Bezpieczeństwo transmisji

zakupu/sprzedaży

dokonywanych za pomocą

Internetu

Realizacja płatności kartą płatniczą

Sławomir Bezler

Dawid Zych

Zawartość pracy:



Zdefiniowaliśmy problemy jakie występują

podczas realizacji transakcji.



Opisaliśmy metody rozwiązania tych

problemów.



Wymieniliśmy metody płatności w

Internecie.



Wyjaśniliśmy jak przebiega dokonywanie

płatności kartą płatniczą.



Przedstawimy wybrane wyniki badań

dostępnych w Internecie.

Handel elektroniczny

Definicja 1

Handel elektroniczny (ang. electronic

commerce) jest to zakup i sprzedaż

informacji, towarów i usług za pomocą sieci

komputerowych.

Definicja 2

Handel elektroniczny jest wymianą w sieci

telekomunikacyjnej informacji, służących

zrealizowaniu finansowego zobowiązania

tj. płatności.

Punkty krytyczne

Na zagrożenia bezpieczeństwa

transmisji ma wpływ zastosowana

technika oraz czynnik ludzki.

Punktami krytycznymi są:



komputer klienta



transmisja płatności poprzez sieć

internetową



serwery sprzedawcy

Formy ataków

Wyróżnia się aktywną i pasywną

formę ataków:

Ataki pasywne:



podsłuchanie tożsamości



podsłuchanie danych

Ataki aktywne:



zmiana informacji



kasowanie informacji



dopisywanie informacji

Ochrona informacji

Ochrona danych w systemach

informatycznych przed niepożądanym

oddziaływaniem środowiska oznacza:



ochronę systemu przed intruzami,



utrzymanie poufności, integralności,

dostępności i spójności danych,



zabezpieczenie przed nieupoważnionym

lub nieprawidłowym, przypadkowym lub

umyślnym ujawnieniem, modyfikacją

lub zniszczeniem danych.

Usługi ochrony informacji

Przed wspomnianymi zagrożeniami chronią

podstawowe usługi ochrony informacji:



kontrola dostępu



identyfikacja



autoryzacja



integralność danych



uwierzytelnienie



niezaprzeczalność



poufność danych



dostępność

Oprogramowanie



Przesyłanie plików poprzez usługę FTP

Umożliwia pobranie tylko określonych danych.

Nie ma możliwości uruchomienia programu ani

oglądania innych danych niż udostępnione



Rozwiązania typu firewall

Najczęściej stosowane zabezpieczenie

internetowe. Może filtrować ruch w sieci pod

kątem adresów IP, blokując wewnętrznym

użytkownikom dostęp do Internetu i

zewnętrznym dostęp do wewnętrznej sieci

korporacyjnej – Intranetu.

Mechanizmy kryptograficzne

Usługi ochrony informacji są realizowane
poprzez użycie odpowiednich
mechanizmów kryptograficznych, z
których najważniejsze to:



szyfrowanie



podpis cyfrowy



wymiana uwierzytelniająca



mechanizmy integralności



certyfikaty cyfrowe

Rodzaje algorytmów
szyfrujących

Rozróżnia się dwa rodzaje algorytmów

szyfrujących:



algorytmy symetryczne

Uczestnicy komunikacji otrzymują wspólnie ten

sam klucz, który służy do szyfrowania i

odszyfrowania.



algorytmy asymetryczne

Każdy uczestniczący w komunikacji otrzymuje

klucz publiczny i każdorazowo własny tajny

klucz prywatny, inny klucz służy do szyfrowania

a inny do odszyfrowania informacji.

Stosowane algorytmy
szyfrujące

Symetryczne:



DES (Data Encrytpion Standard)



3DES



RC2, RC4, RC5, RC6



IDEA (International Data Encryption Algorithm)

Asymetryczne:



RSA (Rivest-Shamir-Adleman)



DSA (Digital Signature Algorithm)



system ElGamala



system Diffiego-Hellmana

Protokoły szyfrujące



SSH (Secure Shell)



SET (Secure Electronic Transaction)



SSL (Secure Socket Layer)



S-HTTP (Secure Hypertext Transer Protocol)



TCP/IP wersja 6 (IPv6)

Płatności w Internecie:



Kartą płatniczą - pozwala na przeprowadzanie

transakcji w dowolnym miejscu na świecie bez

konieczności wymiany waluty i wysyłania przekazu

pieniężnego,



Użycie inteligentnych kart płatniczych - karty te

mają wbudowany mikroprocesor do przechowywania

danych na temat ilości zgromadzonych na nich

pieniędzy,



Elektroniczne polecenie pobrania - EDD (Electronic

Direct Debit) – klient udziela jednorazowo pisemnego

upoważnienia do pobierania z konta żądanych kwot,

Płatności w Internecie, c.d.:



Płatności bezpośrednie - przed zakupami w

Internecie należy wymienić/ zakupić cyberpieniądze,

są one wyłącznie informacją cyfrową, działają w oparciu

o przesyłanie, w zakodowanej formie cyfrowych

„żetonów” będących odpowiednikami kwot

pieniężnych,



Internet banking- klient ma możliwość przeglądania

historii swojego konta, a także dokonywania transakcji

(przelewy, zakładanie rachunków terminowych).

Płatności za towary kupowane w Internecie
dzieli się ze względu na wartość pojedynczej
transakcji, wyróżniając

:



milipłatności (milipaymants) – płatności rzędu kilku,

kilkunastu groszy, wykorzystuje się je przy opłatach

realizowanych w systemie pay-per-view, np. za

przeczytany artykuł,



mikropłatności (micropayments) – płatności od 1 PLN

do 80 PLN, najczęściej wykorzystywane są przy

regulowaniu opłat za ściągane z Internetu

oprogramowanie,



minipłatności (minipayments) – od 80 PLN do 800

PLN, w granicach tych zawiera się znaczna część

zakupów przeprowadzanych za pośrednictwem sieci,



makropłatności (macropayments) – powyżej 800 PLN,

dotyczą np. zakupu komputerów, sprzętu RTV, czy AGD.

Problem zapewnienia odpowiedniego bezpieczeństwa

jest tutaj priorytetowy.

Przebieg płatności kartą
płatniczą:

1. Klient "podaje" kartę usługodawcy. "Podanie" karty

usługodawcy, czyli przekazanie poprzez sieć

telekomunikacyjną numeru karty i daty ważności, może

nastąpić na trzy sposoby:



poprzez zwykły kanał internetowy (poczta

elektroniczna, metoda POST w HTTP),



poprzez zaszyfrowany kanał ‑ zrealizowana zatem jest

usługa poufności,



poprzez telefon.

2. Usługodawca inicjuje wystawienia rachunku, a następnie

kontaktuje się ze swoim bankiem prosząc o autoryzację

transakcji.

3. Poprzez sieć międzybankową bank usługodawcy przesyła

prośbę o autoryzację do banku klienta.

4. Bank klienta wysyła do banku usługodawcy poprzez siec

międzybankową informację dot. autoryzacji.

Przebieg płatności kartą płatniczą
c.d.:

5. Bank usługodawcy przekazuje usługodawcy informacje

o statusie autoryzacji.

6. W przypadku braku autoryzacji transakcja nie może

zostać zrealizowana. W przeciwnym przypadku

usługodawca może zakończyć wystawianie rachunku,

wysyłając jednocześnie do swojego banku

potwierdzenie zakończenia transakcji.

7. Po pewnym czasie bank usługodawcy rozlicza się z

bankiem klienta. Także banki rozliczają się ze swoimi

klientami.

Dane są przesyłane za pośrednictwem instytucji

obsługującej kartę płatniczą do banku, który wystawił

kartę.

Istotne cechy karty płatniczej:



nazwa organizacji wydającej kartę (np. Visa),



numer karty (zasadniczo 13-16 cyfr),



data ważności (zasadniczo w formacie MM/YY).

W niektórych (dość rzadkich) sytuacjach wymagane jest

podanie czwartej cechy:



imienia i nazwiska (albo nazwy w przypadku firmy)

wypisanego (wypisanej) na karcie.

Aby zweryfikować poprawność posiadanego numeru

karty płatniczej należy rozpatrzyć dwie cechy:



cechę wspólna dla współczesnego systemu kart płatniczych,



cechę indywidualną dla organizacji wydającej określoną

kartę.

Cecha wspólna:

Cechę wspólną - algorytm sprawdzania numerów kart

płatniczych - określa norma [ISO 2894].

Dla łatwiejszego zrozumienia przedstawimy algorytm na

przykładzie numeru 4251 1000 1000 0830.

1. Wszystkim cyfrom przyporządkujemy na przemian liczbę

1 albo 2 zgodnie z zasada głoszącą, że ostatnia cyfra

otrzymuje 1.
4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 0
2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1

2. Traktując każdą cyfrę numeru karty płatniczej jako

liczbę, mnożymy ją przez przyporządkowaną liczbę.
4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 0
2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1
----------------------------------------------------------
8 2 10 1 2 0 0 0 2 0 0 0 0 8 6 0

Cecha wspólna c.d.:

3. Jeśli otrzymany iloczyn wynosi 10 albo jest większy -

wyznaczamy resztę z dzielenia przez 10 i dodajemy 1.
4 2 5 1 1 0 0 0 1 0 0 0 0 8 3 0
2 1 2 1 2 1 2 1 2 1 2 1 2 1 2 1
----------------------------------------------------------
8 2 10 1 2 0 0 0 2 0 0 0 0 8 6 0
8 2 1 1 2 0 0 0 2 0 0 0 0 8 6 0

4. Tak otrzymane wyniki dodajemy i sprawdzamy czy są

podzielne przez 10 - jeśli tak ‑ numer jest prawidłowy.
(8+2 +1 +1 +2 +0 +0 +0 +2 +0 +0 +0 +0 +8 +6

+0)mod10 =30 mod10=0

numer jest prawidłowy

Cecha indywidualna

Cechę indywidualną - uporządkowanie zasad wydawania

kart przez wystawców, doprowadziło do ustalenia

standardów oznaczeń kart poszczególnych systemów.

I tak:



numer karty Diners Club zawsze rozpoczyna się od

cyfry 3 i posiada logo charakterystyczne dla systemu



numer karty Eurocard, MasterCard, Access zawsze

rozpoczyna się od cyfry 5 i posiada charakterystyczne

dla systemu logo i hologram



karta JCB to numer początkowy od liczby 35 oraz stałe

logo i hologram



karta Visa cyfra 4, logo i hologram



karta POLCARD cyfra 59 lub 6 logo i hologram



karta PBK Styl liczba 5892 41 lub 6016 20 i logo (w tym

wypadku logo PBK SA)

Formy płatności najchętniej
wybierane w Polsce:

Luty 2000 Sierpień 2000

[1]



Zaliczenie pocztowe 52,5% 60,0%



Przelew bankowy 23,8% 18,0%



Karta kredytowa 16,3% 14,1%



Nie wiem 7,5% 7,3%

Inne wyniki prezentuje i-Metria na podstawie losowo

wybranych 200 sklepów w Styczniu 2001

[2]



Zaliczenie pocztowe 82,6%



Płatne dostawcy/kurierowi 72,0%



Inne 32,6%



Karta kredytowa 19,7%

[1]

Dane: ARC Rynek i Opinia, Ľródło: Internet Standard, Styczeń 2001

[2] Dane: i-Metria, Styczeń 2001, Raport eHandel B2C w Polsce

Spółka eCard świadcząca usługi
autoryzacji on-line płatności kartami
przez internet, podaje:



W okresie od 1 stycznia do 31 marca 2004 r. eCard

zautoryzował 100 792 transakcje o łącznej wartości

35,2 mln zł. Oznacza, to wzrost obrotów o 381% w

stosunku do I kwartału ubiegłego roku i 257% wzrost

liczby transakcji. Średnia wartość transakcji w

pierwszych trzech miesiącach tego roku wyniosła

348,95 zł i jest o 48% wyższa niż średnia wartość

transakcji z I kwartału 2003 r.



Przy założeniu że kartą płaci średnio niemal 25%

klientów sklepów internetowych, to można szacować,

że wartość całej sprzedaży B2C w internecie wynosi

około 1 mld zł. Wyliczenia te nie uwzględniają obrotów

generowanych przez serwisy aukcyjne.

"Bezpieczeństwo w Internecie.
Polska 2004 r” – wybrane wyniki
raportu.

Raport opracowany został przez Georga Grohsa, konsultanta

ds. informatyki z firmy Inceon na zlecenie Symantec Polska.



polscy użytkownicy Internetu są rekordzistami w Europie

pod względem liczby prób nieautoryzowanego uzyskania

dostępu do ich komputerów,



rekordzista został zaatakowany ponad 400 razy - to ponad

dwukrotnie więcej, niż wynosi europejska średnia,



raport wykazał, że polskich użytkowników Internetu

najczęściej atakują konie trojańskie - w czasie trwania

badania odnotowano ponad 15 tys. prób ataków,

przeprowadzonych przez 57 różnych koni trojańskich,

zaatakowanych zostało 430 użytkowników - oznacza to, że

prawdopodobieństwo takiego ataku wynosi 40%,



autorzy raportu szacują, iż ryzyko, że komputer polskiego

internauty zostanie zaatakowany wynosi ok. 75%.