Ecommerce Security (đảm Bảo An Ninh Thương Mại điện Tử) - 123doc

Tải bản đầy đủ (.docx) (99 trang)

1. Trang chủ
>>
2. Luận Văn - Báo Cáo
>>
3. Kinh tế - Quản lý

ecommerce security (đảm bảo an ninh thương mại điện tử)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.43 MB, 99 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠOTRƯỜNG ĐẠI HỌC QUY NHƠNBÁO CÁO TIỂU LUẬN MÔN AN NINH MẠNGChủ đềECOMMERCE SECURITY(ĐẢM BẢO AN NINH THƯƠNG MẠI ĐIỆN TỬ)Giảng viên hướng dẫn: TS. Nguyễn Hồng QuangNhóm báo cáo:Lớp: Khoa học máy tính – K19 (2016 – 2018)Bình Định, 01-2018Môn An ninh mạngĐảm bảo an ninh thương mại điện tửMỤC LỤCDANH SÁCH PHÂN CÔNG CÁC THÀNH VIÊN TÌM HIỂUNỘI DUNG BÀI BÁO CÁOStt01020304Họ và tên thành viênNguyễn Tấn LongNguyễn Phạm Thanh BìnhNgô Bảo ChâuNguyễn Thị KhoánNội dung phân công tìm hiểuPhần I, II, IIIPhần IV, VPhần VI, VII, VIIIPhần IX, XGhi chúCác thành viên trong nhóm luôn có sự trao đổi, thảo luận và thống nhất trong quátrình phân công tìm hiểu nội dung bài báo cáo.Trong quá trình làm việc cộng tác nhóm, nhóm thường xuyên liên lạc, trao đổi vềcác vấn đề liên quan được phân công.Cuối cùng, sau khi hoàn thành các phần được phân, công việc tổng hợp và biên tậplại để hoàn chỉnh nội dung cũng như hình thức trình bày được cả nhóm thực hiện.Với những tìm hiểu mang tính chủ quan của từng thành viên trong nhóm dù có sựcộng tác cũng như bàn bạc thống nhất, tuy nhiên sau khi hoàn thành nội dung, bài báo cáokhông tránh khỏi những thiếu sót, các nội dung có thể còn chưa thật sự sâu rộng và nổi bậtnội dung chủ đề được phân công.Nhóm 3 (Long-Bình-Khoán-Châu)2Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửCác thành viên của nhóm rất mong sự hướng dẫn, chỉ bảo của thầy để nội dung bàibáo cáo hoàn thiện hơn nữa cũng như để từng thành viên trong nhóm tiếp nhận được sâuhơn về các nội dung kiến thức liên quan được phân công.Một lần nữa các thành viên trong nhóm nói riêng cũng như lớp Tin học Khóa 19(niên khóa 2016-2018) tại Quy Nhơn, xin chân thành cảm ơn sự hướng dẫn và giảng dạytậm tâm của thầy.TM. NHÓMCác thành viên của nhóm 3Lời nói đầuCùng với sự phát triển như vũ bão của khoa học công nghệ ngày nay, lĩnh vực thương mạiđiện tử - một bước tiến dài của quy trình kinh doanh - đã mang lại lợi ích vô cùng to lớn cho cáctổ chức, doanh nghiệp, người tiêu dùng và cho cả toàn xã hội.Thương mại điện tử ngày nay liên quan đến tất cả mọi thứ từ đặt hàng nội dung "kỹ thuậtsố" cho đến tiêu dùng trực tuyến tức thời, để đặt hàng và dịch vụ thông thường, các dịch vụ"meta" đều tạo điều kiện thuận lợi cho các dạng khác của thương mại điện tử.Trong bối cảnh người tiêu dùng mất dần hứng thú với việc mua sắm tại các cửa hàngtruyền thống, thị trường thương mại điện tử đang chớp lấy thời cơ để bước vào thời điểm pháttriển mạnh.Theo thống kê, năm 2016, có 1,61 tỷ người trên toàn cầu mua hàng trực tuyến. Dự kiến,doanh thu bán lẻ trực tuyến trên toàn thế giới sẽ tăng từ 1.900 tỷ USD năm 2016, lên 4.060 tỷUSD năm 2020.Ra đời vào những năm cuối thập niên 70 dựa trên phương thức giao dịch điện tử với côngnghệ EDI (Electronic Data Interchange – trao đổi dữ liệu điện tử) và EFT (Electronic FundsTransfer - chuyển tiền điện tử).Tuy nhiên đến những năm cuối thập niên 90, nhiều công ty kinh doanh tại Mỹ và Châu Âumới hình thành và thiết lập các dịch vụ với sự ra đời của World Wide Web và thuật ngữNhóm 3 (Long-Bình-Khoán-Châu)3Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tử“Ecommerce” bắt đầu với quyền trao đổi các loại hàng hóa khác nhau thông qua Internet dùngcác giao thức bảo mật và dịch vụ thanh toán điện tử.Bên cạnh những lợi ích, những đóng góp to lớn của ngành thương mại điện tử mang lạicho nền kinh tế, thương mại điện tử cũng đối mặt với không ít những khó khăn, đó là: vấn đề vềhệ thống thông tin, bảo mật an ninh, quy định nền tảng về hệ thống pháp lý,… Trong đó vấn đềhệ thống an ninh trong thanh toán trực tuyến mang lại nhiều nguy cơ rủi ro hơn cả.Cùng với việc phát triển vượt bậc của các ngành khoa học công nghệ, lợi ích to lớn màngành thương mại điện tử mang lại, đây là một trong những mảnh đất “màu mỡ” cho tội phạm sửdụng công nghệ cao đang ngày một trở nên phổ biến và tinh vi hơn.Hàng ngày, hàng giờ tại khắp nơi trên thế giới những rủi ro bảo mật về hệ thống an ninhmạng luôn rình rập không chỉ riêng đối với người sử dụng các hình thức thanh toán trực tuyến màcòn các tổ chức, doanh nghiệp cũng như các chính phủ tại các quốc gia cũng có nguy cơ về antoàn thông tin thương mại điện tử nói chung và trong việc thanh toán trực tuyến.Tại Việt Nam, tội phạm mạng có thể đánh cắp thông tin tài khoản của một số khách hàngthông qua việc mua thông tin thẻ tín dụng được bán trên thị trường chợ đen quốc tế, sau đó tiếnhành in các thông tin này lên phôi thẻ trắng và tiến hành rút tiền.Bên cạnh đó, tại Việt Nam cũng bắt đầu xuất hiện hình thức tội phạm tiến hành cài đặt cácthiết bị đọc thông tin (Skimmer) vào các máy ATM để đánh cắp thông tin. Khi khách hàng đưathẻ vào máy ATM để tiến hành giao dịch, thiết bị sẽ ghi nhớ thông tin cá nhân của khách hàng.Đồng thời, tội phạm cũng cài đặt camera theo dõi để đánh cắp mã số bảo mật (PIN) củakhách hàng bấm trên bàn phím. Với các thông tin đánh cắp được này, tội phạm sẽ làm các thẻATM giả để rút tiền thật của khách hàng.Gần đây nhất, ngày 28/1/2018, 3 ngân hàng hàng đầu của Hà Lan gồm ING, Rabobank vàABN Amro thông báo đã hứng chịu nhiều vụ tấn công mạng khi tin tặc phong tỏa việc truy cậpcác website cũng như dịch vụ ngân hàng trực tuyến của các ngân hàng này.ING, ngân hàng hàng đầu Hà Lan có khoảng 8 triệu khách hàng cá nhân cho biết bị tấncông theo hình thức "tấn công từ chối dịch vụ" (DDoS) vào chiều 28/1 khi tin tặc gây nghẽnthông tin, khiến các máy chủ ngân hàng bị quá tải và gây áp lực đối với những máy còn hoạtđộng về dịch vụ ngân hàng trực tuyến. Hiện dịch vụ này đã được khôi phục lại hoạt động.Trong khi đó, Rabobank, ngân hàng lớn thứ hai Hà Lan cho biết dịch vụ ngân hàng trựctuyến của mình cũng đã bị tấn công theo hình thức DDoS vào sáng 29/1 khi khách hàng khôngNhóm 3 (Long-Bình-Khoán-Châu)4Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửthể truy cập hoặc truy cập rất khó khăn. Người phát ngôn của Rabobank cho biết ngân hàng đangnỗ lực sớm giải quyết vấn đề này.Tương tự, ABN Amro - ngân hàng lớn thứ ba Hà Lan - đã hứng chịu 3 đợt tấn công mạngvào cuối tuần, nâng tổng số vụ tấn công nhằm vào ngân hàng này trong tuần qua lên tới con số 7.Các ngân hàng trên cho biết thông tin về khách hàng của họ không bị rò rỉ trong các vụ việc.Theo thông báo của người đứng đầu Ngân hàng Trung ương Hà Lan Klaas Knot, đâykhông phải là lần đầu tiên, các ngân hàng nước này hứng chịu các vụ tấn công DDoS. Ngân hàngtrung ương Hà Lan đã bị tấn công mạng hàng nghìn lần mỗi ngày.Các quốc gia trên thế giới đều có những hệ thống quy định pháp luật riêng về thương mạiđiện tử tại quốc gia mình. Sau ba năm kể từ năm 2003, thương mại điện tử Việt Nam được phápluật thừa nhận chính thức khi Luật Giao dịch điện tử, Luật Thương mại (sửa đổi), Bộ luật Dân sự(sửa đổi) và Nghị định Thương mại điện tử có hiệu lực.Năm 2006 cũng là năm đầu tiên triển khai Kế hoạch tổng thể phát triển thương mại điện tửgiai đoạn 2006-2010 theo Quyết định số 222/2005/QĐ-TTg ngày 15 tháng 9 năm 2005 của Thủtướng Chính phủ. Ngày 16 tháng 05 năm 2013, Chính phủ ký Nghị định số: 52/2013/NĐ-CP VềThương mại điện tử, có hiệu lực từ 01/07/2013.Trong khuôn khổ của bài báo cáo, theo sự phân công hướng dẫn, nhóm xin trình bày mộtsố nội dung về Hệ thống an ninh trong thanh toán trực tuyến trên cơ sở tìm hiểu về bộ môn Anninh mạng.Nhóm 3 (Long-Bình-Khoán-Châu)5Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửPHẦN ICYBERWAR BECOMES A REALITY(CHIẾN TRANH MẠNG Đà TRỞ THÀNH HIỆN THỰC)I. Cyberwar là gì?Chiến tranh thông tin hay chiến tranh mạng (Cyberwarfare) là việc áp dụng công nghệthông tin ở mức độ cao trong các mặt hoạt động chỉ huy - quản lý, tình báo, điều khiển, chiếntranh điện tử, kinh tế, tâm lý, xã hội,...; là một loại hình tác chiến phổ biến trong chiến tranh hiệnđại; đó là tổng hợp những hoạt động và biện pháp nhằm tung tin gây rối loạn, tác động vào các cơcấu ra quyết định; nhằm làm cho đối phương có các hành động sai lầm hay có các quyết định vôhại có lợi cho ta, đồng thời ngăn cản hoạt động thu thập, xử lý thông tin của đối phương.Mục đích của chiến tranh thông tin là kiểm soát, điều khiển, tác động lên các quyết địnhvà làm suy giảm hoặc phá huỷ các hệ thống thông tin của đối phương trong khi bảo vệ các hệthống của mình và đồng minh chống lại những hành động như vậy.Mục tiêu tấn công của chiến tranh thông tin là các cơ sở hạ tầng thông tin (quân sự, tàichính, ngân hàng, mạng máy tính quốc gia,...). Phần mềm Virus có thể làm cho hệ thống vũ khícủa đối phương bị mất điều khiển, và cũng có thể phá hoại cơ sở hạ tầng kinh tế của quốc gia,làm cho nền kinh tế rối loạn, hay làm tắc nghẽn mạng thông tin. Hacker là thành phần nguy hiểmnhất trong công nghệ thông tin. Hacker tập trung vào việc đánh cắp các bí mật quân sự; sử dụngvirus tấn công các hệ thống máy tính làm cho hệ thống này bị tê liệt không thể đưa ra các quyếtđịnh đúng.II. Các hình thức của chiến tranh thông tin1. Chiến tranh trong chỉ huy và điều khiển (command and control warfare C2W);2. Chiến tranh tình báo (information-based warfare - IBW);3. Chiến tranh điện tử (electronic warfare - EW);4. Chiến tranh tâm lý (psychological warfare - PSYW);5. Chiến tranh tin tặc hacker (hacker warfare);6. Chiến tranh thông tin kinh tế (economic information warfare - EIW);7. Chiến tranh điều khiển học (cyberwarfare).Các cường quốc như Mỹ, Nga, Trung Quốc… hiện nay luôn trong tư thế về chiến khônggian mạng, cuộc chiến được ví như chiến tranh thế giới thứ 3 diễn ra trên mặt trận Internet.Đầu tư cho lĩnh vực này đã tăng rất mạnh trong những năm qua. Nếu như năm 2013, Mỹđổ 3,9 tỉ USD vào chiến tranh mạng thì năm 2014 tăng lên 4,7 tỉ USD và năm 2015 là 5,1 tỉ USD.Nhóm 3 (Long-Bình-Khoán-Châu)6Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửTrong khi đó, dù không công bố ngân sách nhưng theo dự đoán Nga cũng chi ra hàng tỉ USD.Còn Trung Quốc, tất nhiên là theo truyền thống không công bố thông tin.Nhiều quốc gia đã và đang thiết lập các đơn vị và lực lượng riêng biệt để chuẩn bị đối phóvới tấn công mạng ở quy mô quốc gia. Trong số đó có:Mỹ: Mỹ có Bộ chỉ huy mạng (Cybercom) trực thuộc Cơ quan An ninh Quốc gia (NSA)nhưng hiện chính quyền Obama đang cân nhắc tách Cybercom thành đơn vị độc lập với quyền hạnlớn hơn. Động thái này không nằm ngoài mục đích tăng cường khả năng đương đầu của Mỹ vớichiến tranh mạng trong tương lai.Và như vậy, NSA sẽ chủ yếu là cơ quan thu thập thông tin tình báo chiến lược cònCybercom là bộ chỉ huy chiến tranh mạng. Ở mức sâu hơn, Cybercom sẽ phát triển theo hướngmột Bộ chỉ huy tác chiến thống nhất (UCC), nơi chỉ huy và kiểm soát các lực lượng quân sự chỉdựa trên địa lý và chức năng cụ thể.Ngoài Cybercom, Mỹ còn nhiều lực lượng khác phụ trách an ninh mạng, trong đó có BộTư lệnh Không gian mạng Quân đội Mỹ, Cục An ninh mạng thuộc Nhà Trắng, Lữ đoàn Tình báoQuân sự 780, và Lực lượng dự bị chiến tranh mạng (Bộ An ninh Nội địa).Ngoài ra, Mỹ còn có "Sở chỉ huy chiến tranh mạng", "Nhóm kiểm soát dữ liệu đặc biệt","Đơn vị công nghệ can thiệp dữ liệu", "Văn phòng các chiến dịch đặc biệt", "Nha tình báo tínhiệu"…Nga: Do có sự chuẩn bị kỹ lưỡng, nước này đang sở hữu đội quân tác chiến mạng vô cùnghùng hậu. Ngoài đông đảo đội ngũ tin tặc do chính phủ hậu thuẫn, Nga đã thành lập những độiquân chiến binh mạng rất thiện chiến.Điển hình trong số này là Đội quân mạng Chiều thứ 5 (Russia 5th-Dimension CyberArmy), thành lập năm 2007 với ngân sách hoạt động hàng năm ước tính lên đến 40 tỷ USD. Tiếpđến là Trung tâm An ninh Thông tin, hay còn gọi là Đơn vị Quân sự 64829, có nhiệm vụ giám sátvà bảo vệ mạng lưới Internet của Nga.Tiếp đến là Trung tâm giám sát truyền thông điện tử và Trung tâm quản trị An ninh Thôngtin chịu trách nhiệm đánh chặn, giải mã và xử lý các thông tin liên lạc điện tử. Ngoài ra, năm2013, Tổng thống Putin còn ký Sắc lệnh số 31 về việc thiết lập hệ thống phát hiện, cảnh báo vàkhắc phục hậu quả của các cuộc tấn công mạng nhằm vào cơ sở hạ tầng thông tin nước Nga.Trung Quốc: Ngay từ năm 2010, sách trắng của Trung Quốc đã đề cập tới chiến tranhmạng và đánh giá cao vai trò của hình thức chiến tranh này.Nhóm 3 (Long-Bình-Khoán-Châu)7Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửCũng như Nga, Trung Quốc sử dụng lực lượng đông đảo các tin tặc do chính phủ hậuthuẫn, chưa kể đến hàng loạt các đơn vị chuyên biệt khác.Điển hình là "Cục Đảm bảo Thông tin" thuộc Bộ Tổng Tham mưu PLA, đóng vai trò nhưmột cơ quan chỉ huy tập trung cho chiến tranh thông tin và có trách nhiệm điều phối các hoạtđộng mạng cho Quân giải phóng Nhân dân Trung Quốc (PLA).Tiếp theo là các đơn vị chuyên trách như Căn cứ An ninh Thông tin, Đội quân xanh PLA,Lực lượng đặc biệt Cyber Blue Team, Tổng cục 3; Đơn vị Tình báo mạng Axiom, Đội quân mạng"Hội Honker Trung Quốc", và Ban Chỉ đạo Trung ương về Thông tin và An ninh Internet.Đơn vị 61398 và Đơn vị 61486, vốn nổi tiếng với các vụ tấn công và đột nhập vào hệthống mạng an ninh của Mỹ trực thuộc Tổng cục 3 - bộ phận chuyên phụ trách các vấn đề về giánđiệp không gian mạng và tình báo các tín hiệu.III. Một số cuộc chiến tranh thông tin tiêu biểu"Chiến tranh thông tin của Mỹ - từ Kosovo đến Nam Estonia": trong cuộc chiến ở NamEstonia xảy ra năm 2008, ngoài cuộc đọ súng trên chiến trường, thế giới được chứng kiến mộtcuộc chiến tranh khác có phần còn quyết liệt hơn, gay cấn hơn giữa các bên - đó là cuộc "chiếntranh thông tin" giữa Mỹ và các nước phương Tây với Nga.Cho tới nay, người ta vẫn chưa biết chiến tranh mạng là như thế nào vì đơn giản chúngchưa từng xảy ra. Kể cả những cường quốc như Mỹ và Nga có mô phỏng thế nào đi chăng nữa thìđó cũng chỉ là lý thuyết. Giữa lý thuyết và thực tiễn không phải lúc nào cũng khớp với nhau.Nếu như các nguyên tắc tiến hành chiến tranh sử dụng vũ khí công nghệ cao, kể cả vũ khíhạt nhân, người ta có thể hiểu và tính toán được tương đối thì với chiến tranh mạng, mọi thứ vẫncòn mù tịt. Trong khi đó, những hậu quả chiến sự trên không gian mạng đang hiện hữu rất rõ.Trong báo cáo phân tích mang tên Ghost Fleet (Binh chủng Ma), hai tác giả Singer vàAugust Cole đã mô tả viễn cảnh xung đột chiến tranh giữa Mỹ, Nga và Trung Quốc, trong đóchiến tranh mạng và chiến tranh điện tử đóng vai trò chính.Ghost Fleet đang là sách gối đầu giường của nhiều quan chức quân đội lớn hiện nay. Trongđó, tác giả nhấn mạnh tới việc nếu thua trên không gian mạng, đối phương sẽ dễ dàng thất bại trêncác mặt trận đường bộ, đường biển và đường không.Chỉ có 4 khả năng mà một quốc gia có thể thực hiện trên không gian mạng, đó là: thu thập,đánh cắp, cô lập và thay đổi thông tin. Thực tế, việc này đang diễn ra nhưng chưa lớn ở quy môcó thể coi là chiến tranh mạng.Nhóm 3 (Long-Bình-Khoán-Châu)8Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửCác cuộc xung đột không gian mạng trong tương lai sẽ là dạng thức kết hợp như vậy.Chẳng hạn, Trung Quốc đã tìm cách thu thập và đánh cắp thông tin về các dự án quân sự tuyệtmật của Mỹ, trong đó có chiến đấu cơ F-35, để có thể phát triển phiên bản cạnh tranh tương tự.Trong khi đó, khái niệm cô lập giống như việc ngăn chặn thông tin – hay nói cụ thể hơnchính là tấn công từ chối dịch vụ đánh sập website hoặc phá hủy các dịch vụ trên web.Còn thay đổi thông tin giống như việc phát động tấn công mạng gây ra thiệt hại nghiêmtrọng trên thực tế. Ví dụ sống động nhất chính là sâu Stuxnet, được Mỹ và Israel sử dụng để tấncông hệ thống hạt nhân của Iran. Stuxnet đã xóa sổ một lượng lớn máy ly tâm của Iran và theonhư lời Hillary Clinton, nó đã làm chậm chương trình phát triển hạt nhân của Iran tới vài năm.Cho tới nay, hành động chiến tranh mạng thực sự duy nhất được xác nhận là việc tung“virus quân sự” Stuxnet có khả năng phá hủy hạ tầng vào mạng của Iran. Điều thú vị là bản thânviệc phát triển và sử dụng virus này được bà Hillary Clinton, khi đó là ngoại trưởng Mỹ, tiết lộvào năm 2011.Thế rồi 5 năm sau, chính Hillary Clinton lại trở thành nạn nhân trong vụ tấn công đột nhậpvào hệ thống máy tính Đảng Dân chủ. Thủ phạm không ai khác là tin tặc Nga, được phỏng đoánlà nhóm Fancy Bears thuộc Tổng cục Tình báo - Bộ Tổng tham mưu quân đội Nga (GRU), vànhóm Cozy Bears thuộc Cơ quan An ninh liên bang Nga (FSB).Stuxnet có lẽ chỉ là quá khứ bởi chiến tranh mạng tương lai sẽ sử dụng những dạng thức"vũ khí" khác, và phần mềm độc hại (malware) chính là một trong số đó để phá hoại và ngănchặn tất cả hệ thống mạng của đối phương.Viễn cảnh này đang trở thành thực tế với Ukraine. Nhiều website chính phủ, các dịch vụngân hàng, tài chính từ nhà nước tới quân đội đang bị cô lập. Thông tin không thể chuyển đi, chỉhuy không thể ra lệnh cho các đơn vị đang hoạt động bên ngoài. Đơn giản là họ đã bị chặn đứngthông tin, hay nói cách khác họ đã bị bao vây.Một câu chuyện khác rất đáng chú ý đó là vụ Israel đánh bom các cơ sở hạt nhân của Iran.Israel gọi chiến dịch ném bom bí mật này là "Operation Orchard" diễn ra năm 2007. Khi đó Israelđã hack vào hệ thống radar của Iran, chèn vào đó các thông tin sai lệnh khiến radar trông có vẻhoạt động bình thường nhưng thực tế nó đã bị đối phương kiểm soát.Trước đây, nếu muốn ném bom các mục tiêu khó ở sâu trong lãnh thổ đối phương, sẽ cầntới các tiêm kích đặc biệt để "dọn đường" cho máy bay ném bom. Nhưng Israel lại không làmnhư vậy. Thay vào đó, nước này sử dụng một dạng "cổng hậu" (backdoor) có tên "kill switch" đểtấn công hệ thống radar đối phương, cho phép máy bay tiến vào lãnh thổ Iran như chỗ khôngngười.IV. Tấn công DDoS (Distributed Denial of Service)(Phần này được trình bày cụ thể trong phần sau)Nhóm 3 (Long-Bình-Khoán-Châu)9Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửV. Mạng Botnet1. Botnet là gì?Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từxa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Mộtmạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.Nếu máy tính nào đó là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1trong số các loại malware (như virus, sâu máy tính...). Hacker tạo ra mạng này sẽ sử dụng, điềukhiển hàng trăm ngàn máy tính của nạn nhân để phục vụ cho mục đích riêng của chúng.Người dùng máy tính có nguy cơ bị trở thành nạn nhân của mạng botnet tương tự nhưcách họ bị lây nhiễm malware. Ví dụ như khi người dùng sử dụng 1 phần mềm đã không cònđược cập nhật các bản vá lỗi bảo mật, sử dụng các plugin có nguy cơ bị tấn công cao như Java,khi download các phần mềm lậu.2. Mục đích của BotnetBotnet có thể được dùng cho nhiềumục đích khác nhau. Do mạng botnet là mộtmạng tập hợp của rất rất nhiều máy tính, nênhacker có thể dùng bonet để thực hiện cáccuộc tấn công từ chối dịch vụ (DDoS) vàomột máy chủ web nào đó. Theo đó, hàngtrăm ngàn máy tính sẽ "dội bom", truy cậpvào một website mục tiêu tại cùng 1 thờiđiểm, khiến cho lưu lượng truy cập vào siteđó bị quá tải. Hậu quả là nhiều người dùngkhi truy cập vào website đó thì bị nghẽnmạng dẫn tới không truy cập được.Hình 1: Mô hình điều khiển mạng máy tínhcủa harker thông quabotnetBotnet cũng có thể được dùng để gửi mailspam. Lợi dụng vàomạng các máy tính "ma" này, spammer có thể tiếtkiệm được khá nhiềuchi phí cho hoạt động spam kiếm tiền của mình.Ngoài ra, botnet cũngđược dùng để tạo các "click gian lận" - hành vi tải ngầm 1 website nào đó mà kẻ tấn công đãchuẩn bị sẵn, và click và các link quảng cáo từ đó đem lại lợi nhuận về quảng cáo cho hacker.Botnet cũng được dùng để đào Bitcoin nhằm đem lại tiền bán bitcoin cho kẻ tấn công.Thông thường một máy tính của cá nhân khó có thể được dùng để đào Bitcoin, bởi lợi nhuậnmang lại sẽ không đủ để người dùng trả tiền điện mà quá trình đào tiền ảo này tiêu tốn. Tuynhiên, bằng cách lợi dụng 1 mạng máy tính quy mô lớn, hacker có thể khai thác và bắt máy tínhNhóm 3 (Long-Bình-Khoán-Châu)10Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửcủa nạn nhân đào bitcoin cho chúng. Số bitcoin sẽ được chúng thu về, còn tiền điện thì nạn nhânsẽ phải trả.Botnet còn được dùng để phát tán malware. Khi đã điều khiển được máy tính của nạnnhân, hacker có thể dùng chúng để phát tán các phần mềm độc hại nhằm lây nhiễm cho các máytính khác. Từ đó, danh sách nạn nhân sẽ được kéo dài, mạng botnet ngày càng được mở rộng, vàlợi nhuận mà hacker thu được sẽ ngày càng lớn.Hình 2: Sơ đồ hoạt động của mạng Botnet Zero do Symantic công bốMột điểm cũng cần nói tới là những kẻ tạo ra mạng botnet đôi khi không phải để chínhchúng sử dụng. Mà trong nhiều trường hợp, chúng tạo ra một mạng botnet ở quy mô lớn nhất cóthể rồi rao bán cho những kẻ khác để kiếm tiền.Hãng bảo mật Symantec từng công bố một sơ đồ về cách hoạt động của mạng botnet nổitiếng có tên ZeroAccess. Trong mạng botnet này, 1,9 triệu máy tính trên thế giới đã bị lây nhiễmđể làm công cụ đào bitcoin và click gian lận. Hacker đã kiếm được hàng triệu USD mỗi năm từmạng ZeroAccess, còn các nạn nhân phải chịu hơn nửa triệu USD tiền điện mỗi ngày để phục vụchúng.Nhóm 3 (Long-Bình-Khoán-Châu)11Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửPHẦN IITHE E-COMMERCE SECURITY ENVIRONMENT:THE SCOPE OF THE PROBLEM(VẤN ĐỀ AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ)Vấn đề bảo mật, an ninh trên mạng là một trong những vấn đề nóng hổi trong hoạt độngthực tiễn của Thương mại điện tử.Các cuộc tấn công tin tặc qua mạng ngày càng tăng và càng đa dạng. Các nhân tố tác độngđến sự gia tăng tin tặc là sự phát triển mạnh của TMĐT và nhiều lỗ hổng công nghệ của cácwebsite.Một số thống kê:- Theo thống kê của hãng Symantec: Tội phạm mạng (liên quan đến TMĐT) tăng nhanh--từ năm 2007.IC3 (Digital Literacy Certification - Tổ chức Tin học thế giới Certiport (Hoa Kỳ)): Đãxử lý 200.000 khiếu nại về tội phạm trên Internet.Cuộc khảo sát của CSI (Computer Security Institute - Học viện an ninh máy tính tạiSan Francisco, bang California, Hoa Kỳ) năm 2007: 46% doanh nghiệp được hỏi chobiết năm 2006 các doanh nghiệp có liên quan đến vấn đề an ninh trong TMĐT.Thị trường nền kinh tế ngầm cung cấp bán hàng thông tin bị đánh cắp đang phát triển.Hình 3: Các loại khiếu nại về tội phạm trên Internet do IC3 cung cấp (2009)I. Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐTTừ góc độ người sử dụng: làm sao biết được Web Server được sở hữu bởi một doanhnghiệp hợp pháp? Làm sao biết được trang web này không chứa đựng những nội dung hay mãNhóm 3 (Long-Bình-Khoán-Châu)12Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửchương trình nguy hiểm? Làm sao biết được Web Server không lấy thông tin của mình cung cấpcho bên thứ 3.Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại hoặclàm thay đổi nội dung của trang web hoặc website? Làm sao biết được làm gián doạn hoạt độngcủa server. Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết đượcthông tin từ máy chủ đến user không bị thay đổi?Hình 4: Các loại tấn công đối với hệ thống máy tính1. Một số khái niệm về an toàn bảo mật hay dùng trong TMĐT:- Quyền được phép (Authorization) là quá trình đảm bảo cho người có quyền này đượctruy cập vào một số tài nguyên của mạng;- Xác thực(Authentication) là quá trình xác thưc một thực thể xem họ khai báo với cơquan xác thực họ là ai;- Auditing: Qua trình thu thập thông tin về các ý đồ muốn truy cập vào một tài nguyên nàođó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động ATBM khác;Nhóm 3 (Long-Bình-Khoán-Châu)13Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tử- Sự riêng tư: (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng;- Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi Không thoái thác- Khả năng không thể từ chối các giao dịch đã thực hiện (Nonrepudiation).Các vấn đề an toàn bảo mật của một website TMĐT Có rất nhiều giải pháp công nghệ vàkhông công nghệ để đảm bảo an toàn bảo mật trên mạng. Một trong giải pháp quan trong ứngdụng trong TMĐT là sử dụng kỹ thuật mật mã và các giao thức bảo mật.2. Cơ chế mã hoáĐể đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹthuật mã hoá cho các giao dịch TMĐT. Mã hoá là quá trình trộn văn bản với khoá mã tạo thànhvăn bản không thể đọc được truyền trên mạng. Khi nhận được bản mã, phải dùng khoá mã để giảithành bản rõ. Mã hoá và giải mã gồm 4 thành phần cơ bản:  Văn bản rõ – plaintext  Văn bảnđã mã – Ciphertext  Thuật toán mã hoá - Encryption algorithm  Khoá mã – Key - là khoá bímật dùng nó để giải mã thông thường. Mã hoá là tiền đề cho sự thiết lập các vấn đề liên quan đếnbảo mật và an ninh trên mạng.Có hai phương pháp mã hoá phổ biến nhất: phương pháp mã đối xứng (khoá riêng): dùngđể mã và giải mã điện rõ, cả người gửi và người nhận đều sử dụng văn bản.Mã hoá dùng khoá riêng Mã ko đối xứng (mã công cộng): sử dụng một cặp khoá: côngcộng và riêng, khoá công cộng để mã hoá và khoá riêng để giải mã. Khi mã hoá người ta dùnghai khoá mã hoá riêng rẽ được sử dụng. Khoá đầu tiên được sử dụng để trộn các thông điệp saocho nó không thể đọc được gọi là khoá công cộng. Khi giải mã các thông điệp cần một mã khoáthứ hai, mã này chỉ có người có quyền giải mã giữ hoặc nó được sử dụng chỉ bởi người nhận bứcthông điệp này, khoá này gọi là khoá riêng.Ðể thực hiện các công việc mã hoá và giải mã, cần một cơ quan trung gian giữ các khoáriêng, đề phòng trường hợp khoá này bị mất hoặc trong trường hợp cần xác định người gửi hoặcngười nhận. Các công ty đưa ra các khoá mã riêng sẽ quản lý và bảo vệ các khoá này và đóng vaitrò như một cơ quản xác định thẩm quyền cho các mã khoá bảo mật.3. Chứng thực số hoáChứng thực số để xác nhận rằng người giữ các Name : “Richard” khoá công cộng và khoáriêng là ai đã đăng key-Exchange Key. Cần có cơ quan trung gian để xác thực Signature Key.Chứng thực có các cấp độ khác nhau.Không phải tất cả các mã khoá riêng hay các chứng chỉ số hoá đều được xây dựng nhưnhau. Loại đơn giản nhất của giấy chứng chỉ hoá được gọi là chứng nhận Class 1, loại này có thểdễ dàng nhận khi bất kỳ người mua nào truy nhập vào WEB site của VeriSign(www.verisign.com). Tất cả những cái mà doanh nghiệp phải làm là cung cấp tên, địa chỉ và địachỉ e-mail, sau khi địa chỉ e-mail được kiểm tra, sẽ nhận được một giấy chứng nhận số hoá.Nhóm 3 (Long-Bình-Khoán-Châu)14Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửCác chứng nhận Class 2 yêu cầu một sự kiểm chứng về địa chỉ vật lý của doanh nghiệp.Ðể thực hiện điều này các công ty cung cấp chứng nhận sẽ tham khảo cơ sở dữ liệu của Equifaxhoặc Experian trong trường hợp đó là một người dùng cuối và Dun&Bradstreet trong trường hợpđó là một doanh nghiệp. Quá trình này giống như là một thẻ tín dụng.Mức cao nhất của một giấy chứng nhận số hoá được gọi là chứng nhận Class 3. Có thểxem nó như là một giấy phép lái xe. Ðể nhận được nó doanh nghiệp phải chứng minh chính xácmình là ai và phải là người chịu trách nhiệm. Các giấy phép lái xe thật có ảnh của người sở hữuvà được in với các công nghệ đặc biệt để tránh bị làm giả.Các giấy chứng nhận Class 3 hiện chưa được chào hàng, tuy nhiên các công ty hoạt độngtrong lĩnh vực an toàn và bảo mật đã mường tượng ra việc sử dụng nó trong tương lai gần cho cácvấn đề quan trong như việc đàm phán thuê bất động sản qua WEB hoặc vay vốn trực tuyến. Nócũng có thể được sử dụng như là các chứng nhận định danh hợp pháp hỗ trợ việc phân phát cácbản ghi tín dụng hoặc chuyển các tài liệu của toà án.Hiện tại các biểu mẫu thu nhận thông tin thanh toán trên WEB thường đạt chứng nhận antoàn và bảo mật Class 1, nhưng hiện tại một số cửa hàng trên WEB cũng đã đạt mức an toàn vàbảo mật Class 2 và khách hàng cũng đã bắt đầu nhận được chúng thông qua một công nghệ đượcgọi là SET.4. Một số giao thức bảo mật thông dụng4.1 Cơ chế bảo mật SSL (Secure Socket Layer) Về mặt lý thuyết rất nhiều công ty có thểđóng vai trò như một cơ quan chứng thực thẩm quyền. VeriSign Inc (www.verisign.com), là côngty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ. Công ty này sử dụng bản quyền về côngnghệ từ RSA Inc. (www.rsa.com). RSA giữ đăng ký sáng chế về công nghệ mã khoá riêng/côngcộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nó được chuyểngiao cho VeriSign vào năm 1995 cho dù các công ty khác cũng giữ quyền sử sử dụng nó. Để bảomật, doanh nghiệp phải mua một khoá riêng từ VeriSign thu phí 349 USD/năm cho một WEB sitethương mại với một khoá bảo mật như vậy và phí để bảo dưỡng hàng năm là 249 USD, doanhnghiệp có thể mua thêm khoá bảo mật với mức giá tương đương. Sau khi máy chủ nhận được mộtkhoá mã bảo mật, việc tiếp nhận một đơn đặt hàng trở nên đơn giản. Ðiểm nổi bật của SSL ta cóthể ngay lập tức tạo một trang HTML với các biểu mẫu để khách hàng cung cấp thông tin về họtrong lúc giao dịch, và đảm bảo rằng các thông tin này được bảo mật và mã hoá khi được gửi đitrên Internet.Sau khi các thông tin mà khách hàng nhập vào các biểu mẫu trên trang WEB hiển thị trêntrình duyệt của họ đước mã hoá với SSL nó được gửi đi trên Internet một cách an toàn. Trongthực tế khi người sử dụng truy nhập vào các trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểutượng như một chiếc khoá ở thanh công cụ bên dưới chương trình.Nhóm 3 (Long-Bình-Khoán-Châu)15Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tử4.2 Cơ chế bảo mật SET Tiêu chuẩn bảo mật mới nhất trong thương mại điện tử là SET(Secure Electronic Transaction - Giao dịch điện tử an toàn), được phát triển bởi một tập đoàn cáccông ty thẻ tín dụng lớn như Visa, MasterCard và American Express, cũng như các nhà băng, cáccông ty bán hàng trên mạng và các công ty thương mại khác. SET có liên quan với SSL do nócũng sử dụng các khoá công cộng và khoá riêng với khoá riêng được giữ bởi một cơ quan chứngnhận thẩm quyền.Không giống như SSL, SET đặt các khoá riêng trong tay của cả người mua và người bántrong một giao dịch. Ðiều đó có nghĩa là một người sử dụng thông thường cần các khoá riêng củahọ và cần phải đăng ký các khoá này cũng giống như các máy chủ phải làm.Khi một giao dịch SET được xác nhận quyền xử dụng, mã khoá riêng của người sử dụngsẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bán về tính xác thựccủa yêu cầu giao dịch từ phía người mua và các mạng thanh toán công cộng. Trong thực tế nógiống như là việc ký vào tờ giấy thanh toán trong nhà hàng. Chữ ký số chứng minh là ta đã dùngcác chính và chấp nhận hoá đơn. Do người mua không thể thoát ra khỏi một giao dịch SET, đểkhiếu nại về việc họ không mua hàng nên các giao dịch SET theo lý thuyết sẽ chạy qua các hệthống thanh toán giống như ta mua hàng ở thiết bị đầu cuối tại các cửa hàng bách hoá thực phẩm.II. Bảo mật an toàn thông tin trong thương mại điện tửSự gia tăng của các website thương mại điện tử trong những năm gần đây đã kéo theohàng loạt các vấn đề bảo mật trong thương mại điện tử, trong đó có 3 vấn đề về bảo mật màngành thương mại điện tử đang phải đối đầu với nhiều thách thức thật sự và từng bước khắcphục, hạn chế ở mức độ tốt nhất có thể.1. Vấn đề về bảo mật sự riêng tưSự riêng tư bị xâm phạm là một trong những vấn đề phức tạp nhất mà các doanh nghiệpthương mại điện tử phải đối mặt. Nếu không bảo mật quyền riêng tư tốt cho khách hàng, cáchacker có thể thu thập thông tin website, dữ liệu nhân viên, khách hàng và đánh cắp. Gần đâynhất vào cuối tháng 3 năm 2017, một số vụ đánh cắp tài khoản của khách hàng đã diễn ra khi cáchacker mạo danh là bên thứ 3 và mua hàng tại website thương mại điện tử Amazon.Hiện tại, bất kỳ rủi ro nào cũng có thể xảy ra dưới hình thức giao dịch thương mại điệntử nằm trong tay nhà cung cấp. Ví dụ: PayPal, Amazon, Tiki, Lazada hoặc các công ty thẻ tíndụng.Có một thực tế rằng, người tiêu dùng trực tuyến đều biết rằng nhiều trang web đang thuthập và lưu trữ thông tin cá nhân của họ. Đôi khi họ sợ hãi vì nếu dữ liệu cá nhân của họ bị rơivào tay kẻ xấu, họ có thể bị mạo danh và có thể bị mất tiền trong giao dịch, mất tiền trong thẻngân hàng, thẻ tín dụng.Nhóm 3 (Long-Bình-Khoán-Châu)16Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửGiải pháp để khắc phục vấn đề bảo mật website thương mại điện tử bắt buộc trong trườnghợp này là bảo mật dữ liệu cá nhân của khách hàng cũng như số thẻ tín dụng, mật khẩu an toàn100%.2. Sự từ chối các dịch vụ (DoS)Các cuộc tấn công DoS và DDoS là một vấn đề nghiêm trọng mà các doanh nghiệp, tổchức, ngành TMĐT đã và đang phải đối mặt hàng ngày. Nạn nhân của các vụ tấn công này lànhằm vào những đối tượng trên mà SecurityBox vừa nói ngay trên. Chúng chỉ nhằm vào nhữngtổ chức lớn có nhiều tiền.Khi bị tấn công DoS hay DDoS, hàng loạt các yêu cầu về giao dịch, dịch vụ đều bị từ chối,Và trong thời gian ngắn, hệ thống mạng trở nên chậm đến “nghẹt thở” và người dùng khó lòng cóthể truy cập vào website đó hoặc khó tiếp tục giao dịch tiếp.3. Tấn công lừa đảo (Phishing)Phishing là hình thức lừa đảo mà hacker thiết lập một trang web giống như một bản saocủa trang web thương mại điện tử, website gốc và sau đó ăn cắp dữ liệu bí mật từ cá nhân hoặc tổchức.Một khi các thông tin xác thực cá nhân của nạn nhân được xác thực khi người dùng gõvào, hacker có thể sử dụng thông tin này để lấy cắp danh tính của họ.Hacker có thể truy cập thông qua các lỗ hổng bảo mật trong các giao diện quản lý từ xacủa trang web. Khi website đã bị tấn công, hacker sẽ thay đổi website làm cho trang web khôngthể sử dụng được sau đó.Qua nhiều năm, hình thức tấn công phishing lừa đảo này đã ảnh hưởng tiêu cực đến sự tintưởng và mối quan hệ giữa khách hàng và nhà cung cấp trực tuyến.Trong tương lai, ngành công nghiệp liên quan đến thương mại điện tử đang phải đối mặtvới thách thức khó lường về các vấn đề bảo mật thương mại điện tử, an toàn thông tin. Các tộiphạm cyber đang trở nên ngày càng có tay nghề cao trong những vụ lừa đảo và bất kỳ lúc nào sựtấn công đều có thể xảy ra.4. Tại sao phải cần đến dịch vụ an ninh mạng?Hiện tại, thế giới đang chứng kiến ngày càng nhiều vụ tấn công mạng với những hậu quảkhó lường: thậm chí, ngay cả một cậu bé mới chỉ 15 tuổi đã tấn công được website sân bay TânSơn Nhất; việc tấn công các ngân hàng lớn ở Hà Lan vào ngày 28/01/2018, … Việt Nam và thếgiới đang phải “gồng mình” để chống lại những vụ tấn công mạng trong tình thế cấp bách hơnbao giờ hết.Vậy tại sao phải cần đến dịch vụ bảo mật an ninh mạng? Trên thực tế các hacker có thể tấncông bất kỳ website, phần mềm, ứng dụng và thiết bị IoT nào. Nhưng chủ yếu, các hacker sẽngắm vào những đối tượng có thể mang lại lợi lớn, số tiền cho chúng.Nhóm 3 (Long-Bình-Khoán-Châu)17Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửTrong đó, số vụ tấn công mạng rơi vào nhiều nhất là các ngành: ngân hàng, ngành hàngkhông, ngành giao dịch, thương mại điện tử, ngành tài chính, cơ quan nhà nước, những websitehoặc các kênh của người nổi tiếng. Và tất nhiên không phải ngành nào cũng có thể trang bị tốtcho mình kiến thức, kỹ năng về an ninh mạng chuyên sâu. Do đó, không chỉ riêng một tổ chức,doanh nghiệp nào mà tất cả đều phải cần tới dịch vụ an ninh mạng chuyên nghiệp, có thể khắcphục, ứng cứu sự cố và tư vấn giải pháp mọi lúc, mọi nơi.5. Một số giải pháp về vấn đề an ninh thương mại điện tửHình 5: Một số giải pháp về an ninh thương mại điện tửVấn đề được đặt ra để trả lời câu hỏi làm thế nào để đạt được mức độ bảo mật cao nhấttrong thương mại điện tử, các chuyên gia về an ninh luôn khuyến cáo thực hiện một số nộidung:- Sử dụng các công nghệ mới nhất có thể (New technologies).- Cần ban hành các thủ tục, chính sách về an ninh thương mại điện tử phù hợp và luôn cậpnhật theo từng thời điểm.- Mỗi quốc gia cần xây dựng hành lang pháp lý phù hợp về vấn đề thương mại điện tử nóiriêng tại quốc gia mình dựa trên cơ sở chung của thế giới đồng thời xây dựng các tiêu chuẩn, quyđịnh cụ thể về thương mại điện tử.Một số yếu tố khác:- Giá trị tiền tệ theo thời gian.- Các chi phí cho vấn đề bảo mật an toàn an ninh thương mại và những tổn thất tiềm ẩn.- Vấn đề an ninh và bảo mật yếu kém dễ bị phá vỡ.Nhóm 3 (Long-Bình-Khoán-Châu)18Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửHình 6: Quan điểm của khách hàng và nhà cung cấp dịch vụ về khía cạnh khác nhautrong bảo mật Thương mại Điện tửNhóm 3 (Long-Bình-Khoán-Châu)19Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửPHẦN IIITHE TENSION BETWEEN SECURITY AND OTHER VALUES(XUNG ĐỘT GIỮA AN NINH THƯƠNG MẠI ĐIỆN TỬVÀ CÁC GIÁ TRỊ KHÁC)I. Các vấn đề ảnh hưởng đến an toàn thông tin TMĐTRất nhiều yếu tố ảnh hưởng đến bảo mật thương mại điện tử, trong đó có nhiều câu hỏi đặtra từ khách hàng và nhà cung cấp dịch vụ TMĐT:- Tính toàn vẹn (Integrity);- Chống chối bỏ (Nonrepudation);- Tính xác thực (Authenticity);- Tính riêng tư (Confidentiality);- Cá nhân (Privacy);- Tiện ích (Availability).Như trình bày trong Phần 2, vấn đề bảo mật và an toàn thông tin trong TMĐT là một vấnđề hết sức quan trọng trong giao dịch TMĐT.Song song với việc làm thế nào để đảm bảo, an toàn an ninh tốt nhất trong TMĐT, các hệthống TMĐT cũng cần phải đảm bảo các giá trị khác trong TMĐT.II. Các vấn xung đột:- An toàn nhưng dễ sử dụng. Các biện pháp bảo mật an ninh được thêm vào, trang web khósử dụng hơn và nó trở nên chậm hơn.Việc thắt chặt an ninh càng cao dẫn đến sự đối lập với các đặc tính dễ sử dụng và tính tiệnlợi của TMĐT.- Sử dụng công nghệ của tội phạm để lên kế hoạch phạm tội hoặc đe dọa an toàn an ninhtầm quốc gia.III. Các điểm yếu về kỹ thuật trong vấn đề an ninhBa điểm yếu cơ bản trong vấn đề bảo mật an toàn thông tin: Từ máy tính của người dùng; Từ các máy chủ; Từ môi trường truyền thông;Nhóm 3 (Long-Bình-Khoán-Châu)20Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửHình 7.1: Các điểm yếu dễ bị tấn công trong một giao dịch Thương mại Điện tửHình 7.2: Các điểm yếu dễ bị tấn công trong một giao dịch Thương mại Điện tử (Nguồn:Boncella, 2000)Nhóm 3 (Long-Bình-Khoán-Châu)21Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửPHẦN IVMOST COMMON SECURITY THREATS IN THE E-COMMERCE ENVIRONMENT(NHỮNG NGUY CƠ THƯỜNG GẶP TRONG MÔI TRƯỜNGTHƯƠNG MẠI ĐIỆN TỬ HIỆN NAY)I. Hiện trạng an toàn thông tin trong thương mại điện tửTháng 01 năm 2017, Thủ tướng chính phủ đã phê duyệt Đề án thanh toán không dùng tiềnmặt giai đoạn 2016 đến 2020, tiền đề quan trọng cho phát triển giao dịch trực tuyến. Vì vậy, vấnđề an toàn an ninh thông tin khi giao dịch rất quan trọng. Tỉ lệ giao dịch trực tuyến ngày càngtăng, ngành thương mại điện tử thể hiện rõ nhất điều đó khi doanh số trong lĩnh vực này đạt hơn4 tỉ USD và tăng trưởng 37% trong năm 2015 (theo báo cáo TMDT của Bộ Công Thương). Giátrị thanh toán ngày càng tăng thì nhu cầu bảo vệ dữ liệu người dùng, đảm bảo giao dịch an toàncàng cấp thiết.Tại Trung Quốc, theo con số của Cục thống kê quốc gia, giá trị giao dịch thương mại điệntử hơn 589 tỉ USD (năm 2015), gấp đôi Hoa Kỳ. Trong đó, sàn giao dịch thương mại điện tửTaobao và TMall của công ty Alibaba dẫn đầu thị trường Trung Quốc với hơn 80% thị phần. Đầunăm 2016, thị trường đã chứng kiến một cuộc tấn công mạng cực lớn vào nền tảng Taobao nhằmcung cấp sai lệch thông tin của các cửa hàng sử dụng nền tảng C2C này. Dựa trên các chứng cứcó được thì từ tháng 10 năm 2015 đến tháng 2 năm 2016, nhóm tấn công đã sử dụng hơn 100triệu tài khoản (gồm địa chỉ email và mật khẩu) lấy cắp từ nhiều nguồn khác nhau để thử đăngnhập vào Taobao và đã có hơn 20 triệu tài khoản đăng nhập thành công (~1/5 dân số Việt Nam).Các tài khoản này, sau đó, được chúng sử dụng tạo thành lượng dữ liệu khổng lồ giả mạo giá thầu(bidding), cung cấp sai nội dung nhận xét (review),…Trong trường hợp này, tấn công mạng lấy trộm tài khoản và sự thiếu chặt chẽ trong cấuhình nền tảng Taobao đã gây ra hàng loạt thông tin sai lệch, dẫn đến người mua hàng đánh giá sailầm, nhận được nhiều sản phẩm chất lượng không như mong đợi.Hoa Kỳ là quốc gia có nền thương mại điện tử phát triển từ lâu so với mặt bằng chung củathế giới. Thương mại điện tử tại Hoa Kỳ là mục tiêu tấn công mạng béo bở từ nhiều năm nay.Năm 2014 và 2015, liên tục trong 2 năm, hai hãng bán lẻ và trực tuyến hàng đầu của Hoa Kỳ làTarget và HomeDepot đã bị tin tặc tấn công. Với trường hợp Target, tin tặc đã lợi dụng nhà cungcấp dịch vụ của Target (third-party) để lây nhiễm mã độc và tiến hành lây lan vào các hệ thốngquan trọng phía sau, trong đó có hệ thống máy quẹt thẻ POS. Sự việc được phát hiện khi mộtlượng lớn dữ liệu thẻ của người dùng bị rao bán trên chợ đen. Theo thống kê thiệt hại, hơn 40triệu dữ liệu thẻ của người dùng (mã thẻ, ngày hết hạn, CVV,…) đã bị đánh cắp. Sự việc dẫn đếnNhóm 3 (Long-Bình-Khoán-Châu)22Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửkhủng hoảng nghiêm trọng tại Target và là nguyên nhân mà CEO của chuỗi bán lẻ này buộc phảitừ chức.Gần đây nhất, tháng 12 năm 2016, Yahoo, một trong những hãng công nghệ Internet lâuđời và nổi tiếng thế giới đã đưa ra thông báo gây sốc, hơn một tỉ chủ tài khoản thư điện tử củahãng này đã bị mất dữ liệu: tên, địa chỉ email, mật khẩu (đã mã hóa),… Sự kiện này tác động dâychuyền nghiêm trọng vì rất nhiều người sử dụng cùng tài khoản để đăng nhập các trang thươngmại điện tửTại Việt Nam, thị trường thương mại điện tử còn non trẻ nhưng có tốc độ phát triển nhanhchóng, theo báo cáo mới nhất thì tốc độ tăng trưởng của Việt Nam gấp đôi Nhật bản (37% so với15%). Đến thời điểm hiện tại, Việt Nam chưa có con số thống kê chính thức về tình hình an toànthông tin trong lĩnh vực thương mại điện tử. Các đơn vị kinh doanh dựa trên thương mại điện tửcũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có.Tuy vậy, điều đó không có nghĩa kinh doanh thương mại điện tử ở Việt Nam an toàn. Hoạtđộng nhiều năm trong lĩnh vực an toàn thông tin, Công ty cổ phần An ninh mạng Việt Nam đãnhận được nhiều yêu cầu hỗ trợ từ các tổ chức kinh doanh thương mại điện tử. Yêu cầu hỗ trợphổ biến nhất là hạn chế tấn công DoS/DDoS, loại hình tấn công này không làm mất dữ liệungười dùng nhưng khiến cho công việc kinh doanh bị thiệt hại do ngưng trệ hệ thống và khôngthể phục vụ khách hàng.Các công ty cung cấp dịch vụ trực tuyến 24/7 thường gặp tấn công này như: bán vé trựctuyến, đặt chỗ khách sạn,… Các tìm hiểu chuyên sâu hơn cho thấy nhiều rủi ro nghiêm trọng vềthương mại điện tử tồn tại từ lâu và rất có thể đã bị kẻ xấu lợi dụng.Ngay trong năm 2016, ví dụ nổi bật về sự nguy hiểm của tấn công mạng đó là vụ việcmạng lưới của Cảng Hàng Không và Vietnam Airlines bị tấn công. Kẻ tấn công đã thực hiệnnhiều cách thức khai thác lỗ hổng, cài mã độc vào trong hệ thống thông tin từ rất lâu trước khibùng nổ (theo số liệu chính thức là từ năm 2014) thay đổi giao diện, lấy cắp dữ liệu khách hàng.Mặc dù sự cố này không liên hệ trực tiếp tới lĩnh vực thương mại điện tử nhưng cũng cho thấy sựnguy hiểm của tấn công mạng khi kẻ xấu đã âm thầm lợi dụng các lỗ hổng bảo mật để trục lợi màdoanh nghiệp không hề hay biết. Sự cố khác gần gũi hơn là đầu tháng 11 năm 2016, một hệ thốngcon của VietnamWorks.com đã bị tấn công dẫn tới thông tin hàng nghìn tài khoản bị lộ. Nhiều tàikhoản ở đây được người dùng sử dụng chung với các dịch vụ khác, dẫn đến một số ngân hàng đãphải gửi cảnh báo đến toàn bộ khách hàng về việc đổi mật khẩu tài khoản.II. Những nguy cơ đe dọa môi trường thương mại điện tử hiện nay1. Những mối nguy cơ đe dọa- Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác nhau như các loạivirus, worm.Nhóm 3 (Long-Bình-Khoán-Châu)23Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tử- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism).- Gian lận thẻ tín dụng.- Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đónhằm thực hiện những hành động phi pháp.- Sự khước từ dịch vụ: là việc các hacker sử dụng những giao thông vô ích làm tràn ngậphoặc tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn máy tính tấn công vào mộtmạng.- Nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Xem lén thư điện tử là sửdụng các đoạn mã ẩn bí mật gắn vào một thông điệp thư điện tử, cho phép người xem lén có thểgiám sát toàn bộ các thông điệp chuyển tiếp được gửi đi với thông điệp ban đầu.1.1.Malicious Code (Malware, Viruses, Worms, Trojans, …)Theo Science ABC, Malware là một loại phần mềm (một đoạn mã) được viết để lây nhiễmhoặc gây tổn hại cho hệ thống mà nó xâm nhập vào (ví dụ: hệ thống máy chủ).Đó chỉ đơn giản là một thuật ngữ chung được sử dụng để đề cập đến một loạt các loại phầnmềm thâm nhập hoặc phá hoại, có ảnh hưởng xấu đến hiệu suất hệ thống của người dùng.Malware có thể có nhiều mục đích. Nó có thể được dùng để do thám hoặc đánh cắp thôngtin từ hệ thống của bạn, làm tổn hại đến máy tính, hoặc để tống tiền. Malware sẽ trở nên nguyhiểm hơn khi nó thường xuyên được giấu trong các tập tin vô hại thông thường. Malware có thểbao gồm Viruses, Adware, Nagware, Spyware, Worms, Trojan horses, và rất nhiều loại phần mềmđộc hại khác. Điều này có nghĩa Virus và Trojan horse là hai loại hình trực thuộc Malware. Dovậy, nếu bạn muốn phân biệt malware và virus, nó giống như việc chúng ta phân biệt giữa "vũkhí" và "khẩu súng".Theo wikipedia định nghĩa thì phần mềm độc hại là một thuật ngữ dùng để chỉ các hìnhthức phần mềm độc hại hoặc xâm nhập, bao gồm virus máy tính, sâu, Trojan, Ransomware,Spyware, Adware, Scareware và các chương trình độc hại khác. Nó có thể dưới dạng mã thực thi,các kịch bản, nội dung hoạt động và các phần mềm khác.Phần mềm độc hại được xác định bởi ý định độc hại của nó, hành động chống lại các yêucầu của người dùng máy tính - và do đó không bao gồm phần mềm gây ra thiệt hại không chủ ýdo thiếu một số. Các chương trình cung cấp chính thức bởi các công ty có thể được coi là phầnmềm độc hại nếu họ bí mật hành động chống lại lợi ích của người dùng máy tính.Một ví dụ là Sony rootkit, một con ngựa Trojan được nhúng vào đĩa CD do Sony cung cấp,âm thầm cài đặt và che giấu bản thân trên máy tính của người mua với ý định ngăn chặn việc saochép bất hợp pháp; nó cũng báo cáo thói quen lắng nghe của người dùng và vô tình tạo ra các lỗhổng đã bị khai thác bởi các phần mềm độc hại không liên quan.Nhóm 3 (Long-Bình-Khoán-Châu)24Lớp KHMT khóa 19 (2016-2018)Môn An ninh mạngĐảm bảo an ninh thương mại điện tửPhần mềm chống virus và tường lửa được sử dụng để bảo vệ chống lại các hoạt động độchại, và để phục hồi từ các cuộc tấn công.Nhiều chương trình truyền nhiễm sớm, bao gồm cả Internet Worm đầu tiên, đã được viếtnhư các thí nghiệm hoặc pranks. Ngày nay, phần mềm độc hại được sử dụng bởi cả tin tặc mũđen lẫn chính phủ, nhằm ăn cắp thông tin cá nhân, tài chính hoặc kinh doanh.Phần mềm độc hại đôi khi được sử dụng rộng rãi chống lại các trang web của chính phủhoặc các trang web của công ty để thu thập thông tin được bảo vệ hoặc để làm gián đoạn hoạtđộng của họ nói chung. Tuy nhiên, phần mềm độc hại có thể được sử dụng chống lại cá nhân đểthu thập thông tin như số nhận dạng cá nhân hoặc chi tiết, số thẻ ngân hàng hoặc thẻ tín dụng vàmật khẩu.Kể từ khi tăng truy cập Internet băng thông rộng, phần mềm độc hại thường được thiết kếcho lợi nhuận. Kể từ năm 2003, phần lớn các loại virus và sâu đã được thiết kế để kiểm soát máytính của người dùng cho các mục đích bất hợp pháp. Các máy tính zombie bị lây nhiễm có thểđược sử dụng để gửi spam email, để lưu trữ dữ liệu lậu như là khiêu dâm trẻ em, hoặc tham giavào các cuộc tấn công từ chối dịch vụ phân tán như một hình thức tống tiền.Các chương trình được thiết kế để giám sát duyệt web của người dùng, hiển thị quảng cáokhông mong muốn, hoặc chuyển hướng doanh thu tiếp thị liên kết được gọi là phần mềm giánđiệp. Các chương trình phần mềm gián điệp không lây lan như virus; thay vào đó chúng thườngđược cài đặt bằng cách khai thác các lỗ hổng bảo mật. Chúng cũng có thể được ẩn và đóng góicùng với phần mềm do người dùng cài đặt không liên quan.Ransomware ảnh hưởng đến một hệ thống máy tính bị nhiễm một cách nào đó, và yêu cầuthanh toán để đưa nó trở lại trạng thái bình thường. Ví dụ, các chương trình như CryptoLockermã hóa các tập tin an toàn, và chỉ giải mã chúng khi thanh toán một khoản tiền đáng kể.Một số phần mềm độc hại được sử dụng để tạo ra tiền bằng gian lận nhấp chuột, khiến chongười dùng máy tính đã nhấp vào liên kết quảng cáo trên một trang web, tạo ra khoản thanh toántừ nhà quảng cáo. Theo ước tính vào năm 2012, khoảng 60 đến 70% tất cả các phần mềm độc hạiđang hoạt động đã sử dụng một số loại gian lận nhấp chuột và 22% tất cả các nhấp chuột quảngcáo là giả mạo.Ngoài việc gây ra tiền phạm tội, phần mềm độc hại có thể được sử dụng để phá hoại,thường là vì động cơ chính trị. Stuxnet, ví dụ, được thiết kế để phá vỡ các thiết bị công nghiệp rấtcụ thể. Đã có các cuộc tấn công chính trị đã lan rộng và đóng các mạng máy tính lớn, bao gồmviệc xóa tập tin dữ liệu và tham nhũng của các bản ghi khởi động chủ, được miêu tả là "giết chếtmáy tính".Các cuộc tấn công như vậy được thực hiện trên Sony Pictures Entertainment (25 tháng 11năm 2014, sử dụng phần mềm độc hại có tên Shamoon hoặc W32.Disttrack) và Saudi Aramco(tháng 8 năm 2012). Ransomware là một loại phần mềm độc hại từ cryptovirology đe doạ xuấtNhóm 3 (Long-Bình-Khoán-Châu)25Lớp KHMT khóa 19 (2016-2018)

Tài liệu liên quan

• Áp dụng các hình thức thanh toán và bảo mật trong thương mại điện tử cho nhà máy xi măng An Giang
  • 73
  • 753
  • 2
• Nghiên cứu các giao thức gửi, nhận thư điện tử. Cơ chế đảm bảo an nình cho thư điện tử
  • 33
  • 810
  • 0
• tiểu luận an ninh bảo mật trong thương mại điện tử
  • 35
  • 1
  • 0
• Bài giảng Thương mại điện tử - Chương 5: Bảo mật và an ninh thương mại điện tử
  • 25
  • 898
  • 2
• Một số vấn đề an ninh thương mại điện tử ở việt nam – thực trang và giải pháp
  • 59
  • 930
  • 13
• Báo cáo môn thương mại điện tử NGHIÊN CỨU KỸ THUẬT BẢO MẬT VÀ AN NINH MẠNG TRONG THƯƠNG MẠI ĐIỆN TỬ
  • 15
  • 1
  • 2
• tiểu luận môn thương mại điện tử an ninh bảo mật trong thương mại điện tử
  • 83
  • 2
  • 4
• Một số vấn đề về an ninh thương mại điện tử ở việt nam – thực trạng và giải pháp
  • 35
  • 756
  • 4
• an ninh thương mại điện tử
  • 34
  • 268
  • 0
• bài giảng an ninh thương mại điện tử
  • 50
  • 1
  • 6

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

(4.37 MB - 99 trang) - ecommerce security (đảm bảo an ninh thương mại điện tử) Tải bản đầy đủ ngay ×