Securitate Web Cursul 13 PDF
Document Details
Uploaded by FearlessSasquatch
Universitatea Tehnică Gheorghe Asachi din Iași
2023
Adrian Alexandrescu
Tags
Summary
This document is a presentation about web security, specifically focusing on anonymity on the web and online payment security. Presented by Adrian Alexandrescu of the Gheorghe Asachi Technical University in Iasi for the 2023-2024 academic year
Full Transcript
SECURITATE WEB CURSUL 13 ANONIMITATEA PE WEB ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Anonimitatea pe web II. Securitatea plăților online Adrian Alexandrescu 2023-2024 2 Anonimitatea pe w...
SECURITATE WEB CURSUL 13 ANONIMITATEA PE WEB ș.l. dr. ing. ADRIAN ALEXANDRESCU Facultatea de Automatică și Calculatoare Universitatea Tehnică “Gheorghe Asachi” din Iași 2023-2024 Cuprins I. Anonimitatea pe web II. Securitatea plăților online Adrian Alexandrescu 2023-2024 2 Anonimitatea pe web I 1. Anonimitatea pe web 2. Metode de îmbunătățirii a anonimității 3. Surface web 4. Deep web 5. Dark web 6. Platforme de comunicare anonimă 7. Tor Adrian Alexandrescu 2023-2024 3 1. Anonimitatea pe web I Se referă la capacitatea utilizatorilor de a-și ascunde identitățile online, inclusiv adresele IP și locațiile geografice Pentru o companie, confidențialitatea angajaților reduce riscul atacurilor de tipul social engineering Un mesaj criptat asigură confidențialitatea, dar nu protejează meta-datele (nu asigură anonimitatea) Exemple de meta-date în transmiterea mesajelor: destinatarul, durata conversației, volumul de mesaje transmise, dimensiunea atașamentelor, tipul comunicației (text, voce, email, video) Adrian Alexandrescu 2023-2024 4 1. Anonimitatea pe web I Browser-ele conțin multe informații confidențiale Istoricul de navigare: toate site-urile web vizitate Date de conectare: nume de utilizator și parole Cookie-uri și trackere: acestea sunt plasate în browser de către site-urile vizitate Informații de completare automată: nume, adrese, numere de telefon etc. Adrian Alexandrescu 2023-2024 5 1. Anonimitatea pe web I Când se utilizează modul de navigare „privat” sau „incognito” în browser, adresa IP reală și locația sunt încă dezvăluite fiecărui site web, serviciu de reclame și tracker care se încarcă în browser Toate activitățile tale rămân vizibile pentru furnizorul de servicii de internet (ISP) Adrian Alexandrescu 2023-2024 6 2. Metode de îmbunătățirii a anonimității I Aplicații de mesagerie în care mesajele sunt criptate (e.g., Signal) End-to-end encryption – toate datele sunt criptate pe la sursă înainte de a fi trimise și pot fi decriptate numai la destinație cu cheia criptografică corectă Browser-e care ascund adresa IP (e.g., Tor browser) VPN (Virtual Private Network) – este criptat tot traficul din browser-e și alte aplicații web; ISP-ul nu poate monitoriza activitatea online a utilizatorului Adrian Alexandrescu 2023-2024 7 2. Metode de îmbunătățirii a anonimității I Servicii de email sigure Servicii de email temporare Servicii de stocare criptată Nu ar trebui postate online informații care țin de identificarea personală (en., PII - personally identifiable information) – e.g., adresă, număr de telefon, CNP Verificarea permisiunilor aplicațiilor folosite (anumite aspecte se pot dezactiva) Adrian Alexandrescu 2023-2024 8 2. Metode de îmbunătățirii a anonimității I Citirea politicilor de confidențialitate ale site-urilor / aplicațiilor Ad blocker-e Dezactivarea cookie-urilor Nu utilizați asistenți vocali Nu utilizați rețele sociale Nu utilizați Google pentru căutări (alternativă, DuckDuckGo) Adrian Alexandrescu 2023-2024 9 2. Metode de îmbunătățirii a anonimității I Grijă la spam Parole diferite pentru fiecare cont (password manager?) Sistemul de operare? Adrian Alexandrescu 2023-2024 10 3. Surface web I Surface Web este cea mai cunoscută și mai accesibilă parte a internetului Este format din site-uri web care sunt indexate de motoarele de căutare precum Google, Yahoo și Bing Dacă poate fi găsit pe un motor de căutare, face parte din Surface Web Reprezintă mai puțin de 5% din Internet (unele surse zis 0.03%, altele chiar și 10%) Adrian Alexandrescu 2023-2024 11 4. Deep web I Deep web este definit ca secțiunea de internet care nu este indexată de crawlere-le web Majoritatea deep web-ului constă în site-uri web obișnuite care solicită utilizatorilor să creeze un cont înainte de a putea fi accesate Include tot ceea ce motoarele de căutare nu pot identifica, deoarece sunt protejate cu o parolă sau stocate în spatele serviciilor de internet Deep web formează aproximativ 95% din Internet Se estimează că ar conține de 4000 de ori mai multă informație comparativ cu surface web Adrian Alexandrescu 2023-2024 12 4. Deep web I Exemple de site-uri din deep web Site-uri web care pot fi accesate cu un nume de utilizator și o parolă (e-mail, servicii cloud, servicii bancare online sau site-uri media online cu abonament plătit); Servicii video la cerere (Netflix, Amazon Prime, HBO) Platformele interne ale companiilor Site-uri web educaționale sau de bibliotecă Pagini guvernamentale sau documente legale Dosarele medicale Adrian Alexandrescu 2023-2024 13 5. Dark web I Există foarte puține date concrete despre dark web datorită naturii sale (anonimat și criptare) Este accesibil prin intermediul rețelelor de anonimizare precum Tor și I2P Aplicația principală a Dark web este de a oferi anonimat atât proprietarilor site-ului, cât și vizitatorilor Dark web ajută la ascunderea site-urilor web care nu doresc să fie pe internetul obișnuit, unde ar putea fi monitorizate. Adrian Alexandrescu 2023-2024 14 I Adrian Alexandrescu 2023-2024 https://www.spiceworks.com/it-security/security-general/articles/dark-web-vs-deep-web/amp/ 15 5. Dark web I Dark Web a fost creat pentru cei care doresc să rămână anonimi online și care au nevoie de anonimat în scopuri legitime, cum ar fi denunțarea sau cei care trăiesc sub regimuri opresive Pe de altă parte, este adesea folosit pentru cumpărarea și vânzarea de droguri, arme și alte articole ilegale Adrian Alexandrescu 2023-2024 16 5. Dark web I Prin monitorizarea Dark web, echipele de securitate pot obține informații care le pot permite prevenirea unui posibil atac De exemplu, a ști dacă datele unei organizații au fost scurse de informații îi poate ajuta pe analiștii de securitate să schimbe acreditările relevante și să își securizeze sistemele înainte de a avea loc un atac Adrian Alexandrescu 2023-2024 17 5. Dark web I Aspecte de securitatea accesului în dark web Elementul criminal Există șansa să găsiți site-uri web conduse de criminali Pe lângă vânzarea de bunuri și servicii ilegale, aceștia pot căuta să exploateze și să fure Încălcarea legii Poți fi urmărit penal pentru lucruri pe care le faci pe dark web Adrian Alexandrescu 2023-2024 18 5. Dark web I Aspecte de securitatea accesului în dark web Linkuri suspecte Dacă faceți clic pe orice link, este posibil să fiți direcționat către material pe care este posibil să nu doriți să îl vedeți Este posibil ca făcând clic pe un link sau prin descărcarea unui fișier calculatorul să fie infectat malware Aplicarea legii Oamenii legii operează pe dark web pentru a prinde oameni implicați în activități criminale Forțele de ordine își pot face treaba sub o mantie a anonimatului Adrian Alexandrescu 2023-2024 19 5. Dark web I Exemple de situații în care autoritățile au oprit desfășurarea unor activități ilegale Silk road Piață neagră online care vindea droguri ilegale A fost lansat în 2011 Venitul total a fost estimat la 1,2 miliarde USD Fondatorul Ross Ulbricht a fost condamnat și condamnat la închisoare pe viață Adrian Alexandrescu 2023-2024 20 5. Dark web I Exemple de situații în care autoritățile au oprit desfășurarea unor activități ilegale AlphaBay Piață neagră online, lansată în 2014 A crescut până la aproximativ 10 ori dimensiunea Silk Road Mărfurile au variat de la droguri la date obținute în urma unor atacuri cibernetice Presupusul fondator Alexandre Cazes a fost arestat El a fost găsit mort într-o celulă de închisoare din Thailanda, aparent prin sinucidere, câteva zile mai târziu Adrian Alexandrescu 2023-2024 21 5. Dark web I Exemple de situații în care autoritățile au oprit desfășurarea unor activități ilegale Hansa Piață neagră online care s-a extins după ce AlphaBay a fost închis și vânzătorii s-au mutat pe platformă Poliția olandeză se infiltrase deja pe piață și confiscase informații legate de funcționarea acesteia Poliția a închis Hansa în 2017 Adrian Alexandrescu 2023-2024 22 6. Platforme de comunicare anonimă I Tor Project Freenet I2P Open Privacy Adrian Alexandrescu 2023-2024 23 7. Tor I The onion router Rețea care trimite traficul prin noduri aleatorii, împachetându-l criptatat de fiecare dată, făcându-l dificil de urmărit Are peste 7000 de relee Browserul Tor este bazat pe branch-ul Firefox Mozilla Extended Support Release (ESR) https://2019.www.torproject.org/projects/torbrowser/ design/ Adrian Alexandrescu 2023-2024 24 I 7. Tor The Adrian Alexandrescu 2023-2024 https://www.avast.com/c-tor-dark-web-browser 25 I 7. Tor Adrian Alexandrescu 2023-2024 https://www.makeuseof.com/how-tor-addresses-work/ 26 7. Tor I Browser-ul Tor Izolează cookie-urile și șterge istoricul browser-ului după sesiune Se conectează la rețeaua Tor Spre deosebire de un VPN, nu există un single point of failure sau o entitate centralizată în care trebuie să ai încredere pentru a beneficia de internet în mod privat Pentru fiecare domeniu vizitat, traficul este transmis și criptat într-un circuit prin trei relee Tor din întreaga lume Adrian Alexandrescu 2023-2024 27 7. Tor I Browser-ul Tor Adrian Alexandrescu 2023-2024 28 7. Tor I Browser-ul Tor Prin intermediul setărilor de securitate pot fi blocate elemente care ar putea fi folosite pentru atacarea calculatorului folosit Accesarea site-urilor se realizează puțin mai lent și, în funcție de nivelul de securitate, este posibil ca unele elemente să nu funcționeze sau să nu se încarce Se poate ca site-urile să ceară utilizatorului să dovedească că este om și nu un robot Adrian Alexandrescu 2023-2024 29 7. Tor I Browser-ul Tor Deși ISP-ul nu poate vedea activitatea de navigare sau datele criptate Tor, ISP-ul poate vedea în continuare că este utilizat Tor Un utilizator poate fi identificat dacă se conectează la un cont online sau dacă oferă detalii unui site web în timp ce utilizează Tor Adrian Alexandrescu 2023-2024 30 7. Tor I Serviciile Onion Sunt site-uri care se termină cu .onion Oferă protecție suplimentară editorilor și vizitatorilor, inclusiv măsuri de protecție suplimentare împotriva cenzurii Permit oricui să furnizeze conținut și servicii în mod anonim Adrian Alexandrescu 2023-2024 31 7. Tor I Exemple de site .onion Z-library Facebook este disponibil în locațiile unde este în mod normal blocat facebookwkhpilnemxj7asaniu7vnjjbiltxjqhye3mhbshg7k x5tfyd.onion New York Times are site pe dark web Adrian Alexandrescu 2023-2024 32 7. Tor I Adresele .onion Sunt adrese URL pentru site-uri web care se află pe dark web Rețeaua Tor nu are un DNS; nu există nicio căutare pentru adresele IP corespunzătoare numelor de domenii TLD-ul .onion nu există în root-ul DNS al internetului Adrian Alexandrescu 2023-2024 33 7. Tor I Adresele .onion Adresele care se termină în TLD-ul .onion sunt alfanumerice Sunt formate din 16 caractere pentru Onion Services V2 sau 56 de caractere pentru V3 Se bazează pe o cheie criptografică publică, iar adresa este generată cu aceasta Adresa este un șir aleatoriu de 16 sau 56 de caractere Adrian Alexandrescu 2023-2024 34 7. Tor I Adresele .onion La conectarea la un serviciu onion, rețeaua ia hash-ul criptografic și îl decriptează folosind cheia publică și se conectează la serviciu Pentru a personaliza adresa onion, trebuie generată o nouă cheie privată care să se potrivească cu un hostname personalizat Adrian Alexandrescu 2023-2024 35 Securitatea plăților online II 1. Procesatorul de plăți 2. Plata online 3. Asigurarea securității plăților online Adrian Alexandrescu 2023-2024 36 1. Procesatorul de plăți II Este un furnizor care gestionează logistica acceptării metodelor de plată cu cardul de credit și debit Transferă datele cardului din orice punct în care clienții își introduc detaliile cardului de credit (cititoare de carduri, pagini web de plată sau chiar hardware specializat atașat la un smartphone) și diferitele instituții financiare care participă la tranzacție Adrian Alexandrescu 2023-2024 37 2. Plata online Adrian Alexandrescu 2023-2024 https://www.hotellinksolutions.com/understanding-all-basicsabout-payments-101/ II 38 2. Plata online II Exemplu: taxe.tuiasi.ro Adrian Alexandrescu 2023-2024 39 3. Asigurarea securității plăților online Utilizarea unui payment gateway II Aplicație software care criptează datele financiare și autorizează tranzacțiile, comunicând cu procesatorii de plăți pentru a permite transferul de fonduri de la cumpărător la vânzător Datele bancare nu sunt stocate pe site-ul comerciantului Alternativa? Realizarea comunicării prin HTTPS (TLS/SSL) Adrian Alexandrescu 2023-2024 40 3. Asigurarea securității plăților online Conformitate cu PCI Data Security Standard II Care se aplică tuturor entităților care stochează, procesează sau transmit date deținătorilor de card și/sau date sensibile de autentificare Există un chestionar PCI DSS care se aplică vânzătorilor care externalizează gestionarea cardurilor de plată către gateway-uri de plată de încredere Alegerea unui payment gateway care folosește tokenizarea pentru seria cardului bancar (en., PAN Primary Account Number) Adrian Alexandrescu 2023-2024 41 3. Asigurarea securității plăților online II Utilizarea autentificării multi-factor dacă se accesează informații confidențiale Afișarea metodelor de securitate folosite pentru a proteja datele utilizatorilor și a face utilizatorii să se simtă că fac o cumpărătură în siguranță Ce fel de atacuri care să afecteze procesul de plăți online ar fi posibile? Adrian Alexandrescu 2023-2024 42 Bibliografie 8 steps to being (almost) completely anonymous online https://www.csoonline.com/article/2975193/9-steps-completelyanonymous-online.html Web anonymity https://www.avira.com/en/security-wordbook/web-anonymity How To Remain Anonymous on the Internet https://www.security.org/vpn/anonymity/ Top 10 Secure Browsers That Protect Your Privacy in 2023 https://restoreprivacy.com/browser/secure/ Is a VPN Encrypted? https://www.security.org/vpn/encryption/ Adrian Alexandrescu 2023-2024 43 Bibliografie What’s the Difference Between the Deep Web and the Dark Web? https://www.britannica.com/story/whats-the-difference-between-thedeep-web-and-the-dark-web Dark Web vs. Deep Web: 5 Key Differences https://www.spiceworks.com/it-security/security-general/articles/darkweb-vs-deep-web/amp/ Deep web vs. dark web: What’s the difference? https://www.expressvpn.com/blog/dark-web-vs-deep-web/ What is the Deep and Dark Web? https://www.kaspersky.com/resource-center/threats/deep-web Surface Web, Deep Web, & Dark Web: What’s the Difference? https://macsources.com/surface-web-deep-web-dark-web-whats-thedifference Adrian Alexandrescu 2023-2024 44 Bibliografie Importance of Understanding the Differences Between Surface Web vs Deep Web vs Dark Web https://data-ox.com/web-dark-web-and-deep-web/ What is the dark web? How to use Tor to access the dark web https://www.wired.co.uk/article/what-is-the-dark-web-how-to-access How to safely access the deep and dark webs https://us.norton.com/blog/how-to/how-can-i-access-the-deep-web Tor History - https://www.torproject.org/about/history/ The Design and Implementation of the Tor Browser https://2019.www.torproject.org/projects/torbrowser/design/ GitLab Tor Project - https://gitlab.torproject.org/legacy/trac/-/wikis/home Adrian Alexandrescu 2023-2024 45 Bibliografie What is a payment processor? https://www.shopify.com/blog/payment-processors Payments | Understanding all basics about Payments 101 https://www.hotellinksolutions.com/understanding-all-basics-aboutpayments-101/ 10 BEST PRACTICES FOR SECURE ONLINE PAYMENT PROCESSING https://www.rapyd.net/blog/secure-online-payment-processing/ Payment Gateway Vs. Payment Processor: What’s The Difference? https://www.forbes.com/advisor/business/payment-gateway-vs-paymentprocessor/ Online payment security: What you need to know https://www.jotform.com/blog/online-payment-security/ Adrian Alexandrescu 2023-2024 46
