Securitatea în comertul electronic
Principala grija a celor care dezvolta afaceri în spatiul virtual este securitatea datelor si informatiilor transmise prin retea. Acesta este de fapt si principalul motiv din cauza caruia foarte multe companii nu au dezvoltat înca solutii IT. Continuitatea operatiunilor si corecta functionare a sistemelor informatice este esentiala pentru buna derulare a afacerilor virtuale. Amenintarile la adresa informatiei sunt atacuri directe la calitatea si eficienta afacerilor. Obiectivul securitatii IT este de a gasi solutii care sa elimine daunele produse sau sa le reduca la un nivel acceptabil. Sistemele sunt supuse la atacuri înca de la aparitia Internetului, dar niciodata nu au fost atât de multe c 636i821g omputere în retea si nici nu au existat atâtea "arme informatice" automatizate, disponibile raufacatorilor.
Uneori este imposibil sau foarte dificil sa stii cine si de unde te ataca. Sofisticarea atacurilor a crescut enorm în ultimii cinci ani, iar în ultimii doi ani o multime de programe de atac au aparut pe Internet, astfel încât atacatorii, chiar si cei ignoranti, pot produce daune considerabile.
Vorbind despre securitate, nu trebuie neglijat nici un alt aspect de care suntem convinsi ca s-au lovit majoritatea utilizatorilor de Internet, si anume virusii. si acestia sunt un adevarat blestem la adresa securitatii sistemelor, în special cei din categoria "cal troian".
Conform rezultatelor furnizate de Datapro Research, 44% din atacurile care se dau pe Internet sunt furturi de bani, 16% deteriorare de software, în timp ce furtul de informatii ocupa doar 16% din totalul "crimelor electronice".
Ce trebuie sa aiba în vedere o companie care îsi pregateste infrastructura de Internet?
În primul rând implementarea unui minim nivel de securitate care conform Institutului de Standarde Britanic trebuie sa îndeplineasca urmatoarele cerinte:
Având aceste masuri de securitate implementate la nivelul retelei dumneavoastra, veti scadea considerabil riscul de a pierde date si de a va compromite activitatea.
Sa vedem care sunt amenintarile la adresa unei retele. Acestea pot fi clasificate în câteva mari categorii:
1. atacuri generale;
2. asumarea unei anumite identitati (în general false);
3. compromiterea confidentialitatii datelor;
4. accesarea anumitor date;
5. distrugerea datelor;
6. preluarea controlului unui sistem.
Modalitatile de realizare a acestora sunt extrem de variate si vom cita doar câteva dintre acestea:
DoS - Denial of Services: reprezinta de fapt un abuz asupra retelelor, ce poate fi realizat fie prin utilizarea gresita a protocoalelor, fie prin supraîncarcarea serverului, acesta primind un numar mare de pachete de informatie.
Reroutarea serverelor: astfel încât acestea sa transmita e-mail-uri sau alt tip de date catre o alta adresa, poate fi o alta optiune de frauda, dar nu este la îndemana majoritatii atacatorilor.
Spargerea parolelor
Cea mai eficienta solutie de asigurare a securitatii, atât pentru utilizatorii particulari, cât si pentru utilizatorii corporatii ramân totusi firewall-urile, care sunt un sistem special proiectat pentru a configura traficul între doua retele, conform unor reguli predefinite. Un firewall poate face distinctii între un filtru sau mai multe, hub-uri, switch-uri, routere si servere dedicate.
Care sunt avantajele oferite de un firewall?
Acesta poate opri informatiile confidentiale sa paraseasca sistemul si impiedica atacatorii sa acceseze anumite date. Poate furniza statistici detaliate asupra modului în care comunica doua retele (cine foloseste anumite servicii si cât de des, scaderile de performanta ale retelei care pot indica posibile atacuri).
Un exemplu de riscuri care pot fi reduse prin utilizarea firewall-urilor sunt atacurile din partea hackerilor si atacurile de tip DOS. Un firewall poate furniza metode de criptare, ceea ce induce în mod automat îmbunatatirea confidentialitatii si integritatii datelor. Un alt avantaj este ca aceasta criptare poate fi realizata chiar de catre firewall sau de un host din interiorul acestuia. Un alt beneficiu este ca sunt concepute în asa fel încât daca se înregistreaza caderea securitatilor într-un anumit punct, reteaua nu este descoperita în totalitate.
Sa ne referim acum la un program ce se ocupa strict cu securitatea în retea, rolul acestuia fiind acela de a proteja datele transmise într-o retea cât mai bine.
PGP Pretty Good Privacy) - optim pentru codificare si semnatura
O definitie legata de PGP aratam în randurile de mai sus. Sa ne concentram atentia asupra modului de functionare.
Procedeul PGP se bazeaza pe o cheie publica (public key) si una privata (private key). Acest procedeu asimetric este mult mai practic decât cel conventional, simetric, pentru ca destinatarul nu este obligat sa ceara în prealabil o cheie secreta.
Procedeele asimetrice sunt destul de lente. Pentru o crestere a nivelului de securitate si viteza, PGP utilizeaza în plus un procedeu simetric criptografic. PGP are implementate trei metode alternative, iar fiecare cifreaza cu o cheie blocuri de date de câte 64 biti: IDEA (cheie de 128 biti), Triple - DES (aplicatie tripla DES a unei chei de 168 biti) sau CAST (cheie pe 128 biti).
Pe ansamblu, PGP lucreaza în mod hibrid, reunind avantajele modurilor de lucru asimetrice si simetrice.
Creearea de perechi din chei publice si private
În cazul în care doriti sa acordati altora posibilitatea de a transmite mesaje criptate, trebuie sa creeati o pereche de chei proprie. Partea PGP Keys din pachetul PGP ofera suport în acest sens. În algoritmul de creeare este inclusa alaturi de adresa dumneavoastra de e-mail si o parola, pe care trebuie sa o introduceti dumneavoastra. Este indicat ca aceasta sa nu contina doar siruri de caractere ce pot fi gasite în dictionare. Administrarea perechii dumneavoastra de chei si a cheilor publice a altor utilizatori de PGP este preluata tot de PGPKeys.
Pentru ca altcineva sa poata utiliza cheia dumneavoastra publica, o puneti la dispozitie pe un server public sau îl transmiteti prin e-mail persoanelor importante pentru dumneavoastra. Însa cheia dumneavoastra privata nu aveti voie în nici un caz sa o dati mai departe!
Certificare: pentru ca nimeni sa nu se dea drept dumneavoastra
La creearea unei chei publice, s-ar putea ca anumite persoane mai inventive sa aiba ideea de a se da drept altcineva. Cine vrea sa preîntâmpine o asemenea situatie trebuie sa certifice cheia sa cu propria identitate. Un certificat consta din cheia publica, informatii despre posesor si o semnatura digitala a locului de certificare (Certificate Authority, CA) deci a unei instante de încredere.
PGP este compatibil cu formatul de certificare x.509, pe care îl folosesc si majoritatea browserelor pentru transferul de siguranta al paginilor web.
Semnarea veridica a e-mail-urilor
PGP ceeraza o semnatura digitala din textul mesajului si cheia privata a expeditorului. Pentru a pastra anumite limite pentru lungimea semnaturii, PGP foloseste o functie hash[1] ireversibila, pe 128 de biti. Rezultatul este un gen de suma orizontala criptata a mesajului de lungime fixa. Aceasta este criptata înca o data cu cheia privata a expeditorului. Semnatura digitala este atasata textului masajului original. PGP verifica la destinatar cu ajutorul cheii publice a expeditorului semnatura si textul mesajului. Rezultatul este dublu, meil-ul si expeditorul sunt reali sau falsi.
Criptarea PGP unui mesaj:
Decriptarea PGP a unui mesaj:
Cu ajutorul protocoalelor de comert electronic, cu ajutorul programelor specializate de criptare si de pastrare a confidentialitatii si securitatii datelor, cu ajutorul legislatiei stabilite în prealabil, comertul electronic devine în acest moment doar o simpla problema de inventivitate din partea initiatorului. Sa urmarim în continuare câteva solutii pentru comertul electronic. Acestea vor face parte din obiectul de studiu al paragrafului urmator.
|