Đang tải... (xem toàn văn)
Theo thống kê 102013, hiện tại có trên 1 tỉ người đang sử dụng Internet. Trong đó, tình trạng tội phạm Internet đặc biệt là tội phạm về tài chính đang ở mức rất cao, đã có 315,000 lượt báo cáo về tội phạm trên Internet trong đó 1 nửa là mất mát về tài chính (500tr) trung bình 4,100lần (2011, Internet Crime Complaint Center IC3).
BÀI THUYẾT TRÌNH MÔN THƯƠNG MẠI ĐIỆN TỬ Topic 5: E-commerce Security Giảng viên hướng dẫn : Dr Nguyễn Quang Trung Ms Võ Trung Trinh Lớp: MBA12C T hực hiện : Group 3 Trần Viết Khanh Đặng Thế Hiệp Trương Đăng Khoa Nguyễn Thanh Sang(1989) Đinh Xuân Thắng 1 An ninh Mạng/Bảo Mật trong Thương mại điện tử (TMĐT) I. Tổng quan về bảo mật trong môi trường TMĐT a. Môi trường TMĐT: Theo thống kê 10/2013, hiện tại có trên 1 tỉ người đang sử dụng Internet. Trong đó, tình trạng tội phạm Internet đặc biệt là tội phạm về tài chính đang ở mức rất cao, đã có 315,000 lượt báo cáo về tội phạm trên Internet trong đó 1 nửa là mất mát về tài chính ($500tr) trung bình $4,100/lần (2011, Internet Crime Complaint Center - IC3). Năm 2011 báo cáo của Symantec cho thấy có trên 405 triệu loại phần mềm độc hại so với 286 triệu của 2010, riêng những cuộc tấn công trên nền Web tăng 80%, nền Mobile tăng 93%. Riêng ở Mỹ, các hacker nước ngoài thực hiện trên 100 vụ tấn công vào các website thương mại của Mỹ để lấy cắp dữ liệu (Mandiant, 10/2013). Ở chiều ngược lại Mỹ cũng bị cựu nhân viên CIA Snowden tố cáo xâm nhập và lợi dụng các lỗ hổng để theo dõi các chính phủ và giao dịch trên toàn cầu. Tại Việt Nam: đã có 2.405 website của các cơ quan và DN bị hack (trung bình 300 website/tháng) trong đó có cả Bộ Công An, Bộ Quốc phòng, ngân hàng, các cơ quan nghiên cứu… (Bkav, 10/2013). b. Những yếu tố ảnh hưởng bảo mật TMĐT: Một giao dịch thương mại điện tử được gọi là an toàn khi đảm bảo không lộ các thông tin cá nhân khi giao dịch, không bị mất mát về tài sản… Tuy nhiên bài học trong quá khứ cho thấy không có bất kỳ hệ thống bảo mật nào mãi mãi an toàn, bất cứ hệ thống nào cũng có thể bị tấn công nếu huy động đủ nguồn lực.Vì vậy, những nghiên cứu đã cho thấy những nhân tố quan trọng nhất ảnh hưởng đến vấn đề bảo mật của TMĐT là: - Data: cách tổ chức lưu và quản lý dữ liệu nội bộ - Technology Solution: các giải pháp về công nghệ để gia tăng an toàn - Org Policies and Procedures: các quy trình và chính sách để hướng dẫn cho các nhân sự trong tổ chức thực hiện đúng quy tắc bảo mật dữ liệu - Laws and Industry Standard: hệ thống luật pháp phải có tác dụng bảo hộ và xử lý nghiêm khắc các vi phạm, cùng với đó là ứng dụng các tiêu chuẩn công nghiệp mới hơn 1 cách rộng rãi 2 Căn cứ vào quan điểm của 2 đối tượng trong các giao dịch thương mại điện tử thì các vấn đề mà được chú ý nằm trong bảng sau: Quan Điểm Khách hàng Người bán Toàn vẹn Dữ liệu gửi và nhận bị thay đổi? Nội dung và dữ liệu Web bị thay đổi không xác thực, dữ liệu nhận từ KH có hợp lệ? Chống chối bỏ Tổ chức có chối bỏ hành động của họ? KH có từ chối giao hàng? Xác thực Giao dịch với ai? Thông tin KH này có đúng hay không? Riêng tư Có ai khác đọc được tin nhắn của tôi? Dữ liệu bí mật có ai không được quyền xem? Cá nhân Thông tin cá nhân của tôi được sử dụng ntn? Dùng dữ liệu cá nhân của KH ntn? Tiện ích Có thể truy cấp trang web đó? Trang web hiện tại có còn hoạt động? c. Xung đột giữa bảo mật và các giá trị còn lại: Tuy nhiên, trong thực tế luôn tồn tại sự xung khắc giữa nhu cầu được đảm bảo an ninh cao với việc thỏa mãn tính nhanh chóng, tiện lợi, dễ sử dụng khi thực hiện giao dịch. Vì 1 thực tế là khi giao dịch càng sử dụng nhiều các biện pháp bảo mật thì càng khó để người dùng thực hiện vì càng phải tiến hành nhiều bước phức tạp hơn. 3 Đó là lý do các biện pháp công nghệ liên tục được đưa ra để giải quyết vấn đề này như bảo mật qua điện thoại, mã OTP, công nghệ sinh trắc học… 4 II. Những nguy cơ thường gặp hiện nay Sơ đồ sau sẽ cho phép thấy được toàn cảnh chu trình của 1 giao dịch thương mại điện tử đầy đủ và đặc biệt là các điểm yếu dễ bị tấn công của nó. Trong đó: 1. Web bugs: lỗi do xử lý bên trong website TMĐT 2. Wifi: sơ hở bảo mật wifi nên bị lộ thông tin qua mạng này 3. Customer list: bị tấn công và mất danh sách khách hàng 4. DB server: máy chủ dữ liệu bị tấn công (thường do lỗi SQL injection) 5. Lỗi sơ hở khi truyển thông tin từ máy chủ dữ liệu đến ngân hàng 6. DOS: tấn công từ chối dịch vụ vào ngân hàng người mua 7. Thay đổi thông tin trong quá trình giao hàng hóa 8. Tấn công vào ngân hàng của người bán 5 Các điểm yếu trên thường được tấn công bằng các công cụ như sau: 1. Malicious Code (Malware, mã độc): a) Drive by download (yêu cầu tải file có mã độc về máy) b) Virus (lây nhiễm qua các file trong máy tính tự động) c) Worm (lây qua máy tính khác nhau thường qua đường email) d) Trojan horse (xâm nhập và chờ đợi hiệu lệnh để thực thi phá hoại từ bên ngoài) e) Backdoor (xâm nhập và tạo ra lỗ hổng để sử dụng sau đó) f) Bots, botnet (xâm nhập, chiếm quyền và huy động nhiều máy tính để tấn công 1 đối tượng) Tiêu biểu có 1 số loại mã độc phổ biến sau: 6 Ramnit Virus/Worm Nhiễm nhiều nhất 2011 Nhiều loại file, tự copy vào ổ USB, tự chạy bằng Auto Play khi cắm vào máy tính Sality.AE Virus/Worm Thứ 2 trong 2011 Tự tắt các phần mềm và dịch vụ bảo mật, kết nối vào botnet, tự tải và cài đặt các loại khác Conficker (A,B,C) Worm 2008 Tấn công HĐH Microsoft với công nghệ chuyên dụng, vẫn còn nhiễm đến hiện tại 7 2. Potentially Unwanted Program: a) Adware: phần mềm, ứng dụng nhằm mục đích quảng cáo, spam b) Spyware Các phần mềm chạy ẩn và theo dõi các hoạt động cũng như lấy trộm các thông tin cá nhân người dùng 3. Phishing & Indentity Theft (lừa đảo, trộm thông tin): a) Social engineering: dựa vào sự tò mò, hiếu kì để lừa user tải 1 file mã độc về máy hoặc dùng trang web giả để user nhập thông tin b) Phishing: lừa, trộm thông tin tài chính cá nhân,thường thấy qua email lừa đảo 8 4. Hacking, cyber vandalism, hacktivism, data breached: a) Hacker: truy cập trái phép b) Cracker: truy cập trái phép có ý định phạm tội c) Cyber vandalism: phá hoại mạng d) Hacktivism: tin tặc e) White/Black/Grey hats f) Data breach: phá dữ liệu 5. Credit card fraud/theft (gian lận, lừa thẻ TD): 9 6. Spoofing (pharming, giả mạo) and spam: 7. Denial of Service (Dos) and Distributed denial of service (DDos): Dùng bot/botnet để tấn công gây tràn và website, server bị từ chối không thể đáp ứng các dịch vụ đang cung cấp 10 [...]... Envelopes) 2 Chữ ký điện tử Chữ ký điện tử là bằng chứng hợp pháp dùng để và đủ khẳng định trách nhiêm của người ký văn bản điện tử về nội dung của nó, tính nguyên gốc của văn bản điện tử sau khi chuyển khỏi người ký nó Các cơ quan chứng nhận (Certificate Authority - CA) sẽ đứng ra xác thực chữ ký điện tử( hay khóa công khai) là của cá nhân hay tổ chức cụ thể và duy nhất Chứng thực điện tử bao gồm: ... nó vốn tích cực cố gắng để tự ẩn mình, tắt chương trình Antivirus của bạn hoặc cài đặt vào hạt nhân của HĐH • Scareware: thường được biết đến là crimeware, thường xuất hiện như 1 cảnh báo chống virus giả mạo trên 1 trang web Nếu bạn tin vào điều đó và tải về chương trình chống virus giả mạo, nó sẽ thông báo là có virus trong hệ thống của bạn Các chương trình diệt virus này sẽ đòi hỏi thẻ tín dụng thanh... xác thực chữ ký điện tử( hay khóa công khai) là của cá nhân hay tổ chức cụ thể và duy nhất Chứng thực điện tử bao gồm: Tên của cá nhân hoặc tổ chức Khóa công khai Số định danh của chứng thực điện tử Thời hạn hiệu lực Chữ ký của cơ quan chứng nhận 17 3 SSL/TLS 4 Tường lửa (Firewalls) Phần cứng hoặc phần mềm Sử dụng các chính sách bảo mật để lọc gói trong mạng nội bộ 18 5 Bảo vệ máy tính... không đủ mạnh để chạy các ứng dụng bảo mật 11 Các phần mềm nhiều lỗ hổng để tấn công Social Network Issues:Facebook, twitter cung cấp quá nhiều thông tin cá nhân 12 Mobile platform Issues: Niềm tin vào điện thoại như trước Nhưng thật ra khi phát triển thông minh hơn tất cả mọi người đều dễ bị tấn công qua bluetooth, wifi, 3g, tin rác… 13 Cloud Issues: -Tập trung dữ liệu tại các cloud server nên khi... xếp hàng top với rất nhiều từ khóa không liên quan đến lĩnh vực của mình hoặc các từ vớ vẩn nào đó… Chèn mã độc Virus facebook 14 III Một số giải pháp phổ biến đang được sử dụng 1 Mã hóa Là quá trình chuyển văn bản hay các tài liệu gốc thành văn bản dưới dạng mật mã để bất cứ ai ngoài người gửi và người nhận đều không thể đọc được Bảo đảm an ninh thông tin khi truyền phát Hai phương pháp . BÀI THUYẾT TRÌNH MÔN THƯƠNG MẠI ĐIỆN TỬ Topic 5: E-commerce Security Giảng viên hướng dẫn : Dr Nguyễn Quang Trung Ms Võ Trung. Envelopes) 2. Chữ ký điện tử Chữ ký điện tử là bằng chứng hợp pháp dùng để và đủ khẳng định trách nhiêm của người ký văn bản điện tử về nội dung của nó, tính nguyên gốc của văn bản điện tử sau khi chuyển. bảo mật qua điện thoại, mã OTP, công nghệ sinh trắc học… 4 II. Những nguy cơ thường gặp hiện nay Sơ đồ sau sẽ cho phép thấy được toàn cảnh chu trình của 1 giao dịch thương mại điện tử đầy đủ và