Embed Size (px)
Citation preview
Nekada smo gledali na filmovima kako se u svetu koriste male plastične kartice za plaćanje računa, kako se preko računara vrše razne transakcije... Danas nam više ne trebaju filmovi za to, dovoljno je izaći na ulicu i videti bankomat na svakom ćošku ili jednostavno upaliti računar. Trend modernog bankarstva je automatizacija svih funkcija (finansijskih operacija) koje se mogu kopjuterizovati. Tipični primeri automatizacije bankarskog poslovanja su uplate i isplate sa štednih naloga, upisivanje kamate, transfer sredstava sa računa na račun,
Zaštita podataka u internet bankarstvu Stranica 2 od 20plaćanje kreditnom karticom, otplate kredita, konverzija valuta, uvid u stanje računa, ili raznovrsan prikaz izvršenih transakcija za dati račun (prema hronologiji transakcija, tipu transakcije, odredišnom računu, svrhi uplate/isplate, itd.). Posmatrajmo klasičan primer elementarne bankarske usluge: korisnik je otvorio žiro račun i želi da utvrdi koje je stanje računa i kada su pristigle očekivane uplate.
U klasičnom bankarskom poslovanju korisnik: odlazi u ekzpozituru banke, čeka pred šalterom i tipično dobija stanje računa ili papirnate kopije
pojedinačnih dokumenata transakcija, ili telefonom poziva banku, čeka da se telefonska veza oslobodi, razgovara sa službenikom, i
dobija tražene informacije.
U modernom, Internet, elektronskom bankarstvu isti posao korisnik bi mogao da obavi iz svog stana sa svog personalnog računara ili mobilnog telefona. Posredstvom standardnog Internet čitača (Web browser) korisnik bi pogledao Internet prezentaciju (Website) svoje banke i na ekranu dobio željeni spisak promena na računu ili stanje računa. Očigledno, nema gubljenja vremena na odlazak do ekspoziture, čekanja u redu pred šalterom, ili nesporazuma u komunikaciji sa službenikom. Takođe, ne angažuju se službeni telefoni banke i nema potrebe za obimnom službom informisanja preko telefona. Istovremeno, korisnik ima udobnost da uslugu dobije u vreme koje to njemu najbolje odgovara jer elektronska banka radi non-stop: 24 časa u danu, 7 dana u nedelji i 365 dana u godini.
Maja 1995. godine banka Wells Fargo izrađuje prvi Web bankarski program za obavljanje poslovanja na Internetu.Iste godine osnovana je i prva specijalizovana Internet banka na svetu-Security First Network Bank, sa sedištem u Atlanti (SAD). Aprila 1996. godine registrovan je milioniti korisnik Internet bankarskih usluga u SAD, da bi se u sledećih 18 meseci bio zabeležen porast broja korisnika na 4,2%
američkih domaćinstava. Krajem 1999. godine broj korisnika Internet bankarstva penje se na preko 10 miliona.Razvoj Interneta i rast broja korisnika Internet bankarstva u tesnoj je vezi sa razvojem informacionih tehnologija.Brže, sigurnije, lakše i jednostavnije poslovanje na Internetu, ciljevi su koje pred banke i druge finasijske institucije postavlja sve zahtevnije finansijsko tržište. Da bi se ovi ciljevi ispunili, u svetu se drastično povećava obim ulaganja u informacione tehnologije. Banke su shvatile da nije dovoljno da imaju samo Internet prezentacije koje dobro izgledaju. Danas se postavljaju dodatni zahtevi da prezentacije moraju da pruže i nešto više, da budu interaktivne, multimedijale i da omogućavaju kompletno poslovanje direktno na Internetu.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 3 od 20 Zbog toga su banke u svoje Internet poslovanje uvele niz inovacija (virtualne poslovnice, specijalne finansijsko-softverske programe koji brinu o budžetu klijenata, ulaganjima...).
Internet bankarstvo, sajber bankarstvo (Cyber Banking) ili Web bankarstvo predstavlja obavljanje bankarskog poslovanja direktno iz kuće, posredstvom Interneta. Dakle, Internet se za sada najviše koristi kao sredstvo promocije banaka jer se preko njega plasiraju multimedijalne propagandne poruke. Trenutno je preko 1.000 poslovnih banaka priključeno na internet. Dosadašnja skromna iskustva u internet bankarstvu pokazuju, da korisnici putem interneta mogu: 1. da plate račune, 2. da investiraju u hartije od vrednosti, 3. da kreiraju svoj valutni portfolio, 4. da od svoje poslovne banke dobiju savet i obaveštenje.
Osim navedenih klasičnih usluga, korisnik može interaktivno da održava svoje podatke, prijavljuje se za razne usluge, dobija informacije, učestvuje u anketama, samostalno konfiguriše svoj profil kod banke i definiše polja interesovanja.
Pri obavljanju bankarskih transakcija u Internet bankarstvu:• nije potreban specijalan softver i ne postoje podaci uskladišteni na klijentovom hard disku, pa
je veća sigurnost pri obavljanju transakcija,• pristup banci i računu je moguć sa bilo kog mesta na svetu, pod
uslovom da na tom mestu postoji računar priključen na Internet,• banka brine o održavanju sopstvenog hardverskog i softverskog sistema
zaštite,• moguće je i obavljanje on-line transakcija.
Dakle, cilj Internet bankarstva je uspostavljanje novog odnosa klijent - banka tako što se šalter banke "seli" na radno mesto korisnika i u njegovu kuću i dostupan mu je kad god klijentu to odgovara.
• Prenos podataka između korisnika i elektronske banke je veoma brz i pouzdan.• Sigurnost i zaštita poverljivih finansijskih podataka obezbeđena je na nekoliko nivoa.• Svi podaci su šifrovani na izlazu pošiljaoca, a dešifruju se jedino kod primaoca.• Osobe u komunikaciji prolaze autorizaciju i time obezbeđuju autentičnost podataka i da ih
mogu čitati jedino oni kojima su namenjeni. • Podaci se digitalno potpisuju i ne mogu se kasnije poreći.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 4 od 20Izgled programa banke na internetu
Većina ljudi se uglavnom pita kakve su opšte koristi od jedne ovakve tehničke novotarije sem daljeg komplikovanja njihovih života. Naravno koristi odnosno prednosti su nemerljive, ovakav sistem sigurno povećava produktivnost vašeg rada, smanjuje izgubljeno vreme, troškove (izračunato je da je cena pojedinačne transakcije i do 20 puta niža ako se izvrši preko Interneta a ne na šalteru banke a banke u svoje troškove ubrajaju plate službenika na šalterima, obezbeđenje, održavanje sistema...), donosi tačnost (koliko puta vam se desilo da vam neko kaže da je izvršio uplatu a u stvari nije, sada ćete uvek tačno znati kakvo je trenutno stanje na računu). Pojedinačne koristi ne možemo meriti ali sigurno da ih za svakoga ima. Poseban problem u početku predstavljalo je nepoverenje u ovakav način poslovanja. Zbog toga je bilo potrebno informisati i obrazovati korisnike, pogotovo u pogledu bezbednosti ovakvih transakcija. Pošto su banke sa svoje strane preuzele gotove i proverene sisteme zaštite podataka, ovaj problem se ipak pokazao mnogo manjim nego što je mogao da bude tako da je većina korisnika u svetu veoma brzo prihvatila pogodnosti koje pruža ovakav način poslovanja. Internet bankarstvo doživljava ubrzan razvoj posebno u SAD i razvijenim zemljama Evrope (Engleska, Španija, Italija, Francuska, Austrija), dok u našoj zemlji još uvek predstavlja retkost.
Boravak na internetu, pored svih prednosti i zadovoljstava, nosi sa sobom i veliki broj opasnosti kada je u pitanju sigurnost računara. Danas je sve pod
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 5 od 20budnim okom tamo negde nekoga... Ni internet i njegovi korisnici nisu izuzeti od ovoga. Prati se svaki Vaš korak, skupljaju se podaci o Vama i brižljivo se sklapa Vaš psihološki profil ! Kako protiv ovoga?
Nekada davno glavni neprijatelji korisnika računara bili su virusi koji bi se pokupili preko zaraženih disketa, Cd-ova, weba ili E maila. Virusi i crvi činili su i danas čine štetu računaru, međutim oni danas ne ciljaju samo na Vaš računar, nego ciljaju tačno u Vas. Sajber kriminalci danas nisu više zadovoljni time da Vam izbrišu podatke ili Vam prirede neku smicalicu. Njihov primarni cilj danas je profit i razvili su pravu mašineriju kako do njega da dođu i to na Vašu štetu. Kriminalci koji kradu brojeve Vaših kreditnih kartica, Vaše lične podatke sve više koriste štetne programe da bi Vas prevarili. I E mail pošta se koristi da bi od Vas izmamili poverljive podatke. Ova vrsta štetočina odomaćila se pod nazivom Spywere koji u sebi objedinjuje legalne ali dosadne programe koje su korisnici dobrovoljno (nehotice) instalirali na svoj računar, kao i programe koji se instaliraju tajno bez Vašeg znanja. I jedni i drugi programi troše resurse Vašeg računara, usporavaju ga, nadgledaju Vaše krstarenje internetom, preusmeravaju Vaše web čitače i još štošta. Zaštita podataka spada u jednu od osnovnih prednosti elektronskog bankarstva i ona omogućava da podatke, koji su tajni, može čitati samo onaj kome su namenjeni.
Svaka finansijska institucija koja uspostavlja Internet prisustvo mora preduzeti aktivne mere u obezbeđivanju pouzdanosti i bezbednosti podataka i transakcija.
Pet osnovnih problema Internet bankarstva:
Privatnost i pouzdanost podataka koji se razmenjuju otvorenim spojnim putevima Interneta. Da li još neko može da čita Vaše poverljive podatke (kao što je broj kreditne kartice ili broj računa)?
Integritet podataka koji putuju Internetom. Da li ste sigurni da ste primili baš one podatke koje je korisnik poslao Vama?
Autentičnost (identitet) korisnika ili komitenta. Da li ste sigurni da je Internet učesnik onaj sa kojim ste uspostavili saradnju, i da niko ne zloupotrebljava njegovo ime i nalog?
Potvrda prijema/slanja podataka. Da li primalac podataka može lažno da tvrdi da podaci nisu prispeli? Kako sprečiti da pošiljalac podataka lažno izjavi da su podaci poslati a da uopšte nije bilo transakcija?
Kontrola prava pristupa sistemu i projektovanje pouzdanog i bezbednog sistema. Ko može da pristupi Vašem elektronskom bankarskom sistemu? Kako se branite od neželjenih upada hakera u sistem? Da li je Vaš hardver dovoljno pouzdan?
Svaki problem iziskuje posebnu razradu i razvoj mera preventivne zaštite i oporavka ako do problema ipak dođe.
Postoje četiri osnovna sigurnosna servisa:
1. Tajnost podataka, ostvaruje se šifriranjem, odnosno upotrebom kriptografskih algoritama. 2. Autentifikacija, tj. proveravanje identiteta kojim se korisnik predstavlja.Ovo se vrši na razne načine: PIN-om / Personel Identification Number /, pasword-om, biometrijske metode / otisak prsta i dr./, smart kartica, token.3. Integritet podataka – Obezbeđivanje razmene finansijskih i drugih podataka između banke i korisnika tako da niko neovlašćen ne može iskoristiti ili izmeniti podatke. Integritet podataka se može obezbediti tehnologijama zaštite ( SSL – Secure Socket Layer, S-HTTP – Secure HyperText Transfer Protocol i dr.).
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 6 od 20 4. Neporicanje poruka, servis koji sprečava pošiljaoca da porekne slanje i sadržaj poruke, odnosno primaoca da porekne prijem i sadržaj poruke.
Veoma je bitna i zaštita mreže banke / firewall / i kontrola pristupa.
Unošenje korisničkog imena i lozinke u sistem da bi se pristupilo aplikaciji je svakako najjednostavniji metod provere identiteta, ali je on nažalost i najmanje bezbedan, pa ga banke danas izbegavaju, pogotovo ako klijent vrši i plaćanje preko virtuelnog šaltera. Radi dodatne identifikacije koriste se različiti prenosivi mediji, na kojim se nalaze potrebni sertifikati za bezbedan pristup aplikaciji.
Šta je šifrovanje ili kriptografija i čemu ona služi?
Šifrovanje je transformacija originalne poruke pomoću odgovarajućeg postupka u nečitljivu formu za sve, sem za korisnika snabdevenog mehanizmom za dešifriranje. U postupku šifrovanja, u mehanizam šifrovanja ulazi originalna poruka i specifičan sadržaj koji se zove ključ. Dešifrovanje je inverzna transformacija kojom se od šifrovane poruke uz pomoć ključa i mehanizma za šifrovanje dobija ponovo originalni ili izvorni oblik poruke. A ključ je početna vrednost algoritma kojim se vrši šifrovanje. Dakle, "Protivnik" poznaje kriptografiju i algoritme koje upotrebljavamo, ali ne i ključeve koji nam osiguravaju sigurnost.
Kriptografske metode pri elektronskim transferima sredstava obezbeđuju:
1. zaštitu tajnosti podataka (podatke može dekodirati samo izabrana osoba, osoba na koju su podaci naslovljeni i niko drugi);
2. autentičnost izvora podataka (podatke je uistinu poslala za to ovlašćena osoba);3. verodostojnost podataka (sprečavanje neovlašćene promene i uništenja podataka);4. nemogućnost negiranja učešća u transakciji (pošiljalac se ne može odreći ili kasnije zatajiti
poslate podatke).
Postoji:
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 7 od 20
- Simetrično šifrovanje – Podrazumeva da su ključ za šifrovanje i ključ za dešifrovanje isti što znači da i pošiljalac i primalac koriste isti tajni ključ. Tajnost se zasniva na tajnosti ključa. Ključni problem je distribucija ključeva. Za više korisnika mora postojati više ključeva. Ovo nije pogodno za Internet.
Princip kriptosistema sa simetričnim ključem
- Asimetrično šifrovanje – Podrazumeva dva ključa: javni i tajni. Postoji relacija između njih. Javni ključ se šalje kroz mrežu. Tajni se unosi samo kod dešifrovanja. Postupak rada je sledeći: javni ključ se pošalje drugome i on sa njim kriptuje poruku koju vam šalje. Sa njim se ne može dekriptovati poruka. Poruku može dekriptovati samo vlasnik tajnog ključa.
Princip kriptosistema sa asimetričnim ključem
Bazu savremene trgovine na Internetu čine digitalni potpisi. Nema sigurnog poslovanja preko interneta bez ovog značajnog kriptografskog organizma. Svrha digitalnog potpisa je da potvrdi autentičnost sadržine poruke ( dokaz da poruka nije promenjena na putu od pošiljaoca do primaoca), kao i da obezbedi garantovanost identiteta pošiljaoca poruke.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 8 od 20 Tehnologija digitalnog potpisa se bazira na rešenjima asimetrične kriptografije i na korišćenju dva kriptografska ključa:
1. tajni ili privatni ključ (Private Key), kojim se vrši potpisivanje podataka i
2. javni ključ (Public Key), kojim se vrši verifikovanje potpisa.
Princip rada tehnologije digitalnog potpisa je prikazan na slici. Korisnik koji želi da potpisuje elektronska dokumenta poseduje par ključeva, javni i tajni. Ukoliko korisnik želi da pošalje potpisan dokument drugom korisniku, on vrši potpisivanje dokumenta svojim tajnim ključem, a zatim tako potpisan dokument prosleđuje drugom korisniku. Drugi korisnik posle preuzimanja potpisanog dokumenta, vrši verifikovanje potpisa korišćenjem javnog ključa prvog korisnika, koji je par tajnom ključu kojim je taj dokument potpisan.
Digitalni (elektronski) sertifikat je elektronski dokument koji izdaje sertifikaciono telo. Digitalni sertifikat može da se shvati kao digitalna lična karta, jer sadrži podatke o korisniku sertifikata i podatke o izdavaocu sertifikata. Konkretno, digitalni sertifikat sadrži:
1. podatke o identitetu korisnika kome je izdat sertifikat, kao što su ime i prezime, E-mail adresa,...
2. javni kriptografski ključ korisnika sertifikata,
3. podatke o entitetu koji je izdao sertifikat tj. o sertifikacionom telu.
U okviru digitalnog sertifikata koji se izda korisniku nalazi se pored ostalog i korisnikov javni kriptografski ključ (Public Key), koji je par njegovom tajnom kriptografskom ključu (Private Key). Sertifikaciono telo garantuje tačnost podataka Digitalni sertifikat, kartica Details
u sertifikatu tj. garantuje da javni ključ koji se nalazi u sertifikatu pripada korisniku čiji su podaci navedeni u tom istom sertifikatu. Zbog toga, ostali korisnici na Internetu ukoliko imaju poverenje u sertifikaciono telo, mogu da budu sigurni da određeni javni ključ zaista pripada korisniku koji je vlasnik pripadajućeg tajnog ključa. Digitalni sertifikat je elektronski dokument koji je javno dostupan na Internetu. Zbog toga što se u okviru sertifikata nalaze javni ključevi korisnika sertifikata, distribucijom sertifikata se distribuiraju i
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 9 od 20javni ključevi. Iz tog razloga, omogućena je pouzdana razmena javnih ključeva posredstvom Interneta između korisnika koji se nikada nisu sreli, uz mogućnost verifikovanja identiteta korisnika. Digitalni sertifikat je nemoguće falsifikovati jer je potpisan tajnim kriptografskim ključem (Private Key) sertifikacionog tela. Za verifikovanje valjanosti digitalnog sertifikata koristi se javni ključ tj. sertifikat sertifikacionog tela. Komunikacioni programi (na primer: Microsoft Internet Explorer) raspolažu sa digitalnim sertifikatima sertifikacionih tela kojima se veruje, pa samim tim i sa njihovim javnim ključevima. U okviru komunikacionih programa omogućeno je da korisnici naknadno instaliraju sertifikate sertifikacionih tela u koje imaju poverenje..
Biometrijski sistem zaštite se oslanja na tehnike merenja i statističke analize ljudskih karakteristika. Biometrijska tehnologija se zasniva na automatskoj identifikaciji osobe na osnovu neponovljivih ili teško ponovljivih bioloških osobina: - delova tela (otisci prstiju, otisak ruke, ručna geometrija, snimak mrežnjače, snimak zenice, geometrija lica…); - bimehaničkih radnji koje daju karakterističan rezultat (snimak glasa, snimak potpisa i sl.). Biometrijska zaštita zahteva čitač ili skener, softver za konverziju skeniranih podataka u digitalnu formu i bazu podatka za skladištenje biometrijskih podataka o korisnicima. Sistem radi tako što upotrebom posebnih algoritama poredi skenirane podatke sa onima koji se nalaze u bazi. Iako predstavlja pouzdan oblik zaštite, ova tehnologija se retko koristi u komercijalnim aplikacijama. Razlozi su brojni, počev od složenosti prikupljanja biometrijskih podataka, pa do različitih teškoća prilikom korišćenja aplikacije (na primer buka i kvalitet telefonskih linija mogu da utiču na prepoznavanje glasa korisnika).
Autentifikacija podrazumeva dokazivanje identiteta korisnika. Identitet u okviru Interneta najčešće se dokazuje korisničkim imenom i lozinkom, odnosno tajnim ključem, a u poslednje vreme i inteligentnim karticama
4/12/2023
Prikupljanje biometrijskih
podataka
Obrada biometrijskih
podataka
Skladištenje biometrijskih
podataka i backup
Živi snimak izabrane
biometike
Verifikacijabiometrijskih
podataka
Skladištenje biometrijskih
podataka i backup
aplikacija
Predmet ispitivanja
Zaštita podataka u internet bankarstvu Stranica 10 od 20( smart cards ), kao savremenijim i efikasnijim mehanizmom zaštite podataka. Ugradnja elektronskih čipova u plastične kartice je tehnologija stara dvadesetak godina, ali je masovna proizvodnja i primena inteligentnih kartica relativno novija. Jezgro inteligentne kartice čine mikroprocesor i memorija, na kojoj, osim opštih podataka, može biti zapisan i tajni ključ i može biti aktiviran samo uz pomoć vlasnika kartice, kako bi se izvršio odgovarajući kriptografski algoritam. Najveća snaga Smart Card tehnologije jeste u raznovrsnosti mogućih primena. Zahvaljujući inteligenciji kartice, moguće je razviti raznovrsne sigurnosne aplikacije u oblastima kao što su:
►zaštita pristupa racunaru ili mreži,►identifikacija,►mobilna telefonija, ►elektronski novac,►vozačka dozvola,►zdravstveni karton,►zaštita podataka,►digitalni potpis,►kuponi,►zaštita autorskih prava,►elektronska trgovina itd.
Pametna kartica sastoji se od:
· plastične kartice,· štampanog kruga,· integrisanog kruznog čipa.
Smart kartica je ništa drugo nego PC u malom. To uključuje:
٠ procesor (CPU), pomoću koga se vrše izračunavanja,٠ Read-Only Memory (ROM), memorija na kojoj se nalazi operativni
Fizička struktura sitem, ٠ Random Access Memory (RAM), memorija koja se koristi za privremeno skladištenje prilikom rada procesora i٠ Electronically Erasable and Programmable Read-Only Memory (EEPROM), memorija u kojoj su smešteni podaci od interesa (broj tekućeg računa, sertifikati, ključevi i sl.).٠ zatim tu je Clock i ulazno izlazni sklop preko koga se komunicira ca okolinom (čitačem).
Pametne kartice se u osnovi mogu podeliti u dve osnovne grupe:
1. pametne kartice sa mogućnošću interne mikroprocesorske obrade podataka, koje su sposobne pamtiti i zaštititi podatke i donositi odluke u određenim granicama;2. isključivo memorijske kartice, čiji su dobar primer telefonske kartice.
Pregled karakteristika različitih vrsta kartica (izvor Most Inc.)
Uobičajene magnetske
kartice
Memorijske kartice
Pametne kartice
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 11 od 20
Broj kartica u upotrebi
> 4 milijarde oko 330 miliona oko 100 miliona
Broj čitaća u upotrebi
> 5 miliona ? ?
Cena po kartici $0.05 - 0.5 $0.70 - 1.40 $2.50 - 15
Cena čitača $100-800zavisi od područja
primene$100-800
Pouzdanost mala srednja velika
Sigurnost podataka nikakva niska vrlo velika
Udružljivost postojećih sistema
velika vrlo mala niska
Kako koristiti pametnu karticu?
Za korišćenje pametne kartice potreban vam je čitač kartice. Čitač kartice je uređaj spojen na računar, pomoću kojeg računar komunicira sa pametnom karticom. Pamatna kartica se moze uptrebljavati na svakom računaru koji je opremljen čitačem karice. Pre početka prijave u sistem elektronskog bankarstva, potrebno je umetnuti pametnu karticu u čitač i uneti ispravan PIN. PIN je lozinka koja omogućava pristup digitalnom sertifikatu, koji sadrzi opšte podatke o korisniku.
Razni čitači pametnih kartica
Smart kartice su samo deo sistema sigurnosti koji čini: kriptografski algoritmi, javni i privatni ključevi, sertifikati itd. Smart kartica omogućava da se najosetljiviji podaci čuvaju na njoj. Druga važna stvar je što smart kartica omogućava da se proces kriptovanja i dekriptovanja odigrava direktno na kartici uz korišćenje sopstvenog procesora, memorije i programa, znači bez uticaja “spoljnog sveta”.
Token ili žeton za lozinke jedno je od najpouzdanijih sredstava za proveru identiteta. To je mali prenosivi identifikacioni ručni uređej koji generiše
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 12 od 20vremenski password za autentikaciju korisnika i koristi se za prijavljivanje i autorizaciju elektronskog plaćanja preko Interneta. Prednost žetona u odnosu na identifikacionu karticu, mini-disk i USB disk jeste u tome što se ne povezuje na računar, pa ne zahteva čitač kartica, čitač diskova ili USB priključak. Budući da generiše tekstualnu lozinku, žeton se može koristiti i za identifikaciju na govornim automatima i informacionim kioscima. Token je ručni uređaj koji generiše Sistem autentikacije pomoću tokena zasnovan je na dve alternativne šeme: upit-odgovor (challenge-response), vremenski sihronizovana autentikacija (time-synchronous authentication). Token omogućuje vremenski sinhronizovanu autentikaciju korisnika, koja se vrši na osnovu serijskog broja prijavljenog tokena, kao i unetog ključa.
Ključ obuhvata dva faktora:
• korisnički tokenPIN (generiše ga korisnik tokom prve inicijalizacije tokena), i• generisani vremenski token code-a (prikazuje se na display-u tokena i menja na svakih 60 sec).
Dakle, token predstavlja snažnu autentifikacija korisnika za pristup internet orijentisanim servisima. Dinamičko generisanje šifre koja se pojavljuje samo jednom osigurava visoku sigurnost identifikacije korisnika prilikom pristupa na zaštićene aplikacije ili internet servise. Upotreba tokena:
Autentikacija se vrši na osnovu serijskog broja tokena i OTP-a (One-Time-Password). Server za autentikaciju poseduje hash algoritam i bazu podataka o tajnim ključevima svakog tokena. Kada želi da radi sa servisom Internet bankarstva korisnik unosi u formu serijski broj tokena i OTP koji je token izračunao. Kada primi zahtev od korisnika, server takođe izračunava OTP pomoću svog algoritma i poredi ga sa onim koji je klijent uneo. Ukoliko se kodovi poklapaju, korisniku će biti omogućen rad sa aplikacijom...
ActivCard token KeyChain token V1 ActivReader Solo KeyChain token V2
Primeri nekih tipova tokena
Kako postati korisnik uluga Tokena u nekoj banci
Osnovni korisnik tekućeg računa u nekoj banci, koji je istovremeno i korisnik Homebanking sistema, i želi da postane korisnik usluga elektronskog bankarstva korišćenjem tokena za autentikaciju i autorizaciju plaćanja na Internetu, prijavljuje se za ovu uslugu popunjavanjem određenog dokumenta.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 13 od 20Pre popunjavanja tog dokumenta korisnik je u obavezi da bude upoznat sa " opštim uslovima " , kao i sa " ugovorom " koji korisnik takođe potpisuje. Korisnik predaje šalterskom radniku te banke popunjen dokument. Šalterski radnik od korisnika traži dodatnu informaciju - karakteristični odgovor korisnika (do 12 karaktera dužine). Karakteristični odgovor se koristi za dodatnu autentikaciju korisnika, u slučaju kada se korisnik telefonski obraća Help Desk-u te banke. Zatim šalterski radnik banke korisniku uručuje token koji će biti aktiviran prvog sledećeg radnog dana. Korisnik je u obavezi da sam izvrši inicijalizaciju svog tokena.
Primer CENTAR BANKE
Korisnik koji je dobio i uspešno inicijalizovao svoj token, prijavljuje se na početnom Homebanking sistemu, na kome popunjava sva zahtevana polja:
• korisničko ime, • lozinku, i • u polju "Ključ" unosi svoj tokenPIN + token code (prikazuje se na display-u tokena).
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 14 od 20
Primer unosa PIN-a kod CENTAR BANKE
Nakon uspešne prijave, korisnik bira neku od opcija koje se odnose na usluge elektronskog bankarstva. Izdavanje i mesečno korišćenje tokena, korisnik otplaćuje na različite načine, odnosno u zavisnosti sa kojom bankom namerava da posluje. Najčešće se ova uluga plaća u određenim mesečnim ratama. Korišćenje tokena za autentikaciju korisnika i autorizaciju elektronskog plaćanja na Internetu donosi niz prednosti: • pouzdana autentikacija korisnika; • sigurnost u obavljanju elektronskih transakcija; • jednostavnost korišćenja usluga elektronskog bankarstva na Internetu.
Zahvaljujući svojoj strukturi i tehničkim karakteristikama, token omogućuje sigurno elektronsko bankarstvo, koje se obavlja sa bilo kog računara, bez potrebe za prethodnom instalacijom dodatnog software-a ili hardware-a, na strani korisnika. Token uređaj predstavlja i svetski bankarski standard, kojim se korisnicima omogućuje brže, jednostavnije, bezbednije i komfornije korišćenje različitih bankarskih usluga sa bilo kog mesta na kome postoji Internet.
Ovaj protokol razvila je firma Netscape i trenutno je najčešće korišćen metod za obavljanje sigurnih transakcija na mreži. Podržava ga većina Web servera kao i klijenata uključujući Microsoft Internet Explorer i Netscape Navigator. Svi moderni čitači Weba omogućavaju šifrovanje celokupne komunikacije već dobro poznatog protokola SSL koji koristi 128-bitni asimetrični algoritam i obezbeđuje privatnost, integritet podataka i autentičnost pošiljalaca. Dakle, ovo se postiže korišćenjem kombinacije šifrovanja javnim ključem, simetričnog šifrovanja i digitalnih sertifikata.
Transakcija korišćenjem SSL protokola uključuje sledeće aktivnosti: server šalje svoj digitalni sertifikat klijentu; klijent proverava da li je sertifikat izdat od odgovarajuće strane; klijent i server razmenjuju javne ključeve; klijent generiše tajni ključ koji se koristi samo u započetoj transakciji; klijent šifruje generisani tajni ključ korišćenjem serverovog javnog ključa i šalje ga serveru;
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 15 od 20 u daljem toku transakcije server i klijent koriste isti tajni ključ metodom simetričnog
kriptovanja.
U verziji 2.0 SSL podržava samo proveru autentičnosti servera, dok je u novoj SSL v3.0 uključena i podrška za proveru autentičnosti klijenta.
S-HTTP predstavlja jednu od tehnologija zaštite koja obezbeđuje integritet podataka. Uvek treba da proverite obavljate li internet bankarstvo putem poslužitelja koji je opremljen naprednim sigurnosnim
tehnologijama i obavezno koristite pretraživač koji podržava 128-bitno šifriranje. Šifriranje pretvara vaše finansijske informacije u vrstu tajne šifre za prenos putem Weba.
Takođe, veoma je bitno da proverite počinje li Internet adresa sa https i pojavljuje li se u donjem desnom uglu prozora zaključani katanac (možete videti na primeru levo).
Ukoliko je računar povezan na internet onda je firewall pravi način da se zaštitite. Firewall je rješenje za zaštitu računara i mreže od spoljašnjeg upada, u prvom redu sa interneta. Firewall može biti hardver, računar ili ruter, ili program koji sprečava da neko neovlašćen pristupi računaru. U firewall-u se može precizirati koji portovi će biti otvoreni za saobraćaj, koji protokoli će se koristiti i u kojim pravcima je to dozvoljeno. Firewall je najbolja zaštita od hakera koji pokušavaju da sruše sistem i najbolja zaštita od BackDoor trojanaca. Za sada ne postoji program koji će uspeti da pristupi internetu bez znanja firewall-a.
Šta je firewall i kako radi? Onog trenutka kada se poruka "Veryfing User Name and Password" ukloni sa ekrana i počne da odbrojava naše vreme na internetu, naš provajder nam je dodelio jedinstvenu adresu koju u tom trenutku imamo samo mi na internetu i niko drugi - to je tzv. IP adresa ili niz od 4 broja između 0 i 255 razdvojenih tačkom (npr. 213.240.4.100). Postoji mnogo računara na internetu koji su prikačeni 24h i imaju svoju IP adresu koja se ne menja, ali većina nas, koji se prikačimo s vremena na vreme da razmenimo poštu ili prosurfujemo internetom dobijamo tzv. dinamičku IP adresu (svaki provajder ihima nekoliko i kada se neko prikači dobije prvu slobodnu). Ove adrese (odnosno brojevi) nam mogu
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 16 od 20pomoći da identifikujemo sagovornika, jer se za one stalne tačno zna kome pripadaju dok se za dinamičke vodi evidencija kod provajdera kome su bile dodeljene u određenom trenutku. Kada želimo da pristupimo nekom računaru, sve što je potrebno je da otkucamo njegovu adresu, ali da bi nam prekratili muke, uvedeni su tzv. DNS (Domain Name Server) računari koji prevode adrese u IP adresu i obrnuto. Sama adresa nije dovoljna, jer je potrebno obezbijediti posebne kanale za komunikaciju kako ne bi došlo do zabune. Zbog toga su uvedeni portovi –zamislimo ih kao autoput na ulazu u grad sa 65536 traka (koliko god pomisao na puževske brzine u domaćim uslovima ometa sliku autoputa) i dva računara se uvek dogovoraju kojim će se trakama odvijati saobraćaj. Pošto je standardizacija uvek poželjna, portovi sa brojevima manjim od 1024 su rezervisani i imaju specijalnu namjenu (znači samo za posebna "vozila") dok su oni preostali namenjeni korisnicima. Tako npr. kada skidamo neke fajlove sa ftp servera, naš računar će dotičnom slati sve komande samo na port 21, a dotični će ih samo tamo i očekivati; fajlovi će pristizati na neki proizvoljni port na našem računaru (sa brojem većim od 1024) - ponekad i na više odjednom. To objašnjava kako je moguće istovremeno surfovati na tri stranice, skidati nekoliko fajlova, slati i primati poštu i četovati. Problem je što mi sa običnim Windows-om nemamo nikakvu kontrolu nad saobraćajem preko portova - podaci ulaze i izlaze, a vi nemate pojma ni odakle su došli ni gde idu (nismo uopšte ni svesni da nešto "ide"). Zato je potrebno postaviti "naplatnu rampu" i "saobraćajce" - a to je upravo firewall. Sve što stiže sa interneta (ili lokalne mreže) ili odlazi sa našeg računara, prolazi preko firewall-a i dotični program odlučuje (uz našu pomoć) da li će to smeti da prođe ili ne. Nekima je opet najveća zabava u životu da takvim nepažljivim ljudima obrišu sve na računaru ili urade neku sličnu podlost. A kako oni znaju da li su neka vrata otvorena i koja su to od onih 65536? Jedan način je da u naš računar ubace virus ili trojanskog konja (preko e-maila, pomoću programa u koje je zamaskiran uljez ili lično instalirajući program na našem računaru) koji će otvoriti neki unapred određeni port. Sve što zatim preostaje dotičnom hakeru je da krene da adresira sve računare kod nekog provajdera (rekli smo da svaki provajder ima nekoliko IP adresa koje dodeljuje svojim korisnicima a hakeri znaju u kom se opsegu kreću te adrese) i da uz pomoć odgovarajućeg softvera proveri da li je taj port otvoren. To se naziva TCP Port Scaning i uglavnom nije štetno po vaš računar (naravno - ako nemamo trojanca i imamo firewall). Drugi način je da pokuša na silu da upadne kroz neki od portova - to se naziva Denial of Service attack (skraceno DoS attack). Radi se o tome da je neke programe moguće toliko zbuniti suviše velikim podatkom ili dovoljnim brojem ponavljanja neke instrukcije da se on jednostavno sruši i sa sobom povuče celi Windows, ili da počne da izvršava neke instrukcije koje inače ne bi sproveo u "normalnom" stanju (poput hipnotisanog čoveka). U takve programe spadaju i naši browseri, programi za poštu, chat i mnogi drugi. I sam Windows često neće odoleti napadima na neki port sa brojem ispod 1024 i tako će se naš računar, hteli mi to ili ne, pretvoriti u ftp, POP3, telnet ili neki drugi server koji je u službi dotičnog hakera. Svaki dobar firewall će prepoznati bilo koji od opisanih napada i sprečiti napadača da bilo šta preduzme (neće mu dozvoliti pristup preko određenog porta iako je ovaj otvoren). Cela umešnost rada sa ovim programima se dakle sastoji u razlikovanju normalne komunikacije od bezazlenih skeniranja portova, zaglupljivanja servera (kada pokušaju da nam pošalju podatke na neki drugi port pored onog dogovorenog), pokušaja upada u naš računar kada neki virus uspostavi vezu sa svojim gazdom i pokušaja nekog hakera da brutalnom silom uleti u naš računar.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 17 od 20
• Obazrivo - samo preko sigurnih sajtova i prodavnica (Dialer programi);• Phising - pecanje;• Sigurnost na nivou samog računara - trojanci, keylogers-i;• Novije pretnje – emulacija celog Web pretraživača.
Dialer programi i šteta koju nanose je i dalje tema koja zaokuplja javnost, jer visoki telefonski računi najčešće pogađaju obične korisnike. Upravo zbog tako internet provajderi kao i nacionalni provajderi komunikacionih usluga preduzimaju izvesne mere u otklanjanju takvih problema.
U osnovi problema, najčešće su neznanje i neupućenost internet korisnika, mahom dece, o posledicama i opasnostima koje vrebaju sa određenih sajtova. Suština je u automatskom raskidanju konekcije sa vašim internet provajderom, uspostavljene po cijeni lokalnog minuta razgovora, i uspostavlju nove, višestruko skuplje veze sa nekom, najčešće veoma udaljenom destinacijom. Te destinacije su najčešće male države čiji provajderi komunikacionih usluga imaju koristi od takvih prevara. Dialer aplikacija preuzima kontrolu nad korisnikovim parametrima za konekciju i kreira svoju konekciju kao default konekciju.
Što se tiče prevencije ovakvih pojava na prvom mestu je opreznost od strane korisnika prilikom poseta sajtovima zabavnog karaktera ili sumnjivim sajtovima koji nude besplatan softver ili nešto slično. Najčešće se korisniku nude neki sadržaji i pogodnosti ukoliko instalira neki program koji je ustvari dialer. Takođe, u poslednje vreme preko spam poruka (neželjene pošte) u attachmentu se serviraju virusi i dialer-i ili navode korisnika da klikom na neki od ponuđenih linkova pokrene download dialer-a ili da ode na web stranicu u sklopu koje se nalazi dialer. Potrebno je stalno obraćati pažnju na više stvari pre i u toku samog spajanja na Internet kao što su: ▪ da li je broj u konekciji koju upravo želite da pokrenete
promijenjen ▪ da li među Vašim konekcijama (“Network Connections“) postoji neka nova konekcija koja je Vama nepoznata; ▪ da li postoje neke nove ikonice na računaru kojih prije nije bilo, a da pri tom niste instalirali nikakav novi softver; ▪ slušati koliko brojeva bira modem i prekinuti automatski vezu ukoliko je riječ o više brojeva nego što sadrži broj prema Vašem provajderu; ▪ da li se nakon par sekundi veza prema Vašem provajderu prekida pa se računar ponovo sam spaja na Internet i slično. Problem predstavlja to što jednostavne i potpune zaštite od dialer-a još nema. Upravo zbog toga potrebno je da svi korsnici prate preporuke koje će dovesti do smanjenja ove pojave na najmanju moguću meru a to su:
redovni update operativnog sistema kao jedna opšta preporuka; instaliranje nekog antivirusnog softvera i njegov redovni update (antivirusni programi u stanju
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 18 od 20da prepoznaju neke dialer programe);
instaliranje nekog anti-spyware programa i njegov redovni update. Programi koji su dosta efikasni i koje Vam možemo preporučiti nakon testiranja su:Ad-Aware – postoje dve verzije ovog programa, besplatna i komercijalna.
Poslije instalacije softvera, potrebno ga je redovno update-ovati i skenirati računar jer ovaj softverski alat pronalazi širok dijapazon svih spy softvera. Da bi se ovakve situacije eliminisale, Telekom Srbija je sa svoje strane organizovao službu koja će na dnevnom nivou pratiti potrošnju svojih klijenata. Svaki korisnik koji u toku 24h potroši preko 2000 impulsa biće obavešten od strane Telekoma.
Danas kada je E bankarstvo uzelo maha i kod nas u Srbiji i postalo normalna pojava, automatski smo postali i novo tržište za syber internet kriminal. Jedna od stvari od koje se morate paziti je takozvani fišing (phishing). Šta to neko želi da upeca od nas? Pa to su brojevi kreditnih kartica, Vaše šifre kojima pristupate računu u banci i sve što će ih dovesti do Vašeg novca. Fišing može da se izvrši preko nekog špijunskog programa koji Vam se naselio na računaru i koji je u trenutku Vaše kupovine preko interneta presreo Vaše podatke i prosledio ih tamo negde.Drugi danas vrlo zastupljen metod je putem E maila i to na sledeći način. Stiže Vam e mail od "Vaše banke" u kojem Vas mole da kliknete na njihov ponuđeni link, da sa svojom pristupnom šifrom uđete na Vaš nalog i proverite stanje na Vašem računu, jer su imali "nekih problema" ili šta već. Kada ste kliknuli na "bankin link" otišli ste na njihovu stranicu, barem Vi tako mislite, jer je stranica na kojoj ste potpuno ista kao i originalna stranica Vaše banke.U formu za unos, uneli ste Vaše podatke i tog momenta ste "upecani".Vaše šifre prosleđene su tamo negde i šta Vas je snašlo videćete tek kada proverite Vaše stanje u pravoj banci. Zato savet da dobro proverite ovakve E mailove ukoliko Vam stignu.
Ovo su programi koji će zabeležiti svaki Vaš pokret na tastaturi. Kasnijom analizom onoga što ste otkucali, napadači mogu doći u posed Vaših skrivenih šifri i drugih poverljivih podataka.Nekim keylogerima dodata je mogućnost praćenja posećenih web stranica.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 19 od 20 U zadnje vreme pojavila se još jedna vrsta napada.Radi se o tome da napadač upada u Vaš računar i na poseban način šifruje sve Vaše podatke. Od njega dobijate samo obaveštenje o tome kao i iznos koji treba da mu uplatite da biste dobili povratnu šifru kojom ćete dešifrovati Vaše podatke.
Povesti računa:
Svoje podatke o kreditnim karticama i računima nikako ne odavati – NIKADA; Banke NIKADA ne traže od svojih klijenata ovakva obaveštenja; Redovno ažuriranje antivirus, spyware i malware programa.
Kao što smo već pomenuli poseban problem u početku predstavljalo je nepoverenje u ovakav način poslovanja. Pitanje sigurnosti, ili bolje reći nesigurnosti, još uvek utiče na nelagodnost koju osećaju svi učesnici u transakcijama putem Interneta. Trgovac ili primalac kartice (uključujući i bankomat), banka primaoca kartice, banka izdavalac kartice i korisnik učestvuju u običnim transakcijama. Na Internetu pojavljuje se još jedan igrač, lokacija koji nudi robu ili usluge i preko koje se autorizuju sredstva. Nesigurnost u ceo proces ne unosi samo taj novi igrač nego i nepostojanje fizičkog kontakta s nekim kome se daju podaci s kartice. Kada su banke ponudile elektronske usluge preko Interneta, početkom prošle godine, iskazana su mnoga strahovanja zbog mogućnosti prisluškivanja i zloupotrebe velikih bezbednosnih problema na domaćem delu Mreže. Ipak, Internet je dovoljno bezbedan za elektronsko bankarstvo ako se uklapa u integralni sistem zaštite. Prisluškivanje nije dovoljno da se sistem zloupotrebi. Banka i klijent se mogu zaštititi na više načina. Praćenje aktivnosti na sistemu je samo jedan od njih. Posebne linije su značajne zbog pouzdanosti veze, a ne zbog bezbednosti. Velikim klijentima, koji imaju stotine i hiljade naloga dnevno, veza s bankom mora da radi i ako ne radi Internet. Administratori moraju redovno da ažuriraju sisteme i da primenjuju bezbednosne zakrpe, naravno posle lokalnih testova i konsultacija s Microsoftovim predstavnicima. Veća opasnost preti od unutrašnjih napadača nego od hakera, uključujući i radnike u preduzeću klijenta i zaposlene u banci. Zato svako mora da preduzme odgovarajuće mere zaštite. Međunarodni standardi su odlična osnova za analizu i projektovanje bezbednih sistema. ISO specifikacije propisuju kako treba obezbediti sistem, projektovati bezbednu mrežu itd. Banka mora da insistira na standardizaciji IT zaštite i treba da pruži informacije klijentima, kako bi i oni mogli da primenjuju neophodne bezbednosne mere.
Ovde smo želele da vam predstavimo jedan moderni sistem rada na Internetu uz pomoć programa za elektronsko bankarstvo. U praksi ovi programi predstavljaju jednu malu pravu banku u vašoj kancelariji. Takođe možete videti da sve poslove na Internetu možete obavljati sa sigurnošću ukoliko se obezbedite sa odgovarajućim sistemima zaštite (veliki broj njih je ovde i opisan). Pa opet veliki broj naših preduzetnika i dalje se odlučuje za klasičan i uobičajeni način rada sa bankama, tj preko papirnih naloga i izvoda. Dakle, zaključak je da što pre zakoračite u 21 vek.
4/12/2023
Zaštita podataka u internet bankarstvu Stranica 20 od 20
www.e-trgovina .co.yu www.e-magazin.co.yu www.mikro.co.yu www.24x7.co.yu www.T-com.hr www.iqm.co.yu www.cepp.co.yu www.centarbanka.co.yu www.posted.co.yu www.krstarica.com
4/12/2023
