Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου

Security in the E-Commerce

Μ. Γραμματικού, B. Μάγκλαρης

{mary, maglaris}@netmode.ntua.gr

Περιεχόμενα (I)

• Εισαγωγή

• Τεχνολογική Υποδομή ΗΕ/Πλατφόρμες • Cloud based • In House (using e-commerce platforms like magento …)

• Είδη Ηλεκτρονικού Εμπορίου (B2B, B2C, B2G, B2E, …)

• Mobile Commerce (Tablets, Smart Phones) • Mobile transactions 42% annual growth (2011-2016)

• E-Commerce Trends • New Web design trends for E-Commerce • Marketing • Digital content • Payments • 3D Printing • New Business Models • M2M collaborations, crowdsourcing

Περιεχόμενα (II)

• Web Marketing • Social Media for E-Commerce • Search Engine Optimization (SEO)

• Πληρωμές στο ΗΕ • Είδη Πληρωμών • Συστήματα Ηλεκτρονικών Πληρωμών

• Ασφαλής Πληρωμές στο ΗΕ • Είδη Πληρωμών με ασφάλεια (tablets, smart phones, web based

solutions) • Ασφάλεια στην Πλατφόρμα • Ασφάλεια στην Υποδομή • Ασφάλεια στην Εφαρμογή

• Data Analytics in E-Commerce • 42% of small businesses which participated in a ShopKeep POS

survey, say they are using analytics to make smarter, immediate business decisions

ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ

• Απόκτηση πληροφοριών για το σύστημα:

• Port Scanning

• Fingerprinting

• Μη εξουσιοδοτημένη πρόσβαση

• Υποκλοπή κωδικών

• Λάθος διαμορφώσεις (ανοικτά συστήματα)

• Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης)

• Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS)

• Υποκλοπή και παραποίηση επικοινωνιών

• Packet sniffing

• "Man-in-the-Middle" attacks

• Κακόβουλο λογισμικό (malware)

• Ιοί, Δούρειοι ίπποι (trojans)

• Αυτόματα διαδιδόμενοι ιοί (worms)

ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Λύσεις

• Χρήση κρυπτογραφίας

• Αντικατάσταση του telnet με SSH (Secure Shell)

• Κρυπτογραφημένη έκδοση του IMAP για e-mail

• Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση)

• Χρήση ψηφιακών πιστοποιητικών (certificates)

• Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας)

• Προσοχή στην επιλογή των σημείων σύνδεσης:

• Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης

• Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης:

• Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA-Wi-Fi Protected Access, WEP-Wired Equivalent Privacy) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password

• Access Lists εξουσιοδοτημένων διευθύνσεων MAC

• Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ

Κάποια επιπλέον Πρωτόκολλα Ασφαλείας στο Internet

• SSL(υποστηρίζεται από Netscape & Internet Explorer) : Secure Socket Layer : πάνω από TCP/IP και κάτω από HTTP, χρησιμοποιώντας ιδιωτικό κλειδί για την κρυπτογράφηση των δεδομένων πάνω από SSL connection. Τα URLs ζητούν συνδέσεις SSL που αρχίζουν με https αντί http

• S/HTTP : Secure/HyperΤext Transfer Protocol, το SSL δημιουργεί κανάλι ασφαλούς επικοινωνίας μεταξύ client – server, πάνω από όπου μεταφέρονται τα δεδομένα με ασφάλεια

• HL7-Health Level Seven (http://www.hl7.org/about/index.cfm?ref=nav) : Πρωτόκολλο στο Internet για τη μεταφορά μηνυμάτων ιατρικού περιεχομένου (χρησιμοποιεί το EDI Πρότυπο για την περιγραφή των μηνυμάτων)

Η Κρυπτογραφία δίνει λύση στα εξής προβλήματα :

• Ασφαλή επικοινωνία

• Ταυτοποίηση και πιστοποίηση

• Κοινοποίηση μυστικής πληροφορίας

• Ηλεκτρονικό Εμπόριο

• Ψηφιακά πιστοποιητικά

• Ασφαλή πρόσβαση σε υπολογιστικά συστήματα

Είδη Κρυπτογραφίας

• Συμμετρική (Ιδιωτικού κλειδιού)

• Μη Συμμετρική (Δημόσιου κλειδιού)

• Περιλήψεις μηνυμάτων (Hash Functions)

Συμμετρική Κρυπτογραφία

Enctrypt

Dectryp

t

Encrypted data

Αποστολέας

Παραλήπτης

Interne

t

Encrypted data

key Παραλήπτη

key Παραλήπτη

Ασύμμετρη Κρυπτογραφία

Enctrypt

Dectryp

t

Encrypted data

Αποστολέας

Παραλήπτης

Encrypted data

Interne

t

Private key Παραλήπτη

Ψηφιακές Υπογραφές (1)

Ένα μήνυμα υπογράφεται ως εξής:

• Ο Αποστολέας περνά το μήνυμα από ένα Hash Function που δίνει αποτέλεσμα μια σειρά χαρακτήρων Α (message digest), που είναι πάντα ίδιου μήκους ασχέτως με το μήκος του μηνύματος.

• Η σειρά χαρακτήρων Α κρυπτογραφείται με το Ιδιωτικό κλειδί του Αποστολέα σε Α’.

• Το Α’ (η Ψηφιακή Υπογραφή) στέλνεται μαζί με το μήνυμα (χωρίς το σώμα του μηνύματος να είναι αναγκαστικά κρυπτογραφημένο).

Ψηφιακές Υπογραφές (2)

• Ο Παραλήπτης παίρνει το μήνυμα μαζί με την Ψηφιακή υπογραφή Α’.

• Περνά το μήνυμα από την ίδια Hash Function με αποτέλεσμα μια σειρά χαρακτήρων Β.

• Με το Δημόσιο κλειδί του Αποστολέα αποκρυπτογραφεί την Α’ σε Α.

• Αν τα Α και Β είναι τα ίδια το μήνυμα δεν έχει αλλοιωθεί.

Ψηφιακή Υπογραφή

Enctrypt

Dectryp

t

Αποστολέας

Αλγόριθμος

Private key

Hash

Dig.

sign

Dig.

sign

Interne

t

Dig.

sign

Hash 1

Public key

Αλγόριθμος

Hash 2

Παραλήπτης

Χρήση Ψηφιακής Υπογραφής

Public

Key A

Private

Key A

Public

Key B Private

Key B

1

2

Digital

Signature

3

3

Message 4

2. Signing

3. Transmission

4. Decryption

PKI

• Οι οντότητες του PKI, όπως ορίζονται στο PKIX Working Group της IETF είναι :

• Αρχή Πιστοποίησης (CA – Certification Authority)

• Αρχή Εγγραφής (RA – Registration Authority)

• Οι πελάτες (Clients)

• Η αποθήκη πιστοποιητικών και λιστών ανάκλησης πιστοποιητικών (Repository/Certificate Revocation Lists).

• Παράδειγμα Αρχής Πιστοποίησης : http://www.symantec.com

Υπηρεσίες που προσφέρονται σε ένα σύστημα PKI

• Καταγραφή δημοσίου κλειδιού (Key Registration): έκδοση νέου πιστοποιητικού για ένα δημόσιο κλειδί.

• Ακύρωση Πιστοποιητικού (Certificate Revocation): ακύρωση εκδοθέντος πιστοποιητικού.

• Επιλογή κλειδιού (Key Selection): απόκτηση δημοσίου κλειδιού της άλλης οντότητας (χρήστης ή υπηρεσία).

• Εκτίμηση εμπιστοσύνης (Trust Evaluation): αποφασίζεται εάν ένα πιστοποιητικό είναι έγκυρο και τι υπηρεσίες επιτρέπει.

Ψηφιακά Πιστοποιητικά

Από τι αποτελείται ένα ψηφιακό πιστοποιητικό:

• Πληροφοριακά στοιχεία για το χρήστη

• Το δημόσιο κλειδί του χρήστη

• Το όνομα μιας Αρχής Πιστοποίησης

• Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης

Αρχές Πιστοποίησης

• Για την επιλογή της Αρχής Πιστοποίησης ελέγχετε :

• Το προϊόν, η τιμή, τα χαρακτηριστικά πιστοποιητικού, τα επίπεδα ικανοποίησης πελατών

• Αυτά μπορεί να διαπιστωθούν και στο: http://www.sslshopper.com/certificate-authority-reviews.html

What goes into running a CA?

A CA’s infrastructure consists of considerable operational elements, hardware, software, policy frameworks and practice statements, auditing, security infrastructure and personnel Certificates come in many different formats to support not just SSL, but also authenticate people and devices, and add legitimacy to code and documents

A W3 Techs survey from April 2016

Rank Issuer Usage Market share

1 Comodo 8.1% 40.6%

2 Symantec 5.2% 26.0%

3 GoDaddy 2.4% 11.8%

4 GlobalSign 1.9% 9.7%

5 IdenTrust 0.7% 3.5%

6 DigiCert 0.6% 3.0%

7 StartCom 0.4% 2.1%

8 Entrust 0.1% 0.7%

9 Trustwave 0.1% 0.5%

10 Verizon 0.1% 0.5%

11 Secom 0.1% 0.5%

12 Unizeto 0.1% 0.4%

12 Buypass 0.1% 0.1%

13 QuoVadis < 0.1% 0.1%

14 Deutsche Telekom < 0.1% 0.1%

15 Network Solutions < 0.1% 0.1%

16 TWCA < 0.1% 0.1%