Nghiên cứu giải pháp đảm bảo an toàn ứng dụng web (Luận văn thạc sĩ)

Nghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng webNghiên cứu giải pháp đảm bảo an toàn ứng dụng web

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

(Theo định hướng ứng dụng)

HÀ NỘI – 2018

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

LỜI CAM ĐOAN

Tôi cam đoan đây là công trình nghiên cứu của riêng tôi

Các số liệu, kết quả nêu trong luận văn là trung thực và chưa từng được ai công bố trong bất cứ công trình nào

Tác giả luận văn

Nguyễn Đức Sơn

Xin gửi lời cám ơn gia đình, đồng nghiệp và những người bạn tốt trong tập thể lớp cao học M16CQIS01-B, những người bạn luôn đồng hành, giúp đỡ tôi trong quá trình học tập và thực hiện luận văn

Cuối cùng em xin kính chúc các thầy cô và toàn thể học viên, sinh viên trường Học viện Công nghệ Bưu Chính Viễn Thông một sức khỏe dồi dào, sớm đạt được những thành công trên con đường sự nghiệp Chúc Nhà trường phát triển bền vững, xứng đáng là cờ đầu của ngành, sớm vươn xa xứng tầm quốc tế

Xin trân trọng cám ơn!

Tác giả

Nguyễn Đức Sơn

MỤC LỤC

LỜI CAM ĐOAN i

LỜI CÁM ƠN ii

MỤC LỤC iii

DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT v

DANH SÁCH BẢNG, BIỂU vi

DANH SÁCH HÌNH VẼ vii

MỞ ĐẦU 1

Chương 1: TỔNG QUAN AN TOÀN ỨNG DỤNG WEB 2

1.1 Thực trạng an toàn ứng dụng web 2

1.2 Các kỹ thuật tấn công ứng dụng web 3

1.2.1 Tấn công từ chối dịch vụ 4

1.2.2 Tấn công SQL Inejection 9

1.2.3 Tấn công SSL 13

1.2.4 Tấn công XSS 14

1.2.5 Một số loại tấn công khác 17

1.3 Ảnh hưởng của các cuộc tấn công 18

1.3.1 Trên thế giới 18

1.3.2 Tại Việt Nam 21

1.4 Kết chương 23

Chương 2: NGHIÊN CỨU GIẢI PHÁP PHÒNG CHỐNG TẤN CÔNG WEB 24

2.1 Phòng chống tấn công từ chối dịch vụ 24

2.1.1 Phòng chống tấn công từ chối dịch vụ tổng quát 24

2.1.2 Biện pháp phòng chống tấn công DDoS 25

2.2.1 Các biện pháp phòng chống ở mức lập trình 29

2.2.2 Các biện pháp phòng chống ở mức nền tảng 30

2.3 Phòng chống tấn công SSL 32

2.3.1 Sử dụng kết nối an toàn HTTPS 32

2.3.2 Sử dụng các tài khoản trực tuyến an toàn 33

2.3.3 Bảo mật các thiết bị trong mạng 34

2.4 Phòng chống tấn công XSS 35

2.4.1 Lọc 36

2.4.2 Mã hóa đầu vào 37

2.4.3 Mã hóa đầu ra 37

2.4.4 Bảo mật trình duyệt 38

2.4.5 Sử dụng máy ảo 39

2.4.6 Bảo vệ Web Mail 39

2.4.7 Cẩn thận với độ dài chuỗi URL 40

2.5 Phân tích, đánh giá các giải pháp phòng chống tấn công web 40

Chương 3: ĐỀ XUẤT GIẢI PHÁP AN TOÀN AN NINH MẠNG CỦA TRƯỜNG ĐẠI HỌC CÔNG NGHỆ GIAO THÔNG VẬN TẢI 43

3.1 Hệ thống web của Trường Đại học Công nghệ Giao thông vận tải 43

3.2 Đề xuất giải pháp nâng cao độ an toàn an ninh cho các trang web của trường Đại học Công nghệ Giao thông vận tải 45

3.2.1 Đề xuất giải pháp chung 46

3.2.1 Đề xuất một số giải pháp cụ thể 47

KẾT LUẬN 54

DANH MỤC THUẬT NGỮ, CHỮ VIẾT TẮT

DDoS Distributed Denial of Service Tấn công từ chối dịch vụ

phân tán

DRDoS Distributed Reflection Denial of Service Tấn công từ chối dịch vụ

SIP Session Initiation Protocol Giao thức khởi tạo phiên

TLS Transport Layer Security Bảo mật tầng giao vận

UDP User Datagram Protocol Giao thức truyền tải người

DANH SÁCH BẢNG, BIỂU

Bảng 2.1: Các phương pháp mã hóa đầu ra chống XSS 38

DANH SÁCH HÌNH VẼ

Hình 1.1 Top 10 tấn công trên ứng dụng web quý 1 2017 2

Hình 1.2 Thuộc tính bảo về ứng dụng web 4

Hình 1.3 Tấn công SYN Flood 6

Hình 1.4 Tấn công Reflected Attack 7

Hình 1.5 Cơ chế tấn công SQL Injection 10

Hình 1.6 Công cụ tấn công SQL Injection thực hiện thành công 13

Hình 1.7 Mô hình tấn công SSL 13

Hình 1.8 Cơ chế thực hiện tấn công XSS 15

Hình 2.1 Sử dụng phần mềm xác định mạng và ảo hóa chức năng mạng 28

Hình 2.2 Sử dụng IDS đề phòng chống tấn công DDoS 29

Hình 2.3 Sử dụng tưởng lửa để chống lại SQL Inejection 31

Hình 2.4 Kết nối an toàn và kết nối không an toàn 32

Hình 2.5 Tùy chọn lưu thông tin tài khoản của trình duyệt 34

Hình 2.6 Chứng thực SSL 35

Hình 2.7 Sử dụng mã hóa PGP với E-mail 40

Hình 3.1 Cổng thông tin điện tử utt.edu.vn 43

Hình 3.2 Chức năng tra cứu quá trình đăng ký học 44

Hình 3.3 Hệ thống thi trắc nghiệm 45

Hình 3.4 Công cụ Acunetix thống kê số lượng lỗ hổng 46

Hình 3.5 Công cụ NMap phát hiện các cổng đang được mở 48

Hình 3.6 Công cụ NMap thế hiện hệ thống chưa có tường lửa 48

Hình 3.7 Sử dụng Wireshark để giám sát các gói tin 49

Hình 3.8 Các tính năng hữu ích, miễn phí của Project Shield 49

Hình 3.9 Máy chủ qldt.utt.edu.vn không được tường lửa bảo vệ 50

Hình 3.10 Thiết lập địa chỉ MAC tĩnh 51

Hình 3.11 Công cụ Cain bắt được các thông tin nhạy cảm gửi tới máy chủ 51

Hình 3.12 Chức năng đăng ký học chưa được kiểm soát chặt chẽ 52

MỞ ĐẦU

Việc thiếu quan tâm và đầu tư đúng mức đến đảm an toàn hệ thống và

dữ liệu của bộ phận chuyên trách dẫn đến các vụ tấn công vào các website rất phổ biến Điều này cũng đồng nghĩa với việc dữ liệu có nguy cơ bị đánh cắp,

hệ thống bị ngưng trệ hoặc bị khai thác trái phép là rất lớn khi an ninh hệ thống không được đảm bảo Vì vậy cần phải tăng cường khả năng phòng, chống các nguy cơ tấn công vào các ứng dụng web và biện pháp ngăn chặn, khắc phục kịp thời các sự cố này

Việc đi sâu tìm hiểu về các dạng tấn công vào các website sẽ giúp cho chúng ta hiểu hơn về những lổ hổng trong công tác quản lý website, qua đó đưa ra những giải pháp giúp các nhà quản lý có những biện pháp khắc phục, ngăn chặn sự thâm nhập từ bên ngoài, cũng như vai trò quan trọng trong việc triển khai ứng dụng những công nghệ mới an toàn và bảo mật hơn

Chính vì vây, học viên đã chọn đề tài “Nghiên cứu giải pháp đảm bảo

an toàn ứng dụng web” làm đề tài luận văn của mình

Ngoài phần Mở đầu và Kết luận, cấu trúc luận văn gồm 3 chương với mô tả

sơ lược nội dung từng chương như sau:

Chương 1 - Tổng quan an toàn ứng dụng web: Chương này luận văn nêu tổng

quan về thực trạng lỗ hổng an ninh web, kỹ thuật tấn công, các ảnh hưởng khi bị tấn công

Chương 2 - Nghiên cứu giải pháp phòng chống tấn công web: Chương này luận

văn tập trung nghiên cứu cách phòng chống một số dạng tấn công phổ biến

Chương 3 - Đề xuất giải pháp an toàn an ninh mạng của trường Đại học Công nghệ Giao thông vận tải: Chương này khảo sát, đánh giá, đề xuất giải pháp nâng

cao độ an toàn an ninh mạng của trường Đại học Công nghệ Giao thông vận tải

Chương 1: TỔNG QUAN AN TOÀN ỨNG DỤNG WEB 1.1 Thực trạng an toàn ứng dụng web

Trong cuộc chạy đua số hóa, bùng nổ công nghệ thông tin đã đẩy mạnh các ứng dụng web để nâng cao khả năng quản lý, phục vụ công việc Do mong muốn đưa các ứng dụng này vào thực tế càng nhanh càng tốt nên việc chuẩn bị đầy đủ các quy trình kiểm soát bảo mật thường xảy ra thiếu sót

Hình 1.1 là thống kê của Positive Technologies security, trong quý 1 năm

2017 tỉ lệ các cuộc tấn công ứng dụng web

Hình 1.1 Top 10 tấn công trên ứng dụng web quý 1 năm 2017

(Nguồn: pt security.com 2017 )

Các ứng dụng web được đưa vào sử dụng quá nhanh chóng nên chưa được đầu tư kiểm tra an toàn an ninh đầy đủ, thường là không được kiểm tra Nếu có thì chỉ là tự dùng một số công cụ/phần mềm để kiểm tra lỗ hổng bảo mật, chưa thuê công ty bảo mật chuyên nghiệp để thực hiện, có thể vì chi phí khá cao hoặc đội ngũ bảo mật không chú trọng hoặc không biết rõ về yêu cầu [12]

Người sử dụng cuối không được đào tạo bài bản hoặc không được cảnh báo

về nguy cơ bảo mật nên họ rất dễ mắc sai lầm khi giao dịch trên Internet nên họ chính là lỗ hổng bảo mật lớn nhất đối với vấn đề an ninh mạng của ứng dụng web

Đa số các thiết bị bảo mật hiện tại đã cũ, không còn phù hợp với tình hình an ninh mạng hiện tại, trừ khi vừa mới đầu tư mua mới các thiết bị này Chẳng hạn như

thiết bị tường lửa truyền thống vẫn còn được sử dụng, trong khi nó không thể đảm bảo an toàn cho hệ thống như các thiết bị tường lửa thế hệ mới

Việc trang bị thiết bị tường lửa cho ứng dụng web cũng chưa được chú trọng

và đầy đủ Hoặc đôi khi quá tự tin vào hệ thống tường lửa thế hệ mới vừa được trang bị nên không chú ý rằng nó không đủ chức năng để bảo vệ các ứng dụng trên Internet Hơn nữa việc đầu tư các thiết bị tường lửa cũng khá đắt nên không phải ai cũng sẵn sàng đầu tư để mua các thiết bị này

Đội ngũ công nghệ thông tin thường thiếu người chuyên trách về bảo mật và thường là nhân viên quản trị mạng hoặc quản trị hệ thống kiêm nhiệm công việc này

do thiếu ngân sách cho nhân lực Do đó việc có nhân viên chuyên trách về bảo mật cho ứng dụng web là điều khá xa xỉ Hơn nữa, đội ngũ lập trình ít được đào tạo về bảo mật trong lập trình nên ít khi họ chú ý đến vấn đề bảo mật trong quá trình lập trình, họ chỉ chú trong sao cho công việc hoàn thành đúng tiến độ và chạy đúng theo yêu cầu của người sử dụng Ngoài ra, đội ngũ chuyên trách về kiến trúc và thiết kế

hệ thống cũng bị thiếu, thường thì cũng kiêm nhiệm

Chính sách hoặc quy trình bảo mật chưa được xây dựng đầy đủ nên không ngăn chặn được các nguy cơ về an ninh mạng hoặc nhân viên thực thi sai quy trình bảo mật hoặc đội ngũ giám sát bảo mật không đủ mạnh để kiểm soát các vấn đề an ninh mạng

Những khiếm khuyết kể trên đã được các kẻ tấn công khai thác triệt để để tạo

ra các cuộc tấn công và gây ra rất nhiều tổn thất nặng nề Có rất nhiều giải pháp được đưa ra bởi các tổ chức, cá nhân nhưng chưa thực sự có hiệu quả trong vấn đề phòng chống các cuộc tấn công Nguy hiểm hơn, các cuộc tấn công vào ứng dụng web diễn ra rất phức tạp, tinh vi, khó đoán trước và gây ra hậu quả rất lớn

1.2 Các kỹ thuật tấn công ứng dụng web

Các phương thức tấn công ứng dụng web rất đa dạng về hình thức, quy mô

và thiệt hại gây ra cũng ở nhiều mức khác nhau Dựa vào nguyên lý hoạt động, các thuộc tính liên quan mà kẻ tấn công có thể lợi dụng để thực hiện hành vi của mình, được thể hiện ở hình 1.2

Hình 1.2 Thuộc tính bảo về ứng dụng web

(nguồn https://whitehat.vn 2017 )

Dưới đây là một số kỹ thuật tấn công phổ biến:

1.2.1 Tấn công từ chối dịch vụ

Tấn công từ chối dịch vụ DoS là một sự kiện bảo mật xảy ra khi kẻ tấn công

có hành động ngăn cản người dùng hợp pháp truy cập hệ thống máy tính, thiết bị hoặc các tài nguyên mạng khác Trong tấn công từ chối dịch vụ, kẻ tấn công nhằm vào các máy tính và sử dụng mạng máy tính dùng để ngăn cản truy cập email, website, tài khoản trực tuyến và các dịch vụ khác [7] Một kiểu DoS rõ ràng và phổ biến nhất là kẻ tấn công tạo ra số lượng yêu cầu rất lớn từ máy chủ, hệ thống hoặc mạng, làm cạn kiệt tài nguyên của nạn nhân, khiến người dùng hợp pháp gặp khó khăn hoặc thậm chí không thể sử dụng chúng Cụ thể hơn, khi nhập vào URL của một website vào trình duyệt, lúc đó người dùng đang gửi một yêu cầu đến máy chủ của trang này để xem Máy chủ chỉ có thể xử lý một số yêu cầu nhất định trong một khoảng thời gian, vì vậy nếu kẻ tấn công làm gửi ồ ạt nhiều yêu cầu đến máy chủ sẽ làm nó bị quá tải và yêu cầu của họ không được xử lý Đây là kiểu từ chối dịch vụ

vì nó làm cho người dùng không thể truy cập đến trang đó

Tấn công từ chối dịch vụ phân tán DDoS là nỗ lực làm sập một dịch vụ trực tuyến bằng cách làm tràn ngập nó với các yêu cầu từ nhiều nguồn Trong tấn công DDoS, một kẻ tấn công có thể sử dụng các máy tính cá nhân để tấn công vào các máy tính khác Bằng cách lợi dụng những lỗ hổng về bảo mật cũng như sự không hiểu biết, kẻ này có thể giành quyền điều khiển máy tính Sau đó chúng sử dụng máy tính bị chiếm quyền điều khiển để gửi số lượng lớn dữ liệu đến một website hoặc gửi thư rác đến một địa chỉ hòm thư nào đó Tấn công này được được gọi là

phân tán vì kẻ tấn công sử dụng nhiều máy tính để thực hiện tấn công Dos Mặc dù DDoS cung cấp một chế độ tấn công ít phức tạp hơn các dạng tấn công mạng khác, nhưng chúng đang ngày càng mạnh mẽ và tinh vi hơn

Có ba loại tấn công cơ bản:

• Volume-based: Sử dụng lưu lượng truy cập cao để làm tràn ngập băng thông mạng

• Protocol: Tập trung vào việc khai thác các tài nguyên máy chủ

• Application: Tập trung vào các ứng dụng web và được xem là loại tấn công tinh vi và nghiêm trọng nhất

Tấn công từ chối dịch vụ theo phương pháp phản xạ DRDoS: Để thực hiện,

kẻ tấn công tìm cách chiếm dụng và điều khiển nhiều máy tính hoặc mạng máy tính trung gian (đóng vai trò zombie) từ nhiều nơi để đồng loạt gửi ào ạt các gói tin (packet) với số lượng rất lớn, mục đích chiếm dụng tài nguyên và làm tràn ngập đường truyền của một mục tiêu xác định nào đó DRDoS chỉ mới xuất hiện gần đây nhưng lại là loại nguy hiểm nhất Nếu được thực hiện bởi các kẻ tấn công chuyên nghiệp, không một hệ thống nào có thể đứng vững được trước nó Đáng nói hơn, hiện cũng đã xuất hiện nhiều loại virus, worm, trojan có chức năng tự động thực hiện tấn công DoS Đây có lẽ là kiểu tấn công lợi hại nhất và làm boot máy tính nhanh gọn nhất Cách làm thì cũng tương tự như DDos nhưng thay vì tấn công bằng nhiều máy tính thì người tấn công chỉ cần dùng một máy tấn công thông qua các server lớn trên thế giới Vẫn với phương pháp giả mạo địa chỉ IP của victim, kẻ tấn công sẽ gởi các gói tin đến các server mạnh nhất, nhanh nhất và có đường truyền rộng nhất, các server này sẽ phản hồi các gói tin đó đến địa chỉ của victim Việc cùng một lúc nhận được nhiều gói tin thông qua các server lớn này sẽ nhanh chóng làm nghẽn đường truyền của máy tính nạn nhân và làm crash, reboot máy tính đó Cách tấn công này lợi hại ở chỗ chỉ cần một máy có kết nối Internet đơn giản với đường truyền bình thường cũng có thể đánh bật được hệ thống có đường truyền tốt nhất thế giới nếu như không kịp ngăn chặn

Các kiểu tấn công từ chối dịch vụ phổ biến hiện nay

• UDP Flood: UDP là một giao thức kết nối không tin cậy Một cuộc tấn công gây ngập lụt UDP có thể được bắt đầu bằng cách gửi một số lượng lớn các gói tin UDP tới cổng ngẫu nhiên trên một máy chủ từ xa và kết quả là các máy chủ ở xa

sẽ kiểm tra các ứng dụng với cổng, thấy rằng không có ứng dụng nghe ở cổng, trả lời với một ICMP Destination Unreachable gói

Như vậy, hệ thống nạn nhân sẽ bị buộc nhận nhiều gói tin ICMP, dẫn đến mất khả năng xử lý các yêu cầu của các khách hàng thông thường Những kẻ tấn công cũng có thể giả mạo địa chỉ IP của gói tin UDP, đảm bảo rằng ICMP gói trở lại quá mức không tiếp cận họ, và nặc danh hóa vị trí mạng của họ Hầu hết các hệ điều hành sẽ giảm nhẹ một phần của cuộc tấn công bằng cách hạn chế tốc độ phản ứng ICMP được gửi đi

• SYN Flood: Kiểu tấn công TCP SYN flood là một kiểu tấn công trực tiếp vào máy chủ bằng cách tạo ra một số lượng lớn các kết nối TCP nhưng không hoàn thành các kết nối này [6] Một người dùng bình thường kết nối tới máy chủ ban đầu thực hiện Request TCP SYN và lúc này máy chủ không còn khả năng đáp lại – kết nối không được thực hiện Hình 1.3 mô phỏng một cuộc tấn công SYN Flood

Hình 1.3 Tấn công SYN Flood

Đầu tiên các khách hàng gửi gói tin yêu cầu SYN với số thứ tự x đến các máy chủ Các máy chủ đáp ứng bằng cách gửi một thông báo nhận (ACK – SYN) Với cờ SYN = y và cờ ACK = x + 1 Khi khách hàng nhận được, khách hàng sẽ gửi một thông báo nhận (ACK) với cờ y + 1

SYN Flood là một loại tấn công website bằng DDoS Ở đây, kẻ tấn công gửi các yêu cầu SYN vĩnh viễn để ăn tài nguyên máy chủ nhiều nhất có thể Kẻ tấn công không bao giờ trả lời SYN-ACK hoặc thậm chí nếu nó trả lời nó sử dụng một địa chỉ IP giả Vì vậy, các máy chủ không bao giờ nhận được các gói tin trả lời thậm chí chờ đợi cho đến khi hết thời gian chờ

• Peer-to-Peer Attacks: Mô hình tấn công DDoS máy chủ thư mục tập chung Peer-to-Peer là kết nối mạng ngang hàng, nó tạo cơ hội cho kẻ tấn công Lý do là thay vì dựa vào một máy chủ trung tâm, một peer sẽ phát trực tiếp một truy vấn vào mạng, và bất cứ ai có nguồn lực được mong muốn sẽ đáp ứng Thay vì sử dụng một máy chủ để đẩy lưu lượng đến đích, máy peer-to-peer được khai thác để định tuyến lưu lượng đến đích Khi được thực hiện thành công, kẻ tấn công sử dụng file-sharing sẽ được gửi đến mục tiêu (Target) cho đến khi mục tiêu bị quá tải, ngập lụt

và ngừng kết nối

• Reflected Attack: Còn gọi là tấn công ánh xạ được thực hiên bằng cách gửi càng nhiều gói tin với địa chỉ giả mạo đến càng nhiều máy tính càng tốt Các máy tính nhận được các gói tin sẽ trả lời, nhưng tin trả lời này tới địa chỉ nạn nhân bị giả mạo Tất nhiên các máy tính này sẽ cố gắng trả lời ngay lập tức làm trang web bị ngập lụt đến khi tài nguyên máy chủ bị cạn kiệt (hình 1.4)

Hình 1.4 Tấn công Reflected Attack

• Nuke: Các gói tin ICMP độc hại và phân mảnh được gửi qua Ping Nó đã được sửa đổi để các gói tin này đến đích Cuối cùng máy tính nạn nhân sẽ gián đoạn hoạt động Cuộc tấn công này tập trung chủ yếu vào mạng máy tính và thuộc loại cuộc tấn công từ chối dịch vụ kiểu cũ

• Slowloris: Loại tấn công từ chối dịch vụ phân tán náy rất khó để phát hiện

và hạn chế Sự việc đáng chú ý nhất là vụ tấn công trong cuộc bầu cử tổng thống Iran năm 2009 Loại tấn công này có kĩ thuật tương tự như SYN flood (tạo nửa kết nối để làm cạn kiệt tài nguyên máy chủ) nhưng diễn ra ở lớp HTTP (lớp ứng dụng)

Để tấn công, tin tặc gửi yêu cầu HTTP đến máy chủ, nhưng không gửi toàn bộ yêu cầu, mà chỉ gửi một phần (và bổ sung nhỏ giọt, để khỏi bị ngắt kết nối) Với hàng trăm kết nối như vậy, tin tặc chỉ tốn rất ít tài nguyên, nhưng đủ để làm treo máy chủ, không thể tiếp nhận các kết nối từ người dùng hợp lệ

• Degradation of Service Attacks: Còn gọi là tấn công làm suy giảm dịch vụ Mục đích của cuộc tấn công này là làm chậm thời gian đáp ứng của máy chủ Thông thường một cuộc tấn công DDoS nhằm mục đích khiến trang web hoặc máy chủ không thể thực hiện tác vụ thông thường Nhưng mục tiêu của kiểu tấn công này là

để làm chậm thời gian phản hồi xuống mức hầu hết mọi người không thể sử dụng được trang web Máy tính Zombie được sử dụng để làm tràn máy tính mục tiêu với lưu lượng truy cập độc hại, nó sẽ gây ra các vấn đề về hiệu suất và thời gian tải trang Những loại tấn công này có thể khó phát hiện vì mục tiêu không phải là để đưa trang web ngừng kết nối, nhưng để làm giảm hiệu suất Chúng thường bị lẫn lộn với sự gia tăng lưu lượng sử dụng website

• Unintentional DDoS: Xảy ra khi có sự tăng đột biến trong lưu lượng web khiến máy chủ không thể xử lý tất cả các yêu cầu đến Càng nhiều lưu lượng truy cập xảy ra, càng nhiều tài nguyên được sử dụng Điều này khiến thời gian tải trang hết hạn và cuối cùng server sẽ không phản hồi và ngừng kết nối

• Application Level Attacks: Nhằm vào mục tiêu là các ứng dụng có nhiều lỗ hổng Thay vì cố gắng lụt toàn bộ máy chủ, một kẻ tấn công sẽ tập trung tấn công vào một hoặc một vài ứng dụng Các ứng dụng email dựa trên web, WordPress,

Joomla và phần mềm diễn đàn là những ví dụ điển hình về các mục tiêu cụ thể của ứng dụng

• Multi-Vector Attacks: Là hình thức phức tạp nhất trong các cuộc tấn công

từ chối dịch vụ phân tán DDoS Thay vì sử dụng một phương pháp đơn lẻ, nó là một

sự kết hợp của nhiều công cụ và chiến lược khác nhau để lụt mục tiêu và làm ngừng kết nối Thông thường, các Multi-Vector Attacks tấn công các ứng dụng cụ thể trên server mục tiêu cũng như làm tràn mục tiêu với một lượng lớn lưu lượng độc hại Những kiểu tấn công DDoS kiểu này rất khó để ngăn chặn và hạn chế vì nó là tổng hợp của các hình thức khác nhau và nhắm mục tiêu với nguồn lực khác nhau cùng một lúc

• Zero Day DDoS: Cuộc tấn công dựa vào “Zero Day” chỉ đơn giản là một phương pháp tấn công mà chưa có bản vá hoặc chưa được ghi nhận trước đây Đây

là thuật ngữ chung được sử dụng để mô tả các lỗ hổng mới và cách khai thác mới

1.2.2 Tấn công SQL Inejection

SQL Injection (chèn mã độc SQL) là một kỹ thuật cho phép kẻ tấn công chèn

mã SQL vào dữ liệu gửi đến máy chủ và được thực hiện trên máy chủ cơ sở dữ liệu [1].

Nguyên nhân: dữ liệu đầu vào từ người dùng hoặc từ các nguồn khác không được kiểm tra hoặc kiểm tra không kỹ lưỡng

Cơ chế tấn công được mô tả ở hình 1.5

Hình 1.5 Cơ chế tấn công SQL Injection

Tùy mức độ tinh vi, SQL Injection có thể cho phép kẻ tấn công:

• Vượt qua các khâu xác thực người dùng

Chẳng hạn form HTML đăng nhập:

<form method="post" action="/test_sql.asp">

Tên đăng nhập: <input type=text name="username"><br \>

Mật khẩu: <input type=password name="passwd"><br \>

<input type=submit name="login" value="Log In">

</form>

<%

lưu t.tin người dùng Dim username, passwd, sqlString, rsLogin

username = Request.Form("username") passwd = Request.Form("passwd")

sqlString = "SELECT * FROM tbl_accounts WHERE username='" &username&"' AND passwd='" &passwd& "'"

set rsLogin = conn.execute(sqlString)

if (NOT rsLogin.eof()) then

' cho phép đăng nhập, bắt đầu phiên làm việc

else

end if

%>

Nếu người dùng nhập admin vào trường username và abc123 vào trường

passwd của form, mã asp hoạt động đúng, nếu tồn tại người dùng với username và password sẽ cho phép đăng nhập, nếu không tồn tại người dùng với username và password sẽ từ chối đăng nhập và báo lỗi

Nếu người dùng nhập aaaa' OR 1=1 vào trường username và một chuỗi bất kỳ vào trường passwd của form, mã asp hoạt động sai:

Chuỗi chứa câu truy vấn SQL trở thành:

SELECT * FROM tbl_accounts WHERE username='aaaa' OR 1=1 ' AND passwd='aaaa'

Câu truy vấn sẽ trả về mọi bản ghi trong bảng do mệnh đề OR 1=1 luôn đúng

và phần kiểm tra mật khẩu đã bị loại bỏ bởi ký hiệu ( ): phần lệnh sau ký hiệu ( ) được coi là ghi chú và không được thực hiện

• Chèn, xóa hoặc sửa đổi dữ liệu

Sử dụng các câu lệnh INSERT INTO, DROP TABLE, UPDATE với cấu trúc tương tự để chèn, xóa hoặc sửa đổi dữ liệu

• Đánh cắp các thông tin trong CSDL

Sử dụng lệnh UNION SELECT, ORDER BY để tìm kiếm các thông tin của các bảng trong cơ sở dữ liệu

• Chiếm quyền điều khiển hệ thống

Khả năng máy chủ web bị chiếm quyền điều khiển xảy ra khi website và cơ

sở dữ liệu của nó tồn tại 2 lỗ hổng:

- Lỗ hổng cho phép tấn công chèn mã SQL;

- Lỗ hổng thiết lập quyền truy nhập – sử dụng người dùng có quyền quản trị

để truy nhập và thao tác dữ liệu website.

Tin tặc có thể chèn mã để chạy các thủ tục hệ thống cho phép can thiệp vào

hệ quản trị cơ sở dữ liệu và hệ điều hành Ví dụ, MS SQL cung cấp các thủ tục hệ

mở rộng:

sp_send_dbmail: cho phép gửi email từ cơ sở dữ liệu.

xp_cmdshell: cho phép chạy các lệnh và chương trình cài đặt trên hệ điều hành

windows

Ví dụ, MS SQL cung cấp các thủ tục hệ mở rộng:

sp_send_dbmail: cho phép gửi email từ cơ sở dữ liệu

xp_cmdshell: cho phép chạy các lệnh và chương trình cài đặt trên HĐH windows.EXEC xp_cmdshell 'dir *.exe'

EXEC xp_cmdshell 'shutdown /s /t 00' : tắt máy chủ chạy cơ sở dữ liệu

EXEC xp_cmdshell 'net stop W3SVC' : dừng hoạt động máy chủ web

EXEC xp_cmdshell 'net stop MSSQLSERVER' : dừng hoạt động máy chủ cơ sở dữ liệu

Ngoài ra, tin tặc có thể thực hiện các thao tác nguy hiểm đến cơ sở dữ liệu nếu có quyền của người quản trị cơ sở dữ liệu hoặc quản trị hệ thống, như:

- Xóa cả bảng: DROP TABLE <tên bảng>

- Xóa cả bảng: DROP DATABASE <tên cơ sở dữ liệu >

- Tạo 1 tài khoản mới: sp_addlogin <username> <password>

- Đổi mật khẩu: sp_password<password>

Có rất nhiều công cụ phát hiện và khai thác lỗ hổng này Hình 1.6 là ví dụ về

1 ứng dụng web lỗi SQL Injection, có thể xem các thông tin bảng users của cơ sở

dữ liệu:

Hình 1.6 Công cụ tấn công SQL Injection thực hiện thành công

1.2.3 Tấn công SSL

SSL là tiêu chuẩn của công nghệ bảo mật, truyền thông mã hoá giữa máy chủ Web server và trình duyệt (browser) Tiêu chuẩn này hoạt động và đảm bảo rằng các dữ liệu truyền tải giữa máy chủ và trình duyệt của người dùng đều riêng tư và toàn vẹn [14]

Lợi dụng quá trình chuyển gói tin đi qua nhiều trạm thuộc các mạng khác nhau, kẻ tấn công chặn bắt các thông điệp giữa 2 bên tham gia truyền thông và chuyển thông điệp lại cho bên kia Kiểu tấn công này trong giới chuyên môn gọi

là man-in-the-middle (người đứng giữa), là một trong nhiều kỹ thuật tấn công mạng, cho phép kẻ nào đó can thiệp vào kết nối Internet của người khác và thu thập mọi thông tin truyền trên hệ thống mạng đó Loại tấn công này thường được sử dụng để đánh cắp thông tin

Có hai bước để thực hiện tấn công kiểu man-in-the-middle Đầu tiên, kẻ tấn công phải xâm nhập được vào hệ thống mạng Thứ hai, kẻ tấn công phải giải mã dữ liệu Hình 1.7 mô tả cách thức hoạt động của tấn công SSL

Hình 1.7 Mô hình tấn công SSL

• Xâm nhập vào hệ thống mạng: Có 4 cách thông dụng

- Giả điểm truy cập Wi-Fi: Kẻ tấn công thiết lập một access point giả, giả một mạng mà người dùng sẽ tin tưởng là thật, khi người dùng kết nối (hoặc có thể thiết bị tự động kết nối mà không cần người dùng can thiệp), kẻ tấn công đã vào được cùng một mạng với thiết bị của người dùng

- Giả giao thức phân giải địa chỉ: Kẻ tấn công thiết lập địa chỉ MAC của chính chúng như là một gateway hoặc thiết bị của nạn nhân, kẻ tấn công có thể can thiệp hoặc chỉnh sửa mọi luồng dữ liệu

- Chiếm proxy/SSL Bump: Kẻ tấn công lừa người dùng cài một ứng dụng độc hại hoặc một profile cấu hình nào đó, hoặc sử dụng một phương thức bảo mật khác

Luồng dữ liệu trên thiết bị bị định hướng đến kiến trúc mạng dựng sẵn của kẻ tấn công

- Mạng riêng ảo giả: Một người dùng bị lừa để tải về một ứng dụng hay một profile cấu hình để yêu cầu kích hoạt VPN Luồng dữ liệu trên thiết bị bị định hướng trỏ vào VPN của kẻ tấn công

• Giải mã dữ liệu: Có vài cách sau để giải mã dữ liệu trong khi dữ liệu đang

di chuyển trên hệ thống mạng Trong đó, ba cách sau là thường gặp nhất:

- Tấn công chứng thực host: Kết nối thông qua man-in-the-middle, kẻ tấn công thiết lập session SSL với host đã nhắm trước, Host hồi đáp với chứng thực SSL, chứng thực giả tới người dùng cuối và người dùng chấp nhận Nếu người dùng

bị lừa cài đặt một chứng thực root thì thậm chí hệ thống vô hiệu hoá cảnh báo về chứng thực về sau

- SSL Strip: Kết nối thông qua kẻ tấn công, kẻ tấn công viết lại nội dung nhưng không gồm các link HTTPS, thông tin vào ra, như tài khoản đăng nhập, sẽ hiển thị ở dạng văn bản thuần, không hề mã hoá

- Hạ cấp giao thức TLS: Kẻ tấn công chiếm kết nối để hạ cấp giao thức Những giao thức lỗi thời như TLS lại rất dễ giải mã nếu kẻ tấn công am tường công nghệ

1.2.4 Tấn công XSS

Tấn công XSS là một trong những kĩ thuật tấn công phổ biến, nó cũng là một trong những vấn đề bảo mật quan trọng đối với các nhà phát triển web và cả những người sử dụng web Bất kì một website nào cho phép người sử dụng đăng thông tin

mà không có sự kiểm tra chặt chẽ các đoạn mã nguy hiểm thì đều có thể tiềm ẩn các lỗi XSS Đây là một kĩ thuật tấn công bằng cách chèn vào các website động (ASP, PHP, CGI, JSP …) những thẻ HTML hay những đoạn mã script nguy hiểm có thể gây nguy hại cho những nạn nhân sử dụng

Lỗi này xảy ra khi ứng dụng web thu nhận các dữ liệu nguy hiểm được nhập

từ kẻ tấn công Một website thường chứa các link, thông qua các link này kẻ tấn công có thể chèn các đoạn code vào và khi người dùng nào đó sử dụng link này thì coi như 99% là sập bẫy, kẻ tấn công có thể thông qua lỗi này để chèn code vào site hay link để lấy các thông tin quan trọng từ nạn nhân

Hình 1.8 Cơ chế thực hiện tấn công XSS

Phụ thuộc vào mục đích của kẻ tấn công, những đoạn Javascript được chèn vào để lấy những thông tin như:

• Cookie: kẻ tấn công có thể lấy được cookie của người dùng và dùng những thông tin trong cookie để giả mạo phiên truy cập hoặc lấy những thông tin nhạy cảm khác được lưu trong cookie

• Keylogging: kẻ tấn công có thể ghi lại những thao tác gõ phím của người dùng bằng cách sử dụng sự kiện trong Javascript và gửi tất cả những thao tác gõ phím đó về cho hắn để thực hiện những mục đích như đánh cắp các thông tin nhạy cảm, lấy mật khẩu truy cập website hoặc mã số thẻ tín dụng…

• Phishing: kẻ tấn công có thể thay đổi giao diện của website bằng cách thay đổi cấu trúc HTML trong trang web để đánh lừa người dùng Kẻ tấn công có thể tạo

ra những form đăng nhập giả nhằm lừa người dùng đăng nhập vào để đánh cắp mật khẩu

Sau đó các thông tin này được gửi tới cho kẻ tấn công Cách thường dùng của kẻ tấn công là mã hoá các phần nguy hiểm của link (đã chèn code) thành kiểu

hệ 16 ( hoặc có thể là các hình thức khác ) để làm cho nạn nhân ít nghi ngờ khi click vào cái link nguy hiểm đó Sau đó là tìm cách nào đó để cho nạn nhân chịu click vào cái link đó

Hầu hết các ứng dụng web hiện nay dùng cookie để kết hợp 1 tài khoản duy nhất cho 1 người dùng nào đó, nghĩa là cookie của người nào người đó dùng Các webmail, web bán hàng, nhà băng , … đa số đều dùng cookie với mục đích chứng thực ngừơi dùng, và đây là cái mà kẻ tấn công cần

Về cơ bản XSS cũng như SQL Injection hay Source Injection, nó cũng là các yêu cầu (request) được gửi từ các máy client tới server nhằm chèn vào đó các thông tin vượt quá tầm kiểm soát của server Nó có thể là một request được gửi từ các form dữ liệu hoặc cũng có thể đó chỉ là các URL như

là http://www.example.com/search.cgi?query=<script>alert(‘Website đang bị lỗi

XSS!’);</script> Và rất có thể trình duyệt sẽ hiện lên một popup thông báo

“Website đang bị lỗi XSS!”

Các đoạn mã trong thẻ script không hề bị giới hạn bởi chúng hoàn toàn có thể thay thế bằng một file nguồn trên một server khác thông qua thuộc tính src của

thẻ script Cũng chính vì lẽ đó mà chúng ta chưa thể lường hết được độ nguy hiểm của các lỗi XSS

Nhưng nếu như các kĩ thuật tấn công khác có thể làm thay đổi được dữ liệu nguồn của web server (mã nguồn, cấu trúc, cơ sở dữ liệu) thì XSS chỉ gây tổn hại đối với website ở phía client mà nạn nhân trực tiếp là những người khách duyệt site

đó Tất nhiên đôi khi các hacker cũng sử dụng kĩ thuật này đề deface các website nhưng đó vẫn chỉ tấn công vào bề mặt của website Thật vậy, XSS là những Client-Side Script, những đoạn mã này sẽ chỉ chạy bởi trình duyệt phía client do đó XSS không làm ảnh hưởng đến hệ thống website nằm trên server

Mục tiêu tấn công của XSS không ai khác chính là những người sử dụng khác của website, khi họ vô tình vào các trang có chứa các đoạn mã nguy hiểm do các hacker để lại họ có thể bị chuyển tới các website khác, đặt lại homepage, hay nặng hơn là mất mật khẩu, mất cookie thậm chí máy tính của họ có thể sẽ bị cài các loại virus, backdoor, worm

1.2.5 Một số loại tấn công khác

CSRF (Cross Site Request Forgery): là kiểu tấn công bằng cách sử dụng

quyền chứng thực của người sử dụng đối với một website khác (mượn quyền ceritification ), các ứng dụng web hoạt động theo nguyên tắc nhận các lệnh http từ người dùng sau đó thực thi nó CSRF sẽ lừa trình duyệt của người dùng để gửi đi các lệnh http đến các ứng dụng web trong trường hợp session (phiên làm việc) của người dùng chưa hết hiệu lực thì các lệnh http trên sẽ được thực hiện với quyền chứng thực của người dùng trước đó

Path traversal: là một khai thác HTTP cho phép hacker truy cập đến những

chỉ mục bị giới hạn, thực thi lệnh bên ngoài chỉ mục gốc của máy chủ web Nếu như truy cập thành công thì hacker có thể xem được các file, thư mục bị giới hạn và thực thi được các câu lệnh trên server mắc lỗi này đều không kiểm tra đầu vào dữ liệu được gửi từ client Path Traversal hay còn được biết với một số tên khác như “dot-dot-slash”, “directory traversal”,”directory clumbing” và “backtracking”

OS Comanding: kẻ tấn công có thể thực hiện các câu lệnh, dòng code của

OS để thực hiện các hành vi không tốt đối với hệ thống Việc chèn thêm (injection) vào ứng dụng để thực thi hành vi không tốt là một lỗi vô cùng nguy hiểm Có thể gây lỗi cho host, lấy cắp thông tin, thậm chí chiếm quyền quản lý server

1.3 Ảnh hưởng của các cuộc tấn công

Các cuộc tấn công mạng nói chung, đặc biệt là tấn công vào ứng dụng web gây ra những hậu quả về kinh tế, chính trị của các tổ chức, cá nhân Tấn công ứng dụng web xảy ra với mật độ dày đặc với rất nhiều quy mô trên thế giới, Việt Nam cũng không phải ngoại lệ nếu không muốn nói là nơi xảy ra nhiều vụ điển hình Dưới đây là một số sự kiện tiêu biểu được thống kê lại trong năm 2016, ghi lại số

liệu các cuộc tấn công và mức độ thiệt hại mà nó gây ra (nguồn:

Tháng 5/2016, hàng trăm triệu tài khoản LinkedIn và Myspace đã bị tin tặc tấn công và chiếm quyền điều khiển Tháng 6/2016, 32 triệu tài khoản Twitter bị hack bởi một tin tặc Nga có tên Tessa88

Mã độc tống tiền - Ransomware trở thành vấn nạn: Theo số liệu của Kaspersky Lab (khảo sát từ tháng 4/2014 đến tháng 3/2016), năm 2016, cứ 40 giây lại xuất hiện một cuộc tấn công vào doanh nghiệp, số lượng các cuộc tấn công từ mã độc tống tiền nhắm vào doanh nghiệp đã tăng lên gấp 3 lần Cụ thể, các cuộc tấn công sử dụng mã độc tống tiền đã tăng từ 131.111 vụ trong giai đoạn 2014 -2015, lên 718.536 vụ trong giai đoạn 2015-2016

Một loạt các phần mềm tống tiền xuất hiện bao gồm: Locky, DMA Locker, Surprise và một biến thể có tên Ranscam - lấy tiền chuộc nhưng lại xóa luôn cả dữ liệu Trong số các mã độc tống tiền tăng trưởng nhanh, đáng chú ý nhất là mã độc Crypto, kết quả thống kê cho thấy, đã tăng từ 6,6% lên 31,6% Báo cáo cũng cho biết, mã độc tống tiền đang hướng sự tập trung nhiều vào các thiết bị di động, với số lượng người dùng bị tấn công bằng mã độc tống tiền di động tăng gần 4 lần, từ 35.413 vụ lên 136.532 vụ

Gia tăng mã độc khai thác lỗ hổng zero-day và các mã độc mới: Với 54 mã độc khai thác lỗ hổng Zero-day được tìm thấy trong năm 2016 (cao hơn 125% so với năm 2015), trung bình mỗi tuần có hơn một mã độc được phát hiện, cho thấy nguy cơ các hệ thống quan trọng có thể bị tấn công tăng lên đáng kể Mã độc zero-day đặc biệt nguy hiểm đối với điện thoại thông minh và máy tính bảng có gắn SIM điện thoại Trong năm 2016, nhiều loại tấn công được gọi là Zero-click xuất hiện, khi mã độc được kích hoạt tự động chỉ bằng một tin nhắn Mutimedia SMS

Năm 2016, theo ghi nhận của các hãng bảo mật, số lượng mã độc mới đã gia tăng 36%, trong đó có 430 triệu mã độc không trùng lặp với các mã độc năm 2015

Tấn công mạng bằng mã độc lây nhiễm trên thiết bị IoT: Tháng 10/2016, một mạng botnet cỡ lớn đã tấn công DDoS vào Dyn, nhà cung cấp hệ thống tên miền lớn của thế giới, khiến gần như một nửa nước Mỹ bị mất kết nối Internet Đợt tấn công DDoS nhắm vào Dyn đã khiến hàng loạt trang web lớn như Twitter, GitHub và Netflix bị đánh sập trong một ngày Theo các nhà nghiên cứu, một mã độc với tên gọi Mirai đã lợi dụng những lỗ hổng và sử dụng những thiết bị bị nhiễm để tung ra những cuộc tấn công từ chối dịch vụ quy mô lớn

Tháng 11/2016 hơn 900.000 thiết bị định tuyến băng thông rộng (broadband routers) của nhà cung cấp dịch vụ viễn thông Deutsche Telekom, Đức đã bị ngưng trệ hoạt động sau một cuộc tấn công gây ảnh hưởng đến hệ thống điện thoại, truyền hình và dịch vụ Internet của nước này, do các thiết bị bị lây nhiễm Mirai

Hồ sơ Panama bị rò rỉ: Tháng 4/2016, dữ liệu của công ty luật Mossack Fonseca tại Panama bị rò rỉ, bao gồm 2,6 TB dữ liệu, gấp 100 lần so với vụ rò rỉ dữ

liệu Wikileaks từng gây chấn động toàn cầu vào năm 2010 Đây là các thông tin trong khoảng thời gian từ năm 1977 đến tháng 12/2015 của công ty luật Mossack Fonseca, trong đó có 11,5 triệu tài liệu, bao gồm cả email và hợp đồng kinh doanh Tin tặc tiết lộ hơn 214.000 công ty “vỏ bọc” được thành lập trên 200 quốc gia và vùng lãnh thổ Các công ty này thường được dùng vào các mục đích chuyển giá và trốn thuế Nguyên nhân được xác định là lỗ hổng trên trang web của hãng Moscack Fonseca, đã tạo cơ hội giúp “John Doe” có thể sở hữu được lượng lớn các dữ liệu bị

rò rỉ

Mạng máy tính Đảng Dân chủ Mỹ bị hack: Từ vụ hack này, Wikileaks đã tiết

lộ tài liệu bao gồm 20.000 email và hàng nghìn tài liệu của các nhân viên Ủy ban Quốc gia Dân chủ Mỹ Những tiết lộ này đã dẫn tới nhiều vụ bê bối chính trị sau đó, chẳng hạn người ta biết về nỗ lực chống đối của DNC với chiến dịch ủng hộ ứng cử viên Hillary Clinton của Bernie Sanders Chủ tịch DNC, Debbie Wasserman Schultz, đã buộc phải từ chức sau sự cố này Một nhóm tin tặc tự xưng là Guccifer 2.0 đã lên tiếng nhận trách nhiệm, nhưng các nhà điều tra của Mỹ tin rằng thủ phạm thực sự đằng sau có liên quan tới người Nga

Tin tặc đánh cắp thẻ tín dụng: Các biện pháp bảo mật thẻ tín dụng xem chừng không an toàn như bạn vẫn nghĩ Các nhà nghiên cứu tại Đại học Newcastle, Anh đã phát hiện ra cách thức đoán biết số CVV trên thẻ tín dụng một cách dễ dàng

Có được số CVV, kẻ xấu có thể mở khóa các mã bí mật trên thẻ tín dụng và coi như toàn bộ tài khoản của bạn đã nằm trong tay kẻ khác Với phương pháp của các nhà nghiên cứu trên, chỉ trong 6 giây là đã thực hiện được điều này

NSA và những mối nghi ngờ: Tháng 8/2016, một nhóm tin tặc ẩn danh tên là Shadow Brokers tuyên bố nắm trong tay các công cụ hack từ Equation Group, một

tổ chức gián điệp mạng có liên quan tới Cơ quan An ninh Quốc gia Mỹ (NSA) Shadow Brokers cho biết, các công cụ tấn công trên được thiết kế cực kỳ tinh vi, có khả năng lây nhiễm vào firmware thiết bị và “nằm yên” trong đó ngay cả khi hệ điều hành được cài mới hoàn toàn

SWIFT bị hack, một số ngân hàng lớn trên thế giới phải báo động: Một vụ đánh cắp 81 triệu USD từ ngân hàng Bangladesh có liên quan tới phần mềm giao dịch SWIFT đã làm tác động mạnh tới giới ngân hàng An toàn của hệ thống giao dịch SWIFT đang bị nghi ngờ Cuối tháng 5/2016, hàng chục ngân hàng lớn trên khắp thế giới đã lập đội điều tra xem hệ thống SWIFT có phải đã bị phá khóa mã hay không Tháng 7/2016, tổ chức vận hành hệ thống SWIFT đã phải đề nghị sự giúp đỡ từ giới bảo mật bên ngoài để tăng cường khả năng an toàn cho hệ thống giao dịch này

1.3.2 Tại Việt Nam

Theo thống kê của Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam, năm

2016 Trung tâm này đã ghi nhận tổng số 134.375 sự cố tấn công mạng của cả 3 loại hình Phishing (lừa đảo), Malware (mã độc) và Deface (thay đổi giao diện) So với năm 2015, số lượng vụ tấn công mạng năm 2016 nhiều gấp hơn 4,2 lần (năm 2015

là 31.585), trong đó, loại hình tấn công Phishing là 10.057 sự cố (gấp hơn 1,7 lần so với năm 2015), Malware là 46.664 sự cố (gấp gần 2,8 lần năm 2015) và Deface là 77.654 sự cố (gấp hơn 8,7 lần năm 2015)

Theo khảo sát của Hiệp hội An toàn thông tin Việt Nam, chỉ số ATTT của Việt Nam trong năm 2016 là 59,9% Đây là bước tiến đáng kể trong những năm qua, bởi năm 2015, con số này là 47,4% Tuy lần đầu chỉ số ATTT của Việt Nam vượt ngưỡng trung bình, nhưng theo các chuyên gia, với mức độ tấn công ngày càng mạnh, kỹ thuật tấn công ngày càng tinh vi của tin tặc, các tổ chức, doanh nghiệp cần phải nâng cao cảnh giác hơn nữa với tội phạm mạng

Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công: Chiều 29/7/2016, hàng loạt màn hình hiển thị thông tin chuyến bay cùng hệ thống phát thanh của sân bay Nội Bài, Tân Sơn Nhất bất ngờ bị tấn công, trên các màn hình hiển thị nội dung kích động, xuyên tạc về Biển Đông Hệ thống phát thanh của sân bay cũng phát đi những thông điệp tương tự Cùng thời điểm, trên website của hãng hàng không quốc gia Việt Nam (vietnamairlines.com) cũng bị thay đổi nội dung, đồng thời đăng tải thông tin của hơn 400.000 thành viên Golden Lotus Vụ tấn công sau đó được

Vietnamairlines và các cơ quan chức năng trong lĩnh vực ATTT phối hợp xử lý tốt Nhưng đây là vụ tấn công mạng nghiêm trọng vào hệ thống hạ tầng CNTT quan trọng của quốc gia và để lại nhiều hệ lụy xấu

841 máy chủ tại Việt Nam bị hacker rao bán quyền truy cập: Tháng 6/2016 Kaspersky Lab đã tiến hành điều tra diễn đàn quốc tế xDedic (được điều hành bởi nhóm tội phạm mạng nổi tiếng của Nga) - nơi mà tội phạm mạng có thể mua bán quyền truy cập vào các máy chủ bị xâm nhập (chỉ với giá 6 USD cho mỗi quyền truy cập) Điều đáng nói là trong số các máy bị rao bán có 841 máy chủ tại Việt Nam Trong số các máy chủ bị rao bán quyền truy cập, có nhiều máy chủ cấp quyền truy cập đến những trang web thương mại, các dịch vụ và chạy nhiều phần mềm cài đặt dành cho việc gửi email trực tiếp, hoặc hoạt động tài chính, kế toán Đáng chú ý, chủ sở hữu của những máy chủ hợp pháp, là các cơ quan, tổ chức chính phủ, tập đoàn và trường đại học danh tiếng thường không biết rằng hệ thống công nghệ thông tin đang bị tổn hại

Hàng loạt các website, diễn đàn lớn trong nước bị tấn công: Các website bị tấn công có thể kể đến: Vietnamworks.com, svvn.vn, athena.edu.vn và athena.com.vn… Một trong những mục tiêu của tin tặc là các website của công ty chuyên về ATTT, trong đó có website của Trung tâm Đào tạo Quản trị mạng và An ninh mạng Athena Tin tặc đã tấn công và thay đổi giao diện trang chủ (deface) của đơn vị này vào ngày 4 và 5/8/2016

Tấn công nhằm vào lĩnh vực tài chính: Điển hình cho các vụ tấn công vào lĩnh vực tài chính là Ngân hàng TMCP Ngoại thương Việt Nam (Vietcombank) Tháng 8/2016, một khách hàng của Vietcombank đã bị mất số tiền 500 triệu đồng qua giao dịch Internet Banking Nguyên nhân được xác định là do khách hàng đã truy cập vào một trang web giả mạo qua điện thoại di động, khiến thông tin và mật khẩu của khách hàng đã bị đánh cắp, sau đó tin tặc lợi dụng lấy cắp tiền trong tài khoản

Trước đó, Ngân hàng BIDV và HSBC cũng được nhắc đến trong vụ việc liên quan chiếm thông tin tài khoản thẻ tín dụng, sử dụng để quảng cáo cho Fanpage lạ

trên Facebook, đặt phòng qua Agoda, mua Game, sử dụng dịch vụ facebook với số tiền lên đến hàng chục triệu đồng…

Năm 2015, hàng nghìn website của Việt Nam bị các tin tặc Trung Quốc tấn

công trong đó có 50 trang tên miền giáo dục (.edu.vn) như caungang.tvu.edu.vn,

cpe.tvu.edu.vn, cndh.tvu.edu.vn, cncn.tvu.edu.vn, crcs.tvu.edu.vn, cppc.tvu.edu.vn, csp.tvu.edu.vn, phanchutrinh.edu.vn Giao diện web bị hacker thay đổi và hiển thị

nội dung liên quan đến chính trị (nguồn Whitehat.vn)

Còn rất nhiều cuộc tấn công mạng xảy ra ở trong nước và thế giới như: ngân hàng TPBank bị tấn công, Hơn 700 triệu điện thoại Android bí mật gửi dữ liệu người dùng về Trung Quốc, tin tặc tấn cộng vào Website bán hàng của Acer… đã cho chúng đã đưa ra một bức tranh về tình hình bất ổn của an ninh mạng năm 2016 Cùng với quá trình đẩy mạnh ứng dụng CNTT và hướng tới thế giới kết nối IoT, xu hướng gia tăng tấn công mạng là tất yếu

1.4 Kết chương

Chương I đã giới thiệu tổng quan về thực trạng lỗ hổng an ninh web, một

số kỹ thuật tấn công phổ biến, các ảnh hưởng khi bị tấn công Từ những trình bày khái quát các kỹ thuật tấn công làm nền tảng làm cơ sở xây dựng phương án phù hợp để giải quyết bài toán ngăn chặn tấn công ở chương 2