Bài giảng Thương mại điện tử: Chương 10 - Lê Hữu Hùng

Nội dung bài giảng Thương mại điện tử - Chương 10: An ninh thương mại điện tử cung cấp cho người học các kiến thức: Môi trường an ninh TMĐT, tầm quan trọng của vấn đề, thế nào là thương mại điện tử có an ninh tốt,... Mời các bạn cùng tham khảo.

An ninh

Dẫn nhập

Cyberwar: MAD 2.0

Môi trường an ninh TMĐT

Với mọi công dân, Internet mang lại rất nhiều cơ hội

Với tội phạm, Internet tạo ra cách thức mới trong chiếm đoạt tài sản của hơn 1 tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đến

dịch vụ, tiền mặt, thông tin

Ít rủi ro hơn khi phạm tội trực tuyến (remotely và anonymously)

Internet được tạo ra ban đầu không phải để cho 1 tỷ người giao dịch với nhau, và không có các đặc điểm an ninh cơ bản

Internet là một mạng lưới mở, dễ tổn thương

Tội phạm mạng mang lại gánh nặng cho cả doanh nghiệp và người tiêu dùng (làm tăng chi phí đầu vào)

Social networks cũng có những xâm phạm an ninh

Tuy nhiên khó đánh giá thiệt hại chính xác tội phạm mạng gây ra bởi vì: công ty ngại báo cáo lỗ hổng an ninh do sợ mất khách hàng

ngay cả khi báo cáo tội phạm mạng xảy ra, khó định lượng thiệt hại

tác nhân phạm tội phổ biến nhất là viruses, worms,

Trojans (100% các tổ chức), malware (95%), botnets

(71%), Web-based attacks (64%)

Tầm quan trọng của vấn đề (tt.)

Thông tin từ Symantec (nhà cung cấp dịch vụ an ninh):

Tiến bộ công nghệ làm giảm đáng kể chi phí cũng như kỹ năng trở thành tội phạm mạng

Các chương trình/hướng dẫn rất rẻ tiền có sẵn trên Web giúp hackers tạo ra malware rất dễ dàng mà không cần lập trình như trước đây

Hơn nữa, các malware này có tính polymorphic, tức là, mỗi malware nhiễm vào máy tính khác nhau thì khác nhau, làm rất khó tiêu diệt bởi các phần

mềm bảo vệ an ninh

Tấn công có chủ đích (nhắm vào đối tượng cụ thể) ngày càng gia tăng; mạng

xã hội đang trợ giúp cho việc này

Mobile và applications đang trở nên dễ bị tổn thương hơn bao giờ hết

Tầm quan trọng của vấn đề (tt.)

online credit card fraud và phishing attacks là các loại tội phạm

phổ biến trong TMĐT

Tỉ lệ online credit card fraud / online card transaction là 0.8%

So với doanh thu TMĐT, online credit card fraud đang có xu

hướng giảm dần vì công ty TMĐT và công ty thẻ tín dụng tăng

cường hệ thống an ninh để ngăn ngừa các tội phạm mạng cơ bản

Tuy nhiên, online credit card fraud thay đổi từ việc lấy cắp đơn lẻ thẻ tín dụng và sử dụng để mua hàng hoá ở một vài Website, đến

việc lấy cắp đồng thời hàng triệu thẻ tín dụng và mạng lưới phân phối các thẻ tín dụng lấy cắp này

Tầm quan trọng của vấn đề (tt.)

Thị trường mạng chợ đen (cyber black market/underground economy servers):

Tội phạm lấy cắp thông tin từ Internet không phải luôn luôn sử dụng trực tiếp

mà bán lại thông tin này cho thị trường mạng chợ đen (khoảng vài ngàn thị trường này)

Tìm các thị trường này thì khó, cần phải đóng giả làm tội phạm để xâm nhập

vì tội phạm mạng rất giỏi về an ninh mạng

Không phải tội phạm mạng nào cũng vì tiền là mục đích Đôi khi chỉ là muốn

đánh sập một Website nào đó thay vì lấy cắp thứ gì ->thiệt hại cho kiểu tội

phạm này không những là thời gian và nổ lực để phục hồi site, mà còn là tổn thương danh tiếng và hình ảnh công ty, và lợi nhuận mất đi vì ngưng trệ dịch

Cá nhân đối mặt với nhiều rủi ro về lừa đảo (fraud), nhất là các

khoản thiệt hại không được bảo hiểm liên quan đến debit card và bank account

Cần phải chuẩn bị đối diện với loại tội phạm luôn biến đổi này, và luôn cập nhật công nghệ bảo vệ an ninh mới nhất

Thế nào là TMĐT có an ninh tốt ?

Thế nào là một giao dịch thương mại an toàn?

Thế nào là TMĐT có an ninh tốt ?

(tt.)

Thế nào là một giao dịch thương mại an toàn?

Bất cứ khi nào ra thị trường là đối diện rủi ro, bao gồm cả mất quyền riêng tư (privacy) (thông tin về hàng hoá mua)

Rủi ro trước mắt với người tiêu dùng là không có được thứ mà mình

Thế nào là TMĐT có an ninh tốt ?

(tt.)

Người bán và người mua trên môi trường TMĐT đối diện với

nhiều rủi ro tương tự như môi trường TMTT

Trộm là trộm, cho dù là trộm điện tử hay trộm truyền thống

Burglary (bẻ khoá), breaking & entering (đột nhập), embezzlement (tham ô, biển thủ), trespass (xâm phạm), malicious destruction

(sự huỷ diệt tàn ác), vandalism (phá hoại): tội phạm môi trường

TMTT đều có TMĐT

Tuy nhiên, giảm rủi ro trên TMĐT thì phức tạp liên quan đến công nghệ mới, chính sách và biện pháp, luật pháp mới và tiêu chuẩn

ngành liên quan

Các đặc tính an ninh TMĐT

Integrity (Toàn vẹn): khả năng đảm bảo rằng thông tin được hiển thị trên Website hay được truyền đi hay nhận được qua Internet không bị biến đổi bởi những bên

không được phép

Nonrepudiation (Thừa nhận): khả năng đảm bảo rằng các bên TMĐT không được

từ chối hành động trực tuyến của họ

Authenticity (Xác thực): khả năng nhận ra danh tính của một người hay chủ thể mà bạn liên lạc trên Internet

Confidentiality (Bảo mật): khả năng đảm bảo rằng thông điệp và dữ liệu chỉ được xem bởi những người được cho phép

Privacy (Riêng tư): khả năng kiểm soát sử dụng thông tin về bản thân

Availability (Hiệu lực): khả năng đảm bảo rằng một Website TMĐT tiếp tục chức

năng như dự định

Các đe doạ an ninh TMĐT

Từ khía cạnh công nghệ, có 3 vị trí yếu điểm dễ bị tổn thương trên môi trường TMĐT:

Client

Server

Internet

Malicious Code (Mã độc)

Còn gọi là Malware

Bao gồm: viruses, worms, Trojan horses, ransomware, bots

Trong quá khứ, mã độc thường có mục đích phá hoại máy

tính, và thường do một hacker thực hiện

Ngày nay, mã độc thường có xu hướng đánh cắp địa chỉ e

mail, mật khẩu đăng nhập, dữ liệu cá nhân, thông tin tài chính

Mã độc cũng được dùng để phát triển mạng lưới mã độc tích hợp để tổ chức lấy cắp thông tin và tiền

Malicious Code (Mã độc)

Một trong những phát triển gần đây của mã độc là gắn vào các quảng cáo trực tuyến, kể cả Google và các mạng quảng cáo

khác

“drive-by dowload” là một dạng mã độc gắn với tập tin được tải

về mà người dùng cố ý hoặc không cố ý thực hiện

Mã độc cũng có thể được gắn vào tập tin PDF

Mã độc thường được gắn vào các links trong nội dung email, thay vì theo cách truyền thống là đính kèm với email

Khuynh hướng hiện tại của mã độc là vì mục đích tiền hơn là mục đích khẳng định tài năng

Malicious Code (Mã độc)

Virus: chương trình máy tính có khả năng tự nhân bản hay sao chép chính nó, và phát tán qua các tập tin khác

Worm: một dạng mã độc được thiết kế để phát tán từ máy tính qua máy tính

Ransomware (Scareware): một dạng mã độc (thường là worm) ngăn cản đăng nhập vào máy tính hay tập tin và yêu cầu trả tiền phạt

Trojan horse: xuất hiện lành tính, nhưng sau đó gây ra các hành động không mong đợi Thường là một phương thức cho virus hay mã độc khác xâm nhập máy tính

Backdoor: là một đặc điểm của virus, worm, Trojan, cho phép attacker điều khiển từ xa máy tính bị hại

Bot (robot): một loại mã độc được cài đặt ngầm vào máy tính khi kết nối Internet Khi

được cài đặt, robot được điều khiển bởi câu lệnh từ attacker

Botnet: tập hợp các máy tính bị nhiễm robot

Potentially Unwanted Programs

(PUPS)

Potentially Unwanted Program (PUP) (chương trình không mong

muốn): chương trình tự cài đặt vào máy tính mà không được sự

đồng ý của người dùng

Adware: là một PUP làm xuất hiện pop-up quảng cáo trên máy tính

Browser parasite: là chương trình có thể theo dõi và thay đổi thiết lập trình duyệt của người dùng Ví dụ: Websearch là một thành

phần của adware làm biến đổi trang chủ và chức năng tìm kiếm của Internet Explorer

Spyware: là chương trình được sử dụng để lấy thông tin như mật

mã, email, instant message của người dùngs

Hacking, Cybervandalism, Hacktivism, Data

Black hats: hacker hành động cố ý làm gây hại

Data breach: xảy ra khi một tổ chức/công ty mất kiểm soát để thông tin lọt ra ngoài

Credit Card Fraud/Theft

Đánh cắp dữ liệu thẻ tín dụng là một trong những điều sợ nhất trên Internet

Nổi sợ thông tin thẻ tín dụng bị đánh cắp ngăn cản người dùng mua hàng trực tuyến trong nhiều trường hợp

Thú vị là, nổi sợ này hầu hết là không có căn cứ

Tỉ lệ thông tin thẻ tín dụng bị đánh cắp rất thấp so với người dùng nghĩ, khoảng 0.8% toàn bộ giao dịch thẻ trực tuyến (Cybersource,

2013)

Tuy nhiên, lừa đảo thẻ tín dụng trực tuyến thì cao gấp 2 lần so với lừa đảo thẻ không trực tuyến

Credit Card Fraud/Theft

Trong quá khứ, nguyên nhân chủ yếu của lừa đảo thẻ tín dụng là thẻ bị đánh cắp hay bị mất và được sử dụng bởi một người khác

Ngày nay, nguyên nhân thường gặp của mất thông tin và thẻ tín dụng là server của các công ty bị hack, nơi chứa thông tin của

hàng triệu thẻ tín dụng mua hàng được lưu trữ

Vấn đề trọng tâm của an ninh TMĐT là sự khó khăn trong thiết lập danh tính khách hàng

Hiện nay, chưa có công nghệ nhận dạng người dùng một cách chắc chắn —>công ty trực tuyến có nhiều rủi ro hơn rất nhiều so

với công ty truyền thống

Spoofing, Pharming, Spam (Junk) Web

sites

Spoofing: che dấu danh tính thật bằng cách sử dụng

email hay địa chỉ IP của người khác

Pharming: tự động điều hướng Web link đến một địa chỉ khác với địa chỉ mong muốn của người dùng

Spam (Junk) Web site: hứa hẹn cung cấp sản phẩm hay dịch vụ, nhưng thật sự chỉ là tập hợp các quảng cáo

Denial of Service (DOS) và Distributed Denial of Service (DDOS)

DOS: làm tràn ngập một Website bằng các request vô

nghĩa để làm nghẽn lưu lượng Web server

DDOS: sử dụng rất nhiều máy tính để tấn công một mục tiêu trên mạng từ nhiều điểm khác nhau

An ninh mạng xã hội

An ninh môi trường di động

An ninh môi trường cloud

Giải pháp công nghệ

Bảo vệ giao tiếp qua Internet

Encryption (Sự mã hoá): là quá trình chuyển văn bản hay dữ liệu thông thường thành văn bản được mã hoá không thể đọc được ngoài trừ người gửi và người

nhận

Mục đích của sự mã hoá:

đảm bảo an toàn thông tin lưu trữ

đảm bảo an toàn truyền dẫn thông tin

Sự mã hoá bảo vệ được 4 trong 6 đặc tính của an ninh TMĐT:

tính toàn vẹn thông điệp (integrity)

tính thừa nhận (norepudiation)

tính xác thực (authentication)

tính bí mật (confidentiality)

Mã hoá đối xứng

Cả người gửi và người nhận sử dụng cùng mã để mã hoá và giải mã thông

—>mã phải được gửi đi qua phương tiện giao tiếp hay trao đổi mã trực tiếp với nhau

Được sử dụng phổ biến trong WW II, vẫn còn được sử dụng một phần trong

mã hoá Internet

Nhược điểm:

Với năng lực máy tính ngày nay, mã hoá có thể bị bẻ gãy dễ dàng

Mã hoá đối xứng dùng chung mã—>mã được trao đổi qua kênh không an

toàn (bị lấy cắp)

Trong thương mại, mỗi khi trao đổi với đối tác khác nhau—>mã khác nhau

>cần rất nhiều mã—>không khả thi

Mã hoá đối xứng

Hệ thống mã hoá hiện đại là mã số hoá, tức là mã được sử dụng là chuỗi các số 0 và 1

Mã hoá bảo vệ tốt tính theo độ dài bit ký tự của mã

ví dụ: mã có 8 bit ký tự có 2^^8 =256 khả năng đoán đúng mã

máy tính bình thường có thể giải mã

ví dụ: mã có 512 bit ký tự có 2^^512 khả năng đoán đúng mã

tất cả máy tính toàn thế giới giải trong 10 năm

Ngày nay, thuật toán sử dụng nhiều nhất cho mã hoá đối xứng là Advanced Encryption Standard (AES) cung cấp mã gồm có 128-

192-, 256- bit

Mã hoá công khai

Phát minh bởi Whitfield Diffie và Martin Hellman vào năm 1976

Khắc phục nhược điểm của mã hoá đối xứng: vấn đề trao đổi mã

Mã hoá công khai: 2 mã (được số hoá) liên quan về mặt toán học với nhau được

sử dụng: một mã công khai, một mã cá nhân Mã cá nhân được giữ bí mật bởi

người sở hữu, mã công khai được phát tán rộng rãi Cả 2 mã đều được sử dụng

để mã hoá và giải mã thông điệp Tuy nhiên, một khi mã được sử dụng để mã hoá thông điệp, mã đó không thể dùng để giải mã thông điệp đó

Dựa vào hàm toán không thể đảo ngược một chiều, nghĩa là một khi thuật toán

được áp dụng, thông số đầu vào không thể tính ra được từ thông số đầu ra

Tưởng tượng công thức làm thức ăn: dễ dàng đánh trộn trứng, nhưng không thể làm lại được trứng nguyên vẹn từ trứng bị đánh trộn

Mã hoá công khai

Mã hoá công khai có thoả mãn hết các đặc tính của an ninh TMĐT

Integrity? Không chắc chắn (trong quá trình vận chuyển qua

Internet có thể bị biến đổi)

Mã hoá công khai sử dụng chữ ký số (digital signature) và hàm băm (hash function)

Khắc phục nhược điểm của mã hoá công khai —>để đạt

được đặc điểm an ninh TMĐT: authentication,

Mã hoá công khai sử dụng chữ ký số (digital signature) và hàm băm (hash function)

Người gửi (sender):

Người gửi mã hoá cả 2: tóm tắt thông điệp (hash digest) và thông điệp gốc (original message) sử dụng mã công khai của người nhận (giống cách mã

hoá công khai)

Sau đó, người gửi mã hoá lần thứ 2 toàn bộ tóm tắt thông điệp và thông điệp gốc (đã mã hoá lần 1 rồi) sử dụng mã cá nhân của người gửi —> digital

signature (chữ ký số): văn bản đã mã hoá được ký và gửi đi trên Internet

Chữ ký số là duy nhất vì chỉ có người gửi là có mã cá nhân Cùng với hash function (hàm băm), chữ ký số càng độc nhất và chữ ký số thay đổi với sự

thay đổi văn bản khác nhau

Chữ ký số giúp đảm bảo tính authenciticity và nonrepudiation

Mã hoá công khai sử dụng chữ ký số (digital signature) và hàm băm (hash function)

original message (thông điệp ban đầu)

Bước cuối cùng, người nhận áp dụng hàm băm (hash function) cho thông điệp ban đầu này—>tóm tắt thông điệp Nếu tóm tắt thông điệp

này trùng khớp với tóm tắt thông điệp mà người nhận nhận từ người gửi—>thông điệp không bị biến đổi trong quá trình vận chuyển

(integrity)

Phong bì số (digital envelopes)

Nhược điểm của mã hoá công khai: tốn nhiều thời gian để mã hoá

>giảm tốc độ dẫn truyền và tăng thời gian xử lý

Ưu điểm của mã hoá đối xứng: nhanh hơn, tuy nhiên có nhược điểm phải gửi mã đối xứng đến người nhận trên kênh truyền dẫn không an

toàn

Giải pháp cho cả 2 phương thức mã hoá: phong bì số

Sử dụng phương pháp mã hoá đối xứng để mã hoá cho tài liệu lớn (kích thước lớn) (vì hiệu quả hơn)

Sử dụng phương pháp mã hoá công khai để mã hoá và chuyển

qua Internet mã đối xứng (vì an toàn hơn)

Chứng nhận số (digital

certificates)

Chứng nhận số: là văn bản số được cấp bởi cơ quan có thẩm quyền cấp chứng nhận bao gồm: tên của chủ thể

hay công ty, mã công khai của chủ thể, dãy số của

chứng nhận số, ngày hết hạn, ngày cấp, chữ ký số cơ

quan thẩm quyến cấp chứng nhận, các thông tin định

dạng khác

Cơ quan thẩm quyền cấp chứng nhận (Certification

Authority): là bên thứ 3 được tin tưởng cấp chứng nhận

Hạ tầng khoá công khai (Public Key Infrastructure)

Tại Mỹ, các công ty tư như VeriSign, nhà sản xuất Web browser, công

ty an ninh, cơ quan chính phủ (Bưu điện, Cục dự trữ liên bang) cấp

phép cho các cơ quan thẩm quyền cấp chứng nhận (Certificate

Authority) cùng với các CAs khác—>cộng đồng CAs

PKI: là tập hợp các CAs và chứng nhận số (digital certificate) được

chấp nhận bởi tất cả các bên

Khi đăng nhập vào một site “an toàn”, URL sẽ bắt đầu bằng “https” và

có icon hình cái khoá đóng xuất hiện trong browser—>Website này có chứng nhận số được cấp bởi một CA có uy tín Nếu không, nhiều khả

năng là site spoof

ví dụ

Hạn chế của giải pháp mã hoá

PKI là giải pháp công nghệ tuyệt vời cho vấn đề an ninh TMĐT

Tuy nhiên có rất nhiều hạn chế, đặc biệt là liên quan đến CAs

PKI chủ yếu bảo vệ thông điệp truyền dẫn trên Internet, tuy nhiên không bảo vệ được trong trường hợp nhân viên, người có thẩm quyền truy cập thông tin trên

hệ thống, nhất là thông tin khách hàng

Hầu hết các websites TMĐT không lưu trữ thông tin khách hàng ở dạng mã

Hạn chế nữa là mã cá nhân của người dùng làm sao bảo vệ?—>thường lưu

trữ trên desktop hay laptop người dùng—>không an toàn

Không chắc chắn người sử dụng máy tính của bạn - mã cá nhân - thật sự là

bạn (mất máy tính hoặc smartphone)