CHƯƠNG IX

AN NINH THƯƠNG MẠI ĐIỆN TỬ

1
 Môi trường an ninh TMĐT

❖ Với mọi công dân, Internet mang lại rất nhiều cơ hội
❖ Với tội phạm, Internet tạo ra cách thức mới trong chiếm đoạt tài sản của hơn 1
tỷ khách hàng trực tuyến toàn cầu năm 2013: từ sản phẩm đến dịch vụ, tiền
mặt, thông tin
❖ Ít rủi ro hơn khi phạm tội trực tuyến (remotely và anonymously)
❖ Internet được tạo ra ban đầu không phải để cho 1 tỷ người giao dịch với nhau,
và không có các đặc điểm an ninh cơ bản
❖ Internet là một mạng lưới mở, dễ tổn thương
❖ Tội phạm mạng mang lại gánh nặng cho cả doanh nghiệp và người tiêu dùng
(làm tăng chi phí đầu vào)

2
 Tầm quan trọng của vấn đề

❖ Tội phạm mạng trở thành vấn đề lớn của cả doanh nghiệp/tổ chức và người
tiêu dùng
❖ Bot networks, DDoS attacks, Trojans, phishing, data theft, identity fraud, credit
card fraud, spyware: là những mối đe doạ thường thấy trên tin tức
❖ Social networks cũng có những xâm phạm an ninh
❖ Tuy nhiên khó đánh giá thiệt hại chính xác tội phạm mạng gây ra bởi vì:
❖ công ty ngại báo cáo lỗ hổng an ninh do sợ mất khách hàng
❖ ngay cả khi báo cáo tội phạm mạng xảy ra, khó định lượng thiệt hại

3
 Tầm quan trọng của vấn đề (tt.)

❖ Thông tin về thống kê thiệt hại do tội phạm mạng: Ponemon Institute (Mỹ),
năm 2012:
❖ thiệt hại trung bình hàng năm của tổ chức là khoảng $8.9 triệu (tăng 6% so
năm 2011)
❖ loại tội phạm gây thiệt hại nhiều nhất là denial of service, malcious insiders,
Web-based attacks
❖ tác nhân phạm tội phổ biến nhất là viruses, worms, Trojans (100% các tổ
chức), malware (95%), botnets (71%), Web-based attacks (64%)

4
 Tầm quan trọng của vấn đề (tt.)
❖ Thông tin từ Symantec (nhà cung cấp dịch vụ an ninh):
❖ Tiến bộ công nghệ làm giảm đáng kể chi phí cũng như kỹ năng trở thành tội
phạm mạng
❖ Các chương trình/hướng dẫn rất rẻ tiền có sẵn trên Web giúp hackers tạo ra
malware rất dễ dàng mà không cần lập trình như trước đây
❖ Hơn nữa, các malware này có tính polymorphic, tức là, mỗi malware nhiễm
vào máy tính khác nhau thì khác nhau, làm rất khó tiêu diệt bởi các phần
mềm bảo vệ an ninh
❖ Tấn công có chủ đích (nhắm vào đối tượng cụ thể) ngày càng gia tăng; mạng
xã hội đang trợ giúp cho việc này
❖ Mobile và applications đang trở nên dễ bị tổn thương hơn bao giờ hết

5
 Tầm quan trọng của vấn đề (tt.)

❖ Online credit card fraud và phishing attacks là các loại tội phạm phổ biến trong
TMĐT
❖ Tỉ lệ online credit card fraud / online card transaction là 0.8%
❖ So với doanh thu TMĐT, online credit card fraud đang có xu hướng giảm dần vì
công ty TMĐT và công ty thẻ tín dụng tăng cường hệ thống an ninh để ngăn
ngừa các tội phạm mạng cơ bản
❖ Tuy nhiên, online credit card fraud thay đổi từ việc lấy cắp đơn lẻ thẻ tín dụng
và sử dụng để mua hàng hoá ở một vài Website, đến việc lấy cắp đồng thời
hàng triệu thẻ tín dụng và mạng lưới phân phối các thẻ tín dụng lấy cắp này

6
 Tầm quan trọng của vấn đề (tt.)
❖ Thị trường mạng chợ đen (cyber black market/underground economy servers):
❖ Tội phạm lấy cắp thông tin từ Internet không phải luôn luôn sử dụng trực tiếp
mà bán lại thông tin này cho thị trường mạng chợ đen (khoảng vài ngàn thị
trường này)
❖ Tìm các thị trường này thì khó, cần phải đóng giả làm tội phạm để xâm nhập
vì tội phạm mạng rất giỏi về an ninh mạng
❖ Không phải tội phạm mạng nào cũng vì tiền là mục đích. Đôi khi chỉ là muốn
đánh sập một Website nào đó thay vì lấy cắp thứ gì ->thiệt hại cho kiểu tội
phạm này không những là thời gian và nổ lực để phục hồi site, mà còn là tổn
thương danh tiếng và hình ảnh công ty, và lợi nhuận mất đi vì ngưng trệ dịch
vụ

7
 Tầm quan trọng của vấn đề (tt.)

❖ Tóm lại:
❖ Tội phạm mạng TMĐT rất thay đổi theo thời gian, nhiều rủi ro mới xuất hiện
❖ Thiệt hại đối với doanh nghiệp là lớn, tuy nhiên có xu hướng ổn định vì ý
thức của doanh nghiệp trong bảo vệ an ninh cơ bản nhất
❖ Cá nhân đối mặt với nhiều rủi ro về lừa đảo (fraud), nhất là các khoản thiệt
hại không được bảo hiểm liên quan đến debit card và bank account
❖ Cần phải chuẩn bị đối diện với loại tội phạm luôn biến đổi này, và luôn cập
nhật công nghệ bảo vệ an ninh mới nhất

8
Thế nào là TMĐT có an ninh tốt ?

❖ Thế nào là một giao dịch thương mại an toàn?

9
 Thế nào là TMĐT có an ninh tốt ? (tt.)

❖ Thế nào là một giao dịch thương mại an toàn?

❖ Bất cứ khi nào ra thị trường là đối diện rủi ro, bao gồm cả mất quyền riêng tư
(privacy) (thông tin về hàng hoá mua)
❖ Rủi ro trước mắt với người tiêu dùng là không có được thứ mà mình đã trả
tiền
❖ Đối với người bán chính là không được trả tiền thứ mà mình đã bán
❖ Trộm lấy hàng hoá, hoặc là không trả tiền, hoặc là trả bằng các công cụ lừa
đảo (thẻ tín dụng đánh cắp, tiền giả)

10
 Thế nào là TMĐT có an ninh tốt ? (tt.)

❖ Người bán và người mua trên môi trường TMĐT đối diện với nhiều rủi ro tương
tự như môi trường TMTT
❖ Trộm là trộm, cho dù là trộm điện tử hay trộm truyền thống
❖ Burglary (bẻ khoá), breaking & entering (đột nhập), embezzlement (tham ô,
biển thủ), trespass (xâm phạm), malicious destruction (sự huỷ diệt tàn ác),
vandalism (phá hoại): tội phạm môi trường TMTT đều có TMĐT
❖ Tuy nhiên, giảm rủi ro trên TMĐT thì phức tạp liên quan đến công nghệ mới,
chính sách và biện pháp, luật pháp mới và tiêu chuẩn ngành liên quan

11
 Các đặc tính an ninh TMĐT
❖ Integrity (Toàn vẹn): khả năng đảm
bảo rằng thông tin được hiển thị trên
Website hay được truyền đi hay nhận
được qua Internet không bị biến đổi
bởi những bên không được phép
❖ Nonrepudiation (Thừa nhận): khả năng
đảm bảo rằng các bên TMĐT không
được từ chối hành động trực tuyến của
họ
❖ Authenticity (Xác thực): khả năng nhận
ra danh tính của một người hay chủ
thể mà bạn liên lạc trên Internet

12
 Các đặc tính an ninh TMĐT

❖ Confidentiality (Bảo mật): khả năng

đảm bảo rằng thông điệp và dữ liệu
chỉ được xem bởi những người được
cho phép
❖ Privacy (Riêng tư): khả năng kiểm
soát sử dụng thông tin về bản thân
❖ Availability (Hiệu lực): khả năng
đảm bảo rằng một Website TMĐT
tiếp tục chức năng như dự định

13
14
 Các đe doạ an ninh TMĐT

❖ Từ khía cạnh công nghệ, có 3

vị trí yếu điểm dễ bị tổn
thương trên môi trường TMĐT:
❖ Client
❖ Server
❖ Internet

15
16
17
 Malicious Code (Mã độc)

❖ Còn gọi là Malware

❖ Bao gồm: viruses, worms, Trojan horses, ransomware,
bots
❖ Trong quá khứ, mã độc thường có mục đích phá hoại
máy tính, và thường do một hacker thực hiện
❖ Ngày nay, mã độc thường có xu hướng đánh cắp địa
chỉ e-mail, mật khẩu đăng nhập, dữ liệu cá nhân,
thông tin tài chính
❖ Mã độc cũng được dùng để phát triển mạng lưới mã
độc tích hợp để tổ chức lấy cắp thông tin và tiền

18
 Malicious Code (Mã độc)
❖ Một trong những phát triển gần đây của mã độc là gắn vào
các quảng cáo trực tuyến, kể cả Google và các mạng
quảng cáo khác
❖ “drive-by dowload” là một dạng mã độc gắn với tập tin
được tải về mà người dùng cố ý hoặc không cố ý thực hiện
❖ Mã độc cũng có thể được gắn vào tập tin PDF
❖ Mã độc thường được gắn vào các links trong nội dung
email, thay vì theo cách truyền thống là đính kèm với email
❖ Khuynh hướng hiện tại của mã độc là vì mục đích tiền hơn
là mục đích khẳng định tài năng

19
Malicious Code (Mã độc) (tt.)

❖ Virus: chương trình máy tính có khả năng tự nhân bản

hay sao chép chính nó, và phát tán qua các tập tin khác
❖ Worm: một dạng mã độc được thiết kế để phát tán từ
máy tính qua máy tính
❖ Ransomware (Scareware): một dạng mã độc (thường là
worm) ngăn cản đăng nhập vào máy tính hay tập tin và
yêu cầu trả tiền phạt
❖ Trojan horse: xuất hiện lành tính, nhưng sau đó gây ra
các hành động không mong đợi. Thường là một phương
thức cho virus hay mã độc khác xâm nhập máy tính

20
Malicious Code (Mã độc) (tt.)

❖ Backdoor: là một đặc điểm của

virus, worm, Trojan, cho phép
attacker điều khiển từ xa máy tính bị
hại
❖ Bot (robot): một loại mã độc được
cài đặt ngầm vào máy tính khi kết
nối Internet. Khi được cài đặt, robot
được điều khiển bởi câu lệnh từ
attacker
❖ Botnet: tập hợp các máy tính bị
nhiễm robot

21
 Potentially Unwanted Programs (PUPS)
❖ Potentially Unwanted Program (PUP) (chương trình không
mong muốn): chương trình tự cài đặt vào máy tính mà
không được sự đồng ý của người dùng
❖ Adware: là một PUP làm xuất hiện pop-up quảng cáo trên
máy tính
❖ Browser parasite: là chương trình có thể theo dõi và thay
đổi thiết lập trình duyệt của người dùng. Ví dụ: Websearch
là một thành phần của adware làm biến đổi trang chủ và
chức năng tìm kiếm của Internet Explorer
❖ Spyware: là chương trình được sử dụng để lấy thông tin
như mật mã, email, instant message của người dùngs

22
 Phishing
❖ Social engineering: lợi dụng sự tò mò, tham
lam, cả tin của con người để phát tán mã
độc
❖ Phishing: trò lừa đảo trực tuyến của một
bên thứ 3 để lấy được thông tin bí mật để
thu lợi tài chính
❖ Phishing thường không dựa vào mã độc mà
chủ yếu dựa vào lừa đảo trực tiếp, hay gọi
là social engineering
❖ E-mail scam letter là một kiểu điển hình của
phishing, còn gọi là “Nigerian letter” scam

23
 Hacking, Cybervandalism, Hacktivism, Data Breaches

❖ Hacker: cá nhân có ý định xâm nhập không cho phép vào hệ thống máy tính
❖ Cracker: trong cộng đồng hacker, dùng để chỉ hacker có ý đồ phạm tội
❖ Cybervandalism (chương trình phá hoại): cố ý phá hoại, làm xấu đi hay phá huỷ
một Website
❖ Hacktivism: chương trình phá hoại và lấy cắp dữ liệu cho mục đích chính trị
❖ White hats: hacker “tốt”, giúp định vị và sửa các lỗi an ninh
❖ Black hats: hacker hành động cố ý làm gây hại
❖ Data breach: xảy ra khi một tổ chức/công ty mất kiểm soát để thông tin lọt ra
ngoài

24
 Credit Card Fraud/Theft
❖ Đánh cắp dữ liệu thẻ tín dụng là một trong những
điều sợ nhất trên Internet
❖ Nổi sợ thông tin thẻ tín dụng bị đánh cắp ngăn cản
người dùng mua hàng trực tuyến trong nhiều trường
hợp
❖ Thú vị là, nổi sợ này hầu hết là không có căn cứ
❖ Tỉ lệ thông tin thẻ tín dụng bị đánh cắp rất thấp so
với người dùng nghĩ, khoảng 0.8% toàn bộ giao dịch
thẻ trực tuyến (Cybersource, 2013)
❖ Tuy nhiên, lừa đảo thẻ tín dụng trực tuyến thì cao
gấp 2 lần so với lừa đảo thẻ không trực tuyến

25
 Credit Card Fraud/Theft (tt.)

❖ Trong quá khứ, nguyên nhân chủ yếu của lừa đảo thẻ tín dụng là thẻ bị đánh
cắp hay bị mất và được sử dụng bởi một người khác
❖ Ngày nay, nguyên nhân thường gặp của mất thông tin và thẻ tín dụng là server
của các công ty bị hack, nơi chứa thông tin của hàng triệu thẻ tín dụng mua
hàng được lưu trữ
❖ Vấn đề trọng tâm của an ninh TMĐT là sự khó khăn trong thiết lập danh tính
khách hàng
❖ Hiện nay, chưa có công nghệ nhận dạng người dùng một cách chắc chắn —
>công ty trực tuyến có nhiều rủi ro hơn rất nhiều so với công ty truyền thống

26
 Spoofing, Pharming, Spam (Junk) Web sites

❖ Spoofing: che dấu danh tính thật bằng

cách sử dụng email hay địa chỉ IP của
người khác
❖ Pharming: tự động điều hướng Web link
đến một địa chỉ khác với địa chỉ mong
muốn của người dùng
❖ Spam (Junk) Web site: hứa hẹn cung
cấp sản phẩm hay dịch vụ, nhưng thật
sự chỉ là tập hợp các quảng cáo

27
 Denial of Service (DOS) và
Distributed Denial of Service (DDOS)

❖ DOS: làm tràn ngập một

Website bằng các request
vô nghĩa để làm nghẽn lưu
lượng Web server
❖ DDOS: sử dụng rất nhiều
máy tính để tấn công một
mục tiêu trên mạng từ
nhiều điểm khác nhau

28
 Tấn công từ nội bộ

❖ Đe doạ an ninh thường được nghĩ đến

từ bên ngoài tổ chức/công ty
❖ Thật ra, mối đe doạ về tài chính lớn
nhất không phải từ trộm bên ngoài
mà là sự phá hoại trong nội bộ
❖ Nhân viên ngân hàng lấy tiền nhiều
hơn trộm ngân hàng
❖ Website TMĐT cũng tương tự

29
30
31
 Bảo vệ giao tiếp qua Internet
❖ Encryption (Sự mã hoá): là quá trình chuyển văn bản hay dữ liệu thông thường thành
văn bản được mã hoá không thể đọc được ngoài trừ người gửi và người nhận.
❖ Mục đích của sự mã hoá:
❖ đảm bảo an toàn thông tin lưu trữ
❖ đảm bảo an toàn truyền dẫn thông tin
❖ Sự mã hoá bảo vệ được 4 trong 6 đặc tính của an ninh TMĐT:
❖ tính toàn vẹn thông điệp (integrity)
❖ tính thừa nhận (norepudiation)
❖ tính xác thực (authentication)
❖ tính bí mật (confidentiality)

32
 Mã hoá (Encryption)

❖ Mã (key hay cipher): phương pháp chuyển đổi từ văn bản thông thường sang
văn bản mã hoá
❖ Mã thay thế (substitution cipher): mỗi sự xuất hiện của một ký tự được thay
thế bằng một ký tự khác một cách có hệ thống
❖ ví dụ: nếu cipher là: “ký tự +2” —> “Hello” sẽ được mã hoá thành “JGNNQ”
❖ Mã chuyển đổi (transposition cipher): thứ tự của các ký tự trong một từ được
thay đổi theo một cách có hệ thống
❖ ví dụ: “Hello” —>”OLLEH”

33
 Mã hoá đối xứng
❖ Cả người gửi và người nhận sử dụng cùng mã để mã hoá và giải mã thông điệp
—>mã phải được gửi đi qua phương tiện giao tiếp hay trao đổi mã trực tiếp với
nhau
❖ Được sử dụng phổ biến trong WW II, vẫn còn được sử dụng một phần trong
mã hoá Internet
❖ Nhược điểm:
❖ Với năng lực máy tính ngày nay, mã hoá có thể bị bẻ gãy dễ dàng
❖ Mã hoá đối xứng dùng chung mã—>mã được trao đổi qua kênh không an
toàn (bị lấy cắp)
❖ Trong thương mại, mỗi khi trao đổi với đối tác khác nhau—>mã khác nhau—
>cần rất nhiều mã—>không khả thi

34
 Mã hoá đối xứng (tt.)

❖ Hệ thống mã hoá hiện đại là mã số hoá, tức là mã được sử dụng là chuỗi các
số 0 và 1
❖ Mã hoá bảo vệ tốt tính theo độ dài bit ký tự của mã
❖ ví dụ: mã có 8 bit ký tự có 2^^8 =256 khả năng đoán đúng mã—> máy tính
bình thường có thể giải mã
❖ ví dụ: mã có 512 bit ký tự có 2^^512 khả năng đoán đúng mã —> tất cả
máy tính toàn thế giới giải trong 10 năm
❖ Ngày nay, thuật toán sử dụng nhiều nhất cho mã hoá đối xứng là Advanced
Encryption Standard (AES) cung cấp mã gồm có 128-, 192-, 256- bit

35
Mã hoá công khai
❖ Phát minh bởi Whitfield Diffie và Martin Hellman vào năm 1976
❖ Khắc phục nhược điểm của mã hoá đối xứng: vấn đề trao đổi mã
❖ Mã hoá công khai: 2 mã (được số hoá) liên quan về mặt toán học với nhau được
sử dụng: một mã công khai, một mã cá nhân. Mã cá nhân được giữ bí mật bởi
người sở hữu, mã công khai được phát tán rộng rãi. Cả 2 mã đều được sử dụng để
mã hoá và giải mã thông điệp. Tuy nhiên, một khi mã được sử dụng để mã hoá
thông điệp, mã đó không thể dùng để giải mã thông điệp đó
❖ Dựa vào hàm toán không thể đảo ngược một chiều, nghĩa là một khi thuật toán
được áp dụng, thông số đầu vào không thể tính ra được từ thông số đầu ra
❖ Tưởng tượng công thức làm thức ăn: dễ dàng đánh trộn trứng, nhưng không thể
làm lại được trứng nguyên vẹn từ trứng bị đánh trộn

36
37
 Mã hoá công khai

❖ Mã hoá công khai có thoả mãn hết các đặc tính của an ninh TMĐT hay
không?
❖ Confidentiality? Có thể (vì bên thứ 3 không thể đọc hay giải mã thông điệp)
❖ Authentication? Không chắc chắn người gửi thật sự là người gửi—>
❖ Nonrepudiation? Không chắc chắn (vì người gửi từ chối nhận mình đã gửi)
❖ Integrity? Không chắc chắn (trong quá trình vận chuyển qua Internet có
thể bị biến đổi)

38
 Mã hoá công khai sử dụng
chữ ký số và hàm băm (hash function)

❖ Khắc phục nhược điểm của mã hoá công khai —>để đạt
được đặc điểm an ninh TMĐT: authentication,
nonrepudiation, integrity
❖ Hash function: thuật toán tạo ra chuỗi số có độ dài cố định
gọi là hash digest hay message digest (tóm tắt thông điệp).
Ngày nay thường sử dụng hash function có 128-bit. Hash
digest là duy nhất cho mỗi thông điệp, sau đó được gửi qua
cho người nhận, người nhận sẽ kiểm tra, nếu 2 bản giống
nhau có nghĩa là thông điệp không bị biến đổi—>integrity

39
 Mã hoá công khai sử dụng
chữ ký số và hàm băm (hash function) (tt.)
❖ Người gửi (sender):
❖ Người gửi mã hoá cả 2: tóm tắt thông điệp (hash digest) và thông điệp gốc
(original message) sử dụng mã công khai của người nhận (giống cách mã
hoá công khai)
❖ Sau đó, người gửi mã hoá lần thứ 2 toàn bộ tóm tắt thông điệp và thông điệp
gốc (đã mã hoá lần 1 rồi) sử dụng mã cá nhân của người gửi —> digital
signature (chữ ký số): văn bản đã mã hoá được ký và gửi đi trên Internet
❖ Chữ ký số là duy nhất vì chỉ có người gửi là có mã cá nhân. Cùng với hash
function (hàm băm), chữ ký số càng độc nhất và chữ ký số thay đổi với sự
thay đổi văn bản khác nhau
❖ Chữ ký số giúp đảm bảo tính authenciticity và nonrepudiation

40
 Mã hoá công khai sử dụng
chữ ký số và hàm băm (hash function) (tt.)
❖ Người nhận (receiver):
❖ Người nhận: đầu tiên sử dụng mã công khai của người gửi để xác thực
thông điệp (authentication)
❖ Sau khi xác thực, người nhận tiếp tục sử dụng mã cá nhân của mình
(người nhận) để mã hoá thành hash digest (tóm tắt thông điệp) và original
message (thông điệp ban đầu)
❖ Bước cuối cùng, người nhận áp dụng hàm băm (hash function) cho thông
điệp ban đầu này—>tóm tắt thông điệp. Nếu tóm tắt thông điệp này trùng
khớp với tóm tắt thông điệp mà người nhận nhận từ người gửi—>thông điệp
không bị biến đổi trong quá trình vận chuyển (integrity)

41
42
 Phong bì số (digital envelopes)
❖ Nhược điểm của mã hoá công khai: tốn nhiều thời gian để mã hoá—
>giảm tốc độ dẫn truyền và tăng thời gian xử lý
❖ Ưu điểm của mã hoá đối xứng: nhanh hơn, tuy nhiên có nhược điểm
phải gửi mã đối xứng đến người nhận trên kênh truyền dẫn không an
toàn
❖ Giải pháp cho cả 2 phương thức mã hoá: phong bì số
❖ Sử dụng phương pháp mã hoá đối xứng để mã hoá cho tài liệu lớn
(kích thước lớn) (vì hiệu quả hơn)
❖ Sử dụng phương pháp mã hoá công khai để mã hoá và chuyển qua
Internet mã đối xứng (vì an toàn hơn)

43
44
 Chứng nhận số (digital certificates)

❖ Chứng nhận số: là văn bản số được cấp bởi

cơ quan có thẩm quyền cấp chứng nhận bao
gồm: tên của chủ thể hay công ty, mã công
khai của chủ thể, dãy số của chứng nhận số,
ngày hết hạn, ngày cấp, chữ ký số cơ quan
thẩm quyến cấp chứng nhận, các thông tin
định dạng khác
❖ Cơ quan thẩm quyền cấp chứng nhận
(Certification Authority): là bên thứ 3 được
tin tưởng cấp chứng nhận số

45
46
 Hạ tầng khoá công khai
(Public Key Infrastructure)

❖ Tại Mỹ, các công ty tư như VeriSign, nhà sản xuất Web browser, công ty an ninh,
cơ quan chính phủ (Bưu điện, Cục dự trữ liên bang) cấp phép cho các cơ quan
thẩm quyền cấp chứng nhận (Certificate Authority) cùng với các CAs khác—>cộng
đồng CAs
❖ PKI: là tập hợp các CAs và chứng nhận số (digital certificate) được chấp nhận bởi
tất cả các bên
❖ Khi đăng nhập vào một site “an toàn”, URL sẽ bắt đầu bằng “https” và có icon hình
cái khoá đóng xuất hiện trong browser—>Website này có chứng nhận số được cấp
bởi một CA có uy tín. Nếu không, nhiều khả năng là site spoof

47
48
 Hạn chế của giải pháp mã hoá

❖ PKI là giải pháp công nghệ tuyệt vời cho vấn đề an ninh TMĐT
❖ Tuy nhiên có rất nhiều hạn chế, đặc biệt là liên quan đến CAs
❖ PKI chủ yếu bảo vệ thông điệp truyền dẫn trên Internet, tuy nhiên không bảo vệ
được trong trường hợp nhân viên, người có thẩm quyền truy cập thông tin trên hệ
thống, nhất là thông tin khách hàng
❖ Hầu hết các websites TMĐT không lưu trữ thông tin khách hàng ở dạng mã hoá
❖ Hạn chế nữa là mã cá nhân của người dùng làm sao bảo vệ?—>thường lưu trữ trên
desktop hay laptop người dùng—>không an toàn
❖ Không chắc chắn người sử dụng máy tính của bạn - mã cá nhân - thật sự là bạn
(mất máy tính hoặc smartphone)

49
 Hạn chế của giải pháp mã hoá

❖ Không chắc chắn người sử dụng máy

tính của bạn - mã cá nhân - thật sự là
bạn (mất máy tính hoặc smartphone)
❖ Không chắc chắn là máy tính của
người bán là an toàn
❖ …

50
 Bảo vệ kênh truyền thông

❖ Hình thức phổ biến nhất cho bảo vệ kênh truyền thông là
giao thức SSL (Secure Sockets Layer) và TLS (Transport
Layer Security)
❖ Khi nhận được thông điệp từ Web server mà bạn đang tiến
hành giao dịch qua kênh an toàn, nghĩa là bạn đang sử
dụng SSL/TLS để thiết lập một secure negotiated session
(phiên đàm phán an toàn) (biểu hiện trên web browser là
URL chuyển từ HTTP sang HTTPS)

51
 SSL/TLS

❖ secure negotiated session (phiên đàm phán an toàn): là phiên làm việc giữa
client và server trong đó URL của tài liệu được yêu cầu, cùng với nội dung, hình
thức, các cookies trao đổi, được mã hoá
❖ ví dụ: số thẻ tín dụng của người dùng khi gõ vào sẽ được mã hoá
❖ Sau một loạt các giao tiếp, browser người dùng và server người cung cấp dịch
vụ thiết lập nhận dạng lẫn nhau bằng cách trao đổi chứng nhận số (digital
certificate), sau đó trao đổi với nhau qua mã phiên (session key)
❖ session key: là mã hoá đồng nhất duy nhất được chọn cho mỗi phiên làm việc
an toàn. Một khi đã được sử dụng, session key sẽ không bào giờ được sử dụng
lại

52
53
 SSL/TLS (tt.)

❖ Trong thực tế, cá nhân thường không có chứng nhận số (digital certificate)
❖ Trong trường hợp này, server của công ty cung cấp dịch vụ sẽ không yêu cầu
certificate, tuy nhiên web browser của người dùng sẽ yêu cầu server công ty
cung cấp certificate một khi phiên làm việc an toàn được gọi
❖ SSL/TLS cung cấp dữ liệu được mã hoá, xác thực server (qua digital
certification), có thể xác thực client, tính toàn vẹn thông điệp (integrity) cho kết
nối TCP/IP
❖ SSL/TLS giải quyết vấn đề xác thực bằng cách cho phép người dùng xác thực
người dùng khác hay công ty khác. Nó cũng bảo vệ tính toàn vẹn thông điệp

54
 SSL/TLS (tt.)

❖ Tuy nhiên, khi công ty nhận được thông tin

thẻ tín dụng hay đơn đặt hàng, thông tin
đó thường được lưu trữ không được mã
hoá trên server của công ty người bán —
>hậu quả từ vấn đề an ninh nội bộ
❖ SSL/TLS chỉ đảm bảo xác thực về phía
server, không đảm bảo về phía client—>
khách hàng có thể đặt hàng và tải về
thông tin sản phẩm, sau đó chối bỏ đã giao
dịch

55
 SSL/TLS (tt.)

❖ Gần đây, mạng xã hội Facebook, Twitter bắt đầu

sử dụng SSL/TLS để ngăn chặn lấy cắp tài khoản
qua mạng Internet wifi
❖ Firesheep, một add-on của Firefox, có thể được
sử dụng bởi hacker để lấy cắp các cookies không
được mã hoá (được sử dụng để “nhớ”
usernames/passwords) và truy cập các tài khoản
này
❖ SSL/TLS có thể ngăn chặn vì nó mã hoá luôn cả
cookies

56
 Mạng riêng ảo (Virtual Private Networks VPNs)

❖ VPN cho phép người

dùng ở xa có thể truy
cập mạng nội bộ một
cách an toàn thông
qua Internet, sử dụng
giao thức Point-to-
Point Tunneling
Protocol (PPTP)

57
 Mạng Wi-Fi

❖ Trước đây, chuẩn an ninh cho mạng

Wifi là Wired Equivalent Privacy (WEP)
—>rất dễ bị tấn công
❖ Sau đó đến Wi-Fi Protected Access
(WPA) tốt hơn nhưng vẫn không an
toàn
❖ Ngày nay, sử dụng chuẩn WPA2, sử
dụng thuật toán AES cho mã hoá và
CCMP, một giao thức xác thực nâng cao
để bảo vệ an ninh cho người dùng Wifi

58
 Bảo vệ mạng

❖ Một khi đã bảo vệ

kênh truyền thông,
bước kế tiếp là bảo vệ
mạng bằng các công
cụ như Firewalls và
Proxy Servers

59
 Firewalls (Tường lửa) và Proxy Servers

❖ Firewall: là phần cứng hoặc phần

mềm lọc các packets và ngăn ngừa
các packets xâm nhập vào mạng dựa
vào các chính sách an ninh
❖ Proxy servers (Proxy): là phần mềm
server giải quyết tất cả các giao tiếp
xuất phát từ hay được gửi đến
Internet, làm chức năng giống như
người bảo vệ tổ chức

60
61