Sicurezza in E-Commerce

Transcript

1 Sicurezza in E-Commerce Corso di Laurea Magistrale Scienze e Tecnologie Informatiche Sicurezza dei Sistemi Informatici A. A. 2008/2009 Luca Assirelli - Mirco Gamberini Gruppo 6

2 E-Commerce Internet, ha trasformato il commercio elettronico da semplice scambio di dati tra imprese in una vera attività commerciale in cui i siti Web funzionano come negozi virtuali annullando la distanza tra l azienda produttrice ed il consumatore finale. L E-Commerce è l'insieme delle transazioni per la commercializzazione di beni e servizi tra produttore (offerta) e consumatore (domanda), realizzate tramite Internet. In Italia si diffuse verso la fine degli anni 90. Oggi una delle realtà più significativa di E-Commerce è Ebay.

3 Vantaggi del E-Commerce Chi acquista: Comodità: non bisogna muoversi da casa per fare acquisti. Convenienza: ci sono vari sconti e promozioni sui prodotti. Informazione: vagliare gli acquisti con calma. Cortesia: i commessi virtuali trattano con dovuta premura i propri clienti nell'intento di fidelizzarli Chi vende: Flessibilità: è facile pianificare le vendite. Visibilità: grande quantità di visite e contatti ricevuti nella piazza di Internet. Economicità: non richiede grossi investimenti.

4 Ha effettuato acquisti in Rete negli ultimi 3 mesi Dati sull E-Commerce in Italia Penetrazione dell'ecommerce in alcuni paesi europei 60% 50% 50% 43% 43% 41% 40% 30% 26% 20% 13% 10% 7% 6% 0% Fonte: Experian 28/11/2008

5 Problemi sull E-Commerce Chi acquista: Mancanza del contatto diretto Impossibilità del possesso immediato Assenza di dimostrazioni pratiche Chi vende: Difetti di comprensione del comportamento della clientela Incapacità di prevedere le reazioni nell'ambiente in cui opera l'impresa Sottovalutazione dei tempi richiesti per il raggiungimento degli obiettivi aziendali.

6 Sicurezza in e-commerce Riguarda sicurezza sulle modalità di pagamento. Dubbi riguardo la sicurezza. Molte persone non usano la carta di credito in Internet per timore di furti e frodi. Inizialmente, trasferimento di informazioni avveniva in chiaro. Riservatezza Transazioni sicure

7 I Protocolli per la sicurezza delle transazioni Due sono i protocolli più diffusi per garantire la sicurezza delle transazioni: Transport Layer Security (TLS): è il successore di SSL. È un protocollo crittografico che permette comunicazioni sicure e integrità dei dati su reti TCP/IP. Ad oggi è sicuramente il sistema più usato. Opera a livello di trasporto (Transport Layer); Secure Electronic Transaction (SET): protocollo standard per rendere sicure le transazioni con carta di credito su reti insicure e, in particolare, su Internet.

8 SSL Si tratta di un protocollo a livello utente che permette di proteggere la segretezza, l'integrità e l'autenticità dei dati trasmessi tra due entità distinte su una rete di computer. L'abbinamento di questo protocollo al normale HTTP permette di ottenere un nuovo protocollo: l'https. Principali obiettivi: Sicurezza integrità; crittografica: deve garantire segretezza, autenticazione e Interoperabilità: diverse implementazioni dello stesso standard possono dialogare; Estendibilità: possibili aggiunta di nuovi sistemi di cifratura; Efficienza relativa: SSL fornisce alcuni metodi per limitare il carico computazionale e l utilizzo di banda.

9 Storia di SSL SSL v1 non è mai stato rilasciato; SSL v2 (Secure Socket Layer) è stato proposto da Netscape nel 1995 come elemento del suo browser: Netscape Navigator 1.1; Microsoft migliorò tale protocollo (aggiustando alcuni problemi di sicurezza) e rilasciando un suo protocollo incompatibile: PCT (Private Communications Technology); SSL v3 fu rilasciato nel 1996 da Netscape come revisione del precedente protocollo; Nel gennaio 1999, IETF produce il successore di SSL che prende il nome di TLS.

10 Funzionamento di SSLv3

11 Altri protocolli del SSL Oltre ai protocolli principali Handshake Protocol e Record Protocol, ci sono altri due importanti protocolli utilizzati in SSL: Alert Protocol: si occupa della gestione delle eventuali situazioni di errore, segnalandolo attraverso l invio di un messaggio che può essere: Fatal Warning ChangeCipherSpec Protocol: permette di passare dalla fase di negoziazione alla fase di trasmissione vera e propria. Da questo momento in poi, tutti i messaggi saranno criptati.

12 Tipi di attacchi (1/2) Man-In-The-Middle: se il server usa certificati correttamente firmati dalle CA ciò non è possibile; possibile con l Anonymous DH; Replay attack e riordino dei pacchetti: non è possibile grazie ai numeri di sequenza; CipherSuite list manipulation: in SSL v2 l avversario poteva modificare la lista delle ciphersuite (magari eliminando quelle più sicure) ed inducendo le parti coinvolte a concordare una suite più debole del necessario; in SSL v3 questo è stato sistemato inviando (in modo protetto) l hash di tutti i messaggi scambiati (rilevando così dei messaggi alterati);

13 Tipi di attacchi (2/2) Version manipulation: l avversario potrebbe manipolare il numero di versione supportato per indurre le parti ad usare una versione più debole di SSL (magari la v2); in SSL v3 ciò si può evitare poiché: Alla fine c è il doppio scambio di hash sui messaggi scambiati; Le implementazioni SSL v3 che supportano la v2 inseriscono una modifica nota all interno dell encryption RSA per riconoscere un client v3 anche se si spaccia per un v2. Rilevazione di dati semantici sul plaintext: analizzando il traffico cifrato l avversario potrebbe riuscire a rilevare delle informazioni sulla semantica dei dati in chiaro trasmessi, ad esempio: Invio multiplo di blocchi uguali: grazie agli stream cipher e ai modi di applicazione (tipo CBC) dei block cipher con i vettori di inizializzazione è possibile spezzare questi legami tra blocchi; Rilevazione della lunghezza dei dati inviati.

14 Debolezze di SSL (1/2) Non protegge da attacchi agli host Tripwire: software che garantisce l integrit{ dei dati, ovvero permette di modificare gli stessi solo alle persone autorizzate. Alcuni dati spediti nel Client hello potrebbero essere spediti in un secondo momento, crittografati. Un errato MAC potrebbe far terminare la connessione, provocando nuovi attacchi, per esempio di tipo DoS, in cui si cerca di portare il funzionamento di un sistema informatico che fornisce un servizio al limite delle prestazioni.

15 Debolezze di SSL (2/2) Uno dei punti deboli di SSL sta proprio nel certificato del server; Se il certificato non viene controllato a dovere la sicurezza del sistema crolla vertiginosamente; E necessario anche controllare l URL e i dati del certificato.

16 TLS Il protocollo consente di comunicare attraverso una rete in modo tale da prevenire la manomissione dei dati, la falsificazione e l intercettazione. Definito da Internet Engineering Task Force (IETF) Giunto alla versione 1.2 Successore di SSL Funzionamento simile a SSL

17 Differenze con SSL Aggiunti più alert ad Alert Protocol HMAC (Hash MAC) Generazione della chiave con PRF CertificateVerify TLS-PSK o SRP

18 HMAC (1/3) La differenza sostanziale tra SSL e il suo successore TLS risiede nella fase di autenticazione dei messaggi. Infatti, in SSL l autenticazione è garantita dall utilizzo di una funzione pseudorandom, mentre in TLS l autenticazione del messaggio è garantita da un algoritmo di hash mediante l utilizzo di HMAC. HMAC (keyed-hash Message Authentication Code) è una tipologia di MAC basata su funzione hash, utilizzata in diverse applicazioni legate alla sicurezza informatica. Peculiarità di HMAC è il non essere legata a nessuna funzione di hash particolare, questo per rendere possibile una sostituzione della funzione nel caso fosse scoperta la sua debolezza. Nonostante ciò le funzioni più utilizzate sono MD5 e SHA-1. Utilizzato anche da IPSec.

19 HMAC (2/3) Chiave Ipad: Inner pad, byte 0x36 ripetuti 64 volte Opad: Outer pad, byte 0x5c ripetuti 64 volte. Messaggio da scambiare Funzione hash MAC del messaggio

20 HMAC (3/3) La funzione è definita nel seguente modo: Combinando chiave e funzioni hash in questo modo si evitano attacchi che vengono effettuati sucombinazioni più semplici del tipo: MAC = H(key ++ message) La funzione hash più esterna maschera il risultato di quella interna. Ipad e Opad permettono elevata distanza di Hamming. SICUREZZA Dipende dalla lunghezza della chiave. Non è affetto da collisioni. IMPORTANTE: la sicurezza di HMAC è basata sulle esistenti funzioni hash crittografiche.

21 Intermediate pseudo-random Output A partire dall H-MAC standard, TLS definisce una procedura attraverso la quale utilizzare H-MAC per generare un risultato pseudo-random. Questa procedura prende il input un segreto e un seme. La procedura genera tanti risultati pseudorandom quanti sono necessari.

22 PRF (Pseudo Random Function) Allo scopo di un ulteriore miglioramento, TLS utilizza la procedura per generare dei risultati pseudo-random vista in precedenza per creare una funzione pseudo-random detta PRF. Essa combina due separate istanze della procedura di generazione dei risultati pseudo-random: in una viene utilizzato l algoritmo hash MD5, mentre nell altra viene utilizzato l algoritmo hash SHA.

23 Key material generation TLS utilizza la PRF per generare contemporaneamente sia il master secret che la chiave.

24 Assenza di certificati Nel TLS l autenticazione è unilaterale: solo il server è autenticato ma non viceversa. Il protocollo però permette anche un autenticazione bilaterale attraverso lo scambio dei relativi certificati tra il server e il client. Incaso di assenza di certificati? Si possono utilizzare due protocolli distinti: Pre Shared Key (TLS-PSK); Secure Remote Password (SRP)

25 TLS-PSK (TLS Pre-Shared Key) TLS-PSK è un insieme di protocolli crittografici che garantiscono la comunicazione sicura attraverso l utilizzo di chiavi pre-condivise. Può essere utilizzato per la sola autenticazione delle parti, per autenticare lo scambio di chiavi Diffie-Helmann, o per combinare l autenticazione del server tramite certificato con l autenticazione del client con chiave pre-condivisa.

26 Diffie-Hellman: un protocollo per scambio di chiavi Un protocollo per generare un segreto S condiviso tra due utenti E legato al problema del logaritmo discreto Calcolare z = g^w mod p è facile es: z = 2^4 mod 11 z = 5 Il problema inverso, ovvero trovare w dati z,g e p è difficile es: 3 = 2^w mod 11 w =?? Uno dei modi per ottenere il logaritmo discreto è quello di provare tutte le potenze di w finchè non si trova l esponente giusto, macon numeri grandi questo richiede molte risorse di calcolo

27 Diffie-Hellman: funzionamento 1. Inizio: determinare un numero primo grande n, ed un generatore g, 1<g<n Possono essere valori pubblici! 2. Alice: sceglie a, spedisce A = g a mod n a Bob, dove a è segreto 3. Bob: sceglie b, spedisce B = g b mod n ad Alice, dove b è segreto 4. Entrambi calcolano S = g (a*b) mod n Alice: S = B a mod n; Bob: S = A b mod n; Si ha che: (g a mod n) b mod n = (g b mod n) a mod n

28 DHE_PSK & RSA_PSK Esistono diverse chypersuite per il TLS-PSK che sono: il PSK, il DHE_PSK e l RSA_PSK. Tutti utilizzano la stessa struttura per il premaster secret che viene generato includendo la chiave pre-condivisa e altri segreti. DHE_PSK: utilizza PSK per autenticare lo scambio di chiavi Diffie Hellman. In questo caso, il ServerKeyExchange e il ClientKeyExchange includono i parametri Diffie Hellman; RSA_PSK: utilizza RSA e un certificato per autenticare il server e nello stesso tempo raggiunge anche l autenticazione reciproca tramite l utilizzo della chiave pre-condivisa.

29 SRP (Secure Remote Password) È un protocollo di autenticazione pensato per lo scambio sicuro ed autenticato di chiave di sessione, progettato per resistere ad attacchi attivi e passivi. Il meccanismo è analogo a quello del protocollo di Diffie-Hellman di cui SRP è un estensione. Eredita i vantaggi del protocollo DH, risolvendone la maggior parte delle vulnerabilità. S corrisponde al pre-master secret utilizzato da TLS per ricavare il master secret attraverso la chiave K cosi generata.

30 Software liberi OpenSSL: è un'implementazione open source dei protocolli SSL e TLS. Le librerie di base (scritte in linguaggio C) eseguono le funzioni crittografiche principali. Nei diversi linguaggi di programmazione sono disponibili procedure che permettono di accedere alle funzioni della libreria OpenSSL. GnuTLS: è un'implementazione libera dei protocolli SSL e TLS. Il suo scopo è di offrire un'interfaccia di programmazione (API) per aprire un canale di comunicazione sicura attraverso la rete. GnuTLS è rilasciato tramite la licenza GNU

31 SET (Secure Electronic Transaction) Il SET è un protocollo standard per rendere sicure le transazioni con carta di credito su reti insicure quali Internet. È stato sviluppato da Visa e Mastercard ed alcune altre grandi aziende quali la Microsoft, IBM e Netscape a partire dal Le fasi previste dallo standard sono: 1. Registrazione del possessore della carta di credito; 2. Registrazione del commerciante; 3. Sottomissione di un ordine; 4. Autorizzazione del pagamento. Le prime due fasi sono eseguite una volta sola e indipendentemente dalle due parti.

32 Architettura Il SET opera sul livello applicativo (digital wallet) indipendentemente dal livello di trasporto, una proprietà che lo distingue da SSL. Si focalizza solo sul pagamento ed esclude la ricerca e la selezione dei beni. Esso introduce tre novità: la certification authority che certifica i partecipanti; il payment gateway, che fa da filtro fra Internet e la rete bancaria; la dual signature, la doppia firma. Vi sono sei partecipanti: il cardholder, la cui carta è conforme alle specifiche SET; il commerciante; il payment gateway; l Issuing Istitution, che emette la carta di credito; la Certification Authority (CA); l Acquiring istitution, che è la banca del commerciante.

33 Funzionamento (1/2) Il SET essendo una forma di pagamento viene selezionata dal cliente sulla pagina Web una volta che questi ha preparato l ordine. A questo punto il browser lancia automaticamente un software denominato digital wallet (borsello elettronico) cui si accede inserendo il proprio codice di identificazione e password. In questo modo si può avviare la procedura di pagamento: al venditore viene inviato un messaggio con le informazioni riguardo al pagamento e l ordine effettuato dal cliente, insieme all ordine destinato l Acquiring istitution. A questo punto il venditore richiederà all Acquiring Istitution di verificare la validità della carta di credito utilizzata dal cliente. Se la carta di credito è valida, l Acquiring Istitution invia al venditore il documento firmato e certificato per autorizzare l acquisto, e se confermato effettuerà il pagamento tramite la rete interbancaria

34 Funzionamento (2/2)

35 Crittografia nel SET Il SET combina la crittografia a chiave pubblica con algoritmi di crittografia a chiave simmetrica: anche le chiavi segrete vengono distribuite con algoritmi a chiave pubblica. Si ottiene la cosiddetta busta digitale: la chiave simmetrica viene inviata utilizzando la chiave pubblica del destinatario per mezzo dell RSA e inviata insieme al messaggio cifrato. Combina la crittografia a chiave pubblica con l uso dei message digest. Il SET fa uso di due tipologie di funzioni hash: SHA-1 HMAC

36 Dual Signature Ladoppia firma si ottiene nel modo seguente: A calcola il message digest di M1 (h(m1)) e di M2 (h(m2)); A concatena i due digest ottenuti e firma con la sua chiave privata di signature (ea) il risultato della concatenazione ottenendo ea(h(m1) h(m2)); A invia a B1 il messaggio <M1, h(m2), ea(h(m1) h(m2))> ed a B2 il messaggio <h(m1),m2, ea(h(m1) h(m2))>. Per verificare la firma di A, si estrae il message digest della doppia firma di A, si calcola il message digest di M1 e lo si concatena a quello di M2, quindi si computa il message digest del risultato e lo si confronta con quello estratto dalla doppia firma di A. Se coincidono allora A ha firmato il messaggio M=M1 M2.

37 Confronto tra SET e SSL SET protegge l identit{ delle parti, SSL no; il SET è un protocollo da utente a utente, mentre l SSL è point-to-point, cioè tra client e server; nel SET non solo i dati vengono trasferiti dal consumatore al commerciante, ma il SET garantisce che quegli stessi dati vengano trasferiti alla banca del commerciante; l SSL non garantisce la non ripudiabilit{ di una transazione.

38 Concludendo SET fu ampiamente pubblicizzato alla fine degli anni novanta come lo standard approvato dalle carte di credito ma non riuscì a conquistare quote di mercato. Tra le cause di ciò, vanno citati: la necessità di installare un software client (digital wallet) da parte dell utente; il costo e la complessità per gli imprenditori di offrire supporto tecnico agli utenti; la difficoltà logistica di distribuzione dei certificati sul lato client; tempi di risposta inadeguati.

39 Bibliografia trazione%20di%20sistema/lds-ssl.pdf; SSL and TLS essentials. Securing the Web Stephen Thomas John Wiley & Sons; Andrea Manganaro, Mingyur Koblensky, Michele Loreti, Analisi del protocollo SRP (Secure Remote Password), 2007; ico%20sicuro.pdf.