Az elektronikus kereskedelem biztonsági kérdései és válaszai

Az elektronikus Az elektronikus kereskedelem kereskedelem

biztonsági kérdései biztonsági kérdései és válaszaiés válaszai

Szöllősi SándorSzöllősi Sándorszollosi.sandor@nik.bmf.huszollosi.sandor@nik.bmf.hu

2023. ápr. 24.2023. ápr. 24.

2

Kulcsproblémák az Kulcsproblémák az elektronikus elektronikus

kereskedelembenkereskedelemben

0 10 20 30 40 50 60

BIZTONSÁG

Ügyfél tudatosság

Szabályozás

Kockázatkezelés

Költségtervezés

Bizalom

Skálázhatóság

Elfogadhatóság

Ügyfélszolgálat

Változáskezelés

Nincs probléma

3

A támadók lehetséges köre A támadók lehetséges köre és motivációikés motivációik

Diák Örömét leli mások elektronikus levelének elolvasásában

Hacker Különböző biztonsági rendszereket tesz próbára és adatokat tulajdonít el

Üzletember A konkurencia üzleti stratégiáját akarja megszerezni

Elbocsátott dolgozó Bosszút akar állni

Könyvelő A vállalat pénzét sikkasztja elTőzsdei bróker

Egy vevőnek e-mailben tett ígéretét szeretné letagadni

Szélhámos Bankkártya adatokat szerez meg és azokat eladja, vagy felhasználja

4

Elektronikus Elektronikus kereskedelem kereskedelem

biztonsági folyamatabiztonsági folyamataVevő

Bank

Internet

1 - SET - Secure Electronic Transaction2 - SSL - Secure Sockets LayerSecure Sockets Layer3 - Titkosítás4 - Tanúsítvány5 - Tűzfal

52

5

3

23

5

Internetszolgáltató

2KérésHitelesítés3

2

B kereskedő

A kereskedő

32VisszaigazolásRendelés32

14

1 2 3

2

3 4 5

32

1

41

1

5

Kockázatok, félelmek Kockázatok, félelmek hozzáférés hozzáférés

szempontjábólszempontjából A cégek nem tudnak alkalmazkodni a A cégek nem tudnak alkalmazkodni a

megnövekedett igényekhezmegnövekedett igényekhez Honlap tönkretételeHonlap tönkretétele Szolgáltatás visszautasításaSzolgáltatás visszautasítása Elfogadhatatlan teljesítményű Elfogadhatatlan teljesítményű

alkalmazásokalkalmazások

6

Kockázatok, félelmek Kockázatok, félelmek titkosság szempontjábóltitkosság szempontjából

Tranzakciók felfedéseTranzakciók felfedése Kereskedelmi partnerek Kereskedelmi partnerek

információnak felfedéseinformációnak felfedése Ügyfelek adatainak felfedéseÜgyfelek adatainak felfedése Illetéktelen hozzáférés az e-Illetéktelen hozzáférés az e-

mailekhezmailekhez

7

Felelősség az E-Felelősség az E-kereskedelem kereskedelem biztonságáértbiztonságáért

010203040

Csak IT IT és Üzletiterület

Csak azÜzleti terület

8

Kinek az elsődleges felelőssége Kinek az elsődleges felelőssége az EK biztonsági irányelveinek az EK biztonsági irányelveinek

érvényesítéseérvényesítése

10%

23%

6%12%

24%

25%

Mínőség biztosítás

IT

Alkalmazás fejlesztés

Üzleti terület

Belső ellenörzés

Informatikai biztonság

9

A biztonság segíti, vagy A biztonság segíti, vagy gátolja az elektronikus gátolja az elektronikus

kereskedelmet?kereskedelmet?A biztonság ... az elektronikus kereskedelmet

6%

18%

34%

24%

18%gátolja

némiképp gátolja

nem is gátolja, nem issegítinémiképp segíti

segíti

10

A Biztonság négy A Biztonság négy alappillérealappillére

TitkosságTitkosság HitelességHitelesség LetagadhatatlanságLetagadhatatlanság SértetlenségSértetlenségSértetlenségLetagadhatat-

lanság

TitkosságHitelesség

11

Biztonsági célokBiztonsági célok Az üzletmenet minden szereplőjének Az üzletmenet minden szereplőjének

azonosítása és hitelesítéseazonosítása és hitelesítése A forgalom megóvása módosítástól, A forgalom megóvása módosítástól,

megsemmisítéstől, beavatkozástól, megsemmisítéstől, beavatkozástól, megfertőződéstől. megfertőződéstől.

A forgalom megóvása a nem megfelelő, A forgalom megóvása a nem megfelelő, vagy szükségtelen felfedéstől.vagy szükségtelen felfedéstől.

Az üzletmenet zavartalan biztosítása Az üzletmenet zavartalan biztosítása technikai problémák eseténtechnikai problémák esetén

12

Eszközök és megoldások a Eszközök és megoldások a biztonság érdekébenbiztonság érdekében

Architektúra szempontjábólArchitektúra szempontjából Több rétegű architektúrák (Schmuck Több rétegű architektúrák (Schmuck

Balázs ea.)Balázs ea.) 2 rétegű architektúra vs. 3 rétegű architektúra2 rétegű architektúra vs. 3 rétegű architektúra

InfrastruktúraInfrastruktúra TűzfalakTűzfalak

Szoftveres és hardveres tűzfalakSzoftveres és hardveres tűzfalak Virtuális MagánhálózatokVirtuális Magánhálózatok

13

Eszközök és megoldások a Eszközök és megoldások a biztonság érdekébenbiztonság érdekében

HitelesítésHitelesítés JelszóJelszó Digitális aláírásDigitális aláírás

Titkos kulcsú, Nyilvános kulcsú aláírásokTitkos kulcsú, Nyilvános kulcsú aláírások AdatvédelemAdatvédelem

SSLSSL VírusvédelemVírusvédelem

14

Virtuális Magánhálózat Virtuális Magánhálózat (VPN)(VPN)

Virtuális Magánhálózat (Virtual Private Virtuális Magánhálózat (Virtual Private Network - VPN), olyan technológiák Network - VPN), olyan technológiák összessége, amelyek azt biztosítják, hogy összessége, amelyek azt biztosítják, hogy egymástól távol eső számítógépek egymástól távol eső számítógépek és/vagy egy cég által kizárólag saját és/vagy egy cég által kizárólag saját céljaira kialakított és fenntartott privát céljaira kialakított és fenntartott privát hálózatok biztonságosan hálózatok biztonságosan kommunikálhassanak egymással, kommunikálhassanak egymással, valamilyen publikus hálózaton keresztül valamilyen publikus hálózaton keresztül (ez tipikusan az Internet). (ez tipikusan az Internet).

15

Virtuális Magánhálózat Virtuális Magánhálózat (VPN)(VPN)

Elve, hogy minden egyes összekapcsolni Elve, hogy minden egyes összekapcsolni kívánt hálózatrész és a publikus hálózat kívánt hálózatrész és a publikus hálózat közé biztonsági átjárókat helyezünk. Az közé biztonsági átjárókat helyezünk. Az átjárók titkosítják a csomagokat, melyek átjárók titkosítják a csomagokat, melyek elhagyják a privát hálózatot és elhagyják a privát hálózatot és dekódolják a publikus hálózatból érkező dekódolják a publikus hálózatból érkező csomagokat, ezzel titkosított csatornát csomagokat, ezzel titkosított csatornát alakítva ki a publikus hálózaton.alakítva ki a publikus hálózaton.

16

Virtuális Magánhálózat Virtuális Magánhálózat (VPN)(VPN)

Privát hálózatok

Biztonságiátjárók

Titkosítottadatforgalom

Normál IPadatforgalom

17

Hitelesítés - JelszóHitelesítés - Jelszó A jó jelszó:A jó jelszó:

6 és 10 karakter közötti hosszúságú6 és 10 karakter közötti hosszúságú Tartalmaz egy, vagy több nagy betűtTartalmaz egy, vagy több nagy betűt (A…Z) (A…Z) Tartalmaz egy, vagy több kis betűtTartalmaz egy, vagy több kis betűt(a…z)(a…z) Tartalmaz egy, vagy több számjegyet Tartalmaz egy, vagy több számjegyet (0-9)(0-9) Tartalmaz egy, vagy több speciális karaktertTartalmaz egy, vagy több speciális karaktert

(!, *, &, %, $, #,(!, *, &, %, $, #, @)@) Egyetlen nyelven sem értelmes!Egyetlen nyelven sem értelmes! Például: Például: Up&AtM@7!Up&AtM@7!

GYAKRAN VÁLTOZIK ! ! !GYAKRAN VÁLTOZIK ! ! !

18

Titkosítási modellTitkosítási modell

Kódoló eljárás

Dekódoló eljárás

Kódoló kulcs

Dekódoló kulcs

Titkosított üzenet a csatornán

PNyílt

szöveg

PNyílt

szöveg

TámadóCsak

lehallgat Megváltoztat

19

Kripto…Kripto… KriptográfiaKriptográfia

Szövegek titkosításaSzövegek titkosítása KriptoanalítisKriptoanalítis

Titkos szövegek feltöréseTitkos szövegek feltörése KriptológiaKriptológia

Kriptográfia + KriptoanalítisKriptográfia + Kriptoanalítis

20

Kriptoanalízis 3 területeKriptoanalízis 3 területe A kódfejtő csak titkos szöveggel A kódfejtő csak titkos szöveggel

rendelkezikrendelkezik Néhány nyílt szöveggel és azok titkos Néhány nyílt szöveggel és azok titkos

párjával rendelkezik a kódfejtőpárjával rendelkezik a kódfejtő Szabadon választott nyílt szöveggel Szabadon választott nyílt szöveggel

és annak titkosított párjával és annak titkosított párjával rendelkezik a kódfejtőrendelkezik a kódfejtő

21

Hitelesítés - Digitális Hitelesítés - Digitális aláírásaláírás

Elvárások a digitális aláírásokkal szemben:Elvárások a digitális aláírásokkal szemben: A fogadó ellenőrizhesse a feladó valódiságátA fogadó ellenőrizhesse a feladó valódiságát A küldő később ne tagadhassa le az üzenet A küldő később ne tagadhassa le az üzenet

tartalmáttartalmát A fogadó saját maga ne rakhassa össze az A fogadó saját maga ne rakhassa össze az

üzenetetüzenetet Két legelterjedtebb megoldás:Két legelterjedtebb megoldás:

Titkos kulcsú aláírásTitkos kulcsú aláírás Nyilvános kulcsú aláírásNyilvános kulcsú aláírás

22

Titkos kulcsú aláírásTitkos kulcsú aláírás Szükséges egy központi hitelesség szervre, Szükséges egy központi hitelesség szervre,

amelyben mindenki megbízik. (Big Brother - BB)amelyben mindenki megbízik. (Big Brother - BB)

A – AlizB – BobP – Küldendő üzenetKA – Aliz kulcsaKB – Bob kulcsaKBB – Big Brother kulcsat – időbélyeg

Aliz Bob

BigBrother

A, KA (B, t, P)KB (A, t, P, KBB (A, t, P))Hello Bob!……Hello Bob!……

Hello Bob!……

23

Nyilvános kulcsú aláírásNyilvános kulcsú aláírás D(E(P))=P, valamint E(D(P))=PD(E(P))=P, valamint E(D(P))=P

Aliz számítógépe Bob számítógépe

Aliz egyéni Kulcsa

DA

Bob nyilvános Kulcsa

EBP P

Bob titkos Kulcsa

DB

Aliz nyilvános Kulcsa

EA

EB(DA(P))

DA(P)DA(P)

24

Adatvédelem - SSLAdatvédelem - SSL Az SSL (Secure Sockets Layer), Az SSL (Secure Sockets Layer),

titkosított kapcsolati rétegtitkosított kapcsolati réteg Ez egy protokoll réteg, amely a hálózati Ez egy protokoll réteg, amely a hálózati

(Network layer) és az alkalmazási (Network layer) és az alkalmazási rétegek (Application layer) között van. rétegek (Application layer) között van.

Az SSL mindenféle forgalom Az SSL mindenféle forgalom titkosítására használható - LDAP, POP, titkosítására használható - LDAP, POP, IMAP és legfőképp HTTP.IMAP és legfőképp HTTP.

128 bites titkosítás128 bites titkosítás

25

Adatvédelem - Adatvédelem - VírusvédelemVírusvédelem

Vírusok által okozott károk:Vírusok által okozott károk: AdatvesztésAdatvesztés Adat kiáramlásAdat kiáramlás Kiesett munkaidőKiesett munkaidő Szándékos rombolásSzándékos rombolás Rendelkezésre nem állásRendelkezésre nem állás

26

Adatvédelem - Adatvédelem - VírusvédelemVírusvédelem

0

40

80

120

Incid

ense

k 3

hóna

p al

att

1996 1997 1998 1999 2000 2001 2002

1000 PC-re jutó fertőzések aránya /ISCA

27

Reaktív vírus feldolgozásReaktív vírus feldolgozás A vírus felbukkan valahol a A vírus felbukkan valahol a

nagyvilágbannagyvilágban Felhasználó beküldiFelhasználó beküldi Víruslabor elemziVíruslabor elemzi Elkészül az adatbázis frissítésElkészül az adatbázis frissítés

~ 3 óra~ 3 óra

28

Mi a teendő?Mi a teendő? Védettség növeléseVédettség növelése

Védett gépek arányának növeléseVédett gépek arányának növelése Behatolási pontok védelmeBehatolási pontok védelme Biztonsági javítások telepítéseBiztonsági javítások telepítése

Reakció idő csökkentéseReakció idő csökkentése Vírusadatbázisok SOS frissítéseVírusadatbázisok SOS frissítése Rendszergazdák informálásaRendszergazdák informálása Frissítések azonnali szétterítéseFrissítések azonnali szétterítése

(cégen belül pull helyett push)(cégen belül pull helyett push)

29

Jövő . . . Jövő . . . Feladatok Jelenlegi helyzetJelenlegi helyzet JövőJövő

Személy-azonosság Főként jelszó Biometria,

biztonsági eszközök

Hitelesítés Főként jelszó Digitális aláírás

Meghatalmazás Főként jelszó Megbízható címtár

rendszerek

Letagadhatóság

Jelenleg kevéssé megoldott Digitális aláírás

Üzlet folytonosság

A jelenlegi helyzet kielégítő Elosztott hálózatok

30

Köszönöm a figyelmet!Köszönöm a figyelmet!

31

Felhasznált irodalomFelhasznált irodalom ISACA: E-commerce Security - Global Status ISACA: E-commerce Security - Global Status

ReportReport ISACA: E-commerce Security - Enterprise ISACA: E-commerce Security - Enterprise

Best PracticesBest Practices Andrew S. Tanenbaum: Számítógép Andrew S. Tanenbaum: Számítógép

hálózatokhálózatok