L'utilizzo delle applicazioni di commercio elettronico, sia quelle rivolte agli utenti finali (B2C - Business to Consumer) che quelle rivolte ad utenti professionali (B2B - Business to Business) stanno crescendo in modo importante a livello globale. Contemporaneamente, si assiste alla crescita dei rischi di sicurezza legati all’utilizzo di Internet. Nella presentazione vengono analizzati i principali aspetti relativi alla sicurezza dei siti e-commerce da un punto di vista infrastrutturale, funzionale e di integrazione con altri software, quali gli ERP.
Sicurezza dei sistemi e-commerce. Presentazione Didamatica 2017 - Roma (ITA version)
1. SICUREZZA DEI SISTEMI E-
COMMERCE
Didamatica 2017 16/05/2017 – Roma
Valerio Morfino – Claudio Fornaro
Relatore Valerio Morfino
2. Internet non è un posto
sicuro
Il Villaggio Globale è frequentato da un pubblico
piuttosto variegato, buona parte del quale non è
umano e talvolta non ben intenzionato
Solo il 44% del traffic web è umano; il 56% è
generato da bots, impersonators, hacking tools,
scrapers e spammers(*)
A dispetto dell’origine del termine, oggi l’hacker non
è la figura romantica di qualche film, ma una
manifestazione criminale spesso legata al
terrorismo(**)
(*) List of Internet, E-commerce & Hosting statistics for 2016, Internet Stats & Facts for 2016
(**) A. Acharya, Targeting Terrorist Financing: International Cooperation and New Regimes,
Routledge, 2009
4. Valore del Mercato e-commerce
Worldwide 2020
B2B+B2C 10.300 Mld $*
Worldwide 2016 B2B+B2C
8500 Mld $*
In Italia B2C 23 Mld € **
* Dati 2015-2016 (Fonte: Frost & Sullivan Research)
** Dati 2017 (Fonte Netcomm e Politecnico di Milano
5. Cosa significa sicurezza
per l’e-commerce
Disponibilità Integrità Riservatezza
Un sito di e-commerce deve essere sempre
visibile
I dati scambiati con il sito non devono essere
alterati
I dati scambiati con il sito devono rimanere
privati (es. carta di credito)
7. Infrastruttura
Un sito e-commerce deve essere "sempre
aperto" ossia avere un alto livello di
disponibilità
Per le piccole e medie aziende è meglio un
hosting su Internet Service Provider che può
garantire:
sicurezza fisica (intrusioni, incendi, ecc.)
continuità elettrica e di rete
hardware e servizi professionali (ridondanza,
backup, assistenza, presidio h24, ecc.)
Servizi Cloud per migliorare la scalabilità
8. Software
Principali aree del sito da controllare
Login e Registrazione
Conferma Ordine e Pagamento
Strumenti di difesa
HTTPS per garantire integrità e riservatezza dei dati
trasmessi e prevenire attacchi (MITM, Hijacking, Sniffing)
Captcha e Token per prevenire attacchi a forza bruta
Le difese vanno sempre misurate (es. con Analytics) e
bilanciate rispetto all’usabilità del sito
Un Captcha protegge da attacchi a forza bruta ma
costringe l’utente a un passaggio in più
9. Open Source vs Commerciale
Software commerciale
Costi di licenza o canone
Software assurance
Software Open Source
Nessun costo di licenza
Nessuna software assurance
Attenzione ai plug-in di terze parti non certificati!
Disponibili anche in modalità SaaS
Il servizio comprende hosting e software
Più semplice per il negoziante
È un costo operativo e non un investimento di capitale
10. Sistemi Integrati
E-commerce dialoga con molti sistemi:
ERP, sistemi di pagamento, motori di ricerca
Sono possibili diverse modalità di dialogo:
Asincrona, ad es. con scambio temporizzato
Sincrona, con scambio dati costante tra i sistemi
Dati sempre aggiornati ma…
…servono sempre dati aggiornati (quasi) in tempo reale?
Può minare la disponibilità di tutto o parte del sito (es. in
caso di servizio esterno non attivo)
Può aumentare la superficie d’attacco anche all’interno
dell’azienda (es. connessione sincrona con ERP aziendale
tramite Web Services)
Valutare sempre l’opportunità di flussi Sincroni o
Asincroni rispetto alle reali necessità del business
11. Conclusioni
Come i negozi fisici vengono difesi con
antifurti, serrande, telecamere, vigilanza…
… così i sistemi informatici richiedono
contromisure di tipo coerente
Rendere sicuri i siti e-commerce è un fattore
abilitante per consolidare la crescita del
settore
C’è molto interesse per i lavori legati alla
sicurezza informatica, in generale e per settori
specifici tra cui l’e-commerce