Elektronska trgovina - Sigurnost i šifrovanje

1,587
-1

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
1,587
On Slideshare
0
From Embeds
0
Number of Embeds
0
Actions
Shares
0
Downloads
23
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Elektronska trgovina - Sigurnost i šifrovanje

  1. 1. POGLAVLJE 5 <ul><li>SIGURNOST I ŠIFR OVANJE </li></ul>
  2. 2. Ciljevi <ul><li>Razumeti razmere kriminala u e-trgovini i probleme vezane za sigurnost </li></ul><ul><li>Opisati ključne dimenzije sigurnosti e-trgovine </li></ul><ul><li>Razumeti tenziju između sigurnosti i drugih vrednosti </li></ul><ul><li>I dentifikovati najvažnije pretnje sigurnosnom sistemu e-trgovine </li></ul>
  3. 3. Ciljevi <ul><li>Opisati kako različite tehnologije šifrovanja mogu pomoći pri zaštiti poruka koje se šalju preko interneta </li></ul><ul><li>I dentifikovati alate koja se koriste da bi se uspostavili sigurnosni internet komunikacioni kanali </li></ul><ul><li>Identifikovati alate koja služe za zaštitu mreža, servera i klijenata </li></ul><ul><li>Spoznati važnost politike, procedura i zakonske regulative u procesu kreiranja sigurnosti </li></ul>
  4. 4. Sigurnost u E-trgovini <ul><li>Nedavno je iz 538 američkih kompanija i vladinih organizacija stigao sledeći izveštaj: </li></ul><ul><ul><li>85% detektovanih narušavanja u domenu računarske sigurnosti u poslednjih 12 meseci </li></ul></ul><ul><ul><li>64% potvrđenih finansijskih gubitaka </li></ul></ul><ul><ul><li>35% je prijavilo finansijski gubitak od ukupno 337 miliona dolara </li></ul></ul>
  5. 5. Sigurnost u E-trgovini <ul><li>Ozbiljniji gubici uključuju krađu informacija od vlasnika ili finansijsku prevaru </li></ul><ul><li>40% je prijavilo napade izvan organizacije </li></ul><ul><li>40% je prijavilo napade tipa odbijanja usluga </li></ul><ul><li>85% je detektovalo virusne napade </li></ul>
  6. 6. Žalbe IFCC-u zbog prevare na Internetu
  7. 7. Sigurnost u E-trgovini
  8. 8. Dimenzije Sigurnosti E-trgovine <ul><li>Integritet se odnosi na mogućnost da se informacije koje se nalaze na Web stranici ili koje se prenose i primaju preko interneta ne mogu menjati na bilo koji način od neovlašćenih lica </li></ul><ul><li>Neporecivost se odnosi na mogućnost da učesnici E-trgovine ne odbiju (tj. ne priznaju) svoje postupke na mreži </li></ul>
  9. 9. <ul><li>Autentifikacija se odnosi na identifikaciju identiteta osobe ili entiteta sa kojom ste stupili u poslovne odnose preko interneta </li></ul><ul><li>Tajnost se odnosi na mogućnost obezbedjivanja dostupnosti poruka i podataka samo onima koji su ovlašćeni da ih koriste </li></ul>Dimenzije Sigurnosti E-trgovine
  10. 10. <ul><li>Privatnost –se odnosi na obezbedjivanje korišćenje informacija o sebi samom </li></ul><ul><li>Dostupnost – se odnosi na sposobnost da neki sajt e-trgovine normalno funkcioniše shodno svojoj nameni </li></ul>Dimenzije Sigurnosti E-trgovine
  11. 11. Dimenzije Sigurnosti E-trgovine
  12. 12. <ul><li>Lako za korišćenje </li></ul><ul><ul><li>Što se više sigurnosnih mehanizama uvede na jedan sajt e-trgovine, to sajt postaje sve sporiji i teži za upotrebu. Uvedene sigurnosne mere su uvek na račun procesorske snage i memorijskih resursa. </li></ul></ul><ul><ul><li>Previše sigurnosti može škoditi profitabilnosti, dok sa druge strane, premalo sigurnosnih mera može potpuno onemogućiti celokupan posao. </li></ul></ul>Tenzija između sigurnosti i drugih vrednosti
  13. 13. <ul><li>Javna bezbednost i kriminalno korišćenje sigurnosti </li></ul><ul><ul><li>Postoji tenzija između ličnih individualnih zahteva za anonimnošću i potrebe zvaničnika da održe javnu bezbednost kojoj prete razni kriminalci i teroristi. </li></ul></ul>Tenzija između sigurnosti i drugih vrednosti
  14. 14. <ul><li>Tri ključne tačke ranjivosti sistema </li></ul><ul><ul><li>klijent </li></ul></ul><ul><ul><li>server </li></ul></ul><ul><ul><li>komunikacioni kanal </li></ul></ul><ul><li>Na jčešća ugrožavanja : </li></ul><ul><ul><li>Malici ozni kodovi </li></ul></ul><ul><ul><li>Ha kerisanje i sajbervandalizam </li></ul></ul><ul><ul><li>Prevare-kradje posredstvom kreditnih kartica </li></ul></ul><ul><ul><li>Lažno predstavljanje </li></ul></ul><ul><ul><li>Napad odbijanjem servisa </li></ul></ul><ul><ul><li>Monitoring </li></ul></ul><ul><ul><li>I nsajderi </li></ul></ul>Pretnje bezbednosti u E-trgovini
  15. 15. Tipična transakcija E-trgovine
  16. 16. Slabe tačke u E-trgovini
  17. 17. <ul><li>Mali ciozni programi </li></ul><ul><ul><li>to su pretnje kao što su virusi, crvi, trojanski konji i “bad applets” </li></ul></ul><ul><ul><li>virus je kompjuterski program koji može da pravi kopije samog sebe i da se širi po drugim fajlovima </li></ul></ul><ul><ul><li>Crv (warm) je kreiran tako da se širi sa kompjutera na kompjuter </li></ul></ul><ul><ul><li>Trojanski konj se čini bezopasnim, ali onda počinje da radi sasvim neočekivane stvari </li></ul></ul>Sedam pretnji bezbednosti sajtovima E-trgovine
  18. 18. Primeri m alicio znih programa
  19. 19. <ul><li>Hakerisanje i sajberski vandalizam </li></ul><ul><ul><li>haker je osoba koja pokušava da neovlašćeno uđe u kompjuterski sistem </li></ul></ul><ul><ul><li>k raker je tipični termin koji se koristi među hakerima da bi se ublažila ili zamaskirala primarna kriminalna namera </li></ul></ul><ul><ul><li>sajber vandalizam je namerno ometanje, brisanje ili čak uništavanje sajta </li></ul></ul>Sedam pretnji bezbednosti sajtovima E-trgovine
  20. 20. <ul><li>Hakerisanje i sajber vandalizam </li></ul><ul><ul><li>white hats (beli šeširi) su “dobri” hakeri koji pomažu organizacijama da identifikuju i otkolone bezbednosne propuste </li></ul></ul><ul><ul><li>black hats (crni šeširi) su hakeri koji deluju s namerom da nekom naude </li></ul></ul><ul><ul><li>gray hats (sivi šeširi) su hakeri koji su ubeđeni u to da slede neki viši cilj i opšte dobro, pa u to ime provaljuju u sisteme razotkrivajući njihovu ranjivost </li></ul></ul>Sedam pretnji bezbednosti sajtovima E-trgovine
  21. 21. <ul><li>Prevara sa kreditnom karticom </li></ul><ul><ul><li>Razlikuje se od tradicionalne trgovine </li></ul></ul><ul><ul><li>Hacker i napadaju ciljne fajlove na prodavčevim serverima </li></ul></ul><ul><li>Obmana (s poofing ) </li></ul><ul><ul><li>Lažno predstavljanje tako što se uzme lažna email adresa ili tako što se osoba identifikuje kao neko drugi </li></ul></ul>Sedam pretnji bezbednosti aajtovima E-trgovine
  22. 22. <ul><li>Denial of Service Attacks (Napad odbijanja usluga) </li></ul><ul><ul><li>Zasipanje Web sajta beskorisnim prometom da bi se mreža opteretila i zagušila </li></ul></ul><ul><ul><li>Distributed Denial of Service attack (Distribuirani napad odbijanja usluga) koristi se istovremeno više računara sa više lokacija za napad na odabrani sajt </li></ul></ul>Sedam pretnji bezbednosti sajtovima E-trgovine
  23. 23. <ul><li>Sniffing </li></ul><ul><ul><li>Tip programa za nadgledanje koji prati sve informacije koje putuju preko mreže </li></ul></ul><ul><li>Ins ajderi </li></ul><ul><ul><li>Zaposleni koji imaju pristup osetljivim informacijama </li></ul></ul><ul><ul><li>Špijuniranje internih sigurnosnih procedura </li></ul></ul><ul><ul><li>Moguće je kretati se po sistemu neke organizacije bez ikakvih tragova </li></ul></ul>Sedam pretnji bezbednosti sajtovima E-trgovine
  24. 24. Te hnološka rešenja <ul><li>Zaštita Internet k omuni kacija ( šifrovanje ) </li></ul><ul><li>Obezbedjenje komunikacionih kanala (SSL, S-HTTP, VPNs) </li></ul><ul><li>Zaštita mreže (firewalls) </li></ul><ul><li>Zaštita servera i klijenata </li></ul>
  25. 25. Dostupna Oruđa za Postizanje Sigurnosti Sajta
  26. 26. Šifrovanje (encryption) <ul><li>Proces transformacije otvorenog teksta u šifrovani tekst koji ne može pročitati niko sem pošiljaoca i primaoca. Cilj šifrovanja je </li></ul><ul><li>(a) da se obezbede memorisane informacije </li></ul><ul><li>(b) da se obezbedi siguran prenos informacija. </li></ul><ul><li>Šifrat je tekst dobijen šifrovanjem i koji ne može niko drugi da pročita sem pošiljaoca i primaoca </li></ul>
  27. 27. <ul><li>Ključ ili šifra je bilo koji metod za transformisanje otvorenog teksta u šifrat (šifrovani tekst) </li></ul><ul><li>Šifra zamene je stemsatska zamena znakova otvorenog teksta nekim drugim znakovima zadatog alfabeta </li></ul><ul><li>Šifra transpozicije na sistematičan način zamenjuje prirodni redosled znakova u rešima nekim drugim redosledom </li></ul>Šifrovanje (encryption)
  28. 28. <ul><li>Simetričnični šifarski sistemi (tajni ključ za šifrovanje) obezbedjuju da pošiljaoc i primaoc koriste isti ključ za šifrovanje i dešifrovanje poruka </li></ul><ul><li>Data Encryption Standard (DES) je najčešće korišćen simetrični šifarski sistem koga su izumeli National Security Agency (NSA) i IBM. Koristi ključ za šifrovanje od 56-bitova </li></ul>Šifrovanje (encryption)
  29. 29. <ul><li>Asimetrični šifarski sistemi koristi dva matematički povezana ključa: javni ključ i privatni (tajni) ključ. </li></ul><ul><li>Privatni ključ ostaje kod vlasnika i on je tajan a javni ključ se javno distribuira. </li></ul><ul><li>Oba ključa se mogu koristiti i za šifrovanje i za dešifrovanje poruka. </li></ul><ul><li>Kada se ključevi jednom iskoriste za šifrovanje poruke, isti ključ se ne može ponovo koristiti za dešifrovanje poruke. </li></ul>Šifrovanje (encryption)
  30. 30. Javni kriptografski ključ – jednostavan primer
  31. 31. Javni kriptografski ključ sa digitalnim potpisom
  32. 32. Šifrovanje (encryption) <ul><li>Digital ni potpis je “potpisani” šifrovani tekst koji se može poslati preko interneta </li></ul><ul><li>Haš funkcija koristi algoritam koji proizvodi broj ograničene dužine nazvan hash ili message digest </li></ul><ul><li>Digital envelop je tehnika koja koristi simetričko šifrovanje za velika dokumenta, ali radi se o javnom ključu za šifrovanje da bi se šifrovao i poslao simetrički ključ </li></ul>
  33. 33. Javni kriptografski ključ: stvaranje tzv. d igital e nvelope -a
  34. 34. Digitalni sertifikati i infrastruktura javnog ključa
  35. 35. Šifrovanje <ul><li>Digital certificate (digitalni sertifikat) je dokument izdat od strane autoriteta zaduženog za izdavanje sertifikata i sastoji se od </li></ul><ul><li>imena subjekta ili kompanije, </li></ul><ul><li>njegov javni ključ, </li></ul><ul><li>serijski broj digitalnog sertifikata, </li></ul><ul><li>datum isteka roka, </li></ul><ul><li>digitalnbi potpis autoriteta za sertifikate i druge informacije za identifikaciju </li></ul><ul><li>drugi identifikacioni podaci </li></ul><ul><li>Certification Authority (C A ) , je treća strana od poverenja koja izdaje digitalne sertifikate </li></ul>
  36. 36. Ograničenja kriptoloških rešenja <ul><li>PKI se primenjuje prevashodno za zaštitu informacija u tranzitu </li></ul><ul><li>PKI nije efikasna u zaštiti od insajdera </li></ul><ul><li>Zaštita privatnog ključa </li></ul><ul><li>N ema garancije da je računar prodavca koji vrši verifikaciju siguran </li></ul><ul><li>CA su neregulisane samozvane organizacije </li></ul>
  37. 37. Napredak u kvantnoj kriptologiji možda vodi ka neprobojnim sistemima <ul><li>Naučnici sa Northwestern Universi teta su razvili kvantni kriptografski metod visoke brzine šifrovanja </li></ul><ul><li>Koristi se laser i optička tehnologija za generisanje tajnog (simetričnog) ključa </li></ul><ul><li>Poruke se koduju korišćenjem granularnosti svetla (kvantni šum) ; </li></ul>
  38. 38. Šifrovanje <ul><li>Public Key Infrastructure (PKI) , tj. infrastruktura javnog ključa, su sertifikacijski autoriteti i procedure za dobijanje digitalnog sertifikata koje su priznate od svih strana </li></ul><ul><li>Pretty Good Privacy (PGP) je softverski program za šifrovanje email-a metodom javnog ključa </li></ul>
  39. 39. Sigurnosni komunikacioni kanali <ul><li>Secure Sockets Layer (SSL) je najčešći vid sigurnosnih kanala </li></ul><ul><li>Secure negotiated session je klijent-server sesija u kojoj su šifrovani URL traženog dokumenta, zajedno sa sadržajem, formama i razmenjenim cookies. </li></ul><ul><li>Session key je jedinstveni simetrički ključ za šifrovanje koji je izabran za jednu sesiju bezbednog komuniciranja </li></ul>
  40. 40. Secure Negotiated Sessions koje koriste SSL
  41. 41. Sigurnosni kanali komuniciranja <ul><li>Secure Hypertext Transfer Protocol (S-HTTP) je sigurnosni protokol za komunikaciju koji je orijentisan ka porukama i dizajniran je tako da se koristi zajedno sa HTTP. Ne može biti korišćen za za poruke koje nisu u HTTP </li></ul><ul><li>Virtual Private Networks (VPN) omogućava korisnicima koji se nalaze daleko da imaju sigurni pristup internim mrežama preko Interneta, koristeći Point-to-Point Tunneling Protocol (PPTP) </li></ul><ul><li>PPTP je mehanizam za kodovanje pomoću kojeg lokalna mreža može da se poveže sa drugom pomoću interneta kao posrednika </li></ul>
  42. 42. Zaštita mreža <ul><li>Firewalls su softverske aplikacije koje služe kao filter između privatne mreže neke kompanije i samog interneta </li></ul><ul><li>Proxy server je softverski server koji se stara o svim komunikacijama bilo da su sa interneta ili se šalju na isti. Njegova uloga je nešto kao portparol ili telohranitelj neke organizacije </li></ul>
  43. 43. Firewalls i Proxy s erver i
  44. 44. Zaštita servera i klijenata <ul><li>Kontrole operativnog sistema omogućavaju autentifikaciju korisnika i kontrolu pristupa svim fajlovima, direktorijumima i mrežama </li></ul><ul><li>Anti virusni softver je najlakši i najjeftiniji način da se spreče napadi na integritet sistema </li></ul>
  45. 45. Poli tika , p rocedure i zakoni <ul><li>Razvoj plana bezbednosti za e-trgovinu </li></ul><ul><ul><li>izvršiti procenu rizika </li></ul></ul><ul><ul><li>razviti bezbednosnu politiku </li></ul></ul><ul><ul><li>razviti plan za implementaciju </li></ul></ul><ul><ul><li>napraviti bezbednosnu organizaciju </li></ul></ul><ul><ul><li>izvršiti proveru bezbednosti </li></ul></ul>
  46. 46. Razvoj plana bezbednosti E-trgovine
  47. 47. Bezbednosni plan: politika upravljanja <ul><li>Procena rizika je procena svih vrsta rizika i ranjivih tačaka </li></ul><ul><li>Bezbednosna politika je skup stavova koji prioritizuju informacione rizike, identifikuju prihvatiljve rizične ciljeve i mehanizme pomoću kojih se ovi ciljevi mogu postići </li></ul><ul><li>Implementacioni plan su koraci koje treba preduzeti da bi postigli bezbednosne ciljeve </li></ul>
  48. 48. <ul><li>Edukativne be zbednosne organizacije i obučavani korisnici su ti koji obezbeđuju menadžment od raznih pretnji i slomova i održavaju odabrana oruđa koja služe za implementaciju bezbednosti </li></ul><ul><li>Kontrola pristupa definiše ko ima legitiman pristup mreži </li></ul><ul><li>Procedure autentifikacije podrazumevaju korišćenje digitalnih potpisa, sertifikata o autentičnosti i infrastrukturu javnog ključa </li></ul>Bezbednosni plan: politika upravljanja
  49. 49. <ul><li>Biometrika je studija o mernim biološkim i fizičkim karakteristikama koje se mogu koristiti za kontrolu pristupa </li></ul><ul><li>Politika autorizacije determiniše različite nivoe pristupa informacionim vrednostima za različite nivoe korisnika </li></ul><ul><li>Sistem upravljanja autorizacijom određuje gde i kada korisnik ima pristup određenim delovima web sajta </li></ul>Bezbednosni plan: politika upravljanja
  50. 50. <ul><li>Bezbednosna kontrola podrazumeva rutinsku kontrolu pristupnih logova koji sadrže podatke kako spoljnji korisnici i insajderi koriste informacione sadržaje sajta </li></ul><ul><li>Tiger team je grupa čiji je cilj da provale u sajt </li></ul><ul><li>CERT - Koordinacioni centar prati kriminalne aktivnosti i prijavljuje ih kada se na to požale privatne korporacije i vladine agencije </li></ul>Bezbednosni plan: politika upravljanja
  51. 51. Uloga zakona i javna politika <ul><li>National Infrastructure Protection Center je jedinica unutar FBI čiji je zadatak da identifikuje i eliminiše sve pretnje koje se javljaju i uperene su protiv tehnologije i telekomunikacione infrastrukture Sjedinjenih Američkih Država </li></ul><ul><li>DCS100 (Carnivore) je softverski program za kontrolu elektronske pošte koji je napravio FBI. Ovaj program može da kopira i filtrira sve podatke poslate sa korisnikovog kompjutera preko lokalnih ISP </li></ul>
  52. 52. Zakonski propisi o bezbednosti E-trgovine
  53. 53. Vladini napori da se reguliše i kontroliše šifrovanje
  54. 54. OECD Uputstva <ul><li>Organization for Economic Cooperation and Development (OECD) 2002 izdaje devet principa za Bezbednost informacionih sistema i mreža : </li></ul><ul><ul><li>Svest ( Awareness ) </li></ul></ul><ul><ul><li>Odgovornost ( Responsibility ) </li></ul></ul><ul><ul><li>Odziv ( Response ) </li></ul></ul><ul><ul><li>Moral ( Ethics ) </li></ul></ul><ul><ul><li>Demokratija ( Democracy ) </li></ul></ul><ul><ul><li>Procena rizika ( Risk assessment ) </li></ul></ul><ul><ul><li>Dizajn i implementacija bezbednosti ( Security design and implementation ) </li></ul></ul><ul><ul><li>Upravljanje bezbednošću ( Security management ) </li></ul></ul><ul><ul><li>Preispitivanje procena ( Reassessment ) </li></ul></ul>
  55. 55. VeriSign: Web bezbednosni prekrivač
  56. 56. Studija slučaja : VeriSign <ul><li>Univer zitetska e-prodavnica u Picburgu je jedan primer Internet VeriSign bezbednosnih servisa </li></ul><ul><li>Domin ira u pružanju servisa kritozaštite Web s ajtova, pokrivajući preko 75% tržišta </li></ul><ul><li>Obezbedjuje zaštićeni sistem plaćanja </li></ul><ul><li>Obezbedjuje servise zaštite vladinim agencijama i poslovnim kompanijama </li></ul><ul><li>Obezbedjuje registraciju imena domena i upravlja .com i .net dom enima </li></ul>

×