ch46-rui-ro-trong-tmdt

sử dụng máy tính không hay biết•Không giống như virus, Trojan không tự nhân bản được •Người sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng v

1 Giới thiệu

 Các e-mail gửi đến

 Truy xuất trái phép các thông tin số

 Thông tin thẻ tín dụng rơi vào tay kẻ xấu

1 Giới thiệu

 Bảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đó

 Bảo vệ quyền tác giả trong thời gian hạn định

 Copyright Clearance Center

 Cấp giấy phép sử dụng

Copyright Clearance Center Home Page

National Copyright Office of Việt Nam

Cục Bản quyền Tác giả Văn học Nghệ thuật

Street address: Ngõ 151, Hoàng Hoa Thám, Quận Ba Đình, Hà Nội, Việt Nam Telephone: 84 (0) 4 823 6908

Fax: 84 (0) 4 843 2630

E-mail: cbqtg@hn.vnn.vn

Website: http://www.cov.org.vn/

Proprietor: Ministry of Culture, Sports and Tourism (MCST)

Contact: TS Vũ Mạnh Chu Director General

Telephone: 84 (0) 4 847 0994, 84 (0) 91 321 9787 (mobile)

Contact: Vũ Ngọc Hoan Deputy Director General

Telephone: 84 (0) 4 847 0485, 84 (0) 98 915 2657 (mobile)

 Là loại phầm mềm mà người dùng được dùng thử trong một thời gian (free trial), khi hết thời gian dùng thử mà muốn dùng tiếp thì phải trả tiền để mua bản quyền

 Đây là một mô hình kinh doanh trong phân phối phần mềm

với rất nhiều rủi ro như: virus, lừa đảo, bị theo

dõi (gián điệp – spyware), bị đánh cắp dữ liệu, bị đánh phá website (nếu là chủ sở hữu website)

nhóm người và chất lượng của loại thư này

thường thấp

thẻ tín dụng và các tin tức cá nhân của họ

thể vì các spam mail này mà bị đầy cả hộp thư

lợi dụng Việc quan trọng nhất của ngưòi dùng hộp

mà các thư này yêu cầu và việc đơn giản là xóa

chúng đi

 thư điện tử

 mạng

 Có lẽ thư nhũng lạm đã có từ năm 1978 , được gửi đi bởi hãng DEC trên

hệ thống ARPANET trong một thư mời mọi người ở vùng biển miền Tây Hoa kỳ đến gặp tại California.

 Một số tài liệu cho rằng chữ SPAM bắt nguồn từ chữ Shoulder Pork and

hAM"/"SPiced hAM một loại đồ ăn trưa đóng hộp của hãngHormel Foods.

 Ngày 12.04.1994 rất nhiều người đã nhận được một mẫu quảng cáo vô bổ

từ hai luật sư Laurence Canter và Martha Siegel Đây không phải là lần đầu tiên các thư quảng cáo được tung ra nhưng lại là lần đầu tiên chữ spam được dùng rộng rãi

 Phần mềm chống thư nhũng lạm đầu tiên xuất hiện vào năm 1997 bởi công ty Goo Software Phần mềm này được viết cho máy Apple có tên gọi

là Spam Blaster

 Vào khoảng 2001 thì các phần mềm chống spam xuất hiện ồ ạt trên thị trường cho Windows

Green Card Lottery 1994 May Be The Last One!

THE DEADLINE HAS BEEN ANNOUNCED.

The Green Card Lottery is a completely legal program giving away a certain annual allotment of Green Cards to persons born in certain countries The lottery program was scheduled to continue on a

permanent basis However, recently, Senator Alan J Simpson introduced a bill into the U S Congress which could end any future lotteries THE 1994 LOTTERY IS SCHEDULED TO TAKE PLACE SOON, BUT IT MAY BE THE VERY LAST ONE.

PERSONS BORN IN MOST COUNTRIES QUALIFY, MANY FOR FIRST TIME.

The only countries NOT qualifying are: Mexico; India; P.R China; Taiwan, Philippines, North Korea, Canada, United Kingdom (except Northern Ireland), Jamaica, Domican Republic, El Salvador and Vietnam.

Lottery registration will take place soon 55,000 Green Cards will be given to those who register

correctly NO JOB IS REQUIRED.

THERE IS A STRICT JUNE DEADLINE THE TIME TO START IS NOW!!

For FREE information via Email, send request tocslaw@indirect.com

bản và lan tỏa.

vào chủ ý của người viết ra virus:

 ít nhất virus cũng chiếm tài nguyên trong máy tính và làm tốc

độ xử lý của máy tính chậm đi

 nghiêm trọng hơn, virus có thể xóa file, format lại ổ cứng

hoặc gây những hư hỏng khác

file, đĩa mềm

rộng hơn, nhanh hơn.

kèm (attachment) và lây nhiễm trong mạng nội bộ các

doanh nghiệp, làm doanh nghiệp phải tốn kém thời gian, chi phí, hiệu quả, mất dữ liệu

dạng và ước tính mỗi tháng có khoảng 400 loại virus mới được tạo ra

WORM  Sâu máy tính (worms): sâu máy tính

khác với virus ở chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống

 Sâu email tự gửi những bản nhân bản của chúng qua hệ thống email

 Sâu máy tính khác với

virus ở chỗ ?

 Ví dụ?

sử dụng máy tính không hay biết

•Không giống như virus, Trojan không tự nhân bản được

•Người sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác

•Gửi email với nội dung khuyến cáo người sử dụng nên click vào một đường link cung cấp trong email để đến một website nào đó

• Xuất hiện từ năm 1996

• Mưu đồ sử dụng email, tin nhắn dạng pop-up hay các trang web để đánh lừa người dùng cung cấp các thông tin nhạy cảm

• Lấy cắp thông tin quan trọng

• Thẻ tín dụng => mất tiềnTạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng và tối ưu hóa chúng trên Google để “nạn nhân” tự tìm thấy và mua hàng/dịch vụ trên những website này

2 Rủi ro trong TMĐT

“High risk-high profit”

 Thương mại điện tử ra đời với sứ mệnh đem lại cho

những người biết tận dụng nó hàng loạt các cơ hội để

nâng cao lợi nhuận của mình và chiến thắng trên thương trường

 Tuy nhiên, “High risk-high profit” , nó cũng chứa đựng những rủi ro ở nhiều hình thức tinh vi và phức tạp

 Chính vì thế mà an toàn , an ninh mạng đã trở nên một

tiêu chí đánh giá sự thành công của các hoạt động thương mại điện tử và cũng là vấn đề mà bất kỳ một doanh nghiệp nào cũng phải quan tâm tới khi tiến hành các giao dịch

qua mạng hay tham gia các dịch vụ thương mại điện tử khác

Nhóm rủi ro dữ liệu

nghiệp

hợp đồng hay

Nhóm rủi ro công nghệ

khi công nghệ của doanh nghiệp chưa đáp ứng được với trình độ của dịch vụ sử dụng

 cơ sở vật chất

 trình độ của người sử dụng

Nhóm rủi ro đường truyền và các thủ tục, quy trình giao dịch

 Nhóm rủi ro đường truyền

Rủi ro về pháp lý và các tiêu chuẩn công nghiệp

 Rủi ro về pháp lý

 Rủi ro về các tiêu chuẩn công nghiệp

Đây là vấn đề đặc biệt quan trọng với các doanh nghiệp Việt Nam khi tham gia thương mại quốc tế

Nhìn nhận dưới góc độ khác

 Rủi ro đối với máy chủ

 Rủi ro đối với máy khách

 Rủi ro đối với kênh truyền thông

Rủi ro đối với máy chủ

 Các hiểm hoạ đối với máy chủ Web

 Các đe dọa đối với máy chủ cơ sở dữ liệu

Các hiểm hoạ đối với máy chủ Web

 Máy chủ Web được thiết lập chạy ở các mức đặc quyền khác nhau

 Mức thẩm quyền cao nhất có độ mềm dẻo cao nhất , cho

phép các chương trình, thực hiện tất cả các chỉ lệnh của máy và không giới hạn truy nhập vào tất cả các phần của hệ thống, không ngoại trừ các vùng nhạy cảm và phải có thẩm quyền

 Mức thẩm quyền thấp nhất tạo ra một rào cản logic xung quanh một chương trình đang chạy, ngăn chặn không cho

nó chạy tất cả các lớp lệnh của máy và không cho phép nó truy nhập vào tất cả các vùng của máy tính

 Trong hầu hết thời gian, máy chủ Web cung cấp các dịch

vụ thông thường và thực hiện các nhiệm vụ với một mức thẩm quyền rất thấp

Các đe dọa đối với máy chủ cơ sở dữ liệu

 Các hệ thống thương mại điện tử lưu giữ dữ liệu của người dùng và lấy lại các thông tin về sản phẩm từ các cơ sở dữ liệu kết nối với máy chủ Web.

 Ngoài các thông tin về sản phẩm, các cơ sở dữ liệu có thể chứa các

thông tin có giá trị và mang tính riêng tư

 Hầu hết các hệ thống cơ sở dữ liệu có quy mô lớn và hiện đại sử dụng các đặc tính an toàn cơ sở dữ liệu dựa vào mật khẩu và tên người

dùng Sau khi được xác thực, người sử dụng có thể xem các phần đã chọn trong cơ sở dữ liệu

 Tính bí mật luôn sẵn sàng trong các cơ sở dữ liệu , thông qua các đặc quyền được thiết lập trong cơ sở dữ liệu

 Tuy nhiên, một số cơ sở dữ liệu lưu giữ mật khẩu/tên người dùng một cách không an toàn, hoặc dựa vào máy chủ Web để có an toàn Khi an toàn bị vi phạm, CSDL bị sử dụng bất hợp pháp, làm lộ hoặc tải về các thông tin mang tính cá nhân và quý giá

Rủi ro đối với máy khách

 Các trang web ngày càng được thiết kế sống động là do việc sử dụng rộng rãi các nội dung động (active content)

 Active content được cung cấp theo một số dạng Các dạng active

content được biết đến nhiều nhất là applets, ActiveX controls,

JavaScript và VBScript

 Bất kỳ ai cố tình gây hại cho một máy khách đều có thể nhúng một

active content gây hại vào các trang Web

 Trên máy tính cá nhân có lưu một số lượng lớn các cookie giống như trên Internet và một số các cookie có thể chứa các thông tin nhạy cảm

và mang tính chất cá nhân

 Có rất nhiều chương trình phần mềm miễn phí có thể giúp nhận dạng, quản lý, hiển thị hoặc loại bỏ các cookie.Ví dụ, Cookie Crusher (kiểm soát các cookie trước khi chúng được lưu giữ trên ổ cứng của máy tính) và Cookie Pal

Rủi ro đối với kênh truyền thông

 Internet đóng vai trò kết nối một khách hàng với một tài nguyên thương mại điện tử (máy tính dịch vụ thương mại) Chúng ta đã xem xét các hiểm hoạ đối với các máy khách, các tài nguyên tiếp theo chính là kênh truyền thông, các kênh này được sử dụng để kết nối các máy khách và máy chủ.

 Các thông báo trên Internet được gửi đi theo một đường dẫn ngẫu nhiên, từ nút nguồn tới nút đích Các thông báo đi qua một số máy tính trung gian trên mạng trước khi tới đích cuối cùng và mỗi lần đi, chúng có thể đi theo những tuyến đường khác nhau

 Không có gì đảm bảo rằng tất cả các máy tính mà thông báo đi qua trên

Internet đều an toàn Những đối tượng trung gian có thể đọc các thông báo, sửa đổi, hoặc thậm chí có thể loại bỏ hoàn toàn các thông báo của chúng ta ra khỏi Internet

 Do vậy, các thông báo được gửi đi trên mạng là đối tượng có khả năng bị

xâm phạm đến tính an toàn, tính toàn vẹn và tính sẵn sàng

3 Phòng chống rủi ro

Cá nhân tự bảo vệ mình

 Khi nhận spam  xóa bỏ hết

 Không click vào bất kỳ đường link nào trong email

 Không mở lên các file gửi kèm trong email

 Đừng trả lời những email spam

 Ngay cả chức năng “Từ chối nhận” (Unsubscription) cũng đã bị lợi dụng để người gửi spam kiểm tra tính hiện hữu của tài khoản email,

 Cài những chương trình chống virus mới nhất, cập nhật chương trình thường xuyên

Cá nhân tự bảo vệ mình

 Bỏ qua mọi email yêu cầu cung cấp thông tin cá nhân Hầu hết tất

cả đó đều là trò lừa đảo hoặc có âm mưu gián điệp (spyware) hay virus Ngân hàng hay dịch vụ thanh toán qua mạng không bao giờ yêu cầu thông tin “nhạy cảm” qua mạng Internet Nếu có yêu cầu thì đó phải là form nhập thông tin từ website của chính tổ chức đó,

với giao thức truyền an toàn (https://)

 Nếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra

kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn ngân hàng gửi về để kịp thời phát hiện sự cố nếu có

 Sau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web, tránh người khác dùng máy tính đó trong vài phút sau có thể truy cập vào được

 Nếu phải dùng máy tính dùng chung thì không nên dùng chức năng “Nhớ Password”

Cá nhân tự bảo vệ mình

1 Avast! Home Edition 4.7

2 Avira AntiVir PersonalEdition Classic 7

3 Comodo AntiVirus

4 ClamWin

5 PC Tools AntiVirus Free Edition

6 AVG Anti Virus Version 7.5 Free Edition (Grisoft)

 ZoneAlarm Firewall

Bảo vệ phía doanh nghiệp

 Hacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động của website

của mình để kịp thời phát hiện sự cố (website không hiện lên, gõ tên miền đúng mà không thấy website của mình hiện lên hoặc hiện lên những thông tin lạ )

 Với ba loại rủi ro thường gặp:

 Bị tấn công từ chối phục vụ (DoS: Denial of Service): trường hợp này nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý

 Bị cướp tên miền: doanh nghiệp có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý

 Bị xâm nhập host hoặc dữ liệu trái phép: nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý phải nêu rõ phương thức xử lý, phục hồi khi gặp sự cố này Cách thức thông thường

là nhà cung cấp dịch vụ phải định kỳ back-up (sao lưu) các file, dữ liệu của website, và nhà cung cấp dịch vụ phải có ít nhất hai host cùng lúc để nếu host này có sự cố thì chuyển sang host kia

Bảo vệ phía doanh nghiệp

 Tự bảo vệ password : nếu doanh nghiệp có những tài

khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản

quản lý tên miền, tài khoản quản lý host ) thì càng ít người biết password của những tài khoản này càng

tốt Khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password của tài khoản

Bảo vệ phía doanh nghiệp

 An toàn mạng nội bộ : nếu doanh nghiệp có mạng nội bộ

thì an toàn trong mạng nội bộ cũng phải được lưu ý

Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v Vì nếu một máy con trong mạng nội bộ bị nhiễm virus thì toàn bộ mạng sẽ bị ảnh hưởng, gây hậu quả gián đoạn hoạt động, mất dữ liệu v.v

 An toàn dữ liệu, thông tin : những thông tin quan trọng

không cần chia sẻ cho nhiều người thì không nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao lưu) lưu trên đĩa CD v.v

Một vài đề nghị

 Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch

vụ sẽ chịu trách nhiệm về việc tăng cường an toàn

mạng, an toàn thông tin cho họ, và có nghĩa là cho cả website của ta

 Sau khi login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), luôn phải thực hiện động tác logout (thoát) để đảm bảo các cửa ngõ phải được khóa lại ngay sau khi thoát ra

Một vài đề nghị

 Không truy cập vào hệ thống khi sử dụng máy tính

công cộng

 Không mở những email có file gửi kèm (attachment)

mà người gửi có vẻ như xa lạ Thậm chí đừng tin

những email mang tên người gửi là Microsoft, Yahoo hay tương tự bởi vì đây có thể là thủ thuật giả danh của hacker để lừa

Một vài đề nghị

hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp)

 Nếu là người mua: chỉ nên mua hàng ở những website tốt, tin cậy

 Làm sao để đánh giá website tin cậy ?

Một vài đề nghị

 Tên tuổi người bán

 Trình bày gian hàng một cách chuyên nghiệp,

không có lỗi chính tả, câu cú rõ ràng v.v…

 Đọc phần About Us của họ để tìm một địa chỉ văn phòng cụ thể

 Đừng bao giờ cung cấp thông tin thẻ tín dụng cho các website khiêu dâm trên mạng

Một vài đề nghị

 Nếu là người bán :

hàng mới được nhận tiền vào tài khoản của bạn

hàng và mất một khoản chi phí xử lý thẻ

hợp dùng thẻ tín dụng giả

để bù cho khoản mất mát trong 3% gian lận này

Đề xuất các biện pháp

trong giao dịch

Bảo mật trong giao dịch

Mã hoá dữ liệu

 Mã hoá khoá bí mật (Secret key Crytography): Mã hoá

khoá bí mật hay còn gọi là mã hoá đối xứng, nghĩa là dùng một khoá cho cả hai quá trình “mã hoá” và “giải mã” Khoá này phải được giữ bí mật

 Mã hoá công khai (Public key Crytography): Mã hoá công khai hay còn gọi là mã hoá không đối xứng Phương pháp này người ta sử dụng hai khoá khác nhau, khoá công khai (Public key) và khoá bí mật (Private key) Khoá công khai được công bố, khoá bí mật được giữ kín

những thế, khi chữ ký điện tử được gắn với một thông

điệp điện tử thì đảm bảo rằng thông tin trên đường

chuyển đi sẽ không bị thay đổi bởi bất kỳ một người nào ngoài người ký ban đầu Mọi sự thay đổi dù nhỏ nhất sẽ đều bị phát hiện một cách dễ dàng

 Chữ ký điện tử có thể là chữ ký tự đánh từ bàn phím, một

bản quét của chữ viết tay; một âm thanh, biểu tượng; một

thông điệp được mã hoá hay dấu vân tay, giọng nói