4.

Tranzacii bancare pe Internet

n cadrul acestui capitol sunt prezentate principalele tipuri de tranzacii bancare ce pot fi efectuate pe Internet. Securitatea acestor transferuri apare ca o mare problem potenial. O modalitate foarte bun prin care se poate proteja o reea intern o constituie folosirea unui zid de protecie (firewall) ntre Intranet i Internet care va realiza filtrarea pachetelor care tranziteaz reeaua pe baza politicilor de securitate definite la nivelul sistemului. Protocolul SSL permite verificarea identitii unui server WEB pe baza unui certificat digital emis de ctre o autoritate de certificare. Transmiterea securizat a datelor pe Internet se realizeaz cu ajutorul metodelor de criptare.

4.1. Noiunea de Internet

Ultimele decenii s-au caracterizat printr-o explozie informaional fr precedent, fapt ce a condus la creterea importanei resurselor de comunicaie. Schimbul de informaii reprezint motivaia existenei reelelor de calculatoare interconectate, n cadrul crora se detaeaz mediul de reele extrem de complex constituit de Internet. Internetul este reeaua mondial ce interconecteaz reelele din diferitele pri ale planetei ntr-o singur reea logic. Internet formeaz un mediu informaional i de calcul, oferind un volum imens de servicii i resurse, cum ar fi biblioteci i baze de date, fiind n acelai timp i o imens comunitate de persoane din toate domeniile vieii economicosociale, situate n diverse puncte geografice, care pot oricnd s partajeze informaii [54]. Mediul Internet este eterogen, nu este proprietatea unui guvern, a unei companii sau universiti, nu este o singur reea, ci un grup de reele aranjate din punct de vedere logic ntr-o ierarhie, nu constituie o component software sau hardware de sine stttoare
i este utilizat zilnic de oameni de toate specializrile i interesele imaginabile.

139

Internetul permite interconectarea calculatoarelor indiferent de platform. Acest lucru a devenit posibil prin faptul c s-au stabilit o serie de reguli privind comunicaia ntre calculatoare sub forma protocoalelor. Aceste protocoale definesc modul de lucru al aplicaiilor pentru a se face nelese ntre ele. Internetul se bazeaz pe o colecie de protocoale reunite sub denumirea TCP/IP. Suita TCP/IP este constituit dintr-o mulime de protocoale, fiecare dintre ele asigurnd transferul datelor n reea ntr-un format diferit
i cu opiuni diferite. n funcie de necesitile aplicaiei, se poate utiliza unul sau altul

dintre protocoalele suitei TCP/IP pentru transmiterea informaiilor pe Internet.

4.2. Securitatea n Internet

4.2.1. Internet i Intranet
Internetul reprezint n momentul de fa o reea global a crei dimensiune este extins la mrimea planetei noastre i cuprinde o cantitate foarte mare de resurse logice, fizice i informaionale. Iniial, Internetul era compus din staii a cror utilizatori se cunoteau ntre ei i ntre care se stabileau legturi bazate pe anumite reguli de conduit. Pe lng multiplele avantaje, dezvoltarea continu a Internetului a determinat o serie de probleme legate de securitate. Din acest motiv, sistemele informatice ale companiilor au fost protejate astfel nct foarte puine persoane s poat avea acces la acestea. Beneficiile n planul securitii au fost evidente ns restrngerea accesului a atras dup sine excluderea posibilitilor de a comunica liber cu exteriorul. Sistemele deschise elimin aceste neajunsuri prin utilizarea Intranetului i a Internetului. Avantajele sunt n planul deschiderii companiei ctre angajai, clieni, parteneri, furnizori. Intranetul permite tuturor angajailor, indiferent de localizarea acestora, s aib acces la informaiile companiei. O parte a respectivelor informaii pot fi puse i la dispoziia partenerilor de afaceri prin conectarea la Internet. Aceast deschidere ctre angajai i ctre partenerii de afaceri atrage dup sine i o serie de riscuri n planul securitii. Pentru reducerea riscurilor privind securitatea informaiilor (meninerea confidenialitii) i prevenirea accesului neautorizat, conectarea diverselor sedii i 140

birouri ale unei companii prin intermediul Internetului se realizeaz prin folosirea unei reele virtuale private (VPN Virtual Private Network). Construcia unei astfel de reele virtuale private nseamn folosirea Internet-ului ca pe o reea WAN (Wide Area Network

reea de arie larg) care atrage dup sine reducerea semnificativ a costurilor.
Cea mai utilizat modalitate de protejare a reelei interne o constituie folosirea unui zid de protecie (firewall) ntre Intranet i Internet (Figura 4.1). Un zid de protecie trebuie s analizeze tot traficul ce se desfoar ntre reeaua extern i utilizatorii interni, n ambele direcii. n felul acesta se realizeaz filtrarea pachetelor pe baza politicii de securitate care este definit la nivelul sistemului.

Intranet

Firewall

Internet

Reea privat

Reea public

Figura 4.1 Firewall ce protejeaz reeaua Intranet de conexiunea la Internet

Firewall-ul trebuie s reziste atacurilor maliioase din exterior i interior deoarece ntreaga reea poate fi compromis dac o persoana ru intenionat preia controlul zidului de protecie.

141

Mai mult dect att, firewall-ul trebuie s fie n msur s ascund de reeaua extern adresele reale ale staiilor din Intranet. Toate aceste servicii trebuie s fie puse la dispoziia utilizatorilor reelei fr ca traficul s fie perturbat sau trangulat din cauza existenei zidului de securitate. Pentru a conecta dou sedii ale undei companii se poate utiliza un tunel de siguran la nivelul reelei virtuale private (Figura 4.2).

Figura 4.2 Tunel de siguran n cadrul unei reele virtuale private

O politic de securitate la nivelul unei companii include urmtoarele niveluri: existena unui zid de securitate (firewall) pentru asigurarea unei conexiuni sigure la Internet; criptarea datelor si transmiterea acestora printr-un tunel de securitate pe Internet prin crearea unei reele virtuale private; implementarea unor mecanisme de securitate al nivelul aplicaiilor.

n funcie de specificul datelor vehiculate i de importana acestora, o companie poate decide s implementeze numai anumite niveluri de securitate sau chiar pe toate.

4.2.2. Securitatea reelei

n ziua de astzi, n condiiile n care milioane de oameni folosesc Internetul pentru plata taxelor, cumprturi sau operaiuni bancare, securitatea reelei apare ca o mare problem potenial.

142

Statisticile arat c majoritatea problemelor legate de securitate sunt cauzate deliberat de ctre persoane ru intenionate care ncearc s provoace neplceri sau s obin anumite avantaje i beneficii. Intruii sunt de dou categorii, dup cum urmeaz: -

intrui pasivi sunt cei care se limiteaz la a asculta mesajele schimbate n

cadrul reelei;

intrui activi acetia nu numai c ascult mesajele, dar i intervin asupra

acestora modificndu-le.

Problemele de securitate pot fi mprite n patru mari domenii care sunt interconectate: -

confidenialitatea presupune pstrarea informaiei departe de utilizatorii

neautorizai. Este primul aspect care este luat n discuie atunci cnd se discut despre securitatea unei reele. -

autentificarea stabilirea identitii interlocutorului nainte de a dezvlui

informaii importante;

nerepudierea se refer la semnturi i la modul n care se poate proba c

o anumit comand a fost fcut n condiiile nregistrate n sistem, indiferent de faptul c respectivul client susine altceva;

controlul integritii se refer la posibilitatea de a verifica dac un mesaj

a fost primit exact n forma n care a fost transmis fr s fi fost modificat pe parcursul traseului de ctre persoane ru intenionate.

Mecanismele de securitate pot fi implementate la mai multe niveluri, fiecare nivel avnd o anumit contribuie la securitatea reelei: -

nivelul fizic n cadrul sistemelor militare, ascultarea firelor este

mpiedicat prin includerea acestora n tuburi sigilate coninnd gaz de argon la presiuni nalte. Penetrarea tubului va conduce la pierderi de gaz urmate de scderea presiunii ceea ce va declana alarma;

nivelul legtur de date pachetele trimise de la o main la alta prin

intermediul unei linii punct-la-punct pot fi codificate/decodificate de ctre 143

fiecare computer n parte. Acest mecanism poart numele de criptarea

legturii;
-

nivelul reea se pot instala ziduri de protecie (firewall-uri) pentru

respinge atacurile asupra reelei i pentru a filtra mesajele care intr sau ies din reeaua privat;

nivelul transport se poate opta pentru criptarea unor conexiuni n

ntregime;

nivelul aplicaie implementeaz de regul soluii la problema

autentificrii i la cea a nerepudierii.

4.2.3. Certificate digitale

Codificarea i decodificarea informaiilor se realizeaz pe baza unor chei. Pentru a decodifica un mesaj este nevoie s se cunoasc cheia cu care acesta a fost codificat. Cel mai adesea sunt folosite dou chei atunci cnd se codific un mesaj: -

cheia public este cea cunoscut n mod public; cheia privat cunoscut doar de cel care codific sau decodific mesajul.

Arta de a sparge coduri se numete criptanaliz, crearea cifrurilor este cunoscut ca criptografie iar ambele operaii sunt cunoscute sub numele generic de criptologie. Revenind la Internet, cheile de criptare i de decriptare pot fi falsificate i din acest motiv sunt folosite metode de certificare a acestora. Una dintre aceste metode de certificare presupune folosirea unui certificate digital prin care se poate verifica c o anumit cheie public aparine ntr-adevr unei anumite persoane sau companii. Certificatele digitale sunt eliberate de instituii specializate denumite autoriti de certificare. Un certificate digital este compus din urmtoarele elemente: numrul serial al certificatului; detalii despre algoritmul de criptare folosit; informaii legate de identitate; cheia public a expeditorului;

144

semntura digital a autoritii de certificare emitente.

Certificatul digital confirm identitatea utilizatorului i semntura acestuia (Figura 4.3). Pentru certificare, cheia public a unui utilizator este nregistrat de ctre autoritatea de certificare ntr-o baz de date foarte bine protejat.

Cheia public a lui X

Autoritatea de certificare

Certificatul lui X

Figura 4.3 Eliberarea unui certificat de ctre autoritatea de certificare

Dup nregistrare, autoritatea de certificare va transmite un certificat digital oricui dorete s verifice autenticitatea cheii publice a utilizatorului.

4.2.4. Protocolul SSL

De multe ori schimbul securizat de documente pe WEB se face prin stabilirea unei conexiuni de tip SSL. Protocolul SSL (Secure Socket Layer) folosete certificate digitale pentru a verifica identitatea serverului WEB al companiei. Transmiterea securizat a datelor pe Internet este realizat cu ajutorul metodelor de criptare. Protocolul SSL a fost dezvoltat de ctre compania Netscape iar n momentul de fa acesta este o component standard pentru majoritatea browserelor i a serverelor WEB. Utilizatorul se identific prin furnizarea pe WEB server a unui nume de utilizator nsoit de o parol. Conexiunea SSL realizeaz i criptarea parolei pentru asigurarea confidenialitii. 145

Printre caracteristicile protocolului SSL putem enumera: -

SSL permite autentificarea serverului (ofer clientului certitudinea

identitii serverului) i a clientului. n plus, datorit codificrii acestora,

SSL asigur confidenialitatea datelor. Autentificarea se realizeaz prin

utilizarea certificatelor i semnturilor digitale; -

SSL folosete algoritmi diferii pentru criptare, autentificare i pentru

asigurarea integritii datelor; Stratul SSL se afl ntre protocolul TCP/IP i cele ale nivelului aplicaie (Figura 4.4).

HTTP

FTP SSL TCP IP

SMTP

Figura 4.4 Poziionarea SSL ntre TCP/IP i protocoalele nivelului aplicaie

Stabilirea unei conexiuni sigure ntre navigatorul WEB i server se realizeaz ntrun numr de patru pai: 1. Iniierea protocolului SSL clientul trimite un mesaj serverului iar acesta rspunde prin furnizarea certificatului digital pe care clientul l poate folosi pentru a stabili identitatea serverului; 2. Acceptarea clientului navigatorul (browserul), dup ce a identificat serverul cu care comunic, va genera dou chei private care vor fi folosite pentru tranzacia ce urmeaz. Aceste chei private vor fi criptate folosind cheia public primit de la server. Acesta din urm va decripta cele dou chei, fiecare parte avnd n acest moment respectivele chei. Valabilitatea acestora este la nivel de sesiune, din acest motiv ele se mai numesc i chei de sesiune. Cnd sesiunea se ncheie, cheile respective sunt terse.

146

3. Verificarea presupune trimiterea unui mesaj securizat ctre server. Criptarea mesajului este realizat folosind una din cheile de sesiune. Serverul rspunde tot printr-un mesaj criptat, folosind cea de-a doua cheie de sesiune. Dac tot acest mecanism se deruleaz corect, atunci putem afirma c legtura sigur este stabilit i tranzacia poate s nceap; 4. Schimbul de date protocolul SSL este optimizat astfel nct criptarea i decriptarea cheii publice este necesar o singur dat pe sesiune.

4.3. Internet Banking

4.3.1. Internet banking, e-banking, mobile banking
Internet bankingul faciliteaz interaciunea prin intermediul Internetului dintre un client i banca la care acesta are unul sau mai multe conturi. Pentru acesta, clientul va trebui s furnizeze un nume de utilizator i o parol ctre un anumit calculator al bncii care este conectat la Internet. Clientul va avea acces la o serie de informaii legate de conturile sale de la respectiva banc (solduri la o anumit dat, desfurtor al tranzaciilor desfurate ntr-o anumit perioad) prin simpla utilizare a Internetului. Mai mult dect att, acesta va putea efectua o serie de operaiuni bancare din faa calculatorului, fr a mai fi necesar s se deplaseze la sediul bncii (transfer de fonduri, plat facturi furnizori, etc.). Internet bankingul reprezint un concept diferit fa de e-banking, dei ambele pun la dispoziia utilizatorilor servicii similare. Internet bankingul presupune o conexiune cu banca prin intermediul Internetului, n timp ce pentru e-banking, conexiunea direct cu banca este realizat cu ajutorul unei linii telefonice i a unui modem. n zilele noastre, accentul este mutat din ce n ce mai mult din zona e-banking ctre cea a Internet bankingului. Dezvoltarea pieei echipamentelor mobile a atras dup sine posibilitatea efecturii tranzaciilor bancare prin folosirea unui telefon sau a unui PDA (Personal Digital

Assistant), ceea ce a condus la apariia mobile banking care presupune accesul la distan
pe baza unor servicii oferite de ctre operatori dedicai.

147

4.3.2. Securitatea tranzaciilor bancare

O cerin fundamental a tranzaciilor bancare desfurate pe Internet este aceea a securitii informaiilor. Informaiile schimbate ntre dou calculatoare din Internet sunt supuse urmtoarelor categorii de riscuri: -

interceptarea conversaia poate fi interceptat de o ter persoan; manipularea datele din cadrul unei conversaii private pot fi modificate
pe traseul parcurs de la surs la destinaie;

depersonalizarea presupune declinarea sau atribuirea unei false

identiti.

Toate aceste riscuri legate de securitate sunt tratate de ctre navigatoarele curente prin intermediul protocolului SSL care impune paii pe care trebuie s-i urmeze calculatoarele implicate ntr-o conversaie pentru a asigura securitatea comunicaiilor. Aceste reguli se refer la confidenialitate, autentificare, nerepudiere i controlul integritii. Pentru criptare i autentificare, SSL folosete tehnologii dezvoltate de RSA

Data Security. Criptarea se realizeaz la nivel de sesiune, deci ea nu va fi repetat pentru

fiecare conexiune n parte. Cheile folosite pot fi pe 40, 128 sau 256 de bii. Cu ct cheia are o lungime mai mare, cu att timpul necesar spargerii ei crete exponenial. Datorit faptului c protocolul SSL se afl sub stratul protocoalelor nivelului aplicaie (HTTP, SMTP, FTP) dar deasupra nivelului transport pe care se situeaz protocolul TCP/IP, acesta poate opera independent de protocoalele aplicaiilor Internet.

SSL este utilizat att de aplicaie client ct i de cea de pe server, astfel nct transmiterea
datelor prin Internet se face n manier criptat i se consider c acestea ajung n siguran la serverul dorit i numai la acesta. O sesiune bancar este iniiat prin conectarea unui client, folosind protocolul

SSL, la serverul bncii prin furnizarea unui nume de utilizator i a unei parole. Dac
informaiile respective sunt corecte, serverul va autentifica clientul i va iniia sesiunea de criptare. Rolul sesiunii de criptare este de a proteja i securiza informaiile schimbate ntre client i serverul bncii. Acesta din urm folosete protocoale interne pentru a comunica

148

cu programul de tranzacionare electronic. Aceste protocoale interne previn accesul neautorizat la informaiile legate de clieni i de conturile acestora. ntre serverul din Internet i calculatorul care gzduiete programul de tranzacionare electronic (serverul de tranzacionare) sunt interpuse firewall-uri i rutere de filtrare n scopul de a separa reeaua intern a bncii de Internet: -

ruterele de filtrare au rolul de verifica, pentru fiecare pachet, sursa i

destinaia acestuia i de a decide dac pachetul va fi lsat s intre n reeaua bncii sau va fi respins. Orice pachet care nu este direcionat ctre un serviciu specific va fi respins de ctre ruterele de filtrare. n plus, acestea asigur i protecia reelei n cazul unor atacuri Internet clasice;

firewall-urile separ reeaua intern a bncii de serverul de tranzacionare

electronic situat n Internet. Datele schimbate ntre client i server sunt criptate nainte de a fi transmise.

Prin folosirea unui formular securizat aflat la o adres de forma https:// se pot transmite n siguran informaii confideniale (cum ar fi numrul crii de credit i codul acesteia de securitate, numele de utilizator, parola), fr a exista pericolul ca acestea s fie interceptate de tere persoane. nainte de a iniia o tranzacie pe Internet va trebui s avem ncredere n administratorul serverului la care ne conectm. SSL protejeaz informaiile pe traseul de la client ctre server, dar nu ne poate proteja mpotriva unor persoane ru intenionate. Securitatea oferit de criptare este direct proporional cu lungimea cheii de codificare care este folosit. Pentru criptarea pe 40 de bii, numrul total de combinaii posibilei este egal cu 240, pentru o cheie de lungime egal cu 128 de bii, numrul de combinaii devine 2128, respectiv 2256 pentru chei pe 256 de bii. Securitatea unui model de tranzacionare pe Internet trebuie s cuprind patru nivele de baz (Figura 4.5): 1. asigurarea securitii informaiilor provenite de la clieni n momentul n care acestea sunt transmise de la calculatorul clientului ctre serverul WEB al bncii. Securitatea datelor transmise de navigatorul clientului ctre serverul bncii este asigurat cu ajutorul protocolului SSL; 149

Server pe care este stocat baza de date

firewall

firewall

firewall

Client situat n Internet

Server WEB aflat n Internet

Server de tranzacionare situat n Intranet

Staii de lucru n Intranet

Figura 4.5 Structura unui sistem de securitate al unei tranzacii bancare efectuate n Internet

2. securitatea serverului WEB al bncii acesta se afl plasat n spatele unui zid de protecie i utilizeaz protocolul SSL pentru a comunica cu calculatoarele clienilor. Navigatorul de pe calculatorului clientului nu poate accesa dect acest server din cadrul reelei bancare; 3. securitatea serverului de Internet banking presupune direcionarea n deplin siguran a cererilor primite de serverul WEB ctre serverul de tranzacionare. Serverul WEB este singurul proces care poate comunica prin intermediul zidului de protecie cu serverul de tranzacionare pe care ruleaz aplicaia de Internet banking; 4. securitatea bazei de date ce conine informaii legate de clieni i de conturile acestora. Baza de date va fi accesat de ctre serverul de tranzacionare i de ctre staiile de lucru din reeaua intern. Baza de date implementeaz 150

mecanismele de securitate de la nivelul sistemului de operare folosit combinate cu cele de la nivelul firewall-ului. 5. securitatea reelei interne a bncii care este situat n Intranet. De cele mai multe ori pe fiecare nivel este amplasat un monitor de securitate care reprezint un program special care analizeaz ncercrile de conectare euate i poate recunoate eecurile provenite n urma unei ncercri de a accesa anumite resurse de ctre o persoan neautorizat.

151