Add to collection(s) Add to saved
  1. Engineering
  2. Informatica
  3. Computernetwerk

Zoals men kan lezen zijn er uit dit rapport

advertisement 
Aanbevelingsrapport
Beveiliging Bankalicious
Naam:
Studentnummer:
Opdrachtgever:
Datum:
Shane Pereira & Martijn van der Wurff
0915624
Bankalicious
21-03-2016
Inhoudsopgaven
H1
H2
H3
H4
H5
H6
H7
H8
Samenvatting
Inleiding
Software security
Netwerk security
Hardware security
Conclusies
Aanbevelingen
Verwijzingen
3
4
6
8
9
10
11
12
2
1. Samenvatting
3
2. Inleiding.
Uit onderzoek is gebleken dat de pinautomaten va Bankalicious niet genoeg aanwezig
zijn in het straatbeeld. Daarnaast zijn de pinautomaten verouderd en ook niet goed in
gebruiksvriendelijkheid. Voor Bankalicious is het onderdeel security een belangrijk
onderwerp. Daarom heeft zij …… gevraagd een aanbevelingsrapport te schrijven.
In dit
rapport zullen verschillende beveilingsrisico’s uitgelicht worden en ook bekeken worden hoe
hier het best mee omgegaan kan worden.
Het belang van een goed uitgewerkt aanbevelingsrapport omtrent de beveiliging van
de pinautomaten spreekt voor zich. Maar om het toch te verduidelijken zal hier nog even bij
stilgestaan worden. Het belangrijkst is dat de grootste beveiligingsrisico’s afgedekt zijn. Dat
deze risico’s aangepakt worden en dat hier een oplossing voor bedacht wordt.
De aanbevelingen zullen voornamelijk gebasseerd worden op de ISO 9564. Dit is het
vooraanstaande rapport
omtrent het pin-secuirity. Er zullen ook andere bronnen
geraadpleegt worden.
Het doel van dit onderzoek is dan ook ook om de risico’s te achterhalen en een
aanbeveling doen om deze risico te tackelen. Het onderzoek zal een puur literair onderzoek
zijn. Tests in de praktijk moeten vervolgens uitwijzen of de bevonden aanbevolen strategie
ook daadwerkelijk werkt.
4
Dit rapport is een aanbevelingsrapport, de schrijvers van dit rapport zijn dan ook niet
verantwoordelijk voor een eventuele slechte implementatie. De schrijvers zijn wel
verantwoordelijk voor eventuele onwaarheden of inaccurate feiten.
De structuur van dit rapport is als volgt, het rapport is opgedeeld in drie hoofdstukken.
Een hoofdstuk over de software matige beveiliging,een hoofdstuk over de hardware matige
beveiliging en een hoofdstuk over het netwerk. Ieder hoofdstuk zal vervolgens onderverdeeld
worden in verschillende subonderdelen. Aan het eind van ieder subonderdeel wordt een
conclusiee gevormdt. Deze conclusie wordt samengevoegd aan het eind van het hoofdstuk.
Uiteindelijk zullen deze conclusies samengevoegd worden in het hoofdstuk: conclusies. Op
basis van deze conclusies zal er een aanbeveling gedaan worden. Deze aanbeveling zal ook
daadwerkelijk uitvoerbaar zijn (mits de juiste voorkennis aanwezig is).
5
3. Software security
Software matige security is een essentieel onderdeel van de pinautomaat. Dit omdat
er op twee wordt plaatsen gebruik gemaakt wordt van software. Op de server en op de pin
automaat zelf. De pin automaat zelf zal aangestuurd worden door een Mac OS X machine, de
server draait op Linux. Wanneerd de software makkelijk te kraken is zal er gauw misbruik
gemaakt worden van de machines. Hierdoor zal Bankalicious niet alleen zelf in de problemen
komen maar ook de klanten van Bankalicious. Hierbij kan men denken aan het kopieren van
bankpassen of het plunderen van rekeningen. Dit zal er voor zorgen dat Bankalicious een
slechte naam opbouwt en klanten kan verliezen.
Pinautomaat
Er zijn een flink aantal voorbeelden waarbij voornamelijk stomiteiten van de makers
er voor zorgen dat pinautomaten zwak beveiligd zijn. Zo worden gebruikershandleidingen
direct op het internet geplaatst en worden standaard wachtwoorden niet veranderd (Phelan,
2014). Om dit voorbeeld te verhelpen zullen de gebruikershandleidingen alleen lokaal
opgeslagen worden en zullen er alleen geprinte versies mee gegeven worden. Dit zorgt er voor
dat de handleidng niet via het internet verspreidbaar is. De software zal zo geschreven worden
dat de er via de invoer geen rare of onverantwoorde instructies gegeven kunnen worden.
De software van de pinautomaat zal in Java geschreven worden. Dit is volgens het
jaarlijkse CISCO Annual Security Report (2015) een verstandige keuze. Zo heeft Java de
afgelopen jaren gewerkt aan het reducren van het aantal zero-day vulnerabilities. Ook wordt
Java zeer regelmatig geupdateted (Critical Pathch Updates, Security Alerts and Third Party
Bulletin, n.d.).
6
Aan de kant van de server zijn er ook een aantal maatregel die getroffen moeten
worden om de data veilig te houden. Een van de maatregelen is hierboven al genoemd. Het
software matig inperken van de functionaliteit van het keypad. Hierdoor kunnen er geen
database gegevens opgehaald worden. Daarnaast zal de database versleuteld moeten worden
(ISO 9654, 2016). Voglens ditzelfde rapport is een AES256-bits encryptie genoeg. Volgens de
ISO 9564 moet een PIN ook ingetrokken worden wanneer een de PIN is gecomprimeerd of
men het idee heeft dat de PIN gecomprimeerd is. De PIN zelf zal volgens de ISO 9564 ook
versleuteld moeten worden opgeslagen op de server. Hierdoor kunnen kwaadwillende niets
met de PIN mochten ze toch op het newerk kunnen komen.
7
4. Netwerk security
Veel van de pinautomaten blijken direct verbonden zijn met het internet zonder enige
vorm van beveiliging. Hierdoor kunnen er van buitenaf aanvallen op de pinautomaten
uitgevoerd worden(Parrish, 2010). Dit is erg onhandig wanneer men een veilige omgeving wil
creeeren. Daarom is het van belang dat er maatregelen getroffen worden om er voor te zorgen
dat deze veilige omgeving bestaat.
De pinautomaten zullen niet direct met het world wide web verbonden worden. Er zal
gebruikt gemaakt worden van een lokaal netwerk waar alleen de banken op kunnen. Volgens
Cornelissem et al. verhoogt dit de beveilging van een netwerk (2013). Dit omdat het netwerk
niet direct op het internet is aangesloten. Hierdoor wordt een groot aantal risico’s meteen
afgeworpen. Aanvallen van buitenaf zijn dan namelijk niet meer mogelijk.
Een risico wat besproken wordt door Karygiannis & Owens (2002) is dat wanneer een
apparaat geïnvecteerd is geraakt het andere apparaten in het netwerk kan besmetten. Zij
stellen daarom dat het noodzakkelijk is om er voor te zorgen dat bepaalde apparaten binnen
een netwerk in quarantaine geplaatst kunnen worden. Dit zal dan ook een functie zijn die
toegepast moet worden.
8
5. Hardware security
Het laatste component van de pin automaat is de hardware zelf. Een onderwerp wat
niet zomaar overgeslagen kan worden. Een van de grootste problemen tegenwoordig bij het
pinnen van geld is het kopieren van de betaalpas. Dit is daarom het grootste probleem wat
opgelost moet worden. Een makkelijk oplossing om hier enige bescherming tegen te bieden
is het plaatsen van een kapje over het keypad.
Daarnaast wil men niet dat het mogelijk is het geld uit de pin automaat mee te nemen
door de pinautomaat te kraken. Daarom is het verstandig om een hardware security
model(HSM) aan te brengen in de pin automaat. De HSM kan er dan bijvoorbeeld voor zorgen
dat het geld onbruikbaar wordt op het moment dat het geld onwettelijk uit de pin automaat
wordt gehaald.
9
6. Conclusies
Zoals men kan lezen zijn er uit dit rapport verschillende conclusies te trekken. De
belangrijkste conclusie, als die getrokken kan worden, is dat ieder component van een pin
automaat zijn eigen problemen heeft. Daarom is het belangrijk om ook ieder component
opzich te bekijken. Aan de software zeide is een van de belangrijkste zaken de encryptie van
bestanden. Dit moet goed uitgevoerd worden. Wanneer dit slecht of half wordt gedaan,
bestaat de kans dat veel informatie in verkeerde handen terecht komt. Op het netwerk is het
voorral van belang er een veilig netwerk gecreeerd wordt. Een netwerk wat bestand is tegen
aanvallen van buiten af. Een goede oplossing hiervoor is het creeeren van een lokaal netwerk.
Aan de hardware kant zijn de twee belangrijkste gevaren het skimmen en stelen van fysiek
geld uit de automaat. Ook hier zullen oplossngen voor gevonden moeten worden.
10
7. Aanbevelingen
Om de software goed te encryopten worden de aanbevlingen van de ISO 9564
overgenomen. Dit stelt bijvoorbeeld dat data goed versleuteld moet worden en dat een AES
versleuteling van 256 bits voldoende. Ook is het van belang dat deze sleutel goed wordt
bewaard. Er wordt dan ook aangeraden om de samenvatting van de ISO 9564 door te lezen
en die aanbevlingen over te nemen.
Op het netwerk is het voorral van belang er een veilig netwerk gecreeerd wordt. Een
netwerk wat bestand is tegen aanvallen van buiten af. Een goede oplossing hiervoor is het
creeeren van een lokaal netwerk. Dit is dan ook de aanbevling die gedaan wordt voor
Bankalicious.
Aan de hardware kant zijn de twee belangrijkste gevaren het skimmen en stelen van
fysiek geld uit de automaat. Om skimmen tegen te gaan kan men denken aan een special opzet
stuk. Een opzet stuk wat uniek is en daardoor niet te vervalsen is. Men kan hierbij denken aan
een hardware security model die alles wat in de pin automaat zit onbruikbaar maakt.
11
8. Verwijzingen.
Cornelissen, J., Ray, M. B., Schroeder, S., Bru, E. C., Edwards, J., Adams, A., Evans, V. (2003).
Introduction to Netweroks: Companionm Guide. Cisco Press.
Critical Pathch Updates, Security Alerts and Third Party Bulletin. (n.d). Retrieved 21-03-2016,
from http://www.oracle.com/technetwork/topics/security/alerts-086861.html
Karygiannis, T., & Owens, L. (2002). Wireless network security. NIST special publication, 800,
48.
Parris, K. (30-06-2010). Hackers Makes ATMs Puke Money, Shows How. Tom’s Guide.
Retreived 21-03-2016, from http://www.tomsguide.com/us/ATM-Hacker-BlackHat,news-7635.html
Phelan, E. (10-06-2014). Teenagers expose ATM weakness in easy hack. ITProPortal.
Retrieved: 21-3-2016, from http://www.itproportal.com/2014/06/10/teenagersexpose-atm-weakness-in-easy-hack/
12
Related documents
H4 Netwerk security 8
H4 Netwerk security 8
Met een gezond netwerk, een goed werkende organisatie!
Met een gezond netwerk, een goed werkende organisatie!
Informatiebeveiliging
Informatiebeveiliging
SENIOR FIREWALL- CONSULTANT
SENIOR FIREWALL- CONSULTANT
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
OPENBAAR Tweede Kamer tav Parlementaire werkgroep
KLAAR MET STUDEREN! Even voorstellen: We are on to it! ON2IT`s
KLAAR MET STUDEREN! Even voorstellen: We are on to it! ON2IT`s
IC TS ecurity - Brinkman Uitgeverij
IC TS ecurity - Brinkman Uitgeverij
Arduino Quick Reference Card
Arduino Quick Reference Card
20160916 WGVTO Bijlage 1 -
20160916 WGVTO Bijlage 1 -
Overeenstemming met de normen
Overeenstemming met de normen
dragon1-checklist-security-architecture-design-OS04-PC009
dragon1-checklist-security-architecture-design-OS04-PC009
Klik om een titel te maken
Klik om een titel te maken
Overeenstemming met de normen
Overeenstemming met de normen
Subsidiereglement voor jeugdprojecten
Subsidiereglement voor jeugdprojecten
Download
advertisement