BÀI THUYẾT TRÌNH MÔN THƯƠNG MẠI ĐIỆN TỬ Ecommerce Security

Theo thống kê 102013, hiện tại có trên 1 tỉ người đang sử dụng Internet. Trong đó, tình trạng tội phạm Internet đặc biệt là tội phạm về tài chính đang ở mức rất cao, đã có 315,000 lượt báo cáo về tội phạm trên Internet trong đó 1 nửa là mất mát về tài chính (500tr) trung bình 4,100lần (2011, Internet Crime Complaint Center IC3).

BÀI THUYẾT TRÌNH MÔN THƯƠNG MẠI ĐIỆN TỬ

Topic 5:

E-commerce Security

Giảng viên hướng dẫn :

Dr Nguyễn Quang Trung

Ms Võ Trung Trinh

Lớp: MBA12C

T

hực hiện : Group 3

Trần Viết Khanh Đặng Thế Hiệp Trương Đăng Khoa Nguyễn Thanh Sang(1989)

Đinh Xuân Thắng

An ninh Mạng/Bảo Mật trong Thương mại điện tử (TMĐT)

I Tổng quan về bảo mật trong môi trường TMĐT

a Môi trường TMĐT:

Theo thống kê 10/2013, hiện tại có trên 1 tỉ người đang sử dụng Internet

Trong đó, tình trạng tội phạm Internet đặc biệt là tội phạm về tài chính đang ở mức rất cao, đã có 315,000 lượt báo cáo về tội phạm trên Internet trong đó 1 nửa là mất mát về tài chính ($500tr) trung bình $4,100/lần (2011, Internet Crime Complaint Center - IC3)

Năm 2011 báo cáo của Symantec cho thấy có trên 405 triệu loại phần mềm độc hại

so với 286 triệu của 2010, riêng những cuộc tấn công trên nền Web tăng 80%, nền Mobile tăng 93%

Riêng ở Mỹ, các hacker nước ngoài thực hiện trên 100 vụ tấn công vào các website thương mại của Mỹ để lấy cắp dữ liệu (Mandiant, 10/2013)

Ở chiều ngược lại Mỹ cũng bị cựu nhân viên CIA Snowden tố cáo xâm nhập và lợi dụng các lỗ hổng để theo dõi các chính phủ và giao dịch trên toàn cầu

Tại Việt Nam: đã có 2.405 website của các cơ quan và DN bị hack (trung bình 300 website/tháng) trong đó có cả Bộ Công An, Bộ Quốc phòng, ngân hàng, các cơ quan nghiên cứu… (Bkav, 10/2013)

b Những yếu tố ảnh hưởng bảo mật TMĐT:

Một giao dịch thương mại điện tử được gọi là an toàn khi đảm bảo không lộ các thông tin cá nhân khi giao dịch, không bị mất mát về tài sản…

Tuy nhiên bài học trong quá khứ cho thấy không có bất kỳ hệ thống bảo mật nào mãi mãi an toàn, bất cứ hệ thống nào cũng có thể bị tấn công nếu huy động đủ nguồn lực.Vì vậy, những nghiên cứu đã cho thấy những nhân tố quan trọng nhất ảnh hưởng đến vấn đề bảo mật của TMĐT là:

- Data: cách tổ chức lưu và quản lý dữ liệu nội bộ

- Technology Solution: các giải pháp về công nghệ để gia tăng an toàn

- Org Policies and Procedures: các quy trình và chính sách để hướng dẫn cho các nhân sự trong tổ chức thực hiện đúng quy tắc bảo mật dữ liệu

- Laws and Industry Standard: hệ thống luật pháp phải có tác dụng bảo hộ và

xử lý nghiêm khắc các vi phạm, cùng với đó là ứng dụng các tiêu chuẩn công nghiệp mới hơn 1 cách rộng rãi

Căn cứ vào quan điểm của 2 đối tượng trong các giao dịch thương mại điện tử thì các vấn đề mà được chú ý nằm trong bảng sau:

Quan Điểm Khách hàng Người bán

Toàn vẹn Dữ liệu gửi và nhận bị

thay đổi?

Nội dung và dữ liệu Web bị thay đổi không xác thực, dữ liệu nhận từ KH có hợp lệ?

Chống chối

bỏ

Tổ chức có chối bỏ hành động của họ? KH có từ chối giao hàng?

Xác thực Giao dịch với ai? Thông tin KH này có đúng hay không?

Riêng tư Có ai khác đọc được tin Dữ liệu bí mật có ai không được quyền

Tiện ích Có thể truy cấp trang web

đó? Trang web hiện tại có còn hoạt động?

c Xung đột giữa bảo mật và các giá trị còn lại:

Tuy nhiên, trong thực tế luôn tồn tại sự xung khắc giữa nhu cầu được đảm bảo an ninh cao với việc thỏa mãn tính nhanh chóng, tiện lợi, dễ sử dụng khi thực hiện giao dịch

Vì 1 thực tế là khi giao dịch càng sử dụng nhiều các biện pháp bảo mật thì càng khó để người dùng thực hiện vì càng phải tiến hành nhiều bước phức tạp hơn

Đó là lý do các biện pháp công nghệ liên tục được đưa ra để giải quyết vấn đề này như bảo mật qua điện thoại, mã OTP, công nghệ sinh trắc học…

II Những nguy cơ thường gặp hiện nay

Sơ đồ sau sẽ cho phép thấy được toàn cảnh chu trình của 1 giao dịch thương mại điện tử đầy đủ và đặc biệt là các điểm yếu dễ bị tấn công của nó

Trong đó:

1 Web bugs: lỗi do xử lý bên trong website TMĐT

2 Wifi: sơ hở bảo mật wifi nên bị lộ thông tin qua mạng này

3 Customer list: bị tấn công và mất danh sách khách hàng

4 DB server: máy chủ dữ liệu bị tấn công (thường do lỗi SQL injection)

5 Lỗi sơ hở khi truyển thông tin từ máy chủ dữ liệu đến ngân hàng

6 DOS: tấn công từ chối dịch vụ vào ngân hàng người mua

7 Thay đổi thông tin trong quá trình giao hàng hóa

8 Tấn công vào ngân hàng của người bán

Các điểm yếu trên thường được tấn công bằng các công cụ như sau:

1 Malicious Code (Malware, mã độc):

a) Drive by download (yêu cầu tải file có mã độc về máy)

b) Virus (lây nhiễm qua các file trong máy tính tự động)

c) Worm (lây qua máy tính khác nhau thường qua đường email)

d) Trojan horse (xâm nhập và chờ đợi hiệu lệnh để thực thi phá hoại từ bên ngoài)

e) Backdoor (xâm nhập và tạo ra lỗ hổng để sử dụng sau đó)

f) Bots, botnet (xâm nhập, chiếm quyền và huy động nhiều máy tính để tấn công 1 đối tượng)

Tiêu biểu có 1 số loại mã độc phổ biến sau:

Ramnit Virus/Worm

Nhiễm nhiều nhất 2011

Nhiều loại file, tự copy vào ổ USB, tự chạy bằng Auto Play khi cắm vào máy tính

Sality.AE Virus/Worm Thứ 2

trong 2011

Tự tắt các phần mềm và dịch

vụ bảo mật, kết nối vào botnet,

tự tải và cài đặt các loại khác

Conficker

Tấn công HĐH Microsoft với công nghệ chuyên dụng, vẫn còn nhiễm đến hiện tại

2 Potentially Unwanted Program:

a) Adware: phần mềm, ứng dụng nhằm mục đích quảng cáo, spam

b) Spyware

Các phần mềm chạy ẩn và theo dõi các hoạt động cũng như lấy trộm các thông tin cá nhân người dùng

3 Phishing & Indentity Theft (lừa đảo, trộm thông tin):

a) Social engineering: dựa vào sự tò mò, hiếu kì để lừa user tải 1 file mã độc về máy hoặc dùng trang web giả để user nhập thông tin

b) Phishing: lừa, trộm thông tin tài chính cá nhân,thường thấy qua email lừa đảo

4 Hacking, cyber vandalism, hacktivism, data breached:

a) Hacker: truy cập trái phép

b) Cracker: truy cập trái phép có ý định phạm tội

c) Cyber vandalism: phá hoại mạng

d) Hacktivism: tin tặc

e) White/Black/Grey hats

f) Data breach: phá dữ liệu

5 Credit card fraud/theft (gian lận, lừa thẻ TD):

6 Spoofing (pharming, giả mạo) and spam:

7 Denial of Service (Dos) and Distributed denial of service (DDos):

Dùng bot/botnet để tấn công gây tràn và website, server bị từ chối không thể đáp ứng các dịch vụ đang cung cấp

9 Insider attacks (tấn công từ nội bộ):

10.Server thiết kế yếu và các phần mềm máy trạm:

Các Server được thiết kế yếu, không đủ mạnh để chạy các ứng dụng bảo mật

11.Các phần mềm nhiều lỗ hổng để tấn công

Social Network Issues:Facebook, twitter cung cấp quá nhiều thông tin cá nhân

12.Mobile platform Issues:

Niềm tin vào điện thoại như trước

Nhưng thật ra khi phát triển thông minh hơn  tất cả mọi người đều dễ bị tấn công qua bluetooth, wifi, 3g, tin rác…

13.Cloud Issues:

-Tập trung dữ liệu tại các cloud server nên khi bị tấn công người dùng không thể truy cập dữ liệu (Google Drive, Dropbox)

-Lộ thông tin khi có thể vượt qua khai báo tài khoản để truy xuất dữ liệu từ các lỗ hổng (Dropbox, 06/2011)

- Dùng cloud để phát tán virus

14.Một số loại khác:

chương trình chống virus giả mạo, nó sẽ thông báo là có virus trong hệ thống của bạn Các chương trình diệt virus này sẽ đòi hỏi thẻ tín dụng thanh toán trước khi sửa chữa cho hệ thống của bạn

 Can thiệp vào tham số trên URL

15.Dấu hiệu nhận dạng:

◦ Không vào được website

◦ Có nội dụng lạ

◦ Mất số lượng lớn link index: sử dụng google để check với cú pháp: site: tenmiencuaban.com và lượng index chỉ còn bằng 1/3 so với tổng lượng links bạn có thì 70% là website của bạn

bị nhiểm malware rồi

◦ Mất nhiều traffic: Một khi Google và các search engine phát hiện ra rằng website của bạn có chưa mã độc, chúng sẽ lập tức loạt website của bạn ra khỏi trang kết quả tìm kiếm Hoặc cảnh báo cho người dùng khi họ tìm kiếm với kết quả dẫn đên trang web của bạn Điều này thật sự sẽ lấy đi của bạn rất nhiều traffic.

◦ GOOGLE WEBMASTER TOOLS: công cụ được yêu thích nhất trong giới webmaster dễ dàng nhận được thông báo mỗi khi website của bạn bị nhiểm malware, thông báo chính xác đến nỗi liệt kê hết thẩy những trang bị nhiễm ra cho bạn Nhưng có 1 vấn đề là các webmaster Vietnam rất it khi quan tâm và kiếm tra Google Webmaster Tool, đa phần chỉ cấu hình 1 lần rồi để đó

◦ Website xếp hàng top với từ khoá không liên quan: malware cài những backlink ẩn, hoặc lợi dụng domain của website để spam Hacker sử dụng phần mềm tự động dò các website có

lỗ hổng để gắn các link trỏ đến các nguồn chứa mã độc Điều này sẽ khiến cho website của bạn “được” xếp hàng top với

rất nhiều từ khóa không liên quan đến lĩnh vực của mình hoặc các từ vớ vẩn nào đó….

 Chèn mã độc

 Virus facebook

III Một số giải pháp phổ biến đang được sử dụng

1 Mã hóa

 Là quá trình chuyển văn bản hay các tài liệu gốc thành văn bản dưới dạng mật mã để bất cứ ai ngoài người gửi và người nhận đều không thể đọc được

 Bảo đảm an ninh thông tin khi truyền phát

 Hai phương pháp mã hóa:

◦ Mã hóa đối xứng (Symmetric Key Encryption): Dùng 1 khóa cho mã hóa và giải mã

◦ Mã hóa khóa công khai (Public Key Encryption): Dùng 2 mã khóa trong quá trinh mã hóa 1 khóa dùng để mã hóa, 1 khóa dùng để giải mã

◦ Khóa công khai

 Được thông báo rộng rãi cho những người sử dụng khác trong

hệ thống

 Dùng để mã hóa thông điệp hoặc kiểm tra chữ ký

◦ Khóa bí mật

 Chỉ nơi giữ được biết

 Để giãi mã thông điệp hoặc tạo chữ ký

◦ Ứng dụng

Mã hóa/ Giải mã

 Hỗ trợ xác thực văn bản( Digital signatures)

 Trao đổi khóa

 Cho phép chia sẽ khóa phiên trong mã hóa đối xứng(Digital Envelopes)

2 Chữ ký điện tử

 Chữ ký điện tử là bằng chứng hợp pháp dùng để và đủ khẳng định trách nhiêm của người ký văn bản điện tử về nội dung của nó, tính nguyên gốc của văn bản điện tử sau khi chuyển khỏi người ký nó

 Các cơ quan chứng nhận (Certificate Authority - CA) sẽ đứng ra xác thực chữ ký điện tử(hay khóa công khai) là của cá nhân hay tổ chức cụ thể và duy nhất

 Chứng thực điện tử bao gồm:

 Tên của cá nhân hoặc tổ chức

 Khóa công khai

 Số định danh của chứng thực điện tử

 Thời hạn hiệu lực

 Chữ ký của cơ quan chứng nhận

3 SSL/TLS

 Sử dụng các chính sách bảo mật để lọc gói

trong mạng nội bộ

5 Bảo vệ máy tính

 Tự người sử dụng phải biết cách bảo vệ máy tính của mình bằng các phương pháp sau:

 Sử dụng hệ điều hành bản quyền, an toàn

 Liên tục Upgrades, patches các phiên bản vá lỗi mới nhất

 Sử dụng và cập nhật liên tục các phần mềm diệt virus