Dus u denkt dat internetbankieren veilig is? 26 september 2009 Harald Vranken Inhoud Informatiebeveiliging 2
Informatiebeveiliging Introductie Informatie betekenisvolle gegevens waardevol (privacy, bedrijfsinformatie) Beveiliging van opslag en communicatie noodzakelijk 3 Informatiebeveiliging Doelen Confidentiality (vertrouwelijkheid) Informatie kan alleen bekeken worden door daartoe bevoegde partijen Integrity (integriteit) Informatie kan alleen gemodificeerd worden door daartoe bevoegde partijen Availability (beschikbaarheid) Informatie is alleen toegankelijk voor daartoe bevoegde partijen C I A 4
Informatiebeveiliging Doelen Doel: confidentiality + integrity + availability Uitdaging: vind de juiste balans confidentiality Security (veiligheid) integrity availability 5 Informatiebeveiliging Kwetsbaarheid 6
Introductie Gegevens vertalen in schrift (vercijferen) Kbh bq zzh azszbg Gegevens weer terug vertalen (ontcijferen) Kbh bq zzh azszbg 7 Analogie Kbh bq zzh azszbg bericht versturen Bob ontcijfert bericht Alice vercijfert bericht 8
Voorbeeld: algoritme van Caesar Vercijferen: verschuif elke letter 3 plaatsen naar rechts in het alfabet Ontcijferen: verschuif elke letter 3 plaatsen naar links in het alfabet A B C D E F G H I D E F G H I J K L M N O P Q R S T U V W X Y Z J K L M N O P Q R S T U V W X Y Z A B C LN EHQ FDHVDU! IK BEN CAESAR! WIE BEN JIJ? 9 Voorbeeld: algoritme van Caesar Algoritme: verschuif het alfabet Sleutel: aantal posities dat je verschuift Voorbeelden Sleutel = 3: A D, B E, A B C D E F G H I D E F G H I A B C D E F G H I G H I J K L M N O P Q R S T U V W X Y Z J K L M N O P Q R S T U V W X Y Z A B C Sleutel = 6: A G, B H, J K L M N O P Q R S T U V W X Y Z J K L M N O P Q R S T U V W X Y Z A B C D E F 10
Symmetrische cryptografie Dezelfde (e) sleutel Alleen Alice en Bob kennen sleutel 11 Asymmetrische cryptografie Twee verschillende sleutels Eén sleutel is openbaar Andere sleutel is (privé) 12
Asymmetrische cryptografie Twee bij elkaar horende sleutels Met de ene sleutel kan doosje gesloten worden Met de andere sleutel kan doosje weer geopend worden 1. Sluiten met openbare sleutel, openen met privésleutel 2. Sluiten met privésleutel, openen met openbare sleutel 13 Asymmetrische cryptografie 1. Sluiten met openbare sleutel, openen met privésleutel Alice vercijfert bericht met openbare sleutel Alleen Bob kent privésleutel en kan bericht ontcijferen vercijferd bericht 2. Sluiten met privésleutel, openen met openbare sleutel Alleen Alice kent privésleutel en kan bericht vercijferen Bob (iedereen) kan bericht ontcijferen met openbare sleutel bericht met digitale handtekening 14
Asymmetrische cryptografie Iedere gebruiker heeft eigen sleutelpaar: openbare (publieke) sleutel en e (privé) sleutel Alice Alice Bob Bob 15 Asymmetrische cryptografie Alice Kbh bq zzh azszbg TÄ vx vercijferd bericht met digitale handtekening Alice Bob Bob 16
Certificaat Hoe kom je iemands openbare sleutel te weten? Hoe weet je zeker dat die openbare sleutel correct is? Certificaat ( digitaal paspoort ) Uitgegeven door Certificate Authority Bevat o.a. Naam van de eigenaar Openbare sleutel van de eigenaar Geldigheidsduur Digitale handtekening geplaatst door Certificate Authority PKI (Public Key Infrastructure) Systeem voor het uitgeven en beheren van certificaten 17 Certificaat Certificaat Autoriteit Bob CA Eigenaar: Bob Geldig tot: 1-1-2011 Bob Eigenaar: Bob Geldig tot: 1-1-2011 Certificaat CA Bob 18
Veilig internetten Communicatie beveiligen Authenticatie Weet u zeker dat de webserver van de bank is? Weet de bank wie u bent? Webbrowser van gebruiker (client) Webserver van bank (server) 19 HTTPS webbrowser Hallo Hallo webserver Eigenaar: Bank Geldig tot: 1-1-2011 Certificaat Bank CA Bank Sessiesleutel Vercijferde berichten Bank 20
Voorbeeld: Rabobank 21 Voorbeeld: Rabobank 22
Veilig internetbankieren Communicatie via HTTPS Veilige verbinding (vercijferde berichten) Garantie dat u met de bank praat (certificaat) Hoe weet de bank dat ze met u praat? U moet aantonen wie u bent (authenticatie) Twee-factor authenticatie: kenniskenmerk en bezitskenmerk Kenniskenmerk Bezitskenmerk Pincode Bankpas met calculator Gebruikersnaam met wachtwoord TAN-code via mobiele telefoon 23 Gevaren (1) Het internet is inherent onveilig Complexe architectuur Dateert uit 70-er jaren; veiligheid speelde toen nauwelijks een rol Beveiliging wordt toegevoegd (bv. HTTPS), maar steeds nieuwe beveiligingslekken 24
Gevaren (2) Social engineering Op slinkse wijze ontfutselen van gegevens Voorbeeld: phishing Geachte Dexia klant, In februari jongstleden zijn er nieuwe beveiligingswetten ingevoerd. Voortaan moeten uw gegevens ook bij uw Dexia online account worden geverifieerd. Ter voorkoming van misbruik door derden, vragen wij u een moment van uw tijd. Login op http://mijn4dexia3bank2e67d8cafe39fr.cg.bz en vul de gevraagde gegevens in. Met vriendelijke groet, Dexia Bank F.A. Tuininga, Manager Dexia Direct Net 25 Gevaren (3) Malware op uw computer Virus, spyware, Trojaans paard, Bijvoorbeeld: alles wat u intikt, wordt doorgestuurd naar crimineel Gebruik beveiligingssoftware en update deze regelmatig Maar zulke software loopt altijd achter de feiten aan! 26
Man-in-the-middle gebruiker man-in-the-middle bank Remote MITM Masquerade van website Bv. via phishing Detecteerbaar voor alerte gebruiker Local MITM Malware; man-in-the-browser Populair bij criminelen Omzeilt HTTPS! Omzeilt mogelijk beveiligingssoftware! 27 Cijfers en feiten 74% (Nederland koploper in Europa) Hoeveel mensen doen aan interbankieren? (bron: CBS) 100 90 80 70 60 50 40 30 20 10 0 2000 2001 2002 2003 2004 2005 2006 2007 2008 PC PC + internet internetbankieren 28
Cijfers en feiten Vinden we internetbankieren veilig? Ja, vindt 98% van Nederlandse internetbankierders Maar 20% neemt onvoldoende beveiligingsmaatregelen! (bron: The Choice, april 2006) Computergebruikers kwetsbaarder dan ze denken 62% dacht onterecht beveiligingssoftware tegen spyware te gebruiken 10% besmet met één of meer virussen (bron: Consumentenbond, oktober 2007) Recent misbruik in België (klanten van Argenta, KBC en Dexia) te wijten aan malware op computer van gebruiker Veiligheid van internetbankieren is verantwoordelijkheid van banken én consumenten!? 29 Cijfers en feiten bij Belgische en Nederlandse banken Behoort technisch gezien tot veiligste ter wereld Gebruiker is zwakste schakel Schade Enkele tientallen fraudepogingen per jaar; verlies in orde van duizenden euro s (?) Erg weinig gezien aantal transacties via internetbankieren (vgl. pinpasfraude via skimmen in 2008: 31 miljoen in Nederland, 485 miljoen in Europa) Nagenoeg alle getroffen klanten werden terugbetaald 30
Wat kunt u doen? Voorlichting aan consumenten www.veiliginternetbankieren.nl www.3xkloppen.nl Informatie op websites van banken 1. Houd uw pc-beveiliging up-to-date Besturingssysteem Internetbrowser Beveiligingssoftware (anti-virus en anti-spyware programma s, spamfilter, firewall) 2. Controleer of website waarop u inlogt ook echt van uw bank is 3. Controleer uw betalingen 31 Afronding Informatiebeveiliging 32
Meer informatie? Cursussen bij Open Universiteit Inleiding informatica (beginners) Security en IT (gevorderden) Capita selecta wiskunde (wiskunde van cryptografie) Meer informatie www.ou.nl harald.vranken@ou.nl 33