Az elektronikus kereskedelem biztonsági kérdései és válaszai
description
Transcript of Az elektronikus kereskedelem biztonsági kérdései és válaszai
Az elektronikus Az elektronikus kereskedelem kereskedelem
biztonsági kérdései biztonsági kérdései és válaszaiés válaszai
Szöllősi SándorSzöllősi Sá[email protected]@nik.bmf.hu
2023. ápr. 24.2023. ápr. 24.
2
Kulcsproblémák az Kulcsproblémák az elektronikus elektronikus
kereskedelembenkereskedelemben
0 10 20 30 40 50 60
BIZTONSÁG
Ügyfél tudatosság
Szabályozás
Kockázatkezelés
Költségtervezés
Bizalom
Skálázhatóság
Elfogadhatóság
Ügyfélszolgálat
Változáskezelés
Nincs probléma
3
A támadók lehetséges köre A támadók lehetséges köre és motivációikés motivációik
Diák Örömét leli mások elektronikus levelének elolvasásában
Hacker Különböző biztonsági rendszereket tesz próbára és adatokat tulajdonít el
Üzletember A konkurencia üzleti stratégiáját akarja megszerezni
Elbocsátott dolgozó Bosszút akar állni
Könyvelő A vállalat pénzét sikkasztja elTőzsdei bróker
Egy vevőnek e-mailben tett ígéretét szeretné letagadni
Szélhámos Bankkártya adatokat szerez meg és azokat eladja, vagy felhasználja
4
Elektronikus Elektronikus kereskedelem kereskedelem
biztonsági folyamatabiztonsági folyamataVevő
Bank
Internet
1 - SET - Secure Electronic Transaction2 - SSL - Secure Sockets LayerSecure Sockets Layer3 - Titkosítás4 - Tanúsítvány5 - Tűzfal
52
5
3
23
5
Internetszolgáltató
2KérésHitelesítés3
2
B kereskedő
A kereskedő
32VisszaigazolásRendelés32
14
1 2 3
2
3 4 5
32
1
41
1
5
Kockázatok, félelmek Kockázatok, félelmek hozzáférés hozzáférés
szempontjábólszempontjából A cégek nem tudnak alkalmazkodni a A cégek nem tudnak alkalmazkodni a
megnövekedett igényekhezmegnövekedett igényekhez Honlap tönkretételeHonlap tönkretétele Szolgáltatás visszautasításaSzolgáltatás visszautasítása Elfogadhatatlan teljesítményű Elfogadhatatlan teljesítményű
alkalmazásokalkalmazások
6
Kockázatok, félelmek Kockázatok, félelmek titkosság szempontjábóltitkosság szempontjából
Tranzakciók felfedéseTranzakciók felfedése Kereskedelmi partnerek Kereskedelmi partnerek
információnak felfedéseinformációnak felfedése Ügyfelek adatainak felfedéseÜgyfelek adatainak felfedése Illetéktelen hozzáférés az e-Illetéktelen hozzáférés az e-
mailekhezmailekhez
7
Felelősség az E-Felelősség az E-kereskedelem kereskedelem biztonságáértbiztonságáért
010203040
Csak IT IT és Üzletiterület
Csak azÜzleti terület
8
Kinek az elsődleges felelőssége Kinek az elsődleges felelőssége az EK biztonsági irányelveinek az EK biztonsági irányelveinek
érvényesítéseérvényesítése
10%
23%
6%12%
24%
25%
Mínőség biztosítás
IT
Alkalmazás fejlesztés
Üzleti terület
Belső ellenörzés
Informatikai biztonság
9
A biztonság segíti, vagy A biztonság segíti, vagy gátolja az elektronikus gátolja az elektronikus
kereskedelmet?kereskedelmet?A biztonság ... az elektronikus kereskedelmet
6%
18%
34%
24%
18%gátolja
némiképp gátolja
nem is gátolja, nem issegítinémiképp segíti
segíti
10
A Biztonság négy A Biztonság négy alappillérealappillére
TitkosságTitkosság HitelességHitelesség LetagadhatatlanságLetagadhatatlanság SértetlenségSértetlenségSértetlenségLetagadhatat-
lanság
TitkosságHitelesség
11
Biztonsági célokBiztonsági célok Az üzletmenet minden szereplőjének Az üzletmenet minden szereplőjének
azonosítása és hitelesítéseazonosítása és hitelesítése A forgalom megóvása módosítástól, A forgalom megóvása módosítástól,
megsemmisítéstől, beavatkozástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. megfertőződéstől.
A forgalom megóvása a nem megfelelő, A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől.vagy szükségtelen felfedéstől.
Az üzletmenet zavartalan biztosítása Az üzletmenet zavartalan biztosítása technikai problémák eseténtechnikai problémák esetén
12
Eszközök és megoldások a Eszközök és megoldások a biztonság érdekébenbiztonság érdekében
Architektúra szempontjábólArchitektúra szempontjából Több rétegű architektúrák (Schmuck Több rétegű architektúrák (Schmuck
Balázs ea.)Balázs ea.) 2 rétegű architektúra vs. 3 rétegű architektúra2 rétegű architektúra vs. 3 rétegű architektúra
InfrastruktúraInfrastruktúra TűzfalakTűzfalak
Szoftveres és hardveres tűzfalakSzoftveres és hardveres tűzfalak Virtuális MagánhálózatokVirtuális Magánhálózatok
13
Eszközök és megoldások a Eszközök és megoldások a biztonság érdekébenbiztonság érdekében
HitelesítésHitelesítés JelszóJelszó Digitális aláírásDigitális aláírás
Titkos kulcsú, Nyilvános kulcsú aláírásokTitkos kulcsú, Nyilvános kulcsú aláírások AdatvédelemAdatvédelem
SSLSSL VírusvédelemVírusvédelem
14
Virtuális Magánhálózat Virtuális Magánhálózat (VPN)(VPN)
Virtuális Magánhálózat (Virtual Private Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát céljaira kialakított és fenntartott privát hálózatok biztonságosan hálózatok biztonságosan kommunikálhassanak egymással, kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül valamilyen publikus hálózaton keresztül (ez tipikusan az Internet). (ez tipikusan az Internet).
15
Virtuális Magánhálózat Virtuális Magánhálózat (VPN)(VPN)
Elve, hogy minden egyes összekapcsolni Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.alakítva ki a publikus hálózaton.
16
Virtuális Magánhálózat Virtuális Magánhálózat (VPN)(VPN)
Privát hálózatok
Biztonságiátjárók
Titkosítottadatforgalom
Normál IPadatforgalom
17
Hitelesítés - JelszóHitelesítés - Jelszó A jó jelszó:A jó jelszó:
6 és 10 karakter közötti hosszúságú6 és 10 karakter közötti hosszúságú Tartalmaz egy, vagy több nagy betűtTartalmaz egy, vagy több nagy betűt (A…Z) (A…Z) Tartalmaz egy, vagy több kis betűtTartalmaz egy, vagy több kis betűt(a…z)(a…z) Tartalmaz egy, vagy több számjegyet Tartalmaz egy, vagy több számjegyet (0-9)(0-9) Tartalmaz egy, vagy több speciális karaktertTartalmaz egy, vagy több speciális karaktert
(!, *, &, %, $, #,(!, *, &, %, $, #, @)@) Egyetlen nyelven sem értelmes!Egyetlen nyelven sem értelmes! Például: Például: Up&AtM@7!Up&AtM@7!
GYAKRAN VÁLTOZIK ! ! !GYAKRAN VÁLTOZIK ! ! !
18
Titkosítási modellTitkosítási modell
Kódoló eljárás
Dekódoló eljárás
Kódoló kulcs
Dekódoló kulcs
Titkosított üzenet a csatornán
PNyílt
szöveg
PNyílt
szöveg
TámadóCsak
lehallgat Megváltoztat
19
Kripto…Kripto… KriptográfiaKriptográfia
Szövegek titkosításaSzövegek titkosítása KriptoanalítisKriptoanalítis
Titkos szövegek feltöréseTitkos szövegek feltörése KriptológiaKriptológia
Kriptográfia + KriptoanalítisKriptográfia + Kriptoanalítis
20
Kriptoanalízis 3 területeKriptoanalízis 3 területe A kódfejtő csak titkos szöveggel A kódfejtő csak titkos szöveggel
rendelkezikrendelkezik Néhány nyílt szöveggel és azok titkos Néhány nyílt szöveggel és azok titkos
párjával rendelkezik a kódfejtőpárjával rendelkezik a kódfejtő Szabadon választott nyílt szöveggel Szabadon választott nyílt szöveggel
és annak titkosított párjával és annak titkosított párjával rendelkezik a kódfejtőrendelkezik a kódfejtő
21
Hitelesítés - Digitális Hitelesítés - Digitális aláírásaláírás
Elvárások a digitális aláírásokkal szemben:Elvárások a digitális aláírásokkal szemben: A fogadó ellenőrizhesse a feladó valódiságátA fogadó ellenőrizhesse a feladó valódiságát A küldő később ne tagadhassa le az üzenet A küldő később ne tagadhassa le az üzenet
tartalmáttartalmát A fogadó saját maga ne rakhassa össze az A fogadó saját maga ne rakhassa össze az
üzenetetüzenetet Két legelterjedtebb megoldás:Két legelterjedtebb megoldás:
Titkos kulcsú aláírásTitkos kulcsú aláírás Nyilvános kulcsú aláírásNyilvános kulcsú aláírás
22
Titkos kulcsú aláírásTitkos kulcsú aláírás Szükséges egy központi hitelesség szervre, Szükséges egy központi hitelesség szervre,
amelyben mindenki megbízik. (Big Brother - BB)amelyben mindenki megbízik. (Big Brother - BB)
A – AlizB – BobP – Küldendő üzenetKA – Aliz kulcsaKB – Bob kulcsaKBB – Big Brother kulcsat – időbélyeg
Aliz Bob
BigBrother
A, KA (B, t, P)KB (A, t, P, KBB (A, t, P))Hello Bob!……Hello Bob!……
Hello Bob!……
23
Nyilvános kulcsú aláírásNyilvános kulcsú aláírás D(E(P))=P, valamint E(D(P))=PD(E(P))=P, valamint E(D(P))=P
Aliz számítógépe Bob számítógépe
Aliz egyéni Kulcsa
DA
Bob nyilvános Kulcsa
EBP P
Bob titkos Kulcsa
DB
Aliz nyilvános Kulcsa
EA
EB(DA(P))
DA(P)DA(P)
24
Adatvédelem - SSLAdatvédelem - SSL Az SSL (Secure Sockets Layer), Az SSL (Secure Sockets Layer),
titkosított kapcsolati rétegtitkosított kapcsolati réteg Ez egy protokoll réteg, amely a hálózati Ez egy protokoll réteg, amely a hálózati
(Network layer) és az alkalmazási (Network layer) és az alkalmazási rétegek (Application layer) között van. rétegek (Application layer) között van.
Az SSL mindenféle forgalom Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP.IMAP és legfőképp HTTP.
128 bites titkosítás128 bites titkosítás
25
Adatvédelem - Adatvédelem - VírusvédelemVírusvédelem
Vírusok által okozott károk:Vírusok által okozott károk: AdatvesztésAdatvesztés Adat kiáramlásAdat kiáramlás Kiesett munkaidőKiesett munkaidő Szándékos rombolásSzándékos rombolás Rendelkezésre nem állásRendelkezésre nem állás
26
Adatvédelem - Adatvédelem - VírusvédelemVírusvédelem
0
40
80
120
Incid
ense
k 3
hóna
p al
att
1996 1997 1998 1999 2000 2001 2002
1000 PC-re jutó fertőzések aránya /ISCA
27
Reaktív vírus feldolgozásReaktív vírus feldolgozás A vírus felbukkan valahol a A vírus felbukkan valahol a
nagyvilágbannagyvilágban Felhasználó beküldiFelhasználó beküldi Víruslabor elemziVíruslabor elemzi Elkészül az adatbázis frissítésElkészül az adatbázis frissítés
~ 3 óra~ 3 óra
28
Mi a teendő?Mi a teendő? Védettség növeléseVédettség növelése
Védett gépek arányának növeléseVédett gépek arányának növelése Behatolási pontok védelmeBehatolási pontok védelme Biztonsági javítások telepítéseBiztonsági javítások telepítése
Reakció idő csökkentéseReakció idő csökkentése Vírusadatbázisok SOS frissítéseVírusadatbázisok SOS frissítése Rendszergazdák informálásaRendszergazdák informálása Frissítések azonnali szétterítéseFrissítések azonnali szétterítése
(cégen belül pull helyett push)(cégen belül pull helyett push)
29
Jövő . . . Jövő . . . Feladatok Jelenlegi helyzetJelenlegi helyzet JövőJövő
Személy-azonosság Főként jelszó Biometria,
biztonsági eszközök
Hitelesítés Főként jelszó Digitális aláírás
Meghatalmazás Főként jelszó Megbízható címtár
rendszerek
Letagadhatóság
Jelenleg kevéssé megoldott Digitális aláírás
Üzlet folytonosság
A jelenlegi helyzet kielégítő Elosztott hálózatok
30
Köszönöm a figyelmet!Köszönöm a figyelmet!
31
Felhasznált irodalomFelhasznált irodalom ISACA: E-commerce Security - Global Status ISACA: E-commerce Security - Global Status
ReportReport ISACA: E-commerce Security - Enterprise ISACA: E-commerce Security - Enterprise
Best PracticesBest Practices Andrew S. Tanenbaum: Számítógép Andrew S. Tanenbaum: Számítógép
hálózatokhálózatok