Az elektronikus kereskedelem biztonsági kérdései és válaszai

Slides:



Advertisements
Hasonló előadás
„Esélyteremtés és értékalakulás” Konferencia Megyeháza Kaposvár, 2009
Advertisements

Készítette: Boros Erzsi
Készítette: Nagy Márton
Hálózati és Internet ismeretek
Az SAP Standard és Enterprise Support szolgáltatások ismertetése
2002. május 29. Hangot, adatot gyorsan és titkosan! Szakmai szeminárium 1/38 Virtual Private Network alapok titkosítás, IPsec Kovács József
Elektronikus aláírás Balogh Zsolt György egyetemi docens
DIGITÁLIS PÉNZ.
Krasznay Csaba előadása Konzulens: Dr. Magyar Gábor
Nyilvános kulcsú titkosítás
Tempus S_JEP Számítógép hálózatok Összefoglalás Összefoglalás Összeállította: Broczkó Péter (BMF)
IPSec.
Vezeték nélküli technológiák
1 GTS Szerver Virtualizáció – Ügyvitel a felhőben.
Tectia MobileID Express – Kétfaktoros erős autentikáció – 5 percen belül üzemkészen! január 16.
Hálózati ismeretek 10 Hálózati biztonság
Hatékonyságnövelés IT biztonsági megoldásokkal Szincsák Tamás IT tanácsadó 2012.Október 17.
Integrált tartalomszűrő rendszer a Juniper és a Websense segítségével Tartalomszűrés Juniper és Websense segítségével. Budapest, Bodnár Gábor,
Jogában áll belépni?! Détári Gábor, rendszermérnök.
Titkosítás Digitális aláírás Szabványosított tanúsítványok
Hálózati biztonság Kajdocsi László A602 rs1.sze.hu/~kajdla.
Digitális Aláírás ● A rejtjelező algoritmusokon alapuló protokollok közé tartozik a digitális aláírás is. ● Itt is rejtjelezés történik, de nem az üzenet.
Az e-kereskedelem (e-business)
Az elektronikus aláírás állami elismerése
Elektronikus kereskedelem
2004. március eEgészség – Digitális Aláírás Workshop 2004 Március Tim Zoltán, CISA Insurance Technology Kft. „Megbízható harmadik fél szolgáltatás,
eEgészség – Digitális Aláírás (TTP) státusz a projekt 11. hetében „A digitális aláírás egészségügyben való alkalmazhatóságát lehetővé tévő módosítandó.
A LÁTHATATLAN PÉNZ TITKAI
A vírusvédelem és a biztonságvédelem új kihívásai Szappanos Gábor.
…az ISA Server 2006 segítségével Gál Tamás Microsoft Magyarország.
Hálózatkezelési újdonságok Windows 7 / R2
A titkosítás alkalmazott módszerei az elektronikus kommunikációban
, levelezés … kérdések - válaszok Takács Béla 2008.
A távmunka néhány informatikai vonatkozása Ferge Sándor Informatikai és Hírközlési Minisztérium.
Tóth Gergely, október 27. HISEC’04, október , Budapest Keretrendszer anonimitási módszerek integrálására Tóth Gergely Budapesti Műszaki.
Tóth Gergely, február BME-MIT Miniszimpózium, Általános célú biztonságos anonimitási architektúra Tóth Gergely Konzulensek: Hornák Zoltán.
Titkosítás, elektronikus és digitális aláírás. Fontos mindig észben tartanunk, hogy ha titkosítatlan csatornán kommunikálunk az Interneten, akkor bármely.
A számítógépes adatbiztonság és adatvédelem
Hálózat kiépítésével lehetőségünk nyílik más számítógépek erőforrásainak használatára. Osztott háttértár használat: egy számítógép merevlemezének megosztásával.
Az elektronikus levelezés a számítógép-hálózatok klasszikus szolgáltatása, az Internet alkalmazásának egyik legnépszerűbb formája. Szövegen kívül lehetőség.
ELTE WIFI Beállítási útmutató MS Windows XP-hez
Windows Server 2008 Távoli elérés – I.
A XXI. századi három testőr (avagy a hálózat bosszúja)
Szabályzás, folyamatok, tudatosság Fizikai biztonság Perimeter Belső hálózat Operációs rendszer Alkalmazások Adatok SMTP (25) HTTP (80) HTTPS (443)
Szoftverjog és etika, adatvédelem
Ingyenes,Multi funkcionális tűzfal szoftver
A datbiztonság, adatvédelem. Adatvédelem: adatok meghatározott csoportjára vonatkozó jogszabályi előírások érvényesítése az adatok kezelése során. Fő.
A Windows Server 2003 termékcsalád A Windows Server 2003 termékcsaládnak 4 tagja van: Windows Server 2003, Standard Edition Windows Server 2003, Enterprise.
Hálózatok a mai világban
Iskolai számítógépes hálózat bővítése Készítette Tóth László Ferenc.
A PKI project célja Digitális kulccsal elérhető szerver Hamisíthatatlan naplózás Új kulcsok dinamikus létrehozása Felhasználók letiltása.
Kriptográfia.
Adatbiztonság, adatvédelem, kockázatelemzés
Tűzfal (firewall).
Nyilvános kulcsú titkosítás Digitális aláírás Üzenet pecsétek.
Azonosítás és biztonság pénzintézeti környezetben Jakab Péter igazgató Magyar Külkereskedelmi Bank Rt. Bankbiztonság.
ADATBIZTONSÁG, ADATVÉDELEM
? ÜGYFÉL - BANK INTERAKCIÓ TRANZAKCIÓK TEVÉKENYSÉGEK CSATORNÁK
Titkosítás.
Magyar információbiztonsági szabványok V.
VPN kapcsolat a Központi Könyvtár honlapján
„Biztonságban lenni nem kell félnetek jó lesz” Alföldi István
2018. március 3. B épület E1 előadó
VPN kapcsolat a Központi Könyvtár honlapján
VPN kapcsolat a Központi Könyvtár honlapján
VPN kapcsolat a Központi Könyvtár honlapján
IT hálózat biztonság Összeállította: Huszár István
IT hálózat biztonság Összeállította: Huszár István
Az INTEGRÁLT RENDSZER Több egymáshoz kapcsolódó, egymást kiegészítő biztonsági rendszer összessége, szoftver és hardver elemekből felépítve.
Előadás másolata:

Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor szollosi.sandor@nik.bmf.hu 2017. április 4.

Kulcsproblémák az elektronikus kereskedelemben

A támadók lehetséges köre és motivációik Diák Örömét leli mások elektronikus levelének elolvasásában Hacker Különböző biztonsági rendszereket tesz próbára és adatokat tulajdonít el Üzletember A konkurencia üzleti stratégiáját akarja megszerezni Elbocsátott dolgozó Bosszút akar állni Könyvelő A vállalat pénzét sikkasztja el Tőzsdei bróker Egy vevőnek e-mailben tett ígéretét szeretné letagadni Szélhámos Bankkártya adatokat szerez meg és azokat eladja, vagy felhasználja

Elektronikus kereskedelem biztonsági folyamata 1 4 5 B kereskedő Vevő 1 5 2 Internet szolgáltató 2 Internet 2 3 2 Visszaigazolás 3 2 1 Rendelés 3 2 2 3 Kérés 3 Hitelesítés 2 5 3 A kereskedő 4 1 - SET - Secure Electronic Transaction 2 - SSL - Secure Sockets Layer 3 - Titkosítás 4 - Tanúsítvány 5 - Tűzfal Bank 1 1 2 3 3 4 5

Kockázatok, félelmek hozzáférés szempontjából A cégek nem tudnak alkalmazkodni a megnövekedett igényekhez Honlap tönkretétele Szolgáltatás visszautasítása Elfogadhatatlan teljesítményű alkalmazások

Kockázatok, félelmek titkosság szempontjából Tranzakciók felfedése Kereskedelmi partnerek információnak felfedése Ügyfelek adatainak felfedése Illetéktelen hozzáférés az e-mailekhez

Felelősség az E-kereskedelem biztonságáért

Kinek az elsődleges felelőssége az EK biztonsági irányelveinek érvényesítése

A biztonság segíti, vagy gátolja az elektronikus kereskedelmet?

A Biztonság négy alappillére Titkosság Hitelesség Letagadhatatlanság Sértetlenség Hitelesség Titkosság Letagadhatat- lanság Sértetlenség

Biztonsági célok Az üzletmenet minden szereplőjének azonosítása és hitelesítése A forgalom megóvása módosítástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől. Az üzletmenet zavartalan biztosítása technikai problémák esetén

Eszközök és megoldások a biztonság érdekében Architektúra szempontjából Több rétegű architektúrák (Schmuck Balázs ea.) 2 rétegű architektúra vs. 3 rétegű architektúra Infrastruktúra Tűzfalak Szoftveres és hardveres tűzfalak Virtuális Magánhálózatok

Eszközök és megoldások a biztonság érdekében Hitelesítés Jelszó Digitális aláírás Titkos kulcsú, Nyilvános kulcsú aláírások Adatvédelem SSL Vírusvédelem

Virtuális Magánhálózat (VPN) Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet).

Virtuális Magánhálózat (VPN) Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.

Virtuális Magánhálózat (VPN) Privát hálózatok Biztonsági átjárók Titkosított adatforgalom Normál IP adatforgalom

Hitelesítés - Jelszó A jó jelszó: GYAKRAN VÁLTOZIK ! ! ! 6 és 10 karakter közötti hosszúságú Tartalmaz egy, vagy több nagy betűt (A…Z) Tartalmaz egy, vagy több kis betűt(a…z) Tartalmaz egy, vagy több számjegyet (0-9) Tartalmaz egy, vagy több speciális karaktert (!, *, &, %, $, #, @) Egyetlen nyelven sem értelmes! Például: Up&AtM@7! GYAKRAN VÁLTOZIK ! ! !

Titkosított üzenet a csatornán Titkosítási modell Csak lehallgat Megváltoztat Támadó Kódoló eljárás Dekódoló eljárás P P Nyílt szöveg Nyílt szöveg Titkosított üzenet a csatornán Kódoló kulcs Dekódoló kulcs

Kripto… Kriptográfia Kriptoanalítis Kriptológia Szövegek titkosítása Titkos szövegek feltörése Kriptológia Kriptográfia + Kriptoanalítis

Kriptoanalízis 3 területe A kódfejtő csak titkos szöveggel rendelkezik Néhány nyílt szöveggel és azok titkos párjával rendelkezik a kódfejtő Szabadon választott nyílt szöveggel és annak titkosított párjával rendelkezik a kódfejtő

Hitelesítés - Digitális aláírás Elvárások a digitális aláírásokkal szemben: A fogadó ellenőrizhesse a feladó valódiságát A küldő később ne tagadhassa le az üzenet tartalmát A fogadó saját maga ne rakhassa össze az üzenetet Két legelterjedtebb megoldás: Titkos kulcsú aláírás Nyilvános kulcsú aláírás

Titkos kulcsú aláírás Szükséges egy központi hitelesség szervre, amelyben mindenki megbízik. (Big Brother - BB) A, KA (B, t, P) KB (A, t, P, KBB (A, t, P)) Aliz Bob Hello Bob! …… Hello Bob! …… Hello Bob! …… Big Brother A – Aliz B – Bob P – Küldendő üzenet KA – Aliz kulcsa KB – Bob kulcsa KBB – Big Brother kulcsa t – időbélyeg

Nyilvános kulcsú aláírás D(E(P))=P, valamint E(D(P))=P Aliz számítógépe Bob számítógépe Aliz egyéni Kulcsa DA Bob nyilvános Kulcsa EB Bob titkos Kulcsa DB Aliz nyilvános Kulcsa EA P P DA(P) DA(P) EB(DA(P))

Adatvédelem - SSL Az SSL (Secure Sockets Layer), titkosított kapcsolati réteg Ez egy protokoll réteg, amely a hálózati (Network layer) és az alkalmazási rétegek (Application layer) között van. Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP. 128 bites titkosítás

Adatvédelem - Vírusvédelem Vírusok által okozott károk: Adatvesztés Adat kiáramlás Kiesett munkaidő Szándékos rombolás Rendelkezésre nem állás

Adatvédelem - Vírusvédelem 1000 PC-re jutó fertőzések aránya /ISCA

Reaktív vírus feldolgozás A vírus felbukkan valahol a nagyvilágban Felhasználó beküldi Víruslabor elemzi Elkészül az adatbázis frissítés ~ 3 óra

Mi a teendő? Védettség növelése Reakció idő csökkentése Védett gépek arányának növelése Behatolási pontok védelme Biztonsági javítások telepítése Reakció idő csökkentése Vírusadatbázisok SOS frissítése Rendszergazdák informálása Frissítések azonnali szétterítése (cégen belül pull helyett push)

Jövő . . . Feladatok Jelenlegi helyzet Jövő Személy-azonosság Főként jelszó Biometria, biztonsági eszközök Hitelesítés Digitális aláírás Meghatalmazás Megbízható címtár rendszerek Letagadhatóság Jelenleg kevéssé megoldott Üzlet folytonosság A jelenlegi helyzet kielégítő Elosztott hálózatok

Köszönöm a figyelmet!

Felhasznált irodalom ISACA: E-commerce Security - Global Status Report ISACA: E-commerce Security - Enterprise Best Practices Andrew S. Tanenbaum: Számítógép hálózatok