Bài giảng Thương mại điện tử: Chương 5 - ThS. Phạm Đình Sắc

ƯỜ

Ạ Ọ

Ệ Ồ

NG Đ I H C CÔNG NGH  Đ NG NAI TR DONG NAI UNIVERSITY OF TECHNOLOGY

ươ

Ch

ng V:

Các nguy cơ trong e- commerce

Company Logo

ThS. Phạm Đình Sắc dinhsac@dntu.edu.vn

Khái niệm về việc bảo vệ

• Các e-mail gửi đến

• Truy xuất trái phép các thông tin số

• Thông tin thẻ tín dụng rơi vào tay kẻ

xấu

• ........

Ø Một số hiểm họa

• Vật Lý - bảo vệ các thành phần hữu

hình

2

• Logic - bảo vệ các thành phần vô hình

Ø Hai hình thức thực hiện bảo vệ

3

Các đặc điểm

• Bảo đảm tính chính xác của dữ liệu và ngăn ngừa các thông tin riêng tư bị tiết lộ

Ø Bí mật - Secrecy

• Cập nhật trái phép các thông tin?

Ø Toàn vẹn - Integrity

• Từ chối hay đáp ứng thông tin không

kịp thời?

4

Ø Đáp ứng - Necessity

Bản quyền và sở hữu trí tuệ

• Một số lĩnh vực

• Văn chương, âm nhạc

• Kịch, múa

• Tranh, hình ảnh, tượng,..

• Sản phẩm điện ảnh, nghe nhìn,...

• Công nghiệp âm thanh

• Kiến trúc

5

• ...........

Ø Bản quyền-quyền tác giả

Bản quyền và sở hữu trí tuệ

• Bảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đó

Ø Sở hữu trí tuệ-Intellectual property

• Bảo vệ quyền tác giả trong thời gian

hạn định

• Copyright Clearance Center

• Cấp giấy phép sử dụng

6

Ø U.S. Copyright Act 1976

Các từ ngữ thường dùng

Ø Copyright

Ø Copyleft

Ø Shareware

Ø Freeware

Ø Free software

Ø Open source code

7

SPAM Ø Ngày nay người sử dụng Internet phải đối mặt với rất nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp – spyware), bị đánh cắp dữ liệu, bị đánh phá website (nếu là chủ sở hữu website) v.v....

8

Ø Spam (thư rác): người nhận mỗi ngày có thể nhận vài, vài chục, đến vài trăm thư rác, gây mất thời gian, mất tài nguyên (dung lượng chứa, thời gian tải về...)

Q & A

Ø Khái niệm virud máy tính Ø Tác hại ?

Company Logo

9

VIRUS Ø Xuất hiện lần đầu tiên vào năm 1983.

năng tự nhân bản và lan tỏa.

Ø Virus là một chương trình máy tính có khả

10

Ø Mức độ nghiêm trọng của virus dao động khác nhau tùy vào chủ ý của người viết ra virus, ít nhất virus cũng chiếm tài nguyên trong máy tính và làm tốc độ xử lý của máy tính chậm đi, nghiêm trọng hơn, virus có thể xóa file, format lại ổ cứng hoặc gây những hư hỏng khác.

VIRUS Ø Trước kia virus chủ yếu lan tỏa qua việc sử

dụng chung file, đĩa mềm...

cơ hội lan tỏa rộng hơn, nhanh hơn.

Ø Ngày nay trên môi trường Internet, virus có

các file gửi kèm (attachment)

Ø Virus đa phần được gửi qua email, ẩn dưới

11

Ø Cho đến nay hàng chục nghìn loại virus đã được nhận dạng và ước tính mỗi tháng có khoảng 400 loại virus mới được tạo ra.

Q & A

Ø Khái niệm sâu máy tính (Worm) Ø Tác hại ?

Company Logo

12

WORM

Ø Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống.

bản trong toàn hệ thống mạng.

Ø Ví dụ: sâu mạng (network worm) tự nhân

Ø Sâu Internet tự nhân bản và tự gửi chúng qua hệ thống Internet thông qua những máy tính bảo mật kém.

chúng qua hệ thống email.

13

Ø Sâu email tự gửi những bản nhân bản của

WORM

14

Q & A

Company Logo

Ø Khái niệm Trojan Ø Tác hại Ø Cách lây nhiễm

15

TROJAN

thành Troy

Ø Đặt tên theo truyền thuyết con ngựa Trojan của

Ø Trojan là chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.

16

Ø Trojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger)  auto gửi “báo cáo” về cho một địa chỉ email được quy định trước.

TROJAN

Ø PC nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác.

link, email, chat….

Ø Phương pháp lây nhiễm: Qua các đường

được.

17

Ø Khác với virus Trojan không tự nhân bản

Q & A

Company Logo

Ø Khái niệm Phishing Ø Tác hại Ø Hình thức tấn công

18

PHISHING Ø Xuất hiện từ năm 1996

Ø Giả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng... để gửi email hàng loạt yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng.

19

Ø Nếu người nào cả tin và cung cấp thông tin thì kẻ lừa đảo sẽ dùng thông tin đó để lấy tiền từ tài khoản.

PHISHING

Ø Một dạng lừa đảo hay gặp khác là những email gửi hàng loạt đến người nhận, tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn, và yêu cầu người nhận gửi một số tiền nhỏ

20

Ø Nạn nhân ở Việt Nam?

PHISHING Ø Một nguy cơ khác xuất hiện nhiều gần đây là những kẻ lừa đảo tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng và tối ưu hóa chúng trên Google để “nạn nhân” tự tìm thấy và mua hàng/dịch vụ trên những website này.

21

Ø Thực tế, khi nạn nhân đã chọn hàng/dịch vụ và cung cấp đầy đủ thông tin thẻ tín dụng, nạn nhân sẽ không nhận được hàng/dịch vụ đã mua mà bị đánh cắp toàn bộ thông tin thẻ tín dụng, dẫn đến bị mất tiền trong tài khoản.

Các loại khác

Ø Malware: Phần mềm ác ý, độc hại

máy tính bị xâm nhập

Ø Spyware: Tự động ghi lại các thông tin của

Ø Adware: Tự động hiện các bản quảng cáo

nhập

• http://en.wikipedia.org/wiki

22

Ø Backdoor: Mở cửa hậu cho kẻ khác xâm

Q & A

Company Logo

Ø Theo anh chị, nhằm bảo vệ hệ thống mạng máy tính, người quản trị phải tiến hành công việc gì?

23

Chính sách bảo mật

Ø Phải mô tả cụ thể chính sách bảo mật

• An ninh vật lý - Physical security

• An ninh mạng - Network security

• Quyền truy cập - Access authorizations

• Ngăn chặn vi rút - Virus protection

• Phục hồi thông tin - Disaster recovery

24

Ø Tài sản nào cần bảo vệ? tại sao? Ai chịu trách nhiệm? các truy cập nào cho phép/ngăn cấm

Mô tả các thành phần trong chính sách Ø Xác thực - Authentication

• Những ai đang truy xuất vào website?

• Những ai được phép đăng nhập và truy

xuất thông tin trong website

Ø Quyền truy cập - Access Control

• Những ai được phép xem các thông tin

nhạy cảm, bí mật

25

Ø Bảo mật - Secrecy

Mô tả các thành phần trong chính sách Ø Toàn vẹn dữ liệu - Data integrity

• Ai được quyền cập nhật thông tin, dữ

liệu

• Những ai đã truy cập vào hệ thống? khi

nào? bao lâu ?

• NSD đã sử dụng và truy nhập các tài

nguyên nào ?

26

Ø Kiểm tra-Theo dõi-Thống kê (Audit)

Q & A

Company Logo

Ø Theo anh chị, chính sách bảo mật không tốt có thể dẫn đến những tác hại gì trong việc bảo vệ quyền sở hữu trí tuệ ?

27

Mối đe dọa với sở hữu trí tuệ

• Dễ dàng thu thập và “tái tạo”các thông tin, sản phẩm,.. tìm thấy trên Internet

• NSD không có ý thức về các qui định bản quyền cũng như không có chủ ý vi phạm

28

Ø Mạng Internet : tác nhân lôi kéo tình trạng (mối đe dọa) vấn đề bảo vệ sở hữu trí tuệ

Mối đe dọa với sở hữu trí tuệ

• Đăng ký 1 tên miền với thương hiệu của 1 cá nhân hay 1 công ty khác

• Cybersquatters: hy vọng chủ nhân các công ty hay thương hiệu sẽ trả tiền để mua lại các URL này

• Vài Cybersquatters mạo danh chủ thương hiệu nhằm mục đích xuyên tạc, lừa dối

29

Ø Cybersquatting (bất hợp pháp)

Q & A

Company Logo

Ø Máy của NSD có tấn công thể bị bằng con các đường nào?

30

Các mối đe dọa

• Active Content

• Java applets, Active X controls,

JavaScript, và VBScript

• Các chương trình chứa các mã lệnh thi hành, mã thông dịch được nhúng vào các đối tượng tải về

• Cookies: lưu lại tên tài khoản, mật khẩu và các thông tin tham khảo khác

31

Ø Phía máy NSD

Java, Java Applets, và JavaScript

phát triển bởi Sun Microsystems

Ø Java: ngôn ngữ lập trình cấp cao được

Ø Mã Java có thể ‘nhúng’ vào các thiết bị gia dụng để điều khiển các hoạt động của thiết bị

nhúng vào trang web và tải về

Ø Các ứng dụng dạng applets có thể được

hành

32

Ø Độc lập với nền phần cứng và hệ điều

Java, Java Applets, và JavaScript

• Bao gồm các qui tắc cùng 1 cơ chế để các applet hoạt động trong 1 môi trường hoàn toàn đảm bảo an toàn

• Các applet chưa được xác thực tính an toàn buộc phải hoạt động dưới cơ chế này

Ø Java

• Chữ ký điện tử được nhúng trong applet để xác nhận tính xác thực

33

Ø Signed Java applets

ActiveX Controls

Ø ActiveX: là 1 “đối tượng”, còn gọi là “điều khiển” chứa các chương trình, các thuộc tính, thực hiện các nhiệm vụ đã được thiết kế

Windows..

Ø ActiveX: chỉ hoạt động trong môi trường

34

Ø Một khi được tải về, các điều khiển ActiveX hoạt động như 1 chương trình: có toàn quyền truy xuất các tài nguyên trên máy tính

ActiveX Warning Dialog box

35

Ø Khả năng cài đặt các mã lệnh trong các ảnh

Hình ảnh, các Plug-ins, và thông tin đính kèm theo E- mail

đồ họa gây hại máy tính!

thực hiện các thông tin multimedia

Ø Plug-ins (Add-in): thường được sử dụng để

chứa các macro hủy diệt bên trong

36

Ø Các thông tin đính kèm E-mail có khả năng

Hiểm họa từ các kênh truyền thông

• Privacy: bảo đảm thông tin riêng

tư không bị tiết lộ

• Đánh cắp các thông tin nhạy cảm,

các thông tin cá nhân

• Địa chỉ IP thường bị lộ khi duyệt

Web

37

Ø Secrecy Threats

Hiểm họa từ các kênh truyền thông

• Cung cấp 1 mức độ bảo mật có giới hạn khi sử dụng như 1 portal truy cập Internet

Ø Anonymizer

• Tương tự hành động nghe trộm điện

thoại (wiretapping)

• Thay đổi dữ liệu trái phép

• Ví dụ thay đổi lượng tiền gửi/tiền rút

38

Ø Toàn vẹn thông tin - Integrity Threats

Hiểm họa từ các kênh truyền thông

• Còn gọi là delay/denial threats , DoS

• Phá hủy quá trình xử lý của MTĐT

• Từ chối tiến trình xử lý

• Xử lý rất chậm!

• Xóa bỏ tập tin hay xóa thông tin

trong 1 giao dịch/tập tin

• Chuyển tiền từ tài khoản này sang

1 tài khoản khác !

39

Ø Đáp ứng yêu cầu - Necessity Threats

Q & A

Ø Anh chị hãy đưa ra một vài biện

pháp nhằm bảo vệ NSD khi truy cập Internet

Company Logo

40

ạ

b o v  mình

An toàn m ng dành cho cá nhân  ự ả ệ t Ø Khi nhận spam  xóa bỏ hết

Ø Click đường link nào trong email

Ø Mở lên các file gửi kèm trong email.

Ø Đừng trả lời những email spam

41

Ø Cài những chương trình chống virus mới nhất, cập nhật chương trình thường xuyên.

ạ ự ả ệ

An toàn m ng dành cho cá   b o v  mình nhân t Ø Bỏ qua mọi email yêu cầu cung cấp thông tin cá nhân. Hầu hết tất cả đó đều là trò lừa đảo hoặc có âm mưu gián điệp (spyware) hay virus.

•

[Ngân hàng hay dịch vụ thanh toán qua mạng không bao giờ yêu cầu thông tin “nhạy cảm” qua mạng Internet. Nếu có yêu cầu thì đó phải là form nhập thông tin từ website của chính tổ chức đó, với giao thức truyền an toàn (https://) ]

42

Ø Nếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra kỹ từng khoản chi tiêu mỗi tháng.

ạ ự ả ệ

An toàn m ng dành cho cá   b o v  mình nhân t Ø Khi nhận được những email từ người lạ với

những file gửi kèm thì phải rất cẩn thận.

43

Ø Trong khi lướt web nếu thấy xuất hiện những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ dàng chọn “OK” hay “Yes”.

ạ ự ả ệ

An toàn m ng dành cho cá   b o v  mình nhân t Ø Sau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web, tránh người khác dùng máy tính đó trong vài phút sau có thể truy cập vào được.

không nên dùng chức năng Password”.

44

Ø Nếu phải dùng máy tính dùng chung thì “Nhớ

Q & A

Ø Anh chị thử đưa ra 1 vài biện pháp bảo

vệ cho máy chủ (Server)

Company Logo

45

Các mối đe dọa với máy phục vụ

Ø Các phần mềm cài đặt càng mạnh, càng nhiều tính năng thì khả năng phát sinh lỗi càng nhiều

đặc quyền khác nhau

• Cấp cao nhấp: cung cấp đầy đủ các quyền truy xuất và tính uyển chuyển, mềm dẻo

• Cấp thấp nhất: cung cấp 1 hàng rào bảo vệ (logic) xung quanh chương trình đang hoạt động 46

Ø Máy phục vụ thường hoạt động ở các cấp

Các mối đe dọa với máy phục vụ

xuất hiện trên trình duyệt

Ø Danh sách các thư mục của máy phục vụ

sách các folder nhằm tránh hiểm họa

Ø Quản trị site cần tắt tính năng hiện danh

nghiêm ngặt

47

Ø Truyền/phát các cookies với sự bảo vệ

Danh mục các folder xuất hiện trên trình duyệt

Các mối đe dọa với máy phục vụ Ø Một trong những thông tin quan trọng được lưu trữ trên máy phục vụ web: thông tin tài khoản NSD và mật khẩu

49

Ø Người quản trị web phải chịu trách nhiệm bảo mật những thông tin này và các thông tin quan trọng khác

Q & A

Ø Doanh nghiệp thực hiện TMĐT cần quan tâm và tự bảo vệ như thế nào?

Company Logo

50

Bảo vệ phía doanh nghiệp Ø Hacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố: Với ba loại rủi ro thường gặp:

• Bị tấn công từ chối phục vụ (DoS:

Denial of Service

• Bị cướp tên miền.

• Bị xâm nhập host hoặc dữ liệu trái

phép

51

Bảo vệ phía doanh nghiệp Ø Hacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố: Với ba loại rủi ro thường gặp:

• Bị tấn công từ chối phục vụ (DoS:

Denial of Service

• Bị cướp tên miền.

• Bị xâm nhập host hoặc dữ liệu trái

phép

52

Bảo vệ phía doanh nghiệp

• nếu doanh nghiệp có những

tài khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host...) thì càng ít người biết password của những tài khoản này càng tốt.

• Khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password của tài khoản.

53

Ø Tự bảo vệ password:

Bảo vệ phía doanh nghiệp Ø An toàn mạng nội bộ: Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v...

54

Ø An toàn dữ liệu, thông tin: những thông tin quan trọng không cần chia sẻ cho nhiều người thì không nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao lưu) lưu trên các thiết bị lưu ngoài...

Các mối đe dọa với CSDL (database) Ø Các thông in riêng tư, có giá trị nếu bị tiết lộ: gây những thiệt hại không thể bù đắp cho công ty

dụng qui định

Ø Bảo mật thực hiện thông qua quyền hạn sử

55

Ø Nhiều phần mềm CSDL không có tính bảo mật cao và phó thác vào sự bảo mật của website

Các mối đe dọa khác

Interface (CGI)

• Nếu không sử dụng đúng cách, các chương trình CGIs cũng là những mối đe dọa tiềm ẩn

• Các chương trình CGI thường lưu trú nhiều nơi trên Website và rất khó theo dõi, lần dấu vết để phát hiện các sai sót

• CGI scripts không hoạt động như

56

JavaScript

Ø Các mối đe dọa từ Common Gateway

Các mối đe dọa khác

• Các chương trình hoạt động trên

server

• Lỗi tràn bộ đệm (Buffer overruns)

• Tấn công từ các đoạn mã xâm nhập bất hợp pháp tạo tình trạng ”Buffer tìm cách chiếm overflow”: chúng dụng các điều khiển đã được xác thực

57

Ø Các đe dọa từ các chương trình bao gồm:

Computer Emergency Response Team (CERT) http://www.cert.org

Ø Đặt tại Carnegie Mellon University

báo,... các vấn đề an toàn, an ninh trên mạng

Ø Chịu trách nhiệm theo dõi, phát hiện, cảnh

Ø Gửi các cảnh báo (CERT alerts) đến cộng đồng Internet về các mối đe dọa bảo mật

Vietnam Computer Emergency Response Team (VNCERT)

http://www.vncert.gov.vn

58

Một vài đề nghị

• Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ sẽ chịu trách nhiệm về việc tăng cường an toàn mạng, an toàn thông tin.

• Login (đăng nhập)  logout (thoát).

59

Ø Nếu là doanh nghiệp

Một vài đề nghị

• Không truy cập vào hệ thống khi sử

dụng máy tính công cộng.

• Không mở những email có file gửi kèm (attachment) mà người gửi có vẻ như xa lạ.

60

Ø Nếu là người mua

Một vài đề nghị

• Nếu là người mua: chỉ nên mua hàng

ở những website tốt, tin cậy.

• Làm sao để đánh giá website tin

cậy ?

61

Ø Về mối lo ngại bị ăn cắp số thẻ tín dụng khi mua hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp).

Một vài đề nghị

• Tên tuổi người bán

• Trình bày gian hàng một cách chuyên nghiệp, không có lỗi chính tả, câu cú rõ ràng v.v…

• Đọc phần About Us của họ để tìm

một địa chỉ văn phòng cụ thể

• Đừng bao giờ cung cấp thông tin tín dụng cho các website

thẻ không lành mạnh.

62

Một vài đề nghị

• Nên nhờ trung gian để xử lý thẻ tín

dụng

• Đảm bảo kỹ thuật.

• Gửi hàng đi, khi người mua nhận được hàng mới được nhận tiền vào tài khoản người bán?

• Nếu gặp phải thẻ tín dụng bất hợp pháp  sẽ mất trắng món hàng và mất một khoản chi phí xử lý thẻ

63

Ø Nếu là người bán :

Bài Kỳ Sau

Thực Hiện Bảo Mật trong

Thương Mại Điện Tử

64

Q & A

Company Logo

65

Thanks

66