Xây dựng hệ thống giám sát và cảnh báo sự thay đổi nội dung trang web tt

Khái niệm về an toàn và an ninh mạng Với một chiếc máy tính thường chỉ yêu cầu các công bảo vệ dữ liệu trên máy tính đó như phần mềm diệt virus hayphần quyền truy cập hệ thống của người

CHƯƠNG 1: CÔNG NGHỆ WEB VÀ MỘT SỐ

VẤN ĐỀ AN NINH 1.1 Tổng quan về Website

1.1.1 Khái niệm Web

Web là viết tắt của World Wide Web, là mạng lưới toàncầu mà mọi người có thể truy cập (đọc và viết) qua máy tínhhoặc các thiết bị kết nối với mạng Internet Thuật ngữ nàythường được hiểu nhầm là từ đồng nghĩa với chính thuật ngữInternet, nhưng thực ra web chỉ là một trong các dịch vụ chạytrên Internet (Theo wikipedia.org)

1.1.2 Hoạt động của Web

Thông qua trình duyệt, người và máy chủ sẽ kết nối vớinhau bằng địa chỉ URL Tùy theo những yêu cầu khác nhau,ứng dụng web sẽ gửi những yêu cầu đó đến máy chủ, máychủ sẽ xử lý và gửi dữ liệu về trình duyệt, sau đó người dùng

sẽ nhận được những thông tin hiển thị trên trình duyệt

1.1.3 Trình duyệt Web

Như đã nêu, trình duyệt Web là phần mềm cho phépngười dùng truy cập các trang web, tương tác với nội dungcác trang web như văn bản, hình ảnh, đoạn phim, nhạc, tròchơi và các thông tin khác Trong một trang web có thể chứanhững liên kết tới những nội dung khác hoặc những trangweb khác Để hiển thị nội dung web, các trang web phải đượcđịnh dạng dưới dạng HTML

1.1.4 Địa chỉ URL

URL là viết tắt của Uniform Resource Locator (dịch làĐịnh vị Tài nguyên thống nhất), URL dùng trong Internet và

để tham chiếu tới tài nguyên nào đó, nó mang lại khả năngliên kết cho các trang mạng Các tài nguyên nhau sử dụng địachỉ để tham chiếu, đó là URL, còn tên gọi nữa là địa chỉmạng, liên kết mạng hay gọn là liên kết.

1.1.5 HTML

HTML là chữ viết tắt của cụm từ HyperText MarkupLanguage (Ngôn ngữ đánh dấu siêu văn bản) được sử dụng đểtạo một trang web, trên một website có thể sẽ chứa nhiềutrang và mỗi trang được quy ra là một tài liệu HTML Cha đẻcủa HTML là Tim Berners-Lee, cũng là người khai sinh raWorld Wide Web và chủ tịch của World Wide WebConsortium (W3C – tổ chức thiết lập ra các chuẩn trên môitrường Internet)

1.1.6 Tên miền

Tên miền là dịch vụ có mục đích chính của là cung cấpmột hình thức đại diện, dùng những tên dễ nhận biết, dễ nhớthay cho những tài nguyên Internet mà đa số là những địa chỉbằng số Với cách này có thể cho phép bất kỳ tài nguyên nàonói chung, website nói riêng có thể được di chuyển đến mộtđịa chỉ vật lý khác trong cấu trúc liên kết địa chỉ mạng, có thể

là toàn cầu hoặc chỉ cục bộ trong một mạng intranet Việcdịch từ các tên miền sang địa chỉ IP và ngược lại là do hệthống DNS trên toàn cầu thực hiện (Theo wikipedia.org)

1.2 Tổng quan về Webserver

Webserver (máy chủ web) là từ được dùng để chỉ phầnmềm máy chủ, hoặc phần cứng dành riêng để chạy các phầnmềm trên máy chủ, để từ đó có thể cung cấp các dịch vụ

(request) từ các client (trong mô hình server - client) thôngqua giao thức HTTP và một số giao thức liên quan khác.Một số Webserver thông dụng hiện nay:

Hình 1 Một số Webserver thông dụng

1.3 Tổng quan về an ninh mạng

1.3.1 Khái niệm về an toàn và an ninh mạng

Với một chiếc máy tính thường chỉ yêu cầu các công bảo

vệ dữ liệu trên máy tính đó như phần mềm diệt virus hayphần quyền truy cập hệ thống của người dùng, nhưng với một

hệ thống máy tính nối mạng thì cần đòi hỏi nhiều hơn, ví dụnhư dữ liệu vào hệ thống đó được bảo vệ không chỉ từ truycập địa phương mà còn từ các truy cập từ xa trái phép và cầnphát hiện và ngăn chặn các thay đổi dữ liệu trong quá trìnhtruyền giữa các hệ thống An ninh mạng ở dây không phải làmột quy trình, sản phẩm, hay chính sách mà là sự kết hợp củacác sản phẩm và quy trình có hỗ trợ một chính sách quy định

1.3.2 Sự cần thiết phải bảo vệ thông tin

Trong thời đại công nghệ thông tin, bất cứ doanh nghiệphay tổ chức nào cũng có các yếu tố quan trong, cần được bảo

vệ như:

- Tài nguyên: con người, hệ thống và đường truyền

- Dữ liệu

- Danh tiếng của công ty

Nếu không thực sự xác định được tầm quan trọng củavấn đề an toàn thông tin thì khi gặp phải sự cố, tác hại đếndoanh nghiệp không nhỏ:

- Tốn kém chi phí

- Tốn kém thời gian

- Ảnh hưởng đến tài nguyên hệ thống

- Ảnh hưởng đến danh dự, uy tín của doanh nghiệp

- Mất cơ hội kinh doanh

1.4 Một số lỗ hổng an ninh trên Website

Các lỗ hổng bảo mật có trên một hệ thống là các điểmyếu mà dựa vào đó, kẻ tấn công có thể tấn công hệ thống,thêm quyền hoặc cho phép các truy nhập không hợp pháp vào

hệ thống Các lỗ hổng bảo mật có thể ở nhiều nơi trong hệthống, có thể ở ngay trong các dịch vụ, tiện ích như web,mail, file hoặc ở ngay trong các ứng dụng, ngay trên hệ điềuhành

- Lỗ hổng loại C: các lỗ hổng loại này cho phép thựchiện các phương thức tấn công từ chối dịch vụ theo (DoS -Dinal of Services) Loại lỗ hổng này có mức độ nguy hiểm

lượng của dịch vụ, nặng hơn có thể làm gián đoạn hoạt độngcủa hệ thống, nhưng không gây mất, hỏng dữ liệu hay chiếmquyền tuy cập bất hợp pháp

- Lổ hổng loại B: các lỗ hổng loại này có thể gây ra hiệntượng người sử dụng có thêm các quyền bất hợp pháp khôngcần kiểm tra hợp lệ

- Lỗ hổng loại A: Các lỗ hổng loại này cho phép người

sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp,

có thể thay đổi, xóa hoặc làm phá hủy toàn bộ hệ thống

1.5 Một số điểm yếu bảo mật và kỹ thuật tấn công Website

1.5.1 Tấn công SQL Injection

1.5.1.1 SQL Injection là gì

SQL injection có thể hiểu là một cách tấn công, khi đónhững kẻ tấn công lợi dụng lỗ hổng khi xử lý dữ liệu nhậptrong các trang web để "tiêm vào" (inject) các câu lênh SQLbất hợp pháp và thi hành các câu lệnh đó

Hình 2 Mô hình tấn công SQL Injection

1.5.1.2 Các dạng tấn công bằng SQL Injection

SQL Injection có 4 dạng tấn công thường gặp, đó là: sửdụng câu lệnh INSERT, sử dụng câu lệnh SELECT, vượt quakiểm tra lúc đăng nhập, sử dụng các stored-procedures

hệ thống Nếu ứng dụng sử dụng quyền dbo (quyền của người

sở hữu cơ sở dữ liệu - owner) khi thao tác dữ liệu, nó có thểxóa toàn bộ các bảng dữ liệu, tạo các bảng dữ liệu mới, …Nếu ứng dụng sử dụng quyền sa (quyền quản trị hệ thống), nó

có thể điều khiển toàn bộ hệ quản trị cơ sở dữ liệu và vớiquyền hạn rộng lớn như vậy nó có thể tạo ra các tài khoảnngười dùng bất hợp pháp để điều khiển hệ thống của bạn

1.5.2 Tấn công XSS (Cross Site Scripting)

1.5.2.1 XSS là gì

XSS là viết tắt của Cross-Site Scripting, đây là một kĩthuật tấn công mà kẻ tấn công sẽ chèn vào các website độngnhững đoạn mã có thể thực thi một câu lênh bất hợp pháp.Các đoạn mã đó thường được viết bằng JavaScript, DHTML,JScript và cũng có thể là cả các thẻ HTML

1.5.2.2 Tấn công XSS

+ Nhận biết website bị mắc lỗi XSS:

Thường thì XSS có thể xảy ra tại những nơi mà ngườidùng có thể nhập dữ liệu vào, sau đó sẽ nhận được một kếtquả gì đó Nên thường chúng ta sẽ kiểm tra ở những ô đăngnhập (login form) đầu vào Khi nhập một chuỗi kí tự nào đó

mà kết quả của server trả về có dính tới chuỗi mà bạn nhậpthì rất có khả năng trang đó bị mắc lỗi XSS

Hình 3 Mô hình tấn công XXS (Cross-Site Scripting)

1.5.2.3 Phòng chống tấn công bằng XSS

Nếu sử dụng các mã nguồn được xây dựng sẵn, có thểtruy cập các trang web securityfocus.com,securiteam.com, để tham khảo danh sách các lỗ hổng bảomật Tuy nhiên không thể áp dụng phương pháp trên nếu tựviết mã nguồn các website Trong trường hợp này cần dùngđến các chương trình dò tìm kiếm (scanner) tự động Nếu sửdụng trong môi trường Windows, có những chương trình quéttìm chất lượng như AppScan hay N-Stealth, nó không tìm ranhững lỗi XSS mà nó còn có thể kiểm tra các lỗi khác trongwebsite đó

1.5.3 Tấn công từ chối dịch vụ DOS (Denial of Service)

1.5.3.2 Mục đích của tấn công DOS

Hầu hết những cuộc tấn công DOS đều chiếm băngthông mạng và làm ngập (flood) hệ thống mạng, khi đónhững yêu cầu dịch vụ bình thường hệ thống sẽ không cònkhả năng đáp ứng, chúng còn gây ra sự ngắt kết nối giữa cácmáy tính, quá trình truy cập vào dịch vụ cũng bị gián đoạn

Hình 4 Một mô hình tấn công từ chối dịch vụ DOS

1.5.3.3 Tấn công từ chối dịch vụ DOS

Là phương thức xuất hiện đầu tiên, giản đơn nhất trongkiểu tấn công từ chối dịch vụ Các kiểu tấn công thuộcphương thức này rất đa dạng:

+ Tấn công chiếm dụng tài nguyên (ResourceDepletion):

+ Tấn công SYN:

Hình 5 Mô hình tấn công SYNFlood Attack

+ Tấn công chiếm dụng băng thông:

- Giai đoạn sau khi tấn công: sau khi cuộc tấn công sảy

ra cần phân tích các dữ liệu để tìm các chứng cứ và rút kinhnghiệm để phòng chống các cuộc tấn công sau

CHƯƠNG 2: TẤN CÔNG THAY ĐỔI NỘI DUNG

VÀ MỘT SỐ THUẬT TOÁN PHÁT HIỆN SỰ THAY

ĐỔI

Trong chương 1 luận văn nêu lên một số các khái niệm

cơ bản về web, thực trạng an ninh Web trên thế giới và tạiViệt Nam, một số lỗ hổng an ninh trên Website, một số điểmyếu bảo mật và kỹ thuật tấn công Website

Với những lỗ hổng an ninh đó đều có thể làm tiền đề chonhững cuộc tấn công vào hệ thống website, trong đó có Tấncông thay đổi nội dung (Deface website)

2.1 Khái niệm Tấn công thay đổi nội dung (Deface website)

Deface website được định nghĩa là tấn công thay đổi nộidung website, thông qua một điểm yếu nào đó của website,hacker sẽ thay đổi nội dung website của nạn nhân

2.2 Vì sao website bị Deface?

Có rất nhiều nguyên nhân bị Deface, chủ yếu nhất làwebsite tồn tại điểm yếu bảo mật nghiêm trọng như đã nêutrong mục "Một số lỗ hổng an ninh trên Website" hoặc có thể

Theo VNCERT trong số 1.500 trường hợp tấn công, có

962 tấn công giao diện (deface), 324 trường hợp dùng mã độctấn công (malware) và 218 tấn công lừa đảo (phishing)

Cũng theo thống kê của VNCERT, các sự cố mạng tạiViệt Nam tăng mạnh từ năm 2017 với tổng cộng 134.375 sự

cố tấn công mạng trong năm 2017, bao gồm cả 3 loại hìnhphổ biến nhất hiện nay là Deface, Malware và Phishing

Hình 6 Giao diện Website Sở KH&CN BR- VT bị tấn công

(Ảnh: ictnews.vn)

2.4 Làm thế nào để phát hiện bị Deface?

Nếu một cuộc tấn công thông thường, tấn công Defacethay đổi hoàn nội dung trang web, người sử dụng sẽ phát hiệnkhi thấy sự thay đổi của website

Nhưng nếu hacker chỉ thay đổi một phần rất nhỏ, hoặckhông thay đổi giao diện, chỉ thay đổi các đường dẫn, thậmchí tải các mã độc lên trang web thì người sử dụng khó thể

phát hiện Đây cũng là một vấn đề mà khá nhiều trang webđang gặp phải và chưa có giải pháp nào thực sự tối ưu.

Hiểu được thực trạng đó, Luận văn đã đề xuất xây dựng

hệ thống giám sát website nhằm phát hiện kịp thời các cuộctấn công (như đã nêu) bằng hệ thống đa kiểm tra dựa trênnhiều thuật toán nhằm phát hiện thay đổi để đảm bảo tínhtoàn vẹn của trang web đồng thời tạo ra thông điệp cảnh báo

có ý nghĩa và phục hồi lại các trang web đã bị tấn công

2.5 Các bước xử lý khi phát hiện bị Deface

Bước 1 Cách ly website

Bước 2 Khôi phục lại hoạt động của website

Bước 3 Làm sạch website

Bước 4: Điều tra nguyên nhân website bị hack

2.6 Một số lời khuyên để website an toàn hơn

Thường xuyên kiểm tra dữ liệu website

Có kế hoạch backup dữ liệu cụ thể, định kì

Luôn đặt mật khẩu phức tạp để đăng nhập và đổi mậtkhẩu định kỳ

Không nên cài đặt các theme, module, plugin, extension,

… bản null, không thật sự cần thiết và không rõ nguồn gốc.Thường xuyên update mã nguồn lên phiên bản mới nhất

để hạn chế các lỗi bảo mật trong các phiên bản trước

Sử dụng phần mềm phát hiện và cảnh báo khi bị tấncông

2.7 Một số thuật toán phát hiện sự thay đổi

2.7.1 Hàm băm

2.7.1.1 Giới thiệu hàm băm

Hàm băm (hash function) là giải thuật với đầu vào lànhững khối dữ liệu và kết quả đầu ra là các giá trị băm tươngứng với mỗi giá trị đầu vào Ở đây giá trị băm có thể được coinhư một khóa để phân biệt các dữ liệu với nhau, tuy vẫn cònhiện tượng trùng khóa hay còn gọi là đụng độ nhưng điều nàyvẫn được chấp nhận và mọi người vẫn đang tìm cách để cảithiện giải thuật nhằm giảm thiểu sự đụng độ đó Để giảm chiphí tính toán khi tìm một khối dữ liệu trong một tập hợp,người ta sử dụng bảng băm

2.7.1.3 Cấu trúc hàm băm

Các hàm băm hầu hết đều có chung cấu trúc giải thuậtnhư sau:

+ Cho dữ liệu đầu vào M có độ dài bất kỳ Có thể thêm

vào M một số bit để nhận được dữ liệu có độ dài là bội củahằng số cho trước Chia nhỏ thông điệp thành từng khối có

kích thước bằng nhau: M1, M2, …Ms

+ Gọi H là trạng thái có kích thước n bit,

+ Gọi f là hàm dùng để trộn khối dữ liệu với trạng thái

Hình 7 Sơ đồ Merkel-Damgard

2.7.2 Thuật toán đối sánh chuỗi

2.7.2.1 Khái niệm đối sánh chuỗi

Đối sánh chuỗi là việc so sánh một hoặc vài chuỗi(thường được gọi là mẫu hoặc pattern) với toàn bộ văn bản

để tìm ra nơi và số lần xuất hiện của chuỗi đó trong vănbản

2.7.2.2 Phân loại thuật toán đối sánh chuỗi

- Theo thứ tự đối sánh:

+ Từ trái sang phải

+ Từ phải sang trái

+ Đối sánh tại vị trí cụ thể

+ Không theo thứ tự nhất định

- Theo số lượng pattern:

+ Đối sánh chuỗi đơn pattern

+ Đối sánh đa chuỗi pattern

- Theo độ sai khác đối sánh:

+ Đối sánh chuỗi chính xác

+ Đối sánh chuỗi gần đúng

- Theo sự thay đổi của pattern và văn bản

+ Pattern thay đổi, văn bản cố định

+ Pattern cố định, văn bản thay đổi

+ Pattern thay đổi, văn bản thay đổi

2.7.3 Dấu vân tay tài liệu (Document Fingerprint)

Trong khoa học máy tính, dấu vân tay nhận dạng duynhất dữ liệu gốc cho tất cả các mục đích thực tiễn giống như

là việc nhận dạng duy nhất dấu vân tay người trong thực tế.Dấu vân của tài liệu là tập hợp các mã được sinh ra tù cáckhóa nội dung của tài liệu đó Mỗi mã đó được gọi là mộtgiá trị băm

2.7.4 Thuật toán Rabin Fingerprint

Thuật toán Rabin Fingerprint là một trong nhiều thuậttoán Fingerprint thực hiện khóa công khai sử dụng các đathức trên một trường giới hạn

Thuật toán Rabin Fingerprint điển hình tạo ra một giá trị băm

từ chuỗi con trong các trang web (web pages), bởi vì đây là mộtthuật toán nhanh và dễ để thực thi, và nó cũng đi kèm với mộtphân tích chính xác toán học của xác suất đụng độ (hai tập tin códấu vân tay giống nhau)

Hình 8 Mô tả thuật toán Rabin Fingerprint

2.7.5 Thuật toán Rabin Fingerprint cải tiến

Thuật toán cải tiến được đề xuất trong hệ thống như sau:

Đầu vào: Tài liệu (trang web công khai)

Đầu ra: Dấu vân tay tài liệu (các giá trị băm của tài liệu

đó)

Bước 1: Bắt đầu

Bước 2: Xử lý văn bản, xoá hết tất cả khoảng trắng và

các kí tự đặc biệt (như: <, >, %, !, …) từ mãHTML (mã trang web) để thu được một khốivăn bản thuần túy (pure text block)

Bước 3: Từ văn ban M, chia ra thành K khối với kích

thước n mỗi khối (n nguyên dương)Bước 4: Tính mã băm cho các chuỗi con:

Bước 5: Lưu lại các giá trị băm

Bước 6: Kết thúc

Hình 9 Minh hoạ cải tiến giải thuật

2.7.6 Thuật toán tìm sự khác nhau của hai văn bản

"An O(ND) Difference Algorithm"

Thuật toán này được xuất bản lần đầu tiên cách đây 30năm dưới tựa đề "An O(ND) Difference Algorithm and itsVariations" của Eugene Myers, trong cuốn Algorithmica Vol

1 số 2, 1986, trang 251 Trong bài này, tác giả có đề cập đếnđịnh nghĩa của thuật toán theo cách đệ quy, và sử dụng một

số mã của ngôn ngữ lập trình hiện có

2.7.7 Thuật toán tìm sự khác nhau của hai hình ảnh

Việc tìm sự khác nhau của hai hình ảnh cơ bản là sự sosánh trực tiếp các điểm ảnh của hai ảnh

CHƯƠNG 3: XÂY DỰNG HỆ THỐNG GIÁM SÁT

VÀ CẢNH BÁO SỰ THAY ĐỔI NỘI DUNG TRANG

WEB

Trong chương 2 luận văn nêu khái niệm tấn công thayđổi nội dung, nguyên nhân và cách khắc phục cùng với một

số thuật toán phát hiện sự thay đổi đó

Từ những thuật toán đó, tôi đã nghiên cứu xây dựng hệthông giám sát và cảnh báo sự thay đổi nội dung trang webđược giới thiệu ở Chương 3

3.2 Xác định mô hình phát triển

Mô hình phát triển phần mềm là một thể hiện trừu tượngcủa quy trình phần mềm Nó biểu diễn các đặc tả về quy trình

từ những khía cạnh cụ thể; do đó, nó chỉ cung cấp một phầnthông tin về quy trình phần mềm

Các pha của mô hình thác nước bao gồm:

- Phân tích và xác định các yêu cầu

- Thiết kế hệ thống và phần mềm

- Cài đặt và kiểm thử đơn vị

- Tích hợp và kiểm thử hệ thống

- Vận hành và bảo trì