Giáo trình an ninh mạng 1 Truyền thông và mạng máy tính

Cuối năm 2014 các chuyên gia CNTT, được quy cho là từ Liên bang Nga, xâm nhập hệ thống máy tính của công ty vũ khí của Thụy Sĩ, RUAG, và đánh cắp trong số các dữ liệu khác các dự án

1

ỦY BAN NHÂN DÂN TP HỒ CHÍ MINH

TRƯỜNG CAO ĐẲNG CÔNG NGHỆ THỦ ĐỨC KHOA CÔNG NGHỆ THÔNG TIN

2

LỜI GIỚI THIỆU

An ninh mạng 1 là học phần chuyên ngành giúp sinh viên hiểu và vận dụng các nguyên tắc cơ bản về bảo mật và an toàn dữ liệu trên mạng, các phương pháp nhận dạng tấn công và ngăn chặn các mã độc hại Ngoài ra học phần cũng giới thiệu và cách cấu hình cơ bản của các thiết bị bảo vệ hệ thống mạng phổ biến hiện nay Thông qua các hoạt động học tập, giúp sinh viên vận dụng khả năng tư duy một cách có hệ thống, khả năng tự học và kỹ năng làm việc nhóm thực hiện theo các yêu cầu của môn học

Giáo trình này được biên soạn dựa theo đề cương học phần “An ninh mạng 1” của Khoa Công nghệ thông tin Trường Cao đẳng Công nghệ Thủ Đức

Do giáo trình phát hành lần đầu nên sẽ không tránh khỏi những sai sót về nội dung lẫn hình thức, tác giả biên soạn rất mong nhận được sự góp ý chân thành từ Quý thầy cô và các em sinh viên để giáo trình hoàn thiện hơn

TP Hồ Chí Minh, ngày 01 tháng 08 năm 2019

Tham gia biên soạn Chủ biên: Lê Diên Tâm

3

MỤC LỤC

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG 7

1.1 Khái niệm về an toàn mạng 7

1.1.1 Lịch sử các cuộc tấn công 7

1.1.2 Các khái niệm liên quan 8

1.1.3 Trạng thái của dữ liệu 12

1.2 Nguyên nhân và hậu quả 13

CHƯƠNG 2 : TẤN CÔNG MẠNG VÀ CÁC MỐI NGUY HẠI 16

2.1 Lổ hỗng bảo mật 16

2.1.1 Nguồn gốc lổ hổng bảo mật 16

2.1.2 Phân loại lỗ hổng 16

2.2 Các mối nguy hại 17

2.2.1 Virus 17

2.2.2 Worm 23

2.2.3 Trojan horse 26

2.2.4 Logic bomb 31

2.2.5 Backdoors 34

2.2.6 Spyware 38

2.3 Các kiểu tấn công mạng và phòng chống 42

2.3.1 Eavesdropping 42

2.3.2 Cryptanalysis 44

4

2.3.3 Identity Spoofing 47

2.3.4 Buffer-Overflow Exploitations 50

2.3.5 Repudiation 53

2.3.6 Denial of Service Attacks 55

CHƯƠNG 3: PHÒNG CHỐNG TẤN CÔNG 66

3.1 Mô hình AAA trong bảo mật hệ thống mạng 66

3.1.1 Authentication 66

3.1.2 Authorization 68

3.1.3 Auditting 71

3.2 Các giao thức bảo mật 73

3.2.1 SSH 73

3.2.2 SSL/TLS 75

3.2.3 PGP và S/MINE 78

3.2.4 Kerberos 80

3.3 Hệ thống Firewall 85

3.3.1 Định nghĩa 85

3.3.2 Đặc điểm, cơ chế hoạt động 86

3.3.3 Firewall cứng 93

3.3.4 Firewall mềm 93

3.4 Bảo mật mạng không dây 94

3.4.1 Giới thiệu về mạng không dây 94

3.4.2 Các mối đe dọa 96

5

3.4.3 WEP, WPA, WPA2 97

3.4.4 Phương pháp và công cụ tấn công 99

3.4.5 Các công cụ tấn công mạng không dây 113

3.4.6 Biện pháp phòng chống 117

CHƯƠNG 4: GIẢI PHÁP AN NINH MẠNG 128

4.1 Phân tích mô hình 128

4.2 Một số mô hình mạng phổ biến 129

4.3 Một số tiêu chí khi thiết kế mô hình mạng bảo mật 131

4.4 Hướng dẫn cài đặt và cấu hình một số loại Firewall 133

4.4.1 IPtable 133

4.4.2 PfSense 139

Tài liệu tham khảo 183

1

DANH MỤC HÌNH ẢNH

Hình 1.1 Mô hình CIA 10

Hình 2.1 Chương trình yêu cầu mật khẩu người dùng 52

Hình 2.2 Lỗi tràn bộ đệm 52

Hình 2.3 Tấn công từ chối dịch vụ 56

Hình 3.1 Hệ thống firewall trên windows 87

Hình 3.2 Quy tắc hoạt động của firewall 89

Hình 3.3 Tấn công bị động 100

Hình 3.4 Phần mềm bắt gói tin Ethereal 102

Hình 3.5 Phần mềm thu thập thông tin hệ thống mạng không dây NetStumbler 102

Hình 3.6 Tấn công chủ động 103

Hình 3.7 Mô tả quá trình tấn công DOS tầng liên kết dữ liệu 106

Hình 3.8 Mô tả quá trình tấn công mạng bằng AP giả mạo 108

Hình 3.9 Mô tả quá trình tấn công theo kiểu chèn ép 111

Hình 3.10 Mô tả quá trình tấn công theo kiểu thu hút 111

Hình 4.1 Mô hình mạng sử dụng 1 firewall 129

Hình 4.2 Mô hình mạng sử dụng 2 firewall 130

Hình 4.3 Mô hình mạng sử dụng 3 firewall 131

2

Danh mục bảng

Bảng 1: Những module giúp đỡ của NAT 135

Bảng 2 Các lệnh tùy chọn trong IP table 138

Bảng 3 Các câu lệnh lưu và phục hồi IPtable 138

Bảng 4 Lệnh ghi lại IPtable 139

3

Danh mục từ viết tắt

CIA Confidentiality – integrity - availability

ACID Atomicity- consistency- isolation- durability

HTTP HyperText Transfer Protocol

CFAA Computer Fraud and Abuse Act

TCP Transmission Control Protocol

VoIP Voice over Internet Protocol

HTTPS Hypertext Transfer Protocol Secure

ACPA Adaptive Chosen-plaintext Attack

ARP Address Resolution Protocol

4

DDoS Distributed Denial of Service

ICMP Internet Control Message Protocol

ISP Internet Service Provider

IPS Intrusion Protection Systems

AAA Authentication-Authorization- Auditing

DAC Dicscretionary Access Control

RBAC Role Based Access Control

S/MIME Secure/Multipurpose Internet Mail Extensions

5

GIÁO TRÌNH HỌC PHẦN Tên học phần: An ninh mạng 1

2 Tính chất

Học phần chuyên ngành đào tạo bắt buộc

3 Ý nghĩa vai trò của học phần

Học phần giúp sinh viên hiểu và vận dụng các nguyên tắc cơ bản về bảo mật và an toàn dữ liệu trên mạng, các phương pháp nhận dạng tấn công và ngăn chặn các mã độc hại Ngoài ra học phần cũng giới thiệu và cách cấu hình cơ bản của các thiết bị bảo vệ hệ thống mạng phổ biến hiện nay Bên cạnh đó học phần đóng vai trò trọng tâm trong việc lựa chọn nghề nghiệp chuyên ngành cho sinh viên

II Mục tiêu học phần

1 Kiến thức

- Trình bày được các khái niệm cơ bản về bảo mật và an toàn an toàn mạng

- Trình bày được các mối nguy hại, các loại hình tấn công mạng thường gặp

2 Kỹ năng

- Cài đặt và cấu hình được các chức năng cơ bản của Firewall và các công cụ bảo

vệ hệ thống mạng

3 Năng lực tự chủ và trách nhiệm

6

- Sử dụng kỹ năng tổ chức làm việc nhóm và giao tiếp giữa các thành viên trong nhóm như: tuân thủ quy định về công việc được giao và kế hoạch làm việc của nhóm về các đề tài được giao;

- Sử dụng kỹ năng đọc hiểu tài liệu bằng tiếng nước ngoài, trung thực, tuân thủ nội quy, quy định, làm việc có trách nhiệm và biết chịu trách nhiệm tại nơi làm việc

7

CHƯƠNG 1: TỔNG QUAN VỀ AN NINH MẠNG

- Giới thiệu tổng quan về các phần đề an ninh mạng bao gồm các khái niệm, kiến

thức cơ bản, nguyên nhân và hậu quả của các cuộc tấn công mạng

- Trình bày các khái niệm cơ bản về an toàn và bảo mật mạng

- Trình bày các nguyên nhân dẫn đến tấn công mạng và hậu quả

1.1 Khái niệm về an toàn mạng

1.1.1 Lịch sử các cuộc tấn công

Trong nhiều năm qua, với sự phát triển của công nghệ thông tin, hệ thống bảo mật cũng có những sự phát triển mạnh mẽ nhưng đi cùng với đó là mặt đen tối đối lập, nơi mà những tin tặc luôn tìm ra những khe hở để tấn công bất cứ hệ thống công nghệ thông tin của gần như tất cả mọi quốc gia nhằm đem lại lợi ích cá nhân cho chúng

Trong lịch sử phát triển của công nghệ thông tin toàn cầu cũng đã ghi nhận rất nhiều những vụ tấn công đình đám do tin tặc tiến hành gây ra nhiều thiệt hại về kinh

tế cũng như an ninh quốc gia

Tháng 11 năm 2009, xảy ra một sự cố tin tặc tại trung tâm nghiên cứu khí hậu của Đại học East Anglia, còn được gọi là Climategate trong giới truyền thông, qua đó các tài liệu của các nhà nghiên cứu tại Đơn vị nghiên cứu khí hậu của Đại học East Anglia (Vương quốc Anh) bị tin tặc đánh cắp và đưa lên Internet Sự cố này và các cáo buộc về sự không trung thực khoa học sau đó đối với các nhà khoa học khí hậu ngay trước thềm Hội nghị biến đổi khí hậu của Liên Hợp Quốc tại Copenhagen gây

ra các cuộc tranh cãi sôi nổi trên các blog và được đề cập đến trong các phương tiện truyền thông quốc tế

Vào ngày 20 tháng 3 năm 2013 có xảy ra một vụ tấn công mạng chống lại các ngân hàng và đài truyền hình Hàn Quốc Cùng lúc đó xuất hiện những xáo trộn lớn

8

trong hệ thống mạng máy tính Bộ Quốc phòng Hàn Quốc tại Seoul đã nâng mức cảnh báo đối với các mối đe dọa trên mạng lên điểm 3 trong một quy mô 5 điểm Cuối năm 2014 các chuyên gia CNTT, được quy cho là từ Liên bang Nga, xâm nhập hệ thống máy tính của công ty vũ khí của Thụy Sĩ, RUAG, và đánh cắp trong số các dữ liệu khác các dự án bí mật của Bộ Quốc phòng, trong đó có thông tin về AAD 10

Trong cùng năm đó dữ liệu của 500 triệu người sử dụng tại Yahoo bị đánh cắp

Bộ Tư pháp Mỹ đưa ra trong vấn đề này vào tháng 3 năm 2017 một bản cáo trạng đối với hai nhân viên mật vụ FSB của Nga

Tháng 6 năm 2015, có một cuộc tấn công mạng toàn diện vào Bundestag Đức Trong tháng 12 năm 2015, có một cuộc tấn công của hacker vào cơ quan cung cấp điện lực Ukraina, dẫn đến vài giờ mất điện ở miền tây Ukraina Nước Nga bị đổ lỗi cho các cuộc tấn công này

Năm 2016 những kẻ phạm pháp đã nhiều lần tìm cách lọt vào hệ thống trả tiền toàn cầu SWIFT Một lần họ đã thành công và cướp được trong tháng 2 năm 2016 ít nhất là 81 triệu Dollar từ ngân hàng trung ương Bangladesh

Tháng 5 năm 2017, một cuộc tấn công mạng toàn cầu với phần mềm độc hại WannaCry, lợi dụng một lỗ hổng của Windows, khóa ổ cứng của trên 230 ngàn máy tính từ 150 quốc gia

Tháng 2/2018, hơn 4.000 website, trong đó có cả của chính phủ Anh, Mỹ, Australia đồng loạt gặp sự cố bảo mật Nguyên nhân đến từ một plugin của bên thứ

ba có cài sẵn mã độc âm thầm đào tiền ảo nhưng người dùng máy tính bị nhiễm không hề hay biết

1.1.2 Các khái niệm liên quan

9

Khái niệm an toàn thông tin mạng (information security), an toàn máy tính (computer security), đảm bảo thông tin (information assurance) được sử dụng hoán

đổi cho nhau Những lĩnh vực này liên quan nội bộ với nhau, thường xuyên chia sẻ

những mục đích chính của việc bảo vệ các khía cạnh tính bí mật (confidentiality), toàn vẹn (integrity) và tính sẵn sàng (availability) của thông tin; tuy nhiên, lại có một

số khác biệt giữa chúng

An toàn thông tin mạng (information security) là cách ngăn chặn truy cập trái

phép, sử dụng, tiết lộ, phá vỡ, sửa đổi, kiểm tra, ghi lại hoặc phá hủy thông tin Thông tin hoặc dữ liệu có thể ở bất kỳ dạng nào Trọng tâm chính của bảo mật thông tin là bảo vệ cân bằng tính bảo mật, tính toàn vẹn và tính sẵn có của dữ liệu (còn được gọi là bộ ba CIA) trong khi duy trì sự tập trung vào việc thực thi chính sách hiệu quả, tất cả mà không cản trở năng suất của tổ chức Điều này phần lớn đạt được thông qua quy trình quản lý rủi ro gồm nhiều bước xác định tài sản, nguồn đe dọa,

lỗ hổng, tác động tiềm tàng và kiểm soát có thể, sau đó là đánh giá hiệu quả của kế hoạch quản lý rủi ro

An toàn máy tính (computer security): là các phương pháp được đưa ra để cung

cấp tính bảo mật, tính toàn vẹn và tính sẵn sàng cho tất cả các thành phần của hệ thống máy tính Những thành phần này bao gồm dữ liệu, phần mềm, phần cứng và firmware

Đảm bảo thông tin (information assurance): là thực hành bảo vệ chống lại và

quản lý rủi ro liên quan đến việc sử dụng, lưu trữ và truyền dữ liệu và hệ thống thông tin

Tam giác CIA (Confidenttiality, integrity, availability) là khái niệm cơ bản, cốt

lõi của an toàn thông tin

Có rất nhiều cuộc tranh luận về việc mở rộng tam giác này thành nhiều yếu tố

hơn Những nguyên lý như: tính trách nhiệm (Accountability) đôi khi được đề xuất

10

thêm vào nguyên lý cơ bản Thực tế đã chỉ ra rằng ví dụ như tính không thể chối cãi

(Non – Repudiation) không thể biểu diễn bởi tam giác trên, và với sự phát triển của

hệ thống máy tính như hiện nay, vấn đề pháp lý (Legality) cũng trở thành một nhân tố rất quan trọng

Trong năm 1992 và sửa đổi năm 2002, hướng dẫn của tổ chức OECD về bảo mật cho các hệ thống thông tin và mạng đã để xuất 9 nguyên tắc cơ bản sau: tính nhận thức (Awareness), tính trách nhiệm (Responsibility), tính phản hồi (Response), đạo đức (Ethics), tính dân chủ (Democracy), đánh giá rủi ro (Risk Assessment), thiết kế bảo mật và thực thi, quản lý bảo mật, và đánh giá lại (Reassessment) Tiếp nối từ đó, năm 2004, tổ chức NIST đã đưa ra các luật bảo mật thông tin, trong đó đề xuất 33 nguyên tắc

Năm 2002, Donn Parker đã đề xuất một mô hình tương đường với tam giác CIA, được gọi là 6 nhân tố cơ bản của thông tin Các nhân tố đo là: bí mật (confidentiality),

sở hữu (possession), toàn vẹn (integrity), xác thực (authenticity), sẵn sàng (availability) và tiện ích (utility)

Hình 1.1 Mô hình CIA

11

Tính bí mật

Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượng không được xác thực hoặc để lọt vào các hệ thống khác Chẳng hạn như một giao dịch tín dụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng Hệ thống sẽ cố gắng thực hiện tính

bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằng việc giới hạn truy cập những nơi mà nó được lưu lại Nếu một bên không được xác thực (ví

dụ người dùng không có trong giao dịch, hacker…) lấy số thẻ này bằng bất kì cách nào, thì tính bí mật không còn nữa

Tính bí mật rất cần thiết (nhưng chưa đủ) để duy trì sự riêng tư của người có thông tin được hệ thống lưu giữ

Tính toàn vẹn

Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa

mà không bị phát hiện Nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nhất quán như được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhất quán (consistency), tính tính cách ly (isolation), tính lâu bền (durability) – là một tập các thuộc tính đảm bảo rằng cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch Hệ thống thông tin an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật

Tính sẵn sàng

Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần thiết Điều đó có nghĩa rằng hệ thống tính toán sử dụng để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác Hệ thống có tính

12

sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chối dịch vụ

Tính xác thực

Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xác thực là vô cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tài liệu (tài liệu điện tử hoặc tài liệu cứng) đều là thật (genuine) Nó cũng quan trọng cho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống

Tính không thể chối cãi

Tính Không thể chối cãi có nghĩa rằng một bên giao dịch không thể phủ nhận việc

họ đã thực hiện giao dịch với các bên khác Ví dụ: trong khi giao dịch mua hàng qua mạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh toán thành công, thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thống không đảm bảo tính an toàn thông tin trong giao dịch)

1.1.3 Trạng thái của dữ liệu

Một trạng thái dữ liệu mô tả các chế độ khác nhau theo đó dữ liệu được sử dụng bởi thiết bị máy tính Thuật ngữ này áp dụng cho bảo mật thông tin và nỗ lực mã hóa dữ liệu Có tổng cộng ba trạng thái dữ liệu cơ bản:

Data in Rest: Là dữ liệu được lưu trữ để sử dụng sau này Điều này thường đề

cập đến dữ liệu trong cơ sở dữ liệu hoặc tệp có chức năng như hệ thống, ứng dụng , người dùng hoặc dữ liệu sao lưu Dữ liệu đó được lưu trữ trên một thiết bị lưu trữ dữ liệu như ổ cứng, có thể được đặt cục bộ hoặc trên cơ sở hạ tầng từ xa như dịch vụ đám mây Nó là phổ biến để mã hóa tất cả các dữ liệu trong phần còn lại Ví dụ, toàn

bộ ổ cứng có thể được mã hóa và dữ liệu có thể được mã hóa ở cấp độ tệp, cơ sở dữ liệu hoặc dữ liệu

13

Data in Use: Là dữ liệu đã được kéo vào bộ nhớ hoặc hiện đang được xử lý Ví

dụ: dữ liệu hồ sơ người dùng được lưu trữ trong bộ nhớ của điện thoại để cung cấp API cho các ứng dụng Dữ liệu được sử dụng là loại dữ liệu khó mã hóa nhất vì đây

là loại có khả năng ảnh hưởng nhất đến hiệu suất Dữ liệu đó có thể được truy cập nhiều lần vì người dùng đang chờ phản hồi từ một ứng dụng Trước đây, dữ liệu được

sử dụng thường không được mã hóa Một số phần cứng hiện đại hỗ trợ mã hóa dữ liệu được lưu trữ trong bộ nhớ hoặc dữ liệu đang được CPU xử lý

Data in Transit: Là dữ liệu đang được gửi qua mạng hoặc chuyển cục bộ giữa

các thiết bị Dữ liệu trong quá cảnh có thể đi qua các mạng công cộng nơi mà thực thể độc hại có thể dễ dàng lấy được Như vậy, việc mã hóa dữ liệu trong quá trình là rất phổ biến Ví dụ: phiên giữa máy chủ web và thiết bị người dùng thường được mã hóa bằng giao thức được gọi là HTTP

1.2 Nguyên nhân và hậu quả

Đối tượng bị tấn công có thể là cá nhân, doanh nghiệp, tổ chức hoặc nhà nước Hacker sẽ tiếp cận thông qua mạng nội bộ (gồm máy tính, thiết bị, con người) Trong yếu tố con người, hacker có thể tiếp cận thông qua thiết bị mobile, mạng xã hội, ứng dụng phần mềm

Mục đích tấn công mạng thường có hai loại và gây ra các hệ quả đi kèm:

- Tích cực: Tìm ra những lỗ hổng bảo mật, những nguy cơ tấn công mạng cho

cá nhân và tổ chức từ đó chỉ ra các giải pháp phòng chống, ngăn chặn sự đe dọa từ tin tặc

- Tiêu cực: Phá hoại, lừa đảo tống tiền, mua vui, đe dọa nạn nhân

Một số ví dụ về tấn công mạng:

- Trong cùng một hệ thống mạng LAN (mạng nội bộ), tin tặc có thể xâm nhập vào hệ thống của công ty Hacker đó sẽ đóng vai như một người dùng thật trong hệ thống, sau đó tiến hành xâm nhập vào tệp chứa tài liệu bí mật của

15

CÂU HỎI ÔN TẬP

Câu 1 Khái niệm an toàn thông tin mạng

Câu 2 Trình bày mô hình tam giác CIA

Câu 3 Trạng thái của dữ liệu là gì? Cho ví dụ?

Câu 4 Phân biệt các mục đích của việc tấn công mạng?

Câu 5 Cho ví dụ về các cuộc tấn công mạng thường gặp và phân tích các hậu quả

đi kèm?

16

CHƯƠNG 2 : TẤN CÔNG MẠNG VÀ CÁC MỐI NGUY HẠI

- Trình bày về các lỗ hổng bảo mật, các khái niệm về các mối nguy hại và các kiểu tấn công mạng

- Trình bày khái niệm và đặc điểm của các mối nguy hại mạng thường gặp

- Mô tả cách hoạt động của các loại hình tấn công mạng thường gặp

2.1 Lổ hỗng bảo mật

Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ hệ thống đó cung cấp, dựa vào đó tin tặc có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt tài nguyên bất hợp pháp

2.1.1 Nguồn gốc lổ hổng bảo mật

Có nhiều nguyên nhân gây ra lỗ hổng bảo mật: thêm quyền đối với người sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống Các lỗ hổng cũng có thể còn tồn tại ngay chính tại hệ điều hành như trong hệ điều hành Windows, UNIX, hệ điều hành các thiết bị router, modem hoặc trong các ứng dụng thường xuyên sử dụng như word processing, các hệ Databases

Do lỗi bản thân hệ thống, do người quản trị yếu kém không hiểu sâu sắc các dịch

vụ cung cấp, do người sử dụng có ý thức bảo mật kém Điểm yếu ở yếu tố con người cũng được xem là lỗ hổng bảo mật

2.1.2 Phân loại lỗ hổng

Có ba loại lỗ hổng bảo mật:

- Lỗ hổng loại A: cho phép người ngoài hệ thống có thể truy cập bất hợp pháp vào hệ thống, có thể phá hủy toàn bộ hệ thống

- Lỗ hổng loại B: lỗ hổng cho phép người sử dụng có thêm các quyền truy cập

hệ thống mà không cần kiểm tra tính hợp lệ dẫn đến lộ, lọt thông tin

- Lỗ hổng loại C: cho phép thực hiện tấn công kiểu DoS (Denial of Services –

từ chối dịch vụ) làm ảnh hướng tới chất lượng dịch vụ, ngưng trệ, gián đoạn

2.2 Các mối nguy hại

2.2.1 Virus

2.2.1.1 Virus là gì?

Virus máy tính là một chương trình độc hại tự sao chép bằng cách sao chép chính

nó sang chương trình khác Nói cách khác, virus máy tính tự lây lan sang các mã hoặc tài liệu thực thi khác Mục đích của việc tạo ra virus máy tính là lây nhiễm các

hệ thống dễ bị tấn công, giành quyền kiểm soát quản trị viên và đánh cắp dữ liệu nhạy cảm của người dùng Tin tặc thiết kế virus máy tính với mục đích xấu và làm mồi cho người dùng trực tuyến bằng cách lừa chúng

2.2.1.2 Lịch sử của virus máy tính

Robert Thomas, một kỹ sư tại BBN Technologies đã phát triển virus máy tính được biết đến đầu tiên vào năm 1971 Loại virus đầu tiên được đặt tên là virus Cree Creeper, và chương trình thử nghiệm được thực hiện bởi các máy tính lớn bị nhiễm Thomas trên ARPANET Thông báo teletype hiển thị trên màn hình, đọc “I’m the creeper: Catch me if you can”

Những virus máy tính hoang dã ban đầu, có lẽ là virus đầu tiên được theo dõi trong lịch sử virus máy tính là virus Elk Cloner Elk Cloner đã lây nhiễm hệ điều hành Apple II thông qua các đĩa mềm Thông báo hiển thị trên Máy tính Apple bị nhiễm là một tin nhắn hài hước Virus được phát triển bởi Richard Skrenta, một thiếu

18

niên vào năm 1982 Mặc dù virus máy tính được thiết kế như một trò chơi khăm, nó cũng đã làm sáng tỏ cách thức một chương trình độc hại có thể được cài đặt trong bộ nhớ của máy tính và ngăn người dùng gỡ bỏ chương trình

Fred Cohen, người đã đặt ra thuật ngữ virut máy tính trực tuyến và đó là sau một năm vào năm 1983 Thuật ngữ này ra đời khi ông cố gắng viết một bài báo học thuật

có tựa đề Virus máy tính - Lý thuyết và thử nghiệm chi tiết về các chương trình độc hại trong công việc của anh ta

2.2.1.3 Phân loại virus

Một virus máy tính là một loại phần mềm độc hại mà chèn mã virus của nó để nhân bản thân bằng cách thay đổi các chương trình và ứng dụng Máy tính bị lây nhiễm thông qua việc sao chép mã độc

Virus máy tính có nhiều dạng khác nhau để lây nhiễm vào hệ thống theo những cách khác nhau Một số loại virus phổ biến nhất là:

- Boot sector Virus: Loại virus này lây nhiễm vào bản ghi khởi động chính và

nó là một nhiệm vụ phức tạp và khó khăn để loại bỏ virus này và thường yêu cầu hệ thống phải được định dạng Chủ yếu là nó lây lan qua phương tiện di động

- Direct Action Virus: Đây còn được gọi là virus không thường trú, nó được

cài đặt hoặc ẩn trong bộ nhớ máy tính Nó vẫn gắn liền với loại tệp cụ thể mà

nó lây nhiễm Nó không ảnh hưởng đến trải nghiệm người dùng và hiệu suất của hệ thống

- Resident Virus: Không giống như virus Direct Action Virus, virus thường

trú được cài đặt trên máy tính Rất khó để xác định virus và thậm chí rất khó

để loại bỏ virus thường trú

- Virus đa nhân - Loại virus này lây lan qua nhiều cách Nó lây nhiễm cả khu vực khởi động và tập tin thực thi cùng một lúc

19

- Multipartite Virus: Những loại virus này rất khó xác định bằng chương trình

chống virus truyền thống Điều này là do các virus đa hình làm thay đổi mẫu chữ ký của nó bất cứ khi nào nó sao chép

- Overwrite Virus: Loại virus này xóa tất cả các tệp mà nó lây nhiễm Cơ chế

duy nhất có thể xóa là xóa các tệp bị nhiễm và người dùng cuối phải mất tất

cả nội dung trong đó Xác định virus ghi đè là khó khăn vì nó lây lan qua email

- Spacefiller Virus: Đây cũng được gọi là Virus Cavity Virus Điều này được

gọi để chúng lấp đầy khoảng trống giữa mã và do đó không gây ra bất kỳ thiệt hại nào cho tệp

- Overwrite Viruses: Mục đích thiết kế virus có xu hướng thay đổi và Ghi đè

virus chủ yếu được thiết kế để phá hủy dữ liệu của tệp hoặc ứng dụng Như tên đã nói lên tất cả, virus sau khi tấn công máy tính bắt đầu ghi đè lên các tệp bằng mã riêng của nó Không được xem nhẹ, những virus này có khả năng nhắm mục tiêu vào các tệp hoặc ứng dụng cụ thể hoặc ghi đè lên một cách có

hệ thống tất cả các tệp trên thiết bị bị nhiễm Trên flipside, virus ghi đè có khả năng cài đặt một mã mới trong các tệp hoặc ứng dụng để chương trình phát tán virus sang các tệp, ứng dụng và hệ thống bổ sung

- Polymorphic Viruses: Ngày càng có nhiều tội phạm mạng phụ thuộc vào

virus đa hình Đây là loại phần mềm độc hại có khả năng thay đổi hoặc thay đổi mã cơ bản mà không thay đổi các chức năng hoặc tính năng cơ bản của nó Điều này giúp virus trên máy tính hoặc mạng tránh được sự phát hiện từ nhiều sản phẩm chống phần mềm độc hại và phát hiện mối đe dọa Vì các chương trình loại bỏ virus phụ thuộc vào việc xác định chữ ký của phần mềm độc hại, các virus này được thiết kế cẩn thận để thoát khỏi việc phát hiện và nhận dạng Khi một phần mềm bảo mật phát hiện virus đa hình, virus sẽ tự sửa đổi do đó,

nó không còn có thể được phát hiện bằng cách sử dụng chữ ký trước đó

20

- Resident Viruses: Resident tự cấy vào bộ nhớ của máy tính Về cơ bản,

chương trình virus ban đầu không bắt buộc phải lây nhiễm các tệp hoặc ứng dụng mới Ngay cả khi virus gốc bị xóa, phiên bản được lưu trong bộ nhớ vẫn

có thể được kích hoạt Điều này xảy ra khi hệ điều hành máy tính tải các ứng dụng hoặc chức năng nhất định Các virus thường trú gây rắc rối do lý do chúng có thể chạy không được chú ý bởi phần mềm chống virus và phần mềm chống virus bằng cách ẩn trong RAM của hệ thống

- Rootkit Viruses: rootkit là loại phần mềm độc hại bí mật cài đặt rootkit bất

hợp pháp trên hệ thống bị nhiễm Điều này mở ra cánh cửa cho những kẻ tấn công và cung cấp cho họ toàn quyền kiểm soát hệ thống Kẻ tấn công sẽ có thể sửa đổi hoặc vô hiệu hóa các chức năng và chương trình một cách cơ bản Giống như các loại virus tinh vi khác, virus rootkit cũng được tạo ra để vượt qua phần mềm chống virus Các phiên bản mới nhất của các chương trình chống virus và phần mềm chống virus chính bao gồm quét rootkit

- System or Boot-record Infectors: Boot-record Infectors lây nhiễm mã thực

thi được tìm thấy trong các khu vực hệ thống cụ thể trên đĩa Đúng như tên gọi, chúng gắn vào ổ USB và khu vực khởi động DOS trên đĩa hoặc Bản ghi khởi động chính trên đĩa cứng Virus khởi động không còn phổ biến ngày nay

vì các thiết bị mới nhất phụ thuộc ít hơn vào phương tiện lưu trữ vật lý

2.2.1.4 Các hình thức lây nhiễm

Virus lây nhiễm theo cách cổ điển

Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số

21

Virus lây nhiễm qua thư điện tử

Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống

Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn

Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus

có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó

Phương thức lây nhiễm qua thư điển tử bao gồm:

- Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail): Khi đó

người dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc điểm này các virus thường được "trá hình" bởi các tiêu

đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)

- Lây nhiễm do mở một liên kết trong thư điện tử: Các liên kết trong thư điện

tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus

22

- Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm

bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus Cách này thường khai thác các lỗi của hệ điều hành

2.2.1.5 Dấu hiệu nhiễm virus

Điều quan trọng đối với bất kỳ người dùng máy tính nào là nhận thức được các dấu hiệu cảnh báo này:

- Hiệu suất hệ thống chậm hơn

- Cửa sổ bật lên bắn phá màn hình

- Các chương trình tự chạy

- Các tập tin tự nhân / sao chép

- Các tệp hoặc chương trình mới trong máy tính

- Tệp, thư mục hoặc chương trình bị xóa hoặc bị hỏng

- Âm thanh của ổ cứng

2.2.1.6 Cách phòng tránh

Để phòng tránh virut, chúng ta thực hiện một số biện pháp:

- Không mở tệp đính kèm email trừ khi bạn đang mong đợi nó và biết nó đến

từ ai

- Không mở bất kỳ tệp, tài liệu, bảng tính không thể yêu cầu nào, vv

- Tránh tải xuống các tài liệu thực thi hoặc tài liệu từ Internet, vì chúng thường được sử dụng để phát tán vi-rút

- Không bao giờ mở tệp có phần mở rộng tệp kép, ví dụ: filename.txt.vbs Đây là một dấu hiệu điển hình của một chương trình virus

- Không gửi hoặc chuyển tiếp bất kỳ tệp nào mà bạn chưa kiểm tra vi-rút trước tiên

- Những kẻ tạo ra virus và những kẻ gửi thư rác thường hợp tác trong các kế hoạch lệch lạc để gửi càng nhiều thư rác càng hiệu quả càng tốt Chúng tạo

23

ra vi-rút lây nhiễm các máy tính dễ bị tổn thương trên khắp thế giới và biến chúng thành các robot tạo ra spam spam Các máy tính bị nhiễm sau đó gửi một lượng lớn thư rác, không biết đến chủ sở hữu máy tính

- Những email được tạo ra như vậy thường bị giả mạo dường như được gửi

từ các địa chỉ hợp pháp được thu thập từ sổ địa chỉ trên các máy tính bị nhiễm Các virus cũng sử dụng dữ liệu đó, kết hợp với danh sách tên (người dùng) phổ biến, để gửi thư rác đến số lượng lớn người nhận Nhiều trong số những tin nhắn đó sẽ được trả lại dưới dạng không gửi được và đến Hộp thư đến của người dùng email vô tội và không biết Nếu điều này xảy ra với bạn, hãy sử dụng bộ lọc thư rác có thể huấn luyện để bắt những tin nhắn

2.2.2.2 Lịch sử của worm

Trên thực tế thuật ngữ "sâu máy tính" được sử dụng lần đầu tiên vào năm 1975 trong cuốn tiểu thuyết Shockwave Rider của John Brunner Trong cuốn tiểu thuyết này, tác giả Nichlas Haflinger đã mô tả thiết kế và đặt ra một "worm" có chức năng thu thập dữ liệu (data-gathering) nhằm trả thù những người vận hành trang web thông tin điện tử quốc gia “Bạn có worm lớn nhất tiềm ẩn trên mạng, và nó sẽ tự động phá hoại mọi nỗ lực kiểm soát nó”

2.2.2.3 Phân loại worm

Sâu máy tính tự nhân lên trong một nỗ lực để lây nhiễm sang tất cả các mạng khác

có chung kết nối với hệ thống máy chủ của chúng Do sự lây lan của sâu máy tính,

hệ thống bị nhiễm phải chịu độ trễ hoặc gián đoạn dịch vụ Việc truyền bá sâu đã bão hòa các liên kết mạng với lưu lượng độc hại và do đó làm gián đoạn mạng

Thông thường, một con sâu máy tính là một con sâu lai hoặc virus - nó không chỉ lây nhiễm mà còn sửa đổi mã phần mềm Khác nó thực hiện để mã hóa các tập tin của người dùng và yêu cầu tiền chuộc để lấy lại quyền truy cập vào các tập tin Trong một số trường hợp, tin tặc tạo ra sâu bot để lây nhiễm vào máy tính nạn nhân và sau đó chuyển chúng thành botnet hoặc zombie Những zombie này sau đó được sử dụng trong các cuộc tấn công dựa trên botnet bằng cách tích hợp các hệ thống bị nhiễm trong một mạng

- IM (nhắn tin tức thời): sâu nhân lên và lây lan qua các hệ thống nhắn tin tức

thời và có quyền truy cập vào sổ địa chỉ trên hệ thống của nạn nhân

- Email worm: có dạng liên kết hoặc tệp đính kèm của email có vẻ là chính

hãng Các kỹ sư phần mềm độc hại tạo các sâu email để tự gửi dưới dạng tệp đính kèm vào địa chỉ email trong danh sách liên hệ của tài khoản bị nhiễm

25

Khi người nhận mở tệp đính kèm bị nhiễm hoặc tệp, sâu sẽ lây nhiễm vào hệ thống của người nhận Email worm triển khai việc sử dụng các phương pháp

kỹ thuật xã hội hiệu quả để nhắc người dùng mở tệp bị nhiễm đính kèm

- Ethical worm: một loại sâu được tạo ra để nhân lên và lan truyền trên mạng,

cung cấp các bản vá cho các lỗ hổng bảo mật đã biết Khi có sự thay đổi trong

mã chương trình do sửa lỗi, nó có thể gây ra những thay đổi bất ngờ và hệ thống đôi khi mở ra cho nhà xuất bản nhiều cáo buộc hình sự và dân sự

2.2.2.4 Các hình thức lây nhiễm

Các kỹ sư phần mềm độc hại phát triển sâu máy tính để lây nhiễm mà không có

sự can thiệp của con người Tất cả được thiết lập để bắt đầu cuộc tấn công, khi nó bắt đầu hoạt động trên hệ thống bị nhiễm Chủ yếu, sâu lây lan qua phương tiện lưu trữ, đĩa mềm, khi đưa vào không gian đĩa sẽ kích hoạt và sau đó bắt đầu lây nhiễm các thiết bị lưu trữ khác được kết nối với hệ thống đích Đây là lý do tại sao USB thường là cơ chế phân phối cho sâu máy tính

Sâu máy tính lan truyền thông qua các lỗ hổng hiện có trong mạng Ví dụ, các hệ thống bị nhiễm sâu ransomware WannaCry với các bản cài đặt Windows có lỗ hổng trong phiên bản đầu tiên của giao thức chia sẻ tài nguyên Khối tin nhắn máy chủ Một con sâu tự thiết lập trong một hệ thống máy chủ và duy trì hoạt động trên một máy tính mới bị nhiễm, phần mềm độc hại sau đó bắt đầu tìm kiếm mạng cho các thiết bị lưu trữ mới có thể lây nhiễm Thông qua cách này, sâu có thể nhân lên và lây nhiễm sang tất cả các thiết bị được kết nối trong một mạng Khi Wansacry ransomware lây nhiễm mang theo thiết bị của riêng bạn hoặc BYOD, sâu có thể tự lây lan sang các hệ thống khác có thể được kết nối với mạng bị nhiễm worm được liên kết qua email có thể lây lan sự lây nhiễm của nó bằng cách tạo và gửi email đến tất cả các địa chỉ khác trong sổ địa chỉ của người dùng

2.2.2.5 Dấu hiệu nhiễm worm

26

Khi một máy tính bị nhiễm worm sẽ có các xuất hiện các dấu hiệu sau:

- Hiệu suất chậm của máy tính

- Đóng băng bất ngờ và sự cố của hệ thống

- Pop-up gây phiền nhiễu

- Màn hình xanh chết chóc

2.2.2.6 Cách phòng tránh

Người dùng nên tuân theo thực tiễn bảo mật mạng hiệu quả để chống lại nhiễm sâu máy tính:

- Luôn cập nhật phần mềm với các bản sửa lỗi bảo mật mới nhất

- Thực hiện việc sử dụng tường lửa để giảm thiểu truy cập hệ thống bằng phần mềm độc hại

- Sử dụng phần mềm chống vi-rút để ngăn phần mềm độc hại chạy trong hệ thống

- Tránh nhấp vào các liên kết và tệp đính kèm đáng ngờ có thể khiến hệ thống của bạn bị nhiễm phần mềm độc hại

2.2.3 Trojan horse

2.2.3.1 Trojan horse là gì?

Trojan horse, tiếng Anh của Ngựa Troian, là một loại phần mềm ác tính Nói cho

dễ hiểu thì đây là chương trình điệp viên được cài vào máy của người khác để ăn cắp nhũng tài liệu trên máy đó gửi về cho chủ nhân của nó Cái mà nó ăn cắp có thể là mật khẩu, accourt hay cookie… tuỳ theo ý muốn của người cài nó Đây là một loại phần mềm độc hại được tin tặc phát triển để ngụy trang thành phần mềm hợp pháp

để có quyền truy cập vào hệ thống của người dùng mục tiêu Người dùng thường bị lừa bởi một số phương tiện truyền thông xã hội, những người sau đó đã chuyển hướng đến trang web độc hại do đó tải và thực thi Trojan trên hệ thống của họ Tội phạm

27

mạng sử dụng Trojans để theo dõi người dùng nạn nhân, truy cập bất hợp pháp vào

hệ thống để trích xuất dữ liệu nhạy cảm

Những hành động này có thể bao gồm:

- Xóa dữ liệu

- Bản sao dữ liệu

- Sửa đổi dữ liệu

- Khối dữ liệu

- Làm gián đoạn hiệu suất của các máy tính hoặc mạng đích

2.2.3.2 Lịch sử của Trojan horse

Chữ Trojan horse xuất phát điển tích nổi tiếng con ngựa thành Troia trong thần thoại Hy Lạp Trong điển tích đó, người Hy Lạp đã giả vờ để quên một con ngựa gỗ khổng lồ khi họ rút khỏi chiến trường Trong bụng con ngựa gỗ này có nhiều chiến binh Hy Lạp ẩn náu Người Troia tưởng rằng mình có được một chiến lợi phẩm và kéo con ngựa gỗ này vào thành Đến đêm thì các chiến binh Hy Lạp chui ra khỏi bụng con ngựa này để mở cửa thành giúp quân Hy Lạp vào chiếm thành

Thuật ngữ Trojan horse xuất hiện lần đầu tiên trong một báo cáo của Không quân Hoa Kỳ vào năm 1974 về việc phân tích lỗ hổng trong hệ thống máy tính Nó được Ken Thompson phổ biến trong bài giảng nhận giải thưởng Turing Award năm 1983 của mình "Refl Refl on Trusting Trust", phụ đề:

“To what extent should one trust a statement that a program is free of Trojan horse? Perhaps it is more important to trust: the people who wrote the software”

Anh ta nói rằng anh ta biết về sự tồn tại có thể có của Trojan horse trong một báo cáo về tính bảo mật của Multics mà anh ta không may không thể tìm thấy một tài liệu tham khảo Tuy nhiên Paul Karger và Roger Schell khẳng định rằng đây là báo cáo được trích dẫn ở trên của họ

28

2.2.3.3 Phân loại Trojan horse

- Trojan-Downloader: là một loại virus tải xuống và cài đặt phần mềm độc

hại khác

- Trojan-Dropppers là các chương trình phức tạp được sử dụng bởi bọn tội

phạm mạng để cài đặt phần mềm độc hại Hầu hết các chương trình chống vi-rút không phát hiện các trình phân tích là độc hại và do đó, nó được sử dụng để cài đặt vi-rút

- Ransomware: Đây là một loại Trojan (Trojan - tiền chuộc) có thể mã hóa

dữ liệu trên máy tính / thiết bị của bạn Các tội phạm mạng kiểm soát phần mềm ransomware này sẽ yêu cầu tiền chuộc để cung cấp khóa giải mã Rất khó để khôi phục dữ liệu nếu không có khóa giải mã WannaCry và Petya

là các cuộc tấn công ransomware gần đây Các chuyên gia bảo mật mạng khuyên người dùng nên tuân theo chính sách sao lưu và phục hồi mạnh mẽ

và có hệ thống

- Trojan-Banker: Là các chương trình phần mềm độc hại đánh cắp thông

tin liên quan đến tài khoản liên quan đến thanh toán thẻ và ngân hàng trực tuyến

- Trojan-Rootkit: ngăn chặn phát hiện phần mềm độc hại và các hoạt động

độc hại trên máy tính Đây là những phần mềm độc hại tinh vi cung cấp quyền kiểm soát thiết bị của nạn nhân Rootkit cũng được sử dụng để đăng

ký thiết bị của nạn nhân như một phần của mạng botnet

- Trojan-Backdoor: là một loại Trojan phổ biến Nó tạo ra một backdoor để

cho phép tội phạm mạng truy cập vào máy tính sau này từ xa bằng công cụ truy cập từ xa (RAT) Vì Trojan này cung cấp quyền kiểm soát hoàn toàn trên máy tính, nó là một Trojan nguy hiểm nhưng thường được sử dụng

29

Có nhiều loại trojan, một số có thể gửi SMS cao cấp, đánh cắp thông tin nhắn tin tức thời của bạn, theo dõi các hoạt động của hệ thống để thu thập dữ liệu tổ hợp phím, đánh cắp địa chỉ email và thông tin đăng nhập trò chơi

2.2.3.4 Các hình thức lây nhiễm

Trên các máy Microsoft Windows, người tấn công có thể đính kèm một Trojan horse vào một cái tên có vẻ lương thiện vào trong một thư điện tử với việc khuyến

dụ người đọc mở đính kèm ra Trojan horse thường là các tệp khả thi trên Windows

và do đó sẽ có các đuôi như là.exe,.com,.scr,.bat, hay.pif Trong nhiều ứng dụng của Windows đã có cấu hình mặc định không cho phép hiển thị các đuôi này Do đó, nếu

một Trojan horse có tên chẳng hạn là “Readme.txt.exe” thì tệp này sẽ hiển thị một

cách mặc định thành “Readme.txt” và nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể gây hại

Các biểu tượng cũng có thể được gán với các loại tệp khác nhau và có thể được đính kèm vào thư điện tử Khi người dùng mở các biểu tượng này thì các Trojan horse ẩn giấu sẽ tiến hành những tác hại bất ngờ Hiện nay, các Trojan horse không chỉ xoá các tệp, bí mật điều chỉnh cấu hình của máy tính bị nhiễm mà còn dùng máy này như là một cơ sở để tấn công các máy khác trong mạng.Lợi dụng một số lỗi của trình duyệt web, chẳng hạn như Internet Explorer, để nhúng Trojan vào một trang web, khi người dùng xem trang này sẽ bị nhiễm Người dùng nên cập nhật các bản

vá lỗi thường xuyên và dùng một trình duyệt web có độ bảo mật cao như Firefox và Google chrome

2.2.3.5 Dấu hiệu nhiễm Trojan horse

Đây là những cách cơ bản nhất mà chúng ta có thể sử dụng để nhận biết một máy tính khi bị nhiễm trojan:

- Ổ CD-ROM tự động mở ra đóng vào

- Máy tính có những dấu hiệu lạ trên màn hình

30

- Hình nền của các cửa sổ Windows bị thay đổi…

- Các văn bản tự động in

- Máy tinh tự động thay đổi font chữ và các thiết lập khác

- Hình nền máy tính tự động thay đổi và không thể đổi lại

- Chuột trái, chuột phải lẫn lộn…

- Chuột không hiển thị trên màn hình

- Nút Start không hiển thị

- Một vài cửa sổ chat bật ra

Tuy nhiên, có rất nhiều loại trojan hiện nay mà chúng có thể xâm nhập vào máy tính, chúng có thể không để bộc lộ bất cứ dấu hiệu nào, có rất nhiều dạng và khó để

có thể phát hiện hoàn toàn chúng Ngoài ra chúng ta có thể dựa vào việc kiểm tra các cổng đang mở trên máy tính để biết điều này

Một số Port được sử dụng bởi các Trojan phổ biến:

- Back Orifice – Sử dụng UDP protocol – Sử dụng Port 31337 và 31338

- Deep Throat – Sử dụng UDP protocol – Sử dụng Port 2140 và 3150

- NetBus – Sử dụng TCP Protocol – Sử dụng Port 12345 và 12346

- Whack-a-mole – Sử dụng TCP – Qua Port 12361 và 12362

- Netbus 2 Pro – Sử dụng TCP – Qua Port 20034

- GrilFriend – Sử dụng Protocol TCP – Qua Port 21544

- Masters Paradise – Sử dụng TCP Protocol qua Port – 3129, 40421, 40422,

40423 và 40426

Để nhận biết những Port nào trên máy tính đang Active chúng ta dùng câu lệnh:

Netstat –an

2.2.3.6 Cách phòng tránh

31

Tội phạm mạng gửi email với các liên kết độc hại hoặc tệp đính kèm Người dùng

bị lừa bởi các quảng cáo và ưu đãi hấp dẫn và khi họ mở tệp đính kèm hoặc nhấp vào liên kết, thiết bị của họ bị nhiễm Virus Trojan

Cách hữu hiệu nhất là đừng bao giờ mở các đính kèm được gửi đến một cách bất ngờ Khi các đính kèm không được mở ra thì Trojan horse cũng không thể hoạt động Cẩn thận với ngay cả các thư điện tử gửi từ các địa chỉ quen biết Trong trường hợp biết chắc là có đính kèm từ nơi gửi quen biết thì vẩn cần phải thử lại bằng các chương trình chống virus trước khi mở nó Các tệp tải về từ các dịch vụ chia sẻ tệp như là Kazaa hay Gnutella rất đáng nghi ngờ, vì các dịch vụ này thường bị dùng như là chỗ

để lan truyền Trojan horse Sử dụng các phần mền diệt virut nổi tiếng như: Kaspersky, avest, bkav, comodo,

2.2.4 Logic bomb

2.2.4.1 Logic bomb là gì?

Thuật ngữ logic bomb dùng để chỉ phần mềm độc hại còn được gọi là “slag code” được kích hoạt bởi phản ứng với một sự kiện Chẳng hạn, khởi chạy một ứng dụng hoặc khi đạt đến ngày / giờ cụ thể - nó kích hoạt phần mềm độc hại logic bombs để bắt đầu chạy trên máy tính Những kẻ lừa đảo trực tuyến sử dụng phần mềm độc hại logic bomb theo nhiều cách khác nhau Kẻ tấn công thường nhúng mã trong một ứng dụng không có thật hoặc ngựa Trojan và sẽ tự động thực thi bất cứ khi nào người dùng khởi chạy phần mềm giả mạo

Tội phạm trực tuyến có thể thử triển khai hỗn hợp spyware và logic bomb nhằm cố gắng đánh cắp danh tính của người dùng Chẳng hạn, spywaređược sử dụng bởi những kẻ lừa đảo trực tuyến để cài đặt một keylogger trên máy tính Keylogger nắm bắt các tổ hợp phím của người dùng và gửi lại cho kẻ tấn công từ xa, thông tin thường

là tên người dùng và mật khẩu

32

Tuy nhiên, trong trường hợp phần mềm độc hại logic bomb, nó chờ người dùng truy cập trang web yêu cầu bạn đăng nhập bằng thông tin đăng nhập Các chi tiết có thể bao gồm một trang web ngân hàng hoặc mạng xã hội Trong quá trình này, logic bomb sẽ tự động thực thi keylogger và thu thập thông tin đăng nhập của người dùng

và gửi lại cho người tạo

2.2.4.2 Lịch sử của logic bombs

Một trong những trường hợp đầu tiên được ghi nhận về sự phá hoại máy tính trong cả nước Vào tháng 9 năm 1987, Donald Burleson, một lập trình viên 40 tuổi tại công ty bảo hiểm có trụ sở tại Fort Worth, USPA, đã bị sa thải vì bị cho là gây gổ

và khó làm việc Hai ngày sau, khoảng 168.000 hồ sơ quan trọng đã tự xóa khỏi máy tính của công ty thông qua bom thời gian Một quả logic bomb đã phát nổ, tàn phá các tập tin quan trọng của USPA! Burleson đã bị bắt sau khi các nhà điều tra quay lại các tập tin hệ thống trị giá vài năm Họ phát hiện ra rằng hai năm trước khi anh ta

bị sa thải, Burleson đã đặt một quả logic bomb nằm im lìm cho đến khi anh ta kích hoạt nó vào ngày anh ta bị sa thải Anh trở thành người đầu tiên ở Mỹ bị kết tội “truy cập có hại vào máy tính” Logic bom của Burleson đã xóa các tệp trên máy tính của anh ta và sau đó tự xóa Burleson đã kháng cáo và chỉ thực hiện một khoản thanh toán 100 đô la tiền phạt Vào tháng 9 năm 1988, mộtTexastòa án tiểu bang đã kết án Donald Gene Burleson về "quyền truy cập có hại vào máy tính", kết án anh ta 7 năm quản chế và buộc anh ta phải trả USPA & IRA, chủ cũ của anh ta, 11.800 đô la (tiền phạt trước đó là 11.226 đô la tiền lãi) Xem xét những gì Burleson đã làm, bản án khá nhẹ

Vào tháng 10 năm 2005, Mark Russinovich đã phát hiện ra rằng Sony BMG đã nhúng một logic bomb vào đĩa CD nhạc của họ mà âm thầm và không có sự đồng ý cài đặt phần mềm không an toàn trên máy tính của khách hàng của họ Phần mềm này theo dõi và báo cáo thói quen lắng nghe của khách hàng Nó cũng thay đổi quyền truy cập của hệ điều hành vào phần cứng của họ Các đường dẫn truy cập từ xa được

33

mở bởi trojan là không an toàn và có thể bị khai thác bởi các phần mềm độc hại khác

Họ đã phân phối khoảng 22 triệu đĩa CD này

Vào tháng 6 năm 2006, Roger Duronio, một quản trị viên hệ thống của UBS, đã

bị buộc tội sử dụng logic bomb để làm hỏng mạng máy tính của công ty và gian lận chứng khoán cho kế hoạch của anh ta để hạ cổ phiếu của công ty bằng cách kích hoạt logic bomb Duronio sau đó đã bị kết án và bị kết án 8 năm 1 tháng tù giam, cũng như khoản bồi thường 3,1 triệu đô la cho UBS

Vào ngày 20 tháng 3 năm 2013, trong một cuộc tấn công được tiến hành chống lại Hàn Quốc , một logic bomb đã tấn công và "xóa sạch các ổ đĩa cứng và hồ sơ khởi động chính của ít nhất ba ngân hàng và hai công ty truyền thông" Symantec báo cáo rằng phần mềm độc hại cũng chứa một thành phần có khả năng xóa sạch các máy Linux

2.2.4.3 Dấu hiệu lây nhiễm worm

Mã hoặc phần mềm chứa bom logic có thể không được phát hiện bởi các công cụ antimalware truyền thống vì chúng sử dụng mã tùy chỉnh được thiết kế cho một hệ thống và kịch bản cụ thể, không có chữ ký tồn tại để phát hiện chúng Logic bomb thường được cài đặt bởi những người dùng đặc quyền, những người biết những điều khiển bảo mật nào cần được phá vỡ để không bị phát hiện cho đến khi chúng phát

nổ Mã độc cũng có thể được bao gồm trong một phần mềm hiện có được cài đặt trên

hệ thống đích Một quả logic bomb thường bỏ qua việc kiểm tra tính toàn vẹn của hệ thống tệp hoặc danh sách trắng (whitelisting) bởi vì một quản trị viên độc hại, thường

là người chịu trách nhiệm về bom logic, có thể can thiệp hoặc vô hiệu hóa hệ thống toàn vẹn tập tin hoặc danh sách trắng

2.2.4.4 Cách phòng tránh

Bom logic rất khó ngăn chặn vì lý do chúng có thể được triển khai từ bất cứ đâu Một cuộc tấn công từ xa có thể đặt một quả bom logic thông qua nhiều cách khác

34

nhau trên nhiều nền tảng bằng cách ẩn các mã độc hại trong một kịch bản hoặc triển khai nó trên một máy chủ SQL Trong các công ty, phân bổ nhiệm vụ có thể cung cấp bảo vệ chống bom logic Bằng cách giới hạn quyền truy cập của nhân viên vào các tệp và thư mục cụ thể, kẻ tấn công tiềm năng sẽ được tiếp xúc để thực hiện triển khai bom logic và điều này có thể ngăn đối tượng thực hiện cuộc tấn công

Ngày nay, các công ty thường có kế hoạch đảm bảo quá trình kinh doanh liên tục

và khắc phục thảm họa khi có sự cố xảy ra Cách tiếp cận này về cơ bản bao gồm các quá trình như sao lưu dữ liệu và phục hồi Trong trường hợp một vụ đánh bom logic không lường trước được và đó là để thanh lọc dữ liệu quan trọng, công ty có thể thực hiện kế hoạch khắc phục thảm họa Một số bước cần thiết để phục hồi sau cuộc tấn công được liệt kê ở đây đi sâu vào chúng

- Không bao giờ tải xuống phần mềm lậu - tội phạm mạng cấy bom Logic bằng phần mềm như vậy

- Đảm bảo rằng các ứng dụng phần mềm chia sẻ / phần mềm miễn phí mà bạn cài đặt là từ một nguồn đáng tin cậy vì bom Logic có thể được nhúng trong ngựa Trojan

- Tệp đính kèm email có thể đi kèm với phần mềm độc hại bom logic, vì vậy hãy cẩn thận hơn khi mở tệp đính kèm email

- Thực hiện các bản vá cho tất cả các phần mềm được cài đặt trên máy tính bất cứ khi nào có bản phát hành

- Không bao giờ truy cập các liên kết web không tin cậy vì nhấp vào liên kết không an toàn có thể đưa bạn đến một trang web bị nhiễm bệnh

Cài đặt một chương trình chống vi-rút mạnh mẽ như Kaspersky, avest, bkav, comodo vì nó dễ dàng phát hiện phần mềm độc hại như Trojan horse

2.2.5 Backdoors

2.2.5.1 Backdoors là gì?