Разработка рекомендаций по повышению безопасности мобильных платежей
МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ
РОССИЙСКОЙ ФЕДЕРАЦИИ
ФГАОУ ВПО «СЕВЕРО-КАВКАЗСКИЙ
ФЕДЕРАЛЬНЫЙ УНИВЕРСИТЕТ»
ИНСТИТУТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ И
ТЕЛЕКОММУНИКАЦИЙ
Кафедра ОРГАНИЗАЦИИ И ТЕХНОЛОГИИ
ЗАЩИТЫ ИНФОРМАЦИИ
КУРСОВАЯ РАБОТА
по дисциплине «Вычислительные сети»
на тему: «Разработка рекомендаций по
повышению безопасности мобильных платежей»
Выполнил: Шаповалов Андрей Александрович
студент 4 курса группы 091
специальности «Организация и технология защиты информации»
очной формы обучения
Руководитель работы: Петренко Вячеслав Иванович
заведующий кафедрой ОТЗИ, канд. техн. наук, доцент
Ставрополь, 2013 г.
СОДЕРЖАНИЕ
ВВЕДЕНИЕ
. АНАЛИЗ МОДЕЛЕЙ МОБИЛЬНЫХ ПЛАТЕЖЕЙ
.1 Аналитический обзор отдельно
тарифицируемого типа сообщений
.2 Анализ модели «мобильная коммерция»
.3 Аналитический обзор коммуникации ближнего поля
.4 Выводы по главе
. АНАЛИЗ СУЩЕСТВУЮЩИХ УГРОЗ И УЯЗВИМОСТЕЙ ПРИ ОСУЩЕСТВЛЕНИИ
МОБИЛЬНЫХ ПЛАТЕЖЕЙ
.1 Выявление угроз и уязвимостей протокола передачи данных с
помощью мобильного телефона
.2 Анализ уязвимостей технологии радиочастотной идентификации
.3 Выявление уязвимостей мобильной операционной системы
.4 Выводы по главе
3. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ
ИНФОРМАЦИИ ПРИ ИСПОЛЬЗОВАНИИ МОБИЛЬНЫХ ПЛАТЕЖЕЙ
3.1 Разработка рекомендаций по повышению безопасности при
работе с моделями мобильных платежей
.2 Разработка рекомендаций при использовании протоколов,
технологий, операционных систем и программного обеспечения для передачи данных
с мобильного телефона
.3 Выводы по главе
ЗАКЛЮЧЕНИЕ
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
ВВЕДЕНИЕ
мобильный телефон платеж
безопасность
Оплата за товары и услуги с помощью мобильных устройств уже перестала
быть экзотикой, а мобильные платежи, являющиеся ключевой составляющей мобильных
финансовых услуг, набирают обороты во всем мире. Но вместе с тем растет риск
быть обманутыми злоумышленниками и потерять денежные средства при использовании
системы мобильных платежей.
Актуальность данной темы заключается в том, что различные компании
предлагают своим пользователям, для удобства, всегда иметь возможность для
оплаты товаров и услуг посредством своего мобильного телефона, но так как
процесс оплаты упрощён, существуют множество угроз и уязвимостей системы
мобильных платежей.
Объектом исследования являются модели, протоколы, технологии и
операционные системы которые используются для мобильного платежа.
Предмет исследования - система осуществления мобильных платежей.
Целью курсовой работы является оценка защищенности моделей мобильных
платежей, а также протоколов и технологий передачи данных.
Для достижения поставленной цели решены следующие частные задачи:
- анализ существующих моделей осуществления мобильных платежей;
- анализ протоколов, технологий осуществления передачи
информации с мобильного телефона;
- разработка практических рекомендаций по повышению
безопасности мобильных платежей.
Курсовая работа состоит из трех глав, введения и заключения, представлена
на 29 страницах и содержит 3 рисунка.
В первой главе проведен анализ существующих на сегодняшний день моделей
осуществления мобильных платежей на основании анализа научно-технической
литературы.
Вторая глава посвящена анализу протоколов и технологии используемых для
передачи данных с мобильного телефона.
Третья глава содержит рекомендации по повышению безопасности информации
при осуществлении мобильных платежей.
Теоретическая значимость курсовой работы состоит в выявлении угроз и
уязвимостей, присущих мобильным платежам.
Практическая ценность заключается в том, что разработанные рекомендации
при их практическом применении позволят повысить уровень безопасности при
осуществлении платежей, используя мобильный телефон.
1. АНАЛИЗ МОДЕЛЕЙ МОБИЛЬНЫХ ПЛАТЕЖЕЙ
Мобильные платежи - альтернативный метод оплаты, в котором в качестве
средства совершения платежа (платежной карты, чека, наличных) выступает
мобильное устройство [1].
Современная система оплаты посредством мобильных платежей строиться в
основном по схеме, приведенной на рисунке 1.
Рисунок 1 - Обобщенная схема осуществления мобильных платежей
В настоящее время существуют различные модели мобильных платежей:
- платежи на базе Premium SMS;
- мобильная коммерция;
- коммуникация ближнего поля.
1.1 Аналитический обзор отдельно тарифицируемого типа сообщений
Premium-SMS -
это отдельно тарифицируемый тип SMS, используемый для получения каких-либо
платных услуг. Premium-SMS сейчас являются наиболее распространённым типом
оплаты в различных сервисах мобильной коммерции.
Для оплаты
абонент отправляет сообщение на короткий номер оператора, оператор перечисляет
со счета абонента необходимую сумму денег (предварительно убедившись, что на
счете достаточно средств для осуществления операции) продавцу, после чего
абонент получает, например, заказанный рингтон, доступ к сайту или код для активации
услуги [2].
Сообщение
оплачивается по специальному тарифу при отправлении (обычно существенно дороже
стоимости стандартного SMS). Максимальная стоимость Premium SMS не превышает
300 рублей, причем в нее уже входит стоимость оказанной услуги. Платеж может
инициировать как сам абонент (отправив SMS или запрос через сайт), так и
получатель средств - в этом случае требуется подтверждение абонента. После
отправки и списания средств с лицевого счёта, абонент получает доступ к услуге.
Иногда Premium-SMS используются и для сервисов, не имеющих прямого отношения к
мобильной связи, например, для оплаты в Интернет-ресурсах, для различных
голосований и т.д. [3].
Схема выполнения SMS
платежей представлена на рисунке 2 [4].
Рисунок 2 - Пошаговая схема выполнения SMS платежей.
В такой модели существует два вида тарификации:
- МО-тарификация («Mobile Originated»). Стоимость списывается со счёта
абонента в момент отправки SMS-сообщения на определенный короткий номер;
- МТ-тарификация («Mobile Terminated»). Стоимость списывается
со счёта абонента в момент получения SMS-сообщения. Сначала пользователь
отсылает SMS на короткий номер (деньги за это не взимаются), затем проверяется,
достаточно ли у абонента денег, чтобы оплатить услугу, и готов ли продавец
данную услугу предоставить. Если все хорошо, то абоненту отсылается сообщение,
за которое и взимается плата.
Какой именно вид тарификации используется в конкретном случае, зависит от
страны, оператора, короткого номера [5].
Плюсы такого способа платежа - пользователю нет необходимости вводить
свои личные данные на сайте продавца, не требуется регистрация в какой-либо
платежной системе, удобен при спонтанной покупке. Занимает минимальное
количество времени для осуществления покупки. Также в плюсе остается и сам
оператор, который имеет с этого 30-60% комиссии.
1.2 Анализ модели «мобильная коммерция»
Мобильная коммерция (mCommerce) - общее название для различных
коммерческих сервисов, использующих мобильный телефон в качестве основного
интерфейса пользователя.
Разница с Premium SMS заключается в том, что возможно оплаты произвольной
суммы платежа, в диапазоне от 0,01 до 15000 рублей, тогда как при оплате через
Premium SMS тариф на оплату жестко привязан к короткому номеру.
Для проектов не связанных с виртуальными услугами, например покупка
билетов, оплата коммунальных услуг и других - процент еще ниже и составляет
8-10% от каждого платежа.
Процесс осуществляется с помощью карманных компьютеров или smart-фонов
через удаленное (Интернет, GPRS и т. д.) соединение. Мобильная коммерция,
представляет собой смесь Premium SMS и оплаты с помощью пластиковой карты,
реализованное в программно-аппаратном решении по автоматизации процессов
взаимодействия с удаленными пользователями. От Premium SMS технология
унаследовала работу через SMS, а от пластиковых карт свободу в выборе суммы
платежа и инструменты по отслеживанию его статуса.
Мобильная коммерция объединила в себе передовые технологии мобильной
связи и подразделяется на два направления: мобильный банкинг (при осуществлении
платежных транзакций используются денежные средства, находящиеся на банковском
счете, управлять которым можно с помощью мобильного телефона) и мобильный
платеж (осуществляется без использования банковских счетов пользователя и
доступны абонентам не имеющим собственного банковского счета) [6].
Мобильный банкинг - это система, дающая возможность получения информации
и управления средствами на банковском счете с помощью мобильного телефона.
Первые системы мобильного банкинга появились в мире в 1999 году, когда
банки Европы предложили своим клиентам пользоваться данной услугой при помощи
SMS. В России мобильный банкинг впервые появился в Сбербанке в 2002 году [7].
В Сбербанке при подключении услуги «мобильный банк» пользователю
предоставляется возможность распоряжаться средствами, находящимися на его
банковском счете, с помощью мобильного телефона. Пользователь может пополнить
свой счет на мобильном устройстве, счет другого абонента, перевести средства со
своего банковского счета на банковский счет другого пользователя. Также есть
услуга автоматического пополнения счета мобильного телефона. Необходимо лишь
отправить SMS с суммой порога, при достижении
которого счет мобильного оператора будет пополнен автоматически.
Преимущества использования мобильного банкинга:
- доступность. Мобильные устройства есть у всех, а значит услугой может
пользоваться каждый;
- простота в использовании. Ненужно обладать какими-то
специфическими знаниями чтобы совершить платеж или перевод;
- экономическая выгода. Тарифы на использования данного рода
услугами значительно ниже чем при физическом посещении банка. Существенная
экономия времени;
- дополнительная информация. Мобильный банкинг - это не только
возможность делать различные платежи. Это еще и отличная возможность получать
различного рода информационные услуги.
На сегодняшний день услуги по принципу мобильной коммерции предоставляют
четыре оператора России: МТС, Мегафон, Билайн и Tele2. Максимальный размер
платежа во всех случаях - до 15 000 рублей.
Как и любая новая технология, мобильный банкинг тоже имеет свои
недостатки. Ниже перечислены основные из них:
- самой большой угрозой безопасности в мобильном банкинге является
незашифрованность серверов провайдеров сотовой телефонной связи. Хакер-эксперт
сможет сравнительно легко получить информацию о счете или дебетовых и кредитных
картах пользователей;
- сообщения, полученные от банков, не шифруются. Это означает,
что эту информацию можно легко перехватить при передаче через оператора
мобильной связи;
- если мобильный телефон будет украден, информация, хранимая в
сообщениях, может быть легко использована другим лицом;
- мобильные телефоны, которые используют интернет-браузеры, но
не имеют антивирусной защиты, подвержены очень высокому риску взлома
конфиденциальной информации.
С ростом спроса на смартфоны и появлением возможности доступа к
высокоскоростному Интернету через сотовый телефон, мобильный банкинг стал
следующим очевидным технологическим шагом. Вне всякого сомнения, он
обеспечивает комфортный и беспроблемный доступ к счетам. Но с точки зрения
информационной безопасности он определенно оставляет желать лучшего. Поэтому до
тех пор, пока банки не придумали 100% безопасный способ мобильного банкинга,
лучше пользоваться им в самых крайних случаях, когда это абсолютно необходимо.
.3 Аналитический обзор коммуникации ближнего поля
Field Communication, (NFC) - технология беспроводной высокочастотной
связи малого радиуса действия, которая дает возможность обмена данными между
устройствами, находящимися на расстоянии около 10 сантиметров. Эта технология -
простое расширение стандарта бесконтактных карт, которая объединяет интерфейс
смарт-карты и считывателя в единое устройство. Устройство NFC может
поддерживать связь и с существующими смарт-картами и считывателями стандарта
ISO 14443, и с другими устройствами NFC, и таким образом совместимо с
существующей инфраструктурой бесконтактных карт, уже использующейся в
общественном транспорте и платежных системах. NFC нацелена прежде всего на
использование в мобильных телефонах [8].
Для использования сервиса NFC необходим встроенный в телефон специальный
модуль или дополнительные устройства, такие как NFC-стикеры и модули. Стикеры
можно прикрепить к корпусу телефона. Стикеры бывают пассивные и активные.
Пассивные не могут осуществлять обмен данными с мобильным телефоном и,
следовательно, не дают возможности записи информации в NFC-устройство по
каналам связи мобильного оператора (через SMS или через мобильный Интернет).
Активные используют канал связи Wi-Fi или Bluetooth для связи с телефоном: это
либо повышенное энергопотребление, либо необходимость подзарядки модуля
отдельно. Общий недостаток внешних модулей - это вообще наличие крепления.
Конструктивно модуль выполнен в эластичном корпусе толщиной в несколько
миллиметров и размером 2 на 3 сантиметра. На периметре модуля расположена
антенна. От корпуса идет гибкий шлейф с контактной площадкой в форме SIM-карты.
Толщина корпуса и контактных элементов позволяют легко поместить модуль внутрь
телефона непосредственно под крышку корпуса. SIM-карта совмещается с контактной
площадкой модуля, имеющей многоразовую клеевую основу, и помещается на
контактные площадки SIM в телефоне. Проще говоря, модуль кладётся на
аккумулятор, а его контактная площадка вставляется в холдер вместе с симкой.
Всё это закрывается крышкой телефона. На текущий момент разработано 4 типа
модулей, и пока основное препятствие для установки - это не «железо» телефона,
а, скорее, отсутствие пластиковой крышки.
В модуле есть микропроцессор, который обеспечивает надежное хранение
сервисных приложений, криптографическую защиту и поддерживает три основных
канала связи:
- NFC для бесконтактных транзакций;
- информационный поток с TSM («Trusted Service Manager») через
сеть мобильного оператора;
- обмен данными с пользователем через пользовательский
интерфейс - мобильное приложение телефона [9].
Сервисные приложения - программные модули (платежные, транспортные, карт
лояльности и другие) хранятся в элементе безопасности, защищенные ключами от
несанкционированного доступа.
Телефон с чипом устанавливает соединение с платежным терминалом, который
считывает необходимую информацию. В результате соединения со счета абонента
списывается стоимость услуги [10].
Устройства NFC могут работать
в активном и пассивном режимах. Пассивный режим функционирует по тем же
принципам что и бесконтактная карта. Такой режим экономит батарейное питание и
позволяет использовать NFC
даже при выключенном питании. NFC
можно использовать для всех тех применений, для которых используются
бесконтактные карты, а совместимость с карточными стандартами, позволяет
использовать уже существующую инфраструктуру [11].и Bluetooth технологии связи
малого радиуса действия, которые были недавно интегрированы в мобильные
телефоны. Существенное преимущество NFC над Bluetooth - более короткое время
установки соединения. Вместо выполнения инструкций по согласованию для
идентифицирования устройства Bluetooth, связь между двумя устройствами NFC
устанавливается сразу (менее чем за одну десятую секунды). Максимальная
скорость передачи данных NFC (424 кбод) меньше, чем Bluetooth (24 Мбод). У NFC
меньший радиус действия (менее 20 см), который обеспечивает большую степень
безопасности и делает NFC подходящей для переполненных пространств, где установление
соответствия между сигналом и передавшим его физическим устройством (и как
следствие, его пользователем) могло бы иначе оказаться невозможным.
Существуют три основных области применения NFC:
- эмуляция карт: устройство NFC ведет себя как существующая бесконтактная
карта;
- режим считывания: устройство NFC является активным и
считывает пассивную RFID метку, например для интерактивной рекламы;
- режим P2P: два устройства NFC вместе связываются и
обмениваются информацией.
Возможно множество применений таких как:
- мобильная покупка в общественном транспорте - расширение существующей
бесконтактной инфраструктуры;
- мобильные платежи - устройство действует как платёжная карта;
- электронная доска - мобильный телефон используется для чтения
RFID меток, с уличных досок для объявлений, чтобы на ходу получать информацию;
- спаривание Bluetooth - в будущем для соединения устройств
Bluetooth 2.1, поддерживающих NFC, будет достаточно сблизить их и принять
соединение. Процесс активации Bluetooth с обеих сторон, поиска, ожидания,
соединения и авторизации будет заменён простым «прикосновением» мобильных
телефонов.
Другие применения в будущем могут включать:
- электронная покупка билетов (авиабилеты, билеты на концерт, и другие);
- электронные деньги;
- удостоверения личности;
- мобильная торговля;
- электронные ключи - ключи от машины, ключи от дома/офиса,
ключи гостиничного номера, и т.д.
.4 Выводы по главе
В данной главе рассмотрены общие характеристики осуществления мобильных
платежей, модели на которых они построены. Также произведен анализ особенностей
каждой из моделей, выявлены достоинства и недостатки осуществления мобильных
платежей. Сделан вывод о наличии широкого спектра уязвимостей различного
характера. Данные уязвимости требуют дальнейшего анализа.
2. АНАЛИЗ СУЩЕСТВУЮЩИХ УГРОЗ И УЯЗВИМОСТЕЙ ПРИ ОСУЩЕСТВЛЕНИИ МОБИЛЬНЫХ
ПЛАТЕЖЕЙ
Любая система мобильных платежей представляет собой совокупность
объектов, которые могут взаимодействовать по двум основным схемам: удаленного
платежа (Remote M-Payment System) и бесконтактного платежа (Proximity Payment
Systems). В зависимости от выбора схемы определяется набор технологий,
использование которых возможно для передачи данных.
Очевидно, что для обеспечения стойкости системы мобильных платежей,
необходимо рассмотреть защищенность использованных при ее построении
стандартов, технологий, протоколов и платформ.
Таким образом, все уязвимости можно разделить согласно уровню их
реализации: нижний уровень - протокол GSM, операционная система, технология
передачи (RFID) и уровень программного обеспечения.
.1 Выявление угроз и уязвимостей протокола передачи данных с помощью
мобильного телефона
Сотовый телефон или «мобильный терминал» подключается к сети оператора
через базовые станции. Одна базовая станция (специализированные
приемопередатчик плюс компьютер, включенные в опорную сеть сотовой компании)
обслуживает одновременно несколько аппаратов и является своеобразным «шлюзом»,
через который проходят голосовые разговоры, интернет данные и другая связанная
с конкретным абонентом информация.
Протокол GSM использует
сети 2G, поэтому данные, которыми
обмениваются в открытом радиоэфире мобильный терминал и базовая станция,
предусмотрительно шифруются при помощи специализированных алгоритмов семейства
A5. Их несколько: A5/0 (без шифрования), А5/1 (наиболее массовый, 64-битный
ключ), A5/2 (более слабое шифрование), A5/3 (наиболее устойчивый метод, ключ
128 бит). Проблема в том, что A5/1 и A5/2 были разработаны достаточно давно, в
1987 и 1989 годах, и с тех пор сильно устарели [12].
Эти схемы шифрования взломаны, а значит, злоумышленник, обладающий
определенным специальным программным обеспечением и не слишком дорогой
техникой, может перехватывать (слушать и записывать, а также в некоторых
случаях управлять маршрутизацией) SMS пользователей прямо из радиоэфира рядом с
местом своего нахождения. Более свежий алгоритм А5/3 считается надежным -
подтвержденных случаев его взлома не известно.
Однако взломанный и старый А5/1 остается самым популярным вариантом в
мире. Переходу на А5/3 мешает качество реализации алгоритма в ряде абонентских
устройств. Многие терминалы сообщают о поддержке A5/3, но при этом работают с
данной системой шифрования некорректно. А лишний поток жалоб, учитывая
значительный процент «проблемного» оборудования в сети, никому не нужен.
Операторы работают с уязвимым алгоритмом A5/1.
Рисунок 3 - Схема перехвата звонков и сообщений с аппарата абонента.
Фундаментальная проблема системы безопасности GSM связана с тем, что
при регистрации в сети аппарат проверяется сетью на принадлежность к ней,
а вот сам телефон проверить сеть на адекватность не может, чем успешно и
пользуются злоумышленники. Они ставят в непосредственной близости от абонента
источник мощного сигнала, маскирующийся под стандартную базовую станцию сотовой
сети. Телефон «видит» станцию и, так как сигнал у такой станции более мощный,
подключается к ней, такая схема представлена на рисунке 3.
После подключения, станция «командует» телефону перейти на алгоритм А5/0,
то есть отключить шифрование, при этом телефон обязан подчиниться. Теперь все
разговоры и SMS с него, пока аппарат находится в
зоне действия фальшивой базовой станции, в открытом виде проходят через систему
злоумышленника. Там они записываются (обрабатываются, перенаправляются и т.п.)
и лишь потом поступают - или не поступают, как уж решит оператор «шлюза» - в
настоящую сотовую сеть. Ничего взламывать не надо: телефон слепо выполняет
команды ненастоящей базовой станции и отключает шифрование, а остальное - дело
техники.
При таком способе взлома злоумышленник должен быть подкован в техническом
плане, также он должен всегда находится в непосредственной близости, чтобы
аппарат не подключился к настоящей станции. Фальшивая базовая станция не может
принимать входящие SMS и звонки, так
как при перенаправлении высвечивается неправильный номер. В настоящее время
большинство сотовых операторов информируют абонента в том, что шифрование
отключено специальной пиктограммой или текстом.
Современные 3G-сети и LTE-сети из ближайшего будущего гораздо лучше
защищены от перехвата, чем их 2G-предшественницы. Более того, в 2G-сетях
проблемы защиты можно решить за счет внедрения новых технологий (алгоритм
шифрования A5/3, более защищенные алгоритмы аутентификации, усиление протокола
А5/1).
2.2 Анализ уязвимостей технологии радиочастотной идентификации
Вряд ли хоть кто-то из людей, следящих за техническими новшествами, еще
не встречал аббревиатуру RFID. Сегодня RFID-технологии проникают в самые
различные сферы нашей жизни. Они открывают огромные возможности, но и таят в
себе множество неведомых опасностей. Между тем, даже многие
инженеры-радиоэлектронщики оказываются в затруднительном положении, когда их
просят объяснить принципы работы RFID-чипов.- метод автоматической
идентификации объектов, в котором посредством радиосигналов считываются и/или
записываются данные, хранящиеся в так называемых RFID-метках. Любая
RFID-система состоит из считывающего устройства (ридер, он же считыватель) и
RFID-метки. RFID-метка состоит из двух частей [13]:
- интегральной схемы (микрочипа) для хранения и обработки информации,
модулирования и демодулирования радиочастотного сигнала;
- антенны для приема и передачи сигнала.
В 1948 году теоретические основы RFID-технологии изложил Гарри Стокман в
своей работе "Коммуникации посредством отраженного сигнала".
Первая демонстрация действующих прототипов современных RFID-чипов (на
эффекте обратного рассеяния), как пассивных, так и активных, была проведена в
Исследовательской лаборатории Лос-Аламоса в 1973 году. Портативная система
работала на частоте 915 МГц и использовала 12-битные метки.
Сложилось несколько способов систематизации RFID-меток и систем - по
рабочей частоте, источнику питания, типу памяти и форм-фактору. По типу
используемой памяти различают следующие RFID-метки[14]:
- RW (Read and Write) - такие метки содержат идентификатор и блок памяти
для чтения/записи информации. Данные в них могут быть перезаписаны многократно;
- RO (Read Only) - данные записываются лишь один раз, при
изготовлении. Такие метки пригодны только для идентификации. Никакую новую
информацию в них записать нельзя, и их практически невозможно подделать.
Сегодня наиболее широко распространены пассивные RFID-метки, не имеющие
встроенного источника энергии. Работа кремниевого CMOS-чипа метки и передачи
ответного сигнала обеспечиваются за счет электротока, индуцируемого в антенне электромагнитным
сигналом от считывателя. Пассивные низкочастотные RFID-метки обычно
встраиваются в стикер (наклейку на товар в магазине) или имплантируются под
кожу. Максимальная дистанция считывания пассивных меток - от 10 см до
нескольких метров, в зависимости от выбранной частоты и размеров антенны.
Пассивные RFID-метки могут быть очень малы: в 2006 году компания Hitachi
разработала пассивный µ-Chip (мю-чип), размерами 0,15х0,15 мм (без учета
антенны) и тоньше бумажного листа (7,5 мкм). Такого уровня интеграции позволила
достичь технология "кремний-на-изоляторе" (SOI). µ-Chip может
передавать 128-битный уникальный идентификационный номер, записанный в
микросхему по время производства. Номер не может быть изменен в дальнейшем, то
есть он жестко привязан к объекту, в который встраивается этот чип. Радиус
считывания µ-Chip от Hitachi - 30 см.
Другое их преимущество - дешевизна. Минимальная стоимость RFID-меток,
ставших стандартом для торговых сетей, - примерно 5 центов за метку SmartCode
(при покупке от 100 млн штук).
Активные RFID-метки имеют собственный источник питания, то есть не
зависят от энергии считывателя. Соответственно, сигнал с них считывается на
большом расстоянии, а сами чипы имеют большие размеры и могут оснащаться
дополнительной электроникой.
Активные метки более надежны, чем пассивные, так как в них используются
особые сессии связи между меткой и считывателем. Кроме того, активные метки,
имея собственный источник питания, дают выходной сигнал большего уровня, чем
пассивные. Это позволяет применять их в воде, теле людей и животных, металлах
(корабельные контейнеры, автомобили), для больших расстояний на воздухе.
При этом активные метки более дороги в производстве ($3-15 за штуку) и
имеют большие размеры.
Мобильные считыватели обладают сравнительно меньшей дальностью действия и
зачастую не имеют постоянной связи с программой контроля и учёта. Мобильные
считыватели имеют внутреннюю память, в которую записываются данные с
прочитанных меток (потом эту информацию можно загрузить в компьютер) и, как и стационарные
считыватели, способны записывать данные в метку (например, информацию о
произведённом контроле) [15].
В зависимости от частотного диапазона метки, дистанция устойчивого
считывания и записи данных в них будет различна.
Преимущества технологии передачи RFID:
- возможность перезаписи. Хранящиеся в RFID-чипах данные могут многократно
перезаписываться и дополняться, тем самым сохраняя свою актуальность;
- большой объем хранимых данных. RFID-метка может хранить во
много раз больше информации, чем штрих-код. На чипе площадью в 1 см2 может
храниться до 10000 байт информации, в то время как штриховые коды могут
вместить единицы байт;
- нет нужды в прямой видимости. В отличие от штрих-кода,
взаимная ориентация метки и считывателя не играет роли - метке достаточно
ненадолго попасть в зону регистрации, перемещаясь в том числе и на довольно
большой скорости. Метки могут считываться сквозь упаковку, что позволяет
размещать их скрытно;
- большое расстояние чтения. RFID-метка может считываться на
значительно большем расстоянии, чем штрих-код. В зависимости от модели метки и
считывателя, радиус считывания может составлять до нескольких сотен метров;
- устойчивость к воздействию внешних факторов. Специальные
RFID-метки обладают значительной прочностью и сопротивляемостью жестким
условиям рабочей среды. В тех сферах применения, где один и тот же объект может
использоваться множество раз, радиочастотная метка оказывается экономически
самым выгодным средством идентификации. А пассивные RFID-метки и вовсе имеют
практически неограниченный срок эксплуатации;
- интеллектуальность. RFID-метка может не только переносить
данные, но и выполнять другие задачи. Данные на метке могут шифроваться.
Радиочастотная метка может закрывать паролем операции записи и считывания
данных, а также зашифровывать их передачу. В одной метке можно одновременно
хранить открытые и закрытые данные.
Недостатки технологии передачи RFID:
- сравнительно высокая стоимость системы;
- уязвимость к воздействию электромагнитных помех;
- возможность использования RFID для незаконного сбора
информации о людях.
.3 Выявление уязвимостей мобильной операционной системы
Рынок мобильных устройств развивается очень быстро, и все пользуются ими
в повседневной деятельности. Мобильные телефоны, планшеты и ноутбуки уже давно
стали неотъемлемой частью нашей жизни. Они используются их не только в качестве
средств связи, но и для передачи и для обработки большого количества данных.
Также, с ростом мощности этих портативных гаджетов их все чаще начинают
применять в бизнесе. Именно поэтому необходимо больше внимания уделять
безопасности мобильных платформ, ведь чем ценнее будет информация, которая там
хранится, тем выше вероятность того, что устройство взломают, а данные будут
украдены.
Современные смартфоны имеют целый ряд уязвимостей, к примеру, недавно
обнаруженная критическая уязвимость Android смартфонов на базе процессоров
Exynos 4210 и 4412. Было обнаружено, что набор системных библиотек
(dev/exynos-mem), которые работают с физической памятью устройства, имеют дыру
в системе безопасности, используя которую злоумышленник или вредоносное
приложение может получить root доступ ко всей физической памяти смартфона [16].
Имея права root доступа хакер или вирус могут сделать практически что
угодно с физической памятью Вашего мобильного устройства. Речь идет не только о
возможности кражи всех данных, которые хранятся на Вашем смартфоне, но и полном
форматировании памяти устройства, что наверняка превратит мощный смартфон в
бесполезный кирпич.
Однако существуют более хитрые и искусные способы использования root
доступа. К примеру, злоумышленник может заставить телефон набирать определенные
номера и отправлять ообщения на короткие номера с повышенной тарификацией, и
тем самым, просто красть деньги. Также набрав свой номер, злоумышленник сможет
слушать все, что происходит вокруг Вашего телефона, а установив программный
шлюз получит возможность прослушивать ваши звонки. В этом случае мобильный
телефон превратиться в жучок просушки и слежки.смартфоны с модулем NFC также
имели некоторые проблемы безопасности. Эти дыры давали возможность
злоумышленникам загружать вредоносные программы на телефоны пользователей в
фоновом режиме, используя канал NFC.
Одной из последних уязвимостей, обнаруженных в Android-смартфонах,
является следующая: уязвимость позволяет любому приложению, имеющему разрешение
на доступ в интернет, собирать и передавать личные данные пользователя, в том
числе данные СМС: номера телефонов и зашифрованный текст сообщений.
Помимо программы, собирающей для компании производителя пользовательские
данные, в новых прошивках также присутствует приложение, не только имеющее
доступ ко всей вышеперечисленной информации, но и способное предоставить её
любому неавторизованному пользователю по запросу на локальный порт, при этом не
требуется никаких специальных разрешений, кроме доступа в интернет (это
разрешение, помимо всего прочего, позволит передать полученные данные куда и
кому угодно).
.4_Выводы по главе
В данной главе рассмотрены существующие угрозы и уязвимости стойкости
системы мобильных платежей, при построении ее стандартов, технологий,
протоколов и платформ.
Установлено, что на данном этапе существует целый спектр различных атак,
которые несут серьёзную угрозу безопасности мобильных платежей. Реализация
данных угроз злоумышленниками может привести к денежным потерям. Обычному
пользователю мобильного телефона очень сложно обнаружить взлом своего
мобильного телефона.
3. РАЗРАБОТКА РЕКОМЕНДАЦИЙ ПО ПОВЫШЕНИЮ БЕЗОПАСНОСТИ ИНФОРМАЦИИ ПРИ
ОСУЩЕСТВЛЕНИИ МОБИЛЬНЫХ ПЛАТЕЖЕЙ
По результатам первой и второй главы, выявлены уязвимости, которые могут
нанести ущерб безопасности системы. Соответственно, это дает возможность при
реализации системы мобильных платежей предотвратить несанкционированный доступ
к конфиденциальной информации расположенной на мобильном устройстве и избежать
непредвиденных денежных расходов. Также можно сделать вывод, что систему
мобильных платежей нужно защищать не только со стороны моделей осуществления
платежей, но также со стороны построения протоколов, технологий передачи данных
и непосредственно «изнутри» телефона, то есть в его операционной системе.
.1 Разработка рекомендаций по повышению безопасности при работе с
моделями мобильных платежей
Проанализировав модели, по которым осуществляются мобильные платежи,
можно сделать вывод, что при использовании мобильного телефона как средства
оплаты товаров и услуг, рекомендуется придерживаться некоторых правил:
- при получении сообщения, которое содержит ссылку на интернет-страницу или
просьбу отправить сообщение на короткий номер, не выполнять никаких действий,
если вы не заказывали товар или услугу;
- перед отправкой сообщения на короткий номер, необходимо
уточнить у оператора и на специализированных ресурсах стоимость отправки
сообщения;
- перед заказом товара или услуги внимательно читать условия их
предоставления, а также информацию, размещенную с символом «*»;
- прежде, чем переводить деньги на чужой абонентский счет,
разберитесь, кому именно Вы собираетесь оказать материальную помощь. Вполне
вероятно, что этот человек вам абсолютно не знаком;
- не участвовать в незнакомых SMS-конкурсах и SMS-розыгрышах;
- не вводить номер своего телефона на подозрительных сайтах;
- при использовании услуги «мобильный перевод» необходимо быль
внимательным при наборе номера телефона;
- не передавать телефон в руки третьим лицам;
- выключать Bluetooth и Wi-Fi, если нет необходимости в их использовании.
.2 Разработка рекомендаций при использовании протоколов, технологий,
операционных систем и программного обеспечения для передачи данных с мобильного
телефона
При использовании протокола передачи данных GSM, как наиболее распространенного, существуют
уязвимости, описанные во второй главе. Чтобы избежать неправомерного доступа к
вашим звонкам и сообщениям, рекомендуется в настройках сети выбрать «только 3G», так как по умолчанию телефон
передает данные по протоколу, который доступен на момент передачи. Также, если
криптографическая защита передачи данных отключена, большинство, операторов
оповещают своих абонентов об этом наличием соответствующей иконки на экране
телефона. При наличии такой иконки, рекомендуется прекратить использование
телефона для звонков, передачи сообщений и выхода в интернет.
При использовании технологии передачи данных RFID не следует использовать ваш телефон для передачи информации
через подозрительные считыватели. Модули NFC следует покупать только у специализированых,
проверенных производителей.
Для обеспечения защиты операционной системы мобильного телефона первое,
что необходимо сделать - установить антивирусное программное обеспечение. Не
стоит скачивать его с подозрительных серверов, у каждого производителя
мобильных операционных систем, есть интернет ресурс с которого можно скачать
проверенное программное обеспечение. При этом даже в случае кражи Ваших
персональных данных можно будет в судебном порядке компенсировать нанесенных
материальный ущерб. В 90% случаев скачивая мобильное приложение со стороннего
сайта, Вы получите вирус или другую вредоносную программу.
Главная «проблема» мобильных платежей - это, собственно, наличие Вашего
сотового телефона в руках злоумышленника. Для блокирования действий
злоумышленника при краже Вашего телефона, необходимо незамедлительно
заблокировать SIM карту. Современные сотовые телефоны
позволяют создать такую защиту, при которой посторонний человек не сможет
воспользоваться Вашим мобильным телефоном или даже его включить, без
подтверждения паролем принадлежности к устройству. Такую защиту можно взломать,
только имея необходимое оборудование, но на взлом понадобиться определенное
количество времени, в зависимости от сложности пароля. Также при установленном
на украденном мобильном телефоне приложении для операций с мобильным банком,
рекомендуется сменить пароль на доступ к мобильному банку.
Большинство людей заметив попытку взлома сменят SIM карту, однако это
только полумера. Следует помнить, что если телефон был взломан мало просто
сменить номер, так как номер SIM карты привязан к IMEI идентификатору телефона.
Узнав IMEI злоумышленники смогут обнаружить устройство какой-бы номер не использовался.
3.3 Выводы по главе
По результатам третьей главы можно сделать общий вывод: для обеспечения
безопасности конфиденциальных данных и целостности денежных средств необходимо
относится к сотовому телефону не только как к средству связи, а как к техническому
средству, кража или сбой, в работе которого приведет к экономическим потерям.
Поэтому прежде чем совершать какие-либо денежные операции с
использованием мобильного телефона, для большей безопасности необходимо
следовать рекомендациям приведенным выше.
ЗАКЛЮЧЕНИЕ
В ходе данной курсовой работы рассмотрены общие характеристики
осуществления мобильных платежей, модели на которых они построены. Также
произведен анализ особенностей каждой из моделей, выявлены достоинства и
недостатки осуществления мобильных платежей. Сделан вывод о наличии широкого
спектра уязвимостей различного характера. Данные уязвимости требуют дальнейшего
анализа.
Также рассмотрены существующие угрозы и уязвимости стойкости системы
мобильных платежей, при построении ее стандартов, технологий, протоколов и
платформ.
Установлено, что существует целый спектр различных атак, которые несут
серьёзную угрозу безопасности мобильных платежей. Реализация данных угроз
злоумышленниками может привести к денежным потерям. Обычному пользователю мобильного
телефона очень сложно обнаружить взлом своего устройства.
На основе анализа угроз и уязвимостей для моделей мобильных платежей, а
также протокола и технологии с помощью которой они осуществляются, разработаны
рекомендации по повышению безопасности осуществляемых операций с денежными
средствами. Из этого можно сделать следующий вывод: для обеспечения
безопасности конфиденциальных данных и целостности денежных средств необходимо
относится к сотовому телефону не только как к средству связи, а как к техническому
средству, кража или сбой, в работе которого приведет к экономическим потерям.
Поэтому прежде чем совершать какие-либо денежные операции с
использованием мобильного телефона, для большей безопасности необходимо
следовать рекомендациям приведенным выше.
В процессе работы решены следующие задачи:
- проанализированы модели мобильных платежей, рассмотрены принципы действия
каждой из моделей, выявлены достоинства и недостатки;
- проанализированы протоколы и технологии передачи данных,
применяемые при осуществлении мобильных платежей;
- разработаны рекомендации по повышению безопасности осуществления
мобильных платежей.
Цель данной работы, заключавшаяся в повышении безопасности мобильных
платежей, достигнута.
В результате работы выявлена недоработка разработчиков операционной
системы для мобильных устройств GOOGLE ANDROID, при
которой злоумышленник может получить полный доступ к физической памяти
устройства и после этого практически контролировать телефон. Также серьезный
недостаток приложений для операционной системы Android заключается в сборе и отправке информации об
абоненте, тому, кто такую информацию запросит.
Все эти аспекты требуют всестороннего внимания как стороны производителей
операционных систем и приложений и сотовых операторов, так и со стороны
пользователей системы мобильных платежей.
СПИСОК ИСПОЛЬЗОВАННЫХ ИСТОЧНИКОВ
1 Мобильные
платежи. [Электронный ресурс]. Дата обновления: 03.12.2012. - URL:
http://ru.wikipedia.org/Мобильные_платежи (дата обращения: 10.03.2013).
2 Ле-Бодик
Г. Мобильные сообщения: службы и технологии SMS, EMS и MMS / Пер. с англ. - М.:
КУДИЦ-ОБРАЗ, 2005. - 448 с.
Мобильные
платежи в контексте СТО БР ИББС и требований по ИБ в НПС. [Электронный ресурс].
Дата обновления: 23.04.2012. - URL: http://slideshare.net/lukatsky/ss-12660626
(дата обращения: 10.03.2013).
Степаненко
В. Мобильные технологии // Мобильные платежи. -М.: КАРТ БЛАНШ, №5, 2010. -
С.4-5
Мобильная
коммерция. [Электронный ресурс]. Дата обновления: 5.05.2011. - URL:
http://habrahabr.ru/sandbox/28612/ (дата обращения: 15.03.2013).
Мобильный
банкинг. [Электронный ресурс]. Дата обновления: 31.08.2011. - URL: http://bankir.ru/publikacii/s/mobilnyi-banking-10000394/
(дата обращения: 16.03.2013).
8 Near
Field Communication. [Электронный ресурс]. Дата
обновления: 18.04.2012. - URL: http://nfctime.ru/topic/chto-takoe-nfc/
(дата обращения: 18.03.2013).
Бесконтактные
платежи. [Электронный ресурс]. Дата обновления: 30.04.2012. - URL: http://habrahabr.ru/company/blog/128564/ (дата обращения:
18.03.2013).
Платежи
с использованием мобильного телефона. [Электронный ресурс]. Дата обновления:
12.06.2012. - URL: http://mgovservice.ru/technologies/payment/ (дата обращения:
25.03.2013).
Технология
NFC и ее применение. [Электронный
ресурс]. Дата обновления: 12.08.2012. - URL: http://rfidsolutions.ru/94.html (дата обращения: 28.03.2013).
Взлом
сотовых сетей GSM. [Электронный ресурс]. Дата обновления: 9.08.2010. - URL:
http://news.tut.by/it/193253.html (дата обращения: 1.04.2013).
Радиочастотная
идентификация (RFID). [Электронный ресурс]. Дата обновления: 10.04.2013. - URL:
http://ru.wikipedia.org/wiki/RFID (дата обращения: 2.04.2013).
Платов
А. RFID: спорная технология будущего. // Компьютерная газета. [Электронный
ресурс]. Дата обновления: 10.06.2012. - URL:
http://www.nestor.minsk.by/kg/2009/10/kg91018.html (дата обращения: 6.04.2013).
Гаврилов
Л.П., Соколов С.В. Мобильные телекоммуникации в электронной коммерции и
бизнесе. - М.: Финансы и статистика, 2006. - 336 с.
Уязвимости
Смартфонов на базе Exynos. [Электронный ресурс]. Дата обновления: 16.11.2012. -
URL: http://www.jammer.su/214.html
(дата обращения: 9.04.2013).