An toàn và bảo mật thông tin trong thương mại điện tử
MỞ ĐẦU Thương mại điện tử ngày lớn mạnh trở thành kênh giao dịch nội địa quốc tế Đồng hành với phát triển TMĐT xuất ngày nhiều hành vi gian lận Internet số lượng cách thức Bởi vì, lợi nhuận từ TMĐT nguồn thu nhập hấp dẫn tên tội phạm mà có nhiều doanh nghiệp thiếu kiến thức lẫn ý thức bảo mật TMĐT với khung luật pháp cho loại tội phạm chưa đầy đủ Vấn đề bảo mật, an toàn mạng vấn đề nóng hổi hoạt động thực tiễn Thương mại điện tử Bài thuyết trình “An toàn bảo mật thông tin thương mại điện tử” trình bày vấn đề thực trạng nay, đồng thời nêu số biện pháp phòng tránh bảo vệ tham gia vào họat động thương mại điện tử Các câu hỏi thường đặt : +Thương mại điện tử có an toàn không? Nếu có nhiều người e ngại toán qua Internet? + Làm để người tiêu dùng yên tâm tính an toàn độ bảo mật thông tin giao dịch Internet? + Những việc khác cần làm để bảo vệ khách hàng mạng? Làm để bảo vệ khách hàng giành tin cậy họ? +Làm để bảo vệ khỏi bị lừa đảo sử dụng thương mại điện tử? +Doanh nghiệp cần làm để bảo mật thông tin an toàn cho hệ thống trước nguy từ mạng máy tính Page I.Các vấn đề an toàn mật đặt TMĐT Từ góc độ người sử dụng: -làm biết Web server sở hữu doanh nghiệp hợp pháp? -àm biêt trang web không chứa đựng nội dung hay mã chương trình nguy hiểm? - Làm biết Web server không lấy thông tin cung cấp cho bên thứ Từ góc độ doanh nghiệp: - Làm biết người sử dụng ý định phá hoại làm thay đổi nội dung trang web website? -Làm biết làm gián doạn hoạt động server? Từ hai phía: -Làm biết không bị nghe trộm mạng? -Làm biết thông tin từ máy chủ đến user không bị thay đổi? I.1 Các khía cạnh an ninh TMĐT Tính toàn vẹn ( thông tin không bị thay đổi trình truyền nhận tin,thông tin không bị thay đổi nội dung cách người không phép) Chống phủ định (các bên tham gia không phủ định hành động trực tuyến mà họ thực hiện) Chống phủ định liên quan đến khả đảm bảo bên tham gia thương mại điện tử không phủ định hành động trực tuyến mà họ thực Chẳng hạn người dễ dàng tạo lập hộp thư điện tử qua dịch vụ miễn phí, từ gửi lời phê bính, trích thông điệp sau lại từ chối việc làm Thậm chí, khách hàng với tên địa thư điện tử dễ dàng đặt hàng trực tuyến sau Page từ chối hành động mà thực Trong hầu hết trường hợp vậy, thông thường người phát hành thẻ tín dụng đứng phía khách hàng người bán hàng tay chữ ký khách hàng chứng hợp pháp chứng tỏ khách hàng đặt hàng Và tất nhiên, rủi ro thuộc người bán hàng Tính xác thực (có thể khiếu nại ) Tính xác thực liên quan đến khả nhận biết đối tác tham gia giao dịch trực tuyến Internet, làm để khách hàng chắn rằng, doanh nghiệp bán hàng trực tuyến người khiếu nại được; hay khách hàng nói thật ; làm để biết người khiếu nại có nói thật, có mô tả việc hay không? Tính tin cậy Tính tin cậy liên quan đến khả đảm bảo rằng, người có quyền, không xem thông điệp truy cập liệu có giá trị Trong số trường hợp, người ta dễ nhầm lẫn tính tin cậy tính riêng tư Thực chất, hai vấn đề hoàn toàn khác Tính riêng tư (thông tin không bị cung cấp cho bên thứ ba sử dụng trái phép) Tính riêng tư liên quan đến khả kiểm soát việc sử dụng thông tin cá nhân mà khách hàng cung cấp thân họ Có hai vấn đề mà người bán hàng phải ý tính riêng tư Người bán hàng cần thiết lập sách nôi để quản lý việc sử dụng thông tin khách hàng Họ cần bảo vệ thông tin tránh sử dụng vào mục đích không đáng tránh sử dụng trái phép thông tin Ví dụ, tin tặc công vào website thương mại điện tử, truy nhập thông tin thẻ tín dụng thông tin khác khách hàng, trường hợp đó, không xâm phạm đến tính tin cậy liệu mà vi phạm riêng tư cá nhân, người cung cấp thông tin Page Tính lợi ích Tính ích lợi liên quan đến khả đảm bảo chức website thương mại điện tử thực mong đợi Đây vấn đề mà website hay gặp phải trở ngại không nhỏ việc thực giao dịch trực tuyến Internet Tóm lại, vấn đề an toàn thương mại điện tử đựơc xây dựng sở bảo vệ sáu khía cạnh trên, số khía cạnh chưa đảm bảo, an toàn tThương mại điện tử coi chưa thực triệt để Như vậy, an toàn thương mại điện tử, môi trường kinh doanh chứa đựng nhiều rủi ro, vấn đề quan trọng xuyên suốt trình hoạt động doanh nghiệp thương mại điện tử thương mại điện tử phát triển mạnh mẽ II Xây dựng sách bảo mật Có thể nói, hệ thống có sách bảo mật hợp lý biện pháp tốt để đảm bảo an toàn mạng Việc xây dựng sách bảo mật công việc cần thiết nhằm thiết lập khung sách nhằm đảm bảo an toàn cho hệ thống, đồng thời đảm bảo hệ thống ổn định có tính thực thi cao, có khả chống lại công từ bên lẫn bên Những chuẩn bị cần thiết Nhiệm vụ bước xây dựng sách bảo mật xác định mục tiêu cần bảo mật Điều giúp cho nhà quản trị biết trách nhiệm việc bảo vệ tài nguyên thân tổ chức mạng Ngoài ra, giúp cho nhà quản trị thiết lập biện pháp đảm bảo hữu hiệu tron trình trang bị, cấu hình kiểm soát hoạt động hệ thống Những mục tiêu bảo mật mà nhà quản trị hệ thống cần đạt bao gồm: - Xác định đối tượng cần bảo vệ Page - Xác định nguy hệ thống - Xác định phương án thực thi sách bảo mật a Xác định đối tượng cần bảo vệ Trong hệ thống, người quản trị phải biết đối tượng quan trọng, đối tượng không quan trọng để đưa phương pháp bảo mật tương xứng Nghĩa là, người quản trị phải xác định rõ độ ưu tiên đối tượng cần bảo vệ Trước hết, liệt kê tất đối tượng cần bảo vệ hệ thống, thường bao gồm máy chủ dịch vụ, router, điểm truy cập hệ thống, tài nguyên, chương trình ứng dụng, sở liệu hệ thống… b Xác định nguy hệ thống cần bảo vệ Các nguy hệ thống thông thường lỗ hổng bảo mật dịch vụ hệ thống cung cấp Nếu xác định xác lỗ hổng bảo mật giúp tránh công hay tìm phương pháp bảo vệ đắn Thông thường, lỗ hổng bảo mật nằm số thành phần sau hệ thống: - Các điểm truy cập hệ thống - Các nguy nội mạng - Các phần mềm ứng dụng - Không kiểm soát cấu hình hệ thống c Xác định phương án thực thi sách bảo mật Sau thiết lập sách bảo mật, người quản trị cần thực bước tiếp theo, lựa chọn cho phương án thực thi sách bảo mật Một sách bảo mật hoàn hảo có tính thực thi cao Để đánh giá tính thực thi người ta đưa tiêu chí sau: - Tính đắn Page - Tính thân thiện - Tính hiệu Tính đắn tiêu chí quan trọng để chọn lựa sách bảo mật Tiêu chí đảm bảo cho thành công sách bảo mật Chẳng hạn, hệ thống thường xuyên có nguy bị công từ bên tính đắn thể việc sách cần đảm bảo kiểm soát truy cập khách hàng vào hệ thống việc dựng thủ tục quản lý tài khoản người dùng chặt chẽ Tính thân thiện tiêu chí cần thiết Một sách bảo mật cần thiết lập công cụ bảo mật thân thiện với người quản trị dễ dàng thực thi sách bảo mật Đồng thời, tính thân thiện đảm bảo biện pháp bảo mật hệ thống không làm khó bất tiện người dùng Chẳng hạn, sách nhằm kiểm tra tính hợp lệ khách hàng truy cập vào hệ thống, sách bảo vệ mật yêu cầu khách hàng xác nhận mật theo định kỳ phải dễ dàng chấp nhận, không gây khó khăn cho họ Tính hiệu thường người quản trị quan tâm đến Một sách bảo mật đảm bảo hệ thống an toàn, tin cậy cần có chi phí cao so với lợi nhuận mà hệ thống mang lại tính khả thi không hiệu Đánh giá tính hiệu sách bảo mật cần có thời gian, dựa lợi ích mà mang lại thời gian hoạt động Thiết lập quy tắc bảo mật Người sử dụng đóng vai trò quan trọng trình thực thi sách bảo mật Về phía người dùng, họ mong tính đơn giản dễ dàng thủ tục Do đó, xây dựng sách bảo mật, mặt phải đảm bảo sách không cản trở người sử dụng Mặt khác cần Page làm cho người sử dụng nhận thức tầm quan trọng sách bảo mật có trách nhiệm bảo vệ Người sử dụng cần lưu ý đến số công việc sau: - Hãy sử dụng tài khoản hợp lệ - Quản lý tài khoản Bao gồm hoạt động bảo vệ mật khẩu, thay đổi mật định kỳ, sử dụng phần mềm bảo vệ máy trạm người sử dụng, đăng suất sau thời gian time – out - Có khả phát tài khoản sử dụng trái phép Người sử dụng cần huấn luyện cách phát tài khoản bị sử dụng trái phép - Có thói quen lập báo cáo gặp cố Cần có thói quen thông báo cố đến nhà quản trị hệ thống Về phía nhà quản trị hệ thống nên xây dựng báo cáo mẫu cho người sử dụng a Các thủ tục hoạt động truy cập không hợp lệ Để phát hoạt động truy cập không hợp lệ, người quản trị cần sử dụng số công cụ Các công cụ kèm theo hệ điều hành từ nhà sản xuất phần mềm Sau số quy tắc sử dụng công cụ phát truy cập không hợp lệ: - Các công cụ công cụ theo dõi file đăng nhập - Sử dụng công cụ giám sát khác sử dụng tiện ích mạng để theo dõi lưu lượng tài nguyên mạng nhằm phát điểm nghi ngờ - Xây dựng kế hoạch giám sát Do có nhiều công việc phải giám sát nên việc lên kế hoạch cần thiết Kế hoạch giám sát lập thông qua công cụ hệ thống cron, schedule Kế hoạch phải đảm bảo công cụ giám sát không chiếm nhiều tài nguyên hệ thống Page - Tạo báo cáo từ thông tin giám sát Các báo cáo đăng nhập giúp người quản trị phát điểm yếu mạng, đồng thời dự báo hướng phát triển mạng tương lai Sau thực bước xác định hệ thống bạn bị công, bạn thực công việc cần thiết sau: - Xác định mức độ nguy hiểm, ảnh hưởng tới hệ thống - Xác định hành động phá hoại, kiểu công, thiệt hại có - Nếu cần, nhờ luật pháp can thiệp - Chú ý rằng, phân tích file đăng nhập, bạn cần ý số quy tắc sau: o So sánh hoạt động file log với đăng nhập khứ Đối với hoạt động thông thường, thông tin file log thường có chu kỳ giống o Nhiều hệ thống sử dụng thông tin file đăng nhập tạo hóa đơn cho khách hàng Người quản trị dựa vào thông tin hóa đơn toán để xem xét truy cập không hợp lệ có điểm bất thường thời điểm truy cập hay số điện thoại lạ o Dựa vào tiện ích syslog để xem xét Đặc biệt thông báo lỗi login không hợp lệ nhiều lần o Dựa vào tiện ích kèm theo hệ điều hành để theo dõi tiến trình hoạt động hệ thống, nhằm phát tiến trình lạ chương trình khởi tạo không hợp lệ b Thủ tục quản lý tài khoản người dùng Page Thủ tục quản lý tài khoản người dùng quan trọng để chống lại truy cập hệ thống không hợp lệ Một số thông tin cần thiết quản lý tài khoản người dùng bao gồm: - Đối tượng truy cập vào hệ thống? - Một tài khoản tồn thời gian hệ thống? - Những đối tượng có quyền truy cập hệ thống? Những biện pháp bảo vệ tài khoản người dùng: - Giám sát chặt chẽ hệ thống quản lý truy cập người dùng hệ thống quản lý người dùng Windows NT Database Management users, Unix file /ect/paswwd - Đối với vài dịch vụ cho phép sử dụng tài khoản mà không cần mật mật dùng chung, hay người dùng sử dụng tài khoản guest để truy cập hệ thống cần xác định rõ tác động hệ thống - Kiểm soát chặt chẽ quyến sử dụng tài khoản hệ thống,không sử dụng quyền root trường hợp không cần thiết Đối với tài khoản không sử dụng hệ thống bạn cần thay đổi mật hủy bỏ - Ngoài ra, nên có biện pháp khác hạn chế tài khoản truy cập theo thời điểm, địa máy trạm, thông tin tài khoản không rõ ràng, hợp lệ c Các thủ tục quản lý mật Trong hầu hết hệ thống xác thực truy cập qua mật người dùng Vì vậy, thủ tục quản lý mật quan trọng Các thủ tục quản lý mật bao gồm: - Lựa chọn mật mạnh Một số quy tắc lựa chọn mật khẩu: o Không sử dụng username làm mật Page o Không sử dụng thông tin liên quan đến cá nhân người dùng làm mật tên mình, tên người thân, ngày sinh, số điện thoại, biển số xe… o Nên kết hợp ký tự số ký tự chữ o Nên sử dụng loại mật có độ dài vừa đủ (12 ký tự), không nên ngắn (dễ bị hack) dài (khó nhớ) - Cần có sách buộc người sử dụng thay đổi mật sau khoảng thời gian định Hầu hết hệ thống đểu hỗ trợ chế này, không thay đổi mật khẩu, tài khoản không giá trị hệ thống - Trong trường hợp mật khẩu, để cấp lại mật cần có thủ tục để xác thực người sử dụng - Cần giám sát, theo dõi chặt chẽ chương trình đổi mật d Thủ tục quản lý cấu hình hệ thống Các thủ tục quản lý hệ thống cần xác định rõ người có quyền hợp lệ thay đổi cấu hình hệ thống, thay đổi phải thông báo đến nhà quản lý Trong thủ tục quản lý cấu hình hệ thống cần xác định rõ số thông tin như: - Vị trí lưu file cấu hình chuẩn - Quy trình quản lý mật root - Các thuật toán mã hóa mật sử dụng e Thủ tục lưu khôi phục liệu Sao lưu liệu công việc quan trọng Nó không để phòng chống cố hệ thống phần cứng mà giúp nhà quản trị khôi phục lại liệu hệ thống bị công thay đổi hệ Page 10 Hình 2.2: Quá trình bắt tay ba chiều TCP Do TCP thủ tục tin cậy việc giao nhận (end-to-end) nên lần bắt tay thứ hai, server gửi gói tin SYN/ACK trả lời lại client mà không nhận lại hồi âm client để thực kết nối bảo lưu nguồn tài nguyên chuẩn bị kết nối lập lại việc gửi gói tin SYN/ACK cho client đến nhận hồi đáp máy client Điểm mấu chốt làm cho client không hồi đáp cho Server, nhiều client server “ngây thơ” lặp lại việc gửi packet giành tài nguyên để chờ “người về” lúc tài nguyên hệ thống có giới hạn Các hacker tìm để đạt tới giới hạn Page 71 Hình 2.3: Quá trình hacker thực công • Nếu trình kéo dài, server nhanh chóng trở nên tải, dẫn đến tình trạng crash (treo) nên yêu cầu hợp lệ bị từ chối đáp ứng Có thể hình dung trình giống máy tính cá nhân (PC) hay bị “treo” mở lúc nhiều chương trình lúc • Thường, để giả địa IP gói tin, hacker dùng Raw Sockets (không phải gói tin TCP hay UDP) để làm giả mạo hay ghi đè giả lên IP gốc gói tin Khi gói tin SYN với IP giả mạo gửi đến server, bao gói tin khác, hợp lệ server server cấp vùng tài nguyên cho đường truyền này, đồng thời ghi nhận toàn thông tin gửi gói SYN/ACK ngược lại cho Client Vì địa IP client giả mạo nên client nhận SYN/ACK packet để hồi đáp cho máy chủ Sau thời gian không nhận gói tin ACK từ client, server nghĩ gói tin bị thất lạc nên lại tiếp tục gửi tiếp SYN/ACK, thế, kết nối (connections) tiếp tục mở • Nếu kẻ công tiếp tục gửi nhiều gói tin SYN đến server cuối server tiếp nhận thêm kết nối nữa, dù yêu cầu kết nối hợp lệ Việc phục đồng nghĩa với việc máy chủ không tồn Việc đồng nghĩa với xảy nhiều tổn thất ngưng trệ hoạt động, đặc biệt giao dịch thương mại điện tử trực tuyến Đây kiểu công đường truyền cao, cần máy tính nối internet qua ngõ dial-up đơn giản công kiểu Page 72 • Flood Attack Một kiểu công DoS hay dùng tính đơn giản có nhiều công cụ sẵn có hỗ trợ đắc lực cho kẻ công Flood Attack, chủ yếu thông qua website.Về nguyên tắc, website đặt máy chủ chạy tiêu lượng tài nguyên máy chủ định, lượng nhớ (RAM) vi xử lý (CPU) Dựa vào việc tiêu hao đó, kẻ công đơn giản dùng phần mềm smurf chẳng hạn để liên tục yêu cầu máy chủ phục vụ trang web để chiếm dụng tài nguyên Cách công không làm máy chủ ngừng cung cấp dịch vụ hoàn toàn làm cho tốc độ phục vụ toàn hệ thống giảm mạnh, người dùng cảm nhận rõ ràng việc phải chờ lâu để trang web hình Nếu thực công ạt có phối hợp nhịp nhàng, phương thức công hoàn toàn làm tê liệt máy chủ thời gian dài • Tấn công từ chối dịch vụ kiểu phân tán-DDdos Xuất vào năm 1999, so với công DoS cổ điển, sức mạnh DDoS cao gấp nhiều lần Hầu hết công DDoS nhằm vào việc chiếm dụng băng thông (bandwidth) gây nghẽn mạch hệ thống dẫn đến hệ thống ngưng hoạt động Để thực kẻ công tìm cách chiếm dụng điều khiển nhiều máy tính mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ạt gói tin (packet) với số lượng lớn nhằm chiếm dụng tài nguyên làm tràn ngập đường truyền mục tiêu xác định Page 73 Hình 2.4: Mô hình kiểu công phân tán DDOS Theo cách dù băng thông có chịu đựng số lượng hàng triệu gói tin nên hệ thống hoạt động dẫn đến việc yêu cầu hợp lệ khác đáp ứng, server bị “đá văng” khỏi internet Page 74 Hình 2.5: Cách mà hacker thực công DDos Có thể nói giống tình trạng kẹt xe vào cao điểm Ví dụ rõ “cộng hưởng” lần truy cập điểm thi ĐH vừa qua có nhiều máy tính yêu cầu truy cập lúc làm dung lượng đường truyền máy chủ không tài đáp ứng Hiện nay, xuất dạng virus worm có khả thực công DDoS Khi bị lây nhiễm vào máy khác, chúng tự động gửi yêu cầu phục vụ đến mục tiêu xác định vào thời điểm xác định để chiếm dụng băng thông tài nguyên hệ thống máy chủ • Tấn công từ chối dịch vụ phản xạ nhiều vùng DRDOS Xuất vào đầu năm 2002, kiểu công nhất, mạnh họ DoS Nếu thực kẻ công có tay nghề hạ gục hệ thống giới phút chốc Mục tiêu DRDoS chiếm đoạt toàn băng thông máy chủ, tức làm tắc nghẽn hoàn toàn đường kết nối từ máy chủ vào xương sống Internet tiêu hao tài nguyên máy chủ Trong suốt trình máy chủ bị công DRDoS, không máy khách kết nối vào máy chủ Tất dịch vụ chạy TCP/IP DNS, HTTP, FTP, POP3, bị vô hiệu hóa.Về bản, DRDoS phối hợp hai kiểu DoS DDoS Nó có kiểu công SYN với máy tính đơn, vừa có kết hợp nhiều máy tính để chiếm dụng băng thông kiểu DDoS Kẻ công thực cách giả mạo địa server mục tiêu gửi yêu cầu SYN đến server lớn Yahoo, Micorosoft,chẳng hạn để server gửi gói Page 75 tin SYN/ACK đến server mục tiêu Các server lớn, đường truyền mạnh vô tình đóng vai trò zoombies cho kẻ công DDoS Hình 2.6: Tấn công phản xạ DRDOS Page 76 Quá trình gửi lặp lại liên tục với nhiều địa IP giả từ kẻ công, với nhiều server lớn tham gia nên server mục tiêu nhanh chóng bị tải, bandwidth bị chiếm dụng server lớn Tính “nghệ thuật” chỗ cần với máy tính với modem 56kbps, hacker lành nghề đánh bại máy chủ giây lát mà không cần chiếm đoạt máy để làm phương tiện thực công • Tổng kết công dịch vụ • Nhìn chung, công từ chối dịch vụ không khó thực hiện, khó phòng chống tính bất ngờ thường phòng chống bị động việc • Việc đối phó cách tăng cường “phần cứng” giải pháp tốt, thường xuyên theo dõi để phát ngăn chặn kịp thời gói tin IP từ nguồn không tin cậy hữu hiệu • Khi bạn phát máy chủ bị công nhanh chóng truy tìm địa IP cấm không cho gửi liệu đến máy chủ • Dùng tính lọc liệu router/firewall để loại bỏ packet không mong muốn, giảm lượng lưu thông mạng tải máy chủ • Sử dụng tính cho phép đặt rate limit router/firewall để hạn chế số lượng packet vào hệ thống • Nếu bị công lỗi phần mềm hay thiết bị nhanh chóng cập nhật sửa lỗi cho hệ thống thay • Dùng số chế, công cụ, phần mềm để chống lại TCP SYN Flooding • Tắt dịch vụ khác có máy chủ để giảm tải đáp ứng tốt • Nếu nâng cấp thiết bị phần cứng để nâng cao khả đáp ứng hệ thống hay sử dụng thêm máy chủ tính khác để phân chia tải.Tạm thời chuyển máy chủ sang địa khác Page 77 Kỹ thuật bắt gói tin dùng Sniff Khái niệm: Sniffer hình thức nghe hệ thống mạng, dựa đặc điểm chế TCP/IP.Sniffer kỹ thuật bảo mật, phát triển nhằm giúp đỡ nhà quản trị mạng (QTM) khai thác mạng hiệu kiểm tra liệu vào mạng, liệu chạy mạng Chức Sniff: • Được phát triển để thu thập gói tin hệ thống • Mục đích ban đầu giúp nhà quản trị mạng quản lý tốt hệ thống, kiểm tra lỗi hay gói tin lạ • Sau hacker dùng phương pháp để lấy tài khoản, mật hay thông tin nhạy cảm khác • Biến thể Sniffer chương trình nghe bất hợp pháp như: Công cụ nghe Yahoo, MSN, ăn cắp password Email v…v… Những điều kiện để Sniff xảy ra: • Sniff hoạt động mạng Lan, mạng WAN, mạng WLAN • Điều kiện cần dùng cung Subnet Mark Sniffer • Ngoài ta cần công cụ để bắt phân tích gói tin như: Cain&Abel, Ettercap, HTTP sniffer • Các loại Sniff chế hoạt động Active sniff: Page 78 • Môi trường: chủ yếu hoạt động môi trường có thiết bị chuyển mạch gói.Phổ biến dạng mạch sử dụng switch • Cơ chế hoạt động: Chủ yếu thường dùng chế ARP RARP (2 chế chuyển đổi từ IP sang MAC từ MAC sang IP) cách phát gói tin đầu độc, mà cụ thể phát gói thông báo cho máy gởi gói tin “tôi người nhận” mặc “người nhận” • Đặc điểm: phải gởi gói tin nên chiếm băng thông mạng.Nếu sniff nhiều máy mạng lượng gói gởi lớn (do liên tục gởi gói tin giả mạo) dẫn đến nghẽn mạng hay gây tải NIC máy dùng sniff (thắt nút cổ chai) Ngoài sniffer dùng số kỹ thuật để ép dòng liệu qua NIC như: • MAC fooding: làm tràn nhớ switch từ switch chạy chế độ forwarding mà không chuyển mạch gói • Giả MAC: sniffer thay đổi MAC thành MAC máy hợp lệ qua chức lọc MAC thiết bị • Đầu độc DHCP để thay đổi gateway client Passive sniff: • Môi trường: chủ yếu hoạt động môi trường thiết bị chuyển mạch gói.Phổ biến dạng mạng sử dụng hub, hay mạng không dây • Cơ chế hoạt động: thiết bị chuyển mạch gói nên host phải bị broadcast gói tin mạng từ bắt gói tin lại xem (dù host nhận gói tin nơi đến gói tin đó) • Đặc điểm: máy tự broadcast gói nên hình thức sniff khó phát Page 79 • Cách phát Sniff Đối với active sniff: • Dựa vào trình đầu độc arp sniffer để phát hiện: • Vì phải đầu độc arp nên sniffer liên tục gởi gói tin đầu độc tới victim Do đó, ta dùng số công cụ bắt gói mạng để phát • Một cách khác ta kiểm tra bảng arp host Nếu ta thấy bảng arp có hai MAC giống lúc có khả mạng bị sniffer • Dựa băng thông: • Do trình gởi gói tin đầu độc sniffer nên trình chiếm băng thông, từ ta dùng số công cụ kiểm tra băng thông để phát • Tuy nhiên cách không hiệu xác không cao • Các công cụ phát sniff hay phát đầu độc arp: • Xarp • Arpwatch • Symantec EndPoint Đối với Passive Sniff: • Khó có khả phát hiện, host mạng bắt gói tin Page 80 • Tuy nhiên dạng mạng để loại sniff hoạt động chủ yếu dạng mạng thường dùng gia đình sử dụng cho doanh nghiệp • Tuy nhiên,hiện doanh nghiệp thường dùng mạng không dây cho máy tính xách tay sử dụng thêm tính lọc MAC thiết bị, hay xác thực tài khoản,mật hay khóa truy cập • Cách phòng chống Sniff Active Sniff: • Công cụ kiểm tra băng thông: Như nêu sniffer gây nghẽn mạng dùng công cụ kiểm tra băng thông Tuy nhiên, cách làm không hiệu • Công cụ bắt gói tin: Các sniffer phải đầu độc arp nên gởi arp liên tục, dùng công cụ ta thấy sniff mạng.Cách tương đối hiệu hơn, có vài công cụ sniff giả IP MAC để đánh lừa • Thiết bị: Đối với thiết bị ta dùng loại có chức lọc MAC để phòng chống.Riêng với switch dùng thêm chức VLAN trunking, kết hợp thêm chức port security (tương đối hiệu dùng VLAN kết hợp thêm chức bảo mật) • Cách khác: Ngoài ta cấu hình SSL, hiệu quả, chưa cao có khả bị lấy thông tin Đối với người dùng: • Dùng công cụ phát Sniff (đã kể trên): Khi có thay đổi thông tin arp công cụ cảnh báo cho người sử dụng • Cẩn trọng với thông báo từ hệ thống hay trình duyệt web: Do số công cụ sniff giả CA (Cain & Abel) nên bị sniff hệ thống hay trình duyệt thông báo CA không hợp lệ Page 81 • Tắt chức Netbios (người dùng cấp cao) để trình quét host sniffer không thực Tuy nhiên cách khó áp dụng thực tế nguyên nhân switch lưu MAC bảng thông tin thông qua trình hoạt động Passive sniff: • Dạng sniff khó phát phòng chống • Thay hub switch, lúc gói tin không broadcast , lúc ta lại đứng trước nguy bị sniff dạng active • Tổng kết Sniff • Sniff hình thức nghe thông tin mạng nhằm khai thác hiệu tài nguyên mạng, theo dõi thông tin bất hợp pháp Tuy nhiên, sau hacker dùng sniff để lấy thông tin nhạy cảm Do đó, sniff cách hack • Sniff thường tác động đến gói tin,ít tác động mạnh đến phần hệ thống nên sniff khó phát Do đó,tuy sniff hoạt động đơn giản hiệu • Do gần không trực tiếp tác động lên hệ thống mạng nên hình thức sniff sau hoạt động thường để lại dấu vết hay hậu nghiêm trọng • Tuy chế sniff có biệng pháp phòng chống phát biệng pháp không thực hiệu vài trường hợp, đó, người khai thác hệ thống mạng nên cẩn thận trình khai thác, truy cập mạng để tránh mát thông tin qua trọng Page 82 • Để hạn chế sniff hệ thống, ta nên hạn chế nhiều người tiếp xúc phần vật lý hệ thống, subnet LAN, cấu hình VLAN, port secure switch KẾT LUẬN An toàn bảo mật chủ đề xuyên suốt thương mại điện tử Dù bạn ai, khách hàng, nhà cung cấp …dù bạn tham gia vào hoạt động thương mại điện tử, mua hàng, bán hàng hay đơn giản nhập password đặt vấn đề an toàn bảo mật lên hàng đầu Trông giới thương mại điện tử, mà thứ ảo, bạn chẳng thể giữ chặt tài sản bạn tay, để ý đến gần tài sản bạn mà bảo vệ Khi định từ bỏ thương mại truyền thống để tham gia vào lĩnh vựa hoàn toàn lạ, cách tốt thận trong bước xây dựng cho hàng rào bảo vệ tốt Thương mại điện tử thâm nhập vào Việt Nam muộn so với thể giới, từ năm 1997, có nhiều khó khăn cho doanh nghiệp Việt Nam chống đỡ lại hình thức lừa đảo, công tinh vi, lạ Tuy nhiên, biến chậm chạp thành lợi cách tiếp thu kinh nghiệm bảo mật giới Đó đường nhanh nhất, tiết kiệm chi phí để bắt kịp chuyến tàu thương mại điệnt tử giới trước ta nhiều năm Trong khuôn khổ thuyết trình, chúng em xin đề cập đến khía cạnh chung vấn đề “an toàn bảo mật thương mại điện Page 83 tử” Đó kiến thức mà cá nhân nên biết tham gia vào thương mại điện tử Bởi đây, bảo vệ tài sản bạn két sắt mà tri thức Page 84 Page 85 [...]... Mục tiêu của bảo mật thông tin Mục tiêu của bảo mật thông tin là bảo vệ ba thuộc tính của thông tin: - Tính bí mật - Tính toàn vẹn - Tính sẵn sàng Tính bí mật thông tin là một điều quan trọng Vì đôi khi, thông tin chỉ được phép xem bởi những người có thầm quyền Lý do cần phải giữ bí mật thông tin vì đó là sản phẩm sở hữu của tổ chức, những thông tin nhạy cảm, quan trọng hay được giữ bí mật dựa trên... công ty TMĐT lớn nên kiểm soát tính an toàn của hệ thống 24h liên tục Qua các dịch vụ an toàn quản lý của VeriSign (VeriSign’s Managed Security Services) bạn có thể hoàn toàn thỏa mãn và yên tâm về việc kiểm soát tính an toàn của hệ thống V AN TOÀN VÀ BẢO MẬT TRONG THANH TOÁN ĐIỆN TỬ Thanh toán trực tuyến là một trong những vấn đề cốt yếu của TMĐT Thiếu hạ tầng thanh toán, chưa thể có TMĐT theo đúng... - Duy trì tính sẵn sàng Và tất nhiên, quá trình bảo mật nào cũng cần có kế hoạch Một kế hoạch thich hợp có thể làm giảm rủi ro và giảm thời gian tối đa cho việc phòng ngừa, phát hiện và chống đỡ các cuộc tấn công 2 Các giai đoạn của quá trình bảo mật thông tin Bảo mật thông tin là một quá trình trải qua các giai đoạn xây dựng và củng cố trong một thời gian dài Quá trình bảo mật không bao giờ xác định... thông tin là làm lộ ra các thông tin không được phép truy cập Tấn công và tính toàn vẹn có thể phá hoại hay thay đổi thông tin Tấn công vào tính sẵn sàng gây nên sự từ chối dịch vụ hệ thống Tất nhiên có những dạng tấn công gây hư hại cho hệ thống mà không ảnh hưởng tới một trong ba thuộc tính trên Tương tự với ba thuộc tính của thông tin, bảo mật thông tin bao gồm: - Bảo vệ tính bí mật - Bảo vệ tính toàn. .. điện tử của thông điệp ban đầu - Gộp chữ ký điện tử vào thông điệp ban đầu Công việc này gọi là ký nhận thông điệp - Sau khi đã ký nhận thông điệp, mọi sự thay đổi trên thông điệp sẽ bị phát hiện trong giai đoạn kiểm tra Ngoài ra, việc ký nhận này đảm bảo người nhận tin tưởng vào thông điệp này xuất phát từ người gửi chứ không phải ai khác Sau khi nhận được thông điệp có đính kèm chữ ký điện tử người... chứng chỉ số - Ngày hết hạn - Các thông tin khác tùy theo cơ sở hạ tầng khóa công khai d Ứng dụng của chứng chỉ số Mã hóa thông tin Mã hóa thông tin với khóa công khai đảm bảo chỉ có người chủ của khóa công khai đó mới đọc được Dù thông tin có bị đánh cắp trên đường truyền thì tính bí mật của thông tin vẫn được đảm bảo Toàn vẹn thông tin Chữ ký số có thể cho bạn biết thông tin có bị thay đổi trên đường... thời gian để đưa ra một quyết định chắc chắn và có hiểu biết Mặc dù những bước này đòi hỏi bạn đầu tư nhiều thời gian và nhân lực, tuy nhiên sự an toàn trong hoạt động kinh doanh của bạn hoàn toàn phụ thuộc vào chúng Các dịch vụ bảo vệ chống lại gian lận của Verisign tự động quá trình thủ công này vì vậy việc bảo vệ hoạt động kinh doanh trực tuyến của bạn chống lại các hành vi gian lận sẽ nhanh hơn và. .. sách an toàn thông tin - Giáo dục nhận thức về bảo mật - Điều khiển quá trình truy cập Xây dựng chính sách an toàn thông tin là xác định những gì cần bảo vệ, mức độ bảo vệ đối với từng đối tượng Đông thời chính sách cũng xác định trách nhiệm của tổ chức, kỷ luật cần thi hành, sự kiểm tra xem xét lại đối với quá trình bảo mật Giáo dục nhận thức về bảo mật là quá trình giáo dục nhân viên về tầm quan trọng... là theo dõi và bắt giữ kẻ phá hoại Người quản trị phải xem xét mỗi giải pháp trong từng trường hợp cụ thể và giải quyết theo thực tế 3 Thế nào là một hệ thống an toàn thông tin? Ở trên, chúng ta đã bàn về các giai đoạn bảo mật thông tin Rất nhiều hiểm họa đang rình rập bên ngoài, nguy cơ bị mất thông tin khi truyền trên mạng là thường xuyên Chẳng hạn, việc thanh toán bằng thẻ tín dụng thông qua dịch... có kẻ trộm, trong thanh toán trực tuyến cũng không ngoại lệ Thậm chí nguy cơ để lộ thông tin cá nhân, thẻ tín dụng… còn lớn hơn thanh toán ngoại tuyến Làm thế nào để bảo đảm thông tin bạn truyền đi sẽ không bị lấy trộm và làm cho sai lệch? Câu trả lời là mã hóa chúng Mã hóa thông tin tức là làm cho thông tin chỉ có thể đọc được bởi người có chìa khóa giải mã Dù thông tin có bị đánh cắp trong khi truyền ... thiện sách bảo mật phải diễn suốt thời gian tồn hệ thống để phù hợp với yêu cầu thực tế IV Bảo mật thông tin Mục tiêu bảo mật thông tin Mục tiêu bảo mật thông tin bảo vệ ba thuộc tính thông tin: -... nghiệp thương mại điện tử thương mại điện tử phát triển mạnh mẽ II Xây dựng sách bảo mật Có thể nói, hệ thống có sách bảo mật hợp lý biện pháp tốt để đảm bảo an toàn mạng Việc xây dựng sách bảo mật. .. dụng thông tin khách hàng Họ cần bảo vệ thông tin tránh sử dụng vào mục đích không đáng tránh sử dụng trái phép thông tin Ví dụ, tin tặc công vào website thương mại điện tử, truy nhập thông tin