Az elektronikus kereskedelem biztonsági kérdései és válaszai

1. Az elektronikus kereskedelem biztonsági kérdései és válaszai Szöllősi Sándor szollosi.sandor@nik.bmf.hu 2014. szeptember 10.

2. Kulcsproblémák az elektronikus kereskedelemben

3. A támadók lehetséges köre és motivációik

4. B kereskedő Vevő Internet Internet szolgáltató 2 3 1 Visszaigazolás 2 2 3 Rendelés 3 A kereskedő Bank 3 2 1 Elektronikus kereskedelem biztonsági folyamata 1 4 5 5 1 2 2 2 2 3 Kérés 3 2 Hitelesítés 5 3 4 1 - SET - Secure Electronic Transaction 2 - SSL - Secure Sockets Layer 3 - Titkosítás 4 - Tanúsítvány 5 - Tűzfal 1 4 5 3

5. Kockázatok, félelmek hozzáférés szempontjából • A cégek nem tudnak alkalmazkodni a megnövekedett igényekhez • Honlap tönkretétele • Szolgáltatás visszautasítása • Elfogadhatatlan teljesítményű alkalmazások

6. Kockázatok, félelmek titkosság szempontjából • Tranzakciók felfedése • Kereskedelmi partnerek információnak felfedése • Ügyfelek adatainak felfedése • Illetéktelen hozzáférés az e-mailekhez

7. Felelősség az E-kereskedelem biztonságáért

8. Kinek az elsődleges felelőssége az EK biztonsági irányelveinek érvényesítése

9. A biztonság segíti, vagy gátolja az elektronikus kereskedelmet?

10. A Biztonság négy alappillére • Titkosság • Hitelesség • Letagadhatatlanság • Sértetlenség Hitelesség Titkosság Letagadhatat- lanság Sértetlenség

11. Biztonsági célok • Az üzletmenet minden szereplőjének azonosítása és hitelesítése • A forgalom megóvása módosítástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. • A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől. • Az üzletmenet zavartalan biztosítása technikai problémák esetén

12. Eszközök és megoldások a biztonság érdekében • Architektúra szempontjából • Több rétegű architektúrák (Schmuck Balázs ea.) • 2 rétegű architektúra vs. 3 rétegű architektúra • Infrastruktúra • Tűzfalak • Szoftveres és hardveres tűzfalak • Virtuális Magánhálózatok

13. Eszközök és megoldások a biztonság érdekében • Hitelesítés • Jelszó • Digitális aláírás • Titkos kulcsú, Nyilvános kulcsú aláírások • Adatvédelem • SSL • Vírusvédelem

14. Virtuális Magánhálózat (VPN) • Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát hálózatok biztonságosan kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül (ez tipikusan az Internet).

15. Virtuális Magánhálózat (VPN) • Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.

16. Virtuális Magánhálózat (VPN) Priváthálózatok Biztonsági átjárók Normál IP adatforgalom Titkosított adatforgalom

17. Hitelesítés - Jelszó • A jó jelszó: • 6 és 10 karakter közötti hosszúságú • Tartalmaz egy, vagy több nagy betűt (A…Z) • Tartalmaz egy, vagy több kis betűt(a…z) • Tartalmaz egy, vagy több számjegyet (0-9) • Tartalmaz egy, vagy több speciális karaktert(!, *, &, %, $, #,@) • Egyetlen nyelven sem értelmes! • Például: Up&AtM@7! • GYAKRAN VÁLTOZIK ! ! !

18. Titkosítási modell Csak lehallgat Megváltoztat Támadó Kódoló eljárás Dekódoló eljárás P P Nyílt szöveg Nyílt szöveg Titkosított üzenet a csatornán Kódoló kulcs Dekódoló kulcs

19. Kripto… • Kriptográfia • Szövegek titkosítása • Kriptoanalítis • Titkos szövegek feltörése • Kriptológia • Kriptográfia + Kriptoanalítis

20. Kriptoanalízis 3 területe • A kódfejtő csak titkos szöveggel rendelkezik • Néhány nyílt szöveggel és azok titkos párjával rendelkezik a kódfejtő • Szabadon választott nyílt szöveggel és annak titkosított párjával rendelkezik a kódfejtő

21. Hitelesítés - Digitális aláírás • Elvárások a digitális aláírásokkal szemben: • A fogadó ellenőrizhesse a feladó valódiságát • A küldő később ne tagadhassa le az üzenet tartalmát • A fogadó saját maga ne rakhassa össze az üzenetet • Két legelterjedtebb megoldás: • Titkos kulcsú aláírás • Nyilvános kulcsú aláírás

22. Bob Aliz KB (A, t, P, KBB (A, t, P)) Hello Bob! …… Hello Bob! …… Big Brother Hello Bob! …… Titkos kulcsú aláírás • Szükséges egy központi hitelesség szervre, amelyben mindenki megbízik. (Big Brother - BB) A, KA (B, t, P) A – Aliz B – Bob P – Küldendő üzenet KA – Aliz kulcsa KB – Bob kulcsa KBB – Big Brother kulcsa t – időbélyeg

23. Aliz egyéni Kulcsa DA Bob nyilvános Kulcsa EB Bob titkos Kulcsa DB Aliz nyilvános Kulcsa EA DA(P) DA(P) Aliz számítógépe Bob számítógépe EB(DA(P)) Nyilvános kulcsú aláírás • D(E(P))=P, valamint E(D(P))=P P P

24. Adatvédelem - SSL • Az SSL (Secure Sockets Layer), titkosított kapcsolati réteg • Ez egy protokoll réteg, amely a hálózati (Network layer) és az alkalmazási rétegek (Application layer) között van. • Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP. • 128 bites titkosítás

25. Adatvédelem - Vírusvédelem • Vírusok által okozott károk: • Adatvesztés • Adat kiáramlás • Kiesett munkaidő • Szándékos rombolás • Rendelkezésre nem állás

26. Adatvédelem - Vírusvédelem 1000 PC-re jutó fertőzések aránya /ISCA

27. Reaktív vírus feldolgozás • A vírus felbukkan valahol a nagyvilágban • Felhasználó beküldi • Víruslabor elemzi • Elkészül az adatbázis frissítés ~ 3 óra

28. Mi a teendő? • Védettség növelése • Védett gépek arányának növelése • Behatolási pontok védelme • Biztonsági javítások telepítése • Reakció idő csökkentése • Vírusadatbázisok SOS frissítése • Rendszergazdák informálása • Frissítések azonnali szétterítése (cégen belül pull helyett push)

29. Jövő . . .

30. Köszönöm a figyelmet!

31. Felhasznált irodalom • ISACA: E-commerce Security - Global Status Report • ISACA: E-commerce Security - Enterprise Best Practices • Andrew S. Tanenbaum: Számítógép hálózatok