bergamo, 23 maggio 2001 marco mazzoleni ( [email protected] )[email protected] massimo...
TRANSCRIPT
Bergamo, 23 maggio 2001
Marco Mazzoleni ( [email protected] )
Massimo Valle ( [email protected] )
Sicurezza & E-Sicurezza & E-commercecommerce
Sommario Principi di e-security
La riservatezza L’integrità Autenticazione Non ripudio
Crittografia:la base per la sicurezza
Cos’è Firma digitale SSL VPN
L’e-security è sicura? Vulnerabilità Case Studies (egghead.com,
patchwork…)
Sommario Nuovi business e business
esistenti Modelli di ecommerce
B2C B2C: e-shop B2C: e-mall B2C: buyer aggregator B2C: english auction B2C: dutch auction B2C: sealed auction Scenario quantitativo B2C
B2B E-distribution E-procurement Virtual marketplace Scenario quantitativo B2B
Portali B2C & e-hub B2B
Esempi pratici
L’utilizzo di Internet
• Incrementare il numero di canali e raggiungere nuovi clienti
• Disintermediare i canali
• Creare nuovi intermediari
• Trasformare value delivery
• Mercato elettronico
• Infomediari• Comunità
virtuale
Ottimizzare Ottimizzare il modello di il modello di
business business attualeattuale
Penetrare Penetrare nuovi nuovi
segmenti/ segmenti/ mercatimercati
RistrutturarRistrutturare la catena e la catena del valore del valore
attualeattuale
Sviluppare Sviluppare nuovi nuovi
modelli di modelli di businessbusiness
Fonte: McKinsey
• Ridurre i costi• Migliorare il livello
di servizio al cliente
Sviluppo dinuovi business
Supporto aibusiness esistenti
Progetti
CorporateE-strategy
OrganizzazioneTecnologia
L’utilizzo di Internet e la e-strategy
Nuovi business e business esistenti
Quantomipagano Joborienta Click4talent Cliccalavoro …
E-steel Bravo-build Mondus Acquanet …
Amazon MP3 CHL Vitaminic …
Italcementi Pirelli Cisco Nokia …
Sainsbury’s Fast-buyer Cisco Mitsubishi …
BarnesandNoble Dell Carpoint KBKids …
Businessesistenti
Nuovibusiness
B2E B2B B2C
BtoC: chl.it
BtoB: bravobuild.com
BtoE: quantomipagano.it
Supporto ai business
esistenti
Pro
du
zion
e
Fu
nzi
on
i am
min
istr
ati
ve
Pro
gett
azi
on
e
Ap
pro
vig
ion
am
en
to m
ate
riali
Log
isti
ca
Mark
eti
ng
Ven
dit
a
B2ERapporti con il personale / Processi interni
B2BBusiness to Business
B2CBusiness toConsumer
Modelli B2C
E-shop: versione virtuale di un negozio E-mall: equivalente su Internet di un mall o shopping center Buyer aggregator: aggrega ordini provenienti da diversi clienti al fine
di ottenere una riduzione del prezzo di acquisto dei prodotti E-auction: consente a privati o imprese di mettere e/o comprare
all’asta prodotti/servizi English auction: ogni partecipante all’asta “rilancia” con un’offerta
maggiore rispetto a quella corrente Dutch auction: il prezzo del prodotto messo all’asta scende
gradualmente finché un partecipante non dichiara l’intenzione di acquistare
Sealed auction: ogni partecipante dichiara segretamente il prezzo che è disposto a pagare per il prodotto messo all’asta; l’offerta migliore vince, e il vincitore non sempre viene reso pubblico
B2C: e-shop
www.dmail.it
B2C: e-shop
www.peck.it
B2C: e-shop
www.oliocarli.it
B2C: e-shopwww.esperya.it
B2C: e-mall
www.casarossi.it
B2C: buyer aggregator
www.letsbuyit.com
B2C: english auction
www.qxl.it
Offerta corrente
Nuova offerta
Chiusura dell’asta
Prodotto all’asta
B2C: dutch auction
www.klik-klok.com
Prezzo corrente
Acquisto del prodotto al
prezzo corrente
B2C: sealed auction
www.oldhouse.com
Scenario quantitativo B2C
Utenti Internet in Italia Web shoppers in Italia Previsioni vendite Italia B2C Settori merceologici Italia (B2C) Multichannel vs pure play Penetrazione vendite online USA (B2C) Penetrazione vendite online (B2C)
Utenti Internet in ItaliaM
ilion
i di u
ten
ti
3,09
8,2
14,1
19,7
24,6
28,7
0
5
10
15
20
25
30
35
1998 1999 2000 2001 2002 2003 Fonte: IDC, 2000
Web shoppers in ItaliaM
iglia
ia d
i u
ten
ti
354
928
2100
3900
6600
9500
0
1000
2000
3000
4000
5000
6000
7000
8000
9000
10000
1998 1999 2000 2001 2002 2003 Fonte: IDC, 2000
Previsioni vendite Italia B2C
Mili
ard
i d
i $
2,1
6,4
3,8
0,96
0,330,07
0
1
2
3
4
5
6
7
1998 1999 2000 2001 2002 2003
Fonte: IDC, 2000
Fatturato 2000Fonte (da siti italiani)
Shoplab.it(novembre 2000)
820 mld £
N. Aziende Ricavi
Abbigliamento ed accessori *
17%
2%4%
11%
2%
8%
5%
26%
41%
12%
8%
5%
5%5%
14%
8%
Settori “made in Italy”:
- 41% dei siti
- 20% del fatturato
(arredamento, turismo, oggetti artigianali ed artistici, abbigliamento ed accessori, alimentare)
*2%
25%
Altro
Editoria
Servizi Finanziari
Turismo *
Pluriprodotto
Alimentare *
Musica & Audiovisivi
HW e SW
Settori merceologici Italia (B2C)
Fonte: Shoplab 2001
Penetrazione vendite online USA
Fatturato online/fatturato online + offline (‘99)
Fonte: Forrester Research Inc. and Merrill Lynch Internet
research, 2000
2,9%
8,9%
4,1%
0,4%
8,7%
0,1%
1,8%
2,0%
1,3%
1,3%
0,2%
0,2%
0,2%
Viaggi
Hardware
Libri
Abbigliamento ed accessori
Software
Alimentari
Gifts
Musica
Event tickets
Video
Elettronica di consumo
Health and beauty
Giocattoli
Penetrazione vendite online (B2C)
Fatturato online/fatturato online + offline USA (2002)
Fonte: Forrester Research Inc. and Merrill Lynch Internet
research, 2000
7,4%
13,3%
11,3%
1,6%
35,3%
0,7%
4,5%
9,2%
7,0%
5,9%
1,8%
2,6%
2,0%
Viaggi
Hardware
Libri
Abbigliamento ed accessori
Software
Alimentari
Gifts
Musica
Event tickets
Video
Elettronica di consumo
Health and beauty
Giocattoli
Multichannel vs pure play
90%
61%47%
10%
39%53%
1998 1999 2000
Pure Play
Multichannel
Nel 2000 i Multichannelsono prevalenti sui
Pure Play
Fonte: Shoplab 2001
business models B2B
E-distribution (Extranet transazionale a valle)
E-procurement (Extranet transazionale a monte)
Virtual marketplace
Internet Exchange
Catalog aggregator
Auction
Request for quote/proposal
B2B: e-distribution
B2B: e-procurement
Volvo
Fiat
Enel
Lucent
………….
B2B: virtual marketplaceVirtual marketplace vs Extranet
Standardizzazione di: applicazioni SW (standard tecnologici) codifiche (standard semantici)
Benefici
“Frammentazione” (potere negoziale)
?
?
Virtual Marketplace
Bassa Alta
Extranet
Alta (potere negoziale di filiera
distribuita)
Bassa (alto potere negoziale di
una delle due controparti)
Rilevanza della personalizzazione
(complessità, specificità)
B2B: virtual marketplace
Percentuale e-commerce B2B gestito dai vmarketplace
0,90%1,70%
3,90%
7,90%
12,70%
4,10%
2,00%
0,80%0,20%0,10%0,05%0,07%
0,50%
0,00%
2,00%
4,00%
6,00%
8,00%
10,00%
12,00%
14,00%
1998 1999 2000 2001 2002 2003 2004
B2B % of GDP (throughintermediaries)
B2B% of GDP (directly)
Fonte: Durlacher, 2000
Europa
B2B: virtual marketplace
Tempistica Fissazione del prezzo Applicazioni
Auction Scambi poco Elevata variabilità Rimanenze, usati, pezzi unici, mercefrequenti a seconda dei bidders nuova ma obsoleta, articoli deprezzati
(articoli il cui prezzo dipende fortementedall’acquirente)
Internet exchange Tempo reale Volatile Commoditiesscambi frequenti Acquisti spot
Alti volumi
Catalog order Ordini ricorrenti Prezzi standard Prodotti standardo negoziati Larga scelta(personalizzati) Prezzo basso
Request For Tempi lunghi Quotazione ad hoc Prodotti e serviziProposal per transazione complessi e
personalizzatiLavori project-based
Fonte modificata: Morgan Stanley Dean Witter, 2000
Modelli transazionali
B2B: virtual marketplace
Auction
www.e-wood.comScope
Attori & relazione
Impresa
$
B2B: virtual marketplace
Internet exchange
www.chemconnect.com
Scope
Attori & relazione
Impresa
$
B2B: virtual marketplace
Catalog order
www.chemdex.com
B2B: virtual marketplace
Request for proposal
www.onemediaplace.com
Scope
Attori & relazione
Impresa
$
Commerce-based B2B: virtual marketplace
Spot sourcing
Systematic sourcing
Operating imputs Manufacturing imputs
AribaW.W Grainger
MRO.comBizBuyer.com
Sciquest.comPlasticsnet.com
E-SteelPaperExchange.c
omAltra Energy
IMX Exchange
EmployeaseAdauction.comCapacityweb.co
m
Commerce-based B2B: virtual marketplace
buyer centric
Neutrali
supplier centric
Verticale Orizzontale
Covisint.com Freemarkets.com
proxchange.com
Globalfoodexchange.com
Gofish.com
Tradeout.comGrainger.com
Chemconnect.come-steel.com
Scenario quantitativo B2B
Previsioni vendite Italia B2B Penetrazione vendite online USA (2000) Penetrazione vendite online USA (2003)
Previsioni vendite Italia B2B
Mili
ard
i d
i $
0,26 1,4
4,9
12,1
25
46,9
0
5
10
15
20
25
30
35
40
45
50
1998 1999 2000 2001 2002 2003Fonte: IDC, 2000
Fonte: Forrester Research Inc. and Merrill Lynch Internet
research, 2000
Penetrazione vendite online USA (B2B)
Fatturato online/fatturato online + offline (2000)
0,7%
0,4%
2,0%
2,0%
2,0%
5,7%
0,6%
17,5%
Prodotti per l'ufficio
Agricoltura/alimentari
Spedizioni ed immagazzinamento
Industria petrolchimica
Industria automobilistica
Utilities
Altro
Informatica ed elettronica
Penetrazione vendite online USA (B2B)
Fatturato online/fatturato online + offline (2003)
Fonte: Forrester Research Inc. and Merrill Lynch Internet
research, 2000
5,6%
3,0%
17,2%
16,1%
14,7%
25,8%
3,0%
39,3%
Prodotti per l'ufficio
Agricoltura/alimentari
Spedizioni edimmagazzinamento
Industria petrolchimica
Industria automobilistica
Utilities
Altro
Informatica ed elettronica
Portali B2C & e-hub B2B
Portali B2C generalisti verticali
E-hub B2B generalisti verticali
Portale generalista B2C: www.iol.it
Service
Commerce
ContentCommunity
Context
Portale generalista B2C: www.yahoo.com
Service
Commerce
ContentCommunity
Context
Portale verticale B2C:www.ivillage.com
Service
Commerce
ContentCommunity
Context
E-hub generalista B2B: www.madeinItaly.com
Service
Commerce
ContentCommunity
Context
E-hub verticale B2B: www.mecmarket.com
Service
Commerce
ContentCommunity
Context
Diffusione
1990-1996 1997 1998 2002 2003 2004 2006 2007 2009 20101999 2000 2001 20082005
Esplosionedella tecnologia
Web
Inizio“dot.com”
IPO USA97/98
IPO Europa1999
“E is best”
“dot.com”diminuzione dello share
Disillusionedegli investitori
Fallimento dimolte “dot.com”
Fallimento dellacomunicazione
Disillusionedell’e-business
“Vera”crescitadell’ e-business
Ottimizzazionedell’e-business
Aziende Post-Net
Picco di aspettative non realistiche
Curva delladisillusione Chiarezza Linea della
redditività
Conclusioni
“… We are at the first two minutes of the game...”
[A. Tjan]
Principi di e-security
Riservatezza. certezza che la comunicazione inviata sia letta solo dal destinatario e
non intercettabile da terzi Internet consente a chiunque, in qualsiasi parte del mondo, di
comunicare con qualcun altro, senza tuttavia garantire alcuna protezione.
Riservatezza
Internet
Principi di e-security
Riservatezza. certezza che la comunicazione inviata sia letta solo dal destinatario e non
intercettabile da terzi Internet consente a chiunque, in qualsiasi parte del mondo, di comunicare
con qualcun altro, senza tuttavia garantire alcuna protezione.
Integrità piena conformità della comunicazione trasmessa rispetto
all'originale ovvero la certezza che la comunicazione non sia stata in alcun modo modificata da terzi.
Integrità
Internet€ 1000a Luca
€ 1000a Gianni
Principi di e-securityRiservatezza.
certezza che la comunicazione inviata sia letta solo dal destinatario e non intercettabile da terzi
Internet consente a chiunque, in qualsiasi parte del mondo, di comunicare con qualcun altro, senza tuttavia garantire alcuna protezione.
Integrità piena conformità della comunicazione trasmessa rispetto
all'originale ovvero la certezza che la comunicazione non sia stata in alcun modo modificata da terzi.
Autenticazione certezza dell'effettiva provenienza della comunicazione da colui che
afferma di essere il mittente delle stessa.
Autenticazione
€ 1000a Luca
€ 1000a Luca
Internet
Principi di e-securityRiservatezza.
certezza che la comunicazione inviata sia letta solo dal destinatario e non intercettabile da terzi
Internet consente a chiunque, in qualsiasi parte del mondo, di comunicare con qualcun altro, senza tuttavia garantire alcuna protezione.
Integrità piena conformità della comunicazione trasmessa rispetto
all'originale ovvero la certezza che la comunicazione non sia stata in alcun modo modificata da terzi.
Autenticazione certezza dell'effettiva provenienza della comunicazione da colui che
afferma di essere il mittente delle stessa
Non ripudio iil mittente non deve poter negare l’invio dell’informazione.
Fornitori e acquirenti esigono la certezza che una volta stipulato un contratto, nessuna delle due parti sia più in grado di recedere.
Crittografia - la base dell’e-security
La crittografia è una tecnologia fondamentale per il commercio elettronico, le reti Intranet ed Extranet e per altre applicazioni Web. Il suo scopo è quello di codificare i dati in modo tale che siano intellegibili solo per specifici destinatari.
Dal punto di vista aziendale, le funzioni di sicurezza fornite dalla crittografia sono: autenticazione, riservatezza, integrità.
Dal punto di vista tecnico, la crittografia è la scienza che si occupa di proteggere i dati trasformandoli matematicamente in un formato non leggibile.
Crittografia – la base dell’e-security
^&$Bqwx#FUHO(klpT?"ca<L
Prego trasferire 1.000 €
Dati crittografati
Dati originali in chiaro Dati ricostruiti in chiaro
Internet
Prego trasferire 1.000 €
Crittografia – medodi: chiave simmetricaCrittografia a chiave simmetrica: una chiave
Si basa sull'utilizzo di una singola chiave posseduta sia dal mittente che dal destinatario. Questa chiave, utilizzata sia per la crittografia che per la decrittazione, è denominata chiave segreta.
La perdita o la compromissione della chiave segreta rende vulnerabili i dati crittografati.
Crittografia – medodi: chiave pubblicaCrittografia a chiave pubblica: due chiavi
Si basa sull’utilizzo di due chiavi, una chiave pubblica e una chiave privata. La chiave pubblica può essere scambiata apertamente tra le parti o pubblicata in un repository pubblico, ma la chiave privata correlata rimane tale.Queste chiavi sono complementari, in quanto gli oggetti crittografati con la chiave pubblica possono essere decrittografati solo con la corrispondente chiave privata e viceversa.
Crittografia – metodi: chiave pubblicaOgni chiave può essere usata sia per criptare (firmare) che per decifrare un messaggio, ma non per entrambe le cose. Se io cripto con la mia chiave privata, il messaggio può essere decifrato solo usando la mia chiave pubblica e viceversa. In questo senso le chiavi sono dette asimmetriche.
“^&$Bqwx#FUHO(klpT?"ca<L”
Crittografia
Il mittente utilizza la chiave pubblica del destinatario per crittografare il messaggio
“Addebitare tutto su carta di credito4222 4222 4222 4222”
Chiave PubblicaChiave Pubblica
Decrittazione
Solo il destinatario possiede la chiave privata, utilizzata per decrittare il messaggio
“Addebitare tutto su carta di credito4222 4222 4222 4222”
Chiave PrivataChiave Privata
Crittografia – metodi: chiave pubblica
Utilizzando la crittografia a chiave pubblica siamo in grado quindi digarantire la riservatezza e l’integrità dei dati.
Per qualsiasi società, soprattutto nelle logiche di B2B, è importante essere certi al 100% dell’identità dei propri acquirenti/fornitori.
Questo permette di poter stipulare accordi vincolanti e legalmente validianche tramite Internet.
Firma Digitale (Autenticazione e Non-ripudiabilità)
Crittografia – Firma Digitale (legge)
"Per firma digitale s'intende il risultato della procedura informatica (validazione) basata su un sistema di chiavi asimmetriche a coppia, una pubblica e una privata, che consente al sottoscrittore tramite la chiave privata e al destinatario tramite la chiave pubblica, rispettivamente, di rendere manifesta e di verificare la provenienza e l'integrità di un documento informatico o di un insieme di documenti informatici." dpr n.513 del 10 novembre 1997.
Crittografia – Firma Digitale (applicazioni)Alcune applicazioni possibili grazie all’utilizzo della firma digitale: comunicazioni ufficiali con le amministrazioni pubbliche risposte a bandi e gare pubbliche moduli di richiesta di vario genere dichiarazioni fiscali e di altro tipo trasmissione di documenti legali rapporti contrattuali su reti aperte (Internet) fornitura elettronica di beni e servizi transazioni finanziarie identificazione e/o autorizzazione gestione di attività in gruppi/sistemi chiusi o a partecipazione controllata gruppi di lavoro e di ricerca transazioni personali
Crittografia – Firma Digitale (elementi)
Elementi chiave:
Coppia di chiavi asimmetriche
Autorità di certificazione: un Ente pubblico o privato autorizzato dallo Stato Italiano in base alla legislazione vigente, la cui funzione è di "certificare" il legame tra una chiave pubblica e l'utente della chiave stessa
Certificato digitale: l'associazione tra i dati che identificano una persona e la sua chiave pubblica
Crittografia – Firma Digitale
Cosa deve fare l'Utente che desidera ottenere un certificato digitale?
generare una chiave pubblica ed una privata,
inviare la chiave pubblica all’Autorità di Certificazione tramite la procedura di sottoscrizione,
identificarsi in uno dei modi previsti dal Manuale Operativo (insieme di regole) dell’Autorità di Certificazione.
Dopo l'identificazione certa e la verifica di validità della chiave pubblica, l’Autorità di Certificazione invia un certificato digitale all'utente e pubblica la chiave pubblica.
Crittografia – Firma Digitale (passi)
Passi da seguire per la costituzione di una firma digitale
Partiamo dal documento da firmare. Applicare al testo una funzione di hash (=rimescolamento) in modo tale da ottenere l’impronta del documento. Si crea cosi una corrispondenza univoca tra documento ed impronta (1048 tentativi per ottenere un’impronta identica con documento diverso);
L’impronta viene firmata crittografandola con la propria chiave privata (che si trova ad es. su una smart card)
Il destinatario del testo firmato, confronta l’impronta con ciò che ottiene applicando alla firma la chiave pubblica del mittente (deducibile dal certificato digitale del mittente o dal registro pubblico)
Crittografia – Firma Digitale (passi)
Come si verifica una firma digitale?
1. chi riceve il messaggio firmato si procura il certificato del mittente (spesso è in allegato al messaggio stesso) e, dopo averne controllato la validità, ne estrae la chiave pubblica che è contenuta.
2. con questa chiave pubblica il ricevente può decriptare la firma digitale ed estrarre il digest che il mittente aveva calcolato per il messaggio. 3. a questo punto il ricevente calcola un suo digest per lo stesso messaggio, avendo cura di usare lo stesso sistema del mittente;
4. il ricevente confronta i due digest, quello che ha appena calcolato e quello estratto dalla firma digitale: se sono uguali significa che il messaggio non è stato in alcun modo alterato durante la spedizione.
5. il fatto poi che l'operazione di crittografia per estrarre il digest sia riuscita significa che esso era stato criptato, al momento della spedizione, con l'unica chiave privata corrispondente a quella pubblica contenuta nel certificato. Questo garantisce anche l'identità del mittente.
Crittografia – Firma Digitale (es.)
Es. Ammettiamo che io voglia inviare un documento ufficiale firmato elettronicamente al comune di Bergamo
1. Io dovrò semplicemente dire al programma di firmarlo, con un click del mouse sull'icona della firma digitale. Il programma, dopo aver eventualmente verificato con richiesta di password che l'utente che firma è lo stesso che ha generato la chiave privata, cripta il messaggio, e lo fa due volte.
2. Per prima cosa cripta il messaggio utilizzando la chiave privata del mittente (la mia chiave privata). Questa è la firma vera e propria, sufficiente nel caso di un documento pubblico (tutti sono autorizzati a leggerlo). Chiunque lo legga saprebbe con certezza che il documento è mio, in quanto si può leggerlo decifrandolo con la mia chiave pubblica.
Crittografia – Firma Digitale (es.)
3. Ma se il documento è riservato ad uno specifico destinatario il programma fa anche una seconda importante criptazione. Utilizza la chiave pubblica del destinatario (nell' esempio la chiave pubblica del Comune Bergamo), prendendola dal proprio archivio, alimentato per via telematica (Internet) da un server che funge da registro delle chiavi pubbliche. Alla chiave pubblica del comune è associato il relativo certificato, rilasciato dall'autorità di registrazione, che attesta che quella è proprio la chiave pubblica del comune di Bergamo.
4. Invio infine il documento, che arriva al comune di Bergamo
Crittografia – Firma Digitale (es.)
5. Ora il mio documento può essere decifrato, e quindi letto solo se:
a. ad esso viene applicata la chiave privata del Comune di Bergamo, essenziale per la decifrazione, in quanto per la criptazione si è usata la relativa chiave pubblica. Quindi nessun altro può leggerlo. E' garantita la riservatezza.
b. ad esso viene applicata la mia chiave pubblica (in quanto si è usata per la criptazione la mia chiave privata), che il comune recupera, insieme al certificato che attesta che è mia, da un pubblico registro. E' garantita l'autenticazione e il non ripudio del documento. Solo io posso aver apposto la mia chiave privata
Crittografia – Firma Digitale (es.)
c. Non è stata apportata nessuna modifica al documento dopo la criptazione (la mia firma). Se ciò fosse avvenuto, il documento non sarebbe decifrabile in alcun modo. E' garantita l'integrità del documento. Ciò che contiene è ciò che io ho scritto e firmato.
6. In questo quadro, la condizione essenziale per evitare falsificazioni di firma è che il titolare della coppia di chiavi mantenga riservata la propria chiave privata.
Crittografia – Firma Digitale (es.)
7. A tal proposito, le norme tecniche prescrivono (art. 8):
1. Le chiavi private sono conservate e custodite all’interno di un dispositivo di firma. È possibile utilizzare lo stesso dispositivo per conservare più chiavi.
2. È vietata la duplicazione della chiave privata o dei dispositivi che la contengono.
3. Per fini particolari di sicurezza, è consentita la suddivisione della chiave privata su più dispositivi di firma.
Crittografia – Firma Digitale (es.)
4. Il titolare delle chiavi deve:
a. conservare con la massima diligenza la chiave privata e il
dispositivo che la contiene al fine di garantirne l’integrità e la
massima riservatezza;
b. conservare le informazioni di abilitazione all’uso della chiave
privata in luogo diverso dal dispositivo contenente la chiave;
c. richiedere immediatamente la revoca delle certificazioni
relative alle chiavi contenute in dispositivi di firma di cui
abbia perduto il possesso o difettosi."
SSL – VPN
SSL – Secure Socket layer
VPN – Virtual Private Network
Sicurezza a livello di applicazione.
Utilizzato per condividere informazioni sicure a livello di Internet – Intranet - Extranet
Sicurezza a livello di rete.
Utilizzata per condividere informazioni sicure a livello di Extranet
VPNConcetti chiave:
Sostituiscono di fatto le connessioni CDN
le applicazioni risultano indipendenti dall'infrastruttura di protezione sottostante. I dati sono protetti indipendentemente dalle applicazioni che li hanno generati.
Per consentire la comunicazione tramite IPSec tra due host, è prima necessario stabilire le direttive generali per la sessione, ad esempio il metodo di autenticazione e l'algoritmo di crittografia
Protezione end to end. Solo il mittente e il destinatario devono essere consapevoli dei dettagli relativi alla sicurezza
Tramite IPSec i dati vengono protetti tra host, router di rete o firewall
SSL – 1° passo verso la sicurezza
SSL fondamentalmente permette di utilizzare la crittografia nelle sessioni Web, utilizzando i Certificati Digitali.
Meccanismo tramite il quale possiamo accuratamente identificare qualcosa (ad es. un individuo o un web server), in un mondo completamente aperto come Internet.
SSL – come funziona 1
Il protocollo SSL deve essere installato sia sul lato client sia sul lato server. I due principali browser in commercio (Netscape ed Explorer) incorporano già il protocollo SSL.
E’ costituito da sue sotto-protocolli:
SSL record – definisce il formato utilizzato per trasmettere materialmente i dati
SSL handshake – si occupa della fase di autenticazione tra un client e un server.
Client
Il Client verifica il Server e se richiesto gli invia la propria identità.Terminata l’autenticazione il Client invia al Server una chiave A criptata con la chiave pubblica B del server.
SSL – come funziona 2Server
Il Client inizia una connessione Il Server risponde
inviando il proprio ID ed eventualmente richiedendone uno per verificare il Client
B
Una volta stabilta la connessione si instaura lo scambio commerciale sicuro tra Server e Client con la chiave di sessione A.
A
SSL – quanto è sicuro?
SSL – quanto è sicuro?
L’utilizzo del protocollo SSL da solo non garantisce la sicurezza delle transazione via web:
SSL assicura che la connessione tra noi ed il server remoto è sicura
L’integrità dell’organizzazione a cui sto inviando i miei dati è assicurata dalla combinazione SSL+ Certificato Digitale
Attacco forza bruta, l’uomo in mezzo, bug software, negligenza…
SSL – attacco “forza bruta”
Forza Bruta: attacco che ha come scopo la decifrazione di messaggi criptati pur non conoscendo le regole note alle persone autorizzate.
*secondo la legge di Moore tali tempi si dimezzano ogni circa 18 mesi.
SSL – l’uomo in mezzo
E’ possibile che il server che io sto contattando non sia quello che io ho richiesto!
L’hacker crea una copia in locale un sito dove vengono richiesti i numeri delle carte di credito
Viene cosi allestito un Sito web vero e proprio che eroga i contenuti appena copiati. Chiaramente le form di inserimento dei dati puntano localmente, al nuovo sito gemello.
Vengono alterate le cache dei DNS di qualche provider, in modo tale che gli utenti che utilizzano tale provider vengano instradati verso il clone del sito.
SSL – l’uomo in mezzo
Diventa fondamentale seguire alcune avvertenze:
Prima di premere il pulsante invio, con il quale si sta trasmettendo il modulo con i propri dati, verificare che l’indirizzo visualizzato in quel momento sia https:// e non http://
Verificare che nel codice sorgente della pagina il form esegua un “POST” e non un “GET”
Verificare il Certificato digitale controllando che non sia scaduto, di prova, legittimo…(es. Fineco, Finital)
SSL – bug software
17 Maggio 2001: nuove vulnerabilità sono state scoperte in IE 5.01 e 5.5. Quando viene abilitata l’opzione del controllo della lista dei certificati revocati, IE può smettere di eseguire tre importanti verifiche:
1.verifica che il certificato non sia scaduto;2.verifica che il nome del server coincida con quello del certificato;3.verifica che il certificato provenga da un utente
fidato.
SSL – negligenze
Usare le carte di credito per acquistare online è pericoloso ma non perché i numeri sono intercettati durante le transazioni dai pirati "cattivi", ma perché le aziende che fanno commercio elettronico non sono adeguatamente sensibili al problema della sicurezza;
Gli ultimi eventi dimostrano che la sicurezza non è solo un problema di solidità della piattaforma utilizzata, ma dipende anche e soprattutto da una corretta amministrazione.
I rischi maggiori non si corrono inviando i propri dati online, ma una volta che il merchant li ha memorizzati sui propri server;
SSL – negligenze
Alcuni dati:
Il 56% delle 3.746 violazioni di siti Web segnalate nel 1999 sono state causate dalla mancata applicazione da parte degli amministratori delle patch disponibili.
Nei 5.823 casi segnalati nel 2000 la percentuale sale al 99%!
Un nuovo server collegato ad Internet senza tutte le patch di sicurezza disponibili ha meno del 20% di probabilità di superare le tre settimane di vita senza essere stato attaccato e violato in qualche modo.
Case Studies – PatchWork
Case Studies – PatchWork
Nel corso del 2000 più di 40 siti di e-commerce e di e-banking, in più di venti stati americani, sono stati attaccati da gruppi di hacker.
Più di un milione di numeri di carte di credito sono state rubati Tutti i server attacati erano basati sul SO Windows NT
In base alle informazioni raccolte dall’FBI sulle vulnerabilità dei sistemi NT e sulle tecniche di hacking sfruttate nel corso di questo attacco è stato creato “PatchWork”
Case Studies – PatchWork
Si tratta di un piccolo programma di appena 30Kbyte distribuito gratuitamente dal Center for Internet Security (http://www.cisecurity/patchwork.html).
Verifica se sul sistema sono installate le patch di sicurezza rilasciate da Microsoft per eliminare queste vulnerabilità e se sul sistema sono presenti particolari file, utilizzati dagli hacker per violare i sistemi.
Non è un sistema di protezione dagli attacchi !!
Case Studies – Egghead.com
22 Dicembre 2000Egghead.com, uno dei più famosi siti di commercio elettronico dichiara che i 3,7 milioni di numeri di carte di credito memorizzate sui loro server sono in pericolo. Un hacker è penetrato nei loro sistemi ma non si riesce a capire se è riuscito o meno ad impossessarsi dei dati.
Le banche e le compagnie delle Carte di Credito si muovono subito spendendo milioni di dollari per cancellare i numeri delle carte di credito in pericolo.
Case Studies – Egghead.com
9 Gennaio 2001Dopo settimane di indagini, si scopre che i dati delle carte di credito non sono stati rubati.
L’hacker è penetrato e anche se i dati sono stati rubati o meno, il danno è risultato in ogni caso molto pesante.
Se la società avesse avuto un buon sistema di sicurezza e di log, sarebbe stata in grado di risalire nel giro di pochi giorni all’esito dell’intrusione, salvando cosi milioni di dollari e la perdità di credibilità.
Links utili
Microsoft Security(http://www.microsoft.com/security/default.asp)
Windows IT Security(http://www.windowsitsecurity.com/)
Verisign(http://www.verisign.it)
AIPA(http://www.aipa.it)
SecurityFocus.com(http://www.securityfocus.com)
ShieldsUp!(https://grc.com/x/ne.dll?bh0bkyd2)
CERT(http://www.cert.org/)