OU-alumnivereniging, 26 sept. 2009
Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken
Inhoud • Informatiebeveiliging • Cryptografie • Internetbankieren
2
OU-alumnivereniging, 26 sept. 2009
Informatiebeveiliging
Introductie •
•
Informatie – betekenisvolle gegevens – waardevol (privacy, bedrijfsinformatie) Beveiliging van opslag en communicatie noodzakelijk
3
Informatiebeveiliging
Doelen •
Confidentiality (vertrouwelijkheid) – Informatie kan alleen bekeken worden door daartoe bevoegde partijen
•
Integrity (integriteit) – Informatie kan alleen gemodificeerd worden door daartoe bevoegde partijen
•
Availability (beschikbaarheid) – Informatie is alleen toegankelijk voor daartoe bevoegde partijen
C I A 4
OU-alumnivereniging, 26 sept. 2009
Informatiebeveiliging
Doelen • •
Doel: confidentiality + integrity + availability Uitdaging: vind de juiste balans
Security (veiligheid) confidentiality
integrity
availability
5
Informatiebeveiliging
Kwetsbaarheid
6
OU-alumnivereniging, 26 sept. 2009
Cryptografie
Introductie •
Gegevens vertalen in geheimschrift (vercijferen)
Dit is een geheim
•
Kbh bq zzh azszbg
Gegevens weer terug vertalen (ontcijferen)
Kbh bq zzh azszbg
Dit is een geheim
7
Cryptografie
Analogie Kbh bq zzh azszbg Dit is een geheim
bericht versturen
Bob ontcijfert bericht
Alice vercijfert bericht Dit is een geheim 8
OU-alumnivereniging, 26 sept. 2009
Cryptografie
Voorbeeld: algoritme van Caesar • •
Vercijferen: verschuif elke letter 3 plaatsen naar rechts in het alfabet Ontcijferen: verschuif elke letter 3 plaatsen naar links in het alfabet A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
LN EHQ FDHVDU! IK BEN IK B BE C CA CAE CAES CAESA CAESAR!
WIE BEN JIJ?
9
Cryptografie
Voorbeeld: algoritme van Caesar •
Algoritme: verschuif het alfabet
•
Sleutel: aantal posities dat je verschuift
•
Voorbeelden – Sleutel = 3: A → D, B → E, …
Dit is een geheim
A B C D E F G H I J K L M N O P Q R S T U V W X Y Z D E F G H I J K L M N O P Q R S T U V W X Y Z A B C
– Sleutel = 6: A → G, B → H, … A B C D E F G H I J K L M N O P Q R S T U V W X Y Z G H I J K L M N O P Q R S T U V W X Y Z A B C D E F 10
OU-alumnivereniging, 26 sept. 2009
Cryptografie
Symmetrische cryptografie • •
Dezelfde (geheime) sleutel Alleen Alice en Bob kennen sleutel
Dit is een geheim
Dit is een geheim 11
Cryptografie
Asymmetrische cryptografie
Dit is een geheim
Twee verschillende sleutels • Eén sleutel is openbaar • Andere sleutel is geheim (privé)
Dit is een geheim 12
OU-alumnivereniging, 26 sept. 2009
Cryptografie
Asymmetrische cryptografie •
Twee bij elkaar horende sleutels – Met de ene sleutel kan doosje gesloten worden – Met de andere sleutel kan doosje weer geopend worden
1. Sluiten met openbare sleutel, openen met privésleutel
2. Sluiten met privésleutel, openen met openbare sleutel
13
Cryptografie
Asymmetrische cryptografie 1. Sluiten met openbare sleutel, openen met privésleutel • Alice vercijfert bericht met openbare sleutel • Alleen Bob kent privésleutel en kan bericht ontcijferen
vercijferd bericht 2. Sluiten met privésleutel, openen met openbare sleutel • Alleen Alice kent privésleutel en kan bericht vercijferen • Bob (iedereen) kan bericht ontcijferen met openbare sleutel
bericht met digitale handtekening
14
OU-alumnivereniging, 26 sept. 2009
Cryptografie
Asymmetrische cryptografie •
Iedere gebruiker heeft eigen sleutelpaar: openbare (publieke) sleutel en geheime (privé) sleutel
Alice
Alice
Bob
Bob
15
Cryptografie
Asymmetrische cryptografie Dit is een geheim
Dit is een geheim
Kbh bq zzh azszbg
TÄ|vx Alice
Bob
vercijferd bericht met digitale handtekening
Alice
Bob 16
OU-alumnivereniging, 26 sept. 2009
Cryptografie
Certificaat • •
Hoe kom je iemands openbare sleutel te weten? Hoe weet je zeker dat die openbare sleutel correct is?
•
Certificaat (‘digitaal paspoort’) – Uitgegeven door Certificate Authority – Bevat o.a. • Naam van de eigenaar • Openbare sleutel van de eigenaar • Geldigheidsduur • Digitale handtekening geplaatst door Certificate Authority
•
PKI (Public Key Infrastructure) – Systeem voor het uitgeven en beheren van certificaten
17
Cryptografie
Certificaat
Certificaat Autoriteit
Eigenaar: Bob Geldig tot: 1-1-2011
Bob
Bob CA
Eigenaar: Bob Geldig tot: 1-1-2011 Certificaat
Bob
CA
18
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Veilig internetten • •
Communicatie beveiligen Authenticatie – Weet u zeker dat de webserver van de bank is? – Weet de bank wie u bent? Webbrowser van gebruiker (client)
Webserver van bank (server)
19
Internetbankieren
HTTPS webbrowser
webserver
Hallo Hallo Eigenaar: Bank Geldig tot: 1-1-2011
Certificaat CA
Bank
Sessiesleutel Bank
Bank
Vercijferde berichten 20
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Voorbeeld: Rabobank
21
Internetbankieren
Voorbeeld: Rabobank
22
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Veilig internetbankieren •
Communicatie via HTTPS – Veilige verbinding (vercijferde berichten) – Garantie dat u met de bank praat (certificaat)
•
Hoe weet de bank dat ze met u praat? – U moet aantonen wie u bent (authenticatie) – Twee-factor authenticatie: kenniskenmerk en bezitskenmerk
Kenniskenmerk
Bezitskenmerk
Pincode
Bankpas met calculator
Gebruikersnaam met wachtwoord
TAN-code via mobiele telefoon 23
Internetbankieren
Gevaren (1) •
Het internet is inherent onveilig – Complexe architectuur – Dateert uit 70-er jaren; veiligheid speelde toen nauwelijks een rol – Beveiliging wordt toegevoegd (bv. HTTPS), maar steeds nieuwe beveiligingslekken
24
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Gevaren (2) •
Social engineering – Op slinkse wijze ontfutselen van gegevens – Voorbeeld: phishing
Geachte Dexia klant, In februari jongstleden zijn er nieuwe beveiligingswetten ingevoerd. Voortaan moeten uw gegevens ook bij uw Dexia online account worden geverifieerd. Ter voorkoming van misbruik door derden, vragen wij u een moment van uw tijd. Login op http://mijn4dexia3bank2e67d8cafe39fr.cg.bz en vul de gevraagde gegevens in. Met vriendelijke groet, Dexia Bank F.A. Tuininga, Manager Dexia Direct Net 25
Internetbankieren
Gevaren (3) •
Malware op uw computer – Virus, spyware, Trojaans paard,… – Bijvoorbeeld: alles wat u intikt, wordt doorgestuurd naar crimineel – Gebruik beveiligingssoftware en update deze regelmatig – Maar… zulke software loopt altijd achter de feiten aan!
26
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Man-in-the-middle
man-in-the-middle
gebruiker
bank
Remote MITM •
Masquerade van website
•
Bv. via phishing
•
Detecteerbaar voor alerte gebruiker
Local MITM • • • •
Malware; man-in-the-browser Populair bij criminelen Omzeilt HTTPS! Omzeilt mogelijk beveiligingssoftware! 27
Internetbankieren 74% (Nederland koploper in Europa)
Cijfers en feiten •
Hoeveel mensen doen aan interbankieren?
(bron: CBS)
100 90 80 70 60 50 40 30 20 10 0 2000
2001 PC
2002
2003
2004
PC + internet
2005
2006
2007
internetbankieren
2008 28
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Cijfers en feiten (bron: The Choice, april 2006)
•
Vinden we internetbankieren veilig? – Ja, vindt 98% van Nederlandse internetbankierders – Maar… 20% neemt onvoldoende beveiligingsmaatregelen!
•
Computergebruikers kwetsbaarder dan ze denken – 62% dacht onterecht beveiligingssoftware tegen spyware te gebruiken – 10% besmet met één of meer virussen
•
Recent misbruik in België (klanten van Argenta, KBC en Dexia) – te wijten aan malware op computer van gebruiker
•
Veiligheid van internetbankieren is verantwoordelijkheid van banken én consumenten!?
(bron: Consumentenbond, oktober 2007)
29
Internetbankieren
Cijfers en feiten •
Internetbankieren bij Belgische en Nederlandse banken – Behoort technisch gezien tot veiligste ter wereld – Gebruiker is zwakste schakel
•
Schade – Enkele tientallen fraudepogingen per jaar; verlies in orde van duizenden euro’s (?) – Erg weinig gezien aantal transacties via internetbankieren (vgl. pinpasfraude via skimmen in 2008: 31 miljoen in Nederland, 485 miljoen in Europa) – Nagenoeg alle getroffen klanten werden terugbetaald
30
OU-alumnivereniging, 26 sept. 2009
Internetbankieren
Wat kunt u doen? •
Voorlichting aan consumenten – www.veiliginternetbankieren.nl – www.3xkloppen.nl – Informatie op websites van banken
1. Houd uw pc-beveiliging up-to-date – Besturingssysteem – Internetbrowser – Beveiligingssoftware (anti-virus en anti-spyware programma’s, spamfilter, firewall) 2. Controleer of website waarop u inlogt ook echt van uw bank is 3. Controleer uw betalingen 31
Afronding • Informatiebeveiliging • Cryptografie • Internetbankieren
32
OU-alumnivereniging, 26 sept. 2009
Meer informatie? •
Cursussen bij Open Universiteit – Inleiding informatica (beginners) – Security en IT (gevorderden) – Capita selecta wiskunde (wiskunde van cryptografie)
•
Meer informatie – www.ou.nl –
[email protected]
33
