Bài 5

Mối đe dọa an ninh trong TMĐT

Khái niệm về việc bảo vệ

uMột số hiểm họa

lCác e-mail gửi đến

lTruy xuất trái phép các thông tin số

lThông tin thẻ tín dụng rơi vào tay kẻ xấu

l........

uHai hình th ức th ực hi ện b ảo v ệ

lV ật Lý - b ảo v ệ các thành ph ần h ữu hình

lLogic - b ảo v ệ các thành ph ần vô hình

Khái niệm về việc bảo vệ

uCác biện pháp phòng vệ và trả đũa (bằng hình thức vật lý hay logic)  được thực hiện nhằm nhận diện, giảm thiểu hay loại bỏ các mối đe doạ

Các đặc điểm

uBí mật - Secrecy

lBảo đảm tính chính xác của dữ liệu và ngăn ngừa các thông tin riêng tư bị tiết lộ

uToàn v ẹn - Integrity

lC ập nh ật trái phép các thông tin ??

uĐáp  ứng - Necessity

lT ừ ch ối hay đáp  ứng thông tin không k ịp th ời ??

Bản quyền và sở hữu trí tuệ

uBản quyền-quyền tác giả

lM ột s ố l ĩnh v ực

uVăn chương, âm nh ạc

uK ịch, múa

uTranh, hình  ảnh, tư ợng,..

uS ản ph ẩm đi ện  ảnh, nghe nhìn,...

uCông nghi ệp âm thanh

uKi ến trúc

u...........

Bản quyền và sở hữu trí tuệ

uSở hữu trí tuệ-Intellectual property

lBảo vệ tác quyền cho các ý tưởng cũng như các thể hiện (vô hình hay hữu hình) từ các ý tưởng đó

uU.S. Copyright Act 1976

lB ảo v ệ quy ền tác gi ả trong th ời gian h ạn đ ịnh

lCopyright Clearance Center

uC ấp gi ấy phép s ử d ụng

Các từ ngữ thường dùng

ucopyright

u“copyleft”

ushareware

ufreeware

ufree software

uopen source code

SPAM

uNgày nay người sử dụng Internet phải đối mặt với rất nhiều rủi ro như: virus, lừa đảo, bị theo dõi (gián điệp – spyware), bị đánh cắp dữ liệu, bị đánh phá website (nếu là chủ sở hữu website) v.v....

uSpam (thư rác): người nhận mỗi ngày có thể nhận vài, vài chục, đến vài trăm thư rác, gây mất thời gian, mất tài nguyên (dung lượng chứa, thời gian tải về...)

VIRUS

uXuất hiện lần đầu tiên vào năm 1983.

uVirus là một chương trình máy tính có khả năng tự nhân bản và lan tỏa.

uMức độ nghiêm trọng của virus dao động khác nhau tùy vào chủ ý của người viết ra virus, ít nhất virus cũng chiếm tài nguyên trong máy tính và làm tốc độ xử lý của máy tính chậm đi, nghiêm trọng hơn, virus có thể xóa file, format lại ổ cứng hoặc gây những hư hỏng khác.

VIRUS

uTrước kia virus chủ yếu lan tỏa qua việc sử dụng chung file, đĩa mềm...

uNgày nay trên môi trường Internet, virus có cơ hội lan tỏa rộng hơn, nhanh hơn.

uVirus đa phần được gửi qua email, ẩn dưới các file gửi kèm (attachment) và lây nhiễm trong mạng nội bộ các doanh nghiệp, làm doanh nghiệp phải tốn kém thời gian, chi phí, hiệu quả, mất dữ liệu...

uCho đến nay hàng chục nghìn loại virus đã được nhận dạng và ước tính mỗi tháng có khoảng 400 loại virus mới được tạo ra.

Câu hỏi

uKhái niệm sâu máy tính Worm

uTác hại ?

WORM

uSâu máy tính (worms): sâu máy tính khác với virus ở chỗ sâu máy tính không thâm nhập vào file mà thâm nhập vào hệ thống.

uVí dụ: sâu mạng (network worm) tự nhân bản trong toàn hệ thống mạng.

uSâu Internet tự nhân bản và tự gửi chúng qua hệ thống Internet thông qua những máy tính bảo mật kém.

uSâu email tự gửi những bản nhân bản của chúng qua hệ thống email.

Câu hỏi

uKhái niệm Trojan

uTác hại

uCách lây nhiễm

TROJAN

uĐặt tên theo truyền thuyết con ngựa Trojan của thành Troy

uLà một loại chương trình nguy hiểm (malware) được dùng để thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.

uTrojan có thể cài đặt chương trình theo dõi bàn phím (keystroke logger) để lưu lại hết những phím đã được gõ rồi sau đó gửi “báo cáo” về cho một địa chỉ email được quy định trước (thường là địa chỉ email của chủ nhân của Trojan).

TROJAN

uNgười sử dụng máy tính bị nhiễm Trojan có thể bị đánh cắp mật khẩu, tên tài khoản, số thẻ tín dụng và những thông tin quan trọng khác.

uPhương pháp thông dụng được dùng để cài Trojan là gửi những email ngẫu nhiên với nội dung khuyến cáo người sử dụng nên click vào một đường link cung cấp trong email để đến một website nào đó. Và nếu người nhận email tin lời và click thì máy tính của họ sẽ tự động bị cài Trojan. Không giống như virus, Trojan không tự nhân bản được.

Câu hỏi

uKhái niệm Phishing

uTác hại

uHình thức tấn công

PHISHING

uXuất hiện từ năm 1996

uGiả dạng những tổ chức hợp pháp như ngân hàng, dịch vụ thanh toán qua mạng... để gửi email hàng loạt yêu cầu người nhận cung cấp thông tin cá nhân và thông tin tín dụng.

uNếu người nào cả tin và cung cấp thông tin thì kẻ lừa đảo sẽ dùng thông tin đó để lấy tiền từ tài khoản.

PHISHING

uMột dạng lừa đảo hay gặp khác là những email gửi hàng loạt đến người nhận, tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn, và yêu cầu người nhận gửi một số tiền nhỏ (vài nghìn dollar Mỹ) để làm thủ tục nhận giải thưởng (vài triệu dollar Mỹ).

uĐã có nạn nhân ở Việt Nam.

PHISHING

uMột nguy cơ khác xuất hiện nhiều gần đây là những kẻ lừa đảo tạo ra những website bán hàng, bán dịch vụ “y như thật” trên mạng và tối ưu hóa chúng trên Google để “nạn nhân” tự tìm thấy và mua hàng/dịch vụ trên những website này.

uThực tế, khi nạn nhân đã chọn hàng/dịch vụ và cung cấp đầy đủ thông tin thẻ tín dụng, nạn nhân sẽ không nhận được hàng/dịch vụ đã mua mà bị đánh cắp toàn bộ thông tin thẻ tín dụng, dẫn đến bị mất tiền trong tài khoản.

Các loại khác

uMALWARE

uSPYWARE

uADWARE

uDEMOWARE

uNAGWARE

uhttp://en.wikipedia.org/wiki

Câu hỏi

uTheo anh chị, nhằm bảo vệ hệ thống mạng máy tính, người quản trị phải tiến hành công việc gì ?

Chính sách bảo mật

uPhải mô tả cụ thể (văn bản) chính sách bảo mật

uTài sản nào cần bảo vệ ? tại sao? Ai chịu trách nhiệm? các truy cập nào cho phép/ngăn cấm

lAn ninh vật lý - Physical security

lAn ninh mạng - Network security

lQuyền truy cập - Access authorizations

lNgăn chặn vi rút - Virus protection

lPhục hồi thông tin - Disaster recovery

Mô tả các thành phần trong

chính sách

uXác thực - Authentication

lNhững ai đang truy xuất vào website?

uQuy ền truy c ập - Access Control

lNh ững ai đư ợc phép đăng nh ập và truy xu ất thông tin trong website

uB ảo mât - Secrecy

lNh ững ai đư ợc phép xem các thông tin nh ạy c ảm, bí m ật

Mô tả các thành phần trong

chính sách

uToàn vẹn dữ liệu - Data integrity

lAi được quyền cập nhật thông tin, dữ liệu

uKi ểm tra-Theo dõi-Th ống kê (Audit)

lNh ững ai đã truy c ập vào h ệ th ống? khi nào? bao lâu ?

lNSD đã s ử d ụng và truy nh ập các tài nguyên nào ?

Câu hỏi

uTheo anh chị, chính sách bảo mật không tốt có thể dẫn đến những tác hại gì trong việc bảo vệ quyền sở hữu trí tuệ ?

Mối đe dọa với sở hữu trí tuệ

uMạng Internet : tác nhân lôi kéo tình trạng (mối đe dọa) vấn đề bảo vệ sở hữu trí tuệ

lD ễ dàng thu th ập và “tái t ạo”các thông tin, s ản ph ẩm,.. tìm th ấy trên Internet

lNSD không có ý th ức v ề các qui đ ịnh b ản quy ền c ũng như không có ch ủ ý vi ph ạm

Mối đe dọa với sở hữu trí tuệ

uCybersquatting (bất hợp pháp)

lĐăng ký 1 tên mi ền v ới thương hi ệu c ủa 1 cá nhân hay 1 công ty khác

uCybersquatters : hy v ọng ch ủ nhân các công ty hay thương hi ệu s ẽ tr ả ti ền đ ể mua l ại các URL này

uVài Cybersquatters m ạo danh ch ủ thương hi ệu nh ằm m ục đích xuyên t ạc, l ừa d ối

Câu hỏi

uMáy của NSD có thể bị “tấn công” bằng các “con đường” nào ?

Các mối đe dọa

uPhía máy NSD

lActive Content

uJava applets, Active X controls, JavaScript, và VBScript

uCác chương trình ch ứa các mã l ệnh thi hành, mã thông d ịch đư ợc nhúng vào các đ ối tư ợng t ải v ề

uM ột s ố n ội dung active có ý đ ồ x ấu nhúng vào các trang web có v ẻ vô h ại

uCookies : lưu l ại tên tài kho ản, m ật kh ẩu và các thông tin tham kh ảo khác

Java, Java Applets,

và JavaScript

uJava : ngôn ngữ lập trình cấp cao được phát triển bởi Sun Microsystems

uMã Java có thể ‘nhúng’ vào các thiết bị gia dụng để điều khiển các hoạt động của thiết bị

uCác ứng dụng dạng applets có thể được nhúng vào trang web và tải về

uĐộc lập với nền phần cứng và hệ điều hành

Java, Java Applets,

và JavaScript

uJava sandbox

lBao gồm các qui tắc cùng 1 cơ chế để các applet hoạt trong 1 môi trường hoàn toàn đảm bảo an toàn

lCác applet chưa được xác thực tính an toàn buộc phải hoạt động dưới cơ chế này

uSigned Java applets

lCh ữ ký đi ện t ử đư ợc nhúng trong applet đ ể xác nh ận tính xác th ực

ActiveX Controls

uActiveX : là 1 “đối tượng”, còn gọi là “điều khiển” chứa các chương trình, các thuộc tính, thực hiện các nhiệm vụ đã được thiết kế

uActiveX : chỉ hoạt động trong môi trường Windows 95, 98,2K,XP,...

uMột khi được tải về, các điều khiển ActiveX hoạt động như 1 chương trình : có toàn quyền truy xuất các tài nguyên trên máy tính

Hình ảnh,các Plug-ins, và

thông tin đính kèm theo E-mail

uKhả năng cài đặt các mã lệnh trong các ảnh đồ họa gây hại máy tính!!

uPlug-ins : thường được sử dụng để thực hiện các thông tin multimedia (audiovisual clips, animated graphics)

lCó khả năng chứa các đoạn mã lệnh bên trong đối tượng với mục đích xấu

uCác thông tin đính kèm E-mail có khả năng chứa các macro hủy diệt bên trong

Hiểm họa từ các kênh truyền thông

uSecrecy Threats

lPrivacy : b ảo đ ảm thông tin riêng tư không b ị ti ết l ộ

lĐánh c ắp các thông tin nh ạy c ảm, các thông tin cá nhân

lĐ ịa ch ỉ IP thư ờng b ị l ộ khi duy ệt Web

Hiểm họa từ các kênh truyền thông

uAnonymizer

lCung c ấp 1 m ức đ ộ b ảo m ật có gi ới h ạn khi s ử d ụng như 1 portal truy c ập Internet

uhttp://www.anonymizer.com

uToàn v ẹn thông tin - Integrity Threats

lTương t ự hành đ ộng nghe tr ộm đi ện tho ại(wiretapping)

lThay đ ổi d ữ li ệu trái phép

uVí dụ thay đổi lượng tiền gửi/tiền rút

Hiểm họa từ các kênh truyền thông

uĐáp ứng yêu cầu - Necessity Threats

lCòn g ọi là delay/denial threats , DoS

lPhá h ủy quá trình x ử lý c ủa MTĐT

uT ừ ch ối ti ến trình x ử lý

uX ử lý r ất ch ậm!!!!

uXóa b ỏ t ập tin hay xóa thông tin trong 1 giao d ịch/t ập tin

uChuy ển ti ền t ừ tài kho ản này sang 1 tài kho ản khác !!!!

Câu hỏi

uAnh chị hãy đưa ra một vài biện pháp nhằm bảo vệ NSD khi truy cập Internet

An toàn mạng dành cho cá nhân tự bảo vệ mình

uKhi nhận spam à xóa bỏ hết

uKhông click vào bất kỳ đường link nào trong email

uKhông mở lên các file gửi kèm trong email.

uĐừng trả lời những email spam

uNgay cả chức năng “Từ chối nhận” (Unsubscription) cũng đã bị lợi dụng để người gửi spam kiểm tra tính hiện hữu của tài khoản email,

uCài những chương trình chống virus mới nhất, cập nhật chương trình thường xuyên.

An toàn mạng dành cho cá nhân tự bảo vệ mình

uBỏ qua mọi email yêu cầu cung cấp thông tin cá nhân. Hầu hết tất cả đó đều là trò lừa đảo hoặc có âm mưu gián điệp (spyware) hay virus. Ngân hàng hay dịch vụ thanh toán qua mạng không bao giờ yêu cầu thông tin “nhạy cảm” qua mạng Internet. Nếu có yêu cầu thì đó phải là form nhập thông tin từ website của chính tổ chức đó, với giao thức truyền an toàn (https://)

uNếu cá nhân có thẻ tín dụng và có mua qua mạng thì phải kiểm tra kỹ từng khoản chi tiêu mỗi tháng được liệt kê trong hóa đơn ngân hàng gửi về để kịp thời phát hiện sự cố nếu có.

An toàn mạng dành cho cá nhân tự bảo vệ mình

uKhi nhận được những email từ người lạ với những file gửi kèm thì phải rất cẩn thận.

uTrong khi lướt web nếu thấy xuất hiện những thông báo đề nghị cài đặt hay thông báo nào khác thì nên đọc kỹ, không dễ dàng chọn “OK” hay “Yes”.

An toàn mạng dành cho cá nhân tự bảo vệ mình

uSau khi truy cập vào tài khoản email hay tài khoản quan trọng nào khác thì nhớ Log-off để thoát hoàn toàn ra khỏi trang web, tránh người khác dùng máy tính đó trong vài phút sau có thể truy cập vào được.

uNếu phải dùng máy tính dùng chung thì không nên dùng chức năng “Nhớ Password”.

Câu hỏi

uAnh chị thử đưa ra 1 vài biện pháp bảo vệ cho máy phục vụ

Các mối đe dọa với máy phục vụ

uCác phần mềm cài đặt càng mạnh, càng nhiều tính năng thì khả năng phát sinh lỗi càng nhiều

uMáy phục vụ thường hoạt động ở các cấp đặc quyền khác nhau

lC ấp cao nh ấp : cung c ấp đ ầy đ ủ các quy ền truy xu ất và tính uy ển chuy ển,m ềm d ẻo

lC ấp th ấp nh ất : cung c ấp 1 hàng rào b ảo v ệ (logic) xung quanh chương trình đang ho ạt đ ộng

Các mối đe dọa với máy phục vụ

uDanh sách các thư mục của máy phục vụ xuất hiện trên trình duyệt !!!!

uQuản trị site cần tắt tính năng hiện danh sách các folder nhằm tránh hiểm họa

uTruyền/phát các cookies với sự bảo vệ nghiêm ngặt

Các mối đe dọa với máy phục vụ

uMột trong những thông tin quan trọng được lưu trữ trên máy phục vụ web : thông tin tài khoản NSD và mật khẩu

uNgười quản trị web phải chịu trách nhiệm bảo mật những thông tin này và các thông tin quan trọng khác

Câu hỏi

uDoanh nghiệp thực hiện TMĐT cần quan tâm và tự bảo vệ như thế nào ???

Bảo vệ phía doanh nghiệp

uHacking: doanh nghiệp nên thường xuyên kiểm tra hoạt động của website của mình để kịp thời phát hiện sự cố (website không hiện lên, gõ tên miền đúng mà không thấy website của mình hiện lên hoặc hiện lên những thông tin lạ...). Với ba loại rủi ro thường gặp:

Bảo vệ phía doanh nghiệp

lBị tấn công từ chối phục vụ (DoS: Denial of Service): trường hợp này nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý.

lBị cướp tên miền: doanh nghiệp có thể tự quản lý password của tên miền hoặc giao cho nhà cung cấp dịch vụ quản lý.

lBị xâm nhập host hoặc dữ liệu trái phép: nếu doanh nghiệp thuê dịch vụ host thì doanh nghiệp yêu cầu nhà cung cấp dịch vụ host xử lý phải nêu rõ phương thức xử lý, phục hồi khi gặp sự cố này. Cách thức thông thường là nhà cung cấp dịch vụ phải định kỳ back-up (sao lưu) các file, dữ liệu của website, và nhà cung cấp dịch vụ phải có ít nhất hai host cùng lúc để nếu host này có sự cố thì chuyển sang host kia.

Bảo vệ phía doanh nghiệp

uTự bảo vệ password : nếu doanh nghiệp có những tài khoản quan trọng trên mạng (tài khoản với nhà cung cấp dịch vụ xử lý thanh toán qua mạng, tài khoản quản lý tên miền, tài khoản quản lý host...) thì càng ít người biết password của những tài khoản này càng tốt. Khi nhân viên nắm tài khoản này nghỉ việc thì nên thay đổi password của tài khoản.

Bảo vệ phía doanh nghiệp

uAn toàn mạng nội bộ : nếu doanh nghiệp có mạng nội bộ thì an toàn trong mạng nội bộ cũng phải được lưu ý. Doanh nghiệp nên có quy định sử dụng mạng nội bộ, quy định an toàn, phòng chống virus v.v... Vì nếu một máy con trong mạng nội bộ bị nhiễm virus thì toàn bộ mạng sẽ bị ảnh hưởng, gây hậu quả gián đoạn hoạt động, mất dữ liệu v.v...

uAn toàn dữ liệu, thông tin : những thông tin quan trọng không cần chia sẻ cho nhiều người thì không nên lưu trên mạng nội bộ, hoặc lưu trong những thư mục có password bảo vệ, nên có bản back-up (sao lưu) lưu trên đĩa CD v.v...

Các mối đe dọa với CSDL

uCác thông in riêng tư, có giá trị nếu bị tiết lộ : gây những thiệt hại không thể bù đắp cho công ty

uBảo mật thực hiện thông qua quyền hạn sử dụng qui định

uNhiều phần mềm CSDL không có tính bảo mật cao và phó thác vào sự bảo mật của website

 Các mối đe dọa khác

uCác mối đe dọa từ Common Gateway Interface (CGI)

lN ếu không s ử d ụng đúng cách, các chương trình CGIs c ũng là nh ững m ối đe d ọa ti ềm  ẩn

lCác chương trình CGI thư ờng lưu trú nhi ều nơi trên Website và r ất khó theo dõi , l ần d ấu v ết đ ể phát hi ện các sai sót

lCGI scripts không ho ạt đ ộng như JavaScript (v ới cơ ch ế sandbox)

Các mối đe dọa khác

uCác đe dọa từ các chương trình bao gồm:

lCác chương trình ho ạt đ ộng trên server

lL ỗi tràn b ộ đ ệm(Buffer overruns)

lGây tình tr ạng “Runaway code segments”

uSâu Internet (Internet Worm) là 1 hình thái c ủa runaway code segment

lT ấn công t ừ các đo ạn mã xâm nh ập b ất h ợp pháp t ạo tình tr ạng”Buffer overflow” : chúng tìm cách chi ếm d ụng các đi ều khi ển đã đư ợc xác th ực

Computer Emergency Response Team (CERT)

uĐặt tại Carnegie Mellon University

uChịu trách nhiệm theo dõi, phát hiện, cảnh báo,... các vấn đề an toàn , an ninh trên mạng

uGửi các cảnh báo (CERT alerts) đến cộng đồng Internet về các mối đe dọa bảo mật

Một vài đề nghị

uNếu là doanh nghiệp

lThuê dịch vụ hosting (lưu trữ web), nhà cung cấp dịch vụ sẽ chịu trách nhiệm về việc tăng cường an toàn mạng, an toàn thông tin cho họ, và có nghĩa là cho cả website của ta.

lSau khi login (đăng nhập) vào hệ thống quản lý website (do nhà cung cấp dịch vụ bàn giao lại cho bạn sử dụng), luôn phải thực hiện động tác logout (thoát) để đảm bảo các cửa ngõ phải được khóa lại ngay sau khi thoát ra.

Một vài đề nghị

uNếu là người mua

lKhông truy cập vào hệ thống khi sử dụng máy tính công cộng.

lKhông mở những email có file gửi kèm (attachment) mà người gửi có vẻ như xa lạ. Thậm chí đừng tin những email mang tên người gửi là Microsoft, Yahoo hay tương tự bởi vì đây có thể là thủ thuật giả danh của hacker để lừa .

Một vài đề nghị

uThứ 2, về mối lo ngại bị ăn cắp số thẻ tín dụng khi mua hàng trên mạng và bán hàng cho người dùng thẻ tín dụng bất hợp pháp (thẻ bị ăn cắp).

lNếu là người mua: chỉ nên mua hàng ở những website tốt, tin cậy.

lLàm sao để đánh giá website tin cậy ?

Một vài đề nghị

uTên tuổi người bán

uTrình bày gian hàng một cách chuyên nghiệp, không có lỗi chính tả, câu cú rõ ràng v.v…

uĐọc phần About Us của họ để tìm một địa chỉ văn phòng cụ thể

uĐừng bao giờ cung cấp thông tin thẻ tín dụng cho các website khiêu dâm trên mạng.

Một vài đề nghị

uNếu là người bán :

lNên nhờ trung gian để xử lý thẻ tín dụng

lPhải trả môt khoản chi phí % dựa trên doanh thu cho họ

lĐảm bảo kỹ thuật.

lThông thường phải gửi hàng đi, khi người mua nhận được hàng àmới được nhận tiền vào tài khoản của bạn

lNếu gặp phải thẻ tín dụng bất hợp pháp à sẽ mất trắng món hàng và mất một khoản chi phí xử lý thẻ

lTheo thống kê, chỉ có khoản 3% giao dịch là gặp phải trường hợp dùng thẻ tín dụng giả

lKhoản lời từ việc bán cho 97% khách hàng trung thực cũng đủ để bù cho khoản mất mát trong 3% gian lận này.

Bài Kỳ Sau

Thực Hiện Bảo Mật trong

Thương Mại Điện Tử