Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 ·...
TRANSCRIPT
Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου
Security in the E-Commerce
Μ. Γραμματικού, B. Μάγκλαρης
{mary, maglaris}@netmode.ntua.gr
Περιεχόμενα (I)
• Εισαγωγή
• Τεχνολογική Υποδομή ΗΕ/Πλατφόρμες • Cloud based • In House (using e-commerce platforms like magento …)
• Είδη Ηλεκτρονικού Εμπορίου (B2B, B2C, B2G, B2E, …)
• Mobile Commerce (Tablets, Smart Phones) • Mobile transactions 42% annual growth (2011-2016)
• E-Commerce Trends • New Web design trends for E-Commerce • Marketing • Digital content • Payments • 3D Printing • New Business Models • M2M collaborations, crowdsourcing
Περιεχόμενα (II)
• Web Marketing • Social Media for E-Commerce • Search Engine Optimization (SEO)
• Πληρωμές στο ΗΕ • Είδη Πληρωμών • Συστήματα Ηλεκτρονικών Πληρωμών
• Ασφαλής Πληρωμές στο ΗΕ • Είδη Πληρωμών με ασφάλεια (tablets, smart phones, web based
solutions) • Ασφάλεια στην Πλατφόρμα • Ασφάλεια στην Υποδομή • Ασφάλεια στην Εφαρμογή
• Data Analytics in E-Commerce • 42% of small businesses which participated in a ShopKeep POS
survey, say they are using analytics to make smarter, immediate business decisions
ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ
• Απόκτηση πληροφοριών για το σύστημα:
• Port Scanning
• Fingerprinting
• Μη εξουσιοδοτημένη πρόσβαση
• Υποκλοπή κωδικών
• Λάθος διαμορφώσεις (ανοικτά συστήματα)
• Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης)
• Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS)
• Υποκλοπή και παραποίηση επικοινωνιών
• Packet sniffing
• "Man-in-the-Middle" attacks
• Κακόβουλο λογισμικό (malware)
• Ιοί, Δούρειοι ίπποι (trojans)
• Αυτόματα διαδιδόμενοι ιοί (worms)
ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Λύσεις
• Χρήση κρυπτογραφίας
• Αντικατάσταση του telnet με SSH (Secure Shell)
• Κρυπτογραφημένη έκδοση του IMAP για e-mail
• Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση)
• Χρήση ψηφιακών πιστοποιητικών (certificates)
• Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας)
• Προσοχή στην επιλογή των σημείων σύνδεσης:
• Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης
• Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης:
• Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA-Wi-Fi Protected Access, WEP-Wired Equivalent Privacy) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password
• Access Lists εξουσιοδοτημένων διευθύνσεων MAC
• Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ
Κάποια επιπλέον Πρωτόκολλα Ασφαλείας στο Internet
• SSL(υποστηρίζεται από Netscape & Internet Explorer) : Secure Socket Layer : πάνω από TCP/IP και κάτω από HTTP, χρησιμοποιώντας ιδιωτικό κλειδί για την κρυπτογράφηση των δεδομένων πάνω από SSL connection. Τα URLs ζητούν συνδέσεις SSL που αρχίζουν με https αντί http
• S/HTTP : Secure/HyperΤext Transfer Protocol, το SSL δημιουργεί κανάλι ασφαλούς επικοινωνίας μεταξύ client – server, πάνω από όπου μεταφέρονται τα δεδομένα με ασφάλεια
• HL7-Health Level Seven (http://www.hl7.org/about/index.cfm?ref=nav) : Πρωτόκολλο στο Internet για τη μεταφορά μηνυμάτων ιατρικού περιεχομένου (χρησιμοποιεί το EDI Πρότυπο για την περιγραφή των μηνυμάτων)
Η Κρυπτογραφία δίνει λύση στα εξής προβλήματα :
• Ασφαλή επικοινωνία
• Ταυτοποίηση και πιστοποίηση
• Κοινοποίηση μυστικής πληροφορίας
• Ηλεκτρονικό Εμπόριο
• Ψηφιακά πιστοποιητικά
• Ασφαλή πρόσβαση σε υπολογιστικά συστήματα
Είδη Κρυπτογραφίας
• Συμμετρική (Ιδιωτικού κλειδιού)
• Μη Συμμετρική (Δημόσιου κλειδιού)
• Περιλήψεις μηνυμάτων (Hash Functions)
Συμμετρική Κρυπτογραφία
Enctrypt
Dectryp
t
Encrypted data
Αποστολέας
Παραλήπτης
Interne
t
Encrypted data
key Παραλήπτη
key Παραλήπτη
Ασύμμετρη Κρυπτογραφία
Enctrypt
Dectryp
t
Encrypted data
Αποστολέας
Παραλήπτης
Encrypted data
Interne
t
Private key Παραλήπτη
Ψηφιακές Υπογραφές (1)
Ένα μήνυμα υπογράφεται ως εξής:
• Ο Αποστολέας περνά το μήνυμα από ένα Hash Function που δίνει αποτέλεσμα μια σειρά χαρακτήρων Α (message digest), που είναι πάντα ίδιου μήκους ασχέτως με το μήκος του μηνύματος.
• Η σειρά χαρακτήρων Α κρυπτογραφείται με το Ιδιωτικό κλειδί του Αποστολέα σε Α’.
• Το Α’ (η Ψηφιακή Υπογραφή) στέλνεται μαζί με το μήνυμα (χωρίς το σώμα του μηνύματος να είναι αναγκαστικά κρυπτογραφημένο).
Ψηφιακές Υπογραφές (2)
• Ο Παραλήπτης παίρνει το μήνυμα μαζί με την Ψηφιακή υπογραφή Α’.
• Περνά το μήνυμα από την ίδια Hash Function με αποτέλεσμα μια σειρά χαρακτήρων Β.
• Με το Δημόσιο κλειδί του Αποστολέα αποκρυπτογραφεί την Α’ σε Α.
• Αν τα Α και Β είναι τα ίδια το μήνυμα δεν έχει αλλοιωθεί.
Ψηφιακή Υπογραφή
Enctrypt
Dectryp
t
Αποστολέας
Αλγόριθμος
Private key
Hash
Dig.
sign
Dig.
sign
Interne
t
Dig.
sign
Hash 1
Public key
Αλγόριθμος
Hash 2
Παραλήπτης
Χρήση Ψηφιακής Υπογραφής
Public
Key A
Private
Key A
Public
Key B Private
Key B
1
2
Digital
Signature
3
3
Message 4
2. Signing
3. Transmission
4. Decryption
PKI
• Οι οντότητες του PKI, όπως ορίζονται στο PKIX Working Group της IETF είναι :
• Αρχή Πιστοποίησης (CA – Certification Authority)
• Αρχή Εγγραφής (RA – Registration Authority)
• Οι πελάτες (Clients)
• Η αποθήκη πιστοποιητικών και λιστών ανάκλησης πιστοποιητικών (Repository/Certificate Revocation Lists).
• Παράδειγμα Αρχής Πιστοποίησης : http://www.symantec.com
Υπηρεσίες που προσφέρονται σε ένα σύστημα PKI
• Καταγραφή δημοσίου κλειδιού (Key Registration): έκδοση νέου πιστοποιητικού για ένα δημόσιο κλειδί.
• Ακύρωση Πιστοποιητικού (Certificate Revocation): ακύρωση εκδοθέντος πιστοποιητικού.
• Επιλογή κλειδιού (Key Selection): απόκτηση δημοσίου κλειδιού της άλλης οντότητας (χρήστης ή υπηρεσία).
• Εκτίμηση εμπιστοσύνης (Trust Evaluation): αποφασίζεται εάν ένα πιστοποιητικό είναι έγκυρο και τι υπηρεσίες επιτρέπει.
Ψηφιακά Πιστοποιητικά
Από τι αποτελείται ένα ψηφιακό πιστοποιητικό:
• Πληροφοριακά στοιχεία για το χρήστη
• Το δημόσιο κλειδί του χρήστη
• Το όνομα μιας Αρχής Πιστοποίησης
• Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης
Αρχές Πιστοποίησης
• Για την επιλογή της Αρχής Πιστοποίησης ελέγχετε :
• Το προϊόν, η τιμή, τα χαρακτηριστικά πιστοποιητικού, τα επίπεδα ικανοποίησης πελατών
• Αυτά μπορεί να διαπιστωθούν και στο: http://www.sslshopper.com/certificate-authority-reviews.html
What goes into running a CA?
A CA’s infrastructure consists of considerable operational elements, hardware, software, policy frameworks and practice statements, auditing, security infrastructure and personnel Certificates come in many different formats to support not just SSL, but also authenticate people and devices, and add legitimacy to code and documents
A W3 Techs survey from April 2016
Rank Issuer Usage Market share
1 Comodo 8.1% 40.6%
2 Symantec 5.2% 26.0%
3 GoDaddy 2.4% 11.8%
4 GlobalSign 1.9% 9.7%
5 IdenTrust 0.7% 3.5%
6 DigiCert 0.6% 3.0%
7 StartCom 0.4% 2.1%
8 Entrust 0.1% 0.7%
9 Trustwave 0.1% 0.5%
10 Verizon 0.1% 0.5%
11 Secom 0.1% 0.5%
12 Unizeto 0.1% 0.4%
12 Buypass 0.1% 0.1%
13 QuoVadis < 0.1% 0.1%
14 Deutsche Telekom < 0.1% 0.1%
15 Network Solutions < 0.1% 0.1%
16 TWCA < 0.1% 0.1%