1 / 24

Zawartość pracy:

Bezpieczeństwo transmisji zakupu/sprzedaży dokonywanych za pomocą Internetu Realizacja płatności kartą płatniczą Sławomir Bezler Dawid Zych. Zawartość pracy:. Zdefiniowaliśmy problemy jakie występują podczas realizacji transakcji. Opisaliśmy metody rozwiązania tych problemów.

sakura
Download Presentation

Zawartość pracy:

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Bezpieczeństwo transmisji zakupu/sprzedaży dokonywanych za pomocą InternetuRealizacja płatności kartą płatnicząSławomir Bezler Dawid Zych

  2. Zawartość pracy: • Zdefiniowaliśmy problemy jakie występują podczas realizacji transakcji. • Opisaliśmy metody rozwiązania tych problemów. • Wymieniliśmy metody płatności w Internecie. • Wyjaśniliśmy jak przebiega dokonywanie płatności kartą płatniczą. • Przedstawimy wybrane wyniki badań dostępnych w Internecie.

  3. Handel elektroniczny Definicja 1 Handel elektroniczny (ang. electronic commerce) jest to zakup i sprzedaż informacji, towarów i usług za pomocą sieci komputerowych. Definicja 2 Handel elektroniczny jest wymianą w sieci telekomunikacyjnej informacji, służących zrealizowaniu finansowego zobowiązania tj. płatności.

  4. Punkty krytyczne Na zagrożenia bezpieczeństwa transmisji ma wpływ zastosowana technika oraz czynnik ludzki. Punktami krytycznymi są: • komputer klienta • transmisja płatności poprzez sieć internetową • serwery sprzedawcy

  5. Formy ataków Wyróżnia się aktywną i pasywną formę ataków: Ataki pasywne: • podsłuchanie tożsamości • podsłuchanie danych Ataki aktywne: • zmiana informacji • kasowanie informacji • dopisywanie informacji

  6. Ochrona informacji Ochrona danych w systemach informatycznych przed niepożądanym oddziaływaniem środowiska oznacza: • ochronę systemu przed intruzami, • utrzymanie poufności, integralności, dostępności i spójności danych, • zabezpieczenie przed nieupoważnionym lub nieprawidłowym, przypadkowym lub umyślnym ujawnieniem, modyfikacją lub zniszczeniem danych.

  7. Usługi ochrony informacji Przed wspomnianymi zagrożeniami chronią podstawowe usługi ochrony informacji: • kontrola dostępu • identyfikacja • autoryzacja • integralność danych • uwierzytelnienie • niezaprzeczalność • poufność danych • dostępność

  8. Oprogramowanie • Przesyłanie plików poprzez usługę FTP Umożliwia pobranie tylko określonych danych. Nie ma możliwości uruchomienia programu ani oglądania innych danych niż udostępnione • Rozwiązania typu firewall Najczęściej stosowane zabezpieczenie internetowe. Może filtrować ruch w sieci pod kątem adresów IP, blokując wewnętrznym użytkownikom dostęp do Internetu i zewnętrznym dostęp do wewnętrznej sieci korporacyjnej – Intranetu.

  9. Mechanizmy kryptograficzne Usługi ochrony informacji są realizowane poprzez użycie odpowiednich mechanizmów kryptograficznych, z których najważniejsze to: • szyfrowanie • podpis cyfrowy • wymiana uwierzytelniająca • mechanizmy integralności • certyfikaty cyfrowe

  10. Rodzaje algorytmów szyfrujących Rozróżnia się dwa rodzaje algorytmów szyfrujących: • algorytmy symetryczne Uczestnicy komunikacji otrzymują wspólnie ten sam klucz, który służy do szyfrowania i odszyfrowania. • algorytmy asymetryczne Każdy uczestniczący w komunikacji otrzymuje klucz publiczny i każdorazowo własny tajny klucz prywatny, inny klucz służy do szyfrowania a inny do odszyfrowania informacji.

  11. Stosowane algorytmy szyfrujące Symetryczne: • DES (Data Encrytpion Standard) • 3DES • RC2, RC4, RC5, RC6 • IDEA (International Data Encryption Algorithm) Asymetryczne: • RSA (Rivest-Shamir-Adleman) • DSA (Digital Signature Algorithm) • system ElGamala • system Diffiego-Hellmana

  12. Protokoły szyfrujące • SSH (Secure Shell) • SET (Secure Electronic Transaction) • SSL (Secure Socket Layer) • S-HTTP (Secure Hypertext Transer Protocol) • TCP/IP wersja 6 (IPv6)

  13. Płatności w Internecie: • Kartą płatniczą - pozwala na przeprowadzanie transakcji w dowolnym miejscu na świecie bez konieczności wymiany waluty i wysyłania przekazu pieniężnego, • Użycie inteligentnych kart płatniczych - karty te mają wbudowany mikroprocesor do przechowywania danych na temat ilości zgromadzonych na nich pieniędzy, • Elektroniczne polecenie pobrania - EDD (Electronic Direct Debit) – klient udziela jednorazowo pisemnego upoważnienia do pobierania z konta żądanych kwot,

  14. Płatności w Internecie, c.d.: • Płatności bezpośrednie - przed zakupami w Internecie należy wymienić/ zakupić cyberpieniądze, są one wyłącznie informacją cyfrową, działają w oparciu o przesyłanie, w zakodowanej formie cyfrowych „żetonów” będących odpowiednikami kwot pieniężnych, • Internet banking- klient ma możliwość przeglądania historii swojego konta, a także dokonywania transakcji (przelewy, zakładanie rachunków terminowych).

  15. Płatności za towary kupowane w Internecie dzieli się ze względu na wartość pojedynczej transakcji, wyróżniając: • milipłatności (milipaymants) – płatności rzędu kilku, kilkunastu groszy, wykorzystuje się je przy opłatach realizowanych w systemie pay-per-view, np. za przeczytany artykuł, • mikropłatności (micropayments) – płatności od 1 PLN do 80 PLN, najczęściej wykorzystywane są przy regulowaniu opłat za ściągane z Internetu oprogramowanie, • minipłatności (minipayments) – od 80 PLN do 800 PLN, w granicach tych zawiera się znaczna część zakupów przeprowadzanych za pośrednictwem sieci, • makropłatności (macropayments) – powyżej 800 PLN, dotyczą np. zakupu komputerów, sprzętu RTV, czy AGD. Problem zapewnienia odpowiedniego bezpieczeństwa jest tutaj priorytetowy.

  16. Przebieg płatności kartą płatniczą: 1. Klient "podaje" kartę usługodawcy. "Podanie" karty usługodawcy, czyli przekazanie poprzez sieć telekomunikacyjną numeru karty i daty ważności, może nastąpić na trzy sposoby: • poprzez zwykły kanał internetowy (poczta elektroniczna, metoda POST w HTTP), • poprzez zaszyfrowany kanał ‑ zrealizowana zatem jest usługa poufności, • poprzez telefon. 2. Usługodawca inicjuje wystawienia rachunku, a następnie kontaktuje się ze swoim bankiem prosząc o autoryzację transakcji. 3. Poprzez sieć międzybankową bank usługodawcy przesyła prośbę o autoryzację do banku klienta. 4. Bank klienta wysyła do banku usługodawcy poprzez siec międzybankową informację dot. autoryzacji.

  17. Przebieg płatności kartą płatniczą c.d.: 5. Bank usługodawcy przekazuje usługodawcy informacje o statusie autoryzacji. 6. W przypadku braku autoryzacji transakcja nie może zostać zrealizowana. W przeciwnym przypadku usługodawca może zakończyć wystawianie rachunku, wysyłając jednocześnie do swojego banku potwierdzenie zakończenia transakcji. 7. Po pewnym czasie bank usługodawcy rozlicza się z bankiem klienta. Także banki rozliczają się ze swoimi klientami. Dane są przesyłane za pośrednictwem instytucji obsługującej kartę płatniczą do banku, który wystawił kartę.

  18. Istotne cechy karty płatniczej: • nazwa organizacji wydającej kartę (np. Visa), • numer karty (zasadniczo 13-16 cyfr), • data ważności (zasadniczo w formacie MM/YY). W niektórych (dość rzadkich) sytuacjach wymagane jest podanie czwartej cechy: • imienia i nazwiska (albo nazwy w przypadku firmy) wypisanego (wypisanej) na karcie. Aby zweryfikować poprawność posiadanego numeru karty płatniczej należy rozpatrzyć dwie cechy: • cechę wspólna dla współczesnego systemu kart płatniczych, • cechę indywidualną dla organizacji wydającej określoną kartę.

  19. Cecha wspólna: Cechę wspólną - algorytm sprawdzania numerów kart płatniczych - określa norma [ISO 2894]. Dla łatwiejszego zrozumienia przedstawimy algorytm na przykładzie numeru 4251 1000 1000 0830. 1. Wszystkim cyfrom przyporządkujemy na przemian liczbę 1 albo 2 zgodnie z zasada głoszącą, że ostatnia cyfra otrzymuje 1. 4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 0 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2. Traktując każdą cyfrę numeru karty płatniczej jako liczbę, mnożymy ją przez przyporządkowaną liczbę. 4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 0 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 ---------------------------------------------------------- 8 2 10 1 2 0 0 0 2 0 0 0 0 8 6 0

  20. Cecha wspólna c.d.: 3. Jeśli otrzymany iloczyn wynosi 10 albo jest większy - wyznaczamy resztę z dzielenia przez 10 i dodajemy 1. 4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 0 2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1 ---------------------------------------------------------- 8 2 10 1 2 0 0 0 2 0 0 0 0 8 6 0 8 2 1 1 2 0 0 0 2 0 0 0 0 8 6 0 4. Tak otrzymane wyniki dodajemy i sprawdzamy czy są podzielne przez 10 - jeśli tak ‑ numer jest prawidłowy. (8+2 +1 +1 +2 +0 +0 +0 +2 +0 +0 +0 +0 +8 +6 +0)mod10 =30 mod10=0 numer jest prawidłowy

  21. Cecha indywidualna Cechę indywidualną - uporządkowanie zasad wydawania kart przez wystawców, doprowadziło do ustalenia standardów oznaczeń kart poszczególnych systemów. I tak: • numer karty Diners Club zawsze rozpoczyna się od cyfry 3 i posiada logo charakterystyczne dla systemu • numer karty Eurocard, MasterCard, Access zawsze rozpoczyna się od cyfry 5 i posiada charakterystyczne dla systemu logo i hologram • karta JCB to numer początkowy od liczby 35 oraz stałe logo i hologram • karta Visa cyfra 4, logo i hologram • karta POLCARD cyfra 59 lub 6 logo i hologram • karta PBK Styl liczba 5892 41 lub 6016 20 i logo (w tym wypadku logo PBK SA)

  22. Formy płatności najchętniej wybierane w Polsce: Luty 2000 Sierpień 2000[1] • Zaliczenie pocztowe 52,5% 60,0% • Przelew bankowy 23,8% 18,0% • Karta kredytowa 16,3% 14,1% • Nie wiem 7,5% 7,3% Inne wyniki prezentuje i-Metria na podstawie losowo wybranych 200 sklepów w Styczniu 2001[2] • Zaliczenie pocztowe 82,6% • Płatne dostawcy/kurierowi 72,0% • Inne 32,6% • Karta kredytowa 19,7% [1] Dane: ARC Rynek i Opinia, Ľródło: Internet Standard, Styczeń 2001 [2] Dane: i-Metria, Styczeń 2001, Raport eHandel B2C w Polsce

  23. Spółka eCard świadcząca usługi autoryzacji on-line płatności kartami przez internet, podaje: • W okresie od 1 stycznia do 31 marca 2004 r. eCard zautoryzował 100 792 transakcje o łącznej wartości 35,2 mln zł. Oznacza, to wzrost obrotów o 381% w stosunku do I kwartału ubiegłego roku i 257% wzrost liczby transakcji. Średnia wartość transakcji w pierwszych trzech miesiącach tego roku wyniosła 348,95 zł i jest o 48% wyższa niż średnia wartość transakcji z I kwartału 2003 r. • Przy założeniu że kartą płaci średnio niemal 25% klientów sklepów internetowych, to można szacować, że wartość całej sprzedaży B2C w internecie wynosi około 1 mld zł. Wyliczenia te nie uwzględniają obrotów generowanych przez serwisy aukcyjne.

  24. "Bezpieczeństwo w Internecie. Polska 2004 r” – wybrane wyniki raportu. Raport opracowany został przez Georga Grohsa, konsultanta ds. informatyki z firmy Inceon na zlecenie Symantec Polska. • polscy użytkownicy Internetu są rekordzistami w Europie pod względem liczby prób nieautoryzowanego uzyskania dostępu do ich komputerów, • rekordzista został zaatakowany ponad 400 razy - to ponad dwukrotnie więcej, niż wynosi europejska średnia, • raport wykazał, że polskich użytkowników Internetu najczęściej atakują konie trojańskie - w czasie trwania badania odnotowano ponad 15 tys. prób ataków, przeprowadzonych przez 57 różnych koni trojańskich, zaatakowanych zostało 430 użytkowników - oznacza to, że prawdopodobieństwo takiego ataku wynosi 40%, • autorzy raportu szacują, iż ryzyko, że komputer polskiego internauty zostanie zaatakowany wynosi ok. 75%.

More Related