Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1
AN NINH GIAO DỊCH ĐIỆN TỬ VÀ THỰC TRẠNG TẠI MỘT SỐ TRANG WEB BÁN HÀNG ONLINE Ở VIỆT NAM
Phạm Thanh Bình Trường Đại học Thuỷ lợi, email: binhpt@tlu.edu.vn
1. GIỚI THIỆU CHUNG
chúng tôi sẽ phân tích để tìm ra những nguy cơ gây rò rỉ thông tin, từ đó đưa ra những khuyến nghị nhằm nâng cao độ an toàn trong GDĐT.
3. KẾT QUẢ NGHIÊN CỨU
3.1. Tóm lược về SSL Giao dịch điện tử (GDĐT) ngày càng trở nên phổ biến nhờ sự tiện lợi và tiết giảm chi phí. Người dùng bây giờ không phải đi tới cửa hàng nữa, chỉ cần ngồi ở nhà cũng có thể mua mọi thứ hàng hoá thông qua Internet.
Đi kèm với sự tiện lợi đó là sự gia tăng của nguy cơ rò rỉ thông tin cá nhân trên mạng, lộ mã số thẻ tín dụng, thẻ ATM… Hàng loạt các vụ tấn công vào hệ thống ngân hàng đã diễn ra trong thời gian vừa qua với quy mô giá trị ngày càng tăng, từ vài chục, vài trăm triệu và lên tới hàng chục tỉ đồng.
Khi người dùng sử dụng dịch vụ Web, một kết nối giữa trình duyệt (client) và máy chủ Web (server) được thiết lập. Kẻ tấn công có thể xem lén các giao vận mạng giữa client và server, nhằm ăn cắp thông tin và thực hiện các hành vi bất hợp pháp. Do đó cần có cơ chế mã hoá để bảo mật cho dữ liệu truyền giữa client và server, đồng thời cần có giải pháp chứng thực để bảo vệ người dùng trước sự nguy hiểm của các trang Web không an toàn, và nếu cần có thể bảo vệ server trước nguy cơ tấn công của những kẻ giả mạo. SSL chính là phương tiện để thực hiện điều đó.
Nguyên nhân của tình trạng trên thì có nhiều: Do lỗi bảo mật của ngân hàng, do sơ xuất của người dùng, do người bán thiếu trách nhiệm... Trong khuôn khổ bài viết này, chúng tôi sẽ tập trung phân tích một số giải pháp an ninh GDĐT, thực trạng GDĐT tại một số trang Web bán hàng trực tuyến, từ đó tìm ra những hạn chế cần phải khắc phục đối với hệ thống mua bán trực tuyến ở Việt Nam.
2. PHƯƠNG PHÁP NGHIÊN CỨU
Hình 1. Cấu trúc bản ghi SSL
Để tìm hiểu về các giải pháp an ninh GDĐT, chúng tôi tập trung vào việc phân tích các chỉ định kỹ thuật SSL (Secure Sockets Layer) và SET (Secure Electronic Transaction) [2]. SSL là một tập hợp các giao thức nhằm đảm bảo an ninh cho các giao vận Web. Còn SET là một tập hợp các giao thức an ninh cho phép thanh toán bằng thẻ tín dụng một cách an toàn qua Internet.
129
SSL cung cấp hai tính năng chính: Chứng thực và bảo mật. Để khẳng định độ tin cậy của một Website sẽ cần tới một cơ quan uy tín đứng ra kiểm định. Sau khi kiểm tra và xác thực độ tin cậy, cơ quan chứng thực sẽ cấp cho Website đó một chứng chỉ số SSL. Ngoài ra chúng tôi cũng tìm hiểu cách thức giao dịch và thanh toán thực tế của một số Website bán hàng lớn tại Việt Nam. Sau khi đối chiếu với các chỉ định kỹ thuật nói trên,
Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1
hash của OI và PI), chúng được mã hoá bởi khoá riêng của khách hàng, nhằm chứng thực thông tin đó đúng là do khách hàng gửi đến.
Từ đó, khi truy cập vào Website này, khách hàng có thể yên tâm về độ an toàn của Website, các dữ liệu truyền tải giữa máy chủ và trình duyệt sẽ được mã hoá, đảm bảo tính riêng tư và toàn vẹn.
3.2. Tóm lược về SET
SET được thiết kế để bảo vệ các giao dịch bằng thẻ tín dụng qua Internet. SET ra đời vào tháng 2/1996 do sự đòi hỏi của các chuẩn an ninh cho MasterCard và Visa. Nhiều công ty lớn đã phát triển các chỉ định kỹ thuật ban đầu cho SET, bao gồm IBM, Microsoft, Netscape, RSA, Terisa, và Verisign.
Hình 3. Thông điệp người mua gửi người bán
Hình 2. Các bên tham gia SET Nhiệm vụ của người bán là chuyển tiếp PI (đã mã hoá), chữ kí kép, và phong bì số tới cổng thanh toán. Cổng thanh toán sẽ dùng khoá riêng của nó để giải mã phong bì số, nhằm thu được khoá phiên Ks. Tiếp theo nó sẽ dùng khoá phiên Ks để giải mã cho PI. Có được PI, cổng thanh toán sẽ tiến hành các thủ tục giao dịch với ngân hàng phát hành thẻ.
Việc kiểm tra chữ kí kép phải được tiến hành ở cả cổng thanh toán và bên bán hàng (Hình 4). Người bán sẽ dùng khoá công khai của khách hàng (PUc) để giải mã chữ kí kép, rồi so sánh kết quả thu được (POMD) với cặp mã hash của OI và PI. Nếu hai giá trị này giống nhau thì OI mà người bán nhận được là hợp lệ. Quá trình tương tự cũng được thực hiện ở cổng thanh toán, nhằm kiểm tra tính hợp lệ của PI.
130
Bằng cách sử dụng các chứng chỉ số X.509v3, SET cho phép các bên tham gia giao dịch xác minh sự hợp pháp và tính tin cậy của đối tác. Các thông tin nhạy cảm về người dùng thẻ và mã số thẻ được bảo vệ an toàn khi lưu thông trên mạng nhờ giải pháp mã hoá. Ngoài ra, SET còn sử dụng chữ kí kép để chứng thực nội dung và nguồn gốc thông tin, đồng thời tránh nhầm lẫn về thông tin thanh toán giữa các đơn hàng khác nhau. Để hiểu rõ nguyên tắc hoạt động của SET, ta sẽ phân tích nội dung một thông điệp mua sắm mà người mua gửi tới người bán hàng (Hình 3). OI (Order Information) là thông tin về đơn hàng đã đặt (hàng hoá, số lượng, giá tiền…), PI (Payment Information) là thông tin thanh toán (tên chủ thẻ, số thẻ, mã bảo mật…). Người bán chỉ có thể đọc OI chứ không thể đọc được PI do thông tin này đã được mã hoá bởi khoá phiên Ks. Khoá phiên Ks lại được mã hoá bởi khoá công khai của cổng thanh toán (PUb), tạo thành phong bì số. Chữ kí kép bao gồm OIMD và PIMD (là mã Hình 4. Người bán kiểm tra thông điệp
Tuyển tập Hội nghị Khoa học thường niên năm 2017. ISBN: 978-604-82-2274-1
Tóm lại, các bên tham gia giao dịch đều phải được chứng thực bởi các chứng chỉ số đáng tin cậy. Mỗi bên chỉ được biết những thông tin mà họ thực sự cần đến, các thông tin khác đều được mã hoá để tránh bị lộ.
3.3. Thực trạng an ninh GDĐT tại một số Website bán hàng trực tuyến ở Việt Nam sendo.vn). Quy trình thanh toán này đảm bảo không có sự khuất tất, gian lận, lén lưu lại PI. Các cổng thanh toán ở Việt Nam đều được kiểm định thường xuyên và đạt tiêu chuẩn bảo mật PCI DSS (Payment Card Industry Data Security Standard) của Hội đồng Bảo mật dữ liệu thẻ thanh toán quốc tế [1], nên sẽ hạn chế được tối đa nguy cơ lộ thông tin.
4. KẾT LUẬN
Hầu hết các Website bán hàng trực tuyến lớn ở Việt Nam đều sử dụng SSL và SET với các mức độ khác nhau [3]. Một số Website áp dụng SSL trên toàn bộ các khu vực của nó để đảm bảo mọi giao vận đều được mã hoá bảo mật (ví dụ adayroi.com, sendo.vn, lotte.vn, tiki.vn…).
Sự phát triển nhanh chóng của hình thức mua bán trực tuyến đem lại nhiều lợi ích cho xã hội, nhưng cũng đặt ra bài toán phức tạp về vấn đề bảo mật thông tin. Dù cơ quan chức năng đã đưa ra các cơ chế pháp lý, nhưng điểm yếu nhất lại nằm ở khâu kiểm tra và giám sát. Đối với các tổ chức lớn như ngân hàng hay các cổng thanh toán, việc kiểm tra và giám sát mức độ bảo mật được thực hiện thường xuyên, nếu không đạt chuẩn PCI DSS họ sẽ bị các tổ chức thanh toán quốc tế ngắt giao dịch.
Một số Website khác chỉ áp dụng SSL cho các khu vực quan trọng liên quan tới thông tin cá nhân, đặt hàng và thanh toán… Các khu vực ít quan trọng hơn như danh sách hàng hoá, thông tin khuyến mại… thì không được bảo vệ bởi SSL (ví dụ lazada.vn). Điều này giúp giảm bớt chi phí cho dịch vụ bảo mật và tăng tốc độ truy cập. Tuy nhiên, do thông tin không được mã hoá hoàn toàn, nếu có kẻ nghe lén trên đường truyền thì một phần thông tin về thói quen giao dịch, mua bán của khách hàng sẽ bị lộ.
Còn đối với các nhà bán hàng trực tuyến, việc kiểm tra sự tuân thủ nguyên tắc bảo mật chưa được thực hiện tốt, tạo ra nguy cơ chính gây rò rỉ thông tin. Giả sử một nhà bán hàng lớn đã lưu lại số thẻ tín dụng của khách hàng trong một thời gian dài, rồi đột nhiên tuyên trường hợp của bố đóng cửa! (Ví dụ cdiscount.vn). Khi đó cơ sở dữ liệu khách hàng của họ sẽ do ai quản lý?
Do đó, việc tăng cường khâu kiểm tra, giám sát đối với các trang bán hàng trực tuyến là việc cần phải làm ngay nếu muốn thị trường mua bán trực tuyến tại Việt Nam phát triển bền vững. Người tiêu dùng cũng cần được trang bị thêm kiến thức về giao dịch an toàn, để tự bảo vệ mình trước những nguy cơ rò rỉ thông tin trên mạng.
5. TÀI LIỆU THAM KHẢO
- Requirements
[1] PCI Security Standards Council. 2016. PCI and Security
DSS Assessment Procedures, Version 3.2. [2] William Stallings. 2006. Cryptography and Network Security 4th Ed. Pearson Prentice Hall.
[3] Website: adayroi.com, lazada.vn, lotte.vn,
Ở khâu quan trọng nhất là thanh toán, một trong những nguyên tắc cơ bản của SET là không để người bán biết được thông tin thanh toán (PI), không lưu trữ số thẻ tín dụng hay số tài khoản trên server của người bán để tránh bị rò rỉ. Trên thực tế, điều này chưa được thực hiện nghiêm túc. Khá nhiều trang bán hàng yêu cầu khách phải nhập đầy đủ PI trên Web của họ, bao gồm cả số thẻ tín dụng và mã bảo mật. Khách hàng không thể biết được liệu số thẻ của họ có bị lưu lại trên server đó không (ví dụ tiki.vn, lotte.vn). Cá biệt có trang còn đặt sẵn tuỳ chọn cho phép lưu số thẻ tín dụng khi đặt hàng, nếu khách hàng không chú ý bỏ tuỳ chọn đó đi thì số thẻ của họ sẽ bị lưu lại mà họ không hề hay biết (ví dụ lazada.vn).
sendo.vn, tiki.vn…
131
Một số trang bán hàng khác thì tuân thủ đúng nguyên tắc: Người mua chỉ nhập thông tin về đơn hàng (OI) trên Web bán hàng, còn PI thì người mua sẽ tự nhập trực tiếp trên Web của cổng thanh toán (ví dụ adayroi.com,
