IT Professional Security - ΤΕΥΧΟΣ 26

More documents

Info

COVER ISSUE Mobile Payments: Ακόμα μία πρόκληση για την Ασφάλεια Πληροφοριών λωτή και αντίστοιχα θα λαμβάνουν το μεγαλύτερο μέρος των τελών χρήσης της υπηρεσίας. Αυτό το ασαφές περιβάλλον έ- χει δημιουργήσει ένα άλλο είδος κατηγοριοποίησης των εν λόγω υπηρεσιών, με βάση την οντότητα που διαχειρίζεται το λογαριασμό του πελάτη, Αναφερόμαστε στο τραπεζο-κεντρικό και μη τραπεζο-κεντρικό σύστημα πληρωμών μέσω φορητών συσκευών. Στο τράπεζο-κεντρικό μοντέλο, ο λογαριασμός του πελάτη διαχειρίζεται από την Τράπεζα. Όταν γίνεται μια πληρωμή, η τράπεζα του καταναλωτή είναι αυτή που πρέπει να εγκρίνει τη συναλλαγή. Στο μη τραπεζο-κεντρικό μοντέλο, ο λογαριασμός του πελάτη διαχειρίζεται από μη χρηματοπιστωτικά ιδρύματα, δηλαδή από τις εταιρείες κινητής τηλεφωνίας ή από τρίτες εταιρείες που παρέχουν υπηρεσίες πληρωμών, όπως το PayPal. Το παραπάνω μοντέλο μπορεί να χρησιμοποιηθεί για υπηρεσίες ό- πως καταθέσεις μετρητών, αναλήψεις μετρητών, άμεσες χρεώσεις, μεταφορές πιστώσεων, πληρωμές που έχουν ενεργοποιηθεί από μια κάρτα ή μια φορητή συσκευή. Στο νέο τοπίο που διαμορφώνεται, οι κύριοι ενδιαφερόμενοι που θέλουν μερίδιο από τα έσοδα του νέου οικοσυστήματος είναι τα χρηματοπιστωτικά ιδρύματα, τα δίκτυα πιστωτικών/ χρεωστικών καρτών (Visa, Mastercard) και οι πάροχοι δικτύων κινητής τηλεφωνίας. Όλοι οι παραπάνω ανταγωνίζονται για το ποιος θα έχει το ρόλο του πάροχου χρηματοπιστωτικών υπηρεσιών και του πάροχου δικτύου, πάνω από το οποίο θα διεκπεραιώνονται οι συναλλαγές και ταυτόχρονα θα λαμβάνει τη σχετική οικονομική αποζημίωση ανά συναλλαγή. Οι ανησυχίες για την ασφάλεια των συναλλαγών μέσω φορητών συσκευών Η κάθε συναλλαγή που γίνεται στο πλαίσιο των πληρωμών μέσω φορητών συσκευών, είναι περισσότερο εκτεθειμένη στον κίνδυνο λόγω της συμμετοχής περισσότερων της μιας οντοτήτων προκειμένου να διεκπεραιωθεί η πληρωμή. Το εν λόγω περιβάλλον είναι ευνοϊκό για την εκμετάλλευση των αδυναμιών ασφάλειας από τρίτους (περισσότερα του ενός σημεία με πιθανές αδυναμίες ασφάλειας), που θα χρησιμοποιήσουν τόσο τεχνολογικά όσο και κοινωνιολογικά τεχνάσματα παρείσδυσης, εάν δεν υπάρχουν οι αναγκαίοι μηχανισμοί προστασίας και ελέγχου σε όλο το οικοσύστημα των πληρωμών μέσω φορητών συσκευών. Ένα βασικό μέλημα είναι η διασφάλιση ότι η κάθε συναλλαγή πραγματοποιείται από το άτομο που δικαιούται να την πραγματοποιήσει. Η χρήση τεχνικών two-factor authentication θα συμβάλει στην αποτελεσματική προστασία της ταυτότητας του καταναλωτή, αλλά και στη διασφάλιση από τη πλευρά του ε- μπόρου ως προς την ταυτότητα του συναλλασσόμενου. Η πιο εμφανής ανησυχία αφορά στην ασφάλεια και προστασία των προσωπικών δεδομένων, που είτε είναι αποθηκευμένα είτε διακινούνται από μια φορητή συσκευή, όπως αριθμός λογαριασμού πληρωμών, PIN, κωδικοί εισόδου, κωδικοί πρόσβασης κ.λπ. Μέχρι τώρα η διαχείριση των καρτών πληρωμών (χρεωστικών, πιστωτικών) γινόταν από ένα χρηματοπιστωτικό Οργανισμό. Στο περιβάλλον των πληρωμών μέσω φορητών συσκευών, τα στοιχεία της κάρτας αποθηκεύονται σε ολοκληρωμένα κυ- 10 | security
κλώματα chips, π.χ. κάρτες SIM, που μπορούν να μεταφερθούν από συσκευή σε συσκευή. Το δεδομένο αυτό απαιτεί τη λειτουργία μιας νέας οντότητας που θα διασφαλίσει την αξιόπιστη μετακίνηση των στοιχείων της πληρωμής και θα ελέγχει την ανεξέλεγκτη χρήση των chips των φορητών συσκευών. Από τη πλευρά τους οι πάροχοι των δικτύων κινητής τηλεφωνίας, από τη στιγμή που συμμετέχουν στο εν λόγω οικοσύστημα, θα πρέπει να φροντίσουν για τα ακόλουθα: 3 Να συμπεριλάβουν λογισμικό ασφαλείας (π.χ. mobile anivirus), ως μέρος των εφαρμογών που φορτώνονται σε νέες κινητές συσκευές. 3 Να βεβαιώνονται ότι τα κινητά τηλέφωνα που χρησιμοποιούνται για πληρωμές τύπου contactless, είναι πιστοποιημένα και πληρούν τις απαιτήσεις των εταιρειών διαχείρισης πληρωμών. Τα χρηματοπιστωτικά ιδρύματα έχουν καθοριστικό ρόλο στη διαδικασία της ασφάλειας, ιδίως όσον αφορά στην ανίχνευση της απάτης και την πρόληψη. Για να εξασφαλιστεί η ασφάλεια των πελατών τους, τα χρηματοπιστωτικά ιδρύματα θα πρέπει: 3 Να προσαρμόσουν τις υπάρχουσες μεθόδους ασφάλειας, πρόληψης της απάτης και την παρακολούθηση των τάσεων δαπανών κάθε πελάτη, έτσι ώστε να μπορούν να εντοπίσουν αλλά και να δράσουν σε περίπτωση απάτης στο νέο οικοσύστημα. 3 Να επανεξετάσουν τις υφιστάμενες διαδικασίες των τμημάτων back-office για την υποστήριξη του νέου καναλιού πληρωμών μέσω φορητών συσκευών. 3 Οι εφαρμογές λογισμικού που χρησιμοποιούνται, να είναι πιστοποιημένες και να ανταποκρίνονται στις απαιτήσεις των εταιρειών πληρωμής. Ασφάλεια πληρωμών που πραγματοποιούνται είτε μέσω web browser ή μέσω εφαρμογών που λειτουργούν στη φορητή συσκευή Οι συναλλαγές του συγκεκριμένου τύπου συνήθως βασίζονται στη χρήση λογισμικού και ως εκ τούτου είναι εκτεθειμένες σε πολλές απειλές λόγω του ανοικτού χαρακτήρα του λογισμικού των φορητών πλατφορμών. Το κινητό τηλέφωνο και κατ’ επέκταση οι φορητές συσκευές που μπορούν να κάνουν χρήση τηλεπικοινωνιακών δικτύων, σήμερα έχουν τη δυνατότητα να λειτουργούν ως ένας ηλεκτρονικός υπολογιστής και να μπορούν να φιλοξενούν λειτουργικά, όλα σχεδόν τα είδη των εφαρμογών, που κυμαίνονται από instant messaging και social media, έως παιχνίδια, ακόμα και online τραπεζικές και εμπορικές συναλλαγές. Επιπρόσθετα, είναι μία συσκευή που συνήθως διατηρείται σε λειτουργία ακόμα και όταν ... κοιμόμαστε. Πρακτικά, ο κίνδυνος έκθεσης σε αδυναμίες ασφάλειας έχει αυξηθεί. Οι αδυναμίες ασφάλειας λογισμικού που αφορούν στους παραδοσιακούς ηλεκτρονικούς υπολογιστές κληρονομούνται και μεταλλάσσονται έχοντας εφαρμογή και στις φορητές συσκευές. Το ίδιο ισχύει και για τους ιούς και κάθε τύπου κακόβουλο λογισμικό. Ασφάλεια πληρωμών που πραγματοποιούνται από συστήματα τεχνολογίας NFC Στην περίπτωση των τραπεζο-κεντρικών πληρωμών με χρήση της τεχνολογίας NFC, υπάρχει ανάγκη για την πιστοποίηση της ταυτότητας του συναλλασσόμενου, αλλά και την πιστοποίηση ότι πρόκειται για φορητή συσκευή και όχι για κάτι που προσποιείται ότι είναι φορητή συσκευή. Η εν λόγω πιστοποίηση ταυτότητας μπορεί να επιτευχθεί με τη χρήση δυναμικών τιμών επαλήθευσης της κάρτας (CVVs). Οι φορητές συσκευές με τεχνολογία NFC, οι οποίες κάνουν και χρήση ολοκληρωμένων κυκλωμάτων chip (i.e. κινητά τηλέφωνα) υποστηρίζουν δυναμικά CVVs, σε αντιδιαστολή με τα στατικά CVVs που χρησιμοποιούνται στη μαγνητική ταινία των Τραπεζικών καρτών. Η τεχνολογία NFC χρησιμοποιεί κρυπτογράφηση για τη διαβίβαση των δεδομένων από τη φορητή συσκευή προς τη συσκευή ανάγνωσης που βρίσκεται στο σημείο πώλησης. Μερικοί από τους κατασκευαστές συστημάτων δεν αποθηκεύουν στοιχεία λογαριασμών και καρτών στη φορητή συσκευή. Αντί για αυτό, οι ευαίσθητες πληροφορίες αποθηκεύονται με α- σφάλεια σε ένα chip. Ακόμα μία ανάγκη που προκύπτει είναι ότι χρειάζονται μέθοδοι για να διασφαλιστεί ότι μόνο νόμιμα σημεία πώλησης ή παροχής υπηρεσιών μπορούν να δεχθούν πληρωμές από φορητές συσκευές με τεχνολογία NFC.
Page 1: Μάιος - Ιούνιος - Ιο
Page 4 and 5: CONTENTS 27 32 36 1|EDITORIAL 4|NEW
Page 6 and 7: NEWS Cisco WebEx Social. Η κοι
Page 8 and 9: NEWS Kaspersky Lab: To 55% των
Page 10 and 11: C OVER ISSUE Του Νότη Ηλι
Page 14: COVER ISSUE Mobile Payments: Ακό
Page 17 and 18: Δημήτρης Τηλιγάδας
Page 19 and 20: Στη σύγχρονη εποχή
Page 21 and 22: παλλήλων. Όταν είνα
Page 23 and 24: Δημήτρης Ασημάκης C
Page 25 and 26: H αυξανόμενη ανάγκη
Page 27 and 28: Προστασία από τον π
Page 29 and 30: I SSUE Της Παναγιώτας
Page 31 and 32: Συμμόρφωση με τους
Page 33 and 34: client και ο server πρέπε
Page 35 and 36: Μία συσκευή Unified Threa
Page 37 and 38: ξειδικευμένος γνώσ
Page 39 and 40: κτυακών επιθέσεων
Page 41 and 42: Το πρώτο εξειδικευ
Page 43 and 44: Ο Κυβερνοπόλεμος (Cy
Page 45 and 46: Οι κρίσιμες υποδομ
Page 47 and 48: νεργατική φιλοσοφί
Page 49 and 50: P RODUCTS Firewall Appliance FW-80

IT Professional Security - ΤΕΥΧΟΣ 26

You also want an ePaper? Increase the reach of your titles

Delete template?

Save as template?