Securitatea Comertului Electronic
UNIVERSITATEA POLITEHNICA DIN BUCURESTI
FACULTATEA DE STIINTE APLICATE
LUCRARE DE DISERTATIE
SECURITATEA COMERTULUI ELECTRONIC
Profesor indrumator: Lector Dr. Alina Petrescu Nita
MASTER
TEORIA CODARII ȘI STOCĂRII INFORMAȚIEI
Panait Marius Robert
Introducere
Comerțul electronic este demersul de cumpărare sau vânzare prin intermediul transmiterii de date la distanță, demers specific plății expansive a marketingului companiilor comerciale. Diferiți specialiști în domeniu, defineasc comerțul electronic, ca fiind:
Kalakota și Whinston: ,,… o metodă modernă de afaceri, care se adresează nevoilor firmelor, piețelor și clienților prin reducerea costurilor, concomitant cu îmbunătățirea calității produselor și serviciilor, precum și creșterea vitezei de livrare sau prestare. Comerțul electronic nu poate fi tratat fără a avea în vedere rețelele de calculatoare, utile în căutarea și găsirea informațiilor necesare sprijinirii luării diferitelor decizii atât de către firme, cât și de către consumatori“.
Kestenbaum și Straight: ,, Comerțul electronic reprezintă o integrare a emailului, transferului electronic de fonduri, schimbului electronic de date și alte asemenea tehnici într-un sistem electronic atotcuprinzător de funcții economice“.
Dennis P. Geller: ,, colecția de instrumente și practici ce presupun utilizarea tehnologiilor Internet și care permit unei firme de a crea, întreține și optimiza relațiile de afaceri cu alte firme și consumatorii individuali“. Există și alte modalități de definire a comerțului electronic, plecând de la modul în care este perceput de diferite grupuri, respectiv de utilizatori, lumea afacerilor, instituțiilor guvernamentale și furnizorii de tehnologie informațională (hardware și software).
În Microsoft Press Computer Users Dictionary, comerțul electronic este definit ca fiind, activitatea comercială care are loc prin intermediul calculatoarelor conectate între ele“.
Internetul, intranetul și alte rețele de calculatoare pot reduce substanțial costurile tranzacțiilor și pot facilita noi tipuri de tranzacții comerciale, precum și noi acorduri între cumpărători și vânzători, care să le permită desfășurarea activităților de comerț mult mai ușor.
În ultimul deceniu, Internetul a devenit un instrument extreme de util având un impact major în toate aspectele vieții. La fiecare jumătate de an apar schimbări așa de importante încât este imposibil de prevăzut unde se va ajunge în următorii 10 ani. În present, participăm cu toții la o revoluție care are loc în comerț și telecomunicații. Extraordinara dezvoltare a interconectivității calculatoarelor în Internet, în toate segmentele societății, a condus la o tendință tot mai evidentă a companiilor de a folosi aceste rețele în aria unui nou tip de comerț, comerțul electronic în Internet, care să apeleze – pe lângă vechile servicii amintite – și altele noi. 4 Comerțul electronic (EC) este acea manieră de a conduce activitățile de comerț care folosește echipamente electronice pentru a mări aria de acoperire (locul în care se pot folosi de potențiali clienți) și viteza cu care este livrată informația. Acesta oferă oportunitatea de a comercializa produse în întreaga lume, sporind numărul de potențiali clienți în primul rand prin eliminarea barierelor geografice dintre clienți și comercianți. Astfel există posibilitatea de a efectua cumpărături prin rețea, consultând cataloage electronice ,, on“ pe Web sau cataloage ,, off“ pe CD-ROM plătind prin intermediul cărților de credit sau a unor portmonee electronice.
Comerțul Internet reprezintă relațiile de afaceri care se derulează prin rețea între furnizori și clienți, ca o alternativă la variantele de comunicații ,, tradiționale“ prin fax, linii de comunicații dedicate sau EDI pe rețele cu valoare adăugată. În fine, o altă formă a comerțului Internet implică transferal de documente – de la contracte sau comenzi, până la imagini sau înregistrări vocale. Chiar dacă definițiile comerțului electronic diferă, totuși, au un element comun: efectuarea de tranzacții într-un mediu electronic și obținerea de avantaje de către toți partenerii de afaceri, îmbunătățirea calității produselor și serviciilor, precum și creșterea vitezei de realizare a tranzacțiilor comerciale. Dezvoltarea fără precedent din ultimele două decenii a tehnologiilor informaționale determinate de necesitatea stocării și a transmiterii rapide a informațiilor cu cele mai mici costuri, a revoluționat comerțul global, comerțul direct sau cu amănuntul, redefinind principiile clasice ale marketingului. Astăzi, termenul de comerț electronic a devenit sinonim cu creșterea profitului. Comerțul electronic constă în derularea unei afaceri, ca activitate generatoare de valoare, având ca suport rețeaua Internet și utilizarea unor pachete de programe software specifice. Strâns legate de comerțul electronic pot fi legate și alte activități electronice, de exemplu servirea cumpărătorilor, livrarea mărfii (dacă este vorba de medii electronice), colaborarea cu partenerii de afaceri sau conducerea unei organizații prin mijloace electronice.
1. Dezvoltarea comertului electronic
Dezvoltarea fără precedent din ultimele două decenii a tehnologiilor informaționale determinate de necesitatea stocării și transmiterii rapide a informațiilor cu cele mai mici costuri, a revoluționat comerțul global, comerțul direct sau cu amănuntul, redefinind principiile clasice ale marketingului. Astăzi, termenul de comerț electronic a devenit sinonim cu creșterea profitului.
Întreprinderile moderne sunt caracterizate printr-o cerere din ce în ce mai mare, prin existența unei competiții la nivel mondial și prin sporirea permanentă a așteptărilor clienților. Ca să poată răspunde acestor cerințe, întreprinderile de pe tot globul sunt în plin proces de transformare organizațională și de adaptare a modului lor de funcționare. Comerțul electronic este o cale, la scară globală, prin care se facilitează și sprijină aceste schimbări
Printre primele site-uri de comerț electronic din Romania
Comerțul electronic a încetat să mai fie un vis futuristic. El are loc acum, iar succesele sunt numeroase și evidente. Comerțul electronic are loc peste tot în lume, fiind în esență global atât ca și concept cât și ca realizare, foarte rapid și urmând îndeaproape dezvoltarea exponențială a Internet-ului și World Wide Web-ului. Impactul comerțului electronic asupra firmelor și asupra societății va fi deosebit atât ca întindere cât și ca intensitate. În ceea ce privește impactul asupra firmelor, comerțul electronic oferă ocazii unice de reorganizare a afacerilor, redefinire a piețelor sau crearea de noi piețe. Inițiativele de comerț electronic pot genera scăderi ale costurilor, creșteri ale veniturilor și eficiență operațională pentru companiile care urmăresc să dobândească un avantaj în mediul economic competitiv din zilele noastre.
1.1 Ce înseamna comert electronic?
Comerțul electronic reprezintă multitudinea proceselor software și comerciale necesare proceselor de afaceri să funcționeze, numai sau în primul rând, utilizând fluxuri digitale de date. Comerțul electronic presupune utilizarea Internetului, a comunicațiilor digitale și a aplicații software în cadrul proceselor de vânzare/cumpărare, el fiind o componentă a procesului de e-business.
În sens larg, comerțul electronic este un concept care desemnează procesul de cumpărare și vânzare sau schimb de produse, servicii, informații, utilizând o rețea de calculatoare, inclusiv Internet-ul.
În sens restrâns, comerțul electronic poate fi analizat din patru puncte de vedere, și anume:
din punctul de vedere al comunicațiilor – reprezintă furnizarea de informații, produse, servicii, plăți, utilizând linii telefonice, rețele de calculatoare sau alte mijloace electronice;
din punctul de vedere al proceselor de afaceri – reprezintă o aplicație tehnologică îndreptată spre automatizarea proceselor de afaceri și a fluxului de lucru;
din punctul de vedere al serviciilor – este un instrument care se adresează dorințelor firmelor, consumatorilor și managementului în vederea reducerii costurilor și creșterii calității bunurilor și a vitezei de servire.
din punctul de vedere al accesibilității în timp real (online) – reprezintă capacitatea de a cumpăra și de a vinde produse, informații pe Internet sau utilizând alte servicii accesibile în timp real.
Termenul de comerț electronic cuprinde o gamă largă de tehnologii, cum ar fi:
EDI (Electronic Data Interchange);
mesageria X.400;
poșta electronică;
Internet / WWW;
Intranet-ul – rețeaua internă a unei companii, organizată după principiile Internet-ului;
Extranet-ul – rețeaua care funcționează după modelul Internet-ului și care asigură schimbul electronic de informații între colaboratorii companiei: furnizori, clienți, bănci.
Comerțul electronic nu este limitat numai de Internet, el incluzând un număr important de aplicații în sistem, cum ar fi: videotext (bandă îngustă), teleshoping (bandă largă), mediu off-line (cataloage CD-ROM), rețele proprii ale corporațiilor etc.
Pentru unele firme, comerț electronic înseamnă orice tranzacție financiară care utilizează tehnologia informației. Pentru altele, noțiunea de comerț electronic acoperă circuitul complet de vânzări – inclusiv marketingul și vânzarea propriu-zisă. Mulți oameni consideră comerțul electronic ca fiind orice tranzacție comercială condusă electronic pentru cumpărarea unor produse cum ar fi cărți, CD-uri, bilete de călătorie și altele. Dar, comerțul electronic are, în sens larg, un impact mult mai profund asupra evoluției afacerilor și cuprinde, în fapt, nu numai noile achiziții comerciale ci și totalitatea activităților care susțin obiectivele de marketing ale unei firme și care pot include, spre exemplu, publicitate, vânzări, plăți, activități post-vânzare, servicii către clienți, etc.
De ce e-commerce?
Pentru că, comerțul electronic dă posibilitatea firmelor să devină mai eficiente și mai flexibile în modul intern de funcționare, să conlucreze mai strâns cu furnizorii și să devină mai atente față de nevoile și așteptările clienților. Permite companiilor să selecteze cei mai buni furnizori, indiferent de localizarea lor geografică și să vândă unei piețe globale.
Această evoluție are un impact major asupra economiei, în ceea ce privește crearea de noi întreprinderi, diversificarea celor existente și, în special, asupra potențialului pieței forței de muncă și a gradului de ocupare a acesteia în viitor.
Dimensiunea economică a comerțului electronic
Tranzacționarea electronică a mărfurilor și serviciilor constituie o extensie a comerțului actual. Se obține astfel o eficiență sporită, în sensul reducerii costurilor și în ceea ce privește efectul marketingului, îmbunătățindu-se relația beneficiar-client. Comerțul electronic facilitează și cooperarea între firme: reduce costurile de marketing și de livrare, susține strategia de marketing a firmei și oferă acces pe noi piețe. În viitorul apropiat, comerțul electronic va avea un impact puternic asupra competitivității firmelor. Mai mult, comerțul electronic nu este restricționat de frontierele statelor, dar depinde de existența sau inexistența rețelelor de calculatoare și a infrastructurii bancare care să permită efectuarea plăților prin Internet. Comerțul electronic permite chiar și celor mai mici furnizori, indiferent de proveniența lor geografică, să fie omniprezenți și să facă afaceri în întreaga lume. Comerțul electronic influențează pozitiv nu numai activitatea întreprinderilor mici și mijlocii, dar vine și în sprijinul clienților, oferindu-le nenumărate opțiuni.
Gradul de siguranță oferit de comerțul electronic clienților și comercianților
Atât clienții cât și firmele sunt foarte preocupate de diferitele incertitudini legate de comerțul electronic. Se constată lipsa de încredere în ceea ce privește securitatea datelor personale în timpul transferurilor în cadrul tranzacțiilor electronice. Clienții sunt încă neîncrezători, dar experții sunt de părere că tranzacțiile în comerțul electronic au un grad mai mare de siguranță decât banalele cumpărături efectuate prin cardul de credit.
1.2 Avantaje si dezavantaje ale comertului electronic
Necesitatea comerțului electronic
Comerțul electronic este elementul de bază al noii economii, iar Internetul reprezintă principalul mediu prin care acesta își face simțită prezența.
În ceea ce privește avantajele utilizării comerțului electronic, acestea pot fi analizate din trei puncte de vedere: al companiei, al consumatorului și al societății.
Avantajele companiei
extinderea zonelor de activitate pentru piețele naționale și internaționale – cu un capital minim, o companie poate rapid și ușor să-și localizeze clienții, furnizorii potriviți și cei mai buni parteneri de afaceri din lume;
creșterea vitezei de comunicare;
îmbunătățirea eficienței (datele sunt în format electronic, reducând astfel, de exemplu, erorile de tastare);
reducerea inventarului și a managementului stocurilor;
reducerea timpului dintre cheltuirea capitalului și primirea produselor/serviciilor;
reducerea unor costuri de creare, procesare, distribuție, stocare, regăsire a informațiilor bazate pe hârtii (prin e-mail se reduc costuri privind mesageria, iar Electronic Data Interchange determină reducerea stocurilor și costurilor legate de ciclul de cumpărare);
întărirea relațiilor cu furnizorii și clienții (site-ul Web conține informații actualizate, utile tuturor părților, iar Electronic Data Interchange implică o strânsă legătură a partenerilor pentru stabilirea standardelor de comunicare);
o cale rapidă și modernă de furnizare a informațiilor despre companie (prin paginile de Web);
canale alternative de vânzare (prin Web).
Avantajele cumpărătorului
efectuarea rapidă de cumpăraturi sau alte tranzacții la orice oră, în orice zi;
căutare rapidă de produse și servicii, cu posibilități de comparare a prețurilor și calităților potrivite;
transport rapid a produselor, mai ales al celor digitale;
permite participarea clienților la licitații virtuale, la reuniuni electronice din comunitățile virtuale, unde au loc schimb de idei, de experiențe;
comoditate sporită;
facilitează competiția, având ca rezultat reduceri substanțiale.
Avantajele comerciantului în urma introducerii comerțului electronic sunt:
atragerea de noi clienți prin intermediul unui nou canal de distribuție;
permite persoanelor angajate să lucreze de acasă, reducându-se astfel traficul și poluarea;
permite ca unele mărfuri să fie vândute la prețuri mai mici, astfel încât și oamenii cu venituri mai mici să poată cumpăra mai mult, ridicându-le standardul de viață;
permite oamenilor din lumea a treia și a celor din zonele rurale să aibă acces la produse și servicii, care altfel nu le-ar fi fost accesibile;
facilitează furnizarea de servicii publice, cum ar fi sănătatea, educația, distribuirea serviciilor sociale ale guvernelor la un cost redus și cu o calitate îmbunătățită.
Avantaje generale ale comerțului electronic:
Internet-ul, mediul prin care comerțul electronic se realizează, este omniprezent, accesibil și ieftin;
accesul la resursele oferite de comerțul electronic se poate face printr-o gamă largă de tehnologii (calculatoare, PDA-uri, telefoane mobile, televiziune digitală, cabine telefonice);
este redus timpul dedicat cumpărăturilor;
pot fi adaptate schemele de plăți bazate pe card, deja existente;
nu există limitări geografice;
intermediarii pot fi eliminați din lanțul de aprovizionare;
stocurile pot fi minimizate sau chiar eliminate prin procese de producție „just-in-time”.
În ceea ce privește aspectele critice ale dezvoltării comerțului electronic putem să menționăm:
securitatea;
acceptarea noilor modalități de plată (bani electronici/digitali);
infrastructura adecvată de telecomunicații – insuficiența lărgimii de bandă;
costurile investiției;
cadrul legal și normativ: cadrul fiscal, drepturile asupra proprietății, protecția datelor consumatorului;
aspecte lingvistice și culturale;
dificultatea de integrare a Internet-ului și a software-ului de comerț electronic cu unele aplicații și baze de date;
unele produse software de comerț electronic nu se potrivesc cu unele sisteme hardware și sisteme de operare;
imposibilitatea de a atinge obiectele sau de a „mirosi” online pentru clienți;
insuficiența suportului de service – de exemplu, experți pentru taxele de comerț electronic sau evaluatori de calitate sunt rari, centre de copyright pentru tranzacțiile de comerț electronic nu există;
accesul la Internet este încă scump pentru unii potențiali clienți;
în multe domenii de activitate nu sunt suficienți cumpărători și ofertanți pentru a avea operații profitabile de comerț electronic;
În practică, motivele pentru care o companie dorește să se lanseze în comerțul electronic pe Internet sunt următoarele:
posibilitatea de a-și lărgi clientela: pe Internet, orice companie poate avea o prezență globală, beneficiind de clienți din toată lumea. De exemplu, oricine este conectat la Internet poate vizita paginile Web ale unei companii, indiferent de localizarea geografică a utilizatorului.
reduceri drastice ale costurilor pentru distribuție și servicii pentru clienți: utilizarea Internet-ului duce la scăderea semnificativă costurilor, cu toate că prezența pe Internet implică unele costuri inițiale, care diferă în funcție de serviciile dorite (e-mail, Web etc.), dar acestea se amortizează relativ repede. De exemplu, trimiterea prin poștă a unei broșuri de prezentare a produselor implică un cost cu mult mai mare decât cel al trimiterii broșurii în format electronic prin e-mail sau cel al plasării acesteia pe un site Web. Un alt avantaj al costurilor mici de distribuție este posibilitatea de a distribui mult mai multă informație și actualizarea rapidă a acesteia.
Avantajele menționate mai sus decurg în principal din caracteristicile tehnice și economice ale Internetului (interoperabilitatea, caracterul global, WWW, costurile scăzute de conectare la Internet, ușurința de utilizare a browser-elor Web).
1.3 Modele de afaceri în comertul electronic
Comerțul electronic este răspândit astăzi în diferite forme și sub diferite modele. Modelele de afaceri în comerțul electronic (vezi figura 1.1) pot fi clasificate astfel:
funcție de natura tranzacției, astfel:
Business-to-Business (B2B)
Business-to-Consumer (B2C)
Consumer-to-Consumer (C2C)
Business-to-Guvern (B2G)
funcție de tipul tehnologiei folosite
Peer-to-Peer (P2P)
Mobile Commerce (M-commerce)
Figura 1.1: Modele de afaceri în comerțul electronic
Modelul Business-to-business (B2B – companie la companie)
Modelul B2B este forma cea mai răspândită a comerțului electronic, aflată în continuă dezvoltare (vezi figura 1.2) și include tranzacții electronice între organizații și tranzacții de tip IOS (Interorganizational Information Systems). Tipurile de sisteme interorganizații (IOS) pot fi: interschimbarea electronică a datelor EDI prin VAN-uri (Value Added Network), transfer electronic de fonduri EFT, Extranet-uri conectate securizat prin Internet, formulare electronice, mesaje integrate care combină EDI, poșta electronică și formularele electronice, baze de date partajate între Extranet-uri, managementul lanțului de aprovizionare;
Figura 1.2: Evoluția comerțului electronic B2B
Acest tip de aplicație este focalizat pe utilizarea Internetului și/sau Extranetului pentru valorificarea potențialului partenerilor de afaceri și transformarea relațiilor inter-organizații. Internet-ul reprezintă mediul cel mai ieftin, din punct de vedere economic, pentru B2B, permițând companiilor să se conecteze, fără implementări adiționale de rețea.
Principalele avantaje introduse de B2B, a cărei topologie este prezentată în figura 1.3, sunt reprezentate de scăderea costurilor mărfurilor, reducerea inventarelor, creșterea eficienței logisticii, creșterea vânzărilor, scăderea costurilor de vânzare și marketing.
Aplicațiile de tip B2B întrețin noi tipuri de relații între organizații, cum ar fi:
• automatizarea, se automatizeazã schimbul de informații între afaceri;
• colabararea, prin partajarea informației și a cunoștințelor între afaceri pentru obținerea unui beneficiu reciproc.
Figura 1.3: Topologia unei aplicații B2B
Exemple de implementări B2B:
Tabelul 1.1 – Exemple de implementări B2B
Modelul Business-to-consumer (B2C) – se referă la tranzacțiile cu amănuntul către cumpărători individuali și se bucură de un real succes în ultima perioadă (vezi figura 1.4). Acest model este asemănător cu cel de B2B deoarece companiile pot realiza vânzări cu amănuntul unor clienți sau en-gross unor companii. În momentul de față sunt multe companii care sunt reprezentate în ambele modele de comerț electronic, cum ar fi de exemplu Amazon, Dell Computers, Barnes &Noble, Wal-Mart Online.
Figura 1.4: Evoluția comerțului electronic B2C
Topologia aplicațiilor B2C este prezentată în figurile de mai jos:
Figura 1.5: Topologia unei aplicații B2C
Exemple B2C
Tabelul 1.2 – Exemple de afaceri B2C
Modelul Consumer-to-consumer (C2C) – model în care consumatorii vând direct consumatorilor. Exemplu: persoane care vând proprietăți, case, mașini ale lor, cei care folosesc www.classifield2000.com pentru vânzări, reclama pe Internet/Intranet-ul companiei pentru serviciile proprii individului, vânzări de cunoștințe, expertize, licitații individuale;
Exemple C2C – www.ebay.com, www.half.com.
2. Aplicatii Web pentru comertul electronic
"Before doing something perfect, do it perfectible." Bill Gates
Sistemele de comerț electronic sunt încă la început de drum, de aceea nu există până în prezent o soluție clară de implementare, care să asigure succesul sigur și de lungă durată.
Baza oricărei afaceri pe Internet este site-ul Web. De realizarea acestuia depinde succesul afacerii și feedback-ul de la toate acțiunile întreprinse de companie în rețea.
Ce informații vor fi prezentate pe site, ce instrumente vor fi activate, cum vor conlucra acestea între ele – depinde de modelul de afacere ales, obiectivele pe termen scurt sau lung, precum și de tipul segmentelor auditoriului.
Introducerea unui sistem de comerț electronic într-o companie, înseamnă înlocuirea vechiului sistem informatic cu unul nou, care va integra toate fluxurile de date, informații, acte, care se derulează într-o companie. Acesta va schimba compania din multe puncte de vedere, și anume al organizării, al conducerii, al politicii de prețuri, al lanțului de aprovizionare, al tipurilor de clienți, al disponibilității, al sistemului informatic, al veniturilor și cheltuielilor, al politicii de personal etc.
În practică, comerțul electronic înseamnă mai mult decât existența unui site Web, și anume home banking, cumpăraturi online din magazine și mall-uri virtuale, cumpărări de acțiuni, căutări de job-uri, conducere de licitații, colaborări electronice în cercetare, dezvoltare de proiecte (vezi figura 2.1).
Figura 2.1: Privire de ansamblu asupra comerțului electronic
Toate acestea reprezintă aplicații de comerț electronic, care necesită susținere informațională, sisteme și infrastructuri organizaționale. Acestea sunt dependente de patru domenii mari (piloni ai piramidei): utilizatori, politici publice, protocoale și standarde tehnice, alte organizații. Managementul comerțului electronic stă la baza piramidei și coordonează aplicațiile, infrastructurile și bazele aplicațiilor.
2.1 Componente si amenintari de Securitate
Sistemele e-business se bazează pe arhitectura Web, care conferă acestora o fiabilitate, scalabilitate și flexibilitate ridicate. Web-ul este implementat prin interconectarea mai multor rețele de calculatoare, aceasta oferind în principal informații și servicii utilizatorilor.
O aplicație Web este orice aplicație care utilizează tehnologiile Web, incluzând navigatoare Web, servere Web și protocoale Internet. O aplicație Web este o extensie dinamică a unui server Web. O aplicație Web obișnuită se conectează la alte servere, cum ar fi baze de date sau sisteme bazate pe tranzacții (figura 2.2).
Figura 2.2: Arhitectura sistemelor de comerț electronic
La rândul lor, aplicațiile Web sunt de două tipuri:
Orientate pe prezentare – când în răspunsul la cererile clienților sunt generate pagini Web dinamice care conțin diferite limbaje de marcare (HTML, XML, JavaScript etc.);
Orientate pe servicii – pentru implementarea unui serviciu. Acest tip de aplicație este deseori apelat prin aplicațiile orientate pe prezentare.
Principalele elemente ale unui sistem de comerț electronic (figura 2.1) sunt:
serverele organizației care oferă servicii on-line accesibile prin Internet
clienții (persoane fizice sau juridice) care se conectează la server folosind diverse tipuri de dispozitive (de exemplu: calculatoare, telefoane mobile sau televiziunea interactivă);
tranzacțiile – raportate la bunurile și serviciile cumpărate.
2.1.1 Componente server ale unui sistem de comerț electronic
Infrastructura de comunicații a unei organizații care realizează comerț electronic trebuie să conțină următoarele două elemente de bază (vezi figura 2.3):
e-commerce front-end (în general unul sau mai multe servere Web conectate la Internet);
e-commerce back-end, necesare pentru a furniza informații sistemelor din front-end (cum ar fi de exemplu informații despre produse și stocuri) și a extrage informații din acestea (de exemplu cererile de transfer în sistemele logistice și plățile efectuate printr-o terță parte). În această zonă distingem următoarele componente:
servere de aplicații;
server de plăți;
baza de date (clienți, produse, etc.)
inventarul;
contabilitatea.
Figura 2.3: Componentele principale pe partea de server pentru un sistem de comerț electronic
Componentele pe partea de server:
permit ca resursele companiei să fie distribuite;
administrează informația contextuală a companiei;
aplică modelul workflow;
oferă resurse de calcul, contabilitate, audit.
Componente front-end – serverele Web
Caracteristicile principale ale serverelor Web sunt următoarele:
procesarea cererilor HTTP – recepționează și răspund la cererile clienților din paginile HTML;
servicii de securitate (SSL) – verificarea numelui utilizator și a parolei; procesează certificatele și informațiile referitoare la cheia publică/privată necesară la procesarea cardului de credit;
FTP – permite transmiterea de fișiere mari de la un server la altul;
motor de căutare – indexarea conținutul site-ului;
captură de date – fișiere log pentru toate vizitele, timp, durată, date de referință;
email – capacitatea de a trimite, primi și stoca emailuri;
unelte de management a site-ului.
Principalele amenințări asupra componentelor front-end și consecințele acestora asupra afacerii sunt prezentate în tabelul de mai jos:
Tabelul 2.1 – Amenințări asupra componentelor front-end și impactul asupra afacerii
Componente back-end
Legăturile (conexiunile) realizate între sistemele interne, pentru a asigura operarea corespunzătoare a aplicațiilor de comerț electronic, pot expune sistemele de afaceri la noi amenințări care probabil nu au fost analizate în momentul proiectării. În tabelul de mai jos sunt prezentate principalele amenințări și posibilele efecte asupra afacerii.
Tabelul 2.2 – Amenințări asupra componentelor back-end și impactul asupra afacerii
Între componentele back-end și front-end, deseori se regăsesc componentele middleware care se ocupă cu:
execuția proceselor pe diferite calculatoare;
administrarea sesiunilor;
servicii de directoare – pentru localizarea serverele de către clienți;
accesul datelor de la distanță;
controlul accesului concurențial – pentru urmărirea clienților de către servere;
securitatea și integritatea;
monitorizarea;
suport pentru tranzacții distribuite.
Componentele middleware pot fi bazate pe obiecte: CORBA, DCOM, EJB; care nu au la bază obiectele: SQL, http-CGI, RPC; standarde: DCE, CORBA, SOAP.
Serverele de aplicații constituie un exemplu de software middleware. În tabelul 2.3 sunt prezentate câteva tipuri de servere de aplicații și funcțiile lor.
Tabelul 2.3 – Serverele de aplicații și funcțiile lor
Produsele software de pe serverul furnizorului de servicii de comerț electronic trebuie să asigure caracteristicile de bază necesare pentru vânzările online, incluzând:
Catalogul online;
Shopping cart;
Procesarea cardului de credit.
Utilizatorul are acces la resursele serverului furnizorului de comerț electronic prin: navigator Web (de exemplu, Netscape Navigator sau Internet Explorer), interfață Windows, interfață Macintosh, Palm Pilot, telefon mobil.
Principalele caracteristici ale unei aplicații de comerț electronic de succes sunt:
Utilizabilitatea – problemele cu interfața utilizator duc la pierderea clienților;
Siguranța – controlul accesului, autentificarea și integritatea sunt foarte importante pentru desfășurarea proceselor de comerț electronic;
Scalabilitatea – trebuie avut în vedere faptul că succesul va aduce creșterea cererii;
Fiabilitatea – defectele sunt de neînchipuit pentru un sistem de afaceri critic, testarea aplicațiilor având un rol foarte important;
Mentenabilitatea – ratele crescute de schimbare sunt fundamentale pentru comerțul electronic;
Disponibilitatea – căderea (defectarea) sistemului este prea scumpă pentru a fi tolerată;
Eficiența – neutilizarea optimă a resurselor hardware și software, duce la scăderea performanțelor și a scalabilității aplicațiilor.
Etapele care trebuiesc urmate pentru dezvoltarea unui site Web de comerț electronic sunt prezentate în Anexa 1.
2.1.2 Tranzacțiile în comerțul electronic
Tranzacțiile electronice din punctul de vedere al comerțului electronic prezintă un număr de cerințe, care pot fi clasificate astfel:
Cerințe privind securitatea – caracteristicile tradiționale de securitate, confidențialitate, integritate, disponibilitate și nerepudiere, se aplică aplicațiilor de comerț electronic pentru a asigura protecția vieții private și a preveni frauda.
Cerințe privind standardele acceptate – pentru a realiza un sistem global pentru comerț electronic, trebuiesc realizate înțelegeri cu toate părțile implicate despre modul în care vor fi realizate tranzacțiile. Din această cauză, standardele pot fi considerate parte integrantă a oricărui sistem de comerț electronic.
Cerințe privind legislația – comerțul electronic atrage după sine și o serie de efecte pe plan social, politic și legal care trebuiesc rezolvate.
Tranzacțiile dintre cumpărători și vânzători în comerțul electronic pot include cereri de informație, cursuri ale prețurilor, plasări de cereri, plata și servicii post vânzare. Gradul ridicat de încredere necesar pentru asigurarea autenticității, confidențialității și livrarea la timp, al acestor tipuri de tranzacții poate fi dificil de menținut atâta timp cât acestea au loc într-o rețea publică, lipsită de încredere, cum este Internetul.
Interceptarea datelor transmise prin Internet în timpul unei tranzacții, și în particular a datelor referitoare la cardul de credit, a fost adesea menționat ca un obstacol major al confidențialității comerțului electronic. De fapt, acest risc este, în general, exagerat întrucât riscul ca informația să fie divulgată este mai mare în timp ce aceasta este stocată pe serverele Web. Cu toate acestea, percepția populației privind insecuritatea poate fi o barieră comerțul electronic și de aceea organizațiile trebuie să o ia în considerare.
Principalele amenințări asupra tranzacțiilor din comerțul electronic sunt prezentate în tabelul de mai jos:
Tabelul 2.4 – Principalele amenințări asupra tranzacțiilor din comerțul electronic
2.2 Exemple de aplicatii
– Producători de componente pentru e-commerce:
Tabelul 2.5 – Companii care fac posibilă dezvoltarea comerțului electronic
– Cele mai utilizate pachete de comerț electronic pentru zona de vârf și zona de mijloc (middleware) (pentru comercianții mari și mijlocii):
Tabelul 2.6: Pachete disponibile de comerț electronic
– Factori de care trebuie ținut cont pentru dimensionare corectă a unei platforme de comerț electronic
Tabelul 2.7 – Analiza unor site-uri de comerț electronic
3. Criptografia site-urilor Web de comert electronic
Mediul de securitate al comerțului electronic
Criptografia computațională oferă cele mai puternice soluții pentru problemele care privesc securitatea informatică a acestui mediu în care ne pregătim să trăim în anii următori și care se cheamă Cyberspace. Folosită multă vreme pentru asigurarea confidențialității comunicațiilor în domeniul militar și diplomatic, criptografia a cunoscut în ultimii 20 de ani progrese spectaculoase datorate aplicațiilor sale în securitatea datelor electronice.
Scopul criptografiei este de a securiza informația stocată și transmisă – indiferent dacă transmisia respectivă este monitorizată sau nu.
Serviciile furnizate de criptografie sunt:
Confidențialitate – menținerea caracterului privat al informației (secretizarea informației);
Integritate – dovada că respectiva informație nu a fost modificată (asigurarea împotriva manipulării frauduloase a informației);
Autentificare – dovada identității celui care transmite mesajul (verificarea identității unui individ sau a unei aplicații);
Nerepudiere – siguranța că cel ce generează mesajul nu poate să-l denigreze mai târziu (asigurarea paternității mesajului);
Criptografia realizează aceste servicii prin criptare. În sistemul criptografic mesajul este criptat folosind o cheie, la expeditor, și apoi este trimis prin rețea. La destinatar, mesajul criptat este decriptat tot cu o cheie, obținâdu-se mesajul original. Există două metode primare de criptare folosite astăzi: criptografia cu cheie secretă (criptografia simetrică) și cea cu cheie publică (criptografia asimetrică).
Algoritmi criptografici cu cheie simetrică – în cazul cărora cifrarea și descifrarea se fac cu aceeași cheie – au avantajul vitezei la criptarea fișierelor.
Cei mai cunoscuți algoritmi criptografici cu cheie simetrică sunt DES (Data Encryption Standard), AES (Advanced Encryption Standard) și IDEA (International Data Encryption Algorithm). În figura 3.1 sunt prezentate principiile criptării simetrice.
Figura 3.1: Criptare folosind algoritmi criptografici cu cheie simetrică
După cum se poate observa din figura de mai sus se folosește aceeași cheie K și aceeași funcție de criptare F, atât la emisia mesajului () cât și la recepția sa ().
Securitatea criptării simetrice depinde de protecția cheii; managementul acestora fiind un factor vital în asigurarea securității datelor, iar procesul de distribuire sigură a cheilor este foarte dificil.
DES (Data Encryption Standard), cel mai folosit algoritm criptografic cu cheie simetrică, folosește o cheie de criptare de 56 de biți, iar IDEA (International Data Encryption Algorithm) folosește o cheie de criptare de 128 de biți. AES (Advanced Encryption Standard), înlocuitorul lui DES, permite utilizarea unei chei de cifrare pe 128, 192 sau 256 de biți.
Algoritmi criptografici cu cheie publică – RSA
Un moment important în evoluția criptografiei moderne l-a constituit crearea, în anul 1976, de către Whitfield Diffie și Martin Hellman, cercetători la Universitatea Stanford din California, a unui principiu diferit de acela al cifrării simetrice. Ei au pus bazele criptografiei asimetrice cu chei publice. În locul unei singure chei secrete, criptografia asimetrică folosește două chei diferite, una pentru cifrare, alta pentru descifrare. Deoarece este imposibilă deducerea unei chei din cealaltă, una din chei este făcută publică, fiind pusă la îndemâna oricui dorește să transmită un mesaj cifrat. Doar destinatarul, care deține cea de-a doua cheie, poate descifra și utiliza mesajul. Tehnica cheilor publice poate fi folosită și pentru autentificarea mesajelor prin semnătură digitală, fapt care i-a sporit popularitatea.
Pentru asigurarea confidențialității unui mesaj, acesta este cifrat cu cheia publică a destinatarului, operație care poate fi făcută de orice persoană care poate accesa fișierul cu chei publice. O dată cifrat, mesajul nu va mai putea fi descifrat decât de către destinatar, singurul care posedă cheia secretă (privată), pereche a celei publice.
În figura 3.2 sunt prezentate principiile criptării simetrice.
Figura 3.2. Criptare folosind algoritmi criptografici cu cheie publică
Algoritmii criptografici cu cheie publică sunt folosiți în general pentru:
cifrarea și distribuția cheilor simetrice folosite în secretizarea mesajelor;
semnătura digitală asociată mesajelor.
Algoritmul criptografic cu cheie publică, care se bucură de o foarte mare apreciere, atât în mediul guvernamental cât și în cel comercial, fiind susținut prin lucrări și studii de comunitatea academică, este RSA (Rivest-Shamir-Adleman). Acesta este un sistem de cifrare exponențială realizat de trei cercetători, Rivest, Shamir și Adleman, de la Massachusetts Institute of Technology, și reprezintă standardul "de facto" în domeniul confidențialității cu chei publice și al semnăturilor digitale. Sub diferite forme de implementare, prin programe sau dispozitive hardware speciale, RSA este astăzi recunoscută ca cea mai sigură metodă de cifrare și autentificare disponibilă comercial.
RSA este bazat pe cvasi-imposibilitatea actuală de a factoriza numere (întregi) mari, în timp ce a găsi numere prime mari este ușor; funcțiile de criptare/decriptare sunt exponențiale, unde exponentul este cheia și calculele se fac în inelul claselor de resturi modulo n.
Deoarece cifrarea și descifrarea sunt funcții mutual inverse, metoda RSA poate fi utilizată atât la secretizare, cât și la autentificare.
Cu toate acestea, există o serie de tipuri de atacuri care au succes în cazul RSA. Acestea nu sunt îndreptate împotriva algoritmului în sine, ci împotriva protocolului pe care acest algoritm îl presupune. Este important de știut că nu este de ajuns numai faptul că se utilizează algoritmul RSA, detaliile contează.
Criptarea mesajelor oferă confidențialitate, dar acest lucru nu este suficient. În cazul unei transmisii sau recepții trebuie să existe certitudinea că cel care a generat mesajul este o persoană autorizată, motiv care a dus la adăugarea de noi proprietăți cum ar fi integritatea și autentificarea, acestea fiind asigurate cu ajutorul semnăturii digitale.
Semnătura digitală
Dezvoltarea comerțului electronic este subordonată existenței unei garanții de securitate a transmisiilor de date și a plăților electronice. Grație unui sistem de codificare, aplicat mesajului transmis, semnătura electronică constituie un răspuns la această problemă, garantând atât autenticitatea și integritatea datelor, cât și identificarea semnatarului.
Semnăturile electronice se utilizează în circumstanțe și aplicații foarte variate, ceea ce determină apariția unei serii de noi servicii și produse legate de utilizarea acestui tip de semnătură. Orice disfuncție sau inadvertență în aplicarea și recunoașterea juridică a semnăturii electronice riscă să devină un obstacol serios în calea utilizării comunicațiilor electronice și a comerțului electronic.
Semnătura digitală, ca modalitate a semnăturii electronice, garantează identitatea, autenticitatea și integritatea părților implicate în contract. Semnătura digitală reprezintă un atribut al unui utilizator, fiind folosită pentru recunoașterea acestuia, și se bazează pe sisteme criptografice cu chei publice.
Pentru semnarea digitală a datelor, acestea sunt prelucrate astfel:
Figura 3.3. Semnarea unui document electronic
documentul M este cifrat cu cheia privată a emițătorului, care astfel semnează; în exemplu de mai sus este vorba despre utilizatorul Dan, care furnizează, prin intermediul unui card, cheia sa secretă, PRIVDan și folosește un algoritm cu chei publice cunoscut, cum este RSA (Rivest-Shamir-Adleman);
documentul este transmis la receptor;
receptorul verifică semnătura prin decriptarea documentului cu cheia publică a emițătorului.
Funcțiile de dispersie (hash functions1) joacă un rol important în autentificarea conținutului unui mesaj transmis în rețelele de calculatoare. Rolul lor nu este de a asigura secretul transmisiilor, ci de a crea o valoare h=H(M), numită și rezumat (digest), cu rol în procedura de semnătură digitală, foarte greu de falsificat. Funcțiile hash care pot fi folosite sunt MD5 și SHA1.
Semnăturile digitale au două proprietăți importante: permit identificarea emitentului unui mesaj electronic și a oricăror modificări aduse mesajului original. Aceste proprietăți fac ca semnăturile digitale să aibe un rol important la securizarea comerțului electronic deoarece ajută la:
– demonstrarea autenticității unei tranzacții electronice pentru a preveni falsurile;
– confirmarea identității unei persoane;
– asigură dovada transmisiei și recepționării tranzacțiilor pentru a preveni repudierea mesajelor.
Ca și criptarea, semnătura electronică este implementată în serverele și browserele Web prin SSL, pentru a permite utilizatorilor:
– să-și demonstreze identitatea într-un mod care este mult mai eficient decât mecanismul nume utilizator/parolă;
– să confirme identitatea serverului Web cu care comunică (pentru a fi siguri că nu trimit informație sensibilă la un alt site Web).
În concluzie, utilizarea acestui tip de semnătură este de natură să favorizeze negocierile la distanță specifice comerțului electronic deoarece satisface exigențe cum ar fi, valoare juridică cel puțin egală cu cea a unei semnături manuscrise, și admisibilitate ca probă în instanță în aceeași manieră ca la semnătura manuscrisă.
Pentru a utiliza în practică semnăturile digitale, trebuiesc utilizate o gamă complexă de tehnologii, standarde și practici, cunoscute sub numele de infrastructuri cu chei publice (PKI).
Infrastructuri de chei publice (PKI – Public Key Infrastructure) – cheia pentru un comerț electronic securizat
„The set of hardware, software, people, policies, and procedures needed to create, manage, store, distribute, and revoke PKCs (Public Key Certificates) based on public-key cryptography“ (PKIX, Roadmap)
3.4.1 Prezentare generală
PKI (Public Key Infrastructure) este standardul acceptat pentru identificarea persoanelor prin intermediul certificatelor. El include suportul pentru tot ciclul de viață al certificatelor și cheilor de la crearea până la distrugerea acestora. Din această cauză soluțiile bazate pe PKI sunt scumpe, complexe și destul de greu de administrat și utilizat, ceea ce a împiedicat utilizarea lor pe scară largă.
PKI este o combinație de produse hardware și software, politici și proceduri care asigură securitatea de bază necesară astfel încât doi utilizatori, care nu se cunosc sau se află în puncte diferite de pe glob, să poată comunica în siguranță. La baza PKI se află certificatele digitale, un fel de pașapoarte electronice care mapează semnătura digitală a utilizatorului la cheia publică a acestuia. Aceste obiecte informaționale sunt cărămizile care stau la baza unei implementări PKI și reprezintă mijlocul de identificare digitală a fiecărui subiect participant într-o relație derulată prin mijloace electronice.
Componentele PKI sunt:
Autoritatea Certificatoare (CA) – responsabilă cu generarea și revocarea certificatelor;
Autoritatea Registratoare (RA) – responsabilă cu verificarea construcției generate de cheile publice și identitatea deținătorilor;
Deținătorii de Certificate (subiecții) – Oameni, mașini sau agenți software care dețin certificate și le pot utiliza la semnarea documentelor;
Clienții – ei validează semnătura digitală și certificarea de la un CA.;
Depozitele – stochează și fac accesibile certificatele și Listele de Revocare a Certificatelor (CRLs -Certificate Revocation Lists);
Politicile de securitate: definesc procesele și principiile de utilizare a criptografiei
Legăturile dintre aceste componente sunt prezentate în figura 3.4.
Figura 3.4. Componentele PKI
3.4.2 Certificate digitale
În funcționarea sistemelor cu chei publice este necesar un sistem de generare, circulație și autentificare a cheilor folosite de utilizatori. Un model des întâlnit în comerțul electronic este prezentat în figura de mai jos:
Figura 3.5. Certificate digitale și Autorități de Certificare folosite pentru o tranzacție de comerț electronic
În acest caz, problema principală care apare este aceea a încrederii absolute în cheile publice (cele cu care se face verificarea semnăturilor digitale). Acestea trebuie să fie disponibile în rețea, astfel încât orice client să poată obține cheia publică a unui emitent de document semnat. În acest context, soluția tehnică există: crearea unei infrastructuri internaționale, bazată pe Autorități de Certificare – AC (Certification Authority), care să permită obținerea cu ușurință și într-o manieră sigură a cheilor publice ale persoanelor cu care se dorește să se comunice prin Internet. Aceste autorități urmează să distribuie, la cerere, certificate de chei autentificate.
Cel mai larg recunoscut și utilizat format pentru certificatele de chei publice este cel definit în standardul X.509 de către ISO/IEC/ITU. Structura acestuia este prezentată în figura 3.6.
Figura 3.6. Structura unui certificat digital conform standardului X.509
Certificatele sunt clasificate ca: certificate self-signed și certificate CA-signed. Primul este semnat de deținătorul cheii, iar al doilea de o altă persoană cu autoritate. Ele funcționează ca și containere de chei publice, iar informația tipică include:
numele deținătorului,
e-mail-ul acestuia,
numele companiei,
telefonul,
informații legate de certificat,
un număr serial,
un indicator de nivel de încredere,
data generării,
data expirării.
Un sistem bazat pe certificate de chei publice implică existența unei Autorități de Certificare, care emite certificate pentru un anumit grup de deținători de perechi de chei (publică și privată). Fiecare certificat conține valoarea cheii publice și o informație care identifică în mod unic Subiectul certificatului (care poate fi o persoană, o aplicație, un dispozitiv sau altă entitate care deține cheia privată corespunzătoare cheii publice incluse în certificat). Certificatul reprezintă o legătură imposibil de falsificat între o cheie publică și un anumit atribut al posesorului său. Certificatul este semnat digital de o Autoritate de Certificare, care confirmă astfel identitatea subiectului. O dată ce setul de certificate a fost stabilit, un utilizator al respectivei infrastructuri cu chei publice poate obține cheia publică pentru orice utilizator certificat de respectiva Autoritate de Certificare, obținând pur și simplu certificatul pentru utilizatorul respectiv și extrăgând din el cheia publică dorită.
Sistemele de obținere a cheilor publice bazate pe certificate sunt simplu și economic de implementat, datorită unei importante caracteristici a certificatelor digitale: certificatele pot fi distribuite fără a necesita protecție prin serviciile de securitate obținute (autentificare, integritate și confidențialitate). Aceasta deoarece cheia publică nu trebuie păstrată secretă; în consecință, nici certificatul digital care o conține nu este secret. Nu există cerințe de autentificare sau integritate, deoarece certificatul se auto-protejează (semnătura digitală a AC din interiorul certificatului asigură atât autentificarea, cât și integritatea acestuia).
Ca urmare, certificatele digitale pot fi distribuite și vehiculate prin legături de comunicație nesigure: prin servere de fișiere nesigure, prin sisteme de directoare nesigure și/sau protocoale de comunicație care nu asigură securitatea. Un prim avantaj al unui sistem de certificate este acela că orice utilizator al său poate obține cheile publice pentru un număr mare de alte entități, cunoscând la început doar cheia publică a unei Autorități de Certificare. Certificatele permit deci scalabilitate, adică mărirea numărului entităților pentru care se poate obține cheia publică.
O astfel de infrastructură permite:
– stabilirea de standarde astfel încât certificatele digitale să fie valide peste diferite unități de afaceri, organizații și țări;
– crearea, stocarea și administrarea sigură a certificatelor digitale și a cheilor criptografice asociate;
– reînoirea certificatelor expirate;
– revocarea certificatelor digitale utilizate fraudulos.
Rolul PKI, de a susține încrederea în comerțul electronic, va face din acestea o tehnologie foarte importantă în viitorul apropiat. PKI este de asemenea importantă pentru serviciile eGuvernare care vor deveni catalizatorul pentru alte produse și servicii comerciale.
Produsele și serviciile necesare pentru a construi sau utiliza PKI nu sunt încă suficient dezvoltate, dar sunt în continuă expansiune.
3.4.3 Utilizarea PKI în diverse aplicații
PKI gestionează cheile și certificatele digitale folosite pentru implementarea criptografiei în aplicații precum, email-ul și mesageria, browsere și servere Web, EDI; în aplicații care presupun realizarea unor tranzacții în rețea sau sesiuni de comunicații securizate peste Web sau VPN-uri care folosesc protocoale S/MIME, SSl și IPsec, și funcții (de exemplu, semnarea unui document). În plus, aplicațiile dezvoltate în particular pot utiliza suport PKI (vezi figura 3.7).
Figura 3.7. Principalele componente server ale unei infrastructuri cu chei publice sunt serverul de certificare, deținătorul și serverul de recuperare a cheii; de obicei însoțite de o consolă de management
Emailul și mesageria
Email-ul și mesageria folosesc perechi de chei pentru criptarea mesajelor și fișierelor, și pentru semnătura digitală. De exemplu, programele de poștă electronică Microsoft Exchange și IBM Note Mail folosesc criptarea pentru transportul informațiilor speciale. Același lucru este valabil și pentru programe de mesagerie destinate grupurilor de utilizatori, cum este de exemplu, Novell Groupwise. Sistemele EDI permit realizarea de tranzacții financiare care necesită autentificare, confidențialitate și integritatea datelor.
Accesul Web
Browserele și serverele Web folosesc criptarea pentru autentificare și confidențialitate și pentru aplicații precum online banking și online shopping. Tipic, folosind SSL (Secure Sockets Layer) serverele se pot autentifica în fața clienților. De asemenea, SSL realizează și criptarea traficului. Autentificarea clientului este prezentă și ea, ca opțiune. SSL nu este limitat doar la HTTP, suportând și protocoalele FTP și Telnet.
VPN
Criptarea și autentificarea sunt tehnologiile principale folosite pentru convertirea legăturilor standard din Internet în VPN-uri, folosite fie pentru confidențialitatea site – site (router – router), fie pentru accesul securizat de la distanță (client – server).
În figura 3.8 sunt prezentate relațiile care există între aplicații și infrastructură, și standardele asociate lor.
Figura 3.8. Standarde PKI care definesc PKI
Locul pe care îl are PKI într-o aplicație de comerț electronic este prezentat în figura de mai jos.
Figura 3.9. Locul PKI într-o infrastructură de comerț electronic
3.4.4 Exemple de infrastructuri cu chei publice care pot fi utilizate în comerțul electronic
Să presupunem că avem nevoie de un certificat pentru propriul server Web pentru a putea implementa un sistem de plăți securizat. Avem următoarele variante din care putem alege:
– închirierea unui serviciu de CA de la o agenție externă (outsourcing). Agenția, în schimbul unei sume de bani, furnizează un certificat și apoi verifică și certifică, de câte ori este nevoie, că persoana care deține certificatul este cea cu care a fost încheiat acordul. De exemplu, Verisign (www.verisign.com) este o astfel de agenție.
– se cumpără propriul pachet PKI, de la o companie precum Entrust. În acest caz se instalează, întreține și administrează propriul sistem PKI, ceea ce presupune un efort considerabil.
În cazul în care este nevoie de o autentificare puternică oferită de certificate față de cea dată de ID și parolă, dar nu se dorește să se depună efort prea mare, atunci se implementează prima variantă. În cazul în care se dorește controlul strict al certificatelor se utilizează a doua variantă.
Exemple de produse comerciale:
Versign – http://www.versign.com;
U.S. Post Office – http://www.ups.gov
CommerceNet – http://www.commerce.net.
Baltimore Technologies UniCERT – http://www.baltimore.com/
Entrust/PKI – http://www.entrust.com/
IBM SecureWay PKI – http://www-4.ibm.com/software/security/trust/
iPlanet Certificate Management System – http://www.iplanet.com/
Microsoft Windows 2000 Certificate Services – http://www.microsoft.com/
RSA Data Security Keon – http://www.rsasecurity.com/
Sun SunScreen CA – http://www.sun.com/security/product/ca.html
Xcert Sentry Suite – http://www.xcert.com/
Entrust – Produs PKI Comercial
Entrust.net, un produs al Entrust Technologies, este furnizor de sisteme PKI, având o bogată experiență în implementarea de soluții pentru administrarea sigură a tranzacțiilor de comerț electronic. Soluțiile includ tranzacții securizate pentru afacerile electronice pornind de la site-uri Web de comerț electronic până la telefonie celulară interactivă. De curând, Entrust a dezvoltat soluții și pentru transmisiile wireless. Entrust.net administrează certificate personale, Web și WAP (pentru comunicații wireless). În particular, noile certificate de server WAP sunt certificate digitale care permit serverelor WAP să stabilească sesiuni WTLS (Wireless Transport Layer Security) cu telefoanele mobile și micro-browser-ele care suportă standardele WAP. Pentru informații suplimentare se poate consulta site-ul www.entrust.com.
Verisign – autoritate de certificare (outsourcing)
Verisign (www.verisign.com) este una dintre cele mai cunoscute CA. Verisign furnizează o gamă largă de soluții de securitate pentru certificate, mesagerie securizată, sisteme Wireless și sisteme de plăți.
Silcor Personal CAT – Soluție de semnătură digitală extinsă (în sensul Legii Nr. 455 din 18/07/2001, Art. 4)
Soluția Personal CAT de la Silcor se remarcă față de toate celelalte soluții client cu cheie publică prin faptul că este bazată pe terminalul personal de smartcard care are în același timp funcția de mouse.
Acest terminal original este cunoscut de asemenea sub numele de "pisică", oferind o ergonomie optimală pentru utilizarea smartcardurilor criptografice. Pisica are interfață USB, firmware update securizat, slot intern pentru smartcard în format µSIM, wheel, navigație optică programabile 400/800 dpi.
Soluția Personal CAT oferă un modul CSP și un modul PCKS#11 prin care se integrează practic cu orice aplicație compatibila PKIX (browser Internet, client email, etc).
Soluția Silcor impune un gest voluntar pentru fiecare semnătură digitală și pentru orice folosire a cheilor private conținute în smartcardul furnizat în kit (identificare, autentificare, decriptare). Acest smartcard este un SSCD certificat, capabil să lucreze cu:
a) două certificate de semnătură,
b) două certificate multi-utilizare,
c) un certificat de criptare.
Cheile private asociate certificatelor a) și b) există doar în smartcard, pe toată durata lor de viață.
Pentru dematerializarea directă a documentelor comerciale și legale, Silcor oferă un modul complementar kitului de bază permițând semnarea documentelor în format PDF. Acest modul permite accesul la stampila poștală electronică (Electronic PostMark). Pentru verificarea autenticității documentelor PDF semnate astfel, Silcor oferă o alternativă soft gratuită.
Baltimore UniCERT este elementul cel mai critic al unei infrastructuri cu chei publice. UniCERT realizează criptografic legătura dintre identitatea unei persoane sau dispozitiv prin intermediul cheii publice. Utilizând aceste identități digitale (certificate) identitatea și încrederea pot fi stabilite în Internet, lucru care permite derularea afacerilor electronice în acest mediu.
UTI – certSafe – Autoritatea de Certificare dezvoltată de UTI este un produs complex, de înaltă securitate și nivel tehnologic avansat, comparativ cu produse din gama Autorităților de Certificare de tip public, național (RSA, Baltimore, Verisign);
shellSafe – suită de aplicații pentru securizarea informațiilor;
smartcard-urile și token-urile sunt dispozitive utilizate pentru generarea și stocarea certificatelor digitale. Acestea sunt carduri cu un microcontroler integrat, care conține un procesor modular aritmetic și o memorie de stocare de 32k, cu posibilitate de extindere;
Soluții PKI de la eToken permit aplicațiilor PKI să opereze, genereze și să stocheze chei private și certificate digitale în interiorul eToken-urilor USB sau eToken smartcard, creând astfel un mediu securizat, ușor de utilizat. Soluțiile PKI eToken conțin toate componentele și driver-ele PKI necesare pentru integrarea ușoară cu produsele industriale. Datele de autentificare sunt în siguranță, fiind stocate pe eToken. Acesta poate fi utilizat pe orice calculator configurat să utilizeze eToken.
Soluțiile PKI eToken oferite de Aladdin permit autentificarea utilizatorilor pentru accesul Web, accesul prin VPN, Logon în rețea, protejarea calculatoarelor, email securizat și orice aplicație activă prin utilizarea standardului PKI.
Tabelul 3.1: Soluții PKI de la eToken
4. Protocoale de securizare a tranzactiilor
4.1 Protocolul SET
Multe cumparari de bunuri si servicii prin Internet se fac platindu-se cu carduri bancare obisnuite (Visa, MasterCard etc.). Insa tranzactiile cu carduri contin informatii confidentiale privind cardul si informatiile personale ale clientilor, informatii ce pot fi interceptate in timpul transmisiei prin Internet. Fara un soft special, orice persoana care monitorizeaza traficul pe retea poate citi continutul acestor date confidentiale si le poate folosi ulterior Este necesara elaborarea unor standarde specifice sistemelor de plati, care sa permita coordonarea partilor legitime implicate in transfer si folosirea corecta a metodelor de securitate.
In 1996, MasterCard si Visa au convenit sa consolideze standardele lor de plati electronice intr-unul singur, numit SET (Secure Electronic Transaction). Protocolul SET isi propune sapte obiective de securitate in e-commerce:
Sa asigure confidentialitatea instructiunilor de plata si a informatiilor de cerere care sunt transmise odata cu informatiile de plata.
Sa garanteze integritatea tuturor datelor transmise.
Sa asigure autentificarea cumparatorului precum si faptul ca acesta este utilizatorul legitim al unei marci de card.
Sa asigure autentificarea vanzatorului precum si faptul ca acesta accepta tranzactii cu carduri prin relatia sa cu o institutie financiara achizitoare.
Sa foloseasca cele mai bune metode de securitate pentru a proteja partile antrenate in comert.
Sa fie un protocol care sa nu depinda de mecanismele de securitate ale transportului si care sa nu impiedice folosirea acestora.
Sa faciliteze si sa incurajeze interoperabilitatea dintre furnizorii de soft si cei de retea.
Aceste cerinte sunt satisfacute de urmatoarele caracteristici ale acestei specificatii:
Confidentialitatea informatiei – Pentru a facilita si incuraja comertul electronic folosind cartile de credit, este necesara asigurarea detinatorilor de cartele ca informatiile de plata sunt in siguranta. De aceea, contul cumparatorului si informatiile de plata trebuie sa fie securizate atunci cand traverseaza reteaua, impiedicand interceptarea numerelor de cont si datele de expirare de catre persoane neautorizate. Criptarea mesajelor SET asigura confidentialitatea informatiei. bl832u8168fllx
Integritatea datelor – Aceasta specificatie garanteaza ca nu se altereaza continutul mesajelor in timpul transmisiei acestora prin retea. Informatiile de plata trimise de cumparator la vanzator contin informatii de cerere, date personale si instructiuni de plata. Daca una din aceste informatii este modificata, tranzactia nu se va face corect. Protocolul SET foloseste semnatura digitala pentru integritatea datelor.
Autentificarea cumparatorului – Vanzatorul are nevoie de un mijloc de verificare a clientului sau, a faptului ca acesta este utilizatorul legitim al unui numar de cont valid. Un mecanism care face legatura dintre posesorul cartii de credit si un numar de cont specific va reduce incidenta fraudei si, prin urmare, costul total al procesului de plata. SET utilizeaza semnatura digitala si certificatele cumparatorului pentru autentificarea acestuia.
Autentificarea vanzatorului – Aceasta specificatie furnizeaza un mijloc de asigurare a clientului ca furnizorul are o relatie cu o institutie financiara, permitandu-i acestuia sa accepte cartile de credit. SET utilizeaza semnatura digitala si certificatele vanzatorului pentru autentificarea acestuia.
Interoperabilitate – Protocolul SET trebuie sa fie aplicabil pe o varietate de platforme hardware si soft. Orice cumparator trebuie sa poata sa comunice, cu softul sau, cu orice vanzator. Pentru interoperabilitate, SET foloseste formate de mesaje si protocoale specifice.
Cumpararea electronica – Intr-un scenariu tipic de e-commerce, etapele procesului de cumparare sunt urmatoarele:
1. Cumparatorul poate cauta bunuri si servicii avand mai multe posibilitati:
– Foloseste un browser pentru a consulta cataloage online din pagina de Web a vanzatorului;
– Consulta un catalog suplimentar aflat pe un CDROM;
– Consulta un catalog pe hartie.
2. Cumparatorul alege bunurile pe care doreste sa le cumpere.
3. Cumparatorului ii este prezentata o lista a bunurilor, incluzand pretul acestora si pretul total, cu tot cu taxe. Aceasta lista trebuie furnizata electronic de serverul vanzatorului sau de softul de cumparare electronica din calculatorul clientului. Uneori se accepta negocierea pretului.
4. Cumparatorul alege mijloacele de plata. Sa consideram ca este ales ca mijloc de plata cartela de credit (cardul).
5. Cumparatorul trimite vanzatorului o cerere impreuna cu instructiunile de plata. In aceasta specificatie, cererea si instructiunile de plata sunt semnate digital de catre cumparatorii care poseda certificate.
6. Vanzatorul solicita autorizatia de plata a clientului sau de la institutia financiara a acestuia.
7. Vanzatorul trimite confirmarea cererii.
8. Vanzatorul trimite bunurile sau indeplineste serviciile solicitate in cerere.
9. Vanzatorul solicita plata bunurilor si serviciilor de la institutia financiara a cumparatorului.
Criptografia in SET – Pentru a asigura securitatea platilor, SET foloseste perechi de chei RSA pentru a crea semnaturi digitale si pentru secretizare. Prin urmare, fiecare participant in procesul de tranzactionare poseda doua perechi de chei asimetrice: o pereche de chei "de schimb" – folosita in criptare si decriptare – si o pereche "de semnatura", pentru crearea si verificarea semnaturii digitale. De mentionat faptul ca rolul cheilor "de semnatura" este inversat in procesul de semnare digitala unde cheia privata este folosita pentru criptare (semnare), iar cea publica este folosita pentru decriptare (verificare a semnaturii).
Autentificarea este intarita de utilizarea certificatelor. Inainte ca un destinatar B sa primeasca un mesaj semnat digital de catre un emitator A, el vrea sa fie sigur ca detine cheia publica a lui A si nu a altuia care s-a recomandat drept A prin retea. O alternativa ar fi ca receptorul B sa primeasca cheia publica direct de la A printr-un canal de comunicatie securizat. De cele mai multe ori, insa, aceasta solutie nu poate fi practicata. Transmisia securizata a cheilor este realizata de un "tert de incredere" numit Autoritate de Certificate (AC), care-l asigura pe B ca A este proprietarul cheii publice pe care o detine. Autoritatea de Certificate furnizeaza certificate care fac legatura dintre un nume de persoana si o cheie publica. Utilizatorul A prezinta AC-ului informatii de identitate. AC-ul creaza un mesaj cu numele lui A si cheia publica a acestuia. Acest mesaj, numit certificat, este semnat digital de catre Autoritatea de Certificate. El contine informatii de identificare a proprietarului, precum si o copie a cheii publice (de schimb sau de semnatura). Participantii SET vor avea, de asemenea, doua certificate pentru cele doua perechi de chei: certificate "de semnatura" si certificate "de schimb". Certificatele sunt create si semnate in acelasi timp de catre AC.
Protocolul SET introduce o noua aplicatie a semnaturilor digitale, si anume conceptul de semnatura duala. Sa consideram urmatorul scenariu: vanzatorul B trimite o oferta cumparatorului A si o autorizatie bancii sale pentru a transfera banii, daca A accepta oferta. Insa B doreste ca banca sa nu vada termenii ofertei, si nici cumparatorul informatiile sale de cont. In plus, B vrea sa faca o legatura dintre oferta si transfer, astfel incat banii vor fi transferati doar daca A accepta oferta sa. El realizeaza toate acestea semnand digital ambele mesaje intr-o singura operatie care creeaza semnatura duala.
O semnatura duala este generata prin calcularea rezumatelor ambelor mesaje si concatenarea celor doua rezumate. Rezultatului obtinut i se calculeaza, la randul sau, un rezumat si, in cele din urma, acest ultim rezumat este cifrat cu cheia privata de semnatura a emitatorului. Trebuie inclus si rezumatul celuilalt mesaj pentru ca oricare din cei doi primitori sa valideze semnatura duala. Un primitor al oricarui mesaj ii poate verifica autenticitatea prin generarea rezumatului acestuia, concatenarea cu rezumatul celuilalt mesaj, si calcularea rezumatului rezultatului concatenarii. Daca noul rezumat se potriveste cu semnatura duala decriptata, primitorul poate fi sigur de autenticitatea mesajului.
Daca A accepta oferta lui B, trimite un mesaj bancii indicand acceptul sau si incluzand rezumatul ofertei. Banca poate verifica autenticitatea autorizatiei de transfer a lui B si se asigura ca acceptul este pentru aceeasi oferta prin utilizarea rezumatului autorizatiei pe care l-a primit de la B si a rezumatului ofertei prezentat de A pentru a valida semnatura duala. Astfel, banca poate controla autenticitatea ofertei, dar nu poate vedea termenii ofertei.
In cadrul protocolului SET, semnatura duala este folosita pentru a face legatura dintre un mesaj de comanda trimis vanzatorului si instructiunile de plata continand informatii de cont trimise achizitorului. Cand vanzatorul trimite o cerere de autorizatie achizitorului, include instructiunile de plata primite de la cumparator si rezumatul informatiilor de comanda. Achizitorul foloseste rezumatul primit de la vanzator si calculeaza rezumatul instructiunilor de plata pentru a verifica semnatura duala.
In prezent, tot mai multe produse de e-commerce implementeaza protocolul SET, ceea ce confera securitate platilor Internet cu card, prin mijloace criptografice.
5. Aspecte juridice legate de comertul electronic
Unul dintre cele mai importante și dificile aspecte referitoare la sistemele de comerț electronic îl reprezintă existența unui cadru legal stabil în care să poată opera. Deoarece legislația privind schimbul este orientată în mod tradițional către documentația în format hârtie, translatarea acestor legi în mediul comerțului electronic impune același efect legal pentru documentele, mesajele și semnăturile în format electronic.
De la Adam Smith încoace, prin comerț se înțelege un schimb de bunuri în urma căruia acestea capătă o valoare. De la apariția primelor state, comerțul a fast protejat, la început cu bâta, mai apoi cu legea. Am ajuns în punctul în care comerțul se poate face utilizând rețele de calculatoare și sisteme de comunicații, dar cele două trăsături esențiale au rămas aceleași. Adică, în continuare, (e)Comerțul înseamnă schimb de bunuri și, în continuare, trebuie protejat cu forța legii.
Dacă, în ceea ce privește dezvoltarea comerțului electronic, se poate vorbi și face mult prin implicarea forțelor pieței, partea care ține de legislația care protejează activitățile comerciale care utilizează rețeaua cade exclusiv în datoria instituțiilor statelor. Nu am folosit întâmplător pluralul. Este prima dată când tehnologia permite crearea unei piețe globale reale. De aceea, primul lucru ce trebuie avut în vedere îl constituie crearea unei legislații cu un grad mare de compatibilitate interstatală În dezvoltarea unei legislații pentru activitățile prin Internet, această condiție ține de adaptarea legilor cadru constituite la nivelul unor structuri multistatale, fie că e vorba de Organizația Națiunilor Unite fie de Uniunea Europeană. Sigur, aceste legi-cadru conțin elementele esențiale privind compatibilitatea și ele trebuie transpuse cât mai natural în legislația natională. AI doilea factor de care trebuie ținut cont este neutralitatea tehnologică a legii. În corpul ei nu trebuie să apară referiri la standarde sau elemente care țin de o anumită tehnologie, schimbările din domeniul tehnologic având o rapiditate ce ar reclama modificarea frecventă a actului normativ în cauză. Acest fapt reprezintă o dificultate reală, mai ales pentru cineva obișnuit mai mult cu jargonul profesional TI decât cu cel juridic. De asemenea, este necesar să se țină cont de toate corelațiile care există între o lege pentru comerțul electronic și restul legislației comerciale naționale.
Reglementări în Uniunea Europeană
Societatea informațională a evoluat considerabil în Uniunea Europeană în ultimii ani, ca urmare a eforturilor politice și financiare depuse atât la nivelul Uniunii cât și a fiecărui Stat Membru. Aproape o treime din familiile europene sunt acum conectate la Internet și circa două treimi dintre europeni dețin telefoane mobile. Aproximativ jumătate din lucrători utilizează calculatoare la serviciu. Comerțul electronic între companii crește și forțează firmele să se restructureze. Computerele din ce în ce mai puternice, terminalele mobile cu acces la Internet și rețelele de viteze mari sunt perspectivele cele mai apropiate care vor conduce la restructurarea întregii economii.
Procesul de instaurare a unei piețe libere pentru serviciile societății informației, așa numita eEurope, se regăsește într-o serie de reglementări legislative, din a căror combinare rezultă un cadru regulamentar, deocamdată incomplet, dar destul de bine structurat și coerent în raport cu dificultatea de a legifera un domeniu atât de nou și de dinamic.
Având încredere în flexibilitatea asigurată de directivele europene, instituțiile comunitare s-au hotărât să se îndrepte către o rglementare omogenă a comerțului electronic, în mod diferit față de atitudinea prevalentă în Statele Unite, unde neintervenția legislatorului este considerată element fundamental pentru o dezvoltare rapidă și capitală a fenomenului, privilegiind în consecință recurgerea la autodisciplină, autoregularizare, pentru rezolvarea problemelor cruciale, un exemplu în acest sens fiind protecția consumatorului online.
Lipsa unui cadru normativ specific pentru protecția consumatorilor, bazat pe standarde înalte de siguranță și pe definirea răspunderii furnizorilor, de altfel cel mai important aspect fiind nesiguranța remediilor la dispoziție în caz de litigiu, nu permite consumatorilor și societăților din domeniu deplina exploatare a puterii comerciale a rețelei.
În acest sens, au fost eliberate o serie de directive, dintre care menționăm:
Directiva 1997/7 – privind protecția consumatorilor în contractele la distanță. (Normele sale sunt foarte importante pentru segmentul B2C.)
Directiva 1999/93/EC – a Parlamentului și Consiliului Uniunii Europene din 13 decembrie 1999 privind cadrul legal de utilizare a semnăturii electronice.
Directiva 2000/31/EC – a Parlamentului și Consiliului Uniunii Europene din 8 iunie 2000 privind anumite aspecte legale ale serviciilor în societatea informațională, în particular ale comerțului electronic (indicată în mod curent ca directiva privind comerțul electronic).
Datorită imposibilității de a reglementa întreaga realitate economică prezentă în rețea, legiuitorul comunitar a preferat să-și limiteze intervenția doar la aspectele considerate strict necesare pentru a garanta libera circulație a serviciilor societății informației.
În consecință, opțiunea legiuitorului comunitar de a interveni, cu grija și doar în medii circumscrise, dar rapid, are la bază convingerea că avantajele comerțului electronic ar putea fi ulterior zădărnicite de predispunerea unor norme naționale divergente.
Activitatea instituțiilor comunitare nu se vrea să fie circumscrisă în interiorul granițelor Uniunii. Din analiza directivelor rezultă un obiectiv mai amplu: se dorește ca printr-o consolidare a acestei platforme juridice comune, prin aplicarea sa pe piața internă, să se ajungă la stipularea unui acord de drept material uniform îm materie.
Legislația națională
Comerțul electronic a avut și are în continuare, o dezvoltare exponențială pe plan mondial, fiind un adevărat vector economico-social. România nu putea sta în expectativă în acest domeniu, cu atât mai mult cu cât există deja, un mare decalaj între ea și majoritatea statelor europene.
Datorită dimensiunii globale a Internetului și rapidei dezvoltări tehnice, era necesară elaborarea unor reglementări clare care să țină cont de noile tendințe în materie de tehnologia informației și comunicațiilor. În același sens, observăm o explozie fără precedent a transmisiilor de date, care necesită criptare sau autentificare, sistemele de plată non-cash, telefonia mobila 3G, comerțul electronic, direct sau indirect, impunând rezolvarea unor noi abordări juridice.
În acest sens, în România, au fost elaborate o serie de acte normative, dintre care menționăm:
Legea semnăturii electronice 455/2001 – stabilește regimul juridic al înscrisurilor în format electronic și condițiile furnizării de servicii de certificare a semnăturilor electronice;
Legea comerțului electronic 365/2002 – oferă un cadru juridic strict privind furnizarea de servicii de către societățile informaționale, condițiile care trebuiesc îndeplinite pentru efectuarea comunicărilor comerciale, încheierea contractelor prin mijloace electronice, răspunderea furnizorilor de servicii care acționează în calitate de intermediar, și nu în ultimul rând, obligația de informare a autorităților sau organelor cu atribuții de supraveghere și control, astfel încât piața românească în domeniu să se dezvolte armonios, fiind un adevărat vector pentru întreaga economie;
Hotărârea Guvernului nr. 1308 din 11/20/2002 – privind
aprobarea Normelor metodologice pentru aplicarea Legii 365/2002 privind comerțul electronic (Clarificări asupra aspectelor legate de comunicările comerciale nesolicitate; Caracterul informațiilor și activităților in domeniul serviciilor societății informaționale);
Legea nr. 51/2003 – pentru aprobarea Ordonanței Guvernului nr. 130/2000 privind regimul juridic al contractelor la distanță;
Legea nr. 677/2001 – pentru protecția persoanelor cu privire la prelucrarea datelor cu caracter personal și libera circulație a acestor date;
Norme tehnice si metodologice din 13 decembrie 2001 pentru aplicarea Legii nr. 455/2001 privind semnătura electronică;
Legea nr. 250/2003 – pentru aprobarea Ordonanței de urgență a Guvernului nr. 193/2002 privind introducerea sistemelor moderne de plată;
Regulament nr. 4/2002 al BNR privind tranzacțiile efectuate prin intermediul instrumentelor de plată electronică și relațiile dintre participanții la aceste tranzacții;
Legea nr. 506/2004 – privind prelucrarea datelor cu caracter personal și protecția vieții private în sectorul comunicațiilor electronice;
Legea nr. 451/2004 privind marca temporală.
În consecință, se poate afirma că în domeniul comerțului electronic România a reușit, să-și armonizeze legislația cu cea comunitară.
6. Studiu de caz: Analiza securitatii site-ului de licitatii online eBay
6.1 eBay – prezentare
eBay reprezintă piața electronică a lumii întregi, numele său fiind universal cunoscut și sinonim cu modelul de licitație a vânzărilor prin Internet. Lider al acestei industrii, eBay a creat prima comunitate comercială online de încredere, în care schimbul tradițional dintre vânzători și cumpărători este reglementat de evaluările și recomandările fiecărei părți. Cu toate că eBay are mulți imitatori și se confruntă cu o mulțime de competitori care dispun de site-uri Web cu posibilități de licitație, el continuă să domine categoria licitații și rămâne liderul în introducerea de noi modele, precum, vânzări la preț fix și la jumătate de preț.
Încă de la înființarea sa, în 1995, eBay a creat o platformă puternică pentru vânzarea de bunuri și servicii destinată atât pentru membrii unei comunități interesate cât și pentru oamenii de afaceri, facilitând tranzacții de milioane de dolari. În orice zi, pe eBay, sunt listate peste 12 milioane de articole printre cele 18000 de categorii existente pentru vânzări, cu posibilități de particularizare pentru piețele din lume. Comunitatea eBay avea la sfârșitul anului 2004 peste 104 milioane de utilizatori înregistrați în toată lumea, și conform Media Metrix, este cel mai popular site de cumpărături de pe Internet funcție de numărul total de minute petrecut de utilizatori. Într-adevăr, utilizatorii Internet petrec mai mult timp pe eBay decât pe orice alt site online, făcând din acesta cea mai populară destinație pentru cumpărături de pe Internet.
În anul 2000, eBay, principala piață online și probabil cea mai de succes întreprindere bazată pe Web care există, se afla în fața unei mari provocări. Ținând cont că tranzacțiile eBay au loc peste tot în lume, 24 de ore pe zi, 7 zile pe săptămână și că, cumpărătorii trebuie să fie capabili să localizeze, analizeze și să liciteze articolele în orice moment, eBay trebuia să-și reanalizeze serviciile oferite pentru a susține schimbările rapide ale cererilor clienților, necunoscând ce produse va oferi un vânzător și ce interes vor prezenta cumpărătorii față de acestea. În acest scop, eBay a început să analizeze noi modele de piețe necesare pentru a suplimenta modelul de licitații tradițional de care dispunea. În urma analizelor efectuate eBay a descoperit că infrastructura sa nu era suficient de flexibilă pentru a suporta noile inițiative și strategia sa pe termen lung (de a deveni o piață care să suporte toate modalitățile de comerț). Cu toate că eBay a făcut o serie de modificări asupra infrastructurii sale în 1999 – 2000 și ceea ce este cel mai important, utilizatorii site-ului nu au fost influențați de limitările infrastructurii, eBay a decis în anul 2000 să implementeze o arhitectură complet nouă necesară pentru a asigura cerințele de calitate a serviciilor viitoare. Cheia principală a constituit-o trecerea de la o arhitectură de aplicații monolitică la o arhitectură bazată pe componente și servicii care va susține obiectivele eBay în viitor.
Membrii din toate părțile lumii cumpără și vând pe eBay. În momentul de față, eBay are site-uri locale care deservesc Australia, Austria, Belgia, Canada, Elveția, Franța, Germania, Irlanda, Italia, Korea, Olanda, Noua Zeelandă, Singapore, Spania, Suedia, Taiwan și Marea Britanie. În plus, eBay este prezent și în America Latină și China prin intermediul investitorilor săi MercadoLibre.com și respectiv, EachNet.
Astăzi, eBay nu mai reprezintă un simplu site de licitații, oferind în același timp și o serie de alte servicii și modele de vânzare, incluzând:
eBay International – în momentul de față eBay are site-uri cu specificul unor țări în Austria, Australia, Canada, Elveția, Franța, Germania, Irlanda, Italia, Korea, Noua Zeelandă și Marea Britanie. Desigur, nu este neobișnuit să auzim că membrii eBay Korea cumpără articole de la membrii din SUA sau că membrii din Australia cumpără de la membrii din Franța.
eBay Motors – este cea mai mare piață de licitații de pe Internet destinată cumpărării și vânzării de produse auto. La orice oră, eBay Motors dispune de o listă bogată de vehicule de vânzare, de la autoturisme la camioane, din aproape toate modelele și de la toți producătorii. De asemenea, site-ul oferă atât mașini de colecție și motociclete, cât și piese de schimb. eBay oferă neîntrerupt și alte servicii online, precum finanțări, inspecții, asigurări auto, transport de vehicule, înregistrări și verificări.
eBay Stores – extinde piața pentru vânzători permițându-le să creeze destinații de cumpărături particularizate pentru a vinde propriile produse. Pentru cumpărători, eBay Stores reprezintă o cale avantajoasă de accesare a bunurilor și serviciilor vânzătorului. Clienții care cumpără de pe eBay Store sunt capabili să cumpere imediat articolele selectate, la un preț fix sau la prețul rezultat în urma licitației.
Buy It Now – reprezintă o îmbunătățire opțională adusă listelor de articole. Buy It Now permite cumpărătorilor să cumpere un articol la prețul specificat fără să aștepte terminarea licitației, oferind astfel vânzătorilor o metodă ușoară și avantajoasă pentru vânzarea rapidă articolelor la un preț specificat.
eBay Professional Services – serviciile profesionale ale eBay servesc la creșterea rapidă a micilor afaceri de pe piață furnizând o locație pe eBay unde se pot găsi profesioniști și liber profesioniști care pot oferi sprijin pentru toate tipurile de nevoi de afaceri, cum ar fi de exemplu, design Web, contabilitate, suport tehnic, etc.
eBay Local Trading – eBay are site-uri locale în 60 de piețe din SUA. Aceste site-uri eBay permit utilizatorilor să găsească mai ușor articolele localizate în imediata lor apropiere și să caute printre produsele de interes local. Site-urile locale eBay oferă o atmosferă plăcută, oferind în același timp suport clienților pentru articole mai dificil de cumpărat, precum: automobile, mobilă, diverse dispozitive, etc.
eBay Live Auctions – licitațiile online oferă informații în timp real despre produsele vândute. O tehnologie dezvoltată de eBay, Live Auction, autorizează licitatorii tradiționali să-și extindă vânzările dincolo de casa de licitații și să câștige milioane de cumpărători online. Cumpărătorii au astfel acces la diferitele produse direct de acasă sau de la birou.
PayPal – de curând eBay a dobândit PayPal, o soluție globală destinată plăților în timp real, care permite oricărei afaceri sau client cu o adresă de email să efectueze securizat, convenabil și eficient plăți online. Paypal are peste 20 de milioane de utilizatori înregistrați, incluzând peste 3 milioane de conturi destinate afacerilor.
Pe măsură ce afacerea eBay a crescut, compania s-a văzut în fața a două forțe semnificative care vor provoca infrastructura tehnologică și o vor obliga să se transforme în noi direcții.
Prima este reprezentată de transparența site-ului. Indiferent de măsurătorile care se făceau funcție de vizite, minute petrecute pe site, utilizatori înregistrați, articole de vânzare sau tranzacții (după număr sau volum) eBay a fost și este compania care a redefinit ceea ce înseamnă scalabilitatea.
A doua este dată de evoluția serviciilor furnizate de eBay, precum și a celor care urmează să le furnizeze. După cum a demonstrat prin eBay Stores și Buy It Now, eBay s-a dezvoltat peste modelul de comerț prin licitații implementat inițial.
6.2 Arhitecturi eBay
6.2.1 Arhitectura eBay V2
Arhitectura inițială a eBay, prezentată în figura 6.1, era o arhitectură bazată pe două nivele. Aceasta avea la bază un sistem procedural C++ proprietar, cu conectivitate directă de la logica de prezentare la logica datelor, fapt ce a făcut-o foarte vulnerabilă în fața atacatorilor. Ea a reușit în cele din urmă să răspundă solicitărilor clienților, deși în ultima parte a existenței sale ea s-a confruntat cu puternice probleme de scalabilitate și securitate .
Figura 6.1: Arhitectura cu două nivele utilizată de eBay V2
Principalele limitări ale arhitecturii inițiale ale eBay (V2) se refereau în principal la:
Flexibilitate;
Scalabilitate;
Probleme majore de administrare.
Flexibilitate – datorită arhitecturii sale eBay V2 nu putea oferi clienților modele multiple de cumpărare, de căutare,etc.
Scalabilitate – în același timp, eBay se confrunta cu probleme de scalabilitate. Compania se afla într-un moment în care se atinsese limita arhitecturii de date, limitându-se astfel și capacitatea hardware. Inițial se rula de exemplu, o bază de date Oracle într-un sistem de operare SolarisTM pe un server Sun EnterpriseTM 10000. Upgrade-urile hardware necesare pentru performanțe sporite nu reprezentau o opțiune, iar Sun nu a putut oferi un Sun FireTM 12K la timp. Pentru a răspunde totuși solicitărilor clienților, în condițiile în care eBay analiza posibilitatea implementării unei noi arhitecturi, eBay a suferit o serie de upgrade-uri semnificative, în ultima perioadă a existenței sale. Acestea au inclus migrarea de la un singur server de baze de date la un mediu de stocare în rețea (SAN – storage area network) bazat pe tehnologia Sun StorEdgeTM care să asigure o mai bună securitate a tranzacțiilor, concomitent cu îmbunătățirea funcției de căutare eBay și oferirea de noi modele de afaceri, în limitele impuse de arhitectura existentă.
Probleme de administrare – se referă la faptul că arhitectura eABy V2 era prea greu de menținut. Aceasta, în particular, a avut efect asupra dezvoltării organizației, deoarece foarte mult timp era afectat mentenanței sistemului și fixării bug-urilor, decât diferențierii produselor. La acestea s-au adăugat atacurile asupra serverului Web (IIS 4.0) și asupra bazei de date (Oracle), fapt pentru care aplicațiile trebuiau permanent analizate și actualizate din punctul de vedere al amenințărilor și vulnerabilităților de securitate.
Creșterea fără precedent a traficului și a volumului tranzacțiilor, împreună cu creșterea cererii pentru o mai bună funcționalitate și pentru noi modele au stat la baza deciziei eBay de a analiza o nouă arhitectură care să răspundă atât la cerințele actuale privind securitatea, volumul tranzacțiilor și modelele de afaceri cât și la cele viitoare. În acest sens, pe baza experienței acumulate eBay a proiectat și implementat arhitectura eBay V3.
6.2.2 Arhitectura eBay – V3
Încă de la proiectarea noii arhitecturi eBay s-a avut în vedere realizarea unei aplicații flexibile (abilitatea de a face schimbări arhitecturii, cu posibilitatea de reutilizare a elementelor de bază și a design-ului) și scalabile (păstrarea aplicației și a infrastructurii pe măsură ce afacerea crește), care răspunde cerințelor în continuă creștere ale clienților privind atât gama de servicii oferite, cât și securitatea Web. Astfel, arhitectura eBay V3 a fost proiectă și optimizată să suporte modelul de licitații al comerțului online.
În consecință, eBay și-a transformat arhitectura tehnologică într-o platformă de comerț globală în care utilizatorii pot cumpăra și vinde securizat într-o multitudine de moduri, incomparabilă cu arhitectura anterioară. De asemenea, eBay a descoperit că nu trebuie să ofere doar modele multiple de cumpărare, ci și modele multiple de căutare – cum ar fi de exemplu, căutarea parametrică după atribute.
Arhitectura eBay V3 a fost proiectată și implementă în trei faze. În faza 1 au fost stabilite conceptele și elementele de bază ale arhitecturii. În acest sens au fost evaluate platformele J2EE și .NET, în cele din urmă fiind aleasă J2EE, datorită creșterii productivității și securității prin crearea unei arhitecturi bazate pe componente, care nu avea nici o legătură cu varianta anterioară. În faza 2 au fost demonstrate conceptele și acțiunile inițiale, iar în faza 3 a avut loc migrarea pe scară largă către noua arhitectură.
Elementele principale referitoare la infrastructura de comerț globală oferită de eBay sunt prezentate în tabelul 6.1.
Tabelul 6.1: Privire de ansamblu asupra eBay V3
Obiectivele arhitecturale ale eBay V3 includ obiectivele afacerii și cerințe privind calitatea serviciului, precum:
Timpul de vânzare;
Performanța, scalabilitatea și disponibilitatea;
Continuitatea afacerii;
Funcționalitatea, cu nevoia specifică de a absorbi schimbările afacerii;
Securitatea, incluzând protocoale de autorizare și autentificare și integritatea datelor.
Practic, prin eBay V3 s-a trecut de la o arhitectură cu două nivele la o arhitectură de rețea multinivel bazată pe servicii, în care prezentarea, aplicația și logica datelor sunt separate (figura 6.2). Arhitectura bazată pe tehnologia J2EE permite această separare și comunicarea prin intermediul JDBCTM (Java Database Connectivity) și prin partajarea conexiunii. De asemenea, în infrastructura actuală, eBay a adăugat un nivel de mesagerie integrat în arhitectura bazată pe tehnologia J2EE. Soluția de mesagerie eBay este bazată pe TIBCO ActiveEnterprise.
Arhitectura V3 a lui eBay se bazează pe patru principii fundamentale referitoare la cerințele de calitate a serviciului, care includ scalabilitatea, securitatea, flexibilitatea și performanța:
Figura 6.2: Arhitectura multinivel eBay V3
arhitectură de rețea bazată pe servicii, multinivel (client-server);
cod bazat pe componente;
partiționarea datelor;
posibilități scriere/citire.
Figura 6.2 scoate în evidență modul în care arhitectura facilitează buna partiționare bazată pe analiza funcțională, ceea ce oferă o bună flexibilitate, scalabilitate și securitate. Nivelele în care este împărțită arhitectura sunt client, Web, aplicație și date.
Nivelul client furnizează aplicațiile end-user, browser și clienți bazați pe dispozitive, și aplicații externe care integrează și interacționează cu aplicația eBay V3.
Nivelul Web furnizează conținut static și servește ca frontieră inițială între client și nivelul aplicație J2EE.
Nivelul aplicație (figura 6.3), element cheie al arhitecturii de rețea bazate pe servicii, multinivel în care prezentarea, aplicația și logica datelor sunt separate, se ocupă de nevoile serviciilor de prezentare, ale serviciilor referitoare la logica afacerii și ale serviciilor de acces la date care folosesc diverse tehnologii Java și J2EE, incluzând servlet-uri Java, tehnologia EJBTM (Enterprise JavaBeanTM), tehnologia JDBC, tehnologia JNDITM (Java Naming and Directory Interface), JMX (Java Management Extensions) și Java XML.
Nivelul date reprezintă infrastructura necesară pentru a găzdui și a furniza servicii de date folosind tehnologiile Sun, VERITAS și Oracle.
Figura 6.3 se concentrează asupra nivelului aplicație și prezintă arhitectura aplicației J2EE pentru eBay V3, în care sunt folosite diverse tehnologii Java și J2EE pentru a realiza o arhitectură scalabilă, extensibilă, flexibilă și nu în ultimul rând securizată. Mai mult, nivelul aplicație este împărțit în mai multe nivele logice: nivelul prezentare, business și integrare. Nivelul prezentare este responsabil de interacțiunea cu nivelul client și furnizează serviciile cerute de diferitele tipuri de clienți. Acest nivel se bazează pe servlet-uri Java și folosește tehnologiile Java XML și XSL (eXtensible Standard Language) pentru a oferi servicii de prezentare flexibile. Nivelul aplicație este compus din componente framework pentru a ușura execuția logicii și legilor de business. Nivelul aplicație se bazează pe tehnologia EJB și folosește reguli de afaceri Java particularizate, politici framework și tehnologia XML. Serviciile integrate în nivelul aplicație furnizează un nivel de acces la date, care ușurează interacțiunea dintre componentele aplicație și sursele de date prin folosirea regulată a tehnologiei JDBC. Prin acestea sunt implementate cerințele complexe ale eBay privind securitatea tranzacțiilor, accesul la date și maparea obiectelor relaționale.
Figura 6.3: Arhitectura aplicației J2EE pentru eBay V3
În plus față de aceste trei nivele, există și altele care oferă o arhitectură de aplicație J2EE completă end-to-end. Framework-ul de configurare este implementat folosind tehnologia JMX (java Management Extension). Pentru a furniza un serviciu de logare puternic, framework-ul generic de logare este bazat pe implementarea Apache Log4J.
Framework-ul de securitate este implementat folosind caracteristicile de securitate oferite de tehnologia J2EE pentru a proteja componentele aplicației J2EE. De asemenea, sunt implementate componente de securitate particulare bazate pe cerințele specifice eBay. Utilitățile și serviciile comune oferă diverse utilități și servicii reutilizabile comune tuturor nivelelor din arhitectura aplicației.
Majoritatea tranzacțiilor online pe eBay se realizează prin PayPal. Serviciul PayPal se bazează pe structura financiară deja existentă de conturi bancare și cărți de credit și utilizează cele mai avansate sisteme de prevenire a fraudelor din lume, creând o soluție de plată globală, sigură și în timp real.
Acesta asigură siguranța tranzacției fiind unul din cei mai mari furnizori de servicii de plată prin Internet. Din motive de securitate, toate paginile afișate, din momentul autentificării pe eBay, sunt securizate folosind SSL.
6.3 Amenințări de securitate asupra site-ului de licitații online eBay
Site-urile de licitații online, printre care se numără și eBay, se află permanent în fața unei varietăți foarte mari de amenințări.
Hackerii pot încerca să fure ID-uri, parole și numere de cărți de credit ale participanților la licitațiile online, putând manipula atât informații referitoare la participanți, cât și prețurile la produsele licitate de aceștia. Pentru a asigura protecția în cazul unor astfel de amenințări trebuie criptate comunicațiile și folosite firewall-uri pentru a proteja rețelele interne de un eventual atac din exterior.
Elementele de asigurare a securității, în cazul eBay, sunt reprezentate de: software antivirus, firewall-uri performante, procese de autentificare (pentru numerele cardurilor de credit și al adreselor IP), SSL, o politică complexă de acces la datele interne și pentru transferul datelor, servere depozitate în camere sigure, cu accesul restricționat, stocarea criptată a datelor, instalarea rapidă și automată a patchurilor pe toate serverele pentru toate vulnerabilitățile de securitate cunoscute, back-up-ul datelor și sisteme de recuperare în caz de dezastru, programe de monitorizare a traficului, etc.
O altă amenințare în fața licitațiilor online o reprezintă atacurile care afectează servicii ale furnizorului de comerț electronic (eBay în cazul de față).
Principalele probleme de securitate cu care s-a confruntat site-ul de licitații online eBay includ:
atacuri Denial of Service (DoS) – constau în inundarea rețelei cu mesaje și cereri de date. Acestea consumă toate resursele disponibile și împiedică funcționarea normală a aplicațiilor. Cele mai multe atacuri DoS sunt lansate împotriva site-urilor Web, cu scopul de a împiedica vizitarea acestora de către utilizatorii obișnuiți. Dintr-o perspectivă de afaceri atacurile de tip Denial of Service (DoS) par să fie cele mai periculoase. Deși nu implică neapărat și pierderi de date, pagubele financiare cauzate de imposibilitatea furnizării serviciilor către clienți pot fi cu mult mai mari.
Un exemplu în acest sens, semnificativ pentru eBay, a avut loc în ianuarie 2000, când licitațiile on-line găzduite de acesta au fost anulate datorită atacurilor de tip DOS. Pentru a asigura un succes sigur al atacului, atacatorii au folosit atacuri DOS distribuite.
atacuri asupra serverelor IIS – au drept scop compromiterea serverului IIS fie prin exploatarea componentelor acestuia vulnerabile la atacuri buffer oferflow, prin care atacatorul poate obține controlul total asupra sistemului și poate folosi RDS (Remote Data Services) pentru a da comenzi de la distanță serverului, fie prin script-uri Java malicioase găzduite de sistemul IIS infectat și inserate în fișierele trimise celorlalte sisteme. Codul JavaScript respectiv este proiectat să exploateze o serie de vulnerabilități din Internet Explorer având ca obiectiv final instalarea unui Troian pe sistemul compromis.
În cazul eBay atacurile au avut drept scop principal obținerea de informații de logare de la clienții acestuia, urmând ca acestea să fie folosite în acțiuni frauduloase.
Un exemplu de utilizare a unui script Java malicios în cazul eBay, este Download.Ject, care a afectat serverele IIS ale acestuia pe care nu erau aplicate ultimele patch-uri. Astfel, au fost instalați troieni pe calculatoarele clienților gazdă în momentul în care aceștia accesau o pagină a site-ului de licitații online eBay. Prin intermediul acestora atacatorii monitorizau accesul la Internet cu scopul de a captura informații sensibile, precum nume și parole de logare, sau deschideau ferestre de dialog false care îndemnau utilizatorii să introducă informații confidențiale, precum numere de cărți de credit, numere de identificare personale, sau alte informații sensibile.
Contramăsuri
Pentru cazul prezentat se recomandă instalarea update-ului MS04-013, iar în general, instalarea în timp util a ultimelor patch-uri și update-ri de securitate.
atacuri de tip „phishing” – acte de fraudă care presupun o încercare de furt a identității unui utilizator de Internet prin trimiterea de email-uri sau link-uri către pagini de Web care copiază în detaliu alte pagini de Web foarte cunoscute. Frecvent, prin aceste email-uri sau site-uri, hoții cibernetici roagă utilizatorii de Internet să furnizeze date personale de identificare foarte importante, precum parole, numerele cardurilor de credit sau al conturilor bancare, folosind diferite pretexte, între care cel mai folosit este pretextul actualizării bazei de date. Vulnerabile în acest sens sunt browserele mai noi, cum ar fi Mozilla Firefox, Opera, în general browserele care implementează IDN (International Domain Name) și care permit folosirea caracterelor internaționale în scrierea URL-urilor. De exemplu, atacatorii pot să își înregistreze un domeniu "ebay.com" în care litera "e" este înlocuita cu litera "ë" din alfabetul ciliric. Atacatorilor nu le mai rămâne decât să facă o copie fidelă a site-ului original și să trimită un e-mail utilizatorului, anunțându-l că a câștigat o licitație și că e necesară reintroducerea datelor personale pentru finalizarea tranzacției, punând la dispoziție adresa falsă și îndrumând utilizatorul să dea click pe ea.
Un astfel de atac a avut loc asupra eBay în luna noiembrie 2004 când unii dintre clienții eBay au primit un e-mail cel puțin ciudat: "Your account may be used by a third party in a fraudulent activity with eBay. As a result, your access to bid or buy on eBay has been restricted." Deci accesul la tranzacții de orice fel pe eBay al clientului respectiv a fost restricționat datorită faptului că exista o a altă persoană care folosește contul în acțiuni fraudulose. Până aici toate bune și frumoase. În e-mailul respectiv există și un link către e-bay. În câmpurile formularului de reînregistrare trebuiau introduse: datele de pe cartea de credit, numărul personal de identificare ATM (PIN), numărul de securitate socială, data nașterii, primul nume al mamei. Formularul se afla pe un site replică fidelă al eBay atât în ceea ce privește partea de sus cât și în ce privește link-urile interne de pe cel original. Din păcate pentru cei care au completat-o, cererea nu venea de la eBay, dimpotrivă era o acțiune frauduloasă. Încercarea de a contacta autoritățile de la eBay s-a dovedit a fi fără succes. La 12 ore după descoperirea falsului site-ul fraudulos încă funcționa, fapt ce ridică semne de întrebare cu privire la securitatea eBay.
Contramăsuri
Ca o măsură împotriva acestui tip de atacuri, eBay, împreună cu Microsoft, PayPal și Visa au lansat, în februarie 2005, Phish Report Network – PRN (www.phishreport.net), primul serviciu mondial din industria Internetului, de luptă împotriva fraudelor on-line generate de furtul de identitate (antiphishing). PRN permite oricărei companii care este victima unui atac să raporteze imediat și securizat către o bază de date centrală administrată de WholeSecurity, site-urile care generează fraudă de tip furt de identitate (vezi figura 6.4).
Figura 6.4: Fluxul datelor în rețeaua de raportare a fraudelor
Costul abonamentului este de 15.000 USD pe an, atât pentru cei care furnizează informația (Senders: instituții financiare, companii de comerț electronic, etc.) cât și pentru cei care o primesc (Receivers: furnizori de servicii de Internet în principal).
atacuri Cross-Site Scripting (XSS) – a devenit tot mai populare printre atacurile efectuate asupra aplicațiilor Web. În acest caz, atacatorul trebuie să acceseze contul victimei în timpul cel mai scurt pentru a nu obține erori gen "session expired". Vulnerabilitățile de tip XSS sunt de multe ori neînțelese de administratori, care nu le acordă o atenție prea mare, de multe făcându-se confuzia cu Cascading Style Sheets (CSS).
Aproape toate scenariile de atac includ un atacator "activ" care încearcă să fure cookie-uri de la useri și în același timp să încerce să intre pe conturile lor. În general pentru ca aceste încercări de "account hijacking" să aibă succes atacatorul trebuia să se autentifice cu cookie-ul furat până ce userul respectiv nu se deautentifica de pe pagină (adică până nu expira sesiunea). În ultima perioadă hackerii folosesc moduri automate sau semi-automate de atacuri tip XSS asupra site-urilor (deci fără intervenția hackerului, doar prin crearea unui script care manipulează tot).
O astfel de vulnerabilitate a fost descoperită în Oracle 9i Application Server, server de aplicații folosit și de eBay. Astfel, utilizatori răuvoitori o puteau utiliza pentru redirecționa utilizatorii către un site Web fals, realizând astfel atacuri de tip Cross Site Scripting.
atacuri asupra parolelor (accounts hijacked) – folosind problemele de securitate ale acestora din rutina de mentenanță – vulnerabilitatea permitea unui posibil atacator care cunoștea numele real al unui utilizator eBay să-i schimbe parola, luând astfel controlul asupra contului.
Contramăsuri:
Inițial, eBay a dezactivat funcția „Change your password” în eforturile sale de eliminare a vulnerabilității. Ulterior aceasta a fost eliminată prin reconfigurarea modulelor software referitoare la securitatea parolelor.
probleme apărute la identificarea utilizatorilor (Microsoft Passport) – fapt pentru care, eBay a decis, deși destul de târziu, să renunțe la serviciul de management al identității Microsoft Passport (ianuarie 2005).
Cotramăsuri și inițiative eBay
Pentru a asigura instruirea clienților în materie de securitate, eBay a creat un centru de securitate, disponibil la adresa http://pages.ebay.com/securitycenter/, în care pot fi sesizate eventualele probleme legate de nelivrarea unui bun, plată sau email spoofing (email fals).
De asemenea, pentru a rezolva problemele legate de securitate, eBay a făcut parte, alături de Cisco Systems Inc., Microsoft Corp., Symantec Corp., Qualys Inc., Internet Security Systems Inc. și Mitre Corp., dintre companiile care au propus realizarea unui standard de clasificare a vulnerabilităților. Planul de elaborare a noului sistem denumit Common Vulnerability Scoring System (CVSS), a fost făcut public în cadrul Conferinței RSA (februarie 2005). Noul sistem este parte a proiectului inițiat de National Infrastructure Advisory Council, care vizează crearea unui cadru global de relevare a informațiilor privind vulnerabilitățile din sistemul de securitate. CVSS va folosi ecuații matematice standard pentru a calcula gravitatea noilor vulnerabilități bazate pe informații fundamentale care indică posibilitatea ca o vulnerabilitate să poată fi exploatată de la distanță, sau dacă un hacker trebuie să se conecteze la un sistem vulnerabil înainte de a putea exploata hiba din sistemul de securitate.
În concluzie, amenințările de securitate asupra eBay există cu toate măsurile de securitate luate atât în timpul proiectării, cât și în timpul implementării ultimei platforme. Atacurile asupra eBay și în special ultimele, de tip phishing, au afectat imaginea companiei și au dus la scăderea cotației acesteia pe piața bursieră, ceea ce a atras de la sine pierderi importante în plan financiar. Cu toate acestea, se poate spune că eBay este un model de succes în comerțul electronic, el putând fi utilizat și ca material didactic pentru analizarea elementelor de bază ale unui site Web de comerț electronic (alegerea și comandarea produselor, plata și primirea comenzilor).
7. Concluzii
Comerțul electronic se află încă într-o fază incipientă. Clienții manifestă temeri în ceea ce privește acest tip de comerț datorită, în special, problemelor de securitate apărute (furtul ID-urilor, parolelor, numerelor cardurilor de credit, confidențialitatea datelor personale, etc.). Acestea se datorează faptului că, multe firme nu au adoptat modelul electronic potrivit pentru derularea comerțului lor electronic sau întâmpină dificultăți în integrarea comenzilor legate de securizarea site-ului Web și a informațiilor culese online, în activitatea curentă a firmei. Cu toate acestea, este o certitudine faptul că numărul clienților magazinelor electronice și a firmelor care adoptă soluțiile comerțului electronic este în continuă creștere. Mulți furnizori de servicii Internet popularizează sistemul de cumpărare online tocmai pentru a induce un plus de încredere și considerație.
Marea majoritate atacurilor cibernetice de succes sunt posibile datorită unor vulnerabilități prezente într-un număr mic de servicii obișnuite ale sistemului de operare, ne luate în considerare de majoritatea webmasterilor și administratorilor. Atacatorii sunt oportuniști. Ei aleg cea mai ușoară și cea mai convenabilă cale și exploatează erori bine-cunoscute cu cele mai eficiente și disponibile instrumente de atac. Cele importante vulnerabilități ale sistemelor Windows și UNIX, sunt prezentate în tabelul 7.1.
Tabel 7.1 – Primele 20 de vulnerabilități în sistemele Windows și UNIX
Pentru a elimina aceste amenințări și a răspunde la cerințele pieței privind securitatea în Internet, în general, și pe cea a comerțului electronic în particular, au fost elaborate mai multe standarde și protocoale pentru securizarea comunicațiilor (SSL v2/v3, TLS, PCT, PGP, IPSec, L2T2P, P2PTP, SSH) și pentru protejarea tranzacțiilor comerciale efectuate prin intermediul Internet-ului (SET). De asemenea au fost implementate atât instrumente necesare unei analize corecte a riscurilor și vulnerabilităților, instrumente de monitorizare, detectare și respingere a intruziunilor în timp real (IDS), cât și soluții firewall, antivirus, PKI și VPN.
Practic, securitatea trebuie să devină o componentă de bază pentru toate site-urile Web de comerț electronic, importanța sa fiind, în ultima perioadă, luată în considerare din ce în ce mai mult de firmele care au adoptat această formă de comerț, acestea având ca exemplu experiențele negative ale unor site-uri Web de comerț electronic care nu și-au luat măsurile necesare în ceea ce privește securitatea Web și au avut de suferit în urma exploatării vulnerabilităților de securitate existente de către hackeri. Aceasta a afectat imaginea companiilor respective și a dus la pierderi mari în plan financiar.
Pentru viitor se anticipează realizarea unui grad mai mare de securizare a site-urilor Web. În acest sens se prevede realizarea unui sistem care va impune un standard de clasificare a vulnerabilităților produselor software, în funcție de gradul de risc al acestora. Sistemul va oferi un limbaj comun de descriere a importanței problemelor de securitate, înlocuindu-le pe cele elaborate de fiecare furnizor în parte.
7. Anexa – Etape de creare a site-urilor Web de comert electronic
Anexa 1: Etape de creare a site-urilor Web de comerț electronic
Realizarea unui site Web de comerț electronic, indiferent de modelul pe care îl implementează (business-to-consumer B2C sau business-to-business B2B) implică mai multe etape(vezi figura 2.1):
analiza/planificarea sistemelor;
proiectarea sistemelor;
construirea sistemelor;
testarea;
implementarea și promovarea.
Figura 1: Ciclul de viață al dezvoltării site-urilor Web
Etapa 1: Analiza/planificarea sistemelor (Proiectarea site-ului) – identificarea obiectivelor afacerii, funcționalitatea sistemului și a cerințelor privind informația pe care sistemul trebuie să o prezinte pentru a atinge obiectivele afacerii.
Înainte de a trece la crearea efectivă a unui site de comerț electronic, compania care va deține acest site trebuie să poată da un răspuns la următoarele întrebări:
Ce tipuri de produse vinde site-ul?
Ce tipuri de informații va găzdui?
Răspunsurile la aceste întrebări vor determina domeniile din care va fi alcătuit site-ul (vezi tabelul 1). De exemplu, respectiva companie poate vinde produse care vor fi livrate clienților prin poștă, produse software care vor fi încărcate direct de pe site, sau ambele categorii de produse. În cazul în care se dorește vânzarea ambelor tipuri de produse, se vor construi domenii specifice fiecărui tip în parte. Un alt exemplu l-ar constitui construirea unui domeniu dedicat discuțiilor on-line: o companie poate decide să ofere clienților un forum de discuții dedicat unor probleme care prezintă un anume interes pentru companie.
Ce persoane din cadrul companiei vor fi responsabile pentru administrarea site-ului?
Situl companiei poate avea un singur administrator (suficient pentru site-uri de dimensiuni mici) sau mai mulți, pentru situațiile neprevăzute în care unul dintre administratori este indisponibil. De asemenea, trebuie să se aibă în vedere stabilirea unei structuri de aprobatori (organizată ierarhic), care să se ocupe de aprobarea conținutului nou care va fi adăugat în cadrul diferitelor domenii ale sitului. Conținutul va fi adăugat de către utilizatori interni (aparținând intranetului companiei) sau externi (din Internet, de exemplu).
Care este tipul de interfață pe care doriți să îl propuneți clienților?
În timp ce răspunsurile la primele două întrebări rezolvau în principal probleme legate de structura internă a sitului, răspunsul la această întrebare va determina aspectul său exterior. Trebuie să se stabilească ce imagini vor fi prezentate în cadrul paginilor (de exemplu logoul companiei) culori folosite în cadrul paginilor (ar putea fi culorile din logo), stilul de adresare, etc.
Tabelul 1 – Analiza sistemelor: obiectivele afacerii, funcționalitatea sistemului, cerințele privind informația care trebuie publicată pe un site de comerț electronic
Etapa 2: Proiectarea sistemelor de comerț electronic – Platforme hardware și software
După ce s-au stabilit toate detaliile de la punctul precedent urmează o altă etapă la fel de importantă: determinarea cerințelor necesare pentru dezvoltarea site-ului. Cerințele se referă atât la hardware-ul și software-ul necesar pentru implementarea sistemului de comerț electronic, cât și la infrastructura de comunicații:
– cerințe hard: caracteristicile mașinilor folosite ca server (memorie, spațiu pe hard-disk, viteză procesor, etc.
– cerințe soft: sistem de operare, server de Web, firewall, pachete de programe opționale (programe de calcul al taxelor, etc.), pachete software pentru asigurarea securității site-ului Web (SSL, TLS, PKI) și a tranzacțiilor (SET);
– comunicații: se referă la lărgimea benzii de comunicație, topologii de rețea, etc.
Proiectarea sistemelor de comerț electronic poate fi împărțită în două părți:
Proiectarea logică, care include:
Diagrama fluxului datelor, care descrie fluxul informației în site, funcțiile de procesare care trebuiesc îndeplinite și bazele de date care vor fi utilizate;
Descrierea elementelor de securitate și a sistemelor de back-up în caz de urgență, precum și a măsurilor care vor fi luate.
Proiectarea fizică, traduce proiectarea logică în componente fizice.
Proiectarea logică pentru un site Web de comerț electronic simplu
Figura 2: Structura logică a unui site Web de comerț electronic simplu
Figura 3: Proiectarea fizică a unui site Web de comerț electronic simplu
În urma completării acestei etape, se va determina mai mult de 80% din costul pe care îl implică realizarea unui site de comerț electronic.
Etapa 3: Implementarea sistemului
Există mai multe soluții în ceea ce privește implementarea site-ului:
soluții externe (outsourcing) – furnizor extern care realizează site-uri
soluții interne (dezvoltarea sistemului în interiorul companie) – necesită personal specializat, putând fi destul de riscant, dar existând în același timp și posibilitatea de a fi avantajos.
Unelte care pot fi folosite pentru a crea un site Web de comerț electronic:
Figura 4: Unelte software pentru implementarea unui site Web de comerț electronic
Găzduirea site-ului
Site-ul de comerț electronic poate fi găzduit pe un sistem care clientului, dar există de asemenea posibilitatea închirierii de spațiu pe serverele furnizorului de servicii Internet. Soluția cea mai ieftină se obține în prima variantă.
Un caz aparte în privința găzduirii site-ului îl reprezintă activitatea de publicitate și cataloage electronice de produse. Prezentă inițial în cadrul site-urilor prin care se puteau face căutări pe Internet (precum www.yahoo.com sau www.whowhere.com), în principal datorită fluxului mare de vizitatori pe care le aveau aceste site-uri, publicitatea pe Internet a devenit una dintre sursele majore de venituri inclusiv pentru site-urile de comerț electronic. Aceste site-uri pot să găzduiască mesajele publicitare ale unor terțe părți, dar și promovări ale produselor proprii companiei respective. De exemplu, în pagina de deschidere a site-ului (HomePage), pot exista legături către produse existente în catalogul electronic de produse (aflat în cadrul altui domeniu al site-ului), pentru care compania dorește să facă reclamă. De obicei, aceste produse sunt fie noi apariții pe piață, fie produse mai vechi pentru care se oferă discounturi.
Figura 5: Alegerile care pot fi făcute între construirea și găzduirea site-ului
Managementul bazelor de date
Produsele și serviciile pe care site-ul de comerț electronic le oferă spre vânzare clienților, indiferent de modul în care vor fi livrate (prin poștă sau direct prin Internet), vor fi stocate în cadrul site-ului în baze de date. Tot în baze de date (dar nu în cadrul acelorași baze de date ca și produsele) vor fi stocate și comenzile pe care clienții le adresează către site. Aceste comenzi pot fi păstrate chiar și după onorarea lor, pentru a oferi clienților un istoric al produselor pe care le-au comandat sau pentru studii de piață efectuate chiar de către compania care deține site-ul.
Este foarte importantă alegerea SGBD-ului (Sistemului de Gestiune al Bazelor de Date), cel puțin din următoarele motive:
pe măsură ce afacerea va crește, crește și numărul de produse oferite spre vânzare, și, implicit, dimensiunea site-ului (a bazelor de date care corespund domeniilor din care este alcătuit site-ul); rezultă deci necesitatea stringentă ca bazele de date să fie scalabile (să poată fi posibilă creșterea dimensiunii lor);
pentru baze de date de dimensiuni foarte mari, este importantă problema vitezei de acces la informațiile stocate în aceste baze de date și a securizării accesului la acestea. Dacă motorul de căutare în cadrul bazelor de date nu este foarte performant, atunci, chiar și pentru cel mai simplu acces la informațiile din bază, timpul de căutare poate deveni prohibitiv.
Plata și procesarea tranzacțiilor
Autorizările sigure de cărți de credit și procesarea comenzilor prin Internet sunt elemente care stau la baza oricărei aplciații de comerț electronic.
Pentru a realiza în deplină siguranță un transfer care implică numere de cărți de credit prin Internet, este nevoie să se ia măsuri de securitate referitoare la autorizarea plăților. Informațiile referitoare la cărțile de credit (numărul cărții, nume deținător, telefon, etc.), care sunt transmise în momentul efectuării plății trebuiesc validate de către un organism de autorizare. De aceea, companiile care doresc să accepte efectuarea plăților prin Internet prin cărți de credit trebuie să ia legătura cu un astfel de organism. Aceasta, la rândul lui, se află în legătură cu instituția financiară care a eliberat cartea de credit, și, după un schimb de mesaje criptate cu respectiva instituție, va aviza sau nu transferul de fonduri. Dacă primește acceptul din partea organismului, vânzătorul va efectua livrarea produselor către client și va înregistra comanda ca fiind onorată. Suma plătită de client pentru aceste produse va fi adăugată la contul vânzătorului.
Etapa 4: Testarea aplicațiilor
Testarea software este procesul căutării erorilor în program, indiferent dacă acestea au cauze logice sau fizice. Obiectivul principal al testării software este găsirea erorilor, altfel spus, de a identifica neconcordanța dintre ceea ce este planificat să efectueze aplicația și ceea ce realizează în realitate. Testarea nu presupune identificarea cauzei erorilor și corecția acestora, acestea fiind activități specifice depanării.
Testarea este privită ca o componentă majoră a calității software. Un produs software testabil se consideră ca fiind inteligibil (structurat, concis și autodescriptibil) și măsurabil (accesibil și cuantificabil).
Testarea software este necesară pentru asigurarea calității, dar este un proces scump și laborios, care consumă de la o treime până la o jumătate din costul unui proiect. Testarea funcțională se realizează pentru a constata dacă site-ul se comportă conform cu specificațiile sale. Detaliile acestui tip de testare depind de natura site-ului Web. În general constă în verificarea legăturilor paginilor, testarea formularelor, verificarea tranzacțiilor pentru comerțul electronic și pentru bazele de date, testarea applet-urilor Java.
La testarea conținutului se urmărește corectitudinea și așezarea în pagină a textelor, imaginilor și fișierelor de animație și video din cadrul site-ului.
Testarea serverului Web are în vedere testarea interacțiunilor dintre acesta și serverul de aplicații, verificarea integrității bazei de date în cadrul serverului de baze de date, verificarea faptului că scripturile ASP, PHP sau JSP se execută corect pe server.
Testarea securității tranzacțiilor efectuate este foarte importantă pentru aplicațiile de comerț electronic având în vedere faptul că sunt vehiculate date confidențiale, la care dacă au acces persoane neautorizate sau răuvoitoare se pot produce pierderi materiale importante.
Testarea serverului de aplicații se realizează ținându-se seama de caracteristicile funcționale și structurale ale acestuia. Se testează componentele serverului, folosind metode clasice de testare, precum și metode de testare ce iau în considerare tranzacțiile și comunicațiile asincrone dintre aceste componente.
Testarea bazelor de date presupune verificarea executării corecte a interogarilor și operațiilor de adăugare și actualizare a datelor, precum, și verificarea conexiunilor dintre site-ul Web și baza de date.
Prin testarea performanțelor se măsoară comportamentul site-ului Web în diverse condiții de trafic.
În prezent există o mulțime de instrumente pentru testarea automată a aplicațiilor distribuite bazate pe web. Astfel de aplicații precum eValid, Rational SiteCheck, SilkPerformer, LoadRunner au următoarele caracteristici:
oferă suport pentru testarea funcțională
analizează integritatea și legăturile dintre pagini
analizează încărcarea și capacitatea serverului web
oferă o serie de indicații pentru reglaje fine ale site-ului.
Factorii ce trebuie luați în considerare pentru optimizarea site-urilor Web de comerț electronic sunt prezentați în figura de mai jos:
Figura 6: Factori ce trebuie luați în optimizarea site-urilor Web
Componentele bugetului unui site Web sunt prezentate în figura 7.
Figura 7: Componentele bugetului unui site Web
Etapa 5: Implementarea și promovarea site-ului Web
După ce etapa de testare a aplicațiilor s-a încheiat cu succes se poate începe implementarea finală și promovarea site-ului.
Acum compania dispune de un site securizat și ușor de utilizat prin care își poate promova produsele și serviciile. Este momentul ca, clienții să afle de existența lui și să îl utilizeze. În acest scop, sunt câteva modalități de direcționare a traficului către site-ul Web creat:
– înregistrarea site-ului Web în baza de date a motoarelor de căutare – peste 90% dintre utilizatorii Internet caută în unul sau mai multe motoare de căutare de top pentru a găsi ceea ce doresc. Pentru aceasta trebuie să ne asigurăm că afacerea pe care o promovăm face parte din rezultatele căutării când clienții caută produse și servicii pe care le poate oferi compania. Introducerea manuală a site-ului în bazele de date ale motoarelor de căutare este o operație care ocupă câteva ore lunar, fapt pentru care trebuie utilizate servicii automate de subscriere în bazele de date motoarelor de căutare, un exemplu în acest sens fiind Submit Wizard. Submit Wizard are capacitatea de a de subscriere automată a site-ului în peste 200 de motoare de căutare și directoare, incluzând Google, Yahoo, Altavista, Look Samrt și Lycos.
– menționarea numelui site-ului în broșuri, panouri publicitare, cărți de vizită, și chiar pălării, jackete, tricouri, etc.
– publicitate – bannere publicitare pe site-uri cu trafic ridicat.
8. Bibliografie
W. Stalings – „Cryptography & Network Security”, Prentice Hall, USA, 1998;
Bruce Schneier, „Practical Criptography”, 2003;
Kenneth C. Laudon, “E-commerce – business, technology, society”, 2004;
Victor-Valeriu Patriciu, „Securitatea informatică în UNIX și INTERNET”, Ed. Tehnică, 1998;
Victor-Valeriu Patriciu, „Securitatea comerțului electronic” , Ed. All, București, 2001;
Victor-Valeriu Patriciu, „Internet-ul și dreptul”, Ed. All, 1999;
„Improving Web Application Security – Threats and Countermeasures” – http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/ThreatCounter.asp;
Floarea Năstase, Răzvan Zota – „Integrarea proceselor de e-business în economia digitală”, 2003;
Carmen Timofte, „Comerțul Electronic” – suport de curs, 2002;
Răzvan Zota, „Rețele de calculatoare în era Internet”, Ed. Tehnică, 2002;
Cele mai critice 20 de vulnerabilități ale securității pe Internet, www.sans.org/top20/top20-v50-romanian.pdf, SANS, 2004;
eBay, studiu de caz – http://www.sun.com/service/about/success/recent/ebay_5.html.
Link-uri
http://www.danvasilache.info/ePCap6.pdf
http://www.ecr- uvt.ro/conferinte_ecr/al_3_simpozion_ecr_ecr_academic_partnerschip/prezentari/15.30_15.45_haralahara_george.pdf
http://www.liciniu.ro/ecs/comert/pdf/8.Securitatea%20in%20internet.pdf
http://www.aut.upt.ro/staff/diercan/data/PIPPS/curs-06.pdf
Copyright Notice
© Licențiada.org respectă drepturile de proprietate intelectuală și așteaptă ca toți utilizatorii să facă același lucru. Dacă consideri că un conținut de pe site încalcă drepturile tale de autor, te rugăm să trimiți o notificare DMCA.
Acest articol: Securitatea Comertului Electronic (ID: 103722)
Dacă considerați că acest conținut vă încalcă drepturile de autor, vă rugăm să depuneți o cerere pe pagina noastră Copyright Takedown.