Post on 18-Jan-2016
description
Bezpieczeństwo transmisji zakupu/sprzedaży
dokonywanych za pomocą Internetu
Realizacja płatności kartą płatniczą
Sławomir Bezler Dawid Zych
Zawartość pracy:
Zdefiniowaliśmy problemy jakie występują podczas realizacji transakcji.
Opisaliśmy metody rozwiązania tych problemów.
Wymieniliśmy metody płatności w Internecie.
Wyjaśniliśmy jak przebiega dokonywanie płatności kartą płatniczą.
Przedstawimy wybrane wyniki badań dostępnych w Internecie.
Handel elektroniczny
Definicja 1Handel elektroniczny (ang. electronic commerce) jest to zakup i sprzedaż informacji, towarów i usług za pomocą sieci komputerowych.
Definicja 2Handel elektroniczny jest wymianą w sieci telekomunikacyjnej informacji, służących zrealizowaniu finansowego zobowiązania tj. płatności.
Punkty krytyczne
Na zagrożenia bezpieczeństwa transmisji ma wpływ zastosowana technika oraz czynnik ludzki.
Punktami krytycznymi są: komputer klienta transmisja płatności poprzez sieć
internetową serwery sprzedawcy
Formy ataków
Wyróżnia się aktywną i pasywną formę ataków:
Ataki pasywne: podsłuchanie tożsamości podsłuchanie danych
Ataki aktywne: zmiana informacji kasowanie informacji dopisywanie informacji
Ochrona informacji
Ochrona danych w systemach informatycznych przed niepożądanym oddziaływaniem środowiska oznacza:
ochronę systemu przed intruzami, utrzymanie poufności, integralności,
dostępności i spójności danych, zabezpieczenie przed nieupoważnionym
lub nieprawidłowym, przypadkowym lub umyślnym ujawnieniem, modyfikacją lub zniszczeniem danych.
Usługi ochrony informacji
Przed wspomnianymi zagrożeniami chronią podstawowe usługi ochrony informacji:
kontrola dostępu identyfikacja autoryzacja integralność danych uwierzytelnienie niezaprzeczalność poufność danych dostępność
Oprogramowanie
Przesyłanie plików poprzez usługę FTPUmożliwia pobranie tylko określonych danych. Nie ma możliwości uruchomienia programu ani oglądania innych danych niż udostępnione
Rozwiązania typu firewallNajczęściej stosowane zabezpieczenie internetowe. Może filtrować ruch w sieci pod kątem adresów IP, blokując wewnętrznym użytkownikom dostęp do Internetu i zewnętrznym dostęp do wewnętrznej sieci korporacyjnej – Intranetu.
Mechanizmy kryptograficzne
Usługi ochrony informacji są realizowane poprzez użycie odpowiednich mechanizmów kryptograficznych, z których najważniejsze to:
szyfrowanie podpis cyfrowy wymiana uwierzytelniająca mechanizmy integralności certyfikaty cyfrowe
Rodzaje algorytmów szyfrujących
Rozróżnia się dwa rodzaje algorytmów szyfrujących:
algorytmy symetryczneUczestnicy komunikacji otrzymują wspólnie ten sam klucz, który służy do szyfrowania i odszyfrowania.
algorytmy asymetryczneKażdy uczestniczący w komunikacji otrzymuje klucz publiczny i każdorazowo własny tajny klucz prywatny, inny klucz służy do szyfrowania a inny do odszyfrowania informacji.
Stosowane algorytmy szyfrujące
Symetryczne: DES (Data Encrytpion Standard) 3DES RC2, RC4, RC5, RC6 IDEA (International Data Encryption Algorithm)
Asymetryczne: RSA (Rivest-Shamir-Adleman) DSA (Digital Signature Algorithm) system ElGamala system Diffiego-Hellmana
Protokoły szyfrujące
SSH (Secure Shell) SET (Secure Electronic Transaction) SSL (Secure Socket Layer) S-HTTP (Secure Hypertext Transer Protocol) TCP/IP wersja 6 (IPv6)
Płatności w Internecie:
Kartą płatniczą - pozwala na przeprowadzanie transakcji w dowolnym miejscu na świecie bez konieczności wymiany waluty i wysyłania przekazu pieniężnego,
Użycie inteligentnych kart płatniczych - karty te mają wbudowany mikroprocesor do przechowywania danych na temat ilości zgromadzonych na nich pieniędzy,
Elektroniczne polecenie pobrania - EDD (Electronic Direct Debit) – klient udziela jednorazowo pisemnego upoważnienia do pobierania z konta żądanych kwot,
Płatności w Internecie, c.d.:
Płatności bezpośrednie - przed zakupami w Internecie należy wymienić/ zakupić cyberpieniądze, są one wyłącznie informacją cyfrową, działają w oparciu o przesyłanie, w zakodowanej formie cyfrowych „żetonów” będących odpowiednikami kwot pieniężnych,
Internet banking- klient ma możliwość przeglądania historii swojego konta, a także dokonywania transakcji (przelewy, zakładanie rachunków terminowych).
Płatności za towary kupowane w Internecie dzieli się ze względu na wartość pojedynczej transakcji,
wyróżniając:
milipłatności (milipaymants) – płatności rzędu kilku, kilkunastu groszy, wykorzystuje się je przy opłatach realizowanych w systemie pay-per-view, np. za przeczytany artykuł,
mikropłatności (micropayments) – płatności od 1 PLN do 80 PLN, najczęściej wykorzystywane są przy regulowaniu opłat za ściągane z Internetu oprogramowanie,
minipłatności (minipayments) – od 80 PLN do 800 PLN, w granicach tych zawiera się znaczna część zakupów przeprowadzanych za pośrednictwem sieci,
makropłatności (macropayments) – powyżej 800 PLN, dotyczą np. zakupu komputerów, sprzętu RTV, czy AGD. Problem zapewnienia odpowiedniego bezpieczeństwa jest tutaj priorytetowy.
Przebieg płatności kartą płatniczą:
1. Klient "podaje" kartę usługodawcy. "Podanie" karty usługodawcy, czyli przekazanie poprzez sieć telekomunikacyjną numeru karty i daty ważności, może nastąpić na trzy sposoby: poprzez zwykły kanał internetowy (poczta
elektroniczna, metoda POST w HTTP), poprzez zaszyfrowany kanał ‑ zrealizowana zatem
jest usługa poufności, poprzez telefon.
2. Usługodawca inicjuje wystawienia rachunku, a następnie kontaktuje się ze swoim bankiem prosząc o autoryzację transakcji.
3. Poprzez sieć międzybankową bank usługodawcy przesyła prośbę o autoryzację do banku klienta.
4. Bank klienta wysyła do banku usługodawcy poprzez siec międzybankową informację dot. autoryzacji.
Przebieg płatności kartą płatniczą c.d.:
5. Bank usługodawcy przekazuje usługodawcy informacje o statusie autoryzacji.
6. W przypadku braku autoryzacji transakcja nie może zostać zrealizowana. W przeciwnym przypadku usługodawca może zakończyć wystawianie rachunku, wysyłając jednocześnie do swojego banku potwierdzenie zakończenia transakcji.
7. Po pewnym czasie bank usługodawcy rozlicza się z bankiem klienta. Także banki rozliczają się ze swoimi klientami.
Dane są przesyłane za pośrednictwem instytucji obsługującej kartę płatniczą do banku, który wystawił kartę.
Istotne cechy karty płatniczej:
nazwa organizacji wydającej kartę (np. Visa), numer karty (zasadniczo 13-16 cyfr), data ważności (zasadniczo w formacie MM/YY).
W niektórych (dość rzadkich) sytuacjach wymagane jest podanie czwartej cechy:
imienia i nazwiska (albo nazwy w przypadku firmy) wypisanego (wypisanej) na karcie.
Aby zweryfikować poprawność posiadanego numeru karty płatniczej należy rozpatrzyć dwie cechy:
cechę wspólna dla współczesnego systemu kart płatniczych, cechę indywidualną dla organizacji wydającej określoną
kartę.
Cecha wspólna:
Cechę wspólną - algorytm sprawdzania numerów kart płatniczych - określa norma [ISO 2894].
Dla łatwiejszego zrozumienia przedstawimy algorytm na przykładzie numeru 4251 1000 1000 0830.
1. Wszystkim cyfrom przyporządkujemy na przemian liczbę 1 albo 2 zgodnie z zasada głoszącą, że ostatnia cyfra otrzymuje 1.4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 02 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1
2. Traktując każdą cyfrę numeru karty płatniczej jako liczbę, mnożymy ją przez przyporządkowaną liczbę.4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 02 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1----------------------------------------------------------8 2 10 1 2 0 0 0 2 0 0 0 0 8 6 0
Cecha wspólna c.d.:
3. Jeśli otrzymany iloczyn wynosi 10 albo jest większy - wyznaczamy resztę z dzielenia przez 10 i dodajemy 1.4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 02 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1----------------------------------------------------------8 2 10 1 2 0 0 0 2 0 0 0 0 8 6 08 2 1 1 2 0 0 0 2 0 0 0 0 8 6 0
4. Tak otrzymane wyniki dodajemy i sprawdzamy czy są podzielne przez 10 - jeśli tak ‑ numer jest prawidłowy.(8+2 +1 +1 +2 +0 +0 +0 +2 +0 +0 +0 +0 +8 +6 +0)mod10 =30 mod10=0
numer jest prawidłowy
Cecha indywidualna
Cechę indywidualną - uporządkowanie zasad wydawania kart przez wystawców, doprowadziło do ustalenia standardów oznaczeń kart poszczególnych systemów.
I tak: numer karty Diners Club zawsze rozpoczyna się od
cyfry 3 i posiada logo charakterystyczne dla systemu numer karty Eurocard, MasterCard, Access zawsze
rozpoczyna się od cyfry 5 i posiada charakterystyczne dla systemu logo i hologram
karta JCB to numer początkowy od liczby 35 oraz stałe logo i hologram
karta Visa cyfra 4, logo i hologram karta POLCARD cyfra 59 lub 6 logo i hologram karta PBK Styl liczba 5892 41 lub 6016 20 i logo (w tym
wypadku logo PBK SA)
Formy płatności najchętniej wybierane w Polsce:
Luty 2000 Sierpień 2000[1] Zaliczenie pocztowe 52,5% 60,0% Przelew bankowy 23,8% 18,0% Karta kredytowa 16,3% 14,1% Nie wiem 7,5% 7,3%
Inne wyniki prezentuje i-Metria na podstawie losowo wybranych 200 sklepów w Styczniu 2001[2]
Zaliczenie pocztowe 82,6% Płatne dostawcy/kurierowi 72,0% Inne 32,6% Karta kredytowa 19,7%
[1] Dane: ARC Rynek i Opinia, Ľródło: Internet Standard, Styczeń 2001[2] Dane: i-Metria, Styczeń 2001, Raport eHandel B2C w Polsce
Spółka eCard świadcząca usługi autoryzacji on-line płatności kartami przez internet, podaje:
W okresie od 1 stycznia do 31 marca 2004 r. eCard zautoryzował 100 792 transakcje o łącznej wartości 35,2 mln zł. Oznacza, to wzrost obrotów o 381% w stosunku do I kwartału ubiegłego roku i 257% wzrost liczby transakcji. Średnia wartość transakcji w pierwszych trzech miesiącach tego roku wyniosła 348,95 zł i jest o 48% wyższa niż średnia wartość transakcji z I kwartału 2003 r.
Przy założeniu że kartą płaci średnio niemal 25% klientów sklepów internetowych, to można szacować, że wartość całej sprzedaży B2C w internecie wynosi około 1 mld zł. Wyliczenia te nie uwzględniają obrotów generowanych przez serwisy aukcyjne.
"Bezpieczeństwo w Internecie. Polska 2004 r” – wybrane wyniki raportu.
Raport opracowany został przez Georga Grohsa, konsultanta ds. informatyki z firmy Inceon na zlecenie Symantec Polska.
polscy użytkownicy Internetu są rekordzistami w Europie pod względem liczby prób nieautoryzowanego uzyskania dostępu do ich komputerów,
rekordzista został zaatakowany ponad 400 razy - to ponad dwukrotnie więcej, niż wynosi europejska średnia,
raport wykazał, że polskich użytkowników Internetu najczęściej atakują konie trojańskie - w czasie trwania badania odnotowano ponad 15 tys. prób ataków, przeprowadzonych przez 57 różnych koni trojańskich, zaatakowanych zostało 430 użytkowników - oznacza to, że prawdopodobieństwo takiego ataku wynosi 40%,
autorzy raportu szacują, iż ryzyko, że komputer polskiego internauty zostanie zaatakowany wynosi ok. 75%.