TRƯỜNG ĐẠI HỌC KINH TẾ - ĐẠI HỌC ĐÀ NẴNG KHOA THƯƠNG MẠI ĐIỆN TỬ ––––––––––––––––––––––––––––––– BÁO CÁO THUYẾT TRÌNH HỌC PHẦN AN TỒN & BẢO MẬT HỆ THỐNG THƠNG TIN Chủ đề: TẤN CƠNG BRUTE-FORCE Tên Nhóm : Nhóm Lớp : 46K22.2 Sinh viên thực : Nguyễn Thị Mỹ Linh Trần Thị Phương Phạm Thị Thu Nguyệt Phạm Kiều Linh Trần Thị Ni Bùi Thị Ngọc Tú Đà Nẵng, 10/2022 i MỤ C LỤC A Lời mở đầu I Tấn công Brute-force? Khái niệm .3 Nguyên nhân 3 Các công cụ khai thác 4 Các loại công Brute-force .5 Tin tặc thu từ cơng Brute-force .6 Các vụ công Brute-force diễn thực tế II Thực hành công Password window Hydra Kali Linux .7 Kali Linux gì? .7 Quy trình cơng III Ưu điểm nhược điểm công Brute-force .13 IV Cách phịng chống cơng Brute-force 14 Đối với người dùng 14 Với quản trị viên thực phương pháp để bảo vệ người dùng 14 B Tổng kết 15 C Tài liệu tham khảo 16 A Lời mở đầu Bạn khóa tất cửa ngơi nhà bạn chìa khóa, vơ tình bạn đánh chìa khóa ấy, thử tưởng tượng xem điều xảy ra? Và thời đại công nghệ lên nay, mật chìa khóa ngăn chặn việc xâm nhập đánh cấp thông tin quan trọng lưu trữ tài khoản người dùng Mật chuỗi tổ hợp ký tự, sử dụng để xác nhận danh tính người dùng nhằm giúp truy cập vào dịch vụ internet, hệ thống máy tính hay phần mềm ứng dụng Dù giới có nhiều phương thức xác thực cảm biến vân tay, nhận diện khuôn mặt, chữ ký số,… Tuy nhiên, mật thứ thay nhiều hệ thống, hệ điều hành hay tài khoản mạng xã hội Vì vậy, mật mạnh coi biện pháp bảo vệ chống lại công mật Tuy nhiên, mật mạnh vơ an tồn lại không dễ ghi nhớ, phần lớn người dùng đặt mật dễ nhớ đồng thời dễ bị xâm phạm Từ đó, tạo nên lỗ hổng lớn khiến thông tin người dùng bị công đột nhập tin tặc giới Theo ghi nhận Công ty An ninh mạng Viettel, năm 2021, có tới 100 triệu lượt liệu người dùng internet, tổ chức doanh nghiệp Việt Nam bị lộ 100 nghìn tài khoản, mật rao bán tảng chợ đen Các vụ việc phần lớn công mật (password attack) Tấn cơng mật hình thức cơng trực diện vào mật khẩu, cách sử dụng thơng tin có sẵn người dùng thơng tin cá nhân, mật dễ đoán, dùng mật thơng thường nhằm dị tìm mật xác Song, tin tặc đánh cắp thông tin, liệu cá nhân người dùng với nhiều mục đích tốt xấu khác Nhưng phần lớn mang mục đích xấu nhằm đem lại lợi ích cho thân Từ đó, gây nên bất an lo lắng cho người dùng trở thành mối đe dọa an ninh mạng tồn cầu Vì vậy, nhóm định chọn đề tài Tấn cơng Brute-force Qua giúp người hiểu rõ hình thức cơng, cách thức bẻ khóa mật Và giúp hạn chế giảm thiểu khả tin tặc đánh cắp liệu thông tin cá nhân, xâm nhập trái phép hệ thống máy chủ doanh nghiệp kinh doanh nhiều tổ chức lớn giới để thực giao dịch mua bán, lừa đảo chiếm đoạt tài sản I Tấn công Brute-force? Khái niệm Tấn công brute-force phương pháp bẻ khóa phổ biến Một cơng brute-force liên quan đến việc 'đốn' tên người dùng mật để truy cập trái phép vào hệ thống, hacker sử dụng phương pháp thử sai để cố gắng đốn thơng tin đăng nhập hợp lệ Ngồi ta sử dụng brute-force để khai thác OTP, Timestamp , Cookie, vv Tuy nhiên viết tập trung vào bruteforce mật để đăng nhập tài khoản người dùng Các công thường tự động hóa cách sử dụng danh sách từ gồm tên người dùng mật thường sử dụng để đạt kết tốt Việc sử dụng công cụ chuyên dụng có khả cho phép hacker thực đăng nhập cách tự động nhiều lần với tốc độ cao Brute-force phương pháp công đơn giản có tỷ lệ thành cơng cao Bởi tùy thuộc vào độ dài độ phức tạp mật khẩu, việc bẻ khóa mật từ vài giây đến nhiều năm Do trang web sử dụng phương thức đăng nhập dựa mật hồn tồn dễ bị cơng họ không thực đầy đủ biện pháp bảo vệ bạo lực Nguyên nhân Hình thức cơng brute-force dễ phịng chống lại dễ gặp phải Nguyên nhân kiểu công do: - Đặt mật khơng an tồn, dễ đốn ra, sử dụng phổ biến - Sử dụng mật liên quan đến thân dễ lấy mạng xã hội như: tên, ngày sinh.  - Từ phía sever, việc khơng giới hạn số lần nhập sai tạo hội cho hacker cơng brute-force Các cơng cụ khai thác Việc đốn mật email trang web mạng xã hội người dùng q trình tốn nhiều thời gian, đặc biệt tài khoản có mật mạnh Để đơn giản hóa q trình này, hacker phát triển phần mềm công cụ để giúp họ bẻ khóa mật Các cơng cụ cơng brute-force bao gồm ứng dụng bẻ khóa mật khẩu, bẻ khóa tổ hợp tên người dùng mật mà khó để người tự bẻ khóa Các công cụ công brute-force thường sử dụng bao gồm: - Aircrack-ng Một công cụ đánh giá an ninh mạng Wi-Fi để giám sát xuất liệu công tổ chức thông qua phương pháp điểm truy cập giả mạo chèn gói - John the Ripper Một cơng cụ khơi phục mật mã nguồn mở hỗ trợ hàng trăm loại mật mã băm, bao gồm mật người dùng cho macOS, Unix Windows, máy chủ sở liệu, ứng dụng web, lưu lượng truy cập mạng, khóa cá nhân mã hóa tệp tài liệu - Hydra Hydra tảng mở, cộng đồng bảo mật kẻ công liên tục phát triển mơ-đun Nó cơng 50 giao thức nhiều hệ điều hành khác - L0phtCrack Một cơng cụ bẻ khóa mật Windows Nó sử dụng bảng cầu vồng, từ điển thuật toán đa xử lý - Burpsuite Burpsuite công cụ chuyên dụng để cơng brute-force, nhiên bạn hồn tồn tùy chỉnh đầu vào mật để hướng tới công brute-force tùy ý Các loại công Brute-force Tấn công Brute Force thường chưa làm dạng sau đây: - Simple Brute Force Attacks Hacker cố gắng đốn cách hợp lý thơng tin đăng nhập bạn – hồn tồn khơng hỗ trợ từ công cụ phần mềm phương tiện khác Chúng tiết lộ mật mã PIN đơn giản Ví dụ: mật đặt “guest12345” - Dictionary Attacks Các công từ điển công cụ công brute force Mặc dù không thiết phải công Brute Force, chúng thường sử dụng thành phần quan trọng để bẻ khóa mật Một số tin tặc chạy qua từ điển không kết hợp bổ sung từ ký tự chữ số đặc biệt sử dụng từ điển từ đặc biệt, kiểu công phức tạp - Hybrid Brute Force Attacks Hacker lợi dụng thông tin bên bạn để cách logic họ để cố gắng lấy thông tin đăng nhập Một công hỗn hợp thường kết hợp công từ điển brute force Các cơng sử dụng để tìm mật kết hợp trộn từ phổ biến với ký tự ngẫu nhiên Một ví dụ cơng vũ phu chất bao gồm mật NewYork1993 Spike1234 - Reverse Brute Force Attacks Đây hình thức cơng đảo ngược chiến lược công cách bắt đầu với mật biết Sau đó, hacker tìm kiếm hàng triệu tên người dùng họ tìm thấy kết trùng khớp Nhiều tên tội phạm số bắt đầu với mật bị rò rỉ có sẵn trực tuyến từ vi phạm liệu có - Credential Stuffing Nếu hacker có tổ hợp tên người dùng mật hoạt động cho trang web, họ thử cho nhiều trang web khác Vì người dùng biết sử dụng lại thông tin đăng nhập nhiều trang web, họ mục tiêu độc quyền công Tin tặc thu từ cơng Brute-force Tấn cơng brute force giúp Hacker: - Thu lợi từ quảng cáo thu thập liệu hoạt động - Đánh cắp liệu cá nhân - Phát tán phần mềm độc hại để gây ảnh hưởng công việc - Sử dụng hệ thống bạn cho mục đích xấu - Gây tổn hại đến danh tiếng bạn (Hacker công thay đổi giao diện trang web công ty bạn) Các vụ công Brute-force diễn thực tế - Vào năm 2009, Những kẻ công nhắm mục tiêu vào tài khoản Yahoo cách sử dụng đoạn mã bẻ khóa mật tự động ứng dụng xác thực dựa dịch vụ web Yahoo nhà cung cấp dịch vụ internet ứng dụng web bên thứ ba sử dụng - Năm 2017, tội phạm an ninh mạng sử dụng công Bruteforce để truy cập mạng nội Quốc hội Anh Scotland - Vào năm 2018, kẻ cơng Brute-force bẻ khóa mật thơng tin nhạy cảm hàng triệu hành khách hãng hàng không Cathay Pacific - Vào năm 2021, Cơ quan An ninh Quốc gia cảnh báo công mật Brute-force thực từ cụm Kubernetes chế tạo đặc biệt đơn vị quan tình báo nước ngồi Nga - Vào năm 2021, tin tặc có quyền truy cập vào môi trường thử nghiệm TMobile sau sử dụng cơng Brute-force phương tiện khác để xâm nhập vào máy chủ CNTT khác, bao gồm máy chủ chứa liệu khách hàng II Thực hành công Password window Hydra Kali Linux Kali Linux gì? Kali Linux phân phối Linux dựa Debian nhằm mục đích kiểm tra bảo mật Nó chứa hàng trăm công cụ hướng đến nhiệm vụ bảo mật thông tin khác Chẳng hạn kiểm tra thâm nhập, nghiên cứu bảo mật, kiểm tra máy tính kỹ thuật dịch ngược Kali Linux phát triển tài trợ Offensive Security, công ty đào tạo bảo mật thơng tin hàng đầu Các tính Kali Linux - Hơn 600 công cụ kiểm tra thâm nhập: Sau xem xét công cụ có BackTrack, người sáng lập Kali Linux loại bỏ số lượng lớn công cụ đơn giản không hoạt động chép công cụ khác cung cấp chức tương tự - Miễn phí: Kali Linux, giống BackTrack, hồn tồn miễn phí Người dùng khơng phải trả tiền dùng Kali Linux - Open source Git tree: Tất mã nguồn vào Kali Linux hỗ trợ cho muốn tinh chỉnh xây dựng lại gói cho phù hợp với nhu cầu cụ thể họ - Tuân thủ FHS: Kali Linux tuân thủ Tiêu chuẩn phân cấp hệ thống file (Filesystem Hierarchy Standard), cho phép người dùng Linux dễ dàng định vị fie nhị phân, file hỗ trợ, thư viện, v.v - Hỗ trợ thiết bị không dây phạm vi rộng: Một vấn đề phân phối Linux giải quyết, Kali Linux hỗ trợ cho thiết bị không dây Kali Linux để hỗ trợ nhiều thiết bị khơng dây có thể, cho phép chạy cách nhiều loại phần cứng làm cho tương thích với nhiều USB thiết bị khơng dây khác Quy trình cơng - Thiết lập máy ảo Vmware + Kali Linux Windows Máy Kali Linux đóng vai trị máy công Windows bị máy Kali công + Thiết lập User Windows Ở máy windows thiết lập User thứ ‘hello’ có Password ‘12345’ User thứ ‘hi’ có Password ‘678910’ + Thông máy Kali Windows với Đảm bảo máy Kali Windows thông với qua lệnh ‘ping’ Trước ping máy với cần biết địa IP máy + Máy Kali qua lệnh ‘ip addr show’ có địa IP là: 127.0.0.1 + Máy Windows qua lệnh ‘ipconfig’ có địa IP là: 192.168.177.131 + Ping máy Kali: ‘ping 192.168.177.131’ 10 + Ping máy Windows 7: ‘ping 127.0.0.1’ + Tạo file Username file Password Tạo file Username đưa Username thường gặp vào file lưu dạng file txt Tương tự tạo file Password đưa Password thường gặp vào file lưu dạng file txt 11 Ngoài dùng file rockyou.txt chứa nhiều password có sẵn wordlists Kali Linux Nhưng số lượng password lớn dẫn đến việc chạy chương trình tốn nhiều thời gian Nên nhóm demo số lượng Username Và Password tương đối - Thực công Password + Câu lệnh công chung:  hydra -L usernameLink -P passwordLink -t number ipaddress service Trong đó:  usernameLink: đường dẫn file từ điển Username  passwordLink: đường dẫn file từ điển Password 12  number ipaddress service: địa IP máy bị công  + Câu lệnh cụ thể demo hydra -L /home/nguyet/Desktop/usename.txt -P /home/nguyet/\/password.txt -t 192.168.177.131 smb (smb: dịch vụ file Sharing port 445) + Kết Qua 48 dòng lệnh thử Username Password cho kết Username ‘hi’ ‘hello’ với Password ‘678910’ ‘12345’ III Ưu điểm nhược điểm công Brute-force - Ưu điểm: Là phương pháp cơng có tỷ lệ thành cơng cao Chỉ cần có đủ thời gian máy tính mạnh có khả ghép nối tất kí tự lại với nhau, tin tặc bẻ khóa tất mật - Nhược điểm: Nếu mật người dùng sử dụng mật dài, phức tạp, kết hợp số, chữ ký tự Brute force attack nhiều thời gian để xâm nhập Hơn nữa, công thường không thành công chúng dễ dàng bị phát 13 bị chặn chế bảo mật tường lửa, IDS / IPS chế kiểm soát truy cập IV Cách phịng chống cơng Brute-force Đối với người dùng - Không sử dụng thông tin liên quan đến thân mà lấy mạng tên, ngày sinh, vv… - Có nhiều ký tự tốt: việc sử dụng từ 10 ký tự trở lên khiến cho việc brute-force tốn nhiều thời gian, thời gian lên năm trời - Kết hợp chữ cái, số ký hiệu đặc biệt - Tránh sử dụng mật đơn giản như: 123456, password, - Bên cạnh việc khơng sử dụng mật nhiều tài khoản khác tránh tối đa hậu bị mật Với quản trị viên thực phương pháp để bảo vệ người dùng  - Yêu cầu mật mạnh: bạn buộc người dùng xác định mật dài phức tạp Bạn nên thực thi thay đổi mật định kỳ - Hạn chế số lần đăng nhập sai: Giới hạn số lần thử làm giảm khả bị công brute-force Đi kèm với việc làm tăng thời gian cho phép nhập nhập nhiều lần sai - Xác thực hai yếu tố: Quản trị viên yêu cầu xác thực hai bước cài đặt hệ thống phát xâm nhập phát công Điều yêu cầu người dùng theo dõi nỗ lực đăng nhập yếu tố thứ hai, chẳng hạn khóa USB vật lý quét sinh trắc học dấu vân tay 14 - Captcha: công cụ reCAPTCHA yêu cầu người dùng hoàn thành tác vụ đơn giản để đăng nhập vào hệ thống Việc ngăn chặn công cụ brute-force tự động B Tổng kết Sự phát triển lĩnh vực công nghệ thông tin kèm với rủi ro công mật Các công mật không gia tăng số lượng mà mức độ nguy hiểm tinh vi tăng rõ rệt Các công mật gây nên hậu nặng nề cho người dùng mạng Nhưng nhiều người dùng lại không nhận thấy nguy hiểm việc công mật Các công xuất ngày nhiều phần lớn chủ quan người dùng mạng Qua kiểm tra an ninh, an tồn thơng tin cho thấy tình trạng đặt mật yếu diễn phổ biến, nghiêm trọng nhiều bộ, ngành, địa phương, chí phận mật, thiết yếu Để ngăn chặn hạn chế tình trạng xuất cơng mật bảo đảm an tồn thơng tin người dùng cần có biện pháp mạnh mẽ cá nhân tổ chức trước muộn Người dùng nên đặt mật có độ mạnh cao, có từ đến 12 ký tự kết hợp chữ thường, chữ hoa, số ký tự đặc biệt Bên cạnh đó, người dùng nên thay đổi mật định kỳ thường xuyên nghi ngờ bị lộ để tránh bị đánh cắp thông tin Đừng lưu mật máy tính bạn nhiều người dùng có thói quen vào trang web lưu lại mật để thuận tiện cho việc đăng nhập, điều vô nguy hiểm mã hóa máy tính dễ dàng bị giải mã thông tin không bảo mật an toàn Và người dùng nên tránh đặt trùng mật tài khoản mạng file liệu cá nhân Đặc biệt nên tuyệt đối không tiết lộ mật cho người khác người quen xung quanh mối đe dọa tài khoản bạn 15 Hiện nay, hình thức cơng mật Brute force attack mà nhóm chúng em tìm hiểu cịn nhiều cách thức công khác Dictionary attack, Hybrid attack, với nhiều thủ đoạn tinh vi nguy hiểm Vì vậy, người dùng cần sớm ý thức nguy hiểm mà mang lại tự bảo vệ thơng tin cá nhân thơng tin bị đánh cắp gây tổn thất tài nghiêm trọng, nguy bị tống tiền, lừa đảo, chiếm đoạt tài sản, bôi nhọ, xâm phạm danh dự, nhân phẩm, xâm hại tình dục , gây hậu vật chất tinh thần, ảnh hưởng trực tiếp đến quyền lợi ích hợp pháp quan, tổ chức, doanh nghiệp cá nhân C Tài liệu tham khảo Khái niệm Brute-force khái niệm liên quan https://www.fortinet.com/resources/cyberglossary/brute-force-attack Tham khảo cách công Brute-force https://infinitelogins.com/2020/02/22/how-to-brute-force-websites-using-hydra/ 16 ... khoản, mật rao bán tảng chợ đen Các vụ việc phần lớn công mật (password attack) Tấn công mật hình thức cơng trực diện vào mật khẩu, cách sử dụng thơng tin có sẵn người dùng thông tin cá nhân, mật. .. khả tin tặc đánh cắp liệu thông tin cá nhân, xâm nhập trái phép hệ thống máy chủ doanh nghiệp kinh doanh nhiều tổ chức lớn giới để thực giao dịch mua bán, lừa đảo chiếm đoạt tài sản I Tấn công Brute-force? ... dùng mật hoạt động cho trang web, họ thử cho nhiều trang web khác Vì người dùng biết sử dụng lại thông tin đăng nhập nhiều trang web, họ mục tiêu độc quyền công Tin tặc thu từ công Brute-force Tấn