Chương 7: VẤN ĐỀ BẢO MẬT VÀ AN NINH TRÊN MẠNG

Các nguy cơ điển hình trên mạng

Thư rác (spam): mỗi ngày có thể nhận vài chục, đến vài trăm thư rác/người: dung lượng, đường truyền.

Virus là chương trình máy tính có khả năng tự nhân bản và lan tỏa: chiếm tài nguyên, tốc độ, xử lý máy tính chậm đi, có thể xóa file, format lại ổ cứng.

Sâu máy tính (worms): sâu khác không thâm nhập vào file mà thâm nhập vào hệ thống.

   Ví dụ: sâu mạng (network worm) tự nhân bản trong toàn hệ thống mạng.

Các nguy cơ điển hình trên mạng

Trojan: là chương trình thâm nhập vào máy tính mà người sử dụng máy tính không hay biết.

    Ví dụ: cài đặt chương trình theo dõi bàn phím, Trojan Horse qua thư dây truyền,…

Lừa đảo qua mạng (Phishing): giả dạng những tổ chức hợp pháp (ngân hàng, dịch vụ thanh toán qua mạng).

Gửi email yêu cầu người nhận cung cấp thông tin tín dụng.

Tuyên bố người nhận đã may mắn trúng giải thưởng rất lớn.

Tạo ra website bán hàng “y như thật” trên mạng

Các nguy cơ điển hình trên mạng

Tấn công (hacking):

Tấn công từ chối phục vụ (DOS): tự động gửi hàng loạt yêu cầu về server làm server này quá tải.

Cướp tên miền:

Tìm email quản lý domain.

Lừa chủ tài khoản email này để lấy password.

Yêu cầu nhà cung cấp dịch vụ quản lý domain cung cấp password.

Đổi thông số domain hoặc password quản lý,…

Các nguy cơ điển hình trên mạng

Tấn công (hacking):

Bị xâm nhập website hoặc dữ liệu trái phép

Tấn công nội bộ (local attack): hacker hosting trên cùng server với “nạn nhân”.

Tìm cách có được password của “nạn nhân”.

Nghiên cứu kẽ hở trong lập trình để thâm nhập vào website.

Tham nhập vào cơ sở dữ liệu của website.

Phân loại rủi ro trong TMĐT

Là những sự cố xảy ra một cách bất ngờ nằm ngoài tầm kiểm soát của con người hoặc những mối đe doạ tiềm ẩn khi xảy ra thì gây tổn thất cho chủ thể trong hoạt động TMĐT.

Có 4 nhóm rủi ro cơ bản:

Nhóm rủi ro về dữ liệu.

Nhóm rủi ro về công nghệ.

Nhóm rủi ro về thủ tục, quy trình giao dịch.

Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp.

Phân loại rủi ro trong TMĐT

Rủi ro về dữ liệu:

Rủi ro về dữ liệu  đối với người bán: Thay đổi  địa chỉ nhận khi chuyển khoản ngân hàng.

Rủi ro về dữ liệu đối với người mua:

Thông tin có thể bị đánh cắp khi gửi đi một đơn đặt hàng.

Tin tặc tấn công vào website TMĐT đánh cấp thông tin thẻ tín dụng và thông tin cá nhân.

Xây dựng website bán hàng giả  để thu thập thông tin.

Phân loại rủi ro trong TMĐT

Rủi ro về dữ liệu:

Rủi ro về dữ liệu đối với nhà nước:

Các hacker có thể tấn công các trang web chính phủ nhằm làm lệch lạc thông tin, đánh mất dữ liệu thậm chí là đánh sập.

Đặc biệt, một số tổ chức tội phạm đã sử dụng các tin tặc để phát động các cuộc tấn công mang tính chất chính trị.

Phân loại rủi ro trong TMĐT

Rủi ro về công nghệ

Máy chủ của doanh nghiệp

Các file trên máy chủ web chứa tài khoản người quản trị bị đánh cấp.

Các hệ thống TMĐT cũng lưu giữ dữ liệu của người dùng.

Một số cơ sở dữ liệu lưu giữ mật khẩu/tên người dùng một cách không an toàn.

Phân loại rủi ro trong TMĐT

Rủi ro về công nghệ

Máy khách hàng

Để đáp ứng các nhu cầu về quảng cáo, tiếp thị, các trang web được thiết kế sống động bằng cách sử dụng rộng rãi các nội dung động (active content).

Active content làm cho trang web khả năng thực hiện các hoạt động, trong suốt hoàn toàn đối với người duyệt web.

Bất kỳ ai cố tình gây hại cho một máy khách đều có thể nhúng một active content gây hại vào các trang web.

Phân loại rủi ro trong TMĐT

Rủi ro về công nghệ

Tin tặc và các chương trình phá hoại

Tin tặc hay tội phạm máy tính là những người truy cập trái phép vào một website hay hệ thống máy tính.

Mục tiêu của các hacker rất đa dạng:

Xâm nhập vào hệ thống dữ liệu của các website TMĐ đánh cấp thông tin.

Sử dụng các chương trình phá hoại nhằm gây ra các sự cố, làm mất uy tín.

Phá huỷ website của tổ chức, doanh nghiệp,…

Phân loại rủi ro trong TMĐT

Rủi ro về công nghệ

Rủi ro về gian lận thẻ tín dụng

Trong TMĐT, các hành vi gian lận thẻ tín dụng xảy ra đa dạng và phức tạp hơn nhiều so với thương mại truyền thống.

Thương mại truyền thống: mất thẻ hoặc thẻ bị đánh cắp là mối đe doạ lớn nhất.

TMĐT: mối  đe doạ lớn nhất là bị mất hay bị lộ các thông tin liên quan đến thẻ tín dụng.

Sự khước từ phục vụ (Denial of Service)

Phân loại rủi ro trong TMĐT

Nhóm rủi ro về thủ tục, quy trình giao dịch của tổ chức

Không có những biện pháp đảm bảo chống phủ định của người mua trong quy trình giao dịch trên các website.

Khi khách hàng đã tiến hành trả tiền mà không nhận được hàng do nhà cung cấp từ chối đã nhận đơn đặt hàng.

Một hợp đồng có thể gây tranh cãi nếu không có bằng chứng về sự hình thành hợp đồng. Trong trường hợp này, nếu doanh nghiệp sử dụng email trong quá trình thiết lập hợp đồng, rủi ro càng cao.

Phân loại rủi ro trong TMĐT

Nhóm rủi ro về pháp luật và tiêu chuẩn công nghiệp

Hiệu lực pháp lý của giao dịch TMĐT

Làm thế nào  để đảm bảo rằng một thoả thuận  đạt  được qua hệ thống điện tử sẽ có tính ràng buộc về mặt pháp lý giữa các quốc gia, ví dụ Việt Nam và Hàn Quốc?

Ở Việt Nam hiện nay, hầu như chưa có sự thống nhất trong việc điều chỉnh, phán xét các rủi ro gây ra bởi TMĐT.

Các quy định cản trở sự phát triển của TMĐT hoặc chưa tạo điều kiện thuận lợi cho phát triển TMĐT như đăng ký website, mua bán tên miền.

Sự chậm trễ về dịch vụ chứng thực điện tử, thanh toán điện tử một phần do thiếu các văn bản pháp lý điều chỉnh.

Phân loại rủi ro trong TMĐT

Nhóm rủi ro về pháp luật và tiêu chuẩn công nghiệp

Rủi ro về tiêu chuẩn công nghiệp

Chưa có hệ thống các tiêu chuẩn công nghiệp phù hợp với tiêu chuẩn quốc tế và khu vực.

Điều này gây nhiều khó khăn trong việc trao đổi thông tin và các hoạt động chào hàng, đặt hàng cũng như vận chuyển hàng hoá, thủ tục hải quan, thuế…

Mặt khác, sự khác biệt giữa tiêu chuẩn công nghiệp trong thương mại truyền thống và TMĐT cũng có thể gây ra những rủi ro không mong đợi.

An toàn mạng cho DN

DN thường xuyên kiểm tra website để kịp thời phát hiện sự cố:

Tấn công từ chối phục vụ: Nếu thuê dịch vụ host, yêu cầu nhà cung cấp dịch vụ xử lý.

Bị cướp tên miền : DN tự quản lý password tên miền hoặc giao nhà cung cấp dịch vụ quản lý.

Bị xâm nhập website hoặc dữ liệu trái phép:

Khi xảy ra sự cố, DN yêu cầu nhà cung cấp dịch vụ hosting nêu rõ phương thức xử lý.

Yêu cầu nhà cung cấp dịch vụ host sao lưu (backup) dữ liệu website thường xuyên.

Nhà cung cấp dịch vụ phải có server dự phòng.

An toàn mạng cho DN

Tự bảo vệ mật khẩu:

Các tài khoản (quản lý tên miền, quản lý website): ít người biết password của TK càng tốt

Khi nhân viên quản lý TK nghỉ thì nên thay đổi password của TK đó

An toàn mạng nội bộ: Nên có quy định sử dụng mạng nội bộ, quy định về phòng chống virus,…

An toàn dữ liệu, thông tin:

Không lưu trong mạng nội bộ những thông tin không cần chia sẻ nhiều người.

Sao lưu dữ liệu ra đĩa CD thường xuyên, nên lưu ở nhiều nơi.

An toàn mạng cho cá nhân

Khi có spam nên xóa đi.

Cài đặt/cập nhật chương trình diệt virus.

Bỏ qua mọi email yêu cầu cung cấp thông tin.

Kiểm tra các khoản chi của thẻ tín dụng.

Khi có mail lạ gởi attachment nên xóa đi.

Đọc kỹ yêu cầu chọn “Yes”, “No” khi duyệt web.

Sử dụng xong tài khoản nên “thoát”.

Khi sử dụng máy tính dùng chung không nên chọn chức năng “nhớ mật khẩu”.

Cơ chế mã hóa

Mã hóa là quá trình trộn văn bản với khóa mã tạo thành văn bản không thể đọc được trên mạng.

Khi nhận được, dùng khóa mã giải mã thành bản gốc.

Mã hóa và giải mã gồm 4 phần cơ bản:

1. Văn bản nhập vào – plaintext

2. Thuật toán mã hóa – Encryption

3. Văn bản đã mã – ciphertext

4. Giải mã – Decryption

Cơ chế mã hóa

Mã hóa khóa bí mật: người gửi và người nhận dùng chung khóa để mã hóa và giải mã dữ liệu.

VD: các thuật toán dùng: DES - Data Encrytion Standard, 3DES - triple-strength DES, RC2 – Rons Cipher 2 và RC4, v.v...

Nhược điểm chính của phương pháp này là khóa được truyền trên môi trường mạng nên tính bảo mật không cao.

Ưu điểm là tốc độ mã hóa và giải mã rất nhanh.

Mã hóa khóa công khai: giải quyết nhược điểm của phương pháp trên là dùng 2 khóa:

Public key: được gửi trên mạng, dùng mã hóa.

Private key: được giữ kín, dùng giải mã.

Cơ chế mã hóa

Chữ ký điện tử: là mô hình đảm bảo an toàn dữ liệu khi truyền trên mạng và được sử dụng để tạo chứng nhận điện tử trong các giao dịch điện tử qua mạng Internet.

Chữ ký số: là đoạn dữ liệu ngắn đính kèm với văn bản gốc để chứng thực tác giả của văn bản và giúp người nhận kiểm tra tính toàn vẹn của nội dung văn bản gốc

Tổng quan về phòng tránh rủi ro

Một các tổng quát, có các biện pháp phòng tránh rủi ro trong TMĐT như sau:

Bảo mật, an toàn cho các giao dịch

Mã hóa dữ liệu

Chữ ký điện tử

Cơ quan chứng thực

Kiểm tra tính đúng đắn và chân thực của thông tin trong giao dịch: kỹ thuật hoặc điều tra.

Lưu trữ dữ liệu nhiều nơi, nhiều hình thức.

Cài đặt phần mềm phòng chống virus và các tấn công khác.

Tham gia bảo hiểm.

Thống kê rủi ro trong TMĐT

Trong năm 2009, Việt Nam có 1.037 website bị hacker tấn công, tăng hơn gấp 2 so với năm 2008 (461 website) và gấp 3 so với năm 2007 (342 website).

Trong 3 tháng đầu năm 2010: có hơn 300 website của các cá nhân và tổ chức có tên miền .vn bị các hacker nước ngoài thăm dò, tấn công.

Các website bị tấn công chủ yếu là các website kinh doanh trực tuyến, ngân hàng, cung cấp dịch vụ,…

Thống kê rủi ro trong TMĐT

Số lượng các điểm yếu an ninh trong năm 2009 là 4300 (năm 2008 là 3500) có tới 30% lỗ hổng có mức độ nguy hiểm cao.

Gần một nửa (49%) số lỗ hổng an ninh vẫn chưa có các bản vá do nhà cung cấp dịch vụ phát hành.

Thống kê rủi ro trong TMĐT

Có trên 64,7 triệu lượt máy tính bị nhiễm virus, trong đó lây nhiều nhất là dòng virus siêu đa hình W32.SalityVF.PE đã lây nhiễm trên 483.000 máy tính năm 2009.

Ở Việt Nam có có hơn 47.000 biến thể virus máy tính mới xuất hiện tại Việt Nam, tăng khoảng 30% so với năm 2008.

Trojan chiếm tới 55% tổng số lượng mã độc mới, tăng 9% so với nửa đầu năm 2008. Trojans đánh cắp thông tin là loại mã độc phổ biến nhất.

Trong 3 tháng đầu năm 2010 ước tính đã có 150 nghìm máy tính bị nhiễm virus và Trojan.

Năm 2009