Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (tt)

Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT (Luận văn thạc sĩ)

Luận văn được hoàn thành tại:

HỌC VIỆN CÔNG NGHỆ BƯU CHÍNH VIỄN THÔNG

Người hướng dẫn khoa học: TS Nguyễn Quý Sỹ

Phản biện 1: ………

Phản biện 2: ………

Luận văn sẽ được bảo vệ trước Hội đồng chấm luận văn thạc sĩ tại Học viện Công nghệ Bưu chính Viễn thông

Vào lúc: giờ ngày tháng năm

Có thể tìm hiểu luận văn tại:

- Thư viện của Học viện Công nghệ Bưu chính Viễn thông

MỞ ĐẦU

Với xu hướng phát triển của các công nghệ mạng và Internet, tình hình mất an ninh mạng đang diễn biến phức tạp, xuất hiện nhiều vụ tấn công trên mạng, xâm nhập hệ thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại dữ liệu, ăn cắp tài sản đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi về công nghệ Tấn công mạng qua hình thức spam đang dần trở nên phổ biến nhất là trong bối cảnh Việt Nam đang nằm trong top danh sách các nước phát tán spam nhiều nhất thế giới Với gánh nặng gia tăng này, các nhà cung cấp dịch vụ đang phải đối mặt với một thách thức nghiêm trọng từ những mạng máy tính độc hại nhưng có tổ chức, gọi là Botnets Botnets hoạt động bên trong mạng, sử dụng cơ sở hạ tầng của nhà cung cấp dịch vụ để phân phối một số lượng lớn thư rác Botnets phân phối lên tới 90% lượng thư rác trên toàn thế giới và đang hoạt động bên trong mạng của nhà cung cấp dịch vụ, sử dụng các địa chỉ IP và băng thông của nhà cung cấp Các mạng botnets hoạt động bằng cách lây nhiễm malware vào các máy tính và sau đó sử dụng các máy tính đó để gửi spam Hậu quả của việc gửi spam nhiều, đó là các tổ chức chống spam trên thế giới đã đưa các dải địa chỉ IP của nhà cung cấp dịch vụ vào danh sách blacklist của họ Nguy hiểm hơn là nguy cơ toàn bộ AS number của nhà cung cấp dịch vụ cũng bị blacklist

Các nhà cung cấp dịch vụ đang tìm kiếm các giải pháp để kiểm soát tình trạng blacklist do botnet phá hoại bên trong mạng của họ Việc lợi dụng hạ tầng mạng của nhà cung cấp dịch vụ để phát tán khối lượng lớn email spam đang ảnh hưởng tới chất lượng dịch

vụ cung cấp cho khách hàng Cụ thể, khách hàng gặp rất nhiều khó khăn trong việc gửi/nhận mail, thường xuyên nhận được thư rác, thư kèm link nhiễm mã độc, phishing… Các nhà cung cấp dịch vụ cũng không còn nhiều tài nguyên IP sạch để cung cấp cho các khách hàng lớn Việc bóc gỡ các dải IP ra khỏi danh sách blacklist của các tổ chức chống spam quốc tế vẫn bằng phương pháp nhân công, hiệu quả không cao và khách hàng sau khi được đưa ra khỏi blacklist nếu không quản trị tốt sẽ bị đưa lại vào blacklist

Vấn đề đặt ra là cần có giải pháp chống spam hiệu quả, phát hiện và giảm lượng spam đi ra khỏi mạng của nhà cung cấp dịch vụ, vô hiệu hóa hoạt động của botnet, giảm số lượng các địa chỉ IP bị blacklist và giảm được lượng băng thông không mong muốn

Đã có rất nhều phương pháp kỹ thuật đưa ra để giảm số lượng thư rác Như việc đưa ra các luật lệ để hạn chế việc gửi thư rác, đưa ra các phương pháp kĩ thuật lọc thư rác như: lọc dựa trên địa chỉ IP (whitelist, blacklist), lọc dựa trên danh tính người gửi, lọc dựa trên chuỗi hỏi đáp, phương pháp lọc dựa trên mạng xã hội và phương pháp lọc nội dung…Mỗi phương pháp đều có ưu nhược điểm riêng, không có phương pháp nào là hoàn hảo vì vậy để có bộ lọc thư rác tốt cần phải kết hợp các phương pháp với nhau

Trong quá trình nghiên cứu học viên lựa chọn đề tài “Nghiên cứu các giải pháp chống spam và lựa chọn một giải pháp áp dụng tại VNPT”

Đề tài sẽ bao gồm các nội dung chính như sau:

Chương I: Giới thiệu tổng quan về spam email

Chương II: Các giải pháp chống spam email

Chương III: Lựa chọn giải pháp chống spam email áp dụng tại VNPT

Do khả năng còn hạn chế nên quyển luận văn này chắc chắn không tránh khỏi những thiếu sót Học viên mong nhận được sự chỉ bảo góp ý của các thầy cô giáo để đề tài được hoàn thiện hơn

CHƯƠNG 1: TỔNG QUAN VỀ SPAM EMAIL

1.1 Giới thiệu tổng quan an toàn bảo mật hệ thống thông tin

Hệ thống thông tin (IS-Information System) là một hệ thống tích hợp các thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý thông tin và chuyển giao thông tin, tri thức và các sản phẩm số

Một hệ thống thông tin bảo mật (Secure Information System) là một hệ thống mà thông tin được xử lý trên nó phải đảm bảo được 3 đặc trưng sau đây (theo mô hình C.I.A):

- Tính bí mật của thông tin (Confidentiality)

- Tính toàn vẹn của thông tin (Integrity)

- Tính khả dụng của thông tin (Availability)

1.1.1 Một số hình thức tấn công hệ thống thông tin phổ biến

Một số phương thức, hành vi được đánh giá là những nguy cơ gây ảnh hưởng đến an toàn bảo mật hệ thống thông tin:

- Nghe lén (snooping)

- Tấn công xen giữa Man-in-the-middle

- Giả danh (spoofing)

- Phủ nhận hành vi (repudiation)

- Tấn công từ chối dịch vụ (DoS/DDoS)

- Chiếm quyền điều khiển hệ thống

1.1.2 Các giải pháp đảm bảo an toàn bảo mật hệ thống thông tin

Để có thể xây dựng một hệ thống mạng đảm bảo tính an toàn cần phải có lộ trình xây dựng hợp lý giữa yêu cầu và chi phí có thể chi trả để từ đó lựa chọn những giải pháp Giải pháp phù hợp nhất phải cân bằng được các yếu tố:

- Tính năng yêu cầu

- Giá thành giải pháp

- Hiệu năng của hệ thống

điệp hàng loạt Thư rác được gửi đi có nội dung giống nhau hoặc gần giống nhau tới hàng nghìn (hoặc hàng triệu) người dùng thư điện tử Thư rác được gửi đến mà không được sự mong đợi của người nhận

1.2.2 Định nghĩa blacklist

Blacklist là một danh sách các địa chỉ mail, IP, domain được lập ra để có các cơ chế kiểm soát khi người dùng sử dụng dịch vụ mail Khi một địa chỉ người dùng nằm trong danh sách blacklist thì có thể sẽ không sử dụng hoặc gửi/nhận email

Danh sách blacklist được cập nhật thường xuyên và là cơ sở dữ liệu tham chiếu cho các nhà cung cấp mạng hoặc khách hàng Mỗi tổ chức đưa ra các danh sách khác nhau nên

có thể giữa các danh sách này không hoàn toàn giống nhau được

1.2.3 Các đặc trưng của thư rác

Một số đặc điểm của thư rác khác với thư hợp lệ:

- Để ý trường To trong tiêu đề (header) của thư điện tử, nếu không thấy tên của mình hoặc địa chỉ thư điện tử, thì đây chính là thư điện tử giả mạo

- Để ý lời chào hỏi, không thấy câu chào hỏi nào thì đây cũng là một nghi vấn để xem

nó là một thư điện tử giả mạo Bởi vì những kẻ giả mạo thư điện tử thường không biết chính xác tên của người nhận Khi không thấy lời chào hoặc thấy một lời chào mang tính chung chung thì đây cũng là một nghi vấn Không phải tất cả các thư điện tử như vậy là giả mạo, nhưng đây cũng là một dấu hiệu khá quan trọng để chúng ta nhận biết thư điện tử giả mạo

- Xem các URL xuất hiện trong thư điện tử và so với thanh trạng thái của trình duyệt, khi di chuột trên URL không cần kích vào chúng, sau đó quan sát thanh trạng thái bên dưới

và so sánh hai liên kết Để ý giao thức an toàn hiển thị trong URL là https:// thay vì http:// Nếu phát hiện thấy URL chỉ hiện thị http:// thì có thể là một thư điện tử giả mạo

- Mang nội dung mà người nhận không mong muốn nhận hoặc phát tán bởi người gửi

vì mục đích quảng cáo, có nội dung không lành mạnh

- Số lượng thư điện tử lớn có cùng một nội dung được gửi đi từ một địa chỉ IP trong vòng 24h (thông thường vượt quá 500 thư)

- Các thư rác gửi cho nạn nhân thường là có nội dung giống hoặc gần giống nhau vì nó được tạo ra tự động để gửi cho rất nhiều khách hàng

- Lời giới thiệu thư (subject) thường không giới thiệu nội dung thư để vượt qua sự kiểm duyệt của người đọc (thường các trình duyệt và các trang web chỉ hiện phần này khi kiểm tra thư mới trước khi chính thức xem thư) và cả các bộ lọc

- Các thư rác thường chứa các đoạn mã ẩn dưới dạng HTML và chứa các đoạn mã Javascript tự chạy khi mở thư tạo ra các cửa sổ quảng cáo

1.2.4 Phương pháp và hệ thống phát tán thư rác

Để thực hiện quá trình gửi thư rác với số lượng lớn các spammer phải thực hiện theo các bước:

 Tạo tài khoản để gửi thư

 Thu thập địa chỉ mail

 Phát tán thư rác

- Phương pháp sử dụng Open Mail Relay

- Sử dụng Open Web Proxy

- Sử dụng open proxy

- Sử dụng tài khoản Webmail

 Hệ thống phát tán thư rác

Cách spammer sử dụng botnet để gửi thư rác:

Hình 1.5: Hoạt động gửi thư rác qua mạng botnet

- Kẻ lập botnet phát tán virus hoặc sâu máy tính, làm nhiễm các máy tính cá nhân chạy Windows của những người dùng bình thường, dữ liệu của virus hay sâu đó là một ứng dụng trojan - con bot

- Tại máy tính bị nhiễm, con bot đăng nhập vào một server IRC nào đó (hay là một web server) Server đó được coi là command-and-control server (C&C)

- Spammer mua quyền truy nhập botnet từ kẻ lập botnet

- Spammer gửi các lệnh qua IRC server tới các máy tính bị nhiễm, làm cho các máy tính này gửi các thông điệp rác tới các máy chủ thư điện tử

1.2.5 Các nguyên nhân IP gây spam và bị list trong danh sách blacklist

- IP của mail server trong danh sách Blacklist của tổ chức chống SPAM

- Chưa trỏ PTR record

- Chưa cấu hình SPF record

- Chưa cấu hình DKIM

- Mail bị đánh dấu SPAM

- Mail bị chiếm quyền

- IP vô tình bị blacklist vì các IP trong cùng dải thực hiện spam

- Nội dung mail bị liệt vào nội dung spam

Tổng kết chương 1

Chương 1 trình bày khái quát về an toàn bảo mật hệ thống thông tin giúp ta có cái nhìn tổng quát về khái niệm, phương thức đánh giá an toàn bảo mật một hệ thống thông tin Chương này cũng giới thiệu về hình thức tấn công mạng bằng phương thức spam, các nguyên nhân gây spam, dấu hiệu nhận biết và cách thức các tổ chức chống Spam quốc tế đưa danh sách các IP vào blacklist

CHƯƠNG 2: CÁC GIẢI PHÁP CHỐNG SPAM

Có nhiều loại danh sách blacklist khác nhau (IP blacklist, DNS blacklist, thư điện tử blacklist) đưa đến nhiều mức độ lọc khác nhau trong cộng đồng mạng, cho các ISP tự do lựa chọn chính sách lọc thư rác phù hợp với mình Các blacklist có thể do cá nhân, các ESP, ISP hoặc một tổ chức cung cấp dịch vụ xây dựng

Ưu, nhược điểm

- Ưu điểm: Dễ cài đặt, dễ dành chia sẻ danh sách này cho người khác sử dụng

- Nhược điểm: Cần thời gian lan truyền để cập nhật danh sách nên có thể để lọt các thư rác từ những host sử dụng tài khoản dialup bị đánh cắp, open relays hay proxy server; Tốn nhiều công sức để duy trì danh sách blacklist

Hoạt động

Hình 2.1: Hoạt động của Blacklist

Cơ chế làm việc của hệ thống blacklist hết sức đơn giản Dữ liệu blacklist sẽ được cập nhật thường xuyên từ nhiều nguồn khác nhau như ISP, ESP, thậm chí cả người sử dụng

Dữ liệu blacklist sẽ được sử dụng để đánh giá nguồn gửi của các thư điện tử

Trước khi máy chủ thư điện tử nhận thư, máy chủ thư điện tử sẽ kiểm tra thông tin liên quan tới nguồn gửi của thư điện tử bằng cách gửi yêu cầu truy vấn địa chỉ IP máy chủ gửi thư điện tử tới hệ thống DNSBL để kiểm tra xem IP đó có trong danh sách không Nếu

hệ thống DNSBL trả về kết quả là IP đó nằm trong danh sách blacklist, thư điện tử đó sẽ bị máy chủ nhận thư điện tử coi là thư rác và hủy bỏ Trường hợp ngược lại thư điện tử sẽ được gửi tới hòm thư của người nhận Máy chủ nhận thư điện tử có thể thực hiện nhiều truy vấn tới nhiều hệ thống DNSBL khác nhau

Để vận hành một DNSBL cần 3 yếu tố: domain đặt DNSBL, tên miền và danh sách địa chỉ được công khai

- DNSBL dựa vào địa chỉ IP

- DNSBL dựa vào địa chỉ tên miền

Các danh sách whitelist thường được sử dụng trong các ứng dụng thư điện tử để cho phép người dùng tạo ra danh sách những người mà họ muốn nhận thư điện tử Danh sách này sẽ ghi đè lên bất cứ danh sách blacklist nào, và nó cho phép thư điện tử được gửi vào hộp thư của người dùng mà không cần phải lọc như thư rác Whitelist phù hợp cho những

người dùng cần độ chính xác cao mà không bận tâm đến rủi ro có thể mất các thư điện tử mang lại cơ hội nghề nghiệp hay cơ hội kinh doanh

Ưu, nhược điểm

- Ưu điểm: Kết quả chính xác, không phải dựa trên việc học nội dung thông điệp

- Nhược điểm: Có thể giả mạo địa chỉ trong danh sách whitelist; Tất cả người dùng phải được tin cậy mới có thể gửi thư điện tử vào inbox được; Người dùng cần phải cấu hình danh sách whitelist một cách thủ công

Một số hệ thống Whitelist

- DNSWL

- Spamhaus

2.2 Kỹ thuật chứng thực thư điện tử

Việc gửi thư điện tử sử dụng giao thức SMTP Tuy nhiên SMTP có nhược điểm ngay

từ khi thiết kế là không cân nhắc đến yếu tố bảo mật dẫn tới việc có thể dễ dàng giả mạo địa chỉ thư của người gửi Để khắc phục yếu điểm này, các giao thức chứng thực thư điện tử

được sử dụng

Kỹ thuật chứng thực qua thư điện tử có thể chia ra làm 02 loại:

- Chứng thực dựa trên nền IP như Sender Policy Framework (SPF) hoặc Sender ID Framework (SIDF)

- Chứng thực dựa trên nền tảng mã hóa như Identified Internet Mail (IIM) hoặc DomainKeys Hai giao thức này được kết hợp lại để trở thành chuẩn DKIM (DomainKeys Identified Mail)

2.2.1 Kỹ thuật Sender Policy Framework (SPF)

Sender Policy Framework (SPF) là kỹ thuật ngăn chặn spam thuộc nhóm phương pháp xác thực địa chỉ người gửi (sender authentication) Kỹ thuật này giúp người nhận xác thực địa chỉ của người gửi là thật hay giả, vì vậy tác dụng chính của SPF là để ngăn chặn khả năng giả mạo thư điện tử

Phương pháp này yêu cầu xác lập DNS, trong đó khai báo những máy chủ nào có thể gửi thư từ một tên miền Internet nhất định Phía người nhận sẽ thông qua truy vấn DNS để xác thực địa chỉ của người gửi và địa chỉ IP có phù hợp với nhau không, từ đó biết được địa chỉ người gửi là thật hay giả

Hình 2.7: Mô hình làm việc của SPF

Ưu, nhược điểm

- Ưu điểm: SPF không phải là giao thức hướng tới việc loại bỏ thư rác Mục đích lớn nhất của SPF là chống lại việc giả mạo địa chỉ thư điện tử SPF cho phép nhận biết được thư điện tử tin cậy trước khi thư đó được gửi đi

- Nhược điểm: Không ngăn chặn được spammer SPF SPF yêu cầu xác thực máy chủ thư điện tử, tên miền với địa chỉ IP tĩnh trong khi thực tế rất nhiều tên miền sử dụng địa chỉ

IP động Việc này dẫn tới nhiều máy chủ thư điện tử sẽ có kết quả xác nhận không tin cậy

2.2.2 Sender ID Framework

Giới thiệu

SIDF là giao thức dựa trên sự kết hợp giữa SPF và CallerID của Microsoft, được mô

tả trong RFC4406 SIDF chứng thực khoảng 12 triệu tên miền, chiếm khoảng gần 50% thư điện tử hợp pháp trên thế giới Về cơ bản SIDF giống với SPF, chỉ bổ sung một số thay đổi nhằm hoàn thiện SPF Cả SPF và SIDF cùng là giao thức xác thực địa chỉ người gửi, cùng phải công khai bản ghi DNS và cấu trúc bản ghi tương tự nhau Vì vậy có thể nói SIDF là phiên bản tiếp theo của SPF

Hoạt động

Hình 2.10: Mô hình làm việc của SIDF

Bước 1: Sender gửi thư điện tử cho Receiver

Bước 2: Máy chủ thư điện tử của bên nhận thư thực hiện truy vấn DNS

Bước 3: Máy chủ thư điện tử của bên nhận kiểm tra kết quả SPF trả về Thủ tục kiểm tra được thực hiện tương tự như trong SPF Kết quả trả về của thủ tục kiểm tra tương tự SPF

Bước 4: Máy chủ thư điện tử xử lý thư điện tử dựa vào kết quả trả về

Ưu điểm, nhược điểm

Cũng giống như SPF, SIDF không phải là công cụ chống thư rác SIDF chỉ hỗ trợ cho các hệ thống chống thư rác giảm lượng thư rác thông qua việc ngăn chặn các thư điện tử giả mạo, lừa đảo

Một nhược điểm khác của SIDF là có thể đưa ra các xác nhận nhầm đối với các thư điện tử tin cậy bằng việc từ chối nhận các thư điện tử chuyển tiếp

2.2.3 DomainKeys Identified Mail (DKIM)

Giới thiệu

DKIM hỗ trợ người nhận thư điện tử có thể xác thực được người gửi DKIM hoạt động dựa trên mô hình khóa công khai Người gửi bổ sung chữ ký điện tử DKIM vào tiêu đề thư điện tử, người nhận thông qua truy vấn DNS để lấy khóa công khai và xác thực chữ ký trong thư điện tử