Nghiên cứu các giải pháp phòng chống đánh trả trên mạng máy tính

Về phương diện phần mềm: Các hệ điều hành mạng nổi tiếng mới nhất như Windows 2000, Novel, Linux, Mac OS, Unix và các chương trình ứng dụng cũng không tránh khỏi còn tồn tại hàng loạt c

-

ĐINH VIẾT TUẤN

NGHIÊN CỨU CÁC GIẢI PHÁP PHÒNG CHỐNG ĐÁNH TRẢ TRÊN

MẠNG MÁY TÍNH

Chuyên ngành: Công nghệ thông tin LUẬN VĂN THẠC SĨ CÔNG NGHỆ THÔNG TIN

NGƯỜI HƯỚNG DẪN KHOA HỌC:

TS NGUYỄN LINH GIANG

Hà nội-2004

L ỜI CAM ĐOAN

Tôi tên là : Đinh Viết Tuấn

Ngày sinh : 18/08/1980

Địa chỉ : Số nhà 98 tổ 4 làng Thành Công – Ba Đình – Hà Nội

Hiện đang học lớp cao học CNTT-2002 tại Trường Đại học Bách khoa

Hà n ội

Tôi đã làm đồ án tốt nghiệp cao học CNTT với tên đề tài: “Nghiên cứu các giải pháp phòng chống đánh trả trên mạng máy tính”, do thầy giáo TS

Nguyễn Linh Giang hướng dẫn

Tôi xin cam đoan là đồ án tốt nghiệp là do tôi làm là đúng sự thật, nếu sai tôi hoàn toàn ch ịu trách nhiệm trước trường, pháp luât

Hà N ội, ngày tháng năm 2004

Người cam đoan

Đinh Viết Tuấn

Tác giả xin chân thành cảm ơn

Mục lục

DANH MỤC CÁC TỪ VIẾT TẮT TRONG ĐỒ ÁN 6

LỜI MỞ ĐẦU 8

CHƯƠNG I: NGHIÊ N CỨU TỔNG HỢP CÁC DẠNG CHIẾN TRANH THÔNG TIN TRÊN MẠNG 10

I.1 Các điểm yếu của mạng máy tính 10

I.2 Hiểm hoạ chiến tranh thông tin trên mạng 18

I.3 Các dạng chiến tranh thông tin trên mạng máy tính 26

I.3.1 Các đối tượng tấn công mạng máy tính 26

I.3.1.1 Hacker 26

I.3.1.2 Các nhân viên không hiểu biết (Unaware Staff) 26

I.3.1.3 Snoop 27

I.3.2 Các dạng hành động tấn công mạng 28

I.3.2.1 Tấn công trực tiếp 28

I.3.2.2 Nghe trộm 29

I.3.2.3 Giả mạo địa chỉ 29

I.3.2.4 Tấn công từ chối dịch vụ (denial of service) 30

I.3.2.5 Tấn công vào yếu tố con người (Social Engineering) 31

I.3.3 Một số phương pháp tấn công khác 31

I.3.3.1 Sử dụng virus máy tính 32

I.3.3.2 Sử dụng chương trình worm 32

I.3.3.3 Sử dụng chương trình trojan (Trojan Horse) 33

I.3.3.4 Kẻ phá hoại (Vandal) 33

I.3.4 Một vài dạng tấn công thông thường trên Internet 34

Kiểu tấn công từ chối dịch vụ - Denial of Service 34

I.3.4.2 Chặn bắt gói tin (Network Packet Sniffing) 35

I.3.4.3 Giả mạo địa chỉ IP 35

I.3.4.4 Xáo trộn và phát lại thông tin 36

I.3.4.5 Bom thư 37

CHƯƠNG II: CÁC KỸ THUẬT TẤN CÔNG VÀ PHƯƠNG THỨC PHÒNG CHỐNG 38

II.1 Qui trình tấn công một mạng máy tính 38

II.2 Kỹ thuật tấn công từ chối dịch vụ DoS (Denial of Service) 42

II.2.1 Tiêu thụ băng thông 43

II.2.2 Tiêu thụ tài nguyên 44

II.2.3 Tấn công vào các khe hở lập trình 44

II.2.4 Tấn công DNS và các bộ định tuyến 45

II.3 Các cuộc tấn công DoS 46

II.3.1 Cuộc tấn công Smurf 47

II.3.2 Tấn công làm ngập SYN 50

II.3.3 Cuộc tấn công DNS 52

II.3.4 Tấn công DoS vào hệ thống UNIX và Windows NT 52

II.3.5 Các cuộc tấn công DoS từ xa 53

II.3.5.1 Phủ chồng các mảnh IP 53

II.3.5.2 Rò rỉ bộ nhớ trong WindowsNT 54

II.3.5.3 Tấn công DoS tràn vùng đệm trong US FTP Server 54

II.3.6 Các cuộc tấn công DoS cục bộ 55

II.3.7 Tấn công bằng tự chối dịch vụ theo dây chuyền: DDOS 56

II.4 Kỹ thuật tấn công thiết bị mạng 59

II.4.1 Định danh hệ điều hành 64

II.4.2 Rò rỉ gói tin Cisco 65

II.4.3 Ascend 68

II.4.4 Bay 68

II.4.4 Các bộ chuyển mạch 3Com 71

II.4.5 Các bộ định tuyến Bay 73

II.4.6 Các mật hiệu bộ định tuyến Cisco 73

II.4.7 Webramp 74

II.4.8 Dùng chung và chuyển mạch 81

II.4.9 Chốt giữ thông tin SNMP 83

II.4.10 Đánh lừa RIP 85

II.5 Kỹ thuật tân công mạng quay số 86

II.5.1 In dấu ấn số điện thoại 87

II.5.2 Quay số trực chiến 89

II.5.2.1 Phần cứng 89

II.5.2.2 Phần mềm 90

II.5.2.3 Các kỹ thuật khai thác tín hiệu tải 90

CHƯƠNG III: NGIÊN CỨU PHÂN TÍCH MỘT SỐ CÔNG CỤ TRINH SÁT TRÊN MẠNG 95

III.1 Các công cụ quét mạng 95

III.1.1 Nguyên tắc quét thông tin cơ bản 95

III.1.2 Một số phương pháp quét phổ biến 95

III.1.2.1 Phương pháp quét TCP connect 96

III.1.2.2 Phương pháp quét TCP SYN 96

III.1.2.3 Phương pháp quét TCP FIN 97

III.1.2.4 Phương pháp quét phân đoạn 97

III.1.2.5 Quét đảo ngược TCP 98

III.1.2.6 Quét sử dụng những đặc điểm của giao thức FTP 98

III.2.1 Trojan là gì? 99

III.2.2 Các trojan truy cập từ xa 102

III.2.3 Trojan trộm mật khẩu 102

III.2.3.1 Keyloggers 102

III.2.3.2 Phá hoại 103

III.2.3.3 Trojan tấn công từ chối dịch vụ (DoS) 103

III.2.3.4 Proxy/Wingate Trojans 103

III.2.3.5 Trojan FTP 104

III.2.3.6 Tiêu diệt các phần mềm xác định 104

III.2.3.7 Tương lai của Windows Trojans 104

III.2.3.8 Quá trình lây nhiễm của Trojan 105

III.2.3.9 Các công cụ và kỹ thuật khai thác Trojan: 108

III.4 Các công cụ chặn bắt gói tin và mật khẩu trên mạng 110

III.4.1 Chặn gói tin 110

III.4.2 Trộm mật khẩu 111

CHƯƠNG IV: XÂY DỰNG MỘT SỐ CÔNG CỤ TẤN CÔNG TRÊN MẠNG 112

IV.1 Công cụ tấn công từ chối dịch vụ 112

IV.1.1 Gửi các gói tin IP 113

IV.1.2 Gửi các gói tin TCP 113

IV.1.3 Gửi các gói tin UDP 114

IV.1.4 Nhận xét về chương trình 116

IV.1.4.1 Ưu điểm 116

IV.1.4.2 Nhược điểm 117

IV.2 Đề xuất một mô hình trojan tiên tiến 117

IV.2.1 Mô hình trojan truyền thống 117

IV.2.2 Mô hình Trojan tiên tiến 118

IV.2.3 Giải pháp phòng chống 119

CHƯƠNG V: KẾT LUẬN 120

TÀI LIỆU THAM KHẢO 121

DANH MỤC CÁC TỪ VIẾT TẮT TRONG ĐỒ ÁN

1 CNTT Công N ghệ Thông Tin

2 CTTT C hiến Tranh Thông Tin

3 DDOS Distributed Denial Of Service

4 DOS Denial Of Service

5 FTP File Transfer Protocol

6 IDART Information Design Assurance Red Team

7 IP Internet Protocol

8 PC Personal Computer

9 SMTP Simple Mail Transfer Protocol

10 SNMP Simple Network Managment Protocol

11 TCP Transmision Control Protocol

DANH MỤC HÌNH TRONG ĐỒ ÁN

Hình I.1: Thiệt hại về tài chính gây ra bởi các kiểu tấn công 23

Hình I.2: Thiệt hại về tài chính gây ra bởi các kiểu tấn công 24

Hình I.3: Tổng số các trang Web bị tấn công trong năm 1999 và 2000 25

Hình I.4: Giả mạo địa chỉ IP 36

Hình II.1: Hậu quả của tấn công DoS vào DNS 46

Hình II.2: Kết nối TCP 50

Hì nh II.3: Sơ đồ tấn công DDoS 57

Hình IV.1: Chương trình SmartCraft 113

Hình IV.2: Mô hình trojan truyền thống 118

Hình IV.3: Mô hình trojan tiên tiến 119

LỜI MỞ ĐẦU

Sự phát triển của mạng máy tính đi vào chiều sâu làm cho việc khai thác, sử dụng tin tức ngày càng được mở rộng và có hiệu quả Với hơn 2 tỷ trang Web, mạng Internet là một nguồn thông tin rất lớn và hấp dẫn phục vụ con người nhưng cũng chính từ nguồn tài nguyên này đã nảy sinh một loại hình chiến tranh mới - chiến tranh thông tin, mà mục tiêu là đoạt được quyền khống chế thông tin trên mạng Cùng với sự phát triển nhanh chóng của công nghệ thông tin và Internet, vấn đề bảo mật thông tin trong các mạng nội bộ đã trở thành một trong những mối quan tâm hàng đầu Thống kê cho thấy, trung bình mỗi năm gần đây, các công ty và cơ quan nhà nước trên khắp thế giới đã phải chịu tổn thất hàng tỷ USD vì các cuộc đột nhập phá hoại và lấy cắp thông tin của các tin tặc Bất chấp việc các công ty đầu tư rất nhiều tiền bạc cho bảo mật mạng, con số các vụ đột nhập cùng hậu quả do chúng gây nên ngày càng tăng Đó cũng là nguyên nhân dẫn đến nhu cầu kiểm tra hiệu quả của hệ thống bảo mật mạng nội bộ của nhiều công ty hiện nay

Với xu hướng phát triển nhanh chóng của các hệ thống mạng và Internet, các máy tính nối mạng thường là nơi chứa đựng và truyền đi rất nhiều dữ liệu nhạy cảm về thương mại điện tử, tài chính, cá nhân (như số liệu về các thẻ tín dụng, thẻ rút tiền

tự động hay các tài khoản nhà băng) Đó là còn chưa kể đến một số lượng khổng lồ các tài liệu bảo mật trong hệ thống mạng nội bộ của các cơ quan nhà nước Đó cũng chính là cái đích hấp dẫn của rất nhiều kẻ tấn công điều khiển học - từ những tên hacker chuyên nghiệp cho tới những tên tội phạm công nghệ cao được tài trợ bởi nhiều tổ chức khủng bố Sau khi xâm nhập được vào hệ thống, chúng có thể dễ dàng lấy cắp thông tin, làm hư hỏng dữ liệu, thay đổi trình tự các thao tác đã lập trình hay đơn giản làm cho hệ thống tê liệt không thể hoạt động Đối với nhiều công ty lớn, nguy cơ này cũng đồng nghĩa với việc họ sẽ bị thiệt hại hay mất cắp hàng tỷ USD,

uy tín trước khách hàng bị sụt giảm Với các cơ quan về y tế và quốc phòng thì thiệt hại còn có thể thảm khốc hơn nhiều

Từ những năm 80 nhiều nước trên thế giới đã nghiên cứu và tiến hành thử nghiệm ở những mức độ khác nhau về chiến tranh thông tin qua mạng máy tính Ngoài cuộc thử nghiệm không có tổ chức còn những cuộc thử nghiệm có tổ chức ở những qui

mô nhỏ và công khai như trong chiến tranh I-Rắc và chiến tranh Nam Tư

Việt Nam chính thức nối mạng Internet từ năm 1997 và cũng không tránh khỏi

những đe doạ từ Internet Ngoại trừ việc giá truy cập Internet hiện còn cao so với mặt bằng trong khu vực và trên thế giới thì nguy cơ bị tấn công hay xâm hại các quyền riêng tư khi truy cập mạng cũng là một lý do khiến người sử dụng lo ngại, đặc biệt đối với những tổ chức, cơ quan nhà nước - là nơi tập trung và xử lý nhiều thông tin quan trọng liên quan đến chính trị, kinh tế và văn hoá của đất nước

Các nội dung nghiên cứu của luận văn bao gồm:

- Nghiên cứu, tổng hợp, phân tích và dự báo một số dạng phá hoại mới trong chiến tranh thông tin

- Nghiên cứu và đề xuất một số giải pháp phòng tránh, đánh trả trên mạng máy tính

- Đưa ra một số mô hình và giải pháp cụ thể

Chiến tranh thông tin có quy mô rất lớn, nhằm vào nhiều lĩnh vực, khía cạnh, có phạm vi ảnh hưởng sâu rộng, đặc biệt trong điều kiện ứng dụng thông tin ngày càng nhiều trên thế giới như hiện nay Trong luận văn này tôi tập trung về các cách thức

và cách phòng chống các hoạt động ác ý làm ảnh hưởng đến thông tin, các hệ thống thông tin, các quá trình làm việc bình thường thông qua mạng LAN và Internet dựa trên nền tảng các kỹ thuật phần mềm, các dịch vụ, các thuận lợi tiện ích do mạng máy tính đem lại và các kỹ thuật khác ít đòi hỏi sự đầu tư lớn về thiết bị, công nghệ

CHƯƠNG I: NGHIÊN CỨU TỔNG HỢP CÁC DẠNG CHIẾN TRANH THÔNG TIN TRÊN MẠNG

I.1 Các điểm yếu của mạng máy tính

Trên thực tế, người ta đã thống kê được 14 điểm yếu dễ bị xâm nhập thông qua mạng máy tính Hình 2-1 minh họa một mô hình mạng tổng quát với các điểm yếu dễ bị xâm nhập, cụ thể:

1 Thiếu điều khiển truy cập bộ định tuyến và lập cấu hình sai ACL sẽ cho phép rò rỉ thông tin thông qua các giao thức ICMP, IP, NetBIOS, dẫn đến truy cập bất hợp pháp các dịch vụ trên máy phục vụ

2 Điểm truy cập từ xa không được theo dõi và bảo vệ sẽ là phương tiện truy cập dễ dàng nhất đối với mạng công ty

3 Rò rỉ thông tin có thể cung cấp thông tin phiên bản hệ điều hành và chương trình ứng dụng, người dùng, nhóm, địa chỉ tên miền cho kẻ tấn công thông qua chuyển vùng và các dịch vụ đang chạy như SNMP, finger, SMTP, telnet, rusers, sunrpc, NetBIOS

4 Máy chủ chạy các dịch vụ không cần thiết (như sunrpc, FTP, DNS, SMTP)

sẽ tạo ra lối vào thâm nhập mạng trái phép

5 Mật mã yếu, dễ đoán, dùng lại ở cấp trạm làm việc có thể dồn máy phục vụ vào chỗ thoả hiệp

6 Tài khoản người dùng hoặc tài khoản thử nghiệm có đặc quyền quá mức

Máy phục vụ Internet bị lập cấu hình sai, đặc biệt là kịch bản CGI trên máy phục vụ web và FTP nặc danh

8 Bức tường lửa hoặc ACL bị lập cấu hình sai có thể cho phép truy cập trực tiếp hệ thống trong hoặc một khi đã thoả hiệp xong máy phục vụ

9 Phần mềm chưa được sửa chữa, lỗi thời, dễ bị tấn công, hoặc để ở cấu hình mặc định

10 Quá nhiều điều khiển truy cập thư mục và tập tin

Hình 2- 1: Mạng máy tính tổng quát và các điểm yếu dễ bị thâm nhập

Branch office

Internal router Border router

hiều mối quan hệ uỷ quyền như NT domain Trusts, các tập tin rhosts

và hosts.equiv trong UNIX sẽ cho kẻ tấn công truy cập hệ thống bất hợp pháp

12 Các dịch vụ không chứng thực

13 Thiếu tính năng ghi nhật ký, theo dõi và dò tại mạng và cấp độ máy chủ

14 Thiếu chính sách bảo mật, thủ tục và các tiêu chuẩn tối thiểu

Về phương diện phần mềm:

Các hệ điều hành mạng nổi tiếng mới nhất như Windows 2000, Novel, Linux, Mac OS, Unix và các chương trình ứng dụng cũng không tránh khỏi còn tồn tại hàng loạt các lỗ hổng bảo mật giúp cho bọn tin tặc xâm nhập trái phép vào hệ thống mạng và cơ sở dữ liệu của mạng, hiện nay hầu như hàng ngày đều có các thông báo về việc phát hiện ra các lỗ hổng bảo mật trên các hệ điều hành và chương trình ứng dụng ví dụ ngày 6/12/2002 Microsoft đã phát hành một miếng vá mới cho trình duyệt web Internet Explorer Theo Microsoft, đây là một lỗ hổng có mức độ nguy hiểm ''trung bình'' Tuy nhiên, các chuyên gia bảo mật máy tính lại coi đây là một lỗ hổng cực kỳ trầm trọng,

có thể bị hacker khai thác để nắm quyền điều khiển máy tính Lỗ hổng ảnh hưởng đến các phiên bản IE 5.5 và IE 6.0 Lỗ hổng này nằm trong cơ chế thiết lập vành đai an ninh giữa cửa sổ trình duyệt web và hệ thống máy tính nội bộ Việc khai thác lỗ hổng này sẽ cho phép hacker đọc thông tin và chạy các chương trình trong máy tính của người sử dụng Thậm chí, anh ta còn có thể sửa đổi nội dung một file, format toàn bộ ổ cứng Nhưng để khai thác được lỗ hổng này, anh ta phải đánh lừa người sử dụng truy cập vào một trang Web đặc biệt do anh ta tạo ra, hoặc mở một e-mail có nhúng mã HTML nguy hại Ngày 6/10/2002 một công ty chuyên phát triển các chương trình ứng dựng Web của Israel có tên là GreyMagic Software đã phát hiện ra 9 lỗ hổng trong

trình duyệt Internet Explorer Hacker có thể lợi dụng những lỗ hổng này để truy cập vào các file trong máy tính của người sử dụng Internet GreyMagic Software đánh giá

8 trong số 9 lỗ hổng nói trên có mức độ nguy hiểm cao Những lỗ hổng này có thể bị lợi dụng bằng cách như sau: hacker sẽ tạo ra một trang Web chứa các đoạn mã nguy hại, sau đó đánh lừa người sử dụng Internet truy cập vào trang Web này Khi người sử dụng viếng thăm trang Web, đoạn mã nguy hại sẽ phát huy tác dụng, giúp cho hacker thâm nhập vào máy tính người sử dụng và đánh cắp thông tin Lee Dagon, Giám đốc nghiên cứu và phát triển của Grey Magic, nói: ''Sử dụng những lỗ hổng này kết hợp với một vài lỗ hổng đã biết, hacker có thể dễ dàng xâm nhập vào một máy tính của người

sử dụng'' Bên cạnh việc cho phép hacker đánh cắp các văn bản trong máy tính, các lỗ hổng còn tạo điều kiện cho hacker sao chép các thông tin, thực thi các chương trình phá hoại và đánh lừa người sử dụng truy cập vào Website nguy hại GreyMagic cho biết các phiên bản Internet Explorer 5.5 và 6.0 đều tồn tại lỗ hổng, tuy nhiên nếu người

sử dụng đã cài bản Internet Explorer 6.0 Service Pack 1 và Internet Explorer 5.5 Service Pack 2 thì sẽ không bị ảnh hưởng

Theo thống kê các lỗ hổng của hệ điều hành và các chương trình ứng dụng hiện đang

sử dụng trên mạng hiện nay là hơn hàng nghìn lỗ hổng, các hãng sản xuất phần mềm liên tục đưa ra các phiên bản để sửa chữa các lỗ hổng đó tuy nhiên hiện nay không ai

có thể nói trước được là còn bao nhiêu các lỗ hổng nữa chưa được phát hiện và còn bao nhiêu lỗ hổng đang được sử dụng bí mật bởi các tin tặc và chưa được công bố công khai

Do cơ chế trao đổi thông tin trên mạng các dich vụ mạng và các lỗ hổng bảo mật hệ thống còn tạo môi trường tốt cho các Virus máy tính phát triển (Virus là một đoạn mã chương trình được gắn kèm với các chương trình ứng dụng hoặc hệ thống có tính năng lây lan rất nhanh và gây nhiều tác hại cho máy tính và dữ liệu)

Theo Chuyên gia Eugene Kaspersky, người đứng đầu nhóm nghiên cứu virus của Kaspersky Labs thì bất cứ hệ thống nào cũng đều phải tuân theo 3 quy luật một khi muốn nhiễm virus Trước hết, nó phải có khả năng chạy những ứng dụng khác, có nghĩa là bắt buộc phải là một hệ điều hành Microsoft Office là một hệ điều hành như thế bởi vì nó có thể chạy các macro Vì thế, khi chúng ta nói về hệ điều hành cho virus, chúng ta không chỉ đề cập đến Windows hay Linux, mà đôi khi cả về những ứng dụng như Microsoft Office Hơn nữa, hệ điều hành này phải có độ phổ biến cao bởi vì một loại virus muốn phát triển được thì cần phải có người viết ra nó, và nếu như không có

tác giả nào sử dụng hệ điều hành, khi đó sẽ không có virus nữa Thứ hai, hệ điều hành cần phải có đầy đủ tư liệu, nếu không sẽ không thể viết ra một loại virus nào cả Hãy so sánh máy chủ Linux và Novell: Linux cung cấp đầy đủ tư liệu còn Novell thì không

Kết quả là trong khi có khoảng 100 loại virus trong Linux, chỉ có duy nhất một virus Trojan chuyên gài bẫy mật khẩu trong Novell mà thôi Cuối cùng, hệ điều hành này phải không được bảo vệ, hoặc là có những lỗ hổng bảo mật Trong trường hợp của Java, hệ điều hành này có khoảng 3 loại virus, nhưng chúng cũng không thể nhân bản nếu không có sự cho phép của người sử dụng, do đó, Java tương đối miễn nhiễm với virus

Nói tóm lại, để bị nhiễm virus, một hệ thống cần phải thoả mãn ba điều kiện: phổ biến, đầy đủ tài liệu và sơ hở trong bảo vệ

Bảng dưới đây minh hoạ các khả năng tin tặc tấn công vào hệ thống mạng máy tính qua các điểm yếu của mạng, các lỗ hổng mạng và yếu tố của con người:

Dựa vào yếu tố con người - các điểm yếu của người sử dụng

- Thông tin có sẵn tự do

- Lựa chọn mật khẩu quá đơn giản

Cấu hình hệ thống đơn giản

- Tính mỏng manh đối với "nền kỹ nghệ đã mang tính xã hội"

Dựa vào khe hở xác thực

- Trộm mật khẩu

- Nền kỹ nghệ đã mang tính xã hội

- Qua hệ thống mật nhưng bị sụp đổ

Dựa vào dữ liệu

- Gắn E-mail vào một chương trình

- Nguồn định tuyến cho các gói dữ liệu

- Các trường header không sử dụng

Đặt khoá

Chặn bắt truyền thông trên mạng

- Bắt dữ liệu trước khi mã hoá

- Loại bỏ mã hoá

- Phát lại

I.2 Hiểm hoạ chiến tranh thông tin trên mạng

Mục tiêu của việc kết nối mạng là để nhiều người sử dụng từ những vị trí địa lý khác nhau, có thể dùng chung những tài nguyên, đặc biệt là tài nguyên thông tin Do đặc điểm của nhiều người sử dụng và phân tán về mặt địa lý nên việc bảo vệ các tài nguyên

đó tránh khỏi sự mất mát, xâm phạm (vô tình hay hữu ý) phức tạp hơn rất nhiều so với trường hợp máy tính đơn lẻ, một người sử dụng

Để việc đảm bảo thông tin đạt kết quả cao, chúng ta phải lường trước được càng nhiều càng tốt các khả năng xâm phạm, các sự cố rủi ro đối với thiết bị và tài nguyên trên mạng Xác định càng chính xác các nguy cơ trên, ta càng quyết định được tốt các giải pháp phù hợp để giảm thiểu các thiệt hại

An toàn thông tin là một quá trình tiến triển hợp logic: khi những vui thích ban đầu về một xa lộ thông tin, bạn nhất định nhận thấy rằng không chỉ cho phép bạn truy nhập vào nhiều nơi trên thế giới, Internet còn cho phép nhiều người không mời mà tự ý ghé thăm máy tính của bạn, Internet có những kỹ thuật tuyệt vời cho phép mọi người truy nhập, khai thác, chia sẻ thông tin Nhưng nó cũng là nguy cơ chính dẫn đến thông tin của bạn bị hư hỏng hoặc bị phá huỷ hoàn toàn

Mục tiêu của chiến tranh chống lại các xã hội dựa trên nông nghiệp là giành quyền kiểm soát nguồn của cải chính của chúng: đó là ruộng đất Các chiến dịch quân sự được tổ chức để huỷ diệt khả năng của kẻ thù bảo vệ các vùng đất đai Mục tiêu của chiến tranh chống lại các xã hội dựa trên công nghiệp là giành quyền kiểm soát nguồn tạo ra mọi của cải chính của nó là: các phương tiện sản xuất Các chiến dịch quân sự được tổ chức để huỷ diệt khả năng của kẻ thù giữ quyền kiểm soát các nguồn lực nguyên vật liệu, khả năng sản xuất và lao động

Xu hướng khai thác tối đa tài nguyên mạng máy tính toàn cầu nhằm phục vụ cho lợi ích cộng đồng là xu hướng tất yếu và cũng chính từ nguồn tài nguyên này, từ môi

trường này đã bắt đầu một khái niệm chiến tranh mới: chiến tranh thông tin trên mạng Cho đến nay chưa có một tài liệu công khai nào đưa ra khái niệm chiến tranh thông tin

(CTTT) mặc dù cuộc chiến đó đã, đang và tiếp tục diễn ra với mức độ tinh vi cũng như

hậu quả do nó gây ra ngày càng cao Tuy vậy, có thể hiểu: chiến tranh thông tin là các hành động tiến hành để đạt được ưu thế về thông tin nhằm đánh bại đối phương, bằng cách tác động tới:

Thông tin,

Các quá trình dựa trên thông tin,

Các hệ thống thông tin của chúng;

trong khi bảo vệ các đối tượng đó của mình

Đặc điểm của chiến tranh thông tin:

 Trong khi ảnh hưởng và hậu quả của CTTT có thể rất lớn thì vũ khí và phương tiện CTTT lại rất rẻ

Điều này là có thể vì thông tin và hệ thống thông tin (đối tượng của cuộc tấn công CTTT ) “Một ngôi nhà mà giá trị của nó rẻ hơn cái tàng trữ trong đó”, nhiều khi chỉ là một phần tử khiêm tốn lại quyết định một chức năng hoặc một hoạt động quan trọng - như một cơ sở dữ liệu chẳng hạn Chỉ cần một chi phí thấp để tạo ra một nội gián, một thông tin giả, thay đổi thông tin, hoặc đưa ra một vũ khí logic tinh vi chống lại một hệ thống thông tin được nối vào hạ tầng viễn thông dùng chung toàn cầu Vấn đề cuối này lại càng hấp dẫn; những thông tin mới nhất về cách thức khai thác các đặc tính thiết kế

và lỗ hổng an ninh của các phần mềm máy tính thương mại đang tự do lưu truyền trên Internet

 Về phía tấn công, CTTT rất hấp dẫn

Chiến tranh thông tin tấn công rất hấp dẫn đối với nhiều người vì nó rẻ so với chi phí phát triển, duy trì, và dùng các khả năng quân sự tiên tiến Thêm vào đó, kẻ tấn công có thể bị lôi cuốn vào CTTT bởi tiềm năng đối với các kết quả đầu ra không tuyến tính khổng lồ lấy từ các đầu vào khiêm tốn

Rất nhiều người bình thường chỉ cần với một máy tính kết nối mạng đều có khả năng thử sức khai phá cả thế giới tài nguyên hấp dẫn trên mạng, nhiều công cụ họ tạo ra ban đầu chỉ là thử sức và để đùa cho vui và chứng tỏ tài năng với mọi người xung quanh sau đã bị các kẻ phá hoại lợi dụng biến thành các vũ khi tấn công trên mạng

 Về phía phòng thủ, CTTT chứa nhiều yếu tố bất ngờ và khó tiên liệu trước

CTTT là một khái niệm rộng lớn, biến đổi theo thời gian và không gian Cách phòng chống và đánh trả CTTT cũng hết sức linh hoạt vì nó liên quan đến nhiều lĩnh vực như

các tiêu chuẩn an toàn của hệ thống, cơ sở pháp lý về an ninh mạng của mỗi quốc gia, khả năng cũng như trình độ của con người và sau cùng là các kỹ thuật-công nghệ

được áp dụng vào cuộc chiến tranh này

Thực tiễn làm nẩy sinh các cuộc tấn công bao gồm các ứng dụng phần mềm được thiết

kế tồi; việc sử dụng các hệ điều hành phức tạp nhưng kém bảo mật nội tại; sự thiếu huấn luyện và thiếu các công cụ giám sát và quản lý môi trường tính toán từ xa; sự nối mạng cẩu thả các máy tính tạo ra tiềm năng gây lỗi; sự huấn luyện chưa phù hợp các nhân viên quản trị thông tin; và sự thiếu thốn các quy trình mạnh để nhận dạng các phần tử hệ thống, kể cả nhận dạng người sử dụng Quan trọng nhất vẫn là việc dựa các chức năng quân sự, kinh tế và xã hội vào các hệ thống được thiết kế tồi, và bố trí cho các hệ thống này các lực lượng chuyên môn không đủ kinh nghiệm Các nhân viên này thường ít chú ý tới hoặc không hiểu biết về hệ quả của các hỏng hóc hệ thống thông tin, sự mất mát tính toàn vẹn dữ liệu, hoặc mất tính bảo mật dữ liệu

Chi phí cho phòng thủ trong CTTT không rẻ, cũng không dễ dàng thiết lập Nó sẽ cần các nguồn lực để phát triển các công cụ, quy trình, và các thủ tục để đảm bảo tính sẵn sàng và toàn vẹn của thông tin, và để bảo vệ tính bảo mật thông tin ở nơi cần đến nó Các nguồn lực bổ sung sẽ cần để phát triển các hướng dẫn thiết kế cho các kỹ sư hệ thống và phần mềm để đảm bảo các hệ thống thông tin có thể hoạt động trong một môi

trường CTTT Nhiều nguồn lực hơn sẽ cần để phát triển các phương tiện mạnh nhằm phát hiện kẻ nội gián đột nhập với ác ý can thiệp vào các hệ thống và để chúng ta có khả năng tiến hành sửa đổi và khôi phục hệ thống

 Càng phát triển theo hướng một xã hội thông tin thì hiểm hoạ CTTT lại càng lớn, và do đó - CTTT là không thể tránh khỏi

Trong xu thế xã hội hoá mạng thông tin, dù ngăn chặn thế nào thì những cuộc tấn công trên mạng vẫn khó tránh khỏi bởi con người luôn lệ thuộc vào thông tin còn kẻ tấn cống (hacker) luôn hứng thú với sức mạnh ảo mà các cuộc tấn công mang lại

Chúng ta không thể coi nhẹ các phương pháp tấn công của các hacker Nhiều trong số các phương pháp này là đủ mạnh để phá hoại hoặc tấn công khủng bố trên quy mô lớn

Các phần mềm ác ý có thể được triển khai trước với các việc kích hoạt tuỳ theo thời điểm hoặc bằng các phương tiện kích hoạt khác và rằng hiệu quả có thể là một cuộc tấn công đồng thời trên diện rộng Một cuộc tấn công như vậy không thể coi là không có, mặc dù xác suất của nó được đánh giá là thấp

Về nguyên tắc, các hình thức tiến hành chiến tranh thông tin đã sử dụng và được nêu ra

là hiểm hoạ có thật Những kỹ thuật cơ bản để phòng tránh các hình thức chiến tranh này vẫn đang được các nước chú trọng nghiên cứu

Sự đe doạ với một hệ thống mở

Một hệ thống mở là một hệ thống cho phép tính tương tác mềm dẻo, các phần mềm và thành phần của hệ thống có thể thêm bớt tuỳ ý Trước khi có sự tiếp cận theo hệ thống

mở, nhiều nhà sản xuất cho rằng tốt hơn cần bảo vệ tính riêng tư Hệ điều hành UNIX

là một trong những ví dụ điển hình cho việc hướng tới một hệ thống mở

Ngày nay, nói đến sự phát triển của Internet không thể không nói đến hệ thống mở Với

sự ra đời của bộ giao thức TCP/IP, và sự phát triển của World Wide Web (WWW) hệ

thống mở càng chứng tỏ khả năng ưu việt của mình Nhưng bên cạnh đó, một vấn đề mới lại nảy sinh, an toàn bảo mật trong hệ thống mở Với sự phát triển của Internet, không còn mạng máy tính nào là biệt lập Từ bất kỳ đâu, chỉ với một chiếc máy tính nối với Internet bất kỳ ai đều có thể xâm nhập vào một mạng máy tính nào đó có kết nối Internet Với khả năng truy cập lớn như vậy, tính bảo mật là một vấn đề nghiêm

chỉnh cần được xem xét Vì thế, Firewall được coi là giải pháp không thể thiếu khi cần

kiểm soát sự truy cập tại một mạng máy tính dù là cục bộ hay diện rộng Với những ưu việt của mô hình hệ thống mở, những trở ngại về an ninh cũng ngày càng tăng Tính bảo mật và sự truy cập tới mạng là hai đại lượng luôn tỉ lệ nghịch với nhau Tính mở là luôn là một con dao hai lưỡi Nó mang lại sự kết nối thật dễ dàng nhưng cũng làm tăng các kẽ hở cho những ai tò mò

Tác hại của CTTT

Theo số liệu của CSI (Computer Security Institute - Viện An ninh Điện toán Hoa kỳ)

và FBI (Federal Bureau of Investigations - Cục Điều tra Liên bang Hoa kỳ) thì

trong năm 2000 thì thiệt hại về tài chính do các cuộc tấn công trên mạng gây ra đối với

Mỹ là rất lớn, con số thiệt hại (tính theo USD) của CSI/FBI 2000 Computer Crime and Security Survey được minh họa trên hình 2-2

1978

1417 1144

1284 913

II-QuÝ 1999

III-QuÝ 1999

IV-QuÝ 2000

I-QuÝ 2000

II-QuÝ 2000

III-QuÝ 2000

IV-Hình I.1: Thiệt hại về tài chính gây ra bởi các kiểu tấn công

5,000,000 991,200 7,104,000

27,148,000

27,984,740 10,404,300

29,171,700

55,996,000 4,028,000

66,708,000 22,554,500

¡n trém m¸y tÝnh x¸ch tay

virus Gian lËn tµi chÝnh trªn m¹ng

Gian lËn th.bÞ viÔn th«ng

§¸nh c¾p th«ng tin riªngtrªn m¹ng

Truy cËp bÊt hîp ph¸p

Hình I.2: Thiệt hại về tài chính gây ra bởi các kiểu tấn công

Ngoài việc gây thiệt hại về tài chính cho các tổ chức, hacker còn "bôi nhọ" hoặc làm tê liệt các trang Web

Hình 2-3 minh hoạ số tổng số các trang Web (của Mỹ) bị tấn công trong thời gian năm

1999 đến hết năm 2000

I.3: Tổng số các trang Web bị tấn công trong năm 1999 và 2000

Nguồn: http://www.attrition.org/mirror/attrition/annuals.html)

1978

1417 1144

1284 913

I-QuÝ 1999

II-QuÝ 1999

III-QuÝ 1999

IV-QuÝ 2000

I-QuÝ 2000

II-QuÝ 2000

III-QuÝ 2000

IV-I.3 Các dạng chiến tranh thông tin trên mạng máy tính

I.3.1 Các đối tượng tấn công mạng máy tính

I.3.1.1 Hacker

Thuật ngữ chung chung và có phần lãng mạn này được gán cho những người có lòng say mê với máy tính Họ thích truy nhập vào các máy tính của người khác hay các mạng máy tính một cách bất hợp pháp Rất nhiều các hacker “tốt bụng” chỉ truy nhập vào máy tính của người khác hay các mạng máy tính và chỉ để lại các

“footprint” của họ như là các ứng dụng không có hại hay các thông báo trên desktop của máy tính Các hacker khác, thường được biết đến như là các cracker, hiểm độc hơn Họ thường thâm nhập vào các hệ thống tính toán và đánh cắp hay phá hoại các

dữ liệu bí mật, chỉnh sửa cho xấu đi các trang web và cuối cùng là phá vỡ các công việc kinh doanh Một số hacker không chuyên chỉ đơn thuần phân phát các hacking tool trên mạng mà không hiểu cách thức các công cụ này hoạt động và hậu quả của việc sử dụng chúng

I.3.1.2 Các nhân viên không hiểu biết (Unaware Staff)

Các nhân viên thường bỏ qua các quy tắc bảo mật mạng cơ bản Ví dụ, họ thường chọn các mật khẩu đơn giản và dễ nhớ nhằm đăng nhập vào các mạng máy tính của

họ một cách dễ dàng Tuy nhiên, những mật khẩu này rất dễ đoán hay crack bởi các hacker thông qua việc sử dụng một phần mềm tiện ích crack mật khẩu thông dụng hiện có Các nhân viên có thể vô tình gây ra các lỗ thủng bảo mật khác như sự lây nhiễm một cách hàng loạt của các loại virus máy tính Con đường lây nhiễm virus

dễ dàng và thông thường nhất là thông qua đĩa mềm và việc download các file từ mạng Internet Thậm chí, họ không biết là virus có tồn tại trên máy tính cá nhân của mình hay không Điều này có nghĩa là các tập đoàn kinh tế đang đứng trước hiểm hoạ bị nhiễm virus máy tính khi các nhân viên của họ download các file, ví dụ như các trình diễn PowerPoint, từ mạng Internet Một cách đáng ngạc nhiên là các công

ty cũng phải cảnh giác trước những lỗi của người sử dụng Các nhân viên, kể cả những người mới làm quen với máy tính và những người hiểu biết máy tính, có thể tạo ra các lỗi này khi cài đặt chương trình phần mềm bảo vệ máy tính khỏi sự tấn công của virus hay không quan tâm đến các cảnh báo về hiểm hoạ bảo mật một cách tình cờ

I.3.1.3 Cá c nhân viên bất bình (Disgruntled Staff)

Đáng lo ngại hơn việc các nhân viên gây ra lỗi trong quá trình sử dụng dẫn tới việc ảnh hưởng xấu đến sự an toàn an ninh trên mạng máy tính, các nhân viên bất bình hay có lòng thù hận với công ty hay tổ chức nào đó, do bị sa thải, kỷ luật hay một lý do nào khác, có thể phá hoại mạng máy tính của các công ty, các tập đoàn và gây ra những tổn thất vô cùng to lớn Các nhân viên này thường dùng virus

để tấn công vào mạng máy tính của các tập đoàn hay cố tình xoá các file quan trọng Nhóm người này đặc biệt nguy hiểm bởi vì họ thường có hiểu biết rất sâu sắc về mạng của công ty, giá trị của các thông tin trên mạng, nơi lưu trữ các thông tin có tính ưu tiên cao và các công cụ bảo mật được sử dụng để bảo vệ các thông tin trên mạng

I.3.1.3 Snoop

Snoop thực chất là các nhân viên tham gia vào hoạt động gián điệp Họ thực hiện các truy nhập trái phép tới các thông tin nhạy cảm, bí mật của các công ty khác hay các đối tác kinh doanh Một số snoop chỉ truy nhập vào các thông tin mang tính chất riêng tư như các thông tin tài chính, xem trộm những bức thư tình của các đồng nghiệp, tiền lương của đồng nghiệp Một số hành động này là vô hại, nhưng bên cạnh đó cũng có những hoạt động làm ảnh hưởng đến uy tín của công ty và gây khó khăn đến tình hình tài chính của công ty

I.3.2 Các dạng hành động tấn công mạng

Có rất nhiều kiểu tấn công vào các hệ thống và cũng có nhiều cách để phân loại các tấn công này

I.3.2.1 Tấn công trực tiếp

Phần lớn các cuộc tấn công vào hệ thống là trực tiếp Một phương pháp tấn công cổ điển là dò cặp tên người dùng và mật khẩu (username/password) Đây là phương pháp khá đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu Kẻ tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà để đoán mật khẩu

Để minh hoạ lý do tại sao CTTT lại có thể xẩy ra dễ dàng như vậy, ta xem xét cách dùng các mật khẩu Chúng ta đã chuyển sang các hệ thống tính toán phân tán liên lạc với nhau qua các mạng dùng chung nhưng lại vẫn phụ thuộc rất nhiều vào việc

sử dụng các mật khẩu cố định như hàng rào bảo vệ đầu tiên - thói quen hình thành

từ ngày còn các máy tính lớn độc lập Chúng ta làm việc này ngay khi chúng ta biết rằng có những kẻ phá hoại đang sử dụng các máy phân tích mạng để đánh cắp địa chỉ máy tính, nhận dạng người sử dụng, và mật khẩu từ tất cả các mạng quân sự không mật và trên Internet Kẻ phá hoại sau đó dùng các nhận dạng đánh cắp được

và các mật khẩu này để nguỵ trang như những người dùng hợp lệ và thâm nhập vào

hệ thống Một khi vào được, chúng dùng các công cụ phần mềm có sẵn khắp nơi để kiểm soát máy tính và xoá đi dấu vết đột nhập

Một số chương trình có thể lấy được dễ dàng từ Internet để giải mã các mật khẩu đã

mã hoá của hệ thống, chúng có khả năng thử các tổ hợp các từ trong một từ điển lớn theo những quy tắc do người dùng tự định nghĩa Trong một số trường hợp, khả năng thành công của phương pháp có thể lên tới 30%

Một phương pháp khác là sử dụng các lỗi hỏng bảo mật do các lỗi chương trình ứng dụng và bản thân hệ điều hành Đây là phương pháp đã được sử dụng từ những vụ tấn công đầu tiên và vẫn tiếp tục được sử dụng để chiếm quyền truy nhập

I.3.2.2 Nghe trộm

Có một số kiểu tấn công cho phép kẻ tấn công lấy được thông tin mà không cần sử dụng máy tính một cách trực tiếp Phần lớn những kẻ ăn cắp thông tin đều cố gắng truy cập vào hệ thống máy tính bằng cách dò tìm tên người dùng và mật khẩu Cách

dễ nhất để lấy thông tin là đặt máy nghe trộm trên mạng

Việc nghe trộm thường được tiến hành ngay sau khi kẻ tấn công đã chiếm được quyền truy nhập vào hệ thống thông qua các chương trình cho phép đưa card giao tiếp mạng (Network Interface Card - NIC) vào chế độ nhận toàn bộ thông tin lưu truyền trên mạng

Dữ liệu truyền trên bất kỳ loại mạng nào đều có thể bị chặn bởi những người không được phép Các thủ phạm có thể nghe trộm trên đường truyền thông hoặc thậm chí can thiệp vào các gói tin đang được truyền đi trên mạng Các thủ phạm có thể sử dụng rất nhiều phương pháp để ngăn chặn dữ liệu Sự đánh lừa địa chỉ IP là một ví

dụ Phương pháp này thêm vào phần header của gói tin đang truyền địa chỉ IP (Internet Protocol Address) của thủ phạm nghe trộm

I.3.2.3 Giả mạo địa chỉ

Việc giả mạo đia chỉ IP có thể được thực hiện thông qua việc sử dụng khả năng dẫn đường trực tiếp (source - routing) Với cách tấn công này, kẻ tấn công gửi các gói tin IP tới mạng bên trong một địa chỉ IP giả mạo, đồng thời chỉ rõ đường dẫn mà các gói tin IP phải gửi đi

Với việc áp dụng kỹ thuật tấn công này, chúng ta có thể tạo ra kiểu tấn công phản chiếu Tức là, chúng ta gửi các gói tin IP giả mạo đến một hay nhiều máy đích trong

phân đoạn mạng bị tấn công Đương nhiên địa chỉ nguồn của các gói tin này sẽ được giả mạo là một hay một số địa chỉ chính trong mạng đó Khi máy đích nhận được các gói tin nó sẽ gửi trả lại máy có địa chỉ là địa chỉ nguồn của gói tin nó nhận được đó, và cứ như thế, chúng ta có thể khuyếch đại lượng các gói tin được trao đổi trên mạng lên rất nhiều lần, dẫn đến mạng bị tấn công bị tắc nghẽn, thậm chí, sụp đổ hoàn toàn

I.3.2.4 Tấn công từ chối dịch vụ (denial of service)

Vô hiệu hoá các chức năng của hệ thống là một kiểu tấn công nhằm làm tê liệt hệ thống không cho nó thực hiện các chức năng của nó Đây là kiểu tấn công không thể ngăn chặn được vì những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy cập thông tin tên mạng

Từ chối dịch vụ là trạng thái một hoặc nhiều thuê bao được uỷ quyền (thuê bao hợp pháp) không thể khai thác nguồn dữ liệu mạng lưới hoặc khi khai thác khẩn cấp thì

bị làm chậm trễ Việc bị từ chối dịch vụ có thể là do hư hỏng vật lý của mạng, do

việc sử dụng giao thức không chính xác và cũng có thể do quá tải gây nên

Đây là hình thức tấn công phổ biến vì:

- Kẻ tấn công dấu được danh tính vì thế gây ra sự nghi ngờ của thuê bao đối với nhà cung cấp dịch vụ và điều hành mạng lưới, đồng thời tránh được các hậu quả nghiêm trọng liên quan đến khía cạnh pháp lý

- Hậu quả của từ chối dịch vụ cực kỳ to lớn, về cơ bản kiểu tấn công này từ chối mọi dịch vụ của thuê bao hợp pháp khi muốn truy cập, một khi các thuê bao đã bị phong toả thì mạng coi như chết vì không ai có thể vào được

- Trong nhiều trường hợp, tấn công bằng từ chối dịch vụ còn là cách phòng thủ tốt nhất khi đã xác định được danh tính của đối phương

I.3.2.5 Tấn công vào yếu tố con người (Social Engineering)

Kẻ tấn công có thể liên lạc với người quản trị hệ thống, giả làm một người sử dụng

để yêu cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác Với kiểu tấn công này, không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi

I.3.3 Một số phương pháp tấn công khác

Hầu hết các phương pháp tấn công trên đều thực hiện do chính người sử dụng hệ thống, chúng lợi dụng quyền của người sử dụng thực hiện chương trình để tiến hành một trong các phá hoại như trên Nếu các mức kiểm soát truy nhập thực hiện đúng

và cơ chế kiểm tra chứng thực thâm nhập hệ thống ổn định thì các tấn công này sẽ rất khó thực hiện Tuy nhiên, vấn đề này thường rất khó đối với người quản trị hệ thống để đảm bảo rằng mọi cơ chế hoạt động đều luôn đúng như vậy

Đối với những người sử dụng bất hợp pháp một phương cách đơn giản để thâm nhập vào hệ thống lấy thông tin đó là việc đoán mật khẩu hoặc sử dụng các chương trình dò mật khẩu của những người sử dụng đã biết hoặc lợi dụng các sơ hở của người sử dụng để lấy trộm được mật khẩu Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi đồng thời yêu cầu người sử dụng biết chọn lựa một mật khẩu tốt với độ dài thích hợp Nói chung, yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng mới có thể nâng cao được độ an toàn của hệ thống bảo vệ

Cùng với các phương thức lấy thông tin bằng truy nhập trực tiếp còn có một vài phương pháp tinh vi khác khá phổ biến đặc biệt đối với các hệ thống có đưa ra các dịch vụ truy nhập công cộng Các phương pháp đó là:

I.3.3.1 Sử dụng virus máy tính

Là một chương trình gắn vào chương trình hợp lệ khác và có khả năng lây lan nó vào các môi trường đích mỗi khi chương trình hợp lệ được chạy Sau khi virus đã nhiễm vào hệ thống, nó sẽ thực hiện phá hoại mỗi khi nó muốn thông thường là phá hoại theo thời gian định trước Đúng như tên gọi của nó, một trong những hành động của virus đó là khả năng tự lây lan bản thân nó vào tất cả các chương trình mà

nó tìm thấy trong môi trường hệ thống Chúng chuyển từ máy này sang máy khác mỗi khi chương trình được sao chép bất kể qua mạng hay qua thiết bị lưu trữ vật lý,

Ví dụ, các virus macro tự động chèn mã của chúng vào trong các file chứa các lệnh macro (các lệnh được lặp đi lặp lại một cách tự động, ví dụ như macro mail merge trong Microsoft Word) và sau đó tự động kích hoạt mỗi khi macro này chạy

Virus là mối đe doạ bảo mật thông dụng nhất Hậu quả của một số virus là tương đối nhẹ và chỉ gây ra những sự gián đoạn phiền phức như hiển thị các thông báo khôi hài, hài hước khi gõ một phím nào đó trên bàn phím Các virus khác có sức công phá mạnh hơn, nguy hiểm hơn và chúng có thể phá hoại hệ thống của chúng ta như xoá các file trên ổ cứng hay làm chậm hệ thống

Một mạng máy tính thường bị nhiễm virus từ các tài nguyên bên ngoài – thông thường, qua đĩa mềm hay download các file từ mạng Internet Khi một máy tính trong một mạng bị nhiễm virus, các máy tính khác trong mạng này rất dễ bị nhiễm virus

I.3.3.2 Sử dụng chương trình worm

Là chương trình lợi dụng điều kiện dễ dàng cho phép chạy các tiến trình từ xa trong

hệ phân tán Các điều kiện này có thể tồn tại một cách tình cờ hoặc có chủ ý Một số

các chương trình Internet Worm đã lợi dụng đặc tính kết hợp cả có chủ ý và tình cờ cho phép chạy chương trình từ xa trong hệ thống BSD UNIX để phá hoại hệ thống

I.3.3.3 Sử dụng chương trình trojan (Trojan Horse)

Những chương trình đưa ra cho người sử dụng hệ thống sử dụng bề ngoài thực hiện một chức năng bình thường nhưng thực chất là thực hiện việc phá hoại ẩn sau đó Một ví dụ khá phổ biến về loại chương trình này đó là ‘spoof login’ là chương trình

bề ngoài vẫn hiển thị các dòng lệnh yêu cầu người sử dụng nhập tên truy nhập và mật khẩu của hệ thống không khác gì bình thường nhưng thực chất nó thực hiện lưu trữ các giá trị đó vào một file trong hệ thống để sử dụng trái phép

Các chương trình Trojan Horse, hay Trojan, là các “phương tiện” được phân phát nhằm mục đích phá huỷ mã chương trình Các Trojan xuất hiện dưới dạng các chương trình không có hại và hữu ích, như các chương trình trò chơi, nhưng chúng thực sự là những kẻ thù cần phải đề phòng Trojan có thể xoá dữ liệu, tự động sao chép thư vào trong các danh sách địa chỉ e-mail và mở ra những lỗ hổng bảo mật mới Các Trojan chỉ có thể nhiễm vào hệ thống thông qua việc sao chép chương trình Trojan Horse vào hệ thống đó Cũng giống như virus, Trojan lây nhiễm qua đĩa mềm, download file từ mạng Internet và mở file đính kèm trong các bức thư điện tử Cả Trojan Horse và virus đều không lây nhiễm qua e-mail, mà chúng lây nhiễm qua các file đính kèm trong e-mail

I.3.3.4 Kẻ phá hoại (Vandal)

ActiveX và Java Applet đã mang lại nguồn sống mới cho các trang web Các

chương trình này cho phép thực hiện các hình ảnh hoạt hình và nhiều hiệu ứng đặc biệt khác giúp cho các trang web hấp dẫn hơn và dễ dàng tương tác với nhau hơn Tuy nhiên, chính sự dễ dàng trong việc download và chạy các ứng dụng này đã gây

ra một lỗ thủng bảo mật mới Một vandal là một chương trình ứng dụng hay là một

applet có thể phá hoại ở nhiều cấp độ khác nhau Một vandal có thể phá huỷ chỉ một file hay một phần quan trọng của hệ thống

I.3.4 Một vài dạng tấn công thông thường trên Internet

Ta xem xét cách áp dụng một số kiểu tấn công được nêu ở phần trên vào mạng Internet

I.3.4.1 Kiểu tấn công từ chối dịch vụ - Denial of Service

Hộp thư điện tử thường là mục tiêu chính của tấn công kiểu này Tấn công được thực hiện bằng một chương trình gửi thư liên tục gửi thư đến hộp thư cần phá hoại cho đến khi hộp thư không thể nhận thêm thư

Hiện nay, kiểu tấn công DoS thường nhằm vào các Web Server lớn với mục đích

phá hoại dịch vụ cung cấp của Website Virus Worm năm 1988 là một vụ tấn công

đầu tiên của dạng DoS Nó đã gây ra một vụ đình trệ tệ hại trên các mạng máy tính

bằng cách gửi đi hàng triệu gói tin, chiếm băng thông của đường truyền và thiệt hại ước tính nhiều triệu USD

Một biến thể khác của tấn công kiểu DoS là tấn công DoS kiểu phân tán

(Distributed Denial of Service - DDoS) Kẻ tấn công sẽ dùng nhiều máy tính bên

ngoài đồng loạt tấn công DoS gây ra tắc nghẽn trầm trọng và rất khó truy tìm thủ phạm Ví dụ như vụ tấn công vào các site thương mại có tiếng như Yahoo, Ebay vào tháng 2 năm 2000 do một hacker người Canada, sử dụng nhiều máy chủ đồng thời

truy cập Để chống tấn công kiểu này, ngoài những biện pháp tự bảo vệ còn phải có

sự cộng tác chung Các chủ sở hữu những server mạnh cần quản lý server sao cho không để những hacker lợi dụng Một số firewall cho phép đặt hữu hạn số lượng kết

nối với các host trong mạng Điều này làm giảm đáng kể khả năng tấn công

Có thể nói, bất kỳ dịch vụ nào có sự truy cập của người sử dụng theo thời gian đều

có thể trở thành mục tiêu của tấn công DoS

I.3.4.2 Chặn bắt gói tin (Network Packet Sniffing)

Những chương trình chặn bắt gói tin có thể chặn lại một gói tin bất kỳ trong mạng

và hiển thị nôị dung của gói tin một cách dễ đọc nhất Hai đầu của kết nối có thể không thể biết được là gói tin của mình đã bị xem trộm Đây là công cụ ưa thích của những người quản trị mạng dùng để kiểm tra mạng Khi mạng nội bộ được kết nối vào Internet, một kẻ khả nghi bên ngoài dùng packet sniffer có thể dễ dàng chặn gói tin được gửi đến một máy nào đó trong mạng Và dễ dàng nghe trộm thông tin

I.3.4.3 Giả mạo địa chỉ IP

Một phương thức thường được sử dụng khác là giả mạo địa chỉ IP Kẻ tấn công sử dụng địa chỉ IP nào đó dược tin là hợp lệ, không bị nghi ngờ Bởi địa chỉ IP là duy

nhất nhưng lại không phải là gắn với duy nhất một máy Khi ai đó muốn đều có thể

sử dụng IP mình thích mà không cần bất kỳ sự chứng thực nào Như trong pha gửi thư theo giao thức SMTP, mục người gửi không có một hạn chế nào là phải dùng đúng tên thật của máy gửi hay IP của địa chỉ nguồn

Giả mạo IP được sử dụng trong trường hợp mà firewall sử dụng một tập luật lọc gói tin dựa vào điạ chỉ IP Cho người dùng X đi qua mà không cho người dùng Y đi qua Hay còn gọi là Host-based filtering Y nếu muốn thì có thể giả mạo tên của X để vượt qua firewall Vì thế không thể tin tưởng vào địa chỉ IP và chỉ nên dùng tại mức

cơ bản của firewall

Trong ví dụ trên, một hệ thống bên ngoài ghi lại địa chỉ IP của nó là 10.12.1.1, giống như địa chỉ của một máy bên trong mạng Nếu firewall sử dụng việc lọc gói tin chỉ dựa trên địa chỉ IP mà không nhìn vào đường truyền vật lý thì gói tin giả mạo vẫn có thể đi qua được firewall (hình 2.6)

Hình I.4: Giả mạo địa chỉ IP

I.3.4.4 Xáo trộn và phát lại thông tin

Các thông tin truyền đi có thể bị chặn lại và bị thay đổi nội dung rồi mới được gửi

đến cho bên nhận (replay attack) Tuy nhiên, việc này sẽ khó thực hiện đối với các

mạng truyền quảng bá đến tất cả các máy trạm nhưng dễ dàng thực hiện trong mạng kiểu lưu trữ và chuyển tiếp Ngoài ra, các thông tin bị chặn lại trên đường truyền còn có thể được lưu trữ lại và gửi đi vào các thời điểm khác làm cho bên nhận có thể không nhận ra được sự thay đổi nhưng thực chất thông tin nhận được

là hoàn toàn sai lệch Việc mã hoá thông tin không thể chống lại kiểu tấn công này bởi việc truyền lại các thông tin có thể dùng là các thông tin lấy trộm được từ chính tài nguyên của hệ thống thậm chí đối với các kẻ phá hoại không mục đích chúng không cần hiểu hay dịch được các thông tin mà chúng thực hiện truyền lại

mạng nên để đi qua

I.3.4.5 Bom thư

Bom thư chính là một kiểu spam, kiểu tấn công này là đòn cuối cùng của hacker khi không còn khả năng xâm nhập trái phép vào các mạng nữa Hậu quả của bom thư là làm mất các thư có giá trị khác, tắc nghẽn đường truyền và tràn bộ lưu giữ của máy nhận thư