Documente Academic
Documente Profesional
Documente Cultură
8.securitatea in Internet
8.securitatea in Internet
Securitatea pe Internet
Vulnerabilitile mediului Internet care afecteaz comerul electronic
Un factor principal care frneaz oarecum dezvoltarea comerului electronic l
constituie insecuritatea. Iniial, serviciile din Internet au fost proiectate pentru
cercetare i nu pentru desfurarea unor tranzacii comerciale. Se pot identifica
mai multe probleme specifice de securitate, care pot fi considerate obstacole n
dezvoltarea comerului pe Internet.
Probleme de concepie:
Internetul opereaz ntr-un mediu de ncredere, n care este permis tuturor
utilizatorilor situai la distan s acceseze fiierele i resursele critice de pe
computere din ntreaga lume. La nceputurile erei Internet, securitatea era lsat
mai mult pe respectul reciproc al utilizatorilor, pe "gentlemen agreement"-ul
stabilit ntre acetia dect pe msuri tehnice i administrative. O protecie
minim, considerat mult timp suficient, dar dovedit ulterior cu slbiciuni de
concepie, au constituit-o sistemele de parole care creau o anumit barier la
prtunderea pe un sistem aflat la distan. Pe msur ns ce Internetul s-a
extins, comunitatea utilizatorilor a crescut foarte mult, iar ntre acetia se gsesc
numeroase persoane care nu mai respect regulile de comportament stabilite
iniial de cercettori. Cateva exemple celebre au atras atentia opiniei publice i a
ridicat semne de ntrebare asupra securitii online:
- Viermele Internet, care a afectat cteva mii de computere n 1988;
- Incidentul "Berferd" de la AT&T, din 1991;
- Furtul de parole ale furnizorilor de servicii Internet din anii 1993-1994;
- Interceptarea pachetelor IP la Centrul de supercomputere de la San
Diego, din 1994;
- Furturile de fonduri de la Citibank, din 1995.
Toate atacurile speculeaz proasta configurare a unor sisteme, unele erori n
scrierea programelor, administrarea neglijent a unor noduri sau chiar
neglijena unor utilizatori autorizai. De asemenea, unele atacuri mai sofisticate
profit de lipsa total a unor servicii de securitate n ierarhia de protocoale
TCP/IP, folosit de toate computerele conectate la Internet.
-1-
-2-
acest tip conduc la furtul unor servicii, accesibile n mod normal numai celor
care pltesc, cum ar fi cele de informare sau de distribuire de software.
Aceste lucruri pot, de exemplu, informa o firm despre tratativele de afaceri
ale altor firme competitoare sau pot genera deconspirarea unor date cu
caracter personal ale cumprtorilor, date transmise doar pentru firmele cu
care acetia fac afaceri.
Furtul paroleleor. Atacurile de acest tip pot fi folosite pentru a permite
accesul la sisteme unde se afl informaii sau servicii importante. Folosirea
unor algoritmi criptografici tot mai puternici pentru protejarea acestor date a
mutat inta atacurilor de la ncercrile de a "sparge" protocolul la ncercrile
de obinere a unor informaii "n clar" de la nodurile mai puin protejate.
Modificarea datelor. Aceste atacuri folosesc la schimbarea coninutului
unor tranzacii, ca de exemplu suma transferat din contul unei bnci,
persoana pltit pe un cec electronic, valoarea unor comenzi etc.
nregistrarea. Acest tip de atac poate fi folosit pentru a permite unei pri
comunicante s se dea drept alta. Atacatorul plaseaz n Internet un computer
destinat colectrii a sute de mii de numere de cri de credit, numere de cont
sau alte informaii despre diferii clieni utilizatori ai comerului electronic.
Folosind aceste informaii, atacatorii pot executa pli n numele unor
persoane care nici nu bnuiesc sau pot colecta taxe de la diveri comerciani
n numele statului.
Repudierea. Repudierea sau refuzul de recunoatere a unor tranzacii fcute
prin reea creeaz serioase daune prilor implicate. Considerai, de exemplu,
situaia unui cec bancar, refuzat nu pentru c nu are acoperire n cont, ci
pentru simplul fapt c banca nu are mijloace de autentificare ale acestuia.
-3-
-4-
-5-
-6-
-7-
-8-
Orice afacere trebuie s-i asume un anumit grad de risc n momentul n care se
decide s ptrund pe piaa virtual. Securitatea tranzaciilor trebuie asigurat la
cele mai nalte standarde, altfel clienii vor sta departe de magazin, iar a repara o
reputaie negativ dureaz mult mai mult dect a crea o imagine pozitiv i
ncrezatoare de la bun nceput.
De-a lungul timpului, pe masur ce afacerile virtuale au luat amploare, multe
companii, mai mari sau mai mici, au preferat s ascund de opinia public
fraudele i atacurile din interior sau din exterior, au renunat la deferirea n
justiie a vinovailor i la urmrirea lor doar pentru a-i proteja imaginea i
pentru a nu afecta grav profitul.
O alt urmare a insuficienei securizri a magazinului online o constituie
retragerea conturilor de comerciant. Contul de comerciant nu este un simplu
cont bancar ci mai degrab un cont special, care este deschis pentru a permite
acceptarea plilor cu cri de credit. Majoritatea conturilor de comerciant
accept toate mrcile importante de cri de credit (MasterCard, Visa etc.). n
cazul unor tranzacii frauduloase, cum ar fi pli cu cri de credit furate, dup
ce deintorul de drept al crii de credit descoper neregula, comerciantul care a
acceptat aceste pli este nevoit s restituie suma ncasat, cu toate c marfa a
fost livrat.
Visa USA a iniiat un program numit CISP1 (Cardholder Information Security
Program Program privind Securitatea Informaiilor Deintorilor de Carduri),
care prevede cerinele minime care trebuie ndeplinite de ctre orice organizaie
(comerciani online, furnizorii serviciilor de gzduire, creare de site-uri etc.)
care proceseaz, stocheaz sau are acces la informaii legate de tranzaciile cu
cri de credit efectuate prin mijlocirea mediului Internet. Programul are la baz
o list "Top Ten" a cerinelor logice pentru protejarea datelor deintorilor de
cri de credit:
1. Instalarea i meninerea firewall-urilor n vederea protejrii datelor
accesibile prin Internet.
2. Actualizarea domeniilor i informaiilor legate de securitate.
3. Criparea datelor stocate.
4. Criptarea datelor trimise prin reele deschise (de exemplu Internet).
5. Utilizarea i actualizarea periodic a software-urilor antivirus.
1
- 10 -
Semnturile digitale
Semnturile digitale sunt rezultatul inversrii mecanismului de criptare cu chei
publice. Utilizatorul i creeaz propria semntur digital criptnd un text
anume cu cheia sa privat. Aceast semntur o ataeaz apoi oricrui mesaj pe
care l trimite, criptnd pachetul cu cheia public a destinatarului. Destinatarul
decripteaz mesajul cu cheia privat, apoi decripteaz semntura expeditorului
cu cheia public. Reuita decriptrii garanteaz identitatea expeditorului.
Plicuri digitale
Dei sistemele de criptografie asimetric par foarte potrivite pentru Internet, ele
totui au un mare dezavantaj: sunt prea lente pentru transmiterea unor fiiere de
dimensiuni mari. Soluia o reprezint combinarea celor dou sisteme.
Expeditorul genereaz o cheie secret aleatoare numit cheie de sesiune,
deoarece ea dispare dup terminarea comunicrii. Cripteaz mesajul folosind
cheia de sesiune i un algoritm simetric la alegere. Cripteaz cheia de sesiune cu
cheia public a receptorului, crend un "plic digital". Trimite mesajul criptat,
mpreun cu plicul digital. Cnd receptorul primete mesajul, folosete cheia sa
privat pentru a decripta cheia de sesiune, apoi o folosete pe aceasta din urm
pentru a decripta mesajul propriuzis. Mesajul este asigurat, pentru c este criptat
cu algoritm simetric, cunoscut numai de emitor i receptor, iar cheia de
sesiune este, de asemenea, asigurat pentru c este criptat n aa fel nct doar
receptorul o poate decripta (cu cheia sa privat).
Autoritile de certificare
n cazul utilizrii criptrii cu cheie public se ridica o probelm: aceasta
funcioneaz doar dac tii cheia public a receptorului. ntruct pe Internet
exist sute de mii de servere i milioane de persoane conectate, o persoan nu
poate avea la ndemn o list cu toate cheile tuturor persoanelor. Pe de alt
parte nici nu poate cere cheia sa printr-o conexiune neasigurat, pentru c nu are
nici o garanie c persoana de la captul firului este ntr-adevr cine pretinde c
este. Cea mai bun soluie gsit pn acum este bazarea pe o a treia persoan,
numit "autoritate de certificare" (AC) i care se ocup cu validarea cheilor
publice. AC-urile sunt ntreprinderi comerciale cunoscute i de ncredere care
garanteaz pentru identitatea persoanelor fizice sau juridice. nainte de a se
trimite un mesaj cuiva, se poate cere certificatul digital, semnat de una dintre
aceste AC, certificat din care reiese identitatea i cheia public a persoanei. Cea
mai cunoscut firm care se ocup cu eliberarea de certificate digitale este
VeriSign. Exist dou tipuri mari de certificate: personale i pentru servere.2
2
Achiziii frauduloase
Achiziiile frauduloase deriv din dou riscuri la cere este expus comerciantul
online. Primul presupune c cineva ncearc s cumpere un produs cu o carte de
credit care a fost anunat furat, este nefuncional, retras sau a depit limita
de creditare. Combaterea acestui fenomen este o problem de autorizare. n al
doilea rnd, exist riscul ca cineva s ncearce s foloseasc o carte de credit
valabil, care ns nu i aparine, dar furtul nu a fost (nc) raportat. Aceasta este
o problem de autentificare.
- 12 -
Autorizarea
Magazinele online pot cere autorizarea tranzaciilor cu cri de credit manual,
folosind un terminal de tranzacii, sau n timp real, folosind gateway-uri
(portaluri) de plat. Un gateway de pli este un serviciu care leag magazinul
online la un procesor de pli, denumit i reea de pli. Acest procesor de pli
este legat la reeaua bncilor i a companiilor de cri de credit, asigurnd astfel
procesarea n timp real a plilor. Dac respectiva carte de credit a fost anulat,
furat (i anunat) sau nu are acoperire suficient, plata va fi refuzat de
compania financiar emitent a crii de credit. Acest proces, de autorizare a
plii este asemntor cu cel desfurat n cadrul magazinelor obinuite cnd
cumprtorii pltesc cu cri de credit.
Autentificarea
Aa cum s-a artat mai sus, obinerea autorizrii plii nu este suficient pentru
a asigura securitatea tranzaciei i a elimina frauda. Din moment ce
comerciantul nu poate identifica persoana care pltete, riscul unei fraude
persist n ciuda autorizrii plii. Mai grav este faptul c, n cazul unei
tranzacii frauduloase bncile retrag ulterior autorizarea, cernd returnarea
plii, caz n care comerciantul rmne cu marfa livrat i cu plata returnat.
Metode de autentificare manuale
Este recomandat ca formularul de comand s cear specificarea att a
numrului de telefon de acas ct i a numrului de la locul de munc. Astfel
comerciantul are posibilitatea s sune pentru confirmarea comenzii, mai ales n
cazul unor mrfuri scumpe sau cantiti mari.
Verificarea att a adresei de livrare ct i a adresei de facturare.
- 13 -
- 14 -
- 15 -
- 16 -
- 17 -
- 18 -
- 19 -
Aproape 76% din presupuii infractori sunt indivizi (persoane fizice), 81%
sunt brbai, jumtate dintre ei avnd domicilul n urmtoarele state:
California, Florida, New York, Texas, and Illinois. Dei majoritatea lor sunt
din SUA, infractorii sunt bine reprezentai i n China, Nigeria i Anglia.
Peste 70% din victimele fraudelor sunt brbai, jumtate cu vrsta cuprins
ntre 30 i 50 de ani (vrsta medie fiind de 38,6 ani), mai mult de 1/3 avnd
rezidena n unul dintre statele cele mai populate din SUA: California, Texas,
New York i Florida. Cu toate c majoritatea plngerilor provin de pe
teritoriul SUA, CMFI a primit un numr considerabil de sesizri i din
Canada, Anglia, Australia, Europa i Japonia.
Rata pierderilor pe o plngere este influenat de o mulime de factori.
Afacerile tind s piard mai mult dect victimele individuale, iar brbaii tind
s piard mai mult dect femeile. Aceste diferene pot fi generate att de
obiceiurile de cumprare online difereniate pe sexe ct i de tipurile de
fraude care afecteaz n mod specific persoanele fizice. Cu toate c nu exist
o relaie concludent ntre vrst i pierderi raportate, ponderea indivizilor
care au raportat pierderi de 5.000 de dolari sau mai mari este maxim pentru
categoria celor peste 60 de ani.
Mesajele de pot electronic i site-urile Web reprezint mijlocul preferat
de comitere a fraudelor. Aproape 70% din totalul plngerilor au raportat
contact prin e-mail cu infractorul.
- 20 -
- 21 -
- 22 -
Fraude investiionale
- 23 -
Frauda organizaional
Se recomand cumprarea de bunuri i servicii numai din surse autentice, cu
reputaie bun i cu un nivel de securizare acceptabil.
Trebuie cerut adres fizic a comerciantului, n locul acelora de pot
electronic, OP sau un numr de telefon. n cazul obinerii unui numr de
telefon, se impune verificarea acestuia sunnd efectiv la vnztor.
Se pot trimite mesaje de pot electronic pentru a verifica starea activ a
contului comerciantului; conturile din site-uri gratuite trebuie s trezeasc
suspicii n rndul consumatorilor.
Vnztorii care resping cererile de informare ale clienilor trebuie eviatai.
- 24 -
Bugete de securitate
n urma celor prezentate n acest capitol rezult necesitatea impulsionrii
managerilor (care vor s-i deschid un magazin virtual sau care l au deja) n
sensul de a acorda o mai mare importan problemelor de securitate. Este
adevrat c orice afacere se dorete a fi ct mai profitabil i cu costuri ct mai
mici, deci implicit se impune reducerea bugetelor alocate diferitelor aciuni ce
influeneaz n final profitul. Dar n acest caz (cel al afacerii pe Internet), cnd
se pune problema cheltuielilor justificate cu securitatea site-urilor, ideea de baz
este ca vizitatorul s revin i a se transforme n cumprtor, nu s fie alungat
de teama furtului numrului carilor de credit. Orice investiie n asigurarea
securitii magazinelor virtuale este la fel de justificat ca i cea a angajrii unui
paznic ntr-un magazin real. Deci, pentru ca afacerea s fie i profitabil (nu
numai s existe n mediul Internet), nu ezitai asupra mririi bugetului care v
poate aduce garania c vizitatorii dumneavoastr sunt perfect ncreztori n
capacitatea firmei de a-i proteja.
"Consumatorii insist pe securitate ca pe o problem de via i moarte, i astfel
aceasta devine o component esenial a vnzrii", spune un consultant pe
probleme de securitate al unei instituii financiare din Nord-Estul Americii.
Totui, viruii, viermii i caii troiani reprezint n continuare cel mai frecvent tip
de atac, cu 90% din organizaii afectate de aceste incidente. Impactul infectrii
sistemului cu virui este msurat pornind de la pierderile de date, resurse i de
productivitate datorate ntreruperii pariale sau totale a activitii. Dar, pe lng
acestea, o rat ridicat a infeciilor cu virui implic riscuri uriae n ceea ce
privete reputaia firmei.
Analiza statistic a demonstrat nc o dat c incidentele de securitate interne
sunt mult mai frecvente dect atacurile externe. Astfel, semnificativ mai multe
corporaii au raportat nclcri interne ale protocoalelor de acces sau furturi de
echipamente de ctre angajai dect refuzuri ale funcionrii sau spargeri de
parole de ctre strini.
- 25 -
- 26 -