• Thứ Sáu, 01/07/2005 11:23 (GMT+7)

    An toàn trong giao dịch với ngân hàng

    Với sự phát triển của thương mại điện tử, một trong những nguy cơ tiềm ẩn được nhắc đến chính là khả năng mất an toàn của hệ thống CNTT đang xử lý các thông tin có giá trị tương đương tiền giấy thông thường. Do vậy, an toàn trong giao dịch qua mạng là vấn đề có tầm quan trọng đặc biệt.

    Năm vừa qua, ngành NH Việt Nam phát triển mạnh mẽ mà nguyên nhân cơ bản bắt nguồn từ sự phát triển của nền kinh tế nói chung. Bên cạnh đó, phải kể đến sự mạnh dạn đầu tư vào các hệ thống CNTT hiện đại, đặc biệt là các hệ thống Core Banking của các NH mà “dự án WorldBank” đóng vai trò đặc biệt quan trọng vì tính tiên phong của nó. Với một hệ thống CNTT “lõi” hiện đại được xây dựng, các NH dễ dàng đưa ra hàng loạt loại hình dịch vụ mới, ví dụ nổi bật là công nghệ ATM, góp phần tăng tỷ lệ sử dụng “tiền điện tử” trong nền kinh tế. Tuy vậy, những nguy cơ tiềm ẩn về khả năng mất an toàn của hệ thống CNTT đang xử lý các thông tin có giá trị tương đương tiền giấy thông thường cần được đặt ra.

    Nguy cơ cần cảnh báo

    1. Nguy cơ bị lộ thông tin “tiền điện tử” và các giao dịch liên quan cho bên thứ 3 (không phải là bên mà thông tin cần được gửi đến).

    2. Nguy cơ bị tắc nghẽn, ngừng trệ thông tin và hiển nhiên là tắc nghẽn dòng chảy của “tiền điện tử”.

    3. Nguy cơ bị kẻ xấu làm sai lệch thông tin bằng một trong 3 cách:

    - “Bắt” thông tin ở giữa đường di chuyển từ “nguồn” đến “đích”, sửa đổi hay chèn, xoá thông tin và gửi đi tiếp.

    - Tạo một nguồn thông tin giả mạo để đưa các thông tin đánh lừa “đích”.

    - Tạo “đích” giả để lừa thông tin đến từ các nguồn “thật”. Chẳng hạn như kỹ thuật đánh lừa “Phishing” hay được nhắc tới gần đây. Tin tặc có thể tạo ra một “đích” giả giống hệt trang web giao dịch của NH để lừa khách hàng vào giao dịch, từ đó bắt được các mật khẩu của khách hàng. Kỹ thuật này tuy khá mới nhưng phát triển rất nhanh, đồng thời ngày càng được cải tiến tinh vi hơn về kỹ thuật. Ngoài ra còn có kỹ thuật “Pharming”. Khác với Phishing lừa người giao dịch vào một trang web có địa chỉ khác, nhưng được nguỵ trang bằng dòng chữ giống hệt địa chỉ của NH (mặc dù vậy, nếu tinh ý sẽ thấy dòng địa chỉ “lạ” hiện lên khi bấm vào đó) thì Pharming lừa đưa người giao dịch đến một trang web giả, mặc dù địa chỉ vẫn y như thật. Kẻ xấu thực hiện điều này sử dụng các kỹ thuật hack tinh vi như “DNS Cache Poisoning”.

    Phải làm gì để chống lại các nguy cơ đó?

    1. Trong trường hợp cả cơ sở dữ liệu chứa thông tin về thẻ và chủ thẻ bị đánh cắp, đúng ra là bị sao chép trộm, có thể xảy ra 2 tình huống:

    - Một là, dùng các kỹ thuật hacking cố gắng lợi dụng các điểm yếu để có thể từ xa, thậm chí có thể thông qua Internet, truy cập vào mạng có máy chủ CSDL

    - Hoặc là do kẻ xấu chính là người bên trong có thể tiếp cận vật lý đến CSDL.

    Kỹ thuật giảm thiểu tối đa nguy cơ này hiện nay không có gì khác là sử dụng các giải pháp mã hoá CSDL. Các giải pháp mã hoá CSDL có khả năng quản lý khoá tại một nơi riêng, sinh khoá theo từng dòng, cột, ô hay từng giao dịch. Kẻ xấu có thể sao chép, thậm chí mang cả máy chủ CSDL đi mà vẫn không lợi dụng được thông tin.

    Ngoài ra, cũng cần bảo vệ hệ thống chống lại các nguy cơ trái phép (Intrusion), kỹ thuật cơ bản ở đây chính là các hệ thống chống xâm nhập trái phép Intrusion Protection Systems (IPS). Một trong những thiết kế bảo mật chuẩn mực thông thường đều có khuyến cáo đặt thiết bị IPS (với tốc độ cao để không làm ảnh hưởng đến các truy cập từ các máy trạm) đằng trước khu vực các máy chủ quan trọng, nhất là các server farm hay trung tâm dữ liệu (Data Center).

    2. Sở dĩ các máy ATM hiện nay phải đối mặt với nhiều nguy cơ bị sâu máy tính tấn công vì đa số các máy này đều chạy trên nền điều hành Windows 2000 hay XP. Mỗi khi có một lỗ hổng mới được phát hiện đối với Windows, chúng ta cần phải kiểm tra xem các máy ATM đang sử dụng trong NH có bị ảnh hưởng hay không. Nếu có thì liệu phải “vá” lỗ hổng đó cho các máy ATM như thế nào. Công việc này có thể được tự động hoá nếu chúng ta sử dụng một công nghệ mới được hãng Trend Micro đưa ra gần đây là Network VirusWall 300 (NVW300) đặt đằng trước các máy ATM. Các thiết bị này sẽ được Trend Micro cập nhật tự động liên tục để bảo vệ các máy ATM sau nó.

    3. Đối với Phishing và Pharming, việc chống là không thể bởi vì khác với các hình thức tấn công khác nhằm vào NH (hay đối tác cung cấp dịch vụ cho NH), tấn công này nhằm vào các khách hàng của NH, mà họ thì quá đông và đa dạng. Tuy nhiên, thay vì phải “phủi tay” bằng cách gắn toàn bộ trách nhiệm giữ kín mật khẩu cho khách hàng, các tổ chức tài chính có giao dịch trực tuyến hiện nay cũng phải tìm các cách hỗ trợ khách hàng trong việc đảm bảo bí mật giao dịch. Khó khăn ở đây là các giải pháp truyền thống đòi hỏi hàng trăm đô-la đầu tư cho mỗi một khách hàng, vậy NH chịu chi phí này hay khách hàng chịu? Một trong những kỹ thuật mới, rẻ tiền nhằm giải quyết khó khăn kể trên là Indentity Guard do hãng Entrust mới đưa ra. Indentity Guard là một hệ thống tạo cho mỗi khách hàng một bảng giá trị (xem hình). Mỗi một lần giao dịch, thay vì (hoặc thêm vào) việc hỏi mật khẩu, ứng dụng NH sẽ hỏi vài giá trị trong một số ô ngẫu nhiên trong bảng. Ví dụ: A3=? B5=? C2=?... Nếu giả sử lần giao dịch đó bị lộ, kẻ xấu cũng không thể lợi dụng được lần sau. Tất nhiên bảng giá trị này sẽ thường xuyên được thay đổi và gửi đến khách hàng.

    Tóm lại, các nguy cơ với hệ thống CNTT NH luôn đổi mới về hình thức, kéo theo các kỹ thuật chống lại cũng ngày càng phát triển. Đây là cuộc rượt đuổi không có hồi kết thúc. Để giải quyết một cách cơ bản (mặc dù không bao giờ có thể triệt để được) các vấn đề về an toàn thông tin (ATTT), người ta đã đưa ra khái niệm Hệ Thống Quản Lý ATTT (ISMS - Information Security Management System) mà các tổ chức cần xây dựng để có thể thích ứng linh hoạt với sự thay đổi của các rủi ro của hệ thống CNTT. Hệ thống này được mô tả kỹ lưỡng trong chuẩn ISO17799- chuẩn quốc tế về an toàn thông tin- mà các NH có thể xem xét áp dụng.

    Vũ Quốc Thành

    ID: B0507_36