tytu£ referatu \(us_tyt\) - Katedra Informatyki i Ekonometrii
Transkrypt
tytu£ referatu \(us_tyt\) - Katedra Informatyki i Ekonometrii
BEZPIECZEŃSTWO ROZWIĄZAŃ ZDALNEGO DOSTĘPU DLA BANKOWOŚCI INTERNETOWEJ Adrian Kapczyński, Jarosław Karcewicz Politechnika Śląska, Katedra Informatyki i Ekonometrii [email protected], [email protected] Streszczenie W artykule zostały przedstawione zagadnienia związane z technologią zdalnego dostępu, a szczególności z wykorzystraniem urządzeń przenośnych do komunikacji w ramach bankowości internetowej. Przez pryzmat bezpieczeństwa omówiono technologie zdalnego dostępu wskazując silne oraz słabe strony dotychczasowych rozwiązań. Słowa kluczowe: bezpieczeństwo, zdalny dostęp, WAP. Wprowadzenie Dostarczanie usług handlu elektronicznego (e-commerce) czy też handlu mobilnego (m-commerce) związane jest z przetwarzaniem płatności z zachowaniem odpowiednio wysokiego poziomu bezpieczeństwa. Niestety, nie jest ono jeszcze zadowalające, pomimo funkcjonowania wielu mechanizmów podwyższających wiarygodność uczestniczących w transakcji stron i podniesienia bezpieczeństwa przekazów. Chodzi tutaj głównie o atrybuty bezpieczeństwa, takie jak: poufność, integralność, nienaruszalność i autentyczność. W przekazach tradycyjnych poufność uzyskuje się przez szyfrowanie informacji, takich jak dane osobowe, numery karty kredytowej, itp. Integralność oraz nienaruszalność jest zachowywana dzięki stosowaniu algorytmów kryptograficznych. Dzięki nim, możliwe jest wykrywanie prób ingerencji, ewentualnie zmiany treści przekazywanej wiadomości. Ostatni z atrybutów bezpieczeńtstwa dotyczy identyfikacji uczestników oraz potwierdzenia transakcji poprzez uwierzytelnianie stron za pomocą podpisu cyfrowego (dzięki temu pojawia się duża trudność w kwestii zafałszowania tożsamości). Wymienione atrybuty bezpieczeństwa winne być jak najlepsze dla rozwiązań binzesowych, również w takich, które wykorzystują zdalny dostęp. Zastosowaniem biznesowym, na który zostanie położony największy nacisk w niniejszej pracy jest bankowości internetowa (bankowość mobilna). W kolejnych paragrafach zostanie zaprezentowana baza teoretyczna, która pozwoli opracować założenia oraz wytyczne przyszłych badań związanych z jakością mechanizmów bezpieczeństwa analizowanych rozwiązań. Wobec powyższego, niniejsza praca ma charakter teoretyczny oraz przygotowujący do badań praktycznych, dzięki przeglądowemu ujęciu niektórych kwestii. Technologie zdalnego dostępu Sieci bezprzewodowe zyskują dużą popularność w wielu zastosowaniach, w udostępnianiu Internetu, łączeniu kablowych sieci lolanych, medycynie, handlu, produkcji czy magazynowaniu. Użytkownicy w tych segmentach rynku zyskują na wydajności, używając przenośnych terminali oraz komputerów do stałej, bieżącej transmisji danych do centralnych systemów przetwarzania. Dzisiejsze sieci bezprzewodowe postrzegane są jako alternatywna technologia dla szerokiego spektrum zastosowań. Powszechna obecność sieci komputerowych w gospodarce i błyskawiczny rozwój Internetu oraz usług dostarczanych przez sieć świadczą o korzyściach jakie daje dostęp do informacji i współdzielenie zasobów. Dzięki sieci bezprzewodowej użytkownik może uzyskać dostęp do informacji bez poszukiwania miejsca z dostępem do sieci, a administratorzy sieci mogą konfigurować sieć bez instalowania czy przenoszenia struktury okablowania. Elastyczność i mobilność czyni sieć bezprzewodową zarówno efektywnym rozszerzeniem jak i atrakcyjna alternatywą dla sieci kablowych. Sieci bezprzewodowe zapewniają zbliżoną funkcjonalność jak sieci kablowe, bez fizycznych ograniczeń samego medium. Konfiguracje sieci bezprzewodowych rozciągają się od prostych topologii każdy-z-każdym, aż do złożonych sieci oferujących m.in. dystrybucję danych. Oprócz oferowania użytkownikowi mobilności w otoczeniu sieciowym, sieci bezprzewodowe umożliwiają przenoszenie sieci, co oznacza de facto możliwość przeniesienia z miejsca na miejsce razem z pracownikami jej używającymi i ich wiedzą [NSS02]. Biorąc pod uwagę kryterium zasięgu, sieci bezprzewodowe można podzielić na: 1. WPAN (Wireless Personal Area Network) – to sieć o zasięgu kilku metrów służąca do wymiany informacji pomiędzy urządzaniami przenośnymi typu notebook, palmtop, telefon komórkowy, itp.; obecnie do tych celów wykorzystuje się głównie technologię Bluetooth, 2. WLAN (Wireless Local Area Network) - sieć lokalna oparta o technologię bezprzewodową, zlokalizowana jest w stosunkowo niewielkim obszarze i obejmuje niewielką liczbę komputerów (zwykle do kilkunastu), 3. WWAN (Wireless Wide Area Network) - rozległa sieć komputerowa oparta o technologię bezprzewodową, która obejmuje dużą liczbę komputerów na dużej przestrzeni i o dużym zasięgu. Wydaje się, iż największymi możliwościami mobilnego działania charakteryzują się dziś sieci WWAN (sieci z ostatniej grupy), której technologie opierają się na telefonii komórkowej. Ponadto, bardzo duże oczekiwania są związane z wykorzystaniem protokołu WAP w telefonii komórkowej. Związane jest to z istotną właściwością tego protokołu, jakim jest możliwość wykorzystania samych telefonów komórkowych do dostępu do informacji w sieci Internet, wystarczy tylko aby telefon był wyposażony w tzw. mikroprzeglądarkę WAP. Głównymi zaletami WAP są: niewielką objętość kodu, minimalne zapotrzebowanie na pamięć operacyjną oraz minimalne zapotrzebowanie na moc obliczeniową potrzebną do działania. Specjalnie dla WAP zdefiniowano specjalny język opisu stron internetowych: WML (Wireless Markup Language), który wywodzi się z HTML-a i HDML-a i należy do klasy języków XML (Extensible Markup Language). Jednym z ważniejszych powodów stosowania WML zamiast HTML jest właśnie to, że WML ma niewielkie wymaganie jeśli chodzi o zasoby (np. pasma radiowego) w porównaniu z HTML. Poza tym, HTML wymaga znacznie większej mocy przetwarzania od urządzenia, które go interpretuje, a zatem występuje większy pobór energii i tym samym szybsze zużywanie baterii. Dodatkowo HTML przystosowany jest do znacznie większych wyświetlaczy niż telefoniczne, a im większy wyświetlacz, to oczywiście tym mniej przenośne staje się dane urządzenie [MIE02]. Bankowość internetowa WAP Banking jest rozwiązaniem umożliwiającym interaktywny dialog klienta banku z systemem komputerowym znajdującym się w oddziale banku za pomocą telefonu komórkowego zdolnego do obsługi protokołu WAP. Użytkownik korzystający z WAP Banking może nie tylko otrzymywać aktualne informacje o stanie swojego konta czy też inne informacje, ale również wydawać dyspozycje wykonania operacji bankowych. Ponieważ osoba korzystająca z WAP Banking posługuje się telefonem komórkowym, połączenie z bankiem może być nawiązane praktycznie w dowolnej chwili i z dowolnego miejsca[HEU02]. Logika związana z realizacją transkacji bankowej została zaprezentowana ponizej. Klient banku korzystając z telefonu komórkowego łączy się z serwerem WAP Banking, który przygotowuje odpowiedź pobierając potrzebne dane za pośrednictwem WAP Banking Gateway (brama), a następnie kieruje ją z powrotem do telefonu osoby żądającej informacji. Informacje te zapisane są w formacie WML (Wireless Markup Language), który opisuje sposób ich wyświetlania na ekranie telefonu komórkowego, a także umożliwia zdefiniowanie odsyłaczy pozwalających przemieszczać się po kolejnych stronach. Dzięki temu, klient banku korzystający z WAP uzyskuje na wyświetlaczu przejrzysty i czytelny zestaw informacji na żądany temat. Elementem łączącym sieć telefonii bezprzewodowej z siecią tradycyjnych łączy telekomunikacyjnych jest brama WAP pośrednicząca pomiędzy protokołami przesyłu danych właściwymi dla każdej z tych sieci. WAP Banking umożliwia klientom banków zdalne zarządzanie własnymi kontami poprzez realizację głównych funkcji, takimi jak: dostarczanie podstawowych informacji o koncie oraz dostarczanie informacji o operacjach dokonanych w określonym okresie. WAP Banking jest atrakcyjnym sposobem zarządzania własnymi kontami bankowymi, doskonale uzupełniającym wachlarz dostępnych aktualnie usług. Do jego podstawowych zalet zaliczyć należy: − natychmiastowy dostęp do usług bankowych z dowolnego miejsca – co oznacza, iż klient może uzyskać informacje lub wykonać operację przelewu natychmiast po fakcie powstania takiej potrzeby, bez konieczności przemieszczenia się do najbliższego banku, telefonu stacjonarnego, czy też komputera, − ciągły dostęp do informacji – WAP Banking działa w sposób ciągły, również w porze nocnej a także w święta, − stosunkowo szeroki zakres dostępnych usług, − możliwość ograniczenia kosztów związanych z zatrudnieniem – po upowszechnieniu się technologii WAP, co dzięki szybkiemu rozwojowi telefonii bezprzewodowej powinno nastąpić niebawem, dla wielu osób tańszym i łatwiejszym sposobem będzie korzystanie z WAP Banking niż odwiedzanie oddziału banku. Bezpieczeństwo WAP w bankowości Z uwagi na fakt, iż jednym z wiodących zastosowań WAP są płatności, problem bezpieczeństwa teleinformatycznego jest szczególnie istotny. Jest to tym trudniejsze, że sygnał radiowy można łatwo przechwycić dysponując danymi takimi jak numer kanału pracy i numer szczeliny. W sieciach GSM wykorzystywane są w tym celu algorytmy kryptograficzne i uwierzytelnijące. Pomimo użycia kluczy kryptograficznych, przy zastosowaniu odpowiedniego sprzętu nie stanowią one wystarczającego zabezpieczenia. Ponadto, gdy stacja bazowa pracuje w trybie „skoków częstotliwościowych” (Frequency Hopping), skoki po kanałach znacznie utrudniają przechwycenie samego sygnału w formie umożliwiającej jego zdekodowanie oraz odzyt. Poziom zabezpieczenia oferowany przez warstwy sieci GSM nie powinien być traktowany jako ostateczny. Właściwy poziom zabezpieczenia danych użytkownika uzyskuje się na poziomie warstw wyższych. W standardzie WAP takie zadanie pełni warstwa WTLS (Wireless Transport Layer Security) zabezpieczająca warstwę transportową i moduł WIM (Wireless Identity Module) spełniający zaawansowane funkcje uwierzytelniania na poziomie aplikacji. Poziom bezpieczeństwa zapewniany przez WTLS zależy od wymagań aplikacji. Warstwa WTLS ma za zadanie dostarczyć określony interfejs bezpieczeństwa i możliwość zarządzania nim dla warstw wyższych, zachowując jednocześnie interfejs warstw niższych. Główne zadania warstwy WTLS to zapewnienie pomiędzy dwoma komunikującymi się urządzeniami: − prywatności, − zapewnienie integralności, − zapewnienie autentyczności. Wzorcem dla protokołu WTLS był SSL (Secure Socket Layer). Aby zaimplementować ten protokół na platformie WTLS, należałoby dokonać pewnych modyfikacji, takich jak ograniczenie ilości dostępnych algorytmów, ograniczenie efektywnej długości kluczy czy też wprowadzenie dodatkowych elementów umożliwiających pracę w środowisku radiowym. Należy zauważyć, iż sposób działania protokołu pozostał niezmieniony. WTLS jest implementowany się między (bezprzewodowym) urządzeniem końcowym z WAP, a bramą WAP. Z kolei w części przewodowej między bramą WAP a webowym serwerem aplikacji (e-commerce, e-banking, inne) korzysta się z tradycyjnych, powszechnie stosowanych protokołów zabezpieczeń, takich jak: SSL, TLS (Transport Layer Security) oraz szyfrów kryptograficznych klasy RSA. Taki sposób zabezpieczania przekazu ma jedną, ale za to zasadniczą wadę: wewnątrz bramy WAP – gdzie przesyłana informacja musi być przez pewien okres czasu w postaci jawnej – wówczas nie ma żadnego zabezpieczenia przed intruzami. WTLS (jak i SSL) jest szczególnie odporny na ataki typu przechwycenia połączenia (man-in-the-middle attack) oraz ataki metodą powtórzenia (replay attack). W atakach pierwszego typu, napastnik przechwytuje całą wymianę informacji prowadzoną pomiędzy stronami i sprawia, iż są one przekonane że komunikują się między sobą. W atakach typu powtórzenia napastnik przechwytuje przekazywane wiadomości i wielokrotnie je powtarza, aby zmusić system docelowy do wielokrotnego wykonania określonej operacji (np. transakcji finansowej). Wrażliwość na atak prierwszego typu może być zmniejszona poprzez wykorzystanie certyfikatów cyfrowych. Wrażliwość na atak drugiego typu może być zmniejszona m.in. poprzez stosowanie w wiadomościach unikalnych znaczników, co pozwala zredukować ryzyko błędnej akceptacji fałszywych wiadomości. Podsumowanie W niniejszym artykule zostały przedstawione wyniki teoretycznych rozważań nt. bezpieczeństwa w rozwiązaniach bankowości internetowej, przy założeniu zdalnego dostępu za pomocą urządzeń przenośnych. Przedstawione wady i zalety pozwoliły na sformułowanie kryteriów oceny omawianych rozwiązań, co będzie stanowiło istotny element w realizacji dalszych prac badawczych, w których główny nacisk zostanie nałożony na aspekty stricte praktyczne, w tym analizę scenariuszową z punktu widzenia wydajności i bezpieczeństwa dla zadeklarowanego, komercyjnego rozwiązania funkcjonującego w rzeczywistości. Literatura [MIE02] [NSS02] [HEU02] Miedzianowska A.: Wireless Applications Protocol, Internet: http://strony.wp.pl/wp/gsm2plus/wap.html NSS integrator: http://www.nss.pl/article/articleview/90/1/50/ Heuthes: http://www.heuthes.pl/html/produkty/katalog/wapbank.html SECURITY 0F REMOTE ACCESS SOLUTIONS IN MOBILE BANKING In this article topics concerned with remote access technology were covered, especially in using mobile devices in case of internet banking. Security aspects were emphasized as well as presenting strong and weak points of contemporary solutions. Słowa kluczowe: security, remote access, WAP.