bezpieczeństwo zdalnych transakcji elektronicznych

20
IBM GTS – Security and Privacy Services © 2007 IBM Corporation „Bezpieczeństwo transakcji elektronicznych” Konferencja ZBP, 19-20 lutego 2007 r. Bezpieczeństwo zdalnych transakcji elektronicznych Robert Kępczyński, CISSP, IBM Polska [email protected]

Upload: nubia

Post on 19-Mar-2016

100 views

Category:

Documents


0 download

DESCRIPTION

Bezpieczeństwo zdalnych transakcji elektronicznych. Robert Kępczyński, CISSP, IBM Polska [email protected]. Środowisko zdalnej transakcji elektronicznej. Internet. Bank. Dane identyfikacyjne, transakcyjne i logi. Anatomia zdalnej elektronicznej transakcji. - PowerPoint PPT Presentation

TRANSCRIPT

Page 1: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

© 2007 IBM Corporation

„Bezpieczeństwo transakcji elektronicznych”Konferencja ZBP, 19-20 lutego 2007 r.

Bezpieczeństwo zdalnych transakcji elektronicznych

Robert Kępczyński, CISSP, IBM [email protected]

Page 2: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

2© 2007 IBM Corporation

Środowisko zdalnej transakcji elektronicznej

Bank

Internet

Dane identyfikacyjne,transakcyjne i logi

Page 3: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

3© 2007 IBM Corporation

Anatomia zdalnej elektronicznej transakcji

Transakcja elektroniczna to ciąg wielu czynności operacyjnych od momentu zainicjowania po stronie klienta do momentu zakończenia ostatniej operacji po stronie banku. Typowe czynności operacyjne w transakcji elektronicznej:

• Uwierzytelnienie sesji• Uwierzytelnienie pojedynczej operacji• Automatyczne sprawdzanie stanu konta i uprawnień do

wykonania transakcji• Dodatkowe sprawdzanie tożsamości przez pracownika

banku• Wykonanie transakcji• Zarejestrowanie danych o transakcji w logu• ….

Page 4: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

4© 2007 IBM Corporation

Typy oszustw w transakcjach elektronicznych

1. Klient wykonał transakcję a następnie wypiera się, że to nie on

2. Ktoś nie będący klientem ani pracownikiem banku wykonał zdalną transakcje

3. Pracownicy banku wykonują transakcje na koncie klienta bez jego wiedzy

Page 5: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

5© 2007 IBM Corporation

Service Service Product

IBM Security Governance Services

Security Risk Management Security Program Design and

Management

Regulatory and Standards Compliance

IBM Privacy ServicesPrivacy Awareness Privacy Assessment

Privacy Strategy and Implementation

IBM Infrastructure Threat Mitigation Services

Vulnerability ManagementNetwork Perimeter DefenseMobile and Wireless Security

Content CheckingDesktop Security Managed Security Services

IBM Transaction and Data Integrity Services

Business Transaction SecurityData Security

Digital Certificate

IBM Identity and Access Management Services

Identity Assessment and Strategy Identity ProofingIdentity Lifecycle Management

Directory Services Access ManagementStrong Authentication Solutions

IBM Application Security Services

Application Security Lifecycle

IBM Physical Security Services

Site Security Digital Video Surveillance

IBM Personnel Security Services

Security Awareness Program

IBM Security Education and Training Services (See ITES / Learning Services)

Page 6: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

6© 2007 IBM Corporation

Kto ponosi koszty nielegalnej transakcji?

W bankowej transakcji elektronicznej nie zostaje żaden materialny ślad jej wykonania po stronie klienta.

Kto ponosi koszty nielegalnej transakcji bankowej kiedy nie można wykryć sprawcy?

Problem kosztów nielegalnych transakcji elektronicznych na razie nie ma prostego rozwiązania prawnego w przeciwieństwie do nielegalnych transakcji bankomatowych i czekowych.

Warto prześledzić historię i rozwiązania z innych krajów, gdzie temu problemowi poświęcono wiele uwagi.

Page 7: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

7© 2007 IBM Corporation

Kto ponosi koszty podrobionego czeku?

Jeśli bank zaakceptuje podrobiony czek, to automatycznie pokrywa stratę finansową.

Jeśli sprzedawca zaakceptuje podrobiony czek, to będzie to jego strata finansowa.

W 1965r. w W. Brytanii wprowadzono zasadę, że za przyjęte przez sprzedawcę podrobione czeki o wartości do 50 GBP stratę finansową pokrywa bank.W 2000r. podwyższono limit wartości czeku do 100 - 250 GBP.

W żadnym wypadku osoba, na której nazwisko wystawiono fałszywy czek, nie ponosiła straty finansowej o ile nie udowodniono, że na czeku na pewno jest jej podpis.

Page 8: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

8© 2007 IBM Corporation

Kto ponosi koszty nielegalnej transakcji bankomatowej?

Jeszcze w latach 90-tych w W. Brytanii (też w Norwegii i Holandii) klient musiał udowodnić, że nielegalna transakcja wykonana na jego kartę nie była wykonana przez niego.

Spory rozstrzygano w sądzie. Zwykle wygrywał bank. Obrona klienta koncentrowała się na wykazaniu, że w miejscu lokalizacji bankomatu i dniu wykonania transakcji właściciel karty był gdzie indziej. Niektóre przestępstwa sięgały 100.000 GBP.

W tym samym czasie w USA bank musiał udowodnić klientowi, że to on zrobił podejrzaną transakcję.Średnia roczna strata amerykańskiego banku z powodu nielegalnych transakcji bankomatowych wynosiła 15.000 USD.

Page 9: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

9© 2007 IBM Corporation

Podział zagrożeń w zdalnej transakcji

Zagrożenia dla zdalnych transakcji występują poza bankiem i wewnątrz banku. Przeciwdziałanie im powinno być właściwie rozdzielone między bank i klienta. Podział zagrożeń nie stanowi większego problemu w transakcjach bankomatowych i czekowych.

1. Eliminacja możliwości obejścia systemu uwierzytelniania

2. Ochrona poufności jednorazowych haseł

3. Ochrona poufności zbioru z zaszyfrowanymi hasłami

4. Ochrona integralności operacji komputerowych

5. Ochrona integralności logów6. …

1. Ochrona poufności hasła2. Ochrona poufności

jednorazowych haseł3. Ochrona antywirusowa4. Ograniczenie dostępu do

komputera 5. Zabezpieczenie

bezprzewodowego dostępu do Internetu

6. …

BankKlient

Page 10: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

10© 2007 IBM Corporation

Zautomatyzowany atak nr.1

www.mój_bank.pl

www.mój_bank.pl

SSL

SSL

SSL

SSL

SSLSSL

Pharming lub phishing

Page 11: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

11© 2007 IBM Corporation

Zautomatyzowany atak nr.2

www.mój_bank.pl

SSL

SSL

SSL

Końcówka SSL

Koń trojańskiMonitor i klawiatura

Końcówka SSL

Koń trojański

Monitor i klawiatura

Końcówka SSL

Koń trojański

Monitor i klawiatura

Końcówka SSL

Koń trojański

Monitor i klawiatura

Page 12: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

12© 2007 IBM Corporation

Ważne lekcje z dotychczasowych doświadczeń

Silne uwierzytelnienie klienta nie zabezpiecza przed nieautoryzowaną transakcją wykonaną w trybie man-in-the-middle

W elektronicznym banku z silnym uwierzytelnieniem klienta można przeprowadzić zautomatyzowany atak na masową skalę

Skuteczność systemu bezpieczeństwa w banku elektronicznym zależy też od sposobu rozstrzygania spory między klientem a bankiem

Page 13: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

13© 2007 IBM Corporation

Dwa elementy skutecznego systemu bezpieczeństwa w banku elektronicznym

Skuteczny system bezpieczeństwa w banku elektronicznym powinien obejmować co najmniej dwa elementy:

1. Silny system uwierzytelnienia z mechanizmem zabezpieczającym przed atakiem man-in-the-middle

2. Zarządzanie ryzykiem operacyjnym środowiska, w którym jest wykonywana transakcja. Innymi słowy: zarządzanie ryzykiem wszystkich operacji (po stronie klienta i banku), które są konieczne do wykonania transakcji.

Page 14: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

14© 2007 IBM Corporation

Sposób 1: Dwa niezależne kanały komunikacyjne

www.mój_bank.plInternet

GSM

SSL

Page 15: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

15© 2007 IBM Corporation

Sposób 2: Podpis elektroniczny poza PC

www.mój_bank.pl

SSL

Urządzenie do składania e-podpisu

Page 16: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

16© 2007 IBM Corporation

Zarządzanie ryzykiem operacyjnym i transakcje„Ryzyko operacyjne należy rozumieć jako ryzyko straty

wynikające z niedostosowania lub zawodności wewnętrznych procesów, ludzi i systemów technicznych lub ze zdarzeń” zewnętrznych. (cytat z Rekomendacji M)

Nieautoryzowana transakcja jest stratą operacyjną. Proces zarządzania ryzykiem operacyjnym powinien integrować wszystkie działania związane z bezpieczeństwem transakcji

Niedopasowane procesy Zawodne procesy Systemy techniczne Ludzie Zdarzenia zewnętrzne

Poziom zależności ryzyka operacyjnego od IT

Page 17: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

17© 2007 IBM Corporation

Monitorowanie zagrożeń zdalnych transakcji

Transakcja elektroniczna składa się z wielu czynności operacyjnych po stronie banku i po stronie klienta.

Monitorowanie zagrożeń zdalnych transakcji polega na monitorowaniu wybranych operacji, które mogą być zmienione lub świadomie zakłócone w celu wykonania nieautoryzowanej transakcji.

Aby monitorowanie zagrożeń przynosiło więcej korzyści niż problemów musi być poprzedzone analizą ryzyka wszystkich operacji, z których jest zbudowana zdalna transakcja

Page 18: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

18© 2007 IBM Corporation

Co monitorujemy w przypadku zdalnej transakcji?

1. Parametry środowiska, w którym pracuje komputer klienta (obecność właściwego cookies, pora dnia, lokalizacja geograficzna, powiązanie geograficzne z transakcjami bankomatowymi, …)

2. Parametry środowiska bankowego. W szczególności parametry operacji kluczowych dla wykonania zdalnej transakcji (dostęp do zbiorów z danymi uwierzytelniającymi, przeszukiwanie historii konta klienta, …)

3. Parametry transakcji zdefiniowanej przez klienta (konto banku docelowego, nietypowość transakcji względem dotychczasowej historii, ilość transakcji w czasie, …)

Page 19: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

19© 2007 IBM Corporation

Analiza ryzyka zdalnej elektronicznej transakcji

Metodyka jakościowej analizy ryzyk elektronicznej transakcji bankowej:

1. Utworzenie listy operacji uczestniczących w wykonaniu transakcji

2. Utworzenie czarnych scenariuszy tj. sekwencji operacji prowadzących do nieautoryzowanej transakcji (w celu określenia konkretnego kontekstu sytuacyjnego dla zagrożeń)

3. Przeprowadzanie jakościowej analizy ryzyka dla każdego czarnego scenariusza

4. Utworzenie listy najbardziej zagrożonych operacji w czarnych scenariuszach

5. Wybór parametrów do monitorowania dla operacji z punktu 4

Page 20: Bezpieczeństwo zdalnych transakcji elektronicznych

IBM GTS – Security and Privacy Services

20© 2007 IBM Corporation

Dziękuję za uwagę