koji nakon toga generira challenge response. Challenge response se također sastoji od šest znamenaka i valjan je samo za izvođenje trenutne transakcije. Poslužitelj na temelju challenge niza izračunava ispravni challenge response niz i uspoređuje ga s nizom kojeg unosi korisnik kako bi potvrdio integritet transakcije. Broj kojeg token generira za jednokratnu je upotrebu, odnosno ne postoji mogućnost ponavljanja generiranog niza. Klijent ima na raspolaganju određeni vremenski period u kojem mora unijeti generirani niz. Taj period traje od 30 do 60 sekundi nakon čega se token automatski isključuje. Ovakav model autorizacije koji se sastoji od dva faktora (serijskog broja tokena i niza brojeva koje token generira) omogućava računaru u banci da jednoznačno identificira klijenta te mu omogući pristup svim njegovim računima. Dakle, sigurnosni mehanizam ugrađen u token je usklađen s poslužiteljem koji provjerava parametre autorizacije. Ukoliko klijent unese neispravan PIN nekoliko puta za redom, najčešće tri puta, token se automatski zaključa. Administrator je jedina autorizirana osoba za otključavanje uređaja. Ukoliko se ipak unese neispravan kod za autorizaciju korisnika, web aplikacija se terminira. Svaki takav pokušaj
  19. 19. E-banking i sigurnost tehničkih rješenja za Internet transakcije 19 zabilježi se kod poslužitelja. Administrator pregledava zabilješke i na taj način može uočiti sumnjive radnje pri autorizaciji. Prednost tokena pred TAN-ovima je jednostavna administracija. Nakon što jednom ustupi token klijentu na korištenje, banka se ne mora brinuti oko njegove daljnje autorizacije, kao što je to u slučaju TAN-ova. Nedostatak tokena je to što klijent mora uređaj nositi sa sobom ukoliko želi obaviti neku bankarsku transakciju na različitim mjestima. Uz navedeno tu je još i velika i nepregledna količina brojeva koja se mora utipkivati u web-aplikaciju. Autorizacija putem TAN-ova obično podrazumijeva list papira s pedesetak ili stotinjak nizova znamenaka koje klijent zaprima od banke. Kada klijent iskoristi sve nizove s liste, banka mu poštom šalje novu listu. Pojedine banke izdaju karticu s određenim brojem TAN-ova koje tada korisnik kružno koristi pri čemu nema potrebe za zaprimanjem novih TAN-ova. TAN- ovi izgledaju poput telefonskih brojeva pa je time smanjena opasnost zloupotrebe u slučaju krađe ili provale. Prednost ove metode autorizacije jest to što ne zahtjeva nošenje uređaja za obavljanje bankarskih transakcija. Korisnik može sa sobom uvijek imati spisak TAN-ova u slučaju potrebe za obavljanjem neke transakcije. S druge strane veliki nedostatak TAN-ova čini teška administracija. Naime, banka mora čuvati u svojoj bazi popis TAN-ova za svakog klijenta, kako potrošenih, tako i tek dodijeljenih TAN-ova. Korisnicima koji obavljaju i po nekoliko transakcija na dan ova metoda nipošto nije praktična. Metoda autentifikacije pomoću TAN-ova sve je manje u upotrebi, i najčešće je koriste fizička lica, dok pravna lica isključivo koriste pametne kartice, kao najveći stepen sigurnosti. Slika 2. Primjer TAN-ova Prilikom posjete softverskoj firmi comTrade analizirane su i TAN liste kao jedan vid sigurnosti prilikom internet transakcija. Stručnjaci u oblasti e-bankinga smatraju da su TAN- ovi „low level security“, te ih nerado implementiraju u sisteme banaka. Međutim, i uprkos upoznavanja sa svim negativnostima koje može donijeti nizak nivo sigurnosti TAN-ova, banke prihvataju ponude izrađene od strane softverskih firmi. U svakoj ponudi su navedeni i svi mogući rizici upotrebe, konkretno u slučaju korištenja TAN-ova, navedeni su napadi
  20. 20. E-banking i sigurnost tehničkih rješenja za Internet transakcije 20 poput Man in the middle-a, sniffing-a i drugih. Najčešći razlog za isto su određene procedure po kojima banke rade, samo ovdje se postavlja pitanje koliko su te procedute dovoljno praktične. Ono čime se osiguravaju softverske firme jeste da broj TAN-ova bude konačan, da traje određeni period, te da je isključivo namjenjen fizičkim osobama, koje imaju samo određeni nivo prava prilikom e-transakcija. Međutim koliko je sigurna sama transakcija između bankarskih uposlenika i klijenta, jer ipak se svodi na „manuelnu“ razmjenu koverte sa podacima. Također klijent daje banci svoju privatnu e-mail adresu, na koju mu dolazi username i password za prvu prijavu u e-banking. U nastavku je prikazan prozor za korištenje e-bankinga za fizičke i pravne osobe. Putem ovog prozora, klijent na osnovu imena i passworda (8-znamenkastog, najčešće po default-u skup karaktera „12345678“) pristupa usluzi e-bankinga. Slika 3. Hyponet za fizička lica Slika 4. Hyponet za pravna lica
  21. 21. E-banking i sigurnost tehničkih rješenja za Internet transakcije 21 Ako detaljnije analiziramo ovu vezu primjetiti ćemo da se koristi HTTPS protokol. HTTPS koristi SSL/TSL za zaštitu i skrivanje podataka. Kao što se može vidjeti na narednoj slici, SSL certiikat koji koristi HYPO-ALPE-ADRIA BANK je izdat od strane VeriSign, Inc organizacije, te ističe 10.12.2012. godine. Također koriste se hash funkcije SHA1 i MD5, koje otvoreni tekst preslikavaju u „otisak dokument“ prilikom provjere elektronskog potpisa. Slika 5. Pregled certifikata za www.e-hypo.ba
  22. 22. E-banking i sigurnost tehničkih rješenja za Internet transakcije 22 U narednom primjeru je prikazan pristup aplikaciji HYPONET od strane fizičkog korisnika. Slika 6. Pristup hyponetu Nakon prvog pokušaja pristupa hyponetu tražiti će se promjena passworda. Podešeno je ograničenje da korisnici ne mogu unijeti password manji od 8-znakova. Slika 7. Hyponet login Prilikom promjene passworda, bio je pokušaj unosa passworda koji je predstavljao kombinaciju slučajnih karaktera, gdje je prvi karakter bilo veliko slovo, nakon kojeg je
  23. 23. E-banking i sigurnost tehničkih rješenja za Internet transakcije 23 uslijedio niz malih slova i brojeva, i iz „nekog“ razloga je javljena greška, da li je ovo jedan od sigurnosnih propusta ili ipak ne, ostaje otvoreno pitanje. Fizičko lice može vršiti naloge, pregled svih aktivnih računa, kao i ostale pojedinosti. Za plaćanje, konkretno u navedenom primjeru korisnik koristi TAN-ove. Primjećeno je da se ponekad transakcija obavi bez traženja TAN-a, što je sasvim nelogično i dovodi upitnost cijelog sistema. Za odgovor na ovo pitanje potrebna je itekako detaljnija analiza sistema. Svaki sistem ima svoje mane, tako da je primjećeno da se prilikom korištenja određene e- banking usluge na datum 15.8.2012. još uvijek su bile navedene transakcije sa 13.08., te se ovdje postavlja pitanje kašnjenja usljed „sharinga“ podataka između bankomata i core banking sistema, te core banking sistema i samih e-banking sistema. Izvršena je analiza saobraćaja putem mrežnog analizatora saobraćaja Wireshark-a. Slika 8. Analiza snimljenog saobraćaja putem mrežnog analizatora Wireshark-a
  24. 24. E-banking i sigurnost tehničkih rješenja za Internet transakcije 24 Slika 9. SSL protokol, Client Hello poruka
  25. 25. E-banking i sigurnost tehničkih rješenja za Internet transakcije 25 Slika 10. TLSv1 protokol, prenos aplikacijskih podataka (application data)
  26. 26. E-banking i sigurnost tehničkih rješenja za Internet transakcije 26 Na narednoj slici je prikazan grafik, na kojem je može uočiti tok razmijene podataka. Slika 11. Flow graph Core Banking Hypo-Alpe-Adria-Banke se nalazi u Beogradu. Hyponet je aplikacija koju je „napravio“ Hermes SoftLab, današnji ComTrade, koji vrši održavanje hyponet on-line aplikacije. Pristup Hyponet-u je on-line, a moguć je na više načina: 1. Pomoću TAN-ova; 2. Tokena; 3. Pametne kartice. Također, hyponet se razlikuje za fizička lica i pravne osobe. Sva administracija Hyponeta od strane banke vrši se u Mostaru. Na sljedećoj slici je dat šematski prikaz veze hyponeta i core bankinga.
  27. 27. E-banking i sigurnost tehničkih rješenja za Internet transakcije 27 Y Značenje«Y» Svikorisnicikojiseodlučezahyponet,automatskipostaju Dioskupahyponetkorisnika. Sinhronizacijavremena->nesmijebitikašnjenja Slika 12. Povezivanje e-banking usluge (primjer hyponet) i core banking-a Razmijena podataka vrši se pomoću određenih poruka. Integracije su automatske, vrše se u noćnom periodu svaki dan, a također za određene potrebe administrator može uvijek pokrenuti manuelno integraciju. Kašnjenja „nema“, niti smije biti. Što se tiče veze između ova dva povezana stuba, riječ je o iznajmljenim linijama. TAN liste, kao što je već spomenuto predstavljaju low level sigurnosti, i kao takve isključivo su namijenjene samo za fizička lica, a nikako za pravne osobe. Prilikom analize e-banking sistema Hypo banke, posjećen je i bazini dio sistema u Mostaru. U prilogu se nalazi slika iz serverske sobe.
  28. 28. E-banking i sigurnost tehničkih rješenja za Internet transakcije 28 Slika 13. Real system e-bankinga Hypo banke Korištenje virtuelnih servera kao jednog od stabilnijih rješenja: Slika 14. Viruelni serveri hypo banke
  29. 29. E-banking i sigurnost tehničkih rješenja za Internet transakcije 29 Slika 15. Dio CA servera Na prethodnoj slici je predstavljen dio CA servera, koji predstavlja jedini uređaj koji predstavlja dio e-banking sistema, a koji nije umrežen. VeriSign je poznata kompanija kojoj banka plaća usluge korištenja cetifikata. Da bi banka koristila usluge VeriSigna na tri godine, to košta cca 2.500,00 EURa. Slika 16. Pristup CA
  30. 30. E-banking i sigurnost tehničkih rješenja za Internet transakcije 30 Na prethodnoj slici naznačeni dijelovi predstavljaju pametnu karticu i čitača pametnih kartica. Kako bi administrator određenoj pametnoj kartici dodao certifikat, potrebno je da ručno pristupi CA, i da naravno preko mašine kojoj pristupa CA, bude priključen čitač kartica. Nakon što administartor ubaci karticu, koristi tkz. ActivCard Gold. To je programski paket, koji upotrebom kartice i čitača kartice ili USB ActivKey-a osigurava najviši nivo sigurnosti autentifikacije korisnika. Slika 17. Pristup ActivCard Gold Slika 18. ActiveCard Gold certificate properties
  31. 31. E-banking i sigurnost tehničkih rješenja za Internet transakcije 31 Analizirajući sistem koristi dužinu ključa od 1024 i hash algoritam SHA-1. Kada administrator doda digitalni certifikat, onda se automatski podaci prenose preko serijskog broja u aplikaciju. Također kao vid zaštite banka koristi ISA (Internet Security and Acceleration Server) server, koji je predstavljen na narednoj slici. ISA Server omogućava dva bazična servisa koji se odnose na firewall i Web proxy/web cache poslužitelj. ISA Server administratorima omogućuje stvaranje politike za regulisanje nivoa pristupa koji može biti baziran na korisniku, grupi, aplikaciji, odredištu, i sličnim kriterijima. Slika 19. ISA server 5. SSL PROTOKOL SSL je nastao kao Netscape, verzija 2.3, 3.1, dok je TLS IETF protokol, i njegova prva verzija može se posmatrati kao SSLv3.1. SSL/TLS predstavljaju najpopularnije prenosne sigurnosne protokole. SSL je baziran na konekciono-orijentisanom i pouzdanom servisu kakav je TCP. U mogućnosti je osigurati sigurnosne usluge za bilo koje TCP-bazirane aplikacijske protokole, kao što su HTTP, FTP, TELNET,... Upotreba SSL protokola omogućuje višu razinu privatnosti i sigurnosti od nešifrirane internetske veze. On smanjuje opasnost da treće strane presretnu i zloupotrijebe podatke. Brojni posjetitelji web-lokacija smatraju da je dijeljenje podataka o plaćanju i ostalih osobnih podataka sigurnije ako koriste SSL vezu. SSL je neovisan od aplikacije, i pruža sljedeće usluge: Klijent-poslužitelj provjeru autentičnosti; Tajnost podataka; Provjera podataka izvora; Integritet podataka.
  32. 32. E-banking i sigurnost tehničkih rješenja za Internet transakcije 32 Što se zapravo događa s porukom koja prolazi kroz SSL? Poruka se prije slanja kriptira, a nakon što je druga strana primila takvu poruku, ona je dekriptira te provjerava pošiljaoca i izvornost poruke. Iz navedenog naslućuju se osobine privatnost, autentičnost i integritet poruke (princip AAA). Na sljedećoj slici je prikazana funkcionalana upotreba SSL protokola: Slika 20. Upotreba SSL protokola [1] [1] WEB Security: Secure Socket Layer Cunsheng Ding, HKUST, Hong Kong, CHINA SSL protokol stack je prikaza na narednoj slici. SSL Handshake Protocol SSL Chiper Change Protocol SSL Alert Protocol Application Protocol kao HTTP SSL Record Protocol TCP IP Slika 21. SSL protokol stack SSL rekord protokol je odgovoran za integritet i šifriranje podataka. Ostala tri protokola obuhvaćaju područja sjednice upravljanje, kriptografskog parametar upravljanja i prenosa SSL poruka između klijenta i poslužitelja.
  33. 33. E-banking i sigurnost tehničkih rješenja za Internet transakcije 33 5.1 ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI U današnje vrijeme cyber kriminala, u svim sektorima IT tehnologije najveća pažnja se daje sigurnosti podataka klijenata, a posebno kada su u pitanju internet transakcije. Najbitniji zahtjevi za svaki sistem i proces u financijskom sektoru su osiguranje identiteta klijenta, tajnost podataka transakcije, integritet transakcija i neporecivost. Dinamička lozinka (OTP – one time password) – predstavlja jednostavno rješenje za jednostavnu i sigurnu identifikaciju na web servise, potpisivanje transakcija te osiguranje identiteta. Zbog napretka u tehnikama i alatima koje napadači koriste za razbijanje statičkih lozinki sve češće se koriste druge, naprednije tehnike sigurne autentikacije korisnika. Jedna od tih tehnika je upravo i korištenje jednokratnih lozinki (eng. One-time Password). Uzevši u obzir učestalost otuđivanja ili pokušaja otuđivanja povjerljivih podataka, pogotovo kada su u pitanju bankarski sistemi i pristup udaljenim računarima (eng. Remote Access), korisnike je potrebno zaštititi kod pristupa uslugama kojima se pristupa putem javne (nezaštićene) mreže -Interneta. Jednokratne lozinke smanjuju mogućnost neovlaštenog pristupa povjerljivim podacima (korisnička imena, lozinke, brojevi kreditnih kartica, itd.), informacijama i/ili datotekama jer istu lozinku nije moguće upotrijebiti više nego jednom, a za svaku sljedeću prijavu u sistem potrebno je generisati novu lozinku. Ako napadač otuđi upotrijebljenu jednokratnu lozinku od nje neće imati nikakve koristi. Kada korisnik želi pristupiti svojim podacima ili datotekama, generiše se jednokratna lozinka za pristup. Tu lozinku više nije moguće koristiti za sljedeću prijavu. Kako i samo ime kaže, metoda generiranja jednokratnih lozinki se temelji na stvaranju jedinstvenih jednokratnih lozinki koje će korisniku omogućiti zaštitu od krađe podataka i informacija. Za razliku od jednokratnih, statičke lozinke se ne mijenjaju (osim na zahtjev korisnika). Korisnik unosi korisničko ime i lozinku kako bi dokazao svoj identitet, pri čemu su obje informacije iste kod svakog sljedećeg unosa. Ako napadač otuđi korisničko ime i statičku lozinku, dobiva pristup usluzi. Za razliku od statičkih lozinki, ako napadač otuđi jednokratnu lozinku neće je moći upotrijebiti jer istu lozinku nije moguće upotrijebiti više nego jednom. U većini slučajeva, prilikom korištenja metode jednokratnih lozinki korisničko ime ostaje isto, a lozinka se mijenja (kod svakog zahtjeva za pristup usluzi generira se nova jednokratna lozinka, različita od prethodne). [5] Jednokratne lozinke su oblik „jake autentikacije“, koja pruža veću razinu zaštite i koriste se za bankovne transakcije preko Interneta, mrežnim sistemima u firmama i drugim sistemima koji sadrže osjetljive i povjerljive informacije. Najčešće kod ovakvih sistema za generisanje jednokratnih šifri sistem zahtjeva prvobitni unos statičke lozinke koju korisnik/klijent dobiva od proizvođača, odnosno ponuđača usluge. Uz pomoć statičke lozinke pomoću posebnih algoritama se generišu jednokratne lozinke/šifre koje se npr koriste za obavljanje transakcija u bankarskim sistemima ili slično. Generisanjem nove jednokratne lozinke pri svakoj prijavi, korisnik osigurava svoje informacije. Jednokratne lozinke štite korisnike od phishing i pharming napada, te štete koja se otkrivanjem povjerljivih informacija može prouzročiti (krađa i zlouporaba identiteta, financijska šteta, itd.). Prilikom otvaranja računa u banci i traženja usluga e-bankinga, korisnik bira da li će koristiti TAN-ove, pametne kartice ili otp i usb tokene, u zavisnosti šta sve banka nudi. Sve ima svoju cijenu, tako i u ovom slučaju, veća sigurnost znači i veća novčana naknada. Pošto su TAN liste besplatne, banka je ograničila da pravna lica ne mogu koristiti TAN liste. Također moguće je i uvrstiti dodatnu komponentu- vrijeme u cijelu ovu priču, sve s' ciljem veće sigurnosti. Unutar uređaja postoji tačan vremenski sklop koji je sinkroniziran sa glavnim poslužiteljem. Samim time, bilo kakav vid
  34. 34. E-banking i sigurnost tehničkih rješenja za Internet transakcije 34 desinhronizacije i kašnjenja nije dozvoljen. Kao što i sam naziv sugeriše, sistemi koji se temelje na vremenskoj sinkronizaciji, za generiranje jednokratnih lozinki koriste vremensku komponentu. Uređaj generiše jednokratnu lozinku upravo na temelju vremena te, za razliku od ostalih sistema, u nekim slučajevima nije potrebna korisnikova statička lozinka ili tajni podatak. Za generiranje jednokratnih lozinki ovom tehnikom moguće je koristiti i mobilne uređaje. Vremenski sinkronizirani uređaj kojim se generiraju jednokratne lozinke sadrži prethodno uneseni ključ kojim proizvođač raspoznaje korisnike (svaki korisnik ima različiti ključ). U vremenskim razmacima od 30 do 60 sekundi uređaj generira jednokratne lozinke temeljene na ključu. Korisniku se potom na zaslonu uređaja ispisuje jednokratna lozinka koju u kombinaciji sa svojom statičkom lozinkom (npr. PIN) koristi kako bi dokazao ili potvrdio svoj identitet. Važno je napomenuti da ne postoji mogućnost da uređaj u dva različita vremenska trenutka generira istu lozinku. Jednokratnu lozinku prikazanu na zaslonu uređaja moguće je iskoristiti u određenom vremenskom razmaku (najčešće 2 minute). Po isteku tog vremena poslužitelj više neće prihvaćati lozinku kao važeću, te će korisnik morati generirati novu lozinku putem uređaja. Postupak kod autentikacije ovom tehnikom je sljedeći: 1. Korisnik se pomoću Internet preglednika spoji na interfejs za autentikaciju (npr. web stranica banke). U interfejs za autentikaciju korisnik unese svoj PIN. 2. Korisnik pokreće postupak generiranja jednokratne lozinke uključivanjem tokena. Token pomoću vremenskog sklopa i unaprijed upisanog ključa generira jednokratnu lozinku. Korisnik potom upiše prikazanu jednokratnu lozinku u sučelje za autentikaciju. 3. Poslužitelj istovremeno generira jednokratnu lozinku. 4. Poslužitelj uspoređuje generiranu lozinku s lozinkom koju je unio korisnik. 5. Ukoliko su lozinka koju je generirao korisnik i ona koju je generirao poslužitelj jednake, poslužitelj će korisniku odobriti pristup. U protivnom, poslužitelj će odbiti korisnikov zahtjev. Važno je napomenuti da ako napadač uspije otuđiti jednokratnu lozinku (npr. presretanjem mrežnih paketa) po isteku njezinog vremenskog roka valjanosti ili nakon što je upotrijebljena, neće imati nikakve koristi od lozinke jer je poslužitelj neće priznati. U bankovnim sistemima, najčešće korišteni uređaji za autentifikaciju su upravo tokeni. Sigurnosni token (eng. security token) je fizički uređaj koji korisnik koristi kako bi elektroničkim putem dokazao ili potvrdio svoj identitet. Slika 22. Primjer token-a
  35. 35. E-banking i sigurnost tehničkih rješenja za Internet transakcije 35 Tehnologija koja se koristi u ovim uređajima je vremenski sinkronizirana ili se temelji na upitu (eng. challenge based). Za tokene koji se temelje na upitu potreban je poslužitelj koji će korisniku poslati upit. Taj upit se unosi u token kako bi se generirala jednokratna lozinka. Tehnike sinkronizacije zahtijevaju da token i poslužitelj istovremeno generiraju jednokratnu lozinku koristeći iste parametre (npr. redni broj pokušaja ili vrijeme). Ako su jednokratne lozinke generirane na poslužitelju i tokenu jednake, autentifikacija je uspješna. Tokeni moraju zadovoljavati određene ISO standarde (ISO 13491-1:2007, ISO DIS 13491-2, ISO 9564, ISO 16609, ISO 11568) kojima se propisuju radne karakteristike uređaja, kriptografski procesi koje koriste uređaji, načini zaštite uređaja i kojima se standardizira način autentikacije. Tokeni su obično dovoljno maleni kako bi ih korisnici mogli nositi sa sobom. Većina tokena ima kućište koje je gotovo nemoguće otvoriti ili sklop koji onesposobi i uništi uređaj kada se poklopac otvori kako ne bi bilo moguće kopirati tehnologiju i tako naštetiti drugim korisnicima. Postoji više vrsta tokena podijeljenih s obzirom na način pokretanja, a to su: • tokeni koje se pokreću statičkom lozinkom, • tokeni koje se pokreću jednokratnom sinkroniziranom lozinkom, • tokeni koje se pokreću jednokratnom lozinkom koja nije usklađena sa poslužiteljem i • tokeni koji se pokreću upitom. Jednostavnim sigurnosnim tokenima nije potrebna izravna veza sa računarom korisnika. Naprednije vrste tokena zahtijevaju neki oblik veze sa računarom (npr. USB ili Bluetooth) kako bi stupili u kontakt sa poslužiteljem. Iz ovoga slijedi podjela tokena prema načinu spajanja: • tokeni koje je potrebno fizički spojiti na računar, npr. putem USB-a, su tokeni koji će nakon spajanja na računar ispisati autentikacijske podatke na računaru korisnika. Za upotrebu ovakvih tokena potrebni su pokretački programi. Ovakvi tokeni se najčešće koriste pri autentikaciji korisnika kod spajanja na neki zaštićeni mrežni sistem. • tokeni koje je potrebno spojiti na računar ili poslužitelj bežičnom vezom, npr. Bluetooth vezom, obično ne zahtijevaju od korisnika unos statičke lozinke. Spajaju se na računalo korisnika, kako je već ranije naglašeno nekom vrstom bežične veze. Jedino ograničenje kod ove vrste tokena je životni vijek i trajanje baterije koja ih pogoni. Vrlo često se koriste za provođenje transakcija putem Interneta (npr. kupovine putem Interneta). • tokeni koje nije potrebno spajati nikakvom vezom su najčešće korištena vrsta tokena. Da bi korisnik generirao jednokratnu lozinku potrebna mu je statička lozinka. Za komunikaciju s korisnikom u ovu vrstu tokena ugrađeni su zaslon i tipkovnica kojom se korisnik služi kako bi generirao jednokratnu lozinku. Ova vrsta tokena najčešće se koristi kod usluge Internet bankarstva. Kao što u svakodnevnici sve se pojednostavljuje softverom, potencijalna poboljšanja problematike sigurnosti e-bankarstva ogledala bi se u programima, jer tada token ne bi morao fizički biti prisutan kada god se bude željela obaviti transakcija. Programski alati za generiranje jednokratnih lozinki su namijenjeni za upotrebu na osobnim računarima,
  36. 36. E-banking i sigurnost tehničkih rješenja za Internet transakcije 36 prenosnim računarima, džepnim računarima ili mobilnim telefonima. Programi za generisanje jednokratnih lozinki su osjetljiviji od fizičkih uređaja jer su izloženi zlonamjernim programima kojim se može zaraziti korisnički računar (npr. virusi, crvi, keyloggeri, itd.). Programi imaju određene prednosti nad fizičkim uređajima: • nije potrebno posjedovati fizički uređaj; • kod programa, za razliku od fizičkih uređaja, nije potrebno posebno održavanje (baterije); • programi su ekonomski isplativiji. Postoje dvije metode na kojima se temelje programi za generiranje jednokratnih lozinki: • dijeljena tajna (eng. shared secret); • kriptografija s javnim ključem (eng. Public-key cryptography). Dijeljena tajna je podatak poznat samo osobama koje sudjeluju u zaštićenoj komunikaciji. To može biti tajna riječ, rečenica, broj s velikim brojem znamenaka ili polje nasumično odabranih podataka. U slučaju da se tajna dodjeljuje korisnicima prije početka komunikacije, ista se naziva unaprijed dijeljena tajna (eng. pre-shared key). Također je moguće pri početku komunikacije uspostaviti dijeljenu tajnu uz pomoć protokola za uspostavljanje dijeljenih ključeva. Kod kriptografije s javnim ključem se koriste asimetrični algoritmi za šifriranje pomoću ključeva, tj. algoritam za šifriranje nije isti kao i algoritam za dešifriranje. Svaki korisnik ima dva ključa, javni i osobni ključ. Osobni ključ je korisnikova tajna, dok javni ključ može biti poznat većem broju osoba. Poruke koje korisnik šalje se šifriraju javnim ključem, ali ih je moguće dešifrirati jedino odgovarajućim osobnim ključem. Dakle, velik broj osoba može primiti ili čak presresti poruku, ali je dešifrirati može jedino osoba koja ima odgovarajući osobni ključ (tj. osoba kojoj je poruka upućena). Prednost ovakvog pristupa je visoka razina sigurnosti poruka koje izmjenjuju korisnici međusobno ili pri komunikaciji sa poslužiteljem. Postoji jako veliki broj programa koji predstavljaju generatore slučajnih brojeva. Pošto su TAN-ovi, tokeni i ostale šifre u sistemu e-bankinga 8-znamenkaste, uz pomoć jednostavnog koda u Matlabu napraviti ćemo generator slučajnih znakova. s = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'; numRands = length(s); sLength = 8; randString = s( round(rand(1,sLength)*numRands) ) Slika 23. Kod u Matlabu- generator slučajnih brojeva S' obzirom da generator napravljen na osnovu prethodnog koda, uključuje i velika i mala slova, može se reći da je itekako funkcionalniji od običnih šifri koje ne uključuju kombinaciju
  37. 37. E-banking i sigurnost tehničkih rješenja za Internet transakcije 37 malih-velikih slova, jer aplikacije na kojima rade nisu case-sensitive. Funkcionalnost ovakvog' generatora ogleda se u većem broju slučajnih kombinacija, a veći broj kombinacija znači manju ranjivost. 6. MEHANIZMI NARUŠAVANJA SIGURNOSTI Na Interetu se može pronaći jako puno tekstova i video klipova koji nose naslove slične „Breaking HTTPS/SSL“, „Your mail and bank account are NOT safe“, a koliko to sve utiče na obične korisnike, je vrlo relativno. Na većini bankovnih stranica kada se odgovara na pitanja koliko su sigurni account-i, uvijek se spominje da je stranica kriptovana SSL-om, tj. da se koristi HTTPS sigurnosni protokol, kojeg je jednostavno nemoguće probiti. Trebale bi godine i godine da bi se to uspjelo. Međutim, to nije jedini način. Uvijek postoji zaobilazni put, pa tako i ovom slučaju, i to ne jedan. Broj zaobilaznih puteva dolaska do skrivenih podataka, iz dana u dan se povećava. HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi HTTPS za internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na portu 443 za komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i druge web stranice kao što su PayPal, Amazon, itd. Pogledajmo na narednoj slici od čega se sastoji HTTPS protokol: Slika 24. Sastav HTTPS-a Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo: netstat –an :
  38. 38. E-banking i sigurnost tehničkih rješenja za Internet transakcije 38 Slika 25. Naredba netstat-an u cmd Kao što možemo vidjeti na narednoj slici, klijentski računar je otvorio slučajne lokalne portove i otvorenen je port 443 na strani poslužitelja. Slika 26. Isječak naredbe netstat-an Logika razmišljanja je sljedeća: ukoliko je potreban jako dug vremenski period za probijanje HTTPS-a, onda ne treba napasti direktno HTTPS protokol, već pokušati zaobići njegovu S- sekvencu, tj. pokušati zaobići ono što ga čini sigurnim, zaobići SSL. Rješenje za ovu ideju predstavlja tkz. SSLStrip. Putem napada Man in the Middle uz pomoć SSLStrip-a moguće je saznati željene passworde. Kako bi se izvršio Man in the middle napad potrebno je sljedeće:
  39. 39. E-banking i sigurnost tehničkih rješenja za Internet transakcije 39 1.Linux OS 2. Arpspoof 3. IPTables 4. SSLStrip 5. NetStat BackTrack potiče brz i jednostavan način kako pronaći i ažurirati najveću bazu podataka sigurnosnih alata. Za demonstraciju u nastavku koristiti će se BackTrack verzija 3. Slika 27. Shell BackTrack-a 3 izdanje Nakon pokretanja BackTrack-a i otvaranja njegovog linux okruženja u shell-u kucamo sljedeće: 1. echo '1' > /proc/sys/net/ipv4/ip_forward // Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru. 2. Saznati adresu mrežnog gatewaya netstat –nr
  40. 40. E-banking i sigurnost tehničkih rješenja za Internet transakcije 40 Slika 28. Echo i netstat naredba Putem jednostavne naredbe ifconfig moguće je saznati i adresu hosta. Slika 29. Ifconfig naredba
  41. 41. E-banking i sigurnost tehničkih rješenja za Internet transakcije 41 3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack. arpspoof -i eth0 77.78.248.141 4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju HTTPS raskrivanje napada koji su izneseni na Black Hat DC 2009. To će transparentno oteti HTTP promet na mreži, gledati https veze i preusmjeravanja, a zatim mapirati veze u dvojne HTTP veze ili homografski slične HTTPS veze. 4.1 Download-ovati SSLStrip Slika 30. Download sslstrip-0.9.tar.gz 4.2 tar zxvf sslstrip-0.9.tar.gz Slika 31. Otpakivanje sslstrip-a
  42. 42. E-banking i sigurnost tehničkih rješenja za Internet transakcije 42 4.3 cd sslstrip-0.9 4.4 python setup.py install 5. Izvršenje SSL Strip napada 5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080 Slika 32. Iptables komanda // Potrebno je podesiti firewall pravilo preko naredbe iptables, na način da se omogući preusmjerenje upita sa porta 80 na 8080. 5.1.1 python sslstrip.py –w secret Slika 33. Kreiranje secret log fajla Ovom stavkom kreiran je „secret file“ u kojem će biti navedeni logovi, čime ćemo ustvari skinuti „s“ sa https-a, i postići željeno.
  43. 43. E-banking i sigurnost tehničkih rješenja za Internet transakcije 43 Slika 33. Izvršavanje Arpspoof naredbe 5.2 echo '1' > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 77.78.248.141 77.78.248.1 Nakon setovanja iptables-a potrebno je preusmjeriti cijeli HTTP promet na naš računar, preko naredbe arpspoof. Nakon što sve radi kako treba, može se primijetiti ARPSpoof hvata mrežni promet, zatim sljedeći korak je pokretanje SSL Strip-a otvarajući novi terminal (CTRL + ALT + T). Nakon što se prikupi dovoljno podataka, za zaustavljanje ARPSpoof-a u SSLStrip-a potrebno je korisititi: CTRL + C. Slika 34. Secret log fajl opcije
  44. 44. E-banking i sigurnost tehničkih rješenja za Internet transakcije 44 Slika 35. Secret log fajl Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na sljedeći način: Slika 36. Pristup PayPal računu preko HTTP-a Analogno napadu na e-mail account moguće je izvršiti i napad na bilo koji račun, između ostalih i PayPal račun.
  45. 45. E-banking i sigurnost tehničkih rješenja za Internet transakcije 45 Slika 37. PayPal login „zaštićen“ SSL-om Također, moguće je vidjeti jednostavnu formu zapisa passworda, nakon što pogledamo „source“ na Properties opciji za PayPal. Primijetiti ćemo da je ista kao kod zapisa log.fajla, te da je „poprilično“ čitljiva. Slika 38. Source code PayPal-a
  46. 46. E-banking i sigurnost tehničkih rješenja za Internet transakcije 46 Moguća prevencija od SSL Strip napada je: Ukoliko se koristi javna mreža poput internet caffe-a, Hotspot unsecured-a, itd. potrebno je minimizirati prijavljivanje na svoj osobni račun. Drugo rješenje je da se koristi SSH tuneliranje. 6.1 PRIMJERI USPJEŠNIH NAPADA Sve više novca se prenosi putem Internata putem e-bankarstva, samim time raste i broj tkz. cyber kriminalaca. Oni koriste slabosti Interneta i aplikacija kako bi izvršili nelegalne transfere novca. Napadači koriste nekoliko metoda prikupljanja informacija potrebnih za izvođenje pljački. Jedna od njih je poznata phishing tehnika napada. Phishing se temelji na slanju lažiranih poruka elektroničke pošte u kojima se navodi korisnika da otkrije osjetljive podatke. Pored phishing metode napadači koriste zloćudne programe kao što su trojanski konji. Trojanski konji se instaliraju na korisnikov računar i prate sve njegove aktivnosti, te prikuplajju podatke potrebne za pristup e-banking uslugama. Za praćenje korisnikovih (žrtvinih) aktivnosti, tj unosa znakova sa tastature, hakeri koriste alat poput keylogger-a. Pharming je također jedna od metoda za krađu povjerljivih pristupnih kodova. Ona radi na principu usmjeravanja user-a na tkz. rogue server. Mnoge velike tvrtke, posebno banke često skrivaju činjenicu da ih je netko opljačkao elektroničkim putem zbog toga što bi to značilo da njihov sistem nije dovoljno siguran, i sve ukupno bi predstavljalo lošu reklamu za poslovanje. Ukoliko bi takve informacije došle u javnost izazvale bi paniku kod klijenata banke i povlačenje novca iz banke, što bi automatski prouzrokovalo propast banke. Inicijalni korak tokom pljačke se temelji na socijalnom inžinjeringu - pljačkaši potencijalnoj žrtvi upućuju phishing e-mail - "pecarošku" poruku elektroničke pošte koja sadrži maskiranu poveznicu na web-stranicu koja vrši instalaciju zloćudnog softvera. Iako se čini da bi prepoznavanje i ignoriranje ovakve komunikacije trebalo biti dio elementarnog znanja i sposobnosti današnjeg korisnika elektroničke pošte, postoje kategorije korisnika koje su u tom pogledu u vrlo nezavidnoj situaciji. [3] Svi elementi poruke koje programi za čitanje elektroničke pošte prikazuju na korisničkom interfejsu se lako krivotvore, a svako uključen u gusto umreženi korporativni svijet i svaki vlasnik privatnog biznisa ne može riskirati da ignorira poštu koja dolazi od nadređenih, koja dolazi od važnih klijenata, u kojoj "izgubljeni" klijenti traže hitnu pomoć i šalju podatke ili traže stvari koje možda ne bi smijeli pisati u e-mailu, u kojoj zainteresirani potencijalni novi klijent uspostavlja inicijalni kontakt. Svaki korisnik elektroničke pošte je potencijalni „naivac“ i žrtva. Potrebno je dakle zaključiti da kao odbrana od ovakve vrste socijalnog inžinjeringa bitni su sistemski alati za odbranu - programi za zaštitu od virusa i drugih malwarea, kao naravno i edukacija.
  47. 47. E-banking i sigurnost tehničkih rješenja za Internet transakcije 47 Zeus i SpyEye su alati pomoću kojih se izrađuju prilagođeni programi za nadzor računara. Jednom instalirani na računar koriste se za izmjenu izgleda obrazaca na web stranicama, sakupljanje određenih informacija i njihovo proslijeđivanje zlonamjernom napadaču. Glavna namjena tih alata je da uljezu osiguraju autentifikacijske podatke žrtve. Pri tome mu omogućuju da definira sadržaj koji će se injektirati u pojedinačne web-stranice ukoliko ih žrtva otvori u svom pregledniku, pa može na prilično uvjerljiv način nagovoriti žrtvu da mu preda inače tajne podatke: primjerice, u izvorni web-obrazac koji žrtva koristi na stranicama svoje banke uljez može dodati polje za upis PIN-a pametne kartice. Zeus i SpyEye se mogu infiltrirati na računar čak i ako nisu pokrenuti kroz korisnički račun s administratorskim pravima i jednom kada modificiraju izvršnu datoteku preglednika ili neki plug-in, omogućuju uljezu da vrši tzv. "man-in-the-browser" napad. Cilj je takvog napada da uljez izvrši transfer sredstava s bankovnog računa žrtve na privremeni posrednički račun, te naknadnom izmjenom u preglednik učitanih web-stranica tu transakciju sakrije od žrtve. Postoji i kod tkz. Blackhole kit. To je kôd u JavaScriptu koji istražuje okolinu u kojoj je pokrenut i potom nastoji iskoristiti sve poznate sigurnosne propuste u otkrivenim softverskim komponentama kako bi na ciljani računar bez dopuštenja korisnika isporučio i instalirao neki daljni program. Blackhole kit koristi poznate slabosti Adobe Readera, Adobe Flasha, Jave, Windowsa, Internet Explorera. Detekciju od strane antivirusnih programa izbjegava automatiziranim generiranjem različitih varijanti programskog kôda koje sve izvode isti infiltracijski algoritam. Najnoviji trend u svijetu su osobni phising napadi. Radi se o tome, da napadač odabere žrtvu o kojoj već zna određene informacije, kao što su ime, prezime, broj bankovnog računa i slično. Ove inforamcije koriste kako bi mail koji šalju žrtvi učinili što vjerodostojnijim, te zadobili povjerenje žrtve. Ovakav pristup razlikuje se od tipičnog phising napada u kojem prevaranti nasumce isporučuju spam i pritom ne pokušavaju točno odrediti žrtvu svog napada. Svrha osobnih phising napada je zapravo nadopuna liste ukradenih dokumenata i podataka povjerljivim informacijama, kao što su PIN-brojevi ili sigurnosni brojevi na kreditnim karticama. Kao jedna od mjera zaštite jeste da svi korisnici/klijenti dobro obrate pažnju na mailove koje primaju, te da ne idu na linkove koji se nalaze na mailovima, pogotovo ako su to mailovi koji dolaze od banke, jer banka nikada neće na takav način tražiti određene podatke ili informacije od korisnika/klijenta. Također, potrebno je obratiti pažnju na URL-ove koji uključuju znak @. U primjeru https://www.woodgrovebank.com@nl.tv/secure_verification.aspx, URL bi vas odveo na lokaciju iza znaka @, ne na banku Wood Grove. Razlog tome je to što preglednici u URL-u ignoriraju sve što dolazi prije znaka @. Prava lokacija, nl.tv/secure_verification.aspx, lako može imati škodljivi sadržaj. Homograf je riječ koja se piše jednako kao druga riječ, ali ima drugo značenje. Na računarima, homografski napad je internetska adresa koja izgleda kao poznata internetska adresa, ali je zapravo izmijenjena. Svrha lažnih web-veza koje se koriste u phishing prijevarama je prevariti vas tako da ih pritisnete. Na primjer, www.microsoft.com može izgledati ovako: www.micosoft.com
  48. 48. E-banking i sigurnost tehničkih rješenja za Internet transakcije 48 www.mircosoft.com Kod sofisticiranijih homografskih napada web-adresa izgleda jednako kao ona legalnog web- mjesta. Do toga dolazi kada je naziv domene stvoren korištenjem znakova abecede drugog jezika. Na primjer, sljedeća internetska adresa izgleda legalno, ali ono što ne možete vidjeti da je znak "i" ćirilični znak ruske abecede: www.microsoft.com Prevaranti lažiraju nazive domena banaka i drugih tvrtki kako bi prevarile korisnike i uvjerile ih kako posjećuju poznata web-mjesta. Za otkrivanje ovakvih lažiranih naziva domena je potreban poseban softver. [Preuzeto sa oficijelne stranice Microsoft-a] 28.06.2012. u Banja Luci više osoba privedeno je zbog kaznenih djela iz oblasti sigurnosti računarskih podataka, u okviru istrage zloupotrebe platnih kartica koju MUP Republike Srpske provodi s američkim Federalnim istražnim biroom i policijskim agencijama više zemalja. Prvobitne mete hakera bili su računi sa većim iznosima u Italiji, Njemačkoj i Nizozemskoj nakon čega su se napadi proširili na američki kontinent. Stručnjaci navode da su hakeri mogli ukrasti dvije milijarde eura da je kampanija upada imala istu razinu uspjeha kao što je to bilo a bankovnim računima u Nizozemskoj. Samo tokom marta hakeri su pokrenuli transfere od ukupno 35 milijuna eura sa 5000 nizozemskih poslovnih računa u dvije banke. "Guardian Analytics" i "McAfee" otkrili su 60 servera, koji su obrađivali nekoliko hiljada krađa u pokušaju, a čija su meta biti obični potrošači nakon čega su prešli na poslovne račune. Meta hakera bila je svaka financijska institucija bez obzira na klasu ili veličinu. U Italiji, meta hakera bili su računi na kojima je bilo u prosjeku između 250.000 i 500.000 eura. Hakeri su pronašli kod u štetnom softveru koji je prebacivao fiksni postotak ili relativno mali određeni iznos na debitne kartice ili bankovne račune. Sistem je uspješno prolazio za manje od 60 sekundi fizičke provjere poput čitača kartica, koji je vrlo čest u Europi. Našu zemlju također nisu zaobišli zlonamjerni hakerski napadi, tačnije krivotvorenje kreditnih kartica, te kompjutersko krivotvorenje, oštećenja kompjuterskih podataka i programa, neovlašteni pristupi zaštićenim sistemima i mreži elektronske obrade podataka, te kompjuterske prevare. Naime, poznat je slučaj u kojem je jedno lice koristeći svoj kompjuter, te kompjuterske programe, znanje i vještine iz oblasti informacionih tehnologija, kralo podatke sa bankovnih kartica. Te podatke je uz pomoć lažne kreditne kartice koristilo za bezgotovinsko plaćanje putem interneta. Na taj način je ovo lice na štetu jednog Amerikanca iz Washingtona sebi pribavilo određenu imovinsku korist. Zlonamjernici koristeći određene kompjuterske programe, skeniraju blokove IP adresa i tragaju za kompjuterima koji su ranjivi jer imaju bezbjednosne propuste. Nakon što bi pronašli takve računare, u sisteme istih bi vrlo lahko ušli, te kopirali i krali podatke o karticama. Poznat je slučaj u našoj zemlji da je jedno lice, na takav način sakupilo 225 brojeva kreditnih kartica i lozinki. Uz pomoć krivotvorenih kartica i sa ukradenim, mogla se kupovati roba putem interneta, kao i ukradene podatke prodavati po IRC mrežama. Isto lice je sa ciljem pribavljanja imovinske koristi, posjedovalo
  49. 49. E-banking i sigurnost tehničkih rješenja za Internet transakcije 49 neovlašteno izrađene lažne web stranice banaka (uglavnom sa područja USA ili Velike Britanije, a navodno se radi o sajtovima banaka: Bank of America i Wells fargo). Te sajtove je koristilo za takozvano “pecanje“ žrtava od kojih je kralo lozinke i brojeve kartica. Također, od istog lica, poznat je slučaj upadanja na web-stranicu jedne apoteke u USA te, krađa administratorovog passworda i lozinke. Najčešće ove vrste krivotvorenja vrše se u kombinaciji večeg broja ljudi, čime se postiže cilj da se decentraliziranim razmještajem napadača postigne efekat da u slučaju sudskog spora, nije moguće organizovati i sazvati sve optužene. Također na ovaj način se pokušava zavarati cijeli sigurnosni sistem, kako bi se što teže otkrila odgovorna osoba za krivotvorenje i zloupotrebu podataka. 7. RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE Svakom konekcijom na mrežu, i odlaskom u beskonačnost informacija korisnik se izlaže nesigurnostima koje vladaju. Svakim klikom na korak smo do gubitka privatnosti, ako je već nismo izgubili. Toliki je broj lažnih adresa, toliki broj virusa, malware-a, da kada bi se provelo detaljno istraživanje istog, rezultati bi bili više nego poražavajući i šokantni za korisnika računara, a to je skoro svaki čovjek na svijetu. Plaćanje preko Interneta samim time zvuči puno nepovjerenja. Međutim, svakodnevno čovjek je izložen manjku vremena, i pokušaju da sve obaveze ispuni u predviđenom roku. Zašto bi korisnik satima čekao u redu,..zašto bi gubio dragocijeno, kada može kroz par klikova riješiti sva plaćanja i pri tome uštediti i vrijeme i novac. Nude se mnoga sigurnosna rješenja,..ali koliko je to sve sigurno pokazano je u nekim od prethodnih poglavlja. Prvobitno, za svakog korisnika prvi rizik predstavlja pristup Internetu. Upotreba Interneta bez antivirusa i firewall-a predstavlja otvorenu mogućnost pristupa i manevrisanja svim zlonamjernim korisnicima mreže. Također popunjavanje zahtjeva, predaja i preuzimanje sigurnosnih uređaja je sljedeći niz potencijalnih rizika. Korištenjem aplikacije od strane banke moguće je napraviti određene pogreške, prilikom popunjavanja samog' naloga, autorizacije, te su i ovo jedni od rizika. Samo čuvanje uređaja za autorizaciju, TAN listi,.. i sam socijalni inženjering predstavljaju jedne od najvećih rizika plaćanja putem interneta. U narednim naslovima biće obrađeni najpoznatiji načini plaćanja putem Interneta, i njihove osnovne karakteristike. Na Black Hat¹ konferenciji je demonstrirano hakiranje čitača kartica, što je samo jedan u nizu dokaza da niti jedan dio mrežnog sistema nije siguran. ¹ Black Hat konferencija je tehnička konferencija neovisna o proizvođačima i orjentirana sigurnosti i privatnosti. Kao takva, često se na njoj objavljuju nove ranjivosti ili nove metode pronalaženja ranjivosti. Ova konferencija se održava svake godine u Las Vegas-u.
  50. 50. E-banking i sigurnost tehničkih rješenja za Internet transakcije 50 7.1 PAYPAL PayPal je vrlo jednostavan način transfera novca preko interneta. Desetine milijuna ljudi u svijetu ga koriste i većina ljudi ga preferira kao sredstvo plaćanja. Registracija je besplatna i vrlo je jednostavna. Kada se kartica jednom registrira u PayPal sistem, za plaćanje više nije potrebna kreditna kartica, jer svi potrebni podaci ostaju memorisani. PayPal račun vezan je uz e-mail račun korisnika. E-mail je praktično i PayPal račun, stoga se posebna pažnja mora obratiti na sigurnost samog e-mail account-a. Ukoliko bi neko došao u posjedovanje korisničkog imena i passworda e-mail acounta, otvara mu se mogućnost da može platiti bilo koju PayPal transakciju. PayPal je ustvari servis koji posreduje između korisnika/klijenta i prodavača. Znači, ukoliko neka prodavnica nudi usluge plaćanja preko Paypal-a, to znači da je kao metod plaćanja odabran PayPal. Ukoliko npr. neki registrovani korisnik želi kupiti artikl prodavnice koja nudi usluge plaćanja preko PayPal-a, to znači da će ta prodavnica nakon „kupovine“ određenog artikla, proslijediti iznos PayPal-u, koji će obavijestiti korisnika da „ta i ta “ prodavnica želi skinuti određeni iznos novca sa kartice korisnika, i tražiti će potvrdu od korisnika za isto. Od 2007. godine bilo je omogućeno samo slanje novca putem PayPal-a, a od 06.04.2011. godine moguće je i primati novac na PayPal na teritoriji BIH. Slika 39. BiH još jedna od zemalja u kojoj je moguće i primati novac preko PayPal-a [Slika preuuzeta sa oficijalne stranice PayPal-a]

×