1
BỘ TÀI CHÍNH
TRƯỜNG ĐẠI HỌC TÀI CHÍNH - MARKETING
THUYẾT TRÌNH THƯƠNG MẠI ĐIỆN TỬ
Chủ đề: TÌNH HÌNH AN NINH MẠNG
Nhóm 17 – Lớp 11DMA1
2
TÌNH HÌNH AN NINH MẠNG
1. Tình hình an ninh mạng thế giới:
Các cường quốc về công nghệ thông tin trên thế giới như: Mỹ, Nhật, Trung Quốc, Ấn Độ,
Triều Tiên, Hàn quốc và các nước khu vực Euro. Các nước này liên tiếp có những hoạt
động tấn công mạng lẫn nhau nhằm thu lại những thông tin có ít cho quốc gia của mình
(chủ yếu là quân sự).
Theo báo cáo mới nhất của tập đoàn chống hacker Akamai Technologies của Hoa Kỳ:
trong giai đoạn từ tháng Tư đến tháng Sáu năm 2013, có đến 38% các cuộc tấn công
hacker có địa chỉ IP tại Indonesia, trong khi đó con số này từ Trung Quốc là 33%.
Tuy nhiên, báo cáo nói rõ, con số địa chỉ IP của các hacker không nói lên được rằng các
hacker có nguồn gốc từ Indonesia và Trung Quốc. Lý do khá đơn giản, đó là bởi gì các
hacker có thể sử dụng địa chỉ IP ở những nơi khác để ném đá giấu tay.
Đối với trường hợp của Indonesia, tờ báo cho rằng, các hacker chọn nước này làm nơi
dụng võ, đó là bởi vì có đến 86% phần mềm được sử dụng ở Indonesia là hàng giả, không
đủ chất lượng và rất có nhiều nguy cơ bị tin tặc tấn công. Con số này ở Trung Quốc là
77%, ở Ấn Độ là 63%.
Sự kiện nổi bật nhất gần đây chính là những tiết lộ của cựu tình báo mỹ Edward Snowden
về việc Mỹ bí mật theo dõi trên diện rộng các cá nhân và tập thể của đồng minh thân cận
như Pháp, Đức và nhiều nước khác trong khu vực Euro đã gây ra “cơn bão” về
ngoại giao trên toàn thế giới.
2. Tình hình Đông Nam Á
Nhật và ASEAN hợp tác về an ninh mạng
Nhật và 10 quốc gia ASEAN đã nhất trí tăng cường hợp tác về nghiên cứu và dự báo các
4
Danh sách các website của Việt Nam bị hacker tấn công
Do mức độ các website bị tấn công dồn dập và với số lượng lớn như trên, nhiều chuyên
gia công nghệ cho rằng, nguyên nhân là do hacker đã chiếm được một máy chủ của một
nhà cung cấp dịch vụ hosting để từ đó tấn công giao diện hàng loạt website trên đó. Theo
đánh giá của ông Triệu Trần Đức, Tổng giám đốc CMC Info Sec: Hiện nay, các website
của Việt Nam đều mắc những lỗi giống nhau, chỉ bằngcách đơn giản thì 300 trang web đã
có thể bị hack, trong đó, phổ biến nhất là search trên Google. Thực tế, máy chủ của Việt
Nam cứ dựng lên là trở thành “sân tập” cho hacker thế giới.
Theo đánh giá của đại diện VnCert, những cuộc tấn công này đều là những hành động
đơn lẻ, mang tính tự phát nhiều với mức độ nguy hiểm chưa cao, không thể hiện trình độ
5
của hacker. Có thể hiểu là mức độ sơ khai. Qua kiểm tra, có nhiều dấu hiệu hacker tấn
công từ nước ngoài qua các địa chỉ IP xuất phát từ nhiều nước như Trung Quốc, Hồng
Kông, Hàn Quốc, Mỹ Có cả IP từ Việt Nam. Tuy nhiên, hiện cũng chưa có thống kê cụ
thể số vụ tấn công từ các quốc gia nhất định.
Ý thức người dùng Việt Nam còn kém
Viettel và Tổng cục Thủy sản là 2 ví dụ gần đây khi mà tin tặc có thể xem được mã
nguồn, khai thác đường dẫn vào trang quản trị.
Với website của Tổng cục Thủy sản, có thể vào trang login để xuất bản nội dung. Thiết
kế hệ thống và bảo mật có vấn đề. Chỉ cần đánh email, mật khẩu không đúng, khai thác
lỗi CSDL Hay như website của Viettel: có rất nhiều thông tin hiển thị như
uploads/admin lẽ ra không được hiển thị nếu đúng theo quy trình bảo mật.
Tuy nhiên, ngay khi thấy bị hack, các đơn vị sử dụng lại quan niệm đơn giản: bị hack thì
tắt đi, lúc nào hết thì lại bật lên (ví dụ doanthanhnien.hoabinh.gov.vn) hay như Sở Thông
tin – Truyền thông Hà Nội là sẽ bỏ trang thông tin điện tử này đi.
ó những trang web bị hack nhiều năm nay vẫn không quan tâm, ví dụ Ủy ban quốc gia về
hợp tác kinh tế quốc tế (nciec.gov.vn). Điều này chỉ chứng tỏ 1 điều: Ý thức bảo mật quá
kém nên mới bị hack.
Ngay như các đơn vị cung cấp dịch vụ online như ngân hàng, khi mà Microsolf đưa ra
hiện với máy tính cho hacker để từ hacker có thể thực hiện các thủ thuật gây hại cho bạn
như:
• Xoá hay viết lại các dữ liệu trên máy tính.
• Làm hỏng chức năng của các tệp.
• Lây nhiễm các phần mềm ác tính khác như là virus.
• Cài đặt mạng để máy có thể bị điều khiển bởi máy khác.
• Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác .
• Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng.
• Đọc các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu phạm tội.
• Cài đặt lén các phần mềm chưa được cho phép.
Cách thức hoạt động của Trojan Horse:
Ðể lấy được mật khẩu của các chủ thuê bao, hacker thường sử dụng một đoạn mã chương
trình Trojan gửi đến các thuê bao cần tấn công thông qua e-mail dưới dạng dữ liệu đính
kèm (File Attachment). Chỉ cần khi các chủ thuê bao vô tình mở file này, lập tức Trojan
được kích động và tự động thực hiện những mã lệnh mà hacker đã lập trình sẵn, có thể
sao chép lại tất cả các thông số về mật khẩu của chủ thuê bao. Ngay sau khi chủ thuê bao
kết nối Internet, Trojan sẽ bí mật sinh ra một e- mail và gửi mật khẩu đánh cắp về cho
7
hacker. Và sau đó mỗi lần thay đổi mật khẩu Trojan sẽ tiếp tục lặng lẽ gửi những gì ăn
cắp được tới một địa chỉ mà hacker đã định sẵn.
Khả năng thu thập được các thông tin của máy chủ được thực hiện nhờ tính năng Screen
shot (chụp màn hình) của Trojan Horse. Phần mềm này sẽ lưu lại tất cả những hành động
mà bạn thực hiện trên máy chủ (ví dụ như đánh password, mở thư, xem các thông tin
mật…) để từ đó gửi cho hacker.
Hacker một khi vào máy tính bạn rồi: mọi cái gì bí mật ở bạn, họ đều biết cả qua việc họ
đọc mọi file ở Windows Explorer của bạn. Email nào gửi đến bạn hacker đều đọc được cả
. Mọi hình ảnh tối mật của gia đình bạn, hacker đều biết cả. Mọi thông tin cá nhân bạn
đều bị chúng nắm cả: từ hình ảnh cá nhân của bạn, lý lịch CV, tài khoản nhà băng, bạn
đang làm việc ở đâu, mọi thư từ, số phone bạn và mọi người thân.
Còn tối nguy hơn nữa nếu bạn thích dùng webcam hay microphone nữa, lúc ấy muốn ăn
các file hình ảnh tự bung có dạng exe.
• Dùng đến Firewall để bảo vệ mọi data quí giá của bạn thất thoát ra ngoài khi
không mong muốn cộng thêm một chương trình diệt virus như Norton antivirus
2006 hay Mac Afee.
ROOKITS
Khái niệm:
Rootkits là một bộ công cụ phần mềm do kẻ xâm nhập đưa vào máy tính nhằm
mục đích cho phép mình quay lại xâm nhập máy tính đó và dùng nó cho các mục đích
xấu mà không bị phát hiện, bộ công cụ này cho phép truy nhập vào hoạt động của máy
tính ở mức căn bản nhất.
Rootkit là từ xuất phát từ hệ điều hành UNIX. Rootkit là thuật ngữ được dùng để
chỉ những chương trình có khả năng cướp (trực tiếp hay gián tiếp) quyền kiểm soát hệ
thống. Nói cách khác rootkit là những mã lệnh hay chương trình có khả năng kiểm sóat
một máy tính mà người dùng không bao giờ hoặc khó có thể phát hiện ra được.
Rootkit không phải là một chương trình phá hoại và nó cũng không phải là xấu .
Rootkit chỉ là một cây súng và xấu hay tốt là do người cầm nó quyết định . Thực tế cho
thấy rất nhiều phần mềm bảo mật trên thế giới đã , đang hay sắp sử dụng kỹ thuật này. Ví
dụ điển hình là chương trình chống ăn cắp bản quyền của Sony và Norton SystemWorks .
Phương thức hoạt động:
9
Rootkits có thể được cài đặt trong nhiều cách: khai thác một lỗ hổng trong hệ điều
hành hoặc bằng cách tiếp cận quản trị viên máy tính
Những rootkit hiện đại sẽ thường sử dụng phương pháp ẩn giấu những malware
khác (gọi là payload) như virus hay trojan, từ đó chúng có thể trộm mật khẩu, thông tin
thẻ tín dụng, dữ liệu cá nhân, dữ liệu bí mật trong các công ty,…
Khi người dùng sử dụng máy vi tính để truy cập internet, vô tình tải một tập tin có
chứa Rootkit về máy. Lúc này, tiến trình hack sẽ diễn ra, nó sẽ tạo ra một cửa hậu, ngay
lập tức xóa hết dấu vết, quá trình mà nó xâm nhập vào máy. Chính cửa hậu này cho phép
kẻ xấu tấn công vào máy tính mà người dùng không hề biết. Hoặc chính kẻ xấu cũng có
thể trực tiếp đưa Rootkit vào trong máy, nếu như họ có cơ hội tiếp cận máy tính của bạn.
1.Rootkit bám dai (Persistent Rootkits):
Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt động mỗi
khi hệ thống khởi động. Bởi vì các malware chứa mã phá hoại sẽ được thực thi tự động
mỗi khi hệ thống khởi động hoặc khi người sử dụng đăng nhập vào hệ thống. Chúng cần
phải lưu trữ các đoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các
phương pháp cho phép âm thầm chạy các đoạn mã mà người sử dụng không hay biết
2.Rootkit trên bộ nhớ (Memory-Based Rootkits ):
Loại rootkit này chính là các malware không có những đoạn mã "dai dẳng" - chỉ
lưu trong bộ nhớ, chính vì thế loại rootkit này không tồn tại sau khi khởi động lại máy.
11
Ngoài ra, còn có 2 loại Rootkit mà ít người biết đến đó là Koutodoor và TDSS,
hay còn được gọi là rootkit thầm lặng.
• TDSS, đại diện cho hơn 37% các rootkit hiện có và nó là bằng chứng cho thấy gia
đình rootkit có thể biến đổi như thế nào để chống lại các biện pháp antivirus. Gần
đây có một con rootkit dòng TDSS đã thay đổi giá trị trong Master Boot Record
khiến hệ thống tải nó lên trước khi tải driver và giải pháp chống phần mềm mã
độc, cho phép rootkit này vô hiệu hóa các phần mềm antivirus. TDSS rootkit còn
có khả năng sống "kí sinh" lên các tập tin hiện có, tự tạo một file system riêng
được mã hóa để chứa các malware phụ. TDSS có thể đánh cắp mật khẩu hay dữ
liệu mà chúng ta không hề hay biết.
• Theo số liệu của McAfee, Koutodoor hiện đang chiếm 21% trong tổng số rootkit
hiện có. Koutodoor hoạt động theo nhiều giai đoạn, bao gồm việc cài đặt Trojan
như là một rootkit, cài một malware khác tải từ các trang web. Sau đó, các
malware mới cài này sẽ gửi thông tin về kết nối của người dùng đến các địa chỉ
web cụ thể, từ đó tạo ra các cú click chuột giả trên banner quảng cáo hay bộ đếm
traffic. Chính vì thế, nó mang lại doanh thu cho các hacker Con rootkit này có
nhiều thuộc tính rất thông minh. Nó tự biến đổi mình thành nhiều "dạng" khác
nhau để tránh bị phát hiện, đồng thời thay đổi giá trị thực thi cũng như quyền
đọc/ghi để không bị các phần mềm antivirus xóa mất. Nó còn đổi tên tập tin chứa
rootkit trong mỗi lần máy khởi động. Ngoài ra, Koutodoor còn vô hiệu hóa những
Sau khi cài đặt, Rootkit.boot.Harbinger.a gây rất nhiều khó khăn với môi trường
duyệt web của bạn. Rootkit.boot.Harbinger.a này sẽ thay đổi Windows registry mục
inorder để chạy tự động mỗi khi bạn khởi động Windows. Hơn nữa,
13
Rootkit.boot.Harbinger.a đánh cắp tất cả các dữ liệu bí mật của bạn như số tài khoản, mật
khẩu, tên người dùng
Phòng chống và giải quyết :
Hiện các công ty bảo mật đang sử dụng nhiều cách để phát hiện được rootkit, trong đó
có thể kể đến như:
+ Sử dụng một thiết bị đáng tin cậy khác : Chiếc máy bị nghi ngờ nhiễm rootkit sẽ
được tắt đi, sau đó boot bằng những thiết bị như đĩa CD, ổ đĩa USB rồi quét rootkit. Đây
là cách hữu hiệu để quét kernel-mode rootkit vì rootkit không ẩn mình tốt nếu nó đang
không chạy.
+ Các phần mềm chống rootkit trên hệ điều hành Unix :Zeppoo, chkrootkit, rkhunter,
OSSEC. Còn trên Windows, một số phần mềm quét rootkit là Microsoft Sysinternals
RootkitRevealer, Avast! Antivirus, Sophos Anti-Rootkit, F-Secure, Radix, GMER,
WindowsSCOPE, mới đây có thêm McAfee Deep Defender
Đa phần khi bị Rootkit tấn công, sự lựa chọn duy nhất của bạn đôi khi là phải cài đặt
lại toàn bộ HĐH đang sử dụng. Theo các nhà chuyên môn, để thoát khỏi một Rootkit mà
không phải cài đặt lại HĐH, bạn nên khởi động vào một HĐH thay thế và sau đó cố gắng
để làm sạch các Rootkit hoặc ít nhất nếu không muốn dùng lại HĐH đó bạn cũng có thể
tạo ra bản sao các dữ liệu quan trọng để sử dụng trở lại.
DoS
1. Khái niệm:
- DoS Attack hay còn gọi là tấn công DoS là kiểu tấn công mà chỉ cần một người với một
máy tính kết nối internet cùng với những phương thức làm quá tải tài nguyên hệ thống là
đã có thể làm cho một hệ thống chậm đi đáng kể hoặc tệ hơn nữa là tê liệt toàn bộ hệ
thống.
- Các cuộc tấn công có thể được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm
tấn công vào các thiết bị định tuyến, web, thư điện tử và hệ thống DNS.
- Loại 2 : Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc lỗi
về an toàn thông tin. Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu
cầu hoặc các gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho
hệ thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc
không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó. Điển hình
là kiểu SYN Attack hay Teardrop.
4. Tác hại:
- Tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian
xử lý, khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho
người dùng bình thường.
- Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫn
đến việc liên lạc giữa hai bên không được thông suốt và ngăn chặn quá trình truy cập vào
dịch vụ.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
15
- Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.
5. Ví dụ minh họa: DDoS (tấn công từ chối dịch vụ)
Một trong những phương thức tấn công DoS khá phổ biến hiện nay là DDoS
(Distributed DoS Attacks) hay còn gọi là tấn công từ chối dịch vụ. DDoS hầu hết đều tập
trung vào việc chiếm dụng băng thông gây nghẽn mạch. DDoS yêu cầu phải có ít nhất vài
hackers cùng tham gia. Các hackers sẽ thâm nhập vào các mạng máy tính bảo mật kém và
cài lên các hệ thống này chương trình DDoS server. Sau đó các hackers sẽ đồng loạt dùng
DDoS client kết nối đến các DDoS servers và ra lệnh cho các DDoS servers này tiến
hành tấn công DDoS đến hệ thống nạn nhân. Theo cách này thì dù băng thông có bao
nhiêu đi chăng nữa thì cũng không thể chịu đựng được số lượng hàng triệu các gói tin đó
nên hệ thống không thể hoạt động được nữa và như thế dẫn đến việc các yêu cầu hợp lệ
khác không thể nào được đáp ứng, server sẽ bị “đá văng” khỏi internet.
Vào ngày 23/12/2009, nhà cung cấp dịch vụ phân giải tên miền (DNS) cho Amazon bị
tấn công DDoS, khiến người dùng không thể truy cập vào máy chủ Amazon.com và
tượng bất thường và có biện pháp khắc phục kịp thời.
• Cách giải quyết khi bị tấn công:
- Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và
cấm không cho gửi dữ liệu đến máy chủ.
- Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa
lỗi cho hệ thống đó hoặc thay thế.
- Tạm thời chuyển máy chủ sang một địa chỉ khác.
PASSWORD CRACKING
Khái niệm:
17
Password cracking là việc mà các haker sử dụng để bẻ khóa một mật khẩu của
người sử dụng, nhằm truy cập trái phép vào hệ thống máy tính hay trang điện tử
thông qua việc sử dụng các chương trình phá hoại để gây sự cố làm mất uy tính
của cá nhân hay tổ chức.
Phương thức crack password:
Để hiểu được một Password Cracker làm việc như thế nào chúng ta cần phải hiểu
được các chương trình quản lý Password thực hiện ra sao. Hầu hết các chương
trình quản lý Password đều mã hóa Password theo một phương thức nào đó.
- Mật khẩu sau khi được tạo ra và lưu vào trong hệ thống sẽ được mã hóa, hệ
thống sẽ chứa Key để giải mã mật khẩu.
- Những hacker sẽ tìm cách lấy được các đoạn mật mã đó.
-Sau khi đã lấy được các đoạn mật mã trên máy của nạn nhân chúng sẽ tiến hành
giải mã mật khẩu bằng những phương thức cụ thể cho từng tình huống
Có 4 kiểu tấn công password
- Passive Online attacks: Nghe trôm sự thay đổi mật khẩu trên mạng. Cuộc
tấn công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, và
replay attacks (tấn công dựa vào phản hồi)
- Active Online attacks: Đoán mật khẩu nguời dùng
- Offline attacks : Các kiểu tấn công như Dictionary, hybrid, và brute-force.
- Non-Electronic attacks: Các cuộc tấn công dựa vào yếu tố con người
Nó được sử dụng để xác định một mật khẩu từ thực tế, và mật khẩu có thể được tìm
thấy trong từ điển.Thông thường nhất, cuộc tấn công sử dụng một tập tin từ điển các
từ có thể, sau đó sử dụng một thuật toán được sử dụng bởi quá trình xác thực. Các từ
trong từ điển được so sánh mật khẩu người dùng. Dictionary Attack chỉ làm việc nếu mật
khẩu là một thực thể có trong từ điển. Nhưng kiểu tấn công này có một số hạn chế là nó
không thể được sử dụng với các mật khẩu mạnh có chứa số hoặc ký hiệu khác .
Hybrid Attack là cấp độ tiếp theo của hacker, một nỗ lực nếu mật khẩu không thể
được tìm thấybằng cách sử dụng Dictionary Attack. Các cuộc tấn công Hybrid bắt đầu
với một tập tin từ điển và thay thế các con số và các ký hiệu cho các ký tự trong mật
khẩu. Ví dụ, nhiều người sử dụng thêm số 1 vào cuối mật khẩu của họ để đáp ứng yêu
cầu mật khẩu mạnh. Hybrid được thiết kế để tìm những loại bất thường trong mật khẩu.
Brute Force Attack là một cuộc tấn công bằng thuật toán brute-force, mà mọi cố
gắng kết hợp có thể có của chữ hoa và chữ thường, chữ cái, số, và biểu tượng. Một cuộc
tấn công bằng thuật toán brute-force là chậm nhất trong ba loại tấn công vì có thể kết
hợp nhiều ký tự trong mật khẩu.Tuy nhiên, cách này có hiệu quả, cần có đủ thời
gian và sức mạnh xử lý tất cả.
• Noneelectronic Attacks
Các cuộc tấn công nonelectronicor làcuộc tấn công mà không sử dụng bất kỳ kiến thức
kỹ thuật nào. Ví dụ như xem lén người dùng gõ mật khẩu, tìm xem người dùng có ghi
mật khẩu ra giấy hoặc là một nơi bất kỳ, đoán mật khẩu thông qua các số quen thuộc như:
123456, abcde,….
Ví dụ:
Giám đốc Công ty CP công nghệ truyền thông thông tin Việt Nam đã cạnh tranh
bán hàng bằng cách xâm nhập vào hệ thống quản lý giáo dục điện tử của một số
19
trường như trường tiểu học Hạ Đình để nhằm hạ uy tín của Công ty “đối thủ” hiện
đang bán phần mềm cho các đơn vị này.
/>Tác hại của password cracking:
• Các hacker thâm nhập vào hệ thống máy tính, trang điện tử để làm mất uy tín của
cá nhân hay tổ chức
Copyright: Tài liệu đại học ©