Tiểu luận môn ứng dụng thông tin và an toàn thông tin SECURE EMAIL

Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm vụ quan trọng mà các nhà cung cấp và người quản trị cần quan tâm.. Tại 1 thời điểm cách đây khá lâu, thuật

Báo cáo đồ án Môn: ƯDTT & ANTT

Đề tài:

SECURE EMAIL

Sinh viên thực hiện: MSSV:

Ngô Duy Thống 07520338

Nguyễn Hồng Hải 07520110

Vũ Văn Hiệu 07520125

Nguyễn Quang Gia Khang 07520170

Lê Phan Định 07520086

Giảng viên hướng dẫn: Ths Tô Nguyễn Nhật Quang

Mục Lục

Mục Lục 2

Lời nói đầu

Theo các bản báo cáo tổng hợp về an ninh thông tin của nhiều hãng bảo mật nước ngoài như McAfee, Kaspersky hay CheckPoint…, năm 2010 Việt Nam tiếp tục được nhắc đến là “địa chỉ đen” trong nhiều danh sách quốc tế, trong giới truyền thông và các hãng bảo mật Nguy cơ mất an toàn thông tin ở Việt Nam đang ngày càng tăng lên khi đã rơi vào top 10 quốc gia có nguy cơ mất an toàn thông tin cao nhất trong năm 2010 Cùng với đó là mối nguy từ những nhân viên “bất mãn” có thể sẵn sàng bán đứng doanh nghiệp, tổ chức bằng việc tuồn nguồn thông tin ra ngoài dang càng trở nên đáng lo ngại

Email là một phương tiện thông tin liên lạc tiện lợi và ngày càng được sử dụng rộng rãi hiện nay Vì vậy nó cũng là phương tiện và mục tiêu để những kẻ tấn công nhắm tới Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm vụ quan trọng mà các nhà cung cấp và người quản trị cần quan tâm

Để hiểu rõ hơn về những mối đe dọa và những biện pháp bảo mật email, đồng thời thực hiện việc nghiên cứu vấn đề do thầy phụ trách bộ môn hướng dẫn, nhóm chúng

em đã tiến hành nghiên cứu và thực hiện bài báo cáo về vấn đề bảo mật email Do thời gian thực hiện có hạn nên chúng em không tránh khỏi những thiếu sót, mong thầy bỏ qua

Nhóm sinh viên thực hiện

Phần I: Giới thiệu về email.

Email - Electronic mail (e-mail, email, E-Mail ) hay còn gọi là thư điện tử là

cách gọi phổ thông của cách thức giao tiếp, liên lạc của hệ thống xây dựng dựa trên những chiếc máy tính

Tại 1 thời điểm cách đây khá lâu, thuật ngữ máy tính được dùng để ám chỉ những

cỗ máy làm việc với kích thước khổng lồ, người dùng phải áp dụng phương pháp dial-up để truy cập, và mỗi chiếc máy tính đều được trang bị bộ nhớ và thiết bị lưu trữ dành cho nhiều tài khoản Sau đó không lâu, những nhà phát minh đã tìm cách

để các bộ máy này “giao tiếp” với nhau Ứng dụng đầu tiên ra đời, nhưng họ chỉ gửi được tin nhắn đến các người sử dụng khác trong cùng 1 hệ thống cho tới tận năm

1971 Và thời gian qua đi, công nghệ đã được phát triển lên 1 tầm cao mới khi Ray

Tomlinson trở thành người đầu tiên trên toàn thế giới gửi được bức thư điện tử tới

người khác sử dụng ký hiệu @ Và đó là nền tảng đầu tiên của khái niệm Email –

chúng ta đang đề cập tới

Hình 1: Thời kỳ đầu của máy tính và email.

1 Cấu trúc của địa chỉ email

Một địa chỉ email sẽ bao gồm ba phần chính có dạng:

Tên_định_dạng_thêm tên_email@tên_miền

• Phần tên_định_dạng_thêm: Đây là một dạng tên để cho người đọc

có thể dễ dàng nhận ra người gửi hay nơi gửi Tuy nhiên, trong các thư điện tử người ta có thể không cần cho tên định dạng và lá thư điện tử vẫn được gửi đi đúng nơi Thí dụ: Trong địa chỉ gửi thư tới viết dưới dạng Nguyễn Thị A nguyenthia111@yahoo.com hay viết dưới dạng nguyenthia111@yahoo.com thì phần mềm thư điện tử vẫn hoạt động chính xác và gửi đi đến đúng địa chỉ

• Phần tên_email: Đây là phần xác định hộp thư Thông thường, cho

dễ nhớ, phần này hay mang tên của người chủ ghép với một vài kí tự đặc biệt Phần tên này thường do người đăng kí hộp thư điện tử đặt ra Phần

này còn được gọi là phần tên địa phương.

• Phần tên_miền: Đây là tên miền của nơi cung cấp dịch vụ thư điện

tử Ngay sau phần tên_email bắt đầu bằng chữ "@" nối liền sau đó là

tên miền

2 Những chức năng cơ bản của email

Ngoài chức năng thông thường để gởi, nhận và soạn thảo email, các phần mềm thư điện tử có thể còn cung cấp thêm những chức năng khác như là:

• Lịch làm việc (calendar): người ta có thể dùng nó như là một thời khoá biểu Trong những phần mềm mạnh, chức năng này còn giữ nhiệm vụ thông báo sự kiện đã đăng kí trong lịch làm việc trước giờ xảy ra cho

người chủ hộp thư

• Sổ địa chỉ (addresses hay contacts): dùng để ghi nhớ tất cả các địa chỉ cần

thiết cho công việc hay cho cá nhân

• Sổ tay (note book hay notes): để ghi chép, hay ghi nhớ bất kì điều gì

• Công cụ tìm kiếm thư điện tử (find hay search mail)

Để hiểu hết tất cả các chức năng của một phần mềm thư điện tử người dùng có thể dùng chức năng giúp đỡ (thường có thể mở chức năng này bằng cách nhấn nút <F1> bên trong phần mềm thư điện tử)

Hoạt động của hệ thống email hiện nay có thể dược minh họa qua phân tích một thí dụ như sau:

Hình 2: Hoạt động của email.

Khi chúng ta muốn gửi email, cần phải chỉ định rõ ràng địa chỉ của người nhận dưới dạng user@domain.ext Như trong ví dụ trên là freman.alpha@arrakis.com, email được gửi đi từ phía client với chuẩn giao thức Simple Mail Transfer Protocol – SMTP, có thể tạm hình dung đây giống như bưu điện trung gian, có nhiệm vụ kiểm tra tem và địa chỉ trên bức thư để biết điểm đến chính xác Nhưng nó lại không hiểu rõ về domain – tên miền, khái niệm này khá trừu tượng và tương đối khó hiểu Tại bước này,

server SMTP sẽ phải liên lạc với server Domain Name System Server DNS này tương tự như chiếc điện thoại hoặc cuốn sổ địa chỉ trên Internet, nhiệm

vụ chính là biên dịch các domain như arrakis.com thành địa chỉ IP như 74.238.23.45 Sau đó, nó sẽ tìm ra bất cứ domain nào có MX hoặc server mail exchange trên hệ thống và tạm thời đánh dấu domain đó Để đơn giản hơn, các bạn hãy hình dung quá trình này như sau: bưu điện nơi bạn gửi thư

sẽ tiến hành kiểm tra trên bản đồ để xác định điểm đến, liên lạc với bưu điện tại đó để kiểm tra người nhận có hộp thư để nhận hay không

Giờ đây, khi server SMTP đã có đủ lượng thông tin cần thiết, tin nhắn sẽ được gửi

từ server đó đến server mail exchange của domain - Mail Transfer Agent (MTA)

Nó sẽ quyết định chính xác thư đến sẽ đặt tại đâu, tương ứng với việc bưu điện ở khu vực người nhận sẽ chuyển thư đến địa chỉ nào thuận tiện nhất Và sau đó, người bạn sẽ đi nhận thư, thông thường sử dụng chuẩn giao thức POP hoặc IMAP

<Tìm hiểu cách thức hoạt động của email>.

Phần II: Nguyên tắc cơ bản của bảo mật email.

1 Confidentiality (Tính bảo mật)

Để thực hiện việc đảm bảo dữ liệu không bị phơi bày trước tiên phải quan tâm

từ tầng vật lý, phòng làm việc và nơi cất trữ những tài liệu quan trọng phải được bảo mật, bởi khi có kẻ đột nhập copy toàn bộ dữ liệu thì dù hệ thống mạng có an toàn mấy cũng như không, trước tiên cần phải quan tâm tới tầng vật lý, đảm bảo nơi lưu

Khi các điều kiện về phòng ốc và các thiết bị an ninh đã được đảm bảo bạn cần quan tâm tới việc điều khiển truy cập Trong Access Control hai vấn đề lớn nhất cần được quan tâm đó là Subject và Object phải đảm bảo rằng những người không có thẩm quyền không thể truy cập vào được

Dữ liệu cần được mã hoá khi lưu trữ và khi truyền tải thông tin trên mạng để tránh rò rỉ thông tin

2 Integrity (Tính toàn vẹn)

Đảm bảo tính nguyên vẹn của dữ liệu cũng là một yêu cầu trong bảo mật email, ngăn chặn những người không có thẩm quyền chỉnh sửa, phá hoại dữ liệu là việc cần thiết không kém Và với yêu cầu trên các việc cần phải làm để thoả mãn là trước tiên vẫn phải quan tâm tới tầng vật lý đặc biệt là Clients/Servers cần phải được đảm bảo an toàn Người yêu cầu truy cập dữ liệu là phải được xác thực, và

thông tin yêu cầu của đối tượng phải được trả lại đúng như yêu cầu của họ không bị chỉnh sửa khi truyền trên mạng.

3 Availability (Tính sẵn sàng)

Luôn có giải pháp phòng chống sự cố từ tầng vật lý cho tới aplication Nguồn điện phải có giải pháp UPS, chống cháy nổ, với các thiết bị chống sét…Với Server phải có giải pháp cluster, load-balancing Với thiết bị mạng phải có các đường backup khi xảy ra vấn đề với đường truyền

4 Non-Repudiation (Tính không thể từ chối)

Thông tin được cam kết về mặt pháp luật của người cung cấp Khi thông tin được gửi đi, phải đảm bảo chắc chắn rằng đó là thông tin của người gửi và người gửi không thể từ chối rằng mình đã gửi thông tin đó

Phần III: Các mối đe dọa

Về bản chất, email được lưu và truyền đi dưới dạng plaintext nên có rất nhiều nguy

cơ đe dọa tới tính an toàn và toàn vẹn của email Sau đây là một số mối đe dọa thực

tế và tiềm ẩn trong khi chúng ta sử dụng dịch vụ email

1 Eavesdropping

Nghe trộm là một phương pháp cũ nhưng hiệu quả Phương pháp này sử dụng một thiết bị mạng(Router, Card mạng ) và một chương trình ứng dụng(TCPdump, Ethereal, Wireshark ) để giám sát lưu lượng mạng, bắt gói tin đi qua thiết bị này

Kỹ thuật này thực hiện dễ dàng hơn với mạng không dây

Hình 4: Message Modification.

Tạo ra thư nặc danh, hoặc là giả dạng email để gửi tới nạn nhân Tác hại vô cùng

to lớn đến uy tín, chất lượng của công ty, tổ chức, gây ảnh hưởng đến nội bộ…

Hình 5: Fake message.

4 Repudiation

Trong một số trường hợp chủ sở hữu của dữ liệu có thể không thừa nhận quyền sở hữu của dữ liệu để tránh hậu quả pháp lý Người này có thể cho rằng chưa bao giờ gửi hoặc nhận dữ liệu đó Ngay cả khi dữ liệu đã được chứng thực, chủ sở hữu của

dữ liệu xác thực có thể thuyết phục quan tòa rằng vì những sơ hở, bất cứ ai cũng có thể dễ dàng chế tạo tin nhắn và làm cho nó giống như thật

Hình 6: Repudiation.

5 Spam Mail

Spam mail hay còn gọi là thư rác là các thư quảng cáo, giới thiệu hoặc do virus

mà người nhận không mong đợi

Định nghĩa về Spam mail theo spamhaus.org là :

Một thông điệp điện tử được cho là “Spam” nếu có đồng thời cả 2 thuộc tính sau:

+ Định danh của người nhận và tình huống nhận là không liên quan đến thông điệp vì thông điệp được gởi đồng đều với một số rất đông người nhận

+ Người nhận chưa xác nhận quyền được gởi mail của người gởi, hoặc đã từ chối nhận mail

Hình 7: Spam Mail

Đây là 1 hình thức phá hoại nhằm làm nghẽn hòm mail của nạn nhân.

Trước khi đi đưa ra giải pháp bảo mật cho email,chúng ta sẽ thử tìm hiểu 1 chút về chứng chỉ số :

Anti SPAM là 1 vần đề rất bức thiết hiện nay

Theo thống kê từ tháng 4 năm 2010 của RADICATI GROUP thì mỗi ngày có khoảng 294 tỉ tin nhắn (bao gồm cả email) được truyền đi trên toàn thế giới.

Nội dung Anti Spam mail bao gồm cả từ người dùng đến quy trình cấu hình trên

3) Anti Flood và Malware:

Hình 10 : Cấu hình giới hạn kết nối

- Chặn các IP có dấu hiệu Flood

- Kết hợp firewall và Mail Server để liệt kê ra danh sách tấn công đưa vào

+ Đặt chính sách khuyến cáo người dùng :

• Không mở các email lạ,không rõ nguồn gốc

• Không tải các file không rõ nguồn gốc và thực thi

• Không click vào các link lạ,có dấu hiệu khác thường

• Dùng các trình Antivirus để quét file đính kèm (Online hoặc Offline)

- Thiết lập ứng dụng Scan trên Mail Server,tuy nhiên không thực tế lắm,vì sẽ tác động đến thông tin riêng tư (mail),do đó sẽ không khả thi

- Cấu hình check mail qua Gmail hoặc các Dịch Vụ Mail đáng tin cậy khác có hỗ trợ tính năng này Gmail đáng lưu tâm ở điểm có tính năng scan file đính kèm rất kỹ,bên cạnh đó còn hỗ trợ phát hiện spam và cảnh báo fake message

- Quy trình cấu hình cho Gmail khá đơn giản,chỉ cần các bạn vào Gmail,phần CÀI ĐẶT  Mục TÀI KHOẢN VÀ NHẬP  KIỂM TRA THƯ BẰNG

CÁCH SỬ DỤNG POP3

Hình 11 : Thiết lập check mail qua Gmail

- Chọn Thêm tài khoản email POP3 và tiến hành điền thông tin đầy đủ để thiết lập

Hình 12 : Thiết lập check mail qua Gmail – bước 2

Hình 13 : Thiết lập check mail qua Gmail – bước 3

4) Triển Khai : Chứng thực và Mã hóa mail

Bảo mật cho email là nhiệm vụ cần thiết và được xem là sống còn với những hệ thống Có 2 phương pháp bảo mật cho email:

• Chứng thực

• Mã hóa.

1 Bảo mật email với PGP

PGP (Pretty Good Privacy) là một phần mềm dùng để mật mã hóa dữ liệu và xác thực cho dữ liệu truyền thông Phiên bản PGP đầu tiên do Phil Zimmermann được công bố vào năm 1991

Với mục tiêu ban đầu là phục vụ cho mã hóa thư điện tử, PGP hiện nay đã trở thành một giải pháp mã hóa cho các công ty lớn, chính phủ cũng như các cá nhân Nó còn được dùng để mã hóa và bảo vệ thông tin lưu trữ trên máy tính

Hoạt động xác thực của PGP:

• Người gửi tạo mẩu tin

• Sử dụng SHA-1 để sinh hash 160 bit của mẩu tin

• Mã hóa hash bằng RSA sử dụng khóa riêng của người gửi và đính kèm vào thư

• Người nhận sử dụng RSA với khóa công khai của người gửi để giải mã

và khôi phục bản hash

• Người nhận kiểm tra mẩu tin nhận, sử dụng bản hash của nó và so sánh với bản hash được giải mã để xác thực

Hoạt động mã hóa của PGP:

• Người gửi tạo thông điệp và số ngẫu nhiên 128 bit (khóa phiên)

• Mã hóa nội dung sử dụng CAST-128/IDEA/3DES dùng khóa phiên làm khóa

• Mã hóa khóa phiên bằng khóa công khai của người nhận và gán vào đầu thư

• Người nhận sử dụng khóa riêng để giải mã khóa phiên từ đó giải mã thông điệp

2 Bảo mật email với S/MIME

S/MIME: Security/Multipurpose Internet Mail Extensions.

Là một chuẩn mã hóa phục vụ cho việc mã hóa khóa công khai và chứng thực

dữ liệu Được xây dựng bởi IETF S/MIME đưa vào 2 phương pháp an ninh cho email:

Sử dụng cơ sở hạ tầng khóa công khai (PKI) bao gồm phần mềm máy khách(client), phần mềm máy chủ(server), phần cứng (như thẻ thông minh) và các quy trình hoạt động liên quan

• Người sử dụng cũng có thể ký các văn bản điện tử với khóa bí mật của mình và mọi người đều có thể kiểm tra với khóa công khai của người đó

• PKI cho phép các giao dịch điện tử được diễn ra đảm bảo tính bí mật,

• End entity: Là người dùng chứng chỉ hoặc thiết bị có hỗ trợ PKIX.

• Certificate Authority(CA): Tổ chức có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ

• Registration Authority(RA): Có trách nhiệm xác minh danh tính của người chủ sở hữu chứng chỉ

• Repository: Có trách nhiệm lưu trữ, quản lý chứng chỉ và danh sách các chứng chỉ bị thu hồi bởi CA

Phần IV: Tổng kết

Trong lĩnh vực bảo mật thông tin nói chung và bảo mật email nói riêng, việc đảm bảo thông tin không bị rò rỉ, đánh cắp, thay đổi, giả mạo là mục đích quan trọng nhất Việc thống kê lại những mối đe dọa mà email gặp phải sẽ giúp người quản trị biết được những nguy cơ để từ đó tạo ra những giải pháp để đảm bảo tính bảo mật cho email Và rõ ràng rằng việc áp dụng những giải pháp đó làm giảm thiểu đáng

kể những mất mát thông tin và những nguy cơ tiềm ẩn khác trong việc sử dụng dịch

vụ email

Qua quá trình thực hiện đề tài, nhóm chúng em đã tích lũy thêm được những kiến thức quý báu phục vụ cho việc học tập và làm việc sau này

Phần V: Tài liệu tham khảo

• Thư điện tử Ngày đăng 05/05/2011, ngày truy cập 17/05/2011.