TJTC75 / ITK236 Maksaminen B-to-c B-to-b Rikollisuus Petokset Tunnistaminen Sensuuri 1
nimikirjoitus tai SETvarmenne Maks u- järjestelmät Maksutapa Luotto Perinteinen maksuväline ja tapahtuman todentaminen Myyjän ylläpitämä Sähköinen maksuväline Kauppiaan tilivelkaluettelo; tilinomistajan tavaroita hallinta (numero ja + palveluita Plussa allekirjoitus Luottokortti; kortin haltijan Kanta-asiakaskortin allekirjoitus) Luottokortin numero + allekirjoitus veloitustositteeseen digitaalinen Yleinen: mitä tahansa Tilisiirto Velkakirja (osamaksu/vekseli); velallisen allekirjoitus todistajin velkakirjassa Pankkisiirto; tilin käyttäjän allekirjoitus tilissiirtolomakkeeseen Shekki; tilin käyttäjän allekirjoitus shekkilomakkeeseen Tunnusluku salasanalla ja yhteyskohtaiset, vaihtuvat tunnukset (ei käytössä Suomessa) Esimerkki sähköisestä maksuvälineestä S-etukortti, K- Luottokortit First Virtual Merita Solo, OP Kultaraha (ei käytössä Suomessa) Raha; maksuvälineen anonyymi Elektroninen kukkaro E-Cash Virallinen luovutus maksuväline Etenkin PostiennakkoPohjolassa ja Saksassa Esim. teleoperaattorin pitämä tilivelkaluettelo Rajoitettu määrä soitetuista ja eräkoko puheluista; Käteinen Muut teleoperaattorin järjestelmään kirjautunut puhelu, Mondex 2
Maksujärjestelmät I/II Elektroninen raha / kukkaro maksu anonyymisti rahalla, ei ID:llä joku takaa, että raha on aito ja käytetään vain kerran tarkistetaanko heti vai vasta rahoja pankkiin viedessä valuutta- ja hukkaamisriski Pankki Solo, Kultaraha tarvitaan tili, jolta lasku maksetaan Taustalla monimutkainen järjestelmä, esim. Suomessa PATU SWIFT 3
Elektroninen raha Esim. elektroninen käteinen -Digicash anonyymi maksaminen 1) Tilille talletetaan rahaa 2) Nostetaan elektroniseen kukkaroon rahaa 3) Tilataan tavara 4) Myyjä käy kukkarollasi 5) Raha merkitään käytetyksi 6) Tuote toimitetaan Kokeiluasteella (vrt MilliCent, IBM MicroPayment) Salakirjoitussuojaus tarpeen Asiakas 1. Ecash-kukkaro 3. 2. Internet Digicash-pankki Ecash pankkitili 4. 5. 6. Myyjä 4
Elektroninen kaupankäynti tarvitsee elektronista rahaa Älykortit Rahoituslaitoksessa ladataan rahaa Maksaessa ladattua rahaa siirretään kortilta lukulaitteen kautta myyjälle Myyjä voi veloittaa pankkia Esim. pankkimaksu Solo (Merita-Nordbanken) 1) Asiakas tilaa myyjältä 2) Laskutustiedot asiakkaalle Solo 3) Asiakas maksaa käyttäen Soloa 4) Solo maksu hyväksytään ja kuitataan 5) Kuittaus myyjälle 3. 4. 5. Asiakas (oma laskutus) 1. 2. Myyjä 5
6
7
Maksujärjestelmät II/II Luottoyhtiö SET - identifiointi, salauksen, purkamisen ja kiistämättömyys (allekirjoitukset), auktorisoitu, myöntämällä luottokortin numero (luotettava avaintenhallinta) edellyttää myyjältä SET-ohjelmistoa, käyttäjältä varmennetta luottoyhtiöltä osa riskistä luottoyhtiöllä mm. reklamaatioissa kevennetty malli MIA (Merchant Initiated Authorization, VISAWallet) Muut GSM-veloitus Asiakastilit (kanta-asiakkuus) Laskutus Postiennakko 8
Cheque (American Curiosity: Check) e-check by Financial Services Tech. Consortium 1997 #checks 63G, growing processing cost $1, e-check $0.1 Benefits increased security, more info, simpler than EDI Developments FSML, Financial Services Markup Language Bulk crypto hardware FSTC infrastructure 9
Elektronista luottoa Esim. luotto VISA/MC 0) Hankittava tunnukset 1) Asiakas tilaa myyjältä (klikkaa) 2) Kauppiaalta tiliveloituspyyntö (luottokorttinro ja veloitustiedot) pankille 3) Pankki tarkastaa luottoyhtiöltä tiedot 4) Luottoyhtiö tarkastaa asiakastiedot 5) Jos OK, auktrorisointi pankille ja kauppiaalle 6) Tapahtuma asiakkaan kannalta OK. 7) Myyjä pyytää varoja. 8) Varat myyjälle 4. Luottokorttifirma Internet 1. 5. 2. 3. Pankki Myyjä 8. 8. 7. 7. VISA/MC -verkko Asiakas 6. 10
EMV = Europay, Mastercard, Visa 11
Vuonna 2005 kv. järjestelmä käynnissä 4. = Päätelaitteiden, tietoliikenteen ja sanomien std:t 3. = Korttien ja julkisten avainten jakaminen 12
Finvoicen toimintaympäristö (Pankkiyhdistys) - Ketkä vastaanottavat verkkolaskuja ja missä muodossa? - Osoitteet ja tunnukset VERKKOLASKUTTAJAT (YLEINEN HAKEMISTO) - Soveltamisohje - Tekninen kuvaus (dtd) - Laskun ulkoasu (xsl) MYYJÄ LAYOUT ja KUVAUS (XSL,DTD) (PANKKIYHDISTYS) OSTAJA MYYNTI- RESKONTRA- JA LASKUTUS- OHJELMISTO ASI PY- OHJ. Vastaanoton varmistus q Laskun tiedot q Lasku- tai laskurivikohtainen tiliöintiehdotus (perustililuettelo) q Maksun tiedot (epi) ASI=Application Service Interface PY-OHJ.=Pankkiyhteysohjelma Finvoice suoraan maksajalle (HTTP(S), SMTP jne.) MYYJÄN PANKKI tai Finvoice Pankin/laskuoperaattorin kautta ostajalle OSTAJAN PANKKI Lähettäjän varmistus ASI PY- OHJ. OSTO- RESKONTRA- JA MAKSATUS- OHJELMISTO q Tilausviite =>automaattinen tilauksen tarkistus q Perustililuettelo =>automaattinen tiliöinti q Maksun tiedot => automaattinen maksaminen 13
Tietotekniikkarikokset Tietotekniikkarikoksella tarkoitetaan rikosta, jonka kohteena, välikappaleena tai tekoympäristönä on tietojärjestelmä siihen kuuluvine laitteineen ja jonka tekeminen edellyttää tietotekniikan asiantuntemusta Tietotekniikkarikos siis toteutetaan tietokoneen avulla ja suunnataan tietokoneita, ohjelmistoja tai tiedostoja vastaan Pedofiliaa, viruksia, tekijänoikeusrikkeitä, pörssikurssien vääristelyä, laittomien uhkapelien järjestämistä, petoksia & maksuvälinepetoksia Väline tai ympäristö ei ratkaise rikoksesta koituvaa rangaistusta. Netin välityksellä tehdyt laittomuudet on kirjattu rikoslakiin lukuun tieto- ja viestintärikoksista Laki soveltuukin yhtä lailla tietokonejärjestelmiin murtautumisen kuin tietokoneen välityksellä tehtyihin asiakirjaväärennöksien, petoksien ja vahingontekojen rankaisemiseen 14
Laajuudesta 15
Cyber vs. real 16
Luottokortin käytön seuranta: Ongelmat 17
Menetykset 18
Kuinka vakava ongelma luottokort eilla huijaamin en on? 19
Huija usten seura ukset 20
v. 2000 21
Keeping eye on potential felons Especially the first time contact Check blacklists Check issuer the address Check credit records (Luottotietorekisteri) Customer is too busy to be contacted First time shipping address <> billing address Beware of too good to be true orders Large quantities - no detailed specs Fastest shipping to overseas Precautions Changing addresses Separate deliveries in a short time frame Teen products 22
Prenventing losses Basic security Payment security invalid/stolen cards copying the card number from screen/e-mail unauthorized card use (children) repudiation of the transaction/order Fraud/cancellation is costly credit card issuer is on the customers side charge-back is taken from the merchants pocket loss of credit card license/higher fees Co-operation within industy, between competitors with credit card issuers CyberSource, etc 23
Estämiskeinot 24
Cybersource Internet Fraud Screening 25
26
27
V. 2003 toimenpiteet 28
Ongelmakoh -tia Oikeustoimen kiistäminen esim. koska osapuolia ei tunnisteta Väärentäminen suojaamaton yhteys Informaatiota ihmisestä tai käyttäytymisestään käytetään väärin esim. evästeet, refererit, sivukäynnit Kahdenkeskisyys/luottamuksellisuus kärsii Tapahtumaa päästään tarkkailemaan jälkiä jättämättä Tiedonsiirto- ja käsittelyvirheet toteutuu osin, väärin, tai jää toteutumatta Kierretään yhteiskunnallisia velvoitteita forum-shopping 29
Kulutt ajan varoto imia (Luottokuntaa mukaellen) Älä koskaan lähetä kortin tietoja salaamattomassa yhteydessä tai (salaamattomassa) sähköpostissa Pyri asioimaan vain ennalta tuntemiesi kauppiaiden kanssa ks. Kuluttajayhteisöistä ja luottoyhtiöiltä Älä anna kortin tietoja mielipidekyselyihin tai vastaaviin tiedusteluihin, jos tarkoituksenasi ei ole ostaa mitään. Älä anna kortin tietoja esim. sähköpostin välityksellä tuleviin ilmoituksiin, jossa kerrotaan yllättävästä arpajaisvoitosta tai palkinnosta ja pyydetään lähettämään kortin tiedot palkinnon saamisen edellytyksenä. Luottokunta ei toimita kauppiaalle kortinhaltijasta ikä tms. henkilötietoja, joten kortin numeron pyytäminen niiden saamiseksi on huijausta Aikuispalveluissa monesti sitoudutaan jatkuvaan kuukausittaiseen laskutukseen, käytti palveluja tai ei - varmista ennen sitoumusta, miten voit halutessasi myöhemmin perua laskutuksen. Huomioi, että hotellien oikeus veloittaa ns. "No Show" -maksu on voimassa myös Internetin välityksellä tehdyissä varauksissa, mikäli varattua huonetta ei peruuteta ajoissa. Muista perua varaus, jos päätätkin varata huoneen toisesta hotellista tai et matkusta ollenkaan. 30
Vinkkejä shoppailuun (sitoumusten hallinta) Tallenna tai tulosta itsellesi kauppiaan www-sivulla antama kuvaus ostoksista ja maksuehdoista, jotka aiot hyväksyä ennen korttitietojen syöttämistä ja maksun lopullista hyväksymistä. Hyväksy maksu syöttämällä mm. kortinnumero ja voimassaoloaika www-lomakkeelle ja etene kauppiaiden antamien ohjeiden mukaan. Sinulta voidaan pyytää myös lisätarkistuksia, kuten laskutusosoite (Luottokunnan tiedossa oleva laskutusosoite) ja/tai nimikirjoituspaneelissa oleva kolminumeroinen kortin tunnus eli Card Verification Value = CVV (=VISA) tai CVC (=MC) tai verification Number VID (=Amex). Euroopassa kauppiaalta pitää saada tilausvahvistus sisältää myös maksutavan, pane vahvistus talteen Säilytä tallentamasi tai tulostamasi tiedot myöhempää tarkistusta ja vertailua varten. Mikäli mahdollinen reklamointi (esim. ostos ulkomaiselta kauppiaalta; Chargeback) tapahtuu Luottokunnan kautta, tarvitsemme tallentamasi tai tulostamasi tiedot 31
On the Internet, nobody knows you re a dog Identification for authorization is who claims to be, and can do what is about to do individuals Digital signatures Electronic ID s organizations Certificates Visual image Self-sertification vs. Certification Authority From PGP to VeriSign to HST Salaisista ja julkisista avaimista lue kirjoista! 32
Why identification? Authentication ID for public services for continuous relationship Non-repudiation signed document digital signature Security tamper proof documents encryption fingerprints watermarking 33
Electronic IDs A certificate authority is responsible of proofing and guaranteeing the person is who she claims to be she has only one valid electronic ID from that register Additional services encryption and decryption embedded, additional functionality Standards PKI (ISO/IEC) Criticized X.509 (for secure database access, not EC; e.g. the use of blacklists is obsolete) Alternatives from PGP; SET; IBM Network Security Program, MIT Kerberos Blacklist should be replaced with, e.g., LDAP 34
Käyttäjän tunnistaminen ja todennus Arat kohteet vaativat useaa tunnistamistapaa Perusongelma verkossa, tunnistaminen ontuu: Avain tai henkilökortti»elektroninen allekirjoitus Etäyhteyspisteen tunnus»esim. takaisinsoittolaite Tunnus- ja salasana Sormenjälki, verkkokalvo, yms GSM verkon imago turvallinen Suojaus- ja salaustekniikoiden vientiä valvotaan Wassenaarin sopimuksella www.wassenaar.org 35
Authority Authorization from the owner of the rights can commit business transactions has the right to access public services committing own actions age, trusted person on behalf of other individuals on behalf of an organisation association company public service 36
Electronic ID - private sector Service providers Certificate authorities (e.g. Certall Finland Oy, or VRK-FINSIGN Gov. CA) Teleoperators? IT vendors? Producers id2 Technologies (Sonera Smarttrust v 2001) Baltimore Entrust CyberTrust 37
Certificate authority LY-tunnus (company ID) = oikeustoimihenkilön tunnus Duns-Bradstreet (company ID) = oikeustoimihenkilön ja toimipaikkojen tunnukset (Duns-Bradstreet + 4) Verisign (www.verisign.com) ID for Browser Email Server Software Channel EDI by e-mail for hundreds of USD attaches ID to a specific equipment of a specific real organization 38
The roles in PKI (Tedis II project FAST; ETS II INFOSEC-project) Registration and revocation Local Registration Authority (LRA, checks identity) Certification Authority (CA, grants cards) Directory (of valid keys/certificates) Directory Service Agent (DSA, on-line registers and DAP) Certificate Revocation List (CRL, blacklists) Service Providers Trusted Third Parties Support services: registration, certification, service messaging of keys Independent services: Independent time stamping of docs and sigs; archiving documents, ownership, etc; recording and maintaining legal attributes of entities; issuing electronic cash End-Users legal and personal entities - two keys (signing/encryption) 39
Varmenteiden kehittyminen taataan ristiinvarmennuksella Laki digitaalisista allekirjoituksista sähköinen tunnistaminen, aineiston salaaminen ja digitaalinen allekirjoitus tietoverkoissa ristiinvarmennuksen turvaaminen eri maiden varmenneviranomaisten välillä.» Ristiinvarmennus on tarpeen ainakin kansainvälisissä EU:n sisäisissä ja ulkoisissa varmennussuhteissa, mutta se sopii myös mahdollisten rinnakkaisten kotimaisten varmenneviranomaisten väliseksi toimintamalliksi, (VRK, 1998). suomalaisesta mallista puuttuu ns. ylin varmenneviranomainen (key escrow, repository), joka on esitetty anglo-amerikkalaisena vaihtoehtona varmenneviranomaisten kansalliselle ja kansainväliselle yhteistyölle ja ristiinvarmennukselle. Puhelinverkossa ristiinvarmennusta vastannee tiedonvaihto operaattorien välisten Roaming-sopimusten perusteella. 40
Electronic public ID - HST (VRK, 1998) Sopimukseen perustuva yhteistyö ja mahdollinen ristiinvarmennus Varmenneviranomaiset (VV) VRK Varmennepolitiikka Mahdolliset muut kotimaiset VV:t EU- ja muut kansainväliset VV:t Varmentajat (VA) VRK Operatiivinen vastuu Mahdolliset muut kotimaiset VA:t Mahdollisilla muilla varmentajilla on omat kortit, varmennepalvelut ja korttien myöntämisestä vastaavat rekisteröijät. Toiminta perustuu kuitenkin yhteisen varmennuspolitiikan noudattamiselle. Rekisteröijät (RE) HST-kortin rekisteröijät Kihlakunnat, maistraatit ja poliisin paikallisyksiköt Yhteispalvelupisteet KELA:n paikallistoimistot Mahdolliset muut kortit ja niiden rekisteröijät Kortin myöntäjä toimii rekisteröijänä myös HST-varmenteen osalta Mahdolliset muut kortit HST-varmenteella Henkilöllisyystodistus Kaupunkikortit Sosiaali- ja terveydenhuollon asiakaskortti Postin asiakaskortti Pankkien luotto-, pankki-, automaatti- ja rahakortit Kauppojen kanta-asiakaskortit Muut sähköisen asioinnin ja maksamisen kortit 41
What is needed? on HTTP client HST -card card reader (PCMCIA, serial, USB) card driver (CSP or PKCS depending on browser) application specific logic? on WWW-server: server HST-certificate user certificate validation module for requesting signature for checking signatrure validity (authenticator) for checking signature and encryption of the message for checking blacklist (DAP) 42
VRK:n varmennettu serveri 43
Electronic passport for companies and citizens - Swisskey (www.swisskey.com) The process of getting Swisskey (CA) 1) Fill in the request form (web) 2a) Personal registration at post office/bank (LRA), by showing ID docs (e.g. passport) to verify the information 2b) A certificate will be generated after reverification of the registering information 3) Confirmation and instructions by e-mail from Swisskey 4) Installation 5) Publication in the Swisskey directory (DSA) of the public key. 44
Another way - SmartTrust Based on PKI X.509 std currently RSA keys Utilizes SMS infrastructure Requires a coprocessor SIM-card (replacement) for encryption/decryption for authentication for signing Sonera co-operates with GTE CyberTrust for PKI SETEC manufactures SIM-card Keep an eye on Radicchio 45
46
Sisällön rajaaminen/sensurointi Difficult to censor directly, therefore either self-censored NetNanny, Cyberwatch etc. rating systems (censoring body resting on the Platform for Internet Content Selection PICS) Safesurf (www.safesurf.com) Recreational Software Advisory Council RSAC (www.rsac.org) They use browser features in restricting content will exclude non-rated sites NetWatch (NS) Content Advisor (MS) 47
48