Skip to content

S.I.R.M. - Società Italiana di Radiologia Medica

Sections
Personal tools
You are here: Home » Pubblicazioni » Hot Topic » Archivio » 2003 » La sicurezza nei pagamenti online: le scelte di SIRM
Log in


Forgot your password?
 

La sicurezza nei pagamenti online: le scelte di SIRM

Document Actions
[{'category': 'document_actions', 'name': 'Send this page to somebody', 'url': 'http://www.sirm.org/pubblicazioni/hot_topics/archivio/2003/hot_dicembre.html/sendto_form', 'visible': 1, 'id': 'sendto', 'permissions': ('View',)}, {'category': 'document_actions', 'name': 'Print this page', 'url': 'javascript:this.print();', 'visible': 1, 'id': 'print', 'permissions': ('View',)}]
 

 

Dicembre 2003

La sicurezza nei pagamenti online: le scelte di SIRM

di Filippo Gattoni, Palmino Sacco*, Chiara Sicola (Milano, *Siena)

I pagamenti online con carta di credito sono indicati, soprattutto dai mezzi di comunicazione, attività a rischio per la possibilità di truffe o di intercettazione dei dati della carta da parte di malviventi.
La mancanza di un rapporto diretto con il venditore, la scarsa informazione da parte degli utenti sulle vere misure di sicurezza applicate ai pagamenti online (quelli seri) sono alcuni tra i motivi che fanno considerare Internet un luogo rischioso per fare acquisti.

La risonanza che i mezzi di comunicazione hanno dato alle gesta di malviventi informatici (è un argomento di richiamo e ne parlano volentieri) ha poi contribuito notevolmente a far percepire, da parte di molti utenti, sempre molto rischioso il pagamento via web.

Ma è veramente così? Quali sono le attuali misure di sicurezza in Internet? Come è possibile essere sicuri? E soprattutto qual è il livello di sicurezza garantito dalla SIRM ai suoi soci per rendere il più sicuro possibile i pagamenti online?

Intanto un fatto: le reti telematiche di per sé NON sono meno sicure dei mezzi di comunicazione tradizionali. Una telefonata può essere intercettata (soprattutto con i cellulari), una carta di credito dettata per telefono a qualcuno che non si conosce personalmente può non essere il mezzo più sicuro per pagare.
Un'altra considerazione importante: come in qualsiasi tipo di commercio, anche online c'è sito e sito: sta a chi compra capire cosa si sta facendo e con chi si ha a che fare, con l'aiuto di una informazione corretta e reale sul problema, compreso l'aggiornamento dei propri strumenti di navigazione (il browser in particolare).

I punti chiave della sicurezza della trasmissione delle informazioni (in internet e fuori internet) sono tre:

Crittografia - vuol dire scrittura segreta. L'arte di scrivere messaggi segreti che possano essere letti e compresi solo dal destinatario risale alla più remota antichità.
La chiave di cifratura è il metodo segreto per cifrare il messaggio, e viene concordato dal mittente e dal desinatario.

Integrità - il mio messaggio è stato visto da qualcuno prima di arrivare a destinazione? Bisogna creare un canale di comunicazione sicuro da intrusioni.

Autenticazione - chi riceve i miei dati è chi dice di essere?

La cifratura è la base della sicurezza. Il cifrario RSA (dalle iniziali dei matematici che l’hanno invetato: Rivest, Shamir and Adleman) ha una doppia chiave, una pubblica e una privata, dove la chiave per cifrare non è la stessa di quella per decifrare.

Facciamo un esempio, con un cliente che compra online da un negoziante:

  1. all'atto del collegamento, il cliente riceve la chiave pubblica del negoziante e un certificato che garantisce la reale appartenenza di quella chiave a quello specifico esercizio, completo della firma elettronica di una entità garante (es. Verisign);
  2. il programma del cliente genera quindi un numero random facendo uso di una qualche funzione matematica che sia (relativamente) facile da calcolare e impossibile -o quasi- da invertire (nell'RSA è il prodotto di due numeri primi elevati), sempre differente per ogni collegamento, ed invia al negozio un messaggio cifrato con quel numero.
    Per consentire il colloquio, invia anche tale numero cifrandolo con la chiave pubblica del negoziante.
  3. Solo il negoziante in possesso della chiave di decrittazione abbinata alla chiave pubblica riportata nel certificato potrà decifrare questo messaggio e conoscere così la chiave random generata dal cliente. Anche se questo colloquio informatico venisse registrato, senza la chiave pubblica del negoziante non si potrebbe entrare in possesso della random e quindi non potrebbe conoscere il contenuto dei messaggi (il numero di carta di credito del cliente).

L'esempio citato costituisce una versione semplificata dello scambio di chiavi, in quanto nella realtà le chiavi sono più d'una e diverse tra loro.
In questi casi l'attacco più semplice sarebbe quello portato "con la forza bruta" ovvero, provando in sequenza tutte le chiavi possibili sino a quando si indovina quella giusta che permette di ottenere il testo del messaggio in chiaro.
Si usa invece, in tutti i sistemi, una chiave di 128 bit, che rende il tempo necessario per tale ricerca virtualmente infinito.
Infatti una chiave di 128 bit ha circa 3x10^38 (miliardi di miliardi) di combinazioni: per decodificarne una sarebbero necessari 1 trilione x 1 trilione di anni, ovvero un tempo di diversi trilioni di anni superiore all'età della Terra ed è quindi decisamente difficile da scoprire.

Il Protocollo SSL (Secure Sockets Layer) fa parte del browser (ecco perché è importante aggiornare SEMPRE il browser) ed è l’insieme dei metodi spiegati poco fa, in grado quindi di creare:

  • un canale che garantisce il contenuto dei dati scambiati, perché ogni messaggio viene garantito da un codice di controllo cifrato;
  • un canale privato in quanto tutte le comunicazioni sono cifrate;
  • un canale autenticato in quanto il certificato garantisce l'identità del commerciante;

Quali sono e cosa prevedono gli standard di sicurezza di GestPay di Banca Sella che SIRM ha scelto per lo sviluppo del sistema di pagamento online della quota di iscrizione e dell’assicurazione?

  1. Protocollo SSL3: la comunicazione tra il socio e il server della banca viene garantita dalla un cifratura SSL (versione 3.0) a 128 bit (vedi sopra)
  2. Dati criptati: i dati del socio vengono criptati, prima di essere trasmessi, con un algoritmo generato quotidianamente direttamente dal sistema della banca e di elevata sicurezza di modo che nessuno può in alcun modo interferire nel colloquio via web tra il socio e la banca;
  3. Indirizzi IP (Internet Protocol): per aumentare ulteriormente la sicurezza, la SIRM deve indicare uno o più indirizzi IP del proprio server che comunica con il server della banca: quest'ultimo, ad ogni chiamata, effettua una verifica incrociata sull’identità del server SIRM e l'indirizzo IP chiamante;
  4. Comunicazione server/server: grazie alla comunicazione diretta server/server, SIRM ha la certezza di ricevere una risposta da parte della banca sull'esito della transazione, anche nei casi in cui il browser del socio venga chiuso prima di ottenere una risposta;
  5. Reiterazione della comunicazione: in caso di impossibilità di connessione al server di SIRM, il server della banca, oltre a visualizzare al cliente uno "scontrino virtuale" che riassume i dati della transazione, effettua automaticamente un numero predefinito di tentativi per stabilire la comunicazione con SIRM. Se questi tentativi hanno esito negativo, il socio vede una pagina contenente le informazioni sul pagamento predisposta dalla banca in sostituzione di quella di SIRM. Verrà quindi effettuata una serie di ulteriori tentativi da server a server, a intervalli regolari di tempo, fino alla garanzia di comunicazione avvenuta. Se entro 24 ore la comunicazione non è ancora stata stabilita, l'help desk della banca contatterà direttamente la SIRM.

Pertanto, i dati relativi alla carta di credito vengono processati esclusivamente dalla banca per i controlli necessari ad autorizzare il pagamento online mentre la SIRM non ha accesso ai dati relativi alla carta di credito ma gestisce solo i dati anagrafici e professionali del socio, nel pieno rispetto delle attuali leggi nazionali ed europee.

Come è possibile riconoscere un sito web sicuro?
Per leggere il certificato di sicurezza posizionare il cursore su un punto qualsiasi della pagina e, cliccando con il tasto destro del mouse, selezionare la voce "Proprietà". Lì sarà possibile leggere il certificato.

Per concludere, alcuni consigli:

  1. aggiornare e mantenere sempre aggiornato il proprio browser all'ultima versione disponibile
    Microsoft Explorer 6.0,
    Netscape Navigator 7.1 (non c'è in italiano)
  2. Controllate qui la versione e la sicurezza del vostro browser

Poi:

  • accertarsi che il sito con cui si scambiano informazioni sensibili usi l’SSL a 128 bit;
  • verificare se il sito è certificato da aziende che operano nel campo della sicurezza (VeriSign, RSA...);
  • se si fanno acquisti usare siti di compagnie note: ci tengono troppo alla loro immagine e non rischiano di perderla;
  • cercare nel sito le informazioni sulla sicurezza e le dichiarazioni sulla privacy;
  • mantenere (per un po’…) memoria della transazione (su carta o file).

Per saperne di più
In internet ci sono ovunque spiegazioni sulla sicurezza. In particolare segnaliamo:

In italiano

  • Banca Sella, sistema Gestpay
  • Il sito degli studenti del Liceo Classico Foscarini di Venezia con uno splendido e completo lavoro sulla crittografia (compreso il funzionamento della macchina Enigma e molto altro)

In inglese

 

Created by amministratore
Last modified 09/12/2005 12:02
 
Powered by Plone     Powered by noze