e-commerce

1. 1
IL COMMERCIO
ELETTRONICO

2. 2
L'espressione commercio elettronico viene utilizzata
per indicare l'insieme delle transazioni per la vendita
di beni e servizi tra un produttore o un venditore
(offerta) e un consumatore (domanda), realizzate per
via telematica.
Può essere:
1. indiretto se la cessione del bene avviene per via
telematica, mentre la consegna avviene tramite i canali
tradizionali;
2. diretto se sia la cessione che la consegna del bene
avviene per via telematica. Fanno parte di questo
gruppo un giornale, un libro per cui il problema
telematico non presenta particolari problemi.
IL COMMERCIO ELETTRONICO

3. 3
Le modalità di e-commerce più conosciute sono:
• businness-to-businness (b2b): è il caso in cui
un’azienda utilizza il commercio elettronico per
inviare fatture, ordini, ecc…(es:Zucchetti).
• businness-to-consumer (b2c): è il caso della
vendita elettronica al minuto. L’azienda
venditrice cede uno o più beni ad un cliente
privato;
• consumer-to-consumer (c2c): se due utenti si
scambiano tra di loro dei beni (es:E-bay,…)

4. 4
Vantaggi…
• Possibilità di effettuare ordini e pagamenti
in qualsiasi momento;
• Approvvigionamento;
• Offerta sempre aggiornata;
• Consegna a domicilio;
• Più offerte in un unico ambiente: maggiore
concorrenza

5. 5
SVANTAGGI
• Modalità di accesso ai punti vendita/centri
commerciali virtuali non sempre
immediatamente intuibili;
• Soprattutto in passato, mancanza di una
normativa specifica.
• Il principale freno allo sviluppo dell’e-commerce
è che
l’ utente, in generale, non si fida nel fornire i dati
relativi alla propria carta di credito.

6. 6
E-COMMERCE COME FORMA DI
COMUNICAZIONE
Internet è un mezzo immediato per diffondere
informazioni o dialogare con i propri interlocutori:
gli agenti, le sedi distribuite sul territorio, il
mercato esistente o potenziale, la catena di
vendita o i fornitori. La distribuzione di
informazioni attraverso internet comporta
vantaggi di velocità, la possibilità di
aggiornamento dei dati e dei documenti in tempo
reale, l’abbattimento dei costi di trasporto.

7. 7
SERVIZI MIGLIORI PER IL CLIENTE
Molti servizi erogati in Rete anziché su altri
mezzi di comunicazione hanno indubbi van-
taggi di riduzione dei costi, maggior velocità
di trasmissione e miglior personalizzazione.
Esempio: pacco FedEx

8. Schema di pagamento via
Web
SSL
POS
virtuale
2. ordine
3. redirect
4. richiesta
c.c.
5. dati c.c.
6. dati c.c. OK?
8. pagamento OK!
Internet
Gateway
Bancario 7. OK!
cardholder
1. offerta
payment
network
venditore

9. 9
Il problema della sicurezza (1/2)
Problematica relativa alla trasmissione in
chiaro di alcune informazioni sensibili tra cui
il numero della carta di credito.
Affinché il commercio elettronico abbia effet-
tivamente successo, è necessaria l’autenti-
cazione degli utenti.

10. Principali attacchi on-line
PhishingTecnica più diffusa per il
furto di identità. Si basa sull’utilizzo di
messaggi di posta elettronica falsi che
hanno lo scopo di reperire credenziali
dell’ utente direttamente o attraverso
link di siti fittizi. Suo sostituto è il
Vishing che si basa sulla
comunicazione vocale come mezzo
per spillare info sensibili.

11. Principali attacchi on-line
 Sniffing  “agenti informatici” intercettano i singoli
pacchetti dati che transitano all'interno di una rete in un
determinato momento e li “smembrano” andando a
decodificare le varie parti di cui sono composti.
Analizzando le varie intestazioni a livello datalink,
rete, trasporto e applicativo, gli sniffer sono in grado di
recuperare informazioni di ogni tipo sulla comunicazione in
atto tra due o più nodi della rete: dalla tipologia di dati
scambiati, sino alle password per accedere alla rete Wi-Fi
o, addirittura, le credenziali per l'accesso ai vari servizi
web.

12. Principali attacchi on-line
 Spoofing questa tecnica permette di
creare un pacchetto IP, ad hoc, nel quale
viene falsificato l’indirizzo IP del mittente.
Durante lo spoofing, infatti, l’attaccante
autentica la propria macchina nella rete
bersaglio usando i pacchetti che
provengono da un host “fidato”. Può
riguardare la falsificazione sia dell’indirizzo
MAC che dell’indirizzo IP.

13. SECURE ELETTRONIC
TRANSACTION
• Il protocollo SET è stato sviluppato da diverse grandi imprese
tra cui Visa, Mastercard, IBM e Microsoft. Tale protocollo:
1. fornisce un canale di comunicazione sicuro in una
transazione;
2. garantisce la sicurezza e la riservatezza delle informazioni;
3. NON è un sistema di pagamento.
4. garantisce autenticazione (sia del compratore che del
venditore)

14. Caratteristiche SET
– SET è un insieme di protocolli sicuri che funzionano per piattaforme di
pagamento basate su carte di credito
– Usa certificati X.509v3 dedicati esclusivamente alle transazioni SET
– Assicura la privacy degli utenti perché mostra a ciascuna parte solo i
dati che le competono
– Le sue caratteristiche tecniche sono:
– versione 1.0 (maggio 1997)
– digest: SHA-1
– crittografia simmetrica: DES
– scambio chiavi: RSA
– firma digitale: RSA con SHA-1

15. Il problema della sicurezza (2/2)
• Trasmissione in chiaro di alcune informazioni
sensibili tra cui il numero della carta di credito;
• Autenticazione degli utenti;
• Il venditore deve avere l’opportunità di operare
sul mercato in maniera serena.
Per risolvere questi problemi i maggiori siti di
commercio elettronico, utilizzano diversi
protocolli. I più utilizzati sono:
• SSL e TLS;
• SET

16. 16
Secure Socket Layer
SSL è stato introdotto nel 1995. Dopo la
scoperta di una serie di gravi falle di sicurezza,
è stata rilasciata la versione migliorata 2.0,
seguita l’anno successivo dalla versione 3.0. In
seguito, l’IETF (Internet Engineering Task
Force, responsabile dell’evoluzione tecnica e
tecnologica di Internet) ha respinto la versione
SSL 3.0, per la presenza di nuove falle di
sicurezza. Successivamente si passò a TLS.

17. 17
Il protocollo SSL è nato al fine di garantire la
privacy delle comunicazioni su Internet. SSL
garantisce la sicurezza del collegamento
mediante tre funzionalità fondamentali:
• Privatezza del Collegamento: i dati vengono
protetti utilizzando algoritmi di crittografia a
chiave simmetrica (ad es. DES, RC4, ecc.);
• Autenticazione: L'autenticazione dell'identità
nelle connessioni può essere eseguita usando la
crittografia a chiave pubblica (per es. RSA, DSS
ecc.).

18. 18
Il protocollo SSL è nato al fine di garantire la
privacy delle comunicazioni su Internet. SSL
garantisce la sicurezza del collegamento
mediante tre funzionalità fondamentali:
•Affidabilità: Il livello di trasporto include un
controllo sull'integrità del messaggio basato su
un’apposita autenticazione chiamata MAC
(Message Authentication Code) che utilizza
funzioni hash sicure (come ad es. SHA, MD5 ecc.).

19. 19
SSL sta per “Secure Socket Layer”, TLS per
“Transport Layer Security”. Entrambi sono
protocolli di crittografia per il livello di
trasporto di Internet. Il loro compito è criptare i
flussi di dati tra client e server usando la
crittografia asimmetrica (RSA).
Se la comunicazione avviene attraverso questi
livelli di trasporto criptati, al nome del
protocollo viene aggiunta una “s” pertanto
http diventa https, imap diventa imaps e così
via. L’abbreviazione SSL viene utilizzata anche
quando si parla di certificato SSL: questo
certificato è richiesto quando un sito web vuole
comunicare via https, come è il caso della

20. 20
Il TLS attuale è più sicuro, più flessibile e più
efficiente del precedente SSL. Tuttavia, poiché la sigla
“SSL” è molto più conosciuta rispetto a TLS, molti fornitori
di client software, router, ecc. utilizzano la sigla SSL o in
alternativa la doppia sigla SSL/TLS, pur riferendosi alla
versione attuale di TLS, cioè TLS 1.3.
Attualmente si utilizza solo TLS. SSL 2.0 e SSL 3.0 sono
obsoleti e considerati insicuri. Lo stesso vale per le
versioni precedenti di TLS. Solo TLS 1.2 può ancora
essere usato in determinate condizioni.
Si raccomanda di evitare tutti i protocolli SSL (il cui uso
non è più consentito) e le versioni 1.0 e 1.1 di TLS (il cui
supporto sarà presto eliminato). Su server dotati di una
configurazione adeguata, questi protocolli obsoleti sono
disabilitati.

21. 21
ARCHITETTURA SSL
SSL
Handshak
e prt.
SSL Change
Cipher Spec
prt.
SSL Alert
protocol HTTP
SSL Record protocol
TCP
IP

22. 22
SSL è formato da quattro diversi livelli di
proto-colli:
• SSL Handshake: fornisce un processo di
auten-ticazione tra client e server per la
creazione di un canale sicuro;
• SSL Record: trasporto dei messaggi
fornendo riservatezza ed integrità dei dati;
• SSL Alert: gestione eccezioni;
• SSL Change Cipher Spec: finalizzato a
segnala-re le transizioni nelle strategie di
crittografia.

23. 23
SSL ALERT
È un protocollo che notifica eccezioni, anch’essi cifrate
che si possono verificare nella comunicazione. Ad
ogni eccezione è associata un livello di fatalità e una
breve descrizione dell’evento occorso. I principali
errori possono essere dovuti ad esempio a:
eventuale incapacità del mittente nel generare un set
accettabile di parametri tra quelli proposti, input
errati dell’utente, record ricevuti con mac
errati;certificazioni errate.

24. 24
SSL Change Cipher Spec Protocol
L'unica funzione di questo messaggio è fare in
modo che siano aggiornate le informazioni
riguardanti la suite di algoritmi di cifratura da
utilizzare nella connessione, nel caso questi siano
stati rinegoziati a livello di sessione tramite
Handshake.
Esso è inviato sia dal client che dal server per
comunicare alla parte ricevente che i dati seguenti
saranno protetti dalle chiavi e dal CipherSpec
appena negoziato

25. 25
SSL HANDSHAKE
SSL prevede una fase iniziale, detta di handshake, usata
per iniziare una connessione TCP/IP.
Il protocollo SSL usa una combinazione di chiavi pubbliche
e chiavi simmetriche. La cifratura a chiave simmetrica è
molto più veloce della cifratura a chiave pubblica, anche se
quest'ultima provvede ad una tecnica di autenticazione
migliore.
Una sessione SSL inizia sempre con uno scambio di
messaggi chiamati di SSL handshake.
L'handshake consente al server di autenticarsi al client
usando una tecnica a chiave pubblica, quindi permette al
client ed al server di cooperare per la creazione delle chiavi
simmetriche usate per una veloce cifratura, decifratura e
controllo delle intrusione durante la sessione avviata.

26. 26
Dopo la fase di handshake i dati
vengono compressi, ai dati viene
applicato MAC (Message
Authentication Code utilizzato per il
protocollo dell’integrità dei dati),
cifrati, e trasmessi.
I dati ricevuti vengono decifrati,
verificati, decompres-si, e riassemblati,
quindi vengono trasmessi al livello più
alto.
SSL RECORDS(1/2)

27. 27
SSL RECORDS(2/2)
In generale SSL prende i pacchetti che devono essere
trasmessi e li frammenta in blocchi di dati (record di
214 byte o meno):
Dati
- Protocol
- Size
- Record
type
- Block
cipher
padding
- MAC

28. 28
SECURE ELETTRONIC
TRANSACTION
Il protocollo SET è stato sviluppato da diverse
grandi imprese tra cui Visa, Mastercard, IBM e
Microsoft. Tale protocollo:
1. fornisce un canale di comunicazione sicuro
in una transazione;
2. garantisce la sicurezza e la riservatezza
delle informazioni;
3.NON è un sistema di pagamento.
4. garantisce autenticazione (sia del
compratore che del venditore)

29. TLS
• Da qualche anno a questa parte sempre più siti web
stanno implementando all’interno della loro infrastruttura
i certificati TLS (acronimo di Transport Layer Security ed
eredi dei certificati SSL, oggi ritenuti insicuri), strumenti
di sicurezza che garantiscono “l’identità” di un sito
Internet e fanno sì che la connessione utilizzata sia
crittografata e protetta. Utilizzati principalmente dai
portali di home banking, di posta elettronica, dai social
network e, più in generale, da tutti quei siti che
richiedono l’autenticazione, i certificati TLS sono in
grado di mettere al riparo da attacchi phishing.
29