Bankowość elektroniczna

Problemy bezpieczeństwa elektronicznej bankowości

Specyfikacja zagrożeń.

Do najistotniejszych atrybutów bezpieczeństwa bankowości elektronicznej zaliczamy:

• poufność - gwarantującą, że dostęp do danych przechowywanych i przetwarzanych w systemie mają tylko osoby do tego uprawnione;
• integralność - gwarantującą, że dane przesyłane w czasie transakcji elektronicznej nie są przez nikogo modyfikowane;
• autentyczność - pozwalająca stwierdzić, czy osoba podpisująca się pod transakcją jest rzeczywiście osobą, za którą się podaje;
• niezaprzeczalność - niepozwalajacą wyprzeć się faktu nadania lub odbioru komunikatu drogą elektroniczną;
• dostępność - gwarantującą stały dostęp do systemu bankowości elektronicznej;
• niezawodność - gwarantującą, że system działa w sposób, jakiego się od niego oczekuje.

Odnosząc się do wymienionych atrybutów bezpieczeństwa można - upraszczając nieco problem - odnieść potencjalne zagrożenia bankowości elektronicznej do koncepcji czterech typów ataku na system informatyczny:

• przerwanie - zagrożenia dostępności,
• przechwycenie - zagrożenia poufności,
• modyfikacja - zagrożenia integralności,
• podrobienie - zagrożenia autentyczności.

Bezpieczeństwo bankowości elektronicznej powinno się rozpatrywać w trojakim ujęciu.

Można mówić o:

• bezpieczeństwie w obszarze klienta,
• bezpieczeństwie transmisji
• bezpieczeństwie w obszarze serwera (banku, ośrodka przetwarzania danych)

System bankowości elektronicznej jest specyficznym przypadkiem systemu informatycznego, w którym serwer i klient (bank i użytkownik systemu) dzielą się nieco odmiennymi obowiązkami i zadaniami, których realizacja ma na celu zapewnienie bezpieczeństwa całemu procesowi przetwarzania. Zagrożenia bezpieczeństwa danych przetwarzanych podczas transakcji elektronicznych oraz przechowywanych w systemie bankowym można więc podzielić na trzy grupy:

• zagrożenia wspólne dla serwera i klienta, związane z podsłuchiwaniem lub modyfikacją danych przesyłanych sieciami,
• zagrożenia serwera, związane z atakami na zasoby serwera,
• zagrożenia klienta, związane z procedurami logowania się do systemu oraz pracy z oprogramowaniem klienta.

Bezpieczeństwo klienta to ogół zagadnień związanych z wykorzystywaniem sprzętu i oprogramowania do celów komunikacji z bankiem internetowym. Do najpoważniejszych zagrożeń klienta należą:

• zagrożenia kompromitacji parametrów dostępu do systemu ( identyfikator, hasło, lista haseł jednorazowych, PIN do tokena), będące następstwem łamania brutalnego, podsłuchu w sieci lokalnej, podsłuchu elektromagnetycznego, zastosowania oprogramowania szpiegującego lub metod typu social-engineering;
• manipulacje sprzętem i oprogramowaniem, mające na celu zmiany ich funkcjonalności niewidoczne dla użytkownika,
• błędy w oprogramowaniu standardowym (przede wszystkim w przeglądarkach),
• błędy w oprogramowaniu klienta (niestandardowym),
• skrypty i aplety implemetowane na stronach www ,
• wirusy.

Zagrożenia wspólne, związane z przesyłaniem danych sieciami komputerowymi, to:

• sniffing, czyli podsłuchiwanie, dzięki któremu można wejść w posiadanie danych przesyłanych sieciami;
• spoofing, który polega na podszywaniu się pod inny komputer w sieci, czyli wysyłaniu sfałszowanych pakietów do danej maszyny, aż do przejęcia całej sesji użytkownika z daną maszyną włącznie (session hijacking);
• network snooping, czyli wstępne rozpoznawanie parametrów sieci, zwłaszcza pod katem stosowanych narzędzi bezpieczeństwa;
• sabotaż komputerowy i cyberterroryzm.

Zagrożenia serwera to:

• DOS (Denial of Service), czyli atak, w którym jeden użytkownik zajmuje tyle dzielonych zasobów systemu, że następny użytkownik nie może z nich skorzystać;
• Wykorzystanie specyficznych programów, umożliwiających ingerencję w systemy informatyczne, takich jak:
  • Bakterie, czyli programy, których jedynym przeznaczeniem jest powielanie się w celu zniszczenia systemu przez doprowadzenie do jego zablokowania,
  • Robaki, czyli programy przenoszące się z systemu na system w sieci, czasami pozostawiające po sobie bakterie lub wirusy;
  • Konie trojańskie, czyli programy, które udając, że wykonują bezpieczne operacje, w rzeczywistości wykonują działania mające na celu naruszenie bezpieczeństwa systemu ( najbardziej popularnym typem konia trojańskiego jest program kradnący hasło, który udaje normalną sekwencję rozpoczynania sesji, w rzeczywistości jednak zapisuje hasło wprowadzane przez użytkownika, a potem znika) przykłady na stronie: backdoor - opis działania
  • Bomby logiczne, czyli ukryte, nieudokumentowane fragmenty programów uruchamiane w określonym czasie bądź w następstwie określonego zdarzenia;
• Uzyskiwanie dostępu do systemów przez furtki (trap doors), tj. nieudokumentowane wejścia do legalnych programów pozwalające zorientowanemu użytkownikowi omijać zabezpieczenia;
• Ataki na bazy danych;
• Wszystkie inne zagrożenia związane z funkcjonowaniem stron WWW;
• Nielojalność i nieuczciwość pracowników banku;
• Błędy i przeoczenia personelu obsługującego system;
• Zagrożenia losowe, środowiskowe, czyli powodzie, pożary, wyładowania atmosferyczne, awarie zasilania, brud, kurz itp.;
• Sabotaż komputerowy i cyberterroryzm.

  copyright © www.finansowe.strefa.pl/