ch5-cacnguycotronge-commerce

 Người sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác..  Phương pháp thông dụng được dùng để cài Troj

Bài 5

Mối đe dọa an ninh trong TMĐT

Khái niệm về việc bảo vệ

 Một số hiểm họa

 Các e-mail gửi đến

 Truy xuất trái phép các thông tin số

 Thông tin thẻ tín dụng rơi vào tay kẻ xấu

Khái niệm về việc bảo vệ

 Các biện pháp phòng vệ và trả đũa

(bằng hình thức vật lý hay logic) được thực hiện nhằm nhận diện, giảm thiểu hay loại bỏ các mối đe doạ

4

Bản quyền và sở hữu trí tuệ

 Sở hữu trí tuệ-Intellectual property

 Bảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đó

 U.S Copyright Act 1976

 Bảo vệ quyền tác giả trong thời gian hạn

định

 Copyright Clearance Center

 Cấp giấy phép sử dụng

Copyright Clearance Center Home Page

SPAM

 Ngày nay người sử dụng Internet phải đối mặt với rất nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp –

spyware), bị đánh cắp dữ liệu, bị đánh phá website (nếu là chủ sở hữu

website) v.v

 Spam (thư rác): người nhận mỗi ngày có

thể nhận vài, vài chục, đến vài trăm thư rác, gây mất thời gian, mất tài nguyên (dung

lượng chứa, thời gian tải về )

 Xuất hiện lần đầu tiên vào năm 1983

 Virus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa

 Mức độ nghiêm trọng của virus dao động

khác nhau tùy vào chủ ý của người viết ra virus, ít nhất virus cũng chiếm tài nguyên

trong máy tính và làm tốc độ xử lý của máy tính chậm đi, nghiêm trọng hơn, virus có thể xóa file, format lại ổ cứng hoặc gây những

hư hỏng khác

VIRUS

 Trước kia virus chủ yếu lan tỏa qua việc sử dụng chung file, đĩa mềm

 Ngày nay trên môi trường Internet, virus có cơ

hội lan tỏa rộng hơn, nhanh hơn.

 Virus đa phần được gửi qua email, ẩn dưới các file gửi kèm (attachment) và lây nhiễm trong

mạng nội bộ các doanh nghiệp, làm doanh nghiệp phải tốn kém thời gian, chi phí, hiệu quả, mất dữ liệu

 Cho đến nay hàng chục nghìn loại virus đã được nhận dạng và ước tính mỗi tháng có khoảng 400 loại virus mới được tạo ra

Câu hỏi

 Khái niệm sâu máy tính Worm

 Tác hại ?

WORM

 Sâu máy tính (worms): sâu máy tính khác

với virus ở chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống

 Ví dụ: sâu mạng (network worm) tự nhân bản trong toàn hệ thống mạng

 Sâu Internet tự nhân bản và tự gửi chúng qua hệ thống Internet thông qua những

máy tính bảo mật kém

 Sâu email tự gửi những bản nhân bản của chúng qua hệ thống email

Câu hỏi

 Khái niệm Trojan

 Tác hại

 Cách lây nhiễm

sử dụng máy tính không hay biết.

 Trojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại hết những

phím đã được gõ rồi sau đó gửi “báo cáo” về cho một địa chỉ email được quy định trước (thường là địa chỉ email của chủ nhân của Trojan).

 Người sử dụng máy tính bị nhiễm Trojan có thể

bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín

dụng và những thông tin quan trọng khác.

 Phương pháp thông dụng được dùng để cài Trojan

là gửi những email ngẫu nhiên với nội dung

khuyến cáo người sử dụng nên click vào một

đường link cung cấp trong email để đến một

website nào đó Và nếu người nhận email tin lời

và click thì máy tính của họ sẽ tự động bị cài

Trojan Không giống như virus, Trojan không tự nhân bản được

 Xuất hiện từ năm 1996

 Mưu đồ sử dụng email, tin nhắn dạng

pop-up hay các trang web để đánh lừa người

dùng cung cấp các thông tin nhạy cảm

 Số thẻ tín dụng, số tài khoản ngân hàng, mật mã

PHISHING

 Một nguy cơ khác xuất hiện nhiều gần đây là những kẻ lừa đảo tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng và tối ưu hóa chúng trên Google để

“nạn nhân” tự tìm thấy và mua hàng/dịch vụ trên những website này.

 Thực tế, khi nạn nhân đã chọn hàng/dịch vụ và cung cấp đầy đủ thông tin thẻ tín dụng, nạn nhân sẽ không nhận được hàng/dịch vụ đã mua mà bị đánh cắp toàn bộ thông tin thẻ tín dụng, dẫn đến bị mất tiền trong tài khoản

Câu hỏi

 Theo anh chị, nhằm bảo vệ hệ thống

mạng máy tính, người quản trị phải tiến hành công việc gì ?

 An ninh vật lý - Physical security

 An ninh mạng - Network security

 Quyền truy cập - Access authorizations

 Ngăn chặn vi rút - Virus protection

 Phục hồi thông tin - Disaster recovery

Mô tả các thành phần trong

chính sách

 Xác thực - Authentication

 Những ai đang truy xuất vào website?

 Quyền truy cập - Access Control

 Những ai được phép đăng nhập và truy xuất thông tin trong website

 Bảo mật - Secrecy

 Những ai được phép xem các thông tin nhạy cảm, bí mật

Mô tả các thành phần trong

chính sách

 Toàn vẹn dữ liệu - Data integrity

 Ai được quyền cập nhật thông tin, dữ liệu

 Kiểm tra-Theo dõi-Thống kê (Audit)

 Những ai đã truy cập vào hệ thống? khi nào? bao lâu ?

 NSD đã sử dụng và truy nhập các tài

nguyên nào ?

Mối đe dọa với sở hữu trí tuệ

 Mạng Internet : tác nhân lôi kéo tình

trạng (mối đe dọa) vấn đề bảo vệ sở

hữu trí tuệ

 Dễ dàng thu thập và “tái tạo”các thông tin, sản phẩm, tìm thấy trên Internet

 NSD không có ý thức về các qui định bản quyền cũng như không có chủ ý vi phạm

The Copyright Website Home Page

Mối đe dọa với sở hữu trí tuệ

 Cybersquatting (bất hợp pháp)

 Đăng ký 1 tên miền với thương hiệu của 1

cá nhân hay 1 công ty khác

 Cybersquatters : hy vọng chủ nhân các công ty hay thương hiệu sẽ trả tiền để mua lại các

URL này

 Vài Cybersquatters mạo danh chủ thương hiệu nhằm mục đích xuyên tạc, lừa dối

Câu hỏi

 Máy của NSD có thể bị “tấn công” bằng các “con đường” nào ?

Các mối đe dọa

 Phía máy NSD

 Active Content

 Java applets, Active X controls, JavaScript, và VBScript

 Các chương trình chứa các mã lệnh thi hành,

mã thông dịch được nhúng vào các đối tượng tải về

 Một số nội dung active có ý đồ xấu nhúng vào các trang web có vẻ vô hại

 Cookies : lưu lại tên tài khoản, mật khẩu và

các thông tin tham khảo khác

 Các ứng dụng dạng applets có thể

được nhúng vào trang web và tải về

 Độc lập với nền phần cứng và hệ điều hành

Ví dụ minh họa 1 Java Applet

Sun’s Java Applet Page

Java, Java Applets,

và JavaScript

 Java sandbox

 Bao gồm các qui tắc cùng 1 cơ chế để các applet hoạt trong 1 môi trường hoàn toàn đảm bảo an toàn

 Các applet chưa được xác thực tính an

toàn buộc phải hoạt động dưới cơ chế này

 Signed Java applets

 Chữ ký điện tử được nhúng trong applet

để xác nhận tính xác thực

ActiveX Controls

 ActiveX : là 1 “đối tượng”, còn gọi là

“điều khiển” chứa các chương trình,

các thuộc tính, thực hiện các nhiệm vụ

đã được thiết kế

 ActiveX : chỉ hoạt động trong môi

trường Windows 95, 98,2K,XP,

 Một khi được tải về, các điều khiển

ActiveX hoạt động như 1 chương trình :

có toàn quyền truy xuất các tài nguyên trên máy tính

ActiveX Warning Dialog box

Hình ảnh,các Plug-ins, và thông tin đính kèm theo E-mail

 Khả năng cài đặt các mã lệnh trong các ảnh đồ họa gây hại máy tính!!

 Plug-ins : thường được sử dụng để

thực hiện các thông tin multimedia

(audiovisual clips, animated graphics)

 Có khả năng chứa các đoạn mã lệnh bên trong đối tượng với mục đích xấu

 Các thông tin đính kèm E-mail có khả năng chứa các macro hủy diệt bên

trong

Netscape’s Plug-ins Page

Figure 5-7

 Đánh cắp các thông tin nhạy cảm, các

thông tin cá nhân

 Địa chỉ IP thường bị lộ khi duyệt Web

Hiểm họa từ các kênh truyền

 Toàn vẹn thông tin - Integrity Threats

 Tương tự hành động nghe trộm điện

thoại(wiretapping)

 Thay đổi dữ liệu trái phép

 Ví dụ thay đổi lượng tiền gửi/tiền rút

Anonymizer’s Home Page

Figure 5-8

Hiểm họa từ các kênh truyền

thông

 Đáp ứng yêu cầu - Necessity Threats

 Còn gọi là delay/denial threats , DoS

 Phá hủy quá trình xử lý của MTĐT

Câu hỏi

 Anh chị hãy đưa ra một vài biện pháp nhằm bảo vệ NSD khi truy cập Internet

An toàn mạng dành cho cá

nhân tự bảo vệ mình

 Khi nhận spam  xóa bỏ hết

 Không click vào bất kỳ đường link nào trong email

 Không mở lên các file gửi kèm trong email.

 Đừng trả lời những email spam

 Ngay cả chức năng “Từ chối nhận” (Unsubscription) cũng

đã bị lợi dụng để người gửi spam kiểm tra tính hiện hữu của tài khoản email,

 Cài những chương trình chống virus mới nhất, cập nhật chương trình thường xuyên

giao thức truyền an toàn (https://)

 Nếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn ngân hàng gửi về để kịp thời phát hiện sự

cố nếu có

An toàn mạng dành cho cá

nhân tự bảo vệ mình

 Khi nhận được những email từ người lạ với những file gửi kèm thì phải rất cẩn thận

 Trong khi lướt web nếu thấy xuất hiện

những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ

dàng chọn “OK” hay “Yes”

 Nếu phải dùng máy tính dùng chung thì

không nên dùng chức năng “Nhớ

Password”

Câu hỏi

 Anh chị thử đưa ra 1 vài biện pháp bảo

vệ cho máy phục vụ

 Cấp cao nhấp : cung cấp đầy đủ các

quyền truy xuất và tính uyển chuyển,mềm dẻo

 Cấp thấp nhất : cung cấp 1 hàng rào bảo

vệ (logic) xung quanh chương trình đang hoạt động

Các mối đe dọa với máy

phục vụ

 Danh sách các thư mục của máy phục

vụ xuất hiện trên trình duyệt !!!!

 Quản trị site cần tắt tính năng hiện

danh sách các folder nhằm tránh hiểm họa

 Truyền/phát các cookies với sự bảo vệ nghiêm ngặt

Danh mục các folder xuất hiện

trên trình duyệt

Các mối đe dọa với máy

phục vụ

 Một trong những thông tin quan trọng được lưu trữ trên máy phục vụ web : thông tin tài khoản NSD và mật khẩu

 Người quản trị web phải chịu trách

nhiệm bảo mật những thông tin này và các thông tin quan trọng khác

Câu hỏi

 Doanh nghiệp thực hiện TMĐT cần

quan tâm và tự bảo vệ như thế nào ???

Bảo vệ phía doanh nghiệp

 Hacking: doanh nghiệp nên thường

xuyên kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố (website không hiện lên, gõ tên miền đúng mà không thấy website của mình hiện lên hoặc hiện lên những thông tin lạ ) Với ba loại rủi ro thường gặp:

Bảo vệ phía doanh nghiệp

 Bị tấn công từ chối phục vụ (DoS: Denial of Service): trường hợp này nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý

 Bị cướp tên miền: doanh nghiệp có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý

 Bị xâm nhập host hoặc dữ liệu trái phép: nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch

vụ host xử lý phải nêu rõ phương thức xử lý, phục hồi khi gặp

sự cố này Cách thức thông thường là nhà cung cấp dịch vụ phải định kỳ back-up (sao lưu) các file, dữ liệu của website, và nhà cung cấp dịch vụ phải có ít nhất hai host cùng lúc để nếu host này có sự cố thì chuyển sang host kia

Bảo vệ phía doanh nghiệp

 Tự bảo vệ password : nếu doanh

nghiệp có những tài khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản quản lý tên miền, tài khoản quản

lý host ) thì càng ít người biết

password của những tài khoản này

càng tốt Khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password của tài khoản

Bảo vệ phía doanh nghiệp

 An toàn mạng nội bộ : nếu doanh nghiệp có mạng

nội bộ thì an toàn trong mạng nội bộ cũng phải được lưu ý Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v Vì

nếu một máy con trong mạng nội bộ bị nhiễm virus thì toàn bộ mạng sẽ bị ảnh hưởng, gây hậu quả gián đoạn hoạt động, mất dữ liệu v.v

 An toàn dữ liệu, thông tin : những thông tin quan

trọng không cần chia sẻ cho nhiều người thì không

nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao

lưu) lưu trên đĩa CD v.v

Các mối đe dọa với CSDL

 Các thông in riêng tư, có giá trị nếu bị tiết lộ : gây những thiệt hại không thể

bù đắp cho công ty

 Bảo mật thực hiện thông qua quyền

hạn sử dụng qui định

 Nhiều phần mềm CSDL không có tính bảo mật cao và phó thác vào sự bảo mật của website

Oracle Security Features Page

Các mối đe dọa khác

 Các mối đe dọa từ Common Gateway Interface (CGI)

 Nếu không sử dụng đúng cách, các

chương trình CGIs cũng là những mối đe dọa tiềm ẩn

 Các chương trình CGI thường lưu trú

nhiều nơi trên Website và rất khó theo

dõi , lần dấu vết để phát hiện các sai sót

 CGI scripts không hoạt động như

JavaScript (với cơ chế sandbox)

Các mối đe dọa khác

 Các đe dọa từ các chương trình bao

gồm:

 Các chương trình hoạt động trên server

 Lỗi tràn bộ đệm(Buffer overruns)

 Gây tình trạng “Runaway code segments”

 Sâu Internet (Internet Worm) là 1 hình thái của runaway code segment

 Tấn công từ các đoạn mã xâm nhập bất hợp pháp tạo tình trạng”Buffer overflow” : chúng tìm cách chiếm dụng các điều khiển

đã được xác thực

Tấn công dạng Buffer Overflow

Computer Emergency Response

Team (CERT)

 Đặt tại Carnegie Mellon University

 Chịu trách nhiệm theo dõi, phát hiện, cảnh báo, các vấn đề an toàn , an

ninh trên mạng

 Gửi các cảnh báo (CERT alerts) đến

cộng đồng Internet về các mối đe dọa bảo mật

CERT Alerts

Một vài đề nghị

 Nếu là doanh nghiệp

 Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ sẽ chịu trách nhiệm về việc tăng cường

an toàn mạng, an toàn thông tin cho họ, và có

nghĩa là cho cả website của ta

 Sau khi login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), luôn phải thực hiện động tác logout (thoát) để đảm bảo các cửa ngõ phải được khóa lại ngay sau khi thoát ra

Một vài đề nghị

 Nếu là người mua

 Không truy cập vào hệ thống khi sử dụng máy tính công cộng

 Không mở những email có file gửi kèm (attachment) mà người gửi có vẻ như xa

lạ Thậm chí đừng tin những email mang tên người gửi là Microsoft, Yahoo hay

tương tự bởi vì đây có thể là thủ thuật giả danh của hacker để lừa

Một vài đề nghị

 Thứ 2, về mối lo ngại bị ăn cắp số thẻ tín dụng khi mua hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp)

 Nếu là người mua: chỉ nên mua hàng ở những website tốt, tin cậy.

 Làm sao để đánh giá website tin cậy ?

Một vài đề nghị

 Tên tuổi người bán

 Trình bày gian hàng một cách chuyên nghiệp, không có lỗi chính tả, câu cú

rõ ràng v.v…

 Đọc phần About Us của họ để tìm một địa chỉ văn phòng cụ thể

 Đừng bao giờ cung cấp thông tin thẻ tín dụng cho các website khiêu dâm

trên mạng

Một vài đề nghị

 Nếu là người bán :

 Nên nhờ trung gian để xử lý thẻ tín dụng

 Phải trả môt khoản chi phí % dựa trên doanh thu cho họ

 Đảm bảo kỹ thuật.

 Thông thường phải gửi hàng đi, khi người mua nhận được hàng mới được nhận tiền vào tài khoản của bạn

 Nếu gặp phải thẻ tín dụng bất hợp pháp  sẽ mất trắng món hàng và mất một khoản chi phí xử lý thẻ

 Theo thống kê, chỉ có khoản 3% giao dịch là gặp phải

trường hợp dùng thẻ tín dụng giả

 Khoản lời từ việc bán cho 97% khách hàng trung thực

cũng đủ để bù cho khoản mất mát trong 3% gian lận này

Bài Kỳ Sau

Thực Hiện Bảo Mật trong

Thương Mại Điện Tử