1 / 31

Az elektronikus kereskedelem biztonsági kérdései és válaszai

Az elektronikus kereskedelem biztonsági kérdései és válaszai. Szöllősi Sándor szollosi.sandor@nik.bmf.hu 2014. szeptember 10. Kulcsproblémák az elektronikus kereskedelemben. A támadók lehetséges köre és motivációik. B kereskedő. Vevő. Internet. Internet szolgáltató. 2. 3. 1.

sovann
Download Presentation

Az elektronikus kereskedelem biztonsági kérdései és válaszai

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor szollosi.sandor@nik.bmf.hu 2014. szeptember 10.

  2. Kulcsproblémák az elektronikus kereskedelemben

  3. A támadók lehetséges köre és motivációik

  4. B kereskedő Vevő Internet Internet szolgáltató 2 3 1 Visszaigazolás 2 2 3 Rendelés 3 A kereskedő Bank 3 2 1 Elektronikus kereskedelem biztonsági folyamata 1 4 5 5 1 2 2 2 2 3 Kérés 3 2 Hitelesítés 5 3 4 1 - SET - Secure Electronic Transaction 2 - SSL - Secure Sockets Layer 3 - Titkosítás 4 - Tanúsítvány 5 - Tűzfal 1 4 5 3

  5. Kockázatok, félelmek hozzáférés szempontjából • A cégek nem tudnak alkalmazkodni a megnövekedett igényekhez • Honlap tönkretétele • Szolgáltatás visszautasítása • Elfogadhatatlan teljesítményű alkalmazások

  6. Kockázatok, félelmek titkosság szempontjából • Tranzakciók felfedése • Kereskedelmi partnerek információnak felfedése • Ügyfelek adatainak felfedése • Illetéktelen hozzáférés az e-mailekhez

  7. Felelősség az E-kereskedelem biztonságáért

  8. Kinek az elsődleges felelőssége az EK biztonsági irányelveinek érvényesítése

  9. A biztonság segíti, vagy gátolja az elektronikus kereskedelmet?

  10. A Biztonság négy alappillére • Titkosság • Hitelesség • Letagadhatatlanság • Sértetlenség Hitelesség Titkosság Letagadhatat- lanság Sértetlenség

  11. Biztonsági célok • Az üzletmenet minden szereplőjének azonosítása és hitelesítése • A forgalom megóvása módosítástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. • A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől. • Az üzletmenet zavartalan biztosítása technikai problémák esetén

  12. Eszközök és megoldások a biztonság érdekében • Architektúra szempontjából • Több rétegű architektúrák (Schmuck Balázs ea.) • 2 rétegű architektúra vs. 3 rétegű architektúra • Infrastruktúra • Tűzfalak • Szoftveres és hardveres tűzfalak • Virtuális Magánhálózatok

  13. Eszközök és megoldások a biztonság érdekében • Hitelesítés • Jelszó • Digitális aláírás • Titkos kulcsú, Nyilvános kulcsú aláírások • Adatvédelem • SSL • Vírusvédelem

  14. Virtuális Magánhálózat (VPN) • Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet).

  15. Virtuális Magánhálózat (VPN) • Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.

  16. Virtuális Magánhálózat (VPN) Priváthálózatok Biztonsági átjárók Normál IP adatforgalom Titkosított adatforgalom

  17. Hitelesítés - Jelszó • A jó jelszó: • 6 és 10 karakter közötti hosszúságú • Tartalmaz egy, vagy több nagy betűt (A…Z) • Tartalmaz egy, vagy több kis betűt(a…z) • Tartalmaz egy, vagy több számjegyet (0-9) • Tartalmaz egy, vagy több speciális karaktert(!, *, &, %, $, #,@) • Egyetlen nyelven sem értelmes! • Például: Up&AtM@7! • GYAKRAN VÁLTOZIK ! ! !

  18. Titkosítási modell Csak lehallgat Megváltoztat Támadó Kódoló eljárás Dekódoló eljárás P P Nyílt szöveg Nyílt szöveg Titkosított üzenet a csatornán Kódoló kulcs Dekódoló kulcs

  19. Kripto… • Kriptográfia • Szövegek titkosítása • Kriptoanalítis • Titkos szövegek feltörése • Kriptológia • Kriptográfia + Kriptoanalítis

  20. Kriptoanalízis 3 területe • A kódfejtő csak titkos szöveggel rendelkezik • Néhány nyílt szöveggel és azok titkos párjával rendelkezik a kódfejtő • Szabadon választott nyílt szöveggel és annak titkosított párjával rendelkezik a kódfejtő

  21. Hitelesítés - Digitális aláírás • Elvárások a digitális aláírásokkal szemben: • A fogadó ellenőrizhesse a feladó valódiságát • A küldő később ne tagadhassa le az üzenet tartalmát • A fogadó saját maga ne rakhassa össze az üzenetet • Két legelterjedtebb megoldás: • Titkos kulcsú aláírás • Nyilvános kulcsú aláírás

  22. Bob Aliz KB (A, t, P, KBB (A, t, P)) Hello Bob! …… Hello Bob! …… Big Brother Hello Bob! …… Titkos kulcsú aláírás • Szükséges egy központi hitelesség szervre, amelyben mindenki megbízik. (Big Brother - BB) A, KA (B, t, P) A – Aliz B – Bob P – Küldendő üzenet KA – Aliz kulcsa KB – Bob kulcsa KBB – Big Brother kulcsa t – időbélyeg

  23. Aliz egyéni Kulcsa DA Bob nyilvános Kulcsa EB Bob titkos Kulcsa DB Aliz nyilvános Kulcsa EA DA(P) DA(P) Aliz számítógépe Bob számítógépe EB(DA(P)) Nyilvános kulcsú aláírás • D(E(P))=P, valamint E(D(P))=P P P

  24. Adatvédelem - SSL • Az SSL (Secure Sockets Layer), titkosított kapcsolati réteg • Ez egy protokoll réteg, amely a hálózati (Network layer) és az alkalmazási rétegek (Application layer) között van. • Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP. • 128 bites titkosítás

  25. Adatvédelem - Vírusvédelem • Vírusok által okozott károk: • Adatvesztés • Adat kiáramlás • Kiesett munkaidő • Szándékos rombolás • Rendelkezésre nem állás

  26. Adatvédelem - Vírusvédelem 1000 PC-re jutó fertőzések aránya /ISCA

  27. Reaktív vírus feldolgozás • A vírus felbukkan valahol a nagyvilágban • Felhasználó beküldi • Víruslabor elemzi • Elkészül az adatbázis frissítés ~ 3 óra

  28. Mi a teendő? • Védettség növelése • Védett gépek arányának növelése • Behatolási pontok védelme • Biztonsági javítások telepítése • Reakció idő csökkentése • Vírusadatbázisok SOS frissítése • Rendszergazdák informálása • Frissítések azonnali szétterítése (cégen belül pull helyett push)

  29. Jövő . . .

  30. Köszönöm a figyelmet!

  31. Felhasznált irodalom • ISACA: E-commerce Security - Global Status Report • ISACA: E-commerce Security - Enterprise Best Practices • Andrew S. Tanenbaum: Számítógép hálózatok

More Related