Bezpečnostné hrozby
   spojené s E. B.

  
 
 
 
 
 
 
 
 
 
 
 


Copyright © Marek Lednický, 2006. All Rights Reserved

 

Bezpečnostné hrozby spojené s E.B.

     Keďže informácie, ktoré majú chrániť bezpečnostné systémy, predstavujú väčšinou osobné dáta a finančné prostriedky na účtoch, hrozby a riziká sú na vysokom stupni a teda je potrebné ich skúmať nielen vzhľadom na vonkajší útok, ale aj na možný útok z vnútra:

  • neautorizovaný užívateľ sa môže pokúsiť získať prístup k systému,
  • autorizovaný užívateľ sa môže pokúšať získať prístup k prostriedkom (PC, terminál, atď.), ku ktorým nemá povolený prístup.
     Štatistiky hovoria, že vonkajší útočníci realizujú iba 20-30% útokov. Väčšina útokov je zrealizovaných autorizovanými užívateľmi. Najčastejšie boli títo narušitelia identifikovaní ako „nespokojní zamestnanci finančných inštitúcií.“
     V rámci prenosu informácií medzi komunikačnými systémami, prostredníctvom verejných telekomunikačných sietí, medzi komunikačnými systémami sú možné tieto hrozby:
  • informácie prenášané verejnou telefónnou, alebo inou dátovou sieťou, sú monitorované neautorizovaným užívateľom,
  • informácie prenášané prenosovou cestou, sú modifikované neautorizovaným užívateľom.
     So zreteľom na požiadavku dostatočnej rýchlosti a spoľahlivosti bankových služieb je treba rátať aj s nezanedbateľným vplyvom hrozby porúch, havárií a prírodných katastrof:
  • užívateľom môže byť zabránené využívanie služieb zničením systému,
  • poškodením funkčnosti, alebo integrity celého systému.
V prípade, že bankový systém nemá dostatočnú kvalitu, sú možné nasledujúce hrozby:
  • dodaný systém je inštalovaný, alebo používaný spôsobom, ktorý nie je bezpečný,
  • môže dôjsť k narušeniu bezpečnosti systému, pretože nie sú použité bezpečnostné mechanizmy, alebo sú použité nesprávne,
  • používatelia môžu obísť bezpečnostné mechanizmy, použité v systéme.
Pri použití elektronického podpisu, ako autentifikačného údaju, hrozia nasledujúce riziká:
  • odcudzenie privátneho kľúča,
  • prípad, že si vydavateľ certifikátu neoprávnene skopíruje dáta na podpisovanie – súkromný kľúč,
  • narušenie jednoznačnosti väzby verejného kľúča na danú osobu,
  • rozbitie algoritmu.
Útoky programovými prostriedkami môžu mať formu:
  • vírusu – typ škodlivého programu, ktorý infikuje ďalšie súbory a prostredníctvom hostiteľských aplikácií sa šíri ďalej,
  • e-mailového červa – typ škodlivého programu, ktorý nepotrebuje na šírenie prostredníctvom elektronickej pošty žiadnu hostiteľskú aplikáciu,
  • trójsky kôň - je programom tváriacim sa ako užitočná utilita, ale na pozadí svojej oficiálnej činnosti uskutočňuje škodlivé akcie (inštalácia zadných vrátok),
  • Phishing – jedná sa o druh internetového podvodu. Cieľom útočníka je vylákať od používateľa citlivé informácie ako sú čísla a heslá bankových účtov, kreditných kariet, alebo ďalších
    podobných položiek. Útočník si väčšinou vytvorí zoznam e-mailových adries, na ktoré je následne odoslaná správa, tváriaca sa ako oficiálne oznámenie danej inštitúcie. Pretože sú často vyberané svetoznáme firmy, je určitá pravdepodobnosť, že oslovený užívateľ je klientom práve tejto spoločnosti a nebude váhať citlivé informácie odoslať späť v presvedčení, že komunikuje s centrálou banky.
  • Pharming – pri tomto spôsobe internetového podvodu útočníci vytvoria webové stránky nápadne podobné webu iných spoločností (väčšinou bankových inštitúcií). Potom už stačí len útok hackera, ktorý zmení DNS tak, aby bol zákazník presmerovaný na pirátsku stránku. Pretože je prostredie používateľovi dôverne známe, neváha zadať svoje používateľské meno a heslo. Tieto údaje sú následne zozbierané a zneužívané. V porovnaní s phishingom ide o veľa nenápadnejšiu formu podvodu.
     Vírusy predstavujú však menšie riziko pre banku ako pre klienta, pretože napadnutie „červom“ klientského PC spôsobí škodu, za ktorú nesie zodpovednosť klient sám. Phishingoví podvodníci začínajú v poslednej dobe využívať taktiež trojské kone, predovšetkým tzv. keyloggery. Tieto trojani čakajú, až sa užívateľ prihlási na určenú stránku, následne na to monitorujú stisnuté klávesy a odošlú ich útočníkovi. Iným typom útokov, pre ktoré nie je nutné prihlásenie sa do systému, ktorý je predmetom útoku, sú činnosti na zabránenie dostupnosti služby.


Úvodná stránka Katedra telekomunikácií FEI STU BA