Tiểu luận Bài giảng An toàn thương mại điện tử

HỌC VIỆN NGÂN HÀNGKHOA HỆ THỐNG THÔNG TIN KINH TẾ An toàn thương mại điện tử Các thành viên 1-Đặng Quang Tuấn 2-Phạm Tiến Đạt 3-Phạm Hữu Văn 4-Nguyễn Thị Vân 5-Đoàn Thị Hiền 6-Dương Thị Hồng Hạnh Nội dung chính I-Thương mại điện tử và lợi ích II-An toàn thương mại điện tử III-Các cách tấn công vào hệ thống TMĐT IV-Kĩ thuật mã hóa V-Chữ kí điện tử I-TMĐT và lợi ích 1-khái niệm thương mại điện tử -Là việc tiến hành các giao dịch thông qua mạng internet, các mạng truyền thông - là các giao dịch tài chính và thương mại bằng giao dịch điện tử như trao đổi dữ liệu điện tử, chuyển tiền điện tử và các hoạt động như rút/gửi tiền bằng thẻ tín dụng. 2-lợi ích của TMĐT TMĐT giúp giảm chi phí sản xuất TMĐT giúp giảm chi phí bán hàng và tiếp thị. TMĐT qua INTERNET giúp người tiêu dùng và các doanh nghiệp giảm đáng kể thời gian và chí phí giao dịch. TMĐT giúp cho các Doanh nghiệp nắm được thông tin phong phú về thị trường và đối tác TMĐT tạo điều kiện cho việc thiết lập và củng cố mối quan hệ giữa các thành phần tham gia vào quá trình thương mại. Tạo điều kiện sớm tiếp cận nền kinh tế số hoá. II-An toàn TMĐT 1-Các vấn đề AT TMĐT Tính toàn vẹn: dữ liệu/thông tin không bị thay đổi khi lưu trữ hoặc chuyển phát Không phủ định: các bên tham gia giao dịch không phủ nhận hành động trực tuyến mà họ đã thực hiện Tinh xác thực: khả năng nhận biết các đối tượng tham gia giao dịch Cấp phép: xác định quyền truy cập tài nguyên của các tổ chức Kiểm soát: tập hợp thông tin về quá trình truy cập của người sử dụng Tính tin cậy: ngoài những người có quyền,không ai có thể xem các thông điệp và truy cập những dữ liệu có giá trị Tính riêng tư: khả năng kiểm soát việc sử dụng các thông tin cá nhân của khách hàng Tính lợi ích: các chức năng của một website TMĐT được thực hiện đúng như mong đợi 1. Nghe trộm đường truyền: thu thập dữ liệu, sử dụng sai mục đích 2. Gửi thông điệp giả tới hệ thống thanh toán với 2 mục đích: 1) làm hệ thống không hoạt động được (DOS) 2) ăn cắp hàng hóa, tiền 3. Xâm nhập hệ thống thanh toán: lấy dữ liệu giao dịch bí mật, …. Mất an toàn trong thanh toán Nguyên nhân cản trở Thương mại điện tử phát triển “Lý do đầu tiên làm người dùng ngần ngại khi sử dụng TMĐT là lo bị mất thông tin thẻ tín dụng, bí mật cá nhân bị dùng sai mục đích.” www.ecommercetimes.com Một số bài học đáng nhớ Trên thế giới -Cuộc tấn công từ chối dịch vụ ồ ạt vào các trang web TMĐT lớn nhất trên thế giới như Yahoo.com, Amazon.com, Buy.com... xảy ra tháng 2/2000 -Bị hàng triệu khách 'ma' xông vào khiến tắc nghẽn và ngừng hoạt động vài ngày, gây thiệt hại khoảng 1,5 tỷ USD Ở Việt Nam Website chodientu.com – một website TMĐT hợp pháp liên tục bị tấn công cướp tến miền và đối giao diện (9/2006) Vụ lừa đảo của Đào Anh Tuấn tiến hành qua mạng chiếm đoạt gần 20 triệu đồng của các thành viên trên diễn đàn trực tuyến TTVNOL. Đường dây làm giả thẻ ATM do Nguyễn Anh Tuấn cầm đầu để rút được số tiền khoảng 2,6 tỷ đồng 235 website của Việt Nam (.vn) bị hacker nước ngoài tấn công. Trong đó có web của Bộ Thương mại - mot.gov.vn, Bộ Tài nguyên Môi trườngciren. gov.vn, Bộ Khoa học Công nghệ - oss.gov.vn… Web site của Ban Quản lý dự án DSM/EE - Cục Điều tiết điện lực – Bộ Công Thương bị hacker tấn công III-Các cách tấn công vào hệ thống TMĐT Virus và sâu máy tính Tấn công từ chối dịch vụ (Dos) Tấn công từ chối dịch vụ phân tán(DDos) 1-virus và sâu máy tính Ngày 3/11/1983 cái gọi là virus máy tính lần đầu tiên ra đời Virus là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác như: File, ổ đĩa, máy tính,… Các cách lây nhiễm của virus Lây nhiễm theo cách cổ điển: đó là thông qua các thiết bị lưu trữ di động như USB, các ổ đĩa cứng di động hoặc các thiết bị giải trí kĩ thuật số Lây nhiễm qua thư điện tử: Bao gồm lây nhiễm vào các file đính kèm, lây nhiễm do mở một liên kết trong thư điện tử, lây nhiễm ngay khi mở để xem thư điện tử. Lây nhiễm qua mạng internet: Đây là hình thức lây nhiễm chính của virus hiện nay 2-Dos (Danial Of Service) Khái niệm - Tấn công từ chối dịch vụ là hành động mà các tin tặc lợi dụng đặc điểm hoặc lỗi an toàn thông tin của một hệ thống dịch vụ nhằm làm ngưng trệ hoặc ngăn cản người dùng truy nhập dịch vụ đó Đặc Điểm - Gây cho chương trình hoặc hệ thống bị đổ vỡ hoặc bị treo, tê liệt từng phần hoặc toàn bộ - không lấy mất thông tin của hệ thống -Đôi khi không làm tê liệt hệ thống, nhưng làm chậm và giảm khả năng phục vụ của hệ thống. Cách thức tấn công Kiểu 1:gây quá tải cho hệ thống khiến cho hệ thống mất khả năng phục vụ cho người dùng thực sự Kiểu 2 :dựa vào đặc điểm đặc biệt của hệ thống hoặc lỗi an toàn thông tin để từ đó gây cho hệ thống bị treo, tê liệt một số hình thức tấn công kiểu thứ nhất Thông qua kết nối (kiểu SYN flood ) Lợi dụng nguồn tài nguyên của chính nạn nhân để tấn công : Kiểu tấn công Land Attack: tương tự kiểu SYN flood nhưng khác ở việc sử dụng IP Kiểu tấn công UDP flood : gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công Sử dụng băng thông (Tấn công kiểu DDoS) Tên một số hình thức tấn công kiểu 2 Tấn công kiểu Smurf Attack Tấn công kiểu Tear Drop Phá hoại hoặc chỉnh sửa thông tin cấu hình Phá hoại hoặc chỉnh sửa phần cứng 3-DDos (Distributed Denial Of Service ) Hacker xâm nhập vào các hệ thống máy tính, cài đặt các chương trình điều khiển từ xa, và sẽ kích hoạt đồng thời các chương trình này vào cùng một thời điểm để đồng loạt tấn công vào một mục tiêu Các giai đoạn tấn công kiểu Ddos GĐ1: Chuẩn bị công cụ và chiếm một số host trên mạng GĐ2: Xác định mục tiêu và thời điểm GĐ3: Phát động tấn công và xóa dấu vết Các kiểu tấn công của Ddos Loại thứ nhất: Tấn công làm cạn kiệt băng thông của mạng (Band with depletion attack): + Flood attack + Amplification attack Loại thứ hai: Tấn công làm cạn kiệt tài nguyên ( Resource Depletion Attack ) IV- Kỹ thuật mã hóa 1.Khái niệm và thuộc tính -KN:Mã hoá là một tiến trình biến đổi thông tin, sử dụng các thuật toán nhằm mục đích không cho người khác có thể nắm bắt được nếu thiếu một vốn thông số nhất định (key) để dịch ngược. -Thuộc tính: + Bí mật + Nguyên vẹn + Xác thực 2.các kĩ thuật mã hóa cơ bản Mã hoá đối xứng (Symmetric-key algorithms): + các khoá (key) dùng cho việc mã hoá và giải mã có quan hệ ràng buộc với nhau (về mặt toán học) + Hạn chế: khi trao đổi, khoá mã phải được 2 bên nắm giữ bảo vệ khó khăn Mã hoá bất đối xứng (Public key cryptography) :sử dụng một cặp khoá dùng để mã hoá và giải mã thông tin + Khoá được dùng để mã hoá gọi là khoá công khai (public key) + khoá dùng để giải mã thông tin là khoá riêng tư (private key) Mã hoá một chiều (hàm băm) : -tính chất cơ bản của hàm băm: + Tính một chiều: không thể suy ra dữ liệu ban đầu từ kết quả + Tính duy nhất: xác suất để có một vụ va chạm (hash collision),tức là hai thông điệp khác nhau có cùng một kết quả hash, là cực kì nhỏ. -Ứng dụng của hàm hash: + Chống và phát hiện xâm nhập: chương trình chống xâm nhập so sánh giá trị hash của một file với giá trị trước đó để kiểm tra xem file đó có bị ai đó thay đổi hay không + Bảo vệ tính toàn vẹn của thông điệp được gửi qua mạng bằng cách kiểm tra giá trị hash của thông điệp trước và sau khi gửi nhằm phát hiện những thay đổi cho dù là nhỏ nhất +Tạo chìa khóa từ mật khẩu +Tạo chữ kí điện tử V-CHỮ KÍ ĐIỆN TỬ 1-khái niệm và chức năng Khái niệm: Chữ ký điện tử được tạo lập dưới dạng từ, chữ, số, ký hiệu, âm thanh hoặc các hình thức khác bằng phương tiện điện tử, gắn liền hoặc kết hợp một cách lô gíc với thông điệp dữ liệu, có khả năng xác nhận người ký thông điệp dữ liệu và xác nhận sự chấp thuận của người đó đối với nội dung thông điệp dữ liệu được ký. (Luật Giao dịch điện tử) Chức năng: + Là điều kiện cần và đủ để quy định tính duy nhất của văn bản điện tử cụ thể + Xác định rõ người chịu trách nhiệm trong việc tạo ra văn bản đó + Thể hiện sự tán thành đối với nội dung văn bản và trách nhiệm của người ký + Bất kỳ thay đổi nào (về nội dung, hình thức...) của văn bản trong quá trình lưu chuyển đều làm thay đổi tương quan giữa phần bị thay đổi với chữ ký Tiến trình ký Tiến trình kiểm tra chữ ký Thank U Vinamilk !!