Bankowe systemy zabezpieczeń- książka

pytanie zadane 22 lutego 2022 w Bezpieczeństwo, hacking przez ws Nowicjusz (130 p.)

cześć,

jestem w trakcie pisania książki o tematyce ekonomiczno-fabularnej. Wątkiem, który pojawia się, jest atak hackerski na bank. Niestety w temacie systemów zabezpieczeń nie mam zbyt dużej wiedzy, a chciałabym rozwinąć ten wątek w miarę profesjonalnie. Czy możecie polecić mi skąd wziąć takie informacje lub opisać w kilku słowach jak takie zabezpieczenia działają i jak można je złamać? Oczywiście bardzo ogólnie i teoretycznie! żeby nie było, że chcę napadać na bank :P chodzi mi o branżowe słowa, kroki, nazwy... Nie chcę pisać głupot.

Pozdrawiam,

Weronika

komentarz 24 lutego 2022 przez reaktywny Nałogowiec (40,930 p.)

Poniżej napisałem na temat bardzo znacznego obniżenia poziomu bezpieczeństwa kont bankowych wraz z wydaniem dyrektywy unijnej PSD2.

Warto jeszcze przeczytać książkę, w której jest sporo informacji w temacie który Ciebie interesuje (może nie technicznych, ale prawnych, politycznych, społecznych, itd. związanych z bezpieczeństwem kont bankowych, bezpieczeństwem przechowywania pieniędzy, itd.):

"Koniec pieniądza papierowego" Autor Baader Roland.

To niedroga książka, a naprawdę warto ja przeczytać - poleca ja też wielki guru IT, twórca jednej z największych wówczas firm komputerowych (OPTIMUS) w Europie - Pan Roman Kluska.

2 odpowiedzi

odpowiedź 22 lutego 2022 przez Ehlert Ekspert (212,670 p.)

W dużej mierze nie różni się to od bezpieczeństwa wszystkich systemów webowych.

Odpowiednie nagłówki http: cors, csp, same-site itp.
Bezpieczeństwo pakietów z których się korzysta, odporność na xss.
Walidacja danych wejściowych
Prepared statements, parameterized queries
Odporność na RCE
Tematyka szyfrowania: od podpisywania jwt po szyfrowanie nośników danych
Odpowiedni design infrastruktury pod kątem dostępu do sieci, PKI
Rozumienie bezpieczeństwa jako proces: regularne audyty, testy.
Stosowanie monitoringu i firewalli
Ochorna przed atakami apt

Oprócz tego rozwiązania klasyczne dla banków:

2FA
Zaufane kanały dostępu/jednorazowy dostęp
Customowy monitoring - transakcje na koncie, czasy sesji, logowania, monitorowanie ip
Zgodność oprogramowania banków z PSD2
Cała masa procedur związanych z komunikacją z klientem
Jeszcze większa masa procedur bezpieczeństwa dla pracowników na poszczególnych szczeblach

W chwili obecnej skuteczne ataki bezpośrednio na banki są rzadkością: duża liczba banków to spółki i mają obowiązek informować o takich incydentach, jeśli atak mógłby wpłynąć na rentowność podmiotu.

Z kolei mega popularne są teraz ataki na klientów: dzwonienie i podszywanie się za pracowników banków, strony udające bankowe czy tzw Thrid-party payment procesor, złośliwe oprogramowanie wysyłane mailami.

Dużo znajdziesz na niebezpieczniku, Z3S i sekuraku. Temat rzeka, przemyśl czy chcesz dotykać

komentarz 22 lutego 2022 przez Tomek Sochacki Ekspert (227,510 p.)

warto tez poczytać o socjotechnice, to dzisiaj często 99% sukcesu i nie chodzi tylko o pishing itp. Może warto bardziej na tym się skupić, a tematy czysto techniczne dać nieco z boku... mogłoby to być ciekawsze dla szerszego grona ludzi, którzy nie mają wiedzy technicznej o security.

2	komentarz 22 lutego 2022 przez Ehlert Ekspert (212,670 p.) W tym temacie sztuka podstępu Mitnicka.

komentarz 24 lutego 2022 przez reaktywny Nałogowiec (40,930 p.)

Warto poczytać też o metodzie "na wnuczka" :D :D

Taki dżołk ;)

komentarz 24 lutego 2022 przez reaktywny Nałogowiec (40,930 p.)

W dużej mierze nie różni się to od bezpieczeństwa wszystkich systemów webowych.

Nie strasz ludzi trzymających pieniądze w bankach ;)

Wiem co masz na myśli, ale różnie można odczytać to zdanie.

odpowiedź 24 lutego 2022 przez reaktywny Nałogowiec (40,930 p.)

Warto dodać informację, że w UE wraz z dyrektywą PSD2 obniżono znacznie (tak - obniżono!) bezpieczeństwo kont bankowych w UE, w tym w Polsce. Obecnie stosuje się jako zabezpieczenie głównie hasła jednorazowe w postaci SMSów (które cyberprzestępcy na ogół z łatwością przechwytują - jest wiele metod). Niektóre lepsze banki mają jeszcze np. hasła jednorazowe na listach lub tzw. "zdrapkach" - to jest w obecnej chwili najlepsze zabezpieczenie.

Kiedyś w lepszych bankach konta bankowe klientów chroniły tokeny elektroniczne, uznawane na całym świecie za najlepsze zabezpieczenie kont bankowych. Tokeny elektroniczne co minutę wyświetlały hasło jednorazowe (OTP) którego ważność była krótka i w praktyce niemożliwa do przejęcia przez hakerów / przestępców. UE zakazała tokenów sprzętowych na rzecz dużo łatwiejszych w obejściu haseł w SMSach :) W niektórych bankach (nie wiem czy w Polsce) były specjalne klucze sprzętowe na USB, które również autoryzowały dostęp do kont bankowych oraz wykonywanie wszelkich transakcji - Unia Europejska zakazała ich :)