Giáo trình môn An toàn bảo mật hệ thống thông tin

Tiện ích của văn bản điện tử được xác định bởi hàng loạt ưu thế vượt trội: có thể đọc ngay từ màn hình máy tính mà không cần in ra giấy – điều này đồng nghĩa với việc tiết kiệm chi phí[r]

THÀNH PHỐ HỒ CHÍ MINH



GIÁO TRÌNH MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

NGÀNH: HỆ THỐNG THÔNG TIN TRÌNH ĐỘ: CAO ĐẲNG

THÀNH PHỐ HỒ CHÍ MINH



GIÁO TRÌNH MÔN HỌC: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

NGÀNH: HỆ THỐNG THÔNG TIN TRÌNH ĐỘ: CAO ĐẲNG

THÔNG TIN CHỦ NHIỆM ĐỀ TÀI

Họ tên: Võ Đào Thị Hồng Tuyết

Thành phố Hồ Chí Minh, năm 2020

Tài liệu này thuộc loại sách giáo trình nên các nguồn thông tin có thể được phép dùng nguyên bản hoặc trích dùng cho các mục đích về đào tạo và tham khảo

Mọi mục đích khác mang tính lệch lạc hoặc sử dụng với mục đích kinh doanh thiếu lành mạnh sẽ bị nghiêm cấm

Gần đây, môn học “An toàn và bảo mật thông tin” đã được đưa vào giảng dạy tại hầu hết các Khoa Công nghệ Thông tin của các trường đại học và cao đẳng Do các ứng dụng trên mạng Internet ngày các phát triển và mở rộng, nên an toàn thông tin trên mạng

đã trở thành nhu cầu bắt buộc cho mọi hệ thống ứng dụng Để đáp ứng yêu cầu học tập và

tự tìm hiểu của sinh viên chuyên ngành Hệ thống thông tin, giảng viên khoa Công nghệ thông tin, trường Cao đẳng Kinh tế - Kỹ thuật thành phố Hồ Chí Minh đã tổ chức biên soạn giáo trình này với mục đích trang bị các kiến thức cơ sở vừa đủ và giúp cho sinh viên hiểu được bản chất của các khía cạnh an ninh thông tin và bảo mật thông tin, trong giáo trình đã

cố gắng trình bày tóm tắt các phần lý thuyết cơ bản và đưa ra các ứng dụng thực tế

Giáo trình gồm 5 chương Chương đầu nêu tổng quan về bảo mật, chương 2 tóm tắt

sơ lược về các loại bảo mật và cách phòng chống, chương 3 trình bày các phương pháp mã hóa, chương 4 trình bày về chữ ký điện tử và chứng chỉ số, chương 5 nêu các ứng dụng bảo mật

TP Hồ Chí Minh, ngày 20 tháng 8 năm 2020

Tham gia biên soạn

1 Võ Đào Thị Hồng Tuyết

2 Nguyễn Ngọc Kim Phương

TUYÊN BỐ BẢN QUYỀN 3

LỜI GIỚI THIỆU 4

MỤC LỤC 5

CHƯƠNG TRÌNH MÔN HỌC 9

CHƯƠNG 1: TỔNG QUAN 1

1 Khái niệm an toàn thông tin và bảo mật thông tin 1

1.1 Hệ thống thông tin 1

1.2 An toàn thông tin 2

1.3 Bảo mật thông tin 2

2 Khái niệm bảo mật dữ liệu và các nguyên tắc cơ bản trong bảo mật dữ liệu 3

3 Mục tiêu của an toàn thông tin và bảo mật thông tin 4

4 Sự tấn công và mục đích tấn công 4

5 Các loại điểm yếu và loại tội phạm 5

6 Các biện pháp nhằm đảm bảo an toàn thông tin và bảo mật thông tin 6

CHƯƠNG 2: CÁC LOẠI BẢO MẬT VÀ CÁCH PHÒNG CHỐNG 9

1 Bảo mật máy tính ở cấp độ chương trình 9

1.1 Sử dụng tường lửa (Firewall) 9

1.2 Virus máy tính 9

1.3 Thường xuyên cập nhật phần mềm 11

2 Bảo mật máy tính ở cấp độ hệ điều hành 11

2.1 Các vấn đề bảo vệ trong Hệ điều hành 11

2.2 Cài đặt các bản Security Update của hệ điều hành 14

3 Bảo mật web 14

4 Bảo mật mạng 19

5 Cách phòng chống 22

CHƯƠNG 3: CÁC PHƯƠNG PHÁP MÃ HÓA 25

1 Khái niệm mã hóa 25

2 Sơ đồ một hệ thống mã hóa 25

3.2 Phương pháp mã hóa VIIGNERE 29

3.3 Phương pháp mã hóa TRITHEMIUS 30

3.4 Phương pháp mã hóa BELASCO 31

4 Các phương pháp mã hóa hiện đại 31

4.1 Mã hóa DES (Data Encryption Standard) 32

4.2 Mã hóa RSA 40

5 Cài đặt thử nghiệm 43

CÂU HỎI 45

CHƯƠNG 4: CHỮ KÝ ĐIỆN TỬ VÀ CHỨNG CHỈ SỐ 46

1 Giới thiệu 46

2 Một số khái niệm cơ bản 47

2.1 Khái niệm Chữ ký điện tử 47

2.2 Chương trình ký điện tử 49

2.3 So sánh điểm khác biệt của chữ ký số và chữ ký điện tử 51

3 Vấn đề xác thực và chữ ký điện tử 51

4 Hoạt động của một hệ thống chữ ký điện tử 52

5 Phân loại các hệ thống chữ ký điện tử 52

6 Thuật toán chữ ký điện tử DSA 52

7 Giải thuật băm bảo mật SHA 55

7.1 Giới thiệu 55

7.2 Hash là gì? 56

7.3 SHA-1 và SHA-2 57

7.4 Giữ chữ ký an toàn 59

8 Chứng chỉ số 60

8.1 Khái niệm Chứng chỉ số 60

8.2 Lợi ích của chứng chỉ số 61

CÂU HỎI 63

CHƯƠNG 5: - ỨNG DỤNG BẢO MẬT 64

1 Các giao thức 64

2 Hệ thống xác thực 64

2.2 Các phương pháp xác thực: 65

3 Ứng dụng bảo mật trong thanh toán điện tử 65

3.1 Giao thức SSL 65

3.2 Giao thức SET 66

4 Ứng dụng bảo mật trong SSL 67

CÂU HỎI 71

TÀI LIỆU THAM KHẢO 72

DANH MỤC HÌNH ẢNH 73

DANH MỤC TỪ VIẾT TẮT 74

Tên môn học: AN TOÀN BẢO MẬT HỆ THỐNG THÔNG TIN

- Tính chất: môn lý thuyết, môn học tự chọn

II Mục tiêu môn học:

- Về kiến thức:

+ Trình bày được các khái niệm an toàn thông tin, bảo mật thông tin

+ Trình bày được khái niệm bảo mật dữ liệu và các nguyên tắc cơ bản trong bảo mật dữ liệu

+ Nhận biết được sự cần thiết của việc bảo mật thông tin và bảo mật dữ liệu

+ Nhận biết được những kiểu tấn công thông thường của website

+ Trình bày phương pháp bảo mật máy tính ở cấp độ chương trình, cấp độ hệ điều hành, cấp độ web, cấp độ mạng

+ Trình bày phương pháp mã hóa cổ điển (CEASAR, VIIGNERE, TRITHEMIUS, BELASCO) và phương pháp mã hóa hiện đại (DES, RSA) để bảo mật dữ liệu

+ Trình bày được các khái niệm chữ ký điện tử (DSA) và chứng chỉ số

+ Mô tả được chức năng và công dụng của các ứng dụng bảo mật hệ thống thông tin

- Về kỹ năng:

+ Phân biệt được sự khác nhau giữa an toàn thông tin và bảo mật thông tin

+ Phân biệt được các loại virus và cách phòng chống

+ Kiểm soát được quyền truy cập

+ Ứng dụng cài đặt các loại tường lửa

+ Phân biệt được phương pháp mã hóa cổ điển và phương pháp mã hóa hiện đại

+ Cài đặt và thử nghiệm các giải thuật mã hóa

+ Ứng dụng bảo mật trong thanh toán điện tử, SSL

Nhận biết được sự cần thiết của việc bảo mật thông tin và bảo mật dữ liệu

Nhận biết được những kiểu tấn công thông thường của website

1 Khái niệm an toàn thông tin và bảo mật thông tin

1.1 Hệ thống thông tin

1.1.1 Khái niệm

Hệ thống thông tin (IS – Information System) là một hệ thống tích hợp các thành phần nhằm phục vụ việc thu thập, lưu trữ, xử lý thông tin và chuyển giao thông tin, tri thức và các sản phẩm số

Một hệ thống thông tin dựa trên máy tính (Computer-Based Information System)

là một hệ thống thông tin sử dụng công nghệ máy tính để thực thi các nhiệm vụ

1.1.2 Mô hình hệ thống thông tin

Hình 1 1 Mô hình hệ thống thông tin

Các doanh nghiệp và các tổ chức sử dụng các hệ thống thông tin (HTTT) để thực hiện và quản lý các hoạt động:

- Tương tác với khác khàng

- Tương tác với các nhà cung cấp

- Tương tác với các cơ quan chính quyền

- Quảng bá thương hiệu và sản phẩm

- Cạnh tranh với các đối thủ trên thị trường

1.2 An toàn thông tin

An toàn thông tin (Information Security) là việc bảo vệ chống truy nhập, sử dụng, tiết lộ, sửa đổi, hoặc phá hủy thông tin một cách trái phép

An toàn thông tin còn bao gồm cả việc đảm bảo an toàn cho các thành phần, hoặc hệ thống được sử dụng để quản lý, lưu trữ, xử lý và trao đổi thông tin

1.3 Bảo mật thông tin

1.3.1 Khái niệm

Bảo mật hệ thống thông tin (Information Systems Security) là bảo vệ hệ thống thông tin chống lại việc truy cập, sử dụng, chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép

1.3.2 Những yêu cầu bảo mật hệ thống thông tin

Hình 1 2 Các yêu cầu trong bảo mật hệ thống thông tin Tính bí mật (Confidentiality): bảo vệ dữ liệu không bị lộ ra ngoài một cách

trái phép Ví dụ: Trong hệ thống ngân hàng, một khách hàng được phép xem thông tin

số dư tài khoản của mình nhưng không được phép xem thông tin của khách hàng khác

Tính toàn vẹn (Integrity): Chỉ những người dùng được ủy quyền mới được

phép chỉnh sửa dữ liệu Ví dụ: Trong hệ thống ngân hàng, không cho phép khách hàng

tự thay đối thông tin số dư của tài khoản của mình

Tính sẵn sàng (Availability): Đảm bảo dữ liệu luôn sẵn sàng khi những người

dùng hoặc ứng dụng được ủy quyền yêu cầu Ví dụ: Trong hệ thống ngân hàng, cần đảm bảo rằng khách hàng có thể truy vấn thông tin số dư tài khoản bất kỳ lúc nào theo như quy định

Tính chống thoái thác (Non-repudiation): Khả năng ngăn chặn việc từ chối

một hành vi đã làm Ví dụ: Trong hệ thống ngân hàng, có khả năng cung cấp bằng chứng

để chứng minh một hành vi khách hàng đã làm, như rút tiền, chuyển tiền

2 Khái niệm bảo mật dữ liệu và các nguyên tắc cơ bản trong bảo mật dữ liệu

Các bước cơ bản trong bảo mật thông tin

Hình 1 3 Các bước cơ bản trong bảo mật thông tin Bước 1: Xác định các mối đe dọa (threat): cái gì có thể làm hại đến hệ thống?

Các mối đe dọa bảo mật (security threat) là những sự kiện có khả năng ảnh hưởng đến an toàn của hệ thống

Ví dụ: tấn công từ chối dịch vụ (DoS và DDoS) là một nguy cơ đối với hệ thống các máy chủ cung cấp dịch vụ trên mạng

Khi nói đến nguy cơ, nghĩa là sự kiện đó chưa xảy ra, nhưng có khả năng xảy ra

và có khả năng gây hại cho hệ thống Có những sự kiện có khả năng gây hại, nhưng không có khả năng xảy ra đối với hệ thống thì không được xem là nguy cơ

Các mối đe dọa được chia làm 4 loại:

- Xem thông tin một cách bất hợp pháp

- Chỉnh sửa thông tin một cách bất hợp pháp

- Từ chối dịch vụ

- Từ chối hành vi

Các mối đe dọa thường gặp:

- Lỗi và thiếu sót của người dùng (Errors and Omissions)

- Gian lận và đánh cắp thông tin (Fraud and Theft)

- Kẻ tấn công nguy hiểm (Malicious Hackers)

- Mã nguy hiểm (Malicious Code)

- Tấn công từ chối dịch vụ (Denial-of-Service Attacks)

- Social Engineering

Lỗi và thiếu sót của người dùng: mối đe dọa của hệ thống thông tin xuất phát từ những lỗi bảo mật, lỗi thao tác của những người dùng trong hệ thống

- Là mối đe dọa hàng đầu đối với một hệ thống thông tin

- Giải pháp: huấn luyện người dùng thực hiện đúng các thao tác, hạn chế

sai sót, thiện hiện nguyên tắc quyền tối thiểu (least privilege) và thường xuyên back-up

hệ thống

Lựa chọn chính sách bảo mật (security policy): điều gì cần mong đợi ở hệ

thống bảo mật?

Lựa chọn cơ chế bảo mật (security mechanism): cách nào để hệ thống bảo mật

có thể đạt được những mục tiêu bảo mật đề ra?

3 Mục tiêu của an toàn thông tin và bảo mật thông tin

Ngăn chặn kẻ tấn công vi phạm các chính sách bảo mật

Phát hiện: Phát hiện các vi phạm chính sách bảo mật

Phục hồi: Chặn các hành vi vi phạm đang diễn ra, đánh giá và sửa lỗi Tiếp tục hoạt động bình thường ngay cả khi tấn công đã xảy ra

và tấn công sửa đổi thông báo

- Tấn công chuyển tiếp xảy ra khi một thông báo, hoặc một phần thông báo được gửi nhiều lần, gây ra các tác động tiêu cực

- Tấn công sửa đổi thông báo xảy ra khi nội dung của một thông báo bị sửa đổi nhưng không bị phát hiện

- Tấn công từ chối dịch vụ là kiểu tấn công ngăn không cho những người dùng khác truy cập vào hệ thống, làm cho hệ thống bị quá tải và không thể hoạt động DoS là tấn công “one-to-one” và DDoS(distributed denial of service) là sử dụng các Zombie host tấn công “many-to-one” Hiện nay, các hình thức tấn công từ chối dịch vụ DoS (Denial of Service) và DDoS được đánh giá là các nguy cơ lớn nhất đối với sự an toàn của các hệ thống thông tin, gây ra những thiệt hại lớn và đặc biệt là chưa có giải

pháp ngăn chặn hữu hiệu Các hình thức tấn công này đều nhắm vào tính khả dụng của

hệ thống

- Tấn công từ bên trong hệ thống xảy ra khi người dùng hợp pháp cố tình hoặc vô ý can thiệp hệ thống trái phép Còn tấn công từ bên ngoài là nghe trộm, thu chặn, giả mạo người dùng hợp pháp và vượt quyền hoặc lách qua các cơ chế kiểm soát truy nhập

- Tấn công bị động là do thám, theo dõi đường truyền để: nhận được nội dung bản tin hoặc theo dõi luồng truyền tin

- Tấn công chủ động là thay đổi luồng dữ liệu để: giả mạo một người nào đó, lặp lại bản tin trước, thay đổi ban tin khi truyền, từ chối dịch vụ

- Tấn công bằng mã nguy hiểm là dùng một đoạn mã không mong muốn được nhúng trong một chương trình nhằm thực hiện các truy cập trái phép vào hệ thống máy tính để thu thập các thông tin nhạy cảm, làm gián đoạn hoạt động hoặc gây hại cho hệ thống máy tính, bao gồm: virus, worm, trojan horses, spyware, adware, backdoor,…

Năm bước để tấn công vào một hệ thống

- Thăm dò (Reconnaisance)

- Quét lỗ hổng để tấn công (Scanning)

- Cố gắng lấy quyền truy cập (Gaining access)

- Duy trì kết nối (Maintaining access)

- Xóa dấu vết (Cover his track)

Ảnh hưởng của các cuộc tấn công

- Các cuộc tấn công hàng năm gây hại trung bình 2,2 triệu USD cho các công

ty lớn (theo Symantec)

- Trộm cắp thông tin khách hàng/hack trang chủ làm giảm uy tín của công ty

- Tấn công DoS/DDoS và các cuộc tấn công khác làm gián đoạn thời gian hoạt động dịch vụ của doanh nghiệp, gây mất mát về doanh thu

- Các thông tin quan trong trong các hợp đồng bị ăn cắp, tiết lộ cho đối thủ cạnh tranh

5 Các loại điểm yếu và loại tội phạm

Lừa đảo trên internet (Internet Scammer)

- Gửi những tin qua email khẩn cầu giúp đỡ bằng cách quyên tiền tới nạn nhân

- Không dựa vào xâm nhập để thực hiện hành vị phạm tội

- Có động cơ là lợi ích kinh tế

- Xâm nhập hệ thống trái phép và cảnh báo về tính an toàn bảo mật của hệ thống

- Không làm việc cho công ty hoặc các khách hàng của công ty

- Không định gây hại, chỉ tỏ ra là “có ích”

- Động cơ chỉ là bốc đồng

Hacker mũ đen hay cracker

- Xâm nhập hệ thống trái phép lợi dụng các vấn đề bảo mật

- Không làm việc cho công ty hoặc các khách hàng của công ty

- Không muốn giúp đỡ mà chỉ gây hại

- Động cơ là do từ cộng đồng tội phạm này tham gia

Hacker mũ trắng

- Xâm nhập hệ thống để kiểm tra, xác nhận vấn đề về an toàn bảo mật hệ thống

- Làm việc cho công ty hoặc các khách hàng của công ty

- Không định gây hại, là “có ích”

Các công cụ tấn công mà tội phạm dùng để tấn công

- Vulnerability Scanner - Quét lỗ hổng

- Port Scaner - Quét cổng

- Sniffer - Nghe trộm

- Wardialer – phần mềm quét số điện thoại

- Keylogger – nghe trộm bàn phím

6 Các biện pháp nhằm đảm bảo an toàn thông tin và bảo mật thông tin

Luôn cập nhật các chương trình bảo mật: để đối phó với các chương trình diệt

virus hiện nay, hacker cũng liên tục tạo ra nhiều phiên bản khác nhau của các loại phần mềm độc hại, và chúng thay đổi hàng ngày Tuy nhiên, các nhà nghiên cứu và phát triển ứng dụng bảo mật cũng dễ dàng nắm bắt được sự thay đổi này, và luôn cung cấp phương

án khắc phục bằng các gói Signatures hoặc Definitions, có tác dụng cập nhật cơ sở dữ liệu nhận dạng virus và chương trình độc hại cho hệ thống Hầu hết các chương trình diệt virus hiện nay đều có cơ chế tự động thực hiện việc này, các bạn có thể thay đổi phần thiết lập này cho phù hợp với nhu cầu cá nhân:

Hình 1 5 Xem thời gian cập nhật bản gần nhất trên Microsoft Security Essentials

Chương trình Microsoft Security Essentials không có cơ chế tự động cập nhật từng giờ Người sử dụng có thể khắc phục bằng cách tab Settings và đánh dấu phần lựa chọn Check for the latest virus & spyware definitions before running a scheduled scan:

Hình 1 6 Cài đặt tự động cập nhật theo thời gian trên Microsoft Security Essentials

Lưu ý rằng chương trình bảo mật của chúng ta sẽ trở nên vô dụng sau 2 – 3 tuần không cập nhật gói Signatures hoặc Definitions, do vậy các bạn hãy lưu ý đến điểm này

Cài đặt ứng dụng Anti-Spyware / Adware / Malware: khi đề cập đến vấn đề

này, chắc hẳn nhiều người trong số chúng ta sẽ cho rằng chỉ cần sử dụng phần mềm diệt virus là đủ, và không cần tới bất cứ công cụ hỗ trợ nào khác Nhưng sự thật không phải như vậy, vì đi kèm với các loại virus ngày nay còn có rất nhiều biến thể khác, ở đây chúng ta đang nói đến các chương trình spyware, adware, malware Tuy việc cài thêm ứng dụng Anti-Spyware sẽ gây ảnh hưởng ít nhiều đến hiệu suất hoạt động của máy tính, nhưng hệ điều hành của bạn sẽ được bảo vệ an toàn hơn Bên cạnh đó, 1 lựa chọn

rất tốt và sử dụng SpyBot Search and Destroy với nhiều tính năng nổi trội và đặc biệt

vô cùng hiệu quả trong việc phát hiện và tiêu diệt những phần mềm spyware, adware và malware

Kiểm tra toàn bộ hệ thống thường xuyên theo định kỳ: Công đoạn này rất

quan trọng vì nó ảnh hưởng rất nhiều đến sự ổn định của hệ thống, chỉ với những thao tác đơn giản như xóa bộ nhớ đệm, cookies của trình duyệt, history làm việc, các thư mục temp trong Windows điển hình và dễ sử dụng nhất là CCleaner của Piriform

Nâng cao ý thức và trách nhiệm phòng chống tội phạm công nghệ cao; cần

cẩn trọng trong việc cung cấp thông tin cá nhân, mật khẩu hoặc số OTP khi thực hiện các giao dịch thanh toán hoặc thực hiện bất kỳ yêu cầu thay đổi thông tin trên mạng xã hội, forum, website, email, điện thoại Đặc biệt, sử dụng các phần mềm có bản quyền;

sử dụng mật khẩu có tính bảo mật cao và thường xuyên thay đổi mật khẩu; cài đặt và sử dụng các phần mềm bảo vệ (diệt vi rút) hoặc thiết lập tường lửa (firewall)

CÂU HỎI

Câu 1 Nêu các mục tiêu của an toàn thông tin

Câu 2 Nêu các hình thức tấn công, cho ví dụ

Câu 3 Nêu các phương pháp ngăn chặn và khắc phục tấn công

CHƯƠNG 2: CÁC LOẠI BẢO MẬT VÀ CÁCH PHÒNG CHỐNG

Phân biệt được các loại virus và cách phòng chống

1 Bảo mật máy tính ở cấp độ chương trình

1.1 Sử dụng tường lửa (Firewall)

Tường lửa thường là phần mềm hệ thống được đính kèm sẵn theo mỗi phiên bản Windows, nó có tác dụng như một biên giới giúp ngăn chặn, hoặc chọn lọc những kẻ xâm nhập không mong muốn trên Internet vào máy tính cá nhân của người khác Nhưng đôi khi bức tường này tỏ ra không hiệu quả và dễ dàng bị qua mặt, việc sử dụng phần mềm bên thứ 3 là giải pháp hữu hiệu để khắc phục vấn đề này Tuy nhiên đừng quá tin tưởng vào Firewall, đây chỉ là một mẹo rất nhỏ trong công cuộc bảo vệ chiếc máy tính của bạn

1.2 Virus máy tính

1.2.1 Khái niệm virus máy tính

Virus máy tính là đoạn mã thực thi ghép vào chương trình chủ và giành quyền điều khiển khi chương trình chủ thực thi

Virus được thiết kế nhằm nhân bản, tránh né sự phát hiện, phá hỏng/thay đổi dữ liệu, hiển thị thông điệp hoặc làm cho hệ điều hành hoạt động sai lệch

1.2.2 Hoạt động của virus

Các pha:

- Không hoạt động - chờ đợi sự kiện kích hoạt

- Lan truyền - sao chép mình tới chương trình/đĩa

- Kích hoạt – theo sự kiện để thực thi payload

- Thực thi – theo payload

- Chi tiết phụ thuộc các máy/HĐH cụ thể

- Khai thác các đặc trưng/điểm yếu

1.2.3 Cấu trúc của virus

subroutine do-damage := {whatever damage is to be done}

subroutine trigger-pulled := {return true if some condition holds}

main: main-program := {infect-executable;

if trigger-pulled then do-damage;

goto next;}

next:

}

1.2.4 Các loại virus

Có thể phân loại theo cách tấn công của chúng

- Virus ký sinh: loại virus ký sinh vào các tập tin thi hành (com, exe, pif, scr,

dll ) trên hệ thống đích Ứng dụng chủ (host application) có thể bị nhiễm virus vào đầu file, giữa file hoặc cuối file Khi hệ thống thi hành một ứng dụng chủ nhiễm: Pay-load nắm quyền sử dụng CPU; Vir-code thực thi các thủ tục phá hoại, sử dụng dữ liệu trong Vir-data; Trả quyền sử dụng CPU cho ứng dụng chủ

- Virus boot sector: Boot-virus: loại virus nhiễm vào mẫu tin khởi động

(boot record - 512 byte) của tổ chức đĩa; Multi-partite: loại virus tổ hợp tính năng của virus ký sinh và boot virus, nhiễm cả file lẫn boot sector

- Virus macro: Đính vào các tập tin dữ liệu có sử dụng macro, data virus tự

động thực hiện khi tập dữ liệu nhiễm được mở bởi ứng dụng chủ Các data virus quen thuộc:

+ Microsoft Word Document: doc macro virus + Microsoft Excel Worksheet: xls macro virus + Microsoft Power Point: ppt macro virus

+ Adobe Reader: pdf script virus + Visual Basic: vb script virus + Java: java script virus

+ Startup file: bat virus,…

Email virus: Lây lan bằng cách sử dụng email với tập tin đính kèm có chứa một

virus macro (Ví dụ Melissa); Kích hoạt khi người dùng mở tập tin đính kèm hoặc tệ hơn, ngay cả khi thư xem bằng cách sử dụng tính năng kịch bản trong email agent; Thường nhắm vào Microsoft Outlook mail agent & các tài liệu Word/Excel

1.2.5 Sử dụng các phần mềm Antivirus

Antivirus có rất nhiều ích lợi trong việc phát hiện, loại bỏ các loại virus cũng như khắc phục phần nào hậu quả do chúng gây ra Tuy nhiên nhiều người lại phớt lờ và bỏ qua quá trình này, dẫn đến hậu quả là chiếc máy tính của họ thường xuyên xảy ra lỗi hệ thống hay nghiêm trọng hơn có thể làm lộ các thông tin cá nhân lên mạng Internet Vì vậy, mỗi người nên cài đặt và thường xuyên cập nhật các chương trình Antivirus để bảo

vệ dữ liệu của mình Hiện nay bên cạnh các phần mềm yêu cầu trả tiền, vẫn có rất nhiều chương trình mạnh mẽ nhưng miễn phí như Avast, Avira,…

1.3 Thường xuyên cập nhật phần mềm

Bên trong mỗi hệ điều hành hay các phần mềm thường vẫn còn rất nhiều lỗi chưa được phát hiện, từ những lỗi đó hacker có thể dễ dàng xâm nhập và chiếm quyền điều khiển máy tính cá nhân Vì thế, nên kiểm tra và update thường xuyên chương trình của mình lên phiên bản mới nhất, ngoài việc đảm bảo an toàn nó còn giúp phần mềm chạy trơn tru và mượt mà hơn

2 Bảo mật máy tính ở cấp độ hệ điều hành

2.1 Các vấn đề bảo vệ trong Hệ điều hành

Một hệ điều hành (OS) cung cấp các chỉ thị chương trình cơ bán để giao tiếp với phần cứng của máy tính Hệ điều hành là một mã chương trình giúp người sử dụng bẳt đầu các chức năng cơ bản của một máy tính như: xem nội văn bàn trên màn hình của máy tính, lưu giữ thông tin, truy nhập và sửa đổi thông tin, truy nhập vào một mạng, kết nối Internet và chạy các phần mềm ứng dụng khác Hệ điều hành thực hiện các chức năng quản lý vào/ra (I/O) cơ bản nhất của máy tính Quản lý vào/ra cho phép các chương trình giao tiếp với phần cứng của máy một cách dễ dàng Đóng vai trò là một giao diện giữa các chương trình ứng dụng và phần cứng của máy, một hệ điều hành thực hiện các tác vụ sau:

- Kiểm soát dừ liệu vào từ bàn phím, thiết bị chuột và mạng

- Kiểm soát dừ liệu ra màn hình, máy in và mạng

- Cho phép truyền thông qua modem hoặc các công truyên thông khác

- Kiểm soát vào/ra cho tất cả các thiết bị, kể cả cạc giao diện mạng

- Quản lý việc lưu trữ, tìm kiếm và phục hồi thông tin trên các thiết bị lưu trữ như các ổ đĩa cứng, các ổ đĩa CD-ROM

- Cho phép các chức năng đa phương tiện như chơi nhạc và truy cập các đoạn video clip

Tất cả các cấp độ hệ điều hành, hệ điều hành đều có khả năng đề cung cấp các chức năng an toàn Ví dụ, một hệ điều hành có thể cung cấp chức năng an toàn để quản

lý việc truy nhập ổ đĩa cứng hoặc quản lý cách thức các chương trình phần mềm kiểm soát các chức năng phần cứng Thông qua hệ điều hành, việc truy cập tới một máy tính hay một mạng có thể được kiểm soát bằng các khoản mục người dùng và mật khẩu Một

số hệ điều hành cỏ khả năng tự bảo vệ mã chương trình của chúng bằng cách chạy mă này trong một vùng an toàn mà chỉ có hệ điều hành đó được phép sử dụng Một số hệ điều hành lại có khả năng tự bảo vệ bằng cách tự động tắt các phần mềm có lỗi hoặc phần mềm sai chức năng để ngăn không cho chúng can thiệp vào các phần mềm khác hoặc can thiệp vào phần cứng

- Giao diện lập trình ứng dụng (API): là phần mềm trung gian giừa chương trình ứng dụng và nhân hệ điều hành (mã chương trình chính cùa hệ điều hành) API sẽ biên dịch các yêu cầu từ chương trình ứng dụng thành mã mà nhân hệ điều hành có thể hiểu được và chuyền xuống các trình điều khiển thiết bị phần cứng và ngược lại Một chức năng khác của API là cung cấp một giao diện cho hệ thống vào/ra cơ bản (BIOS)

- Hệ thống vào/ra cơ ban (BIOS): là một chương trình nhận dạng thiết bị phần cứng và thiết lập quá trình truyền thông cơ ban với các thành phần như màn hình

và các ổ đĩa Ngoài ra, BIOS còn nạp các thành phần khác của hệ điều hành khi khởi động và duy trì một đồng hồ thời gian thực để cung cấp ngày giờ cho hệ thống

- Nhân hệ điều hành (Kernel): là phần lõi cùa hệ điều hành thực hiện phối họp các chức năng của hệ điều hành như: kiểm soát bộ nhớ và thiết bị lưu trữ Nhân hệ điều hành sẽ giao tiếp với BIOS, các trình điều khiển thiết bị và API để thực hiện các chức năng này Ngoài ra, nó còn là giao diện với các trình quản lý tài nguyên

- Trình quản lý tài nguyên (Resource Manager): là các chuơng trình quản

lý việc sử dụng bộ nhớ và vi xử lý trung tâm

- Trình điều khiên thiết bị (Device Driver): là các chuơng trình nhận các yêu cầu từ API thông qua nhân hệ điều hành rồi biên dịch chúng thành các lệnh thao tác với các thiết bị phần cứng tương ứng như: bàn phím, màn hình, ổ đĩa và máy in Ngoài

ra, hệ điều hành còn có thêm các trình điều khiển chuyên dụng phục vụ các chức năng

và các thiết bị khác như âm thanh

Trong các thành phần này, một dạng an toàn cơ bản nhất là cấu hình an toàn mật khẩu BIOS Tuỳ chọn an toàn mật khẩu này có thể khác nhau tuỳ theo các nhà sản xuất phần mềm BIOS khác nhau Dưới đây là một số tuỳ chọn mật khâu thông dụng trong BIOS:

- Đặt mật khẩu để quản lý việc truy nhập ổ đĩa cứng

- Đặt mật khẩu để truy cập chương trình cài đặt BIOS hoặc xem cấu hình của BIOS (trong một số trường hợp người dùng có thể truy nhập vào BIOS để xem các thông tin cấu hình nhưng không thể thay đổi các cấu hình đó)

- Đặt mật khẩu để thay đổi cấu hình BIOS

- Đặt mật khẩu để khởi động máy

2.1.1 Bảo vệ bộ nhớ và địa chỉ:

Có 2 cách ngăn chặn một chương trình/người dùng can thiệp vào không gian bộ nhớ của chương trình/người dùng khác là Phân đoạn (Segmentation) và Phân trang

(Paging)

- Phân đoạn (Segmentation):

+ Phân chia chương trình thành các đoạn, tương ứng với các đoạn dữ liệu, các chương trình con, mỗi đoạn có quyền khác nhau (R,W,E)

+ Phân chia bộ nhớ vật lý thành các đoạn,  tương ứng với, các mảng dữ liệu người dùng hoặc các đoạn mã chương trình

+ Mỗi đoạn có một tên duy nhất:  <Name,Offset>,  hệ điều hành phải duy trì một bảng các đoạn

- Phân trang (Paging)

+ Phân chia chương trình thành các trang (page) cùng kích thước + Phân chia bộ nhớ vật lý thành các khung trang (page frame) cùng kích thước  512 đến 4096 byte

+  Mỗi trang có một tên duy nhất <Page,Offset>, hệ điều hành phải duy trì một bảng các trang

- Kết hợp Phân đoạn và Phân trang

+ Ưu điểm của phân đoạn: bảo vệ bộ nhớ bằng cách phân quyền theo chương trình/người dùng, hệ điều hành kiểm soát việc quyền đọc/ghi/thực hiện trên bộ nhớ

+  Ưu điểm của phân trang:  tốc độ

+ Trong các hệ điều hành hiện đại: kết hợp Phân đoạn + Phân trang

-  Một số đặc điểm sinh trắc học: vân tay, mắt, khuôn mặt, chữ viết…Xác thực bằng sinh trắc học tương đối mới, phát triển nhanh trong những năm gần đây Một số nhược điểm: giá thành cao, Tốc độ và Độ chính xác còn tùy thuộc vào thiết bị, dễ giả mạo

2.2 Cài đặt các bản Security Update của hệ điều hành

Như chúng ta đã biết, bất kỳ hệ điều hành nào của Microsoft, Apple, Linux đều gặp các lỗi có liên quan đến bảo mật Và do vậy, khi nhà phát hành chính thức cung cấp những bản vá – Patch theo định kỳ thì chúng ta nên tiến hành cập nhật ngay lập tức để đảm bảo sự ổn định của hệ thống

3 Bảo mật web

Trên thực tế bất kỳ trang web cũng đều có nguy cơ bị xâm phạm Khi website có

lỗ hổng, hacker dễ dàng xâm nhập, tấn công và khai thác dữ liệu khiến website bị nhiễm độc gây nguy hiểm không chỉ cho chủ sở hữu trang web mà cho cả những khách truy cập Phần lớn các vi phạm bảo mật trang web không phải là để đánh cắp dữ liệu hoặc phá hoại bố cục trang web, mà là sử dụng máy chủ của trang để chuyển tiếp email spam hoặc thiết lập máy chủ web tạm thời, thông thường để phục vụ các file bất hợp pháp

Các máy bị xâm nhập có thể bị biến thành một phần của mạng botnet, để đào Bitcoin, hoặc dùng ransomware tấn công nạn nhân

Sau khi website đã được khử độc, nếu quản trị viên vẫn chủ quan không quan tâm đến các lỗ hỗng này thường xuyên thì website vẫn sẽ dễ dàng bị nhiễm độc trở lại bất cứ lúc nào Để ngăn chặn điều này xảy ra, cần có những phương pháp thích hợp để bảo vệ máy chủ web cũng như máy tính của quản trị viên khi kết nối với tài khoản máy chủ

Cách đơn giản nhất để bảo vệ website là đảm bảo an toàn cho website trước những kẻ xấu Nhưng khi tìm hiểu về các lỗ hổng bảo mật web, bạn sẽ phải đối mặt với những khái niệm và giải pháp phức tạp Hiểu được điều đó, Một vài trong số đó là lời khuyên của Marta Janus, Chuyên gia nghiên cứu an ninh mạng, Kaspersky Lab

- Sử dụng mật khẩu mạnh là nền tảng cơ bản giúp tăng cường bảo mật cho

hệ thống máy chủ Mật khẩu không chỉ bắt buộc thay đổi sau khi xảy ra sự cố mà cần phải thay đổi thường xuyên, tốt nhất là định kỳ mỗi tháng một lần Một mật khẩu đủ mạnh cần đáp ứng được các tiêu chí cơ bản Mật khẩu an toàn phải được tích hợp giữa chữ, số và các ký tự đặc biệt nhưng phải đảm bảo dễ nhớ để không phải ghi chú lại mật khẩu này vào sổ hay máy tính, không sử dụng cùng một mật khẩu cho nhiều tài khoản khác nhau như email, tài khoản ngân hàng,…

- Liên tục cập nhật: Để nâng cao mức độ bảo mật, người dùng cần phải cập

nhật website của mình thường xuyên, đặc biệt theo dõi thông tin phiên bản mới nếu đang dùng các phần mềm web nguồn mở (CMS, portal, forum ) Tất cả các phần mềm mà người sử dụng quản lý bằng tài khoản máy chủ phải là phiên bản mới nhất và tất cả các bản vá bảo mật cần phải được áp dụng ngay sau khi nó được phát hành Điều này sẽ

giảm nguy cơ một cuộc tấn công nhằm vào việc khai thác dữ liệu

- Tạo các bản sao lưu: một bản sao lưu tất cả các nội dung của máy chủ không

bị "nhiễm độc" chắc chắn sẽ giúp người dùng tiết kiệm rất nhiều thời gian và công sức khi khôi phục Một bản sao gần nhất sẽ rất hữu ích trong việc giải quyết các vấn đề phát

sinh cũng như trong trường hợp máy chủ hoặc trang web bị nhiễm độc

- Quét tập tin thường xuyên: Quét ngay cả khi không có dấu hiệu bị nhiễm

độc nào được tìm thấy Đây là một thao tác rất hữu ích để bảo vệ website, quét tất cả các tập tin trên máy chủ trong một thời gian nhất định ít nhất là một lần

- Quan tâm đến bảo mật máy tính: rất nhiều malware độc hại tấn công vào

các trang web và được phát tán bằng cách lây nhiễm vào các máy tính Vì vậy, vấn đề

an ninh của máy chủ chứa trang web là một trong những khía cạnh quan trọng nhất trong việc bảo mật website Giữ cho máy chủ luôn trong tình trạng an toàn và không bị nhiễm độc sẽ nâng cao mức độ an toàn cũng như tránh được sự tấn công của các malware

- Tăng cường mức độ bảo mật của máy chủ: Loại bỏ tất cả các phần mềm không sử dụng

+ Vô hiệu hóa tất cả các dịch vụ và module không cần thiết

+ Thiết lập chính sách phù hợp cho người dùng và các nhóm

+ Thiết lập quyền truy cập/hạn chế truy cập vào các tập tin và thư mục nhất định + Vô hiệu hóa việc duyệt thư mục trực tiếp

+ Thu thập các tập tin ghi nhận hoạt động, thường xuyên kiểm tra các hoạt động đáng ngờ

+ Sử dụng mã hóa và các giao thức an toàn

Xác thực cả hai phía:

Xác thực phải luôn luôn được thực hiện cả trên trình duyệt và phía máy chủ Trình duyệt có thể gặp các lỗi đơn giản như khi các trường bắt buộc điền bị để trống hay nhập văn bản vào trường chỉ cho điền số Tuy nhiên, những điều này có thể được bỏ qua

và nên đảm bảo việc kiểm tra các xác thực sâu hơn phía máy chủ Vì không làm như vậy có thể dẫn đến mã hoặc tập lệnh độc hại được chèn vào cơ sở dữ liệu hoặc có thể gây ra kết quả không mong muốn trong trang web

Tránh upload file

Cho phép người dùng upload file lên trang web có thể mang đến rủi ro lớn cho trang web, ngay cả khi chỉ đơn giản là thay đổi hình đại diện Rủi ro nằm ở bất kỳ file nào được upload lên, dù trông có vẻ vô hại, nó có thể chứa một tập lệnh mà khi được thực thi trên máy chủ sẽ “phơi bày” hoàn toàn trang web

Nếu upload file là điều bắt buộc thì cần phải cảnh giác với tất cả mọi thứ Nếu cho phép người dùng upload lên hình ảnh, không thể chỉ dựa vào phần mở rộng file để xác minh đó là file hình ảnh vì chúng có thể dễ dàng bị giả mạo Ngay cả việc mở file

và đọc tiêu đề hoặc sử dụng các chức năng để kiểm tra kích thước hình ảnh cũng không thể tuyệt đối an toàn Hầu hết các định dạng hình ảnh cho phép lưu trữ một phần bình luận có thể chứa code PHP được thực thi bởi máy chủ

Vậy có thể làm gì để ngăn chặn điều này? Hãy ngăn người dùng thực thi bất kỳ file nào họ upload lên Theo mặc định, các máy chủ web sẽ không cố thực thi các file

có phần mở rộng hình ảnh, nhưng không thể chỉ dựa vào việc kiểm tra phần mở rộng file, vì một file có tên image.jpg.php có thể dễ dàng “lách luật”

Một số tùy chọn là đổi tên file khi upload lên để đảm bảo phần mở rộng file chính xác hoặc thay đổi quyền của file, ví dụ, chmod 0666 để nó không thể thực thi được Nếu

sử dụng *nix, người dùng có thể tạo file htaccess, chỉ cho phép truy cập đến một bộ file ngăn chặn việc sử dụng phần mở rộng kép được đề cập trước đó

deny from all

Hãy đảm bảo có thiết lập tường lửa và tất cả các cổng không cần thiết đã bị chặn Nếu có thể, hãy thiết lập DMZ (Demilitarised Zone) chỉ cho phép truy cập vào cổng 80

và 443 từ bên ngoài Mặc dù điều này có thể không thực hiện được nếu không có quyền truy cập vào máy chủ từ mạng nội bộ, vì sẽ cần mở các cổng để cho phép upload file lên

và đăng nhập từ xa vào máy chủ qua SSH hoặc RDP

Nếu cho phép các file được upload lên từ Internet, chỉ sử dụng các phương thức vận chuyển an toàn đến máy chủ của bạn như SFTP hoặc SSH

Nếu có thể, cơ sở dữ liệu sẽ chạy trên một máy chủ khác với máy chủ web Làm điều này có nghĩa là máy chủ cơ sở dữ liệu không thể được truy cập trực tiếp từ bên ngoài, chỉ có máy chủ web có thể truy cập nó, giảm thiểu rủi ro dữ liệu bị lộ

Cuối cùng, đừng quên việc hạn chế quyền truy cập vật lý vào máy chủ

Thêm công cụ bảo mật trang web: khi cho rằng mình đã làm tất cả những gì có

thể thì đã đến lúc kiểm tra bảo mật trang web Cách hiệu quả nhất để thực hiện việc này

là thông qua việc sử dụng một số công cụ bảo mật trang web, thường được gọi là kiểm tra thâm nhập (viết tắt là pen testing)

- Có rất nhiều sản phẩm thương mại và miễn phí hỗ trợ điều này Chúng hoạt động trên cơ sở tương tự với tập lệnh của các tin tặc ở chỗ chúng kiểm tra tất cả các hoạt động khai thác và cố gắng tấn công trang web, bằng cách sử dụng một số phương pháp như SQL Injection

- Một số công cụ miễn phí đáng xem xét là:

+ Netsparker.com (Phiên bản cộng đồng miễn phí và phiên bản dùng thử

có sẵn) Thích hợp để kiểm tra SQL injection và XSS

+ OpenVAS.org: Tự nhận là trình quét bảo mật mã nguồn mở tiên tiến nhất

Thích hợp để kiểm tra các lỗ hổng đã biết (hơn 25.000) Nhưng có thể khó cài đặt và yêu cầu cài đặt máy chủ OpenVAS chỉ chạy trên *nix OpenVAS là một nhánh của Nessus trước khi

nó trở thành một sản phẩm thương mại nguồn đóng

+ SecurityHeaders.com (kiểm tra trực tuyến miễn phí) Một công cụ để

nhanh chóng báo cáo các tiêu đề bảo mật được đề cập ở trên (như CSP và HSTS), một domain đã được bật và định cấu hình chính xác

+ Xenotix XSS Miningit Framework (xenotix.in) Một công cụ từ

OWASP (Open Web Application Security Project) bao gồm rất nhiều ví dụ về các cuộc tấn công XSS, người dùng có thể chạy để nhanh chóng xác nhận xem các đầu vào trang web có dễ bị tấn công trong Chrome, Firefox và IE hay không

- Kết quả từ các công cụ tự động có thể khiến bạn nản chí, vì chúng thể hiện rất nhiều vấn đề tiềm ẩn, hãy tập trung vào các vấn đề quan trọng trước tiên Mỗi vấn đề được báo cáo thường đi kèm với một lời giải thích rõ ràng về lỗ hổng tiềm ẩn Người dùng có thể sẽ thấy rằng một số vấn đề ở mức cảnh báo trung bình/thấp không phải là mối quan tâm đối với trang web

- Có một số cách bạn có thể làm để thử tấn công trang web của chính mình

như thay đổi giá trị POST/GET Một proxy gỡ lỗi có thể hỗ trợ tốt trong trường hợp

này vì nó cho phép chặn các giá trị của yêu cầu HTTP giữa trình duyệt và máy chủ Phần mềm Fiddler là một điểm khởi đầu tốt để thực hiện việc này

- Nếu website có trang chỉ hiển thị cho người dùng đã đăng nhập thì hãy thử thay đổi các tham số URL như ID người dùng hoặc giá trị cookie để cố gắng xem chi tiết của người dùng khác Một lĩnh vực đáng thử nghiệm khác là các biểu mẫu, thay đổi các giá trị POST để cố gắng gửi code thực thi XSS hoặc upload lên tập lệnh phía máy chủ

Mã hóa trang đăng nhập: hãy sử dụng mã hóa SSL trên các trang đăng nhập

SSL cho phép thông tin nhạy cảm như số thẻ tín dụng, số an sinh xã hội và thông tin đăng nhập được truyền một cách an toàn Thông tin được nhập trên một trang được mã hóa sao cho nó vô nghĩa đối với bất kỳ bên thứ ba nào Điều này giúp ngăn chặn tin tặc truy cập thông tin đăng nhập hoặc dữ liệu riêng tư khác

Giữ trang web “sạch sẽ”: Mỗi cơ sở dữ liệu, ứng dụng hoặc plugin trên trang

web đều là điểm có thể khai thác trong mắt hacker Người dùng nên xóa các file, cơ sở

dữ liệu hoặc ứng dụng không còn được sử dụng khỏi trang web Điều quan trọng là phải giữ cấu trúc file được tổ chức hợp lý để theo dõi các thay đổi và giúp xóa các file cũ dễ dàng hơn

Thuê một chuyên gia bảo mật: phát triển mối quan hệ với một công ty cung cấp

dịch vụ bảo mật có thể là cứu cánh trong việc bảo vệ trang web Mặc dù người dùng có thể tự xử lý những việc nhỏ, nhưng có nhiều biện pháp bảo mật cần được xử lý bởi một chuyên gia Các công ty cung cấp dịch vụ bảo mật có thể thường xuyên quét trang web

để tìm lỗ hổng, thực hiện kiểm tra bảo mật trang web đầy đủ, theo dõi hoạt động độc hại

và có mặt bất cứ khi nào có sự cố cần sửa chữa

4 Bảo mật mạng

Bảo mật mạng là sự bảo mật: chỉ có người gửi, người nhận mới “hiểu” được nội dung thông điệp; người gửi mã hóa thông điệp, người nhận giải mã thông điệp Chứng thực: người gửi, người nhận xác định là nhận ra nhau Sự toàn vẹn thông điệp: người gửi, người nhận muốn bảo đảm thông điệp không bị thay đổi (trên đường truyền hoặc sau khi nhận) mà không bị phát hiện Truy cập & tính sẵn sàng: các dịch vụ phải có khả năng truy cập và sẵn sàng đối với các user

Ví dụ: Bạn và kẻ thù: Alice, Bob, Trudy Bob, Alice (bạn bè) muốn truyền thông

“an toàn” và Trudy (kẻ xâm nhập) có thể ngăn chặn, xóa, thêm các thông điệp

Hình 2 1 Mô tả bảo mật mạng Bob, Alice có thể là những ai?

- Trình duyệt Web/server cho các giao dịch điện tử

- Client/server ngân hàng trực tuyến

- DNS servers

- Các router trao đổi thông tin cập nhật bảng routing

Bạn và kẻ thù: Kẻ xấu có thể làm những việc gì?

- Nghe lén: ngăn chặn các thông điệp

- Kích hoạt chèn các thông điệp vào trong kết nối

- Giả danh: có thể giả mạo địa chỉ nguồn trong gói (hoặc bất kỳ trường nào trong đó)

- Cướp: “tiếp tục” kết nối hiện hành nhưng thay người gửi hoặc người nhận bằng chính họ

- Từ chối dịch vụ: dịch vụ hiện tại bị người khác dùng (đồng nghĩa quá tải)

Cảnh giác với SQL injection: các cuộc tấn công SQL injection là khi kẻ tấn

công sử dụng trường mẫu web hoặc tham số URL để có quyền truy cập hoặc thao tác cơ

sở dữ liệu của nạn nhân Khi sử dụng Transact SQL tiêu chuẩn, thật dễ dàng chèn code giả mạo vào truy vấn của người dùng, từ đó thay đổi bảng, lấy thông tin và xóa dữ liệu

Có thể dễ dàng ngăn chặn điều này bằng cách luôn sử dụng truy vấn được tham số hóa

Hầu hết các ngôn ngữ web đều có tính năng này và nó rất dễ thực hiện

- Xem xét truy vấn sau:

"SELECT * FROM table WHERE column = '" + parameter + "';"

- Nếu kẻ tấn công thay đổi tham số URL thành ' or '1'='1 thì điều đó sẽ khiến truy vấn trông như sau:

"SELECT * FROM table WHERE column = '' OR '1'='1';"

Vì '1' bằng '1', điều này sẽ cho phép kẻ tấn công thêm một truy vấn bổ sung vào cuối câu lệnh SQL và nó cũng sẽ được thực thi

- Bạn có thể sửa truy vấn này bằng cách tham số hóa nó một cách rõ ràng Ví

dụ, nếu đang sử dụng MySQLi trong PHP thì truy vấn sẽ trở thành:

$stmt = $pdo->prepare('SELECT * FROM table WHERE column = :value');

$stmt->execute(array('value' => $parameter));

Bảo vệ chống lại các cuộc tấn công XSS: Cross-site scripting (XSS) truyền

JavaScript độc hại vào các trang web, sau đó chạy trong trình duyệt của người dùng và

có thể thay đổi nội dung trang, hoặc đánh cắp thông tin để gửi lại cho kẻ tấn công Ví

dụ, nếu hiển thị nhận xét trên một trang mà không có xác thực, thì kẻ tấn công có thể gửi nhận xét chứa thẻ script và JavaScript, chạy trong mọi trình duyệt của người dùng khác và đánh cắp cookie đăng nhập của họ, sau đó chiếm quyền kiểm soát tài khoản của mọi người người dùng đã xem bình luận Cần đảm bảo rằng người dùng không thể đưa

nội dung JavaScript đang hoạt động vào các trang web

- Đây là mối quan tâm đặc biệt trong các ứng dụng web hiện đại, nơi các trang hiện được xây dựng chủ yếu từ nội dung người dùng và tạo HTML cũng được biên dịch bởi các framework front-end như Angular và Ember trong nhiều trường hợp Các framework này cung cấp nhiều biện pháp bảo vệ chống lại XSS, nhưng việc kết hợp rendering máy chủ và máy khách cũng tạo ra các cách tấn công mới và phức tạp hơn, không chỉ có khả năng truyền JavaScript vào HTML hiệu quả, mà còn có thể truyền nội dung sẽ chạy code bằng cách chèn các lệnh Angular hoặc sử dụng các trình trợ giúp Ember

- Mấu chốt ở đây là tập trung vào cách nội dung do người dùng tạo Điều này tương tự như bảo vệ chống lại SQL injection Khi tạo HTML động, hãy sử dụng các hàm thực hiện rõ ràng các thay đổi đang tìm kiếm (ví dụ, sử dụng phần tử setAttribution

và Element.textContent để trình duyệt tự động escape, thay vì cài đặt phần tử.inner HTML thủ công) hoặc sử dụng các hàm tự động escape khi thích hợp, thay vì nối chuỗi hoặc đặt nội dung HTML thô

- Một công cụ mạnh mẽ khác để chống lại XSS là chính sách bảo mật nội dung (Content Security Policy - CSP) CSP là header máy chủ có thể trả về, cho phép trình duyệt giới hạn cách thức và những gì JavaScript được thực thi trong trang, ví dụ như không cho phép chạy bất kỳ tập lệnh nào không được lưu trữ trên domain, không cho

phép JavaScript nội tuyến hoặc vô hiệu hóa eval() Mozilla có một hướng dẫn tuyệt vời với một số cấu hình ví dụ (tham khảo tại developer.mozilla.org/en-US/docs/Web/HTTP/CSP) Điều này làm cho các tập lệnh của kẻ tấn công khó hoạt động hơn, ngay cả khi kẻ tấn công có thể đưa chúng vào trang web

Cẩn thận với các thông báo lỗi: hãy cẩn thận với lượng thông tin bạn cung cấp

trong các thông báo lỗi Chỉ cung cấp các lỗi tối thiểu cho người dùng, để đảm bảo chúng không làm rò rỉ các bí mật có trên máy chủ (ví dụ, khóa API hoặc mật khẩu cơ sở dữ liệu) Đừng cung cấp đầy đủ chi tiết ngoại lệ vì những điều này có thể làm cho các cuộc tấn công phức tạp như SQL injection được thực hiện dễ dàng hơn nhiều Giữ các lỗi chi tiết trong nhật ký máy chủ và chỉ hiển thị cho người dùng thông tin họ cần

Sử dụng HTTPS: HTTPS là một giao thức được sử dụng để cung cấp bảo mật

qua Internet HTTPS đảm bảo rằng người dùng đang nói chuyện với máy chủ mà họ mong đợi và không ai khác có thể chặn hoặc thay đổi nội dung họ đang thấy trong quá

trình

Nếu có bất cứ thông tin gì mà người dùng muốn riêng tư (như thẻ tín dụng và các trang đăng nhập, cũng như các URL gửi đến), thì chỉ nên sử dụng HTTPS để truyền thông tin Ví dụ, một biểu mẫu đăng nhập sẽ đặt một cookie, được gửi cùng với mọi yêu cầu khác đến trang web mà người dùng đã thực hiện đăng nhập, sau đó được sử dụng để xác thực các yêu cầu đó Kẻ tấn công đánh cắp điều này có thể giả mạo người dùng một cách hoàn hảo và chiếm quyền trong phiên đăng nhập Để đánh bại các loại tấn công này, hãy sử dụng HTTPS cho toàn bộ trang web của mình

Điều đó không còn khó khăn hay tốn kém như xưa Let's Encrypt cung cấp các chứng chỉ hoàn toàn miễn phí và tự động, kích hoạt HTTPS và có các công cụ cộng đồng hiện có cho nhiều nền tảng và framework chung để tự động thiết lập điều này cho người dùng Đáng chú ý là Google đã thông báo rằng hãng sẽ tăng thứ hạng trong bảng xếp hạng tìm kiếm nếu sử dụng HTTPS (điều này cũng mang lại lợi ích SEO) HTTP không an toàn đang dần biến mất và bây giờ là lúc để nâng cấp

Nếu đã sử dụng HTTPS, hãy thử xem xét việc thiết lập HTTP Strict Transport Security (HSTS), một header đơn giản để thêm vào phản hồi máy chủ nhằm ngăn chặn HTTP không an toàn hoạt động trên toàn bộ domain

5 Cách phòng chống

Tuân thủ những nguyên tắc cơ bản khi làm việc với email:

- Nếu nhận được email với file đính kèm (có biểu hiện bất thường), cho dù từ

1 người bạn thân thiết hoặc có quen biết thì hãy xóa nó đi Sau khi xác nhận và đảm bảo rằng file này an toàn, bạn có thể yêu cầu người bên kia gửi lại file đó

- Nếu có người nào đó nhận là nhân viên của 1 ngân hàng, quỹ tín dụng gửi email tới cho bạn và thông báo rằng tài khoản của bạn đã bị đánh cắp, hãy xóa nó đi Bởi vì dịch vụ chính thức của bất kỳ ngân hàng nào luôn thông báo các sự cố hoặc thay đổi qua hình thức gọi điện, liên lạc trực tiếp Còn nếu bạn vẫn muốn xác nhận về thông tin trong email đó, hãy liên lạc lại với phía ngân hàng để làm rõ sự thật

- Nếu nhận được email với thông báo rằng bạn đã trúng thưởng 1 khoản tiền nào đó, hãy xóa nó đi

- Cẩn thận với những email với nội dung không rõ ràng, thứ nhất là vì chúng không đáng để đọc, thứ 2 là trong đó rất có thể chứa nhiều đường dẫn tới các địa chỉ có

mã độc, phần mềm giả mạo

- Nếu nhận được email với file đính kèm dưới dạng nén và có mật khẩu bảo

vệ, hãy xóa nó đi

- Cẩn thận với những email chúc mừng, khánh thành hoặc khai trương văn phòng Vì hầu hết trong số đó đều chứa đường dẫn tới các trang web khác

Truy cập Internet theo cách an toàn:

- Nếu truy cập 1 website bất kỳ và yêu cầu bạn quét máy tính để phát hiện virus, hãy bỏ qua

- Không cài đặt trực tiếp bất cứ phần mềm, ứng dụng nào từ 1 trang web bất

kỳ nào đó, trừ khi bạn đã biết rõ và đảm bảo an toàn tuyệt đối Tuy nhiên, một số ngoại

lệ trong trường hợp này là những trang web của hãng Adobe, Microsoft và Apple, bởi

vì chúng ta phải cài đặt Flash Player, Silverlight và QuickTime Player thì mới có thể xem được nội dung trên trang web của họ

- Không cài đặt những trò chơi miễn phí khi bạn truy cập vào 1 website nào

đó

- Không nên truy cập vào các trang web “đen” như cung cấp phim 18+, phần mềm crack, chia sẻ theo kiểu BitTorrent bởi vì đây là nơi tụ tập của rất nhiều phần mềm có nguồn gốc không rõ ràng

Tạo mật khẩu rõ ràng và đảm bảo an toàn đối với từng tài khoản: việc tạo

và quản lý được mật khẩu theo cách khoa học chính là yếu tố quyết định để đảm bảo tài khoản của bạn được an toàn

- Một chuỗi mật khẩu đủ mạnh là phải thống nhất, tuy nhiên nguyên tắc cơ bản nhất là không bao giờ được sử dụng cùng 1 mật khẩu cho nhiều tài khoản trực tuyến (sự thật là rất nhiều người trong số chúng ta đều mắc lỗi này) Việc chia sẻ mật khẩu qua các trang web, dịch vụ hỗ trợ hiện nay cũng chỉ đảm bảo phần nào, và tỉ lệ rủi ro vẫn là 50/50 Không sử dụng những từ ngữ trong từ điển, đơn giản vì chúng rất dễ đoán Sử dụng cụm từ ngữ kết hợp giữa ký tự và chữ số, độ dài tối thiểu là 10 ký tự, ví dụ như sf756358&pk21h!dfg chẳng hạn

Sử dụng công cụ quét lỗ hổng

- Nessus,…

- Các công cụ quét lỗ hổng website: Acunetix, Paros, Havij, APP SCAN WebScarab

CÂU HỎI

Câu 1: Nêu các nguyên tắc cơ bản khi làm việc với email

Câu 2: Nêu cách truy cập Internet an toàn và nguyên tắc đặt mật khẩu tài khoản Câu 3: Thế nào là tấn công bằng SQL Injection? Nêu cách tấn công và biện pháp phòng chống

Câu 4: Nêu các biện pháp bảo mật web

Câu 5: Nêu các biện pháp bảo mật máy tính

CHƯƠNG 3: CÁC PHƯƠNG PHÁP MÃ HÓA

Giới thiệu:

Chương 3 sẽ trình bày các khái niệm mã hóa, sơ đồ một hệ thống mã hóa, các phương pháp mã hóa cổ điển, các phương pháp mã hóa hiện đại, cài đặt thử nghiệm

Mục tiêu:

- Trình bày những khái niệm về mã hóa và giải mã

- Trình bày phương pháp mã hóa cổ điển (CEASAR, VIIGNERE, TRITHEMIUS, BELASCO) và phương pháp mã hóa hiện đại (DES, RSA) để bảo mật dữ liệu

- Cài đặt và thử nghiệm các giải thuật mã hóa và giải mã

- So sánh ưu và nhược điểm của các phương pháp mã hóa

1 Khái niệm mã hóa

Mã hóa là một phương pháp bảo vệ thông tin, bằng cách chuyển đổi thông tin từ dạng rõ (Thông tin có thể dễ dàng đọc hiểu được) sang dạng mờ (Thông tin đã bị che đi, nên không thể đọc hiểu được Để đọc được ta cần phải giải mã nó) Nó giúp ta có thể bảo vệ thông tin, để những kẻ đánh cắp thông tin, dù có được thông tin của chúng ta, cũng không thể hiểu được nội dung của nó

Ví dụ: khi bạn muốn gửi thư cho bạn mình, và trong đó chứa những thông tin quan trọng mà bạn không muốn ai biết (Giả sử nội dung ban đầu là "Ngày mai xăng tăng giá đó") Do đó bạn muốn bảo mật thông tin này, để dù có người cố tình đọc trộm nội dung thì cũng không thể hiểu, thì bạn sẽ mã hóa nó (Giả sử bạn mã hóa thành

"fd%$23fDd432FDs4#@Vdserf3%$3") Xong khi đưa đến bạn mình, bạn sẽ bày cho

họ cách giải mã để họ có thể hiểu được nội dung thư

2 Sơ đồ một hệ thống mã hóa

Một hệ thống mã hóa khái quát sẽ có các thành phần sau:

Văn bản trơn (plaintext), tức là thông điệp nguyên gốc chưa được mã hóa Văn bản mã hóa (ciphertext), tức là thông điệp đã được mã hóa

Thuật toán mã hóa (enciphering algorithm) là các giao thức hoặc hướng dẫn

có tác dụng chuyển đổi văn bản trơn thành văn bản mã hóa Đối với các hệ thống mật

mã truyền thống, chỉ có người gửi thông điệp biết được thuật toán mã hóa, tuy nhiên đối với các hệ thống dùng mật mã hóa khóa công khai (Public key code - PKC), tất cả mọi người đều có thể biết thuật toán mã hóa mà không ảnh hưởng tiêu cực đến an ninh của

hệ thống

Khóa mã hóa (enciphering key) là một hoặc nhiều đối tượng (thường là các con

số hay là các hướng dẫn quan trọng nào đó) được dùng trong việc mã hóa văn bản trơn Ngoại trừ trong hệ thống PKC, để đảm bảo bí mật an toàn thì khóa mã hóa thường chỉ được người gửi biết

Thuật toán giải mã (deciphering algorithm) là các giao thức hoặc hướng dẫn

có tác dụng chuyển đổi văn bản mã hóa trở về văn bản trơn Để đảm bảo bí mật, chỉ có người nhận thông điệp biết được thuật toán giải mã

Khóa giải mã (deciphering key) là một hoặc nhiều đối tượng (thường là các con

số hay là các hướng dẫn quan trọng nào đó) được dùng trong việc giải mã văn bản bị mã hóa Để đảm bảo bí mật, chỉ có người nhận thông điệp biết được khóa giải mã

Sản phẩm mật mã (Cryptography Product) bao gồm các hệ thống thiết bị,

module, mạch tích hợp và các chương trình phần mềm mã hoá chuyên dụng có tích hợp các thuật toán mật mã, được thiết kế, chế tạo để bảo vệ thông tin giao dịch điện tử và lưu trữ dưới dạng số hoá, trong đó sử dụng "Thuật toán mã đối xứng" hoặc "Thuật toán

mã không đối xứng"

Hình 3 1 Sơ đồ một hệ thống mã hóa

3 Các phương pháp mã hóa cổ điển

Mã hoá cổ điển là phương pháp mã hoá đơn giản nhất xuất hiện đầu tiên trong lịch sử ngành mã hoá Thuật toán đơn giản và dễ hiểu Những phương pháp mã hoá này

là cơ sở cho việc nghiên cứu và phát triển thuật toán mã hoá đối xứng được sử dụng ngày nay Trong mã hoá cổ điển có hai phương pháp nổi bật đó là: mã hoá thay thế và

mã hoá hoán vị

Ý tưởng của phương pháp này rất đơn giản, bên A mã hóa thông tin bằng thuật toán mã hóa cổ điển, và bên B giải mã thông tin, dựa vào thuật toán của bên A, mà không

dùng đến bất kì key nào Do đó, độ an toàn của thuật toán sẽ chỉ dựa vào độ bí mật của thuật toán, vì chỉ cần ta biết được thuật toán mã hóa, ta sẽ có thể giải mã được thông tin

Ví dụ: Giả sử bạn mã hóa bằng cách thay đổi một kí tự trong chuỗi cần mã hóa thành kí tự liền kề (“Di hoc ve” thành “Ek ipd xg”) Thì bất cứ người nào, chỉ cần biết cách bạn mã hóa, đều có thể giải mã được

3.1 Phương pháp mã hóa CEASAR

Thế kỷ thứ 3 trước công nguyên, nhà quân sự người La Mã Julius Ceasar đã nghĩ

ra phương pháp mã hóa một bản tin như sau: thay thế mỗi chữ trong bản tin bằng chữ

đứng sau nó k vị trí trong bảng chữ cái Giả sử chọn k = 3, ta có bảng chuyển đổi như

sau:

Chữ ban đầu: a b c d e f g h i j k l m n o p q r s t u v w x y z Chữ thay thế: D E F G H I J K L M N O P Q R S T U V W X Y Z A B C

(sau Z sẽ vòng lại là A, do đó x A, y B và z C)

Giả sử có bản tin gốc (bản rõ):

Như vậy bản tin mã hóa (bản mã) sẽ là:

meet me after the toga party PHHW PH DIWHU WKH WRJD SDUWB Thay vì gửi trực tiếp bản rõ cho các cấp dưới, Ceasar gửi bản mã Khi cấp dưới nhậnđược bản mã, tiến hành giải mã theo quy trình ngược lại để có được bản rõ Như vậy nếu đối thủ của Ceasar có lấy được bản mã, thì cũng không hiểu được ý nghĩa của bản mã.Chúng ta hãy gán cho mỗi chữ cái một con số nguyên từ 0 đến 25:

Phương pháp Ceasar được biểu diễn như sau: với mỗi chữ cái p thay bằng chữ mãhóa

C, trong đó:

C = (p + k) mod 26 (trong đó mod là phép chia lấy số dư)

Và quá trình giải mã đơn giản là:

p = (C – k) mod 26

k được gọi là khóa Dĩ nhiên là Ceasar và cấp dưới phải cùng dùng chung một giá trị khóa k, nếu không bản tin giải mã sẽ không giống bản rõ ban đầu.Ngày nay phương pháp mã

hóa của Ceasar không được xem là an toàn Giả sử đối thủ của Ceasar có được bản mã PHHW

PH DIWHU WKH WRJD SDUWBvà biết được phương pháp mã hóa và giải mã là phép cộng

trừ modulo 26 Đối thủ có thể thử tất cả 25 trường hợp của k như sau:

Trong phương pháp Ceasar, lý do mà phương pháp này kém an toàn là ở chỗ khóa k chỉ có 25 giá trị, do đó kẻ phá mã có thể thử được hết tất cả các trường hợp của khóa rất nhanh chóng Phương pháp tấn công này được gọi là phương pháp vét cạn khóa (bruteforce attack) Chỉ cần nới rộng miền giá trị của khóa thì có thể tăng thời gian phá

mã đến một mức độ được coi là bất khả thi Bảng dưới đây liệt kê một số ví dụ về thời gian phá mã trung bình tương ứng với kích thước của khóa

3.2 Phương pháp mã hóa VIIGNERE

Với sự phát hiện ra quy luật phân bố tần suất, các nhà phá mã đang tạm thời chiếm ưu thế trong cuộc chiến mã hóa-phá mã Cho đến thế kỷ thứ 15, một nhà ngoại giao người Pháp tên là Vigenere đã tìm ra phương án mã hóa thay thế đa bảng Phương pháp Vigenere dựa trên bảng sau đây:

Hình 3 3 Bảng mã Vigenere

Dòng thứ k của bảng là một mã hóa Ceasar k-1 vị trí Ví dụ, dòng thứ 4, ứng với

từ khóa D là mã hóa Ceasar 3 vị trí (Trong trường hợp tổng quát, mỗi dòng của bảng Vigenere không phải là một mã hóa Ceasar nữa mà là một mã hóa đơn bảng, do đó có tên gọi là mã hóa đa bảng)

Để mã hóa một bản tin thì cần có một khóa có chiều dài bằng chiều dài bản tin Thường thì khóa là một cụm từ nào đó và được viết lặp lại cho đến khi có chiều dài bằng chiều dài bản tin Ví dụ với bản tin là „We are discovered, save yourself‟ và khóa là từ

DECEPTIVE, chúng ta mã hóa như sau:

plaintext: wearediscoveredsaveyourself

key: DECEPTIVEDECEPTIVEDECEPTIVE

ciphertext: ZICVTWQNGRZGVTWAVZHCQYGLMGJ

Trong ví dụ trên, ứng với với chữ w trong bản rõ là chữ D trong khóa, nên dòng

mã hóa thứ 4 ứng với khóa D trong bảng Vigenere được chọn Do đó chữ w được mã hóa thành chữ Z Tương tự như vậy cho các chữ còn lại

Trong ví dụ trên, các chữ e trong bản rõ được mã hóa tương ứng thành I, T, G, T,

H, M trong bản mã Do đó phương pháp phá mã dựa trên thống kê tần suất chữ cái là không thực hiện được Trong 3 thế kỷ sau đó mã hóa Vigenere được xem là mã hóa không thể bị phá và được biết dưới cái tên “le chipffre indechiffrable” (mật mã không thể phá nổi) Các nhà mã hóa lại chiếm ưu thế trở lại so với người phá mã

Đến thế kỷ 19, nhà khoa học người Anh Charles Barbage, đã tìm ra cách phá mã Vigenere Việc phá mã bằng cách thống kê sự lặp lại của các cụm từ để phỏng đoán chiều dài của khóa, trong ví dụ trên cụm từ VTW được lặp lại cách nhau 9 vị trí nên có thể đoán chiều dài của khóa là 9 Và từ đó có thể tách bản mã thành 9 phần, phần thứ nhất gồm các chữ 1, 10, 19, 28, … phần thứ hai gồm các chữ 2, 11, 20, 29….cho đến phần thứ chín Mỗi phần coi như được mã hóa bằng phương pháp mã hóa đơn bảng Từ

đó áp dụng phương pháp phá mã dựa trên tần suất chữ cái cho từng phần một Cuối cùng ráp lại sẽ tìm ra được bản rõ

3.3 Phương pháp mã hóa TRITHEMIUS

Kỹ thuật này được mã bằng cách dùng một bảng 26 chữ cái như sau: chữ cái đầu tiên của thông điệp gốc được mã hóa bằng hàng thứ nhất, chữ cái thứ hai được mã hóa thành hàng thứ hai., và điều này được lặp vòng