Tăng cường phối hợp trong phòng chống tội phạm thương mại điện tử

Tăng cường phối hợp trong phòng chống tội phạm thương mại điện tử Đỗ Ngọc Duy Trác Trung tâm Ứng cứu sự cố Máy tính Việt Nam Bộ Bưu Chính Viễn Thông Không gian mạng Đặc trưng gây mất an toàn cho internet Không có cơ chế định danh người dùng. Rất khó kiểm soát các giao tiếp. Là cộng đồng lớn mà lại không có luật chung. Thiếu phối hợp và giám sát giữa các tổ chức quản lý Internet. An ninh thông tin là một vấn đề mới. Sự chia sẻ và quản lý tài nguyên Internet không hợp lý. Không có cơ chế định danh người dùng Trong cuộc sống thực, các hành vi của con người sẽ được pháp luật chi phối. Danh tính của con người (khuôn mặt, màu tóc, dấu vân tay,…) có thể dùng để nhận dạng và gắn liền trách nhiệm với các hành vi của họ, vì thế con người rất có ý thức khi thực hiện các hành vi trong cuộc sống thực. Bản chất thiết kế của Internet không hề đòi hỏi người dùng phải xác thực khi sử dụng. Nếu muốn dùng internet, họ chỉ cần ngồi vào bất cứ máy tính nào có kết nối và sử dụng. Việc tạo ra một cơ chế định danh cho người dùng Internet đã không được thực hiện trong quá trình thiết kế ra Internet-yếu tố không lường trước. Được hỗ trợ bởi sự nặc danh, hành vi tội phạm trên mạng càng manh động. Rất khó kiểm soát các giao tiếp Về kỹ thuật, giao tiếp trên Internet là trực tiếp thuần tuý. A giao tiếp với B sẽ không cần phải xin phép C, bản chất thiết kế của Internet hỗ trợ điều này và mọi nỗ lực kiểm soát thông tin của C sẽ dễ dàng bị vô hiệu hoá. VD: nếu một ISP muốn chặn một trang web xấu dùng kỹ thuật firewall (một nỗ lực kiểm soát giao tiếp), người dùng có thể dễ dàng vô hiệu bằng vô số proxy sẵn có trên Internet hoặc các kỹ thuật tunneling khác. Không có luật chung Một cộng đồng hơn 1 tỷ thành viên với tất cả sự khác biệt chủng tộc, màu da, tôn giáo, … mà lại không có luật chi phối! Không có luật chung (tt) Vladimir Levin, một hacker 30 tuổi người Nga đã đánh cắp 10 triệu USD ra khỏi ngân hàng Citibank của Mỹ chuyển vào một tài khoản khác ở nước ngoài. Vladimir Levin bị bắt tại Anh và dẫn độ về Mỹ (theo luật dẫn độ ký kết giữa Anh và Mỹ). Hacker này bị kết án 3 năm tù giam, số tiền thu hồi được chỉ là 400 ngàn USD! Không có luật chung (tt) Đợt tấn công DDOS vào Yahoo.com, Ebay.com, Amazon.com và Buy.com tháng 02/2000 làm thiệt hại gần 1,7 tỷ USD. Thủ phạm là Mafiaboy, 17 tuổi, người Canada. Hình phạt là 8 tháng giam giữ trong trung tâm dành cho thanh thiếu niên hư hỏng theo luật Canada! Sau thời gian giam giữ mafiaboy bị thử thách và nộp phạt 160 USD Thiếu phối hợp và giám sát Hacker có thể từ một quốc gia A, điều khiển các hệ thống mạng của quốc gia B để tấn công từ chối dịch vụ vào hệ thống mạng của quốc gia C. Cho dù quốc gia C phát hiện được hệ thống mạng của quốc gia B đang bị lợi dụng để tấn công cũng rất khó yêu cầu quốc gia B phối hợp để ngăn chặn hay truy tìm thủ phạm vì cần phải có thỏa thuận trước cho các hoạt động phối hợp giữa các quốc gia. Đảm bảo an toàn thông tin và bảo vệ người dùng vẫn chỉ là một lựa chọn (KHÔNG bắt buộc) của các nhà cung cấp dịch vụ nên dẫn đến sự thiếu chú trọng cho các vấn đề an toàn thông tin Thiếu phối hợp và giám sát (tt) Rất nhiều vấn đề phức tạp của Internet về phương diện kỹ thuật rất dễ giải quyết, nhưng do thiếu phối hợp nên đã không giải quyết được cho đến hiện nay. Điển hình là vấn đề giả mạo địa chỉ IP. Nếu triệt tiêu được khả năng giả mạo địa chỉ IP thì gần như giải được bài toán nặc danh và cả những bài toán khác của Internet. Yêu cầu kỹ thuật để loại trừ vấn đề giả mạo địa chỉ IP là mỗi network owner phải thực hiện lọc (filter) kiểm soát các packet đi ra khỏi hệ thống của mạng mình (egress filtering) và loại trừ các packet có địa chỉ nguồn không thích hợp. Đây là một thao tác kỹ thuật rất đơn giản trên border router. Tuy nhiên, hơn hai mươi năm qua vấn đề giả mạo địa chỉ vẫn không giải quyết được! Một số sự kiện liên quan đến TMĐT VN Tháng 1: C15 bắt giữ các thành viên của một đường dây làm giả thẻ tín dụng. Sau đó, cơ quan điều tra quyết định khởi tố 7 đối tượng của đường dây này. Tháng 3: Website của công ty Vietco JSC bị tấn công DDOS nặng nề. Tất cả dịch vụ đình trệ suốt 1 tháng. Tháng 7: virus Rontokbro lây nhiễm mạnh ở Việt Nam; website của VDC bị hack; công ty hosting Nhân Hoà bị DDOS mạnh, thủ phạm bị bắt giữ sau đó Tháng 9: chodientu.com bị hack, phát tán mã độc thông qua website bị cướp tên miền Doanh nghiệp thương mại điện tử ! “Chúng tôi biết kêu ai, kẻ tấn công nằm trong bóng tối” anh Bảo ngậm ngùi. Anh Bảo cho biết anh đã báo cho Đội phòng chống tội phạm công nghệ cao (C15) của Bộ Công an, … và gõ mọi cánh cửa mà người khác mách bảo. Xong ai cũng nhận ra, việc giải quyết triệt để một vụ việc như thế này cần có sự phối hợp của rất nhiều cơ quan, tổ chức một cách nhịp nhàng, mà ở Việt Nam chưa có tiền lệ. “Nhiều lúc tôi có cảm giác như làm thương mại điện tử giống như đang sống ở miền Tây hoang dã của nước Mỹ cách đây hàng thế kỷ. Phải sống theo luật tự bảo vệ lấy mình, mạnh được yếu thua...” ông giám đốc Vietco JSC chua chát. Xu hướng mới của tội phạm TMĐT Việt Nam Lừa đảo quốc tế qua email (phishing) Các hoạt động liên quan đến làm giả, mua hàng, rửa tiền bằng thẻ tín dụng. Phát triển các mạng máy tính ma (bots network) để tổ chức tấn công từ chối dịch vụ, gửi thư rác, quảng cáo dạng popup,… Bảo kê và tấn công các hệ thống thương mại điện tử vì lý do kinh tế và cạnh tranh. Gửi thư rác vào không gian mạng Việt Nam với quy mô lớn. Xu hướng cạnh tranh không lành mạnh từ phía các doanh nghiệp TMĐT Thuê hacker phá hoại hoạt động TMĐT của đối thủ Sử dụng các dịch vụ gửi thư rác Sử dụng các dịch vụ quảng cáo trực tuyến dạng adware Thu thập thông tin người dùng bằng các thủ thuật spyware … Một số biện pháp ngăn chặn Bổ sung các hành vi có liên quan đến vi phạm, tội phạm trong lĩnh vực TMĐT trong Luật Hình Sự Bổ sung tính pháp lý của chứng cứ điện tử trong Luật Tố Tụng Hình Sự Triển khai các nghị định hướng dẫn Luật Giao dịch điện tử, Luật CNTT Xây dựng hệ thống điều phối cấp quốc gia Phát triển các tiêu chuẩn và khuyến cáo an toàn dành cho doanh nghiệp TMĐT Nâng cao nhận thức về một môi trường TMĐT trong sạch, cạnh tranh lành mạnh … Vấn đề ưu tiên nhất Làm thế nào để phối hợp tất cả các đơn vị, tiến hành đồng loạt và kiên quyết các biện pháp cần thiết để giải quyết một sự cố an toàn mạng nào đó ? Tại sao cần phải điều phối Có một số loại sự cố đòi hỏi các bên có liên quan phải đồng loạt thực hiện một biện pháp thì mới mang lại hiệu quả. Cần có điều phối cấp quốc gia để điều chỉnh Trách nhiệm giải quyết sự cố đôi khi không gắn liền trực tiếp (hoặc đi ngược) với quyền lợi của đơn vị tham gia giải quyết nên thường không được ủng hộ. Cần có điều phối cấp quốc gia để đôn đốc nhắc nhở Một số sự cố lớn muốn giải quyết cần có thông tin, thiết bị, nguồn lực vượt quá khả năng của một đơn vị. Cần có điều phối để huy động nguồn lực cấp quốc gia Phải có một đơn vị theo dõi tình hình chung,cảnh báo sớm, điều phối các đơn vị khác cùng tham gia giải quyết các sự cố lớn vượt quá sự quan tâm của một đơn vị. Trách nhiệm của điều phối quốc gia … Nhóm các đơn vị tham gia điều phối phản ứng sự cố VNCERT, VNNIC, C15, các ISP, các IXP, CERT các cơ quan Đảng, CERT khối nhà nước, CERT của các Bộ, cơ quan ngang bộ, … Xây dựng hạ tầng điều phối: phương tiện và đầu mối liên lạc-trao đổi thông tin ứng cứu sự cố Xây dựng quy trình phối hợp, chuẩn bị các điều kiện để hoạt động đúng như các quy trình đã vạch ra Tiến hành diễn tập, rà soát, hội thảo, … nâng cao ý thức và kỹ năng phản ứng trước các sự cố … Trung tâm Ứng cứu khẩn cấp Máy tính Việt Nam Tên viết tắt: VNCERT Thành lập theo Quyết đinh 339/2005/QĐ-TTg của Thủ tướng Chính phủ. Quyết định 13/2006/QĐ-BBCVT của Bộ trưởng Bộ BCVT quy định chức năng và quyền hạn. Chức năng nhiệm vụ của VNCERT(Quyết định 339/2005/QĐ-TTg) Chức năng điều phối các hoạt động ứng cứu sự cố máy tính trong toàn quốc. Cảnh báo kịp thời các vấn đề về an toàn mạng máy tính. Xây dựng, phối hợp xây dựng các tiêu chuẩn kỹ thuật về an toàn mạng máy tính. Thúc đẩy hình thành hệ thống các CERT trong các cơ quan, tổ chức, doanh nghiệp. Là đầu mối thực hiện hợp tác với các tổ chức CERT nước ngoài. Chức năng nhiệm vụ của VNCERT (Quyết định 13/2006/QĐ-BBCVT) Thu thập thông tin về an toàn mạng internet. Thống kê, tổng hợp phân tích các số liệu về an toàn mạng internet quốc gia để giúp cho các hoạt động quản lý nhà nước về an toàn bảo mật trong hoạt động viễn thông và công nghệ thong tin. Tham gia nghiên cứu phát triển công cụ kỹ thuật an toàn mạng máy tính, xây dựng chính sách, tiêu chuẩn quốc gia. Đẩy mạnh hoạt động ứng cứu khẩn cấp Máy tính và thúc đẩy hình thành hệ thống các Trung tâm CERT/CSIRT trong các cơ quan, tổ chức, doanh nghiệp. Chức năng nhiệm vụ của VNCERT (Quyết định 13/2006/QĐ-BBCVT) Tham gia, hợp tác với các tổ chức CERT trên thế giới. Là đầu mối quốc gia hợp tác với các trung tâm an toàn mạng quốc tế. Tham gia công tác quản lý nhà nước của Bộ trong lĩnh vực an toàn bảo mật mạng máy tính, đối với các hoạt động của các hiệp hội và tổ chức phi chính phủ trong lĩnh vực an toàn bảo mật mạng. Cung cấp dịch vụ an toàn mạng, các dịch vụ tư vấn, đào tạo, xây dựng hệ thống, nghiên cứu phát triển... Thực hiện các nhiệm vụ khác do Bộ trưởng giao. Một số khả năng điều phối Điều phối cảnh báo sớm. (APEC) Điều phối ngăn chặn phát tán mã độc hại. (YM) Điều phối hệ thống phân giải tên miền. (CĐT) Điều phối ngăn chặn hoạt động trái pháp luật Việt Nam trên mạng. (VoIP) Điều phối ngăn chặn và giảm thiểu thiệt hại của tấn công DDOS. … Trường hợp phát tán mã độc hại Trường hợp tấn công phân giải tên miền Trường hợp tấn công DDOS Một số hệ thống sẽ triển khai- Hệ thống cảnh báo sớm Hệ thống điều phối Hệ thống hỗ trợ điều tra sự cố và tội phạm mạng Hệ thống quan trắc và thống kê dữ liệu Lời kết Để có được một môi trường TMĐT an toàn và ổn định đòi hỏi sự nỗ lực toàn diện từ các cơ quan chức năng quản lý nhà nước, đến các doanh nghiệp và người dùng Internet Việt Nam. Với chức năng điều phối và quản lý nhà nước về an toàn thông tin VNCERT sẽ đóng vai trò tích cực nhất trong việc bảo vệ sự ổn định và phát triển không gian mạng Việt Nam. VNCERT nhận thức rõ tính ổn định và an toàn của không gian mạng là điều kiện tiên quyết để phát triển Chính phủ điện tử và TMĐT cho Việt Nam Chúng tôi mong sẽ nhận được sự hỗ trợ và nhất trí cao từ các cấp, các đơn vị để có thể làm tốt nhiệm vụ của mình. Thank You for your attention!