tytu£ referatu \(us_tyt\) - Katedra Informatyki i Ekonometrii

tytu£ referatu \(us_tyt\) - Katedra Informatyki i Ekonometrii

BEZPIECZEŃSTWO ROZWIĄZAŃ ZDALNEGO DOSTĘPU DLA
BANKOWOŚCI INTERNETOWEJ
Adrian Kapczyński, Jarosław Karcewicz
Politechnika Śląska, Katedra Informatyki i Ekonometrii
[email protected], [email protected]
Streszczenie
W artykule zostały przedstawione zagadnienia związane z technologią zdalnego
dostępu, a szczególności z wykorzystraniem urządzeń przenośnych do komunikacji w ramach bankowości internetowej. Przez pryzmat bezpieczeństwa omówiono technologie zdalnego dostępu wskazując silne oraz słabe strony dotychczasowych rozwiązań.
Słowa kluczowe: bezpieczeństwo, zdalny dostęp, WAP.
Wprowadzenie
Dostarczanie usług handlu elektronicznego (e-commerce) czy też handlu mobilnego (m-commerce) związane jest z przetwarzaniem płatności z zachowaniem
odpowiednio wysokiego poziomu bezpieczeństwa.
Niestety, nie jest ono jeszcze zadowalające, pomimo funkcjonowania wielu
mechanizmów podwyższających wiarygodność uczestniczących w transakcji
stron i podniesienia bezpieczeństwa przekazów. Chodzi tutaj głównie o atrybuty
bezpieczeństwa, takie jak: poufność, integralność, nienaruszalność
i autentyczność.
W przekazach tradycyjnych poufność uzyskuje się przez szyfrowanie informacji, takich jak dane osobowe, numery karty kredytowej, itp.
Integralność oraz nienaruszalność jest zachowywana dzięki stosowaniu algorytmów kryptograficznych. Dzięki nim, możliwe jest wykrywanie prób ingerencji, ewentualnie zmiany treści przekazywanej wiadomości.
Ostatni z atrybutów bezpieczeńtstwa dotyczy identyfikacji uczestników oraz
potwierdzenia transakcji poprzez uwierzytelnianie stron za pomocą podpisu
cyfrowego (dzięki temu pojawia się duża trudność w kwestii zafałszowania tożsamości).
Wymienione atrybuty bezpieczeństwa winne być jak najlepsze dla rozwiązań
binzesowych, również w takich, które wykorzystują zdalny dostęp.
Zastosowaniem biznesowym, na który zostanie położony największy nacisk
w niniejszej pracy jest bankowości internetowa (bankowość mobilna).
W kolejnych paragrafach zostanie zaprezentowana baza teoretyczna, która
pozwoli opracować założenia oraz wytyczne przyszłych badań związanych z
jakością mechanizmów bezpieczeństwa analizowanych rozwiązań.
Wobec powyższego, niniejsza praca ma charakter teoretyczny oraz przygotowujący do badań praktycznych, dzięki przeglądowemu ujęciu niektórych kwestii.
Technologie zdalnego dostępu
Sieci bezprzewodowe zyskują dużą popularność w wielu zastosowaniach, w
udostępnianiu Internetu, łączeniu kablowych sieci lolanych, medycynie, handlu,
produkcji czy magazynowaniu.
Użytkownicy w tych segmentach rynku zyskują na wydajności, używając
przenośnych terminali oraz komputerów do stałej, bieżącej transmisji danych do
centralnych systemów przetwarzania. Dzisiejsze sieci bezprzewodowe postrzegane są jako alternatywna technologia dla szerokiego spektrum zastosowań.
Powszechna obecność sieci komputerowych w gospodarce i błyskawiczny
rozwój Internetu oraz usług dostarczanych przez sieć świadczą o korzyściach
jakie daje dostęp do informacji i współdzielenie zasobów. Dzięki sieci bezprzewodowej użytkownik może uzyskać dostęp do informacji bez poszukiwania
miejsca z dostępem do sieci, a administratorzy sieci mogą konfigurować sieć bez
instalowania czy przenoszenia struktury okablowania.
Elastyczność i mobilność czyni sieć bezprzewodową zarówno efektywnym
rozszerzeniem jak i atrakcyjna alternatywą dla sieci kablowych.
Sieci bezprzewodowe zapewniają zbliżoną funkcjonalność jak sieci kablowe,
bez fizycznych ograniczeń samego medium. Konfiguracje sieci bezprzewodowych rozciągają się od prostych topologii każdy-z-każdym, aż do złożonych
sieci oferujących m.in. dystrybucję danych. Oprócz oferowania użytkownikowi
mobilności w otoczeniu sieciowym, sieci bezprzewodowe umożliwiają przenoszenie sieci, co oznacza de facto możliwość przeniesienia z miejsca na miejsce
razem z pracownikami jej używającymi i ich wiedzą [NSS02].
Biorąc pod uwagę kryterium zasięgu, sieci bezprzewodowe można podzielić
na:
1. WPAN (Wireless Personal Area Network) – to sieć o zasięgu kilku metrów
służąca do wymiany informacji pomiędzy urządzaniami przenośnymi typu
notebook, palmtop, telefon komórkowy, itp.; obecnie do tych celów wykorzystuje się głównie technologię Bluetooth,
2. WLAN (Wireless Local Area Network) - sieć lokalna oparta o technologię
bezprzewodową, zlokalizowana jest w stosunkowo niewielkim obszarze
i obejmuje niewielką liczbę komputerów (zwykle do kilkunastu),
3. WWAN (Wireless Wide Area Network) - rozległa sieć komputerowa oparta
o technologię bezprzewodową, która obejmuje dużą liczbę komputerów na
dużej przestrzeni i o dużym zasięgu.
Wydaje się, iż największymi możliwościami mobilnego działania charakteryzują się dziś sieci WWAN (sieci z ostatniej grupy), której technologie opierają
się na telefonii komórkowej.
Ponadto, bardzo duże oczekiwania są związane z wykorzystaniem protokołu
WAP w telefonii komórkowej.
Związane jest to z istotną właściwością tego protokołu, jakim jest możliwość
wykorzystania samych telefonów komórkowych do dostępu do informacji w
sieci Internet, wystarczy tylko aby telefon był wyposażony w tzw. mikroprzeglądarkę WAP.
Głównymi zaletami WAP są: niewielką objętość kodu, minimalne zapotrzebowanie na pamięć operacyjną oraz minimalne zapotrzebowanie na moc obliczeniową potrzebną do działania.
Specjalnie dla WAP zdefiniowano specjalny język opisu stron internetowych:
WML (Wireless Markup Language), który wywodzi się z HTML-a i HDML-a i
należy do klasy języków XML (Extensible Markup Language). Jednym z ważniejszych powodów stosowania WML zamiast HTML jest właśnie to, że WML
ma niewielkie wymaganie jeśli chodzi o zasoby (np. pasma radiowego) w porównaniu z HTML.
Poza tym, HTML wymaga znacznie większej mocy przetwarzania od urządzenia, które go interpretuje, a zatem występuje większy pobór energii i tym
samym szybsze zużywanie baterii. Dodatkowo HTML przystosowany jest do
znacznie większych wyświetlaczy niż telefoniczne, a im większy wyświetlacz,
to oczywiście tym mniej przenośne staje się dane urządzenie [MIE02].
Bankowość internetowa
WAP Banking jest rozwiązaniem umożliwiającym interaktywny dialog klienta banku z systemem komputerowym znajdującym się w oddziale banku za pomocą telefonu komórkowego zdolnego do obsługi protokołu WAP.
Użytkownik korzystający z WAP Banking może nie tylko otrzymywać aktualne informacje o stanie swojego konta czy też inne informacje, ale również
wydawać dyspozycje wykonania operacji bankowych. Ponieważ osoba korzystająca z WAP Banking posługuje się telefonem komórkowym, połączenie z bankiem może być nawiązane praktycznie w dowolnej chwili i z dowolnego miejsca[HEU02].
Logika związana z realizacją transkacji bankowej została zaprezentowana
ponizej.
Klient banku korzystając z telefonu komórkowego łączy się z serwerem
WAP Banking, który przygotowuje odpowiedź pobierając potrzebne dane za
pośrednictwem WAP Banking Gateway (brama), a następnie kieruje ją z powrotem do telefonu osoby żądającej informacji. Informacje te zapisane są w formacie WML (Wireless Markup Language), który opisuje sposób ich wyświetlania
na ekranie telefonu komórkowego, a także umożliwia zdefiniowanie odsyłaczy
pozwalających przemieszczać się po kolejnych stronach. Dzięki temu, klient
banku korzystający z WAP uzyskuje na wyświetlaczu przejrzysty i czytelny
zestaw informacji na żądany temat.
Elementem łączącym sieć telefonii bezprzewodowej z siecią tradycyjnych łączy telekomunikacyjnych jest brama WAP pośrednicząca pomiędzy protokołami
przesyłu danych właściwymi dla każdej z tych sieci.
WAP Banking umożliwia klientom banków zdalne zarządzanie własnymi
kontami poprzez realizację głównych funkcji, takimi jak: dostarczanie podstawowych informacji o koncie oraz dostarczanie informacji o operacjach dokonanych w określonym okresie.
WAP Banking jest atrakcyjnym sposobem zarządzania własnymi kontami
bankowymi, doskonale uzupełniającym wachlarz dostępnych aktualnie usług.
Do jego podstawowych zalet zaliczyć należy:
− natychmiastowy dostęp do usług bankowych z dowolnego miejsca – co
oznacza, iż klient może uzyskać informacje lub wykonać operację przelewu
natychmiast po fakcie powstania takiej potrzeby, bez konieczności przemieszczenia się do najbliższego banku, telefonu stacjonarnego, czy też
komputera,
− ciągły dostęp do informacji – WAP Banking działa w sposób ciągły, również w porze nocnej a także w święta,
− stosunkowo szeroki zakres dostępnych usług,
− możliwość ograniczenia kosztów związanych z zatrudnieniem – po upowszechnieniu się technologii WAP, co dzięki szybkiemu rozwojowi telefonii bezprzewodowej powinno nastąpić niebawem, dla wielu osób tańszym i
łatwiejszym sposobem będzie korzystanie z WAP Banking niż odwiedzanie
oddziału banku.
Bezpieczeństwo WAP w bankowości
Z uwagi na fakt, iż jednym z wiodących zastosowań WAP są płatności, problem bezpieczeństwa teleinformatycznego jest szczególnie istotny. Jest to tym
trudniejsze, że sygnał radiowy można łatwo przechwycić dysponując danymi
takimi jak numer kanału pracy i numer szczeliny.
W sieciach GSM wykorzystywane są w tym celu algorytmy kryptograficzne i
uwierzytelnijące.
Pomimo użycia kluczy kryptograficznych, przy zastosowaniu odpowiedniego
sprzętu nie stanowią one wystarczającego zabezpieczenia. Ponadto, gdy stacja
bazowa pracuje w trybie „skoków częstotliwościowych” (Frequency Hopping),
skoki po kanałach znacznie utrudniają przechwycenie samego sygnału w formie
umożliwiającej jego zdekodowanie oraz odzyt.
Poziom zabezpieczenia oferowany przez warstwy sieci GSM nie powinien
być traktowany jako ostateczny. Właściwy poziom zabezpieczenia danych użytkownika uzyskuje się na poziomie warstw wyższych. W standardzie WAP takie
zadanie pełni warstwa WTLS (Wireless Transport Layer Security) zabezpieczająca warstwę transportową i moduł WIM (Wireless Identity Module) spełniający
zaawansowane funkcje uwierzytelniania na poziomie aplikacji.
Poziom bezpieczeństwa zapewniany przez WTLS zależy od wymagań aplikacji. Warstwa WTLS ma za zadanie dostarczyć określony interfejs bezpieczeństwa i możliwość zarządzania nim dla warstw wyższych, zachowując jednocześnie interfejs warstw niższych.
Główne zadania warstwy WTLS to zapewnienie pomiędzy dwoma komunikującymi się urządzeniami:
− prywatności,
− zapewnienie integralności,
− zapewnienie autentyczności.
Wzorcem dla protokołu WTLS był SSL (Secure Socket Layer). Aby zaimplementować ten protokół na platformie WTLS, należałoby dokonać pewnych
modyfikacji, takich jak ograniczenie ilości dostępnych algorytmów, ograniczenie efektywnej długości kluczy czy też wprowadzenie dodatkowych elementów
umożliwiających pracę w środowisku radiowym. Należy zauważyć, iż sposób
działania protokołu pozostał niezmieniony.
WTLS jest implementowany się między (bezprzewodowym) urządzeniem
końcowym z WAP, a bramą WAP. Z kolei w części przewodowej między bramą
WAP a webowym serwerem aplikacji (e-commerce, e-banking, inne) korzysta
się z tradycyjnych, powszechnie stosowanych protokołów zabezpieczeń, takich
jak: SSL, TLS (Transport Layer Security) oraz szyfrów kryptograficznych klasy
RSA.
Taki sposób zabezpieczania przekazu ma jedną, ale za to zasadniczą wadę:
wewnątrz bramy WAP – gdzie przesyłana informacja musi być przez pewien
okres czasu w postaci jawnej – wówczas nie ma żadnego zabezpieczenia przed
intruzami.
WTLS (jak i SSL) jest szczególnie odporny na ataki typu przechwycenia połączenia (man-in-the-middle attack) oraz ataki metodą powtórzenia (replay attack).
W atakach pierwszego typu, napastnik przechwytuje całą wymianę informacji prowadzoną pomiędzy stronami i sprawia, iż są one przekonane że komunikują się między sobą.
W atakach typu powtórzenia napastnik przechwytuje przekazywane wiadomości i wielokrotnie je powtarza, aby zmusić system docelowy do wielokrotnego wykonania określonej operacji (np. transakcji finansowej).
Wrażliwość na atak prierwszego typu może być zmniejszona poprzez wykorzystanie certyfikatów cyfrowych.
Wrażliwość na atak drugiego typu może być zmniejszona m.in. poprzez stosowanie w wiadomościach unikalnych znaczników, co pozwala zredukować
ryzyko błędnej akceptacji fałszywych wiadomości.
Podsumowanie
W niniejszym artykule zostały przedstawione wyniki teoretycznych rozważań nt. bezpieczeństwa w rozwiązaniach bankowości internetowej, przy założeniu zdalnego dostępu za pomocą urządzeń przenośnych.
Przedstawione wady i zalety pozwoliły na sformułowanie kryteriów oceny
omawianych rozwiązań, co będzie stanowiło istotny element w realizacji dalszych prac badawczych, w których główny nacisk zostanie nałożony na aspekty
stricte praktyczne, w tym analizę scenariuszową z punktu widzenia wydajności i
bezpieczeństwa dla zadeklarowanego, komercyjnego rozwiązania funkcjonującego w rzeczywistości.
Literatura
[MIE02]
[NSS02]
[HEU02]
Miedzianowska A.: Wireless Applications Protocol, Internet:
http://strony.wp.pl/wp/gsm2plus/wap.html
NSS integrator: http://www.nss.pl/article/articleview/90/1/50/
Heuthes:
http://www.heuthes.pl/html/produkty/katalog/wapbank.html
SECURITY 0F REMOTE ACCESS SOLUTIONS IN MOBILE
BANKING
In this article topics concerned with remote access technology were covered,
especially in using mobile devices in case of internet banking. Security aspects
were emphasized as well as presenting strong and weak points of contemporary
solutions.
Słowa kluczowe: security, remote access, WAP.