Bài giảng môn Thương mại điện tử: Bài 5 - ĐH Kinh tế TP.HCM

Bài 5

Mối đe dọa an ninh trong TMĐT

5

288

Thương Mại Điện Tử

Khái niệm về việc bảo vệ

 Một số hiểm họa

5

 Các e-mail gửi đến  Truy xuất trái phép các thông tin số  Thông tin thẻ tín dụng rơi vào tay kẻ xấu  ........

 Vật Lý - bảo vệ các thành phần hữu hình  Logic - bảo vệ các thành phần vô hình

289

 Hai hình thức thực hiện bảo vệ

Khái niệm về việc bảo vệ

(bằng hình thức vật lý hay logic) được thực hiện nhằm nhận diện, giảm thiểu hay loại bỏ các mối đe doạ

 Các biện pháp phòng vệ và trả đũa

5

290

Các đặc điểm

 Bảo đảm tính chính xác của dữ liệu và

ngăn ngừa các thông tin riêng tư bị tiết lộ

 Bí mật - Secrecy

 Toàn vẹn - Integrity

5

 Cập nhật trái phép các thông tin ??

 Từ chối hay đáp ứng thông tin không kịp

thời ??

291

 Đáp ứng - Necessity

Bản quyền và sở hữu trí tuệ

 Một số lĩnh vực

 Bản quyền-quyền tác giả

5

 Văn chương, âm nhạc  Kịch, múa  Tranh, hình ảnh, tượng,..  Sản phẩm điện ảnh, nghe nhìn,...  Công nghiệp âm thanh  Kiến trúc  ...........

292

Bản quyền và sở hữu trí tuệ

 Bảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đó

 Sở hữu trí tuệ-Intellectual property

 U.S. Copyright Act 1976

5

 Bảo vệ quyền tác giả trong thời gian hạn

định

 Copyright Clearance Center  Cấp giấy phép sử dụng

293

SPAM

Sử dụng Internet  phải đối mặt với

5

rất nhiều rủi ro :  virus  lừa đảo  theo dõi (gián điệp – spyware)  bị đánh cắp dữ liệu, bị đánh phá website

(nếu là chủ sở hữu website) v.v....  Spam (thư rác): người nhận rất nhiều thư rác, gây mất thời gian, mất tài nguyên (dung lượng chứa, thời gian tải về...)

294

VIRUS

năng tự nhân bản và lan tỏa.

 Xuất hiện lần đầu tiên vào năm 1983.  Virus là một chương trình máy tính có khả

5

295

 Mức độ nghiêm trọng của virus dao động khác nhau tùy vào chủ ý của người viết ra virus :  chiếm tài nguyên trong máy tính  có thể xóa file, format lại ổ cứng  hoặc gây những hư hỏng khác.

VIRUS

 Trước kia virus chủ yếu lan tỏa qua việc sử dụng

chung file, đĩa mềm...

 Ngày nay trên môi trường Internet, virus có cơ

hội lan tỏa rộng hơn, nhanh hơn.

5

 Virus đa phần được gửi qua email, ẩn dưới các file gửi kèm (attachment) và lây nhiễm trong mạng nội bộ các doanh nghiệp, làm doanh nghiệp phải tốn kém thời gian, chi phí, hiệu quả, mất dữ liệu...

 Cho đến nay hàng chục nghìn loại virus đã được nhận dạng và ước tính mỗi tháng có khoảng 400 loại virus mới được tạo ra.

296

WORM

bản trong toàn hệ thống mạng.

 Sâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống.  Ví dụ: sâu mạng (network worm) tự nhân

5

 Sâu Internet tự nhân bản và tự gửi chúng qua hệ thống Internet thông qua những máy tính bảo mật kém.

chúng qua hệ thống email.

297

 Sâu email tự gửi những bản nhân bản của

TROJAN

 Đặt tên theo truyền thuyết con ngựa Trojan của

thành Troy

 Là một loại chương trình nguy hiểm (malware)

được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.

5

 Trojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại hết những phím đã được gõ rồi sau đó gửi “báo cáo” về cho một địa chỉ email được quy định trước (thường là địa chỉ email của chủ nhân của Trojan).

298

TROJAN

 Người sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác.

 Phương pháp thông dụng được dùng để cài Trojan

5

là gửi những email ngẫu nhiên với nội dung khuyến cáo người sử dụng nên click vào một đường link cung cấp trong email để đến một website nào đó.

 Nếu người nhận email tin lời và click  máy tính của họ sẽ tự động bị cài Trojan. Không giống như virus, Trojan không tự nhân bản được.

299

PHISHING

5

Xuất hiện từ năm 1996 Giả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng... để gửi email hàng loạt yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng.

Nếu người nào cả tin và cung cấp

thông tin thì kẻ lừa đảo sẽ dùng thông tin đó để lấy tiền từ tài khoản.

300

PHISHING

Một dạng lừa đảo hay gặp khác là

5

những email gửi hàng loạt đến người nhận, thông báo người nhận đã may mắn trúng giải thưởng rất lớn, và yêu cầu người nhận gửi một số tiền nhỏ (vài nghìn dollar Mỹ) để làm thủ tục nhận giải thưởng (vài triệu dollar Mỹ).

Đã có nạn nhân ở Việt Nam.

301

PHISHING

những kẻ lừa đảo tạo ra những website bán hàng, bán dịch vụ “y như thật”.

 Nguy cơ khác xuất hiện nhiều gần đây là

5

302

 Thực tế, khi nạn nhân đã chọn hàng/dịch vụ và cung cấp đầy đủ thông tin thẻ tín dụng, nạn nhân sẽ không nhận được hàng/dịch vụ đã mua mà bị đánh cắp toàn bộ thông tin thẻ tín dụng, dẫn đến bị mất tiền trong tài khoản.

Chính sách bảo mật

 Phải mô tả cụ thể (văn bản) chính sách bảo

mật

5

 Tài sản nào cần bảo vệ ? tại sao? Ai chịu trách nhiệm? các truy cập nào cho phép/ngăn cấm  An ninh vật lý - Physical security  An ninh mạng - Network security  Quyền truy cập - Access authorizations  Ngăn chặn vi rút - Virus protection  Phục hồi thông tin - Disaster recovery

303

Mô tả các thành phần trong chính sách

 Những ai đang truy xuất vào website?

 Xác thực - Authentication

 Những ai được phép đăng nhập và truy

 Quyền truy cập - Access Control

5

xuất thông tin trong website

 Những ai được phép xem các thông tin

nhạy cảm, bí mật

304

 Bảo mât - Secrecy

Mô tả các thành phần trong chính sách

 Ai được quyền cập nhật thông tin, dữ liệu

 Toàn vẹn dữ liệu - Data integrity

 Những ai đã truy cập vào hệ thống? khi

 Kiểm tra-Theo dõi-Thống kê (Audit)

5

nào? bao lâu ?

 NSD đã sử dụng và truy nhập các tài

nguyên nào ?

305

Mối đe dọa với sở hữu trí tuệ

sản phẩm,.. tìm thấy trên Internet

 Mạng Internet : tác nhân lôi kéo tình trạng (mối đe dọa) vấn đề bảo vệ sở hữu trí tuệ  Dễ dàng thu thập và “tái tạo”các thông tin,

5

 NSD không có ý thức về các qui định bản quyền cũng như không có chủ ý vi phạm

306

Mối đe dọa với sở hữu trí tuệ

 Đăng ký 1 tên miền với thương hiệu của 1

cá nhân hay 1 công ty khác  Cybersquatters : hy vọng chủ nhân các công ty

 Cybersquatting (bất hợp pháp)

5

 Vài Cybersquatters mạo danh chủ thương hiệu

hay thương hiệu sẽ trả tiền để mua lại các URL này

307

nhằm mục đích xuyên tạc, lừa dối

Các mối đe dọa

 Java applets, Active X controls, JavaScript, và

 Phía máy NSD  Active Content

VBScript

5

 Các chương trình chứa các mã lệnh thi hành, mã thông dịch được nhúng vào các đối tượng tải về

 Một số nội dung active có ý đồ xấu nhúng vào

 Cookies : lưu lại tên tài khoản, mật khẩu và

các trang web có vẻ vô hại

308

các thông tin tham khảo khác

Java, Java Applets, và JavaScript

phát triển bởi Sun Microsystems

 Java : ngôn ngữ lập trình cấp cao được

 Mã Java có thể ‘nhúng’ vào các thiết bị gia dụng để điều khiển các hoạt động của thiết bị

5

hành

309

 Các ứng dụng dạng applets có thể được nhúng vào trang web và tải về  Độc lập với nền phần cứng và hệ điều

Java, Java Applets, và JavaScript

 Bao gồm các qui tắc cùng 1 cơ chế để các applet hoạt trong 1 môi trường hoàn toàn đảm bảo an toàn

 Các applet chưa được xác thực tính an

 Java sandbox

5

toàn buộc phải hoạt động dưới cơ chế này

 Chữ ký điện tử được nhúng trong applet

để xác nhận tính xác thực

310

 Signed Java applets

ActiveX Controls

 ActiveX : là 1 “đối tượng”, còn gọi là “điều khiển” chứa các chương trình, các thuộc tính, thực hiện các nhiệm vụ đã được thiết kế

5

ActiveX hoạt động như 1 chương trình : có toàn quyền truy xuất các tài nguyên trên máy tính

311

 ActiveX : chỉ hoạt động trong môi trường Windows 95, 98,2K,XP,...  Một khi được tải về, các điều khiển

ActiveX Warning Dialog box

5

312

Hình ảnh,các Plug-ins, và thông tin đính kèm theo E-mail

ảnh đồ họa gây hại máy tính!!

 Khả năng cài đặt các mã lệnh trong các

5

trong đối tượng với mục đích xấu

 Plug-ins : thường được sử dụng để thực hiện các thông tin multimedia (audiovisual clips, animated graphics)  Có khả năng chứa các đoạn mã lệnh bên

313

 Các thông tin đính kèm E-mail có khả năng chứa các macro hủy diệt bên trong

Netscape’s Plug-ins Page Figure 5-7

5

314

Hiểm họa từ các kênh truyền thông

 Privacy : bảo đảm thông tin riêng tư không

bị tiết lộ

 Secrecy Threats

5

 Đánh cắp các thông tin nhạy cảm, các

thông tin cá nhân

 Địa chỉ IP thường bị lộ khi duyệt Web

315

Hiểm họa từ các kênh truyền thông

 Cung cấp 1 mức độ bảo mật có giới hạn khi sử dụng như 1 portal truy cập Internet  http://www.anonymizer.com

 Anonymizer

5

thoại(wiretapping)

 Thay đổi dữ liệu trái phép

Ví dụ thay đổi lượng tiền gửi/tiền rút

316

 Toàn vẹn thông tin - Integrity Threats  Tương tự hành động nghe trộm điện

Hiểm họa từ các kênh truyền thông

 Đáp ứng yêu cầu - Necessity Threats  Còn gọi là delay/denial threats , DoS  Phá hủy quá trình xử lý của MTĐT

5

 Từ chối tiến trình xử lý  Xử lý rất chậm!!!!  Xóa bỏ tập tin hay xóa thông tin trong 1 giao

 Chuyển tiền từ tài khoản này sang 1 tài khoản

dịch/tập tin

317

khác !!!!

An toàn mạng dành cho cá nhân tự bảo vệ mình

 Khi nhận spam  xóa bỏ hết  Không click vào bất kỳ đường link nào trong

email

5

 Không mở lên các file gửi kèm trong email.  Đừng trả lời những email spam  Ngay cả chức năng “Từ chối nhận”

(Unsubscription) cũng đã bị lợi dụng để người gửi spam kiểm tra tính hiện hữu của tài khoản email,

 Cài những chương trình chống virus mới nhất,

cập nhật chương trình thường xuyên.

318

An toàn mạng dành cho cá nhân tự bảo vệ mình  Bỏ qua mọi email yêu cầu cung cấp thông tin cá nhân.. Nếu có yêu cầu thì đó phải là form nhập thông tin từ website của chính tổ chức đó, với giao thức truyền an toàn (https://)

5

319

 Nếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn.

An toàn mạng dành cho cá nhân tự bảo vệ mình  Khi nhận được những email từ người lạ với những file gửi kèm thì phải rất cẩn thận.

 Trong khi lướt web nếu thấy xuất hiện

5

những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ dàng chọn “OK” hay “Yes”.

320

An toàn mạng dành cho cá nhân tự bảo vệ mình

 Sau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web, tránh người khác dùng máy tính đó trong vài phút sau có thể truy cập vào được.

5

không nên dùng chức năng “Nhớ Password”.

321

 Nếu phải dùng máy tính dùng chung thì

Các mối đe dọa với máy phục vụ

càng nhiều tính năng thì khả năng phát sinh lỗi càng nhiều

 Các phần mềm cài đặt càng mạnh,

 Máy phục vụ thường hoạt động ở các

5

cấp đặc quyền khác nhau  Cấp cao nhấp : cung cấp đầy đủ các

quyền truy xuất và tính uyển chuyển,mềm dẻo

 Cấp thấp nhất : cung cấp 1 hàng rào bảo vệ (logic) xung quanh chương trình đang hoạt động

322

Các mối đe dọa với máy phục vụ

vụ xuất hiện trên trình duyệt !!!!  Quản trị site cần tắt tính năng hiện

 Danh sách các thư mục của máy phục

5

danh sách các folder nhằm tránh hiểm họa

nghiêm ngặt

323

 Truyền/phát các cookies với sự bảo vệ

Các mối đe dọa với máy phục vụ

 Một trong những thông tin quan trọng được lưu trữ trên máy phục vụ web : thông tin tài khoản NSD và mật khẩu

 Người quản trị web phải chịu trách

5

nhiệm bảo mật những thông tin này và các thông tin quan trọng khác

324

Bảo vệ phía doanh nghiệp

 Hacking: doanh nghiệp nên thường xuyên

5

kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố (website không hiện lên, gõ tên miền đúng mà không thấy website của mình hiện lên hoặc hiện lên những thông tin lạ...). Với ba loại rủi ro thường gặp:

325

Bảo vệ phía doanh nghiệp

 Bị tấn công từ chối phục vụ (DoS: Denial of Service): trường hợp này nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý.

5

 Bị cướp tên miền: doanh nghiệp có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý.

 Bị xâm nhập host hoặc dữ liệu trái phép: nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý phải nêu rõ phương thức xử lý, phục hồi khi gặp sự cố này.

326

Bảo vệ phía doanh nghiệp

5

327

 Tự bảo vệ password : nếu doanh nghiệp có những tài khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host...) thì càng ít người biết password của những tài khoản này càng tốt. Khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password của tài khoản.

Bảo vệ phía doanh nghiệp

 An toàn mạng nội bộ : nếu doanh nghiệp có mạng nội bộ thì an toàn trong mạng nội bộ cũng phải được lưu ý. Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v...

 An toàn dữ liệu, thông tin : những thông tin

5

quan trọng không cần chia sẻ cho nhiều người thì không nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao lưu) lưu trên đĩa CD v.v...

328

Các mối đe dọa với CSDL

 Các thông in riêng tư, có giá trị nếu bị tiết lộ : gây những thiệt hại không thể bù đắp cho công ty

hạn sử dụng qui định

 Bảo mật thực hiện thông qua quyền

5

329

 Nhiều phần mềm CSDL không có tính bảo mật cao và phó thác vào sự bảo mật của website

Oracle Security Features Page

5

330

Các mối đe dọa khác

Interface (CGI)  Nếu không sử dụng đúng cách, các

chương trình CGIs cũng là những mối đe dọa tiềm ẩn

 Các mối đe dọa từ Common Gateway

5

 Các chương trình CGI thường lưu trú

nhiều nơi trên Website và rất kho theo dõi , lần dấu vết để phát hiện các sai sót

 CGI scripts không hoạt động như JavaScript (với cơ chế sandbox)

331

Các mối đe dọa khác

 Các đe dọa từ các chương trình bao

5

gồm:  Các chương trình hoạt động trên server  Lỗi tràn bộ đệm(Buffer overruns)  Gây tình trạng “Runaway code segments”  Sâu Internet (Internet Worm) là 1 hình thái của

 Tấn công từ các đoạn mã xâm nhập bất

hợp pháp tạo tình trạng”Buffer overflow” : chúng tìm cách chiếm dụng các điều khiển đã được xác thực

332

runaway code segment

Tấn công dạng Buffer Overflow

5

333

Computer Emergency Response Team (CERT)

5

 Đặt tại Carnegie Mellon University  Chịu trách nhiệm theo dõi, phát hiện, cảnh báo,... các vấn đề an toàn , an ninh trên mạng

334

 Gửi các cảnh báo (CERT alerts) đến cộng đồng Internet về các mối đe dọa bảo mật

CERT Alerts

5

335

Một vài đề nghị

5

 Thuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ sẽ chịu trách nhiệm về việc tăng cường an toàn mạng, an toàn thông tin cho họ, và có nghĩa là cho cả website của ta.  Sau khi login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), luôn phải thực hiện động tác logout (thoát) để đảm bảo các cửa ngõ phải được khóa lại ngay sau khi thoát ra.

336

Một vài đề nghị

dụng máy tính công cộng.

 Không truy cập vào hệ thống khi sử

 Không mở những email có file gửi kèm

5

(attachment) mà người gửi xa lạ.  Những email mang tên người gửi là

Microsoft, Yahoo ,…: có thể là thủ thuật giả danh của hacker để lừa .

337

Một vài đề nghị

5

những website tốt, tin cậy.

 Làm sao để đánh giá website tin cậy ?

338

 Mối lo ngại bị ăn cắp số thẻ tín dụng khi mua hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp).  Nếu là người mua: chỉ nên mua hàng ở

Một vài đề nghị

Tên tuổi người bán Trình bày gian hàng một cách chuyên nghiệp, không có lỗi chính tả, câu cú rõ ràng v.v…

5

Đọc phần About Us của họ để tìm một

địa chỉ văn phòng cụ thể

Đừng bao giờ cung cấp thông tin thẻ tín dụng cho các website khiêu dâm trên mạng.

339

Một vài đề nghị

 Nên nhờ trung gian để xử lý thẻ tín dụng  Phải trả môt khoản chi phí % dựa trên doanh

thu cho họ

 Nếu là người bán :

5

 Đảm bảo kỹ thuật.  Thông thường phải gửi hàng đi, khi người mua nhận được hàng mới được nhận tiền vào tài khoản của bạn

 Nếu gặp phải thẻ tín dụng bất hợp pháp  sẽ mất trắng món hàng và mất một khoản chi phí xử lý thẻ

 Trong kinh doanh bao giờ cũng có rủi ro !!!!!

340