Câu hỏi ôn an toàn hệ thống thông tin

Bộ 33 câu hỏi ôn tập học phần An toàn hệ thống thông tin với các câu như an toàn mạng, các giai đoạn tấn công mạng, tội phạm mạng xác thực 2 lớp, nmap, hacker, mã hóa, hệ mật mã, chữ ký số, mã độc hại, ......

CÂU HỎI ÔN TẬP ATHTTT

Câu 1: Thế nào là an toàn thông tin? Nêu và phân tích các mục tiêu chính của

an toàn thông tin?

-An toàn thông tin là bảo vệ thông tin và hệ thống thông tin nói chung khỏi các

truy cập trái phép, sử dụng, làm lộ, làm hỏng, chỉnh sửa, ghi chép không đượcphép… An toàn máy tính tập trung vào việc đảm bảo tính sẵn sàng và hoạt độngđúng đắn của hệ thống máy tính mà không quan tâm đến thông tin được lưu trữ, xử

lý bởi chúng Đảm bảo thông tin tập trung vào lý do đảm bảo rằng thông tin đượcbảo vệ và vì thế nó là lý do để thực hiện an toàn thông tin

 Khóa kín và niêm phong thiết bị

 Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc điểm về sinh trắc để xác thực

 Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép

 Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES, v.v

+ Tính toàn vẹn: Thông tin chỉ được phép xóa hoặc sửa bởi những đối tượng được phép và phải đảm bảo rằng thông tin vẫn còn chính xác khi được lưu trữ hay truyền

đi Về điểm này, nhiều người thường hay nghĩ tính “integrity” đơn giản chỉ là đảm bảo thông tin không bị thay đổi (modify) là chưa đẩy đủ

Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:

 Thay đổi giao diện trang chủ của một website

 Chặn đứng và thay đổi gói tin được gửi qua mạng

 Chỉnh sửa trái phép các file được lưu trữ trên máy tính

 Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông tin bị sai lệch.

+ Tính sẵn sàng: Thông tin có thể được truy xuất bởi những người được phép vào bất cứ khi nào họ muốn

(+ Non-Repudiation : Tính không thể chối bỏ, nghĩa là dữ liệu người nào gởi đithì họ phải có trách nhiệm với các thông tin của mình thông qua các xác nhậnnguồn gốc như chữ kí điện tử.)

Ba mục tiêu này còn được gọi là tam giác bảo mật C-I-A

Câu 3: Một số loại tội phạm mạng?

- Tội phạm mạng có thể được định nghĩa là bất kỳ hoạt động tội phạm nào liên quan đến bất cứ thiết bị nối mạng (máy tính, điện thoại thông minh, v.v.) hoặc chính hệ thống mạng Còn theo quy định quy định tại Bộ luật Hình sự (BLHS) nước Cộng Hòa Xã Hội Chủ Nghĩa Việt Nam thì tội phạm mạng là hành vi sử dụngkhông gian mạng, công nghệ thông tin hoặc phương tiện điện tử để thực hiện hành

vi phạm tội

-Các loại tội phạm mạng

+ Hành vi trộm cắp danh tính( Identity Theft) là một thuật ngữ sử dụng để mô tả

tội phạm mạng sử dụng phương thức đóng giả một người khác, nhằm tạo ra sự gianlận về lợi ích tài chính Cụ thể hơn, khi tin tặc truy cập vào thông tin cá nhân của một người và sau đó sử dụng cùng một thông tin để đánh cắp danh tính hoặc truy cập vào tài khoản ngân hàng của nạn nhân nó được gọi là hành vi trộm cắp danh tính

+Gian lận thẻ tín dụng (Credit card fraud): Là hình thức gian lận sử dụng công

nghệ cao để đánh cắp thông tin thẻ tín dụng của người sử dụng thuộc về lĩnh vực tài chính, ngân hàng

+ Cryptojacking (Đánh cắp tiền điện tử): hình thức tội phạm mạng khá mới mẻ,

xuất hiện và song hành với sự ra đời cũng như phát triển của thị trường tiền điện tử

Là thuật ngữ đề cập đến cách thức mà những tên tội phạm mạng sử dụng để kiếm tiền bằng phần cứng của bạn Bằng cách sử dụng các tập lệnh, tin tặc có thể khai thác tiền điện tử thông qua các nền tảng trình duyệt Khi nạn nhân mở một trang web trong trình duyệt của mình, phần mềm độc hại cryptojacking có thể sử dụng CPU ở mức tối đa để đào tiền điện tử

+ Tấn công bằng ransomware: Ransomware là một thuật ngữ được dùng để đặt

tên cho loại phần mềm độc hại mã hóa tất cả dữ liệu trong hệ thống máy tính hoặc

hệ thống mạng, và sau đó đưa ra một thông báo yêu cầu tiền chuộc để giải mã dữ liệu Các cuộc tấn công ransomware đang trở thành một trong những hình thức tội phạm mạng phổ biến nhất hiện nay, nhắm mục tiêu đến cả người dùng bình thường lẫn các tổ chức, doanh nghiệp Những cuộc tấn công ransomware tiêu biểu trong

+Cyber Espionage (Hoạt động gián điệp mạng): Một vụ tấn công mang màu sắc

hình sự vào hệ thống mạng của một tổ chức chính phủ, hoặc liên quan đến quốc phòng và chiếm quyền truy cập vào dữ liệu nhạy cảm, bí mật mang tính chất

nghiêm trọng, ảnh hưởng đến an ninh quốc gia là ví dụ tiêu biểu cấu thành nên hoạtđộng gián điệp mạng Những người tham gia vào hoạt động gián điệp mạng có đủ khả năng thay đổi hoặc phá hủy dữ liệu nhạy cảm mà họ truy cập bằng cách hack Bên cạnh đó, họ thậm chí có thể sử dụng các thiết bị kết nối internet, như máy ảnh, webcam, thiết bị IoT… để làm công cụ phục vụ gián điệp (thu thập thông tin) và các hoạt động liên quan

+ Cyberstalking (theo dõi mạng): Khi một cá nhân, tổ chức, hoặc doanh nghiệp bị

làm phiền hoặc quấy rối dưới nhiều hình thức thông qua internet, thì nhiều khả năng họ đang là nạn nhân của hành vi theo dõi mạng Cụ thể hơn, cyberstalking là một hình thức tội phạm mạng bao gồm việc lén lút giám sát hoạt động của ai đó trong thực tế hoặc trong khi họ đang online trên máy tính cũng như các thiết bị kết nối internet Với một vài kỹ thuật phức tạp hơn, thậm chí hacker còn có thể dõi người dùng ngay cả khi họ đang ngoại tuyến.Thời gian gần đây có thể kể đến như Shamoon 2,0, StoneDrill, hay WannaCry

Câu 4 Nêu một số dạng tấn công mạng?

 Phân loại tấn công dựa trên trạng thái hoạt động

- Tấn công bị động (Passive attack): hacker sẽ kiểm soát traffic không được

mã hóa và tìm kiếm mật khẩu không được mã hóa.Kết quả của các cuộc tấncông bị động là các thông tin hoặc file dữ liệu sẽ bị rơi vào tay kẻ tấn công màngười dùng không hề hay biết ) Những cuộc tấn công bị động thường khó dòtìm hơn vì không tương tác trực tiếp vào hệ thống hay đường truyền mà chỉ âmthầm thu thập các thông tin, dữ liệu Nghe lén hay sniffing là dạng tấn côngthuộc loại này, những hacker nghe lén dữ liệu được gọi là sniffer và thường tậptrung vào tính riêng tư của thông tin

- Tấn công chủ động có sự tương tác trực tiếp vào hệ thống xác thực hay đường

truyền làm thay đổi tính toàn vẹn, ảnh hưởng đến khả năng đáp ứng của dữ liệu.Những dạng tấn công thuộc loại này như DDoS, Scan Port …

 Theo vị trí địa lý

là ở phía bên trong hay bên ngoài hệ thống tương ứng với các thuật ngữ là

insise hay outside Những kẻ tấn công inside là các insider thường là nhân viênhay những người có mối liên quan trực tiếp đối với tổ chức, vì vậy tác động củadạng tấn công này rất lớn và nguy hiểm Theo một số thông kê thì có tới 80 %tác nhân gây mất mát thông tin là những thành viên bên trong của hệ thống Tuynhiên, những thành viên bên ngoài lại có những mối nguy hiểm khác vì họthường đông đảo hơn, có trình độ kỹ thuật cao và mục tiêu tấn công của họthường nhắm vào những hệ thống ít được bảo vệ hay có sự giao tiếp với môitrường công cộng (còn được gọi là môi trường không tin cậy) như các máy chủ

cơ sở dữ liệu, trang web

 Ngoài ra còn có các loại tấn công như

-Tấn công rải rác (Distributed attack): cuộc tấn công rải rác yêu cầu kẻ tấn công

phải giới thiệu mã, chẳng hạn như một chương trình Trojan horse hoặc một chương trình back-door, với một thành phần "tin cậy" hoặc một phần mềm được phân phối cho nhiều công ty khác và tấn công user bằng cách tập trung vào việc sửa đổi các phần mềm độc hại của phần cứng hoặc phần mềm trong quá trình phân phối, Các cuộc tấn công giới thiệu mã độc hại chẳng hạn như back door trên một sản phẩm nhằm mục đích truy cập trái phép các thông tin hoặc truy cập trái phép các chức năng trên hệ thống

-Tấn công nội bộ (insider attack): cuộc tấn công liên quan đến người ở trong cuộc

Người trong cuộc cố ý nghe trộm, ăn cắp hoặc phá hoại thông tin, sử dụng các thông tin một cách gian lận hoặc truy cập trái phép các thông tin

- Tấn công phising: các hacker sẽ tạo ra một trang web giả trông “giống hệt” như các trang web phổ biến, hacker gửi một email để người dùng click vào đó và điều hướng đến trang web giả mạo Khi người dùng đăng nhập thông tin tài khoản của

họ, các hacker sẽ lưu lại tên người dùng và mật khẩu đó lại

-Tấn công mật khẩu (password attack): hacker "phá" mật khẩu được lưu trữ trên

cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin.Các cuộc tấn công mật khẩu bao gồm 3 loại chính: các cuộc tấn công dạng từ điển (dictionaryattack), brute-force attack và hybrid attack

-Tấn công phá mã khóa (compromised key attack): Mã khóa ở đây là mã bí mật

hoặc các con số quan trọng để “giải mã” các thông tin bảo mật Mặc dù rất khó để

có thể tấn công phá một mã khóa, nhưng với các hacker thì điều này là có thể Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là mã khóa gây hại Hacker sử dụng mã khóa gây hại này để giành quyền truy cập các thông tin liên lạc

mà không cần phải gửi hoặc nhận các giao thức tấn công Với các mã khóa gây hại,các hacker có thể giải mã hoặc sửa đổi dữ liệu

- Giả mạo địa chỉ: Việc giả mạo địa chỉ IP có thể được thực hiện thông qua việc sử

dụng khả năng dẫn đường trực tiếp (source-routing) Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong với một địa chỉ IP giả mạo (thông

thường là địa chỉ của một mạng hoặc một máy được coi là an toàn đối với mạng bên trong), đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

-Vô hiệu các chức năng của hệ thống: Đây là kiểu tấn công nhằm tê liệt hệ thống,

không cho nó thực hiện chức năng mà nó thiết kế Kiểu tấn công này không thể ngăn chặn được, do những phương tiện được tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng

Câu 5 Phân Loại Malware? Nêu đặc điểm từng loại?

Mã độc hại (Malware) được định nghĩa là “một chương trình (program) được chèn một cách bí mật vào hệ thống với mục đích làm tổn hại đến tính bí mật, tính toàn vẹn hoặc tính sẵn sàng của hệ thống”

-Virus: là một loại mã độc hại (Maliciuos code) có khả năng tự nhân bản và lây

nhiễm chính nó vào các file, chương trình hoặc máy tính Virus máy tính luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo “phát hiện

ra virus nhưng không diệt được” khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì “vật mang virus” lại nằm ở máy khác nên không thể thực thi việc xoá đoạn

mã độc hại đó

- Sâu (Worm): Sâu máy tính tinh vi hơn nhiều so với virus Có khả năng tự nhân

bản và tự lây nhiễm trong hệ thống tuy nhiên nó có khả năng “tự đóng gói”, điều đó

có nghĩa là worm không cần phải có “file chủ” để mang nó khi nhiễm vào hệ thống.Như vậy, có thể thấy rằng chỉ dùng các chương trình quét file sẽ không diệt đượcworm trong hệ thống vì worm không “bám” vào một file hoặc một vùng nào đótrên đĩa cứng Mục tiêu của worm bao gồm cả làm lãng phí nguồn lực băng thôngcủa mạng và phá hoại hệ thống như xoá file, tạo backdoor, thả keylogger, Tấncông của worm có đặc trưng là lan rộng cực kỳ nhanh chóng do không cần tác độngcủa con người (như khởi động máy, copy file hay đóng/mở file)

Worm có thể chia làm 2 loại: Network Service Worm lan truyền bằng cách lợidụng các lỗ hổng bảo mật của mạng, của hệ điều hành hoặc của ứng dụng

-Trojan Horse: không tự nhân bản tuy nhiên nó lây vào hệ thống với biểu hiện rất

ôn hoà nhưng thực chất bên trong có ẩn chứa các đoạn mã với mục đích gây hại

Trojan có thể lựa chọn một trong 3 phương thức để gây hại:

+Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên cạnh đóthực thi các hoạt động gây hại một cách riêng biệt

+Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng sửa đổimột số chức năng để gây tổn hoặc che dấu các hành động phá hoại khác

+Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chươngtrình không có hại

- Backdoor

Backdoor giống với những chương trình truy cập từ xa mà chúng ta thường sửdụng Chúng được coi là malware nếu cài đặt mà không có sự cho phép, đây chínhxác là những gì mà hacker muốn, theo các phương thức sau:

 Khai thác lỗ hổng trên máy tính mục tiêu

 Bẫy người dùng cài đặt backdoor thông qua một chương trình khác

- Adware

Adware là phần mềm tạo ra popup quảng cáo mà không có sự cho phép của người dùng Adware thường được cài đặt bởi một thành phần của phần mềm miễn phí Ngoài việc làm phiền, adware có thể làm giảm đáng kể hiệu suất của máy tính, làm chậm, treo máy

- Malicious mobile code (mã độc di động MMC)

MMC nhanh chóng trở thành phương pháp cài đặt malware vào máy tính hiệu quả nhất Chúng có thể:

 Chiếm quyền máy chủ từ xa

 Di chuyển trong mạng

 Tải và cài đặt trên một hệ thống cục bộ

- Blended threat (Mối đe dọa hỗn hợp)

Malware được cho là một blended threat khi nó gây ra những tổn hại lớn và phát tán nhanh chóng thông qua những phần kết hợp của nhiều malcode có mục tiêu riêng Blended threat xứng đáng là mối lo ngại đặc biệt vì nhiều chuyên gia bảo mật cho rằng chúng là “những chuyên gia trong công việc của chúng” Một blended threat điển hình có thể:

 Khai thác và tạo ra nhiều lỗ hổng

 Sử dụng nhiều phương thức tái tạo khác nhau

 Tự động chạy mã hủy can thiệp của người dùng

- Bots

Robot được tự động thực thi hay bots khá phổ biến trong Internet hiện đại Chúng thường được sử dụng để tự động hóa các tác vụ nhàm chán, lặp đi lặp lại, hay gặp nhất là trong những cuộc đấu giá trực tuyến, kiểm tra trực tuyến, chat và chơi game

- Ransoware

Ransomware là một trong những công cụ kiếm tiền lớn nhất của hacker Về bản chất, nó mã hóa dữ liệu trên máy tính, yêu cầu một khoản tiền chuộc để mở khóa dữ liệu

Câu 6 Một số công cụ hỗ trợ tấn công mạng?

- AirSnort là một công cụ giải mã giao thức WEP khác trên các mạng Wi-Fi chuẩn

802.11b Đây là một công cụ miễn phí, hoạt động trên cả môi trường Linux và Windows AirSnort làm việc ở chế độ theo dõi thụ động và tính toán các khóa khi nhận đủ số lượng gói tin cần thiết Công cụ này rất dễ sử dụng

- Nmap (Network Mapper) Miễn phí: là một công cụ linh hoạt phải có cho an

ninh mạng với nguồn tài liệu mở Nó chủ yếu được sử dụng bởi các nhà nghiên cứubảo mật và quản trị mạng để khám phá mạng và bảo mật kiểm toán Quản trị viên

hệ thống sử dụng Nmap cho hệ thống mạng hàng tồn kho, xác định các cổng mở,quản lý tiến độ nâng cấp dịch vụ, và giám sát máy chủ (một thuật ngữ được sửdụng cho "máy tính trên một mạng lưới") hoặc thời gian hoạt động dịch vụ

- Cain & Able là một công cụ bẻ khóa phổ biến Công cụ này được phát triển để

chặn bắt các lưu lượng mạng và phục hồi mật khẩu chủ yếu được sử dụng cho hệ điều hành Microsoft bằng phương pháp vét cạn (bruteforce) Công cụ này cũng có thể khôi phục lại các khóa của mạng không dây bằng phương pháp phân tích giao thức định tuyến

-NetStumbler là một công cụ hoạt động trên Windows có chức năng tìm các điểm

truy cập không dây mở.Về cơ bản, NetStumblet được sử dụng để chặn bắt, xác minh cấu hình mạng, tìm vị trí mạng kém, phát hiện các điểm truy cập trái phép… Tuy nhiên nhược điểm rất lớn của công cụ này là nó có thể dễ dàng bị phát hiện bởihầu hết các hệ thống phát hiện xâm nhập mạng không dây hiện có

-InSSIDer là một công cụ quét Wif-Fi phổ biến hoạt động trên hệ điều hành

Microsoft Windows và OS X Phiên bản đầu tiên của nó là phiên bản mã nguồn mởsau đó nó được mở rộng ra thành phiên bản cao cấp giá 19.99 $ inSSIDer đã từng được trao giải là phần mềm mã nguồn mở tốt nhất cho các ứng dụng mạng Công

cụ quét Wi-Fi inSSIDer có thể thực hiện rất nhiều các công việc khác nhau, bao

gồm tìm kiếm các điểm truy cập wi-fi mở, kiểm tra độ mạnh của tín hiệu, và lưu trữnhật ký với các bản ghi GPS.

-WireShark (miễn phí): Wireshark là giao thức phân tích mạng quan trọng nhất

của thế giới Nó cho phép bạn xem những gì đang xảy ra trên hệ thống mạng ở cấp

độ vi mô bằng cách thực hiện chặn bắt các gói tin và phân tích trực tiếp, cho phép phân tích các gói tin ở mức độ rất chi tiết Nó là tiêu chuẩn thực quyền (và thường

là luật định) cho nhiều ngành công nghiệp và các tổ chức giáo dục.Wireshark có thểhoạt động trên nhiều phiên bản hệ điều hành khác nhau như: Windows, Linux, OS

X, Solaries, FreeBSD… Việc sử dụng WireShark yêu cầu phải có những hiểu biết

và kiến thức chuyên môn về mạng và giao thức mạng khá tốt Đây là một công cụ giành cho các chuyên gia phân tích mạng

-Airjack-ng (Miễn phí): là một công cụ hack phá mã Wi-Fi 802.11 Công cụ bẻ

khóa mạng không dây này rất hữu dụng trong việc tiêm các gói tin độc hại và làm sập mạng bằng các tấn công từ chối dịch vụ Airjack cũng có thể được dùng để thựchiện các tấn công xen giữa (man in the middle attack)

-Wifite là một công cụ hỗ trợ bẻ khóa các mạng được mã hóa dựa trên WPS Công

cụ này làm việc trên các phiên bản hệ điều hành Linux và cung cấp nhiều chức năng khác liên quan đến bẻ khóa mật khẩu

Câu 7 Thế nào là lỗ hổng hệ thống thông tin?

Lỗ hổng của hệ thống thông tin (HTTT) là khiếm khuyết của các thành phần phần

mềm, phần cứng hoặc của toàn bộ hệ thống có thể bị sử dụng để thực hiện các mối

đe dọa an toàn thông tin (ATTT) của hệ thống Bất kỳ HTTT nào cũng đều có những lỗ hổng nhất định, chúng có thể được sinh ra trong mọi giai đoạn thuộc vòngđời của hệ thống Lỗ hổng phần mềm có thể xuất hiện khi có những sai sót mà lập trình viên phạm phải ở giai đoạn phát triển phần mềm

Trong một số trường hợp, các lỗ hổng được tạo ra một cách cố ý, thường được gọi

là các cổng hậu, chúng cho phép truy cập bất hợp pháp vào các chức năng củachương trình hoặc dữ liệu được lưu trữ trong đó Những kẻ tấn công có thể sử dụngcác lỗ hổng để trục lợi và gây hại cho hệ thống Do đó, phát hiện và khắc phục lỗhổng kịp thời là nhiệm vụ hết sức quan trọng trong công tác bảo đảm an toàn cácHTTT

- Phân loại lỗ hổng an toàn thông tin:

+ Lỗ hổng ATTT của HTTT được chia thành ba loại: lỗ hổng khách quan, lỗ hổngchủ quan và lỗ hổng ngẫu nhiên Lỗ hổng khách quan xuất phát từ các đặc tính kỹthuật vốn có của thiết bị và phần mềm của HTTT; Lỗ hổng chủ quan xuất phát từhành vi của chủ thể, có thể là nhà thiết kế, các quản trị viên và người sử dụng; Lỗhổng ngẫu nhiên xuất phát từ môi trường của HTTT và những bối cảnh không dựđoán trước được

+ Lỗ hổng ATTT được phân loại theo các giai đoạn trong vòng đời của HTTT, baogồm: lỗ hổng thiết kế, lỗ hổng chế tạo và lỗ hổng khai thác

+ Phân loại theo cách tiếp cận được đề xuất trong tiêu chuẩn GOST P56546-2-15của Liên bang Nga, với 3 tiêu chí: khu vực phát sinh lỗ hổng, các khiếm khuyết củaHTTT và vị trí xuất hiện các lỗ hổng

Câu 8 Nêu các giai đoạn trong quy trình phát triển hệ thống thông tin, lỗ hổng

hệ thống có thể được sinh ra trong giai đoạn nào?

 6 Giai đoạn

- Giai đoạn 1: Khảo sát dự án

Nhiệm vụ chính trong giai đoạn này là tìm hiểu, thu thập thông tin cần thiết để chuẩn bị cho việc giải quyết các yêu cầu được đặt ra của dự án Giai đoạn khảo sát được chia làm hai bước:

Bước 2: Đặt ra các vấn đề trọng tâm cần phải giải quyết, như:

 Thông tin đưa vào hệ thống phải như thế nào?

 Dữ liệu hiển thị và xuất ra khác nhau ở những điểm nào?

 Ràng buộc giữa các đối tượng trong hệ thống cần xây được dựng ra sao?

 Chức năng và quy trình xử lý của hệ thống phải đảm bảo những yêu cầu nào?

 Cần sử dụng những giải pháp nào? Tính khả thi của từng giải pháp ra sao?

- Giai đoạn 2: Phân tích hệ thống

Mục tiêu của giai đoạn là xác định các thông tin và chức năng xử lý của hệ thống,

cụ thể như sau:

 Xác định yêu cầu của HTTT gồm: các chức năng chính - phụ; nghiệp vụ cần phải xử lý đảm bảo tính chính xác, tuân thủ đúng các văn bản luật và quy định hiện hành; đảm bảo tốc độ xử lý và khả năng nâng cấp trong tương lai

 + Phân tích và đặc tả mô hình phân cấp chức năng tổng thể thông qua sơ đồ BFD (Business Flow Diagram), từ mô hình BFD sẽ tiếp tục được xây dựng thành mô hình luồng dữ liệu DFD (Data Flow Diagram) thông qua quá trình phân rã chức năng theo các mức 0, 1, 2 ở từng ô xử lý.

 + Phân tích bảng dữ liệu Cần đưa vào hệ thống những bảng dữ liệu (data table) gồm các trường dữ liệu (data field) nào? Xác định khóa chính (primarykey), khóa ngoại (foreign key) cũng như mối quan hệ giữa các bảng dữ liệu (relationship) và ràng buộc (constraint) dữ liệu cần thiết

- Giai đoạn 3: Thiết kế

Thông qua thông tin được thu thập từ quá trình khảo sát và phân tích, các chuyên gia sẽ chuyển hóa vào phần mềm, công cụ chuyên dụng để đặc tả thiết kế hệ thống chi tiết Giai đoạn này được chia làm hai bước sau:

Bước 2: Thiết kế chi tiết

 Thiết kế cơ sở dữ liệu (Database): Với mô hình mức vật lý hoàn chỉnh ở giai đoạn thiết kế đại thể sẽ được kết sinh mã thành file sql

 Thiết kế truy vấn, thủ tục, hàm: thu thập, xử lý thông tin nhập và đưa ra thông tin chuẩn xác theo đúng nghiệp vụ

 Thiết kế giao diện chương trình đảm bảo phù hợp với môi trường, văn hóa vàyêu cầu của doanh nghiệp thực hiện dự án

 Thiết kế chức năng chương trình đảm bảo tính logic trong quá trình nhập liệu

và xử lý cho người dùng

 Thiết kế báo cáo Dựa trên các yêu cầu của mỗi doanh nghiệp và quy định hiện hành sẽ thiết kế các mẫu báo cáo phù hợp hoặc cho phép doanh nghiệp

tư tạo mẫu báo cáo ngay trên hệ thống

 Thiết kế các kiểm soát bằng hình thức đưa ra các thông báo, cảnh báo hoặc lỗi cụ thể tạo tiện lợi và kiểm soát chặt chẽ quá trình nhập liệu với mục tiêu tăng độ chính xác cho dữ liệu

Tóm lại, thiết kế là việc áp dụng các công cụ, phương pháp, thủ tục để tạo ra

mô hình hệ thống cần sử dụng Sản phẩm cuối cùng của giai đoạn thiết kế là đặc

tả hệ thống ở dạng nó tồn tại thực tế, sao cho nhà lập trình và kỹ sư phần cứng có thể dễ dàng chuyển thành chương trình và cấu trúc hệ thống.

- Giai đoạn 4: Thực hiện

Đây là giai đoạn nhằm xây dựng hệ thống theo các thiết kế đã xác định Giai đoạn này bao gồm các công việc như: Lựa chọn hệ quản trị cơ sở dữ liệu (SQL Server, Oracle, MySQL, …) và cài đặt cơ sở dữ liệu cho hệ thống Lựa chọn công cụ lập trình để xây dựng các modules chương trình của hệ thống (Microsoft Visual Studio,PHP Designer, ) Lựa chọn công cụ để xây dựng giao diện hệ thống (DevExpress, Dot Net Bar, )

- Giai đoạn 5: Kiểm thử:

+ Trước hết phải lựa chọn công cụ kiểm thử

+ Kiểm chứng các modules chức năng của hệ thống thông tin, chuyển các thiết kế thành các chương trình (phần mềm)

+ Thử nghiệm hệ thống thông tin

+ Cuối cùng là khắc phục các lỗi (nếu có)

+ Viết test case theo yêu cầu

Kết quả cuối cùng là một hệ thống thông tin đạt yêu cầu đặt ra

- Giai đoạn 6 triển khai và bảo trì

+ Lắp đặt phần cứng để làm cơ sở cho hệ thống

+ Cài đặt phần mềm

+ Chuyển đổi hoạt động của hệ thống cũ sang hệ thống mới, gồm có: chuyển đổi dữliệu; bố trí, sắp xếp người làm việc trong hệ thống; tổ chức hệ thống quản lý và bảotrì

+ Phát hiện các sai sót, khuyết điểm của hệ thống thông tin

+ Đào tạo và hướng dẫn sử dụng

+ Cải tiến và chỉnh sửa hệ thống thông tin

+ Bảo hành

+ Nâng cấp chương trình khi có phiên bản mới

 Lỗ hổng hệ thống có thể được sinh ra trong giai đoạn:

Câu 9: Thế nào là tấn công Man-in-the-middle? Hậu quả của tấn công MitM?

- Tấn công theo kiểu MitM- chiếm quyền điều khiển session

Trong mật mã học và an ninh máy tính, một cuộc tấn công xen giữa là một cuộc tấncông mà kẻ tấn công theo dõi, nắm bắt và kiểm soát thông tin liên lạc một cách minh bạch, bí mật chuyển tiếp và có thể làm thay đổi giao tiếp giữa hai bên mà họ tin rằng họ đang trực tiếp giao tiếp với nhau Các cuộc tấn công theo kiểu Man-in-the-Middle Attack giống như một người nào đó giả mạo danh tính để đọc các tin nhắn của bạn.Và người ở đầu kia tin rằng đó là bạn Cuộc tấn công này không chỉ diễn ra trong quá trình truyền thông giữa các thiết bị, mà còn có thể xảy ra ở bất cứ nơi nào hai hệ thống đang trao đổi dữ liệu

Một số ví dụ về các cuộc tấn công là nghe trộm (eavesdropping), tấn công giả mạo ARP Cache, DNS Spoofing, chiếm quyền điều khiển (hijacking) HTTP session

 Hậu quả của tấn công MitM

+ Kẻ tấn công chiếm quyền điều khiển session kẻ tấn công với ý định xấu có thể truy cập vào tài khoản ngân hàng trực tuyến, email của người dùng hoặc thậm chí

cả các ứng dụng nhảy cảm trong mạng nội bộ

+ Đánh cắp Cookies bằng Hamster và Ferret

Câu 10: Tấn công SQL injection là gì? SQL injection chủ yếu nhằm vào những đối tượng nào?

 SQL injection – còn được gọi là SQLi

“SQL injection là một kỹ thuật cho phép những kẻ tấn công lợi dụng lỗ hổngcủa việc kiểm tra dữ liệu đầu vào trong các ứng dụng web và các thông báo lỗicủa hệ quản trị cơ sở dữ liệu trả về để inject (tiêm vào) và thi hành các câu lệnhSQL bất hợp pháp, Sql injection có thể cho phép những kẻ tấn công thực hiệncác thao tác, delete, insert, update,… trên cơ sỡ dữ liệu của ứng dụng, thậm chí

là server mà ứng dụng đó đang chạy, lỗi này thường xãy ra trên các ứng dụngweb có dữ liệu được quản lý bằng các hệ quản trị cơ sở dữ liệu như SQL Server,MySQL, Oracle, DB2, Sysbase

Các dạng tấn công: Dạng tấn công vượt qua kiểm tra đăng nhập; dạng tấn công sử dụng câu lệnh select; dạng tấn công sử dụng câu lệnh insert; dạng tấn công sử dụngcâu lệnh spored procerudes

 SQL injection chủ yếu nhằm vào

Các trang web chứa thông tin tài khoản quan trọng của người dùng trên các trang web thương mại điện tử

Các công ty, web lưu trữ có sở dữ liệu

Câu 11: Phân biệt tấn công từ chối dịch vụ (DOS) và tấn công từ chối dịch vụ phân tán (DDOS), cách nhận biết và phòng tránh bị tấn công từ chối dịch vụ ?

- Dos (Denial of serice) DoS

Là dạng tấn công làm cho các hệ thống máy chủ, trang web bị tê liệt không thể đápứng lại các yêu cầu của người dùng Đây là một trong các hình thức tấn công đemlại hiệu quả cao cho các hacker cũng như là giải pháp sau cùng nêu như không tìmđược cách nào đột nhập vào mục tiêu DOS đánh vào bản chất tự nhiên của mộtquá trình truyền thông của client và server, nếu có quá nhiều clicent truy cập thìserver sẽ bị quá tải, buộc lòng phải từ chối các yêu cầu truy cập khác DOS thườngchỉ được tấn công từ một địa điểm duy nhất, tức là nó xuất phát tại một điểm và chỉ

có một dải IP Có thể phát hiện và ngăn chặn được

- Ddos (Distributed Denial Of Service)

Là một dạng tấn công nhằm gây cạn kiệt tài nguyên hệ thống máy chủ và làm ngậplưu lượng băng thông internet, khiến truy cập từ người dùng tới máy chủ bị ngắtquãng, truy cập chập chờn thậm chí không thể truy cập được internet, làm tê liệt hệthống, hoặc thậm chí là cả mạng nội bộ

DDOS mạnh hơn DOS rất nhiều, điểm mạnh của hình thức này là được phân tán từnhiều dải IP khác nhau, Chính vì thế người bị tấn công rất khó để phát hiện và ngănchặn Hạker không chỉ sử dụng máy tính của họ để thực hiện một tấn công vàotrang web hay một hệ thống mạng nào đó mà còn lợi dụng hàng triệu máy tính khác

để thực hiện việc này

 Sự khác nhau:

Trong cuộc tấn công DoS, một máy tính hoặc một kết nối Internet được sử dụng làm ngập lụt máy chủ với các gói tin, với mục đích làm quá tải băng thông và tìa nguyên máy chủ

Tấn công DDoS, sử dụng rất nhiều thiết bị và kết nối Internet, thường phân tán toàncầu với hệ thống botnet Do đó tấn công DDoS thường khó đối phó hơn, nạn nhân

sẽ bị tấn công bởi request từ hàng trăm đến hàng ngàn nguồn khác nhau

DoS là dạng tấn công khi hacker sử dụng một máy tính để tiến hành, còn DDoShay Distribute Denial of Services (tấn công từ chối dịch vụ phân tán) là khihacker tiến hành tấn công DoS từ nhiều máy tính khác nhau, thông thường làmột hệ thống mạng botnet

 Cách nhận biết tấn công từ chối dịch vụ DOS

+ Mạng chậm bất thường khi mở file hoặc website/ blog

+ Lượng thư rác tăng đột biến

+ Không truy cập được vào một trang web/blog nào đó

+ Không truy cập được vào một trang web/blog nào cả

 Cách phòng tránh tấn công từ chối dịch vụ DOS

+ Sử dụng công cụ Host-auditing tin trên hệ thống để tìm ra các botnet nguy hiểm.+ Thường xuyên cập nhật hệ thống : Cập nhật các bản vá lỗi mới nhất cho hệ thống

và ứng dụng liên quan

+ Tắt các dịch vụ không cần thiết : Đóng các cổng hay tắt những dịch vụ không cầnthiết hay hạn chế sự dụng những chức năng như get, strcpy …

+ Sử dụng các chương trình dò tìm công cụ DoS : Thường xuyên quét tìm các công

cụ DoS trên hệ thống với những chương trình thích hợp như Find_ddos, SARA, Zombi Zapper để phát hiện và xử lý kịp thời các mầm mống gây nên sự cố từ chối dịch vụ

+ Sử dụng công cụ Network-auditing : Chạy các chương trình quét mạng để phát hiện các agent (các thành viên của mạng botnet) và loại bỏ chúng

Câu 12: Các giai đoạn tấn công mạng? 5

- Giai đoạn 1: Reconnaissance là giai đoạn thu thập thông tin chuẩn bị tấn công

Thu tập thông tin hệ thống có thể phân ra làm hai loại

+ Thụ động (Passive Reconnaissance): theo seamoun thì có thể gọi bằng một cái tên mộc mạt là "cưỡi ngựa xem hoa hệ thống" Việc thu tập thông tin ở loại này là khảo sát sơ bộ tổ chức như là thông tin chung, vị trí địa lý, điện thoại, email của các

cá nhân, người điều hành, trong tổ chức Các bạn hỏi tại sao phải thu tập những thông tin như điện thoại, email của những người trong tổ chức này làm cái quái gì ?

Nó sẽ rất hữu ích khi thực hiện social engineering attack (seamoun sẽ đề cập sau này)

+ Chủ động (Active Reconnaissance) thu thập những thông tin sát với hệ thốngnhư IP

Cả hai hình thức chủ động và bị động thường được các kẻ tấn công sử dụng đểtìm kiếm thông tin hữu ích về máy chủ web hay hệ điều hành đang sử dụng.Reconnaissance cũng được thực hiện bởi các chuyên gia bảo mật trong tiến trình

tấn công thử nghiệm gọi là penetration test hay pentest Tuy nhiên, pentest làhành động hợp pháp nên người thực hiện là penetration tester thường sử dụngactive reconnaissance để nhanh chóng thu nhận kết quả.

- Giai đoạn 2: Scanning Quét và rà soát hệ thống

Là quá trình thuộc giai đoạn thu thập thông tin reconnaissance Một số phương pháp quét: quét cổng, quét mạng, và quét các điểm yếu trên hệ thống Các hacker tiến hành scanning bằng các chương trình quét lỗi hệ thống, quét địa chỉ IP hay các cổng đang mở bằng ứng dụng Nmap, là Acunetix Web Vulnerability Scanner, hay Angry Ip Scan

- Giai đoạn 3: Tấn công và chiếm quyền điều khiển (Gainning access)

Là quá trình thâm nhập mục tiêu khi quá trình khai thác và tấn công thành công Lúc này hacker sẽ xâm nhập vào hệ thống và tiến hành các hành động đánh cắp tập tin mật khẩu hay phá hủy dữ liệu, chạy những chương trình nguy hiểm, leo thang đặc quyền để có thể truy cập vào các khu vực thông tin bí mật Muốn thâm nhập thành công hacker cần sử dụng thông tin mà tiến trình reconnaissance và scanning thu thập được, dựa trên các thông tin này hacker sẽ xác định phương án tấn công hợp lý như sử dụng mã khai thác lỗi tràn bộ đệm (buffer overflow), hay chiếm quyền sử dụng của phiên làm việc của người dùng (session hijacking)

- Giai đoạn 4: Duy trì và điều khiển hệ thống (Maitanining access)

Một khi đa xâm nhập hệ thống thành công hacker thường cài đặt chương trìnhgián điệp để có thể duy tri sự kiểm soát, nghe lén thông tin người dùng nhập vào

từ bàn phím hay mơ các công hậu để có thể quay lại vào các lần sau, công đoạnnày được gọi là maintaining access Những mã độc nguy hiểm các hacker dùng

để cấp vào máy tính bị tấn công được gọi là trojan hay backdoor

- Giai đoạn 5: Xóa dấu vết (clearing tracks)

Sau khi bị tấn công thì hệ thống sẽ lưu lại những dấu vết do attacker để lại

Attacker cần xóa chúng đi nhằm tránh bị phát hiện

Câu 13 Cho biết tấn công Zero-day là gì và làm thế nào để hạn chế tối đa khả năng hệ thống bị tấn công Zero-day?

 Lỗ hổng Zero-day (hay 0-day)

Là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến

và chưa được khắc phục Chúng tồn tại trong nhiều môi trường như: website, ứngdụng mobile, hệ thống mạng doanh nghiệp, phần mềm – phần cứng máy tính, thiết

bị IoT, cloud, v.v…

 Tấn công zero-day

Các Hacker có thể tận dụng lỗ hổng zero-day để tấn công xâm nhập vào hệ thốngmáy tính của doanh nghiệp, tổ chức để đánh cắp hoặc thay đổi dữ liệu Một cuộctấn công khai thác lỗ hổng zero-day gọi là zero-day exploit hoặc zero-day attack.

Sự khác nhau giữa một lỗ hổng bảo mật thông thường và một lỗ hổng zero-day nằm

ở chỗ: Lỗ hổng Zero-day là những lỗ hổng chưa được biết tới bởi đối tượng sở hữuhoặc cung cấp sản phẩm chứa lỗ hổng

Thông thường ngay sau khi phát hiện ra lỗ hổng 0-day, bên cung cấp sản phẩm sẽ tung ra bản vá bảo mật cho lỗ hổng này để người dùng được bảo mật tốt hơn Tuy nhiên trên thực tế, người dùng ít khi cập nhật phiên bản mới của phần mềm ngay lập tức Điều đó khiến cho Zero-day được biết đến là những lỗ hổng rất nguy hiểm,

có thể gây thiệt hại nghiêm trọng cho doanh nghiệp và người dùng

 Để hạn chế tối đa khả năng hệ thống bị tấn công Zero-day

+ Cập nhật phần mềm và hệ điều hành: Điều này giúp giảm thiểu nguy cơ lây

nhiễm phần mềm độc hại và rủi ro bị tin tặc khai thác lỗ hổng Các bản cập nhật phần mềm thường bao gồm các bản vá lỗ hổng bảo mật quan trọng nhất mới được phát hiện gần đây từ nhà sản xuất Ngoài ra, cần liên tục cập nhật hệ điều hành máytrạm và máy chủ (windows, macOS, linux,…) để tránh những rủi ro tấn công zero-day và n-day có thể xảy ra Điều này đồng nghĩa với việc không sử dụng phần mềm

và hệ điều hành không có bản quyền, bởi sẽ rất khó khăn trong quá trình cập nhật

+ Triển khai hệ thống IDS và IPS: Hệ thống phát hiện xâm nhập (IDS) và Hệ

thống ngăn chặn xâm nhập (IPS) có thể bảo vệ hệ thống chống lại những kẻ xâm nhập đã biết và chưa biết Chúng có thể không phát hiện ra các mối đe dọa mọi lúc,nhưng chúng sẽ cảnh báo về các hoạt động đáng ngờ của tin tặc

+ Sử dụng phần mềm quét lỗ hổng bảo mật: Lớp phòng thủ thứ hai bạn nên có là

các phần mềm bảo mật chuyên dụng Việc có một ứng dụng bảo mật tự động giúp giảm thiểu chi phí đáng kể so với các dịch vụ tư vấn từ chuyên gia Quan trọng hơn, các ứng dụng này giúp bạn sớm phát hiện lỗ hổng bảo mật trên website và đưa

ra những khuyến cáo phù hợp để giải quyết chúng kịp thời

+Triển khai bộ công cụ kiểm soát truy cập mạng: Kiểm soát truy cập mạng

(NAC) là một phương pháp để triển khai các chính sách bảo mật hoặc ngăn chặn trên network Nó giúp bảo vệ các hệ thống quan trọng nhất của bạn tách biệt khỏi các hệ thống khác Vì vậy, NAC có thể cấm các hệ thống bị tấn công truy cập vào

các hệ thống quan trọng để phòng tránh rủi ro bị tấn công zero-day cho toàn hệ thống.

Câu 14 Backdoor malware hoạt động như thế nào?

Malware là một tập hợp các phần mềm độc hại trong đó mỗi mẫu có cùng một sốlượng mã đáng kể với những mẫu khác Để dễ hình dung hãy xem ví dụ thực tế sau.Hiện nay có hàng loạt các máy tính bảng được bán Bao gồm iPad của Apple,Galaxy Tab của Samsung và Surface của Microsoft Mặc dù tất cả đều là máy tínhbảng, nhưng về thành phần nhưng chúng khá khác nhau Tuy nhiên, chúng ta có thểthấy iPad 1 và iPad 2 khá giống nhau về thành phần cấu tạo, giống hơn nhiều khi sosánh giữa iPad 1 và Microsoft Surface Điều này tạo nên các “họ” iPad và “họ”Surface

Beachhead backdoors thường chỉ có các tính năng tối thiểu Chúng cung cấpcho kẻ tấn công phương tiện để thực hiện các nhiệm vụ đơn giản như lấy các tậptin, thu thập thông tin cơ bản của hệ thống và khởi động các hành động khác quantrọng hơn như một backdoor chuẩn

Câu 15: Hãy cho biết các đặc điểm đặc trưng của Scripting virus Nêu dẫn chứng thực tế về tình huống cho thấy client bị nhiễm Scripting virus?

 Scripting virus

Là loại virus được viết bằng các ngôn ngữ script (kịch bản) như VBScript,JavaScript, Batch script Những loại virus này thường có đặc điểm dễ viết, dễcài đặt Chúng thường tự lây lan sang các file script khác, thay đổi nội dung cảcác file html để thêm các thông tin quảng cáo, chèn banner … Đây là một loạivirus phát triển nhanh chóng nhờ sự phổ biến của Internet

Các virus này có trong các chương trình được sử dụng để hiển thị một trang web

Vị trí hiển thị hình ảnh, video, các liên kết và bố cục của trang web đều sử dụng coding Các phần thông tin này có thể thay đổi nhằm tấn công máy tính của bạn khibạn click vào link hoặc website độc hại Một trang web có thể vô tình lưu trữ mã độc do bên thứ ba thêm vào, vì vậy bạn nên cẩn thận khi truy cập bất kỳ trang web nào Các chương trình bảo vệ chất lượng thường sẽ có các tính năng phát hiện website độc hại đi kèm

 Client bị nhiễm Scripting virus: