Güvenli İnternet Bankacılığı İçin Sanallaştırma ve Güvenilir Bilişim Uygulaması Bora GÜNGÖREN Portakal Teknoloji Akademik Bilişim
2 Sunumun İçeriği İnternet bankacılığı ve varolan tehlikeler Güvenilir Bilişim Nedir? Sanallaştırma Nedir Sanallaştırma ve Güvenilir Bilişimin internet bankacılığında uygulanması Sonuç Sorular
3 İnternet Bankacılığı ve Varolan Tehlikeler Neden internet bankacılığı? –iki farklı yaklaşım Müşteri açısından Banka açısından Müşteri için: –Zahmetsiz ve uygulaması kolay –Bankaya fiziksel ulaşım gerektirmediği için düşük maliyetli Banka için: –Düşük hizmet maliyeti –Düşük bakım maliyeti –Yüksek servis kapasitesi(bir internet bankası şubesine aynı anda birkaç yüz bin kişi bağlanabilir)
4 İnternet Bankacılığı ve Varolan Tehlikeler Temel gereksinimler –Yüksek güvenlik seviyesi –Yüksek servis kalitesi seviyesi Daha fazla sayıda bankacılık işlemi=> Daha fazla sayıda saldırı tehlikesi Alınan önlemler saldırıları önlemeye yeterli mi?
5 İnternet Bankacılığı ve Varolan Tehlikeler Netcraftın sonuçları
6 Güvenilir Bilişim Nedir? “Güvenilirlik” ve “Güvenlik” Güvenilirlik: Bir sistem sadece çalışması gerektiği işi yapıyorsa, ve bu işi tam olarak yapıyorsa güvenilirdir. Güenilir olmayan bir sistem güvenli olamaz. Bilişim platformları için: –Bir yazılım veya donanım sadece yapması gereken işi yapıp, olması gerektiği gibi çalışıyorsa güvenilirdir.
7 Güvenilir Bilişim Nedir? Güvenilir platform modülü kullanan Güvenilir hesaplama tabanını barındıran Ölçme ve Depolama için Güven Kökeni bulunan Güvenilir bilişim tarafından tanımladığı hali ile güvenilir platformlar –Bir güven zinciri ile çalışır
8 Sanallaştırma Nedir? Sanallaştırma: –Donanım kaynaklarının, üzerinde çalışan “işletim sistemi” nden soyutlanmasıdır Birden fazla sanallaştırma yaklaşımı vardır. –Saf sanallaştırma: İşletim sistemleri sanallaştırmayı yapn Sanal Makine Monitörü'nden habersizdir. Örneğin VMware. –Yarı sanallaştırma (para-virtualization): İşletim sistemler, sanal makine monitörü nün varlığından haberdar olarak tasarlanmıştır. Örneğin Xen şu anda bu şekilde çalışmaktadır. Xen 3.0 yeni nesil bir Intel yada AMD işlemci ile tam sanallaştırma yapılabilir.
9 Sanallaştırma Nedir? Sanallaştırmanın yol haritası. –Bugün bağımsız çalışan işletim sistemlerini konuşuyoruz. –Yarın bağımsız çalışan sistem servislerinden bahsedeceğiz. –Servisler arasında tam soyutlama mümkün, ileride bu donanım arasına gelişebilir. –Donanım kullanarak servis bazında kontrol edilebilir güvenilirlik ve güvenlik
10 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması Üst Seviye Mimari TPM li donanım Hypervisor(Xen) Untrusted OS Trusted OS Bankacılık uygulaması nı çalıştıran Web browser Müşter i Proxy si Banka Proxy si Banka Sunumcu su TLS Bağlantısı Özel protokol (+TLS) Müşteri Banka
11 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması Öngörülen senaryolar. ● Normal kullanım ile internet bankacılığı ● Güvenilir bilişim kullanılan bankacılıkta yerine geçip avlanma ”phishing” saldırısı ● Güvenilir bilişim kullanılan müşteri bilgisayarında, banka tarafından sağlanan bankacılık bölümüne saldırı. Burada yazılımlarının kötü niyetli yazılımlar tarafından değiştirilmesini öngördük.
12 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 1 ● Kullanıcı güvenilir olmayan bölümde herhangi bir yazılımı çalıştırırken bankacılık işlemleri yapmak ister. ● Bunun için güvenilir bankacılık bölümünü çalıştırır. ● AGB işletim sistemi güvenilir bölümü açar ve kontrolü o bölüme geçirir. ● Bu bölümde minimal gereksinimleri karşılayacak, Linux tabanlı, sadece tarayıcıyı çalıştıran güvenilir işletim sistemi çalışır. ● Böylece burada çalışan bankacılık uygulaması diğer uygulamalardan da yalıtılmış olur.
13 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 1 ● Açılan tarayıcı yerelde bulunan istemci vekil sunucusuna bağlanır. İstemci vekil sunucusu da bankacılık web sitesine bankacılık vekil sunucusu üzerinden bağlanır. ● İstemci vekil sunucusu sadece önceden tanımlanmış banka web sitelerine bağlandığı için güvenilir bölümde bu sitelerin dışındaki herhangi bir siteyi ziyaret etmek istemci veril sunucusu tarafından yasaklanmıştır. ● Tarayıcıya gelen tüm istekler istemci vekil sunucusuna yönlendirilir. ● İstemci vekil sunucusu, önceden ayarlanmış banka vekil sunucusuna bağlanır.
14 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 1 ● Banka vekil sunucusu, istemci vekil sunucusunu değerlendirmelidir. ● Bunun için müşteri vekili müşterinin kullandığı platformda bir TPM olduğunu varsayalım. Bu durumda TPM_QUOTE çalıştırır. Elde edilen PCR değerleri imzalanarak banka vekil sunucusuna gönderilir. ● Banka vekil sunucusu müşteriden gelen imzalanmış PCR ları kontrol eder, eğer değerler “beklenen”le uyuşmazsa istemci gibi davranan proxy le iletişimi kesecektir. ● Beklenen değerler daha önceden kurulum sırasında hesaplanarak bankaya kaydedilmelidir.
15 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 2 ● Kullanıcı güvenilmeyen bölümde çalışmaktadır ● “Phisher” kullanıcıya bir e-posta yollar. ● Bu epostada “phishing” için kullanılacak bankanın web sitesine benzeyen bir web sitesine bir bağlantı bulunmaktadır. ● Kullanıcı gelen mesajdaki bağlantıya tıklar. ● Kullanıcı sahte web sitesine girer. ● Kullanıcı güvenilir olmayan tarayıcının görünümünden, güvenilir kompartımanda olmadığını anlar ve sahte web sitesiyle ilgili işlemlerini durdurur.
16 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 3 ● Kötü niyetli yazılım ile (bir şekilde) banka bölümü imajını değiştirir ● Kullanıcı banka bölümü imajını başlatarak ve bankacılık işlemi yapmaya çalışır. ● Güvenilir işletim sistemi OS banka bölümünü başlatır ● Tarayıcı çalışır ve yerel müşteri vekil sunucusuna bağlanır. ● Müşteri vekil sunucusu bankacılık vekiliyle önceden açıklanan kanıtlama işlemini yapar ● Müşteri vekil sunucusu kendini bankaya kanıtlamak için TPM_Quote çalıştırır ve imzalanmış PCR değerlerini banka vekiline yollar.
17 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 3 ● Banka vekil sunucusu müşteriden gelen PCR değerlerini kontrol eder, banka imajının değişmesinden sonra müşterinin PCR değerleri hatalı olur ● Banka vekil sunucusu istemciye hata mesajı yollar ve bağlantıyı kapatır. ● Müşteri vekil sunucusu mesajı alır ve hata mesajı içeren bir sayfa üretir, bu sayfa bankacılık web uygulamasına yollanır. Tarayıcı müşteri vekilinden alınan hata sayfasını gösterir. ● Kullanıcı tarayıcı tarafından gösterilen hata sayfasını okur. Bu sayfadaki mesaj bankanın lokaldeki banka imajını güvenli bulmadığını ve bu imajdan gidecek bağlantıların kabul edilemeyeceğini belirtir.
18 Sanallaştırma ve Güvenilir Bilişimin İnternet Bankacılığına uygulanması, Senaryo 3
19 Sonuç Güvenilir Bilişim altyapısı ve sanallaştırma günümüzde kullanılan bir çok alanda olduğu gibi, yaygın olarak kullanılan İnternet bankacılığında da platformların donanımsal olarak doğrulanması ile çözüme yeni bir boyut getirmiştir. Güvenilir Bilişim altyapısı kullanan müşteriler, maddi risklere karşı daha fazla korumada olacaklardır. Güvenilir Bilişim altyapısı kullanan bankalar onlar daha prestijli ve güvenli bir servis altyapısına kavuşarak hizmetlerini bu altyapıyı kullanan sonraki nesil servislere hazırlamış olacaktır
20 Sorular?