an ninh mạng, tấn công mạng

Theo định nghĩa một cách chung nhất thì thông tin là những hiểu biết, tri thức của con người về một đối tượng, một thực thể, một sự kiện trong thế giới khách quan. Thông tin có thể tồn tại dưới nhiều dạng khác nhau (chữ viết, âm thanh, hình ảnh hoặc chuỗi những chữ số). Chính vì thế thông tin cũng có thể trao đổi được dưới nhiều hình thức khác nhau, trong đó hình thức trao đổi thông tin dưới dạng thông tin số đang là một hình thức tiện lợi và được áp dụng vào hầu hết các lĩnh vực của cuộc sống ngày nay.

CHƯƠNG 1 TỔNG QUAN VỀ AN TOÀN THÔNG TIN

1.1 Thông tin và an toàn thông tin

1.1.1 Định nghĩa thông tin

Theo định nghĩa một cách chung nhất thì thông tin là những hiểu biết, tri thứccủa con người về một đối tượng, một thực thể, một sự kiện trong thế giới kháchquan Thông tin có thể tồn tại dưới nhiều dạng khác nhau (chữ viết, âm thanh, hìnhảnh hoặc chuỗi những chữ số) Chính vì thế thông tin cũng có thể trao đổi đượcdưới nhiều hình thức khác nhau, trong đó hình thức trao đổi thông tin dưới dạngthông tin số đang là một hình thức tiện lợi và được áp dụng vào hầu hết các lĩnh vựccủa cuộc sống ngày nay

Thông tin thường rất đa dạng, phong phú, mỗi một thông tin khác nhau sẽ cógiá trị khác nhau Giá trị của thông tin phụ thuộc vào nội dung của thông tin đó

1.1.2 An toàn thông tin

a Định nghĩa an toàn thông tin

Khi nói đến an toàn thông tin (ATTT), điều đầu tiên người ta thường nghĩ đến

là xây dựng tường lửa (Firewall) hoặc một cái gì đó tương tự để ngăn chặn các cuộctấn công và xâm nhập bất hợp pháp Cách tiếp cận như vậy không hoàn toàn đúng

vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giảipháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát

và khoa học hơn Vậy ATTT là gì?

An toàn nghĩa là thông tin được bảo vệ, các hệ thống và những dịch vụ có khảnăng chống lại những tai hoạ, lỗi và sự tác động không mong đợi, các thay đổi tácđộng đến độ an toàn của hệ thống là nhỏ nhất Hệ thống có một trong các đặc điểmsau là không an toàn: Các thông tin dữ liệu trong hệ thống bị người không đượcquyền truy nhập tìm cách lấy và sử dụng (thông tin bị rò rỉ) Các thông tin trong hệthống bị thay thế hoặc sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn)

Thông tin chỉ có giá trị cao khi đảm bảo tính chính xác và kịp thời, hệ thốngchỉ có thể cung cấp các thông tin có giá trị thực sự khi các chức năng của hệ thốngđảm bảo hoạt động đúng đắn Mục tiêu của an toàn bảo mật trong công nghệ thôngtin là đưa ra một số tiêu chuẩn an toàn Ứng dụng các tiêu chuẩn an toàn này vàođâu để loại trừ hoặc giảm bớt các nguy hiểm Do kỹ thuật truyền nhận và xử lý

thông tin ngày càng phát triển đáp ứng các yêu cầu ngày càng cao nên hệ thống chỉ

có thể đạt tới độ an toàn nào đó Quản lý an toàn và sự rủi ro được gắn chặt vớiquản lý chất lượng Khi đánh giá độ an toàn thông tin cần phải dựa trên phân tíchcác rủi ro, tăng sự an toàn bằng cách giảm tối thiểu rủi ro Các đánh giá cần hài hoàvới đặc tính, cấu trúc hệ thống và quá trình kiểm tra chất lượng

b Mục đích của an toàn thông tin

Hình 1.1.2.b.1 Tam giác CIA

* Tính bí mật

Bí mật là thuật ngữ được sử dụng để tránh lộ thông tin đến những đối tượngkhông được xác thực hoặc để lọt vào các hệ thống khác Ví dụ: một giao dịch tíndụng qua Internet, số thẻ tín dụng được gửi từ người mua hàng đến người bán, và từngười bán đến nhà cung cấp dịch vụ thẻ tín dụng Hệ thống sẽ cố gắng thực hiệntính bí mật bằng cách mã hóa số thẻ trong suốt quá trình truyền tin, giới hạn nơi nó

có thể xuất hiện (cơ sở dữ liệu, log file, sao lưu (backup), in hóa đơn…) và bằngviệc giới hạn truy cập những nơi mà nó được lưu lại Nếu một bên không được xácthực (ví dụ người dùng không có trong giao dịch, hacker…) lấy số thẻ này bằng bất

kì cách nào, thì tính bí mật không còn nữa

Tính bí mật rất cần thiết (nhưng chưa đủ) để trì sự riêng tư của người có thôngtin được hệ thống lưu giữ

* Tính toàn vẹn

Trong an toàn thông tin, toàn vẹn có nghĩa rằng dữ liệu không thể bị chỉnh sửa

mà không bị phát hiện Nó khác với tính toàn vẹn trong tham chiếu của cơ sở dữ

liệu, mặc dù nó có thể được xem như là một trường hợp đặc biệt của tính nhất quánnhư được hiểu trong hô hình cổ điển ACID (tính nguyên tử (atomicity), tính nhấtquán (consistency), tính tính cách ly (isolation), tính lâu bền (durability) – là mộttập các thuộc tính đảm bảo rằng cơ sở dữ liệu đáng tin cậy) của xử lý giao dịch.Tính toàn vẹn bị xâm phạm khi một thông điệp bị chỉnh sửa trong giao dịch Hệthống thông tin an toàn luôn cung cấp các thông điệp toàn vẹn và bí mật.

* Tính sẵn sàng

Mọi hệ thống thông tin đều phục vụ mục đích riêng của nó và thông tin phảiluôn luôn sẵn sàng khi cần thiết Điều đó có nghĩa rằng hệ thống tính toán sử dụng

để lưu trữ và xử lý thông tin, có một hệ thống điều khiển bảo mật sử dụng để bảo vệ

nó, và kênh kết nối sử dụng để truy cập nó phải luôn hoạt động chính xác Hệ thống

có tính sẵn sàng cao hướng đến sự sẵn sàng ở mọi thời điểm, tránh được những rủi

ro cả về phần cứng, phần mềm như: sự cố mất điện, hỏng phần cứng, cập nhật, nângcấp hệ thống… đảm bảo tính sẵn sàng cũng có nghĩa là tránh được tấn công từ chốidịch vụ

* Tính xác thực

Trong hoạt động tính toán, kinh doanh qua mạng và an toàn thông tin, tính xácthực là vô cùng cần thiết để đảm bảo rằng dữ liệu, giao dịch, kết nối hoặc các tàiliệu (tài liệu điện tử hoặc tài liệu cứng) đều là thật (genuine) Nó cũng quan trọngcho việc xác nhận rằng các bên liên quan biết họ là ai trong hệ thống

* Tính không thể chối cãi

Không thể chối cãi có nghĩa rằng một bên giao dịch không thể phủ nhận việc

họ đã thực hiện giao dịch với các bên khác Ví dụ: trong khi giao dịch mua hàng quamạng, khi khách hàng đã gửi số thẻ tín dụng cho bên bán, đã thanh toán thành công,thì bên bán không thể phủ nhận việc họ đã nhận được tiền, (trừ trường hợp hệ thốngkhông đảm bảo tính an toàn thông tin trong giao dịch)

1.2 Nguy cơ rủi ro mất an toàn thông tin

Với sự phát triển của thế giới nói chung và Việt Nam nói riêng, xã hội càngphát triển càng kéo thêm nhiều nguy cơ mất an toàn thông tin Đặc biệt là vấn đề đedọa thông tin trên các đường truyền internet, qua máy tính, những chiếc điện thoạithông minh, những thiết bị thông minh khác đều để lại những nguy cơ tiềm ẩn Tình

trạng rất đáng lo ngại trước hành vi thâm nhập vào hệ thống, phá hoại các hệ thống

mã hóa, các phần mềm xử lý thông tin tự động gây thiệt hại vô cùng lớn Sau đây làmột số nguy cơ rủi ro mất an toàn thông tin:

1.2.1 Nguy cơ mất an toàn thông tin về khía cạnh vật lý

Nguy cơ mất an toàn thông tin về khía cạnh vật lý là nguy cơ do mất điện,nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng,các phần tử phá hoại như nhân viên xấu bên trong và kẻ trộm bên ngoài

1.2.2 Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin

Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trìnhtạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin

Kẻ xấu có thể sử dụng công cụ hoặc kỹ thuật của mình để thay đổi nội dungthông tin (các file) nhằm sai lệnh thông tin của chủ sở hữu hợp pháp

1.2.3 Nguy cơ bị tấn công bởi các phần mềm độc hại

Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâmnhập vào hệ thống với các mục đích khác nhau như: Virus, sâu máy tính (Worm),phần mềm gián điệp (Spyware, Trojan, Adware)

1.2.4 Nguy cơ xâm nhập từ lỗ hổng bảo mật

Lỗ hổng bảo mật thường là do lỗi lập trình, lỗi hoặc sự cố phần mềm, nằmtrong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình càiđặt trên máy tính

Hiện, nay các lỗ hổng bảo mật được phát hiện ngày càng nhiều trong các hệđiều hành, các web server hay các phần mềm khác, Và các hãng sản xuất luôncập nhật các lỗ hổng và đưa ra các phiên bản mới sau khi đã vá lại các lỗ hổng củacác phiên bản trước

1.2.5 Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu

Quá trình truy cập vào một hệ điều hành có thể được bảo vệ bằng một khoảnmục người dùng và một mật khẩu Đôi khi người dùng khoản mục lại làm mất đimục đích bảo vệ của nó bằng cách chia sẻ mật khẩu với những người khác, ghi mậtkhẩu ra và để nó công khai hoặc để ở một nơi nào đó cho dễ tìm trong khu vực làmviệc của mình

Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truynhập Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục ngườidùng quản trị chính

Kẻ tấn công sử dụng một phần mềm dò thử các mật khẩu khác nhau có thể.Phần mềm này sẽ tạo ra các mật khẩu bằng cách kết hợp các tên, các từ trong từđiển và các số Ta có thể dễ dàng tìm kiếm một số ví dụ về các chương trình đoánmật khẩu trên mạng Internet như: Xavior, Authforce và Hypnopaedia Các chươngtrình dạng này làm việc tương đối nhanh và luôn có trong tay những kẻ tấn công

1.2.6 Nguy cơ mất an toàn thông tin do sử dụng e-mail

Tấn công có chủ đích bằng thư điện tử là tấn công bằng email giả mạo giốngnhư email được gửi từ người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết

bị bị nhiễm virus Cách thức tấn công này thường nhằm vào một cá nhân hay một tổchức cụ thể Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh làmột đồng nghiệp hoặc một đối tác nào đó Người dùng bị tấn công bằng thư điên tử

có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus

1.2.7 Nguy cơ mất an toàn thông tin trong quá trình truyền tin

Trong quá trình lưu thông và giao dịch thông tin trên mạng internet nguy cơmất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đườngtruyền và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến ngườinhận

Mặt khác, ngày nay Internet/Intranet là môi trường tiện lợi cho việc trao đổithông tin giữa các tổ chức và giữa các cá nhân trong tổ chức với nhau Các giaodịch trao đổi thư tín điện tử (email), các trao đổi thông tin trực tuyến giữa cơ quannhà nước và công dân, tìm kiếm thông tin, … thông qua mạng internet không ngừngđược mở rộng và ngày càng phát triển

Bên cạnh các lợi ích mà Internet/Intranet mang lại thì đây cũng chính là môitrường tiềm ẩn các nguy cơ gây mất an toàn an ninh cho các hệ thống mạng của các

tổ chức có tham gia giao dịch trên Internet/Intranet Một vấn đề đặt ra cho các tổchức là làm sao bảo vệ được các nguồn thông tin dữ liệu như các số liệu trong côngtác quản lý hành chính nhà nước, về tài chính kế toán, các số liệu về nguồn nhânlực, các tài liệu về công nghệ, sản phẩm…., trước các mối đe dọa trên mạng Internet

hoặc mạng nội bộ có thể làm tổn hại đến sự an toàn thông tin và gây ra những hậuquả nghiêm trọng khó có thể lường trước được

1.3 Hacker và ảnh hưởng của việc hack

1.3.1 Hacker họ là ai

Là một người thông minh với kỹ năng máy tính xuất sắc, có khả năng tạo rahay khám phá các phần mềm và phần cứng của máy tính Đối với một số hacker,hack là một sở thích để chứng tỏ họ có thể tấn công rất nhiều máy tính hoặc mạng

Mục đích của họ có thể là tìm hiểu kiến thức hoặc phá hoại bất hợp pháp.Một số mục đích xấu của hacker như đánh cắp dữ liệu kinh doanh, thông tin thẻ tíndụng, sổ bảo hiểm xã hội, mật khẩu, email…

1.3.3 Ảnh hưởng của việc hack

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công củahacker gây thiệt hại cho các doanh nghiệp lớn khoảng 2,2 triệu $ mỗi năm Hành vitrộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanhnghiệp dẫn tới các vụ kiện Hack có thể làm 1 công ty bị phá sản Botnet có thểđược sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên web khácdẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công có thể ăn cắp bí mật công

ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnhtranh

1.4 Tình hình tấn công mạng

1.4.1 Tại việt nam

Trong năm 2015, các cuộc tấn công mạng có quy mô và mức độ lớn gia tăngdẫn đến gây mất mát dữ liệu, thiệt hại về kinh tế Theo thống kê của VNCERT, xuhướng tấn công lừa đảo, mã độc, thay đổi giao diện trở nên phổ biến Cụ thể, đã có4.484 sự cố tấn công lừa đảo, 6.122 sự cố thay đổi giao diện, 14.115 sự cố về mãđộc và 3.257 sự cố khác được ghi nhận trong 11 tháng đầu năm Bên cạnh đó, trongcác trang web/cổng thông tin điện tử của Cơ quan nhà nước đã có 9 website bị tấncông thay đổi giao diện với 144 đường dẫn bị thay đổi; 106 website bị cài mã độcvới 227 đường dẫn phát tán mã độc, 1 website bị tấn công cài mã lừa đảo Các hìnhthức lừa đảo trực tuyến gia tăng, bao gồm lừa đảo chiếm đoạt thẻ cào điện thoại diđộng và tài khoản mạng xã hội, lấy cắp thông tin cá nhân Các hình thức quảng cáorác, tin nhắn rác vẫn chưa được kiểm soát Đặc biệt, tấn công có chủ đích vào các

cơ quan nhà nước chiếm 2,5% Quý I và gia tăng 7,1% trong Quý II Theo thống kêcủa hãng bảo mật Kaspersky và Symantec, Việt Nam nằm trong số các nước có sốngười dùng di động bị mã độc tấn công nhiều nhất thế giới Gần 50% người dùng cónguy cơ nhiễm mã độc khi sử dụng Internet trên máy tính Loại mã độc đáng lo ngạinhất hiện nay là mã độc tống tiền - Ransomware

Một số cuộc tấn công mạng điển hình trong năm 2015:

- Google.com.vn bị tấn công: Ngày 23/02/2015, trang Web tìm kiếm GoogleViệt Nam xuất hiện thông báo đã bị tấn công bởi nhóm hacker Lizard Squad Ngaysau khi phát hiện sự cố, Google đã chặn hướng truy cập tới website nhằm sửa lỗi vàkhắc phục Đã có nhiều nhận định khác nhau về nguyên nhân của vụ việc này như:

hệ thống quản lý tên miền quốc gia bị tấn công, đơn vị quản lý tên miền tự ý thayđổi mà không có sự đồng bộ với VNNIC

- Hơn 50.000 tài khoản VNPT bị lộ thông tin: Một nhóm hacker với tên gọiDIE Group đã tiến hành khai thác lỗ hổng của môđun tra cứu thông tin khách hàngtrên một máy chủ cũ tại chi nhánh VNPT Sóc Trăng Thông tin tài khoản bị côngkhai bao gồm: mã số khách hàng, họ tên, địa chỉ, số điện thoại (di động và cốđịnh) Phần lớn những thông tin cá nhân bị tiết lộ vẫn đang hoạt động Các đơn vịchức năng đã phối hợp với VNPT Sóc Trăng xử lý kịp thời dứt điểm, đảm bảo antoàn các tài khoản và dữ liệu cho khách hàng

- Các cuộc tấn công của tin tặc Trung Quốc: Dấu hiệu về cuộc tấn công đầutiên đã được hãng bảo mật Kaspersky phát hiện vào tháng 4/2015 Một nhóm tin tặc

có tên Naikon được cho là của Trung Quốc đã tham gia hoạt động gián điệp mạngvới mục tiêu là các quốc gia ở vùng biển Đông Nhóm tin tặc đã sử dụng hình thứctấn công bằng cách gửi email đến nạn nhân có đính kèm tập tin độc hại Cuộc tấncông thứ hai do hãng bảo mật FireEye phát hiện Nhóm tin tặc APT30 bắt đầu muanhững tên miền để phục vụ cho hoạt động tấn công mạng của mình từ ngày14/3/2004 Sau đó một tháng, các tên miền này bắt đầu hoạt động, với các loại mãđộc được đính kèm Mục tiêu chính của những loại mã độc này là lấy cắp một cách

có hệ thống các “thông tin nhạy cảm” từ các chính phủ, các tập đoàn và các nhà báo

có liên quan đến chính phủ Trung Quốc, thuộc khu vực Đông Nam Á và Ấn Độ,trong đó có cả Việt Nam

1.4.2 Trên thế giới

- “Hacking Team” bị hack: Ngày 5/7/2015, một nhóm tin tặc đã thực hiện tấncông vào công ty chuyên cung cấp phần mềm gián điệp Hacking Team và sau đó sửdụng tài khoản Twitter của chính công ty này để công khai các dữ liệu khai thácđược Có khoảng 500GB dữ liệu đã được phát tán trên Internet qua BitTorrent nhằmmục đích tiết lộ danh sách khách hàng và những mã nguồn được bảo vệ, bao gồmnội dung các email liên lạc, bản ghi âm, mã nguồn, danh sách khách hàng cùng vớithời gian giao dịch Trong danh sách này có Cục Điều tra Liên bang Mỹ (FBI), một

số tổ chức thuộc các nước Tây Ban Nha, Úc, Chile, Iraq

- Chiến tranh mạng giữa tổ chức Hồi giáo IS và nhóm hacker Anonymous:Cuộc chiến này bắt nguồn từ sau cuộc khủng bố đẫm máu tại Paris hôm 13/11 Đầutiên, nhóm hacker Anomymous tuyên bố sẽ tấn công IS trên mạng Internet và thực

tế cuộc chiến này đã diễn ra Nhiều tài khoản Twitter của IS bị tấn công, nhiều kênhliên lạc của IS bị phá hỏng Đến lượt IS tự nhận họ là “ông chủ” của thế giới ảo và

sẽ trả đũa Anonymous Ngày 7/12, nhóm hacker Anonymous còn tuyên bố dànhriêng một ngày là ngày 11/12 làm “Ngày trêu tức IS” với những cuộc tổng tấn côngvào các tài khoản Twitter, Facebook và YouTube của IS

Lỗ hổng an toàn thông tin:

- Lỗ hổng từ “Hacking team”: Trong quá trình phân tích dữ liệu bị rò rỉ củaHacking Team, các nhà nghiên cứu đã phát hiện ra các lỗ hổng liên quan đến phầnmềm Adobe Flash Player, hệ điều hành Windows, Internet Explorer Trong đó, các

lỗ hổng zero-day của Adobe Flash Player được cho là nghiêm trọng nhất: Lỗ hổng

CVE-2015-5119 có thể cho phép tin tặc thực thi mã độc, gây “crash” máy và thựchiện kiểm soát toàn bộ hệ thống bị ảnh hưởng; Lỗ hổng CVE-2015-5122 có thểkhiến máy tính bị “crash” và cho phép kẻ tấn công chiếm quyền điều khiển của hệthống Đặc biệt, các lỗ hổng này đều có đoạn mã khai thác POC thành công, gâyảnh hưởng lớn tới cộng đồng mạng.

- Dell, Lenovo lén cài phần mềm quảng cáo vào máy tính người dùng: Tháng2/2015, nhà sản xuất PC Lenovo bị tố cài đặt adware (phần mềm quảng cáo) vàomáy tính Có tên gọi Superfish, adware này có thể đưa các quảng cáo của bên thứ bavào các kết quả tìm kiếm trên Google Nghiêm trọng hơn, loại adware này còn cóthể tiếp tay cho hacker ăn cắp các thông tin cá nhân quan trọng của người dùng nhưtài khoản ngân hàng Mike Shaver - một kỹ sư của Facebook, mới đây cũng pháthiện ra rằng, Superfish đã cài một chứng chỉ Tấn công ở giữa (man-in-the-middle) có thể cho phép các bên thứ ba theo dõi các website người dùng truy cập.Lenovo sau đó đã phải đưa ra công cụ gỡ bỏ adware này Vào cuối năm 2015, hãngDell cũng bị phát hiện có những hành vi tương tự

- Android bị phát hiện có lỗ hổng bảo mật Stagefright ảnh hưởng gần 1 tỷ thiếtbị: Nền tảng Android của Google từ trước tới nay luôn bị đánh giá thấp về khả năngbảo mật và Stagefright là minh chứng rõ ràng nhất cho điều này Stagefright là têngọi của thư viện media, một phần trong mã nguồn mở của Android giúp điện thoại

“bung” các tin nhắn đa phương tiện, cho phép thiết bị hiểu được các nội dung MMS(nội dung đa phương tiện) Với Stagefright, tin tặc có thể tấn công chỉ bằng cáchđơn giản là gửi đi tin nhắn MMS độc hại đến thiết bị của nạn nhân Nó nguy hiểmtới mức, người dùng không cần mở tin nhắn đó ra thì mục đích của kẻ xấu đã đượchoàn thành, bởi ngay khi nhận tin, điện thoại của họ đã bị lây nhiễm Google mặc

dù nhận thức được sự nguy hiểm của Stagefright, nhưng việc khắc phục lại không

hề dễ dàng Lý do là vì, không như iOS, quá trình phát hành một bản cập nhật vá lỗicho Android phải qua rất nhiều bước, liên quan tới cả nhà sản xuất phần cứng lẫnnhà mạng viễn thông

Bên cạnh đó, một loạt các lỗ hổng nghiêm trọng tác động đến cộng đồngCNTT là Ghost, VENOM, Freak Lỗ hổng bảo mật Ghost trong glibc cho phép tintặc có thể thực thi các lệnh từ xa nhằm chiếm quyền điều khiển máy chủ Linux Lỗhổng này liên quan đến lỗi tràn bộ đệm heap-based và ảnh hưởng đến tất cả hệ

thống Linux, có mặt trong các mã glibc từ năm 2000 Trong khi đó, Freak lại gâyảnh hưởng đến giao thức bảo mật SSL/TLS, cho phép thực hiện điều khiển từ xacác máy chủ SSL để tiến hành các cuộc tấn công hạ cấp RSA và tạo điều kiện chotấn công Brute force Lỗ hổng bảo mật VENOM (Virtual Environment NeglectedOperations Manipulation) với mã định danh CVE-2015-3456 được đánh giá là vôcùng nguy hiểm, ảnh hưởng đến chương trình điều khiển đĩa mềm trong QEMU(một bộ giả lập máy tính mã nguồn mở được sử dụng để quản lý máy ảo) Lỗ hổngnày cho phép tin tặc gửi lệnh và những thông số dữ liệu đặc biệt từ hệ thống ngườidùng đến FDC, gây tràn bộ đệm và thực thi mã tùy ý trong tiến trình hypervisor củathiết bị đầu cuối qua một số lệnh.

CHƯƠNG 2 CÁC KỸ THUẬT TẤN CÔNG XÂM NHẬP MẠNG

2.1 Kỹ thuật đánh lừa Social Engineering

2.1.1 Khái niệm về Social Engineering:

Social engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một người nào

đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiện việc gì.Các công ty với các phương pháp xác thực, các firewalls, các mạng riêng ảo VPN,các phần mềm giám sát mạng vẫn có rất nhiều khả năng bị tấn công Một nhân viên

có thể vô tình để lộ thông tin key trong email hoặc trả lời điện thoại của một người

mà họ không quen biết hoặc thậm chí nói về đề án của họ với đồng nghiệp hàng giờliền ở quán rượu

Bảo mật được xem là tốt nhất nếu nó có thể phát huy trên cả những liên kếtyếu nhất Social Engineering là lợi dụng sự ảnh hưởng và niềm tin để lừa một ngườinào đó nhằm mục đích lấy cắp thông tin hoặc thuyết phục nạn nhân để thực hiệnviệc gì Và không có vấn đề gì khi các công ty đầu tư cho các hệ thống chất lượngcao và các giải pháp bảo mật chẳng hạn như các phương pháp xác thực đơn giản,các firewalls, mạng riêng ảo VPN và các phần mềm giám sát mạng Không có thiết

bị hay giới hạn bảo mật nào hiệu quả khi một nhân viên vô tình để lộ thông tin keytrong email, hay trả lời điện thoại của người lạ hoặc một người mới quen thậm chíkhoe khoang về dự án của họ với đồng nghiệp hàng giờ liền ở quán rượu Thôngthường, mọi người không nhận thấy sai sót của họ trong việc bảo mật, mặc dù họkhông cố ý Những người tấn công đặc biệt rất thích phát triển kĩ năng về SocialEngineering và có thể thành thạo đến mức những nạn nhân của không hề biết rằng

họ đang bị lừa Mặc dù có nhiều chính sách bảo mật trong công ty, nhưng họ vẫn cóthể bị hại do hacker lợi dụng lòng tốt và sự giúp đỡ của mọi người

Những kẻ tấn công luôn tìm những cách mới để lấy được thông tin Họ chắcchắn là họ nắm rõ vành đai bảo vệ và những người trực thuộc – nhân viên bảo vệ,nhân viên tiếp tân và những nhân viên ở bộ phận hỗ trợ - để lợi dụng sơ hở của họ.Thường thì mọi người dựa vào vẻ bề ngoài để phán đoán Ví dụ, khi nhìn thấy mộtngười mặc đồng phục màu nâu và mang theo nhiều hộp cơm, mọi người sẽ mở cửa

vì họ nghĩ đây là người giao hàng

Một số công ty liệt kê danh sách nhân viên trong công ty kèm theo số điệnthọai, email trên Website của công ty Ngoài ra, các công ty còn thêm danh sách cácnhân viên chuyên nghiệp đã được đào tạo trong cơ sở dữ liệu Oracle hay UNIXservers Đây là một số ít thông tin giúp cho attacker biết được loại hệ thống mà họđang định xâm nhập

Social engineering là việc lấy được thông tin cần thiểt từ một người nào đóhơn là phá hủy hệ thống

Psychological subversion: mục đích của hacker hay attacker khi sử dụngPsychSub thì phức tạp hơn và bao gồm sự chuẩn bị, phân tích tình huống, và suynghĩ cẩn thận về chính xác những từ sử dụng và giọng điệu khi nói, và nó thường sửdụng trong quân đội

Xem xét tình huống sau đây:

Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với cô Alice”

Alice: “ Xin chào, tôi là Alice”

Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu, xin lỗi vì tôi gọi điệncho cô sớm thế này…”

Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không sao đâu.”

Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân của cô trong phiếuthông tin tạo account có vấn đề.”

Alice: ” Của tôi à à vâng.”

Attacker: ” Tôi thông báo với cô về việc server mail vừa bị sập tối qua, vàchúng tôi đang cố gắng phục hồi lại hệ thống mail Vì cô là người sử dụng ở xa nênchúng tôi xử lý trường hợp của cô trước tiên.”

Alice: ”Vậy mail của tôi có bị mất không?”

Attacker: “Không đâu, chúng tôi có thể phục hồi lại được mà Nhưng vì chúngtôi là nhân viên phòng dữ liệu, và chúng tôi không được phép can thiệp vào hệthống mail của văn phòng, nên chúng tôi cần có password của cô, nếu không chúngtôi không thể làm gì được.”

Alice: ”Password của tôi à?uhm ”

Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ chúng tôi khôngđược hỏi về vấn đề này, nhưng nó được viết bởi văn phòng luật, nên tất cả phải làmđúng theo luật.” ( nỗ lực làm tăng sự tin tưởng từ nạn nhân)

Attacker: ” Username của cô là AliceDxb phải không? Phòng hệ thống đưacho chúng tôi username và số điện thoại của cô, nhưng họ không đưa password chochúng tôi Không có password thì không ai có thể truy cập vào mail của cô được,cho dù chúng tôi ở phòng dữ liệu Nhưng chúng tôi phải phục hồi lại mail của cô, vàchúng tôi cần phải truy cập vào mail của cô Chúng tôi đảm bảo với cô chúng tôi sẽkhông sử dụng password của cô vào bất cứ mục đích nào khác.”

Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass của tôi là 123456”.Attacker: ” Cám ơn sự hợp tác của cô Chúng tôi sẽ phục hồi lại mail của côtrong vài phút nữa.”

Alice: ” Có chắc là mail không bị mất không?”

Attacker: ” Tất nhiên là không rồi Chắc cô chưa gặp trường hợp này bao giờ,nếu có thắc mắc gì thì hãy liên hệ với chúng tôi Cô có thể tìm số liên lạc ở trênInternet.”

Alice: ” Cảm ơn.”

Attacker: ” Chào cô.”

2.1.3 Điểm yếu của mọi người

Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật

Để đề phòng thành công thì chúng ta phải dựa vào các chính sách tốt và huấnluyện nhân viên thực hiện tốt các chính sách đó

Social engineering là phương pháp khó phòng chống nhất vì nó không thểdùng phần cứng hay phần mềm để chống lại

Chú ý: Social engineering tập trung vào những điểm yếu của chuỗi bảo mậtmáy tính Có thể nói rằng hệ thống được bảo mật tốt nhất chỉ khi nó bị ngắt điện.Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết

bị vật lý và vấn đề cấp điện có thể là một trở ngại lớn Bất cứ thông tin nào thu thậpđược đều có thể dùng phương pháp Social engineering để thu thập thêm thông tin

Có nghĩa là một người không nằm trong chính sách bảo mật cũng có thể phá hủy hệthống bảo mật Các chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin thìrẩt yếu Trong trường hợp của Social engineering, hoàn toàn không có sự bảo mậtnào vì không thể che giấu việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của

họ tới hệ thống

Có nhiều cách để hoàn thành mục tiêu đề ra Cách đơn giản nhất là yêu cầutrực tiếp, đó là đặt câu hỏi trực tiếp Mặc dù cách này rất khó thành công, nhưngđây là phương pháp dễ nhất, đơn giản nhất Người đó biết chính xác họ cần gì Cáchthứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến Với các nhân tố kháchơn chỉ là việc yêu cầu xem xét, điều mà cá nhân họ quan tâm là nạn nhân có thể bịthuyết phục đến mức nào, bởi vì attacker có thể tạo ra những lý do thuyết phục hơnnhững người bình thường Attacker càng nỗ lực thì khả năng thành công càng cao,thông tin thu được càng nhiều Không có nghĩa là các tình huống này không dựatrên thực tế Càng giống sự thật thì khả năng thành công càng cao

Một trong những công cụ quan trọng được sử dụng trong Social engineering làmột trí nhớ tốt để thu thập các sự kiện Đó là điều mà các hacker và sysadmin nổitrội hơn, đặc biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ

2.2 Kỹ thuật giả mạo IP (Spoofing IP)

NHẬT LÀM

2.3 Tấn công vào các lỗ hổng bảo mật

Ngày nay, kiếm được một phần mềm anti virus hoạt động hiệu quả và khôngtốn quá nhiều tài nguyên máy không còn quá khó như một vài năm trước

Điểm danh những phần mềm miễn phí, ta có AVG, Avast, Avira, thậm chí việckiếm key bản quyền xịn của những Kaspersky, Bitdefender cũng không còn quá khó

và đắt đỏ

Nhưng khi nói đến bảo mật, có rất nhiều khía cạnh ta cần lưu tâm, trong đótìm kiếm và cài đặt một phần mềm antivirus tốt mới chỉ là một mặt của vấn đề Ởnhiều các bài viết về bảo mật, chúng ta đã nghe những chuyện như tránh websitekhả nghi, chỉ download phần mềm từ các nguồn chính thức, để ý giao thức mã hóaSSL khi đăng nhập - sử dụng mật khẩu ở đâu đó, nhớ đăng xuất khi dùng máy côngcộng Sau đây chúng ta sẽ cùng tìm hiểu thêm một chút về các lỗ hổng phần mềm

Nhưng nói vậy không có nghĩa là những lỗi nghiêm trọng liên quan đến bảomật không thể xảy ra Nói cụ thể hơn một chút, đó là những lỗi phần mềm mà ngườingoài có thể khai thác để tác động thay đổi cách phần mềm vận hành, đưa thêm vàocác đoạn mã tự viết, xem các dữ liệu mà phần mềm quản lí Ngoài các nguyênnhân chủ quan như sự bất cẩn khi sử dụng của người dùng (click vào đường link lạ,download các phần mềm độc hại), các lỗi này là một trong những khe hở chính màtin tặc thường tập trung khai thác để xâm nhập vào các hệ thống máy móc – từ cácmáy chủ đến các máy cá nhân của người dùng cuối Nếu lỗ hổng này thuộc về mộtphần mềm không phổ biến, chỉ phục vụ vài tác vụ đơn giản và không có vai tròquan trọng trong hệ thống, hiển nhiên hiểm họa về bảo mật vẫn có nhưng khôngnghiêm trọng Nhưng hệ thống phần mềm càng phức tạp, đồ sộ thì hiển nhiên việc

kiểm soát sự xuất hiện của những lỗi này càng khó – bất kể các kĩ sư thiết kế cótrình độ cao đến đâu Và chính những phần mềm này lại thường chiếm vai trò chủchốt, cũng như tác động đến nhiều ngóc ngách của hệ thống Nhờ len lỏi qua kẽ hởtạo ra bởi lỗi của những phần mềm này, kẻ xấu có thể thực hiện những thay đổi nhấtđịnh lên máy móc của người dùng, hay nắm được quyền điều khiển, truy cập cácthông tin nhạy cảm

2.3.2 Zero-Day Exploits – Đòn tấn công âm thầm

Thực tế, các lỗ hổng có thể bị khai thác sử dụng cho mục đích xấu tồn tại trênbất cứ phần mềm nào Thậm chí có những phần của thiết kế khó có thể bị cho là lỗicho đến khi xuất hiện những công nghệ cho phép người ngoài khai thác nó – khiếncho tác giả phải thiết kế lại cách sản phẩm của mình vận hành Khi cập nhật phầnmềm mới, ngoài việc đôi lúc thấy xuất hiện các chức năng mới, hay hiệu năng hoạtđộng được cải thiện, chắc hẳn không ít lần bạn thấy changelog(danh sách các thayđổi) xuất hiện một loạt các sửa chửa lỗi gần đây nhất Những người tạo ra một sảnphẩm dĩ nhiên phải là người hiểu rõ đứa con cưng của mình nhất – và sẽ cố hết sức

để sửa chữa lỗi mỗi khi phát hiện ra (ít nhất thì phần lớn trường hợp là như vậy).Với sản phẩm phổ biến trên thị trường, được phát hành bởi các công ty- tổ chứchoạt động một cách chuyên nghiệp, điều này càng đúng hơn

Nhưng không có gì là tuyệt đối Sẽ có những lúc mà tác giả phát hiện lỗi saungười ngoài, hoặc thậm chí là không đủ khả năng phát hiện ra Không phải bỗngnhiên mà các hãng lớn thường tổ chức những cuộc thi về khai thác lỗ hổng trên sảnphẩm của mình, đồng thời tuyển mộ nhân lực từ các cuộc thi đó, cũng như tuyển mộcác tin tặc hoàn lương Thực tế vẫn luôn như vậy: có người có tài, có người không.Thậm chí sẽ có những lúc hãng sản xuất phát hiện lỗi, nhưng thời gian để hoànthành việc sửa chữa lại lâu hơn thời gian tin tặc cần để viết ra công cụ khai thác,đồng thời hoàn thành công việc phá hoại, gián điệp hay trộm cắp bằng công cụ đó

Đó cũng là một trong những lí do khiến ta thấy các bài viết về lỗ hổng bảo mậtthường chỉ xuất hiện nhiều tháng sau khi lỗi đã được sửa Các hacker mũ trắng quáhiểu rằng việc sửa lỗi đôi lúc khó khăn và phức tạp hơn nhiều lần so với việc lợidụng lỗi cho mục đích xấu, vì vậy họ thường cho hãng sản xuất hàng tháng trời đểsửa chữa sai lầm của mình trước khi công bố chi tiết về lỗ hổng mà mình phát hiện

ra ngoài để phục vụ mục đích nghiên cứu

Còn kịch bản xấu nhất? Kẻ xấu phát hiện ra lỗi và dĩ nhiên là không công bốcho ai biết, âm thầm đóng cửa tu luyện để hoàn thành công cụ khai thác lỗi và âmthầm phát tán (thường thấy nhất là dưới dạng virus, worm,trojan…) Thậm chí giớitội phạm có thể đem những thông tin này ra giao dịch, trao đổi ngầm với nhau, haybán kèm trong những bộ kit được viết ra chuyên để phục vụ việc tìm hiểu, khai thác

lỗ hổng Hãng sản xuất hoàn toàn không biết sự tồn tại của lỗ hổng đó chứ đừng nóiđến việc tìm cách sửa Chỉ đến khi hậu quả đã sờ sờ ra trước mắt, họ mới có thể táhỏa lên tìm cách khắc phục, đền bù cho người dùng, như vụ việc của Sony ngàytrước Cũng chính vì đòn tấn công được thực hiện khi hãng sản xuất hoàn toàn chưabiết đến sự tồn tại của các lổ hổng này, có "0 ngày" để tìm cách vá lỗi mà cái tên

"zero-day" ra đời

Tóm lại, việc một lỗi phần mềm tồn tại vốn không phải việc gì quá kì lạ, hiểmhọa chỉ xuất hiện khi hãng sản xuất thua trong cả 2 cuộc đua: phát hiện lỗi và sửalỗi

2.3.3 Quá trình khai thác

Cần hiểu rằng, các công cụ về bảo mật hiện đại ngày nay như tường lửa, phầnmềm anti-virus, anti-malware… thường có cơ chế hoạt động thông minh để pháthiện khi một đoạn mã nào đó có hành vi đáng ngờ, bất kể đoạn mã đó có sẵn trong

cơ sở dữ liệu về virus, malware hay không Cũng tương tự như một trinh sát dàydạn có thể phát hiện dấu hiệu khả nghi của một kẻ trộm mà không cần lệnh truy nãhay chữ “trộm” to đùng trước trán Tuy vậy như đã nói, trường hợp xấu nhất là khicác tin tặc phát hiện lỗi chưa ai biết tới, viết một công cụ hoàn toàn mới để khaithác Một kẻ nếu đủ khả năng để về đích đầu tiên trong cả 2 cuộc đua này (ở đâykhông nói đến những đối tượng sử dụng lại công cụ) hẳn nhiên thừa kinh nghiệmtrong việc tránh ánh mắt dò xét của các công cụ bảo mật Vì vậy cho đến khi lỗhổng hoàn toàn được vá, mọi biện pháp mà các công cụ bảo mật cung cấp đều chỉmang tính tạm thời Chuỗi sự kiện điển hình thường là như sau:

1 Xuất hiện một lỗ hổng có thể bị khai thác bằng các công nghệ hiện có

2 Kẻ tấn công phát hiện lỗ hổng

3 Kẻ này lập tức tiến hành viết và phát tán công cụ khai thác lỗ hổng này

4 Hãng sản xuất đồng thời phát hiện lỗi và lập tức tìm cách sửa chữa

5 Lỗ hổng được công bố ra ngoài

6 Các phần mềm anti-virus được cập nhật thông tin để phát hiện khi có cácđoạn mã tìm cách khai thác lỗ hổng này

7 Hãng sản xuất hoàn thành bản vá

8 Hãng hoàn tất phát hành bản vá lỗi đến tất cả khách hàng

Thời điểm của đợt tấn công đầu tiênt hiển nhiên nằm giữa bước 3 và 5 Theomột nghiên cứu mới đây của đại học Carnegie Mellon của Mỹ, giai đoạn này trungbình kéo dài 10 tháng Tuy nhiên không phải lúc nào tất cả người dùng cuối cũng bịnguy hiểm trong giai đoạn này Dạng tấn công tận dụng thời điểm hãng sản xuấtchưa phát hiện (hoặc chưa sửa được lỗi) này có lợi thế lớn nhất là sự kín đáo – phùhợp cho việc lấy trộm thông tin hoặc phá hoại ngầm mà không bị phát hiện Vì vậygiai đoạn này đối tượng bị nhắm đến thường là một nhóm người có thể đem lại lợiích cụ thể cho kẻ tấn công để sau đó hắn có thể rút đi êm thấm Mục tiêu dó có thể

là các tổ chức, tập đoàn mà kẻ này muốn phá hoại hoặc các thông tin tài khoản cóthể sử dụng để kiếm lời

Cũng theo nghiên cứu này, giai đoạn từ bước 5 đến 8 mới thực sự nguy hiểm.Đây là lúc thông tin về lỗ hổng được công bố, và cùng với các công ty phát triểnantivirus, những tin tặc chưa biết đến lỗi này cũng có thể tiếp cận được thông tin.Làn sóng tấn công lúc này không còn âm thầm, mà dồn dập hơn rất nhiều Nếu víđợt tấn công trước đó nguy hiểm như một nhát dao đâm sau lưng, thì đợt tấn cônglúc này như một chuỗi đòn đánh trực diện, không hiệu quả với những ai cẩn thận đềphòng nhưng vẫn không kém phần nguy hiểm nếu như gặp đúng những người lơ làbảo mật hoặc nhỡ sử dụng công cụ bảo mật kém chất lượng, cập nhật chậm Nhữngđối tượng không có khả năng phát hiện lỗi, cũng như không có khả năng phát triểncông cụ cũng tham gia từ thời điểm này, khiến việc phát tán và tìm đến những cỗmáy có hệ thống bảo mật yếu kém nhanh hơn rất nhiều Khi số lượng kẻ tham giatấn công tăng lên, động cơ và phương thức tấn công cũng đa dạng hơn chứ khôngthể chỉ thuần túy là len lỏi và trộm cắp nữa

Sau khi đọc đến đây, chắc bạn đọc cũng hiểu rằng, khi nói đến việc bảo vệthông tin và hệ thống của mình, ngoài việc cập nhật các biện pháp phòng thủ thìviệc cập nhật thông tin cũng quan trọng không kém Thường thì những lỗi nghiêmtrọng của những hệ thống phổ biến và quan trọng như Java vừa qua sẽ được báo chí

đăng tải nhan nhản ngay khi hãng sản xuất công bố Tuy nhiên những phần mềm códanh tiếng và độ phổ biến “khiêm tốn” hơn thì thường không được ưu ái như vậy.

Vì vậy ngoài việc chú ý nâng cấp bản vá lỗi, cần dừng việc sử dụng những phầnmềm cũ kĩ không còn được chăm sóc, sửa lỗi ngay khi có thể Ví dụ? Microsoft vẫnkhông ngừng kêu gào để những XP, IE6 được yên nghỉ đấy thôi

Nguyên nhân gây ra lỗi Buffer Overflow của các chương trình, ứng dụng: Phương thức kiểm tra bên (boundary) không được thực hiện đầy đủ hoặc là được bỏqua - Các ngôn ngữ lập trình như là ngôn ngữ C, bản thân nó đã tiền ẩn các lỗi màhacker có thể khai thác - Các phương thức strcat(), strcpy(), sprintf(), bcopy(),gets(), canf() trong ngôn ngữ C có thể được khai thác vì các hàm này không kiểmtra những buffer được cấp phát trên stack có kích thước lớn hơn dữ liệu được copyvào buffer hay không

-Lỗi tràn bộ đệm xảy ra khi một ứng dụng cố gắng ghi dữ liệu vượt khỏi phạm

vi bộ đệm (giới hạn cuối hoặc cả giới hạn đầu của bộ đệm)

Lỗi tràn bộ đệm có thể khiến ứng dụng ngừng hoạt động, gây mất dữ liệu hoặcthậm chí giúp kẻ tấn công kiểm soát hệ thống hoặc tạo cơ hội cho kẻ tấn công thựchiện nhiều thủ thuật khai thác khác nhau

2.4.1 Các kiểu lỗi Buffer Overflow thường gặp

Stack overflow: sẽ xuất hiện khi buffer tràn trong stack space và là hình thức

tấn công phổ biến nhất của lỗi tràn bộ đệm

Mục đích:

- Ghi đè một biến địa phương nằm gần bộ nhớ đệm trong stack để thay đổihành vi của chương trình nhằm phục vụ ý đồ của hacker

- Ghi đè địa chỉ trả về trong khung stack Khi hàm trả về thực thi sẽ được tiếptục tại địa chỉ mà hacker đã chỉ rõ, thường là tại một bộ đệm chứa dữ liệu vào củangười dùng

Format String: Tràn bộ đệm chuỗi định dạng (thường được gọi là “lỗ hổng

định dạng chuỗi”) là lỗi tràn bộ đệm ở mức chuyên môn cao, tác hại tương tự nhưcác cuộc tấn công tràn bộ đệm khác Về cơ bản, lỗ hổng định dạng chuỗi tận dụnglợi thế của các kiểu dữ liệu hỗn hợp và kiểm soát thông tin trong chức năng nhấtđịnh, chẳng hạn như C/C++ printf

2.4.2 Các kiểu khai thác lỗi Buffer Overflow

a Khai thác lỗi tràn bộ đệm trên stack

- Ghi đè một biến địa phương nằm gần bộ nhớ đệm trong stack để thay đổihành vi của chương trình nhằm tạo thuận lợi cho kẻ tấn công

- Ghi đè địa chỉ trả về trong một khung stack (stack frame) Khi hàm trả về,thực thi sẽ được tiếp tục tại địa chỉ mà kẻ tấn công đã chỉ rõ, thường là tại một bộđệm chứa dữ liệu vào người dùng

- Nếu không biết địa chỉ của phần dữ liệu người dùng cung cấp, nhưng biếtrằng địa chỉ của nó được lưu trong một thanh ghi, thì có thể ghi đè lên địa chỉ trả vềmột giá trị địa chỉ của một opcode mà opcode này sẽ có tác dụng làm cho thực thinhảy đến phần dữ liệu người dùng

- Cụ thể: nếu địa chỉ đoạn mã độc hai muốn chạy được ghi trong một thanh ghi

R, thì một lệnh nhảy đến vị trí chứ opcode cho một lệnh jump R, call R (hay một

lệnh tương tự với hiệu ứng nhảy đến địa chỉ ghi trong R) sẽ làm cho đoạn mã trongphần dữ liệu người dùng được thực thi

b Khai thác lỗi tràn bộ đệm trên heap

- Một hiện tường tràn bộ đệm xảy ra trong khu vực dữ liệu heap được gọi làhiện tượng tràn heap và có thể khai thác được bằng các kỹ thuật khác với các lỗitràn stack

- Bộ nhớ heap được cấp phát động bởi các ứng dụng tại thời gian chạy vàthường chứa dữ liệu của chương trình

- Việc khai thác được thực hiện bằng cách phá dữ liệu này theo các cách đặcbiệt để làm cho ứng dụng ghi đè lên các cấu trúc dữ liệu nội bộ chẳng hạn các contrỏ của danh sách liên kết

Người nghe lén để thiết bị lắng nghe giữa mạng mang thông tin như hai thiết

bị điện thoại hoặc hai thiết bị đầu cuối trên internet Nghe lén được sử dụng nhưcông cụ để các nhà quản trị mạng theo dõi và bảo trì hệ thống mạng Về mặt tiêucực, nó được sử dụng như một công cụ với mục đích nghe lén các thông tin trênmạng để lấy các thông tin quan trọng

Nghe lén dựa vào phương thức tấn công ARP để bắt các gói thông tin đượctruyền qua mạng Tuy nhiên những giao dịch giữa các hệ thống mạng máy tínhthường là những dữ liệu ở dạng nhị phân Bởi vậy để hiểu được những dữ liệu ởdạng nhị phân này, các chương trình nghe lén phải có tính năng phân tích các nghithức, cũng như tính năng giải mã các dữ liệu ở dạng nhị phân để hiểu được chúng

2.5.2 Sniffing thường xảy ra ở đâu

Nghe lén chủ yếu xảy ra ở mặt vật lý Nghĩa là kẻ tấn công phải tiếp cận và cóthể điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào

đó Ví dụ kẻ tấn công có thể dùng laptop hoặc PC trong các dịch vụ internet, cácquán cafe Wifi, trong hệ thống mạng nội bộ doanh nghiệp

Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻtấn công tìm cách điều khiển một máy tính nào đó trong hệ thống mạng rồi cài đặttrình nghe lén vào máy đó để thực hiện nghe trộm từ xa

2.5.3 Các mối đe dọa về nghe lén

Bằng cách đặt gói tin trên mạng ở chế độ đa mode, kẻ tấn công có thể bắt vàphân tích tất cả lưu lượng, thông tin mạng Các gói tin nghe lén có thể chỉ bắt nhữngthông tin trên cùng 1 miền mạng Nhưng thông thường thì laptop có thể tham giavào mạng và thực thi Hơn thế nữa, trên switch có nhiều port được mở nên nguy cơ

về nghe lén là rất cao

Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công

cụ giúp thực hiện như Cain&Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit,…Các công cụ này ngày càng được tối ưu hóa, để dễ sử dụng và tránh bị phát hiện khiđược thực thi So với các kiểu tấn công khác, tấn công dạng Sniffing cực kỳ nguyhiểm, bởi nó có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người

sử dụng không biết là đang bị nghe lén lúc nào do máy tính của họ vẫn hoạt độngbình thường, không có dấu hiệu bị xâm hại Điều này dẫn đến việc phát hiện vàphòng chống nghe trộm rất khó, và hầu như chỉ có thể phòng chống trong thế bịđộng (Passive) – nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở tình trạng bịnghe trộm

2.5.4 Cơ chế hoạt động chung của Sniffing

Hình 2.5.4.a.1 Cơ chế hoạt động Sniffing

Để hiểu cơ chế hoạt động thì cần hiểu được nguyên tắc chuyển tải các khung(frame) của lớp Datalink từ các gói tin ở lớp Network trong mô hình OSI Cụ thể làqua hai loại thiết bị tập trung các node mạng sử dụng phổ biến hiện nay là Hub vàSwitch

Ở môi trường Hub: Một khung gói tin khi chuyển từ máy A sang máy B thì

đồng thời nó gửi đến tất cả các máy khác đang kết nối cùng Hub theo cơ chế loantin (broadcast) Các máy khác nhận được gói tin này sẽ tiến hành so sánh yêu cầu vềđịa chỉ MAC của frame gói tin với địa chỉ đích Nếu trùng lập thì sẽ nhận, cònkhông thì cho qua Do gói tin từ A được gửi đến B nên khi so sánh thì chỉ có B mớigiống địa chỉ đích đến nên chỉ có B mới thực hiện tiếp nhận

Dựa vào nguyên tắc đó, máy được cài đặt chương trình nghe trộm sẽ tự “nhận”bất cứ gói tin được lưu chuyển trong mạng qua Hub, kể cả khi đích đến gói tin cóđích đến không phải là nó, nhờ card mạng được đặt ở chế độ hỗn tạp (promiscuousmode) Promiscuous mode là chế độ đặc biệt Khi card mạng được đặt dưới chế độnày, nó có thể nhận tất cả các gói tin mà không bị ràng buộc kiểm tra địa chỉ đíchđến

Trong môi trường Switch: Khác với Hub, Switch chỉ chuyển tải các gói tin đến

những địa chỉ cổng xác định trong bảng chuyển mạch nên nghe trộm kiểu “tự nhận”như ở Hub không thực hiện được Tuy nhiên, kẻ tấn công có thể dùng các cơ chếkhác để tấn công trong môi trường Switch như ARP spoofing, MAC spoofing,MAC duplicating, DNS spoofing, v.v…

Hình 2.5.4.a.2 Các lỗ hổng của giao thức để Sniffing

2.5.5 Các phương thức tấn công

a Tấn công MAC

Switch thì có bộ nhớ giới hạn cho việc ánh xạ địa chỉ MAC và port vật lý trênswitch Tấn công MAC là tấn công làm ngập lụt switch với một số lượng lớn yêucầu, lúc này switch hoạt động như hub và lúc này các gói tin sẽ được gửi ra tất cảcác máy trên cùng miền mạng và kẻ tấn công có thể dễ dàng nghe lén Ngập lụtMAC làm cho bộ nhớ giới hạn của switch đầy lên bằng cách giả mạo nhiều địa chỉMAC khác nhau và gửi đến switch

Bảng CAM của switch thì có kích thước giới hạn Nó chỉ lưu trữ thông tin nhưđịa chỉ MAC gắn với cổng tương ứng trên switch cùng với các tham số miền mạngvlan

Hình 2.5.5.a.1 Mô tả hoạt động của bảng CAM

Khi máy A gửi gói tin đến máy B, nó sẽ tìm trong bảng địa chỉ MAC của nó,coi thử có địa chỉ MAC của máy B hay không, nếu không có máy A sẽ gửi gói tinARP đến switch để hỏi địa chỉ MAC của máy B Máy B lúc này nhận được gói tingửi phản hồi lại cho máy A sau đó các gói tin được lưu chuyển từ A đến B màkhông chuyển sang các máy khác

Một khi bảng CAM trên switch đầy thì các lưu lượng ARP request sẽ làm ngậplụt mỗi cổng của switch Lúc này switch hoạt động cơ bản như hub, và tấn công lúcnày sẽ làm đầy bảng CAM của switch

lên toàn mạng (broadcast) một thông điệp DHCP Discover có chứa địa chỉ MAC

của nó để tìm kiếm sự hiện diện của DHCP server

Nếu tồn tại sự hoạt động của (các) DHCP server thuộc cùng subnet với DHCP

client trên thì (các) server này sẽ phản hồi lại cho client bằng một thông điệp DHCP Offer có chứa một địa chỉ IP (và các thiết lập TCP/IP khác) như là một lời đề nghị

cho “thuê” (lease) địa chỉ

Ngay khi nhận được gói DHCP Offer đến đầu tiên, client sẽ trả lời lại choserver (dĩ nhiên là gửi cho server nào mà nó nhận được gói DHCP Offer đến đầutiên trong trường hợp có nhiều DHCP server nằm cùng subnet với nó) một thông

điệp DHCP Request như là sự chấp thuận lời đề nghị cho “thuê” trên.

Cuối cùng, server gửi lại cho client thông điệp DHCP Acknowledgment để

xác nhận lần cuối “hợp đồng cho thuê địa chỉ” với client Và từ đây client có thể sửdụng địa chỉ IP vừa “thuê” được để truyền thông với các máy khác trên mạng

Hình 2.5.5.b.1 Quá trình cấp phát ip từ máy chủ DHCP

Như vậy, nhìn chung DHCP làm việc khá đơn giản nhưng điểm mấu chốt ởđây là xuyên suốt quá trình trao đổi thông điệp giữa server và client không hề có sựxác thực hay kiểm soát truy cập nào

Server không có cách nào biết được rằng nó có đang liên lạc với mộtlegitimate client (tạm dịch là máy hợp pháp, tức là một máy không bị điều khiển đểthực hiện các mục đích xấu) hay không và ngược lại client cũng không thể biếtđược là nó có đang liên lạc với một legitimate server hay không

Khả năng trong mạng xuất hiện các rogue DHCP client và rogue DHCP server(rogue tạm dịch là máy “DHCP giả”, tức là một máy giả tạo, bị điều khiển để thựchiện các hành vi xấu) tạo ra nhiều vấn đề đáng quan tâm.

Một rogue server có thể cung cấp cho các legitimate client các thông số cấuhình TCP/IP giả và trái phép như: địa chỉ IP không hợp lệ, sai subnet mask, hoặc saiđịa chỉ của default gateway, DNS server nhằm ngăn chặn client truy cập tài nguyên,dịch vụ trong mạng nội bộ hoặc Internet (đây là hình thức của tấn công DoS)

Hình 2.5.5.b.2 Minh họa DHCP Rouge

Việc thiết lập một rogue server như vậy có thể thực hiện được bằng cách sửdụng các kỹ thuật “social engineering” để có được khả năng tiếp cận vật lý rồi kếtnối rouge server vào mạng

Attacker có thể thoả hiệp thành công với một legitimate client nào đó trong

mạng và thực hiện cài đặt rồi thực thi trên client này một chương trình có chức năngliên tục gửi tới DHCP server các gói tin yêu cầu xin cấp IP với các địa chỉ MACnguồn không có thực cho tới khi toàn bộ dải IP trong scope của DHCP server này bị

nó “thuê” hết Điều này dẫn tới server không còn IP nào để có thể cấp phát cho cáclegitimate client khác Hậu quả là các client này không thể truy cập vào mạng.