Sadržaj
:
1.
INFRASTRUKTURA ZAŠTITE U ELEKTRONSKOJ TRGOVINI
.............4
1.1
Sigurnost sistema elektronske trgovine.................................................5
1.2
Infrastruktura javnih ključeva...............................................................5
1.3
Elektronska plaćanja i digitalni novac..................................................6
1.4
SET protokol.........................................................................................9
1.5
SSL Web server...................................................................................11
1.6
Mobilna elektronska trgovina..............................................................12
1.7
Mobilno bankarstvo i mobilna plaćanja..............................................13
2.
NEŽELJENA ELEKTRONSKA POŠTA, PECANJE I FARMING
..............14
2.1 Neželjena e-pošta.................................................................................14
2.1.1 Metode filtriranja neželjene elektronske pošte...............15
2.1.2 Bajesova tehnika filtriranja neželjene pošte...................18
2.2 Pecanje (
Phishing
).............................................................................19
2.3 Farming (
Pharming
)...........................................................................20
3.
SIGURNOST VoIP MREŽA
..............................................................................22
3.1 Preporuke za povećanje sigurnosti VoIP mreža..................................24
4.
P2P MREŽE
........................................................................................................25
4.1 Pretnje i zaštita računara u P2P mreži.............................................. ...26
5.
ZAKLJUČAK
......................................................................................................28
LITERATURA
...........................................................................................................29
original.doc
ZADATAK SEMINARSKOG RADA
Zadatak ovog seminarskog rada je upoznavanje sigurnosnih problema koji prate
elektronsko poslovanje, pre svega elektronsku trgovinu, i upošteno, sigurnost na
Internetu.
Prvi deo rada obuhvata:
Elektronsko poslovanje
- podrazumeva obavljanje poslovnih procesa uz primenu
elektronske tehnologije. To je veoma široka oblast, pa će naglasak biti na
bezbednosnim aspektima e-poslovanja. Dakle, trgovina na Internetu, upotreba
kreditnih kartica, elektronskih novčanika i drugih sistema on-line plaćanja, prateći
rizici po sigurnost i neki od načina na koje se možemo zaštititi.
U drugom delu rada reči će biti o:
Jednom od čestih problema sa kojim se svakodnevno susreću korisnici Internet
servisa, a to su
neželjene
( reklamne ) ’’
spam
’’ poruke. One preopterećuje sisteme e-
pošte i mogu da blokiraju poštanske sandučiće. Postoji više metoda koje se koriste za
zaštitu od ove pojave. Jedna od njih je filtriranje e-pošte, i ona će biti detaljno
opisana.
Korisnik koji koristi različite Internet usluge i mrežne resurse izlaže se i mnogim
drugim opasnostima kao što su npr.
pecanje
(
phishin
g
) i
farming
(
pharming
), kao
i razni špijunski programi.
Phishing
i
pharming
nisu nove pojave, ali su naglim
razvojem i omasovljenjem elektronskog bankarstva, kupovine preko Interneta i on-
line plaćanja računa došle do „punog izražaja”.
Voice over IP
ili
VoIP
, ( glas preko Internet protokola ) standardne glasovne
signale prenosi korišćenjem Internet protokola. Međutim, prelazak govornih
aplikacija u IP domen, pored niza prednosti, nosi sa sobom rizike po pitanju
sigurnosti tih govornih servisa koji ranije nisu bili prisutni. Sve vrste opasnosti i
napada na mreže podataka su sada prisutne i kao pretnja prenosu govora preko IP-a.
Moramo se zaštititi. Kako? Opisano je u ovom poglavlju.
Veza koja se uspostavlja između dva računara u
P2P
mreži je brza, ali bez
nadzora. Drugi korisnici kojima dopuštamo pristup mogu nam ugroziti računar –
ubaciti virus ili uzeti više podataka nego što bi trebalo. Načini na koje se možemo
zaštititi i opis nekoliko, trenutno, najbezbednijih P2P aplikacija za razmenu fajlova
čine ovo poglavlje.
2
original.doc
1.1 Sigurnost sistema elektronske trgovine
Integracija sigurnosnih mehanizama u sistemu elektronske trgovine podrazumeva tri
osnovna aspekta u dizajniranju zaštite: autentikaciju, autorizaciju i zaštitu tajnosti.
Autentikacija:
Autentikacija ( provera identiteta ) korisnika u distribuiranim sistemima kao što je
npr. Web sajt e-trgovine, vrši se kroz dva osnovna koncepta (modela):
- Model
predstavljanja/delegiranja
- Model
poverljivog
servera
Oba modela podrazumevaju višeslojnu arhitekturu aplikativnog rešenja. Autentikacija
korisnika vrši se na srednjem sloju ( Web ili aplikativni server ), a razlika između ova
dva koncepta odnosi se na “
security account
” ( nalog korisnika ) kojim se pristupa
podacima.
U modelu predstavljanja/delegiranja korisnik se predstavlja aplikaciji srednjeg sloja
koristeći svoje akreditive koji se dalje koriste za pristup podacima.
U modelu poverljivog servera aplikacija srednjeg sloja autentikuje korisnika, a
komunikaciju sa serverom na kojem su podaci ostvaruje koristeći svoj vlastiti nalog.
Korisnik nema ovlašćenja za direktan pristup podacima, već se to ostvaruje isključivo
kroz aplikaciju srednjeg sloja.
Autorizacija:
Autorizacija omogućava određenim korisnicima ili servisima kontrolisan pristup
resursima. Jednom, kada je korisnik autentikovan, on biva autorizovan za izvršenje
samo onih zadataka koji su mu autorizacijom omogućeni.
Zaštita tajnosti:
Zaštita tajnosti predstavlja šifrovanje podataka radi obezbeđivanja integriteta i ujedno
održavanja poverljivosti podataka. U
e-commerce
šemama zaštita tajnosti podataka
implementira se na nivou međuserverske komunikacije, kao i na nivou komunikacije
klijent – server provajdera. U prvom slučaju najčešće se koriste sigurnosni zaštićeni
kanali, dok se u drugom slučaju koristi SSL protokol.
1.2 Infrastruktura javnih ključeva
Infrastruktura javnih ključeva
(
PKI
) je složeni sistem koji objedinjuje sertifikate,
sertifikacioni centar, bazu sertifikata i opozvanih sertifikata, korisnike sertifikata, i
sve njihove međusobne interakcije. Pre svega, PKI je sistem koji omogućuje
autentifikaciju. Koristeći simetričnu i asimetričnu kriptografiju obezbeđuje brojne
usluge, uključujući poverljivost podataka, njihov integritet, kao i upravljanje
ključevima (
key managament
), odnosno sertifikatima.
Sertifikati
su elektronski akreditivi koji autentifikuju korisnika na Internetu i
Intranetu. X.509 sertifikat, zvan i digitalni potpis, je elektronski akreditiv koji se
uobičajeno koristi za autentifikaciju i bezbednu razmenu informacija preko mreža kao
4
original.doc
što su Internet, Intranet i Ekstranet. Sertifikat bezbedno ’’vezuje’’ javni ključ za
entitet koji sadrži odgovarajući privatni ključ.
Uobičajena upotreba sertifikata:
o
Digitalni potpisi – koriste javni ključ u sertifikatu da provere da li su podaci
potpisani sa odgovarajućim privatnim ključem.
o
Enkriptovani fajl sistem – koristi javni ključ u sertifikatu da šifruje fajl.
o
Internet autentifikacija – proverava identitet Web servera za Web klijente. Web
serveri takođe mogu da koriste sertifikate da provere identitet Web klijenata...
Sertifikacioni centar (CA) - ustanova koja digitalno potpisuje i izdaje sertifikate.
Osnovne nadležnosti sertifikacionog centra su izdavanje sertifikata, njihovo
obnavljanje i po potrebi njihov opoziv. CA svojim potpisom garantuje ispravnost
podataka u sertifikatu. Sertifikat se može koristiti za korisnika, kompjuter ili servis,
kao što je IPSec. CA je odgovoran za autentifikaciju i validaciju ključeva za
šifrovanje, dešifrovanje i autentifikaciju. Pošto CA proveri identitet imaoca ključa, on
distribuira javne ključeve izdajući X.509 sertifikate. X.509 sertifikati sadrže javni
ključ i set atributa. Mnoge organizacije instaliraju svoje sopstvene sertifikacione
centre i izdaju sertifikate za interne uređaje i servise.
Sertifikacioni centri (CA) se mogu organizovati po hijerarhijskom modelu, što
omogućava jednostavniju administraciju. CA koji je najviši u hijerarhiji se naziva
korenski CA i njegov sertifikat je samopotpisan, tj. potpisan privatnim ključem CA.
1.3 Elektronska plaćanja i digitalni novac
U tradicionalnom sistemu plaćanja na malo postoji nekoliko sistema za elektronski
transfer novca ( EFT ) koji se danas koriste, a koji, pored bankomata,
obuhvataju kreditne/debitne k a r t i c e i
P o i n t O f S a l e
( P O S ) s i s t e m e
( s i s t e m i z a e l e k t r o n s k i t r a n s f e r n o v c a n a m e s t u prodaje ). Kreditne
kartice mogu se koristiti i za on-line transakcije. Međutim, kako je
Internet otvorena mreža, i neka treća strana može da otkrije i zloupotrebi
broj kreditne kartice, razvijen je niz protokola i metoda koje garantuju
bezbednost transakcija.
Trenutno su dva sistema za plaćanje potpuno funkcionalna (
First Virtual
i
CyberCash
), a u razvoju je SET protokol, zajednički poduhvat firmi MasterCard i
Visa. Nove tehnologije elektronskog novca obuhvataju čitav niz pristupa u kojima je
monetarna ’’vrednost’’, u formi elektronskih signala, smeštena ili na plastičnu karticu
( sistemi kartica sa uskladištenom vrednošću ) ili na fiksni disk u računaru ( sistemi
digitalnog novca ). Kartice sa uskladištenom vrednošću trenutno obuhvataju dve tehnologije:
o
Kartice sa uskladištenom vrednošću na magnetnoj traci (tzv. kartice sa
magnetnom pistom).
o
Kartice sa uskladištenom vrednošću na mikročipu (tzv. inteligentne ili smart
kartice).
5
original.doc
2checkout.com
- je ovlašćeni servis za on-line plaćanje više hiljada proizvoda i
usluga na Internet portalima,
e-commerce
rešenjima, kao i komercijalnim
prezentacijama, čime se svrstava u grupu najzastupljnijih “online payment” servisa.
Od početka 2000. godine kada je zvanično i registrovan, uspešno servisira veliki broj
poslovnih korisnika jer pored standardnih funkcionalsnosti podržava i
back-office
funkcije, finansijsko izveštavanje, sisteme za sprečavanje prevare, filijale za praćenje,
kvalitetan korisnički servis i statistike prodaje.
eNovčanik
– domaći platni servis na Internetu, osnovan 2006. godine. Ovaj platni
servis funkcioniše po principu ugovaranja plaćanja između kupca i trgovca. U procesu
plaćanja (
Slika 1
.), eNovčanik, kao agent banke kupca, preuzima nalog kupca banci
da iz njegovih slobodnih sredstava na računu, plati pun iznos trgovčeve fakture. Platni
servis u realnom vremenu potvrđuje da je kupac dao nalog banci za plaćanje fakture
trgovca. Na osnovu te potvrde, trgovac može započeti isporuku robe/usluga, znajući
da će banka kupca sigurno izvršiti nalog za uplatu i korist računa trgovca. Da bi se
obavile ove transakcije, kupac ne mora da ima platnu karticu – dovoljno je da koristi
aplikaciju za
homebanking
svoje banke koja sarađuje sa eNovčanikom, i da se prijavi
za korišćenje platnog servisa eNovčanik.
Ovaj servis obezbeđuje visoke standarde sigurnosti, identifikacije i privatnosti:
sigurne komunikacione kanale sa bankama, uključujući kriptografsku zaštitu i
digitalne potpise, zaštitu Internet komunikacije sa kupcima i trgovcima primenom
SSL-a. Kupci se identifikuju na osnovu ličnih podataka koje je dostavila banka, a
eNovčanik kupcima i trgovcima na osnovu serverskih sertifikata, itd....
Slika 1
. eNovčanik – princip plaćanja
7
