Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 ·...
TRANSCRIPT
![Page 1: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/1.jpg)
Διαχείριση Τεχνολογιών Ηλεκτρονικού Εμπορίου
Security in the E-Commerce
Μ. Γραμματικού, B. Μάγκλαρης
{mary, maglaris}@netmode.ntua.gr
![Page 2: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/2.jpg)
Περιεχόμενα (I)
• Εισαγωγή
• Τεχνολογική Υποδομή ΗΕ/Πλατφόρμες • Cloud based • In House (using e-commerce platforms like magento …)
• Είδη Ηλεκτρονικού Εμπορίου (B2B, B2C, B2G, B2E, …)
• Mobile Commerce (Tablets, Smart Phones) • Mobile transactions 42% annual growth (2011-2016)
• E-Commerce Trends • New Web design trends for E-Commerce • Marketing • Digital content • Payments • 3D Printing • New Business Models • M2M collaborations, crowdsourcing
![Page 3: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/3.jpg)
Περιεχόμενα (II)
• Web Marketing • Social Media for E-Commerce • Search Engine Optimization (SEO)
• Πληρωμές στο ΗΕ • Είδη Πληρωμών • Συστήματα Ηλεκτρονικών Πληρωμών
• Ασφαλής Πληρωμές στο ΗΕ • Είδη Πληρωμών με ασφάλεια (tablets, smart phones, web based
solutions) • Ασφάλεια στην Πλατφόρμα • Ασφάλεια στην Υποδομή • Ασφάλεια στην Εφαρμογή
• Data Analytics in E-Commerce • 42% of small businesses which participated in a ShopKeep POS
survey, say they are using analytics to make smarter, immediate business decisions
![Page 4: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/4.jpg)
ΑΠΕΙΛΕΣ ΑΣΦΑΛΕΙΑΣ ΔΙΚΤΥΩΝ
• Απόκτηση πληροφοριών για το σύστημα:
• Port Scanning
• Fingerprinting
• Μη εξουσιοδοτημένη πρόσβαση
• Υποκλοπή κωδικών
• Λάθος διαμορφώσεις (ανοικτά συστήματα)
• Από μη εξουσιοδοτημένα σημεία (π.χ. ανοιχτά σημεία ασύρματης πρόσβασης)
• Επιθέσεις Άρνησης Υπηρεσίας (Denial of Service Attacks - DoS)
• Υποκλοπή και παραποίηση επικοινωνιών
• Packet sniffing
• "Man-in-the-Middle" attacks
• Κακόβουλο λογισμικό (malware)
• Ιοί, Δούρειοι ίπποι (trojans)
• Αυτόματα διαδιδόμενοι ιοί (worms)
![Page 5: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/5.jpg)
ΥΠΟΚΛΟΠΗ & ΠΑΡΑΠΟΙΗΣΗ ΔΕΔΟΜΕΝΩΝ Λύσεις
• Χρήση κρυπτογραφίας
• Αντικατάσταση του telnet με SSH (Secure Shell)
• Κρυπτογραφημένη έκδοση του IMAP για e-mail
• Γνώση των αδυναμιών των δικτυακών εφαρμογών (αποφυγή μετάδοσης κρισίμων δεδομένων χωρίς κρυπτογράφηση)
• Χρήση ψηφιακών πιστοποιητικών (certificates)
• Προσφέρουν κρυπτογραφία και ταυτοποίηση (επιβεβαίωση ταυτότητας)
• Προσοχή στην επιλογή των σημείων σύνδεσης:
• Αν χρησιμοποιείται hub χωρίς δυνατότητες διαχείρισης
• Αν χρησιμοποιείται ασύρματη σύνδεση WiFi προτείνονται οι εξής εναλλακτικοί τρόποι ελέγχου πρόσβασης:
• Αρχική σύνδεση (ελαφρά κρυπτογραφημένη WPA-Wi-Fi Protected Access, WEP-Wired Equivalent Privacy) μόνο σε τοπική σελίδα Web εξουσιοδότησης & ταυτοποίησης (authorization & authentication). Η σύνδεση ανοίγει στο Internet με user_name, password
• Access Lists εξουσιοδοτημένων διευθύνσεων MAC
• Πρωτόκολλο 802.11.X βασισμένο σε καταλόγους authorized χρηστών LDAP και προ-εγκατεστημένο λογισμικό (certificate) στον Η/Υ
![Page 6: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/6.jpg)
Κάποια επιπλέον Πρωτόκολλα Ασφαλείας στο Internet
• SSL(υποστηρίζεται από Netscape & Internet Explorer) : Secure Socket Layer : πάνω από TCP/IP και κάτω από HTTP, χρησιμοποιώντας ιδιωτικό κλειδί για την κρυπτογράφηση των δεδομένων πάνω από SSL connection. Τα URLs ζητούν συνδέσεις SSL που αρχίζουν με https αντί http
• S/HTTP : Secure/HyperΤext Transfer Protocol, το SSL δημιουργεί κανάλι ασφαλούς επικοινωνίας μεταξύ client – server, πάνω από όπου μεταφέρονται τα δεδομένα με ασφάλεια
• HL7-Health Level Seven (http://www.hl7.org/about/index.cfm?ref=nav) : Πρωτόκολλο στο Internet για τη μεταφορά μηνυμάτων ιατρικού περιεχομένου (χρησιμοποιεί το EDI Πρότυπο για την περιγραφή των μηνυμάτων)
![Page 7: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/7.jpg)
Η Κρυπτογραφία δίνει λύση στα εξής προβλήματα :
• Ασφαλή επικοινωνία
• Ταυτοποίηση και πιστοποίηση
• Κοινοποίηση μυστικής πληροφορίας
• Ηλεκτρονικό Εμπόριο
• Ψηφιακά πιστοποιητικά
• Ασφαλή πρόσβαση σε υπολογιστικά συστήματα
![Page 8: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/8.jpg)
Είδη Κρυπτογραφίας
• Συμμετρική (Ιδιωτικού κλειδιού)
• Μη Συμμετρική (Δημόσιου κλειδιού)
• Περιλήψεις μηνυμάτων (Hash Functions)
![Page 9: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/9.jpg)
Συμμετρική Κρυπτογραφία
Enctrypt
Dectryp
t
Encrypted data
Αποστολέας
Παραλήπτης
Interne
t
Encrypted data
key Παραλήπτη
key Παραλήπτη
![Page 10: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/10.jpg)
Ασύμμετρη Κρυπτογραφία
Enctrypt
Dectryp
t
Encrypted data
Αποστολέας
Παραλήπτης
Encrypted data
Interne
t
Private key Παραλήπτη
![Page 11: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/11.jpg)
Ψηφιακές Υπογραφές (1)
Ένα μήνυμα υπογράφεται ως εξής:
• Ο Αποστολέας περνά το μήνυμα από ένα Hash Function που δίνει αποτέλεσμα μια σειρά χαρακτήρων Α (message digest), που είναι πάντα ίδιου μήκους ασχέτως με το μήκος του μηνύματος.
• Η σειρά χαρακτήρων Α κρυπτογραφείται με το Ιδιωτικό κλειδί του Αποστολέα σε Α’.
• Το Α’ (η Ψηφιακή Υπογραφή) στέλνεται μαζί με το μήνυμα (χωρίς το σώμα του μηνύματος να είναι αναγκαστικά κρυπτογραφημένο).
![Page 12: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/12.jpg)
Ψηφιακές Υπογραφές (2)
• Ο Παραλήπτης παίρνει το μήνυμα μαζί με την Ψηφιακή υπογραφή Α’.
• Περνά το μήνυμα από την ίδια Hash Function με αποτέλεσμα μια σειρά χαρακτήρων Β.
• Με το Δημόσιο κλειδί του Αποστολέα αποκρυπτογραφεί την Α’ σε Α.
• Αν τα Α και Β είναι τα ίδια το μήνυμα δεν έχει αλλοιωθεί.
![Page 13: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/13.jpg)
Ψηφιακή Υπογραφή
Enctrypt
Dectryp
t
Αποστολέας
Αλγόριθμος
Private key
Hash
Dig.
sign
Dig.
sign
Interne
t
Dig.
sign
Hash 1
Public key
Αλγόριθμος
Hash 2
Παραλήπτης
![Page 14: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/14.jpg)
Χρήση Ψηφιακής Υπογραφής
Public
Key A
Private
Key A
Public
Key B Private
Key B
1
2
Digital
Signature
3
3
Message 4
2. Signing
3. Transmission
4. Decryption
![Page 15: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/15.jpg)
PKI
• Οι οντότητες του PKI, όπως ορίζονται στο PKIX Working Group της IETF είναι :
• Αρχή Πιστοποίησης (CA – Certification Authority)
• Αρχή Εγγραφής (RA – Registration Authority)
• Οι πελάτες (Clients)
• Η αποθήκη πιστοποιητικών και λιστών ανάκλησης πιστοποιητικών (Repository/Certificate Revocation Lists).
• Παράδειγμα Αρχής Πιστοποίησης : http://www.symantec.com
![Page 16: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/16.jpg)
Υπηρεσίες που προσφέρονται σε ένα σύστημα PKI
• Καταγραφή δημοσίου κλειδιού (Key Registration): έκδοση νέου πιστοποιητικού για ένα δημόσιο κλειδί.
• Ακύρωση Πιστοποιητικού (Certificate Revocation): ακύρωση εκδοθέντος πιστοποιητικού.
• Επιλογή κλειδιού (Key Selection): απόκτηση δημοσίου κλειδιού της άλλης οντότητας (χρήστης ή υπηρεσία).
• Εκτίμηση εμπιστοσύνης (Trust Evaluation): αποφασίζεται εάν ένα πιστοποιητικό είναι έγκυρο και τι υπηρεσίες επιτρέπει.
![Page 17: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/17.jpg)
Ψηφιακά Πιστοποιητικά
Από τι αποτελείται ένα ψηφιακό πιστοποιητικό:
• Πληροφοριακά στοιχεία για το χρήστη
• Το δημόσιο κλειδί του χρήστη
• Το όνομα μιας Αρχής Πιστοποίησης
• Την ψηφιακή υπογραφή της Αρχής Πιστοποίησης
![Page 18: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/18.jpg)
Αρχές Πιστοποίησης
• Για την επιλογή της Αρχής Πιστοποίησης ελέγχετε :
• Το προϊόν, η τιμή, τα χαρακτηριστικά πιστοποιητικού, τα επίπεδα ικανοποίησης πελατών
• Αυτά μπορεί να διαπιστωθούν και στο: http://www.sslshopper.com/certificate-authority-reviews.html
![Page 19: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/19.jpg)
What goes into running a CA?
A CA’s infrastructure consists of considerable operational elements, hardware, software, policy frameworks and practice statements, auditing, security infrastructure and personnel Certificates come in many different formats to support not just SSL, but also authenticate people and devices, and add legitimacy to code and documents
![Page 20: Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου · 2018-05-04 · Διαχείιση Τεχνολογιών Ηλεκτονικού Εμοίου Security](https://reader034.vdocuments.mx/reader034/viewer/2022042319/5f0925b27e708231d42573ae/html5/thumbnails/20.jpg)
A W3 Techs survey from April 2016
Rank Issuer Usage Market share
1 Comodo 8.1% 40.6%
2 Symantec 5.2% 26.0%
3 GoDaddy 2.4% 11.8%
4 GlobalSign 1.9% 9.7%
5 IdenTrust 0.7% 3.5%
6 DigiCert 0.6% 3.0%
7 StartCom 0.4% 2.1%
8 Entrust 0.1% 0.7%
9 Trustwave 0.1% 0.5%
10 Verizon 0.1% 0.5%
11 Secom 0.1% 0.5%
12 Unizeto 0.1% 0.4%
12 Buypass 0.1% 0.1%
13 QuoVadis < 0.1% 0.1%
14 Deutsche Telekom < 0.1% 0.1%
15 Network Solutions < 0.1% 0.1%
16 TWCA < 0.1% 0.1%