Tải bản đầy đủ (.docx) (99 trang)
  1. Trang chủ
    2. >>
  2. Luận Văn - Báo Cáo
    3. >>
  3. Kinh tế - Quản lý

ecommerce security (đảm bảo an ninh thương mại điện tử)

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (2.43 MB, 99 trang )

BỘ GIÁO DỤC VÀ ĐÀO TẠO
TRƯỜNG ĐẠI HỌC QUY NHƠN

BÁO CÁO TIỂU LUẬN MÔN AN NINH MẠNG
Chủ đề
ECOMMERCE SECURITY
(ĐẢM BẢO AN NINH THƯƠNG MẠI ĐIỆN TỬ)

Giảng viên hướng dẫn: TS. Nguyễn Hồng Quang
Nhóm báo cáo:

Lớp: Khoa học máy tính – K19 (2016 – 2018)

Bình Định, 01-2018


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử
MỤC LỤC

DANH SÁCH PHÂN CÔNG CÁC THÀNH VIÊN TÌM HIỂU
NỘI DUNG BÀI BÁO CÁO

Stt
01
02
03
04

Họ và tên thành viên


Nguyễn Tấn Long
Nguyễn Phạm Thanh Bình
Ngô Bảo Châu
Nguyễn Thị Khoán

Nội dung phân công tìm hiểu
Phần I, II, III
Phần IV, V
Phần VI, VII, VIII
Phần IX, X

Ghi chú

Các thành viên trong nhóm luôn có sự trao đổi, thảo luận và thống nhất trong quá
trình phân công tìm hiểu nội dung bài báo cáo.
Trong quá trình làm việc cộng tác nhóm, nhóm thường xuyên liên lạc, trao đổi về
các vấn đề liên quan được phân công.
Cuối cùng, sau khi hoàn thành các phần được phân, công việc tổng hợp và biên tập
lại để hoàn chỉnh nội dung cũng như hình thức trình bày được cả nhóm thực hiện.
Với những tìm hiểu mang tính chủ quan của từng thành viên trong nhóm dù có sự
cộng tác cũng như bàn bạc thống nhất, tuy nhiên sau khi hoàn thành nội dung, bài báo cáo
không tránh khỏi những thiếu sót, các nội dung có thể còn chưa thật sự sâu rộng và nổi bật
nội dung chủ đề được phân công.

Nhóm 3 (Long-Bình-Khoán-Châu)

2

Lớp KHMT khóa 19 (2016-2018)



Môn An ninh mạng
Đảm bảo an ninh thương mại điện tử
Các thành viên của nhóm rất mong sự hướng dẫn, chỉ bảo của thầy để nội dung bài
báo cáo hoàn thiện hơn nữa cũng như để từng thành viên trong nhóm tiếp nhận được sâu
hơn về các nội dung kiến thức liên quan được phân công.
Một lần nữa các thành viên trong nhóm nói riêng cũng như lớp Tin học Khóa 19
(niên khóa 2016-2018) tại Quy Nhơn, xin chân thành cảm ơn sự hướng dẫn và giảng dạy
tậm tâm của thầy.
TM. NHÓM
Các thành viên của nhóm 3

Lời nói đầu
Cùng với sự phát triển như vũ bão của khoa học công nghệ ngày nay, lĩnh vực thương mại
điện tử - một bước tiến dài của quy trình kinh doanh - đã mang lại lợi ích vô cùng to lớn cho các
tổ chức, doanh nghiệp, người tiêu dùng và cho cả toàn xã hội.
Thương mại điện tử ngày nay liên quan đến tất cả mọi thứ từ đặt hàng nội dung "kỹ thuật
số" cho đến tiêu dùng trực tuyến tức thời, để đặt hàng và dịch vụ thông thường, các dịch vụ
"meta" đều tạo điều kiện thuận lợi cho các dạng khác của thương mại điện tử.
Trong bối cảnh người tiêu dùng mất dần hứng thú với việc mua sắm tại các cửa hàng
truyền thống, thị trường thương mại điện tử đang chớp lấy thời cơ để bước vào thời điểm phát
triển mạnh.
Theo thống kê, năm 2016, có 1,61 tỷ người trên toàn cầu mua hàng trực tuyến. Dự kiến,
doanh thu bán lẻ trực tuyến trên toàn thế giới sẽ tăng từ 1.900 tỷ USD năm 2016, lên 4.060 tỷ
USD năm 2020.
Ra đời vào những năm cuối thập niên 70 dựa trên phương thức giao dịch điện tử với công
nghệ EDI (Electronic Data Interchange – trao đổi dữ liệu điện tử) và EFT (Electronic Funds
Transfer - chuyển tiền điện tử).
Tuy nhiên đến những năm cuối thập niên 90, nhiều công ty kinh doanh tại Mỹ và Châu Âu
mới hình thành và thiết lập các dịch vụ với sự ra đời của World Wide Web và thuật ngữ


Nhóm 3 (Long-Bình-Khoán-Châu)

3

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

“Ecommerce” bắt đầu với quyền trao đổi các loại hàng hóa khác nhau thông qua Internet dùng
các giao thức bảo mật và dịch vụ thanh toán điện tử.
Bên cạnh những lợi ích, những đóng góp to lớn của ngành thương mại điện tử mang lại
cho nền kinh tế, thương mại điện tử cũng đối mặt với không ít những khó khăn, đó là: vấn đề về
hệ thống thông tin, bảo mật an ninh, quy định nền tảng về hệ thống pháp lý,… Trong đó vấn đề
hệ thống an ninh trong thanh toán trực tuyến mang lại nhiều nguy cơ rủi ro hơn cả.
Cùng với việc phát triển vượt bậc của các ngành khoa học công nghệ, lợi ích to lớn mà
ngành thương mại điện tử mang lại, đây là một trong những mảnh đất “màu mỡ” cho tội phạm sử
dụng công nghệ cao đang ngày một trở nên phổ biến và tinh vi hơn.
Hàng ngày, hàng giờ tại khắp nơi trên thế giới những rủi ro bảo mật về hệ thống an ninh
mạng luôn rình rập không chỉ riêng đối với người sử dụng các hình thức thanh toán trực tuyến mà
còn các tổ chức, doanh nghiệp cũng như các chính phủ tại các quốc gia cũng có nguy cơ về an
toàn thông tin thương mại điện tử nói chung và trong việc thanh toán trực tuyến.
Tại Việt Nam, tội phạm mạng có thể đánh cắp thông tin tài khoản của một số khách hàng
thông qua việc mua thông tin thẻ tín dụng được bán trên thị trường chợ đen quốc tế, sau đó tiến
hành in các thông tin này lên phôi thẻ trắng và tiến hành rút tiền.
Bên cạnh đó, tại Việt Nam cũng bắt đầu xuất hiện hình thức tội phạm tiến hành cài đặt các
thiết bị đọc thông tin (Skimmer) vào các máy ATM để đánh cắp thông tin. Khi khách hàng đưa

thẻ vào máy ATM để tiến hành giao dịch, thiết bị sẽ ghi nhớ thông tin cá nhân của khách hàng.
Đồng thời, tội phạm cũng cài đặt camera theo dõi để đánh cắp mã số bảo mật (PIN) của
khách hàng bấm trên bàn phím. Với các thông tin đánh cắp được này, tội phạm sẽ làm các thẻ
ATM giả để rút tiền thật của khách hàng.
Gần đây nhất, ngày 28/1/2018, 3 ngân hàng hàng đầu của Hà Lan gồm ING, Rabobank và
ABN Amro thông báo đã hứng chịu nhiều vụ tấn công mạng khi tin tặc phong tỏa việc truy cập
các website cũng như dịch vụ ngân hàng trực tuyến của các ngân hàng này.
ING, ngân hàng hàng đầu Hà Lan có khoảng 8 triệu khách hàng cá nhân cho biết bị tấn
công theo hình thức "tấn công từ chối dịch vụ" (DDoS) vào chiều 28/1 khi tin tặc gây nghẽn
thông tin, khiến các máy chủ ngân hàng bị quá tải và gây áp lực đối với những máy còn hoạt
động về dịch vụ ngân hàng trực tuyến. Hiện dịch vụ này đã được khôi phục lại hoạt động.
Trong khi đó, Rabobank, ngân hàng lớn thứ hai Hà Lan cho biết dịch vụ ngân hàng trực
tuyến của mình cũng đã bị tấn công theo hình thức DDoS vào sáng 29/1 khi khách hàng không

Nhóm 3 (Long-Bình-Khoán-Châu)

4

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

thể truy cập hoặc truy cập rất khó khăn. Người phát ngôn của Rabobank cho biết ngân hàng đang
nỗ lực sớm giải quyết vấn đề này.
Tương tự, ABN Amro - ngân hàng lớn thứ ba Hà Lan - đã hứng chịu 3 đợt tấn công mạng
vào cuối tuần, nâng tổng số vụ tấn công nhằm vào ngân hàng này trong tuần qua lên tới con số 7.
Các ngân hàng trên cho biết thông tin về khách hàng của họ không bị rò rỉ trong các vụ việc.

Theo thông báo của người đứng đầu Ngân hàng Trung ương Hà Lan Klaas Knot, đây
không phải là lần đầu tiên, các ngân hàng nước này hứng chịu các vụ tấn công DDoS. Ngân hàng
trung ương Hà Lan đã bị tấn công mạng hàng nghìn lần mỗi ngày.
Các quốc gia trên thế giới đều có những hệ thống quy định pháp luật riêng về thương mại
điện tử tại quốc gia mình. Sau ba năm kể từ năm 2003, thương mại điện tử Việt Nam được pháp
luật thừa nhận chính thức khi Luật Giao dịch điện tử, Luật Thương mại (sửa đổi), Bộ luật Dân sự
(sửa đổi) và Nghị định Thương mại điện tử có hiệu lực.
Năm 2006 cũng là năm đầu tiên triển khai Kế hoạch tổng thể phát triển thương mại điện tử
giai đoạn 2006-2010 theo Quyết định số 222/2005/QĐ-TTg ngày 15 tháng 9 năm 2005 của Thủ
tướng Chính phủ. Ngày 16 tháng 05 năm 2013, Chính phủ ký Nghị định số: 52/2013/NĐ-CP Về
Thương mại điện tử, có hiệu lực từ 01/07/2013.
Trong khuôn khổ của bài báo cáo, theo sự phân công hướng dẫn, nhóm xin trình bày một
số nội dung về Hệ thống an ninh trong thanh toán trực tuyến trên cơ sở tìm hiểu về bộ môn An
ninh mạng.

Nhóm 3 (Long-Bình-Khoán-Châu)

5

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử
PHẦN I

CYBERWAR BECOMES A REALITY
(CHIẾN TRANH MẠNG ĐÃ TRỞ THÀNH HIỆN THỰC)
I. Cyberwar là gì?

Chiến tranh thông tin hay chiến tranh mạng (Cyberwarfare) là việc áp dụng công nghệ
thông tin ở mức độ cao trong các mặt hoạt động chỉ huy - quản lý, tình báo, điều khiển, chiến
tranh điện tử, kinh tế, tâm lý, xã hội,...; là một loại hình tác chiến phổ biến trong chiến tranh hiện
đại; đó là tổng hợp những hoạt động và biện pháp nhằm tung tin gây rối loạn, tác động vào các cơ
cấu ra quyết định; nhằm làm cho đối phương có các hành động sai lầm hay có các quyết định vô
hại có lợi cho ta, đồng thời ngăn cản hoạt động thu thập, xử lý thông tin của đối phương.
Mục đích của chiến tranh thông tin là kiểm soát, điều khiển, tác động lên các quyết định
và làm suy giảm hoặc phá huỷ các hệ thống thông tin của đối phương trong khi bảo vệ các hệ
thống của mình và đồng minh chống lại những hành động như vậy.
Mục tiêu tấn công của chiến tranh thông tin là các cơ sở hạ tầng thông tin (quân sự, tài
chính, ngân hàng, mạng máy tính quốc gia,...). Phần mềm Virus có thể làm cho hệ thống vũ khí
của đối phương bị mất điều khiển, và cũng có thể phá hoại cơ sở hạ tầng kinh tế của quốc gia,
làm cho nền kinh tế rối loạn, hay làm tắc nghẽn mạng thông tin. Hacker là thành phần nguy hiểm
nhất trong công nghệ thông tin. Hacker tập trung vào việc đánh cắp các bí mật quân sự; sử dụng
virus tấn công các hệ thống máy tính làm cho hệ thống này bị tê liệt không thể đưa ra các quyết
định đúng.
II. Các hình thức của chiến tranh thông tin
1. Chiến tranh trong chỉ huy và điều khiển (command and control warfare C2W);
2. Chiến tranh tình báo (information-based warfare - IBW);
3. Chiến tranh điện tử (electronic warfare - EW);
4. Chiến tranh tâm lý (psychological warfare - PSYW);
5. Chiến tranh tin tặc hacker (hacker warfare);
6. Chiến tranh thông tin kinh tế (economic information warfare - EIW);
7. Chiến tranh điều khiển học (cyberwarfare).
Các cường quốc như Mỹ, Nga, Trung Quốc… hiện nay luôn trong tư thế về chiến không
gian mạng, cuộc chiến được ví như chiến tranh thế giới thứ 3 diễn ra trên mặt trận Internet.
Đầu tư cho lĩnh vực này đã tăng rất mạnh trong những năm qua. Nếu như năm 2013, Mỹ
đổ 3,9 tỉ USD vào chiến tranh mạng thì năm 2014 tăng lên 4,7 tỉ USD và năm 2015 là 5,1 tỉ USD.

Nhóm 3 (Long-Bình-Khoán-Châu)


6

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Trong khi đó, dù không công bố ngân sách nhưng theo dự đoán Nga cũng chi ra hàng tỉ USD.
Còn Trung Quốc, tất nhiên là theo truyền thống không công bố thông tin.
Nhiều quốc gia đã và đang thiết lập các đơn vị và lực lượng riêng biệt để chuẩn bị đối phó
với tấn công mạng ở quy mô quốc gia. Trong số đó có:
Mỹ: Mỹ có Bộ chỉ huy mạng (Cybercom) trực thuộc Cơ quan An ninh Quốc gia (NSA)
nhưng hiện chính quyền Obama đang cân nhắc tách Cybercom thành đơn vị độc lập với quyền hạn
lớn hơn. Động thái này không nằm ngoài mục đích tăng cường khả năng đương đầu của Mỹ với
chiến tranh mạng trong tương lai.
Và như vậy, NSA sẽ chủ yếu là cơ quan thu thập thông tin tình báo chiến lược còn
Cybercom là bộ chỉ huy chiến tranh mạng. Ở mức sâu hơn, Cybercom sẽ phát triển theo hướng
một Bộ chỉ huy tác chiến thống nhất (UCC), nơi chỉ huy và kiểm soát các lực lượng quân sự chỉ
dựa trên địa lý và chức năng cụ thể.
Ngoài Cybercom, Mỹ còn nhiều lực lượng khác phụ trách an ninh mạng, trong đó có Bộ
Tư lệnh Không gian mạng Quân đội Mỹ, Cục An ninh mạng thuộc Nhà Trắng, Lữ đoàn Tình báo
Quân sự 780, và Lực lượng dự bị chiến tranh mạng (Bộ An ninh Nội địa).
Ngoài ra, Mỹ còn có "Sở chỉ huy chiến tranh mạng", "Nhóm kiểm soát dữ liệu đặc biệt",
"Đơn vị công nghệ can thiệp dữ liệu", "Văn phòng các chiến dịch đặc biệt", "Nha tình báo tín
hiệu"…
Nga: Do có sự chuẩn bị kỹ lưỡng, nước này đang sở hữu đội quân tác chiến mạng vô cùng
hùng hậu. Ngoài đông đảo đội ngũ tin tặc do chính phủ hậu thuẫn, Nga đã thành lập những đội

quân chiến binh mạng rất thiện chiến.
Điển hình trong số này là Đội quân mạng Chiều thứ 5 (Russia 5th-Dimension Cyber
Army), thành lập năm 2007 với ngân sách hoạt động hàng năm ước tính lên đến 40 tỷ USD. Tiếp
đến là Trung tâm An ninh Thông tin, hay còn gọi là Đơn vị Quân sự 64829, có nhiệm vụ giám sát
và bảo vệ mạng lưới Internet của Nga.
Tiếp đến là Trung tâm giám sát truyền thông điện tử và Trung tâm quản trị An ninh Thông
tin chịu trách nhiệm đánh chặn, giải mã và xử lý các thông tin liên lạc điện tử. Ngoài ra, năm
2013, Tổng thống Putin còn ký Sắc lệnh số 31 về việc thiết lập hệ thống phát hiện, cảnh báo và
khắc phục hậu quả của các cuộc tấn công mạng nhằm vào cơ sở hạ tầng thông tin nước Nga.
Trung Quốc: Ngay từ năm 2010, sách trắng của Trung Quốc đã đề cập tới chiến tranh
mạng và đánh giá cao vai trò của hình thức chiến tranh này.

Nhóm 3 (Long-Bình-Khoán-Châu)

7

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Cũng như Nga, Trung Quốc sử dụng lực lượng đông đảo các tin tặc do chính phủ hậu
thuẫn, chưa kể đến hàng loạt các đơn vị chuyên biệt khác.
Điển hình là "Cục Đảm bảo Thông tin" thuộc Bộ Tổng Tham mưu PLA, đóng vai trò như
một cơ quan chỉ huy tập trung cho chiến tranh thông tin và có trách nhiệm điều phối các hoạt
động mạng cho Quân giải phóng Nhân dân Trung Quốc (PLA).
Tiếp theo là các đơn vị chuyên trách như Căn cứ An ninh Thông tin, Đội quân xanh PLA,
Lực lượng đặc biệt Cyber Blue Team, Tổng cục 3; Đơn vị Tình báo mạng Axiom, Đội quân mạng

"Hội Honker Trung Quốc", và Ban Chỉ đạo Trung ương về Thông tin và An ninh Internet.
Đơn vị 61398 và Đơn vị 61486, vốn nổi tiếng với các vụ tấn công và đột nhập vào hệ
thống mạng an ninh của Mỹ trực thuộc Tổng cục 3 - bộ phận chuyên phụ trách các vấn đề về gián
điệp không gian mạng và tình báo các tín hiệu.
III. Một số cuộc chiến tranh thông tin tiêu biểu
"Chiến tranh thông tin của Mỹ - từ Kosovo đến Nam Estonia": trong cuộc chiến ở Nam
Estonia xảy ra năm 2008, ngoài cuộc đọ súng trên chiến trường, thế giới được chứng kiến một
cuộc chiến tranh khác có phần còn quyết liệt hơn, gay cấn hơn giữa các bên - đó là cuộc "chiến
tranh thông tin" giữa Mỹ và các nước phương Tây với Nga.
Cho tới nay, người ta vẫn chưa biết chiến tranh mạng là như thế nào vì đơn giản chúng
chưa từng xảy ra. Kể cả những cường quốc như Mỹ và Nga có mô phỏng thế nào đi chăng nữa thì
đó cũng chỉ là lý thuyết. Giữa lý thuyết và thực tiễn không phải lúc nào cũng khớp với nhau.
Nếu như các nguyên tắc tiến hành chiến tranh sử dụng vũ khí công nghệ cao, kể cả vũ khí
hạt nhân, người ta có thể hiểu và tính toán được tương đối thì với chiến tranh mạng, mọi thứ vẫn
còn mù tịt. Trong khi đó, những hậu quả chiến sự trên không gian mạng đang hiện hữu rất rõ.
Trong báo cáo phân tích mang tên Ghost Fleet (Binh chủng Ma), hai tác giả Singer và
August Cole đã mô tả viễn cảnh xung đột chiến tranh giữa Mỹ, Nga và Trung Quốc, trong đó
chiến tranh mạng và chiến tranh điện tử đóng vai trò chính.
Ghost Fleet đang là sách gối đầu giường của nhiều quan chức quân đội lớn hiện nay. Trong
đó, tác giả nhấn mạnh tới việc nếu thua trên không gian mạng, đối phương sẽ dễ dàng thất bại trên
các mặt trận đường bộ, đường biển và đường không.
Chỉ có 4 khả năng mà một quốc gia có thể thực hiện trên không gian mạng, đó là: thu thập,
đánh cắp, cô lập và thay đổi thông tin. Thực tế, việc này đang diễn ra nhưng chưa lớn ở quy mô
có thể coi là chiến tranh mạng.

Nhóm 3 (Long-Bình-Khoán-Châu)

8

Lớp KHMT khóa 19 (2016-2018)



Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Các cuộc xung đột không gian mạng trong tương lai sẽ là dạng thức kết hợp như vậy.
Chẳng hạn, Trung Quốc đã tìm cách thu thập và đánh cắp thông tin về các dự án quân sự tuyệt
mật của Mỹ, trong đó có chiến đấu cơ F-35, để có thể phát triển phiên bản cạnh tranh tương tự.
Trong khi đó, khái niệm cô lập giống như việc ngăn chặn thông tin – hay nói cụ thể hơn
chính là tấn công từ chối dịch vụ đánh sập website hoặc phá hủy các dịch vụ trên web.
Còn thay đổi thông tin giống như việc phát động tấn công mạng gây ra thiệt hại nghiêm
trọng trên thực tế. Ví dụ sống động nhất chính là sâu Stuxnet, được Mỹ và Israel sử dụng để tấn
công hệ thống hạt nhân của Iran. Stuxnet đã xóa sổ một lượng lớn máy ly tâm của Iran và theo
như lời Hillary Clinton, nó đã làm chậm chương trình phát triển hạt nhân của Iran tới vài năm.
Cho tới nay, hành động chiến tranh mạng thực sự duy nhất được xác nhận là việc tung
“virus quân sự” Stuxnet có khả năng phá hủy hạ tầng vào mạng của Iran. Điều thú vị là bản thân
việc phát triển và sử dụng virus này được bà Hillary Clinton, khi đó là ngoại trưởng Mỹ, tiết lộ
vào năm 2011.
Thế rồi 5 năm sau, chính Hillary Clinton lại trở thành nạn nhân trong vụ tấn công đột nhập
vào hệ thống máy tính Đảng Dân chủ. Thủ phạm không ai khác là tin tặc Nga, được phỏng đoán
là nhóm Fancy Bears thuộc Tổng cục Tình báo - Bộ Tổng tham mưu quân đội Nga (GRU), và
nhóm Cozy Bears thuộc Cơ quan An ninh liên bang Nga (FSB).
Stuxnet có lẽ chỉ là quá khứ bởi chiến tranh mạng tương lai sẽ sử dụng những dạng thức
"vũ khí" khác, và phần mềm độc hại (malware) chính là một trong số đó để phá hoại và ngăn
chặn tất cả hệ thống mạng của đối phương.
Viễn cảnh này đang trở thành thực tế với Ukraine. Nhiều website chính phủ, các dịch vụ
ngân hàng, tài chính từ nhà nước tới quân đội đang bị cô lập. Thông tin không thể chuyển đi, chỉ
huy không thể ra lệnh cho các đơn vị đang hoạt động bên ngoài. Đơn giản là họ đã bị chặn đứng
thông tin, hay nói cách khác họ đã bị bao vây.

Một câu chuyện khác rất đáng chú ý đó là vụ Israel đánh bom các cơ sở hạt nhân của Iran.
Israel gọi chiến dịch ném bom bí mật này là "Operation Orchard" diễn ra năm 2007. Khi đó Israel
đã hack vào hệ thống radar của Iran, chèn vào đó các thông tin sai lệnh khiến radar trông có vẻ
hoạt động bình thường nhưng thực tế nó đã bị đối phương kiểm soát.
Trước đây, nếu muốn ném bom các mục tiêu khó ở sâu trong lãnh thổ đối phương, sẽ cần
tới các tiêm kích đặc biệt để "dọn đường" cho máy bay ném bom. Nhưng Israel lại không làm
như vậy. Thay vào đó, nước này sử dụng một dạng "cổng hậu" (backdoor) có tên "kill switch" để
tấn công hệ thống radar đối phương, cho phép máy bay tiến vào lãnh thổ Iran như chỗ không
người.
IV. Tấn công DDoS (Distributed Denial of Service)
(Phần này được trình bày cụ thể trong phần sau)

Nhóm 3 (Long-Bình-Khoán-Châu)

9

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

V. Mạng Botnet
1. Botnet là gì?
Botnet là các mạng máy tính được tạo lập từ các máy tính mà hacker có thể điều khiển từ
xa. Các máy tính trong mạng botnet là máy đã bị nhiễm malware và bị hacker điều khiển. Một
mạng botnet có thể có tới hàng trăm ngàn, thậm chí là hàng triệu máy tính.
Nếu máy tính nào đó là 1 thành phần trong mạng botnet, có nghĩa là nó đã bị nhiễm 1
trong số các loại malware (như virus, sâu máy tính...). Hacker tạo ra mạng này sẽ sử dụng, điều

khiển hàng trăm ngàn máy tính của nạn nhân để phục vụ cho mục đích riêng của chúng.
Người dùng máy tính có nguy cơ bị trở thành nạn nhân của mạng botnet tương tự như
cách họ bị lây nhiễm malware. Ví dụ như khi người dùng sử dụng 1 phần mềm đã không còn
được cập nhật các bản vá lỗi bảo mật, sử dụng các plugin có nguy cơ bị tấn công cao như Java,
khi download các phần mềm lậu.
2. Mục đích của Botnet
Botnet có thể được dùng cho nhiều
mục đích khác nhau. Do mạng botnet là một
mạng tập hợp của rất rất nhiều máy tính, nên
hacker có thể dùng bonet để thực hiện các
cuộc tấn công từ chối dịch vụ (DDoS) vào
một máy chủ web nào đó. Theo đó, hàng
trăm ngàn máy tính sẽ "dội bom", truy cập
vào một website mục tiêu tại cùng 1 thời
điểm, khiến cho lưu lượng truy cập vào site
đó bị quá tải. Hậu quả là nhiều người dùng
khi truy cập vào website đó thì bị nghẽn
mạng dẫn tới không truy cập được.
Hình 1: Mô hình điều khiển mạng máy tính

của harker thông qua

botnet
Botnet cũng có thể được dùng để gửi mail
spam. Lợi dụng vào
mạng các máy tính "ma" này, spammer có thể tiết
kiệm được khá nhiều
chi phí cho hoạt động spam kiếm tiền của mình.
Ngoài ra, botnet cũng
được dùng để tạo các "click gian lận" - hành vi tải ngầm 1 website nào đó mà kẻ tấn công đã

chuẩn bị sẵn, và click và các link quảng cáo từ đó đem lại lợi nhuận về quảng cáo cho hacker.
Botnet cũng được dùng để đào Bitcoin nhằm đem lại tiền bán bitcoin cho kẻ tấn công.
Thông thường một máy tính của cá nhân khó có thể được dùng để đào Bitcoin, bởi lợi nhuận
mang lại sẽ không đủ để người dùng trả tiền điện mà quá trình đào tiền ảo này tiêu tốn. Tuy
nhiên, bằng cách lợi dụng 1 mạng máy tính quy mô lớn, hacker có thể khai thác và bắt máy tính

Nhóm 3 (Long-Bình-Khoán-Châu)

10

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

của nạn nhân đào bitcoin cho chúng. Số bitcoin sẽ được chúng thu về, còn tiền điện thì nạn nhân
sẽ phải trả.
Botnet còn được dùng để phát tán malware. Khi đã điều khiển được máy tính của nạn
nhân, hacker có thể dùng chúng để phát tán các phần mềm độc hại nhằm lây nhiễm cho các máy
tính khác. Từ đó, danh sách nạn nhân sẽ được kéo dài, mạng botnet ngày càng được mở rộng, và
lợi nhuận mà hacker thu được sẽ ngày càng lớn.
Hình 2: Sơ đồ hoạt động của mạng Botnet Zero do Symantic công bố
Một điểm cũng cần nói tới là những kẻ tạo ra mạng botnet đôi khi không phải để chính
chúng sử dụng. Mà trong nhiều trường hợp, chúng tạo ra một mạng botnet ở quy mô lớn nhất có
thể rồi rao bán cho những kẻ khác để kiếm tiền.
Hãng bảo mật Symantec từng công bố một sơ đồ về cách hoạt động của mạng botnet nổi
tiếng có tên ZeroAccess. Trong mạng botnet này, 1,9 triệu máy tính trên thế giới đã bị lây nhiễm
để làm công cụ đào bitcoin và click gian lận. Hacker đã kiếm được hàng triệu USD mỗi năm từ

mạng ZeroAccess, còn các nạn nhân phải chịu hơn nửa triệu USD tiền điện mỗi ngày để phục vụ
chúng.

Nhóm 3 (Long-Bình-Khoán-Châu)

11

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử
PHẦN II

THE E-COMMERCE SECURITY ENVIRONMENT:
THE SCOPE OF THE PROBLEM
(VẤN ĐỀ AN NINH TRONG THƯƠNG MẠI ĐIỆN TỬ)
Vấn đề bảo mật, an ninh trên mạng là một trong những vấn đề nóng hổi trong hoạt động
thực tiễn của Thương mại điện tử.
Các cuộc tấn công tin tặc qua mạng ngày càng tăng và càng đa dạng. Các nhân tố tác động
đến sự gia tăng tin tặc là sự phát triển mạnh của TMĐT và nhiều lỗ hổng công nghệ của các
website.
Một số thống kê:

- Theo thống kê của hãng Symantec: Tội phạm mạng (liên quan đến TMĐT) tăng nhanh
-

-


từ năm 2007.
IC3 (Digital Literacy Certification - Tổ chức Tin học thế giới Certiport (Hoa Kỳ)): Đã
xử lý 200.000 khiếu nại về tội phạm trên Internet.
Cuộc khảo sát của CSI (Computer Security Institute - Học viện an ninh máy tính tại
San Francisco, bang California, Hoa Kỳ) năm 2007: 46% doanh nghiệp được hỏi cho
biết năm 2006 các doanh nghiệp có liên quan đến vấn đề an ninh trong TMĐT.
Thị trường nền kinh tế ngầm cung cấp bán hàng thông tin bị đánh cắp đang phát triển.

Hình 3: Các loại khiếu nại về tội phạm trên Internet do IC3 cung cấp (2009)
I. Các vấn đề an toàn bảo mật cơ bản đặt ra trong TMĐT
Từ góc độ người sử dụng: làm sao biết được Web Server được sở hữu bởi một doanh
nghiệp hợp pháp? Làm sao biết được trang web này không chứa đựng những nội dung hay mã

Nhóm 3 (Long-Bình-Khoán-Châu)

12

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

chương trình nguy hiểm? Làm sao biết được Web Server không lấy thông tin của mình cung cấp
cho bên thứ 3.
Từ góc độ doanh nghiệp: Làm sao biết được người sử dụng không có ý định phá hoại hoặc
làm thay đổi nội dung của trang web hoặc website? Làm sao biết được làm gián doạn hoạt động
của server. Từ cả hai phía: Làm sao biết được không bị nghe trộm trên mạng? Làm sao biết được
thông tin từ máy chủ đến user không bị thay đổi?


Hình 4: Các loại tấn công đối với hệ thống máy tính
1. Một số khái niệm về an toàn bảo mật hay dùng trong TMĐT:
- Quyền được phép (Authorization) là quá trình đảm bảo cho người có quyền này được
truy cập vào một số tài nguyên của mạng;
- Xác thực(Authentication) là quá trình xác thưc một thực thể xem họ khai báo với cơ
quan xác thực họ là ai;
- Auditing: Qua trình thu thập thông tin về các ý đồ muốn truy cập vào một tài nguyên nào
đó trong mạng bằng cách sử dụng quyền ưu tiên và các hành động ATBM khác;

Nhóm 3 (Long-Bình-Khoán-Châu)

13

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

- Sự riêng tư: (Confidentiality/privacy) là bảo vệ thông tin mua bán của người tiêu dùng;
- Tính toàn vẹn (Integrity): Khả năng bảo vệ dữ liệu không bị thay đổi Không thoái thác
- Khả năng không thể từ chối các giao dịch đã thực hiện (Nonrepudiation).
Các vấn đề an toàn bảo mật của một website TMĐT Có rất nhiều giải pháp công nghệ và
không công nghệ để đảm bảo an toàn bảo mật trên mạng. Một trong giải pháp quan trong ứng
dụng trong TMĐT là sử dụng kỹ thuật mật mã và các giao thức bảo mật.
2. Cơ chế mã hoá
Để đảm bảo an toàn bảo mật cho các giao dịch, người ta dùng hệ thống khoá mã và kỹ
thuật mã hoá cho các giao dịch TMĐT. Mã hoá là quá trình trộn văn bản với khoá mã tạo thành

văn bản không thể đọc được truyền trên mạng. Khi nhận được bản mã, phải dùng khoá mã để giải
thành bản rõ. Mã hoá và giải mã gồm 4 thành phần cơ bản:  Văn bản rõ – plaintext  Văn bản
đã mã – Ciphertext  Thuật toán mã hoá - Encryption algorithm  Khoá mã – Key - là khoá bí
mật dùng nó để giải mã thông thường. Mã hoá là tiền đề cho sự thiết lập các vấn đề liên quan đến
bảo mật và an ninh trên mạng.
Có hai phương pháp mã hoá phổ biến nhất: phương pháp mã đối xứng (khoá riêng): dùng
để mã và giải mã điện rõ, cả người gửi và người nhận đều sử dụng văn bản.
Mã hoá dùng khoá riêng Mã ko đối xứng (mã công cộng): sử dụng một cặp khoá: công
cộng và riêng, khoá công cộng để mã hoá và khoá riêng để giải mã. Khi mã hoá người ta dùng
hai khoá mã hoá riêng rẽ được sử dụng. Khoá đầu tiên được sử dụng để trộn các thông điệp sao
cho nó không thể đọc được gọi là khoá công cộng. Khi giải mã các thông điệp cần một mã khoá
thứ hai, mã này chỉ có người có quyền giải mã giữ hoặc nó được sử dụng chỉ bởi người nhận bức
thông điệp này, khoá này gọi là khoá riêng.
Ðể thực hiện các công việc mã hoá và giải mã, cần một cơ quan trung gian giữ các khoá
riêng, đề phòng trường hợp khoá này bị mất hoặc trong trường hợp cần xác định người gửi hoặc
người nhận. Các công ty đưa ra các khoá mã riêng sẽ quản lý và bảo vệ các khoá này và đóng vai
trò như một cơ quản xác định thẩm quyền cho các mã khoá bảo mật.
3. Chứng thực số hoá
Chứng thực số để xác nhận rằng người giữ các Name : “Richard” khoá công cộng và khoá
riêng là ai đã đăng key-Exchange Key. Cần có cơ quan trung gian để xác thực Signature Key.
Chứng thực có các cấp độ khác nhau.
Không phải tất cả các mã khoá riêng hay các chứng chỉ số hoá đều được xây dựng như
nhau. Loại đơn giản nhất của giấy chứng chỉ hoá được gọi là chứng nhận Class 1, loại này có thể
dễ dàng nhận khi bất kỳ người mua nào truy nhập vào WEB site của VeriSign
(www.verisign.com). Tất cả những cái mà doanh nghiệp phải làm là cung cấp tên, địa chỉ và địa
chỉ e-mail, sau khi địa chỉ e-mail được kiểm tra, sẽ nhận được một giấy chứng nhận số hoá.

Nhóm 3 (Long-Bình-Khoán-Châu)

14


Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Các chứng nhận Class 2 yêu cầu một sự kiểm chứng về địa chỉ vật lý của doanh nghiệp.
Ðể thực hiện điều này các công ty cung cấp chứng nhận sẽ tham khảo cơ sở dữ liệu của Equifax
hoặc Experian trong trường hợp đó là một người dùng cuối và Dun&Bradstreet trong trường hợp
đó là một doanh nghiệp. Quá trình này giống như là một thẻ tín dụng.
Mức cao nhất của một giấy chứng nhận số hoá được gọi là chứng nhận Class 3. Có thể
xem nó như là một giấy phép lái xe. Ðể nhận được nó doanh nghiệp phải chứng minh chính xác
mình là ai và phải là người chịu trách nhiệm. Các giấy phép lái xe thật có ảnh của người sở hữu
và được in với các công nghệ đặc biệt để tránh bị làm giả.
Các giấy chứng nhận Class 3 hiện chưa được chào hàng, tuy nhiên các công ty hoạt động
trong lĩnh vực an toàn và bảo mật đã mường tượng ra việc sử dụng nó trong tương lai gần cho các
vấn đề quan trong như việc đàm phán thuê bất động sản qua WEB hoặc vay vốn trực tuyến. Nó
cũng có thể được sử dụng như là các chứng nhận định danh hợp pháp hỗ trợ việc phân phát các
bản ghi tín dụng hoặc chuyển các tài liệu của toà án.
Hiện tại các biểu mẫu thu nhận thông tin thanh toán trên WEB thường đạt chứng nhận an
toàn và bảo mật Class 1, nhưng hiện tại một số cửa hàng trên WEB cũng đã đạt mức an toàn và
bảo mật Class 2 và khách hàng cũng đã bắt đầu nhận được chúng thông qua một công nghệ được
gọi là SET.
4. Một số giao thức bảo mật thông dụng
4.1 Cơ chế bảo mật SSL (Secure Socket Layer) Về mặt lý thuyết rất nhiều công ty có thể
đóng vai trò như một cơ quan chứng thực thẩm quyền. VeriSign Inc (www.verisign.com), là công
ty cung cấp dịch vụ về chứng thực số dẫn đầu tại Mỹ. Công ty này sử dụng bản quyền về công
nghệ từ RSA Inc. (www.rsa.com). RSA giữ đăng ký sáng chế về công nghệ mã khoá riêng/công

cộng được giới thiệu vào năm 1976 củaWhitfield Diffie và Martin Hellman và nó được chuyển
giao cho VeriSign vào năm 1995 cho dù các công ty khác cũng giữ quyền sử sử dụng nó. Để bảo
mật, doanh nghiệp phải mua một khoá riêng từ VeriSign thu phí 349 USD/năm cho một WEB site
thương mại với một khoá bảo mật như vậy và phí để bảo dưỡng hàng năm là 249 USD, doanh
nghiệp có thể mua thêm khoá bảo mật với mức giá tương đương. Sau khi máy chủ nhận được một
khoá mã bảo mật, việc tiếp nhận một đơn đặt hàng trở nên đơn giản. Ðiểm nổi bật của SSL ta có
thể ngay lập tức tạo một trang HTML với các biểu mẫu để khách hàng cung cấp thông tin về họ
trong lúc giao dịch, và đảm bảo rằng các thông tin này được bảo mật và mã hoá khi được gửi đi
trên Internet.
Sau khi các thông tin mà khách hàng nhập vào các biểu mẫu trên trang WEB hiển thị trên
trình duyệt của họ đước mã hoá với SSL nó được gửi đi trên Internet một cách an toàn. Trong
thực tế khi người sử dụng truy nhập vào các trang WEB được hỗ trợ bởi SSL, họ sẽ thấy một biểu
tượng như một chiếc khoá ở thanh công cụ bên dưới chương trình.

Nhóm 3 (Long-Bình-Khoán-Châu)

15

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

4.2 Cơ chế bảo mật SET Tiêu chuẩn bảo mật mới nhất trong thương mại điện tử là SET
(Secure Electronic Transaction - Giao dịch điện tử an toàn), được phát triển bởi một tập đoàn các
công ty thẻ tín dụng lớn như Visa, MasterCard và American Express, cũng như các nhà băng, các
công ty bán hàng trên mạng và các công ty thương mại khác. SET có liên quan với SSL do nó
cũng sử dụng các khoá công cộng và khoá riêng với khoá riêng được giữ bởi một cơ quan chứng

nhận thẩm quyền.
Không giống như SSL, SET đặt các khoá riêng trong tay của cả người mua và người bán
trong một giao dịch. Ðiều đó có nghĩa là một người sử dụng thông thường cần các khoá riêng của
họ và cần phải đăng ký các khoá này cũng giống như các máy chủ phải làm.
Khi một giao dịch SET được xác nhận quyền xử dụng, mã khoá riêng của người sử dụng
sẽ thực hiện chức năng giống như một chữ ký số, để chứng minh cho người bán về tính xác thực
của yêu cầu giao dịch từ phía người mua và các mạng thanh toán công cộng. Trong thực tế nó
giống như là việc ký vào tờ giấy thanh toán trong nhà hàng. Chữ ký số chứng minh là ta đã dùng
các chính và chấp nhận hoá đơn. Do người mua không thể thoát ra khỏi một giao dịch SET, để
khiếu nại về việc họ không mua hàng nên các giao dịch SET theo lý thuyết sẽ chạy qua các hệ
thống thanh toán giống như ta mua hàng ở thiết bị đầu cuối tại các cửa hàng bách hoá thực phẩm.
II. Bảo mật an toàn thông tin trong thương mại điện tử
Sự gia tăng của các website thương mại điện tử trong những năm gần đây đã kéo theo
hàng loạt các vấn đề bảo mật trong thương mại điện tử, trong đó có 3 vấn đề về bảo mật mà
ngành thương mại điện tử đang phải đối đầu với nhiều thách thức thật sự và từng bước khắc
phục, hạn chế ở mức độ tốt nhất có thể.
1. Vấn đề về bảo mật sự riêng tư
Sự riêng tư bị xâm phạm là một trong những vấn đề phức tạp nhất mà các doanh nghiệp
thương mại điện tử phải đối mặt. Nếu không bảo mật quyền riêng tư tốt cho khách hàng, các
hacker có thể thu thập thông tin website, dữ liệu nhân viên, khách hàng và đánh cắp. Gần đây
nhất vào cuối tháng 3 năm 2017, một số vụ đánh cắp tài khoản của khách hàng đã diễn ra khi các
hacker mạo danh là bên thứ 3 và mua hàng tại website thương mại điện tử Amazon.
Hiện tại, bất kỳ rủi ro nào cũng có thể xảy ra dưới hình thức giao dịch thương mại điện
tử nằm trong tay nhà cung cấp. Ví dụ: PayPal, Amazon, Tiki, Lazada hoặc các công ty thẻ tín
dụng.
Có một thực tế rằng, người tiêu dùng trực tuyến đều biết rằng nhiều trang web đang thu
thập và lưu trữ thông tin cá nhân của họ. Đôi khi họ sợ hãi vì nếu dữ liệu cá nhân của họ bị rơi
vào tay kẻ xấu, họ có thể bị mạo danh và có thể bị mất tiền trong giao dịch, mất tiền trong thẻ
ngân hàng, thẻ tín dụng.


Nhóm 3 (Long-Bình-Khoán-Châu)

16

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Giải pháp để khắc phục vấn đề bảo mật website thương mại điện tử bắt buộc trong trường
hợp này là bảo mật dữ liệu cá nhân của khách hàng cũng như số thẻ tín dụng, mật khẩu an toàn
100%.
2. Sự từ chối các dịch vụ (DoS)
Các cuộc tấn công DoS và DDoS là một vấn đề nghiêm trọng mà các doanh nghiệp, tổ
chức, ngành TMĐT đã và đang phải đối mặt hàng ngày. Nạn nhân của các vụ tấn công này là
nhằm vào những đối tượng trên mà SecurityBox vừa nói ngay trên. Chúng chỉ nhằm vào những
tổ chức lớn có nhiều tiền.
Khi bị tấn công DoS hay DDoS, hàng loạt các yêu cầu về giao dịch, dịch vụ đều bị từ chối,
Và trong thời gian ngắn, hệ thống mạng trở nên chậm đến “nghẹt thở” và người dùng khó lòng có
thể truy cập vào website đó hoặc khó tiếp tục giao dịch tiếp.
3. Tấn công lừa đảo (Phishing)
Phishing là hình thức lừa đảo mà hacker thiết lập một trang web giống như một bản sao
của trang web thương mại điện tử, website gốc và sau đó ăn cắp dữ liệu bí mật từ cá nhân hoặc tổ
chức.
Một khi các thông tin xác thực cá nhân của nạn nhân được xác thực khi người dùng gõ
vào, hacker có thể sử dụng thông tin này để lấy cắp danh tính của họ.
Hacker có thể truy cập thông qua các lỗ hổng bảo mật trong các giao diện quản lý từ xa
của trang web. Khi website đã bị tấn công, hacker sẽ thay đổi website làm cho trang web không

thể sử dụng được sau đó.
Qua nhiều năm, hình thức tấn công phishing lừa đảo này đã ảnh hưởng tiêu cực đến sự tin
tưởng và mối quan hệ giữa khách hàng và nhà cung cấp trực tuyến.
Trong tương lai, ngành công nghiệp liên quan đến thương mại điện tử đang phải đối mặt
với thách thức khó lường về các vấn đề bảo mật thương mại điện tử, an toàn thông tin. Các tội
phạm cyber đang trở nên ngày càng có tay nghề cao trong những vụ lừa đảo và bất kỳ lúc nào sự
tấn công đều có thể xảy ra.
4. Tại sao phải cần đến dịch vụ an ninh mạng?
Hiện tại, thế giới đang chứng kiến ngày càng nhiều vụ tấn công mạng với những hậu quả
khó lường: thậm chí, ngay cả một cậu bé mới chỉ 15 tuổi đã tấn công được website sân bay Tân
Sơn Nhất; việc tấn công các ngân hàng lớn ở Hà Lan vào ngày 28/01/2018, … Việt Nam và thế
giới đang phải “gồng mình” để chống lại những vụ tấn công mạng trong tình thế cấp bách hơn
bao giờ hết.
Vậy tại sao phải cần đến dịch vụ bảo mật an ninh mạng? Trên thực tế các hacker có thể tấn
công bất kỳ website, phần mềm, ứng dụng và thiết bị IoT nào. Nhưng chủ yếu, các hacker sẽ
ngắm vào những đối tượng có thể mang lại lợi lớn, số tiền cho chúng.

Nhóm 3 (Long-Bình-Khoán-Châu)

17

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Trong đó, số vụ tấn công mạng rơi vào nhiều nhất là các ngành: ngân hàng, ngành hàng
không, ngành giao dịch, thương mại điện tử, ngành tài chính, cơ quan nhà nước, những website

hoặc các kênh của người nổi tiếng. Và tất nhiên không phải ngành nào cũng có thể trang bị tốt
cho mình kiến thức, kỹ năng về an ninh mạng chuyên sâu. Do đó, không chỉ riêng một tổ chức,
doanh nghiệp nào mà tất cả đều phải cần tới dịch vụ an ninh mạng chuyên nghiệp, có thể khắc
phục, ứng cứu sự cố và tư vấn giải pháp mọi lúc, mọi nơi.
5. Một số giải pháp về vấn đề an ninh thương mại điện tử

Hình 5: Một số giải pháp về an ninh thương mại điện tử
Vấn đề được đặt ra để trả lời câu hỏi làm thế nào để đạt được mức độ bảo mật cao nhất
trong thương mại điện tử, các chuyên gia về an ninh luôn khuyến cáo thực hiện một số nội
dung:
- Sử dụng các công nghệ mới nhất có thể (New technologies).
- Cần ban hành các thủ tục, chính sách về an ninh thương mại điện tử phù hợp và luôn cập
nhật theo từng thời điểm.
- Mỗi quốc gia cần xây dựng hành lang pháp lý phù hợp về vấn đề thương mại điện tử nói
riêng tại quốc gia mình dựa trên cơ sở chung của thế giới đồng thời xây dựng các tiêu chuẩn, quy
định cụ thể về thương mại điện tử.
Một số yếu tố khác:
- Giá trị tiền tệ theo thời gian.
- Các chi phí cho vấn đề bảo mật an toàn an ninh thương mại và những tổn thất tiềm ẩn.
- Vấn đề an ninh và bảo mật yếu kém dễ bị phá vỡ.

Nhóm 3 (Long-Bình-Khoán-Châu)

18

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng


Đảm bảo an ninh thương mại điện tử

Hình 6: Quan điểm của khách hàng và nhà cung cấp dịch vụ về khía cạnh khác nhau
trong bảo mật Thương mại Điện tử

Nhóm 3 (Long-Bình-Khoán-Châu)

19

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử
PHẦN III

THE TENSION BETWEEN SECURITY AND OTHER VALUES
(XUNG ĐỘT GIỮA AN NINH THƯƠNG MẠI ĐIỆN TỬ
VÀ CÁC GIÁ TRỊ KHÁC)
I. Các vấn đề ảnh hưởng đến an toàn thông tin TMĐT
Rất nhiều yếu tố ảnh hưởng đến bảo mật thương mại điện tử, trong đó có nhiều câu hỏi đặt
ra từ khách hàng và nhà cung cấp dịch vụ TMĐT:
- Tính toàn vẹn (Integrity);
- Chống chối bỏ (Nonrepudation);
- Tính xác thực (Authenticity);
- Tính riêng tư (Confidentiality);
- Cá nhân (Privacy);
- Tiện ích (Availability).
Như trình bày trong Phần 2, vấn đề bảo mật và an toàn thông tin trong TMĐT là một vấn

đề hết sức quan trọng trong giao dịch TMĐT.
Song song với việc làm thế nào để đảm bảo, an toàn an ninh tốt nhất trong TMĐT, các hệ
thống TMĐT cũng cần phải đảm bảo các giá trị khác trong TMĐT.
II. Các vấn xung đột:
- An toàn nhưng dễ sử dụng. Các biện pháp bảo mật an ninh được thêm vào, trang web khó
sử dụng hơn và nó trở nên chậm hơn.
Việc thắt chặt an ninh càng cao dẫn đến sự đối lập với các đặc tính dễ sử dụng và tính tiện
lợi của TMĐT.
- Sử dụng công nghệ của tội phạm để lên kế hoạch phạm tội hoặc đe dọa an toàn an ninh
tầm quốc gia.
III. Các điểm yếu về kỹ thuật trong vấn đề an ninh
Ba điểm yếu cơ bản trong vấn đề bảo mật an toàn thông tin:
 Từ máy tính của người dùng;
 Từ các máy chủ;
 Từ môi trường truyền thông;

Nhóm 3 (Long-Bình-Khoán-Châu)

20

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Hình 7.1: Các điểm yếu dễ bị tấn công trong một giao dịch Thương mại Điện tử

Hình 7.2: Các điểm yếu dễ bị tấn công trong một giao dịch Thương mại Điện tử (Nguồn:

Boncella, 2000)

Nhóm 3 (Long-Bình-Khoán-Châu)

21

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử
PHẦN IV

MOST COMMON SECURITY THREATS IN THE E-COMMERCE ENVIRONMENT
(NHỮNG NGUY CƠ THƯỜNG GẶP TRONG MÔI TRƯỜNG
THƯƠNG MẠI ĐIỆN TỬ HIỆN NAY)
I. Hiện trạng an toàn thông tin trong thương mại điện tử
Tháng 01 năm 2017, Thủ tướng chính phủ đã phê duyệt Đề án thanh toán không dùng tiền
mặt giai đoạn 2016 đến 2020, tiền đề quan trọng cho phát triển giao dịch trực tuyến. Vì vậy, vấn
đề an toàn an ninh thông tin khi giao dịch rất quan trọng. Tỉ lệ giao dịch trực tuyến ngày càng
tăng, ngành thương mại điện tử thể hiện rõ nhất điều đó khi doanh số trong lĩnh vực này đạt hơn
4 tỉ USD và tăng trưởng 37% trong năm 2015 (theo báo cáo TMDT của Bộ Công Thương). Giá
trị thanh toán ngày càng tăng thì nhu cầu bảo vệ dữ liệu người dùng, đảm bảo giao dịch an toàn
càng cấp thiết.
Tại Trung Quốc, theo con số của Cục thống kê quốc gia, giá trị giao dịch thương mại điện
tử hơn 589 tỉ USD (năm 2015), gấp đôi Hoa Kỳ. Trong đó, sàn giao dịch thương mại điện tử
Taobao và TMall của công ty Alibaba dẫn đầu thị trường Trung Quốc với hơn 80% thị phần. Đầu
năm 2016, thị trường đã chứng kiến một cuộc tấn công mạng cực lớn vào nền tảng Taobao nhằm
cung cấp sai lệch thông tin của các cửa hàng sử dụng nền tảng C2C này. Dựa trên các chứng cứ

có được thì từ tháng 10 năm 2015 đến tháng 2 năm 2016, nhóm tấn công đã sử dụng hơn 100
triệu tài khoản (gồm địa chỉ email và mật khẩu) lấy cắp từ nhiều nguồn khác nhau để thử đăng
nhập vào Taobao và đã có hơn 20 triệu tài khoản đăng nhập thành công (~1/5 dân số Việt Nam).
Các tài khoản này, sau đó, được chúng sử dụng tạo thành lượng dữ liệu khổng lồ giả mạo giá thầu
(bidding), cung cấp sai nội dung nhận xét (review),…
Trong trường hợp này, tấn công mạng lấy trộm tài khoản và sự thiếu chặt chẽ trong cấu
hình nền tảng Taobao đã gây ra hàng loạt thông tin sai lệch, dẫn đến người mua hàng đánh giá sai
lầm, nhận được nhiều sản phẩm chất lượng không như mong đợi.
Hoa Kỳ là quốc gia có nền thương mại điện tử phát triển từ lâu so với mặt bằng chung của
thế giới. Thương mại điện tử tại Hoa Kỳ là mục tiêu tấn công mạng béo bở từ nhiều năm nay.
Năm 2014 và 2015, liên tục trong 2 năm, hai hãng bán lẻ và trực tuyến hàng đầu của Hoa Kỳ là
Target và HomeDepot đã bị tin tặc tấn công. Với trường hợp Target, tin tặc đã lợi dụng nhà cung
cấp dịch vụ của Target (third-party) để lây nhiễm mã độc và tiến hành lây lan vào các hệ thống
quan trọng phía sau, trong đó có hệ thống máy quẹt thẻ POS. Sự việc được phát hiện khi một
lượng lớn dữ liệu thẻ của người dùng bị rao bán trên chợ đen. Theo thống kê thiệt hại, hơn 40
triệu dữ liệu thẻ của người dùng (mã thẻ, ngày hết hạn, CVV,…) đã bị đánh cắp. Sự việc dẫn đến

Nhóm 3 (Long-Bình-Khoán-Châu)

22

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

khủng hoảng nghiêm trọng tại Target và là nguyên nhân mà CEO của chuỗi bán lẻ này buộc phải
từ chức.

Gần đây nhất, tháng 12 năm 2016, Yahoo, một trong những hãng công nghệ Internet lâu
đời và nổi tiếng thế giới đã đưa ra thông báo gây sốc, hơn một tỉ chủ tài khoản thư điện tử của
hãng này đã bị mất dữ liệu: tên, địa chỉ email, mật khẩu (đã mã hóa),… Sự kiện này tác động dây
chuyền nghiêm trọng vì rất nhiều người sử dụng cùng tài khoản để đăng nhập các trang thương
mại điện tử
Tại Việt Nam, thị trường thương mại điện tử còn non trẻ nhưng có tốc độ phát triển nhanh
chóng, theo báo cáo mới nhất thì tốc độ tăng trưởng của Việt Nam gấp đôi Nhật bản (37% so với
15%). Đến thời điểm hiện tại, Việt Nam chưa có con số thống kê chính thức về tình hình an toàn
thông tin trong lĩnh vực thương mại điện tử. Các đơn vị kinh doanh dựa trên thương mại điện tử
cũng không cung cấp thông tin chính thức về mất mát dữ liệu nếu có.
Tuy vậy, điều đó không có nghĩa kinh doanh thương mại điện tử ở Việt Nam an toàn. Hoạt
động nhiều năm trong lĩnh vực an toàn thông tin, Công ty cổ phần An ninh mạng Việt Nam đã
nhận được nhiều yêu cầu hỗ trợ từ các tổ chức kinh doanh thương mại điện tử. Yêu cầu hỗ trợ
phổ biến nhất là hạn chế tấn công DoS/DDoS, loại hình tấn công này không làm mất dữ liệu
người dùng nhưng khiến cho công việc kinh doanh bị thiệt hại do ngưng trệ hệ thống và không
thể phục vụ khách hàng.
Các công ty cung cấp dịch vụ trực tuyến 24/7 thường gặp tấn công này như: bán vé trực
tuyến, đặt chỗ khách sạn,… Các tìm hiểu chuyên sâu hơn cho thấy nhiều rủi ro nghiêm trọng về
thương mại điện tử tồn tại từ lâu và rất có thể đã bị kẻ xấu lợi dụng.
Ngay trong năm 2016, ví dụ nổi bật về sự nguy hiểm của tấn công mạng đó là vụ việc
mạng lưới của Cảng Hàng Không và Vietnam Airlines bị tấn công. Kẻ tấn công đã thực hiện
nhiều cách thức khai thác lỗ hổng, cài mã độc vào trong hệ thống thông tin từ rất lâu trước khi
bùng nổ (theo số liệu chính thức là từ năm 2014) thay đổi giao diện, lấy cắp dữ liệu khách hàng.
Mặc dù sự cố này không liên hệ trực tiếp tới lĩnh vực thương mại điện tử nhưng cũng cho thấy sự
nguy hiểm của tấn công mạng khi kẻ xấu đã âm thầm lợi dụng các lỗ hổng bảo mật để trục lợi mà
doanh nghiệp không hề hay biết. Sự cố khác gần gũi hơn là đầu tháng 11 năm 2016, một hệ thống
con của VietnamWorks.com đã bị tấn công dẫn tới thông tin hàng nghìn tài khoản bị lộ. Nhiều tài
khoản ở đây được người dùng sử dụng chung với các dịch vụ khác, dẫn đến một số ngân hàng đã
phải gửi cảnh báo đến toàn bộ khách hàng về việc đổi mật khẩu tài khoản.
II. Những nguy cơ đe dọa môi trường thương mại điện tử hiện nay

1. Những mối nguy cơ đe dọa

- Các đoạn mã nguy hiểm (malicious code): gồm nhiều mối đe dọa khác nhau như các loại
virus, worm.

Nhóm 3 (Long-Bình-Khoán-Châu)

23

Lớp KHMT khóa 19 (2016-2018)


Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

- Tin tặc (hacker) và các chương trình phá hoại (cybervandalism).
- Gian lận thẻ tín dụng.
- Sự lừa đảo: Tin tặc sử dụng các địa chỉ thư điện tử giả hoặc mạo danh một người nào đó
nhằm thực hiện những hành động phi pháp.
- Sự khước từ dịch vụ: là việc các hacker sử dụng những giao thông vô ích làm tràn ngập
hoặc tắc nghẽn mạng truyền thông, hoặc sử dụng số lượng lớn máy tính tấn công vào một
mạng.
- Nghe trộm, giám sát sự di chuyển của thông tin trên mạng. Xem lén thư điện tử là sử
dụng các đoạn mã ẩn bí mật gắn vào một thông điệp thư điện tử, cho phép người xem lén có thể
giám sát toàn bộ các thông điệp chuyển tiếp được gửi đi với thông điệp ban đầu.

1.1.

Malicious Code (Malware, Viruses, Worms, Trojans, …)


Theo Science ABC, Malware là một loại phần mềm (một đoạn mã) được viết để lây nhiễm
hoặc gây tổn hại cho hệ thống mà nó xâm nhập vào (ví dụ: hệ thống máy chủ).
Đó chỉ đơn giản là một thuật ngữ chung được sử dụng để đề cập đến một loạt các loại phần
mềm thâm nhập hoặc phá hoại, có ảnh hưởng xấu đến hiệu suất hệ thống của người dùng.
Malware có thể có nhiều mục đích. Nó có thể được dùng để do thám hoặc đánh cắp thông
tin từ hệ thống của bạn, làm tổn hại đến máy tính, hoặc để tống tiền. Malware sẽ trở nên nguy
hiểm hơn khi nó thường xuyên được giấu trong các tập tin vô hại thông thường. Malware có thể
bao gồm Viruses, Adware, Nagware, Spyware, Worms, Trojan horses, và rất nhiều loại phần mềm
độc hại khác. Điều này có nghĩa Virus và Trojan horse là hai loại hình trực thuộc Malware. Do
vậy, nếu bạn muốn phân biệt malware và virus, nó giống như việc chúng ta phân biệt giữa "vũ
khí" và "khẩu súng".
Theo wikipedia định nghĩa thì phần mềm độc hại là một thuật ngữ dùng để chỉ các hình
thức phần mềm độc hại hoặc xâm nhập, bao gồm virus máy tính, sâu, Trojan, Ransomware,
Spyware, Adware, Scareware và các chương trình độc hại khác. Nó có thể dưới dạng mã thực thi,
các kịch bản, nội dung hoạt động và các phần mềm khác.
Phần mềm độc hại được xác định bởi ý định độc hại của nó, hành động chống lại các yêu
cầu của người dùng máy tính - và do đó không bao gồm phần mềm gây ra thiệt hại không chủ ý
do thiếu một số. Các chương trình cung cấp chính thức bởi các công ty có thể được coi là phần
mềm độc hại nếu họ bí mật hành động chống lại lợi ích của người dùng máy tính.
Một ví dụ là Sony rootkit, một con ngựa Trojan được nhúng vào đĩa CD do Sony cung cấp,
âm thầm cài đặt và che giấu bản thân trên máy tính của người mua với ý định ngăn chặn việc sao
chép bất hợp pháp; nó cũng báo cáo thói quen lắng nghe của người dùng và vô tình tạo ra các lỗ
hổng đã bị khai thác bởi các phần mềm độc hại không liên quan.

Nhóm 3 (Long-Bình-Khoán-Châu)

24

Lớp KHMT khóa 19 (2016-2018)



Môn An ninh mạng

Đảm bảo an ninh thương mại điện tử

Phần mềm chống virus và tường lửa được sử dụng để bảo vệ chống lại các hoạt động độc
hại, và để phục hồi từ các cuộc tấn công.
Nhiều chương trình truyền nhiễm sớm, bao gồm cả Internet Worm đầu tiên, đã được viết
như các thí nghiệm hoặc pranks. Ngày nay, phần mềm độc hại được sử dụng bởi cả tin tặc mũ
đen lẫn chính phủ, nhằm ăn cắp thông tin cá nhân, tài chính hoặc kinh doanh.
Phần mềm độc hại đôi khi được sử dụng rộng rãi chống lại các trang web của chính phủ
hoặc các trang web của công ty để thu thập thông tin được bảo vệ hoặc để làm gián đoạn hoạt
động của họ nói chung. Tuy nhiên, phần mềm độc hại có thể được sử dụng chống lại cá nhân để
thu thập thông tin như số nhận dạng cá nhân hoặc chi tiết, số thẻ ngân hàng hoặc thẻ tín dụng và
mật khẩu.
Kể từ khi tăng truy cập Internet băng thông rộng, phần mềm độc hại thường được thiết kế
cho lợi nhuận. Kể từ năm 2003, phần lớn các loại virus và sâu đã được thiết kế để kiểm soát máy
tính của người dùng cho các mục đích bất hợp pháp. Các máy tính zombie bị lây nhiễm có thể
được sử dụng để gửi spam email, để lưu trữ dữ liệu lậu như là khiêu dâm trẻ em, hoặc tham gia
vào các cuộc tấn công từ chối dịch vụ phân tán như một hình thức tống tiền.
Các chương trình được thiết kế để giám sát duyệt web của người dùng, hiển thị quảng cáo
không mong muốn, hoặc chuyển hướng doanh thu tiếp thị liên kết được gọi là phần mềm gián
điệp. Các chương trình phần mềm gián điệp không lây lan như virus; thay vào đó chúng thường
được cài đặt bằng cách khai thác các lỗ hổng bảo mật. Chúng cũng có thể được ẩn và đóng gói
cùng với phần mềm do người dùng cài đặt không liên quan.
Ransomware ảnh hưởng đến một hệ thống máy tính bị nhiễm một cách nào đó, và yêu cầu
thanh toán để đưa nó trở lại trạng thái bình thường. Ví dụ, các chương trình như CryptoLocker
mã hóa các tập tin an toàn, và chỉ giải mã chúng khi thanh toán một khoản tiền đáng kể.
Một số phần mềm độc hại được sử dụng để tạo ra tiền bằng gian lận nhấp chuột, khiến cho

người dùng máy tính đã nhấp vào liên kết quảng cáo trên một trang web, tạo ra khoản thanh toán
từ nhà quảng cáo. Theo ước tính vào năm 2012, khoảng 60 đến 70% tất cả các phần mềm độc hại
đang hoạt động đã sử dụng một số loại gian lận nhấp chuột và 22% tất cả các nhấp chuột quảng
cáo là giả mạo.
Ngoài việc gây ra tiền phạm tội, phần mềm độc hại có thể được sử dụng để phá hoại,
thường là vì động cơ chính trị. Stuxnet, ví dụ, được thiết kế để phá vỡ các thiết bị công nghiệp rất
cụ thể. Đã có các cuộc tấn công chính trị đã lan rộng và đóng các mạng máy tính lớn, bao gồm
việc xóa tập tin dữ liệu và tham nhũng của các bản ghi khởi động chủ, được miêu tả là "giết chết
máy tính".
Các cuộc tấn công như vậy được thực hiện trên Sony Pictures Entertainment (25 tháng 11
năm 2014, sử dụng phần mềm độc hại có tên Shamoon hoặc W32.Disttrack) và Saudi Aramco
(tháng 8 năm 2012). Ransomware là một loại phần mềm độc hại từ cryptovirology đe doạ xuất

Nhóm 3 (Long-Bình-Khoán-Châu)

25

Lớp KHMT khóa 19 (2016-2018)


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×