Mối đe dọa an ninh trong thương mại điện tử

Bài 5Mối đe dọa an ninh trong TMĐTThương Mại Điện TửKhái niệm về việc bảo vệMột số hiểm họaCác e-mail gửi đếnTruy xuất trái phép các thông tin sốThông tin thẻ tín dụng rơi vào tay kẻ xấu........Hai hình thức thực hiện bảo vệVật Lý - bảo vệ các thành phần hữu hìnhLogic - bảo vệ các thành phần vô hìnhKhái niệm về việc bảo vệCác biện pháp phòng vệ và trả đũa (bằng hình thức vật lý hay logic) được thực hiện nhằm nhận diện, giảm thiểu hay loại bỏ các mối đe doạCác đặc điểm Bí mật - SecrecyBảo đảm tính chính xác của dữ liệu và ngăn ngừa các thông tin riêng tư bị tiết lộToàn vẹn - IntegrityCập nhật trái phép các thông tin ??Đáp ứng - NecessityTừ chối hay đáp ứng thông tin không kịp thời ??Bản quyền và sở hữu trí tuệBản quyền-quyền tác giảMột số lĩnh vựcVăn chương, âm nhạcKịch, múaTranh, hình ảnh, tượng,..Sản phẩm điện ảnh, nghe nhìn,...Công nghiệp âm thanhKiến trúc...........Bản quyền và sở hữu trí tuệSở hữu trí tuệ-Intellectual propertyBảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đóU.S. Copyright Act 1976Bảo vệ quyền tác giả trong thời gian hạn địnhCopyright Clearance CenterCấp giấy phép sử dụng Copyright Clearance Center Home PageCác từ ngữ thường dùngcopyright“copyleft”sharewarefreeware free softwareopen source codeSPAMNgày nay người sử dụng Internet phải đối mặt với rất nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp – spyware), bị đánh cắp dữ liệu, bị đánh phá website (nếu là chủ sở hữu website) v.v.... Spam (thư rác): người nhận mỗi ngày có thể nhận vài, vài chục, đến vài trăm thư rác, gây mất thời gian, mất tài nguyên (dung lượng chứa, thời gian tải về...) VIRUSXuất hiện lần đầu tiên vào năm 1983.Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa.Mức độ nghiêm trọng của virus dao động khác nhau tùy vào chủ ý của người viết ra virus, ít nhất virus cũng chiếm tài nguyên trong máy tính và làm tốc độ xử lý của máy tính chậm đi, nghiêm trọng hơn, virus có thể xóa file, format lại ổ cứng hoặc gây những hư hỏng khác.VIRUSTrước kia virus chủ yếu lan tỏa qua việc sử dụng chung file, đĩa mềm... Ngày nay trên môi trường Internet, virus có cơ hội lan tỏa rộng hơn, nhanh hơn.Virus đa phần được gửi qua email, ẩn dưới các file gửi kèm (attachment) và lây nhiễm trong mạng nội bộ các doanh nghiệp, làm doanh nghiệp phải tốn kém thời gian, chi phí, hiệu quả, mất dữ liệu...Cho đến nay hàng chục nghìn loại virus đã được nhận dạng và ước tính mỗi tháng có khoảng 400 loại virus mới được tạo ra. Câu hỏiKhái niệm sâu máy tính WormTác hại ?WORMSâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống. Ví dụ: sâu mạng (network worm) tự nhân bản trong toàn hệ thống mạng.Sâu Internet tự nhân bản và tự gửi chúng qua hệ thống Internet thông qua những máy tính bảo mật kém.Sâu email tự gửi những bản nhân bản của chúng qua hệ thống email. Câu hỏiKhái niệm TrojanTác hạiCách lây nhiễmTROJANĐặt tên theo truyền thuyết con ngựa Trojan của thành TroyLà một loại chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.Trojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại hết những phím đã được gõ rồi sau đó gửi “báo cáo” về cho một địa chỉ email được quy định trước (thường là địa chỉ email của chủ nhân của Trojan).TROJANNgười sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác.Phương pháp thông dụng được dùng để cài Trojan là gửi những email ngẫu nhiên với nội dung khuyến cáo người sử dụng nên click vào một đường link cung cấp trong email để đến một website nào đó. Và nếu người nhận email tin lời và click thì máy tính của họ sẽ tự động bị cài Trojan. Không giống như virus, Trojan không tự nhân bản được. Câu hỏiKhái niệm PhishingTác hạiHình thức tấn côngPHISHINGXuất hiện từ năm 1996Giả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng... để gửi email hàng loạt yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng.Nếu người nào cả tin và cung cấp thông tin thì kẻ lừa đảo sẽ dùng thông tin đó để lấy tiền từ tài khoản.PHISHINGMột dạng lừa đảo hay gặp khác là những email gửi hàng loạt đến người nhận, tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn, và yêu cầu người nhận gửi một số tiền nhỏ (vài nghìn dollar Mỹ) để làm thủ tục nhận giải thưởng (vài triệu dollar Mỹ).Đã có nạn nhân ở Việt Nam.PHISHINGMột nguy cơ khác xuất hiện nhiều gần đây là những kẻ lừa đảo tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng và tối ưu hóa chúng trên Google để “nạn nhân” tự tìm thấy và mua hàng/dịch vụ trên những website này.Thực tế, khi nạn nhân đã chọn hàng/dịch vụ và cung cấp đầy đủ thông tin thẻ tín dụng, nạn nhân sẽ không nhận được hàng/dịch vụ đã mua mà bị đánh cắp toàn bộ thông tin thẻ tín dụng, dẫn đến bị mất tiền trong tài khoản. Các loại khác MALWARESPYWAREADWAREDEMOWARENAGWAREâu hỏiTheo anh chị, nhằm bảo vệ hệ thống mạng máy tính, người quản trị phải tiến hành công việc gì ?Chính sách bảo mậtPhải mô tả cụ thể (văn bản) chính sách bảo mậtTài sản nào cần bảo vệ ? tại sao? Ai chịu trách nhiệm? các truy cập nào cho phép/ngăn cấmAn ninh vật lý - Physical securityAn ninh mạng - Network securityQuyền truy cập - Access authorizationsNgăn chặn vi rút - Virus protectionPhục hồi thông tin - Disaster recoveryMô tả các thành phần trongchính sáchXác thực - AuthenticationNhững ai đang truy xuất vào website?Quyền truy cập - Access ControlNhững ai được phép đăng nhập và truy xuất thông tin trong websiteBảo mât - SecrecyNhững ai được phép xem các thông tin nhạy cảm, bí mậtMô tả các thành phần trongchính sáchToàn vẹn dữ liệu - Data integrityAi được quyền cập nhật thông tin, dữ liệuKiểm tra-Theo dõi-Thống kê (Audit)Những ai đã truy cập vào hệ thống? khi nào? bao lâu ?NSD đã sử dụng và truy nhập các tài nguyên nào ?Câu hỏiTheo anh chị, chính sách bảo mật không tốt có thể dẫn đến những tác hại gì trong việc bảo vệ quyền sở hữu trí tuệ ?Mối đe dọa với sở hữu trí tuệMạng Internet : tác nhân lôi kéo tình trạng (mối đe dọa) vấn đề bảo vệ sở hữu trí tuệDễ dàng thu thập và “tái tạo”các thông tin, sản phẩm,.. tìm thấy trên InternetNSD không có ý thức về các qui định bản quyền cũng như không có chủ ý vi phạmThe Copyright Website Home PageMối đe dọa với sở hữu trí tuệCybersquatting (bất hợp pháp)Đăng ký 1 tên miền với thương hiệu của 1 cá nhân hay 1 công ty khácCybersquatters : hy vọng chủ nhân các công ty hay thương hiệu sẽ trả tiền để mua lại các URL nàyVài Cybersquatters mạo danh chủ thương hiệu nhằm mục đích xuyên tạc, lừa dốiCâu hỏiMáy của NSD có thể bị “tấn công” bằng các “con đường” nào ?Các mối đe dọa Phía máy NSDActive ContentJava applets, Active X controls, JavaScript, và VBScriptCác chương trình chứa các mã lệnh thi hành, mã thông dịch được nhúng vào các đối tượng tải vềMột số nội dung active có ý đồ xấu nhúng vào các trang web có vẻ vô hạiCookies : lưu lại tên tài khoản, mật khẩu và các thông tin tham khảo khácJava, Java Applets, và JavaScriptJava : ngôn ngữ lập trình cấp cao được phát triển bởi Sun MicrosystemsMã Java có thể ‘nhúng’ vào các thiết bị gia dụng để điều khiển các hoạt động của thiết bịCác ứng dụng dạng applets có thể được nhúng vào trang web và tải vềĐộc lập với nền phần cứng và hệ điều hànhVí dụ minh họa 1 Java AppletSun’s Java Applet PageJava, Java Applets, và JavaScriptJava sandboxBao gồm các qui tắc cùng 1 cơ chế để các applet hoạt trong 1 môi trường hoàn toàn đảm bảo an toànCác applet chưa được xác thực tính an toàn buộc phải hoạt động dưới cơ chế nàySigned Java appletsChữ ký điện tử được nhúng trong applet để xác nhận tính xác thựcActiveX ControlsActiveX : là 1 “đối tượng”, còn gọi là “điều khiển” chứa các chương trình, các thuộc tính, thực hiện các nhiệm vụ đã được thiết kếActiveX : chỉ hoạt động trong môi trường Windows 95, 98,2K,XP,...Một khi được tải về, các điều khiển ActiveX hoạt động như 1 chương trình : có toàn quyền truy xuất các tài nguyên trên máy tínhActiveX Warning Dialog boxHình ảnh,các Plug-ins, vàthông tin đính kèm theo E-mailKhả năng cài đặt các mã lệnh trong các ảnh đồ họa gây hại máy tính!!Plug-ins : thường được sử dụng để thực hiện các thông tin multimedia (audiovisual clips, animated graphics)Có khả năng chứa các đoạn mã lệnh bên trong đối tượng với mục đích xấuCác thông tin đính kèm E-mail có khả năng chứa các macro hủy diệt bên trongNetscape’s Plug-ins PageFigure 5-7Hiểm họa từ các kênh truyền thôngSecrecy ThreatsPrivacy : bảo đảm thông tin riêng tư không bị tiết lộĐánh cắp các thông tin nhạy cảm, các thông tin cá nhânĐịa chỉ IP thường bị lộ khi duyệt WebHiểm họa từ các kênh truyền thôngAnonymizerCung cấp 1 mức độ bảo mật có giới hạn khi sử dụng như 1 portal truy cập Internet vẹn thông tin - Integrity ThreatsTương tự hành động nghe trộm điện thoại(wiretapping)Thay đổi dữ liệu trái phépVí dụ thay đổi lượng tiền gửi/tiền rútAnonymizer’s Home PageFigure 5-8Hiểm họa từ các kênh truyền thôngĐáp ứng yêu cầu - Necessity ThreatsCòn gọi là delay/denial threats , DoSPhá hủy quá trình xử lý của MTĐTTừ chối tiến trình xử lýXử lý rất chậm!!!!Xóa bỏ tập tin hay xóa thông tin trong 1 giao dịch/tập tinChuyển tiền từ tài khoản này sang 1 tài khoản khác !!!!Câu hỏiAnh chị hãy đưa ra một vài biện pháp nhằm bảo vệ NSD khi truy cập InternetAn toàn mạng dành cho cá nhân tự bảo vệ mìnhKhi nhận spam  xóa bỏ hếtKhông click vào bất kỳ đường link nào trong emailKhông mở lên các file gửi kèm trong email.Đừng trả lời những email spamNgay cả chức năng “Từ chối nhận” (Unsubscription) cũng đã bị lợi dụng để người gửi spam kiểm tra tính hiện hữu của tài khoản email, Cài những chương trình chống virus mới nhất, cập nhật chương trình thường xuyên. An toàn mạng dành cho cá nhân tự bảo vệ mìnhBỏ qua mọi email yêu cầu cung cấp thông tin cá nhân. Hầu hết tất cả đó đều là trò lừa đảo hoặc có âm mưu gián điệp (spyware) hay virus. Ngân hàng hay dịch vụ thanh toán qua mạng không bao giờ yêu cầu thông tin “nhạy cảm” qua mạng Internet. Nếu có yêu cầu thì đó phải là form nhập thông tin từ website của chính tổ chức đó, với giao thức truyền an toàn (https://) Nếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn ngân hàng gửi về để kịp thời phát hiện sự cố nếu có. An toàn mạng dành cho cá nhân tự bảo vệ mìnhKhi nhận được những email từ người lạ với những file gửi kèm thì phải rất cẩn thận. Trong khi lướt web nếu thấy xuất hiện những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ dàng chọn “OK” hay “Yes”. An toàn mạng dành cho cá nhân tự bảo vệ mìnhSau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web, tránh người khác dùng máy tính đó trong vài phút sau có thể truy cập vào được. Nếu phải dùng máy tính dùng chung thì không nên dùng chức năng “Nhớ Password”. Câu hỏiAnh chị thử đưa ra 1 vài biện pháp bảo vệ cho máy phục vụCác mối đe dọa với máy phục vụCác phần mềm cài đặt càng mạnh, càng nhiều tính năng thì khả năng phát sinh lỗi càng nhiềuMáy phục vụ thường hoạt động ở các cấp đặc quyền khác nhauCấp cao nhấp : cung cấp đầy đủ các quyền truy xuất và tính uyển chuyển,mềm dẻoCấp thấp nhất : cung cấp 1 hàng rào bảo vệ (logic) xung quanh chương trình đang hoạt độngCác mối đe dọa với máy phục vụDanh sách các thư mục của máy phục vụ xuất hiện trên trình duyệt !!!!Quản trị site cần tắt tính năng hiện danh sách các folder nhằm tránh hiểm họaTruyền/phát các cookies với sự bảo vệ nghiêm ngặtDanh mục các folder xuất hiệntrên trình duyệtCác mối đe dọa với máy phục vụMột trong những thông tin quan trọng được lưu trữ trên máy phục vụ web : thông tin tài khoản NSD và mật khẩuNgười quản trị web phải chịu trách nhiệm bảo mật những thông tin này và các thông tin quan trọng khácCâu hỏiDoanh nghiệp thực hiện TMĐT cần quan tâm và tự bảo vệ như thế nào ???Bảo vệ phía doanh nghiệpHacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố (website không hiện lên, gõ tên miền đúng mà không thấy website của mình hiện lên hoặc hiện lên những thông tin lạ...). Với ba loại rủi ro thường gặp: Bảo vệ phía doanh nghiệpBị tấn công từ chối phục vụ (DoS: Denial of Service): trường hợp này nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý. Bị cướp tên miền: doanh nghiệp có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý. Bị xâm nhập host hoặc dữ liệu trái phép: nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý phải nêu rõ phương thức xử lý, phục hồi khi gặp sự cố này. Cách thức thông thường là nhà cung cấp dịch vụ phải định kỳ back-up (sao lưu) các file, dữ liệu của website, và nhà cung cấp dịch vụ phải có ít nhất hai host cùng lúc để nếu host này có sự cố thì chuyển sang host kia. Bảo vệ phía doanh nghiệpTự bảo vệ password : nếu doanh nghiệp có những tài khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host...) thì càng ít người biết password của những tài khoản này càng tốt. Khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password của tài khoản. Bảo vệ phía doanh nghiệpAn toàn mạng nội bộ : nếu doanh nghiệp có mạng nội bộ thì an toàn trong mạng nội bộ cũng phải được lưu ý. Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v... Vì nếu một máy con trong mạng nội bộ bị nhiễm virus thì toàn bộ mạng sẽ bị ảnh hưởng, gây hậu quả gián đoạn hoạt động, mất dữ liệu v.v... An toàn dữ liệu, thông tin : những thông tin quan trọng không cần chia sẻ cho nhiều người thì không nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao lưu) lưu trên đĩa CD v.v... Các mối đe dọa với CSDLCác thông in riêng tư, có giá trị nếu bị tiết lộ : gây những thiệt hại không thể bù đắp cho công tyBảo mật thực hiện thông qua quyền hạn sử dụng qui địnhNhiều phần mềm CSDL không có tính bảo mật cao và phó thác vào sự bảo mật của websiteOracle Security Features PageCác mối đe dọa khácCác mối đe dọa từ Common Gateway Interface (CGI)Nếu không sử dụng đúng cách, các chương trình CGIs cũng là những mối đe dọa tiềm ẩnCác chương trình CGI thường lưu trú nhiều nơi trên Website và rất khó theo dõi , lần dấu vết để phát hiện các sai sótCGI scripts không hoạt động như JavaScript (với cơ chế sandbox)Các mối đe dọa khácCác đe dọa từ các chương trình bao gồm:Các chương trình hoạt động trên serverLỗi tràn bộ đệm(Buffer overruns)Gây tình trạng “Runaway code segments”Sâu Internet (Internet Worm) là 1 hình thái của runaway code segmentTấn công từ các đoạn mã xâm nhập bất hợp pháp tạo tình trạng”Buffer overflow” : chúng tìm cách chiếm dụng các điều khiển đã được xác thựcTấn công dạng Buffer OverflowComputer Emergency Response Team (CERT)Đặt tại Carnegie Mellon UniversityChịu trách nhiệm theo dõi, phát hiện, cảnh báo,... các vấn đề an toàn , an ninh trên mạngGửi các cảnh báo (CERT alerts) đến cộng đồng Internet về các mối đe dọa bảo mậtCERT AlertsMột vài đề nghịNếu là doanh nghiệpThuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ sẽ chịu trách nhiệm về việc tăng cường an toàn mạng, an toàn thông tin cho họ, và có nghĩa là cho cả website của ta. Sau khi login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), luôn phải thực hiện động tác logout (thoát) để đảm bảo các cửa ngõ phải được khóa lại ngay sau khi thoát ra. Một vài đề nghịNếu là người muaKhông truy cập vào hệ thống khi sử dụng máy tính công cộng. Không mở những email có file gửi kèm (attachment) mà người gửi có vẻ như xa lạ. Thậm chí đừng tin những email mang tên người gửi là Microsoft, Yahoo hay tương tự bởi vì đây có thể là thủ thuật giả danh của hacker để lừa . Một vài đề nghịThứ 2, về mối lo ngại bị ăn cắp số thẻ tín dụng khi mua hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp). Nếu là người mua: chỉ nên mua hàng ở những website tốt, tin cậy.Làm sao để đánh giá website tin cậy ? Một vài đề nghịTên tuổi người bán Trình bày gian hàng một cách chuyên nghiệp, không có lỗi chính tả, câu cú rõ ràng v.v Đọc phần About Us của họ để tìm một địa chỉ văn phòng cụ thể Đừng bao giờ cung cấp thông tin thẻ tín dụng cho các website khiêu dâm trên mạng. Một vài đề nghịNếu là người bán :Nên nhờ trung gian để xử lý thẻ tín dụngPhải trả môt khoản chi phí % dựa trên doanh thu cho họĐảm bảo kỹ thuật.Thông thường phải gửi hàng đi, khi người mua nhận được hàng mới được nhận tiền vào tài khoản của bạnNếu gặp phải thẻ tín dụng bất hợp pháp  sẽ mất trắng món hàng và mất một khoản chi phí xử lý thẻ Theo thống kê, chỉ có khoản 3% giao dịch là gặp phải trường hợp dùng thẻ tín dụng giảKhoản lời từ việc bán cho 97% khách hàng trung thực cũng đủ để bù cho khoản mất mát trong 3% gian lận này. Bài Kỳ SauThực Hiện Bảo Mật trongThương Mại Điện Tử