Internetbankieren móét en kán veiliger

IBM IT-Architectenleergang, Run 9

(18 okt 2006 – 20 jun 2008)

Internetbankieren móét en kán veiliger Ruud Kous IT-Architect IBM Nederland

Presentatie scriptie IT-Architectenleergang | 12 en 13 juni 2008

© 2008 IBM Corporation


(18 okt 2006 – 20 jun 2008)

Agenda  Inleiding  Achtergrond  Internetbankieren móét veiliger  Internetbankieren kán veiliger

2

Internetbankieren móét en kán veiliger | Ruud Kous



(18 okt 2006 – 20 jun 2008)

Inleiding



(18 okt 2006 – 20 jun 2008)

Inleiding Inleiding Achtergrond

Móét

 Situatie – Internetbankieren is vanzelfsprekend – Gebruikers zijn zich vaak niet bewust van de gevaren

 Probleem – Veiligheid van internetbankieren is verre van vanzelfsprekend – Zwakste schakel: de gebruiker

Kán

 Vraag – Streven naar een fundamenteel betere beveiliging, of risico’s accepteren? – Is een fundamenteel betere beveiliging wel mogelijk?

4




(18 okt 2006 – 20 jun 2008)

Achtergrond



(18 okt 2006 – 20 jun 2008)

Authenticatiegegevens zijn de sleutel tot internetbankieren  Authenticeren kan op basis van: Inleiding Achtergrond

– Kenniskenmerk (iets wat je weet) – Bezitskenmerk (iets wat je hebt) – Persoonlijkheidskenmerk (iets wat je bent)

 Eén-factor authenticatie Móét

– Authenticatie op basis van één van bovengenoemde vormen – Gemakkelijk in het gebruik – Kwetsbaar

 Multi-factor authenticatie – Authenticatie op basis van twee of meer van bovengenoemde vormen – Minder gemakkelijk in het gebruik – Veel veiliger dan één-factor authenticatie Kán

 ‘Out-of-band’ authenticatie – Ander kanaal voor authenticatie dan kanaal voor hoofdcommunicatie – Maakt het lastiger om authenticatiegegevens te onderscheppen

 Alle grote Nederlandse banken gebruiken twee-factor authenticatie

6




(18 okt 2006 – 20 jun 2008)

Fraudeurs onderscheppen authenticatiegegevens en plunderen daarmee internetbankrekeningen Inleiding

 Social engineering (Phishing, Vishing, SMiShing) – Gebruikers naar een imitatie-bankwebsites lokken – Ontfutselen van gegevens onder valse voorwendselen

 Pharming Achtergrond Móét

– Netwerkadressen van domeinnamen van banken veranderen, zodat gebruikers automatisch op imitatie-bankwebsites terecht komen

 Man-in-the-middle-aanval – Kan worden uitgevoerd na succesvolle phishing of pharming – Imitatie-bankwebsite fungeert doorgeefluik voor fraudeurs

 Trojans / Man-in-the-browser-aanval Kán

– Onderscheppen gebeurt op pc van de gebruiker – Man-in-the-browser = lokale variant (op pc) van Man-in-the-middle – Zeer moeilijk te bestrijden

 Katvangers – Fraude is gemakkelijker met binnenlandse betalingen – Lokale bankrekeningen van katvangers worden gebruikt om het geld door te sluizen naar het buitenland 7




(18 okt 2006 – 20 jun 2008)

Internetbankieren móét veiliger



(18 okt 2006 – 20 jun 2008)

Bijna alle huidig gebruikte beveiliging is gevoelig voor man-in-the-middle/browser-aanvallen Inleiding Achtergrond

Móét

Kán

9

Man-in-the-middle-aanval:  Het gebruik van SSL- of EV SSL-certificaten gaat uit van bepaalde kennis en opmerkzaamheid van de gebruiker  Het merendeel van de gebruikers weet niet voldoende over het gebruik van certificaten Man-in-the-browser-aanval:  Communicatie met de legitieme bankwebsite  Transacties van de gebruiker worden gemanipuleerd vanuit de browser  Gebruiker autoriseert nietsvermoedend de gemanipuleerde transacties Internetbankieren móét en kán veiliger | Ruud Kous



(18 okt 2006 – 20 jun 2008)

De aanvallen worden steeds geavanceerder Inleiding Achtergrond

Móét

    

Van idealistische individuen naar criminele organisaties Spam: van marketing naar phishing en verspreiding malware Spyware: van marketing naar bemachtigen vertrouwelijke informatie Van phishing naar pharming Van imitatie-bankwebsites op enkelvoudige servers naar hoog beschikbare sites die gebruik maken van failover-technieken over fysiek verschillende locaties  Van man-in-the-middle naar man-in-the-browser  Malware krijgt steeds geavanceerdere features – Malware op pc maakt contact met Command & Control center op het moment dat gebruiker aan het internetbankieren is

Kán

– Malware wisselt aan de hand van de datum regelmatig van Command & Control center – Malware muteert zichzelf om detectie te voorkomen – Malware verwijdert zichzelf na bepaalde tijd –ook als het nog niet succesvol is geweest– om detectie te voorkomen

10




(18 okt 2006 – 20 jun 2008)

De slagingskans van aanvallen neemt toe Inleiding Achtergrond

 De technologische ontwikkeling bij het beveiligen van internetbankieren staat al jaren vrijwel stil

 Internetcriminelen maken grote sprongen voorwaards met het ontwikkelen van aanvalstechnologie

Het is dus slechts een kwestie van tijd dat de beveiliging van internetbankieren efficient omzeild kan worden door internetcriminelen Móét Kán

11

 De infrastructuur, om een gekraakte beveiliging binnen korte tijd massaal uit te buiten, is al aanwezig (er zijn schattingen dat 150 miljoen computers –een kwart van alle computers op internet– nu deel uitmaken van een botnet) Internetbankieren móét en kán veiliger | Ruud Kous



(18 okt 2006 – 20 jun 2008)

Internetbankieren kán veiliger



(18 okt 2006 – 20 jun 2008)

Maak de authenticatie van de website expliciet en randvoorwaardelijk Inleiding Achtergrond

 De bankwebsite dient zich eerst te ‘legitimeren’, alvorens de gebruiker dat doet

 Laat de authenticatie van de website niet afhangen Móét

van vrijblijvende visuele controle door de gebruiker

 Maak gebruik van sterke wederzijdse authenticatie Kán

(‘strong mutual authentication’)

Effectief middel tegen imitatie-bankwebsites 13




(18 okt 2006 – 20 jun 2008)

Neem het rekeningnummer van de begunstigde op in de sleutel voor de opdrachtautorisatie Inleiding Achtergrond

Móét

Kán

14

 Zorg voor een harde koppeling tussen transactie

en autorisatiecode Onderschepte autorisatiecodes hebben hierdoor geen waarde meer; ze werken alleen op de oorspronkelijke, ongemanipuleerde transacties  Laat de gebruiker (de laatste cijfers van) het rekeningnummer van de begunstigde invoeren ter berekening van de autorisatiecode  Elke transactie zijn eigen autorisatiecode; de validiteit van een code voor meerde transacties tegelijk is niet door een gebruiker te verifiëren  Een calculator zonder enige verbinding met de pc zou het veiligst zijn Effectief middel tegen man-in-the-middle- en man-in-thebrowser-aanvallen Internetbankieren móét en kán veiliger | Ruud Kous



(18 okt 2006 – 20 jun 2008)

Stap desnoods af van de ‘normale’ browserapplicatie en scherm de applicatie af Inleiding Achtergrond

Móét

Kán

15

Indien voorgaande maatregelen niet afdoende blijken te zijn, kan worden overwogen om van de ‘normale’ browserapplicatie af te stappen Enkele mogelijke alternatieven:  Alternatief 1: Gebruik een ‘applet’ met een soort omgekeerd ‘sandbox’-principe  Alternatief 2: Draai de applicatie op de server van de bank, te bedienen via een ‘terminal-client’  Alternatief 3: Draai de applicatie vanaf een opstartbaar en onbeschrijfbaar medium  Alternatief 4: Draai de applicatie in een niet te wijzigen virtuele omgeving  Alternatief 5: Maak gebruik van een apparaat speciaal en uitsluitend geschikt voor internetbankieren Internetbankieren móét en kán veiliger | Ruud Kous



(18 okt 2006 – 20 jun 2008)

Vragen?

16



Internetbankieren móét en kán veiliger

Recommend Documents