Bài giảng môn an toàn bảo mật hệ thống thông tin Các nguy cơ và những dạng tấn công thường gặp

Đị nh nghĩa Rủi ro: xác suất một hành động có chủ đích hoặc không chủ đích gây hại cho các nguồn lực Nguy cơ: các sự kiện có chủ đích hoặc ngẫu nhiên có tác động xấu tới các nguồn lực c

Trang 1

An toàn bảo mật HTTT

Chương 2 Các nguy cơ và những dạng

tấn công thường gặp

Mục tiêu

Mô tả cách các cuộc tấn công, nguy cơ và

điểm yếu ảnh hưởng hạ tầng IT.

Trang 2

Chiến lược giảm thiểu rủi ro để giảm lỗ hổng

trong trong an ninh thông tin

KHÁM PHÁ:CÁC KHÁI NIỆM

Trang 3

Đị nh nghĩa

Rủi ro: xác suất một hành động có chủ đích

hoặc không chủ đích gây hại cho các nguồn

lực

Nguy cơ: các sự kiện có chủ đích hoặc ngẫu

nhiên có tác động xấu tới các nguồn lực của

doanh nghiệp

Điểm yếu: nhược điểm vốn có có thể khiến

các nguy cơ gây hại cho hệ thống hoặc

mạng

Cả 3 đều ảnh hưởng tới tính bảo mật, toàn vẹn

và sẵn sàng (CIA)

Các loại nguy cơ

Trang 4

Các hành vi gây hại gia tăng

Fundamentals of Information Systems Security

Trang 5

Câu hỏi: bạn đang cố gắng

bảo vệ những gì?

Trang 6

• Chi phí cơ hội

• Chi phí cho thời gian dịch vụ không hoạt

động

Danh tiếng

Các loại điểm yếu

Dịch vụ hoặc máy chủ không an toàn

Giao thức và ứng dụng có thể bị khai thác

Tài nguyên mạng và hệ thống không được bảo

vệ

Nghe trộm hoặc chặn luồng dữ liệu

Không có biện pháp bảo vệ hoặc ngăn ngừa

phần mềm độc hại hoặc các cuộc tấn công tự

động

Trang 7

Dịch vụ hoặc máy chủ không an toàn gồm có các thư

viện hoặc gói dịch vụ quá hạn, phần mềm được lập

trình kém, giao thức không được mã hóa khi cần mã

hóa

Giao thức và ứng dụng có thể bị khai thác gồm có các

lỗ hổng lập trình có thể bị khai thác bởi hacker

Tài nguyên mạng và hệ thống không được bảo vệ gồm

có các máy chủ phát triển dịch vụ không được bảo vệ

Nghe trộm hoặc chặn luồng dữ liệu: người ngoài xem

được thông tin nội bộ

Không có biện pháp bảo vệ hoặc ngăn ngừa phần mềm

độc hại hoặc các cuộc tấn công tự động, khiến cho

malware xâm nhập hệ thống

Nhận dạng tội phạm

Hồ sơ tội phạm số 1

Gửi những tin qua email khẩn cầu giúp đỡ

bằng cách quyên tiền tới nạn nhân

Không dựa vào xâm nhập để thực hiện hành vị

phạm tội

Có động cơ là lợi ích kinh tế

Trang 8

Gửi những tin qua email khẩn cầu giúp đỡ

bằng cách quyên tiền tới nạn nhân

Không dựa vào xâm nhập để thực hiện hành vị

phạm tội

CÂU TRẢ LỜI: Lừa đảo trên internet (Internet

Trang 9

Xâm nhập hệ thống trái phép và cảnh báo về

tính an toàn bảo mật của hệ thống

Không làm việc cho công ty hoặc các khách

hàng của công ty

Không định gây hại, chỉ tỏ ra là “có ích”

Động cơ chỉ là bốc đồng

Trang 10

Xâm nhập hệ thống trái phép và cảnh báo về

tính an toàn bảo mật của hệ thống

Không làm việc cho công ty hoặc các khách

hàng của công ty

Không định gây hại, chỉ tỏ ra là “có ích”

Động cơ chỉ là bốc đồng

CÂU TRẢ LỜI: Hacker mũ xám

Không muốn giúp đỡ mà chỉ gây hại

Động cơ là do từ cộng đồng tội phạm này tham

gia

Trang 11

Không muốn giúp đỡ mà chỉ gây hại

Động cơ là do từ cộng đồng tội phạm này tham

gia

CÂU TRẢ LỜI: Hacker mũ đen hay cracker

Trang 12

Không định gây hại, là “có ích”

CÂU TRẢ LỜI: Hacker mũ trắng

Các công cụ tấn công

Vulnerability Scanner - Quét lỗ hổng

Port Scaner - Quét cổng

Trang 14

Các loại quét cổng

• TCP Connect scan: loại này kết nối tới cổng đích và thực hiện

đầy đủ quy trình bắt tay ba bước (SYN, SYN/ACK, ACK).

• TCP SYN scan: nó không tạo ra một kết nối tới nguồn mà chỉ gửi

gói tin SYN(bước đầu tiên trong ba bước tạo kết nối) tới đích.

• TCP ACK Scan: kỹ thuật này được dùng để vạch ra các quy tắt

thiết lập tường lửa.

• TCP Windows Scan: Giống với ACK Scan, điểm khác là nó có thể

phát hiện cổng open với closed.

• UDP Scan

• TCP FIN, XMAS, NULL: chúng chuyên nghiệp trong việc lén lút

vượt tường lửa để khám phá các hệ thống ở phía sau.

Trang 15

Công cụ nghe trộm

Wireshark, Ettercap …

Công cụ quét số điện thoại

Wardialler,…

Trang 16

Thử nghĩ xem: ban có bao giờ

dùng 1 wifi công cộng hay

máy tính công cộng không?

Trang 17

Tấn công gây hại

Giả mạo

Chặn thông tin

Làm gián đoạn và tiếp tục hoạt động bất hợp pháp

Thay đổi thông tin

Các kiểu tấn công – Vét cạn

mật khẩu

• Sử dụng mọi tổ hợp của tất cả các ký tự để

đưa vào hash và so sánh

• Khả năng thành công là tuyệt đối nếu có đủ

thời gian vì tốc độ crack rất lâu trong trường

hợp password dài và phức tạp

• Chỉ tốt cho password ngắn

Trang 18

Các kiểu tấn công – Từ điển

• Attacks sẽ sử dụng file từ điển có sẵn chứa

các hash để so sánh với hash

• của password để tìm ra dạng plaint text của

password nếu hash trùng nhau

• Chúng ta có thể thêm hoặc đảo các từ có trong

từ điển (Hybird Attacks)

• Dạng này ứng dụng tốt khi password là nhưng

ký tự thông thường, tốc độ nhanh, mức độ

thành công tùy thuộc vào từ điển

Attacks/Pre-Computed Hashes

• Kết hợp hai cách trên bằng cách tạo sẵn các bản

hash của tất cả tổ hợp các ký tự và chỉ so sánh

trong quá trình hash

• Tốc độ crack chỉ mất vài phút nếu có sẵn các

bản hash

Trang 19

Các kiểu tấn công – Truy cập

Các công cụ crack mật khẩu

Hydra

Medusa

Trang 20

Password Cracking Trên Các

-f: finish:tìm được cặp username và password hợp lệ đầu tiên sẽ kết thúc

-L: file username (-l username)

-P: file password (-p password)

192.168.10.1: địa chỉ ip cần bẻ khóa mật khẩu đăng nhập

http-get: dịch vụ http cổng 80 (http được thay thế bằng http-get và httphead)

http://192.168.10.1 là trang web cần cho quá trình crack.

Hoặc: medusa –h 192.168.10.1 –U login.txt –P password –M http

Trong đó:

-h host hay địa chỉ ip cần bẻ khóa mật khẩu đăng nhập.

-U: file username (-u username)

-P: file password (-p password)

-M http giao thức cần crack M viết tắc cho modum

Trang 21

Password Cracking Trên Các

Trang 22

Để crack mật khẩu

Trang 23

• Completely Automated Public Turing test to tell Computers and Humans

Apart“

• CAPTCHA is vulnerable to a relay attack that uses humans to solve the puzzles.

One approach involves relaying the puzzles to a group of human operators who

can solve CAPTCHAs In this scheme, a computer fills out a form and when it

reaches a CAPTCHA, it gives the CAPTCHA to the human operator to solve.

• Spammers pay about $0.80 to $1.20 for each 1,000 solved CAPTCHAs to

companies employing human solvers in Bangladesh, China, India, and many

other developing nations.

Crack mật khẩu với GPU

Trang 24

Tấn công giả mạo địa chỉ

• Easy to do – try and generate false network address,

and bypass firewalls, switches, and routers

• If I can trick you into thinking (or your router or

firewall or switch into thinking) that you have a

good address, half the battle is won.

Hijacking – Chiếm quyền

• Man-in-the-middle – relies on you thinking you

have secure connection, while attacker relays info

• Browser hijacking – user redirected to different

website

communication, while disconnecting originator

• Replaying – reusing previous communications

Trang 25

Tấn công Social Engineering

• ID cards

• Passwords

• Vendor access

• Web info publicly available

• Asking you to reset your password

• Check on your bank accounts

Trang 26

Phreaking, Phishing, Pharming

Phishing – giả mạo website

• Thường gắn với tấn công kiểu man-in-the-middle

• Có thể đơn giản thay org thay vì com

• Thường để lừa đảo (xổ số, giúp bạn bè, lừa đảo

về bảo mật)

• Do thiếu hiểu biết và tò mò

Pharming – dùng DNS xấu hay giả mạo tên miền

Trang 27

• Virus là một chương trình mà có thể lây lan (lặp lại) từ một máy tính

khác Điều này cũng đúng với một worm, nhưng sự khác biệt là một

virus thường phải được đưa thẳng vào một tập tin thực thi để chạy.

• Worm giống như virus ngoài trừ việc nó có thể tự tái tạo Nó không

chỉ có thể nhân rộng mà không cần đến việc phải “đột kích” vào “bộ

não” của file và nó cũng rất ưa thích sử dụng mạng để lây lan đến

mọi ngóc ngách của hệ thống.

• Trojan horse là chương trình máy tính thường được ẩn dưới các

chương trình khác, có chứa code ẩn được viết để khai thác lỗ hổng

hoặc gây nguy hại cho hệ điều hành, chủ yếu dùng để ăn cắp các

thông tin nhạy cảm như password account,file

• Backdoor là chương trình tạo kết nối từ xa Hacker thường sử dụ ng

để kết nối lấy file hoặc điều khiển tới máy củ a nạn nhân mà có thể

bypass quá trình authentication.Hacker thường cài đặt trên máy của

nạn nhân để dễ dàng kết nối cho lần xâm nhập sau.

Trang 28

• Botnet là một thuật ngữ được lấy từ ý tưởng của

cụm từ “ bots network ” dùng để chỉ một mạng lưới

các bot.

• Một bot đơn giản là một chương trình máy tính được

điều khiển bởi ai đó hoặc từ một nguồn nào bên

ngoài (zombie)

• Spyware chương trình thu thập thông tin về user ,

hoạt động ngầm để thu thập về các hoạt động của

người dùng Kết hợp với Adware để quảng cáo

(pop-up) cho các site thương mại

• Rootkit – mã độc gắn vào nhân hệ điều hành để ẩn

viruses, worms, Trojan, horses, spyware

• Netcat: là trojan backdoor đơn giản nhưng hữu

hiệu Netcat chạy đượ c trên Windows và Linux

• Netbus : trojan nổi tiếng được viết ra từ năm

1998 Netbus khi chạy sẽ tự động cài đặt và đưa

vào registry để tự động khởi động cùng OS

Trojan Netbus, NC

Trang 30

KHÁI NIỆM VỀ MÃ ĐỘC

•Để tấn công/thâm nhập mạng, hacker

thường sử dụng các ‘trợ thủ’ như virus,

worm, trojan horse, backdoor…

•Mã độc (malicious code): tập mã thực thi tự

chủ, không đòi hỏi sự can thiệp của hacker

•Các bước tấn công/thâm nhập mạng:

1.Hacker thiết kế mã độc

2.Hacker gửi mã độc đến máy đích

3.Mã độc đánh cắp dữ liệu máy đích, gửi về cho hacker

4.Hacker tấn công hệ thống đích

PHÂN LOẠI MÃ ĐỘC

•Phân loại mã độc theo đặc trưng thi hành:

•Lệ thuộc ứng dụng chủ (need to host)

•Thực thi độc lập (stand alone)

•Phân loại mã độc theo đặc trưng hành vi:

•Ngăn cấm, thay đổi dữ liệu

•Khai thác dịch vụ hệ thống

Trang 31

CÁC HÌNH THỨC TẤN CÔNG

MÃ ĐỘC

•Lệ thuộc ứng dụng chủ:

• Cửa sập (trapdoors)

• Bom hẹn giờ (logic bomb)

• Virus máy tính (computer virus)

• Nội ứng ngựa gỗ (trojan horse)

•Thực thi độc lập:

• Vi khuẩn máy tính (computer bacteria)

• Sâu mạng (worm) và rootkit

• Backdoor và key logger

• Spyware và adware

• Companion và link

• Germ, constructor và hacktool

CỬA SẬP (TRAPDOOR)

•Trong quá trình thiết kế phần mềm, các lập trình

viên thường cài các đoạn chương trình (‘cửa’)

kiểm tra, sửa lỗi, chuyển giao kỹ thuật…

•Vô tình hay cố ý, các ‘cửa’ này vẫn chưa được

gỡ bỏ trước khi đóng gói phát hành

•Trong quá trình sử dụng, nếu thỏa điều kiện,

‘cửa’ sẽ ‘sập’ và không ai biết điều gì sẽ xảy ra

Trang 32

BOM HẸN GIỜ (LOGIC BOMB)

•Bomp hẹn giờ: đoạn mã tự kích hoạt khi thỏa điều

kiện hẹn trước (ngày tháng, thời gian…)

•Trước khi thoát khỏi hệ thống, hacker thường cài

lại bom hẹn giờ nhằm xóa mọi chứng cứ, dấu vết

thâm nhập

•Kỹ thuật bom hẹn giờ cũng được virus máy tính

khai thác phổ biến: virus Friday, Chernobyl (24/04),

Michelangelo (06/03), Valentine

VIRUS MÁY TÍNH

(COMPUTER VIRUS)

•Virus máy tính: đoạn mã thực thi ghép vào

chương trình chủ và giành quyền điều khiển khi

chương trình chủ thực thi

•Virus được thiết kế nhằm nhân bản, tránh né sự

phát hiện, phá hỏng/thay đổi dữ liệu, hiển thị

thông điệp hoặc làm cho hệ điều hành hoạt động

sai lệch

•Cấu trúc virus: pay-load, vir-code, vir-data

•Phân loại virus: F-virus, B-virus, D-virus

Trang 33

FILE VIRUS (F-VIRUS)

•Loại virus ký sinh (parasitic) vào các tập tin thi

hành (com, exe, pif, scr, dll ) trên hệ thống đích

•Ứng dụng chủ (host application) có thể bị nhiễm

virus vào đầu file, giữa file hoặc cuối file

•Khi hệ thống thi hành một ứng dụng chủ nhiễm:

dụng dữ liệu trong Vir-data

BOOT VIRUS (B-VIRUS)

•Boot-virus: loại virus nhiễm vào mẫu tin khởi

động (boot record - 512 byte) của tổ chức đĩa

•Multi-partite: loại virus tổ hợp tính năng của

F-virus và B-virus, nhiễm cả file lẫn boot

sector

Đĩa mềm có 1

boot record ở

Đĩa cứng có 1 master boot record ở side 0,

Trang 34

DATA VIRUS (D-VIRUS)

•Đính vào các tập tin dữ liệu có sử dụng

macro, data virus tự động thực hiện khi tập

dữ liệu nhiễm được mở bởi ứng dụng chủ

•Các data virus quen thuộc:

•Microsoft Word Document: doc macro virus

•Microsoft Excel Worksheet: xls macro virus

•Microsoft Power Point: ppt macro virus

•Adobe Reader: pdf script virus

•Visual Basic: vb script virus

•Java: java script virus

•Startup file: bat virus…

NỘI ỨNG NGỰA GỖ

(TROJAN HORSE)

•Truyền thuyết: các chiến binh Hi Lạp nấp trong

bụng ngựa gỗ, nửa đêm làm nội ứng mở cửa cho

quân Hi Lạp ập vào phá thành Troie

•Trojan horse: các ứng dụng có vẻ hiền lành nhưng

bên trong chứa các thủ tục bí mật, chờ thời cơ

xông ra phá hủy dữ liệu

•Trojan horse là công cụ điều khiển từ xa đắc lực,

giúp hacker giám sát máy đích giống như hắn đang

ngồi trước bàn phím

Định dạng
Số trang	42
Dung lượng	2 MB

Bài giảng môn an toàn bảo mật hệ thống thông tin Các nguy cơ và những dạng tấn công thường gặp

•Vi khuẩn máy tính (computer bacteria):