Проблемы информационной безопасности банков - (диплом)

Основное ее отличие в том, что она не использует синтезируемый голос или персональный компьютер для проведения расчетов.

Проведенные после установки First Direct исследования показали, что 30% населения посещают банки для того, чтобы использовать банкоматы, а 30% пользуются телефоном.

В системе First Direct особое внимание уделяется начальной идентификации и проверке абонента. Для идентификации используется десятисимвольный пароль, устанавливаемый клиентом и известный только ему. Проверка абонента осуществляется при взаимодействии с оператором. В начале работы оператор запрашивает наугад одну или несколько букв из пароля пользователя. Дополнительно клиент снабжается кодовым словом, которое используется при этой процедуре. Детали процедуры идентификации и аутентификации системы First Direct держатся в секрете.

Будущее этого вида услуг сильно зависит от прогресса в области распознавания речи и создания надежных и сравнительно недорогих устройств с приемлемыми характеристиками такого распознавания. [12]

Банковский автомат-кассир (АКА, банкомат) - специализированное устройство, предназначенное для обслуживания клиента в отсутствие банковского персонала. Это наиболее существенная часть банковской системы, предназначенная, в основном, для выдачи наличных денег. Помимо этой функции АКА может выполнять ряд дополнительных, а числе которых:

    * проверка состояния счета клиента;
    * изменение параметров счета клиента;
    * осуществление различных платежей;
    * предоставление информации о:
    - страховом полисе клиента;
    - котировках ценных бумаг на фондовом рынке;
    - покупке и продаже акций;
    - обменных курсах валют и т. д.

Автоматический кассовый аппарат состоит из трех устройств ввода (считыватель с пластиковых карточек, цифровая и функциональная клавиатура), двух выходных устройств (микродисплей и принтер) и устройства обработки информации. Взаимодействие клиента с АКА осуществляется при помощи пластиковой карточки, на которой записана необходимая информация, выносной клавиатуры и микродисплея. В настоящее время устройства обработки информации АКА разрабатываются на основе микропроцессоров. Так, например основой АКА компании NCR являются процессоры Intel 80486 и Pentium. Фактически АКА компании NCR представляет собой персональную ЭВМ, работающую под управлением ОС OS/2 и имеющую до 64 Мбайт оперативной памяти, до 3200 Мбайт дисковой памяти, накопитель на гибких магнитных дисках, дисплей, принтер и другие периферийные устройства. Выполнение операций осуществляется с помощью прикладного программного обеспечения. Шифрование конфиденциальной информации при передаче по каналам связи или при записи на диск осуществляется на основе стандарта DES. Кроме крипто-защиты предусмотрены и другие меры безопасности.

В 90-х годах по данным Американской Ассоциации Банкиров в США услуги АКА использовались половиной национальных банков и всеми крупными банками. [2, с. 377].

Системы, обеспечивающие расчеты продавца и покупателя в точке продажи, (point-of-sale, POS) получили распространение в США более 25 лет назад. В основном, все терминалы, подключенные к этим системам размещены на предприятиях торговли. Большинство таких терминалов установлены в супермаркетах, так как там совершается большое количество покупок в течении дня, а также в других магазинах и на автозаправочных станциях.

    Системы POS обеспечивают следующие услуги:
    - проверку и подтверждение чеков;
    - проверку и обслуживание дебетовых и кредитных карточек;
    - использование системы электронных расчетов.

Банки, финансирующие систему расчетов в точке продажи, таким образом расширяют список своих клиентов путем предоставления им больших удобств для покупок в магазинах с использованием удаленных устройств. Торговля, в свою очередь, увеличивает количество клиентов, расширяет управление имуществом, сохраняет время клиентов и уменьшает риск потери наличных денег.

Существует два типа систем POS. Основной из них предполагает, что продавец и покупатель имеют счета в одном и том же банке. Данные, необходимые для платежа, передаются через терминалы системы POS банковскому компьютеру, производится платеж и деньги переводятся со счета покупателя на счет продавца. В более сложной системе участвуют два или более банков. При платеже сначала вызывается банк покупателя, производится платеж и записывается на магнитную ленту для передачи в расчетную палату. Расчетная палата в свою очередь пересылает данные о платеже в банк продавца, который кредитует платеж.

    Проблемы идентификации клиента при удаленном обслуживании.

Персональный номер (идентификатор) (Personal Identification Number, PIN) - это последовательность цифр, используемая для идентификации клиента. Для ввода PIN как в АКА, так и в терминалах систем POS предусмотрена цифровая клавиатура, аналогичная телефонной. По способу назначения можно выделить следующие типы PIN:

    - назначаемые выведенные PIN;
    - назначаемые случайные PIN;
    - PIN, выбираемые пользователем.

Клиент различает только два типа PIN: PIN, который назначен ему банком, выдавшим карточку, и PIN, который пользователь может выбирать себе самостоятельно.

В связи с тем, что PIN предназначен для идентификации и аутентификации клиента, его значение должно быть известно только клиенту. Однако на практике PIN трудно удержать в памяти и поэтому клиент банка куда-нибудь его запишет (иногда - на саму карточку). В результате задача злоумышленника бывает сильно облегчена. Использование PIN, назначенных банком, неудобно даже при небольшом их количестве. Много цифр не удержишь в памяти и их придется записывать. Для большего удобства клиента используются PIN, выбираемые им самим. Такой способ определения PIN, во-первых, позволяет клиенту использовать один и тот же PIN для различных целей, и, во-вторых, позволяет задавать PIN как совокупность букв и цифр.

PIN обычно состоит из 4-6 цифр. Следовательно, для его перебора в наихудшем (для защиты естественно) случае необходимо осуществить 10. 000 комбинаций (4-х символьный PIN). Такой перебор возможен за короткое время. Поэтому в системах, использующих такой PIN , должны быть предусмотрены меры защиты от подбора PIN. Всего существуют два основных способа проверки PIN: алгоритмический и неалгоритмический.

Алгоритмический способ проверки заключается в том, что у пользователя запрашивается PIN, который преобразуется по определенному алгоритму с использованием секретного ключа и затем сравнивается со значением PIN, хранившемся на карточке. Достоинством этого метода проверки является: - отсутствие копии PIN на главном компьютере, что исключает его раскрытие персоналом банка;

- отсутствие передачи PIN между АКА и главным компьютером банка, что исключает его перехват злоумышленником или навязывание результатов сравнения; - облегчение работы по созданию программного обеспечения системы, так как уже нет необходимости действий в реальном масштабе времени.

Неалгоритмический способ проверки PIN, как это следует из его названия, не требует применения специальных алгоритмов. Проверка PIN осуществляется путем прямого сравнения полученного PIN со значениями, хранимыми в базе данных. Часто сама база данных со значениями PIN шифруется прозрачным образом, чтобы не затруднять процесс сравнения, но повысить ее защищенность.

Как же происходит генерация PIN? Вначале номер счета клиента дополняется нулями или другой константой до 16 шестнадцатеричных цифр (8 байт). Затем получившиеся 8 байт шифруются с использованием секретного ключа. Из получившегося шифртекста (8 байт), начиная с младших байт выделяются по 4 бита. Если значение числа, образуемого этими битами менее 10, то полученная цифра включается в PIN, иначе значение отбрасывается. Таким образом обрабатываются все 8 байт (64 бита). Если в результате обработки не удалось получить требуемое количество десятичных цифр, то из неиспользуемых комбинаций вычитается 10.

В том случае, когда необходимо получить выбираемый пользователем PIN, то каждая его цифра складывается по модулю 10 с соответствующей цифрой выведенного PIN (без учета переноса). Получаемое десятичное число называется “смещением” и запоминается на карточке. Так как выводимый PIN имеет случайное значение, то невозможно получить выбранный пользователем PIN по его “смещению”. В настоящее время ведется большая дискуссия по поводу применения PIN для идентификации клиентов [12]. Сторонники применения утверждают, что вскрытие PIN в Великобритании, например, составило несколько случаев в месяц против несколько сотен миллионов проведенных транзакций в год. Противники же доказывают, что идентификация клиента с использованием PIN работает только в следующих случаях:

- отсутствует перехват карточки и/или PIN при передаче от банка клиенту; - банковские карточки не воруют, не теряют и их невозможно подделать; - PIN невозможно узнать при доступе к системе другим пользователем; - PIN иным образом не может быть скомпрометирован;

    - в электронной системе банка отсутствуют сбои и ошибки;
    - в самом банке нет мошенников.

В качестве альтернативы PIN предлагается применять устройства идентификации, основанные на биометрическом принципе. Их широкое применение сдерживается высокой стоимостью. Например, устройство, предлагаемое компанией Sats и предназначенное для идентификации человека по геометрии его руки, стоит около $3. 500. [12]

Однако в настоящее время к биометрическим системам проявляется все больше интереса.

    Безопасность при использовании пластиковых карт.

Использование систем POS и АКА потребовало появления некоторого носителя информации, который мог бы идентифицировать пользователя и хранить некоторые учетные данные. В качестве такого носителя стали выступать пластиковые карточки.

В настоящее время выпущено более миллиарда карточек в различных странах мира [5, с. 26]. Наиболее известные из них:

- кредитные карточки Visa (более 350 млн. карточек) и MasterCard (200 млн. карточек);

    - международные чековые гарантии Eurocheque и Posteheque;

- карточки для оплаты путешествий и развлечений American Express (60 млн. карточек) и Diners Club.

По принципу действия можно выделить пассивные и активные пластиковые карточки. Пассивные всего лишь хранят информацию на том или ином носителе. Отличительной особенностью активных карточек является наличие встроенной в него микросхемы. Карточка с микропроцессором называется “интеллектуальной” (smart card). По характеру расчетов, проводимых с использованием пластиковых карточек, можно выделить кредитные и дебетовые карточки.

По характеру использования карточки подразделяются на корпоративные и личные. Главное отличие корпоративных (которые могут быть выданы только юридическим лицам) от индивидуальных состоит в том, что их владельцы имеют право на получение дополнительных услуг.

Например, такими карточками может одновременно пользоваться большое количество сотрудников фирмы, но счета по совершенным ими сделкам будут выставлены фирме. На магнитной карточке расположена магнитная полоса, состоящая из трех дорожек. Каждая из них имеет соответствующее назначение. Размеры карточки, формат хранимых данных определены специальным стандартом ISO 7811 1985 года. Процессорный тип карточек изобретен и запатентован Роланом Мореном во Франции. Микросхемы, установленные на карточке, могут быть как обычными энергонезависимой памяти, так и достаточно сложными микропроцессорами. Емкость обычной карточки с энергонезависимой памятью составляет от 2 до 16 килобайт. В постоянное запоминающее устройство, установленное на карточке, прошивается специальный набор программ. Иначе говоря, сердцем таких карточек является не просто микропроцессор, а микроЭВМ. Эти карточки обеспечивают обширный набор функций:

- возможность работы с защищенной файловой системой (доступ к файлам требует предъявления полномочий почтению/записи информации);

    - шифрование данных с применением различных алгоритмов;
    - ведение ключевой системы и т. д.

Некоторые карточки обеспечивают режим “самоблокировки” (невозможность дальнейшей работы с ней) при попытке несанкционированного доступа. Преимуществом интеллектуальных карточек является больший объем хранимой информации, устойчивость к подделке и возможность использования во многих приложениях.

Интеллектуальные карточки позволяют существенно упростить процедуру идентификации клиента. Это позволяет оказаться от работы АКА в режиме реального времени и централизованной проверки PIN. Для проверки PIN применяется алгоритм, реализуемый микропроцессором на карточке. Физическая защита интеллектуальной карты позволяет гарантировать корректность результата проверки PIN. В то же время интеллектуальные карточки обладают и существенными недостатками которые обусловили их ограниченное распространение. Основных недостатков два: - высокая стоимость производства карточки;

- увеличенная по сравнению со стандартом толщина, из-за чего она не может быть прочитана обыкновенным АКА. Для чтения таких карточек необходима установка специальных считывателей.

Кредитные карточки - наиболее распространенный тип пластиковых карточек. К ним относятся карточки общенациональных систем США Visa и Mastercard, American Express и AmEx's Optima, карточка Discovery Card фирмы Sears, Universal Card фирмы AT&T, местные и региональные карточки универсальных магазинов. Ими пользуются миллионы людей в США.

Карточки предъявляются на предприятиях торговли и обслуживания для оплаты товаров и услуг. При оплате с помощью кредитных карточек банк покупателя открывает ему кредит на сумму покупки и затем через некоторое время (обычно 25 дней) присылает счет по почте. Покупатель возвращает оплаченный чек обратно в банк.

Visa, MasterCard и Discover требуют от обладателей карточек производства по крайней мере фиксированного минимального платежа.

Разновидностью кредитных карточек являются affinity-карточки. Они выпускаются банком, кредитным объединением или финансовой компанией, заключившими специальное соглашение с профессиональной, общественной, религиозной или другой некоммерческой организацией. Обычно знак этой организации помещается на кредитную карточку. Производитель карточек обязуется отчислять своему контрагенту некоторый (сравнительно небольшой) процент от прибыли при использовании карточек. В ответ на это организация, с которой заключен договор, помогает производителю карточек внедрить их среди ее членов. Дебетовые карточки используются для дебетовых расчетов. Другие ее названия: карточка наличных средств или расчетная. Она во многом аналогична кредитной. Для дебетовых транзакций чаще всего используются АКА. Дебетовые карточки предназначены для замены наличных денег и персональных чеков. Пластиковая карточка, как основной носитель информации для АКА и оборудования POS, является притягательным объектом для злоумышленника. Поэтому перед выпуском таких карточек необходимо четко представлять степень их защиты от различных воздействий. Существует два основных требования к банковским карточкам: уникальность и необратимость.

Первое требование означает, что среди всех выпущенных банком карточек не должно быть ни одной одинаковой по характеристикам. Создание подобной карточки должно быть исключено для злоумышленника. Согласно второму требованию, не может быть восстановлена первоначальная информация на карточке.

Для реализации этих требований каждая фирма-изготовитель предусматривает свои схемы защиты, все тонкости которых она хранит в секрете. Рассмотрим два основных способа защиты магнитных карточек от подделки: метод магнитных водяных знаков и метод “сэндвича”.

Страницы: 1, 2, 3, 4, 5, 6, 7, 8, 9, 10, 11, 12, 13, 14, 15, 16, 17, 18, 19, 20