AN TOÀN INTERNET VÀ THƯƠNG MẠI ĐIỆN TỬ tìm hiểu các giao thức trong thương mại điện tử

Tuy nhiên, trên thế giới có rất nhiều khái niệm TMĐT theo nghĩa rộng đượcđịnh nghĩa bởi nhiều tổ chức như UNCTAD, EU, OECD,…do vậy tổ chức liên hiệpquốc UN – United Nations đã đưa định n

HỌC VIỆN KỸ THUẬT MẬT MÃ KHOA AN TOÀN THÔNG TIN

MỤC LỤC

DANH MỤC BẢNG 4

DANH MỤC HÌNH VẼ 5

LỜI MỞ ĐẦU 6

CHƯƠNG 1: TỔNG QUAN VÀ VẤN ĐỀ AN TOÀN TRONG THƯƠNG MẠI ĐIỆN TỬ 7

1.1 Khái niệm của Thương mại điện tử 7

1.2 Lợi ích và hạn chế của Thương mại điện tử 7

1.2.1 Lợi ích 7

1.2.2 Hạn chế 9

1.3 Vấn đề an toàn cho Thương mại điện tử 10

1.4 Các khía cạnh của an toàn thương mại điện tử 12

1.5 Các nguy cơ mất an toàn trong Thương mại điện tử 13

1.5.1 Đánh giá rủi ro trên Internet 13

1.5.2 Các mối đe dọa điển hình 15

1.5.3 Các nguy cơ tấn công ứng dụng web 16

1.5.4 Các nguy cơ mất an toàn trên hệ thống thanh toán điện tử 19

1.6 Các kỹ thuật đảm bảo an toàn thông tin trong thương mại điện tử 19

1.6.1 Mã hóa dữ liệu 19

1.6.2 Chứng thực điện tử 19

1.6.3 Bảo mật hệ thống thanh toán 20

1.6.4 Sử dụng tường lửa 21

1.6.5 Sao lưu dữ liệu 21

1.6.6 Các giao thức trong thương mại điện tử 21

CHƯƠNG 2: CÁC GIAO THỨC TRONG THƯƠNG MẠI ĐIỆN TỬ 22

2.1 3D-Secure: 22

2.1.1 Khái niệm 22

2.1.2 Cách thức hoạt động của giao thức 22

2.1.3 Lợi ích của 3D-Secure: 24

2.2 Giao thức SSL/TLS 25

2.2.1 Khái niệm 25

2.2.2 Đặc điểm cơ bản 26

2.2.3 Cách thức hoạt động 27

2.3 Giao Thức SET 29

2.3.1 Khái niệm SET 29

2.3.2 Lịch sử phát triển 30

2.3.3 Vai trò và đặc điểm của giao thức SET 31

2.3.4 Các thực thể tham gia 32

2.3.5 Cách thức hoạt động 34

2.3.6 Các công nghệ bảo mật được sử dụng trong SET 35

CHƯƠNG 3: CẤU HÌNH BẢO MẬT CHO DỊCH VỤ WEB 37

3.1 Chuẩn bị 37

3.2 Các bước thực hiện 37

KẾT LUẬN 47

TÀI LIỆU THAM KHẢO 48

DANH MỤC BẢNG

Bảng 1: Hạn chế của thương mại điện tử 10Bảng 2: Các khía cạnh an toàn của TMĐT 13Bảng 3: Các lỗ hổng trong ứng dụng web 19

DANH MỤC HÌNH VẼ

Hình 1.1: Môi trường an toàn trong TMĐT 11

Hình 1.2: Các khía cạnh an toàn trong TMĐT 14

Hình 1.3: Những điểm yếu trong môi trường TMĐT 16

Hình 2.1 Quá trình giao dịch khi có xác thực 3D-Secure 25

Hình 2.2 Lịch sử hình thành và phát triển của SSL/TLS 27

Hình 2.3 Cách thức hoạt động của SSL 29

Hình 2.4 Mô tả các bên tham gia trong SET 33

Hình 2.5 Các bước trong quá trình giao dịch SET 36

Hình 2.6 Mô tả quá trình gắn hai thông điệp thành một nhưng chỉ cho phép mỗi đối tác đọc được một phần 37

Hình 2.7 Minh họa quá trình tạo ra chữ ký kép 37

Hình 3.1 Trang chủ website Sharon Shop 38

Hình 3.2 Thiết lập quá trình đăng ký tài khoản và nhấn Tiếp tục 39

Hình 3.3 Nhập thông tin đăng ký tài khoản và nhấn Đăng ký 39

Hình 3.4 Màn hình đăng nhập tài khoản 40

Hình 3.5 Màn hình Wireshark phân tích gói tin 41

Hình 3.6 Gói tin Client Hello 41

Hình 3.7 Chi tiết giao thức Handshake của gói tin Client Hello 42

Hình 3.8 Gói tin Server Hello 43

Hình 3.9 Nội dung gói tin Server Hello 44

Hình 3.10 Thông tin Certificate do Server cấp 44

Hình 3.11 Thông tin Certificate Status 45

Hình 3.12 Gói tin Client Key Exchange 45

Hình 3.13 Gói tin New Session Ticket 46

Hình 3.14 Gói tin Application Data 47

LỜI MỞ ĐẦU

Với sự phát triển mang tính toàn cầu của mạng Internet và Thương mại điện tử,con người có thể mua bán hàng hóa và dịch vụ thông qua mạng máy tính toàn cầu mộtcách dễ dàng trong mọi lĩnh vực thương mại rộng lớn Tuy nhiên đối với các giao dịchmang tính nhạy cảm này cần có những cơ chế đảm bảo bảo mật và an toàn Vì vậy,vấn đề bảo mật và an toàn thông tin trong thương mại điện tử là một vấn đề hết sứcquan trọng Trong bài báo cáo này, chúng em xin phép trình bày về đề tài Các giaothức an toàn trong thương mại điện tử

Bài báo cáo gồm có 3 phần chính:

Chương I: Tổng quan về Thương mại điện tử và vấn đề an toàn trong Thương

mại điện tử: ở phần này chúng em sẽ trình bày tổng quan về khái niệm của TMĐT, lợiích và hạn chế của TMĐT, các vấn đề an toàn, các nguy cơ cũng như các kỹ thuật cơbản trong đảm bảo an toàn trong TMĐT

Chương II: Các giao thức an toàn trong TMĐT: trong chương này chúng em

sẽ trình bày chi tiết và cụ thể về từng giao thức an toàn

Chương III: Thực nghiệm một số giao thức an toàn cụ thể.

Vì thời gian làm bài có hạn nên bài báo cáo của chúng em sẽ không tránh khỏinhững sai sót Chúng em rất mong nhận được sự góp ý từ cô và các bạn

Chúng em xin cảm ơn cô!

CHƯƠNG 1: TỔNG QUAN VÀ VẤN ĐỀ AN TOÀN TRONG

THƯƠNG MẠI ĐIỆN TỬ 1.1 Khái niệm của Thương mại điện tử

Thương mại điện tử (Electronic commerce – EC hay E.Commerce) là một kháiniệm được dùng để mô tả quá trình mua và bán hoặc trao đổi sản phẩm, dịch vụ vàthông tin thông qua mạng máy tính, kể cả Internet TMĐT thường được hiểu theonghĩa hẹp là mua và bán trên mạng hay mua bán thông qua các phương tiện điện tử

Tuy nhiên, trên thế giới có rất nhiều khái niệm TMĐT theo nghĩa rộng đượcđịnh nghĩa bởi nhiều tổ chức như UNCTAD, EU, OECD,…do vậy tổ chức liên hiệpquốc (UN – United Nations) đã đưa định nghĩa đầy đủ nhất để các quốc gia có thểtham khảo làm chuẩn và tạo cơ sở xây dựng chiến lược phát triển TMĐT phù hợp:

Phản ánh các bước TMĐT theo chiều ngang: “TMĐT là việc thực hiện toàn bộhoạt động kinh doanh bao gồm Marketing, bán hàng, phân phối và thanh toán (MSDP– Marketing Sales Distribution Payment) thông qua các phương tiện điện tử”

Phản ánh góc độ quản lý nhà nước, theo chiều dọc thì TMĐT bao gồm:

 Cơ sở hạ tầng cho sự phát triển TMĐT

 Thông điệp dữ liệu

 Các quy tắc cơ bản (luật điều chỉnh)

 Các quy tắc riêng trong từng lĩnh vực

 Các ứng dụng

1.2 Lợi ích và hạn chế của Thương mại điện tử

1.2.1 Lợi ích

Lợi ích đối với tổ chức

 Mở rộng thị trường: với chi phí đầu tư nhỏ hơn nhiều so với thương mạitruyền thống, các công ty có thể mở rộng thị trường, tìm kiếm, tiếp cận

người cung cấp, khách hàng và đối tác trên khắp thế giới Việc mở rộngmạng lưới nhà cung cấp, khách hàng cũng cho phép các tổ chức có thể muavới giá thành thấp hơn và bán được nhiều sản phẩm hơn.

 Giảm chi phí sản xuất, chi phí thông tin liên lạc, chi phí mua sắm và chi phíđăng ký kinh doanh

 Cải thiện hệ thống phân phối: hệ thống cửa hàng giới thiệu sản phẩm đượcthay thế hoặc được hỗ trợ bởi các showroom trên mạng, giảm tải chi phí lưukho và độ trễ trong phân phối hàng

 Vượt giới hạn về thời gian: Việc tự động hóa các giao dịch thông qua Webgiúp hoạt động kinh doanh được thực hiện liên tục mà không mất thêmnhiều chi phí biến đổi

 Sản xuất hàng theo yêu cầu, đáp ứng mọi nhu cầu của khách hàng, tăng tốc

độ tiếp cận sản phẩm với thị trường, củng cố quan hệ với khách hàng

 Mô hình kinh doanh mới: các mô hình kinh doanh mới với những lợi thế vàgiá trị mới cho khách hàng Ví dụ mô hình của amazon.com, mua hàng theonhóm hay đấu giá sản phẩm qua mạng đến các sàn giao dịch B2B là điểnhình của những thành công này

 Các lợi ích khác: thông tin cập nhật, kịp thời, nâng cao uy tín doanh nghiệp,cải thiện chất lượng dịch vụ khách hàng, đơn giản hóa và chuẩn hóa các quytrình giao dịch, tăng sự linh hoạt trong giao dịch và hoạt động kinh doanh,

Lợi ích đối với người tiêu dùng

 Thương mại điện tử cho phép khách hàng mua sắm mọi nơi, mọi lúc đối vớicác cửa hàng trên khắp thế giới, khách hàng có thể lựa chọn nhiều sản phẩmdịch vụ hơn vì được tiếp cận với nhiều nhà cung cấp hơn, với giá thành thấphơn, phù hợp hơn, và mọi nhu cầu của khách hàng đều được đáp ứng

 Một số các sản phẩm được số hóa như phim, nhạc, sách, phần mềm,…nênviệc giao hàng được thực hiện dễ dàng thông qua Internet

 Thông tin phong phú, thuận tiện và chất lượng cao hơn, khách hàng có thể

dễ dàng tìm kiếm được các thông tin cần thiết thông qua các công cụ tìm

kiếm như google, yahoo,…đồng thời việc quảng bá, giới thiệu sản phẩmcũng rộng rãi, thuận tiện hơn.

 Một lợi ích rất quan trọng là nhiều quốc gia miễn thuế đối với các giao dịchtrên mạng nhằm khuyến khích việc hoạt động thương mại điện tử

Lợi ích đối với xã hội

 Hoạt động trực tuyến: thương mại điện tử tạo ra môi trường để làm việc,mua sắm, giao dịch,…từ xa nên giảm việc đi lại, ô nhiễm và tai nạn

 Nâng cao mức sống: có nhiều hàng hóa, nhiều nhà cung cấp sẽ tạo áp lựcgiảm giá, do đó tăng khả năng mua sắm của khách hàng, nâng cao mứcsống

 Các nước nghèo có thể tiếp cận với các sản phẩm, dịch vụ từ các nước pháttriển hơn đồng thời có thể học tập các kinh nghiệm và được đào tạo thôngqua Internet và thương mại điện tử nhằm tiếp cận công nghệ mới một cáchnhanh chóng hơn

 Giảm bớt sự phức tạp và cồng kềnh của các dịch vụ công cộng như y tế,giáo dục, các dịch vụ công của chính phủ,…

1.2.2 Hạn chế HẠN CHẾ CỦA THƯƠNG MẠI ĐIỆN TỬ Hạn chế về kỹ thuật Hạn chế về thương mại

1 Chưa có tiêu chuẩn quốc tế về

chất lượng, an toàn và độ tin cậy

1 An ninh và tính riêng tư là hai cản trở

về tâm lý đối với người tham gia thươngmại điện tử

2 Tốc độ đường truyền Internet vẫn

chưa đáp ứng được yêu cầu của

người dùng, nhất là trong thương

mại điện tử

2 Thiếu lòng tin vào thương mại điện tử

và người bán hàng trong thương mại điện

tử do các bên không được gặp mặt trựctiếp

3 Các công cụ xây dựng phần mềm

vẫn trong giai đoạn đang phát triển

3 Nhiều vấn đề về luật, chính sách vàthuế chưa được làm rõ

4 Khó khăn khi kết hợp các phần 4 Một số chính sách chưa thực sự hỗ trợ

mềm thương mại điện tử với các

phần mềm ứng dụng và các cơ sở dữ

liệu truyền thống

tạo điều kiện để thương mại điện tử pháttriển

5 Cần có các máy chủ thương mại

điện tử đặc biệt, chuyên dụng (công

suất, an toàn) đòi hỏi thêm chi phí

đầu tư

5 Các phương pháp đánh giá hiệu quảcủa thương mại điện tử còn chưa đầy đủ,hoàn thiện

6 Chi phí truy cập Internet vẫn còn

cao

6 Cần có thời gian để làm quen với việcchuyển đổi thói quen tiêu dùng từ thựcđến ảo

7 Thực hiện các đơn đặt hàng trong

thương mại điện tử B2C đòi hỏi hệ

thống kho hàng tự động lớn

7 Sự tin cậy đối với mô trường kinhdoanh không giấy tờ, không tiếp xúc trựctiếp, giao dịch điện tử

8 Số lượng người tham gia chưa đủ lớn

để đạt lợi thế về quy mô

9 Số lượng gian lận ngày càng gia tăng

do đặc thù của thương mại điện tử

10 Thu hút vốn đầu tư mạo hiểm khókhăn hơn sau sự sụp đổ hàng loại của cáccông ty dot.com

Bảng 1: Hạn chế của thương mại điện tử

1.3 Vấn đề an toàn cho Thương mại điện tử

Trong thương mại truyền thống, khi đi mua hàng, người mua có thể gặp nhữngrủi ro như không nhận được những hàng hóa mà mình đã mua và thanh toán Nguyhiểm hơn, khách hàng có thể bị những kẻ xấu lấy cắp tiền trong lúc mua sắm Nếu làngười bán hàng, thì có thể không nhận được tiền thanh toán Thậm chí, kẻ xấu có thểlấy trộm hàng hóa, hoặc có những hành vi lừa đảo như thanh toán bằng thẻ tín dụng ăncắp hoặc trả bằng tiền giả,…

Nhìn chung, tất cả các loại tội phạm diễn ra trong môi trường thương mạitruyền thống đều xuất hiện trong môi trường thương mại điện tử dưới hình thức tinh vi

và phức tạp hơn Trong khi đó, việc giảm thiểu các rủi ro trong TMĐT là một quátrình phức tạp, liên quan đến nhiều công nghệ mới, nhiều thủ tục và các chính sách tổchức, liên quan đến những bộ luật mới và các tiêu chuẩn công nghệ mới

Hình 1.0.1: Môi trường an toàn trong TMĐT

Để đạt được mức độ an toàn cao trong TMĐT, chúng ta phải sử dụng nhiềucông nghệ mới Song bản thân các công nghệ mới này không thể giải quyết được tất

cả mọi vấn đề Cần có các thủ tục và chính sách, tổ chức,… để đảm bảo cho các côngnghệ trên không bị phá hỏng Các tiêu chuẩn công nghệ và các bộ luật mới, phù hợpcủa chính phủ cũng cần được áp dụng để tăng hiệu quả hoạt động của các kỹ thuậtthanh toán và để theo dõi, đưa ra các xét xử những vi phạm luật pháp trong TMĐT

An toàn luôn mang tính tương đối Lịch sử an toàn giao dịch thương mại đãchứng minh rằng, bất kỳ hệ thống an toàn nào cũng có thể bị phá vỡ nếu không đủ sức

để chống lại các cuộc tấn công Hơn nữa, một sự an toàn vĩnh viễn là không cần thiếttrong thời đại thông tin Thông tin đôi khi chỉ có giá trị trong một vài năm, một vàingày, thậm chí là một vài giờ và chỉ cần đảm bảo an toàn trong khoảng thời gian đó là

đủ An toàn luôn đi liền với chi phí, càng an toàn thì chi phí sẽ càng cao, vì vậy cầnphải cân nhắc vấn đề chi phí để đảm bảo an toàn cho những đối tượng cần được bảo

vệ Và, an toàn là cả một chuỗi liên kết và điểm yếu nhất là nơi kém an toàn nhất, như

ta sử dụng khóa, thì ổ khóa cũng chắc chắn và có độ an toàn cao hơn việc quản lý cácchìa khóa.

1.4 Các khía cạnh của an toàn thương mại điện tử

Bản chất của an toàn là một vấn đề phức tạp, liên quan đến nhiều khía cạnh khác nhau Đối với an toàn TMĐT, có sáu khía cạnh cơ bản cần phải giải quyết, bao gồm: tính toàn vẹn, chống chối bỏ, tính xác thực của thông tin, tính tin cậy, tính riêng

tư và tính ích lợi

Khía cạnh Góc độ phía khách hàng Góc độ của người bán hàngTính toàn vẹn Thông tin truyền hoặc nhận

được có bị thay đổi không?

Dữ liệu trên máy chủ có bị thayđổi trái phép không? Các dữliệu nhận được từ khách hàng

có chắc chắn và có giá trịkhông?

Chống chối bỏ Một đối tác có thể: thực hiện

Tính xác thực Người đang thực hiện giao dịch

là ai? Làm sao có thể đảm bảođối tác đó đúng là người cầngiao dịch?

Làm thế nào để nhận biết chínhxác một khách hàng của doanhnghiệp là ai?

Tính tin cậy Một người khác (ngoài những

người được phép) có thể đọccác thông điệp của khách hàngkhông?

Một ai đó, ngoài những ngườiđược phép, có thể xem cácthông điệp hoặc tiếp cận vớicác thông tin bí mật nhạy cảmcủa doanh nghiệp không?Tính riêng tư Có thể kiểm soát được các

thông tin cá nhân khi gửi chongười bán hàng trong các giaodịch TMĐT không?

Sử dụng các thông tin cá nhân

mà khách hàng cung cấp nhưthế nào? Làm thế nào để ngănchặn việc sử dụng trái phép các

thông tin đó?

Tính ích lợi Có thể truy cập vào website của

doanh nghiệp ko?

Các Website của doanh nghiệphoạt động tốt không?

Bảng 2: Các khía cạnh an toàn của TMĐT

1.5 Các nguy cơ mất an toàn trong Thương mại điện tử

1.5.1 Đánh giá rủi ro trên Internet

Vấn đề an toàn Internet nói riêng cũng như an toàn thông tin nói chung đượctóm gọn trong sơ đồ dưới đây:

Chúng ta thấy rõ từ sơ đồ trên đây là vấn đề ATTT không chỉ chỉ được giảiquyết bằng các biện pháp kỹ thuật công nghệ mà còn phải áp dụng các biện pháp cầnthiết lên các yếu tố con người, thủ tục và chính sách

An toàn Internet nhằm làm giảm nhẹ các rủi ro do Internet sinh ra Chuẩn quốc

tế ISO 17799 (nay là ISO27001) nhắm đến quản lý các rủi ro đó, được thi hành bằngviệc phát triển một chiến lược quản lý và giảm thiểu rủi ro, trong đó bao gồm việc

Hình 1.0.2: Các khía cạnh an toàn trong TMĐT

định nghĩa tài sản, nguy cơ, điểm yếu và đo lường rủi ro Kiểm soát được chọn lựanhằm phòng tránh, chuyển giao và giảm thiểu rủi ro đến mức độ chấp nhận được.Đánh giá rủi ro an ninh thường bao gồm các bước sau:

Nhận dạng tài sản thông tin trong khu vực cần bảo mật: Tài sản có thể là nhữngvật hữu hình, như là phần cứng, hoặc vô hình, như là cơ sở dữ liệu của tổ chức Theođịnh nghĩa, tài sản có giá trị đối với tổ chức, vì vậy đòi hỏi sự bảo vệ Tài sản cầnđược xác định, và chủ sở hữu phải được định nghĩa Một giá trị định lượng tương đốicần được xác định cho mỗi tài sản để mức độ quan trọng của tài sản được thiết lập khirủi ro được định lượng

Xác định mối nguy cơ đe dọa đến tài sản – nguy cơ đe dọa được tạo ra do sựlợi dụng những điểm yếu của tài sản và tạo nên rủi ro Những mối nguy cơ đe dọa đếnmỗi tài sản cần được nhận dạng Có thể có rất nhiều mối nguy cơ đe dọa đến tài sản,tuy nhiên chỉ nên xem xét đến những mối nguy cơ có tính hiện thực cao Chỉ có nhữngmối nguy cơ đe dọa có khả năng xảy ra cao, hoặc dẫn đến thiệt hại lớn cần được xemxét Ví dụ, một mối nguy cơ đến cơ sở dữ liệu của tổ chức chính là việc mất cắp hoặcsửa đổi dữ liệu

Xác định mức độ tổn thương của tài sản – Mức độ tổn thương là những điểmyếu của tài sản có thể được lợi dụng bởi các mối nguy cơ đe dọa và tạo ra rủi ro Mộttài sản có thể có nhiều tổn thương Ví dụ, mức độ tổn thương đến cơ sở dữ liệu củamột tổ chức có thể là do sự yếu kém về kiểm soát truy cập hoặc thiếu sự backup

Xác định xác suất xảy ra – Xác suất xảy ra cho mỗi tổ hợp: mối đe dọa rủiro/sự tổn thương cần được xác định, tổ hợp với khả năng xảy ra quá thấp có thể được

bỏ qua

Tính toán thiệt hại – Thiệt hại cần được định lượng với con số giá trị cụ thểnhằm xác định rõ giá trị mất mát do mỗi sự cố tấn công thành công Giá trị này thiếtlập được sự nghiêm trọng của mỗi rủi ro và không tính đến xác suất khả năng xảy ra

Tính toán rủi ro - Đánh giá và giảm thiểu rủi ro là mục tiêu của hệ thống quản

lý an toàn thông tin ISO27001 Nói một cách toán học, rủi ro có thể được tính theocông thức: (xác suất xảy ra) X mức độ thiệt hại = Rủi Ro Công thức này dẫn đến việc

đo lường và so sánh mức độ nghiêm trọng của các rủi ro, cho phép việc tập trungnguồn lực vào giải quyết những mối rủi ro lớn nhất

Sự hiệu quả của quy trình ISO27001 dựa trên sự chính xác và trọn vẹn của việcđánh giá rủi ro an ninh Rủi ro không thể được giảm nhẹ khi chưa được xác định rõràng! Các kiểm soát được tạo ra để giảm nhẹ rủi ro được xác định trong bước đánh giárủi ro Sự chọn lựa của các kiểm soát được xem xét dựa trên sự cân bằng giữa khảnăng của ban lãnh đạo chấp nhận rủi ro và việc áp dụng kiểm soát.

1.5.2 Các mối đe dọa điển hình

Xét trên góc độ công nghệ, có ba bộ phận rất dễ bị tấn công và tổn thương khithực hiện các giao dịch TMĐT, đó là:

- Hệ thống của khách hàng

- Máy chủ của doanh nghiệp

- Đường dẫn thông tin (communications pipeline)

Hình 1.0.3: Những điểm yếu trong môi trường TMĐT

Có bảy dạng nguy hiểm nhất đối với an toàn của các website và các giao dịchTMĐT, bao gồm: các đoạn mã độc hại, tin tặc và các chương trình phá hoại, trộm cắp/gian lận thẻ tín dụng, lừa đảo, từ chối dịch vụ, nghe trộm và sự tấn công từ bên trongdoanh nghiệp

1.5.3 Các nguy cơ tấn công ứng dụng web Tấn công trên máy chủ web

Các tấn công này dựa trên lỗ hổng của hệ điều hành máy chủ chứa ứng dụngweb, các ví dụ bao gồm:

 Tấn công unicode, printer ISAPI trên máy chủ Microsoft IIS

 Tấn công tràn bộ nhớ đệm trên máy chủ Apache

Tấn công các lỗ hổng liên quan đến vấn đề quản trị Web Các tấn công nàykhai thác các điểu yếu do lỗi của người quản trị web, cấu hình trang web thiếu an toàn

Ví dụ bao gồm:

 Kiểm tra tập tin thông thường (Common File Checks)

 Kiểm tra đuôi tập tin (Extension checking)

 Kiểm tra dữ liệu (Data Extension Checking)

 Kiểm tra dữ liệu backup (Backup Checking)

 Liệt kê nội dung thư mục (Directory Enumeration)

 Kiểm soát đường dẫn (Path Truncation)

 Đường dẫn web ẩn (Hidden Web Paths)

 Cấu hình sai SSL

 Cấu hình sai HTTP

 Cấu hình sai cơ chế xác thực …

Các tấn công dựa trên lỗ hổng tầng ứng dụng web: Các tấn công này dựa trêncác điểm yếu trong mã nguồn và logic của ứng dụng, ví dụ bao gồm:

Tấn công trên trình duyệt web

Những lỗ hổng hàng đầu trong ứng dụng Web

Dữ liệu đầu vào không Thông tin và dữ liệu từ các truy cập HTTP không được kiểm

được kiểm tra

tra trước khi được sử dụng bởi ứng dụng web Tin tặc có thểtận dụng những lỗi này nhằm tấn công các lớp ứng dụng phíasau thông qua ứng dụng web

Lỗi kiểm soát truy cập

nguồn tài nguyên

Những giới hạn về quyền truy cập tài nguyên của người sửdụng không được thi hành đúng Tin tặc có thể tận dụngnhững lỗi này nhằm truy cập vào tài khoản của người khác,xem các tập tin nhạy cảm, hoặc thi hành những chức năngkhông cho phép

Lỗi liên quan đến quá

trình quản lý xác thực

và phiên truy cập

Quá trình xác thực và quản lý phiên truy cập không được bảo

vệ tốt có thể dẫn đến việc thông tin tài khoản bị mất cắp

Lỗi Cross Site

Scripting (XSS)

Ứng dụng web có thể được sử dụng như một cơ chế đểchuyên chở tấn công đến trình duyệt của người sử dụng Mộtcuộc tấn công thành công có thể sẽ làm lộ token của ngườidùng, tấn công máy đầu cuối, hoặc giả nội dung nhằm đánhlừa người sử dụng

Lỗi tràn bộ đệm

Một số module của ứng dụng Web khi được phát triển bằngnhững ngôn ngữ không kiểm tra dữ liệu đầu vào có thể bịcrashed, và trong một số trường hợp, có thể bị lợi dụng đểchiếm đoạt quyển kiểm soát của một process hoặc toàn bộmáy chủ Những module này có thể bao gồm CGI, thư viện,drivers, và những module của máy chủ

Lỗi Injection

Ứng dụng web có thể sử dụng các dữ liệu đầu vào làm tham

số cho các hàm gọi vào hệ thống Nếu tin tặc nhúng các mãnguy hiểm trong dữ liệu đầu vào, hệ thống có thể chạy cácđoạn mã nguy hiểm này

Quy trình quản lý báo

lỗi

Những lỗi thông thường không được xử lý phù hợp Nếu mộttin tặc gây ra một lỗi mà ứng dụng không xử lý, họ có thểxem được thông tin về hệ thống, lợi dụng tấn công từ chốidịch vụ, làm cơ chế bảo mật thất bại, hoặc crash máy chủ

Lưu trữ thiếu an toàn

Những ứng dụng web hay sử dụng các hàm giải thuật mã hóanhằm bảo vệ an toàn cho dữ liệu Tuy nhiên những hàm này

và các mã nguồn có thể có nhiều lỗi do lập trình viên bất cẩn,dẫn đến việc lộ thông tin quan trọng

Từ chối dịch vụ Tin tặc có thể tấn công làm tê liệt ứng dụng web, không cho

mã, số dư và các dữ liệu khác trên thẻ

 Sửa đổi, sao chép dữ liệu hoặc phần mềm: phương pháp này làm thay đổitrái phép dữ liệu lưu trữ trên thiết bị của phương tiện thanh toán điện tử

 Lấy trộm thiết bị: lấy trộm thiết bị của người tiêu dùng hoặc người bán và

sử dụng trái phép số dư trên đó

 Không ghi lại giao dịch: Một người sử dụng có thể cố tình không ghi lạigiao dịch, không thực hiện nghĩa vụ trả tiền, dẫn tới thất thoát cho ngườibán cũng như nhà phát hành sản phẩm tiền điện tử

 Sự cố hoạt động: các phương tiện thanh toán điện tử có thể bị sự cố ngẫunhiên hoặc bị mất các dữ liệu lưu trên thiết bị, một chức năng nào đó ngừng

hoạt động, như chức năng kế toán hoặc chức năng bảo mật, hoặc lỗi trongquá trình truyền tải, xử lý thông tin.

1.6 Các kỹ thuật đảm bảo an toàn thông tin trong thương mại điện tử

1.6.1 Mã hóa dữ liệu

Mã hóa thông tin là quá trình chuyển các văn bản hay các tài liệu gốc thành cácvăn bản dưới dạng mật mã để bất kỳ ai, ngoài người gửi và người nhận đều không thểđọc được Mã hóa dữ liệu có khả năng đảm bảo bốn trong sáu khía cạnh an toàn củathương mại điện tử :

 Đảm bảo tính toàn vẹn của thông điệp

Đối với nhiều giao dịch thương mại điện tử, chứng thực điện tử chính là cơ sở,

là cốt lõi của giao thức an toàn giao dịch điện tử, việc sử dụng bên tin cậy thứ ba, cùngvới chứng thực điện tử là cách đơn giản và thuận tiện để các bên có thể tin cậy lẫnnhau Tuy nhiên, trong một số trường hợp, bản thân các cơ quan chứng thực này cũngcần có những cơ quan chứng thực cấp trên, có uy tín và độ tin cậy cao hơn chứng thựccho mình Tập hợp hệ thống các cơ quan chứng thực các cấp và các thủ tục chứngthực điện tử được tất cả các đối tượng tham gia thương mại điện tử chấp nhận hìnhthành cơ sở hạ tầng khóa công khai (PKI) Đây chính là điều kiện, hỗ trợ các cá nhântham gia vào cộng đồng những người sử dụng khóa mã, tạo và quản lý các cặp khóa,phổ biến/thu hồi các khóa công khai, một trong những điều kiện cần thiết để tham giathương mại điện tử

1.6.3 Bảo mật hệ thống thanh toán

Cổng thanh toán là một mục tiêu hấp dẫn của tin tặc, vì nó chứa thông tin giaodịch của người dùng và website thương mại điện tử, đặc biệt alf thông tin thẻ tín dụng

Để bảo mật cổng thanh toán, doanh nghiệp cần tuân thủ tối thiểu các tiêu chuẩn sau:

 Tích hợp chứng chỉ SSL mã hóa thông tin truyền tải

 Chuẩn bảo mật PCI DSS

 Mật mã OTP

 Mã hóa MD5 128bit

 Cơ chế lưu token của người dùng

 Không lưu giữ thông tin thẻ của người dùng

Việc tự tạo một cổng thanh toán rất tốn công sức, tiền bạc, rủi ro pháp lý, vì thếhầu hết doanh nghiệp TMĐT đều liên kết với một đối tác thanh toán bên thứ 3 Khi

đó, cần chọn những cổng thanh toán uy tín, có các kênh thanh toán phù hợp với kháchhàng, quy trình thanh toán đơn giản, và cam kết bảo mật cao

 Đối tác thanh toán quốc tế: Paypal, Stripe, 2Checkout…

 Đối tác thanh toán nội địa Việt Nam: VNpay, NAPAS, Smartlink,Onepay…

1.6.4 Sử dụng tường lửa

Một trong những cách hiệu quả để bảo mật website thương mại điện tử là sửdụng Tường lửa bảo vệ web (Firewall) Nó sẽ giúp phân luồng traffic và loại bỏnhững traffic độc hại truy cập vào trang web Qua đó hạn chế được nhiều rủi ro bị tấncông DDoS Tường lửa cũng hiệu quả trong việc chống lại SQL injection và XSS.Một trong những tường lửa phổ biến là Cloudflare Firewall, AWS WAF của Amazon

1.6.5 Sao lưu dữ liệu

Sao lưu dữ liệu là giải pháp đơn giản nhưng hiệu quả chống lại các cuộc tấncông hay các rủi ro bảo mật cho thương mại điện tử Mỗi khi website gặp vấn đề màkhông thể giải quyết được bằng các biện pháp ứng cứu thông thường, bạn có thể phụchồi lại bản sao lưu để tiếp tục phục vụ người dùng Vấn đề khó khăn khi sao lưu dữliệu là chọn giải pháp phù hợp với quy mô doanh nghiệp và dễ dàng scale up khi cần

thiết Dịch vụ backup của Amazon Web Service sẽ giải quyết được vấn đề này chophần lớn doanh nghiệp Bên cạnh đó, cũng cần thực hiện offline backup như mộtphương án dự phòng khi trường hợp xấu nhất xảy ra.

Dữ liệu là tài sản quý giá đối với mỗi cá nhân và mỗi doanh nghiệp Nếu bạnkhông muốn một hôm đẹp trời nào đó toàn bộ dữ liệu của mình lưu trên máy tính cánhân, máy tính bảng hay thậm chí điện thoại di động bốc hơi mất vì máy bị hỏng haymất trộm thì bạn cần phải back-up dữ liệu

1.6.6 Các giao thức trong thương mại điện tử

Trong thương mại điện tử, vấn đề bảo mật thông tin khách hàng cũng nhưthông tin thanh toán, tài khoản điện tử, thông tin thẻ của người dùng là một vấn đề vôcùng quan trọng Để đảm bảo được những thông tin quan trọng đó, người ta sẽ sửdụng các hình thức bảo mật là các giao thức trong quá trình giao dịch, thanh toán dịch

vụ trong thương mại điện tử Và trong phạm vi Chương 2 của tài liệu này, chúng em

sẽ trình bày chi tiết về các giao thức an toàn trong thương mại điện tử Các giao thức

an toàn thường được sử dụng là:

 Giao thức SET (Secure Electronic Transaction)

 Giao thức SSL/TLS

 Giao thức 3D-Secure

2 CHƯƠNG 2: CÁC GIAO THỨC TRONG THƯƠNG MẠI

ĐIỆN TỬ

Ngay khi tham gia vào mạng thì vấn đề đầu tiên của các nhà phát triển bao giờcũng là vấn đề bảo mật đặc biệt là bảo mật đường truyền, đặc biệt lại với đặc thù củaThương Mại Điện Tử khi mọi giao dịch đều được thực hiện trên môi trường mạng nơi

có rất nhiều tiềm ẩn về rủi ro mất an toàn thông tin do các cuộc tấn công mạng gây ra

Vì vậy họ đã phát triển rất nhiều các giao thức nhằm đảm bảo và tăng tính bảo mậtcho thông tin như là: SSL/TLS, SET, 3D-Secure, v.v Bây giờ chúng ta sẽ đi vào chitiết từng giao thức để xem cách thức hoạt động của giao thức đó đối với việc đảm bảo

an toàn thông tin giao dịch

2.1 3D-Secure:

2.1.1 Khái niệm

Trong thời đại công nghệ, việc mua bán trực tuyến đang mang lại nhiều cơ hộicho các doanh nghiệp cung ứng sản phẩm, dịch vụ trực tuyến và cả người tiêu dùng.Theo nghiên cứu của tổ chức thẻ quốc tế, rất nhiều chủ thẻ ngần ngại với việc muabán trực tuyến vì lý do bảo mật thông tin thẻ

Verified by Visa, MasterCard SecureCode là hai giải pháp bảo mật mang tínhtoàn cầu cho phép khách hàng có thể tự xin cấp phép giao dịch thông qua một mã số

cá nhân duy nhất trong giải pháp xác thực 3D Secure Khách hàng sẽ được bảo vệthông qua một mã số bí mật nữa do ngân hàng phát hành cấp, dựa theo tiêu chuẩn củacác tổ chức thẻ quốc tế

3D Secure (tên riêng Verified by Visa (VbV) hoặc Mastersecure code (MSC)

hoặc Jsecure) là một chương trình an ninh của Visa/ MasterCard/ JCB nhằm đảm bảorằng chính chủ thẻ hợp pháp đã sử dụng thẻ tín dụng/ ghi nợ của họ để thực hiện thanhtoán tại thời điểm phát sinh giao dịch.

2.1.2 Cách thức hoạt động của giao thức

Ngân hàng phát hành thẻ cấp một mã số bí mật này đóng vai trò như chữ kýhoặc số PIN trong các giao dịch POS và ATM Khi khách hàng mua hàng và thanhtoán trực tuyến, ngoài việc điền thông tin thẻ thì họ sẽ khai thêm mã số cá nhân Giải

pháp này giúp các doanh nghiệp giảm thiểu rủi ro và giao dịch đòi bồi hoàn từ phíachủ thẻ Từ đó đã khiến cho niềm tin của khách hàng cũng như của doanh nghiệp vềgiao dịch trực tuyến tăng lên gấp bội.

Đối với giao dịch thẻ quốc tế

Trong các giao dịch thẻ thông thường, chủ thẻ chỉ cần cung cấp các thông tinnhư số thẻ, ngày hiệu lực, số CVV (card validity value), CVC (card validity code)(CVC và CVV là Mã số kiểm tra giá trị sử dụng của Visa card ( CVV ) hayMastercard ( CVC ) được mã hoá trong các vạch này có thể được người phát hành thẻkiểm tra trong thời gian còn hiệu lực sử dụng) Những thông tin này do không có độbảo mật cao nên dễ bị lợi dụng

Giải pháp 3D Secure cho phép các ngân hàng phát hành xác thực chủ thẻ tạithời điểm thực hiện giao dịch trực tuyến qua một mã cá nhân riêng có của chủ thẻ Mã

số cá nhân này có vai trò như chữ ký trong các giao dịch vậy lý hoặc số PIN tronggiao dịch ATM

Đối với giao dịch thẻ nội địa qua Internet

Triển khai phương thức xác thực khách hàng mới nhất cho các giao dịch thẻnội địa: xác thực khách hàng hai lớp bảo mật

Với phương thức này, ngoài việc khách hàng sử dụng mật mã cá nhân do ngânhàng cấp như 3D Secure, với mỗi giao dịch hệ thống sẽ tự động tạo ra một mã số giaodịch riêng và gửi cho khách hàng qua SMS hoặc email để thực hiện giao dịch

Cơ chế hoạt động như sau

 Khách hàng tiến hành giao dịch trên website

 Nhập thông tin Thẻ ( mã số thẻ, số CVV, số PIN )

 Hệ thống thanh toán sẽ kết nối xác thực với ngân hàng

 Ngân hàng gửi đến cho Chủ Thẻ ( chủ tài khoản ) 01 mật khẩu tức thờiđược khởi tạo ngẫu nhiên qua SMS

 Khách hàng nhập thêm mã số này vào mục Thanh Toán trên websiteNhư vậy, với 3D Password, nếu khách hàng bị mất thẻ, mất thông tin tài khoản(username, password ), thì vẫn an tâm nếu sử dụng chức năng 3D password để bảo vệcho tài khoản

Hình 2.4 Quá trình giao dịch khi có xác thực 3D-Secure

2.1.3 Lợi ích của 3D-Secure:

Giao dịch mua sắm trực tuyến tại bằng thẻ quốc tế hay thẻ nội địa an toàn vàbảo mật hơn

Dịch vụ hoàn toàn miễn phí và không cần yêu cầu đăng ký kích hoạt dịch vụ:tính năng 3D Secure sẽ được mặc định áp dụng cho các thẻ mở tính năng thanh toántrực tuyến (e-commerce) và số điện thoại nhận OTP đã được đăng ký với ngân hàngkhi phát hành thẻ

Cơ chế 3D Secure được tích hợp trọn vẹn vào hệ thống Payment Gateway

nhằm tạo sự an tâm tuyệt đối Với các thanh toán thông qua Cổng Thanh ToánPayment Gateway, cả Người Mua lẫn Người Bán đều có mối quan hệ và tin tưởng lẫnnhau

Giải pháp 3D Secure ( 3D password ) cũng được áp dụng thuận tiện cho các đối tác nào của hệ thống nhằm cung cấp lại dịch vụ, hay triển khai trên các hệ thống

khác ( cảnh báo, bán hàng, xác thực quản trị hệ thống )

2.2 Giao thức SSL/TLS

Như đã đề cập việc truyền thông qua mạng tiềm ẩn rất nhiều rủi ro đặc biệt là

sự mất an toàn bảo mật thông tin mà đó là điều tối quan trọng đối với các trang thương