an toàn thương mại điện tử

HỌC VIỆN NGÂN HÀNGKHOA HỆ THỐNG THÔNG TIN KINH TẾ An toàn thương mại điện tử... Nội dung chínhI-Thương mại điện tử và lợi ích II-An toàn thương mại điện tử III-Các cách tấn công vào hệ

HỌC VIỆN NGÂN HÀNG

KHOA HỆ THỐNG THÔNG TIN KINH TẾ

An toàn thương mại

điện tử

Nội dung chính

I-Thương mại điện tử và lợi ích

II-An toàn thương mại điện tử

III-Các cách tấn công vào hệ thống TMĐT IV-Kĩ thuật mã hóa

V-Chữ kí điện tử

I-TMĐT và lợi ích

1-khái niệm thương mại điện tử

-Là việc tiến hành các giao dịch

thông qua mạng internet, các

mạng truyền thông

- là các giao dịch tài chính và

thương mại bằng giao dịch điện

tử như trao đổi dữ liệu điện tử,

chuyển tiền điện tử và các hoạt

động như rút/gửi tiền bằng thẻ tín

dụng

 TMĐT giúp cho các Doanh

nghiệp nắm được thông tin

phong phú về thị trường

và đối tác

• TMĐT tạo điều kiện cho

việc thiết lập và củng cố

mối quan hệ giữa các

thành phần tham gia vào

quá trình thương mại.

• Tạo điều kiện sớm tiếp

cận nền kinh tế số hoá.

II-An toàn TMĐT 1-Các vấn đề AT TMĐT

• Tính toàn vẹn: dữ liệu/thông tin không bị thay đổi khi lưu trữ hoặc chuyển phát

• Không phủ định: các bên tham gia giao dịch không phủ nhận hành động trực tuyến mà họ đã thực hiện

• Tinh xác thực: khả năng nhận biết các đối tượng tham gia giao dịch

• Cấp phép: xác định quyền truy cập tài nguyên của các tổ chức

• Kiểm soát: tập hợp thông tin về quá trình truy cập của người sử dụng

• Tính tin cậy: ngoài những người có quyền,không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị

• Tính riêng tư: khả năng kiểm soát việc sử dụng các thông tin cá nhân của khách hàng

• Tính lợi ích: các chức năng của một website TMĐT được thực hiện đúng như mong đợi

• 1 Nghe trộm đường truyền: thu thập dữ liệu, sử dụng sai mục đích

• 2 Gửi thông điệp giả tới hệ thống thanh toán với 2 mục đích: 1) làm

hệ thống không hoạt động được (DOS) 2) ăn cắp hàng hóa, tiền

• 3 Xâm nhập hệ thống thanh toán: lấy dữ liệu giao dịch bí mật, ….

Mất an toàn trong thanh toán

Nguyên nhân cản trở Thương mại điện tử phát triển

“Lý do đầu tiên làm người dùng ngần

ngại khi sử dụng TMĐT là lo bị mất

thông tin thẻ tín dụng, bí mật cá nhân bị

dùng sai mục đích.”

www.ecommercetimes.com

Một số bài học đáng nhớ

Trên thế giới

-Cuộc tấn công từ chối dịch

vụ ồ ạt vào các trang web

• Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm

đầu để rút được số tiền khoảng 2,6 tỷ đồng

• 235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công Trong đó có web của Bộ Thương mại - mot.gov.vn,

Bộ Tài nguyên Môi trườngciren gov.vn, Bộ Khoa học Công nghệ - oss.gov.vn…

Web site của Ban Quản lý dự án DSM/EE

- Cục Điều tiết điện lực – Bộ Công Thương

bị hacker tấn công

III-Các cách tấn công vào hệ thống

TMĐT

1 Virus và sâu máy tính

2 Tấn công từ chối dịch vụ (Dos)

3 Tấn công từ chối dịch vụ phân tán(DDos)

1-virus và sâu máy tính

• Ngày 3/11/1983 cái gọi là

virus máy tính lần đầu tiên

các đối tượng lây nhiễm

khác như: File, ổ đĩa, máy

tính,…

Các cách lây nhiễm của virus

• Lây nhiễm theo cách cổ điển: đó

là thông qua các thiết bị lưu trữ

di động như USB, các ổ đĩa cứng di động hoặc các thiết bị giải trí kĩ thuật số

• Lây nhiễm qua thư điện tử: Bao gồm lây nhiễm vào các file đính kèm, lây nhiễm do mở một liên kết trong thư điện tử, lây nhiễm ngay khi mở để xem thư điện tử.

• Lây nhiễm qua mạng internet: Đây là hình thức lây nhiễm chính của virus hiện nay

2-Dos (Danial Of Service)

• Khái niệm

- Tấn công từ chối dịch vụ là hành động mà các tin tặc lợi dụng đặc điểm hoặc lỗi an toàn thông tin của một hệ thống dịch vụ nhằm làm ngưng trệ hoặc ngăn cản người dùng

truy nhập dịch vụ đó

• Đặc Điểm

- Gây cho chương trình hoặc hệ thống bị đổ vỡ hoặc bị treo,

tê liệt từng phần hoặc toàn bộ

- không lấy mất thông tin của hệ thống

-Đôi khi không làm tê liệt hệ thống, nhưng làm chậm và

giảm khả năng phục vụ của hệ thống

Cách thức tấn công

• Kiểu 1:gây quá tải cho hệ thống khiến cho

hệ thống mất khả năng phục vụ cho người dùng thực sự

• Kiểu 2 :dựa vào đặc điểm đặc biệt của hệ thống hoặc lỗi an toàn thông tin để từ đó gây cho hệ thống bị treo, tê liệt

một số hình thức tấn công kiểu thứ nhất

• Thông qua kết nối (kiểu SYN flood )

• Lợi dụng nguồn tài nguyên của chính nạn nhân

• Sử dụng băng thông (Tấn công kiểu DDoS)

Tên một số hình thức tấn công kiểu 2

• Tấn công kiểu Smurf Attack

• Tấn công kiểu Tear Drop

• Phá hoại hoặc chỉnh sửa thông tin cấu hình

• Phá hoại hoặc chỉnh sửa phần cứng

3-DDos (Distributed Denial Of Service )

• Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu

Các giai đoạn tấn công kiểu Ddos

• GĐ1: Chuẩn bị công cụ và chiếm một số host trên mạng

• GĐ2: Xác định mục tiêu và thời điểm

• GĐ3: Phát động tấn công và xóa dấu vết

Các kiểu tấn công của Ddos

• Loại thứ nhất: Tấn công làm cạn kiệt

băng thông của mạng (Band with

depletion attack):

+ Flood attack

+ Amplification attack

• Loại thứ hai: Tấn công làm cạn kiệt tài

nguyên ( Resource Depletion Attack )

IV- Kỹ thuật mã hóa

1.Khái niệm và thuộc tính

-KN:Mã hoá là một tiến trình biến đổi thông tin, sử dụng các thuật toán nhằm mục đích không cho người khác có thể nắm bắt được nếu thiếu một vốn thông số nhất định (key) để dịch ngược.

-Thuộc tính:

+ Bí mật

+ Nguyên vẹn

+ Xác thực

2.các kĩ thuật mã hóa cơ bản

• Mã hoá đối xứng

(Symmetric-key

algorithms):

+ các khoá (key) dùng cho

việc mã hoá và giải mã

có quan hệ ràng buộc với

nhau (về mặt toán học)

+ Hạn chế: khi trao đổi,

khoá mã phải được 2 bên

nắm giữ bảo vệ khó

khăn

hoá gọi là khoá công

khai (public key)

+ khoá dùng để giải mã

thông tin là khoá riêng

tư (private key)

• Mã hoá một chiều (hàm băm) :

-tính chất cơ bản của hàm băm:

+ Tính một chiều : không thể suy ra dữ liệu ban đầu từ kết quả

+ Tính duy nhất : xác suất để có một vụ va chạm (hash collision),tức là hai thông điệp khác nhau

có cùng một kết quả hash, là cực kì nhỏ.

- Ứng dụng của hàm hash :

+ Chống và phát hiện xâm nhập: chương trình

chống xâm nhập so sánh giá trị hash của một file

với giá trị trước đó để kiểm tra xem file đó có bị ai

đó thay đổi hay không

+ Bảo vệ tính toàn vẹn của thông điệp được gửi

qua mạng bằng cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những

thay đổi cho dù là nhỏ nhất

+Tạo chìa khóa từ mật khẩu

+Tạo chữ kí điện tử

V-CHỮ KÍ ĐIỆN TỬ

1-khái niệm và chức năng

• Khái niệm: Chữ ký điện tử được tạo lập dưới dạng

từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết

hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung

thông điệp dữ liệu được ký

(Luật Giao dịch điện tử)

Tiến trình ký

Tiến trình kiểm tra chữ ký

Thank U Vinamilk !!