• Najnowsze pytania
  • Bez odpowiedzi
  • Zadaj pytanie
  • Kategorie
  • Tagi
  • Zdobyte punkty
  • Ekipa ninja
  • IRC
  • FAQ
  • Regulamin
  • Książki warte uwagi

Bankowe systemy zabezpieczeń- książka

VPS Starter Arubacloud
+1 głos
526 wizyt
pytanie zadane 22 lutego 2022 w Bezpieczeństwo, hacking przez ws Nowicjusz (130 p.)
cześć,

jestem w trakcie pisania książki o tematyce ekonomiczno-fabularnej. Wątkiem, który pojawia się, jest atak hackerski na bank. Niestety w temacie systemów zabezpieczeń nie mam zbyt dużej wiedzy, a chciałabym rozwinąć ten wątek w miarę profesjonalnie. Czy możecie polecić mi skąd wziąć takie informacje lub opisać w kilku słowach jak takie zabezpieczenia działają i jak można je złamać? Oczywiście bardzo ogólnie i teoretycznie! żeby nie było, że chcę napadać na bank :P chodzi mi o branżowe słowa, kroki, nazwy... Nie chcę pisać głupot.

Pozdrawiam,

Weronika
komentarz 24 lutego 2022 przez reaktywny Nałogowiec (42,200 p.)

Poniżej napisałem na temat bardzo znacznego obniżenia poziomu bezpieczeństwa kont bankowych wraz z wydaniem dyrektywy unijnej  PSD2.

Warto jeszcze przeczytać książkę, w której jest sporo informacji w temacie który Ciebie interesuje (może nie technicznych, ale prawnych, politycznych, społecznych, itd. związanych z bezpieczeństwem kont bankowych, bezpieczeństwem przechowywania pieniędzy, itd.):

"Koniec pieniądza papierowego" Autor Baader Roland.

To niedroga książka, a naprawdę warto ja przeczytać - poleca ja też wielki guru IT, twórca jednej z największych wówczas firm komputerowych (OPTIMUS) w Europie - Pan Roman Kluska.

 

 

2 odpowiedzi

+3 głosów
odpowiedź 22 lutego 2022 przez Ehlert Ekspert (214,100 p.)

W dużej mierze nie różni się to od bezpieczeństwa wszystkich systemów webowych.

  • Odpowiednie nagłówki http: cors, csp, same-site itp.
  • Bezpieczeństwo pakietów z których się korzysta, odporność na xss.
  • Walidacja danych wejściowych
  • Prepared statements, parameterized queries
  • Odporność na RCE
  • Tematyka szyfrowania: od podpisywania jwt po szyfrowanie nośników danych
  • Odpowiedni design infrastruktury pod kątem dostępu do sieci, PKI
  • Rozumienie bezpieczeństwa jako proces: regularne audyty, testy.
  • Stosowanie monitoringu i firewalli
  • Ochorna przed atakami apt

Oprócz tego rozwiązania klasyczne dla banków:

  • 2FA
  • Zaufane kanały dostępu/jednorazowy dostęp
  • Customowy monitoring - transakcje na koncie, czasy sesji, logowania, monitorowanie ip
  • Zgodność oprogramowania banków z PSD2
  • Cała masa procedur związanych z komunikacją z klientem 
  • Jeszcze większa masa procedur bezpieczeństwa dla pracowników na poszczególnych szczeblach

W chwili obecnej skuteczne ataki bezpośrednio na banki są rzadkością: duża liczba banków to spółki i mają obowiązek informować o takich incydentach, jeśli atak mógłby wpłynąć na rentowność podmiotu.

Z kolei mega popularne są teraz ataki na klientów: dzwonienie i podszywanie się za pracowników banków, strony udające bankowe czy tzw Thrid-party payment procesor, złośliwe oprogramowanie wysyłane mailami.

Dużo znajdziesz na niebezpieczniku, Z3S i sekuraku. Temat rzeka, przemyśl czy chcesz dotykać laugh

2
komentarz 22 lutego 2022 przez Tomek Sochacki Ekspert (227,490 p.)
warto tez poczytać o socjotechnice, to dzisiaj często 99% sukcesu i nie chodzi tylko o pishing itp. Może warto bardziej na tym się skupić, a tematy czysto techniczne dać nieco z boku... mogłoby to być ciekawsze dla szerszego grona ludzi, którzy nie mają wiedzy technicznej o security.
2
komentarz 22 lutego 2022 przez Ehlert Ekspert (214,100 p.)
W tym temacie sztuka podstępu Mitnicka.
komentarz 24 lutego 2022 przez reaktywny Nałogowiec (42,200 p.)
Warto poczytać też o metodzie "na wnuczka" :D :D

Taki dżołk ;)
komentarz 24 lutego 2022 przez reaktywny Nałogowiec (42,200 p.)

W dużej mierze nie różni się to od bezpieczeństwa wszystkich systemów webowych.

Nie strasz ludzi trzymających pieniądze w bankach ;)

Wiem co masz na myśli, ale różnie można odczytać to zdanie.

 

–1 głos
odpowiedź 24 lutego 2022 przez reaktywny Nałogowiec (42,200 p.)

Warto dodać informację, że w UE wraz z dyrektywą PSD2 obniżono znacznie (tak - obniżono!) bezpieczeństwo kont bankowych w UE, w tym w Polsce. Obecnie stosuje się jako zabezpieczenie głównie hasła jednorazowe w postaci SMSów (które cyberprzestępcy na ogół z łatwością przechwytują - jest wiele metod). Niektóre lepsze banki mają jeszcze np. hasła jednorazowe na listach lub tzw. "zdrapkach" - to jest w obecnej chwili najlepsze zabezpieczenie.

Kiedyś w lepszych bankach konta bankowe klientów chroniły tokeny elektroniczne, uznawane na całym świecie za najlepsze zabezpieczenie kont bankowych. Tokeny elektroniczne co minutę wyświetlały hasło jednorazowe (OTP) którego ważność była krótka i w praktyce niemożliwa do przejęcia przez hakerów / przestępców.  UE zakazała tokenów sprzętowych na rzecz dużo łatwiejszych w obejściu haseł w SMSach :) W niektórych bankach (nie wiem czy w Polsce) były specjalne klucze sprzętowe na USB, które również autoryzowały dostęp do kont bankowych oraz wykonywanie wszelkich transakcji - Unia Europejska zakazała ich :)

 

Podobne pytania

0 głosów
1 odpowiedź 345 wizyt
+2 głosów
1 odpowiedź 255 wizyt

93,014 zapytań

141,977 odpowiedzi

321,271 komentarzy

62,356 pasjonatów

Motyw:

Akcja Pajacyk

Pajacyk od wielu lat dożywia dzieci. Pomóż klikając w zielony brzuszek na stronie. Dziękujemy! ♡

Oto polecana książka warta uwagi.
Pełną listę książek znajdziesz tutaj

Wprowadzenie do ITsec, tom 2

Można już zamawiać tom 2 książki "Wprowadzenie do bezpieczeństwa IT" - będzie to około 650 stron wiedzy o ITsec (17 rozdziałów, 14 autorów, kolorowy druk).

Planowana premiera: 30.09.2024, zaś planowana wysyłka nastąpi w drugim tygodniu października 2024.

Warto preorderować, tym bardziej, iż mamy dla Was kod: pasja (użyjcie go w koszyku), dzięki któremu uzyskamy dodatkowe 15% zniżki! Dziękujemy zaprzyjaźnionej ekipie Sekuraka za kod dla naszej Społeczności!

...