Problematiche correlate alla sicurezza informatica nel commercio elettronico



Похожие документы
La sicurezza nelle comunicazioni Internet

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

La firma digitale CHE COSA E'?

TeamPortal. Servizi integrati con ambienti Gestionali

Informatica per la comunicazione" - lezione 13 -

La sicurezza nel Web

Firma digitale Definizione

Protezione delle informazioni in SMart esolutions

Security Scan e Penetration Testing

Servizio Organizzazione e Sistemi Informativi. Sicurezza dell Internet Banking L approccio di Banca Popolare di Sondrio

TeamPortal. Infrastruttura

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

La VPN con il FRITZ!Box Parte I. La VPN con il FRITZ!Box Parte I

SSL: applicazioni telematiche SSL SSL SSL. E-commerce Trading on-line Internet banking... Secure Socket Layer

La Posta Certificata per la trasmissione dei documenti informatici. renzo ullucci

Allegato 3 Sistema per l interscambio dei dati (SID)

La CASSAFORTE DIGITALE per

Privacy Day Forum - 23 Maggio 2013 Luca BOLOGNINI Renato CASTROREALE

Perché proteggere i dati

PEC un obbligo che semplifica

1 Presentazione progetti in modalità completamente digitale Descrizione delle modalità di presentazione dei progetti

PRINCIPI DI COMPUTER SECURITY. Andrea Paoloni

PEC. Posta Elettronica Certificata. securepec.com

Manuale Utente Prerequisiti per DigitalSign Lite Sistema Operativo Linux a 64 bit

Sicurezza in Internet. Criteri di sicurezza. Firewall

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

Publicom Srl Direzione tecnico commerciale. Servizio PublicomPEC

Sicurezza in Internet

Certificati digitali con CAcert Un'autorità di certificazione no-profit

La soluzione software per Avvocati e Studi legali

LA PEC (POSTA ELETTRONICA CERTIFICATA)

L autenticazione in rete e accesso ai servizi digitali. roberto palumbo

GUIDA ALLA Rel. 4.2 SOMMARIO. 5) Aggiornamento Configurazione Mail Preesistente Pag.

La Soluzione per CdA e Top Management. La soluzione è Secure Board by Boole Server

Posta Elettronica Certificata. dott. Andrea Mazzini

Firewall, Proxy e VPN. L' accesso sicuro da e verso Internet

Obiettivo: realizzazione di reti sicure TIPI DI ATTACCO. Politica di sicurezza: a) scelte tecnologiche b) strategie organizzative

Una soluzione per i portali amministrativi (e-government)

La firma digitale: a cosa serve

Acquisto con carta di credito. Acquisto con carta di credito

Politica per la Sicurezza

Docsweb Digital Sign: la Firma Grafometrica

Documenti cartacei e digitali. Autenticità. Cosa si vuole garantire? Riservatezza. Integrità 11/12/2012. PA digitale: documenti e firme (I.

Vendere online. Andrea Marin. Università Ca Foscari Venezia SVILUPPO INTERCULTURALE DEI SISTEMI TURISTICI SISTEMI INFORMATIVI PER IL TURISMO

Secure domande e risposte

Identità certa nei processi online Identity & Service Provider SPID

Identità e autenticazione

Configurazione del client di posta per l utilizzo della Posta Elettronica Certificata

La sicurezza nelle reti di calcolatori

La soluzione software per CdA e Top Management

Classificazione: Pubblico Guida alla configurazione di DigitalSign

Sicurezza applicata in rete

LA f i rma DIGITALE: Firma la tua polizza fidejussoria con un click

CERTIPOSTA.NET, LA PEC CON TIMENET

Approfondimento di Marco Mulas

Servizi remoti Xerox Un passo nella giusta direzione

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite Windows 2000 Server

NOTE TECNICHE allegate al MANUALE OPERATIVO ALLA CLIENTELA PER GLI ADEMPIMENTI VERSO DI ESSA PRESCRITTI IN MATERIA DI FIRMA ELETTRONICA AVANZATA

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

Express Import system

Una rivoluzione importante. Sottoscrizione e trasporto di un documento digitale

WEB SECURITY. Enrico Branca WEBB.IT 03

Protezione della posta elettronica mediante crittografia

Express Import system

Gestione degli Access Log degli Amministratori di Sistema La soluzione per ottemperare agli obblighi del Garante Privacy

Informativa sulla privacy

La migliore soluzione per la sicurezza documentale

Firma digitale: aspetti tecnologici e normativi. Milano,

Presentazione FutureMobile. Sicurezza e Tracciabilità

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Cookie Policy per

Creare connessioni cifrate con stunnel

INTEGRATA OTTIMIZZAZIONE DEI PROCESSI AZIENDALI

1. Manuale d uso per l utilizzo della WebMail PEC e del client di posta tradizionale

FIRMA DIGITALE Cos'è e come funziona

Procedura di identificazione dei richiedenti il certificato di firma qualificata tramite sistema di Video Conferenza ICBPI S.P.A.

Lextel Servizi Telematici per l Avvocatura

La Firma Digitale La sperimentazione nel Comune di Cuneo. Pier Angelo Mariani Settore Elaborazione Dati Comune di Cuneo

Posta Elettronica Certificata obbligo e opportunità per le Imprese e la PA

La Fatturazione Elettronica

Soluzioni HP per la Gestione della Stampa. Tutto TEMPO GUADAGNATO.

Nelle reti di calcolatori, le porte (traduzione impropria del termine. port inglese, che in realtà significa porto) sono lo strumento

Utilizzo di Certificati SSL e relative implicazioni

Introduzione ai certificati S/MIME e alla posta elettronica certificata...2 Procedura di installazione del certificato personale S/MIME rilasciato

Ti consente di ricevere velocemente tutte le informazioni inviate dal personale, in maniera assolutamente puntuale, controllata ed organizzata.

MINIGUIDA AI SERVIZI DI HOME BANKING

Appendice:: Spunti sulla sicurezza e Internet Materiale fuori programma dedicato rigorosamente solo ai curiosi. prof.

La Firma Digitale. Manuale d uso Fornitore. Introduzione alla Firma Digitale. Aprile 2015

La Posta Elettronica Certificata (PEC)

TRASMISSIONE DI DATI VIA INTERNET

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

IT Cloud Service. Semplice - accessibile - sicuro - economico

Software Servizi Web UOGA

Транскрипт:

Problematiche correlate alla sicurezza informatica nel commercio elettronico http://www.infosec.it info@infosec.it Relatore: Stefano Venturoli, General Manager Infosec Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 1

Agenda Cos e il commercio elettronico I problemi nel commercio elettronico Esempi di attacchi Le soluzioni a nostra disposizione Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 2

Commercio elettronico o E-Commerce! Accesso del Cliente alle Informazioni sul Prodotto! Accesso degli utenti mobili ai sistemi interni! Accesso dei Partner al sistema di Order Entry! Evaluation e ricerca di Prodotto! Accesso del Cliente ai Sistemi di Supporto! Mercati virtuali! Transazioni finanziarie e-commerce! Application Service Providers Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 3

E non solo: Informazioni a volore aggiunto Informazioni che generano profitto, direttamente o indirettamente Informazioni Programmi Servizi Informazioni essenziali al buon funzionamento dell azienda Informazioni Operative Informazioni Amministrative Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 4

Informazioni a volore aggiunto Informazioni riguardanti profitti futuri Ricerca Nuovi piani di prodotto Piani Marketing Database dei Clienti Informazioni che devono essere protette per legge Dati Personali Dati dei Ricercatori Dati dei pazienti Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 5

I problemi Sapere con chi stiamo facendo E-Commerce... Sapere chi ha accesso a cosa... Sapere che le nostre informazioni sono private Sapere che il contenuto è inalterato Sapere che le transazioni sono legali Sapere che possiamo aver fiducia nel nostro ambiente e-commerce Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 6

L ideale Autenticazione: le parti sono chi dicono di essere Confidenzialita : le informazioni sensibili sono protette Autorizzazione: le parti per certo possono accedere solo ad informazioni a loro riservate Integrita : le transazioni non vengono alterate Non ripudio: le transazioni sono effettivamente avvenute Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 7

Trasmissione dei dati Ordine di acquisto " Internet Banca " Possibilità di analizzare o intercettare il traffico: tra utente e server e-comm. utente tra server e-comm. e banca! # Venditore di libri on-line tra server e database, magazzino, etc. tra utente e banca mail (di conferma, interne tra server e dipendenti o amministrazione, etc.). Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 8

Attacco MITM (Man In The Middle) utente # server Attacco semplice (dati trasmessi in chiaro) estrema facilità di realizzazione Attaccante E' sufficente uno "sniffer" e la possibilità di analizzare il traffico sul segmento di rete del client o del server (o in un punto qualsiasi nel percorso). Gli switch non sono una misura sufficente a prevenire questo tipo di attacco, è necessario cifrare il traffico poco attuale (almeno tra client e server e-commerce, è norma comune usare SSL) risolvibile usando cifratura dei dati (SSL, IPSec, PGP o S/MIME, etc.) Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 9

Attacco MITM su SSL Attacco complesso (dati trasmessi cifrati) utente Attaccante server tool per portare questo attacco conosciuti e diffusi attacco molto attuale L'attaccante simula di essere il server al quale l'utente vorrebbe collegarsi, fornendo un falso certificato. Se l'utente non si rende conto dell'intercettazione, l'attaccante è in grado di ricevere tutti i dati, analizzarli e ritrasmetterli al server reale. risolvibile verificando i certificati, per lo meno quello del server Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 10

Cracking Internet Banca Possibilità di analizzare o intercettare i dati: sul client dell'utente utente Venditore di libri on-line Qualora non fosse possibile intercettare i dati, l'attaccante può sempre cercare di penetrare in uno dei sistemi coinvolti nella transazione, tramite le comuni tecniche di attacco da remoto. sul server di e-commerce su altri server collegati (database, magazzino, dipendenti, amministrazione, etc.) sui server della banca Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 11

SSL Explained Cosa fa? protegge le trasmissioni cifrandole verificando che non siano alterate certifica l'identità del server (se si usa una CA root riconosciuta) dell'utente (se richiesto, per maggiore autenticazione, non ripudiabilità, etc.) integrazione PKI e token* per gestione uniforme degli standard di cifratura; richiesta, emissione e revoca dei certificati; policy utenti; etc. * Aspetti relativi all'implementazione, non allo standard. Cosa non fa? non protegge i dati prima che vengano spediti o dopo che siano stati ricevuti sul client sui server non protegge da compromissioni delle PKI chiavi e sistemi delle CA chiavi e sistemi di server e utenti non è invulnerabile errata implementazione nei software non è indecifrabile sicuramente, utilizzando "weak crypto" non c'è la certezza assoluta neanche con "strong crypto" non garantisce server e applicazioni sistemi vulnerabili errori di programmazione e configurazione... Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 12

Vulnerabilità più comuni Server e-commerce servizi inutili vulnerabili utenti con password di default o facilmente deducibili servizi http o https vulnerabili utilizzo del server e-commerce per fornire altri servizi (ftp, mail, etc.) potenzialmente vulnerabili altri sistemi con relazioni "trusted" vulnerabili cattiva implementazione SSL (weak crypto, assenza CRL, etc.). Software e-commerce cattiva o assente validazione dell'input fornito dal client in url, campi, cookie, etc. campi nascosti con dati sensibili/modificabili cookie con dati sensibili/modificabili cattiva gestione di ACL e metodi di accesso cattiva autenticazione password facilmente deducibili possibilità di identificarsi come utente diverso cookie/sessioni che non scadono modifica url e campi... Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 13

Fima digitale Autenticazione sicura Crittografia Le soluzioni Si, ma quali? Dipende dalle singole necessita Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 14

Your Business is Internet exposed? http://www.infosec.it info@infosec.it Noi possiamo aiutarvi Italian Cyberspace Law Conference - Problematiche correlate alla sicurezza informatica nel commercio elettronico - Pagina 15

2026 © DocPlayer.it Privacy Policy | Terms of Service | Feed-back