Asigurarea Securitatii In Comertul Electronic

4 Asigurarea securitații în comerțul electronic

Sisteme de criptare

Există o mare varietate de programe utilizate pentru criptarea fișierelor sau comunicațiilor, însă toate se bazează pe câteva sisteme:

A. Criptografia simetrică (cu cheie secretă)

În criptografia simetrică, este folosită aceeași cheie atât la criptare cât și la decriptare. Aceasta înseamnă că între persoanele care comunică există un accord prin care s-a stabilit o cheie unică, pe care expeditorul o folosește la criptarea textului inițial, iar destinatarul o folosește la decriptarea mesajului recepționat.

Pe Internet însă, se pune problema comunicării între persoane care nu s-au întâlnit niciodată, deci nu se pot pune de acord în prealabil asupra cheii. Această metodă poate fi utilizată în grupuri restrânse de utilizatori.

Semnăturile digitale

Semnăturile digitale sunt rezultatul inversării mecanismului de criptare cu chei publice. Utilizatorul își creează propria semnătură digitală criptând un text anume cu cheia sa privată. Această semnătură o atașează apoi oricărui mesaj pe care îl trimite, criptând pachetul cu cheia publică a destinatarului. Destinatarul decriptează mesajul cu cheia privată, apoi decriptează semnătura expeditorului cu cheia publică. Reușita decriptării garantează identitatea expeditorului.

Plicuri digitale

Deși sistemele de criptografie asimetrică par foarte potrivite pentru Internet, ele totuși au un mare dezavantaj: sunt prea lente pentru transmiterea unor fișiere de dimensiuni mari. Soluția o reprezintă combinarea celor două sisteme. Expeditorul generează o cheie secretă aleatoare numită cheie de sesiune,deoarece ea dispare după terminarea comunicării. Criptează mesajul folosind cheia de sesiune și un algoritm simetric la alegere.

Autoritățile de certificare

În cazul utilizării criptării cu cheie publică se ridica o probelmă: aceasta funcționează doar dacă știi cheia publică a receptorului. Întrucât pe Internet există sute de mii de servere și milioane de persoane conectate, o persoană nu poate avea la îndemână o listă cu toate cheile tuturor persoanelor. Pe de altă parte nici nu poate cere cheia sa printr-o conexiune neasigurată, pentru că nu are nici o garanție că persoana de la capătul firului este într-adevăr cine pretinde că este.

Certificatele personale (sau identitatea digitală – Digital ID) sunt legate de o adresă de poștă electronică și pot fi utilizate pentru a semna mesajele e-mail sau pentru a primi mesaje criptate. De asemenea, pot fi utilizate pe post de "pașaport electronic" pentru identificarea la intrarea pe site-uri cu acces restricționat.

Certificatele VeriSign criptează datele utilizând SSL, standardul de protejare acomunicațiilor pe Internet creat de Netscape. Tehnologia SSL este inclusă în majoritatea browser-elor și serverelor, astfel încât simpla instalare a unui

certificat digital permite oricui criptarea de date folosind acet protocol.

Achiziții frauduloase

Achizițiile frauduloase derivă din două riscuri la cere este expus comerciantul online. Primul presupune că cineva încearcă să cumpere un produs cu o carte de credit care a fost anunțată furată, este nefuncțională, retrasă sau a depășit limita de creditare.

Autorizarea

Magazinele online pot cere autorizarea tranzacțiilor cu cărți de credit manual,folosind un terminal de tranzacții, sau în timp real, folosind gateway-uri (portaluri) de plată. Un gateway de plăți este un serviciu care leagă magazinul online la un procesor de plăți, denumit și rețea de plăți. Acest procesor de plăți este legat la rețeaua băncilor și a companiilor de cărți de credit, asigurând astfel procesarea în timp real a plăților.

Autentificarea

Așa cum s-a arătat mai sus, obținerea autorizării plății nu este suficientă pentru a asigura securitatea tranzacției și a elimina frauda. Din moment ce comerciantul nu poate identifica persoana care plătește, riscul unei fraude persistă în ciuda autorizării plății.

4.1 Amenintari asupra serverului bazei de date

Bazele de date sunt poate cele mai atacate si vulnerabile elemente din mediul online in ceea ce priveste organizatiile. Nu este greu de inteles de ce: bazele de date conțin cele mai importante informații ale unei organizații și date confidențiale ale acesteia alături de cele ale clienților săi.

Cu toate acestea doar 5% din cheltuielile dedicate securității sunt efectiv sunt destinate protejăriicentrelor de date.

După ce aceste informatii sensibile sunt accesate de hackeri pot apărea o serie de probleme foarte grave: pot fi furate datele confidențiale, pot fi șterse – producând pierderi majore – sau pot fi anulate anumite acțiuni, cu urmări dezastruoase. Pe de alta parte, o astfel de breșă în siguranța datelor influenăează negative și imaginea companiei respective, ajungându-se chiar la probleme legale.

Veștile bune oferite de cei de la Online Trust Alliance (OTA) in 2013 arată că peste 97% dintre incidentele de acest gen pot fi eliminate prin respectarea unor pași simpli, a unor reguli de bune practice și control.
Cele 10 amenințări asupra bazelor de date prezentate mai jos sunt cele mai puternice si mai întalnite, așa cum le-au identificat cei de la Imperva Application Defense Center. Topul este realizat pentru anul 2014, fiind însă identic cu cel pentru 2013. Apare o singură diferență in modificarea denumirii de SQL Injection (în 2013) în Input Injection în 2014, pentru a cuprinde și Big Data.

Top 10 amenintari

1.    Privilegii (drepturi) excesivesineutilizate
2.    Abuzul de privilegii
3.    Input Injection 
4.    Malware
5.    Audit incorect
6.    Expunereamediilor de stocare
7.    Exploatareavulnerabilitatilorsigreselilor de configurare a bazelor de date
8.    Datelesensibileneadministrate
9.    Denial of Service (DoS)
10.     Existentaunei expertize sieducatiilimitate in materie de securitate

.  1  Privilegii (drepturi) excesive și neutilizate.

În momentul installării într-o nouă funcție sau pe un post nou, o persoană primește și dreptul de a utiliza baza de date sau de a o accesa. Dacă primeste drepturi mai mari decat are nevoie, se pot intampla multe evenimente neplacute. De exemplu, cineva care lucrează in bancă și are dreptul de a modifica datele de contact ale clienților are, din greșeala, și dreptul de a modifica balanța conturilor, poate decide să adauge ceva în contul de economii al unei rude. Sau, dacă este dată fără de la serviciu, se poate răzbuna prin ștergerea unor informații cruciale sau chiar mai rău de atât. În general, această problemă, a acordării de drepturi mai mari decât este nevoie, apare din lipsa unui plan foarte bine stabilit al postului și sarcinilor respectivului angajat.
2.    Abuzul de privilegii
Problemele pot apărea și în cazul în care drepturile de actionarea supra bazelor de date sunt bine determinate. Fără rea intenție, este posibil ca aceste privilegii să fie utilizate abuziv. Oamenii care au acces la o anumită bază de date o pot descărca – fără să aiba theoretic voie sau posibilitatea – în laptop, pentru a o putea accesa mai ușor sau poate pentru a lucra de acasă. Fara să intenționeze acest lucru, angajatul lucrează o breșă în securitatea bazei de date, de care cei interesați pot profita imediat.

3.    Input Injection
Exista doua tipuri majore de atacuri de acest fel asupra bazelor de date: SQL Injection care vizeaza si stemele de baze de date traditionale si NoSQL Injection care vizeaza platformele Big Data. Atacurile SQL Injection, de obicei, implica introducerea (sau "injectarea") de declaratii neautorizate sau rauintentionate in campurile de introducere ale aplicatiilor web. Pe de alta parte, atacurile de injectare NoSQL implica inserarea elementelor periculoase in componente Big Data. Un astfel de atac poate oferi unui atacator acces nerestrictionat la o intreaga baza de date.
Desi multi sustin ca tehnologiile noi Big Data nu pot fi atacate prin aceste puncte, adevarul este ca nici acestea nu sunt imune la acest tip de atac.
4.    Malware
Software-ul rau intentionat sau Malware (construit din sintagma malicious software, „software rau voitor”) este un tip de software care este creat intentionat pentru a se infiltra intr-un calculator sau o retea de calculatoare si a o ataca, creand pagube in mod voit. Termenul este utilizat, la modul general, pentru a desemna toate tipurile de programe sau bucati de cod. Odata istalate pe un computer, ele se infiltreaza in toate elementele ce intra in contact cu acel dispozitiv. Astfel, utilizatorii, fara sa stie ca sunt infectati, acceseaza in mod obisnuit baza de date, deschizand astfel calea pentru aceste softuri sa actioneze.
5.    Audit incorect
Inregistrarea automata a tranzactiilor pe bazele de date care implica date sensibile ar trebui sa fie o conditie obligatorie in cazul tuturor organizatiilor..Imposibilitatea de a colecta o evidenta detaliata a activitatii bazei de date reprezintaun mare risc organizational.
Multe intreprinderi apeleaza la instrumente de audit oferite de vânzatorii de baze de date sau se bazeaza pes olutii ad-hoc sau solutii implementate si realizate manual de catre administratorul bazei de date. Aceste solutii nu  inregistreaza detaliile necesare pentru a sprijini un audit, nu detecteaza atacurile.
Mai mult decât atât, mecanismele de audit native sunt cunoscute pentru consumul mare de resurse CPU si disc fortand multe organizatii sa limiteze auditul sau chiar sa il elimine.
In cele din urma, utilizatorii cu acces administrativ la baza de date, obtinut fie in mod legitim fie cu reaintentie, pot oprisistemele de audit pebazele de date pentru a ascunde activitatile frauduloase. 
6.    Expunerea mediilor de stocare
Toate organizatiile realizeaza backup (copii de siguranta) pentru bazele de date. De cele mai multe ori insa aceste copii nu sunt protejate asa cum trebuie, mai ales din cauza mediilor pe care sunt stocate. Fie ca se face o copiepe calculator, fie ca se fac copii pe discuri externe, bazele de date pot fi usor furate sau copiate.
7.    Exploatarea vulnerabilitatilor si greselilor de configurare a bazelor de date
Este un lucru comun in randul organizatiilor sa utilizeze baze de date vulnerabile si nesecurizate, la fel cum se intampla sa existe baze de date cu useri si parametri de configurare default.
Atacatorii stiu cum sa exploateze aceste vulnerabilitati si sa lanseze atacuri impotriva organizatiei respective. Din pacate, adesea, organizatiile se zbat sa fie stapane pe mentinerea configuratilor bazei de date chiar si atunci cand sunt disponibile update-uri. In general este nevoie de cateva luni pentru ca unele companii sa aplice update-urile pe bazele de date, timp in care sunt vulnerabile.

8.   Datele sensibile neadministrate
Multe companii incerca sa mentina un inventor precis al bazelor de date si al datelor critice continute in ele. Bazele de date uitate pot contine informatii sensibile, si noi baze de date pot aparea – de exemplu, in medii de testare de aplicatii – fara a fi vizibile pentru echipa de securitate. Date sensibile din aceste baze de date vor fi expuse la amenintari, daca nu sunt puse in aplicare controalele necesare si permisele.
9.    Denial of Service
Denial of Service (DoS) este un atac general in care accesul la aplicatii de retea sau cel catre bazele de date este refuzat utilizatorilor. Conditiile pentru un astfel de atac pot fi create prin mai multe tehnici. Cea mai frecventa tehnica utilizata este cea prin care se supraincarca resursele de pe server, cum ar fi memoria si CPU prin inundarea retelei cu interogari ale bazei de date care in cele din urmadetermina serverul sa se prabuseasca. Motivatiile din spatele atacurilor DoS sunt adesea legate de escrocherii si extorcare de fonduri. Astfel, un hacker va ataca de la distanta serverele in mod repetat, aducandu-le in stare de avarie pentru a determina victim sa indeplineasca conditiile sale. 

10.     Existentaunei expertize si educatii limitate in materie de securitate
Controale de securitate interne nu tin pasul cu cresterea de date si multe organizatii sunt slab echipate pentru a trata o incalcare a securitatii. Adesea, acest lucrueste din cauza lipsei de experienta necesara pentru a pune in aplicare masuri de securitate, politici si formare. Cele mai multe firme nu au implementat un sistem de informare si training in vederea educarii personalului pentru a respecta cel putin notiunile elementare de siguranta a datelor.
Aceste amenintari sunt, din pacate, foarte des intalnite, desi se pot lua masuri relativ simple pentru a le contracara si pentru a le evita.

4.2 Amenințări asupra securității rețelei și soluții
Există 3 motivații principale legate de securitatea rețelei:

1 Vulnerabilități tehnologice

2 Vulnerabilități de configurare

3 Vulnerabilități ale politicii de securitate

Tot timpul există oameni dornici și pregătiți pentru a profita de slăbiciunile existente ăn securitatea rețelei. Aceștia caută și explorează în continuu noi breșe de securitate.

1 Vulnerabilități tehnologice
Atât calculatoarele cât și tehnologiile de rețea și sistemele de operare de rețea posedă vulnerabilități de securitate intrinsece. În această categorie putem include vulnerabilitățile stivei de protocoale TCP/IP, vulnerabilitățile sistemelor de operare, precum și vulnerabilități cu privire la configurare și politica de securitate.

2 Vulnerabilități de configurare
Administratorii și inginerii de rețea trebuie să învețe care sunt vulnerabilitățile de configurare și să acționeze în consecință pentru a configura corect calculatoarele și dispozitivele de rețea pentru a compensa anumite sisteme de configurări implicite nesecurizate.

3 Vulnerabilități ale politicii de securitate
Slăbiciunile politicii de securitate pot duce la amenințări neprevăzute la securitatea rețelei. Rețeaua poate conduce la riscuri de securitate dacă utilizatorii nu urnează strict o anumită politică de securitate.

Există patru categorii principale de amenințări la adresa securității rețelei:

Amenințări nestructurate
Amenințările nestructurate constau din indivizi (majoritatea ne-experimentați) ce folosesc instrumente de hacking ușor disponibile, precum shell script-uri și spărgătoare de parole. Chiar și amenințările nestructurate, care au drept scop doar testarea sau demonstrarea unor abilități de hacking, pot avea efecte dăunătoare asupra rețelei unei companii. Spre exemplu, dacă site-ul web al unei companii a fost afectat în urma unui atac, integritatea companiei poate fi afectată. Chiar dacă web site-ul extern este separat de informația internă ce este protejată printr-un firewall, publicul nu știe acest lucru; tot ce știe este că site-ul respectiv nu este un mediu sigur pentru afaceri.

Amenințări structurate
Amenințările structurate provin de la hackeri ce sunt mult mai motivați și mai competenți din punct de vedere tehnic. Aceștia cunosc vulnerabilitățile sistemelor și pot înțelege și realiza coduri exploit și shell script-uri. Aceștia înțeleg, dezvoltă și folosesc instrumente sofisticate de hacking pentru a penetra rețelele companiilor. Aceste grupuri sunt, de regulă, implicate în cazuri de fraude și furturi raportate de agențiile de protejare a legii.

Amenințări externe
Amenințările externe pot apărea din partea indivizilor sau organizațiilor ce lucrează în afara companiei. Ei nu posedă acces autorizat la calculatoarele și rețeaua companiei. Își construiesc accesul la rețea prin intermediul Internetului sau a serverelor de acces dialup.

Amenințări interne
Amenințările interne apar atunci când cineva ce are acces autorizat la o rețea prin intermediul unui cont de utilizator sau prin accesul fizic la un server sau la alt dispozitiv de rețea. Conform FBI, accesul intern sau utilizarea nepotrivită a conturilor utilizator reprezintă între 60 și 80 % din incidentele raportate.

Soluții pentru implementarea securității

• Asigurarea securității perimetrului rețelei se face cu un firewall, dispozitiv special de rețea.

• Monitorizarea rețelei se face cu un IDS (Intrusion Detection System), alt dispozitiv special de rețea.

• Păstrarea confidențialității și integrității datelor într-un mediu ostil se face cu tehnologii VPN (Virtual Private Network).

• Pentru identificarea, autorizarea și monitorizarea activității (accounting) utilizatorilor într-un mod centralizat se folosesc protocoale precum RADIUS (Remote Authentication Dial-In User Service) sau TACACS (Terminal Access Controller Access Control System).