Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου Security in the E-Commerce Μ. Γραμματικού, B. Μάγκλαρης {mary, maglaris}@netmode.ntua.gr 1-6 - 2017
Περιεχόμενα (I) Εισαγωγή Τεχνολογική Υποδομή ΗΕ/Πλατφόρμες Cloud based In House (using e-commerce platforms like magento ) Είδη Ηλεκτρονικού Εμπορίου (B2B, B2C, B2G, B2E, ) Mobile Commerce (Tablets, Smart Phones) Mobile transactions 42% annual growth (2011-2016) E-Commerce Trends New Web design trends for E-Commerce Marketing Digital content Payments 3D Printing New Business Models M2M collaborations, crowdsourcing
Περιεχόμενα (II) Web Marketing Social Media for E-Commerce Search Engine Optimization (SEO) Πληρωμές στο ΗΕ Είδη Πληρωμών Συστήματα Ηλεκτρονικών Πληρωμών Ασφαλής Πληρωμές στο ΗΕ Είδη Πληρωμών με ασφάλεια (tablets, smart phones, web based solutions) Ασφάλεια στην Πλατφόρμα Ασφάλεια στην Υποδομή Ασφάλεια στην Εφαρμογή Data Analytics in E-Commerce 42% of small businesses which participated in a ShopKeep POS survey, say they are using analytics to make smarter, immediate business decisions
ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ Απόκτηση πληροφοριών για το σύστημα: Port Scanning Fingerprinting Μη εξουσιοδοτημένη πρόσβαση Υποκλοπή κωδικών Λάθος διαμορφώσεις (ανοικτά συστήματα) Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης) Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS) Υποκλοπή και παραποίηση επικοινωνιών Packet sniffing "Man-in-the-Middle" attacks Κακόβουλο λογισμικό (malware) Ιοί, Δούρειοι ίπποι (trojans) Αυτόματα διαδιδόμενοι ιοί (worms)
ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Λύσεις Χρήση κρυπτογραφίας Αντικατάσταση του telnet με SSH (Secure Shell) Κρυπτογραφημένη έκδοση του IMAP για e-mail Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση) Χρήση ψηφιακών πιστοποιητικών (certificates) Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας) Προσοχή στην επιλογή των σημείων σύνδεσης: Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης: Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA-Wi-Fi Protected Access, WEP-Wired Equivalent Privacy) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password Access Lists εξουσιοδοτημένων διευθύνσεων MAC Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ
Κάποια επιπλέον Πρωτόκολλα Ασφαλείας στο Internet SSL(υποστηρίζεται από Netscape & Internet Explorer) : Secure Socket Layer : πάνω από TCP/IP και κάτω από HTTP, χρησιμοποιώντας ιδιωτικό κλειδί για την κρυπτογράφηση των δεδομένων πάνω από SSL connection. Τα URLs ζητούν συνδέσεις SSL που αρχίζουν με https αντί http S/HTTP : Secure/HyperΤext Transfer Protocol, το SSL δημιουργεί κανάλι ασφαλούς επικοινωνίας μεταξύ client server, πάνω από όπου μεταφέρονται τα δεδομένα με ασφάλεια HL7-Health Level Seven (http://www.hl7.org/about/index.cfm?ref=nav) : Πρωτόκολλο στο Internet για τη μεταφορά μηνυμάτων ιατρικού περιεχομένου (χρησιμοποιεί το EDI Πρότυπο για την περιγραφή των μηνυμάτων)
Η Κρυπτογραφία δίνει λύση στα εξής προβλήματα : Ασφαλή επικοινωνία Ταυτοποίηση και πιστοποίηση Κοινοποίηση μυστικής πληροφορίας Ηλεκτρονικό Εμπόριο Ψηφιακά πιστοποιητικά Ασφαλή πρόσβαση σε υπολογιστικά συστήματα
Είδη Κρυπτογραφίας Συμμετρική (Ιδιωτικού κλειδιού) Μη Συμμετρική (Δημόσιου κλειδιού) Περιλήψεις μηνυμάτων (Hash Functions)
Συμμετρική Κρυπτογραφία key Παραλήπτη Αποστολέας Enctrypt Encrypted data Interne t Παραλήπτης Dectryp t Encrypted data key Παραλήπτη
Ασύμμετρη Κρυπτογραφία Αποστολέας Enctrypt Encrypted data Interne t Παραλήπτης Dectryp t Encrypted data Private key Παραλήπτη
Ψηφιακές Υπογραφές (1) Ένα μήνυμα υπογράφεται ως εξής: Ο Αποστολέας περνά το μήνυμα από ένα Hash Function που δίνει αποτέλεσμα μια σειρά χαρακτήρων Α (message digest), που είναι πάντα ίδιου μήκους ασχέτως με το μήκος του μηνύματος. Η σειρά χαρακτήρων Α κρυπτογραφείται με το Ιδιωτικό κλειδί του Αποστολέα σε Α. Το Α (η Ψηφιακή Υπογραφή) στέλνεται μαζί με το μήνυμα (χωρίς το σώμα του μηνύματος να είναι αναγκαστικά κρυπτογραφημένο).
Ψηφιακές Υπογραφές (2) Ο Παραλήπτης παίρνει το μήνυμα μαζί με την Ψηφιακή υπογραφή Α. Περνά το μήνυμα από την ίδια Hash Function με αποτέλεσμα μια σειρά χαρακτήρων Β. Με το Δημόσιο κλειδί του Αποστολέα αποκρυπτογραφεί την Α σε Α. Αν τα Α και Β είναι τα ίδια το μήνυμα δεν έχει αλλοιωθεί.
Ψηφιακή Υπογραφή Enctrypt Dig. sign Αποστολέας Private key Αλγόριθμος Hash Dig. sign Interne t Hash 1 Αλγόριθμος Παραλήπτης Public key Hash 2 Dectryp t Dig. sign
Χρήση Ψηφιακής Υπογραφής 2. Signing Public Key A Private Key A 3. Transmission 4. Decryption Private Key B Public Key B 1 3 Message 4 2 3 Digital Signature
PKI Οι οντότητες του PKI, όπως ορίζονται στο PKIX Working Group της IETF είναι : Αρχή Πιστοποίησης (CA Certification Authority) Αρχή Εγγραφής (RA Registration Authority) Οι πελάτες (Clients) Η αποθήκη πιστοποιητικών και λιστών ανάκλησης πιστοποιητικών (Repository/Certificate Revocation Lists). Παράδειγμα Αρχής Πιστοποίησης : http://www.symantec.com
Υπηρεσίες που προσφέρονται σε ένα σύστημα PKI Καταγραφή δημοσίου κλειδιού (Key Registration): έκδοση νέου πιστοποιητικού για ένα δημόσιο κλειδί. Ακύρωση Πιστοποιητικού (Certificate Revocation): ακύρωση εκδοθέντος πιστοποιητικού. Επιλογή κλειδιού (Key Selection): απόκτηση δημοσίου κλειδιού της άλλης οντότητας (χρήστης ή υπηρεσία). Εκτίμηση εμπιστοσύνης (Trust Evaluation): αποφασίζεται εάν ένα πιστοποιητικό είναι έγκυρο και τι υπηρεσίες επιτρέπει.
Ψηφιακά Πιστοποιητικά Από τι αποτελείται ένα ψηφιακό πιστοποιητικό: Πληροφοριακά στοιχεία για το χρήστη Το δημόσιο κλειδί του χρήστη Το όνομα μιας Αρχής Πιστοποίησης Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης
Αρχές Πιστοποίησης Για την επιλογή της Αρχής Πιστοποίησης ελέγχετε : Το προϊόν, η τιμή, τα χαρακτηριστικά πιστοποιητικού, τα επίπεδα ικανοποίησης πελατών Αυτά μπορεί να διαπιστωθούν και στο: http://www.sslshopper.com/certificateauthority-reviews.html
A CA s infrastructure consists of considerable operational elements, hardware, software, policy frameworks and practice statements, auditing, security infrastructure and personnel Certificates come in many different formats to support not just SSL, but also authenticate people and devices, and add legitimacy to code and documents What goes into running a CA?
A W3 Techs survey from April 2016 Rank Issuer Usage Market share 1 Comodo 8.1% 40.6% 2 Symantec 5.2% 26.0% 3 GoDaddy 2.4% 11.8% 4 GlobalSign 1.9% 9.7% 5 IdenTrust 0.7% 3.5% 6 DigiCert 0.6% 3.0% 7 StartCom 0.4% 2.1% 8 Entrust 0.1% 0.7% 9 Trustwave 0.1% 0.5% 10 Verizon 0.1% 0.5% 11 Secom 0.1% 0.5% 12 Unizeto 0.1% 0.4% 12 Buypass 0.1% 0.1% 13 QuoVadis < 0.1% 0.1% 14 Deutsche Telekom < 0.1% 0.1% 15 Network Solutions < 0.1% 0.1% 16 TWCA < 0.1% 0.1%