Báo cáo: Kỹ
năng bảo mật
Tấn công mạng
và phòng thủ
Chương 18: Tấn công mạng và cách phòng chống Page 1
MỤC LỤC
Báo cáo: Kỹ năng bảo mật Tấn công mạng và phòng thủ 1
MỤC LỤC 2
C
H
A
P
T
E
R
18
Network Attack and
Defense
(Tấn Công Mạng Và Cách Phòng Chống)
Mọi người đều nghĩ rằng vấn đề bảo mật hệ thống mạng có thể được giải quyết bằng
cách sử dụng mật mã học mà không hiểu vấn đề chính trong việc mã hóa là gì!
18.1 Introduction(Giới Thiệu)
Bảo mật mạng Internet đang là một lĩnh vực phát triển nhanh chóng , các cuộc
tấn công được bắt trên các đường truyền có thể thay đổi ý nghĩa . Bất kể kẻ tấn
công đang trực tiếp liên quan đến công việc hay không thì các cuộc tấn công
máy chủ.
3. Cuộc tấn công tràn bộ đệm sử dụng cơ chế điều khiển từ xa (RPC), kẻ tấn công
sử dụng nhiều hệ điều hành Unix and Linux để làm máy chủ và nó cho phép
những kẻ xâm nhập truy cập tài khoản ngay lập tức(Các cuộc tấn công này đã
được sử dụng bởi hầu hết các tấn công từ chối dịch vụ được đưa ra trong năm
1999 và đầu năm2000).
4. Lỗi Internet Information Server (IIS) của hãng Microsoft trên máy
chủ Webserver đã cho phép truy cập tới một tài khoản administrator trên máy
chủ.
5. Lỗi trong sendmail, các chương trình mail phổ biến nhất trên hệ điều hành Unix
và Linux. Rất nhiều lỗi đã được tìm thấy trong sendmail trong những năm qua,
và đã có nhiều công bố do CERT năm 1988. Một trong những lỗ hổng gần đây
có thể được sử dụng bị sử dụng để làm máy tính nạn nhân gửi tập tin mật khẩu
của mình cho những kẻ tấn công, sau đó những kẻ tấn công có thể cố gắng để
giai mã nó.
Chương 18: Tấn công mạng và cách phòng chống Page 3
6. Một tấn công tràn bộ đệm vào hệ điều hành Sun’s Solaris đã cho phép những
kẻ xâm nhập truy cập vào tài khoản admin ngay lập tức.
7. Tấn công trên NFS và tương tự trên các hệ thống máy chủ UNIX và
MACINTOSH,và sử dụng các cơ chế để share dữ liệu trong mạng cục bộ.
8. Đoán các usernames and passwords,đặc biệt ở đây các password root và
admin không đảm bảo an toàn hoặc là hệ thống đang gửi
p
a
sswords mặc
định mà các máy nạn nhân không bận tâm thay đổi nó.
9. Các giao thức IMAP and POP cho phép điều khiển từ xa đến email nhưng nó
thường được cấu hình sai cho phép kẻ đột nhập có thể truy cập vào.
10. Sự yếu kém của viec chứng thực trong giao thức SNTP do các nhà quản trị
mạng để quản lí tất cả các thiêt bị kết nối đến thiết bị.Giao thức SNTP sử dụng
thức mạng.Trong thực tế thì những tin tặc đang bị đào tạo tay nghề cao trong khi việc
bảo vệ đang ngày khó khăn cho các nhà quản trị mạng.
Kĩ năng cũng là 1 yếu tố quan trọng trong việc bảo vệ.Một số tổ chức như công
ty máy tính, trường đại học lớn, và các cơ quan tình báo quân sự, họ có những
người biết làm thế nào để theo dõi những gì đang xảy ra và điều chỉnh việc bảo vệ hệ
thống một cách thích hợp. Nhưng hầu hết các công ty đều dựa trên sự kết hợp của
các tiêu chuẩn sản phẩm và dịch vụ. Các sản phẩm bao gồm tường lửa, quét virus, và
các hệ thống phát hiện xâm nhập, các dịch vụ thường được cung cấp dưới dạng tập
tin cấu hình mới cho các sản phẩm này. Theo những cách này, lỗ hổng sẽ trở nên tập
trung. Một kẻ tấn công có thể làm việc trong một hệ thống bị đánh sụp được bán rộng
rãi, có một loạt các mục tiêu để hướng đến hệ thống
Bây giờ chúng ta sẽ xem xét một số cuộc tấn công cụ thể và cơ chế bảo vệ. Hãy nhớ
rằng đây là cuộc tấn công quan trọng nhất là tấn công ghi đè lên bộ nhớ đệm và quan
trọng thứ hai là đoán mật khẩu, nhưng vì đã được giới thiệu trong chương 4 và trong
các chương 2-3 nên sẽ giới thiệu tiếp theo: lỗ hổng trong giao thức mạng.
18.2
Vulnerabilities
in Network Protocols
(
Lỗ hổng trong giao thức mạng)
Các điều hành thường được sử dụng như Unix và NT được vận hành với phạm
vi rất lớn của các dịch vụ mạng, nhiều hệ điều hành trong số đó đang cho phép kích
hoạt mặc định, hoặc vận hành với các cấu hình sẵn làm cho "plug and play" dễ
dàng cho những kẻ tấn công giống như người dùng hượp pháp. Chúng ta sẽ xem xét ở
cả hai mạng cục bộ và các vấn đề Internet; một chủ đề chung đó là các phương
pháp ánh xạ (giữa các địa chỉ IP, tên tập tin, vv) cung cấp rất nhiều các điểm yếu.
Cuốn sách này không phải là một nơi thích hợp để giải thích các giao thức mạng, vì
vậy chúng tôi cung cấp một bản tóm tắt điện tín, như sau: các giao thức mạng
Internet (IP) là một giao thức truyền dữ liệu không điều kiện mà nó vận chuyển gói
tin từ một máy khác, nó sử dụng địa chỉ IP gồm 32-bit ,nó thường được
thống ARP và xin thông tin yêu cầu từ phía các máy nạn nhân. Các máy tính người
dùng có thể nhận thấy nếu cảnh báo trước ,nhưng các kẻ tấn công luôn có thể chờ
đợi cho đến khi là tải dữ liệu hoặc lấy nó xuống bằng cách sử dụng một cuộc tấn công
khác. Một khả năng là các kẻ tấn công sẽ sử dụng mặt nạ mạng con.
Ban đầu, địa chỉ IP đã sử dụng 3 byte đầu tiên để xác định phân chia giữa các địa
chỉ mạng và địa chỉ máy chủ . Bây giờ IP được hiểu là địa chỉ mạng,mạng con, và địa
chỉ máy chủ , với địa chỉ mạng con là 1 hằng số. Máy cục bộ khi khởi động sẽ gửi
một yêu cầu nhận subnet mask,và nó sẽ nhận bất kỳ địa chỉ subnet mask nhận
được .Vì vậy bằng cách gửi một subnet mask phù hợp thì máy cục bộ có thể bị kẻ tấn
công triệt tiêu.
Một phương pháp khác, nếu một công ty sử dụng hệ thống Unix,thì hệ thống tệp tin
mạng (NFS) sẽ là các chuẩn phổ biến để chia sẻ tập tin trên hệ thống Unix. Điều này
cho phép một số máy cục bộ sử dụng một ổ đĩa mạng như là một ổ đĩa cục bộ,vì
vậy nó sẽ có một số lỗ hổng bảo mật để tin tăc tấn công những máy cục bộ đang
trên cùng một mạng LAN. Khi một ổ đĩa đang được xác lập, thì các máy client gửi
một file yêu cầu đến máy chủ xử lí, trong đó client đề cập đến đường dẫn các thư mục
gốc của hệ thống tập tin đang xác lập. Yêu cầu này không phụ thuộc vào thời
gian, hoặc số lượng máy chủ và không thể bị hủy bỏ. Nó không có cơ
chế cho mỗi người dùng truy cập hay chứng thực do vậy các máy chủ phải tin
tưởng một máy client hoàn toàn hoặc không tin tất cả. Ngoài ra,máy chủ
Chương 18: Tấn công mạng và cách phòng chống Page 6
NFS thường trả lời yêu cầu từ một card mạng khác để một card mạng trong chúng có
nhiệm vụ trả lời các yêu cầu đến tiếp theo. Vì vậy nó có thể đợi cho đến khi một quản
trị mạng có đăng nhập vào một tập tin của máy chủ, sau đó sẽ ghi đè lên các tập
tin password. Vì lý do này, nhiều trang web sử dụng phương án thay thế hệ thống tập
tin , chẳng hạn như NFS.
18.2.2 Attacks Using Internet Protocols and Mechanisms
(Tấn công sử dụng giao thức mạng và các cơ chế)
Vấn đề cơ bản chuyển giao thức đến trang web là giống nhau ,chúng không có việc
chứng thực hay bảo vệ bí mật trong hầu hết các cơ chế. Điều này thể hiện đặc
LAN để xem những gì còn sống). Vì vậy, cácgiao thức cho phép cả hai loại havior-
được trong các bộ định tuyến. Một bộ sưu tập của chủ nhà ở một địa chỉ phát
sóng phản ứng theo cách này được gọi là bộ khuếch đại smurf
Kẻ tấn công đang xây dựng một gói tin với địa chỉ IP nguồn giả mạo là địa chỉ IP
của máy nạn nhân , và gửi đến một số các bộ khuếch đại smurf. Các máy nạn nhân
sẽ trả lời lại (nếu còn sống) bằng cách gửi một gói tin cho kẻ tấn công và máy nạn
nhân có thể bị sụp bẫy của kẻ tấn công bằng các gói dữ liệu hơn là nó có thể tự bảo
vệ . Smurfing thường được sử dụng bởi một số kẻ tấn công muốn vượt qua hệ thống
máy chủ Internet relay chat(IRC) ,vì vậy kẻ tấn công có thể nắm quyền kiểm
soát trong phòng chat. Việc đổi mới đã được tự động khai thác một số lượng lớn từ
các máy "vô haị " trên mạng để tấn công đến các nạn nhân
Một phần của biện pháp đối phó là kỹ thuật: Thay đổi các tiêu chuẩn giao
thức trong Tháng 8 năm 1999 để các gói tin ping được gửi đến một địa chỉ quảng bá
trong toàn mạng mà không cần trả lời [691]. Cách thực hiện như vậy làm cho số
lượng các bộ khuếch đại smurf trên mạng Internet là liên tục giảm xuống. Phần khác là
kinh tế xã hội: các trang web như www.netscan.org sản xuất một danh mục các bộ
khuếch đại smurf. Các nhà quản trị mạng giỏi sẽ đưa thiết bị mạng của họ vào đó và
sửa chữa chúng trong khic đó các nhà quản trị yếu kém biếng sẽ thấy rằng những kẻ
xấu đã chiếm sử dụng băng thông của mình quá nhiều vì vậy họ sẽ bị ép vào các vấn
đề phải sửa chữa
18.2.2.3 Distributed Denial-of-service Attacks: Tấn Công Từ Chối dich vụ
Một sự phát triển cùng với sự xuất hiện của nó vào tháng 10 năm 1999.Đây là 1 cuộc
tấn công từ chối dịch vụ (DDOS).Thay vì ket tấn công khai thác lỗi cấu hình ở các
chương trình giống Smurfing thì kẻ tấn công đồng loạt tấn công từ nhiều nơi trên
mạng kẻ tấn công đã cài đặt sẵn các phần mềm tấn công và tại 1 thời điểm hứa hẹn
trước đồng loạt cùng tấn công vào trang web bằng cách gửi liên tục các tin nhắn đến
máy chủ nên rất khó chống đỡ.Do vậy hệ thống bị tấn công sẽ qua tải và không thể
hoạt động được nữa.
Cho đến nay, các cuộc tấn công DDoS đã được triển khai tấn công tại một số các trang
web cao cấp bao gồm trang Amazon và Yahoo. Kẻ tấn công có thể làm gây gián đoạn
không thể làm gì đượcVì vậy kẻ tấn công thường cung cấp các thông tin sai lệch trong
bảng bộ nhớ DNS sau đó kẻ tấn công sẽ làm dich vụ DNS bị nhiễm độc.
18.2.2.5 Spoofing Attacks
( Tấn công giả mạo)
Chúng ta có thể kết hợp một số ý tưởng trước vào các cuộc tấn công giả mạo hoạt
động ở phạm vi lớn (có nghĩa bảo là từ bên ngoài mạng cục bộ hoặc miền)
Charlie nói rằng Alice và Bob đang là một mục tiêu trên mạng LAN và Charlie
muốn
Nói chuyện như Alice với Bob. Charlie có thể làm Alice rớt khỏi mạng với một cuộc
tấn công từ chối dịch vụ của một số loại phần mềm tấn công, sau đó bắt đầu một kết
nối mới với Bob [559, 90]. Điều này đòi hỏi phải đoán một dãy số Y, mà Bob sẽ chỉ
định trong phiên giao dịch theo giao thức thể hiện trong hình 18.1. Một cách đơn giản
Chương 18: Tấn công mạng và cách phòng chống Page 9
để đoán dãy số Y là phải làm việc trong một thời gian dài, sau đó Charlie kết nối thưc
sự đến Alice ngay trước khi sử dụng và trong thực tế lthì giá trị của dãy số Y thay đổi
một cách có thể dự đoán được từ một kết nối tiếp theo. Ngăn xếp sử dụng hệ thống
các dãy số ngẫu nhiên và các kỹ thuật khác để tránh kẻ tấn công dự đoán đươc dãy
số, nhưng hệ thống cấp số ngẫu nhiên thường cấp ít các dãy số ngẫu nhiên hơn so với
với dự kiến để chờ đợi một dãy số lớn từ các lỗi bảo mật [774].
Nếu số thứ tự dự đoán là khả thi thì sau đó Charlie sẽ có thể gửi tin nhắn cho Bob, mà
Bob sẽ tin tưởng tin nhắn đó đến từ Alice (mặc dù Charlie sẽ không thể đọc được trả
lời của Bob ). Trong một số trường hợp, Charlie sẽ không có thể tấn công được Alice
khi Alice bỏ qua câu trả lời ngẫu nhiên từ Charlie. Đây là một cuộc tấn công phức tạp
nhưng không có vấn đề gì vì đã có những kịch bản có sẵn trên mạng để làm điều đó.
18.2.2.6 Routing Attacks
Tấn công định tuyến là các cuộc tấn công đa dạng. Vụ tấn công cơ bản liên quan
đến Charlie nói với Alice và Bob bằng một đường truyền đã định tuyến thuận tiện
cho sự trao đổi tín hiệu qua lại giữa hai người. Tấn công định tuyến đã được sắp xếp
vào giao thức TCP để làm hệ thống nhận được các bộ định tuyến sẵn từ môi trường
xung quanh không tốt. Các hạ tầng cơ sở giả định rằng" server đang trung thực" và
đó cũng là sự lựa chọn khó khăn hơn cho nhiều công ty bởi vì đó là nỗ lực thực sự
của các nhà quản trị mạng chứ không phải mua và cài đặt một sản phẩm . Việc quản
trị cấu hình bằng con số thậm chí có thể làm mọi điều trở nên điều tồi tệ hơn. Như đã
lưu ý tại mục 18.2.2.3, bệnh viện Hoa Kỳ đã phải sử dụng một cấu hình được biết đến
và quản tri hệ thống mạng yếu kém đã làm cho những kẻ tấn công lấy được những
thông tin quan trọng trong nội bộ).
Một số công cụ có sẵn để giúp các nhà quản trị hệ thống mạng bảo vệ mọi thứ chặt
chẽ. Một số hệ thống mạng cho phép người quản trị thực hiện việc điều khiển các
phiên bản tập trung do đó các bản vá lỗi có thể được áp dụng bất cứ lúc nào và tất cả
mọi thứ có thể được bảo vệ một cách đồng bộ.Những kẻ tấn công sẽ cố gắng đột
nhập vào các máy tính trong hệ thống mạng của nhà quản trị viên bằng cách sử
dụng một tập hợp các lỗ hổng thông thường [320 ]. Kẻ tấn công sử dụng một số công
cụ quen thuộc để thâm nhập là một ý tưởng rất tốt, vì các công cụ này cũng có
thể bị sử dụng bởi các tin tặc để cố gắng tấn công hệ thống mạng
Các bảng chi tiết sẵn có của các sản phẩm và những gì họ làm thay đổi từ một năm
đến kế tiếp, vì vậy nó là không thích hợp để đi vào chi tiết ở đây. Điều thích hợp cho
một nhà quản trị hệ thống là việc quản trị để ngăn chặn tất cả các lỗ hổng bằng những
kỹ năng và lòng nhiệt huyết của mình.Các tổ chức cá nhân có thể thấy rằng quá tốn
kém chi phí để sửa chữa tất cả các lỗ hổng bảo mật trên hệ thống chấp nhận được trên
một mạng nội bộ nhưng không có kết nối Internet. Một vấn đề khác là một tổ chức
thường xuyên chạy hầu hết các ứng dụng quan trọng trên hệ thống trên máy được bảo
mật nhất trong khi đó các quản trị viên hệ thống mạng lại không dám áp dụng để nâng
cấp hệ thống điều hành và các bản vá lỗi vì sợ mất dịch vụ.Điều này dẫn chúng ta đến
việc sử dụng tường lửa.
18.3.2 Firewalls(Tường lửa)
Thuật ngữ Firewall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn
chặn, hạn chế hoả hoạn. Trong công nghệ mạng thông tin, Firewall là một kỹ thuật
Chương 18: Tấn công mạng và cách phòng chống Page 11
được tích hợp vào hệ thống mạng để chống sự truy cập trái phép nhằm bảo vệ các
nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thống của một số thông
destination port) Dạng thông báo ICMP ( ICMP message type) giao diện packet đến
( incomming interface of packet) giao diện packet đi ( outcomming interface of
packet)
Chương 18: Tấn công mạng và cách phòng chống Page 12
Nếu luật lọc packet được thoả mãn thì packet được chuyển qua firewall. Nếu không
packet sẽ bị bỏ đi. Nhờ vậy mà Firewall có thể ngăn cản được các kết nối vào các máy
chủ hoặc mạng nào đó được xác định, hoặc khoá việc truy cập vào hệ thống mạng nội
bộ từ những địa chỉ không cho phép. Hơn nữa, việc kiểm soát các cổng làm cho
Firewall có khả năng chỉ cho phép một số loại kết nối nhất định vào các loại máy chủ
nào đó, hoặc chỉ có những dịch vụ nào đó (Telnet, SMTP, FTP ) được phép mới chạy
được trên hệ thống mạng cục bộ.
18.3.2.2 Circuit Gateways:
Cổng vòng là một chức năng đặc biệt có thể thực hiện đươc bởi một cổng ứng dụng.
Cổng vòng đơn giản chỉ chuyển tiếp (relay) các kết nối TCP mà không thực hiện bất
kỳ một hành động xử lý hay lọc packet nào.
Cổng vòng đơn giản chuyển tiếp kết nối telnet qua firewall mà không thực hiện một
sự kiểm tra, lọc hay điều khiển các thủ tục Telnet nào.Cổng vòng làm việc như một sợi
dây,sao chép các byte giữa kết nối bên trong (inside connection) và các kết nối bên
ngoài (outside connection). Tuy nhiên, vì sự kết nối này xuất hiện từ hệ thống
firewall, nó che dấu thông tin về mạng nội bộ. Cổng vòng thường được sử dụng cho
những kết nối ra ngoài, nơi mà các quản trị mạng thật sự tin tưởng những người dùng
bên trong. Ưu điểm lớn nhất là một bastion host có thể được cấu hình như là một hỗn
hợp cung cấp Cổng ứng dụng cho những kết nối đến, và cổng vòng cho các kết nối đi.
Điều này làm cho hệ thống bức tường lửa dễ dàng sử dụng cho những người trong
mạng nội bộ muốn trực tiếp truy nhập tới các dịch vụ Internet, trong khi vẫn cung cấp
chức năng bức tường lửa để bảo vệ mạng nội bộ từ những sự tấn công bên ngoài.
18.3.2.3 Application Relays:
Đây là một loại Firewall được thiết kế để tăng cường chức năng kiểm soát các loại
dịch vụ, giao thức được cho phép truy cập vào hệ thống mạng. Cơ chế hoạt động của
nó dựa trên cách thức gọi là Proxy service (dịch vụ đại diện). Proxy service là các bộ
[771]) thì bộ lọc gói về nguyên tắc có thể được sử dụng để phát hiện và ngăn chặn các
cuộc tấn công như vậy. Ngoài ra một xu hướng ngày càng đó là công nghệ thu thập
dữ liệu và chuyển tiếp các thông tin về một thuê bao trực tuyến mà không cần uỷ
quyền của họ. Phần mềm cho điện thoại trong nhà có thể tiết lộ những tài liệu nhạy
cảm cao như các thư mục dữ liệutrong ổ cứng. Hy vọng rằng mọi người sẽ ngày càng
thận trọng trong việc tổ chức theo dõi và kiểm soát loại lưu lượng.
18.3.2.5 Combinations (Kết Hợp)
Tại các trang web có nhiều bức tường lửa có thể được sử dụng bộ lọc gói tin sau đó
kết nối thế giới bên ngoài .Một mạng con cũng được biết đến như một khu phi quân
sự (DMZ), trong đó có một số máy chủ ứng dụng hoặc proxy để lọc mail và các dịch
vụ khác. Các DMZ sau đó có thể được kết nối với mạng nội bộ thông qua một bộ lọc
địa chỉ mạng. Trong tổ chức hệ thống có thể có thêm các thiết bị quản lí kiểm soát
hoạt động của hệ thống mạng để đảm bảo rằng thông tin phân loại không thể bị ăn cắp
ra bên ngoài (hình 18,2).
Việc cài đặt ,xây dựng hệ thống như vậy sẽ có thể mất chi phí lắp đặt rất cao như
nhiều thông điệp cần phải thường được kiểm tra và thông qua bằng tay. Điều này có
thể có được thực hiện bằng nhiều cách mà nhà quản tri mạng cài đặt cấp phép ra vào
mạng, chẳng hạn như thiết bị quay số (dial -up) có thể thực hiện được công việc bảo
mật thực hiện nếu nhà quản trị mạng cài đặt là nhằm ngăn chặn thông tin bị rò rỉ ra
Chương 18: Tấn công mạng và cách phòng chống Page 14
bên ngoài thì có thể dùng để ngăn chặn một số loại virus từ bên trong.Chúng ta sẽ
thảo luận về vấn đề này tại Mục 18.4.6
18.3.3 Strengths and Limitations of Firewalls: (Ưu điểm và nhược điểm của firewall)
Ưu Điểm:
1. Firewall quyết định những dịch vụ nào từ bên trong được phép truy cập từ bên
ngoài, những người nào từ bên ngoài được phép truy cập đến các dịch vụ bên trong, và
cả những dịch vụ nào bên ngoài được phép truy cập bởi những người bên trong.
2. Để firewall làm việc hiệu quả, tất cả trao đổi thông tin từ trong ra ngoài và ngược
lại đều phải thực hiện thông qua Firewall.
liệu quân sự, tài chính, kinh doanh hoặc đơn giản là một thông tin nào đó mang tính
riêng tư.
Như chúng ta đã biết, Internet hình thành và phát triển từ yêu cầu của chính phủ Mỹ
nhằm phục vụ cho mục đích quân sự. Khi chúng ta tham gia trao đổi thông tin, thì
Internet là môi trường không an toàn, đầy rủi ro và nguy hiểm, không có gì đảm bảo
rằng thông tin mà chúng ta truyền đi không bị đọc trộm trên đường truyền. Do đó, mã
hoá được áp dụng như một biện pháp nhằm giúp chúng ta tự bảo vệ chính mình cũng
như những thông tin mà chúng ta gửi đi. Bên cạnh đó, mã hoá còn có những ứng dụng
khác như là bảo đảm tính toàn vẹn của dữ liệu.
Theo một số tài liệu thì trước đây tính an toàn, bí mật của một thuật toán phụ thuộc
vào phương thức làm việc của thuật toán đó. Nếu như tính an toàn của một thuật toán
chỉ dựa vào sự bí mật của thuật toán đó thì thuật toán đó là một thuật toán hạn chế
(Restricted Algrorithm). Restricted Algrorithm có tầm quan trọng trong lịch sử nhưng
không còn phù hợp trong thời đại ngày nay. Giờ đây, nó không còn được mọi người sử
dụng do mặt hạn chế của nó: mỗi khi một user rời khỏi một nhóm thì toàn bộ nhóm đó
phải chuyển sang sử dụng thuật toán khác hoặc nếu người đó người trong nhóm đó tiết
lộ thông tin về thuật toán hay có kẻ phát hiện ra tính bí mật của thuật toán thì coi như
thuật toán đó đã bị phá vỡ, tất cả những user còn lại trong nhóm buộc phải thay đổi lại
thuật toán dẫn đến mất thời gian và công sức.
Hệ thống mã hoá hiện nay đã giải quyết vấn đề trên thông qua khoá (Key) là một yếu
tố có liên quan nhưng tách rời ra khỏi thuật toán mã hoá. Do các thuật toán hầu như
được công khai cho nên tính an toàn của mã hoá giờ đây phụ thuộc vào khoá. Khoá
này có thể là bất kì một giá trị chữ hoặc số nào. Phạm vi không gian các giá trị có thể
có của khoá được gọi là Keyspace . Hai quá trình mã hoá và giải mã đều dùng đến
Chương 18: Tấn công mạng và cách phòng chống Page 16
khoá. Hiện nay, người ta phân loại thuật toán dựa trên số lượng và đặc tính của khoá
được sử dụng.
Bên cạnh việc làm thế nào để che dấu nội dung thông tin thì mã hoá phải đảm bảo các
mục tiêu sau:
a.Confidentiality (Tính bí mật): Đảm bảo dữ liệu được truyền đi một cách an
xây dựng các qui trình bảo vệ hệ thống. Cuộc chiến giữa hai bên chẳng khác gì một
cuộc chơi trên bàn cờ, từng bước đi, nước bước sẽ quyết định số phận của mối bên.
Trong cuộc chiến này, ai giỏi hơn sẽ dành được phần thắng. Trong thế giới mã hoá
cũng vậy, tất cả phụ thuộc vào trình độ và thời gian…sẽ không ai có thể nói trước
được điều gì. Đó là điểm thú vị của trò chơi.
Chương 18: Tấn công mạng và cách phòng chống Page 17
Có rất nhiều các thuật toán mã hoá khác nhau. Từ những thuật toán được công khai để
mọi người cùng sử dụng và áp dụng như là một chuẩn chung cho việc mã hoá dữ liệu;
đến những thuật toán mã hoá không được công bố. Có thể phân loại các thuật toán mã
hoá như sau:
Phân loại theo các phương pháp:
- Mã hoá cổ điển (Classical cryptography)
- Mã hoá đối xứng (Symetric cryptography)
- Mã hoá bất đối xứng(Asymetric cryptography)
- Hàm băm (Hash function)
Phân loại theo số lượng khoá:
- Mã hoá khoá bí mật (Private-key Cryptography)
- Mã hoá khoá công khai (Public-key Cryptography)
18 4 Trojans, Viruses, and Worms
Trojan Horse được lấy tên từ một câu chuyện thần thoại cổ “ Con ngựa thành Trojan“.
Người ta định nghĩa :”Trojan horse là một chương trình không chính thức chứa trong
khoảng thời gian một chương trình hợp pháp”. Như vậy, Trojans có thể chạy được là
do các chương trình hợp pháp đã bị thay đổi mã của nó bằng những mã bất hợp pháp.
Những chương trình virus là một loại điển hình của các chương trình Trojans. Vì
những chương trình virus che dấu các đoạn mã trong những chương trình sử dụng hợp
pháp. Khi những chương trình này hoạt động thì những đoạn mã ẩn dấu thực thi để
thực hiện một số chức năng mà người sử dụng không biết (ăn cắp mật khẩu hay sao
chép files v.v…).
Xét về khía cạnh bảo mật và giám sát trên Internet thì một chương trình Trojan sẽ thực
hiện các vấn đề sau:
việc cấp năng lượng và sóng (Power failure and surges), ăn trộm vật lý (Physical
Theft) v.v…
Ngoài ra còn có các virus và sâu, được tự tuyên truyền chương trình độc hại và để mà
chúng ta đã đề cập nhiều lần trong các chương trước đó. Có cuộc tranh luận về các
định nghĩa chính xác bằng ba điều kiện: sử dụng phổ biến là đoạn mã độc một chương
trình mà không gây cái gì đó độc hại (như chụp mật khẩu) khi chạy bởi một người
dùng không nghi ngờ; sâu một lần nhắc lại là cái gì đó và virus là một loại virus là loại
lây lan nhanh bằng cách gắn nó với các chương trình khác.
18.4.1 Early History of Malicious Code
Malware dường như có khả năng xuất hiện bất cứ khi nào số lượng người dùng chia
sẻ một nền tảng dữ liệu kha lớn. Mã độc ra đời vào đến đầu thập niên 1960. Các máy
móc của thời đại đó đã bị làm chậm và chu kỳ của CPU đã được cẩn thận hạn chế giữa
các nhóm khác nhau của người dùng. Bởi vì sinh viên của các trường đại học thường
phát minh ra những thủ thuật như viết trò chơi máy tính với đoạn mã độc bên trong
để kiểm tra xem các chương trình đã được chạy như là người chủ và nếu như vậy để
tạo một tài khoản bổ sung đặc biệt với một mật khẩu được biết trước. Đến năm 1970,
các hệ thống lớn ở trường đại học là mục tiêu của trò đùa nhiều hơn và nhiều hơn nữa
liên quan đến Trojan horses. Tất cả các loại thủ thuật được phát triển.
18.4.2 The Internet Worm
Worm là sâu máy tính là một loại phần mềm có sức lây lan nhanh, rộng và phổ biến
nhất hiện nay. Không giống với virus thời "nguyên thủy", worm không cần đến các tập
Chương 18: Tấn công mạng và cách phòng chống Page 19
tin "mồi" để lây nhiễm. Chúng tự nhân bản và phát tán qua môi trường Internet, mạng
ngang hàng, dịch vụ chia sẻ
Worm làm việc đó một cách tự động bằng cách nắm quyền kiểm soát các tính năng
trong máy tính, mà các tính năng này có thể truyền tải các tệp hoặc thông tin. Khi bạn
có sâu trong hệ thống của mình nó có thể tự di chuyển. Một nguy hiểm lớn của sâu là
nó có khả năng tái tạo ở lượng lớn.
Ví dụ, một sâu có thể gửi các bản sao chép của chính nó tới tất cả mọi người có trong
danh sách sổ địa chỉ thư điện tử của bạn, và máy tính của họ sau đó cũng sẽ làm như
có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại
các máy tính VAX/VMS.
- Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
- Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các
quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính
(giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).
- Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của
ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc
dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).
- Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
- Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại
này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống
virus.
- Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện
thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good
Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax
virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của
các người nhận được điện thư này để tạo ra sự luân chuyển.
- Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong
các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều
hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho
các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn
phòng của Microsoft như Word, Excel, PowerPoint, OutLook, Loại macro này, nổi
tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word
hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi
một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong
các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word,
Excel và Power Point.
- Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi
người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng
thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ
điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ
không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu
của máy tính cũng như chương trình.
18.4 Các hình thức lây nhiễm của Virus
Virus lây nhiễm theo cách cổ điển
- Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông
qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình
thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít
được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di
động hoặc các thiết bị giải trí kỹ thuật số.
Virus lây nhiễm qua thư điện tử
- Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng
sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.
- Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư
điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ
tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị
phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi
tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong
một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ
quan trên toàn thế giới trong một thời gian rất ngắn.
- Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể
khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong
Chương 18: Tấn công mạng và cách phòng chống Page 22
danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư
phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
Phương thực lây nhiễm qua thư điển tử bao gồm:
- Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó người dùng
sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do
đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể
Chương 18: Tấn công mạng và cách phòng chống Page 23
- Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm hoạ
virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối đa có thể và có
các biện pháp bảo vệ dữ liệu của mình.
Sử dụng phần mềm diệt virus
- Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều
loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được
các virus mới.
- Trên thị trường hiện có rất nhiều phần mềm diệt virus.
- Trong nước (Việt Nam): Bkav, CMC…
- Của nước ngoài: Avira, Kaspersky, AVG, Norton…
Sử dụng tường lửa
- Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các nhà
cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng tường
lửa để bảo vệ trước virus và các phần mềm độc hại. Khi sử dụng tường lửa, các thông
tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý. Nếu một
phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường
lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa
giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát máy
tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính.
- Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet thông
qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà sản xuất
thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép
hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi
chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa
bằng các phần mềm.
- Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày nay đã
được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các
phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so
với tường lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm
hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các
ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file
hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự
nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy
nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng.
- Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus:
Theo mặc định Windows thường cho phép các tính năng autorun giúp người sử dụng
thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ
thống. Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi
vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền
rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file
autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần
loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa
đổi trong Registry.
- Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến: Xem thêm phần
"Phần mềm diệt virus trực tuyến" tại bài phần mềm diệt virus
Bảo vệ dữ liệu máy tính
Chương 18: Tấn công mạng và cách phòng chống Page 25
Copyright: Tài liệu đại học ©