AN TOÀN THƯƠNG MẠI ĐIỆN TỬ

AN TOÀN THƯƠNG MẠI ĐIỆN TỬ

CHỬ BÁ QUYẾT

KhoaKhoa ThươngThương mạimại điệnđiện tửtửTrường

Trường ĐạiĐại họchọc ThươngThương mạimại

Lịch sử 20 năm phát triển của virus

10 vụ tấn công nổi tiếng của tin tặc Tình hình an ninh mạng và an toàn TMĐT ở Việt Nam gần đây

An toàn là vấn đề quan trọng của thương mại điện tử

Chuy
n v các v tn công h
thng

Tổn thất do các vụ tấn công gây ra

là rất lớn

400 tỉ USD là tổng thiệt hại do tội phạm trên mạng gây ra năm 2004

((Nguồn: McAfee Criminology Report 2005 Nguồn: McAfee Criminology Report 2005))

Riêng 2/2006, thiệt hại của các vụ tấn công qua mạng internet (TG) khoảng 80 tỉ USD

Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu

Ở Việt Nam, 1 tuần thiệt hại khoảng 2,8 triệu USD tương đương 45 tỉ VNĐ ((Nguồn: VNCERT 2006 Nguồn: VNCERT 2006))

An toàn là vấn đề quan trọng của thương mại điện tử

Các tổ chức liên tục bị tấn công bởi những

kẻ có kinh nghiệm từ bên trong và bên ngoài Các loại tấn công tới các tổ chức rất đa dạng

Sự mất mát tài chính từ các vụ tấn công có thể là rất lớn

Có thể sử dụng kết hợp nhiều công nghệ để chống lại các vụ tấn công này

(Nghiên cứu của Computer Security Institute và FBI)

Từ phía người sử dụng

Website truy cập là xác thực và hợp phápCác trang web và các mẫu khai thông tin không chứa đựng các đoạn mã nguy hiểm trong

đựng các đoạn mã nguy hiểm trongThông tin cá nhân được đảm bảo bí mật

Máy chủ, nội dung và các dịch vụ cung cấp trên website không bị phá vỡ

Hoạt động kinh doanh diễn ra đều đặn, không bị làm gián đoạn

CGI, CGI,… … Lưu trữ

(CSDL) Tr

Trìình duyệt nh duyệt Web

Xác thực

Tính riêng tư Toàn vẹn

Không phủ định

Xác thực Cấp phép Kiểm soát

Tính riêng tư Toàn vẹn

Tấn công phi kỹ thuật Tấn công kỹ thuật

Sử dụng mánh khóe để lừa gạt người sử dụng tiết lộ thông tin nhạy cảm hay thực hiện các hành động ảnh hưởng đến vấn đề an toàn

Tấn công các áp lực xã hội: loại tấn công không sử dụng công nghệ

mà sử dụng các áp lực xã hội để lừa người sử dụng thực hiện các việc có hại đến mạng máy tính hoặc tổn hại quyền lợi cá nhân

Chủ yếu lợi dụng sự nhẹ dạ cả tin, kém hiểu biết hoặc gây sức ép tâm lý đối với người sử dụng

Các biện pháp đối phó với tấn công phi kỹ thuật

Giáo dục, đào tạo, nâng cao nhận thức

Hoàn thiện các thủ tục, chính sách

Đề cao cảnh giác, kiểm tra sự xâm nhập

Sự tấn công sử dụng phần mềm và các hệ thống tri thức hay kinh nghiệm chuyên môn tấn công vào các hệ thống

Các hình thức tấn công

Sâu máy tính (worm)

Một chương trình phần mềm được chạy một cách độc lập, chi phối nhiều tài nguyên của máy chủ cho nó và nó có khả năng nhân giống tới các máy khác

Macro virus và macro worm

Một loại virus hay sâu máy tính được thực thi khi một đối tượng ứng dụng khi được mở hay một thủ tục đặc biệt được thực thiứng dụng khi được mở hay một thủ tục đặc biệt được thực thi

Con ngựa thành Tơ roa (Trojan horse)

Một chương trình xuất hiện với những chức năng hữu dụng nhưng nó bao gồm các chức năng ẩn có các nguy cơ về an ninh

Hacker là người xâm nhập bất hợp pháp vào một website hay hệ thống công nghệ thông tin mà họ có thể xác định rõ

Hacker mũ trắngHacker mũ đenHacker mũ xanh/samuraiHacker mũ xám hay mũ nâu

Tác hại do tin tặc gây ra

Mất niềm tin của khách hàng cùng với danh tiếng bao nhiêu năm gây dựng, và tất nhiên ảnh hướng tới thu nhập, lợi nhuận

Mất khả năng chấp nhận một kiểu phương tiện thanh toán nào

đó như VISA, Mastercard

đó như VISA, Mastercard

Thu nhập và lợi nhuận giảm từ các giao dịch giả mạo và thời gian chết của nhân viên

Thời gian chết của website khi phải đóng cửa một trong các kênh bán hàng quan trọng sau vụ tấn công

Chi phí để sửa chữa các phần đã bị phá hoại và xây dựng kế hoạch đề phòng bất trắc cho website, ứng dụng web

Các trận chiến pháp lý và nhiều vấn đề liên quan từ vụ tấn công với mức độ bảo mật lỏng lẻo, các khoản tiền phạt và tiền bồi thường phải trả cho nạn nhân

This site was hacked again

Đại diện cho cộng đồng IT Việt Nam chúng tôi xin tuyên bố

Đại diện cho cộng đồng IT Việt Nam chúng tôi xin tuyên bố

Đối với Nguyễn Hòa Bình: Nếu một ngày Nguyễn Hòa Bình chưa đứng ra xin lỗi thì ngày đó Đối với Nguyễn Hòa Bình: Nếu một ngày Nguyễn Hòa Bình chưa đứng ra xin lỗi thì ngày đó

chodientu sống không được chết cũng không xong.

Nếu báo chí và các cơ quan chức năng không vào cuộc, thanh tra những hoạt động mờ ám của PS

cũng như Nguyễn Hòa Bình hacker sẽ vào cuộc.

Website chodientu.com Website chodientu.com –– một website TMĐT hợp phápmột website TMĐT hợp phápliên tục bị tấn công cướp tến miền và đối giao diện (9/2006)

Website Bộ Giáo dục đào tạo bị tấn công

Vụ lừa đảo của Đào Anh Tuấn tiến hành qua mạng chiếm đoạt gần 20 triệu đồng của các thành viên trên diễn đàn trực tuyến TTVNOL

Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được

số tiền khoảng 2,6 tỷ đồng

235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công Trong

đó có web của Bộ Thương mại

đó có web của Bộ Thương mại mot.gov.vn, Bộ Tài nguyên Môi trườngmot.gov.vn, Bộ Tài nguyên Môi ciren.gov.vn, Bộ Khoa học Công nghệ

trường ciren.gov.vn, Bộ Khoa học Công nghệ oss.gov.vn … oss.gov.vn …

Web site của Ban Quản lý dự án DSM/EE

- Cục Điều tiết điện lực – Bộ Công Thương hiện vẫn đang bị hacker tấn công

Loại tấn công bằng cách gửi một số lượng lớn truy vấn thông tin tới máy chủ khiến một hệ thống máy tính hoặc một mạng bị quá tải, dẫn tới không thể cung cấp dịch vụ hoặc phải dừng hoạt động không thể (hoặc khó có thể) truy cập từ bên ngoài

Gửi yêu cầu http://www

Hệ thông mục tiêu

Tin tặc

Đồng loạt tấn công

Gửi tài liệu và nhận các thông báo

Cá nhân Doanh nghiệp CQ nhà nước Trường học Viện nghiên cứu Nhà cung cấp DV

An toàn trong truyền thông TMĐT

Áp dụng các biện pháp đảm bảo an toàn trong đảm bảo an toàn trong truyền thông TMĐT

Các công nghệ

đảm bảo an toàn mạng đảm bảo an toàn mạng

Áp dụng các biện pháp đảm bảo an toàn mạng đảm bảo an toàn mạng

và các hệ thống TMĐT

Quản trị an toàn thương mại điện tử

Nhận thức vấn đề Xây dựng kế hoạch Thực thi kế hoạch

Một quá trình xử lý có hệ thống để xác định các loại rủi ro an ninh có thể xảy ra và xác định các hoạt động cần thiết để bảo vệ hay giảm bớt các tấn công này

Đánh giá Đánh giá Lên kế hoạch Thực hiện Theo dõi/ Kết luận

Đánh giá các rủi ro Đánh giá các rủi ro bằng các xác định các tài sản, các điểm dễ bị tổn thương của hệ thống

và những đe dọa đối với các điểm này

•• Xác định các đe dọa Xác định các đe dọa nào có thể xảy ra, đe dọa nào là không

•• Xác định mức độ của Xác định mức độ của các biện pháp đối phó cho phù hợp

•• Các công nghệ được Các công nghệ được chọn để đối phó với các

đe doạ có độ ưu tiên

đe doạ có độ ưu tiên cao

•• Ưu tiên lựa chọn các Ưu tiên lựa chọn các loại công nghệ có độ ưu tiên cao

•• Loại nào đảm bảo/không Loại nào đảm bảo/không đảm bảo và cần thay đổi đảm bảo và cần thay đổi

•• Các mối đe doạ mới Các mối đe doạ mới

•• Trình độ công nghệ hiện Trình độ công nghệ hiện tại

•• Bổ sung thêm danh mục Bổ sung thêm danh mục các hệ thống cần bảo vệ

4 pha của quá trình quản trị an toàn TMĐT

Đ iều khiển và kiểm soát truy cập

Đ iều khiển và kiểm soát truy cập

Các hệ thống xác thực

Cơ sở hạ tầng khoá công cộng –

Public key infrastructure (PKI)

Mã hoáChữ ký điện tửChứng thực điện tử

Cơ chế điều khiển truy nhập

Giới hạn các hoạt động thực hiện bởi việc nhận dạng một người hay một nhóm

Passive tokens

Các thiết bị lưu trữ như dải từ (magnetic strips) được sử dụng trong hệ thống nhận dạng bao gồm mã mật và các đặc điểm nhận dạng khác (sinh trắc)

Các yếu tố điều kiện nhận dạng

Mật khẩuCác hệ thống sinh trắc học

Hệ thống nhận dạng các bên tham gia là hợp pháp để thực hiện giao dịch, xác định các hành động của họ là được phép thực hiện và hạn chế những hoạt động của họ, chỉ cho những giao dịch cần thiết được khởi tạo và hoàn thành

Hệ thống nhận dạng để xác nhận một người bằng cách đánh giá ,so sánh các đặc tính sinh học như dấu vân tay, đánh giá ,so sánh các đặc tính sinh học như dấu vân tay, mạch máu mắt, đặc điểm mặt, giọng nói hoặc hành vi

Các hình thức nhận dạng

Sinh trắc học Sinh trắc học: đánh giá được lấy trực tiếp từ các bộ phận trên : đánh giá được lấy trực tiếp từ các bộ phận trên

cơ thể (ví dụ: dấu vân tay, tròng mắt, tay, các đặc tính mặt)

Sinh trắc hành vi Sinh trắc hành vi: đánh giá được phân tích từ sự khác nhau : đánh giá được phân tích từ sự khác nhau của các hành động hoặc gián tiếp từ các sự khác nhau củacác bộ phận trên cơ thể (ví dụ: giọng nói hay theo dõi cách đánh phím)

đánh phím)

Sự không liên tục của dấu vân tay một người, được chuyển đổi thành dạng số đổi thành dạng số

và lưu trữ như các mẫu dùng để nhận dạng xác thực

Phân tích các điểm khác duy nhất trong tròng mắt (một phần màu của mắt), chuyển đổi thành dạng số và lưu trữ như các mẫu để nhận dạng xác thực

Phân tích các đặc tính âm học trong giọng nói, chuyển đổi thành số và lưu đổi thành số và lưu trữ như các mẫu dùng để nhận dạng xác thực

Nhận dạng vân tay

Nhận dạng giọng nói

Nhận dạng mạch máu mắt

Theo dõi đánh bàn phím Theo dõi đánh bàn phím: phân tích áp lực, tốc độ và nhịp điệu của : phân tích áp lực, tốc độ và nhịp điệu của các từ được đánh, chuyển thành dạng số và lưu trữ như các mẩu dùng để nhận dạng xác thực (cách này chưa thực sự phát triển)

Sự mã hoá

Quá trình xáo trộn (mã hóa) một tin nhắn, văn bản hay các tài liệu thành văn bản, tài liệu dưới dạng mật mã để bất cứ ai, ngoài người gửi và người nhận, đều không thể hoặc khó có thể đọc

Bản gốc hay bản rõ (Plaintext)

Một mẩu tin/văn bản không mã hóa và con người có thể đọc

Bản mã hoá hay bản mờ (Ciphertext)

Một bản gốc sau khi đã mã hóa chỉ máy tính mới có thể đọc

Khóa (Key)

Đoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tinĐoạn mã bí mật dùng để mã hóa và giải mã một văn bản/mẩu tin

Một sự sắp theo hệ thống các công nghệ và thủ tục đảm bảo an ninh thanh toán điện tử sử dụng khóa đảm bảo an ninh thanh toán điện tử sử dụng khóa công cộng để mã hóa và các bộ phận công nghệ khác

Thuật toán mã hóa (Encryption algorithm)

Là một biểu thức toán học dùng để mã hóa bản rõ thành bản mờ, và ngược lại

Mục đích của kỹ thuật mã hoá

Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn Đảm bảo an toàn cho các thông tin được lưu giữ, và đảm bảo an toàn cho thông tin khi truyền phát trên mạng

Kỹ thuật mã hoá đảm bảo

Tính toàn vẹn của thông điệp;

Chống phủ định;

Tính xác thực;

Tính bí mật của thông tin

Kỹ thuật mã hoá bằng thuật toán băm sử dụng thuật toán HASH để mã hoá thông điệp

Hàm hash (hàm băm) là hàm một chiều mà nếu đưa một lượng dữ liệu bất kì qua hàm này sẽ cho ra một chuỗi có độ dài cố định (160 bit) ở đầu ra

Ví dụ, từ "Illuminatus" đi qua hàm SHA

Ví dụ, từ "Illuminatus" đi qua hàm SHA 1 cho kết quả 1 cho kết quả E783A3AE2ACDD7DBA5E1FA0269CBC58D

Ta chỉ cần đổi "Illuminatus" thành "Illuminati" (chuyển "us" thành

"i") kết quả sẽ trở nên hoàn toàn khác (nhưng vẫn có độ dài cố định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82

định là 160 bit) A766F44DDEA5CACC3323CE3E7D73AE82

Tính chất cơ bản của hàm HASH

Tính một chiều Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả*: không thể suy ra dữ liệu ban đầu từ kết quả*

Tính duy nhất Tính duy nhất: xác suất để có một vụ va chạm (hash collision), : xác suất để có một vụ va chạm (hash collision), tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực

kì nhỏ

Ứng dụng của hàm hash Ứng dụng của hàm hash

Chống và phát hiện xâm nhập Chống và phát hiện xâm nhập: chương trình chống xâm nhập : chương trình chống xâm nhập

so sánh giá trị hash của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay đổi hay không

Bảo vệ tính toàn vẹn của thông điệp Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng được gửi qua mạng bằng cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay đổi cho dù là nhỏ nhất

Tạo chìa khóa từ mật khẩu Tạo chữ kí điện tử.

Mã hoá khoá bí mật

Gọi là mã hoá đối xứng hay mã hoá khoá riêng

Sử dụng một khoá cho cả quá trình mã hoá (thực hiện bởi người gửi) và quá trình giải mã (thực hiện bởi người nhận)

Mã hoá khoá công cộng

Gọi là mã hoá không đối xứng hay mã hoá khoá chung

Sử dụng hai khoá trong quá trình mã hoá: một khoá dùng

để mã hoá thông điệp và một khoá khác dùng để giải mã

để mã hoá thông điệp và một khoá khác dùng để giải mã

Mã hoá khoá bí mật

Mã hoá khoá công cộng

Số khoá Một kho Một khoáá đơn đơn Một cặp kho Một cặp khoáá

Loại khoá Kho Khoáá bbíí mật mật Một khoMột khoáá bbíí mật vmột khomột khoáá công khaicông khaimật vàà

Quản lý khoá Đơn giản nhưngĐơn giản nhưngkhkhóó quản lýquản lý Yêu cầu cYêu cầu cáác chứng thực điện tử vthực điện tử vàà bênc chứng bên

Chữ Chữ ký ký điệnđiện tử tử đượcđược tạotạo lậplập dướidưới dạngdạng từ,từ, chữ,chữ, số,số, kýký hiệu,hiệu, âmâm thanhthanhhoặc

hoặc cáccác hìnhhình thứcthức kháckhác bằngbằng phươngphương tiệntiện điệnđiện tử,tử, gắngắn liềnliền hoặchoặc kếtkết hợphợpmột

một cáchcách lôlô gícgíc vớivới thôngthông điệpđiệp dữdữ liệu,liệu, cócó khảkhả năngnăng xácxác nhậnnhận ngườingười kýkýthông

thông điệpđiệp dữdữ liệuliệu vàvà xácxác nhậnnhận sựsự chấpchấp thuậnthuận củacủa ngườingười đóđó đốiđối vớivới nộinộidung

dung thôngthông điệpđiệp dữdữ liệuliệu đượcđược kýký

(Luật Giao dịch điện tử)

Chức năng của chữ ký điện tử

Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể;

điện tử cụ thể;

Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó;

Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký

Bất kỳ thay đổi nào (về nội dung, hình thức ) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký

dụng hàm băm khóa riêng của mình

(8) Người gửi ứng dụng hàm băm

(9)

So sánh

(4) Người gửi mã hóa sử dụng khóa công cộng của người nhận (5)

Gửi thư điện tử cho người nhận

(6) Người nhận giải mã sử dụng khóa riêng của người nhận

(7) Người nhận giải mã sử dụng khóa chung của người gửi

Thông điệp gốc

Thông điệp gốc

và chữ ký số

Thông điệp gốc

1 Tạo một thông điệp gốc để gửi đi

2 Sử dụng hàm băm (thuật toán máy tính) để chuyển từ thông điệp gốc thành thông điệp rút gọn

3 Người gửi sử dụng khóa riêng để mã hóa thông điệp số Thông điệp rút gọn sau khi được mã hóa gọi là chữ ký số hay chữ ký điệp rút gọn sau khi được mã hóa gọi là chữ ký số hay chữ ký điện tử Không một ai ngoài người gửi có thể tạo ra chữ ký điện điện tử Không một ai ngoài người gửi có thể tạo ra chữ ký điện

tử vì nó được tạo ra trên cơ sở khóa riêng

4 Người gửi mã hóa cả thông điệp gốc và chữ ký số sử dụng khóa công cộng của người nhận Thông được sau khi được mã hóa gọi là phong bì số hóa

5 Người gửi gửi phong bì số hóa cho người nhận

6 Khi nhận được phong bì số hóa người nhận sử dụng khóa riêng của mình để giải mã nội dung của phong bì số hóa và nhận được một bản sao của thông điệp gốc và chữ ký số của người được một bản sao của thông điệp gốc và chữ ký số của người gửi

7 Người nhận sử dụng khóa chung của người gửi để giải mã chữ

ký số và nhận được một bản sao của thông điệp rút gọn gốc (do người gửi tạo ra, sẽ được sử dụng để đối chứng)

8 Người nhận sử dụng hàm băm để chuyển thông điệp gốc thành thông điệp rút gọn như ở bước 2 người gửi đã làm và tạo ra thông điệp rút gọn mới

9 Người nhận so sánh thông điệp rút gọn mới và bản copy của thông điệp rút gọn gốc nhận được ở bước 7; Nếu hai thông điệp rút gọn trùng nhau, có thể kết luận chữ ký điện tử là xác thực và nội dung thông điệp gốc không bị thay đổi sau khi ký

Nội dung của chứng thực điện tử

Thông tin về tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử

Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thực điện tử

Số hiệu của chứng thực điện tử

Thời hạn cú hiệu lực của chứng thực điện tử

Dữ liệu kiểm tra chữ ký điện tử của người được cấp chứng thực điện tử

Chữ ký điện tử của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử

Các hạn chế về mục đích, phạm vi sử dụng của chứng thư điện tử

Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử

Các nội dung khác theo quy định của Chính phủ

Một loại chứng nhận do cơ quan chứng nhận

((Certification Authority Certification Authority CA CA) (hay bên tin cậy thứ ba) cấp; ) (hay bên tin cậy thứ ba) cấp;

là căn cứ để xác thực các bên tham gia giao dịch; là cơ sở đảm bảo tin cậy đối với các giao dịch thương mại điện tử đảm bảo tin cậy đối với các giao dịch thương mại điện tử