Chương 12
Chương 12
An ninh trong thương mại điện tử
An ninh trong thương mại điện tử
© Prentice Hall 2004
© Prentice Hall 2004
2
2
Nội dung
Nội dung
1.
1.
Tài liệu trong máy tính và mạng phát triển
Tài liệu trong máy tính và mạng phát triển
nhanh nên nguy cơ bị tấn công cũng tăng.
nhanh nên nguy cơ bị tấn công cũng tăng.
2.
2.
Mô tả các biện pháp an ninh thông dụng
Mô tả các biện pháp an ninh thông dụng
của các doanh nghiệp.
của các doanh nghiệp.
3.
3.
Hiểu các phần tử cơ bản của an ninh
Hiểu các phần tử cơ bản của an ninh
TMĐT.
TMĐT.
4.
4.
Giải thích các loại tấn công an ninh cơ bản

Giải thích các loại tấn công an ninh cơ bản
của mạng máy tính.
của mạng máy tính.
© Prentice Hall 2004
© Prentice Hall 2004
3
3
Nội dung
Nội dung
(cont.)
(cont.)
5.
5.
Mô tả các lổi thông thường mà các tổ
Mô tả các lổi thông thường mà các tổ
chức gặp phải trong vấn đề quản lý
chức gặp phải trong vấn đề quản lý
an ninh.
an ninh.
6.
6.
Thảo luận một vài công nghệ chính
Thảo luận một vài công nghệ chính
cho việc an ninh truyền thông TMĐT.
cho việc an ninh truyền thông TMĐT.
7.
7.
Chi tiết một vài công nghệ chính cho
Chi tiết một vài công nghệ chính cho
các thành phần an ninh mạng máy

các thành phần an ninh mạng máy
tính TMĐT.
tính TMĐT.
© Prentice Hall 2004
© Prentice Hall 2004
4
4
Câu chuyện tấn công vét cạn
Câu chuyện tấn công vét cạn
thẻ tín dụng
thẻ tín dụng
Vấn đề
Vấn đề
Spitfire Novelties thường thực hiện
Spitfire Novelties thường thực hiện
từ 5 đến 30 giao dịch một ngày
từ 5 đến 30 giao dịch một ngày
Vào ngày 12 tháng 12 năm 2002
Vào ngày 12 tháng 12 năm 2002
trong một cuộc tấn công “vét cạn”
trong một cuộc tấn công “vét cạn”,
thẻ tín dụng
Spitfire xử lý 140,000
Spitfire xử lý 140,000
thẻ tín dụng giả với giá trị $5.07 cho
thẻ tín dụng giả với giá trị $5.07 cho
mổi thẻ (62,000 được chấp nhận)
mổi thẻ (62,000 được chấp nhận)
© Prentice Hall 2004
© Prentice Hall 2004

5
5
Câu chuyện tấn công vét cạn
Câu chuyện tấn công vét cạn
thẻ tín dụng
thẻ tín dụng
(cont.)
(cont.)
Tổng số tiền phải trả lên đến khoảng
Tổng số tiền phải trả lên đến khoảng
$300,000
$300,000
Spitfire đã tìm ra các giao dịch này
Spitfire đã tìm ra các giao dịch này
khi họ được cho biết một người sử
khi họ được cho biết một người sử
dụng thẻ tín dụng khi kiểm tra đã
dụng thẻ tín dụng khi kiểm tra đã
phát hiện phải trả $5.07
phát hiện phải trả $5.07
© Prentice Hall 2004
© Prentice Hall 2004
6
6
Câu chuyện tấn công vét cạn
Câu chuyện tấn công vét cạn
thẻ tín dụng
thẻ tín dụng
(cont.)
(cont.)

Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ
Tấn công vét cạn thẻ tín dụng chỉ cần một số kĩ
năng tối thiểu
năng tối thiểu
Kẻ tấn công (Hacker) chạy hàng ngàn lần số
Kẻ tấn công (Hacker) chạy hàng ngàn lần số
tiền phải trả nhỏ thông qua tài khoản của các
tiền phải trả nhỏ thông qua tài khoản của các
thương gia, mà số tài khoản được sinh ngẫu
thương gia, mà số tài khoản được sinh ngẫu
nhiên
nhiên
Khi thủ phạm tìm thấy các số thẻ tín dụng đúng
Khi thủ phạm tìm thấy các số thẻ tín dụng đúng
thì họ có thể bán trên thị trường chợ đen
thì họ có thể bán trên thị trường chợ đen
Trong thời đại ngày nay có một số chợ đen trên
Trong thời đại ngày nay có một số chợ đen trên
mạng như các Web site
mạng như các Web site
carderplanet.com
carderplanet.com
,
,
shadowcrew.com
shadowcrew.com
, và
, và
counterfeitlibrary.com
counterfeitlibrary.com

© Prentice Hall 2004
© Prentice Hall 2004
7
7
Câu chuyện tấn công vét cạn
Câu chuyện tấn công vét cạn
thẻ tín dụng
thẻ tín dụng
(cont.)
(cont.)
Các yếu tố để thủ phạm dựa vào để
Các yếu tố để thủ phạm dựa vào để
xác nhận thẻ tín của các doanh
xác nhận thẻ tín của các doanh
nhân, doanh nghiệp là
nhân, doanh nghiệp là
Một định danh (ID)
Một định danh (ID)
Một password
Một password
Cả hai
Cả hai
© Prentice Hall 2004
© Prentice Hall 2004
8
8
Câu chuyện tấn công vét cạn
Câu chuyện tấn công vét cạn
thẻ tín dụng
thẻ tín dụng

(cont.)
(cont.)
Các dịch vụ xử lý thẻ tín dụng của Online
Các dịch vụ xử lý thẻ tín dụng của Online
Data, một thủ phạm cần mật khẩu của
Data, một thủ phạm cần mật khẩu của
thương gia để yêu cầu xác thực
thương gia để yêu cầu xác thực
Online Data đã bán lại cho VeriSign Inc.
Online Data đã bán lại cho VeriSign Inc.
các cổng dịch vụ thẻ tín dụng
các cổng dịch vụ thẻ tín dụng
VeriSign đã quy trách nhiệm cho Online Data về
VeriSign đã quy trách nhiệm cho Online Data về
các việc đã xảy ra
các việc đã xảy ra
Online Data cũng quy trách nhiệm cho Spitfire
Online Data cũng quy trách nhiệm cho Spitfire
là không thay đổi mật khẩu khởi tạo của họ
là không thay đổi mật khẩu khởi tạo của họ
© Prentice Hall 2004
© Prentice Hall 2004
9
9
Câu chuyện tấn công vét cạn
Câu chuyện tấn công vét cạn
thẻ tín dụng
thẻ tín dụng



(cont.)
(cont.)
Vào tháng tư năm 2002 các kẻ tấn
Vào tháng tư năm 2002 các kẻ tấn
công đã vào hệ thống xử lý thẻ
công đã vào hệ thống xử lý thẻ
Authorize.Net (một hệ thống thanh
Authorize.Net (một hệ thống thanh
toán lớn nhất trên Internet)
toán lớn nhất trên Internet)
13,000 giao dịch thẻ tín dụng được thực
13,000 giao dịch thẻ tín dụng được thực
hiện trong đó 7,000 thẻ thành công
hiện trong đó 7,000 thẻ thành công
Tham nhập vào hệ thống Authorize.Net chỉ
Tham nhập vào hệ thống Authorize.Net chỉ
cần tên đăng nhập, không cần mật khẩu
cần tên đăng nhập, không cần mật khẩu
© Prentice Hall 2004
© Prentice Hall 2004
10
10
Giải pháp cho việc tấn công
Giải pháp cho việc tấn công
vét cạn
vét cạn
Online Data nên sử dụng mật khẩu
Online Data nên sử dụng mật khẩu
mạnh ngay lúc đầu
mạnh ngay lúc đầu

Khách hàng nên thường xuyên thay
Khách hàng nên thường xuyên thay
đổi mật khẩu
đổi mật khẩu
Các dịch vụ nhận dạng như VeriSign
Các dịch vụ nhận dạng như VeriSign
và Authorize.Net nên xây dựng bảo
và Authorize.Net nên xây dựng bảo
vệ cảnh giới xác định các cuộc tấn
vệ cảnh giới xác định các cuộc tấn
công vét cạn
công vét cạn
© Prentice Hall 2004
© Prentice Hall 2004
11
11
Giải pháp cho việc tấn công
Giải pháp cho việc tấn công
vét cạn thẻ tín dụng
vét cạn thẻ tín dụng
(cont.)
(cont.)
Các dấu hiệu là:
Các dấu hiệu là:
Số lần thương nhân yêu cầu lạ thường
Số lần thương nhân yêu cầu lạ thường
(nhiều)
(nhiều)
Lặp lại các yêu cầu với giá trị nhỏ từ
Lặp lại các yêu cầu với giá trị nhỏ từ

cùng một thương nhân
cùng một thương nhân
© Prentice Hall 2004
© Prentice Hall 2004
12
12
Tấn công vét cạn thẻ tín dụng
Tấn công vét cạn thẻ tín dụng
(cont.)
(cont.)
Kết quả
Kết quả
VeriSign đã dừng các giao dịch trước
VeriSign đã dừng các giao dịch trước
khi chúng thanh toán, tiết kiệm cho
khi chúng thanh toán, tiết kiệm cho
$316,000 phải thanh toán
$316,000 phải thanh toán
Các thương nhân Authorize.Net phải
Các thương nhân Authorize.Net phải
trả $0.35 cho mỗi lần giao dịch
trả $0.35 cho mỗi lần giao dịch
Thu lại hàng ngìn số thẻ tín dụng
Thu lại hàng ngìn số thẻ tín dụng
hợp lệ được bán trên thị trường chợ
hợp lệ được bán trên thị trường chợ
đen
đen
© Prentice Hall 2004
© Prentice Hall 2004

13
13
Tấn công vét cạn thẻ tín dụng
Tấn công vét cạn thẻ tín dụng
(cont.)
(cont.)
Chúng ta có thể học…
Chúng ta có thể học…
Bất cứ loại TMĐT bao gồm nhiều
Bất cứ loại TMĐT bao gồm nhiều
người tham gia họ sử dụng nhiều
người tham gia họ sử dụng nhiều
mạng máy tính và các dịch vụ ứng
mạng máy tính và các dịch vụ ứng
dụng thì được cung cấp truy cập tới
dụng thì được cung cấp truy cập tới
nhiều nguồn dữ liệu
nhiều nguồn dữ liệu
Kẻ tấn công chỉ cần một điểm yếu
Kẻ tấn công chỉ cần một điểm yếu
nhỏ của hệ thống là họ có thể tấn
nhỏ của hệ thống là họ có thể tấn
công được
công được
© Prentice Hall 2004
© Prentice Hall 2004
14
14
Tấn công vét cạn
Tấn công vét cạn

Những cái mà chúng ta có thể học
Những cái mà chúng ta có thể học
Một số tấn công yêu cầu kỹ thuật và
Một số tấn công yêu cầu kỹ thuật và
công nghệ tinh vi
công nghệ tinh vi
Đa số các tấn công đều không tinh
Đa số các tấn công đều không tinh
vi; các thủ tục quản lý rủi ro an ninh
vi; các thủ tục quản lý rủi ro an ninh
chuẩn có thể được dùng để giảm
chuẩn có thể được dùng để giảm
thiểu khả năng và ảnh hưởng
thiểu khả năng và ảnh hưởng
© Prentice Hall 2004
© Prentice Hall 2004
15
15
Cần làm nhanh cho an ninh
Cần làm nhanh cho an ninh
TMĐT
TMĐT
Các nghiên cứu hằng năm được thực
hiện bởi
Computer Security Institute
và FBI
1. Các tổ chức liên tục bị tấn công bởi
những kẻ có kinh nghiệm từ bên
trong và bên ngoài tổ chức
© Prentice Hall 2004

© Prentice Hall 2004
16
16
Cần làm nhanh cho an ninh
Cần làm nhanh cho an ninh
TMĐT
TMĐT
(cont.)
(cont.)
2. Các loại tấn công tới các tổ chức rất
đa dạng
3. Sự mất mát tài chính từ các vụ tấn
công có thể là rất lớn
4. Có thể sử dụng kết hợp nhiều công
nghệ để chống lại các vụ tấn công
này
© Prentice Hall 2004
© Prentice Hall 2004
17
17
Cần làm nhanh cho an ninh
Cần làm nhanh cho an ninh
TMĐT
TMĐT
(cont.)
(cont.)
National Infrastructure Protection
National Infrastructure Protection
Center (NIPC):
Center (NIPC):



liên kết các quan hệ
liên kết các quan hệ
đối tác, được bảo trợ bởi FBI, giữa
đối tác, được bảo trợ bởi FBI, giữa
chính phủ và các ngành công nghiệp;
chính phủ và các ngành công nghiệp;
để bảo vệ cơ sở hạ tầng quốc gia
để bảo vệ cơ sở hạ tầng quốc gia
© Prentice Hall 2004
© Prentice Hall 2004
18
18
Cần làm nhanh cho an ninh
Cần làm nhanh cho an ninh
TMĐT
TMĐT
(cont.)
(cont.)
Computer Emergency Response Team
Computer Emergency Response Team
(CERT):
(CERT):


nhóm của ba đội tại trường
nhóm của ba đội tại trường
đại học Carnegie Mellon đã theo dỏi
đại học Carnegie Mellon đã theo dỏi

các vụ tấn công, phân tích khả năng
các vụ tấn công, phân tích khả năng
tổn thương, và cung cấp các hướng
tổn thương, và cung cấp các hướng
dẫn để chống lại các sự tấn công này
dẫn để chống lại các sự tấn công này
© Prentice Hall 2004
© Prentice Hall 2004
19
19
Cần làm nhanh cho an ninh
Cần làm nhanh cho an ninh
TMĐT
TMĐT
(cont.)
(cont.)
Theo báo cáo thống kê CERT/CC trong
năm 2002 (CERT/CC 2002)
Số lượng các vụ tấn công lớntừ xấp
xỉ 22,000 trong năm 2000 tới trên
82,000 trong năm 2002
Quý một của năm
Quý một của năm 2003 số các vụ tấn
công đã là 43,000
© Prentice Hall 2004
© Prentice Hall 2004
20
20
An ninh và vấn đề của mọi
An ninh và vấn đề của mọi

người kinh doanh
người kinh doanh
Thực hiện an ninh của tổ chức ở nhiều
mức độ
Các tổ chức nhỏ (10 đến 100 máy
tính)
Đã có sự tổ chức tập trung và dành một
tỉ lệ phần trăm ngân sách CNTT cho việc
thực hiện an ninh
Không có khả năng để thực hiện an ninh
CNTT
© Prentice Hall 2004
© Prentice Hall 2004
21
21
An ninh và vấn đề của mọi
An ninh và vấn đề của mọi
người kinh doanh
người kinh doanh
(cont.)
(cont.)
Các tổ chức vừa (100 tới 1,000 máy
tính)
Phụ thuộc chính sách quản lý trong việc
thực hiện các quyết định an ninh, và họ
có rất ít sự hỗ trợ cho các chính sách
CNTT của họ
Các nhân viên của họ thiếu đào tạo-đã
để lộ cho các kẻ tấn công và thiệt hại về
căn bản lớn hơn các tổ chức nhỏ

© Prentice Hall 2004
© Prentice Hall 2004
22
22
An ninh và vấn đề của mọi
An ninh và vấn đề của mọi
người kinh doanh
người kinh doanh
(cont.)
(cont.)
Các tổ chức lớn (1,000 tới 10,000
máy tính)
Cơ sở hạ tầng phức tạp và được biết
nhiều trên Internet
Tập hợp các chi phí an ninh CNTT là lớn
nhưng tính trung bình cho các nhân viên
lại nhỏ
© Prentice Hall 2004
© Prentice Hall 2004
23
23
An ninh và vấn đề của mọi
An ninh và vấn đề của mọi
người kinh doanh
người kinh doanh
(cont.)
(cont.)
Các tổ chức lớn
An ninh CNTT là một phần thời gian và
được đào tạo, chiếm một tỉ lệ phần trăm

khá lớn của các ảnh hưởng mất mát và
phá hoại mà tổ chức phải chịu từ các vụ
tấn công
Các quyết định an ninh của họ dựa trên
các chính sách của tổ chức
© Prentice Hall 2004
© Prentice Hall 2004
24
24
An ninh và vấn đề của mọi
An ninh và vấn đề của mọi
người kinh doanh
người kinh doanh
(cont.)
(cont.)
Các tổ chức rất lớn (nhiều hơn
10,000 máy tính)
một môi trường cực kì phức tạp mà rất
khó quản lý với số nhân viên lớn
dựa vào các chính sách quản lý trong
việc thực hiện các quyết định an ninh
chỉ một tỉ lệ phần trăm nhỏ thì đã có các
kết hoạch xác định và chống lại tốt các
vụ tấn công
© Prentice Hall 2004
© Prentice Hall 2004
25
25
Các vấn đề an ninh
Các vấn đề an ninh

Từ bối cảnh của người dùng:
Từ bối cảnh của người dùng:
Có phải công ty sở hữu và điều hành
Có phải công ty sở hữu và điều hành
dịch vụ Web là xác thực không
dịch vụ Web là xác thực không?
Có phải các trang Web và các biểu
Có phải các trang Web và các biểu
mẩu chứa các đoạn mã có hại
mẩu chứa các đoạn mã có hại
không
không?
Có phải dịch vụ Web phân phối các
Có phải dịch vụ Web phân phối các
thông tin không được phép tới các
thông tin không được phép tới các
người khác không
người khác không?