Bài giảng thương mại điện tử: Chuong 5 bảo mật và thanh toán

Môi trường bảo mật TMĐTDữ liệu Giải pháp côngnghệChính sách vàthủ tục tổ chứcLuật & các tiêuchuẩn Yêu cầu đối với an toàn TMĐT Từ phía người sử dụng Website truy cập được xác thực và hợp

Các đe doạ trong môi trường thương mại điện tử

Giải pháp bảo

an trong thương mại điện tử

Môi trường bảo mật TMĐT

Dữ liệu

Giải pháp côngnghệChính sách vàthủ tục tổ chứcLuật & các tiêuchuẩn

Yêu cầu đối với an toàn TMĐT

Từ phía người

sử dụng

Website truy cập được xác thực và hợp pháp

Các trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm bên trong

Thông tin cá nhân được đảm bảo bí mật

Yêu cầu đối với an toàn TMĐT

Thông tin trao đôi giữa người

sử dụng và tổ chức, không bị bên thứ ba “nghe trộm”

Các vấn đề an toàn TMĐT

Tính toàn vẹn: Dữ

liệu/thông tin không bị

thay đổi khi lưu trữ hoặc

chuyển phát

Không phủ định: Các

bên tham gia giao dịch không phủ nhận các hành động trực tuyến mà họ đã thực hiện

Tính xác thực: Khả

năng nhận biết các đối

tác tham gia giao dịch

• Phishing

• Tin tặc (hacker) và các chương trình phá hoại

• Tấn công từ chối phục

vụ (Denial of Service – DOS)

• Tấn công từ chối phục

vụ phân tán (Distributed Denial of Service – DDOS)

• …

Mã độc

• Một đoạn mã phần mềm tự xâm nhập vào một máy chủ, bao gồm cả hệ điều hành, để nhân lên; nó yêu cầu các chương trình của máy chủ khi chạy phải kích hoạt nó

Virus

• Một chương trình phần mềm được chạy một cách độc lập, chi phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng nhân giống tới các máy khác

Sâu máy

tính (worm)

• Một chương trình xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh

Trojan

horse

• 1 loại mã độc có thể cài trên máy tính khi kết nối internet, sau khi kết nối nó sẽ phản hồi với những yêu cầu từ bên ngoài của hacker, máy tính trở thành zombie

Spyware

• Là phần mềm theo dõi những hoạt động của người dùng trên máy tính

Phishing

• Là một hình thức gian lận để có những thông tin nhạy cảm

như username, password, credit card … bằng cách giả mạo

như là một thực thể đáng tin cậy trong các giao tiếp trên

mạng.

• Quá trình giao tiếp thường diễn ra tại các trang mạng xã

hội nổi tiếng, các trang web đấu giá, mua bán hàng

online…mà đa số người dùng đều không cảnh giác với nó

• Phishing sử dụng email hoặc tin nhắn tức thời, gửi đến

người dùng, yêu cầu họ cung cấp thông tin cần thiết Người

dùng vì sự chủ quan của mình đã cung cấp thông tin cho

một trang web, trông thì có vẽ hợp pháp, nhưng lại là trang

web giả mạo do các hacker lập nên.

Những yếu tố để một cuộc tấn công Phishing thành công

Sự thiếu hiểu biết

Nghệ thuật đánh lừa ảo giác

Không chú ý đến những chỉ tiêu an toàn

Tin tặc (hacker) và các chương trình

phá hoại

•Hacker là người có thể viết hay chỉnh sửa phần mềm, phần

cứng máy tính bao gồm lập trình, quản trị và bảo mật Những

người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy

tính và dùng kiến thức của bản thân để làm thay đổi, chỉnh sửa

nó với nhiều mục đích tốt xấu khác nhau

•Hack là hành động thâm nhập vào phần cứng máy tính, phần

mềm máy tính hay mạng máy tính để thay đổi hệ thống đó

•Hacker có 3 loại:

• Hacker mũ trắng

• Hacker mũ đen

• Hacker mũ xám

Một số vụ tấn công điển hình ở Việt nam

• Đường dây làm giả thẻ ATM do Nguyễn AnhTuấn cầm đầu để rút được số tiền khoảng 2,6

• Nhóm hacker Việt và con số 182 tỉ đồng: Vụviệc của nhóm hacker Lê Đăng Khoa,Nguyễn Ngọc Lâm, Nguyễn Ngọc Thành vàNguyễn Đình Nghị, năm 2010 thực sự chấnđộng cả cộng đồng khi 4 kẻ này đã thực hiệnhành vi ăn cắp gần 6 triệu bảng Anh, tươngđương với 182 tỉ đồng

Tấn công từ chối phục vụ (Denial of

Service – DOS)

Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông

tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị

quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng

hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài

Tấn công từ chối phục vụ phân tán (Distributed Denial of Service – DDOS)

Đánh cắp thẻ tín dụng

• Thông tin thẻ tín dụng của 20

triệu người, tương đương gần

một nửa dân số Hàn Quốc đã bị

đánh cắp và bán cho các công ty

quảng cáo Vụ việc đang làm

rúng động dư luận nước này và

khiến hàng loạt lãnh đạo ngân

• Sniffer được hiểu đơn giản như là một chương trình

cố gắng nghe ngóng các lưu lượng thông tin trên một hệ thống mạng.

• Là một công cụ giúp cho các quản trị mạng theo dõi

và bảo trì hệ thống mạng

• Theo hướng tiêu cực nó có thể là một chương trình được cài vài một hệ thống mạng máy tính với mục đích đánh hơi, nghe nén các thông tin trên đoạn mạng này

Các mối đe doạ khác

• An toàn thông tin trên mạng xã hội

• An toàn thông tin trên nền tảng di động

Quản trị an toàn TMĐT

Đánh giá

• Đánh giá các rủi ro bằng các xác định các tính chất, các điểm dễ bị tổn thương của hệ thống và những đe dọa đối với các điểm này

Lên kế hoạch

• Xác định các đe dọa

• Xác định các biện pháp xử lý cho phù hợp

Thực hiện

• Lựa chọn công nghệ để đối phó với các đe doạ

Theo dõi / Kết luận

• Tình trạng hiện thời của hệ thống

• Các mối đe doạ mới

• Trình độ công nghệ hiện tại

• Bổ sung thêm danh mục các hệ thống cần bảo vệ

Các biện pháp bảo an kỹ thuật

•Điều khiển và kiểm soát truy cập

• Cơ chế điều khiển truy nhập

• Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm

• Thiết bị (Passive tokens)

• Tokens tạo khoá theo thời gian thực

• Các yếu tố điều kiện nhận dạng

• Mật khẩu

• Các hệ thống sinh trắc học

Các hệ thống sinh trắc học

• Hệ thống nhận dạng để xác nhận một người bằng

cách đánh giá ,so sánh các đặc tính sinh học như dấu

vân tay, mạch máu mắt, đặc điểm mặt, giọng nói

Các khái niệm về mã hoá

• Bản gốc hay bản rõ (Plaintext)

• Một mẩu tin/văn bản không mã hóa và con người có thể đọc

• Bản mã hoá hay bản mờ (Ciphertext)

• Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc

• Khóa (Key)

• Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin

• Thuật toán mã hóa (Encryption algorithm)

• Là một công thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược

lại

Kỹ thuật mã hóa và các ứng dụng

• Mục đích của kỹ thuật mã hoá

• Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho thông tin khi truyền phát trên mạng.

• Kỹ thuật mã hoá đảm bảo

• Tính toàn vẹn của thông điệp;

• Chống phủ định;

• Tính xác thực;

• Tính bí mật của thông tin.

• Các kỹ thuật mã hoá cơ bản

• Mã hoá bằng thuật toán băm (hàm Hash)

• Mã hoá khoá bí mật

• Mã hoá khoá công khai

Mã hóa bằng thuật toán băm (Hash)

• Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật

toán HASH để mã hoá thông điệp

• Hàm hash (hàm băm) là hàm một chiều mà nếu đưa

một lượng dữ liệu bất kì qua hàm này sẽ cho ra một

chuỗi có độ dài cố định ở đầu ra

• Ví dụ, từ "Illuminatus" đi qua hàm SHA-1 cho kết quả

E783A3AE2ACDD7DBA5E1FA0269CBC58D.

• Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành "i") kết quả

sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit)

• A766F44DDEA5CACC3323CE3E7D73AE82.

Mã hóa bằng thuật toán băm (Hash)

• Tính chất cơ bản của hàm HASH

• Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả*

• Tính duy nhất: xác suất để có một vụ va chạm (hash collision), tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực kì nhỏ.

• Ứng dụng của hàm Hash

• Chống và phát hiện xâm nhập: chương trình chống xâm nhập so sánh giá trị hash của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay đổi hay không

• Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay đổi cho dù là nhỏ nhất

• Tạo chìa khóa từ mật khẩu

• Tạo chữ kí điện tử.

Mã hóa khóa bí mật & Mã hóa khóa

công cộng

• Mã hoá khoá bí mật

• Gọi là mã hoá đối xứng hay mã hoá khoá riêng

• Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi người gửi) và quá

trình giải mã (thực hiện bởi người nhận)

• Mã hoá khoá công cộng

• Gọi là mã hoá không đối xứng hay mã hoá khoá chung

• Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng để mã hoá thông

điệp và một khoá khác dùng để giải mã.

Mã hóa khóa bí mật và Mã hóa khóa công cộng

Mã hóa khóa bí mật Mã hóa khóa công cộng

Số khoá Một khoá đơn Một cặp khoá

Loại khoá Khoá bí mật Một khoá bí mật và một

khoá công khai

Quản lý khoá Đơn giản nhưng

khó quản lý

Yêu cầu các chứng thực điện tử và bên tin cậy thứ ba

Tốc độ giao dịch Nhanh Chậm

Chữ ký điện tử

• Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký

hiệu, âm thanh hoặc các hình thức khác bằng phương

tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với

thông điệp dữ liệu, có khả năng xác nhận người ký

thông điệp dữ liệu và xác nhận sự chấp thuận của người

đó đối với nội dung thông điệp dữ liệu được ký.

(Luật Giao dịch điện tử)

Chức năng của chữ ký điện tử

• Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện

tử cụ thể;

• Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó

• Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký

• Bất kỳ thay đổi nào (về nội dung, hình thức ) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký

Chữ ký điện tử

Chứng thực điện tử

• Một loại chứng nhận do cơ quan chứng nhận (Certification Authority CA) (hay bên tin cậy thứ ba) cấp; là căn cứ để xác thực các bên thamgia giao dịch; là cơ sở đảm bảo tin cậy đối với các giao dịch thươngmại điện tử

-• Nội dung của chứng thực điện tử

• Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử

• Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điệntử

• Số hiệu của chứng thực điện tử

• Thời hạn có hiệu lực của chứng thực điện tử

• Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thựcđiện tử

• Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ kýđiện tử

• Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử

Giao thức Secure Socket Layer (SSL)

Tổng quan

• Giao thức bảo mật kết nối giữa client và server

• Cung cấp 1 đường hầm vững chắc để dữ liệu đi qua.

• Trở thành một chuẩn an toàn truy cập dữ liệu được hỗ trợ bởi hầu

hết các browser

Mô hình

• Là 1 giao thức vận chuyển đặc biệt thêm vào giữa tầng ứng dụng và

tầng giao vận

• Bảo đảm tính riêng tư và toàn vẹn của tất cả dữ liệu được truyền

giữa 2 hoặc nhiều hơn các máy tính khi nó ở trong mạng

• Sử dụng khóa riêng

Giao thức Secure Socket Layer (SSL)

Ưu, nhược điểm của Giao thức SSL

Ưu điểm

•Đơn giản, thuận tiện, không yêu cầu thay đổi trong phần

mềm phía người mua và người bán

•Người bán được xác thực đối với người mua

•Thông tin được đảm bảo tính riêng tư, toàn vẹn

Nhược điểm

•Không đảm bảo người mua được xác thực với người bán,

nguy cơ người mua phủ nhận giao dịch

Giao thức SET (Secure Electronic Transaction) Tổng quan

• SET - giao thức được thiết kết cung cấp an ninh giao dịch thẻ tín dụng trực tuyến cho cả khách hàng và doanh nghiệp

• Một tập các giao thức và định dạng bảo mật cho phép người dùng sử dụng nền tảng thanh toán bằng thẻ tín dụng trên một mạng mở như Internet

Giao thức SET

• Giải pháp bảo mật toàn diện

• Người mua, người bán được xác thực với nhau qua certificate do CA cấp.

• Phân phát khóa public an toàn qua CA làm cơ sở cho xác thực qua DS.

• Người bán không biết thông tin cá nhân, tài khoản của người mua.

• Chữ kí kép giúp loại bỏ những gian lận từ phía người bán.

Nhược điểm của giao thức SET

• Yêu cầu thay đổi lớn trong nền tảng thanh toán hiện tại.

• Yêu cầu thay đổi trong phần mềm, phần cứng đắt tiền Yêu cầu này có

thể chấp nhận được đối với các công ty, ngân hàng phát hành thẻ tín

dụng, song khó chấp nhận đối với khách hàng cũng như các cửa hàng.

• Yêu cầu một hạ tầng PKI dựa trên sự có mặt của CA Các tổ chức tài chính

phải trả thêm chi phí cài đặt và duy trì PKI phải được trả cho CA.

• Các giải thuật trên PKI là phức tạp, tốn kém, tốc độ chậm (ngân hàng yêu

cầu 750 giao dịch/giây trong khi SET mới chỉ đạt 1 giao dịch/giây Tốc độ

có thể được cải thiện với việc sử dụng phần cứng ->giá thành tăng cao.)

• Chỉ đề cập tới các giao dịch dựa trên thanh tóan thẻ (tín dụng hoặc nợ).

Các giao dịch dựa trên tài khỏan vd: séc điện tử (e-check) không được hỗ

trợ trong SET

• Là một giao thức bảo mật rất toàn diện những cũng rất phức tạp, SET

cần được đơn giản hóa để được chấp nhận bởi mọi tổ chức liên quan

So sánh SSL & giao thức SET

Tường lửa (Firewall)

Một phần mềm hoặc phần cứng để tách biệt một mạng riêng

với mạng công cộng cho phép những người sử dụng mạng

máy tính của một tổ chức có thể truy cập tài nguyên của các

mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm

những người sử dụng khác, không được phép, từ bên ngoài

truy cập vào mạng máy tính của tổ chức

Đặc điểm của tường lửa (Firewall)

• Tất cả kết nối từ bên trong mạng máy tính của tổ chức và ngược lại đều phải đi qua đó;

• Chỉ các kết nối được phép, theo qui định về an toàn mạng máy tính của

tổ chức, mới được phép đi qua;

• Không được phép thâm nhập vào chính tường lửa.

Bảo vệ hệ thống Khách / Chủ

Các kiểm soát của hệ điều hành

•Kiểm soát truy cập thông qua việc tự động từ chối khi người sử

dụng truy cập vào các khu vực khác (không được phép) của

mạng máy tính

•Kiểm soát việc truy cập tới các tệp dữ liệu của hệ thống, giúp

cho việc đảm bảo an toàn cho cơ sở dữ liệu và cho toàn bộ hệ

thống

Phần mềm chống virus và phát hiện xâm nhập

•Phần mềm chống virus: biện pháp đơn giản nhất và ít tốn kém

nhất chống lại các mối đe doạ tính toàn vẹn của các hệ thống

•Hệ thống phát hiện xâm nhập: khả năng dò tìm và nhận biết các

PHẦN 2:

Thanh toán trực tuyến

Giới thiệu về thanh tốn

Tiền tệ – phương tiệnbiểu trưng cho giá trị –

đã được sử dụng rấtsớm trong lịch sử nhân

loại

Tiền tệ điện tử

Các yêu cầu đối với thanh tốn điện tử

• Chứng thật: Là cách kiểm tra người mua trước khi

việc thanh toán được thực hiện

• Toàn vẹn: Bảo đảm rằng các thông tin sẽ không bị

thay đổi, xóa do sơ xuất trong quá trình truyền dẫn

• Mã hóa: Qui trình làm cho các thông điệp không

đọc hay sử dụng được ngoại trừ những người có khóa

giải mã chúng

• Quyền riêng tư: người bán không nhất thiết phải

biết thông tin về thẻ tín dụng của người mua Đieuà

này cần được thực hiện để bảo đảm quyền riêng tư

của khách hàng

Hệ thống thanh tốn trực tuyến

Các loại thẻ thanh

Các loại thẻ thanh toán trực tuyến

• Loại thẻ điện tử có chứa các thông tin có thể sử

dụng cho mục đích thanh toán

• Có 3 loại thẻ thanh toán cơ bản:

Các đối tượng có liên quan

Giao thẻ cho người khác

sử dụng ở nước ngoàiBáo mất nhưng vẫn sử dụng thẻ

Sử dụng thẻ giả mạo

Rủi ro khi sử dụng thẻ thanh toán

Rủi ro cho cơ sở chấp nhận thẻ:

vụ để khỏi xin cấp phép

Sửa chữa

số tiền trên hoá đơn (cố ý hoặc do ghi nhầm)

Rủi ro đối với chủ thẻ:

Mất thẻ

và để lộ PIN

Rủi ro đối với ngân hàng thanh toán:

Sai sót trong việc cấp phép

Không cung cấp kịp thời danh sách Bulletin

Ví điện tử (e-wallet)

• Là một dạng dịch vụ cho phép người dùng Internet lưu trữ

và sử dụng thông tin trong mua bán

• Người dùng kết nối tài khoản ngân hàng & lưu số bằng lái, thẻ y tế, thẻ khách hàng, và các giấp tờ nhận dạng kháctrong điện thoại Những thông tin bảo mật này sẽ đượcchuyển đến bên tiếp nhận của cửa hàng thông qua thiết bịkết nối phạm vi gần NFC

Thẻ thông minh (smart card)

•Thẻ thông minh biểu hiện là một tấm thẻ nhựa, trên đó có

gắn vi mạch điện tử (microchip) hoạt động nhờ một bộ vi xử

lý; trên đó định nghĩa trước các hoạt động, lưu trữ thông tin;

cho phép người sử dụng thêm, bớt hoặc truy cập các thông

tin trên thẻ

•Dung lượng thông tin lưu giữ gấp hơn 100 lần thẻ tín dụng

bao gồm: số thẻ tín dụng, hồ sơ sức khoẻ cá nhân, bảo hiểm

y tế, thông tin về cá nhân, tổ chức, hồ sơ công tác, bằng lái