socket layer):
4.1 Trường hợp sử dụng: Ngày nay SLL được sử dụng rộng rãi như nền tảng bảo mật cho: nền tảng bảo mật cho:
- Các truy cập vào những ứng dụng có yêu cầu bảo mật cao như Oracle, PeopleSoft, hay Siebel từ bất kỳ một web browser nào. - Các website bán hàng qua mạng được thanh toán bằng thẻ tín
dụng.
- Các trang học tập trực tuyến, tài chính ngân hàng, giao dịch chứng khoáng và dịch vụ thanh toán hóa đơn.
- Các nhà cung cấp dịch vụ y tế muốn chia sẻ các thông tin nghiên cứu riêng tư của mình.
- Các công ty bảo hiểm cung cấp các dịch vụ trực tuyến cho các đại lý và khách hàng.
- Các trang cung cấp dịch vụ thương mại điện tử trực tuyến.
- Các dịch vụ của chính phủ đòi hỏi sự bảo mật thông tin như thuế, an ninh xã hội, quân đội và các thông tin về sức khỏe.
- Các trang du lịch mà có thể đặt phòng và vé trực tuyến.
- Các mạng nội bộ (intranet) có yêu cầu bảo mật thông tin quan trọng. - Các mạng mở rộng (extranet) phục vụ cho các truy cập an toàn vào
các nguồn thông tin của công ty phía đối tác, các đại lý cung cấp và các khách hành chính.
Nói tóm lại, chứng chỉ số SSL nên được sử dụng trong các trường hợp thông tin trao đổi cần được xác thực, bảo mật và giữ nguyên vẹn.
GVHD: TS. Hoàng Thị Phương Thảo Trang 33 Điểm cơ bản của SSL là được thiết kế độc lập với tầng ứng dụng để đảm bảo tính bí mật, an toàn và chống giả mạo luồng thông tin qua Internet giữa hai ứng dụng bất kỳ, thí dụ như webserver và các trình duyệt (browser), do đó được sử dụng rộng rãi trong nhiều ứng dụng khác nhau trên môi trường Internet. Toàn bộ cơ chế hoạt động và hệ thống thuật toán mã hoá sử dụng trong SSL được phổ biến công khai, trừ khoá chia sẻ tạm thời được sinh ra tại thời điểm trao đổi giữa hai ứng dụng là tạo ngẫu nhiên và bí mật đối với người quan sát trên mạng máy tính. Ngoài ra, giao thức SSL còn đòi hỏi ứng dụng chủ phải được chứng thực bởi một đối tượng lớp thứ ba (CA) thông qua chứng chỉ điện tử (digital certificate) dựa trên mật mã công khai (thí dụ RSA).
Sau đây ta xem xét một cách khái quát cơ chế hoạt động của SSL để phân tích cấp độ an toàn của nó và các khả nǎng áp dụng trong các ứng dụng nhạy cảm, đặc biệt là các ứng dụng về thương mại và thanh toán điện tử.
- Giao thức SSL dựa trên hai nhóm con giao thức là “Giao thức bắt tay” - handshake protocol - và “Giao thức bản ghi” - record protocol. Giao thức
bắt tay xác định các tham số giao dịch giữa hai đối tượng có nhu cầu trao đổi thông tin hoặc dữ liệu, còn giao thức bản ghi xác định khuôn dạng cho tiến hành mã hoá và truyền tin hai chiều giữa hai đối tượng đó. Khi hai ứng dụng máy tính, thí dụ giữa một trình duyệt web và máy chủ web, làm việc với nhau, máy chủ và máy khách sẽ trao đổi "lời chào" (hello) dưới dạng các thông điệp cho nhau với xuất phát đầu tiên chủ động từ máy chủ, đồng thời xác định các chuẩn về thuật toán mã hoá và nén số liệu có thể được áp dụng giữa hai ứng dụng.
- Ngoài ra, các ứng dụng còn trao đổi "số nhận dạng/khoá theo phiên" (session ID, session key) duy nhất cho lần làm việc đó.
- Sau đó ứng dụng khách (trình duyệt) yêu cầu có chứng chỉ điện tử (digital certificate) xác thực của ứng dụng chủ (web server). Chứng chỉ điện tử thường được xác nhận rộng rãi bởi một cơ quan trung gian (Thẩm quyền xác nhận CA - Certificate Authority) như RSA Data Sercurity hay VeriSign Inc., một dạng tổ chức độc lập, trung lập và có uy tín. Các tổ chức này cung cấp dịch vụ "xác nhận" số nhận dạng của một công ty và phát hành chứng chỉ duy nhất cho công ty đó như là bằng chứng nhận dạng (identity) cho các giao dịch trên mạng, ở đây là các máy chủ webserver.
GVHD: TS. Hoàng Thị Phương Thảo Trang 34 - Sau khi kiểm tra chứng chỉ điện tử của máy chủ (sử dụng thuật toán mật mã công khai, như RSA tại trình máy trạm), ứng dụng máy trạm sử dụng các thông tin trong chứng chỉ điện tử để mã hoá thông điệp gửi lại máy chủ mà chỉ có máy chủ đó có thể giải mã.
- Trên cơ sở đó, hai ứng dụng trao đổi khoá chính (master key) - khoá bí mật hay khoá đối xứng - để làm cơ sở cho việc mã hoá luồng thông tin/dữ liệu qua lại giữa hai ứng dụng chủ khách. Toàn bộ cấp độ bảo mật và an toàn của thông tin/dữ liệu phụ thuộc vào một số tham số: (i) Số nhận dạng theo phiên làm việc ngẫu nhiên; (ii) Cấp độ bảo mật của các thuật toán bảo mật áp dụng cho SSL; (iii) Độ dài của khoá chính (key length) sử dụng cho lược đồ mã hoá thông tin
Mức độ bảo mật của giao thức SSL
Mức độ bảo mật của SSL như trên mô tả phụ thuộc chính vào độ dài khoá hay phụ thuộc vào việc sử dụng phiên bản mã hoá 40bit và 128bit. Phương pháp mã hoá 40bit được sử dụng rộng rãi không hạn chế ngoài nước Mỹ và phiên bản mã hoá 128bit chỉ được sử dụng trong nước Mỹ và Canada.
Theo luật pháp Mỹ, các mật mã "mạnh" được phân loại vào nhóm "vũ khí" (weapon) và do đó khi sử dụng ngoài Mỹ (coi như là xuất khẩu vũ khí) phải được phép của chính phủ Mỹ hay phải được cấp giấy phép của Bộ Quốc phòng Mỹ (DoD). Đây là một lợi điểm cho quá trình thực hiện các dịch vụ thương mại và thanh toán điện tử trong Mỹ và các nước đồng minh phương Tây và là điểm bất lợi cho việc sử dụng các sản phẩm cần có cơ chế bảo mật và an toàn trong giao dịch điện tử nói chung và thương mại điện tử nói riêng trong các nước khác. Các phương thức tấn công (hay bẻ khoá) của các thuật toán bảo mật thường dùng dựa trên phương pháp "tấn công vét cạn" (brute-force attack) bằng cách thử-sai miền không gian các giá trị có thể của khoá. Số phép thử-sai tǎng lên khi độ dài khoá tǎng và dẫn đến vượt quá khả nǎng và công suất tính toán, kể cả các siêu máy tính hiện đại nhất. Thí dụ, với độ dài khoá là 40bit, thì số phép thử sẽ là 240 tổ hợp. Tuy nhiên độ dài khoá lớn kéo theo tốc độ tính toán giảm (theo luỹ thừa nghịch đảo) và dẫn đến khó có khả nǎng áp dụng trong thực tiễn. Một khi khoá bị phá, toàn bộ thông tin giao dịch trên mạng sẽ bị kiểm soát toàn bộ. Tuy nhiên do độ dài khoá lớn (thí dụ 128, 256 bít), số phép thử-sai trở nên "không thể thực hiện" vì phải mất hàng nǎm hoặc thậm chí hàng nghìn nǎm với
GVHD: TS. Hoàng Thị Phương Thảo Trang 35 công suất và nǎng lực tính toán của máy tính mạnh nhất hiện nay. Ngay từ nǎm 1995, bản mã hoá 40bit đã bị phá bởi sử dụng thuật toán vét cạn.
Ngoài ra, một số thuật toán bảo mật (như DES 56bit, RC4, MD4,...) hiện nay cũng bị coi là không an toàn khi áp dụng một số phương pháp và thuật toán tấn công đặc biệt. Đã có một số đề nghị thay đổi trong luật pháp Mỹ nhằm cho phép sử dụng rộng rãi các phần mềm mã hoá sử dụng mã hoá 56bit song hiện nay vẫn chưa được chấp thuận.
GVHD: TS. Hoàng Thị Phương Thảo Trang 36
Câu 4: Hãy dò tìm trên mạng Internet để tổng hợp và trình bày những thông tin về các trò lừa đảo phổ biến hiện nay trong giao dịch điện tử. Đứng ở góc độ người bán và người mua bạn nên làm gì để bảo vệ chính mình khỏi các trò lừa đảo.
1. Các trò lừa đảo phổ biến hiện nay trong giao dịch điện tử
1.1. Giả mạo thông tin của thương nhân, tổ chức, cá nhân khác để tham gia hoạt động TMĐT tham gia hoạt động TMĐT
Hiện nay trên mạng có 1 số trang giả mạo 1 cách rất tinh vi trang web bán báu vật của VTC như: muachungcf.net hay muabauvat.net giao diện rất giống với trang muachungcf của VTC nhưng thực chất là lừa đảo. Đặc điểm của những trang này là bán báu vật rất nhiều và giá cực rẻ, chỉ khoảng 50 vcoin cho một món. Khi tiến hành đăng nhập sẽ có 1 đường link hướng bạn thẳng đến trang
https://id.vtc.vn/home/trang-chu.html, đặc biệt là web lừa đảo này chỉ cho thanh toán bằng thẻ cào chứ không mua trực tiếp bằng số Vcoin đang có trong tài khoản. Giao diện giống hệt trang muachungcf của VTC
GVHD: TS. Hoàng Thị Phương Thảo Trang 37
1.2 Các hành vi lừa đảo khách hàng trên website TMĐT,
Tổ chức mạng lưới kinh doanh, tiếp thị cho dịch vụ TMĐT buộc người tham gia phải đóng một khoản tiền ban đầu để mua dịch vụ và được nhận tiền hoa hồng, tiền thưởng hoặc lợi ích khác từ việc vận động người tham gia mạng lưới; lợi dụng TMĐT để kinh doanh hàng giả, hàng hóa, dịch vụ vi phạm quyền sở hữu trí tuệ; hàng hóa, dịch vụ thuộc danh mục cấm kinh doanh.
Các DN thường lừa đảo lập website cung cấp dịch vụ sàn GDĐT để các thành viên mở một gian hàng ảo giới thiệu sản phẩm hàng hóa, dịch vụ. Ngoài ra, còn được thêm quyền lợi giới thiệu những người khác tham gia mua gian hàng trên sàn GDĐT và hưởng hoa hồng ở mức cao dần tùy vào mức độ "phát triển mạng lưới gian hàng" theo những hợp đồng mà họ giới thiệu.
Tuy nhiên, các điều khoản về cơ chế đóng phí, trả hoa hồng thường không được quy định rõ, các giao dịch chuyển tiền cũng không có chứng từ. Do mức phân chia hoa hồng đa cấp khá lớn, nên đa phần các thành viên tham gia website đều không kinh doanh thực sự mà chủ yếu đặt mục tiêu thu lợi nhuận từ việc giới thiệu người khác tham gia. Điều đó dẫn đến đa số gian hàng trên các website dạng này đều là gian hàng trống không có sản phẩm cần bán và thông tin gì về chủ gian hàng.
VD: MB24 tổ chức bán gian hàng trên website muaban24.vn. Theo đó, người muốn trở thành hội viên phải mua một gian hàng với giá 5,2 triệu đồng, sau đó lôi kéo người khác tham gia để hưởng hoa hồng trực tiếp 1,5 triệu đồng, khi người kế tiếp lôi kéo được những người khác thì hội viên đầu tiên vẫn được hoa hồng gián tiếp 320.000 đồng/gian hàng.
Đến khi nào hai bên của nhánh dưới có đủ 198 gian hàng (mỗi nhánh 99 gian) thì hội viên đầu tiên sẽ lên VIP 1 với số tiền hoa hồng là 111.680.000 đồng. Sau đó là VIP 2, VIP 3 rồi phó giám đốc, giám đốc kim cương... với số tiền hứa hẹn lên tới hàng tỉ đồng mà không phải làm gì.
Để lôi kéo được người khác tham gia, các hội viên MB24 được tập huấn khả năng diễn thuyết về tiện ích của TMĐT, như mua một gian hàng trên mạng sẽ có nhiều quyền lợi như được quảng cáo miễn phí và bán sản phẩm của mình, được mua hàng của công ty với giá rẻ hơn từ 15-40% so với giá thị trường...
GVHD: TS. Hoàng Thị Phương Thảo Trang 38
http://laodong.com.vn/phap-luat/ham-loi-ca-nghin-nguoi-da-sap-bay-mb24-nhu- the-nao-133417.bld
1.3 Lừa đảo lấy thông tin cá nhân
Phương pháp lừa đảo được sử dụng để trộm thông tin định danh đang không ngừng phát triển và các biến thể mới đã được thử và sử dụng để tấn công các tổ chức kinh doanh, tổ chức tài chính, và khách hàng. Sau đây là các loại phổ biến nhất của các cuộc tấn công lừa đảo.
Deceptive Phishing là phương pháp thông thường nhất hiện nay và liên quan đến việc gửi tin nhắn để yêu cầu xác minh thông tin tài khoản, lỗi hệ thống yêu cầu người dùng nhập lại thông tin của họ, chi phí tài khoản hư cấu, thay đổi tài khoản không mong muốn, dịch vụ miễn phí mới đòi hỏi phải có hành động nhanh chóng, và nhiều thông tin lừa đảo được truyền cho một nhóm rộng của người nhận với hy vọng rằng họ không thận trọng sẽ trả lời bằng cách nhấn vào một liên kết hoặc ký kết vào một trang web không có thật mà thông tin bí mật của họ có thể được thu thập.
Malware - Based Phishing đề cập đến những trò gian lận có liên quan đến người dùng vô tình chạy phần mềm độc hại trên máy tính của họ. Phần mềm độc hại như một file đính kèm email, như một tập tin tải về từ một trang web,
GVHD: TS. Hoàng Thị Phương Thảo Trang 39 hoặc bằng cách khai thác lỗ hổng bảo mật được biết đến - một vấn đề cụ thể cho các doanh nghiệp vừa và nhỏ (SMBs) không phải là luôn luôn có thể để giữ cho các ứng dụng phần mềm của họ được cập nhật.
Keylogger và Screenloggers là dạng đặc biệt của phần mềm độc hại theo dõi
đầu vào bàn phím và gửi thông tin đến hacker thông qua Internet. Họ tự nhúng vào các trình duyệt web như các chương trình tiện ích nhỏ được gọi là đối tượng hỗ trợ chạy tự động khi trình duyệt được bắt đầu cũng như vào các tập tin hệ thống như trình điều khiển thiết bị hoặc màn hình màn hình.
Session Hijacking là lừa đảo tấn công vào các hoạt động của người sử dụng được theo dõi cho đến khi họ đăng nhập vào một tài khoản mục tiêu hoặc giao dịch và thiết lập các thông tin cá nhân của họ. Vào thời điểm đó các phần mềm độc hại sẽ tiếp nhận và cam kết hành động trái phép, chẳng hạn như chuyển tiền, mà không cần thông tin của người dùng.
Web Trojans là một loại cửa sổ được bung ra chạy vô hình trên máy người
dùng. Khi người dùng cố gắng đăng nhập, họ thu thập thông tin của người sử dụng tại địa phương và chuyển chúng đến các phisher.
Hosts File Poisoning liên quan đến việc thay đổi các tập tin máy chủ của hệ điều hành có chứa các địa chỉ IP tương ứng với địa chỉ web.Khi một người dùng gõ một địa chỉ nào đó một trang web đầu tiên nó phải được dịch ra một địa chỉ IP trước khi nó được truyền qua Internet. Phần lớn các máy tính SMB của người sử dụng chạy hệ điều hành Microsoft Windows đầu tiên tìm kiếm cho những "tên máy chủ" trong "hosts" tập tin của họ trước khi thực hiện một hệ thống tên miền (DNS). Bằng việc "poisoning" các tập tin host, tin tặc có một địa chỉ không có thật truyền, lấy người sử dụng vô tình để giả mạo trang web tương tự với trang web thật và thông tin của họ có thể bị đánh cắp.
System Reconfiguration Attacks sửa đổi cài đặt trên máy tính của người dùng
cho các mục đích độc hại. Ví dụ: URL trong một tập tin yêu thích có thể được sửa đổi để người sử dụng trực tiếp để tìm các trang web như nhau. Ví dụ: một URL của trang web ngân hàng có thể được thay đổi từ "mybank.com" để "mybanc.com".
Theft Data đề cập đến việc ăn cắp tập hợp con của thông tin nhạy cảm được lưu trữ trên máy tính cá nhân không có bảo đảm được lưu trữ ở những nơi khác trên các máy chủ được bảo đảm. Chắc chắn máy tính được sử dụng để truy cập
GVHD: TS. Hoàng Thị Phương Thảo Trang 40 vào máy chủ đó và có thể bị tấn công dễ dàng hơn.Trộm cắp dữ liệu là một phương pháp sử dụng rộng rãi để các hacker kinh doanh. Bằng cách ăn cắp thông tin bí mật, tài liệu thiết kế, ý kiến pháp lý và hồ sơ nhân viên liên quan, vv, kẻ trộm thulợi nhuận từ việc bán cho những ngườimuốn gây rắc rối hoặc gây thiệt hại kinh tế cho đối thủ cạnh tranh.
DNS-Based Phishing thường được gọi là Pharming, Pharming cũng tương tự như Phishing. Tuy nhiên, thay vì cố gắng lấy trực tiếp các thông tin cá nhân, pharming chiếm đoạt các URL hợp pháp ví dụ như www.mybank.com và thay đổi trên DNS để lái sang các địa chỉ IP lừa đảo của chúng. Và những địa chỉ