BÀI TẬP LỚN PHÁT HIỆN MÃ ĐỘC TRONG IOT

Tuy vậy, với một hệ sinh thái phức tạp, IoT tồn tại hàng loạt lỗ hổng an ninh cóthể bị khai thác và gây ảnh hưởng trực tiếp đến dữ liệu riêng tư của người sử dụng.Một nghiên cứu gần đây

HỌC VIỆN KỸ THUẬT MẬT MÃ

BÀI TẬP LỚN

PHÁT HIỆN MÃ ĐỘC TRONG IOT

Giảng viên hướng dẫn:

Thành viên:

Hà Nội, 10/2019

MỤC LỤC

DANH MỤC CHỮ VIẾT TẮT 1

DANH MỤC HÌNH VẼ 2

MỞ ĐẦU 3

CHƯƠNG I: TỔNG QUAN VỀ INTERNET OF THINGS 4

1 Giới thiệu 4

2 Lịch sử phát triển của IOT 5

3 Xu hướng phát triển 5

4 Kiến trúc hệ thống IoT 6

5 Kiến trúc an ninh trong IoT 7

CHƯƠNG II: NGUY CƠ MÃ ĐỘC TRONG IOT 8

I Tổng quan về mã độc trong IoT 8

II Các nguy cơ lây nhiễm mã độc trong IoT 1 Các thiết bị IoT luôn nhiều lỗ hổng 10

2 Phần mềm trong thiết bị IoT 11

3 Phần mềm trong phần mềm 12

4 Phần mềm trong phần cứng 13

CHƯƠNG III: PHÁT HIỆN VÀ PHÒNG CHỐNG MÃ ĐỘC TRONG IOT 18

I PHÁT HIỆN MÃ ĐỘC 18

1 Phân tích tĩnh 18

2 Phân tích động 18

II PHÒNG CHỐNG MÃ ĐỘC TRONG IOT 19

1 Xây dựng chính sách phòng chống mã độc 19

2 Tuyên truyền nâng cao nhận thức người dùng 21

3 Quản lý các lỗ hổng 22

4 Triển khai các công nghệ phòng chống mã độc 22

4.1 Phần mềm Anti-virus 22

4.2 Phần mềm phát hiện phần mềm gián điệp 23

4.3 Hệ thống phòng chống xâm nhập mạng 24

4.4 Tường lửa và bộ định tuyến 24

KẾT LUẬN 25

DANH MỤC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt

PKI Public key infrastructure Hạ tầng khóa công khai

API Application Programming Interface Giao diện lập trình ứng

dụng

DANH MỤC HÌNH

Hình 1.1 Internet of things 4

Hình 1.2 Mô hình kiến trúc một hệ thống Iot 7Hình 1.3 Mô hình kiến trúc an ninh trong IoT 8Y

Hình 2 1 Tiến hóa mẫu phần mềm độc hại của Android 11Hình 2 2 Phân tích sức mạnh khác nhau 14

Trong quá trình phát triển của con người, những cuộc cách mạng về công nghệđóng một vai trò rất quan trọng, chúng làm thay đổi từng ngày từng giờ cuộc sống củacon người, theo hướng hiện đại hơn Đi đôi với quá trình phát triển của con người,những thay đổi do chính tác động của con người trong tự nhiên, trong môi trườngsống cũng đang diễn ra, tác động trở lại chúng ta, như ô nhiễm môi trường, khí hậuthay đổi, v.v Dân số càng tăng, nhu cầu cũng tăng theo, các dịch vụ, các tiện ích từ

đó cũng được hình thành và phát triển theo Đặc biệt là áp dụng các công nghệ củacác ngành điện tử, công nghệ thông tin và truyền thông vào trong thực tiễn cuộc sốngcon người Công nghệ Internet of Things (IoT) được kỹ thuật điện tử, tin học và viễnthông tiên tiến vào trong mục đích nghiên cứu, giải trí, sản xuất, kinh doanh, v.v ,phạm vi này ngày càng được mở rộng, để tạo ra các ứng dụng đáp ứng cho các nhucầu trên các lĩnh vực khác nhau

Tuy vậy, với một hệ sinh thái phức tạp, IoT tồn tại hàng loạt lỗ hổng an ninh cóthể bị khai thác và gây ảnh hưởng trực tiếp đến dữ liệu riêng tư của người sử dụng.Một nghiên cứu gần đây của OWASP (Open Web Application Security Project) đãchỉ ra rằng 75% thiết bị IoT bao gồm cả các thiết bị được tích hợp trong giao thông tựhành, các hệ thống giám sát, nhà thông minh có nguy cơ bị tin tặc tấn công và xâmhại Các phương pháp bảo mật truyền thống như IPSec, PKI, cơ chế trao đổi khóaDiffie-Hellman đòi hỏi khối lượng tính toán lớn và không phù hợp để tích hợp trongcác thiết bị IoT vốn bị hạn chế về hiệu năng, năng lượng và không gian lưu trữ Bêncạnh đó, sự bất đồng nhất về chuẩn giao thức, cơ sở hạ tầng giữa các nhà sản xuấtcũng dẫn đến nhiều khó khăn đối với việc xây dựng một giải pháp hoàn thiện về anninh cho mạng IoT hiện đại

Mục đích nghiên cứu

Tìm hiểu, phát hiện và đưa ra được những giải pháp phòng chống mã độc trongIoT

CHƯƠNG I: TỔNG QUAN VỀ INTERNET OF THINGS

1 Giới thiệu

Internet of Things (IoT – Internet vạn vật) là một kịch bản mà mỗi đồ vật, conngười được cung cấp một định danh riêng, có khả năng truyền tải, trao đổi thông tingiao tiếp với nhau mà không cần sự can thiệp của con người

Các đối tượng/đồ vật hoạt động tự động và giao tiếp với các đối tượng khácthông qua môi trường mạng Các nút IoT có khả năng cung cấp dữ liệu nhẹ, truy cập

và ủy quyền các tài nguyên dựa trên đám mây để thu thập, trích xuất dữ liệu và đưa raquyết định bằng cách phân tích dữ liệu được thu thập

Sự xuất hiện của IoT đã dẫn đến sự kết nối lan tỏa của con người, dịch vụ, cảmbiến và đối tượng IoT hiện nay là một trong các nền tảng của nhà thông minh, thànhphố thông minh, các hệ thống quản lý năng lượng thông minh hay các hoạt độngchăm sóc sức khỏe tiến tới xa hơn là nền tảng của công nghệ 4.0 Hơn nữa, sự phụthuộc của các thiết bị IoT vào cơ sở hạ tầng đám mây để truyền tải, lưu trữ và phântích dữ liệu đã dẫn đến sự phát triển của các mạng IoT hỗ trợ đám mây Từ đó làmtiền đề phát triển sâu và rộng hơn

Hình 1.1 Internet of things

2 Lịch sử phát triển của IOT

Internet of Things – IoT được đưa ra bởi các nhà sáng lập của MIT Auto-IDCenter đầu tiên, năm 1999 Kevin Ashton đã đưa ra cụm từ Internet of Things nhằm đểchỉ các đối tượng có thể được nhận biết cũng như sự tồn tại của chúng Thuật ngữAuto-ID chỉ tới bất kỳ một lớp rộng của các kỹ thuật xác minh sử dụng trong côngnghiệp để tự động hóa, giảm các lỗi và tăng hiệu năng Các kỹ thuật đó bao gồm các

mã vạch, thẻ thông minh, cảm biến, nhận dạng tiếng nói, và sinh trắc học Từ năm

2003 Kỹ thuật Auto-ID trong các hoạt động chính là Radio Frequency Identification –RFID

Đỉnh cao của Auto-ID Center là vào tháng 9/2003, khi hội nghị chuyên đề EPC(Electronic Product Code) tổ chức tại Chicago (Illinois, Mỹ) đánh dấu sự xuất hiệnchính thức của hệ thống mạng EPC – một cơ sở hạ tầng kỹ thuật mở cho phép cácmáy tính tự động xác định các vật thể nhân tạo và theo dõi chúng khi chúng đi từ nhàmáy tới trung tâm phân phối để lưu trữ trên các giá Hội nghị được hỗ trợ bởi nhiềucông ty lớn trên thế giới – đại diện cho thực phẩm, hàng hóa tiêu dùng, công nghiệpbán lẻ, vận tải và dược phẩm, trong số nhiều đại diện khác – sự nổi bật của RFID chothấy nó sẽ trở thành chìa khóa cho phép các kỹ thuật để phát triển kinh tế trong 55năm tới Xem xét hội nghị trong các giai đoạn lịch sử, Kevin Ashton đã dự đoán sựthay đổi từ máy tính xử lý thông tin sang máy tính có cảm nhận

Mục đích của phòng Lab Auto-ID là phát triển một mạng lưới kết nối các máytính với các vật thể – không chỉ phần cứng hay phần mềm để vận hành mạng, mà làmọi thứ cần thiết để tạo ra Internet of Things, bao gồm phần cứng phù hợp, phần mềmmạng, các giao thức, và các ngôn ngữ mô tả các đối tượng theo các cách máy tính cóthể hiểu được Lưu ý rằng Auto-ID Labs không tìm cách tạo ra mạng toàn cầu khác

mà xây dựng các thành phần xây dựng đỉnh cao của Internet

3 Xu hướng phát triển

Với sự phát triển của Internet, smartphone và đặc biệt là các thiết bị cảm biến,Internet of Things đang trở thành xu hướng mới của thế giới Internet of Things đượcđịnh nghĩa là những vật dụng có khả năng kết nối Internet Ý tưởng nhà thông minhnhư vào nhà, mở khóa cửa, đèn sẽ tự động sáng chỗ đứng, điều hòa sẽ tự động điềuchỉnh nhiệt độ, nhạc sẽ tự động bật để chào đón…những điều chỉ có trong phim khoahọc viễn tưởng, đang dần trở thành hiện thực với công nghệ Internet of Things

Các thiết bị Internet of Things được vận hành nhờ những bộ vi xử lý SOC bêntrong Không như những bộ vi xử lý thông thường, tính trọn vẹn được thu gọn trongdiện tích của một con chip điện tử, có kết nối không dây và đảm bảo tiết kiệm điện

Dù nhỏ gọn, sức mạnh của các vi xử lý SOC là không phải bàn cãi khi nó hoàn toàn

có thể vận hành trơn tru những hệ điều hành nặng nề như Windows hay Linux SOCrất phổ biến trong bên trong các linh kiện điện thoại.

Theo dự báo của IDC, thị trường Internet of Things được dự báo sẽ tăng gấp 3lần, đạt 1,7 nghìn tỉ USD vào năm 2020 Không ít các doanh nghiệp lớn đã nhìn thấytiềm năng của Internet of Things và mạnh dạn đầu tư vào đây.Tuy nhiên, cũng giốngnhư bất kỳ một công nghệ mới nào, Internet of Things sẽ cần một nền tảng để vậnhành.Và các doanh nghiệp công nghệ hiểu rằng, ai tạo ra được nền tảng dẫn đầu, họ

sẽ là người chiến thắng trong xu hướng mới này

4 Kiến trúc hệ thống IoT

Các vật thể kết nối Internet (Things) đề cập đến các thiết bị có khả năng kếtnối, truyền thông tin và thực hiện nhiệm vụ được xác định của nó như đồng hồ, điệnthoại thông minh, đồ gia dụng, đèn chiếu sáng, đo năng lượng hoặc các thiết bị cảmbiến để thu thập thông tin khác

Các Gateway đóng vai trò là một trạm trung gian, tạo ra kết nối giữa các vật thểvới điện toán đám mây một cách bảo mật và dễ dàng quản lý Nói cách khác,Gateway là cửa sổ của hệ thống IoT nội bộ với thế giới bên ngoài Các công nghệtruyền dữ liệu được sử dụng như GSM, GPRS, cáp quang hoặc các công nghệ internetkhác

Hạ tầng mạng và điện toán đám mây (Network and Cloud): Cơ sở hạ tầng mạngbao gồm thiết bị định tuyến (Router), chuyển mạch (Switch), thiếp bị lặp (Repeater)

và nhiều thiết bị khác được dùng để kiểm soát lưu lượng dữ liệu, được kết nối đếnmạng lưới viễn thông và triển khai bởi các nhà cung cấp dịch vụ Trung tâm dữ liệu

và hạ tầng điện toán đám mây bao gồm một hệ thống lớn các máy chủ, hệ thống lưutrữ và kết nối các mạng ảo hóa Công nghệ không dây như Bluetooth, Smart, Zigbee,subGhz, Wi-Fi giúp tạo ra kết nối giữa các thiết bị hoặc giữa thiết bị với mạngInternet Hệ thống điều khiển được sử dụng để giám sát các mạng IoT thông qua côngnghệ không dây, có thể là một thiết bị chuyên dụng như điều khiển từ xa (Remote),điện thoại thông minh (Smartphone) và máy tính bảng (Tablet)

Các lớp tạo và cung cấp dịch vụ (Services-Creation and Solutions Layers) gồmcác API (Application Progmraming Interface) hỗ trợ cho công tác quản lý, phân tích

dữ liệu và tận dụng hệ thống tài nguyên sẵn có một cách hiệu quả và nhanh chóng

Hình 1.2 Mô hình kiến trúc một hệ thống IoT

5 Kiến trúc an ninh trong IoT

Cũng như các hệ thống truyền thống khác, mục đích cuối cùng của an ninhtrong IoT là đảm bảo tính bảo mật, toàn vẹn, tính sẵn sàng, xác thực dữ liệu và thôngtin Trong cơ chế này, kiến trúc an ninh trong IoT có thể chia thành 4 phần chính vớicác yêu cầu khác nhau như mô hình trong Hình để duy trì tính bảo mật và đảm bảo antoàn thông tin cho người sử dụng

- Tầng cảm quan thực hiện thu thập thông tin về các thuộc tính đối tượng vàđiều kiện môi trường từ các thiết bị cảm biến Yêu cầu về an ninh tại tầng này baogồm

+ Chứng thực (Authentication) giúp ngăn chặn các truy cập bất hợp pháp vào

hệ thống IoT;

+ Mã hóa (Encryption) đảm bảo tính bảo mật khi truyền tải thông tin

+ Thảo thuận khóa (Key agreement) được thực hiện trước khi mã hóa để cungcấp các khả năng an ninh mạng nâng cao

Các khóa hạng nhẹ có thể được sử dụng để tối ưu hóa việc sử dụng tài nguyên

và nâng cao hiệu năng của hệ thống

- Tầng mạng truyền tải thông tin dựa trên cơ sở hạ tầng mạng cơ bản như mạngInternet, mạng truyền thông di động, vệ tinh, mạng không dây và các giao thức truyềnthông Các cơ chế bảo mật hiện tại khó có thể áp dụng đối với tầng này Nguyên nhânchính là do các thiết bị IoT có nguồn năng lượng thấp, dễ tổn hao, khả năng tính toánhạn chế dẫn đến khó khăn trong việc xử lý các thuật toán với độ phức tạp cao

- Tầng hỗ trợ được tổ chức theo nhiều cách thức khác nhau, phù hợp với dịch

vụ cung cấp như phân tải và xử lý dữ liệu Tầng hỗ trợ có thể bao gồm phần sụn(Middleware), M2M (Machine to Machine) hoặc nền tảng điện toán đám mây

Hầu hết các giao thức mã hóa, kỹ thuật bảo mật, phân tích mã độc đều đượctriển khai tại tầng này

- Tầng ứng dụng tạo ra các ứng dụng người dùng Để giải quyết vấn đề an toàntại tầng này, cần quan tâm hai vấn đề:

+ Chứng thực và thỏa thuận khóa bất đối xứng qua mạng;

+ Bảo vệ quyền riêng tư của người dùng Ngoài ra, công tác quản lý như quản

lý mật khẩu cũng cần nhận được sự quan tâm đặc biệt

Hình 1.3 Mô hình kiến trúc an ninh trong IoT

CHƯƠNG II: NGUY CƠ MÃ ĐỘC TRONG IOT

I Tổng quan về mã độc trong IoT

Cuộc cách mạng công nghiệp lần thứ tư có thể được hiểu như là sự phát triển vượtbậc của một loạt các công nghệ mới, xóa nhòa ranh giới giữa lĩnh vực vật lý, kỹ thuật

số, sinh học, và ảnh hưởng đến kinh tế, xã hội, giáo dục và cả chính trị Các lĩnh vựcchính đang được quan tâm trong cuộc cách mạng 4.0 bao gồm: Robotics, trí thôngminh nhân tạo, công nghệ nano, công nghệ sinh học, Internet vạn vật (IOT), in 3D,

và xe tự hành Trong đó các thiết bị IoT đóng vai trò vô cùng quan trọng

Sự phát triển nhanh chóng về số lượng của các thiết bị loT mang tới khả năngkết nối, trao đổi thông tin của mọi thiết bị với nhau thông qua mạng Internet Trong

đó có thiết bị được sử dụng phổ biến để kết nối nhiều thiết bị IoT với nhau là thiết bịđịnh tuyến (Router) Tuy nhiên, vấn đề bảo mật cho thiết bị định tuyến còn chưa đượcquan tâm đúng mức

Phần mềm độc hại từ lâu đã là một trong các mối nguy hại lớn nhất đối với các hệthống máy tính, nay đã chuyển sang cả các thiết bị IoT

Các thiết bị IoT bao gồm tất cả các thiết bị máy tính vật lý mạng có kết nốiinternet, như bộ định tuyến, máy ảnh web, điện thoại thông minh, thiết bị đầu cuốiđiểm bán hàng, thiết bị tự động hóa tòa nhà, thiết bị y tế, TV thông minh, thiết bị y tế,thiết bị nhà thông minh, ô tô, v.v Đặc biệt, liên quan đến thị trường điện thoại di độngtrên toàn thế giới, khoảng 1,4 tỷ điện thoại thông minh đã được bán trong năm 2015,theo các đánh giá được cung cấp bởi International Data Corporation (IDC) Ngoài ra,6,4 tỷ loT kết nối đã được báo cáo vào năm 2016 và số tiền 20,8 tỷ được ước tính sẽđược bán vào năm 2020

Một mặt, các thiết bị loT cung cấp các tính năng mở rộng, cùng với việc hỗ trợmột loạt các chức năng Nhưng mặt khác, mức độ bảo mật của họ vẫn còn thấp vớinhững điểm yếu nổi tiếng Trong một danh sách mở rộng các lỗ hổng đã được báocáo trên mỗi khu vực bề mặt, chẳng hạn như điểm yếu về phần mềm và phần cứng,vấn đề mã hóa, vấn đề bảo mật dữ liệu Khoảng 1 triệu mối đe dọa mới đã được phát

hành mỗi ngày trong năm 2014 Nghiên cứu sau đó, cho thấy rootkit, ransomware,bot, virus, sâu và trojan xếp hạng là phần mềm độc hại thường xuyên nhất.

Cùng với các mối đe dọa đối với phần mềm, các nghiên cứu gần đây đã chỉ rarằng các mối đe dọa phần cứng là có hại và đáng báo động Các thí nghiệm công nghệ

đã chứng minh khả năng giả mạo backdoor A2, trong quá trình chế tạo Ngoài ra, cáccuộc tấn công kênh bên có thể diễn ra trong các chức năng vật lý không thể xóa được(PUF) của thiết bị Tấn công kiểu này nhằm mục đích lấy khóa bí mật, được sử dụng

để mã hóa và giải mã dữ liệu Những cuộc tấn công này, được tập trung chủ yếu vàoviệc thực hiện vật lý của một hệ thống Ngoài ra, chúng có nguồn gốc từ nhiều lớp,được công nhận nhất bao gồm tấn công thời gian, tấn công giám sát năng lượng, tấncông điện từ, phân tích lỗi vi sai, v.v

II Các nguy cơ lây nhiễm mã độc trong IoT

1 Các thiết bị IoT luôn nhiều lỗ hổng

Hiện nay, có ít nhất 6 triệu thiết bị IoT mới xuất hiện mỗi ngày, điều này đồngnghĩa với sự xuất hiện các lỗ hổng mới Điển hình như năm ngoái, tại hội nghị tin tặcthế giới DefCon, các nhà nghiên cứu đã tìm thấy 47 lỗ hổng mới trong 23 thiết bị IoTcủa 21 nhà sản xuất

Các thiết bị IoT dễ bị lỗ hổng có thể do một số yếu tố như các nhà sản xuất cònthiếu kinh nghiệm trong việc bảo vệ sản phẩm, dung lượng giới hạn không cho phépthực hiện các cơ chế bảo mật, các thủ tục cập nhật phần mềm phức tạp và người dùngthiếu chú ý đến các mối đe dọa do các thiết bị IoT gây ra

Báo cáo về mối đe dọa an ninh mạng của SonicWall (PDF) cũng tiết lộ mức độgia tăng đáng báo động về tần suất mà các thiết bị IoT bị xâm phạm SonicWall đãquan sát thấy 13,5 triệu cuộc tấn công IoT trong nửa đầu năm 2019, đạt mức tăng55% so với sáu tháng đầu năm trước

Năm 2018, công ty đã ghi nhận 32,7 triệu cuộc tấn công như vậy, tương ứngvới mức tăng 215,7% so với 10,3 triệu cuộc tấn công IoT quan sát được vào năm

2017 Do đó, năm 2019 rất có khả năng lại là một năm kỷ lục khác về tình trạng lạmdụng IoT nếu sáu tháng cuối năm khớp với mức độ tăng đột biến của năm 2018

Báo cáo cũng tiết lộ, bất chấp những xu hướng kể trên, tổng số vụ tấn côngmalware đã giảm 20% trong nửa đầu năm 2019, đạt 4,78 tỷ, giảm từ 5,99 tỷ trong sáutháng đầu năm ngoái Đã có 10,52 tỷ cuộc tấn công được ghi nhận trong suốt năm

Xu hướng chung này đang diễn ra tại hầu hết các khu vực lớn, trừ một số quốcgia như Ấn Độ (25%), Thụy Sĩ (72%) và Hà Lan (3%) vẫn liên tục bị chịu ảnh hưởng

từ các vụ tấn công malware

Tổng lượng ransomware toàn cầu đạt mức 110,9 triệu trong nửa đầu năm 2019,đánh dấu mức tăng 15% kể từ đầu năm, chủ yếu đến từ sự leo thang của dịch vụransomware-as-a-service (RaaS) và bộ kit malware open-source Vương quốc Anhđược ghi nhận là quốc gia bị ảnh hưởng nhiều nhất trong năm nay với mức tăng 195%của các cuộc tấn công ransomware kể từ đầu năm

2 Phần mềm trong thiết bị IoT

Trong phần này, phân tích các loại phần mềm độc hại khác nhau có thể ảnhhưởng đến các ứng dụng phần mềm và thiết bị phần cứng Đối với lĩnh vực phầnmềm, một số nghiên cứu và ấn phẩm được thực hiện trong những năm qua đã chỉ rarằng các phần mềm độc hại, đặc biệt là trong các ứng dụng dựa trên Android, đã tănglên đáng kể Do đó, một sự gia tăng đáng chú ý đã được báo cáo trong năm 2015, đạtmức cao nhất trong quý đầu tiên (Q1) Như được hiển thị, trong Hình 1, sự xuất hiệncủa phần mềm độc hại mới trong các thiết bị Android cao hơn đáng kể (G DATA-Báo cáo phần mềm độc hại di động 2016) Trong nửa cuối năm 2015 và nửa đầu năm

2016, tỷ lệ lây nhiễm điện thoại thông minh tăng rõ rệt Trong bối cảnh này, một phầnmềm độc hại mới mẫu được phát hiện cứ sau 9 giây, theo các nhà phân tích bảo mật

Hình 2.1 Tiến hóa mẫu phần mềm độc hại của Android

Về mặt phần cứng, như các nghiên cứu đã chỉ ra, các cuộc tấn công chế tạo, cóthể diễn ra bằng cách giả mạo chip trong quá trình chế tạo và bằng cách tận dụng cácmạch tương tự Những thay đổi này có thể tạo điều kiện thuận lợi cho các cuộc tấncông íuture Mặt khác, nghiên cứu cũng đã chứng minh rằng trong trường hợp hack