Giáo trình Bảo mạng web và cơ sở dữ liệu (Nghề: Quản trị mạng máy tính) - CĐ Công nghiệp và Thương mại

Giáo trình Bảo mạng web và cơ sở dữ liệu cung cấp cho người học những kiến thức như: Một số kỹ thuật tấn công và bảo mật Website; Bảo mật cơ sở dữ liệu. Mời các bạn cùng tham khảo để nắm chi tiết nội dung giáo trình!

BỘ CÔNG THƯƠNG TRƯỜNG CAO ĐẲNG CÔNG NGHIỆP VÀ THƯƠNG MẠI

GIÁO TRÌNH

MÔ ĐUN: BẢO MẬT WEB VÀ CƠ SỞ DỮ LIỆU

NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH

TRÌNH ĐỘ: CAO ĐẲNG NGHỀ

(Ban hành kèm theo Quyết định số: /QĐ-CDCN&TM ngày tháng năm 2018

của Hiệu trưởng Trường Cao đẳng Công nghiệp và Thương Mại

Vĩnh phúc, năm 2018

Tên mô đun: Bảo mật Website và cơ sở dữ liệu

Mã số mô đun: MDCC13030191

Thời gian thực hiện mô đun: 75h (Lý thuyết:15; Thực hành: 57; Kiểm tra: 3)

I Vị trí, tính chất của mô đun:

- Vị trí của mô đun: Mô đun này giúp người học có các kiến thức, kỹ năng về kiểm tra và thực hiện phòng chống sự tấn công vào Website và CSDL trên máy chủ

- Tính chất của mô đun: là mô đun chuyên môn bắt buộc

II Mục tiêu mô đun:

- Tổ chức thực hiện tấn công để kiểm tra bảo mật của website

- Áp dụng các kỹ thuật phòng chống tấn công Website

- Sao lưu và phục hồi dữ liệu Website và CSDL

+ Về năng lực tự chủ và trách nhiệm: Người học có thái độ đúng đắn cẩn thận,

chủ động trong việc lĩnh hội kiến thức

III Nội dung mô đun:

1 Nội dung tổng quát và phân phối thời gian:

TT Nội dung mô đun

Thời gian (giờ)

Tổng

số

Lý thuyết

Thực hành Bài tập

Kiểm tra *

(LT hoặcT H)

1 Bài 1: Một số kỹ thuật tấn công và bảo

mật Website 50 10 38 2

2 Bài 2: Bảo mật CSDL 25 5 19 1 Tổng cộng 75 15 57 3

MỤC LỤC

BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE 1

1 1 MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG WEBSITE: SQL INJECTION, XSS, DDOS, PHISING, COOKIE THEFT, VIRUSES AND MALICIOUS CODE, 1

1.1.1 SQL injection 1

1.1.2 TẤN CÔNG XSS (CROSS-SITE SCRIPTING) 2

1.1.3 DDOS 4

1.1.4 BOTNET LÀ GÌ? 5

1.1.5 Phòng Chống Dos - Ddos - Botnet 6

1.1.6 PHISHING 8

1.1.5 COOKIE THEFT 13

1.2 CÀI KALI LINUX 23

1.2.1 CÀI KALI LINUX TRÊN VMWARE WORKSTATION TỪ BẢN ẢO HÓA FULL 23

1.2.2 CÀI ĐẶT KALI LINUX TRÊN MÁY ẢO VM WARE TỪ FILE ISO 28

1.3 KIỂM TRA BẢO MẬT VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG 45

51

BÀI 2 : TẤN CÔNG VÀ BẢO MẬT CSDL 51

2.1 CÁC PHƯƠNG PHÁP TẤN CÔNG, KHAI THÁC TRÁI PHÉP CSDL 51

2.1.1Tổng quan về SQL Injection 51

Khái niệm 51

Nguyên nhân 51

Tính nguy hiểm của tấn công SQL Injection 52

2.1.2 Phân loại các kiểu tấn công SQL Injection 52

In-band SQLi 52

Inferential SQLi (Blind SQLi) 54

Out-of-band SQLi 55

2.2 BẢO MẬT, AN TOÀN CSDL 55

BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE

1 1 MỘT SỐ PHƯƠNG PHÁP TẤN CÔNG WEBSITE: SQL INJECTION, XSS, DDOS, PHISING, COOKIE THEFT, VIRUSES AND MALICIOUS CODE,

1.1.1 SQL injection

* Khái niệm:

SQL injection là kĩ thuật cho phép các kẻ tấn công thực hiện các lệnh thực thi SQL bất hợp pháp (mà người phát triển không lường trước được), bằng cách lợi dụng các lỗ hổng bảo mật từ dữ liệu nhập vào của các ứng dụng

* Cách thức hoạt động của Sql injection

 Lỗi Sql injection thường xảy ra do sự thiếu kiểm tra dữ liệu truyền vào, điều này gây ra những tác động không mong muốn ngoài mục đích chính của câu truy vấn Ta hãy xem xét câu truy vấn sau:

Selected_user = "SELECT * FROM users WHERE name = '" + userName + "';"

 Ta thấy rằng, mục đích chính của câu truy vấn này là lục tìm trong bảng users những dòng dữ liệu nào mà trường name có giá trị bằng với tham số userName đã truyền vào

 Thoạt nhìn thì câu truy vấn này là đúng cấu trúc và không có bất cứ vấn đề gì, thế nhưng ta hãy thử phân tích một tình huống sau đây: giả sử người gọi câu truy vấn này truyền vào tham số userName có giá trị:

a' or 't'='t

Như vậy câu truy vấn của ta có được hiểu như sau:

SELECT * FROM users WHERE name = 'a' or 't'='t';

Câu truy vấn trên có ý nghĩa là gì? Mệnh đề WHERE của câu truy vấn trên luôn

đúng, lí do là vì „t‟=‟t‟ luôn cho ra giá trị đúng Như vậy, thay vì trả về kết quả của 1 dòng dữ liệu mong muốn, câu truy vấn này trả về kết quả là toàn bộ dữ liệu của bảng users

 Nguyên nhân chính của việc truy vấn sai này chính là do dữ liệu

của tham số truyền vào Hãy tưởng tượng rằng toàn bộ dữ liệu này bị sử dụng

nhằm mục đích không tốt, hậu quả thật khó lường phải không nào?

* Các trường hợp thường bị tấn công Sql injection

 Bất cứ thao tác nào của ứng dụng có thực hiện truy vấn tới cơ sở dữ liệu đều có thể bị lợi dụng để tấn công Sql injection Các thao tác cơ bản với CSDL là: select, insert, update đều có thể bị tấn công Có thể kể ra vài thao tác phổ biến có thể tấn công như:

 Kiểm tra đăng nhập ứng dụng

 Thao tác lưu comment của user xuống DB

 Thao tác truy vấn thông tin user

* Cách phòng tránh lỗi Sql injection

 Như đã phân tích ở trên: điểm để tấn công chính là tham số truyền

vào câu truy vấn Do vậy phải thực hiện các biện pháp phòng chống để đảm bảo

việc kiểm tra dữ liệu truyền vào không thể gây ra sai lệch khi thực hiện truy vấn

 Giải pháp cho việc kiểm tra này là sử dụng “chuỗi escape” Khi

thực hiện escape một chuỗi, tức là mã hoá các kí tự đặc biệt của chuỗi (như kí tự

„, &, |, …) để nó không còn được hiểu là 1 kí tự đặc biệt nữa Mỗi ngôn ngữ lập trình đều cung cấp các hàm để thực hiện escape chuỗi, với PHP ta sẽ sử dụng hàm mysqli_real_escape_string() hoặc cũng có thể dùng addslashes() để thực hiện điều này

 Ví dụ về hàm addslashes(): kí tự nháy kép lúc này không còn được hiểu là kí tự điểu khiển nữa

1

2

$str = addslashes('What does "yolo" mean?');

//$str = 'What does \"yolo\" mean?'

1.1.2 TẤN CÔNG XSS (CROSS-SITE SCRIPTING)

* Khái niệm

 XSS là một kĩ thuật tấn công, trong đó kẻ tấn công sẽ chèn các

đoạn mã client-script độc (thường là javascript hoặc HTML) vào trang web, các

đoạn mã này sẽ được thực thi khi người dùng truy cập và load trang có chứa mã độc

 Khác với Sql injection nơi mà mã độc được thực thi ở server, XSS

là một dạng tấn công trong đó mã độc được thực thi ở máy client Bởi vì mã độc được chứa ở server nhưng lại được thực thi ở client, do đó kĩ thuật này được gọi

* Cách thức hoạt động của XSS

 Có thể chia XSS thành 2 loại: Stored-XSS và Reflected-XSS Cả 2

đều là đưa những đoạn mã độc tới máy client để thực thi, cụ thể là việc hiển thị

các nội dung được sinh ra trong quá trình trang web hoạt động, tuy nhiên cách

thức có đôi chút khác biệt như sau:

* Stored-XSS

 Loại tấn công XSS này lợi dụng các lỗ hổng bảo mật của trang web

để lưu trữ các đoạn mã độc trên server, mỗi khi người dùng tải trang về thì các đoạn mã độc này sẽ được thực thi Điển hình nhất của loại tấn công này là lợi dụng các điểm chứa dữ liệu nhập vào từ người dùng như: các ô comment trong trang blog, các ô điền nội dung của thông tin tài khoản công khai, …

 Giả sử trang web của chúng ta có ô nhập nội dung comment như sau:

 Cài đặt và sử dụng Kali Linux

 Kiểm tra bảo mật và các biện pháp phòng chống tấn công

Thay vì nhập comment như bình thường, kẻ tấn công sẽ chèn mã độc, ví dụ như đoạn script sau:

1 <script>alert("XSS");</script>

Khi đó, nếu một người dùng khác truy cập vào trang web này, đoạn script sẽ được kích hoạt, và kết quả của nó như sau:

 Trên đây chỉ là 1 ví dụ đơn giản về kĩ thuật tấn công XSS, tất nhiên

là kẻ tấn công hoàn toàn có thể chèn vào các đoạn mã nguy hiểm hơn để khai thác thông tin của người dùng Ta thấy rằng, mặc dù đoạn mã độc này được lưu

ở server, nhưng nó lại được thực thi tại máy tính của client, do đó nó được gọi là stored-XSS

* Reflected-XSS

 Ở kĩ thuật tấn công này, mã độc được gắn trực tiếp vào link trang web, một khi bạn truy cập vào đường link có chứa mã độc, thì đoạn mã độc sẽ được thực thi

 Giả sử ta có link trang web sau:

xyz.abc.vn/xss/reflected/index?qid=alert(„XSS‟);

 Nếu như trang web này dùng giá trị của tham số qid để hiển

thị, thì khi truy cập vào đường link này, ta sẽ bị lỗi XSS

* CÁC PHÒNG TRÁNH XSS

 Như đã đề cập ở trên, mấu chốt của kĩ thuật tấn công này

nằm ở chỗ hiển thị các nội dung được nhập vào ở client, do vậy để phòng tránh

thì ta sẽ kiểm soát chặt chẽ các nơi có thể hiển thị nội dung

 Cũng tương tự như cách phòng chống Sql injection, mỗi khi nhận vào dữ liệu, ta sẽ thực hiện kiểm tra và mã hoá các kí tự đặc biệt và các kí

tự điều khiển có nguy cơ gây hại cho chương trình Khi đó những kí tự đặc biệt

sẽ được biến đổi một cách tương tự như sau:

<script> sẽ được đổi thành &lt;script&gt;

 Để làm được điều này, trước khi hiển thị thông tin nào đó ra một thẻ HTML, ta luôn thực hiện escape trước ở server để biến đổi các kí tự đặc biệt

thành html entity (trong PHP ta có thể sử dụng hàm htmlentities() để làm việc

này)

1.1.3 DDOS

Dos là viết tắt của "Denial Of Service" nghĩa là "Tấn công từ từ chối dịch vụ", là kiểu thường được sử dụng để tấn công vào các máy chủ, web server

nhằm mục đích làm tắc nghẽn, gián đoạn kết nối giữa người dùng và máy chủ gây cạn kiệt tài nguyên Kiểu tấn công cơ bản thường dùng nhất là Attacker sẽ gửi liên tục các yêu cầu đến máy chủ và yêu cầu nào cũng mang dung lượng lớn

Do phải xử lý lượng yêu cầu này mà máy chủ không còn đủ tài nguyên để

xử lý các yêu cầu từ người dùng khác gây nên tình trạng gián đoạn kết nối

"Ddos" tên đầy đủ là "Distributed Denial Of Service" hay "Tấn công từ

từ chối dịch vụ phân tán"

Tương tự như Dos nhưng lần này Attacker tấn công từ nhiều luồng khác nhau với nhiều IP và dãy IP khác nhau Họ có thể gửi nhiều lượt truy cập vào một máy chủ trong cùng thời điểm, làm máy chủ không phân tán rất nhiều tài nguyên

để xử lý đồng thời các yêu cầu đó Gây ra tình trạng quá tải và đó là điều mà Attacker đang mong muốn Cách tất công này khiến máy chủ khó phát hiện và ngăn chặn hơn Dos

Để mọi người có thể dễ hình dung hơn thì mình xin phép lấy kẹt xe đặc sản của Sài Gòn làm ví dụ:

Bạn đang trên con đường "băng thông" đến công ty bạn làm tên là "máy chủ" bình thường vẫn không đông người lắm trên con đường bỗng hôm nay có 1 đoàn

xe tải của nhà xe "Dos" nối đuôi dài bất tận chạy chiếm hết cả con đường khiến không ai có thể lưu thông được nữa Nhận thấy sự cố ý phá hoại đến từ nhà xe

"Dos" công ty của bạn đã đặt biển cấm đối với mọi xe của "Dos" bằng cách đó

là Ban IP của Attacker

Thì đối với Ddos Attacker đó thể tấn công từ nhiều luồng, nhiều địa chỉ khác nhau cũng như sử dụng nhiều xe, đi tới từ nhiều hướng nên rất khó xác định được xuất phát từ đâu Vậy làm sao mà Attacker có thể sử dụng nhiều IP như thế trong cùng lúc để thực hiện hành vi của mình ? Có khác nhiều cách khác nhau như sử dụng server ảo, thay đổi IP liên tục qua các proxy và Botnet

1.1.4 BOTNET LÀ GÌ?

BotNet là thuật ngữ viết ngắn của "Bots Network" Chỉ mạng lưới các máy tính nhiễm mã độc (Bots/Zombie) và bị chi phối bởi một máy tính khác Mạng lưới Botnet càng lớn thì độ nguy hiểm càng cao Có những mạng lưới Botnet có thể liên đến hàng ngàn hoặc trăm ngàn máy zombie Hiện nay có 2 hình thức cấu trúc mạng lưới Botnet là client/server botnet model và peer-to-peer botnet model

Client/server botnet model

Với mô hình này các máy bot/zombie kết nối với máy chủ hoặc cụm máy chủ thông qua tên mình hoặc kênh IRC để nhận lệnh của Botmaster Mô hình này thường phổ biến và dễ dàng sử dụng hơn

Các máy zombie thường bị chi phối ngầm mà người sử dụng máy zombie không hay biết hoặc rất khó nhận ra Thông qua sự chi phối của Botmaster người điều khiển của thể phát tán các mã độc khác để tạo ra một mạng lưới Botnet càng lớn mạnh Phương thức phát tán thường thấy nhất là ẩn các mã độc vào các các phần mềm miễn phí quen thuộc rồi rồi phát tán link tải trên internet

Botmaster có thể điều khiển máy zombie thực hiện nhiều yêu cầu khác nhau cho nhiều mục đích khác nhau của Attacker bao gồm cả Ddos Người sử dụng có thể điều khiển các máy bot tấn công vào web server thông qua giao diện điều khiển đặc biệt của họ, lập tức các máy bot đang online trong mạng lưới dù

có ở khắp thế giới cùng lúc truy cập đến trang mục tiêu

Mô hình ngày cũng có một nhược điểm, do các máy bị nhiễm mã độc điều kết nối tới 1 máy chủ duy nhất nên có thể tìm ra được máy chủ ngày trong quá trình phân tích mã độc Chỉ cần máy chỉ bị phá hủy và ngưng hoạt động thì các máy bots cũng không còn

Peer-to-peer botnet model

Mô hình Bonet kết nối ngang hàng Mô hình này được sinh ra để khắc phục điểm yếu của client/server ở trên Thay vì kết nối tập trung vào một máy chủ thì các máy bots kết nối ngang hàng và chia sẻ với nhau Thêm chức năng điều khiển vào mỗi máy bots để các máy này có thể dễ dàng giao tiếp, chia sẻ và điều khiển lẫn nhau nhằm mục đích cản trở nỗ lực tìm ra máy chủ

Trong cấu trúc này máy chủ lẫn máy bots đều chỉ có thể kết nối qua các nút lân cận để truyền dữ liệu cho nhau Để duy trì ổn định cấu trúc này các máy đều có một danh sách các máy tin cậy để kết nối với nhau Mô hình này nguy hiểm hơn rất nhiều so với client/server, rất khó khăn để tìm ra nguồn gốc ngăn

để ngăn chặn và phá hủy hoàn toàn bởi mỗi máy trong mạng lưới điều có khả năng là máy điều khiển

Nhưng mô hình này lại lộ ra một nhược điểm vì chức năng điều khiển ở mỗi máy bots nên người tạo ra chúng có khả năng mất quyền kiểm soát Để hạn chế điều này các mã độc này thường được mã hóa rất kỹ lưỡng

1.1.5 Phòng Chống Dos - Ddos - Botnet

Đối với phòng chống Ddos thì hiện tại chưa có cách phòng chống triệt để

rõ ràng nào hiện nay Vì đây là kiểu tấn công chủ động như đã nêu ở trên, vì thế

để bảo mật website cần phải có kế hoạch cụ thể LP Tech sẽ giới thiệu một số cách phòng chống Ddos và Botnet như sau:

Định tuyến hố đen (black hole)

Đây là cách làm khá phổ biến đối với các quản trị viên trong làm bảo mật website Khi phát hiện lượng lớn các truy cập bất thường, các truy cập sẽ được chuyển vào đây mất kể là truy cập bình thường hay ác ý, nhằm giảm thiểu thiệt hại cho máy chủ Hiện nay các nhà cung cấp dịch vụ internet ISP đang cung cấp dịch vụ này Tuy nhiên để thiết lập cần tốn khá nhiều thời gian và thiết bị

Giới hạn truy cập

Tự thiết lập số lượng truy cập cho máy chủ, website trong cùng một lúc Cách này nhằm ổn định kết nối với cho những người đang sử dụng hệ thống khi xảy ra tấn công Sau khi đạt được số lượng giới hạn truy cập cho phép thì mọi truy cập sau đó đều bị chặn lại và phải chờ Tuy nhiên biện pháp này cũng có những rủi ro nhất định, nhất là đối với website đang làm SEO, Nếu bạn đang chạy Dịch Vụ SEO mà chặn hay giới hạn truy cập thì quả là nguy hiểm đấy

Chặn IP

Ngăn chặn các IP đáng ngờ đang truy cập liên tục vào website của bạn Đối với Dos thì cách này tuy đơn giản nhưng rất hiệu quả Cách này được sử dụng hầu hết ở các trang web PHP bằng cách cấu hình ở file htaccess Ở ví dụ mình cũng đã nhắc tới Tuy nhiên việc chặn IP bằng phần mềm cũng có góp phần vào việc bảo mật website khỏi tấn công DDOS nhưng đó chỉ có thể chặn các cuộc tấn công nhẹ mà thôi

Các cuộc tấn công lớn thì để Bảo mật website tốt cần phải ngăn chặn các Request ở Layer đầu tiên, chứ nếu vào tới các server là đã vào đến Layer-7 theo

Mô Hình OSI rồi, việc này sẽ giảm hiệu quả bảo mật website

Sử dụng Firewall

Đây là khái niệm rất quen thuộc với chúng ta khi làm bảo mật website Tường lửa hoạt động như một rào chắn và lọc các kết nối không an toàn cả 2 chiều ra và vào hệ thống Nó có thể giúp lọc ra các truy cập bị nghi ngờ là bots đang tấn công giúp hạn chế nguồn tài nguyên tiêu hao và ổn định chất lượng người dùng bên trong

Sử dụng Cloudflare

Dịch vụ Cloudflare là một DNS trung gian giúp điều phối lượng truy cập vào máy chủ Thay vì truy cập trực tiếp thông quan DNS thì người dùng truy cập thông qua máy chủ DNS của Cloudflare Đây cũng là một hình thức bảo mật website hiệu quả, tuy nhiên nếu sử dụng gói miễn phí thì có khá nhiều vấn đề như thời gian Down-Time và tốc độ cũng bị ảnh hưởng

Máy chủ Cloudflare sẽ điều tiết lượng truy cập vào website của bạn và lọc các kết nối độc hại Bên cạnh đó Cloudflare còn giúp tăng tốc độ tải trang bằng cách lưu lại cache và nén các CSS, hình ảnh của web và lưu lại trên máy chủ của Cloudflare

Đối với người dùng

Để tránh bị kẻ gian lợi dụng đánh cắp thông tin, phát tán mã độc và vô tình trở thành zombie trong một mạng BotNet nào đó, người dùng cần lưu ý các vấn đề bảo mật website như sau:

 Không mở những tập tin không rõ nguồn gốc

 Không nên sử dụng cái phần mềm lậu, path crack

 Không mở nhử tập tin tự động tải xuống mà mình không mong

muốn

 Khi tải phần mềm nào đó hãy chú ý đến tên miền của trang web

có phải là trang chủ của phần mềm mà mình muốn tải hay không

 Thường xuyên cập nhật những bản vá lỗi của hệ điều đang

Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công

giả mạo thành một đơn vị uy tín để lừa đảo người dùng cung cấp thông tin cá nhân cho chúng

Thông thường, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa người dùng chia sẻ các thông tin nhạy cảm như: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá khác

Phương thức tấn công này thường được tin tặc thực hiện thông qua email

và tin nhắn Người dùng khi mở email và click vào đường link giả mạo sẽ được yêu cầu đăng nhập Nếu “mắc câu”, tin tặc sẽ có được thông tin ngay tức khắc

Phương thức phishing được biết đến lần đầu tiên vào năm 1987 Nguồn

gốc của từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông tin) và phreaking (trò lừa đảo sử dụng điện thoại của người khác không trả phí)

Do sự giống nhau giữa việc “câu cá” và “câu thông tin người dùng”, nên thuật

ngữ Phishing ra đời

* CÁC PHƯƠNG THỨC TẤN CÔNG PHISHING

Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công Phishing

Giả mạo email

Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo

email Tin tặc sẽ gửi email cho người dùng dưới danh nghĩa một đơn vị/tổ chức

uy tín, dụ người dùng click vào đường link dẫn tới một website giả mạo và “mắc câu”

Những email giả mạo thường rất giống với email chính chủ, chỉ khác một vài chi tiết nhỏ, khiến cho nhiều người dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công

Để làm cho nội dung email giống thật nhất có thể, kẻ tấn công luôn cố gắng “ngụy trang” bằng nhiều yếu tố:

 Địa chỉ người gửi (VD: địa chỉ đúng là sales.congtyA@gmail.com thì địa chỉ giả mạo có thể là sale.congtyA@gmail.com)

 Chèn Logo chính thức của tổ chức để tăng độ tin cậy

 Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font chữ,…)

 Sử dụng kĩ thuật giả mạo đường dẫn (link) để lừa người dùng (VD: text

là vietcombank.com.vnnhưng khi click vào lại điều hướng tới vietconbank.com.vn)

 Sử dụng hình ảnh thương hiệu của các tổ chức trong email giả mạo để tăng độ tin cậy

Mánh khóe tinh vi của kẻ tấn công Phishing khiến nạn nhân dễ dàng tin tưởng và đăng nhập

GIẢ MẠO WEBSITE

Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả

một Landing page chứ không phải toàn bộ website Trang được làm giả thường

là trang đăng nhập để cướp thông tin của nạn nhân Kỹ thuật làm giả website có một số đặc điểm sau:

 Thiết kế giống tới 99% so với website gốc

 Đường link (url) chỉ khác 1 ký tự duy nhất VD: reddit.com (thật)

vs redit.com (giả); google.com vs gugle.com; microsoft.com vs mircoso

ft.com hoặc verify-microsoft.com

 Luôn có những thông điệp khuyến khích người dùng nhập thông tin cá nhân vào website (call-to-action)

VƯỢT QUA CÁC BỘ LỌC PHISHING

Hiện nay, các nhà cung cấp dịch vụ email như Google hay Microsoft đều

có những bộ lọc email spam/phishing để bảo vệ người dùng Tuy nhiên những

bộ lọc này hoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát hiện xem email đó có phải phishing hay không Hiểu được điều này, những kẻ

tấn công đã cải tiến các chiến dịch tấn công Phishing lên một tầm cao mới Chúng thường sử dụng ảnh hoặc video để truyền tải thông điệp lừa đảo thay vì

dùng text như trước đây Người dùng cần tuyệt đối cảnh giác với những nội dung này

* CÁCH PHÒNG CHỐNG PHISHING

ĐỐI VỚI CÁ NHÂN

Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet,

thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn Hãy lưu ý những điểm sau :

 Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin

nhạy cảm Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nên kiểm tra kỹ càng VD: bạn mới mua sắm online, đột nhiên có email

từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ

đã dùng để thanh toán Có tin được không ?!

 Không click vào bất kỳ đường link nào được gửi qua email nếu bạn không chắc chắn 100% an toàn

 Không bao giờ gửi thông tin bí mật qua email

 Không trả lời những thư lừa đảo Những kẻ gian lận thường gửi cho bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh Họ sử

dụng công nghệ Voice over Internet Protocol Với công nghệ này, các cuộc gọi của họ không bao giờ có thể được truy tìm

 Sử dụng Tường lửa và phần mềm diệt virus Hãy nhớ luôn cập nhật phiên bản mới nhất của các phần mềm này

 Hãy chuyển tiếp các thư rác đến spam@uce.gov Bạn cũng có thể gửi

email tới reportphishing@antiphishing.org Tổ chức này giúp chống lại

các phishing khác

ĐỐI VỚI CÁC TỔ CHỨC, DOANH NGHIỆP

 Training cho nhân viên để tăng kiến thức sử dụng internet an toàn Thường xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả mạo

 Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng dịch vụ Gmail miễn phí vì dễ bị giả mạo

 Triển khai bộ lọc SPAM để phòng tránh thư rác, lừa đảo

 Luôn cập nhật các phần mềm, ứng dụng để tránh các lỗ hổng bảo mật

có thể bị kẻ tấn công lợi dụng

 Chủ động bảo mật các thông tin nhạy cảm, quan trọng Xem thêm Giải pháp bảo mật thông tin cho doanh nghiệp

* CÁCH XÁC ĐỊNH MỘT EMAIL LỪA ĐẢO

Thoạt nhìn, email giả mạo trông không khác gì “chính chủ”

Đây là một số cụm từ thường gặp nếu bạn nhận được một email hay tin nhắn là lừa đảo

“Xác thực tài khoản của bạn” / “Verify your account” – Các website hợp

pháp sẽ không bao giớ bắt bạn gửi password, tên tài khoản hay bất cứ thông tin

cá nhân nào của bạn qua email

“Nếu bạn không phản hồi trong vòng 48h, tài khoản của bạn sẽ bị ngừng hoạt động” / “If you don’t respond within 48 hours, your account will be closed.” – Đây là một tin nhắn truyền tải một thông điệp cấp bách để bạn trả lời

ngay mà không cần suy nghĩ

“Dear Valued Customer.” / “Kinh thưa quí khách hàng” – Những tin nhắn

từ các email lừa đảo thường xuyên gửi đi với số lượng lớn và thường sẽ không chứa first name và last name của bạn

“Nhấp chuột vào link bên dưới để truy cập đến tài khoản của bạn” / “Click the link below to gain access to your account.” –Các thông điệp HTML có thể

chứa các liên kết hay các form nhập liệu mà bạn có thể điền các thông tin vào giống như khi các form trên một website Những đường dẫn đó có thể chứa tất

cả hoặc một phần thông tin của các công ty thực sự và thường “đeo mặt nạ”, có nghĩa là các đường dẫn mà bạn thấy không đưa bạn đến website mà bạn nghĩ, ngược lại nó sẽ đưa bạn đến những website lừa đảo

* CÁC CÔNG CỤ HỮU ÍCH GIÚP PHÒNG CHỐNG PHISHING:

 SpoofGuard: là một plugin trình duyệt tương thích với Microsoft

Internet Explorer SpoofGuard đặt một “cảnh báo” trên thanh công cụ của trình duyệt Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vô tình vào trang web giả mạo Phishing Nếu bạn cố nhập các thông tin nhạy cảm vào một mẫu từ trang giả mạo, SpoofGuard sẽ lưu dữ liệu của bạn và cảnh báo bạn

 Anti-phishing Domain Advisor: bản chất là một toolbar (thanh công cụ) giúp cảnh báo những trang web lừa đảo, dựa theo dữ liệu của công

Cookies giúp cho trải nghiệm lướt web của bạn thuận lợi và nhanh chóng hơn Nhưng nếu xét về khía cạnh bảo mật, cookies có thể làm rò rỉ một

số thông tin của bạn Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải nghiệm duyệt web nhanh chóng vừa có thể giữ an toàn bảo mật cho các thông tin quan trọng của mình

Bạn đã bao giờ thắc mắc tại sao các quảng cáo Google có thể quảng cáo đúng sản phẩm mà bạn đang định mua, tại sao các trang web luôn được đăng nhập sẵn tên bạn dù bạn chỉ đăng nhập đúng một lần? Vâng đó chính là cơ chế hoạt động của cookies trên trình duyệt web của bạn

Cookie lưu trữ thông tin duyệt web, chẳng hạn như các tùy chọn cho trang web hoặc thông tin hồ sơ của bạn Nhờ đó, trình duyệt sẽ cung cấp những thông tin phù hợp nhất cho bạn, từ quảng cáo đến những thông tin lướt web đăng nhập

Có thể nói cookies sẽ giúp cho trải nghiệm lướt web của bạn thuận lợi và nhanh chóng hơn

Nhưng nếu xét về khía cạnh bảo mật, cookies có thể làm rò rỉ một số thông tin của bạn Bởi nếu hacker có thể lấy được những cookies này, hacker hoàn toàn có thể biết được thói quen, lịch sử duyệt web và dựa vào đó tấn công bạn

Thường thì cookies sẽ được lưu trữ trên máy tính của bạn cho đến khi chúng hết hạn hoặc bạn xóa chúng Thời gian lưu trữ của chúng từ khoảng 30 ngày đến 60 ngày Với lượng thời gian này, hacker hoàn toàn có thể lấy được nhiều thông tin từ bạn

Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải nghiệm duyệt web nhanh chóng vừa có thể giữ an toàn bảo mật cho các thông tin quan trọng của mình

Bạn có thể quản lý cookies ngay trên trình duyệt web của mình, chính là xóa những đoạn cookies định kỳ hoặc thiết lập cho trình duyệt tự động làm điều

đó cho bạn và giữ thông tin của bạn luôn được bảo mật

Đối với trình duyệt Google Chrome

Hãy nhấp vào biểu tượng menu ở góc trên bên phải cửa sổ trình duyệt và chọn Cài đặt >> Hiển thị cài đặt nâng cao… >> Cài đặt nội dung

Trong phần Cookies, chọn Chỉ lưu dữ liệu trên máy cho đến khi bạn thoát trình duyệt của mình

Chọn Chặn dữ liệu trang Web và cookied của bên thứ ba

Quản lý cookies trên trình duyệt Mozilla Firefox

Hãy nhấp vào biểu tượng menu ở góc trên bên phải cửa sổ trình duyệt và chọn Cài đặt

Chọn Privacy (thiết lập Bảo mật) ở menu bên trái

Dưới mục History, chọn Use custom settings for history trong mục xổ xuống, sau đó nhấn chọn Never by Accept third-party cookies

Và đánh vào ô Keep until to I close Firefox

Có một vấn đề bạn nên lưu ý: Khi bạn xóa Cookies trên trình duyệt Web, bạn cũng hủy luôn cả lệnh “Remember me” (Ghi nhớ tôi) mà bạn đã từng chọn – kèm theo các thiết lập lưu trữ đăng nhập bạn đã lưu khi đăng nhập bằng bảo mật

2 lớp Có thể điều này khiến bạn cảm thấy rất phiền, nhưng rõ ràng để được bảo mật thì cái giá này không hề mắc tẹo nào

Ngoài ra, để tăng tính bảo mật an toàn thông tin cá nhân, bạn nên sử dụng một giải pháp bảo mật như phần mềm bảo mật Kaspersky Internet Security 2017

có tích hợp tính năng vừa diệt virus vừa phát hiện và kịp thời ngăn chặn các trang web có dấu hiệu ngấm ngầm theo dấu thông tin dữ liệu cá nhân của bạn trên trình duyệt web

VIRUSES AND MALICIOUS CODE

* Mã độc là gì? Tổng quan về mã độc

Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân

Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại: virus, worm, trojan, rootkit…

Mọi người hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính Thực

tế, virus máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc Virus máy tính hiểu đơn thuần cũng là một dạng mã độc nhưng sự khác biệt ở chỗ virus máy tính có khả năng tự lây lan

Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để hiệu quả tấn công là cao nhất

Sau đây, tôi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính: chức năng, đối tượng lây nhiễm, đặc trưng của mã độc

Xem thêm: một số công cụ kiểm tra mã độc website được chuyên gia tin dùng

bị hạn chế bởi kích thước của các sector (mỗi sector chỉ có 512 byte)

Ngày nay gần như không còn thấy sự xuất hiện của Boot Virus do đặc điểm lây lan chậm và không phù hợp với thời đại Internet

đổi nội dung cả các file html để thêm các thông tin quảng cáo, chèn banner … Đây cũng là một loại virus phát triển nhanh chóng nhờ sự phổ biến của Internet

Xem thêm: case study phân tích mã độc tống tiền Ransomware

FILE VIRUS

Virus này chuyên lây vào các file thực thi (ví dụ file có phần mở rộng com, exe, dll) một đoạn mã để khi file được thực thi, đoạn mã virus sẽ được kích hoạt trước và tiếp tục thực hiện các hành vi phá hoại, lây nhiễm

Loại virus này có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do phải xử lý cắt bỏ, chỉnh sửa file bị nhiễm

File Virus có nhược điểm là chỉ lây vào một số định dạng file nhất định và phụ thuộc vào hệ điều hành

F-Virus vẫn tồn tại tới ngày nay với những biến thể ngày càng trở nên nguy hiểm, phức tạp hơn

TROJAN HORSE – NGỰA THÀNH TƠ ROA

Tên của loại virus này được lấy theo một điển tích cổ Trong cuộc chiến với người Tơ-roa, các chiến binh Hy Lạp sau nhiều ngày không thể chiếm được thành đã nghĩ ra một kế, giảng hòa rồi tặng người dân thành Tơ-roa một con ngựa gỗ khổng lồ Sau khi ngựa gỗ được đưa vào thành, đêm đến các chiến binh

Hy Lạp từ trong ngựa gỗ chui ra đánh chiếm thành

Đây cũng chính là cách mà các Trojan horse (gọi tắt là Trojan) áp dụng: các đoạn mã của Trojan được “che giấu” trong các loại virus khác hoặc trong các phần mềm máy tính thông thường để bí mật xâm nhập vào máy nạn nhân Khi tới thời điểm thuận lợi chúng sẽ tiến hành các hoạt động ăn cắp thông tin cá

nhân, mật khẩu, điều khiển máy tính nạn nhân … Bản chất của Trojan là không

tự lây lan mà phải sử dụng phần mềm khác để phát tán

Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau: BackDoor, Adware và Spyware

BACKDOOR

Phần mềm BackDoor (cửa sau) là một dạng Trojan khi thâm nhập vào máy tính nạn nhân sẽ mở ra một cổng dịch vụ cho phép kẻ tấn công điều khiển các hoạt động ở máy nạn nhân

Kẻ tấn công có thể cài các phần mềm BackDoor lên nhiều máy tính khác nhau thành một mạng lưới các máy bị điều khiển – Bot Net – rồi thực hiện các

vụ tấn công từ chối dịch vụ (DoS – Denial of Service)

Xem thêm: 12 loại tấn công DDoS

ADWARE VÀ SPYWARE

Đây là loại Trojan khi xâm nhập vào máy tính với mục đích quảng cáo hoặc “gián điệp” Chúng đưa ra các quảng cáo, mở ra các trang web, thay đổi trang mặc định của trình duyệt (home page) … gây khó chịu cho người sử dụng Các phần mềm này cài đặt các phần mềm ghi lại thao tác bàn phím (key logger),

ăn cắp mật khẩu và thông tin cá nhân …

WORM – SÂU MÁY TÍNH

Cùng với các loại mã độc máy tính như Trojan, WannaCry, Worm (sâu

máy tính) là loại virus phát triển và lây lan mạnh mẽ nhất hiện nay nhờ mạng Internet

Vào thời điểm ban đầu, Worm được tạo ra chỉ với mục đích phát tán qua thư điện tử – email Khi lây vào máy tính, chúng thực hiện tìm kiếm các sổ địa chỉ, danh sách email trên máy nạn nhân rồi giả mạo các email để gửi bản thân chúng tới các địa chỉ thu thập được

Các email do worm tạo ra thường có nội dung “giật gân”, hoặc “hấp dẫn”, hoặc trích dẫn một email nào đó ở máy nạn nhân để ngụy trang Điều này khiến các email giả mạo trở nên “thật” hơn và người nhận dễ bị đánh lừa hơn Nhờ những email giả mạo đó mà Worm lây lan mạnh mẽ trên mạng Internet theo cấp

số nhân

Bên cạnh Worm lây lan theo cách truyền thống sử dụng email, Worm hiện nay còn sử dụng phương pháp lân lan qua ổ USB Thiết bị nhớ USB đã trở nên phổ biến trên toàn thế giới do lợi thế kích thước nhỏ, cơ động và trở thành phương tiện lây lan lý tưởng cho Worm

Dựa đặc điểm lây lan mạnh mẽ của Worm, những kẻ viết virus đã đưa thêm vào Worm các tính năng phá hoại, ăn cắp thông tin…, Worm đã trở thành

“bạn đồng hành” của những phần mềm độc hại khác như BackDoor, Adware…

Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình” trước những công cụ thông thường thậm chí vô hình cả với các phần mềm diệt virus Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều trước sự bảo vệ của rootkit – vốn được trang bị nhiều kĩ thuật mới hiện đại

Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện

“chính thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở nên phổ biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc hại khác

Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó

Ngày nay, sự phát triển mạnh mẽ của Internet đang tạo ra một môi trường hoạt động và lây lan lý tưởng cho các loại phần mềm độc hại Bên cạnh đó, các hướng dẫn chi tiết, các loại công cụ để tạo virus ngày càng nhiều, xuất hiện tràn lan trên mạng toàn cầu Đây là những yếu tố thuận lợi cho sự phát triển và lây lan mạnh mẽ của virus, mã độc Chính vì vậy những phân loại trên đây chỉ mang tính tương đối, các loại virus đang theo xu hướng “kết hợp” lại với nhau, tạo thành những thế hệ virus mới với nhiều đặc tính hơn, khả năng phá hoại cao hơn, nguy hiểm hơn và khó bị phát hiện hơn Vì vậy các giải pháp quản trị nguy

cơ an ninh mạng như SecurityBox sẽ đảm bảo môi trường làm việc an toàn cho người sử dụng máy tính

1.2 CÀI KALI LINUX

1.2.1 CÀI KALI LINUX TRÊN VMWARE WORKSTATION TỪ BẢN ẢO HÓA FULL

Trải nghiệm Kali Linux chưa bao giờ dễ dàng đến thế với bản ảo hóa Kali full "chính hãng" từ OffSec Services Limited (công ty duy trì và tài trợ cho dự

án mã nguồn mở Kali Linux) Bạn chỉ cần 1 tiếng để có thể thử dùng Kali Linux trên Windows rồi

Bước 1: Tải Kali Linux ảo hóa cho VMware về máy tính Phiên bản ảo hóa này

được tạo dựa trên Kali Linux 2020.2 Đây cũng là bước tốn thời gian nhất, file nặng khoảng 2,1GB nên bạn cần có một kết nối ổn định hoặc phần mềm hỗ trợ download để tải file nhanh hơn

 Tải bản ảo hóa Kali Linux cho VMware 64bit

 Tải bản ảo hóa Kali Linux cho VMware 32bit

Bước 2: Giải nén file vừa tải về, mình tải bản 64bit thì file tên là

kali-linux-2020.2-vmware-amd64.7z

Bước 3: Mở VMware lên > Open a virtual machine > duyệt đến thư mục chứa

file bạn vừa giải nén, tìm file có đuôi vmx, trong ví dụ này là file

Kali-Linux-2020.2-vmware-amd64.vmx > Open, chờ vài giây để phần mềm nạp file

Bước 4: Nhấn vào Play virtual machine

Khởi chạy máy ảo Kali Linux 2020.2

Bước 5: Nhập username và mật khẩu là kali để đăng nhập máy ảo

Một số công cụ bạn có thể tìm thấy trong Kali Linux bản ảo hóa mới nhất này:

Một số công cụ tích hợp sẵn trong Kali Linux 2020.2

Vậy là bạn đã khởi động vào GUI của Kali Linux rồi Nếu cách làm này chưa thỏa mãn bạn, thì hãy xem tiếp cách cài Kali Linux trên VMware qua file ISO nhé

1.2.2 CÀI ĐẶT KALI LINUX TRÊN MÁY ẢO VM WARE TỪ FILE ISO

Các bạn có thể download bản cài đặt của Kali Linux dưới dạng file ISO bằng link trực tiếp hoặc qua torrent tại:

 Trang chủ Kali Linux: https://www.kali.org/downloads/

Nếu so về mặt dung lượng thì file ISO cài đặt "nhẹ nhàng" nhất của Kali Linux cũng hơn 1GB cho kiến trúc x86, nặng hơn khá nhiều so với bản 32 bit của các hệ điều hành thông thường, cũng như các distro Linux khác Nhưng điều làm cho Kali Linux trở nên đặc biệt là khả năng tương thích rất cao với nhiều máy cấu hình trung bình khác nhau Hãy cùng chúng tôi thử nghiệm điều đó tại phần dưới của bài viết nhé

Trong bài này, chúng tôi tiến hành cài đặt file Kali Linux phiên bản Light Tham khảo cách tạo USB cài Linux từ file ISO trên Windows tại đây Như chúng ta đã biết, phần mềm VM Ware là 1 trong những ứng dụng tạo máy

ảo ổn định nhất trên môi trường Windows Phiên bản Windows chúng tôi dùng trong bài thử nghiệm này là 11.x Nào bắt đầu, các bạn khởi động VM Ware, tạo mới 1 máy ảo như bình thường, chọn chế độ Custom để thay đổi tùy chỉnh theo

ý muốn

Các tùy chọn như bình thường, đến phần chọn hệ điều hành như hình dưới:

 Guest operating system: các bạn chọn Linux - tất nhiên rồi

 Version: chọn Debian đời cao nhất hỗ trợ trên VM Ware, ở đây là 7.x