AN TOÀN THÔNG TIN MẠNG MÁY TÍNH

Dưới đây là một số đối tượng chính có tác động đến an ninh mạng của tổ chức, vì thực tế như đã nói, các đối tượng tấn công, động cơ và phương pháp tấn công thì nhiều vô kể, không thể liệ

AN TOÀN THÔNG TIN MẠNG MÁY TÍNH

Lời nói đầu

Loạt bài viết này là một phần của Chương trình bảo mật toàn diện hệ thống thông tin, được chia thành nhiều phần, mỗi phần được viết độc lập nhưng có mối tương quan dây chuyền với nhau Phần 1 đề cập đến việc xem xét, nhận diện nguyên nhân, đối tượng, phương thức tấn công vào hệ thống Mong nhận được những ý kiến đóng góp của các bạn để lần cập nhật tới được hoàn thiện hơn!

Thông tin góp ý xin liên hệ:

Ng Ngọc Thanh Nghị Email: diemxua_hva@yahoo.com hoặc nghi.nguyen@xfrog.org //

-Phần 1: Nhận diện đối tượng, mục đích và phương thức tấn công vào hệ thống

Không ai trong chúng ta không biết câu nói nổi tiếng của Tôn Tử (Sun Tzu) trong Tôn Tử binh pháp (The Art of War): “Biết người, biết ta, trăm trận trăm trăm thắng” (If you know the enemy and know yourself, you need not fear the result of a hundred battles If you know yourself but not the enemy, for every victory gained you will also suffer a defeat) Điều này không chỉ đúng với lịch sử thời Xuân Thu mà giá trị của nó vẫn còn tồn tại

trong đời sống đương đại Việc nhận diện được đối tượng, động cơ và cách thức tấn công là hết sức quan trọng nhằm giúp các quản trị viên có chiến lược đối phó thích hợp,

đặc biệt là trong công tác bảo mật – công tác phòng vệ - vấn đề này quan trọng hơn bao giờ hết

Một điều hết sức rõ ràng là khi thực hiện các kết nối mở rộng hay khi đang trực tuyến nghĩa là hệ thống sẽ đứng trước nguy cơ bị tấn công bất kỳ lúc nào Như vậy nghĩa là chúng ta luôn phải ở trong tư thế phòng bị, chứ không phải chờ bị tấn công rồi kêu cứu các công ty bảo mật Kinh nghiệm thực tế cho thấy phòng vệ, ngăn chặn từ xa trước bao giờ cũng tốt hơn là để xảy ra tình trạng bị xâm nhập rồi khắc phục kiểu “thủng đâu bịt đó” như thường thấy ở các hệ thống mạng hiện nay Mục này sẽ bàn đến 3 vấn đề “biết người”:

- Ai có khả năng tấn công an ninh tổ chức (Who)?

- Động cơ họ làm tổ chức mất an ninh (Why)?

- Họ tấn công như thế nào (How)?

1 Nhận diện đối tượng tác động (Who)

Câu hỏi đặt ra là những đối tượng nào có khả năng gây ảnh hưởng đến an ninh mạng tổ chức? Thực tế, các đối tượng này cũng đa dạng không kém gì động cơ hay phương thức tấn công của họ Họ có thể là bất cứ ai - là người trẻ tuổi, người già, nam giới, nữ giới, nhân viên ở trong hay người ngoài tổ chức Họ có điểm chung là có khả năng tác động,

có khả năng đánh cắp, phá hoại thông tin nhạy cảm của công nhằm phục vục cho những mục đích khác nhau của họ Việc nhận dạng đối tượng, biết rõ bản chất, tâm sinh lý, quy luật hoạt động là hết sức cần thiết để có kế hoạch đối phó thích hợp

Dưới đây là một số đối tượng chính có tác động đến an ninh mạng của tổ chức, vì thực tế như đã nói, các đối tượng tấn công, động cơ và phương pháp tấn công thì nhiều vô kể, không thể liệt kê hết được

Nhân viên tổ chức (Disgruntled Worker)

Đối tượng này là nguy cơ tiềm ẩn lớn nhất ngay từ chính bên trong nội bộ tổ chức Những đối tượng này có thể do bất mãn, tư thù hoặc vì lợi ích riêng mà có những hành vi gây nguy hại cho an toàn mạng thông tin của tổ chức Đây là đối tượng cần được quan tâm nhất bởi đơn giản họ là nhân viên của tổ chức nên họ nắm giữ nhiều thông tin; hiểu

rõ những luật lệ, những thủ tục, hiểu rõ những “ngõ ngách” của tổ chức

Một thống kê năm 2001 của Cụ điều tra liên bang Mỹ (FBI) cho thấy trung bình có 41% những vấn đề liên quan đến mất an toàn thông tin trong tổ chức có liên quan trực tiếp đến chính nhân viên bên trong tổ chức, với thiệt hại trung bình mỗi vụ lên đến một con số hàng nghìn USD (nguồn: Darwingmag.com) Và con số không ngừng gia tăng theo thời gian Có thể khẳng định mối nguy cơ thực sự là đến từ chính bên trong, cho dù hệ thống

đã thiết lập các hệ thống an ninh vững vàng nhất bằng cách xây dựng các Firewall, DMZ, IDS, IPS [1],… hoặc thậm chí là khi thực hiện một hệ thống “đóng” bằng cách đặt hệ thống cách ly hoàn với thế giới internet bên ngoài thì không có nghĩa là đã có được sự an toàn Đừng quên nguy cơ chính yếu, lỗ hổng nguy hiểm nhất đến từ ngay từ nội bộ tổ chức Đừng quên họ là những người biết rõ nên tấn công vào đâu, vào lúc nào để đạt kết quả và tránh bị phát hiện

Một lưu lưu ý khác là nhân viên thôi việc hoặc xin chuyển công tác đến đơn vị khác, các đối tác, các hãng cung cấp,… cũng phải được lưu tâm bởi họ cũng có quyền và có khả năng truy cập thông tin trong cơ sở dữ liệu thông tin tổ chức, và đặc biệt là khả năng khai thác kỹ thuật social engineering Cần phải có những chính sách quản lý người dùng thích hợp để đề phòng trường hợp có khả năng rò rỉ thông tin này

Đối thủ cạnh tranh (Comptitor)

Xuất phát điểm của hầu hết các vụ tấn công là từ yếu tố này, và nó tồn tại ở bất kỳ tổ chức, xí nghiệp - cạnh tranh để tồn tại, để cùng phát triển hay tiêu diệt lẫn nhau Nguy cơ

bị mất thông tin vào tay đối thủ cạnh tranh là có thực bởi đó là đối thủ trực diện và cũng hưởng lợi nhiều nhất từ những thiệt hại của tổ chức

Gián điệp (Spy)

Gắn liền với việc cạnh tranh còn là hoạt động gián điệp Gián điệp này có thể là nhân viên của chính tổ chức hoặc các từ bên ngoài sử dụng các kỹ thuật, mánh khóe để thu thập thông tin từ tổ chức nhằm trục lợi cá nhân Cùng với toàn cầu hóa kinh tế, nhiều tổ chức, nhóm tình báo quân sự trước đây đã chuyển hướng sang mục tiêu kinh tế - gián điệp kinh tế hoặc với nhiều phương tiện, trang thiết bị kỹ thuật cao được bán đầy rẫy trên thị trường cũng làm cho nguy cơ này tăng lên rõ rệt trong thời gian gần đây

Hầu hết những vụ chúng ta được nghe đều nhằm vào các tổ chức, đặc biệt là các tổ chức

có tiếng tăm, các tổ chức thuộc ngành công nghệ “kỹ thuật cao” (high-tech) Tuy nhiên, việc tấn công vào các tổ chức nhỏ cũng đang ngày một phổ biến do hệ thống an ninh mạng của các tổ chức này không mạnh, có nhiều yếu điểm có thể khai thác được dễ hơn các tổ chức lớn

Ở Việt Nam, tuy nguy cơ từ đối tượng này không thực sự rõ ràng như hai đối tượng trên nhưng cũng cần phải lưu tâm vì thực tế trong thời gian qua hệ thống máy chủ của nhiều

tổ chức bị tấn công bởi các đối tượng này là chủ yếu, tấn công với nhiều mục đích Bất cứ một hệ thống mạng nào, một khi đã thực hiện các kết nối bên ngoài thì nguy cơ bị tấn công bởi hacker là hoàn toàn có thể xảy ra

Hiện nay, trình độ của các hacker VN hiện không còn thấp như một vài năm trước Hầu hết các máy chủ của các tổ chức, các ISPs của VN đều từng bị các đối tượng này xâm

nhập khá dễ dàng Nếu trước đây các hacker chỉ xâm nhập với mục đích “vui là chính”

thì kể từ năm 2003, mục đích này được một số hacker “mũ đen” đã chuyển thành tấn

công nhằm “thu lợi cá nhân” Thu lợi ở đây có thể là sửa đổi thông tin có lợi cho họ,

đánh cắp thông tin theo đơn đặt hàng, Vì vậy một khi tổ chức thực hiện các kết nối, giao dịch qua mạng thì nguy cơ từ đối tượng này là rất lớn, và thực tế thời gian qua cũng

đã chứng minh điều này

Cần lưu ý là ở trong nước đã xuất hiện các hacker “mũ trắng” - hacker thiện chí có tin thần hợp tác nhằm nâng cao tính bảo mật hơn là phá hoại Việc tổ chức hợp tác với các đối tượng này ở VN còn là điều mới mẽ trong khi thế giới thì điều này đã quá quen thuộc

và không thể thiếu trong hệ thống bảo mật của nhiều nước – The only way to stop a hacker is to think like one – Chỉ có thể chống hacker khi hiểu rõ hacker, hiểu rõ cách thức hành động của hacker Hai tổ chức hacker lớn nhất VN là HVA (http://www.HVAonline.net) và VHF (cũ) cũng đã chính chức chuyển thành những tổ chức hoạt động trong lĩnh vực an ninh máy tính Đây là điều rất đáng mừng cho bảo mật vốn còn rất non trẻ, còn nhiều yếu điểm của nước ta

Người tò mò (Explorer)

Là những người có kỹ năng, ham học hỏi tìm hiểu, đặc biệt là trong khoa học máy tính Đối tượng này trên danh nghĩa không nguy hại đến an toàn thông tin, nhưng trên thực tế những hoạt động âm thầm mang tính “khám phá” của riêng họ vẫn có thể tác động nguy hiểm đến an ninh mạng tổ chức nếu họ xâm nhập vào Những người này không chỉ tồn tại

ở VN mà bất cứ quốc gia nào cũng có Rất nhiều trong số những “người tò mò” này là những hacker mũ trắng

Script Kiddie

Những người thuộc nhóm này không thể gọi là môt hacker thực thụ được bởi hai yếu tố trình độ kỹ thuật và động cơ hành động của họ

Xét dưới góc độ kỹ thuật, có thể hiểu đối tượng này là những “hacker học việc” Họ chủ yếu sử dụng những công cụ (tools) sẵn có để thực hiện các cuộc tấn công - tấn công một cách máy móc bởi hầu hết họ đều thiếu khả năng và sự kiên nhẫn học hỏi để hiểu hết bản chất của các cuộc tấn công đó (ít nhất là dưới góc độ kỹ thuật)

Xét dưới góc độ động cơ, họ được liệt vào nhóm có thể gây nguy hiểm bởi họ thực hiện các cuộc tấn công mang tính phá hoại, vì mục đích tìm danh hơn là xây dựng

Theo nhận xét của một trong những hacker trẻ, hàng đầu trong nước hiện nay thì có đến 90% những người tự xưng là hacker ở VN có thể được xếp vào nhóm script kiddie này

Kẻ trộm (Thief)

Hành động của những đối tượng này do vô tình hoặc cố ý đều có thể ảnh hưởng đến an toàn thông tin tổ chức, đặc biệt dưới góc độ an ninh vật lý Việc xâm nhập trực tiếp, đánh cắp trực tiếp các dữ liệu trên máy, đánh cắp thiết bị như máy tính xách tay (laptop),… ngay cả khi tổ chức không có các kết nối ra ngoài

Ngoài các tác nhân con người trên, các yếu tố khác cũng ít nhiều có tác động đến an toàn thông tin:

“Bà mẹ thiên nhiên” (Nature Mother)

Yếu tố này là các tác động của thiên nhiên như mưa, gió, giông, sét, động đất,… và không thể không kể đến yếu tố nguy hiểm nhất - hỏa hoạn Tác động chính của các yếu tố trên lên an ninh mạng là về mặt vật lý (physical)

Chiến tranh thông tin (Warspace)

Do tác động của chiến tranh trên mạng - điều này cũng hiếm xảy ra và nếu có thì ảnh hưởng đến không lớn Thời gian vừa rồi có xảy ra các cuộc chiến trên mạng giữa các tổ chức hacker VN gián tiếp ít nhiều làm ảnh hưởng đến hệ thống mạng trong nước, làm trì trệ hoạt động của một số dịch vụ trên mạng điện toán internet VN

Khủng bố (Terrorist)

Chắc hẳn ai cũng còn nhớ vụ tấn công cảm tử của Al Qaeda vào tháp đôi WTC (World Trade Center) tháng 11/2001 Hãy thử tưởng tượng mà tổ chức chúng ta đặt tại đó, hệ thống thông tin chúng ta vận hành trong tòa nhà đó để hình dung tác động của khủng bố đến an ninh hệ thống tổ chức là thế nào

…

Tóm lại, đối tượng và yếu tố có khả năng ảnh hưởng đến an toàn thông tin mạng rất đa

dạng, phong phú, đáng kế nhất là ba đối tượng được liệt kê đầu tiên ở trên Có thể nói, bất cứ ai có ý định, có khả năng tiếp cận với thông tin của tổ chức đều có khả năng tác động nguy hiểm đến an toàn thông tin tổ chức đó

2 Động cơ

Biết được động cơ của họ sẽ giúp quản trị viên hiểu rõ ta hiểu vì sao họ tấn công, liệu họ

có phải là đối tượng nguy hiểm cho hệ thống Có nhiều động cơ để dẫn đến các vụ tấn công Những động cơ có khả năng lớn nhất tác động tới an ninh mạng:

Tài chính

Là động cơ chính, quan trọng và cũng là phổ biến nhất Có đến hơn 80% các vụ tấn công nhằm mục tiêu tìm kiếm thông tin (thường theo đơn đặt hàng), tống tiền, đánh cắp mã số thẻ tính dụng,… Các tổ chức tội phạm công nghệ cao, có kỹ năng đều nhằm vào mục tiêu này

Thù oán

Rất nhiều trường hợp do cạnh tranh giữa các cá nhân, tổ chức hay có trường hợp những nhân viên vì lý do gì đó bị buộc phải thôi việc nên đã đứng đằng sau các vụ tấn công để trả đũa vì tư thù này

Do tò mò / tự khẳng định

Không riêng gì ở VN, mà nói chung thì đối tượng có động cơ này chiếm khá nhiều Họ

đa phần là những thanh thiếu niên trẻ tuổi, tham gia, học hỏi ở các diễn đàn, các mailinglist, các nhóm tin (usernet) về hacking trên mạng nên họ cũng muốn thử tay nghề Thực tế cho thấy đa số các vụ tấn công là vì động cơ tò mò, muốn thử tay nghề, muốn khẳng định mình của những thanh thiếu niên tập tễnh học làm hacker

Chính trị

Không phải các cuộc tấn công đều nhuốm màu sắc chính trị thuần túy, không phải theo

“Đảng” này mà tấn công “Đảng” nọ hay ủng hộ ứng cử viên này rồi phản đối ứng cử viên kia, mà phần nhiều do phía tấn công muốn bày tỏ quan điểm về một sự kiện chính trị hay một cuộc chiến nào đó Ví dụ như trường hợp các hacker Trung Quốc, Nam Tư (cũ) thực hiện các vụ xâm nhập, deface (thay đổi nội dung) các website của chính phủ Mỹ để bày

tỏ chính kiến của họ, cũng có khi là vì “đạo lý” riêng của họ,…

Tuy nhiên, động cơ chính trị thể hiện rõ nhất là ở các thế lực cực hữu, các tổ chức khủng

bố với các cuộc tấn công, khủng bố mạng có chủ đích vào các tổ chức của chính phủ (chủ yếu là Mỹ), các tổ chức thù địch với chúng và để lại các thông điệp chính trị của chúng Theo AP, phát biểu tại Hội nghị chống phân biệt chủng tộc và chủ nghĩa bài ngoại do Tổ chức an ninh và hợp tác châu Âu (OSCE) tổ chức, Gerard Kerforn, Chủ tịch Phong trào

vì hòa bình cho mọi người và chống phân biệt chủng tộc (MRAP), nói: “Internet đã trở thành một trong những kênh cơ bản cho sự biểu lộ tinh thần cực hữu Và hiện nay, các nhà chức trách gần như bất lực Những website này xuất hiện ngày một nhiều, tạo ra các diễn đàn trao đổi quan điểm thù địch, chống phá hòa bình cũng như sự thân thiện giữa các dân tộc và sắc tộc”

Không lý do

Nghe có phi thực tế, nhưng sự thật đã xảy ra nhiều vụ tấn công chẳng vì lý do gì cả, vui cũng làm, buồn thì cũng thực hiện hay tấn công chỉ để “khoe mẽ” với… cô hàng xóm cũng được xếp vào loại này

…

3 Cách thức thực hiện (How)

Động cơ tấn công ít thay đổi theo thời gian Ví dụ, nếu nhiều năm trước để chiếm đoạt tiền hay thông tin từ ngân hàng thì kẻ tấn công có thể dùng vũ lực tấn công trực diện vào mục tiêu để chiếm đoạt thì ngày nay mục đích vẫn không thay đổi, chỉ khác là phương thức thực hiện, nhất là sử dụng nhiều kỹ thuật cao hơn, nhiều mánh khóe hơn; không cần phải dùng… súng và đạn theo kiểu cổ điển mà chỉ dùng… bàn phím và chuột thao tác kỹ thuật tấn công từ xa

Theo thời gian, những công cụ (tools) phục vụ cho các cuộc tấn công xuất hiện ngày càng nhiều Việc “công cụ hóa” với việc sử dụng các phương tiện sẵn có làm cho số lượng kẻ tấn công tăng lên đông đảo do tính phổ thông nên ai cũng thể tìm thấy và sử dụng Một thống kê vào năm 2001 của Nhật báo Bưu điện Hoa Thịnh Đốn cho thấy mức độ “kỹ thuật” hay sự đầu tư chất xám trong các cuộc tấn công giảm rất nhiều, thay vào đó là việc

sử dụng các phương tiện khai thác sẵn có dễ sử dụng, dễ thực hiện

Nguồn: Báo Bưu điện Hoa Thịnh Đốn, 2001 (The Washington Post, USA)

Một số kiểu tấn công thịnh hành hiện nay có khả năng tác động đến hệ thống server của

tổ chức, chủ yếu là tấn công kỹ thuật cao của các hacker:

3.1 Tấn công về mặt vật lý (Phisical Attack)

Kiểu tấn công này rất nguy hiểm do các quản trị viên thường không lường trước hoặc đánh giá thấp khả năng bị tấn công kiểu này Việc trang bị cho hệ thống các thành phần bảo vệ mạnh như firewall, IDS, IPS,… chỉ có khả năng phòng chống các kiểu tấn công từ

xa Tấn công vật lý sẽ xảy ra ngay trong nội bộ tổ chức, ngay cả khi hệ thống không được kết nối ra ngoài Tấn công loại này có thể chia làm 2 loại: Đánh cắp trực tiếp và Nghe trộm mạng

3.1.1 Đánh cắp trực tiếp

Nghĩa là bằng cách nào đó xâm nhập vào khu vực đặt hệ thống máy chủ rồi tìm cách sao chép dữ liệu, đánh cắp ổ đĩa chứa dữ liệu,… và đặc biệt là đánh cắp laptop (máy tính xách tay) để tìm kiếm thông tin Nhiều vụ tấn công vào Bộ quốc phòng Mỹ thời gian vừa rồi cũng nhằm vào điểm yếu này

3.1.2 Nghe trộm mạng

Hay còn gọi là kỹ thuật sniffing Bằng cách sử dụng các thiết bị chuyên dụng, các phần mềm nghe trộm, kẻ tấn công tìm cách thu thập thông tin của hệ thống truyền dẫn qua cable quang, qua mạng không dây nếu chúng không được mã hóa trong quá trình truyền

Kỹ thuật sử dụng chủ yếu vào việc trộm mật khẩu

3.2 Kỹ thuật đánh lừa (Social Enginering)

Là một trong những phương thức phổ biến nhất, hiệu quả nhất để đánh cắp mật khẩu nói riêng cũng như khai thác thông tin, tấn công vào hệ thống nói chung Hiểu đơn giản đây

là kỹ thuật lừa đảo (chủ yếu là trên mạng) Kỹ thuật này không đòi hỏi phải sử dụng quá nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuật thuần túy (non-technical)

để tìm kiếm, khai thác thông tin phục vụ cho mục tiêu tấn công Phương cách thực hiện

có thể thông qua thư tín, email, điện thoại hay tiếp xúc trực tiếp, thông qua người quen, các mối quan hệ cá nhân,… nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ phía người dùng Đối với Việt Nam chúng ta thì kỹ thuật này còn rất mới mẽ nên xác xuất thành công khi áp dụng là rất cao Thực tế cho thấy việc áp dụng thành công có thể nói là không khó, không hiếm những người bị đánh lừa một cách dễ dàng bởi những thủ thuật tưởng chừng rất ư là đơn giản này

Như đã nói, kỹ năng này không đòi hỏi kẻ tấn công phải thành thạo các kỹ thuật máy tính thuần túy mà quan trọng nhất của nó chính là khai thác các yếu tố tâm lý, khía cạnh giao tiếp xã hội nhiều hơn là sử dụng các yếu tố kỹ thuật thông thường nên bất cứ ai - có hoặc hiểu biết về máy tính - cũng có thể sử dụng được các kỹ năng này Đây cũng là một trong những nguyên nhân khiến kỹ thuật này hết sức phổ biến trong thực tế cuộc sống Các ví

dụ dưới đây sẽ minh họa điều đó

Ví dụ 1

Là chuyện có thật về một trong những hacker nổi tiếng nhất thế giới trong vài năm trở lại đây là Kevin Mitnick (Mỹ) - chuyên gia hàng đầu về kỹ thuật Social Engineering Trong một lần tấn công vào công ty X, anh ta vận dụng kỹ năng này để dò tìm thông tin liên quan đến vị Tống giám đốc X và một trong những trợ lý thân cận của vị này Lợi dụng lúc hai người đi công tác bên ngoài, anh ta liền sử dụng CallID giả và giả giọng nói của viên trợ lý và tự xưng là người này để gọi đến quản trị viên mạng của công ty yêu cầu gửi cho anh ta mật khẩu đăng nhập vào hệ thống của vị Tổng giám đốc vì lý do là ngài bị

“quên” mật khẩu Dĩ nhiên là quản trị viên phải kiểm tra một vài thông tin về anh ta, nhưng rõ là trước đó Mitnick đã có đủ thông tin và sự khôn ngoan để chứng minh anh ta

là trợ lý của công ty nên quản trị viên không nghi ngờ khi gửi cho anh ta mật khẩu của vị Tổng giám đốc (điều đã vi phạm nguyên tắc an toàn mật khẩu) Kết quả là Mitnick dùng mật khẩu đó, dĩ nhiên tài khoản này có nhiều quyền hạn truy cập, để “leo thang” chiếm quyền điều khiển toàn bộ hệ thống mạng của công ty một cách dễ dàng

Ví dụ 2

Để lẩy trộm mật khẩu của một người A nào đó, thì chúng ta thử phone đến địa chỉ của anh ta và nói những câu đại loại như: “Chào anh A, dịch vụ mà anh đang sử dụng tại công ty XXX chúng tôi hiện đang bị trục trặc với account của anh Đề nghị anh gửi gửi lại gấp tài khoản cho chúng tôi để điều chỉnh lại Xin cám ơn quý khách đã hợp tác…” Mời nghe thoáng qua tưởng chừng có vẻ đơn giản, nhưng thực tế thì xác xuất thành công rất cao, đặc biệt là nếu là giả giọng nói ngọt ngào như mấy cô nhân viên trực điện thoại thì chắc là xác xuất thành công càng cao hơn nữa :D

Ví dụ khác gần gũi hơn là kỹ thuật “Fake Email Login” Các bạn khi sử dụng dịch vụ email của công ty Yahoo chắc quen với kỹ thuật này Về nguyên tắc, mỗi khi đăng nhập vào hộp thư thì chúng ta phải điền thông tin tài khoản gồm username và password rồi gửi thông tin đến mail server để xử lý Đến đây thì có người nảy ra ý tưởng làm trang đăng nhập giả (Fake Login), thay vì nhấn Sign In để gửi đến mail server thì họ tìm cách sao

cho nó gửi đến họ Xét dưới góc độ kỹ thuật làm thì rõ cách làm là không hề khó, và cái đáng lưu ý chính là ý tưởng và thủ thuật để dẫn dụ nạn nhân gửi thông tin thông qua trang đăng nhập giả Có rất nhiều cách để gửi trang này đến nạn nhân, ví dụ giả dạng gửi điện hoa giả, trang giả yahoo đòi xác nhận mật khẩu,…

Tóm lại, kỹ thuật Social Engineering rất đa dạng, phong phú và cũng hết sức nguy hiểm

do tính hiệu quả và sự phổ biến Kiểu lừa đảo “phishing” rộ lên thời gian gần đây cũng có thể liệt vào loại này (sẽ đề cập trong bài riêng)

3.3 Lổ hổng bảo mật (Security Hole)

Ngày nay, các lổ hổng bảo mật do sản phẩm thiết kế được phát hiện ngày một nhiều hơn, trên các site như Bugtraq (http://securityfocus.com) hay Cert (http://cert.org) chẳng hạn, hầu như là được cập nhật hàng ngày Các lỗi này tập trung vào hệ điều hành máy chủ, các ứng dụng web, các thiết bị phần cứng và những phần mềm của các hãng thứ ba (third-party) phục vụ vận hành hệ thống Chỉ cần một thời gian rất ngắn sau khi được phát hiện, công bố thì có rất nhiều tài liệu, mã nguồn, công cụ hướng dẫn khai thác được phát tán rộng rãi trên Internet Nếu các nhà quản trị không kịp cập nhật các hotfix, các bản sửa lỗi path kịp thời thì việc hệ thống bị bị tấn công là điều hoàn toàn có thể xảy ra

Nhìn chung, việc cập nhật này đa phần là không được thực hiện đầy đủ, thậm chí không thực hiện Điều này cũng để hiểu vì không có chính sách rõ ràng, không có sự phân công

và nhân lực thực hiện Đây cũng là thực trạng chung của nhiều tổ hiện nay Và là một trong nhữn nguyên nhân quan trọng để hệ thống bị tấn công do chúng không được cập nhật, vá lỗi kịp thời

Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến và mức độ nguy hiểm)

Trước tiên phải kể đến lỗi Unicode IIS (Unicode Internet Information Service) trên các máy chủ web IIS sử dụng hệ điều hành mạng Windows NT của hãng Microsoft Chỉ cần

sử dụng vài Script URL và một vài câu lệnh DoS đơn giản, kẻ tấn công có thể dễ dàng chiếm quyền điều khiển máy chủ Suốt từ năm 2001 (thời điểm phát hiện lỗi) đến nay, rất nhiều máy chủ sử dụng máy chủ web IIS lao đao vì gặp phải lỗi này

Tuy nhiên, lỗi bảo mật được cho là nguy hiểm và phổ biến phải kế đến lỗi Tràn bộ đệm

(Buffer Over Flow) Về cơ bản, tình trạng tràn bộ đệm xảy ra khi dữ liệu được gửi đến ứng dụng nhiều hơn mong đợi và khi xảy ra tình trạng này, kẻ tấn công có thể lợi dụng để thực thi các mã chương trình nhằm tấn công giành quyền điều khiển hệ thống Kỹ thuật tấn công này có thể làm cho hệ thống bị tê liệt hoặc làm cho quản trị viên hệ thống mất khả năng kiểm soát hoàn toàn tạo điều kiện cho kẻ tấn công xâm nhập

Điểm chết người của lỗi này là hệ thống bị xâm nhập sẽ không lưu lại được dấu vết kẻ tấn công nên các quản trị hoàn toàn có thể không nhận ra là đã có xảy ra sự cố hay chưa?

Vì vậy dẫn đến việc việc phòng chống rất khó khăn Cách phòng chống duy nhất là các quản trị viên phải liên hệ thường xuyên với các nhà sản xuất các phần mềm hệ thống họ đang sử dụng bằng cách viếng thăm website, tham gia vào các mailinglist của họ để cập nhật các lỗ hổng mới nhất để tải về các bản sửa lỗi thích hợp Theo nhận xét của một chuyên gia bảo mật, ở VN chúng ta số hacker thành thạo kỹ thuật này chỉ đếm trên đầu ngón tay, số quản trị mạng thành thạo thì cũng không hơn nhiều

Một điều may mắn là để khai thác được lỗi này thì kẻ tấn công phải có một trình độ nhất định bởi đây là một trong những kỹ thuật phức tạp của bảo mật nói riêng và hacking nói

chung Nó đòi hỏi người thực hiện am hiểu rõ ràng về hệ thống họ sắp tấn công, về hệ điều hành, phần mềm được chạy trên hệ thống Thêm vào đó, người thực hiện nhất thiết phải hiểu biết về hợp ngữ, thông thạo một vài ngôn ngữ lập trình kể cả cấp thấp và cấp cao, hiểu được tổ chức bộ nhớ và cách làm việc của từng dòng CPU (Central Proccess Unit) chạy trên máy chủ cũng như bộ lệnh (Opcodes) của CPU đó Việc sử dụng các đoạn mã khai thác Buffer Over Flow sẵn có (Already Built Shellcode) phần lớn là không dẫn đến thành công, và để hiểu được các đoạn mã sẵn có cũng đòi hỏi cần có khả năng lập trình nhất định Điều đáng chú ý đối với quản trị mạng là lỗi này xuất hiện ở tất cả các sản phẩm nổi tiếng, cả phần cứng lẫn phần mềm Lỗi này không chỉ được sử dụng để đột nhập máy chủ mà còn được dùng để đột nhập vào các bộ định tuyến mạng (router), tường lửa quốc gia,…

3.4 Lỗi cấu hình hoạt động (Error Configuration)

Lỗ hổng do các ứng dụng của máy chủ có các thiết lập mặc định lúc sản xuất (chạy ở chế

độ mặc định) hoặc do người quản trị hệ thống định cấu hình không an toàn, cấu hình sai Lỗi do cấu hình không phù hợp rất phổ biến, chủ yếu là do các quản trị viên lười biếng kiểm tra việc cài đặt hệ thống Bởi khi cài đặt họ cho chạy các xác lập mặc định của chương trình vốn mà không hề có sự điều chỉnh các mức an toàn khác Vì vậy sau khi cài đặt và cấu hình (install and configuration) thì hãy lập tức thay đổi các thiết lập mặc định của hệ thống để đảm bảo không bị mắc lỗi tưởng chừng như là rất giản đơn này

Một vài lỗi bị khai thác tiêu biểu:

3.4.1 Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS

Khi cài đặt máy chủ web IIS thì cài đặt thư mục chứa tài liệu web, không xóa một số tập tin mặc định của các ngôn ngữ kịch bản máy chủ server (server-side script) nằm trong thư mục mặc định là Inetpub\www ở ổ đĩa hệ thống (C) Đây là một trong những nguyên nhân giúp kẻ tấn công dễ dàng giành quyền điều khiển toàn bộ máy chủ như đã nói ở lỗi IIS trên

3.4.2 Không cần Đăng nhập (Log-in)

Nếu ứng dụng không được thiết kế chặt chẽ, không ràng buộc trình tự các bước khi duyệt ứng dụng thì đây sẽ là một lỗ hổng bảo mật và hacker có thể lợi dụng để truy cập thẳng đến các trang thông tin bên trong mà không cần phải qua bất cứ bước đăng nhập hay xác thực nào cả

3.4.3 Mật khẩu mặc định (Password-Based Attacks)

Thông thường một hệ thống mới cấu hình thì quản trị sẽ sử dụng một tài khoản (account) mặc định của chương trình, ví dụ như root, admin, let me in,… Các admin của hệ thống sau khi config xong thì không đổi, đây là cơ hội để có thể giúp kẻ tấn công đoán được mật khẩu mặc định đó và dễ dàng xâm nhập vào một cách đường đường chính chính Một khi đã vào khi đã vào rồi thì họ có thể tạo thêm user, cài cửa hậu (backdoor) để cho lần viếng thăm sau

3.5 Các điểm yếu của ứng dụng/hệ thống (Vulnerabilities)

Các điểm yếu có (vulnerabilities) có khả năng bị khai thác (exploit) nhiều nhất hiện nay

là ở lớp ứng dụng chạy (application) trên máy chủ (lớp ứng dụng trong mô hình mạng OSI)

3.5.1 SQL Injection

Là kiểu tấn công phổ biến vào loại bậc nhất hiện nay, hầu hết các máy chủ nước ta sử dụng các cơ sở dữ liệu (database), đặc biệt là Microsoft SQL Server, ít nhiều đã và đang tồn tại lỗi này Tấn công kiểu này rất gọn nhẹ nhưng hiệu quả rất cao vì chỉ dùng công cụ tấn công duy nhất là trình duyệt web chứ không cần phải sử dụng thêm bất cứ công cụ khai thác nào nữa

Cách tấn công chủ yếu là chèn các ký tự đặc biệt, các tham số trực tiếp vào địa URL (Uniform Resource Locator) hoặc các form đăng nhập để khai thác yếu điểm từ các chương trình vận hành Database do các lập trình viên viết code (mã chương trình) bất cẩn

do không soát được thông tin nhập liệu chứ không phải là do lỗi kỹ thuật của hệ thống (chi tiết sẽ đề cập chi tiết trong bài viết khác)

3.5.2 XSS (Cross Site Scripting), Session Hijacking

Thông thường, một chương trình chạy trên máy chủ nhận diện người sử dụng thông qua một chuỗi ký tự gọi là Session ID, có thể ví SesionID như giấy thông hành tạm thời để

có thể ra lệnh cho máy chủ cung cấp dữ liệu Khi bắt đầu kết nối vào máy chủ và yêu cầu cung cấp những thông tin quý giá, phần mềm trên máy chủ sẽ hỏi người sử dụng về tên tài khoản và mật mã tương ứng để xác nhận quyền sử dụng Nếu được chấp nhận, người

sử dụng sẽ được cấp một SessionID bí mật và chỉ có hiệu lực trong khoản thời gian xác định, quá thời gian đó, người sử dụng phải cung cấp lại tên tài khoản và mật khẩu tương ứng để được cấp phát SessionID mới Điều gì xảy ra khi kẻ tấn công biết được SessionID hiện thời của người dùng đối với một máy chủ đang truy cập thông tin? Đương nhiên, nếu không có sự phòng bị (theo mặc nhiên các phần mềm hiện thời coi sessionID là rất đáng tin tưởng), kẻ acker sẽ giả danh người dùng, và nếu là người dùng cao cấp (các quản trị viên) thì sẽ có toàn quyền truy cập vào máy chủ lấy đi tất cả các thông tin quý giá

Để lấy được SessionID (gọi là session hijacking), nếu kẻ tấn công trong cùng một mạng cục bộ (LAN) có thể sử dụng các phần mềm đặc biệt để bắt lấy dữ liệu chạy trên cáp mạng hoặc sử dụng các lỗi XSS (Cross Site Scripting) do phần mềm chạy trên máy chủ không được lập trình thận trọng gây ra Kỹ thuật bắt dữ liệu trên mạng được gọi là Snifier không đòi hỏi hiểu biết về TCPIP và hạ tầng cơ sở mạng máy tính nhiều Tại thời điểm này, có rất nhiều công cụ hỗ trợ cho việc bắt dữ liệu trên mạng Để thực hiện được một cuộc tấn công sử dụng lỗi XSS và đánh cắp SessionID, kẻ tấn công chỉ cần có một chút kiến thức về ngôn ngữ máy khách Java Script Tuy nhiên, cuộc tấn công sẽ thực sự nguy hiểm nếu kẻ tấn công am hiểu sâu sắc về một ngôn ngữ lập trình web (bất kể là ASP, ASP.Net, PHP, Perl, Python, ), am hiểu về giao thức HTTP (Hyper Text Transfer Protocol - Giao thức truyền tin đa phương tiện) và các chuẩn cookie liên quan đến giao thức HTTP Với hiểu biết như vậy, một phần mềm có thể được viết ra để tự động hoá quá trình tấn công, gây ra cho hậu quả rất nặng nề, đôi lúc làm tê liệt toàn bộ hệ thống

Về nguyên tắc Session Hijacking không cho phép hacker đoạt được quyền điều khiển máy chủ, nhưng hacker có thể xem và xóa các thông tin bí mật cũng như thay đổi nội dung của chúng Trường hợp rất hay xảy ra ở nhiều tổ chức trong nước và cả Merufa là

do đặt mật khẩu truy cập thông tin trùng với máy chủ nên kẻ tấn công đương nhiên chiếm quyền điểu khiển toàn bộ máy chủ

3.5.3 Code Injection