310 likes | 467 Views
Az elektronikus kereskedelem biztonsági kérdései és válaszai. Szöllősi Sándor szollosi.sandor@nik.bmf.hu 2014. szeptember 10. Kulcsproblémák az elektronikus kereskedelemben. A támadók lehetséges köre és motivációik. B kereskedő. Vevő. Internet. Internet szolgáltató. 2. 3. 1.
E N D
Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor szollosi.sandor@nik.bmf.hu 2014. szeptember 10.
B kereskedő Vevő Internet Internet szolgáltató 2 3 1 Visszaigazolás 2 2 3 Rendelés 3 A kereskedő Bank 3 2 1 Elektronikus kereskedelem biztonsági folyamata 1 4 5 5 1 2 2 2 2 3 Kérés 3 2 Hitelesítés 5 3 4 1 - SET - Secure Electronic Transaction 2 - SSL - Secure Sockets Layer 3 - Titkosítás 4 - Tanúsítvány 5 - Tűzfal 1 4 5 3
Kockázatok, félelmek hozzáférés szempontjából • A cégek nem tudnak alkalmazkodni a megnövekedett igényekhez • Honlap tönkretétele • Szolgáltatás visszautasítása • Elfogadhatatlan teljesítményű alkalmazások
Kockázatok, félelmek titkosság szempontjából • Tranzakciók felfedése • Kereskedelmi partnerek információnak felfedése • Ügyfelek adatainak felfedése • Illetéktelen hozzáférés az e-mailekhez
Kinek az elsődleges felelőssége az EK biztonsági irányelveinek érvényesítése
A biztonság segíti, vagy gátolja az elektronikus kereskedelmet?
A Biztonság négy alappillére • Titkosság • Hitelesség • Letagadhatatlanság • Sértetlenség Hitelesség Titkosság Letagadhatat- lanság Sértetlenség
Biztonsági célok • Az üzletmenet minden szereplőjének azonosítása és hitelesítése • A forgalom megóvása módosítástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. • A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől. • Az üzletmenet zavartalan biztosítása technikai problémák esetén
Eszközök és megoldások a biztonság érdekében • Architektúra szempontjából • Több rétegű architektúrák (Schmuck Balázs ea.) • 2 rétegű architektúra vs. 3 rétegű architektúra • Infrastruktúra • Tűzfalak • Szoftveres és hardveres tűzfalak • Virtuális Magánhálózatok
Eszközök és megoldások a biztonság érdekében • Hitelesítés • Jelszó • Digitális aláírás • Titkos kulcsú, Nyilvános kulcsú aláírások • Adatvédelem • SSL • Vírusvédelem
Virtuális Magánhálózat (VPN) • Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet).
Virtuális Magánhálózat (VPN) • Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.
Virtuális Magánhálózat (VPN) Priváthálózatok Biztonsági átjárók Normál IP adatforgalom Titkosított adatforgalom
Hitelesítés - Jelszó • A jó jelszó: • 6 és 10 karakter közötti hosszúságú • Tartalmaz egy, vagy több nagy betűt (A…Z) • Tartalmaz egy, vagy több kis betűt(a…z) • Tartalmaz egy, vagy több számjegyet (0-9) • Tartalmaz egy, vagy több speciális karaktert(!, *, &, %, $, #,@) • Egyetlen nyelven sem értelmes! • Például: Up&AtM@7! • GYAKRAN VÁLTOZIK ! ! !
Titkosítási modell Csak lehallgat Megváltoztat Támadó Kódoló eljárás Dekódoló eljárás P P Nyílt szöveg Nyílt szöveg Titkosított üzenet a csatornán Kódoló kulcs Dekódoló kulcs
Kripto… • Kriptográfia • Szövegek titkosítása • Kriptoanalítis • Titkos szövegek feltörése • Kriptológia • Kriptográfia + Kriptoanalítis
Kriptoanalízis 3 területe • A kódfejtő csak titkos szöveggel rendelkezik • Néhány nyílt szöveggel és azok titkos párjával rendelkezik a kódfejtő • Szabadon választott nyílt szöveggel és annak titkosított párjával rendelkezik a kódfejtő
Hitelesítés - Digitális aláírás • Elvárások a digitális aláírásokkal szemben: • A fogadó ellenőrizhesse a feladó valódiságát • A küldő később ne tagadhassa le az üzenet tartalmát • A fogadó saját maga ne rakhassa össze az üzenetet • Két legelterjedtebb megoldás: • Titkos kulcsú aláírás • Nyilvános kulcsú aláírás
Bob Aliz KB (A, t, P, KBB (A, t, P)) Hello Bob! …… Hello Bob! …… Big Brother Hello Bob! …… Titkos kulcsú aláírás • Szükséges egy központi hitelesség szervre, amelyben mindenki megbízik. (Big Brother - BB) A, KA (B, t, P) A – Aliz B – Bob P – Küldendő üzenet KA – Aliz kulcsa KB – Bob kulcsa KBB – Big Brother kulcsa t – időbélyeg
Aliz egyéni Kulcsa DA Bob nyilvános Kulcsa EB Bob titkos Kulcsa DB Aliz nyilvános Kulcsa EA DA(P) DA(P) Aliz számítógépe Bob számítógépe EB(DA(P)) Nyilvános kulcsú aláírás • D(E(P))=P, valamint E(D(P))=P P P
Adatvédelem - SSL • Az SSL (Secure Sockets Layer), titkosított kapcsolati réteg • Ez egy protokoll réteg, amely a hálózati (Network layer) és az alkalmazási rétegek (Application layer) között van. • Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP. • 128 bites titkosítás
Adatvédelem - Vírusvédelem • Vírusok által okozott károk: • Adatvesztés • Adat kiáramlás • Kiesett munkaidő • Szándékos rombolás • Rendelkezésre nem állás
Adatvédelem - Vírusvédelem 1000 PC-re jutó fertőzések aránya /ISCA
Reaktív vírus feldolgozás • A vírus felbukkan valahol a nagyvilágban • Felhasználó beküldi • Víruslabor elemzi • Elkészül az adatbázis frissítés ~ 3 óra
Mi a teendő? • Védettség növelése • Védett gépek arányának növelése • Behatolási pontok védelme • Biztonsági javítások telepítése • Reakció idő csökkentése • Vírusadatbázisok SOS frissítése • Rendszergazdák informálása • Frissítések azonnali szétterítése (cégen belül pull helyett push)
Felhasznált irodalom • ISACA: E-commerce Security - Global Status Report • ISACA: E-commerce Security - Enterprise Best Practices • Andrew S. Tanenbaum: Számítógép hálózatok