AUTOMATED FARE COLLECTION (AFC) RENDSZEREK



Hasonló dokumentumok
Bankkártya elfogadás a kereskedelmi POS terminálokon

Automated Fare Collection (AFC) rendszerek

A DOLLÁROS PIZZA TÖRTÉNETE, AVAGY MENNYIT ÉR A BITCOIN?

Privacy barát RFID technológia

Hitelesítés elektronikus aláírással BME TMIT

Az RFID technológia bemutatása

Elektronikus azonosítás biztonsági megoldásai

Felhasználók hitelesítése adatbiztonság szállításkor. Felhasználóknak szeparálása

Intelligens közösségi kártyarendszer a felsőoktatásban

IP alapú távközlés. Virtuális magánhálózatok (VPN)

Izsó Krisztián Péti Zoltán. Cisco Identity Services Engine

Fogalomtár Etikus hackelés tárgyban Azonosító: S2_Fogalomtar_v1 Silent Signal Kft. Web:

Intelligens beléptetõ rendszerek - RFID hengerzárárbetétek

2. előadás. Radio Frequency IDentification (RFID)

A JGrid rendszer biztonsági architektúrája. Magyaródi Márk Juhász Zoltán Veszprémi Egyetem

Bevezetés. Adatvédelmi célok

Innovatív eszközök, kártyarendszerek, megoldások

GDPR az EU Általános Adatvédelmi Rendelete - minden vállalkozás életét érintő jogszabály -

2023 ban visszakeresné 2002 es leveleit? l Barracuda Message Archiver. Tóth Imre Kereskedelmi Igazgató Avisys Kft Barracuda Certified Diamond Partner

Üzleti megoldások professzionális webkonferencia segítségével

Alapfogalmak. Biztonság. Biztonsági támadások Biztonsági célok

Az Internet elavult. Gyimesi István fejlesztési vezető Cardinal Számítástechnikai Kft.

A BLOCKCHAIN TECHNOLÓGIA A BIZTOSÍTÁSBAN MABISZ KONFERENCIA Dr. Kocsis Gergely Ügyvezető RowanHill Global Kft.

Vezetéknélküli technológia

Egyérintéses bankkártya használatával kapcsolatos tudnivalók

Beléptető rendszer RFID (érintésmentes) olvasóval

Adatbázis kezelő szoftverek biztonsága. Vasi Sándor G-3S

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Nem attól secure, hogy drága! A vállalati Wi-Fi biztonságos bevezetése

vbar (Vemsoft banki BAR rendszer)

Az adathalászat trendjei

IT hálózat biztonság. A hálózati támadások célpontjai

20 éve az informatikában

Felhőszámítástechnika (Cloud Computing) helye és szerepe az on-line világ folyamataiban. Dr. Élő Gábor Széchenyi István Egyetem ITOK 2013

Azonosításra szolgáló információk

Krasznay Csaba Zrínyi Miklós Nemzetvédelmi Egyetem

Szolgáltatás Orientált Architektúra a MAVIR-nál

Nemzeti Elektronikus Jegyrendszer Platform - NEJP

Kétcsatornás autentikáció

Felhőalkalmazások a. könyvvizsgálatban

Erőforrás gazdálkodás a bevetésirányításban

Proxer40CH. kártyazsebes RFID olvasó és kapcsoló. Engedélyezve, amíg a kártya a zsebben van!

Verzió: PROCONTROL ELECTRONICS LTD

MOBILITÁS VÁLLALATI KÖRNYEZETBEN MEGOLDÁS KONCEPCIÓ

Car-sharing rendszerek üzemeltetési jellemzői

Elektronikus kereskedelem

Titkosítás NetWare környezetben

Technológia az adatszivárgás ellen

S, mint secure. Nagy Attila Gábor Wildom Kft.

Cloud Security. Homo mensura november Sallai Gyorgy

VL IT i n du s t ri al Kommunikációs vázlat

RFID rendszer felépítése

Bízzunk a felhőben! Spilák Viktor termékmenedzser KÜRTCloud Felhő kockázatok nélkül. viktor.spilak@kurt.hu június 18.

Tudjuk-e védeni dokumentumainkat az e-irodában?

Copyright 2012, Oracle and/or its affiliates. All rights reserved.

Csizmazia-Darab István Sicontact Kft. az ESET magyarországi képviselete

Kriptográfiai alapfogalmak


ÉLET A FELHŐBEN - HATÉKONYSÁGNÖVELÉS CLOUD TECHNOLÓGIÁVAL. Baranyi Fanni Microsoft Online Szolgáltatások Értékesítési Szakértő

IV.4. FELHŐ ALAPÚ BIZTONSÁGOS ADATTÁROLÁSI MÓDSZER ÉS TESZTKÖRNYEZET KIDOLGOZÁSA

Vezeték nélküli hálózatok biztonsága október 8. Cziráky Zoltán ügyvezető igazgató vállalati hálózatok

INFORMATIKA EGYRE NAGYOBB SZEREPE A KÖNYVELÉSBEN

Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz HIBAS Válasz HELYES Válasz HIBAS Válasz HIBAS Kérdés Kép Válasz

Mobil informatika gyakorlat. 1. óra: NFC alapok

ÜDVÖZÖLJÜK A HaXSoN BEMUTATÓN!

Wi-Fi technológia a műtőben

Gyűjtő szinten. Alacsony 6 hónap >4 év Az alkalmazás bevezetéséhez szükséges idő

E-CENTRAL SALES AUTOMATION. Tudj mindent ügyfeleidről!

Hatályba lépés: november 01.

Data Security: Access Control

Workshop Eger, EKF TTK MatInf.

5. Melléklet: Bubi kártya részletes specifikációja

Változások a felhasználók és a bankok életében. Szűcs Judit Project Manager

Nyilvántartási Rendszer

ONLINE RENDELÉSI ÉS FIZETÉSI FELÜLET

TARTALOM PRIMON APP KEZELÔFELÜLET. PRIMON App 6.0 újdonságok. PRIMON App. PRIMON 6.0 és PRIMON App kompatibilis KonicaMinolta eszközök

IT Szolgáltatás Menedzsment az oktatási szektorban - 90 nap alatt költséghatékonyan

Online megrendelés: MM Basic Számítógép vásárlás 24/7 szerver felügyelet Teljesítmény Kh/s

Mi a PayPass? Hogyan működik a PayPass?

Geotechnika II. (NGB-SE005-2) Geo5 használat

Az intézményi hálózathoz való hozzáférés szabályozása

Infokommunikáció a közlekedésben (VITMJV27)

Sérülékenység kezelés. Komli József project manager PTA CERT-Hungary Központ

Mobil Peer-to-peer rendszerek

MYSEC TALK SPECIAL SPAMMING BOTNET KLIENS A BONCASZTALON

Biztonságos mobilalkalmazás-fejlesztés a gyakorlatban. A CryptTalk fejlesztése során alkalmazott módszerek. Dr. Barabás Péter Arenim Technologies

ADATVÉDELMI ÉS ADATKEZELÉSI SZABÁLYZAT

Cisco ISE megoldások. Balatonalmádi, február 27. Détári Gábor, senior rendszermérnök

======!" ==Systems= Hitelesség az üzleti életben Budapest március 30.

Irányító és kommunikációs rendszerek III. Előadás 13

Elektronikus rendszerek a közigazgatásban elektronikus aláírás és archiválás elméletben

Attacks on chip based banking cards

ÜZEMANYAG MEGTAKARÍTÁS ONLINE TANKSAPKA KONTROLL designed by

Rendszermodernizációs lehetőségek a HANA-val Poszeidon. Groma István PhD SDA DMS Zrt.

Wi - Fi hálózatok mérése (?) Tóth Tibor

Elektronikus levelek. Az informatikai biztonság alapjai II.

ÜGYFÉLKAPU AZONOSÍTÁSI SZOLGÁLTATÁS

CMTERMINAL SZÉP KÁRTYA ELFOGADÁS ANDROIDOS TELEFONON: OLCSÓ, RUGALMAS, MEGBÍZHATÓ

A bűnügyi helyszínelés teljesen új megközelítésben

30 MB INFORMATIKAI PROJEKTELLENŐR

Átírás:

AUTOMATED FARE COLLECTION (AFC) RENDSZEREK A biztonságos elektronikus kereskedelem alapjai Házi feladat 2011. november 28., Budapest Szép Balázs (H2DLRK) Ill Gergely (Z3AY4B) Tartalom Bevezetés AFC általános felépítése Jegy médiumok Pay-as-you-go Egy létező AFC megoldás Biztonság 2

Bevezetés Mi azaz AFC? Automatikus Menetdíj-Beszedő Rendszer (Automated Fare Collection (AFC)) Alapvető feladata, hogy a tömegközlekedésben használt papír alapú jegyeket elektronikus jegyekre cserélje Előnyök: Az utasok számára egyszerűsödik a különböző tömegközlekedési eszközök használata A közlekedési szolgáltatás hatékony és kényelmes igénybevételének lehetősége megnöveli az utazási kedvet Lehetőség különféle típusú tarifa opciók bevezetésére 3 Általános rendszer architektúra 4

Jegy médiumok A jegymédium jelképesíti magát a menetjegyet, mely a felhasználót jogosulttá teszi az adott eszköz használtára. Típusok: Mágnes csíkos kártya Contactless smart kártyák Memória kártya Mikroprocesszoros kártya Két interfésszel rendelkező smart kártyák Virtuális jegyek mobil telefon PDA 5 Mágnescsíkos kártya Előnyök: Előállítási költsége alacsony A technológia kiforrott A kártya élettartama megnövekedett műanyag borítás Hátrányok: Alkalmazásának üzemeltetési költsége magas Alacsony megbízhatóság A jegykezelési eljárás lassú Alacsony biztonsági szint 6

Smart kártya Smart kártya típusok: Contact-based Hátrányai: o nagyobb előállítási költség o A kártya és az olvasó között működési zavar környezeti hatások o A jegykezelési eljárás sebesség fennakadások Contactless Előnyei: o Gyors jegykezelés o Nincs mozgó alkatrész az olvasóban üzemeletetési költség alacsony 7 Pay-as-you-go 8

Pay-as-you-go működése 9 Pay-as-you-go architektúra 10

Egy kis történelem 1967 Montréal, Világkiállítás -első mágnesjeggyel működő díjbeszedő rendszer 1970-es évek eleje Mexico város mágnescsíkos jegyek használta a tömegközlekedésben 1974 San Francisco első menetjegyekre alkalmazott elektronikus pénztárca 1982 Hong Kong újrahasznosítható mágnescsíkos menetjegyek 1993 Hong Kong mágneskártya alapú elektronikus pénztárca Napjaink RFID alapon működő intelligens kártyák 11 Guangzhou Line 4 AFC 12

Biztonság Miről lesz szó? Támadó típusok Támadó céljai Támadható rendszerelemek és azok támadásának módjai Biztonsági követelmények különböző esetekben 13 Támadó típusok Átlagos felhasználó kis erőforrás és szakértelem akár több ezer is saját jeggyel rendelkezhetnek és esetenként hozzáférhetnek az AFC berendezésekhez Szakértő kívülálló jóval kevesebben vannak kis mennyiségű erőforrás, de jelentős mértékű tapasztalat esetenként hozzáférhetnek a rendszer berendezéseihez, valamint speciális elemző eszközöket használhatnak csak mérsékelt mennyiségű jegyhez férhetnek hozzá Rosszindulatú bennfentesek kevés erőforrás és széles skálán mozgó szakértelem hatalmas mennyiségű kitöltetlen jegyhez juthatnak és rendszeresen hozzáférhetnek a különböző AFC eszközökhöz Bűnszervezetek hatalmas mennyiségű erőforrás bármilyen szakértelem, jegy és AFC berendezés megvásárlása 14

Támadó céljai Szolgáltatáslopás: a tömegközlekedési szolgáltatást ellenérték nélküli igénybe vétele Nagyszabású hamisítás: jegy médium (kártya) és/vagy szállítási szerződések hamisítása illegális reload szolgáltatás létrehozása a feketepiacon Személyes elégedettség: a rendszer hibásságának bizonyítása Denial of Service: szabotázzsal, vandalizmussal stb. történő károkozás Ügyfelek személyes adatainak gyűjtése: helymeghatározási információk, speciális jellemzők (pl. kedvezmények okai), használati szokások megszerzése 15 Támadható rendszerelemek és azok támadásának módjai Jegymédium fizikai támadás (tampering) közvetlen módosítás, törlés, beszúrás lehetősége, valamint titkos kulcshoz való közvetlen hozzáférés side channel támadás titkos adatok és működési jellemzők megfigyelése Vezeték nélküli kommunikáció lehallgatás, spoofing, ismétlés, és zavarás a vezeték nélküli közegen Háttér rendszer Betörés a háttér rendszerbe "standard" hacker módszerekkel Kriptográfiai protokollok és algoritmusok kriptanalitikus támadások alkalmazása az intelligens kártyák vagy AFC eszközök orákulumként való felhasználásával Nem technikai támadási módszerek social engineering, bűncselekmények 16

Követelmények - Passzív médium és off-line terminál Kártyán tárolt adat illegális létrehozásának és manipulálásának megelőzése: az adatok olvasása és ellenőrzése kriptográfia MAC számítással a kulcs a terminálon tárolva Egy tranzakció alatt egy kártya olvasásának, majd egy másik írásának megelőzése: a terminál nyelje el a kártyát, DE ez a kapcsolatnélküli kártyák esetén nem használható Kártyák klónozásának megelőzése: MAC nem akadályozza meg termináloknak fel kell ismerni a feketelistás készülékeket és ki kell zárnia a rendszerből a központi szerver segítségével 17 Követelmények - Passzív médium és online terminál Egy azonosító (ID) tárolása a kártyán: törekvés a valós idejű rendszer kialakítására anomáliák gyorsabb detektálása feketelisták egyszerűbb kezelése Elég biztonságos, de a gyakorlatban nem használható: a termiálok még akkor is off-line-ok, ha lehetnének on-line-ok a kártyákat az off-line terminálok is lekezelik Egy lehetséges probléma a fenti feltételek mellett: Tfh. egy támadó valakinek az ID-jét használja Felmerül a kérdés, hogy a jogos tulajdonos hogyan képes ezt felismerni és bizonyítani? Ha a tömegközlekedési vállalat nem fogadja el az ügyfél igényét ügyfél frusztrálttá válik a vállalati imázs megsemmisül ügyfél megtagadja a rendszer használatát Ha a vállalat elfogadja az ügyfele igényét megosztott ID-k széles körű alkalmazása 18

Követelmények - Aktív médium jóval nagyobb biztonsággal rendelkeznek, mint a passzív társaik. képesek szabályozni a tárolt adatokhoz való hozzáférést képesek kriptográfiai protokollokat futtatni a terminálok hitelesítéséhez a követelményeik hasonlóak, mint a biztonságos hitelesítő és kulcsmegosztó protokolloknak meg kell előzni a visszajátszásos támadásokat a kártyát ne lehessen orákulumként használni a titok megszerzéséhez tervezés tranzakciók, mint atomi műveletek 19 Követelmények Back-end rendszerek részletes házirenddel (policy) kell rendelkeznie megfelelő módon alkalmazni kell a kialakított biztonsági politikát naplózni kell az eseményeket a naplózás során keletkező fájlok védelme és elemezése 20

Kérdések? KÖSZÖNÖM A FIGYELMET! 21

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés