An toàn hệ thống và an toàn dữ liệu

Một phần của tài liệu Phát triển phần mềm ứng dụng trong kinh tế tài chính ngân hàng (Trang 25)

4. Những thiệt hại khi các vấn đề an toàn và bảo mật thông tin bị tấn công

4.4.An toàn hệ thống và an toàn dữ liệu

4.4.1. Đối tượng tấn công mạng

Là đối tượng sử dụng kỹ thuật về mạng để dò tìm các lỗ hổng bảo mật trên hệ thống để thực hiện xâm nhập và chiếm đoạt thông tin bất hợp pháp.

Các đối tượng tấn công mạng:

- Hacker: Xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ phá mật khẩu hoặc khai thác các điểm yếu của hệ thống.

- Masquerader: Giả mạo thông tin, địa chỉ IP, tên miền, định danh người dùng…

- Eavesdropping: Là đối tượng nghe trộm thông tin trên mạng để lấy cắp thông tin.

- Các lỗ hổng trong bảo mật và phương thức tấn công mạng.

- Là những điểm yếu trên hệ thống mà dựa vào đó đối tượng tấn công có thể xâm nhập trái phép vào hệ thống.

4.4.2. Các loại lỗ hổng trong bảo mật

- Lỗ hổng loại C: Cho phép thực hiện hình thức tấn công theo kiểu DoS (Denial of Services – Từ chối dịch vụ) làm ảnh hưởng tới chất lượng dịch vụ, ngưng trệ, gián đoạn hệ thống, nhưng không phá hỏng dữ liễu hoặc đoạt được quyền truy cập hệ thống.

- Lỗ hổng loại B: Lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin.

- Lỗ hổng loại A: Cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống, có thể phá hủy toàn bộ hệ thống.

4.4.3. Các hình thức tấn công mạng phổ biến

- Tấn công trực tiếp: Sử dụng một máy tính để tấn công một máy tính khác với mục đích dò tìm mật mã, tên tài khoản tương ứng, …. Kẻ tấn công có thể sử dụng một số chương trình giải mã để giải mã các file chứa password

trên hệ thống máy tính của nạn nhân. Do đó, những mật khẩu ngắn và đơn giản thường rất dễ bị phát hiện.

- Kỹ thuật đánh lừa (Social Engineering): Đây là thủ thuật được nhiều hacker sử dụng cho các cuộc tấn công thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó. Kỹ thuật này thường được sử dụng để lấy cắp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống. Ví dụ, kỹ thuật đánh lừa Fake Email Login.

- Kỹ thuật tấn công vào vùng ẩn: Những phần bị dấu đi trong các website thường chứa những thông tin về phiên làm việc của các client. Các phiên làm việc này thường được ghi lại ở máy khách chứ không tổ chức cơ sở dữ liệu trên máy chủ. Vì vậy, người tấn công có thể sử dụng chiêu thức View Source của trình duyệt để đọc phần đầu đi này và từ đó có thể tìm ra các sơ hở của trang Web mà họ muốn tấn công. Từ đó, có thể tấn công vào hệ thống máy chủ.

- Tấn công vào các lỗ hổng bảo mật: Hiện, nay các lỗ hổng bảo mật được phát hiện càng nhiều trong các hệ điều hành, các web server hay các phần mềm khác, ... Các hãng sản xuất cũng luôn cập nhật các bản vá lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng của các phiên bản trước. Do đó, người sử dụng phải luôn cập nhật thông tin và nâng cấp phiên bản cũ mà mình đang sử dụng để tránh các hacker lợi dụng điều này tấn công vào hệ thống.

- Khai thác tình trạng tràn bộ đệm: Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu được gửi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả năng kiểm soát.

- Nghe trộm: Các hệ thống trao đổi thông tin qua mạng đôi khi không được bảo mật tốt và lợi dụng điều này, hacker có thể truy cập vào data paths để nghe trộm hoặc đọc trộm luồng dữ liệu truyền qua.

- Hacker nghe trộm sự truyền đạt thông tin, dữ liệu sẽ chuyển đến sniffing hoặc snooping. Nó sẽ thu thập những thông tin quan trọng về hệ thống như một packet chứa password và username của một ai đó.

- Kỹ thuật giả mạo địa chỉ: Thông thường, các mạng máy tính nối với Internet đều được bảo vệ bằng tường lửa (fire wall). Tường lửa có thể hiểu là cổng duy nhất mà người đi vào nhà hay đi ra cũng phải qua đó và sẽ bị “điểm mặt”. Tường lửa hạn chế rất nhiều khả năng tấn công từ bên ngoài và

gia tăng sự tin tưởng lẫn nhau trong việc sử dụng tài nguyên chia sẻ trong mạng nội bộ.

- Sự giả mạo địa chỉ nghĩa là người bên ngoài sẽ giả mạo địa chỉ máy tính của mình là một trong những máy tính của hệ thống cần tấn công. Họ tự đặt địa chỉ IP của máy tính mình trùng với địa chỉ IP của một máy tính trong mạng bị tấn công. Nếu như làm được điều này, hacker có thể lấy dữ liệu, phá hủy thông tin hay phá hoại hệ thống.

- Kỹ thuật chèn mã lệnh:Một kỹ thuật tấn công căn bản và được sử dụng cho một số kỹ thuật tấn công khác là chèn mã lệnh vào trang web từ một máy khách bất kỳ của người tấn công.

- Kỹ thuật chèn mã lệnh cho phép người tấn công đưa mã lệnh thực thi vào phiên làm việc trên web của một người dùng khác. Khi mã lệnh này chạy, nó sẽ cho phép người tấn công thực hiện nhiều hành vi như giám sát phiên làm việc trên trang web hoặc có thể toàn quyền điều khiển máy tính của nạn nhân. Kỹ thuật tấn công này thành công hay thất bại tùy thuộc vào khả năng và sự linh hoạt của người tấn công.

- Tấn công vào hệ thống có cấu hình không an toàn:Cấu hình không an toàn cũng là một lỗ hổng bảo mật của hệ thống. Các lỗ hổng này được tạo ra do các ứng dụng có các thiết lập không an toàn hoặc người quản trị hệ thống định cấu hình không an toàn. Chẳng hạn như cấu hình máy chủ web cho phép ai cũng có quyền duyệt qua hệ thống thư mục. Việc thiết lập như trên có thể làm lộ các thông tin nhạy cảm như mã nguồn, mật khẩu hay các thông tin của khách hàng.

- Tấn công dùng Cookies:Cookie là những phần tử dữ liệu nhỏ có cấu trúc được chia sẻ giữa website và trình duyệt của người dùng. Cookies được lưu trữ dưới những file dữ liệu nhỏ dạng text (size dưới 4KB). Chúng được các site tạo ra để lưu trữ, truy tìm, nhận biết các thông tin về người dùng đã ghé thăm site và những vùng mà họ đi qua trong site. Những thông tin này có thể bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen,

- Can thiệp vào tham số trên URL: Đây là cách tấn công đưa tham số trực tiếp vào URL. Việc tấn công có thể dùng các câu lệnh SQL để khai thác cơ sở dữ liệu trên các máy chủ bị lỗi. Điển hình cho kỹ thuật tấn công này là tấn công bằng lỗi “SQL INJECTION”. Kiểu tấn công này gọn nhẹ nhưng hiệu quả bởi người tấn công chỉ cần một công cụ tấn công duy nhất là trình duyệt web và backdoor.

- Vô hiệu hóa dịch vụ: Kiểu tấn công này thông thường làm tê liệt một số dịch vụ, được gọi là DOS (Denial of Service - Tấn công từ chối dịch vụ). Các tấn công này lợi dụng một số lỗi trong phần mềm hay các lỗ hổng bảo mật trên hệ thống, hacker sẽ ra lệnh cho máy tính của chúng gửi yêu cầu đến các máy chủ ứng dụng, thường là các server trên mạng. Các yêu cầu này được gởi đến liên tục làm cho hệ thống nghẽn mạch và một số dịch vụ sẽ không đáp ứng được cho khách hàng thật sự.

4.4.4.Một số kiểu tấn công khác (adsbygoogle = window.adsbygoogle || []).push({});

- Lỗ hổng không cần login: Nếu như các ứng dụng không được thiết kế chặt chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây là một lỗ hổng bảo mật mà các hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên trong mà không cần phải qua bước đăng nhập.

- Thay đổi dữ liệu: Sau khi những người tấn công lấy được dữ liệu của một hệ thống nào đó, họ có thể thay đổi dữ liệu này mà không quan tâm đến người gửi và người nhận nó.

- Password-base Attact: Thông thường, hệ thống khi mới cấu hình có username và password mặc định. Sau khi cấu hình hệ thống, một số admin vẫn không đổi lại các thiết lập mặc định này. Đây là lỗ hổng giúp những người tấn công có thể thâm nhập vào hệ thống bằng con đường hợp pháp. Khi đã đăng nhập vào, hacker có thể tạo thêm user, cài backboor cho lần viếng thăm sau.

- Identity Spoofing: Các hệ thống mạng sử dụng IP address để nhận biết sự tồn tại của mình. Vì thế địa chỉ IP là sự quan tâm hàng đầu của những kẻ tấn công. Khi họ tấn công vào bất cứ hệ thống nào, họ đều biết địa chỉ IP của hệ thống mạng đó. Thông thường, những kẻ tấn công giả mạo IP address để xâm nhập vào hệ thống và cấu hình lại hệ thống, sửa đổi thông tin, …

- Chính sách bảo mật

- Chính sách bảo mật là tập hợp các quy tắc áp dụng cho những người tham gia quản trị mạng, có sử dụng các tài nguyên và các dịch vụ mạng.

4.4.5. Những vấn đề an toàn và bảo mật thông tin của Vietcombank

Ngân hàng Ngoại thương Việt Nam (Vietcombank) chính thức lựa chọn và phát hành AhnLab Online Security (AOS) – sản phẩm của một công ty bảo mật

đến từ Hàn Quốc - để bảo vệ khách hàng sử dụng dịch vụ ngân hàng trực tuyến (VCB-iB@nking) của mình. Đây là gói phần mềm bảo mật giúp tăng cường tính an toàn và chống mất cắp thông tin cho khách hàng trong quá trình sử dụng dịch vụ ngân hàng trực tuyến.

Gói bảo mật AOS dành riêng cho khách hàng VCB được trang bị 2 tính năng bảo vệ trong quá trình giao dịch trực tuyến gồm: Anti – Keylogger (ngăn chặn các chương trình bí mật được cài vào máy của người dùng nhằm theo dõi và ghi lại hoạt động của bàn phím, từ đó lấy cắp được thông tin truy cập của người sử dụng) và Secure Browser (ngăn chặn các phương pháp tấn công vào lỗ hổng của trình duyệt như chụp ảnh màn hình, ghi lại các thao tác chuột, giả mạo giao diện, giả mạo chứng chỉ SSL… khi người dùng truy cập vào VCB-iB@nking của

Vietcombank).

Khi khách hàng đăng nhập sử dụng dịch Ngân hàng trực tuyến trên trang Vietcombank, hệ thống sẽ tự động kích hoạt yêu cầu cài đặt AOS. Gói giải pháp này tương thích và hoạt động tốt với cả 4 trình duyệt phổ biến nhất hiện nay là Internet Explorer, Google Chrome, Mozilla Firefox và Opera. Tuy nhiên, khách hàng chỉ cần sử dụng 1 trong 4 trình duyệt trên để thực hiện việc cài đặt lần đầu là có thể sử dụng với bất kỳ trình duyệt nào trong các lần đăng nhập sau.

Quá trình cài đặt diễn ra khá nhanh. Sau khi cài đặt thành công, ứng dụng sẽ tự hoạt động khi khách hàng truy cập vào trang chủ dịch vụ VCB-iB@nking của Vietcombank. Biểu tượng AOS được hiển thị mỗi khách hàng sử dụng dịch vụ Ngân hàng trực tuyến, tự động tắt khi khách hàng thoát khỏi trình duyệt.

Vietcombank khuyến cáo, ứng dụng này chỉ có tác dụng bảo vệ khách hàng khi truy cập và sử dụng dịch vụ trên VCB-iB@nking và không có tác dụng thay thế các phần mềm diệt virus/bảo vệ máy tính mà khách hàng đang sử dụng.

Bên cạnh đó, Vietcombank còn tăng cường bảo mật thẻ ngân hàng bằng cách sử dụng công nghệ bảo mật thẻ chip được xem là hiện đại nhất thế giới. Việc

chuyển sang thẻ chip sẽ là một giải pháp nâng cao sự phát triển của thương mại điện tử. Số lượng khách hàng sử dụng thẻ ngân hàng ngày càng tăng. Nhưng đi cùng với tốc độ tăng trưởng về số lượng thì tội phạm liên quan đến lĩnh vực này cũng tăng. Vì thế, để tăng tính bảo mật thông tin cho khách hàng, việc đưa vào sử dụng thẻ “chip” thay cho thẻ “từ” đang được các ngân hàng tiến hành. Những năm trở lại đây, thẻ thanh toán thông minh (Smartcard) sử dụng con chip máy tính gắn lên thẻ nhựa mang nhiều tính năng vượt trội hơn so với thẻ từ, do việc lưu trữ

thông tin, bảo mật, hỗ trợ nhiều ứng dụng, tuổi thọ cao, đang dần trở thành sự thay thế tất yếu cho thẻ từ. Quy trình giao dịch bằng thẻ chip phải trải qua 8 bước với độ bảo mật cao. Thẻ chip áp dụng công nghệ gắn chip điện tử với bộ vi xử lý như một máy tính thu nhỏ và hoàn toàn độc lập. Các thông tin quan trọng được mã hóa, không giống như thẻ từ chỉ được mã hóa một lần nên dữ liệu có thể dễ dàng bị đánh cắp.

Hiện nay, công nghệ bảo mật thẻ chip được xem là hiện đại nhất thế giới. Việc chuyển sang thẻ chip sẽ là một giải pháp nâng cao sự phát triển của thương mại điện tử. Tuy nhiên, thực tế cho thấy, việc chuyển đổi này không đơn thuần chỉ là chuyển một cái thẻ mà đòi hỏi cần có sự đồng bộ từ việc phát hành, hệ thống thanh toán, hệ thống ATM và hệ thống chuyển mạch nội bộ.

Với Vietcombank, từ năm 2013, thẻ thanh toán quốc tế của NH đã chuyển toàn bộ sang thẻ chip. Nhiều NH tại Việt Nam như VPBank, Vietcombank, SCB, Eximbank… sử dụng thẻ thanh toán quốc tế của MasterCard. Vì thực tế chủ thẻ bị đánh cắp dữ liệu thông tin chủ yếu rơi vào các thẻ thanh toán quốc tế như Master, Visa chứ ít khi xảy ra với thẻ thanh toán nội địa, do thấu chi thấp.

IV. KẾT LUẬN

Xúc tiến ngân hàng điện tử là xu thế chung của thế giới trên con đường phát triển nền kinh tế chi thức và hướng đến xã hội thông tin. Chấp nhận ngân hàng điện tử là một sự tự nguyện có tính cam kết, dựa trên sự hiểu biết với một quyết tâm cao để hội nhập và phát triển với thế giới và khu vực trước bối cảnh toàn cầu và tự do hóa thương mại đang diễn ra cực kì sôi động.

Trong sự nghiệp công nghiệp hóa, hiện đại hóa đất nước thì việc hội nhập mang theo cả thời cơ và thách thức, nhưng thách thức lớn nhất sẽ là không tham gia gì cả. Ngân hàng điện tử thực chất là những hoạt động kinh tế mới, vô cùng năng động, sử dụng những công cụ hiện đại nhất để thu thập, xử lý và truyền tải những khối lượng lớn thông tin khổng lồ để đưa ra các quyết định nhanh chóng và chính xác. Nếu không tham gia các hoạt động này thì nguy cơ tụt hậu và lệ thuộc vào nước ngoài sẽ tăng lên.

Ở ngân hàng Vietcombank, ngân hàng điện tử đang trong giai đoạn phát triển. Trước mắt còn nhiều khó khăn và thách thức cần phải vượt qua, song việc phát triển loại hình dịch vụ này là hướng đi đúng đắn, là một xu thế tất yếu đối với các ngân hàng thương mại ở Việt Nam nói chung và ngân hàng Vietcombank nói riêng. Không những nó đóng góp phần đẩy mạnh sự nghiệp công nghiệp hóa, hiện đại hóa ngành ngân hàng Việt Nam mà còn giúp Việt Nam hội nhập vững chắc vào nền kinh tế khu vực và thế giới.

Mặc dù đã rất cố gắng xong không thể không tránh khỏi được những thiếu sót. Em rất mong nhận được sự góp ý cứ cô để hoàn thiện đề tài này hơn.

Một phần của tài liệu Phát triển phần mềm ứng dụng trong kinh tế tài chính ngân hàng (Trang 25)

(31 trang)