An toàn thương mại điện tử: Những điều cần biết

Chia sẻ: Rin Trung | Ngày: | Loại File: DOC | Số trang:0

0
298
lượt xem
168
download

An toàn thương mại điện tử: Những điều cần biết

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Ngày nay, trên mạng internet kỳ diệu, hàng tỷ đô la được giao dịch mỗi ngày (trên dưới 2 ngàn tỷ USD/năm). Một khối lượng hàng hóa và tiền bạc khổng lồ đang được tỷ tỷ các điện tử tý hon chuyển đi và đó thực sự là miếng mồi béo bở cho những tay ăn trộm hay khủng bố có 'tri thức'.

Chủ đề:
Lưu

Nội dung Text: An toàn thương mại điện tử: Những điều cần biết

  1. An toàn thương mại điện tử: Những điều cần biết Ngày nay, trên mạng internet kỳ diệu, hàng tỷ đô la được giao dịch mỗi ngày (trên dưới 2 ngàn tỷ USD/năm). Một khối lượng hàng hóa và tiền bạc khổng lồ đang được tỷ tỷ các điện tử tý hon chuyển đi và đó thực sự là miếng mồi béo bở cho những tay ăn trộm hay khủng bố có 'tri thức'. Những bài học đáng nhớ  Cuộc tấn công từ chối dịch vụ ồ ạt vào các trang web TMĐT lớn nhất trên thế giới như Yahoo.com,  Amazon.com, Buy.com... xảy ra tháng 2/2000. Các 'siêu thị' điện tử khổng lồ này đột nhiên bị hàng triệu khách  'ma' xông vào khiến tắc nghẽn và ngừng hoạt động vài ngày, gây thiệt hại khoảng 1,5 tỷ USD. Người có tài điểu  khiển âm binh chỉ là một cậu bé Mafia (Mafiaboy) chưa đến tuổi trưởng thành đã bị bắt vài tháng sau đó.Đã  bao nhiêu lần các thông tin về thẻ tín dụng bị đánh cắp trong các kho dữ liệu của các hệ thống TMĐT. Những  kẻ trộm 'ác' thì sử dụng thẻ tín dụng đánh cắp để thực hiện một giao dịch nào đó nhằm rút tiền đút vào túi  mình, còn một số không ít kẻ trộm 'lành' thì đưa thông tin lên một trang web và thêm vài lời bình luận. Một trong  những kẻ trộm 'lành' có tên lóng là Curador đã làm như vậy sau khi ăn cắp được 5000 mã số thẻ từ các website  như shoppingthailand.com và đăng kèm thêm một lời cám ơn Bill Gates vì đã tạo ra phần mềm SQL Server với  quyền 'cho cả thế giới đọc' trong cấu hình mặc định. Các CSDL mà Curador đột nhập đã sử dụng SQL Server  mà không sửa đổi gì cấu hình 'nguyên bản từ Bill Gates' này. Đây là bài học lớn được gọi là 'các lỗ hổng trong  cấu hình mặc định' còn được tiếp tục phát hiện thường xuyên trong các phiên bản PM ngày nay.  'Đem con bỏ chợ' là bài học lớn tiếp theo trong lĩnh vực TMĐT. Trong thực tế, các công ty nhỏ không có khả  năng thiết lập các hệ thống kỹ thuật riêng cho trang web TMĐT của mình, họ thường phải mang 'đứa con'  (trang web TMĐT) của mình lên 'bỏ' ở nơi thuê chỗ (hosting). Từ năm 2000, một công ty Nga đã có một pha  trình diễn ấn tượng trước giới báo chí nước ngoài khi họ dễ dàng chui lọt vào 20 trang web TMĐT để chứng tỏ  là họ có thể lấy cắp 25.000 số thẻ tín dụng và các thông tin đi kèm. Những lỗ hổng mà họ lợi dụng để chui vào  là do những người phát triển trang web đã tạo ra lỗi trong chương trình ứng dụng của mình. Trên một 'chợ' đông  đảo như vậy thì việc có một vài trang web có lỗ hổng là bình thường và thông qua lỗ hổng này, toàn 'chợ' sẽ bị  vạ lây. Các hacker Việt Nam cũng biết rõ điểm yếu này có thể khai thác như thế nào khi họ tuyên bố là có thể  'vào' bất cứ trang web nào trên hệ thống hosting tại Việt Nam. Các lỗ hổng ở tầng ứng dụng là nguyên nhân  gây ra 75% các lần hacker tấn công thành công một trang web. Đó là lý do tại sao sau khi đầu tư đầy đủ các  thiết bị bảo vệ mạng mà các website vẫn bị xâm phạm. Phải bảo vệ tầng ứng dụng!  Trong thế giới số, sự sống sôi động nhất do mạng internet mang lại và kèm theo đó là các đại dịch virus máy  tính thời hiện đại mang những cái tên như 'I love you', 'Sobig', 'Blaster'... TMĐT luôn 'run sợ' trước các cơn đại  dịch này. Cũng như dịch SARS, các virus này làm cho các siêu thị thất thu, du lịch khủng hoảng và các hãng  hàng không điêu đứng. Năm 2003 vừa qua được giới an toàn thông tin gọi là năm của Virus và Spam (Spam ­  thư rác điện tử). Các chiến lược gia an ninh mạng cho rằng 2004 sắp tới cũng sẽ là năm của virus, hay nói  đúng hơn là năm của các con 'sâu' (worm) máy tính. Ở đây 'sâu' là loại hình virus máy tính hiện đại mà một  trong những đặc trưng mới lạ của nó là khả năng tự biết 'bò' sang máy tính khác trong mạng chứ không chỉ  'bám theo' các tệp tin trao đổi qua lại giữa các máy tính. Nếu nói thật chính xác thì chính năm 2003 là năm của  'sâu', và thế giới số sẽ phải đối mặt với sự xuất hiện của 'siêu sâu' trong năm 2004. Giống như các siêu nhân  Robot 'n trong một', 'siêu sâu' là loại 'sâu' có khả năng tấn công qua nhiều lỗ hổng khác nhau của hệ thống  (sâu hiện nay mới chỉ biết tận dụng một lỗ hổng), không 'ngán' bất cứ một hệ điều hành nào (kể cả Linux và  Unix), có khả năng đa hình (thay đổi hình dạng để tránh bị các phần mềm hiệp sĩ diệt virus nhận biết)...  Đối với virus máy tính, người ta (Trend Micro) luôn cam kết sau vài giờ kể từ khi đưa mẫu virus sẽ 'sản xuất'  được thuốc chữa. Liệu với các 'siêu sâu' họ có thể tiếp tục làm được như vậy? Một điều chắc chắn là các 'cao  thủ' chống virus đang ráo riết chuẩn bị cho năm 2004, một năm đầy thử thách hứa hẹn mang lại nhiều lợi  nhuận cho họ.  Sự tin tưởng là nền tảng của mọi giao dịch thương mại thành công, điều này càng đúng đối với TMĐT. Nhiều  cuộc điều tra cho thấy một trong những trở ngại chính cho TMĐT chính là thiếu sự tin tưởng giữa hai hay nhiều  bên giao dịch 'ảo' trên mạng. Sự việc còn bị làm xấu đi khi các kẻ phá hoại cố tình hạ thấp uy tín của 'cửa  hàng' TMĐT của bạn bằng đủ mọi cách khác nhau: sửa chữa nội dung trang web, đưa vào các thông tin xấu, 
  2. tạo các trang web có địa chỉ gần giống để làm lạc hướng khách hàng (chẳng hạn như www.microsfot.com!),  đưa các thông tin bí mật của khách hàng ra ngoài, chuyển khách hàng đến một trang web khác khi họ định truy  cập vào trang chủ của website TMĐT (kỹ thuật Defacing), dùng kỹ thuật Cross ­ site scripting và tạo website  giả nhằm ăn cắp thông tin thẻ và thông tin cá nhân của khách hàng trong khi khách hàng vẫn tưởng đang giao  dịch với trang web TMĐT của bạn... Để tạo được sự tin tưởng trong giao dịch TMĐT có hai vấn đề: một là, phải  xác định được chính xác phía đang giao dịch qua mạng; hai là, người tiêu dùng phải có cơ sở để tin vào hệ  thống TMĐT mà họ đang giao dịch có độ an toàn cao (ví dụ, thông tin giao dịch được mã hoá trên đường  truyền bằng SSL). Cả hai khía cạnh trên thường được giải quyết bằng kỹ thuật chứng thực số (Digital  Certificate) và chữ ký điện tử (Digital Signature).  Bảo vệ hệ thống TMĐT như thế nào?  Các giải pháp bảo vệ hệ thống TMĐT có thể được chia làm 3 loại.  o Thứ nhất: bảo vệ hệ thống cung cấp dịch vụ (hệ thống máy chủ Front­ End và Back­ End), bao gồm:  ­ Bảo vệ mạng: sử dụng tường lửa (Firewall) 2 lớp, áp dụng thiết bị phát hiện xâm nhập (IDS) cho mạng  (Network IDS) và cho máy chủ (Host IDS)...  ­ Bảo vệ ứng dụng và hệ thống: kiểm soát các lỗ hổng ứng dụng, nhất là ứng dụng web. Ứng dụng tường lửa  thế hệ mới có chống tấn công tầng ứng dụng, chống virus, kiểm soát truy cập hệ thống, mã hóa dữ liệu trên  server,...  o Thứ hai: bảo vệ các giao dịch bao gồm: Mã hoá nội dung giao dịch, bảo đảm giữ bí mật; Bảo đảm tính toàn  vẹn của giao dịch, mọi thay đổi phải được phát hiện; Xác định được nguồn gốc của giao dịch, bảo đảm chống  từ chối giao dịch hay giao dịch từ nguồn giả. Các biện pháp kỹ thuật bảo vệ các giao dịch này là kỹ thuật mã  hoá, chứng thực số và chữ ký số.  o Thứ ba: bảo vệ các khách hàng giao dịch. Sử dụng thẻ cứng để xác thực, chống virus và Trojan, sử dụng  tường lửa cá nhân (Personal Firewall),...  Ngoài ra, các vấn đề ngoài công nghệ cũng không kém phần quan trọng đã được đúc kết trong những khuyến  cáo về an toàn cho TMĐT (ví dụ như của tổ chức VISA) bao gồm: Thường xuyên kiểm nghiệm độ an toàn hệ  thống bằng các phương pháp đánh giá rủi ro và tấn công trắc nghiệm (Penetration Testing); Xây dựng, duy trì  và theo dõi thực hiện một chính sách an toàn thông tin cho toàn bộ nhân viên nội bộ cũng như những người  đến làm theo hợp đồng; Kiểm soát truy cập vật lý đến các thành phần của hệ thống.  Chúng ta mới đang tiến những bước ban đầu trong phát triển TMĐT và còn phải xây dựng những nền tảng  pháp lý cho TMĐT. Người viết bài này cho rằng, chính an toàn TMĐT là một phần không thể thiếu của TMĐT  mà chúng ta sẽ phải xem xét đến ngay từ những văn bản pháp lý.  Theo BTM

CÓ THỂ BẠN MUỐN DOWNLOAD

Đồng bộ tài khoản