1. Home
  2. Luận văn tổng hợp
  3. Báo cáo Một số vấn đề xã hội của Công nghệ thông tin TỘI ÁC TRONG TIN HỌC

Báo cáo Một số vấn đề xã hội của Công nghệ thông tin TỘI ÁC TRONG TIN HỌC - Pdf 26

Tội ác trong tin học
==========================================================================
I. TRƯỜNG ĐẠI HỌC SƯ PHẠM HÀ NỘI II.
III. KHOA CÔNG NGHỆ THÔNG TIN
IV.
Bài tập lớn môn:
MỘT SỐ VẤN ĐỀ XÃ HỘI CỦA CNTT
V. Đề tài:
TỘI ÁC TRONG TIN HỌC
Giảng viên hướng dẫn: Nguyễn Thị Lụa
Thầy Trần Doãn Vinh
Nhóm sinh viên:
Phạm Thu Hương
Trịnh Thị Thu Hương
Đỗ Thị Liên

Lớp : K54C
Hà nội Tháng 10/14
- 1 -
Tội ác trong tin học
==========================================================================
MỤC LỤC
Lời giới thiệu…………………………………………………………………… trang 2
I. Khái niệm tội ác trong tin học………………………………………… trang 2
II. Các loại hình tội phạm tin học………………………………………… trang 3
1. Virus …………………………………………………………………… trang 3
2. Hack…………………………………………………………………… trang 17
III. Các hình thức tấn công ………………………………………………… trang 24
1. Tấn công trực tiếp ……………………………………………………….
trang 24
2. Nghe trộm ……………………………………………………………

quan tâm chung của các quốc gia phát triển và đang phát triển.
Dù đi tiên phong trong nghiệp vụ chống tội phạm máy tính, các chuyên gia của FBI vẫn tỏ ra dè
dặt trước kết quả đã đạt được trong chiến dịch Operation Cyber Sweep cũng như triển vọng hợp tác
chống tội phạm tin học toàn thế giới. John McCabe - một thành viên thuộc đội đặc nhiệm của FBI tại
Minneapollis, cho biết: “Điều tra tội ác trên mạng là điều hết sức khó khăn. Tuy nhiên vẫn có thể hy
vọng. Dù ranh ma, song tội phạm tin học vẫn để lại những dấu tay điện tử trên không gian ảo. Nhờ
những dấu vết này mà chúng tôi tìm ra chúng”.
Cảnh sát quốc tế đã lập nhiều nhóm an ninh mạng, phối hợp với đội ngũ chuyên gia mạng để
chống các hình thức tội phạm trong thế giới mạng. Các nhóm này phối hợp theo khu vực Mỹ , Âu, Phi
và châu Á- Thái Binh Dương. Mỗi nhóm bao gồm những người đứng đầu đội đặc nhiệm chống tội ác tin
học (Information Technology Crime Unit – ITCU) của một quốc gia. Tuy các đội đặc nhiệm ITCU của
từng quốc gia có nhiều khác biệt, nhưng Interpol vẫn liên tục tổ chức trao đổi thông tin, chia sẻ kinh
nghiệm, cập nhật tình hình tội phạm và huấn luyện các kỹ năng tin học cần thiết, để các nhóm chiến đấu
với tội phạm tin học và chiến thắng thế giới ngầm trên Internet. Nhóm phối hợp châu Á-Thái Bình
Dương của cảnh sát quốc tế hình thành từ năm 1998 và Việt Nam trở thành thành viên từ năm 2002.
Chống tội phạm tin học đã trở thành cuộc chiến có quy mô toàn cầu. Hôm 19-9, tại Singapore,
đại diện 10 nước thành viên ASEAN đã ra thông cáo chung về việc chia sẻ thông tin liên quan đến an
ninh máy tính trong năm tới và dự kiến sẽ hoàn tất việc thiết lập những đội đặc nhiệm chống tội phạm
trên mạng vào năm 2005.
Các đội đặc nhiệm này sẽ chia sẻ những thông tin liên quan đến hacker, các loại sâu và virus máy
tính, đồng thời hợp tác chống lại những hình thức tội ác mới trên mạng. Bước đầu tiên, một hiệp định
khung về chia sẻ thông tin có thể sẽ được thông qua vào năm tới.
Trong thế giới công nghệ, xuất hiện nhiều loại hình tội ác. Ở đây chúng tôi chỉ đề cập đến loại
hình tấn công phổ biến nhất là virus máy tính. Có rất nhiều cách tấn công, càn quét thế giới mạng.
- 3 -
Tội ác trong tin học
==========================================================================
I. Khái niệm “tội ác” trong tin học.
Thế giới đang chứng kiến sự phát triển như vũ bão của Công Nghệ Thông tin, Công nghệ máy
tính và đặc biệt là mạng Internet, các dịch vụ Internet ngày càng phát triển và lớn mạnh, xâm nhập hầu

các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
Nhược điểm thứ nhì của loại virus này là nó phải là tệp mệnh lệnh tự thi hành (self executable
file). Trong hệ thống Windows có một số kiểu tệp có khả năng này, chúng bao gồm các tệp có đuôi
(extension) là .exe, .com, .js, .bat, và các loại script. (Lưu ý, chữ "mệnh lệnh tự thi hành" là để phân
biệt với các tệp mệnh lệnh phải được gọi qua một chưong trình trung gian như dll, vxd.)
- 4 -
Tội ác trong tin học
==========================================================================
Trước đây, để tìm bắt các tay tin tặc chuyên phát tán virus thì FBI hay Interpol thường dựa vào
danh mục người gửi để truy ngược về người phát tán virus đầu tiên mà bắt giữ.
Tuy nhiên, loại virus này không phải là không có ưu điểm. Thứ nhất, nó có thể lợi dung khuyết
điểm làm tròn dung lượng hiển thị của hệ thống (Ví dụ: 2,01K thành 2K) để ẩn những con virus Dung
lượng nhỏ khi gửi. Thứ hai, nó có thể giấu một phần của tệp tin gửi và hiển thị đuôi file và chỉ cần người
dùng liên kết đến file đó là bị dính virus.
 Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm:
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn
công.
• .bat: Microsoft Batch File
• .chm: Compressed HTML Help File
• .cmd: Command file for Windows NT
• .com: Command file (program
• .cpl: Control Panel extension
• .doc: Microsoft World
• .exe: Executable File
• .hlp: Help file
• .hta: HTML Application
• .js: JavaScript File
• .jse: JavaScript Encoded Script File
• .lnk: Shortcut File
• .msi: Microsoft Installer File

thường, nhưng kì thực nó là virus Love.
II.1.2 Virus lan truyền qua Internet
Khác với loại lan truyền qua thư điện tử, virus loại này thường ẩn mình trong các chương trình
lưu hành lậu (illegal) hay các chương trình miễn phí (freeware, shareware). Thật ra không phải chương
trình lậu hay chương trình miễn phí nào cũng có virus nhưng một số tay hắc đạo lợi dụng tâm lý "tham
đồ rẻ" để nhét virus vào đấy.
Loại này thường hay nằm dưới dạng .exe và nhiều khi được gói trong .zip.
Các hệ điều hành mới ngày nay có khả năng tự khởi động và cài đặt một phần mềm ngay sau khi
tải về máy. Tính năng này rất tiện lợi nhưng cũng vô cùng tai hại nếu nhỡ chương trình tải về có chứa
virus thì rõ ràng người tải về đã "cõng rắn cắn máy nhà".
Lời khuyên:
Đừng bao giờ cho phép (đồng ý nhấn nút OK mà không cần biết mình đã làm gì!!!) mở tệp tin
ngay lập tức sau khi tải về mà trước nhất phải kiểm qua virus.
1.2 Các virus cổ điển:
Virus đầu tiên là phát minh của một thiếu niên ở Anh. Nó chỉ truyền được qua đường mạng và
các thiết bị chứa dữ liệu như đĩa mềm do kết quả của việc sử dụng chung đĩa mềm, CD ROM, đĩa
ZIP/ZAP hay băng từ. Virus nổi tiếng trong lich sử máy tính của loại này là virus Stealth. Nó có khả
năng thay đổi ngay cả chức năng của BIOS. Ngày nay, Stealth vẫn còn nhưng đã được biến dạng thành
một trong hai loại kể trên
1.3 Các khái niệm có liên quan:
• Sâu máy tính (worm): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua
hệ thống mạng (thường là qua hệ thống thư điện tử). Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên
máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả năng
hoạt động hay ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus,
họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.
- 6 -
Tội ác trong tin học
==========================================================================
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ
điều hành UNIX nào trên Internet. Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay các thế hệ

được phát hiện trong thời gian gần đây. Thí dụ, Jeanson James Ancheta, 21 tuổi, người Mỹ ở bang
California, bị tuyên án 57 tháng tù vì đã vận hành một doanh nghiệp "đen" thu lợi bất chính dựa vào các
botnet điều khiển 400.000 "thành viên" và 3 tay điều khiển bot bị bắt ở Hà Lan mùa thu năm trước chính
là trung tâm "đầu não" điều khiển hơn 1,5 triệu PC!
Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do dễ dàng có được những công cụ
phá hoại nên luôn có thêm người mới gia nhập hàng ngũ hacker vì tiền hay vì tò mò.
• Keylogger : là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu ích cho
việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc
của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ,
cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an
- 7 -
Tội ác trong tin học
==========================================================================
ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể
sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa.
• Phishing : là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố gắng lừa
lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ tín dụng, bằng cách giả là một
người hoặc một doanh nghiệp đáng tin cậy trong một giao dịch điện tử. Phishing thường được thực hiện
bằng cách sử dụng thư điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại.
• Rootki t : là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang
chạy, các file hoặc dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những
năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ
thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết đến các
rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bản của
Microsoft Windows. Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúng
thành các driver hay các môdule trong nhân hệ điều hành (kernel module).
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiện vào tháng 11
năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng dụng của Sony. Phần mềm của Sony
giấu bất kỳ file hay tiến trình bắt đầu với "$sys$", những kẻ viết phần mềm độc hại đã đổi tên file để lợi
dụng đặc điểm này .

 Khi nhiễm Trojan sẽ gây ra một số hoạt động sau :
• %UserProfile%\My Documents\[CURRENT USER ACCOUNT].exe
• %System%\debug_32.exe
• %System%\MsMpEng.exe
• %Windir%\Tasks\At1.job
• %Windir%\Tasks\At2.job
• %Windir%\Tasks\dmadmin_1.exe
• %Windir%\compmgmt.exe
Tiếp theo nó sẽ khởi tạo file sau
%UserProfile%\My Documents\[FolderName].exe
Sau đó nó sẽ tìm kiếm tất cả các ổ đĩa cứng khởi tạo và đặ thuộc tính cho tất cả các
folder
%SystemDrive%\[FolderName].exe
• %SystemDrive%\autorun.inf
%SystemDrive%\New_Folder.exe
 Sau đó sẽ khởi tạo vào trong regedit và sẽ chạy cũng mỗi khi Windows bắt
đâu khởi động sẽ khóa một số tính năng
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Icons\"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00
70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run\
"compmgmt.exe " = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00
73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 64 00 65 00 62 00 75 00 67 00 5F 00 33 00 32 00 2E 00 65
00 78 00 65 00 00 00 00"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Shell" "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00 70 00 6D 00 67 00
6D 00 74 00 2E 00 65 00 78 00 65 00 00 00 07"
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00
3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00
64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"

led" = "0x00000001"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00 3A 00
5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00
6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
•HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Infodelivery\Restrictions\"{default}" = "00 00 C3"
• HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\"(default)" = "74 00 78 00 74 00 66 00 69 00
6C 00 65 00 00 00 05"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F
older\SuperHidden\"ValueName" = "53 00 68 00 6F 00 77 00 53 00 75 00 70 00 65 00 72 00 48 00 69
00 64 00 64 00 65 00 6E 00 00 00 03"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\F
older\SuperHidden\Policy\DontShowSuperHidden\"(default)" = "00 00 C3"
•HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
NT\CurrentVersion\Winlogon\"Userinit" = "43 00 3A 00 5C 00 57 00 49 00 4E 00 44 00 4F 00 57 00 53
00 5C 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 5C 00 75 00 73 00 65 00 72 00 69 00
6E 00 69 00 74 00 2E 00 65 00 78 00 65 00 2C 00 63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77
00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64 00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F
00 31 00 2E 00 65 00 78 00 65 00 00 00 39"
•HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\"AlternateShell" = "63 00 3A
00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00 33 00
32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"
• HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\"AlternateShell" = "63
00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 73 00 79 00 73 00 74 00 65 00 6D 00
33 00 32 00 5C 00 4D 00 73 00 4D 00 70 00 45 00 6E 00 67 00 2E 00 65 00 78 00 65 00 00 00 05"

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"Hidden"
= "0x00000002"
•HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\"HideFil
eExt" = "0x00000001"

tới những dịch vụ ứng dụng mạng.
- Luôn luôn cập nhật những thông tin mới nhất, đặc biệt trên những máy chủ có những dịch vụ
co thể tiếp cận xuyên qua Firewall, thí dụ HTTP, FTP, mail và dịch vụ DNS. (thí dụ: Tất cả các máy tính
trên Windows cần phải có các dịch vụ hiện thời được cài đặt). Đồng thời, hãy áp dụng bất kỳ những sự
cập nhật an toàn nào mà đáng tin cậy hoặc trên những Website của nhà cung cấp.
- Bắt buộc phải có mật khẩu, những mật khẩu phức tạp làm cho nó khi can thiệp vào những files trên
máy tính.
- Những email của máy chủ nhiễm virut, để ngăn chặn bỏ email mà chứa đựng những files có sử
dụng đuôi: (.vbs, .bat, .exe, .pif and .scr).
- Cô lập những máy tính bị lây lan nhanh. Thực hiện một sự phân tích khôi phục những máy tính
sử dụng phương tiện truy nhập thông tin được tin cậy.
- Bạn hãy vào một website để downloaded những phần mềm diệt virut ở trên Internet
 Cách diệt:
1. Vô hiệu hóa Hệ thống khôi phục (Windows Me/XP)
2. Cài đặt chương trình quét virut và cập nhật phiên bản mới nhất
Norton AntiVirus 2006, Symantec AntiVirus Corporate Ọdition 10.0
Hoặc Norton AntiVirus 2005, Symantec AntiVirus Corporate Ọdition 9.0
3. Chạy và quét toàn bộ hệ thống.
- 11 -
Tội ác trong tin học
==========================================================================
a. Khởi động chương trình Symatec của bạn và cho quét tất cả các files.
b. Chạy một hệ thống đầy đủ và quét
1. Click Start > Run.
2. Type regedit
3. Click OK.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell
Icons\"3" = "63 00 3A 00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 63 00 6F 00 6D 00
70 00 6D 00 67 00 6D 00 74 00 2E 00 65 00 78 00 65 00 2C 00 30 00 00 00 74"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableRe
gistryTools" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"DisableTa
skMgr" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\"NoDriveT
ypeAutoRun" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp\"Disa
- 12 -
Tội ác trong tin học
==========================================================================
bled" = "0x00000001"
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\"Sheli" = "63 00 3A
00 5C 00 77 00 69 00 6E 00 64 00 6F 00 77 00 73 00 5C 00 74 00 61 00 73 00 6B 00 73 00 5C 00 64
00 6D 00 61 00 64 00 6D 00 69 00 6E 00 5F 00 31 00 2E 00 65 00 78 00 65 00 00 00 00"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet
Explorer\Infodelivery\Restrictions\"{default}" = "00 00 C3"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"Connection
Settings" = "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel\"ConnectionsTab" = "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control
Panel\"GeneralTab" = "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"HomePage"
= "0x00000001"
HKEY_CURRENT_USER\Software\Policies\Microsoft\Internet Explorer\Control Panel\"Settings" =
"0x00000001"
HKEY_USERS\S-1-5-
18\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\"NoFolderOptions" =
"0x00000001"
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.reg\"(default)" = "74 00 78 00 74 00 66 00 69 00

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Folder\shell\explore
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
5. Exit the Registry Editor.
b. Cách diệt Trojan.Cakefes:
Phát hiện: September 10, 2007
Cập nhật: September 10, 2007 11:02:23 AM
Kiểu: Trojan
Có kick thước khoảng : 61,440 bytes
 Những hệ thống bị ảnh hưởng: Windows
2000, Windows 95, Windows 98, Windows Me, Windows
NT, Windows Server 2003, Windows Vista, Windows XP
 Khi nhiễm Trojan sẽ gây ra một số hoạt
động sau :
Nó sẽ khởi tạo vào computer một file có biểu tượng của Microsoft Word icon:
[JAPANESE CHARACTERS].exe khi nào nhiễm nó sẽ thay thế tất cả các file thành [ORIGINAL FILE
NAME].doc
Trên những file đó khi mở ra chỉ hiển thih tiếng nhật. Tiếp theo nó sẽ khởi tạo những file sau
• %UserProfile%\Local Settings\Temp\CKFSe.exe
• %UserProfile%\Local Settings\Temp\mmm.exe
• %UserProfile%\Local Settings\Temp\[ORIGINAL FILE NAME].doc
• %System%\svhoster
• %System%\svhoster.exe
Tiếp theo mmm.exe sẽ tấn công Internet Explorer và chuyển đổi TCP sang 443 và điều khiển đến host sau
cvnxus.8800.or
 Những khuyến cáo:
- Đáp lại sự an toàn Symantec khuyến cáo tất cả những người người sử dụng và người quản trị để
tham gia vào sự an toàn của hệ thống : Tắt và rỡ bỏ những dịch vụ không cần thiết. Theo mặc định như
hệ điều hành, thiết đặt lại những dịch vụ mà không phải FTP server, telnet, và web server.
- Nếu những lời đe dọa cùng với việc khai thác những dịch vụ mạng, vô hiệu hóa hoặc truy nhập tới
những dịch vụ ứng dụng mạng.

vờn chuột" và cách đây 2 tháng, chúng tung ra một thủ thuật mới.
Đính kèm file PDF là bước đi khôn ngoan vì người sử dụng vẫn nghĩ thông điệp quảng cáo sẽ
phải hiện ra ngay trong phần nội dung của e-mail. Hơn nữa, định dạng PDF hiện phổ biến trong giao
dịch, do đó người nhận cần mở file do lo ngại bỏ lỡ thông tin quan trọng. Theo hãng bảo mật Symantec
(Mỹ), PDF spam chiếm 8% tổng lượng thư rác trong tháng 7.
Trong khi đó, hãng Sophos của Anh nhận thấy PDF spam bắt đầu xuất hiện trong các chiến dịch
thư rác "pump-and-dump" - hình thức "tung hỏa mù" để thao túng giá cổ phiếu của các công ty và nạn
nhân mới nhất là hãng kinh doanh sản phẩm không dây Prime Time Group (PTG).
Đầu tuần này, người sử dụng Internet liên tục nhận được e-mail chứa file đính kèm dạng PDF
với nội dung lôi kéo họ mua cổ phiếu của PTG. Các nhà đầu tư có thể không nhận ra rằng nhóm
spammer kia đã nắm trong tay một lượng lớn cổ phiếu với giá rẻ và đang vận động mọi người tham gia
mua bán để bơm giá cao lên. Sau đó, chúng sẽ bán toàn bộ số cổ phiếu đó để kiếm lời (pump and dump).
Spammer đã thành công khi lượng thư rác toàn cầu tăng lên 30% chỉ trong một ngày còn giá cổ phiếu
PTG cũng tăng tới 60%.
Sophos ước tính thư rác "pump-and-dump" hiện chiếm khoảng 25% lượng spam toàn cầu. Trong
tháng 4, hãng IDC thống kê có khoảng 97 tỷ e-mail được gửi đi mỗi năm, trong đó 40 tỷ là thư rác.
d.Virus Ukuran:
- 15 -
Ảnh:
Suremail.
Tội ác trong tin học
==========================================================================
"Giữa tháng 7, thấy xuất hiện hiện tượng file dữ liệu FoxPro và SQL của nhiều đơn vị ngành Tài
chính, tiền tệ bị phá hỏng. Nguyên nhân đều do virus W32.Ukuran.Worm gây ra", Trung tâm BKIS cho
biết.
Virus Ukuran có xuất xứ từ Indonesia, khi máy tính bị lây nhiễm, các file dữ liệu .DBF,
.LDF, .MDF, .BAK của FoxPro và SQL sẽ bị ghi đè bởi các dữ liệu rác (những con số ngẫu nhiên).
Theo thống kê từ hệ thống giám sát của BKIS, đã có khoảng 50.500 máy tính tại Việt Nam bị nhiễm sâu
này.
"Do tính chất nguy hiểm của loại 'bọ máy tính' này, người sử dụng cần cập nhật ngay phiên bản

hậu để dẫn lối cho các cuộc tấn công kế tiếp, cấu hình mã độc để tự động chạy mỗi khi hệ thống của
nạn nhân khởi động, hiển thị các thông báo lỗi, thực thi các tập tin tùy ý, làm ngưng trệ các dịch vụ, tác
vụ của hệ thống.
Tất nhiên là ngoài những tùy chọn kể trên thì không thể thiếu các khả năng mà hầu như trojan
nào cũng có là: chụp màn hình hoạt động, âm thanh, thao tác phím gõ. Điều hướng nạn nhân truy cập
vào các website giả mạo (phishing) hoặc tải về thêm các trojan khác, đánh cắp thông tin tài khoản ngân
hàng, email Theo các chuyên gia phân tích bảo mật của PandaLabs, sở dĩ Shark 2 nguy hiểm là vì
những "đứa con" của nó có thể được cấu hình để làm ngưng hoạt động chính bản thân chúng - khi phát
hiện có công cụ sửa lỗi. Do đó, sẽ rất khó khăn khi cho việc dò tìm chúng trên hệ thống.
Người dùng Internet ngày càng trở thành miếng mồi ngon cho những hacker hoặc thậm chí là các script
kiddies sử dụng những công cụ tạo trojan. Sau Pinch lại đến Shark 2, chắc chắn sẽ có những phiên bản
kế tiếp hoặc những công cụ mới tạo ra các trojan nguy hiểm hơn. Chương trình chống virus liệu có đủ để
đương đầu với các hiểm họa này? Tốt nhất cho một hệ thống vẫn là: chương trình chống virus,
rootkit, tường lửa và sử dụng internet với mức độ cảnh giác cao.
f. Cài phần mềm chơi game tự động 'dễ' dính Trojan:(cập nhật /5/9/2007) ()
Theo Trung tâm BKIS, có tới 102 Trojan đánh cắp mật khẩu game online xuất hiện trong vòng 1
tháng qua, nâng tổng số loại mã độc này góp mặt tại Việt Nam lên 258.
Khi cài phần mềm chơi game tự động cần tìm hiểu rõ
nguồn.
Ảnh: Hoàng Hà.
Không chỉ ghi lại thao tác bàn phím (keylogger) để lấy cắp mật khẩu, các Trojan này còn lục lọi
trong bộ nhớ của máy tính, tìm trò chơi trực tuyến đang chạy và "cuỗm lấy" thông tin tài khoản (game
- 17 -
Tội ác trong tin học
==========================================================================
account) của người sử dụng. "Phần lớn máy tính bị nhiễm Trojan khi người sử dụng vào các website độc
hại hoặc cài những phần mềm chơi tự động (AutoPlay) không rõ nguồn gốc", ông Vũ Ngọc Sơn, Trưởng
phòng Virus Trung tâm BKIS, khuyến cáo. "Để phòng tránh, không nên cài bất cứ phần mềm gì khi
chưa biết rõ xuất xứ, nhất là địa chỉ liên hệ của nhà sản xuất. Người dùng PC cũng cần thường xuyên
cập nhật phần mềm diệt virus mới".

cũng sẽ gặp rắc rối", vì đơn giản là các hệ thống đó cho bàn tay và trí tuệ con người tạo ra, mà con người
thì không ai hoàn hảo cả. Nếu bạn chú ý sẽ biết trong thời gian vừa qua, các hệ thống được xem vào
hàng đại gia trên net đều đã từng được viếng thăm, như Microsoft, Oracle, eBay, NASA, CIA, các cơ
quan liên bang USA, các hệ thống ngân hàng lớn trên thế giới Security liên tục được cải thiện, và bên
cạnh đó thì lỗi, lổ hổng cũng ko ngừng được phát hiện.
2.2. Một số cách thức hacker dùng để xâm nhập
- 18 -
Tội ác trong tin học
==========================================================================
Về cơ bản, để có thể tiến hành thâm nhập vào hệ thống, các hacker thường phải qua những bước
sau. Lưu ý các bước tôi trình bày ở đây không bắt buộc phải được thực hiện tuần tự mà tùy vào điều
kiện và ngữ cảnh để áp dụng cho thích hợp. Các công cụ trình bày ở đây các bạn cần tìm hiểu cách sử
dụng, tôi sẽ không trình bày chi tiết.
a. Xác định mục tiêu - Footprinting
Bước này tương đối đơn giản. Tuy nhiên đối với hacker thật sự muốn tìm cách thâm nhập vào 1
hệ thống thì bước này rất cần thiết. Càng thu thập được nhiều thông tin liên quan đến mục tiêu càng tốt.
Ví dụ như muốn thâm nhập trang web của 1 công ty nào đó, điều đầu tiên các hacker thường dùng là xác
định host, domain (nếu là website); dùng các công cụ như WhoIS, Ping, ICMP (nMap, Fping) để tìm
hiểu các thông tin liên quan đến host/domain như vị trí, các Domain Name Records Ví dụ từ domain
name, ta có thể ping để biết được nó host ở đâu với IP cụ thể là gì ; hoặc tìm hiểu cấu trúc mạng của
đối phương sử dụng các phương pháp routing (traceroute) và SNMP data.
Kế đến là dạo quanh web site, tìm hiểu cấu trúc website, tìm cách download source code (bằng
các trình như Teleport Pro, Intellitamper ), vì từ đó có thể biết được các thông tin mà người chủ cố tình
hoặc vô tình để hở như tên liên lạc, emails, số điện thoại, các thông tin liên quan đến bảo mật (như cơ
chế an toàn, ngôn ngữ lập trình ); các liên kết liên quan đến website Việc dạo và xem cấu trúc website
đôi khi sẽ cho ta cái nhìn tổng quan về bảo mật của site đó, nếu may mắn ta có thể tìm được lỗi (thường
là lỗi lập trình, lỗi thiết lập access right/chmod chưa đúng.Các search engine như Google,
AltaVista cũng có thể trở thành công cụ rất hữu ích trong quá trình này. Ví dụ search trên Google để
tìm các trang dùng asp, có trang quản lý của admin và giới hạn ở các site ViệtNam, ta có thể search theo
từ khóa: "/admin/ asp site:.com.vn" hoặc "admin.asp login.asp site:.com.vn" Ví dụ search trên

(ftp) Thậm chí cả hệ điều hành và webserver đựơc sử dụng ở mục tiêu.
Ví dụ với netcat, ta dùng lệnh sau: nc -v -z 203.162.1.1 1-255
Với nmap, ta dùng: nmap -sS 203.162.1.1/255 hay nmap -p80 -O 203.162.1.10
Các bạn tự tìm hiểu cách sử dụng các tool khác. Lưu ý các câu lệnh ví dụ ở đây chỉ mang tính chất tham
khảo.
- Tìm hiểu các lỗi/lổ hổng bảo mật mà mục tiêu có thể mắc phải. Ta có thể tìm thông tin từ các website
sau:
www.securityfocus.com
www.l0pht.com
www.microsoft.com/security
packetstorm.security.com
Hoặc có thể đăng ký ở các mailing list để có thể nhận được các thông tin về security cập nhập nhất:
Buqtraq (www.securityfocus.com)
NTBugTraq (www.ntbugtraq.com)
Pen-Test (www.securityfocus.com)
c. Tiến hành tấn công
- Khai thác điểm yếu của hệ thống, hệ điều hành
. Thử tìm cách truy xuất đến các dịch vụ của hệ thống dựa trên hoặc có liên quan đến các lỗi bảo mật
. Tìm hiểu các thông tin về lỗi bảo mật từ các nhà sản xuất hệ thống, tìm hiểu các thông tin patch/update
tương ứng với version bạn đang nghiên cứu
- Khai thác điểm yếu của các ứng dụng dùng trên máy chủ - server
. Một số ứng dụng server có thể có lỗi như Microsoft IIS, Netscape Enterprise Server, Oracle, Apache
- Khai thác điểm yếu của các ứng dụng client
. Tìm hiểu các lỗi về /cgi-bin, các lỗi về tràn bộ đệm
. Tìm hiểu các lỗi về javascript
. Tìm hiểu các lỗi về cookies
. Tìm hiểu các thiết lập mặc định của các ứng dụng web, vd như mật khẩu admin ngầm định của một số
Forum
- Leo thang đặc quyền (Escalate Privileges), tôi chỉ mô tả một số cách có thể đạt được mục đích
. Theo dõi trên mạng (sniff) để tìm cách lấy các thông tin bảo mật của người dùng, vd như dùng các

- Trộm mật khẩu của các dịch vụ web như các web e-mail, instant Hộp thư
b. Các kiểu tấn công thông dụng :
- Tấn công làm ngập đường truyền mạng (flood), tấn công từ chối dịch vụ (Distributed Denial of
Service)
- Tấn công dạng local - cục bộ
- Tấn công remote - từ xa
- Tấn công dạng điều khiển dữ liệu - data driven
Bây giờ tôi sẽ phân tích chi tiết hơn về các kiểu tấn công ở trên.
b.1 Tấn công từ chối dịch vụ (DoS)
- Feature driven
SYN flooding
- Inappropriate configurations
SMURF
- Programming flaws
Teardrop
- Distributed DoS: DoS tập thể 1 mục tiêu từ nhiều hướng, nhiều máy (Sẽ biên soạn và bổ sung sau)
b.2 Tấn công dạng local - host based
- Khai thác các lỗi tràn bộ đệm
Cách hạn chế: Quản lý tốt bộ nhớ, stack; cập nhật các bản sửa lỗi; lập trình kĩ càng và tốt hơn.
- Khai thác các điểm yếu trong việc kiểm tra điều kiện thực thi của các ứng dụng
Cách hạn chế: Lập trình kĩ và tốt hơn
- Dùng trojan, backdoor, virus
Cách hạn chế: Kiểm tra kĩ càng các chương trình lạ trứơc khi thực hiện, sử dụng các trình diệt virus
thông dụng và thường xuyên cập nhật
- Crack password
Cách hạn chế: Dùng các kĩ thuật mã hóa cao hơn, hạn chế số lần thử mật khẩu ở các login form
- 21 -
Tội ác trong tin học
==========================================================================
- Đăng nhập vào hệ thống kiểu vật lý bằng cách khởi động từ đĩa mềm hoặc một hệ điều hành song song

a .Hack domain:
Các trang web có thể bị đánh cướp bất cứ lúc nào nếu không chú trọng đến vấn đề bảo mật cho
tên miền. Domain có thể bị tấn công qua nhà cung cấp dịch vụ hoặc khách hàng.
Nếu nhắm vào nhà cung cấp, hacker sẽ lợi dụng sơ hở của người quản trị hay lỗ hổng của máy
chủ để chiếm quyền điều khiển. Sau đó chuyển tên miền qua nhà cung cấp khác. Ở cấp độ thấp hơn, kẻ
tấn công sẽ nhằm vào các reseller (những người mua lại số lượng lớn tên miền từ các nhà cung cấp gốc
để bán lại cho người dùng cuối).
Tuy nhiên, hướng tấn công tên miền phổ biến nhất là nhắm vào phía khách hàng (chiếm khoảng
90% các vụ đánh cắp tên miền). Thủ thuật của hình thức này thường giống nhau là tìm cách chiếm đoạt
tài khoản thông qua e-mail được người dùng đăng ký tên miền. Cách thực hiện là gửi Trojan, cài
- 22 -
Tội ác trong tin học
==========================================================================
keylogger, dùng fake log-in mail để trộm mật khẩu, đặc biệt là mật khẩu của e-mail dùng đăng ký tên
miền. Một phương thức khác cũng là mạo danh e-mail rồi gửi tới nhà cung cấp tên miền để yêu cầu thay
mật khẩu mới, hay chuyển tên miền qua nơi khác.
Điển hinh nhất có thể nói tới 2 website có tiếng bị HACK DOMAIN: diendantinhoc.com và
hvaonline.net.
Từ đêm 6/1/2005, các thành viên của diễn đàn này khi truy cập vào địa chỉ diendantinhoc.com
đều bị chuyển hướng lần lượt sang một vài trang web có thông tin liên quan đến phần mềm iCMS. Đích
cuối cùng được trỏ đến là 1 website rao bán chính tên miền diendantinhoc.com với giá 9.000 euro.
"Sáng nay (4/8/2006), khi truy cập vào địa chỉ HVAOnline.net, người ta chỉ thấy những dòng
chữ do một Hacker để lại " và một thông báo khác từ legendayhacker "Vào
một buổi sáng như thường lệ Tôi đăng nhập vào www.hvaonline.net để xem tin tức thế nhưng đập vào
mắt mình là một homepage mới. Đau quá đọc mới biết là đã bị fake với nội dung như sau
"
Khi kiểm tra lại thông tin Quản Trị Mạng nhận định thấy vào khoảng chiều tối 2/8 diễn đàn của
hacker Việt Nam HVA đã bị tấn công. Nguyên nhân là do hai tên miền hvaonline.net và hvanews.net có
thể bị chiếm đoạt quyền điều khiển và được chuyển về RegisterFly, một nhà cung cấp dịch vụ đăng ký
tên miền có tiếng.

quản lý, để lộ tên truy cập và password cho đối tượng này.
Mạng GSM có thực sự an toàn? Câu trả lời có lẽ nên dành cho các nhà cung cấp dịch vụ. Tuy
nhiên, một điều dễ nhận thấy, với những máy móc thiết bị và công nghệ ngày càng hiện đại, thiệt hại
trước mắt có lẽ thuộc về người sử dụng dịch vụ khi việc hack sim không gây thiệt hại cho nhà cung cấp,
mà ngược lại, nó làm cho các nạn nhân khốn đốn vì phải chi trả cho nhà cung cấp dịch vụ nhiều hơn bởi
các cuộc gọi “xài chùa”.
Vì vậy, nếu có những hiện tượng trên xảy ra, xin hãy coi chừng vì rất có thể bạn đã là nạn nhân
của một vụ hack sim - trò dùng “chùa” cước viễn thông của loại tội phạm công nghệ cao được đánh giá
là tinh vi nhất hiện nay. Trong trường hợp này, tốt nhất bạn hãy liên hệ với chính nhà cung cấp dịch vụ
để được giúp đỡ.
Sau đây tôi nêu luôn một vài cách :
#Cách 1: đây là cách đơn giản nhất, nhưng đôi khi lại hiệu quả. Đó chính là hỏi luôn
victim, tất nhiên là không thể hỏi pass của cậu là gì. Hỏi thì bạn cứ hỏi ngày sinh, số di động nói chung
là tất tật rùi thử. Tôii không bàn đến cách này nữa, nó quá "hạ cấp".
#Cách 2: đây cũng là 1 đơn giản, bạn có thể download Ybrute - 1 chương trình dò Yahoo
pass - còn cách sử dụng nó thì đừng có hỏi tôi. Tuy nhiên khi mới vô thì tôi cũng xài qua cách này, điểm
yếu của cách này là chỉ có tác dụng khi victim xài pass là 1 từ có trong từ điển hay là 1 câu nói phổ biến,
ngoài ra, cách này cũng tốn rất nhiều thời gian.
#Cách 3: bạn có thể tạo 1 giao diện giống hệt như Yahoo, sau đó sửa đổi chút xíu để
cho khi victim gõ pass và user name thì xong rồi, pass bay như chim về email của ta, còn victim thì vẫn
vào hòm thư mà không hề hay biết. Việc này bạn có thể thực hiện dễ dàng bằng front page mà không
cần hiểu biết nhiều về html. Sau khi tạo xong giao diện, upload lên thì bạn chỉ việc dụ victim vô tròng
nếu bạn muốn thử nghiệm thì cứ việc ra ngoài hàng rùi để homepage ở đó là cái địa chỉ trang web mà
bạn dùng để câu, chắc chắn là sẽ có nhiều chú thỏ vô bẫy. Nếu bạn chưa tạo được thì liên hệ
, tôi sẽ giúp bạn.
#Cách 4: Sử dụng Trojan: cái này sẽ do bạn Toán đảm nhiệm.
#Cách 5: Tất cả đều phải thực hiện trên account Yahoo mail của bạn bởi vì bức tường lửa
của họ đã được nâng cấp bằng Unix-Apache sever. 1. Gửi một email tới: 2.
Dòng tiêu đề Subject của email là: Find password. 3. Tiếp đến là nội dung email bạn đánh vào đoạn
JScript sau: /config/cgi-bin/start?v703&login= "Tên login của bạn"&f="password của bạn"&f=

1 Tấn công trực tiếp
Những cuộc tấn công trực tiếp thông thường được sử dụng trong giai đoạn đầu để chiếm được
quyền truy nhập bên trong. Một phương pháp tấn công cổ điển là dò tìm tên người sử dụng và mật khẩu.
Đây là phương pháp đơn giản, dễ thực hiện và không đòi hỏi một điều kiện đặc biệt nào để bắt đầu. Kẻ
tấn công có thể sử dụng những thông tin như tên người dùng, ngày sinh, địa chỉ, số nhà vv để đoán mật
khẩu. Trong trường hợp có được danh sách người sử dụng và những thông tin về môi trường làm việc,
có một chương trình tự động hoá về việc dò tìm mật khẩu này. Một chương trình có thể dễ dàng lấy
được từ Internet để giải các mật khẩu đã mã hoá của các hệ thống unix có tên là crack, có khả năng thử
các tổ hợp các từ trong một từ điển lớn, theo những quy tắc do người dùng tự định nghĩa. Trong một số
trường hợp, khả năng thành công của phương pháp này có thể lên tới 30%.
Phương pháp sử dụng các lỗi của chương trình ứng dụng và bản thân hệ điều hành đã được sử
dụng từ những vụ tấn công đầu tiên và vẫn được tiếp tục để chiếm quyền truy nhập. Trong một số
trường hợp phương pháp này cho phép kẻ tấn công có được quyền của người quản trị hệ thống (root hay
administrator).
Hai ví dụ thường xuyên được đưa ra để minh hoạ cho phương pháp này là ví dụ với chương
trình sendmail và chương trình rlogin của hệ điều hành UNIX.
Sendmail là một chương trình phức tạp, với mã nguồn bao gồm hàng ngàn dòng lệnh của ngôn
ngữ C. Sendmail được chạy với quyền ưu tiên của người quản trị hệ thống, do chương trình phải có
quyền ghi vào hộp thư của những người sử dụng máy. Và Sendmail trực tiếp nhận các yêu cầu về thư tín
trên mạng bên ngoài. Đây chính là những yếu tố làm cho sendmail trở thành một nguồn cung cấp những
lỗ hổng về bảo mật để truy nhập hệ thống.
Rlogin cho phép người sử dụng từ một máy trên mạng truy nhập từ xa vào một máy khác sử
dụng tài nguyên của máy này. Trong quá trình nhận tên và mật khẩu của người sử dụng, rlogin không
kiểm tra độ dài của dòng nhập, do đó kẻ tấn công có thể đưa vào một xâu đã được tính toán trước để ghi
đè lên mã chương trình của rlogin, qua đó chiếm được quyền truy nhập.
- 25 -

Trích đoạn Thực trạng an ninh mạng ở Việt Nam
Nhờ tải bản gốc

Tài liệu, ebook tham khảo khác

Học thêm

Music ♫

Copyright: Tài liệu đại học © DMCA.com Protection Status