Az előadás letöltése folymat van. Kérjük, várjon

Az előadás letöltése folymat van. Kérjük, várjon

Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor 2014. július 10.2014. július 10.2014. július 10.

Hasonló előadás


Az előadások a következő témára: "Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor 2014. július 10.2014. július 10.2014. július 10."— Előadás másolata:

1 Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor július július július 10.

2 2 Kulcsproblémák az elektronikus kereskedelemben

3 3 A támadók lehetséges köre és motivációik Diák Örömét leli mások elektronikus levelének elolvasásában Hacker Különböző biztonsági rendszereket tesz próbára és adatokat tulajdonít el Üzletember A konkurencia üzleti stratégiáját akarja megszerezni Elbocsátott dolgozó Bosszút akar állni KönyvelőA vállalat pénzét sikkasztja el Tőzsdei bróker Egy vevőnek ben tett ígéretét szeretné letagadni Szélhámos Bankkártya adatokat szerez meg és azokat eladja, vagy felhasználja

4 4 Elektronikus kereskedelem biztonsági folyamata Vevő Bank Internet 1 - SET - Secure Electronic Transaction Secure Sockets Layer 2 - SSL - Secure Sockets Layer 3 - Titkosítás 4 - Tanúsítvány 5 - Tűzfal Internet szolgáltató 2 Kérés Hitelesítés 3 2 B kereskedő A kereskedő 3 2 Visszaigazolás Rendelés

5 5 Kockázatok, félelmek hozzáférés szempontjából A cégek nem tudnak alkalmazkodni a megnövekedett igényekhez A cégek nem tudnak alkalmazkodni a megnövekedett igényekhez Honlap tönkretétele Honlap tönkretétele Szolgáltatás visszautasítása Szolgáltatás visszautasítása Elfogadhatatlan teljesítményű alkalmazások Elfogadhatatlan teljesítményű alkalmazások

6 6 Kockázatok, félelmek titkosság szempontjából Tranzakciók felfedése Tranzakciók felfedése Kereskedelmi partnerek információnak felfedése Kereskedelmi partnerek információnak felfedése Ügyfelek adatainak felfedése Ügyfelek adatainak felfedése Illetéktelen hozzáférés az ekhez Illetéktelen hozzáférés az ekhez

7 7 Felelősség az E-kereskedelem biztonságáért

8 8 Kinek az elsődleges felelőssége az EK biztonsági irányelveinek érvényesítése

9 9 A biztonság segíti, vagy gátolja az elektronikus kereskedelmet?

10 10 A Biztonság négy alappillére Titkosság Titkosság Hitelesség Hitelesség Letagadhatatlanság Letagadhatatlanság Sértetlenség Sértetlenség Sértetlenség Letagadhatat- lanság Titkosság Hitelesség

11 11 Biztonsági célok Az üzletmenet minden szereplőjének azonosítása és hitelesítése Az üzletmenet minden szereplőjének azonosítása és hitelesítése A forgalom megóvása módosítástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. A forgalom megóvása módosítástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől. A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől. Az üzletmenet zavartalan biztosítása technikai problémák esetén Az üzletmenet zavartalan biztosítása technikai problémák esetén

12 12 Eszközök és megoldások a biztonság érdekében Architektúra szempontjából Architektúra szempontjából Több rétegű architektúrák (Schmuck Balázs ea.) Több rétegű architektúrák (Schmuck Balázs ea.) 2 rétegű architektúra vs. 3 rétegű architektúra 2 rétegű architektúra vs. 3 rétegű architektúra Infrastruktúra Infrastruktúra Tűzfalak Tűzfalak Szoftveres és hardveres tűzfalak Szoftveres és hardveres tűzfalak Virtuális Magánhálózatok Virtuális Magánhálózatok

13 13 Eszközök és megoldások a biztonság érdekében Hitelesítés Hitelesítés Jelszó Jelszó Digitális aláírás Digitális aláírás Titkos kulcsú, Nyilvános kulcsú aláírások Titkos kulcsú, Nyilvános kulcsú aláírások Adatvédelem Adatvédelem SSL SSL Vírusvédelem Vírusvédelem

14 14 Virtuális Magánhálózat (VPN) Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet). Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet).

15 15 Virtuális Magánhálózat (VPN) Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton. Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.

16 16 Virtuális Magánhálózat (VPN) Privát hálózatok Biztonsági átjárók Titkosított adatforgalom Normál IP adatforgalom

17 17 Hitelesítés - Jelszó A jó jelszó: A jó jelszó: 6 és 10 karakter közötti hosszúságú 6 és 10 karakter közötti hosszúságú Tartalmaz egy, vagy több nagy betűt (A…Z) Tartalmaz egy, vagy több nagy betűt (A…Z) Tartalmaz egy, vagy több kis betűt(a…z) Tartalmaz egy, vagy több kis betűt(a…z) Tartalmaz egy, vagy több számjegyet (0-9) Tartalmaz egy, vagy több számjegyet (0-9) Tartalmaz egy, vagy több speciális karaktert (!, *, &, %, $, Tartalmaz egy, vagy több speciális karaktert (!, *, &, %, $, Egyetlen nyelven sem értelmes! Egyetlen nyelven sem értelmes! Például: Például: GYAKRAN VÁLTOZIK ! ! ! GYAKRAN VÁLTOZIK ! ! !

18 18 Titkosítási modell Kódoló eljárás Dekódoló eljárás Kódoló kulcs Dekódoló kulcs Titkosított üzenet a csatornán P Nyílt szöveg P Nyílt szöveg Támadó Csak lehallgat Megváltoztat

19 19 Kripto… Kriptográfia Kriptográfia Szövegek titkosítása Szövegek titkosítása Kriptoanalítis Kriptoanalítis Titkos szövegek feltörése Titkos szövegek feltörése Kriptológia Kriptológia Kriptográfia + Kriptoanalítis Kriptográfia + Kriptoanalítis

20 20 Kriptoanalízis 3 területe A kódfejtő csak titkos szöveggel rendelkezik A kódfejtő csak titkos szöveggel rendelkezik Néhány nyílt szöveggel és azok titkos párjával rendelkezik a kódfejtő Néhány nyílt szöveggel és azok titkos párjával rendelkezik a kódfejtő Szabadon választott nyílt szöveggel és annak titkosított párjával rendelkezik a kódfejtő Szabadon választott nyílt szöveggel és annak titkosított párjával rendelkezik a kódfejtő

21 21 Hitelesítés - Digitális aláírás Elvárások a digitális aláírásokkal szemben: Elvárások a digitális aláírásokkal szemben: A fogadó ellenőrizhesse a feladó valódiságát A fogadó ellenőrizhesse a feladó valódiságát A küldő később ne tagadhassa le az üzenet tartalmát A küldő később ne tagadhassa le az üzenet tartalmát A fogadó saját maga ne rakhassa össze az üzenetet A fogadó saját maga ne rakhassa össze az üzenetet Két legelterjedtebb megoldás: Két legelterjedtebb megoldás: Titkos kulcsú aláírás Titkos kulcsú aláírás Nyilvános kulcsú aláírás Nyilvános kulcsú aláírás

22 22 Titkos kulcsú aláírás Szükséges egy központi hitelesség szervre, amelyben mindenki megbízik. (Big Brother - BB) Szükséges egy központi hitelesség szervre, amelyben mindenki megbízik. (Big Brother - BB) A – Aliz B – Bob P – Küldendő üzenet K A – Aliz kulcsa K B – Bob kulcsa K BB – Big Brother kulcsa t – időbélyeg Aliz Bob Big Brother A, K A (B, t, P) K B (A, t, P, K BB (A, t, P)) Hello Bob! …… Hello Bob! …… Hello Bob! ……

23 23 Nyilvános kulcsú aláírás D(E(P))=P, valamint E(D(P))=P D(E(P))=P, valamint E(D(P))=P Aliz számítógépeBob számítógépe Aliz egyéni Kulcsa D A Bob nyilvános Kulcsa E B P P Bob titkos Kulcsa D B Aliz nyilvános Kulcsa E A E B (D A (P)) D A (P)

24 24 Adatvédelem - SSL Az SSL (Secure Sockets Layer), titkosított kapcsolati réteg Az SSL (Secure Sockets Layer), titkosított kapcsolati réteg Ez egy protokoll réteg, amely a hálózati (Network layer) és az alkalmazási rétegek (Application layer) között van. Ez egy protokoll réteg, amely a hálózati (Network layer) és az alkalmazási rétegek (Application layer) között van. Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP. Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP. 128 bites titkosítás 128 bites titkosítás

25 25 Adatvédelem - Vírusvédelem Vírusok által okozott károk: Vírusok által okozott károk: Adatvesztés Adatvesztés Adat kiáramlás Adat kiáramlás Kiesett munkaidő Kiesett munkaidő Szándékos rombolás Szándékos rombolás Rendelkezésre nem állás Rendelkezésre nem állás

26 26 Adatvédelem - Vírusvédelem 1000 PC-re jutó fertőzések aránya /ISCA

27 27 Reaktív vírus feldolgozás A vírus felbukkan valahol a nagyvilágban A vírus felbukkan valahol a nagyvilágban Felhasználó beküldi Felhasználó beküldi Víruslabor elemzi Víruslabor elemzi Elkészül az adatbázis frissítés Elkészül az adatbázis frissítés ~ 3 óra

28 28 Mi a teendő? Védettség növelése Védettség növelése Védett gépek arányának növelése Védett gépek arányának növelése Behatolási pontok védelme Behatolási pontok védelme Biztonsági javítások telepítése Biztonsági javítások telepítése Reakció idő csökkentése Reakció idő csökkentése Vírusadatbázisok SOS frissítése Vírusadatbázisok SOS frissítése Rendszergazdák informálása Rendszergazdák informálása Frissítések azonnali szétterítése (cégen belül pull helyett push) Frissítések azonnali szétterítése (cégen belül pull helyett push)

29 29 Jövő... Feladatok Jelenlegi helyzet Jövő Személy- azonosság Főként jelszó Biometria, biztonsági eszközök Hitelesítés Főként jelszóDigitális aláírás Meghatalmazás Főként jelszó Megbízható címtár rendszerek Letagadhatóság Jelenleg kevéssé megoldott Digitális aláírás Üzlet folytonosság A jelenlegi helyzet kielégítő Elosztott hálózatok

30 30 Köszönöm a figyelmet!

31 31 Felhasznált irodalom ISACA: E-commerce Security - Global Status Report ISACA: E-commerce Security - Global Status Report ISACA: E-commerce Security - Enterprise Best Practices ISACA: E-commerce Security - Enterprise Best Practices Andrew S. Tanenbaum: Számítógép hálózatok Andrew S. Tanenbaum: Számítógép hálózatok


Letölteni ppt "Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor 2014. július 10.2014. július 10.2014. július 10."

Hasonló előadás


Google Hirdetések