Đề cương môn An toàn Internet và thương mại điện tử Học viện kỹ thuật Mật mã

Câu 1: Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT: Thương mại điện tử (ecommerce) nổi lên vào những năm 1970. Việc sử dụng trao đổi dữ liệu điện tử vào đầu những năm 1980 đã đẩy mạnh tốc độ phát triển thương mại điện tử. Vào giai đoạn giữa những năm 1990, một số nước, như Mỹ, Canada đã dẫn đầu trong việc phát triển thương mại điện tử. Bước sang thế kỷ 21, thương mại điện tử vẫn phát triển rất nhanh .Theo xu thế được tính toán tại thời điểm đó, TMĐT bán lẻ ở Mỹ có thể đạt 100 tỷ USD vào giữa năm 2006. Ở Châu Mỹ Latinh, năm 2003, theo các nguồn nghiên cứu thị trường ước tính tổng TMĐT B2C đạt 2.5 tỷ USD. Năm 2002, doanh thu B2B trực tuyến của Mỹ lên đến 1072 tỷ USD, chiếm tới 92.7 % tổng doanh thu TMĐT của Mỹ.Năm 2006, TMĐT B2B ở trung và Tây Âu có thể lên tới 17.6 tỷ USD. Ngày nay còn có một cơ sở tốt cho các ứng dụng TMĐT ở Trung quốc. Các báo cáo chỉ ra rằng Trung quốc đã trở thành thị trường trực tuyến lớn nhất khu vực châu Á TBD năm 2003 với số lượng 3.566 triệu đô la TMĐT Ngày 0142003 hãng eMarketer dự đoán tổng thu nhập thương mại B2B cho tới cuối năm 2003 sẽ vượt qua con số 1.4 nghìn tỷ USD. Cuối năm 2003, tổng thu nhập thương mại B2B của Mỹ là 721 tỷ USD. Một số thống kê về sự phát triển của TMĐT được thể hiện qua các sơ đồ sau: Hình 10: TMĐT theo phương thức B2C Quá trình từng bước áp dụng tác nghiệp điện tử đối với 1 tổ chức được thể hiện trên sơ đồ sau: Hình 12: Các giai đoạn phát triển của tác nghiệp điện tử Câu 1.2 Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT Thương mại điện tử bao gồm việc sử dụng Internet và World Wide Web để thực hiện thương mại • Thương mại điện tử bao gồm: – Việc hiển thị hàng hoá và dịch vụ trên môi trường mạng – Thực hiện đặt hàng và thanh toán trực tuyến – Tự động yêu cầu tài khoản của khách hàng – Tự động thực hiện các giải pháp quản lý dây chuyền cung ứng Khởi điểm của thương mại điện tử: • Hệ thống chăm sóc sức khoẻ Baxter Healthcare – Đây là hệ thống sử dụng đường truyền điện thoại để truyền dữ liệu, dùng cho các bệnh viện – Hệ thống đặt hàng từ xa dựa trên máy PC vào những năm 80 • Hệ thống chuyển tiền điện tử (EFT): 1970 • Năm 1980 chuẩn trao đổi dữ liệu điện tử (EDIElectronic Data Interchange) ra đời cho phép các công ty trao đổi các tài liệu thương mại và thực hiện các giao dịch điện tử qua mạng riêng Các giai đoạn của TMĐT: • Giai đoạn I: – Bắt đầu nhanh từ năm 1995 – Sử dụng web để quảng cáo sản phẩm một cách rộng rãi – Kết thúc vào năm 2000 khi cuộc khủng hoảng dot.com xảy ra • Giai đoạn II: – Bắt đầu vào tháng 12001 – Các công ty thương mại điện tử còn lại sau cuộc khủng hoảng dot.com tiếp tục phát triển Câu 2: Phân loại TMĐT 1.Phân loại theo đối tác kinh doanh

Trang 1

Câu 1.2 Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT 3

Câu 2: Phân loại TMĐT 4

Câu 2.2 Phân loại TMĐT 5

Câu 3.1 : Kiến trúc TMĐT 5

Câu 3.2 Kiến trúc TMĐT 7

Câu 4.1: Các rủi ro mất ATTT của Internet: 8

Câu 4.2 Các rủi ro mất ATTT của Internet 9

Câu 5.1 Trình bày về các tấn công sau và cách phòng chống: Phishing, Sesion Hijacking, 10

Câu 5.2 Trình bày về các tấn công sau và cách phòng chống: 12

Câu 6.1.Pbiệt các phần mềm độc hại:adware, spyware, Trojan hóe, worm và cách phòng tránh 13

Câu 6.2 Pbiệt các phần mềm độc hại: adware, spyware, Trojan horses, worm và cách phòng 14

Câu 7: Trình bày về giao thức SSH 15

Câu 8.1: Trình bày về giao thức SSL 15

Câu 8.2 trình bày SSL 21

Câu 9.1: Trình bày về giao thức SET 22

Câu 9.2 Trình bày về giao thức SET 23

Câu 10.1: Các phương thức thanh toán điện tử 25

Câu 10.2 Các phương thức thành toán điện tử 26

Câu 11: Trình bày ưu nhược điểm của tiền điện tử và phương pháp lưu trữ, các thuộc 30

Câu 11.2 Trình bày ưu nhược điểm của tiền điện tử và phương pháp lưu trữ, các thuộc tính 31

Câu 12.1 Trình bày về Smart Card và các ứng dụng của nó: 32

Câu 12.2 Trình bày về Smart Card và các ứng dụng của nó 33

Câu 13: Các dịch vụ bảo mật thanh toán: 34

Câu 14.1 Các vấn đề trong bảo mật giao dịch thanh toán (Hàm giả mã) 35

Câu 14.2 : Các vấn đề trong bảo mật giao dịch thanh toán 37

Câu 15.1 Trình bày các bước tạo chư ký đôi (chữ ký kép) 38

Câu 16.1 Trình bày về Proxy và Gateway So sánh giữa Proxy và Gateway 41

Câu 17: Trình bày về Web Cache 43

Câu 18.1 Trình bày về các công nghệ chuyển hướng (redirection) 45

Câu 18.2 Trình bày về các công nghệ chuyển hướng (redirection) 47

Câu 19 So sánh việc sử dụng Dedicated Server và Shared Server 48

Câu 20 Trình bày về ghi nhật ký server web; mục đích, các giá trị thường ghi lại 49

Câu 21.1 :Trình bày về web server, tương tác giữa web server và web browser 51

Câu 21.2 Trình bày về web server, tương tác giữa web server và web browser 53

Câu 22.Trình bày về HTTP cookie : Khái niệm, các thuộc tính… 54

Trang 2

Câu 1: Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT:

Thương mại điện tử (e-commerce) nổi lên vào những năm 1970 Việc sử dụng trao đổi dữliệu điện tử vào đầu những năm 1980 đã đẩy mạnh tốc độ phát triển thương mại điện tử Vào giai đoạn giữa những năm 1990, một số nước, như Mỹ, Canada đã dẫn đầu trong việcphát triển thương mại điện tử Bước

sang thế kỷ 21, thương mại điện tử vẫn phát triển rất nhanh Theo xu thế được tính toán tại thời điểm đó, TMĐT bán lẻ ở Mỹ có thể đạt 100 tỷ USD vào giữa năm 2006 Ở Châu

Mỹ La-tinh, năm 2003, theo các nguồn nghiên cứu thị trường ước tính tổng TMĐT B2C đạt 2.5 tỷ USD Năm 2002, doanh thu B2B trực tuyến của Mỹ lên đến 1072 tỷ USD,

chiếm tới 92.7 % tổng doanh thu TMĐT của Mỹ.Năm 2006, TMĐT B2B ở trung và Tây

Âu có thể lên tới 17.6 tỷ USD Ngày nay còn có một cơ sở tốt cho các ứng dụng TMĐT ở Trung quốc Các báo cáo chỉ ra rằng Trung quốc đã trở thành thị trường trực tuyến lớn nhất khu vực châu Á- TBD năm 2003 với số lượng 3.566 triệu đô la TMĐT

Ngày 01/4/2003 hãng eMarketer dự đoán tổng thu nhập thương mại B2B cho tới cuối năm

2003 sẽ vượt qua con số 1.4 nghìn tỷ USD Cuối năm 2003, tổng thu nhập thương mại B2B của Mỹ là 721 tỷ USD Một số thống kê về sự phát triển của TMĐT được thể hiện qua các sơ đồ sau:

$ Billions

Hình 1: TMĐT theo phương thức B2C

Trang 3

Quá trình từng bước áp dụng tác nghiệp điện tử đối với 1 tổ chức được thể hiện trên sơ

Khoảng trống

về giá trị kinh doanh

Sự hiện diện hiện diện Sự

Tích hợp xuyên suốt các quy trình

Tạo ra mạng lưới giá trị

Đưa vào

áp dụng Đưa vào áp dụng

Sử dụng nội bộ

Xây dựng trang Web

Cho phép truy cập những hệ thống quan trọng

Cho phép giao dịch với các hệ thống quan trọng

Nâng cấp các quá trình kinh doanh quan trọng

Định nghĩa lại các quá trọng

Tích hợp các quá trình quan trọng và tái định nghĩa đối với khách hàng và đối tác

Giai đoạn đưa vào ứng dụng

Source: The McKenna Group Interviews and Analysis

Kinh doanh điện tử thế hệ tiếp theo

Đưa vào

Source: The McKenna Group Interviews and Analysis

Hình 2: Các giai đoạn phát triển của tác nghiệp điện tử

Câu 1.2 Lịch sử và phát triển của TMĐT và các mức độ ứng dụng của TMĐT

Thương mại điện tử bao gồm việc sử dụng Internet và World Wide Web để thực hiện thương mại

• Thương mại điện tử bao gồm:

– Việc hiển thị hàng hoá và dịch vụ trên môi trường mạng

– Thực hiện đặt hàng và thanh toán trực tuyến

– Tự động yêu cầu tài khoản của khách hàng

– Tự động thực hiện các giải pháp quản lý dây chuyền cung ứng

Khởi điểm của thương mại điện tử:

• Hệ thống chăm sóc sức khoẻ Baxter Healthcare

– Đây là hệ thống sử dụng đường truyền điện thoại để truyền dữ liệu, dùng cho cácbệnh viện

– Hệ thống đặt hàng từ xa dựa trên máy PC vào những năm 80

• Hệ thống chuyển tiền điện tử (EFT): 1970

• Năm 1980 chuẩn trao đổi dữ liệu điện tử (EDI-Electronic Data Interchange) ra đời chophép các công ty trao đổi các tài liệu thương mại và thực hiện các giao dịch điện tử quamạng riêng

Các giai đoạn của TMĐT:

Trang 4

– Bắt đầu vào tháng 1/2001

phát triển

Câu 2: Phân loại TMĐT

1.Phân loại theo đối tác kinh doanh

Hình 3: Phân loại TMĐT theo đối tượng tham gia

Tổ chức IDC phân biệt 3 loại hình TMĐT B2B:

này phổ biến nhất trong số các giao dịch B2B hiện nay Mặc dù lướng hàng bán ra sẽ vẫntăng nhưng tốc độ tăng sẽ giảm do những người mua và bán sẽ lựa chọn thêm các loại hình khác nữa

không cho phép quyền lợi của các bên bán có ưu thế so với bên mua và ngược lại Chợ điện tử là loại hình sẽ phát triển nhanh nhất trong các năm tới Ví dụ

như:http://www.quadrem.com

gồm cả mua trực tiếp và mua gián tiếp Loại hình này cũng khá phát triển tuy nhiên nó thường được các công ty lớn quan tâm nhiều hơn Các công ty lớn cũng sẽ chiếm đa số trong loại hình này Nhiều chính phủ cũng bắt đầu áp dụng hình thức này như chính phủ Brazil (bắt đầu từ năm 2000)

3.Phân loại theo đặc điểm thị trường

Thị trường mở là những thị trường mà tất cả mọi người có thể đăng ký và tham gia Đa

số các trang bán lẻ B2C thuộc loại này

Trang 5

Tại một thị trường đóng chỉ có một số thành viên nhất định được mời hay cho phép tham gia Một số trang TMĐT B2B thuộc loại này, trong đó thành viên tham gia bắt buộc phải

có quan hệ đối tác kinh doanh của hãng và được tạo tài khoản riêng

Một thị trường ngang tập trung vào một quy trình kinh doanh riêng lẻ nhất định, thí dụ như cung cấp: nhiều doanh nghiệp có thể từ các ngành khác nhau tham gia như là người mua và liên hệ với một nhóm nhà cung cấp Chợ điện tử và trang đấu giá trực tuyến

thuộc loại thị trường ngang Chỉ có chức năng trung gian chứ không thực hiện nhiều quy trình kinh doanh Ngược lại, thị trường dọc mô phỏng nhiều quy trình kinh doanh khác nhau của một ngành duy nhất hay một nhóm người dùng duy nhất Các trang bán lẻ

thường là các thị trường dọc

Câu 2.2 Phân loại TMĐT

C2C (Consumer – To – Consumer): Người tiêu dùng với người tiêu dùng

C2B ( Consumer – To – Consumer): Người tiêu dùng với Doanh nghiệp

C2G ( Consumer – To – Government): Người tiêu dùng với Chính phủ

B2C (Bussiness – To – Consumer): Doanh nghiệp với Người tiêu dùng

B2B (Bussiness – To – Bussiness) : Doanh nghiệp với Doanh nghiệp

B2G (Bussiness – To – Government): Doanh nghiệp với Chính phủ

G2C ( Government – To – Consumer): Chính phủ với Người tiêu dùng

G2B (Government – To - Bussiness): Chính phủ với Doanh nghiệp

G2G (Government – To – Government): Chính phủ với Chình phủ

Câu 3.1 : Kiến trúc TMĐT

1 Sơ đồ luồng công việc

Về cơ bản, luồng công việc TMĐT được diễn ra như trong hình 15 Trong đó, khách hàng là tác nhân ngoài sử dụng hệ thống TMĐT

Hình 4: Luồng công việc trong TMĐT

Trang 6

2 Các thành phần trong hệ thống

các thành phần trong hệ thống TMĐT bao gồm:

Ngoài ra, hệ thống mạng đóng vai trò truyền dữ liệu là trong suốt với quá trình hoạt động của hệ thống

Hình 5: Sơ đồ hoạt động TMĐTNhư vậy, hệ thống TMĐT cũng như mạng Internet không thuộc sở hữu riêng của một chủnào cả, mà thuộc sở hữu của nhiều bên Phân chia theo chủ sở hữu thì hệ thống TMĐT gồm 5 đối tượng:

nhà cung cấp dịch vụ web-hosting

dịch thanh toán trực tuyến Ví dụ đơn vị thanh toán CitiConnect sắp đưa vào hoạt động tại Việt Nam, để thanh toán cước sử dụng hàng tháng cho EVN

ngân hàng có tài khoản người mua; có thể thêm một số ngân hàng trung gian trong quá trình chuyển tiền giữa 2 ngân hàng này Cũng có trường hợp 1 ngân hàng vừa có tài

khoản người mua, vừa có tài khoản của trung tâm dịch vụ thanh toán

Ngoài ra còn có hệ thống mạng Internet truyền dữ liệu giữa các thành phần này

Trang 7

 An toàn dịch vụ thanh toán: bao gồm các phương thức, dịch vụ để đảm bảo giao dịch thanh toán được xử lý bí mật, toàn vẹn, chống từ chối khi giả mạo nhưng lại không bị theo dấu.

Câu 3.2 Kiến trúc TMĐT

thươngmại

bệnh viện

cho phép

mạng riêng

B2B (Business to Business): Doanh nghiệp này bán hàng cho doanh nghiệp khác

Ví dụ: Wal-Mart, Siemens

B2C (Business to Consumer): Doanh nghiệp bán hàng cho người tiêu dùng

Ví dụ:Amazon.com, Pets.com, Merrill Lynch Online

Trang 8

C2C (Consumer to Consumer): Khách hàng với khách hàng

Câu 4.1: Các rủi ro mất ATTT của Internet:

1 Năm mục tiêu của An toàn Internet:

Vấn đề an toàn Internet nói riêng cũng như an toàn thông tin nói chung được tóm gọn trong sơ đồ dưới đây:

Hình 6: Mô hình cơ bản của An toàn thông tinChúng ta thấy rõ từ sơ đồ trên đây là vấn đề ATTT không chỉ chỉ được giải quyết bằng các biện pháp kỹ thuật công nghệ mà còn phải áp dụng các biện pháp cần thiết lên các yếu

tố con người, thủ tục và chính sách

2 Đánh giá rủi ro Internet

An toàn Internet nhằm làm giảm nhẹ các rủi ro do Internet sinh ra Đánh giá rủi ro an ninhthường bao gồm các bước sau:

Nhận dạng tài sản thông tin trong khu vực cần bảo mật: Tài sản có thể là những vật hữu

hình, như là phần cứng, hoặc vô hình, như là cơ sở dữ liệu của tổ chức Theo định nghĩa, tài sản có giá trị đối với tổ chức, vì vậy đòi hỏi sự bảo vệ Tài sản cần được xác định, và chủ sở hữu phải được định nghĩa Một giá trị định lượng tương đối cần được xác định cho mỗi tài sản để mức độ quan trọng của tài sản được thiết lập khi rủi ro được định lượng

Xác định mối nguy cơ đe dọa đến tài sản – nguy cơ đe dọa được tạo ra do sự lợi dụng

những điểm yếu của tài sản và tạo nên rủi ro Những mối nguy cơ đe dọa đến mỗi tài sản cần được nhận dạng Có thể có rất nhiều mối nguy cơ đe dọa đến tài sản, tuy nhiên chỉ nên xem xét đến những mối nguy cơ có tính hiện thực cao Chỉ có những mối nguy cơ đe dọa có khả năng xảy ra cao, hoặc dẫn đến thiệt hại lớn cần được xem xét

Xác định mức độ tổn thương của tài sản – Mức độ tổn thương là những điểm yếu của

tài sản có thể được lợi dụng bởi các mối nguy cơ đe dọa và tạo ra rủi ro Một tài sản có thể

có nhiều tổn thương Ví dụ, mức độ tổn thương đến cơ sở dữ liệu của một tổ chức có thể

là do sự yếu kém về kiểm soát truy cập hoặc thiếu sự backup

Trang 9

Xác định xác xuất xảy ra – Xác xuất xảy ra cho mỗi tổ hợp: mối đe dọa rủi ro/sự tổn

thương cần được xác định, tổ hợp với khả năng xảy ra quá thấp có thể được bỏ qua

Tính toán thiệt hại – Thiệt hại cần được định lượng với con số giá trị cụ thể nhằm xác

định rõ giá trị mất mát do mỗi sự cố tấn công thành công Giá trị này thiết lập được sự nghiêm trọng của mỗi rủi ro và không tính đến xác xuất khả năng xảy ra

Tính toán rủi ro Nói một cách toán học, rủi ro có thể được tính theo công thức: (xác

xuất xảy ra) X mức độ thiệt hại = Rủi Ro Công thức này dẫn đến việc đo lường và so sánh mức độ nghiêm trọng của các rủi ro, cho phép việc tập trung nguồn lực vào giải quyết những mối rủi ro lớn nhất

Sự hiệu quả của quy trình ISO27001 dựa trên sự chính xác và trọn vẹn của việc đánh giá rủi ro an ninh Rủi ro không thể được giảm nhẹ khi chưa được xác định rõ ràng! Các kiểmsoát được tạo ra để giảm nhẹ rủi ro được xác định trong bước đánh giá rủi ro Sự chọn lựa của các kiểm soát được xem xét dựa trên sự cân bằng giữa khả năng của ban lãnh đạo chấp nhận rủi ro và việc áp dụng kiểm soát

Câu 4.2 Các rủi ro mất ATTT của Internet

mất định danh, zombie, vv

chiếm dụng hệ thống mạng, sập hệ thống mạng và các dịch vụ, virus, vv

- Danh tính của người sử dụng

- Các yếu tố đặc trưng

- Sử dụng định danh ăn cắp để mở tài khoản mới kiếm lợi

Trang 10

- Sử dụng định danh ăn cắp được để lạm dụng tài khoản hiện có của ngườichủ thật.

- Ăn cắp định danh tội phạm: khi tội phạm đánh cắp định danh của 1người khác và đưa định danh đó cho bộ phận luật pháp thay thế cho địnhdanh của mình

- A1: Dữ liệu đầu vào không được kiểm tra

- A2: Lỗi kiểm soát truy cập nguồn tài nguyên

- A3: Lỗi liên quan đến quá trình quản lý xác thực và phiên truy cập

- A4: Lỗi Cross Site Scripting (XSS)

- A5: Lỗi tràn bộ đệm

- A6: Lỗi Injection

- A7: Quy trình quản lý báo lỗi

- A8: Lưu trữ thiếu an toàn

- A9: Từ chối dịch vụ

- A10: Quản lý cấu hình thiếu an toàn

Câu 5.1 Trình bày về các tấn công sau và cách phòng chống: Phishing, Sesion

Hijacking, Virus, từ chối dịch vụ

bộ ht

định; 1 số nhiễm vào các tệp thực thi, macro, phân vùng khởi động, phân vùng ổ đĩa; 1

số loại đc nạp vào bộ nhớ rồi lây nhiễm các ht

Trang 11

 Cơ chế lây lan: Thâm nhập vào ht thông qua các email, ổ đĩa chia sẻ, LAN, internet…Sau đó lây lan nhân bản trong ht bằng cách nhiễm vào các tệp hệ thống, tệp thực thi,vào bộ nhớ, macro, boot sector… gán mã của nó vào cuối các tệp, đổi tên tệp, xóa tệp

cảm, gây phiền toái, tổn thất về thời gian công sức……

 Tấn công “câu cá” (phishing): là một hình thức của lừa đảo xã hội Tấn công này

thông thường thực hiện thông qua việc gửi thư điện tử đến người dùng đề nghị họ khaibáo mật khẩu vì một lý do nào đó như bảo trì, nâng cấp hệ thống

Session Hijacking là quá trình chiếm lấy một session đang hoạt động, nhằm mục đích vượt quaquá trình chứng thực truy cập bất hợp lệ vào thông tin hoặc dịch vụ của một hệ thống máy tính Khi một user thực hiện kết nối tới server qua quá trình xác thực, bằng cách cung cấp ID ngườidùng và mật khẩu của mình Sau khi người dùng xác thực, họ có quyền truy cập đến máy chủ vàhoạt động bình thường.Trong quá trình hoạt động, người dùng không cần phải chứng thực lại Kẻtấn công lợi dụng điều này để cướp session đang hoạt động của người dùng và làm cho ngườidùng không kết nối được với hệ thống Sau

đó kẻ tấn công mạo danh người dùng bằng sessionvừa cướp được, truy cập đến máy chủ

mà không cần phải đăng nhập vào hệ thống.Khi cướp được session của người dùng, kẻ tấncông có thể vượt qua quá trình chứng thực dùng,có thể ghi lại phiên làm việc và xem lại mọi thứ đã diễn ra Đối với cơ quan pháp lý, có thể dùnglàm bằng chứng để truy tố, đối với kẻ tấn công, có thể dùng thu thập thông tin như ID ngườidùng và mật khẩu Điều này gây nhiều nguy hại đến người dùng

mạng vào một máy làm cho máy đó mất khả năng thực hiện dịch vụ mà nó cần phảicung cấp

Tấn công DoS đầu tiên nhằm vào máy tính là phá hoại máy tính bằng cách dùng búa đập Tấn công DoS ngày nay được hiểu là các tấn công qua mạng, làm hỏng một dịch vụ mạng nào đó Tấn công DoS có thể đơn giản là rút dây mạng ra khỏi ổ cắm Mô hình tấn công DoS qua mạng có thể là sử dụng 1 máy tính để gửi các dữ liệu tấn công đến 1 máy khác bằng cách nào đó để máy đó không thể xử lý được và do đó ngừng cung cấp dịch vụcần thiết mà nó đang cung cấp Để cho có hiệu quả, tin tặc ngày nay thường sử dụng nhiều máy tính để tấn công một máy tính đích, tấn công này được gọi là tấn công từ chối dịch vụ phân tán (Distributed DoS- DDoS) Bằng cách này, không chỉ hiệu quả tấn công tăng lên mà nguồn gốc tấn công cũng rất khó bị phát hiện

Tấn công DDoS là hiểm hoạ lớn đối với Internet và TMĐT vì, về nguyên tắc, tạo ra một tấn công DDoS là dễ dàng hơn việc xâm nhập vào hệ thống đích Do đó, ngày nay DDoS

Trang 12

hay được những tin tặc xấu sử dụng để tống tiền, phá hoại kinh doanh trực tuyến của đối thủ,…

Câu 5.2 Trình bày về các tấn công sau và cách phòng chống:

 Phishing: là loại Tấn công giả mạo Là một hành vi giả mạo ác ý nhằm lấy được các

thông tin nhạy cảm như tên người dùng, mật khẩu và các chi tiết thẻ tín dụng bằng cách giả dạng thành một chủ thể tin cậy trong một giao dịch điện tử Các giao dịch thường dùng để đánh lừa những người dùng ít đa nghi là các giao dịch có vẻ xuất phát từ các website xã hội phổ biến, các trung tâm chi trả trực tuyến hoặc các quản trị mạng

Tấn công giả mạo thường được thực hiện qua thư điện tử hoặc tin nhắn nhanh, và hayyêu cầu người dùng nhập thông tin vào một website giả mạo gần như giống hệt với website thật Ngay cả khi có sử dụng chứng thực máy chủ, có khi vẫn phải cần vài kĩ năng phức tạp mới xác định được website là giả mạo

kích vào đường link đăng nhập từ một e-mail do các hãng tài chính, eBay hayPayPal gửi, bạn hãy vào website và tự mình đăng nhập Dùng một thanh công cụchống phising Nó sẽ block các trang có phishing mà bạn vào hoặc sẽ cảnh báo nếubạn đang ghé thăm một website phishing

trên máy tính –Từ đó attacker chiếm được phiên làm việc giữa hai máy tính –Attacker “trộm” Session ID hợp lệ và chiếm quyền truy cập vào hệ thống và “ăntrộm” dữ liệu trên hệ thống

 Phòng chống : Tuy cập ngân hàng trực tuyến tại nhà , Cần có sự hiểu biết về tấn

công , Bảo mật tốt cho các máy tính bên trong

khoảng thời gian nhất định khiến hệ thống không đáp ứng kịp yêu cầu dẫn đến hệthống bị phá vỡ cách phòng chống dùng IDS kết hợp với firewall

không chứa các chương trình tấn công hay các cổng hậu Virus là đoạn mã được càitrên máy tính và chạy ngoài ý muốn của người sử dụng Virus máy tính có thể lâyvào máy tính của bạn qua email, qua các file bạn tải về từ Internet hay copy từ usb

và các máy tính khác về Virus máy tính cũng có thể lợi dụng các lỗ hổng phần mềm

để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính của bạn một cách âm thầm

 Cách phòng tránh: Download các phần mềm từ các nguồn chính thống, hạn chế vào

các trang web lạ, có nội dung không lành mạnh Sử dụng các PM diệt virus có uy

Trang 13

tín, thực hiện quét theo định kỳ Hạn chế sao chép từ các thiết bị lưu trữ rời nhưUSB, ổ cứng rời.

Câu 6.1.Pbiệt các phần mềm độc hại:adware, spyware, Trojan hóe, worm và cách

phòng tránh

- Spyware: các phần mềm có mục đích thương mại tạo ra để thu thập thông tin về người

sử dụng máy tính, tạo ra các cửa sổ pop-up để quảng cáo, hoặc thay đổi hành vi của browser với mục đích thương mại cho tác giả của spyware

web Sâu máy tính (Worm): một chương trình độc lập có khả năng tự tạo ra chính bản thân

mình và lây nhiễm từ máy tính này qua máy tính khác qua mạng Khác với virus, sâu thường không sửa đổi các chương trình khác trong máy tính Sâu máy tính được viết bởi 1sinh viên tốt nghiệp trường đại học Cornell và được thả lên mạng ARPANET Sâu nhân bản và vượt ra khỏi tầm kiểm soát và nhiễm vào khoảng 6000 máy tính nối mạng bao gồm

cả các máy chính phủ cũng như của các trường đại học Sâu Morris dựa trên việc khai thác lỗ hổng được biết từ trước trong các chương trình sendmail, finger, rsh/rexec của UNIX và khai thác các mật khẩu yếu

Chương trình “con ngựa thành Troa” (Trojan horse) là một chương trình độc hại được

lây nhiễm hoặc ẩn chứa bên trong một phần mềm hợp lệ Trojan không thể hoạt động độc lập, điều này khác với virus và sâu Trojan phụ thuộc vào hành động của người dùng, ngay cả nếu Trojan có tự nhân bản hoặc thậm chí tự phân phối chính nó, mỗi một máy bị hại mới phải chạy chương trình chứa Trojan Trojan thường phục vụ một mục tiêu thực hiện một tấn công nào khác, nó không phụ thuộc vào các lỗ hổng an ninh trong hệ thống

1 Trojan truy cập từ xa (RAT – Remote Access Trojan): Được thiết kế để cho kẻ tấn

công có khả năng từ xa chiếm quyền điều khiển của máy bị hại Các Trojan này thường được giấu vào trong các trò chơi và các chương trình nhỏ để cho người dùng mất cảnh giác có thể chạy trên máy tính của họ

2 Trojan gửi dữ liệu: Lấy và gửi các dữ liệu nhạy cảm như mật khẩu, thông tin thẻ tín

dụng, các tệp nhật ký, địa chỉ email, Trojan này có thể tìm kiếm cụ thể từng thông tin hoặc cài phần mềm đọc trộm bàn phím (key logger) và gửi toàn bộ các phím bấm về cho tin tặc

3 Trojan hủy hoại: Phá và xóa các tệp tin Loại Trojan này giống với virus và thường có

thể bị phát hiện bởi các chương trình chống virus

4 Trojan kiểu Proxy: Sử dụng máy tính bị hại làm máy chủ proxy, qua đó có thể sử

dụng máy bị hại để thực hiện các hành vi lừa gạt hay đánh phá các máy tính khác

5 Trojan FTP: Thiết kế để mở cổng 21 (cổng dùng cho giao thức truyền file FTP) và

cho phép tin tặc kết nối vào máy bị hại sử dụng FTP

Trang 14

6 Trojan tắt phần mềm an ninh: có thể dừng hoặc xóa bỏ các chương trình an ninh như

phần mềm chống virus hay tường lửa mà không để người dùng nhận ra

7 Trojan DoS: lây virus vào các máy slave để sử dụng máy slave tấn công DoS tới máy

đích

Một số Trojan cổ điển bao gồm : Back Orifice, Back Orifice 2000, NetBus, Subseven, Downloader – EV, Pest Trap Trong đó Back Orifice được một nhóm tin tặc “Cult of the Dead Cow” công bố vào năm 1998 Khi cài lên máy trạm Windows nó cho phép truy cập

từ xa trái phép vào máy

Câu 6.2 Pbiệt các phần mềm độc hại: adware, spyware, Trojan horses, worm và cách phòng

– Các biểu ngữ quảng cáo trong phần mềm miễn phí, Thường có thể loại

bỏ quảng cáo nếu trả tiền bản quyền phần mềm

– Là một số phần mềm thu thập trái phép thông tin như là thói quen lướt web, cookies,password vv…

– Ngoài ra, có thể là là chạy một phần mềm trên máy tính có thể dùng cho sự thâmnhập trái phép

– Cần phân biệt các phần mềm do các hãng cung cấp có phần hoạt động giống như phầnmềm gián điệp được thiết kế để tạo điều kiện thuận lợi cho tự động cập nhật và đồng

Ví dụ: keystroke logger, zombies DDoS, NetBus, rootkit

- Giải pháp: Sử dụng chương trình chống virus, Sử dụng IDS/IPS, Sử dụng hệ điềuhành chuyên dụng, Sử dụng chính sách bảo mật, tường lửa cá nhân

- Worms: Là một chương trình độc lập lây lan qua mạng

- Morris Worm - Unixi

– Klez lây qua email

Trang 15

– Code Red khai thác lỗ hổng IIS

– Kelvir lây lan qua IM

– SQL Slammer tấn công máy chủ MS-SQL

– IKEE.B lây lan giữa các iphones qua wi-fi

Câu 7: Trình bày về giao thức SSH:Chức năng, Dịch vụ, Kiến trúc bộ giao thức SSH

SSH là giao thức dùng để bảo mật trao đổi dữ liệu, cung cấp dịch vụ Shell, thực thi câu lệnh giữa 2 nút mạng (máy chủ và máy khách) thông qua một kênh bảo mật

-Đảm bảo thực hiện các lệnh từ xa an toàn (Secure command shell, remote execution of commands)

-Đảm bảo truyền file an toàn

-Tạo các đường hầm truyền dữ liệu cho các ứng dụng dựa trên TCP/IP

Phía Client: Giao thức xác thực người dùng UAP- user authentication protocol

Giao thức kết nối: CP (SSH connection protocol )

– Thiết lập các phiên đăng nhập, thực hiện các lệnh từ xa, chuyển hướng các kết nối TCP/IP

– Chạy trên cả hai giao thức dành cho Server và client

Câu 8.1: Trình bày về giao thức SSL:

vai trò của chúng trong giao thức SSL/TLS

Trang 16

Giao thức SSL Được phát triển bởi hãng NetscapeSSL được chấp nhận rộng rãi làm giao thức truyền tin giữa các máy chủ và máy khách trên World Wide Web.

SSL được tổ chức IETF đưa vào chuẩn giao thức TLS (Transport Layer Sercurity)

Sử dụng mã hóa bất đối xứng để trao đổi khóa phiên và mã hóa đối xứng để bảo mật dữ liệu trên đường truyền

Là một giao thức trên tầng vận tải

Hoạt động dựa trên sự giao thức truyền tin cậy

Hỗ trợ mọi giao thức ứng dụng trên tầng IP

• Mã hoá các thông điệp truyền đi

• Sử dụng các mã hoá quy ước với các khoá chia sẻ

• Sử dụng các thuật toán

- DES, 3DES

- RC2, RC4

- IDEATrao đổi khóa : SSL dùng hệ mật khóa công khai để thực hiện việc trao đổi khóa bí mật

Hệ mật thường được sử dụng là RSA hoặc Diffe-HellmanTính toàn vẹn: Tính mã xác thực của thông điệp (MAC ) độ dài cố định gồm: giá trị băm của thông điệp, giá trị chia sẻ bí mật, số tuần tự của gói tin MAC dược truyền kèm với thông điệp Bên nhaatnj tạo ra một giá trị MAC mới và so sánh với MAC được truyền đi kèm thống điệp, nếu giống nhau thì được coi là toàn vẹn việc băm trong SSL thường sử dụng hàm băm MD5 hay SHA1

Trang 17

Xác thực : SSL kiểm tra danh tính của thành phần tham gia truyền thông, chứng chỉ được

sử dụng để đồng bộ định danh với khóa công khai và các thuộc tính khác

Các bước hoạt động của SLL:

Thiết lập một phiên làm việc

Thực hiện xác thực

Đồng bộ thuật toán mã hóa

Chia sẻ khóa bí mật

Truyền dữ liệu của ứng dụng (Đảm bảo tính bí mật , toàn vẹn)

Kiến trúc của SSL : SSL định nghĩa các bản ghi ( Record protocol) để truyền thông tin của ứng dụng và của SSL Phiên làm việc được thiết lập sử dụng giao thức bắt

tay(Handshake protocol )

Vai trò Giao thức bản ghi để truyền dữ liệu của ứng dụng thông qua giao thức SSL

Dữ liệu cần được truyền đi sẽ được chia nhỏ thành các đơn vị dữ liệu, sau đó các đơn vị này được nén và tính MAC ( Massage Authentication Code) đơn vị dữ liệu đã nén và MAC của nó được mã hóa và truyền đi

Trang 18

 Pha bắt tay : thỏa thuận bộ thuật toán mã hóa gồm : thuật toán mã hóa đối xứng sử

dụng và phương pháp trao đổi khóa cùng với việc thiết lập, chia sẻ khóa bí mật

1 : thông điệp hello

- Gửi thông tin phiên bản giao thức

- Thông tin về bộ mã hoá sử dụng

- Server chọn giao thức và bộ mã hoá phù hợp

- Server lựa chọn sao cho phù hợp

2 Thông điệp trao đổi khóa và chứng chỉ

- Sử dụng các giá trị bí mật truyền trong thông điệp Hello giữa Server và ClientChứng chỉ khóa công khai

- Dựa vào các chính sách và các định danh được xác nhận

- Ký lên chứng chỉ

Trang 19

- CA phải đưa ra danh sách các chứng chỉ hết hiệu lực, phải thu hồi (CRL-Certificate

Revocation List)

Trang 20

3 Thay đổi cipherSpec và gửi thông điệp kết thúc pha bắt tay chuyển sang quá trình

truyền dữ liệu

Thống nhất thuật toán mã hóa sử dụng: thỏa thuận thuật toán mã hóa sử dụng

Kết thúc : gửi bản sao chép của pha bắt tay sử dụng phiên làm việc mới và cho phép kiểm tra tính đúngđắn của pha bắt tay

Trang 21

Câu 8.2 trình bày SSL

SSL đảm bảo tính toàn vẹn và xác thực cho thông tin truyền thông trên mạng

SSL được thiết kế để thực hiện các hành động sau:

o Xác thực máy chủ cho máy trạm

o Cho phép máy chủ và máy trạm lựa chọn thuật toán mã hóa mà cả 2 đều hỗ trợ

o Có thể xác thực máy trạm cho máy chủ

o Sử dụng các kỹ thuật mã hóa công cộng để tạo ra các dữ liệu bí mật riêng đượcchia sẻ giữa máy chủ và máy trạm

o Giao thức bản ghi SSL:

Vai trò: Giao thức Bản ghi (record protocol) để truyền dữ liệu của ứng dụng qua giao

thức SSL

Giao thức bắt tay SSL:

o Thuật toán mã hoá đối xứng sử dụng

o Phương pháp trao đổi khoá

Trang 22

 Thiết lập và chia sẻ khoá bí mật

truyền dữ liệu

Vai trò: sử dụng giao thức bản ghi SSL để trao đổi 1 loạt các thông điệp giữa máy chủ áp

dụng SSL và máy trạm áp dụng SSL khi các máy này lần đầu tiên xác lập một kết nốiSSL

Câu 9.1: Trình bày về giao thức SET:Vai trò, Các thành phần, Mô hình hoạt động, Quá

trình giao dịch

Giao thức SET:

Được phát triển bởi Visa và MasterCard

Được thiết kế để bảo vệ các giao dịch sử dụng thẻ tín dụng

Đảm bảo tính bí mật: Tất cả các thông điệp đều được mã hóa

Đảm bảo tính tin cậy: Tất cả các đối tác phải có các chứng chỉ điện tử để xác thực

Đảm bảo bảo mật: Các thông tin chỉ có ở nơi cần thiết và thời gian cụ thể

Cung cấp tính bí mật của thông tin thanh toán và đặt hàng

Đảm bảo tính toàn vẹn của toàn bộ dữ liệu trên đường truyền

Cung cấp sự xác thực, đảm bảo người nắm giữ thẻ là người dùng hợp lệ của tài khoản thẻCung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận các giao dịch thẻtín dụng qua mối quan hệ với các tổ chức tài chính

Đảm bảo các giải pháp đảm bảo an toàn và các kỹ thuật thiết kế hệ thống tốt nhất để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch thương mại điện tử

Hỗ trợ và thúc đẩy sự tương tác giữa các phần mềm và nhà cung cấp dịch vụ mạng

Trang 24

Khách hàng gửi đơn đặt hàng và thông tin thanh toán tới công ty thương mại sử dụng chứng chỉ của khách hàng

Đơn đặt hàng gồm có các mặt hàng được đặt mua

Thông tin thanh toán chứa thông tin chi tiết về thẻ tín dụng

Thông tin thanh toán được được mã hóa sao cho nó không thể được đọc bởi công ty thương mại

Chứng chỉ của khách cho phép công ty thương mại xác minh được khách hàng

Câu 9.2 Trình bày về giao thức SET

khoản thẻ

Trang 25

 Cung cấp sự xác thực đảm bảo một công ty thương mại có thể chấp nhận các giaodịch thẻ tín dụng qua mối quan hệ với các tổ chức tài chính

để sử dụng để bảo vệ tất cả các đối tác hợp lệ trong giao dịch thương mại điện tử

mạng

người không phải là người nhận

đúng người yêu cầu

sót

trong môi trường điển tử

tín dụng

được ký bởi ngân hàng

Trang 26

 Công ty thương mại chấp nhận thẻ phải có hai chứng chỉ X.509v3, một dùng để ký

và một dùng cho việc trao đổi khóa

việc xác minh

dụng chứng chỉ của khách hàng

công ty thương mại

trước khi thực hiện chuyển hàng

Câu 10.1: Các phương thức thanh toán điện tử

 Thanh toán trực tuyến và ngoại tuyến:

- Thanh toán trực tuyến:

- Yêu cầu phải có sự hiện diện của bên xác thực trong giao dịch: một máy chủ xác thực, dịch vụ thanh toán, ngân hàng

- Cần liên lạc nhiều hơn, bảo mật hơn

- Thanh toán ngoại tuyến:

- Người trả và nhận tiền có kết nối với nhau nhưng lại không kết nối đến ngân hàng tương ứng của mình

- Không có xác thực từ phía ngân hàng

- Chỉ có tác dụng xác nhận sự tồn tại của giao dịch mà không có tác dụng thanh toán

- Các hình thức thanh toán phổ biến:

• Thanh toán trực tiếp tại văn phòng giao dịch công ty

• Thanh toán chuyển khoản qua ngân hàng

• Thanh toán chuyển khoản qua ATM

• Thanh toán qua bưu điện

• Thu phí tận nơi

 Thanh toán trả ngay và trả dần:

Trang 27

- Trả ngay: tài khoản người mua sẽ ngay lập tức bị trừ tiền khi thực hiện giao dịch

- Trả dần: tiền được tính và tích lũy vào tài khoản người mua ở dịch vụ thanh toán Sau đó, người mua sẽ trả số tiền này cho dịch vụ thanh toán

 Thanh toán vi mô và vĩ mô:

- Thanh toán vi mô: số tiền thanh toán nhỏ

- Thanh toán vĩ mô: số tiền thanh toán lớn Cần triển khai các giao thức phức tạp và

an toàn để bảo mật giao dịch

Câu 10.2 Các phương thức thành toán điện tử

Đáp án:

a Thẻ tín dụng (Credit Cards)

o Sử dụng cho việc thanh toán qua mạng internet

o Có hạn chế số lượng tiền khi thanh toán

o Hiện tại được sử dụng phổ biến nhất

o Là cách thức thanh toán điện tử đắt nhất

o Vd:

o Không thanh toán với giá trị nhỏ

o Không thanh toán với giá trị thanh toán lớn

b Tiền điện tử

Định dạng
Số trang	55
Dung lượng	3,91 MB

Đề cương môn An toàn Internet và thương mại điện tử Học viện kỹ thuật Mật mã

Bảo mật tiền điện tử