Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Computernetwerk

H4 Netwerk security 8

advertisement 
Aanbevelingsrapport
Beveiliging Bankalicious
Naam:
Bedrijfsnaam:
In opdracht van:
Studentnummer:
Opdrachtgever:
Datum:
Shane Pereira & Martijn van der Wurff
Point.T
Bankalicious
0915624
Bankalicious
21-03-2016
Inhoudsopgaven
H1
H2
H3
H4
H5
H6
H7
H8
Samenvatting
Inleiding
Software security
Netwerk security
Hardware security
Conclusies
Aanbevelingen
Verwijzingen
3
4
6
8
9
10
11
12
2
1. Samenvatting
De belangrijkste bron wat gebruikt is in dit aanbevelingsrapport is de ISO 9564. Dit is
een rapport wat regelmatig opnieuw wordt uitgebracht. Hierin staan aanbevelingen voor
banken waarmee zij hun pinautomaten kunnen beveiligen. De belangrijkste conclusie, als die
getrokken kan worden, is dat ieder component van een pinautomaat zijn eigen problemen
heeft. Daarom is het belangrijk om ook ieder component op zich te bekijken.
Aan de softwarezijde is een van de belangrijkste zaken de encryptie van bestanden. Dit
moet goed uitgevoerd worden. Wanneer dit slecht of half wordt gedaan, bestaat de kans dat
veel informatie in verkeerde handen terecht komt. Daarnaast blijkt dat veel valkuilen ontstaan
door stommiteiten van ontwikkelaars.
Op het netwerk is het vooral van belang er een veilig netwerk gecreëerd wordt. Een
netwerk wat bestand is tegen aanvallen van buitenaf. Een goede oplossing hiervoor is het
creëren van een lokaal netwerk.
Aan de hardware kant zijn de twee belangrijkste gevaren het skimmen en stelen van
fysiek geld uit de automaat. Ook hier zullen oplossingen voor gevonden moeten worden.
3
2. Inleiding.
Uit onderzoek is gebleken dat de pinautomaten van Bankalicious niet genoeg aanwezig
zijn in het straatbeeld. Daarnaast zijn de pinautomaten verouderd en ook niet goed in
gebruiksvriendelijkheid. Voor Bankalicious is het onderdeel security een belangrijk
onderwerp. Daarom heeft zij Point.T gevraagd een aanbevelingsrapport te schrijven. In dit
rapport zullen verschillende beveilingsrisico’s uitgelicht worden en ook bekeken worden hoe
hier het best mee omgegaan kan worden.
Het belang van een goed uitgewerkt aanbevelingsrapport omtrent de beveiliging van
de pinautomaten spreekt voor zich. Maar om het toch te verduidelijken zal hier nog even bij
stilgestaan worden. Het belangrijkst is dat de grootste beveiligingsrisico’s afgedekt zijn. Dat
deze risico’s aangepakt worden en dat hier een oplossing voor bedacht wordt.
De aanbevelingen zullen voornamelijk gebaseerd worden op de ISO 9564. Dit is het
vooraanstaande rapport omtrent pin-security. Er zullen ook andere bronnen geraadpleegd
worden.
Het doel van dit onderzoek is dan ook ook om de risico’s te achterhalen en een
aanbeveling doen om deze risico te tackelen. Het onderzoek zal een puur literair onderzoek
zijn. Tests in de praktijk moeten vervolgens uitwijzen of de bevonden aanbevolen strategie
ook daadwerkelijk werkt.
Dit rapport is een aanbevelingsrapport, de schrijvers van dit rapport zijn dan ook niet
verantwoordelijk voor een eventuele slechte implementatie. De schrijvers zijn wel
verantwoordelijk voor eventuele onwaarheden of inaccurate feiten.
4
De structuur van dit rapport is als volgt, het rapport is opgedeeld in drie hoofdstukken.
Een hoofdstuk over de software matige beveiliging, een hoofdstuk over de hardware matige
beveiliging en een hoofdstuk over het netwerk. Ieder hoofdstuk zal vervolgens onderverdeeld
worden in verschillende subonderdelen. Aan het eind van ieder subonderdeel wordt een
conclusie gevormd. Deze conclusie wordt samengevoegd aan het eind van het hoofdstuk.
Uiteindelijk zullen deze conclusies samengevoegd worden in het hoofdstuk: conclusies. Op
basis van deze conclusies zal er een aanbeveling gedaan worden. Deze aanbeveling zal ook
daadwerkelijk uitvoerbaar zijn (mits de juiste voorkennis aanwezig is).
5
3. Software security
Softwarematige security is een essentieel onderdeel van de pinautomaat. Dit omdat
er op twee wordt plaatsen gebruik gemaakt wordt van software. Op de server en op de
pinautomaat zelf. De pinautomaat zelf zal aangestuurd worden door een Mac OS X machine,
de server draait op Linux. Wanneer de software makkelijk te kraken is zal er gauw misbruik
gemaakt worden van de machines. Hierdoor zal Bankalicious niet alleen zelf in de problemen
komen maar ook de klanten van Bankalicious. Hierbij kan men denken aan het kopiëren van
bankpassen of het plunderen van rekeningen. Dit zal ervoor zorgen dat Bankalicious een
slechte naam opbouwt en klanten kan verliezen.
Pinautomaat
Er zijn een flink aantal voorbeelden waarbij voornamelijk stommiteiten van de makers
er voor zorgen dat pinautomaten zwak beveiligd zijn. Zo worden gebruikershandleidingen
direct op het internet geplaatst en worden standaard wachtwoorden niet veranderd (Phelan,
2014). Om dit voorbeeld te verhelpen zullen de gebruikershandleidingen alleen lokaal
opgeslagen worden en zullen er alleen geprinte versies mee gegeven worden. Dit zorgt ervoor
dat de handleiding niet via het internet verspreid baar is. De software zal zo geschreven
worden dat de er via de invoer geen rare of onverantwoorde instructies gegeven kunnen
worden.
De software van de pinautomaat zal in Java geschreven worden. Dit is volgens het
jaarlijkse CISCO Annual Security Report (2015) een verstandige keuze. Zo heeft Java de
afgelopen jaren gewerkt aan het reduceren van het aantal zero-day vulnerabilities. Ook wordt
6
Java zeer regelmatig geüpdatete (Critical Patch Updates, Security Alerts and Third Party
Bulletin, n.d.).
Aan de kant van de server zijn er ook een aantal maatregel die getroffen moeten
worden om de data veilig te houden. Een van de maatregelen is hierboven al genoemd. Het
softwarematig inperken van de functionaliteit van het keypad. Hierdoor kunnen er geen
database gegevens opgehaald worden. Daarnaast zal de database versleuteld moeten worden
(ISO 9654, 2016). Volgens ditzelfde rapport is een AES256-bits encryptie genoeg. Volgens de
ISO 9564 moet een PIN ook ingetrokken worden wanneer een de PIN is gecomprimeerd of
men het idee heeft dat de PIN gecomprimeerd is. De PIN zelf zal volgens de ISO 9564 ook
versleuteld moeten worden opgeslagen op de server. Hierdoor kunnen kwaadwillende niets
met de PIN mochten ze toch op het netwerk kunnen komen.
7
4. Netwerk security
Veel van de pinautomaten blijken direct verbonden zijn met het internet zonder enige
vorm van beveiliging. Hierdoor kunnen ervan buitenaf aanvallen op de pinautomaten
uitgevoerd worden (Parrish, 2010). Dit is erg onhandig wanneer men een veilige omgeving wil
creëren. Daarom is het van belang dat er maatregelen getroffen worden om ervoor te zorgen
dat deze veilige omgeving bestaat.
De pinautomaten zullen niet direct met het world wide web verbonden worden. Er zal
gebruikt gemaakt worden van een lokaal netwerk waar alleen de banken op kunnen. Volgens
Cornelissem et al. verhoogt dit de beveiliging van een netwerk (2013). Dit omdat het netwerk
niet direct op het internet is aangesloten. Hierdoor wordt een groot aantal risico’s meteen
afgeworpen. Aanvallen van buitenaf zijn dan namelijk niet meer mogelijk.
Een risico wat besproken wordt door Karygiannis & Owens (2002) is dat wanneer een
apparaat geïnvesteerd is geraakt het andere apparaten in het netwerk kan besmetten. Zij
stellen daarom dat het noodzakelijk is om ervoor te zorgen dat bepaalde apparaten binnen
een netwerk in quarantaine geplaatst kunnen worden. Dit zal dan ook een functie zijn die
toegepast moet worden.
8
5. Hardware security
Het laatste component van de pinautomaat is de hardware zelf. Een onderwerp wat
niet zomaar overgeslagen kan worden. Een van de grootste problemen tegenwoordig bij het
pinnen van geld is het kopiëren van de betaalpas. Dit is daarom het grootste probleem wat
opgelost moet worden. Een makkelijk oplossing om hier enige bescherming tegen te bieden
is het plaatsen van een kapje over het keypad.
Daarnaast wil men niet dat het mogelijk is het geld uit de pinautomaat mee te nemen
door de pinautomaat te kraken. Daarom is het verstandig om een hardware security
model(HSM) aan te brengen in de pinautomaat. De HSM kan er dan bijvoorbeeld voor zorgen
dat het geld onbruikbaar wordt op het moment dat het geld onwettelijk uit de pinautomaat
wordt gehaald.
9
6. Conclusies
Zoals men kan lezen zijn er uit dit rapport verschillende conclusies te trekken. De
belangrijkste conclusie, als die getrokken kan worden, is dat ieder component van een
pinautomaat zijn eigen problemen heeft. Daarom is het belangrijk om ook ieder component
op zich te bekijken. Aan de softwarezijde is een van de belangrijkste zaken de encryptie van
bestanden. Dit moet goed uitgevoerd worden. Wanneer dit slecht of half wordt gedaan,
bestaat de kans dat veel informatie in verkeerde handen terecht komt. Op het netwerk is het
vooral van belang er een veilig netwerk gecreëerd wordt. Een netwerk wat bestand is tegen
aanvallen van buitenaf. Een goede oplossing hiervoor is het creëren van een lokaal netwerk.
Aan de hardware kant zijn de twee belangrijkste gevaren het skimmen en stelen van fysiek
geld uit de automaat. Ook hier zullen oplossingen voor gevonden moeten worden.
10
7. Aanbevelingen
Om de software goed te versleutelen worden de aanbevelingen van de ISO 9564
overgenomen. Dit stelt bijvoorbeeld dat data goed versleuteld moet worden en dat een AESversleuteling van 256 bits voldoende. Ook is het van belang dat deze sleutel goed wordt
bewaard. Er wordt dan ook aangeraden om de samenvatting van de ISO 9564 door te lezen
en die aanbevelingen over te nemen.
Op het netwerk is het vooral van belang er een veilig netwerk gecreëerd wordt. Een
netwerk wat bestand is tegen aanvallen van buitenaf. Een goede oplossing hiervoor is het
creëren van een lokaal netwerk. Dit is dan ook de aanbeveling die gedaan wordt voor
Bankalicious.
Aan de hardware kant zijn de twee belangrijkste gevaren het skimmen en stelen van
fysiek geld uit de automaat. Om skimmen tegen te gaan kan men denken aan een special opzet
stuk. Een opzet stuk wat uniek is en daardoor niet te vervalsen is. Men kan hierbij denken aan
een hardware security model die alles wat in de pinautomaat zit onbruikbaar maakt.
11
8. Verwijzingen.
Cornelissen, J., Ray, M. B., Schroeder, S., Bru, E. C., Edwards, J., Adams, A., Evans, V. (2003).
Introduction to Netweroks: Companionm Guide. Cisco Press.
Critical Pathch Updates, Security Alerts and Third Party Bulletin. (n.d). Retrieved 21-03-2016,
from http://www.oracle.com/technetwork/topics/security/alerts-086861.html
Karygiannis, T., & Owens, L. (2002). Wireless network security. NIST special publication, 800,
48.
Parris, K. (30-06-2010). Hackers Makes ATMs Puke Money, Shows How. Tom’s Guide.
Retreived 21-03-2016, from http://www.tomsguide.com/us/ATM-Hacker-BlackHat,news-7635.html
Phelan, E. (10-06-2014). Teenagers expose ATM weakness in easy hack. ITProPortal.
Retrieved: 21-3-2016, from http://www.itproportal.com/2014/06/10/teenagersexpose-atm-weakness-in-easy-hack/
12
Related documents
Zoals men kan lezen zijn er uit dit rapport
Zoals men kan lezen zijn er uit dit rapport
Met een gezond netwerk, een goed werkende organisatie!
Met een gezond netwerk, een goed werkende organisatie!
Informatiebeveiliging
Informatiebeveiliging
SENIOR FIREWALL- CONSULTANT
SENIOR FIREWALL- CONSULTANT
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
KLAAR MET STUDEREN! Even voorstellen: We are on to it! ON2IT`s
KLAAR MET STUDEREN! Even voorstellen: We are on to it! ON2IT`s
IC TS ecurity - Brinkman Uitgeverij
IC TS ecurity - Brinkman Uitgeverij
Information Ethics
Information Ethics
CYSO start ISO 27001 project
CYSO start ISO 27001 project
SBIR cyber security Projecttitel CyberDEW, een distributed early
SBIR cyber security Projecttitel CyberDEW, een distributed early
Inhoud eerste jaar: Programmeren
Inhoud eerste jaar: Programmeren
Een terroristische daad met chemische stoffen?
Een terroristische daad met chemische stoffen?
Enhanced Security Management Informatiebeveiliging verankerd in
Enhanced Security Management Informatiebeveiliging verankerd in
Download
advertisement