UỶ BAN NHÂN DÂN TỈNH ĐỒNG THÁP TRƢỜNG CAO ĐẲNG NGHỀ ĐỒNG THÁP GIÁO TRÌNH MƠN HỌC: AN TỒN VÀ BẢO MẬT THÔNG TIN NGÀNH, NGHỀ: CÔNG NGHỆ THÔNG TIN (UDPM) TRÌNH ĐỘ: CAO ĐẲNG (Ban hành kèm theo Quyết định Số: /QĐ-CĐCĐ-ĐT ngày tháng Hiệu trưởng Trường Cao đẳng nghề Đồng Tháp) Đồng Tháp, năm 2017 năm 2017 TUYÊN BỐ BẢN QUYỀN Tài liệu thuộc loại sách giáo trình nên nguồn thơng tin đƣợc phép dùng nguyên trích dùng cho mục đích đào tạo tham khảo Mọi mục đích khác mang tính lệch lạc sử dụng với mục đích kinh doanh thiếu lành mạnh bị nghiêm cấm LỜI GIỚI THIỆU Trong năm qua, dạy nghề có bƣớc tiến vƣợt bậc số lƣợng chất lƣợng, nhằm thực nhiệm vụ đào tạo nguồn nhân lực kỹ thuật trực tiếp đáp ứng nhu cầu xã hội Cùng với phát triển khoa học công nghệ giới, lĩnh vực Công nghệ thơng tin nói chung ngành Quản trị mạng Việt Nam nói riêng có bƣớc phát triển đáng kể Chƣơng trình dạy nghề Quản trị mạng đƣợc xây dựng sở phân tích nghề, phần kỹ nghề đƣợc kết cấu theo mô đun môn học Để tạo điều kiện thuận lợi cho sở dạy nghề trình thực hiện, việc biên soạn giáo trình theo mơ đun đào tạo nghề cấp thiết Môn học 23: An tồn mạng mơn học đào tạo chun mơn nghề đƣợc biên soạn theo hình thức tích hợp lý thuyết thực hành Trong q trình thực hiện, nhóm biên soạn tham khảo nhiều tài liệu An toàn mạng nƣớc, kết hợp với kinh nghiệm thực tế Mặc dầu có nhiều cố gắng, nhƣng không tránh khỏi khiếm khuyết, mong nhận đƣợc đóng góp ý kiến độc giả để giáo trình đƣợc hồn thiện Xin chân thành cảm ơn ……, ngày … tháng … năm 202… Tham gia biên soạn i MỤC LỤC  Trang CHƢƠNG 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN Các khái niệm chung 1.1 Đối tƣợng công mạng (Intruder) 1.2 Các lỗ hổng bảo mật Nhu cầu bảo vệ thông tin 2.1 Nguyên nhân 2.2 Bảo vệ liệu 2.3 Bảo vệ tài nguyên sử dụng mạng 2.4 Bảo bệ danh tiếng quan Bài tập thực hành học viên CHƢƠNG 2: MÃ HĨA THƠNG TIN Cơ mã hoá (Cryptography) 1.1 Tại cần phải sử dụng mã hoá 1.2 Nhu cầu sử dụng kỹ thuật mã hoá 1.3 Q trình mã hố giải mã nhƣ sau: Độ an tồn thuật tốn Phân loại thuật toán mã hoá 3.1 Mã hoá cổ điển: 3.2 Mã hoá đối xứng: 10 Bài tập thực hành học viên 13 CHƢƠNG 3: NAT ( Network Address Translation) 14 Giới thiệu: 14 Các kỹ thuật NAT cổ điển: 14 2.1 NAT tĩnh 15 2.2 NAT động 15 NAT Window server 18 Bài tập thực hành học viên 20 CHƢƠNG 4: BẢO VỆ MẠNG BẰNG TƢỜNG LỬA .28 Các kiểu công 28 1.1 Tấn công trực tiếp 28 1.2 Nghe trộm 28 1.3 Giả mạo địa 28 1.4 Vơ hiệu hố chức hệ thống 28 1.5 Lỗi ngƣời quản trị hệ thống 29 1.6 Tấn công vào yếu tố ngƣời 29 Các mức bảo vệ an toàn 29 Internet Firwall 30 3.1 Định nghĩa 30 3.2 Chức 30 3.3 Cấu trúc 31 ii 3.4 Các thành phần Firewall chế hoạt động 31 3.5 Những hạn chế firewall 35 3.6 Các ví dụ firewall 35 Bài tập thực hành học viên 39 CHƢƠNG 5: DANH SÁCH ĐIỀU KHIỂN TRUY CẬP .40 Giới thiệu 40 Định nghĩa danh sách truy cập 41 Nguyên tắc hoạt động Danh sách truy cập 42 2.1 Tổng quan lệnh Danh sách truy cập 45 2.2 Danh sách truy cập chuẩn mạng TCP/IP 45 Bài tập thực hành học viên 49 CHƢƠNG : VIRUS VÀ CÁCH PHÒNG CHỐNG 55 Giới thiệu tổng quan virus tin học 55 Cách thức lây lan – phân loại 57 Bài tập thực hành học viên 67 TÀI LIỆU THAM KHẢO 73 iii GIÁO TRÌNH MƠN HỌC Tên mơn học: An tồn thơng tin Mã mơn học: MH23 Thời gian thực môn học: 65 giờ; (Lý thuyết: 25 giờ; Thực hành: 38 giờ; Kiểm tra giờ) I Vị trí, tính chất mơn học: - Vị trí: Mơn học đƣợc bố trí giảng dạy sau học xong mơn Mạng máy tính - Tính chất: Mơn học thuộc nhóm mơn chun mơn bắt buộc II Mục tiêu môn học: - Kiến thức:  Trình bày đƣợc nguy an tồn; số kỹ thuật bảo vệ hệ thống máy tính, hệ thống mạng  Hiểu đƣợc nguyên lý an toàn thơng tin  Trình bày đƣợc thành phần khác mơ hình bảo mật - Kỹ năng:  Có khả triển khai hệ thống bảo vệ đồng  Có khả phát cố an tồn máy tính khắc phục cố đơn giản - Về lực tự chủ trách nhiệm: Nghiêm túc nghiên cứu III Nội dung môn học Nội dung tổng quát phân bổ thời gian STT Nội dung Tổng Số Lý Thuyết Chƣơng 1: Các khái niệm Chƣơng 2: Các kỹ thuật bảo vệ thông tin Chƣơng 3: Triển khai hệ thống bảo vệ Tổng cộng 26 31 65 25 Nội dung môn học/mô đun: Thực hành, thí nghiệm, thảo luận, tập 16 22 38 Kiểm Tra 1 CHƢƠNG 1: TỔNG QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN Mã chƣơng: MH 23-01 Giới thiệu: Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một Internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết Mục tiêu việc nối mạng làm cho ngƣời sử dụng chung tài nguyên từ vị trí địa lý khác Cũng mà tài ngun dễ dàng bị phân tán, dẫn đến điều hiển nhiên chúng bị xâm phạm, gây mát liệu nhƣ thơng tin có giá trị Càng giao thiệp rộng dễ bị cơng, quy luật Từ đó, vấn đề bảo vệ thông tin đồng thời xuất hiện, bảo mật đời Tất nhiên, mục tiêu bảo mật không nằm gói gọn lĩnh vực bảo vệ thơng tin mà nhiều phạm trù khác nhƣ kiểm duyệt web, bảo mật internet, bảo mật http, bảo mật hệ thống toán điện tử giao dịch trực tuyến… Mọi nguy mạng mối nguy hiểm tiểm tàng Từ lổ hổng bảo mật nhỏ hệ thống, nhƣng biết khai thác lợi dụng với tầng suất cao kỹ thuật hack điêu luyện trở thành tai họa Theo thống kê tổ chức bảo mật tiếng CERT (Computer Emegancy Response Team) số vụ cơng ngày tăng Cụ thể năm 1989 có khoản 200 vụ, đến năm 1991 có 400 vụ, đến năm 1994 số tăng lên đến mức 1330 vụ, tăng mạnh thời gian tới Nhƣ vậy, số vụ công ngày tăng lên với mức độ chóng mặt Điều dễ hiểu, thực thể tồn hai mặt đối lập Sự phát triển mạnh mẽ công nghệ thông tin kỹ thuật làm cho nạn công, ăn cắp, phá hoại internet bùng phát mạnh mẽ Internet nơi hỗn loạn Mọi thông tin mà bạn thực truyền dẫn bị xâm phạm, chí cơng khai Bạn hình dung internet phịng họp, đƣợc trao đổi phòng họp đƣợc ngƣời khác nghe thấy Với internet ngƣời khơng thấy mặt nhau, việc nghe thấy thơng tin hợp pháp khơng hợp pháp Tóm lại, internet nơi an tồn Mà khơng internet loại mạng khác, nhƣ mạng LAN, đến hệ thống máy tính bị xâm phạm Thậm chí, mạng điện thoại, mạng di động khơng nằm ngồi Vì nói rằng, phạm vi bảo mật lớn, nói khơng cịn gói gọn máy tính quan mà tồn cầu Mục tiêu: - Trình bày đƣợc hình thức cơng vào hệ thống mạng; - Xác định đƣợc thành phần hệ thống bảo mật; - Thực thao tác an toàn với máy tính Nội dung chính: Các khái niệm chung Mục tiêu: - Mô tả đối tượng tấng công hệ thống mạng ; - Xác định lỗ hổng bảo mật 1.1 Đối tƣợng công mạng (Intruder) Là cá nhân tổ chức sử dụng kiến thức mạng công cụ phá hoại (phần mềm phần cứng) để dò tìm điểm yếu, lỗ hổng bảo mật hệ thống, thực hoạt động xâm nhập chiếm đoạt tài nguyên mạng trái phép Một số đối tƣợng công mạng là: - Hacker: Là kẻ xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu thành phần truy nhập hệ thống - Masquerader: Là kẻ giả mạo thông tin mạng Một số hình thức giả mạo nhƣ giả mạo địa IP, tên miền, định danh ngƣời dùng - Eavesdropping: Là đối tƣợng nghe trộm thông tin mạng, sử dụng cơng cụ sniffer; sau dùng cơng cụ phân tích debug để lấy đƣợc thơng tin có giá trị Những đối tƣợng cơng mạng nhằm nhiều mục đích khác nhau: nhƣ ăn cắp thơng tin có giá trị kinh tế, phá hoại hệ thống mạng có chủ định, hành động vơ ý thức, thử nghiệm chƣơng trình khơng kiểm tra cẩn thận 1.2 Các lỗ hổng bảo mật Các lỗ hổng bảo mật điểm yếu hệ thống ẩn chứa dịch vụ mà dựa vào kẻ cơng xâm nhập trái phép để thực hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp Nguyên nhân gây lỗ hổng bảo mật khác nhau: lỗi thân hệ thống, phần mềm cung cấp, ngƣời quản trị yếu không hiểu sâu sắc dịch vụ cung cấp Mức độ ảnh hƣởng lỗ hổng khác Có lỗ hổng ảnh hƣởng tới chất lƣợng dịch vụ cung cấp, có lỗ hổng ảnh hƣởng nghiêm trọng tới toàn hệ thống Nhu cầu bảo vệ thông tin Mục tiêu: - Trình bày nhu cầu cần bảo vệ hệ thống mạng 2.1 Nguyên nhân Tài nguyên mà nói đến liệu Đối với liệu, cần quan tâm yếu tố sau: 2.2 Bảo vệ liệu sau: Những thơng tin lƣu trữ hệ thống máy tính cần đƣợc bảo vệ yêu cầu - Bảo mật: thơng tin có giá trị kinh tế, quân sự, sách vv cần đƣợc bảo vệ khơng lộ thơng tin bên ngồi - Tính tồn vẹn: Thơng tin khơng bị mát sửa đổi, đánh tráo - Tính kịp thời: Yêu cầu truy nhập thông tin vào thời điểm cần thiết Trong yêu cầu này, thông thƣờng yêu cầu bảo mật đƣợc coi yêu cầu số thông tin lƣu trữ mạng Tuy nhiên, thơng tin khơng đƣợc giữ bí mật, u cầu tính tồn vẹn quan trọng Không cá nhân, tổ chức lãng phí tài nguyên vật chất thời gian để lƣu trữ thơng tin mà khơng biết tính đắn thơng tin 2.3 Bảo vệ tài nguyên sử dụng mạng Trên thực tế, công Internet, kẻ công, sau làm chủ đƣợc hệ thống bên trong, sử dụng máy để phục vụ cho mục đích nhƣ chạy chƣơng trình dị mật ngƣời sử dụng, sử dụng liên kết mạng sẵn có để tiếp tục cơng hệ thống khác 2.4 Bảo bệ danh tiếng quan Một phần lớn công không đƣợc thông báo rộng rãi, nguyên nhân nỗi lo bị uy tín quan, đặc biệt công ty lớn quan quan trọng máy nhà nƣớc Trong trƣờng hợp ngƣời quản trị hệ thống đƣợc biết đến sau hệ thống đƣợc dùng làm bàn đạp để cơng hệ thống khác, tổn thất uy tín lớn để lại hậu lâu dài Bài tập thực hành học viên Câu 1: Trình bày đối tƣợng tấng công hệ thống mạng Câu 2: Đối với liệu, cần quan tâm yếu tố nào? CHƢƠNG 2: MÃ HĨA THƠNG TIN Mã chƣơng: MH23-02 Mục tiêu: - Liệt kê phân biệt đƣợc kiểu mã hóa liệu; - Áp dụng đƣợc việc mã hóa giải mã với số phƣơng pháp bản; - Mô tả hạ tầng ứng dụng khóa cơng khai; - Thực thao tác an tồn với máy tính Cơ mã hố (Cryptography) Mục tiêu: - Trình bày nhu cầu sử dụng mã hóa; - Mơ tả q trình mã hóa giải mã Những điều mã hố Khi bắt đầu tìm hiểu mã hố, thƣờng đặt câu hỏi chẳng hạn nhƣ là: Tại cần phải sử dụng mã hoá ? Tại lại có q nhiều thuật tốn mã hố ? 1.1 Tại cần phải sử dụng mã hoá Thuật toán Cryptography đề cập tới nghành khoa học nghiên cứu mã hố giải mã thơng tin Cụ thể nghiên cứu cách thức chuyển đổi thông tin từ dạng rõ (clear text) sang dạng mờ (cipher text) ngƣợc lại Đây phƣơng pháp hỗ trợ tốt cho việc chống lại truy cập bất hợp pháp tới liệu đƣợc truyền mạng, áp dụng mã hoá khiến cho nội dung thông tin đƣợc truyền dƣới dạng mờ đọc đƣợc cố tình muốn lấy thơng tin 1.2 Nhu cầu sử dụng kỹ thuật mã hố Khơng phải hay ứng dụng phải sử dụng mã hoá Nhu cầu sử dụng mã hoá xuất bên tham gia trao đổi thông tin muốn bảo vệ tài liệu quan trọng hay gửi chúng cách an toàn Các tài liệu quan trọng là: tài liệu qn sự, tài chính, kinh doanh đơn giản thông tin mang tính riêng tƣ Nhƣ biết, Internet hình thành phát triển từ yêu cầu phủ Mỹ nhằm phục vụ cho mục đích quân Khi tham gia trao đổi thông tin, Internet mơi trƣờng khơng an tồn, đầy rủi ro nguy hiểm, khơng có đảm bảo thông tin mà truyền không bị đọc trộm đƣờng truyền Do đó, mã hố đƣợc áp dụng nhƣ biện pháp nhằm giúp tự bảo vệ nhƣ thơng tin mà gửi Bên cạnh đó, mã hố cịn có ứng dụng khác nhƣ bảo đảm tính tồn vẹn liệu Tại lại có q nhiều thuật toán mã hoá Theo số tài liệu trƣớc tính an tồn, bí mật thuật toán phụ thuộc vào phƣơng thức làm việc thuật tốn Nếu nhƣ tính an tồn thuật tốn dựa vào bí mật thuật tốn thuật tốn thuật tốn hạn chế d Bảng Thƣ mục (Root directory) Ngay sau FAT bảng Thƣ mục chứa tên hiển thị lệnh DIR\, bao gồm nhãn đĩa, tên file, tên thƣ mục Mỗi tên đƣợc tổ chức thành entry có độ dài 32byte, chứa tên entry, phần mở rộng, thuộc tính, ngày giờ, địa lƣu trữ, kích thƣớc (nếu entry đặc tả tên file) DOS qui định thƣ mục kết thúc entry bắt đầu với giá trị Vì để vơ hiệu phần Root, virus cần đặt byte entry Nếu byte đƣợc đặt đầu Root đĩa trống rỗng cách thảm hại! Trƣờng hợp DB_virus chọn sector cuối Root để lƣu phần lại progvi gây hậu giống nhƣ trƣờng hợp bảng FAT: vùng đƣợc DOS sử dụng, entry bị phá hủy hồn tồn Vì số lƣợng entry Root có hạn, DOS cho phép ta tạo thêm thƣ mục để mở rộng entry vùng liệu Chính nội dung Root thƣờng biến động chứa file hệ thống nhƣ IO.SYS, MSDOS.SYS, COMMAND.COM, CONFIG SYS, AUTOEXEC.BAT, tên thƣ mục nằm gốc Do ta tạo Root dự phòng, với điều kiện sau khơng thay đổi/cập nhật entry Điều khơng cần thiết hệ thống có áp dụng biện pháp lƣu liệu định kỳ e Vùng liệu Đây vùng chứa liệu đĩa, chiếm tỷ lệ lớn nhất, nằm sau Root Ngoại trừ số DB_virus sử dụng vài sector vùng để chứa phần lại progvi (xác suất ghi đè lên file thấp), vùng liệu đƣợc coi nhƣ vùng có độ an tồn cao, tránh đƣợc "nhịm ngó" B_virus Chúng ta lợi dụng đặc điểm để bảo vệ liệu khỏi công B_virus (chủ yếu vào FAT Root, hai thành phần tạo dự phịng) Khi thực q trình phân chia đĩa FDISK, đa số ngƣời dùng có thói quen khai báo toàn đĩa cứng cho partition nhất, đĩa khởi động hệ thống Việc sử dụng ổ đĩa luận lý Ví dụ ta chia đĩa cứng làm hai ổ luận lý C D, ổ C (chứa boot sector hệ điều hành) dùng để khởi động, tiện ích, phần mềm cài đặt lại cách dễ dàng, riêng ổ D dùng chứa liệu quan trọng Khi FAT, Root đĩa cứng bị B_virus công, ta cần cài đặt lại phần mềm C mà không sợ ảnh hƣởng đến liệu D Nếu đĩa cứng đủ lớn, ta nên chia chúng theo tỷ lệ 1:1 (hoặc 2:3) để nâng cao hiệu sử dụng Với đĩa cứng nhỏ, tỷ lệ không đáp ứng đƣợc nhu cầu lƣu trữ phần mềm lớn, ta cần khai báo đĩa C với kích thƣớc đủ cho hệ điều hành tiện ích cần thiết mà thơi Lúc tính kinh tế phải nhƣờng chỗ cho an tồn Tuy nhiên giải pháp mang tính tƣơng đối, tồn B_virus có khả tự định vị địa vật lý partition thứ hai để phá hoại vấn đề khơng đơn giản chút F-virus 59 Nếu nhƣ B_virus có khả lây nhiễm nhiều HĐH khai thác dịch vụ đĩa ROM BIOS, F_virus lây HĐH định nhƣng ngƣợc lại chúng khai thác nhiều dịch vụ nhập xuất HĐH Các F_virus dƣới DOS chủ yếu khai thác dịch vụ truy nhập file hàm ngắt 21h Một số sử dụng thêm ngắt 13h (hình thức phá hoại giống nhƣ B_virus), ta cần xem xét trƣờng hợp dùng ngắt 21h F_virus a Lây vào file thi hành Đặc điểm chung F_virus chúng phải đính progvi vào tập tin thi hành dạng COM, EXE, DLL, OVL Khi tập tin thi hành, F_virus khống chế vùng nhớ lây vào tập thi hành khác Do kích thƣớc tập tin nhiễm lớn kích thƣớc ban đầu Đây dấu hiệu đặc trƣng để nhận dạng tồn F_virus file thi hành Để khắc phục nhƣợc điểm này, số F_virus giải nhƣ sau: - Tìm file buffer đủ lớn để chèn progvi vào Với cách này, virus lây số file Để mở rộng tầm lây nhiễm, chúng phải tốn thêm giải thuật đính progvi vào file nhƣ virus khác, kích thƣớc file lại tăng lên! - Khống chế hàm tìm, lấy kích thƣớc file DOS, gây nhiễu cách trả lại kích thƣớc ban đầu Cách hiệu quả, che dấu có mặt chúng file, nhƣng hồn tồn tác dụng tập tin nhiễm đƣợc kiểm tra kích thƣớc hệ thống (khơng có mặt virus vùng nhớ), phần mềm DiskLook nhƣ DiskEdit, PCTool - Lây trực tiếp vào cấu trúc thƣ mục đĩa (đại diện cho loại virus Dir2/FAT) Cách cho lại kích thƣớc ban đầu tốt, kể môi trƣờng Tuy nhiên ta dùng lệnh COPY để kiểm tra có mặt loại virus thƣ mục Hơn nữa, đời Windows 95 cáo chung cho họ virus Dir2/FAT, với mục đích bảo vệ tên file dài 13k Nhƣ việc phát F_virus file phụ thuộc vào việc giám sát thƣờng xuyên kích thƣớc file Để làm điều này, số chƣơng trình AntiVirus thƣờng giữ lại kích thƣớc ban đầu làm sở đối chiếu cho lần duyệt sau Nhƣng liệu kích thƣớc đƣợc lƣu có thật "ban đầu" hay khơng? AntiVirus có đủ thơng minh để khẳng định tính tập tin hay không? Dễ dàng nhận thấy tập tin COM, EXE đối tƣợng công F_virus Các tập tin có giá trị hệ phần mềm định mà ngƣời dùng lƣu lại dự phòng Vì vậy, có đủ sở để chắn gia tăng kích thƣớc tập tin thi hành biện pháp tốt khởi động lại máy đĩa hệ thống sạch, sau tiến hành chép lại tập thi hành từ dự phòng b Nhiễm vào vùng nhớ Khi lây vào file thi hành, F_virus phải bảo tồn tính logic chủ thể Do sau virus thực xong tác vụ thƣờng trú, file chạy cách bình thƣờng Việc thƣờng trú F_virus làm sụp đổ hệ thống (là điều mà F_virus không mong đợi chút nào) chúng gây xung đột tính quán vùng nhớ, khai 60 thác vùng nhớ không hợp lệ, làm rối loạn khối/trình điều khiển thiết bị hành Các cố thƣờng xảy phần mềm đòi hỏi vùng nhớ phải đƣợc tổ chức nghiêm ngặt, HĐH đồ sộ nhƣ Windows 95 Thực tế cho thấy F_virus nhiễm vào file DLL (Dynamic Link Library - Thƣ viện liên kết động) Windows 95, HĐH khởi động đƣợc Trong trƣờng hợp tƣơng tự, thƣờng tốn nhiều công sức tiền bạc để cài đặt lại Windows 95 mà khơng đủ kiên nhẫn tìm nguyên nhân hỏng hóc vài EXE, DLL Khi thƣờng trú, F_virus ln chiếm dụng khối nhớ định khống chế tác vụ nhập xuất HĐH Có thể dùng trình quản lý Có khám phá thú vị cho việc bảo vệ hệ thống khỏi lây nhiễm F_virus vùng nhớ chạy ứng dụng DOS (mà bạn không chắn chúng) dƣới Windows 95 Sau ứng dụng kết thúc, HĐH giải phóng tất trình thƣờng trú cổ điển (kể F_virus) nhƣ chúng đƣợc sử dụng chƣơng trình Phƣơng pháp khơng cho F_virus thƣờng trú sau Windows 95, nhƣng không ngăn cản chúng lây vào file thi hành khác ứng dụng cịn hoạt động c Phá hoại liệu Ngồi việc phá hoại đĩa Int 13h nhƣ B_virus, F_virus thƣờng dùng chức file Int 21h để thay đổi nội dung tập tin liệu nhƣ văn bản, chƣơng trình nguồn, bảng tính, tập tin sở liệu, tập tin nhị phân Thông thƣờng virus ghi "rác" vào file, dịng thơng báo "File was destroyed by virus " xóa hẳn file Đơi đối tƣợng phá hoại chúng lại phần mềm chống virus thịnh hành Vì file bị ghi đè (overwrite) nên ta khơng thể phục hồi đƣợc liệu tình trạng ban đầu Biện pháp tốt làm trƣờng hợp ngƣng tác vụ truy nhập file, khỏi chƣơng trình hành, diệt virus thƣờng trú vùng nhớ Macro virus Thuật ngữ "Macro virus" dùng để chƣơng trình sử dụng lệnh macro Microsoft Word Microsoft Excel Khác với F_virus truyền thống chuyên bám vào file thi hành, Macro virus bám vào tập tin văn DOC bảng tính XLS Khi tập tin đƣợc Microsoft Word (hoặc Microsoft Excel) mở ra, macro đƣợc kích hoạt, tạm trú vào NORMAL.DOT, lây vào tập DOC, XLS khác Đây hình thức lây mới, tiền thân chúng macro Concept Tuy ban đầu Concept "hiền" nhƣng khơng che dấu kỹ thuật lây nên nhiều hacker khác dễ dàng nắm đƣợc giải thuật, hình thành lực lƣợng virus "hậu Concept" đông đúc hãn Mối nguy hiểm loại virus thật không lƣờng Chúng lợi dụng nhu cầu trao đổi liệu (dƣới dạng văn thƣ, hợp đồng, biên bản, chứng từ ) thời đại bùng nổ thông tin để thực hành vi phá hoại Có trƣờng hợp văn thơng báo công ty X đƣợc gửi lên mạng lại chứa macro virus Dù vơ tình nhƣng gây nhiều phiền tối, chứng tỏ tính phổ biến nguy hại loại virus "hậu sinh khả úy" 61 Đặc biệt, biến thể macro virus có hình thức phá hoại "bom thƣ tin học" vừa đƣợc phát thời gian gần Tên "khủng bố" gửi đến địa "nạn nhân" thƣ dƣới dạng tập tin DOC Ngƣời nhận gọi WinWord để xem, toàn đĩa cứng bị phá hoại Hậu sau rõ, liệu đĩa cứng bị Tuy sử dụng macro Microsoft Word để thực hành vi xấu nhƣng hình thức phá hoại loại khác với virus Virus phá hoại liệu máy tính cách ngẫu nhiên, địa không xác định "Bom thƣ tin học" nhằm vào địa cụ thể, sở liệu mà chúng biết vô giá Cũng không loại trừ khả chúng mạo danh ngƣời để thực âm mƣu với dụng ý "một mũi tên trúng hai mục tiêu" Chúng ta phải tăng cƣờng cảnh giác Để phòng chống loại virus macro này, sử dụng tập tin DOC, XLS bạn phải chắn chúng không chứa macro lạ (ngoài macro bạn tạo ra) Ngoại trừ hình thức phá hoại kiểu "bom thƣ", macro virus thƣờng đếm số lần kích hoạt thực phá hoại (để chúng có thời gian lây) Vì mở tập tin, bạn chọn menu Tool/Macro (của WinWord) để xem văn có macro lạ hay khơng (kể macro khơng có tên) Nếu có, đừng ngần ngại xóa chúng Sau khỏi WinWord, xóa ln tập tin NORMAL.DOT Một số Macro virus có khả mã hóa progvi, che dấu menu Tool/Macro WinWord, không cho xóa macro , dấu hiệu chắn để tin macro virus rình rập xâu xé liệu bạn Hãy cô lập tập tin gửi chúng đến địa liên lạc AntiVirus mà bạn tin tƣởng Trojan Trojan gì? Trojan mã độc hại có khả thực tác vụ bất hợp pháp, thƣờng độc hại Bản thân Trojan chƣơng trình bất hợp pháp nhƣng lại đƣợc che giấu chƣơng trình hợp pháp Khác lớn Trojan virus khả nhân bản: Trojan gây thiệt hại cho máy tính, khởi tạo lỗi hệ thống, chí gây mát liệu nhƣng lại khơng có khả nhân giống virus Ngƣợc lại, Trojan có khả nhân đƣợc phân loại thành virus Trojan đƣợc lấy tên từ câu chuyện thần thoại cũ ngƣời Hy Lạp thời gian chiến tranh Họ tặng cho kẻ thù ngựa làm gỗ khổng lồ Kẻ thù ngƣời Hy Lạp chấp nhận quà tặng mang vào thành Ngay đêm đó, ngƣời lính Hy Lạp chui khỏi ngựa công thành, gây bất ngờ cho kẻ thù chiếm đƣợc thành sau thời gian ngắn Trojan cịn có loại gọi Trojan 'chiếm quyền kiểu leo thang', thƣờng đƣợc sử dụng administrator (quản trị viên) cỏi Chúng đƣợc nhúng vào ứng dụng hệ thống đƣợc quản trị viên kích hoạt, chúng tạo cho hacker quyền cao hệ thống Những Trojan đƣợc gửi tới ngƣời dùng có quyền cho họ quyền xâm nhập hệ thống 62 Ngồi ra, cịn có số loại Trojan nữa, bao gồm chƣơng trình tạo để chọc ghẹo, khơng có hại Các thông báo Trojan thƣờng là: 'Ổ cứng bị bị format', 'password bạn bị lộ' Theo thống kê không đầy đủ, có gần 2.000 loại Trojan khác Đây 'phần tảng băng' thực chất số lƣợng loại Trojan lớn, hacker, lập trình viên hay nhóm hacker viết Trojan cho riêng Trojan khơng đƣợc cơng bố lên mạng bị phát Chính số lƣợng đơng đảo, nên Trojan luôn vấn đề lớn bảo mật an tồn mạng Ngƣời dùng có an tồn trƣớc Trojan phần mềm diệt virus Có nhiều ngƣời nghĩ họ an tồn có tay chƣơng trình qt virus tốt với cập nhật nhất, máy tính họ hồn tồn 'miễn dịch' trƣớc Trojan Thật khơng may, thực tế lại khơng hồn tồn nhƣ Mục đích viết chƣơng trình diệt virus phát virus Trojan Và Trojan đƣợc nhiều ngƣời biết đến, chuyên viên viết phần mềm diệt virus bổ sung vào chƣơng trình qt virus Vì thế, điều hiển nhiên phần mềm diệt virus đành 'bó tay' trƣớc Trojan chƣa biết đến Cách thức lây nhiễm Trojan - Từ Mail: Trojan lây nhiễm theo đƣờng thƣờng có tốc độ lây lan nhanh Khi chúng 'chui' vào máy tính nạn nhân, việc Trojan làm 'gặt hái' địa mail address book phát tán theo địa - Từ ICQ: Nhiều ngƣời biết ICQ kênh truyền thông tin tiện lợi, nhiên lại mơi trƣờng an tồn ngƣời đối thoại gửi Trojan lúc nói chuyện với Điều hồn tồn thực nhờ lỗi (bug) ICQ, cho phép gửi file dạng exe nhƣng ngƣời nhận thấy chúng nhƣ file dạng âm thanh, hình ảnh Để ngăn ngừa đƣợc bug này, trƣớc mở file bạn phải kiểm tra kiểu file (tức phần mở rộng file để biết thuộc loại nào) - Từ IRC: Cách lây nhiễm tƣơng tự nhƣ ICQ Mức độ nguy hiểm Trojan Khi Trojan lây nhiễm vào máy tính nạn nhân, ngƣời dùng hầu nhƣ khơng cảm thấy có điều bất thƣờng Tuy nhiên, nguy hiểm lại phụ thuộc vào định hacker tác giả Trojan Đặc biệt, mức độ nguy hiểm trầm trọng máy tính nạn nhân nơi lƣu trữ tài liệu mật tổ chức, công ty tập đồn lớn Hacker chép khai thác nguồn tài liệu đó, xóa chúng Phân loại Trojan Hiện có nhiều trojan, nhƣng phân loại sau dựa vào tính chất chúng: 63 - Trojan dùng để truy cập từ xa: Trojan nhiễm vào hệ thống, gửi username (tên đăng nhập), password (mật khẩu), địa IP máy tính cho hacker Từ tài nguyên này, hacker truy cập vào máy đó username password lấy đƣợc - Trojan gửi mật khẩu: đọc tất mật lƣu cache thông tin máy nạn nhân gửi cho hacker nạn nhân online - Trojan phá hủy tai hại loại Trojan nhƣ tên nó, chúng có nhiệm vụ tiêu diệt tất file máy tính nạn nhân (file exe, dll, ini ) Thật 'bất hạnh' cho máy tính bị nhiễm Trojan này, tất liệu máy tính chẳng cịn - FTP Trojan: loại mở cổng 21 máy nạn nhân để ngƣời kết nối tới mà không cần mật họ toàn quyền tải liệu xuống - Keylogger: phần mềm ghi lại tất tác vụ bàn phím nạn nhân sử dụng máy tính, gửi chúng cho hacker theo địa e-mail Sâu - worm Mọi tập trung đƣợc hƣớng vào MSBlaster Worm SoBig Virus sức lây lan Trong Melissa Virus trở thành tƣợng toàn cầu vào tháng năm 1999 buộc Microsoft hàng loạt cơng ty khác phải ngắt hệ thống E-mail họ khỏi mạng Virus đƣợc ngăn chặn ILOVEYOU Virus xuất năm 2000 có sức tàn phá khơng Thật không ngờ ngƣời nhận Melissa ILOVEYOU đơn giản Worm chƣơng trình máy tính có khả tự chép từ máy tính sang máy tính khác Worm thƣờng lây nhiễm sang máy tính khác qua mạng máy tính Qua mạng máy tính, Worm phát triển cực nhanh từ Chẳng hạn chín đồng hồ ngày 19/7/2001, CodeRed Worm nhân lên tới 250.000 lần Worm thƣờng khai thác điểm yếu bảo mật chƣơg trình hệ điều hành Slammer Worm khai thác lỗ hổng bảo mật Microsoft SQL Server chƣơng trình cực nhỏ (376Byte) CodeRed Worm làm cho mạng Internet chậm đáng kể tận dụng băng thông mạng để nhân Mỗi tự dị tìm mạng Internet để tìm Server sử dụng hệ điều hành Windows NT hay Windows 2000 chƣa đƣợc cài Patch sửa lỗi bảo mật Mỗi tìm đƣợc Server chƣa đƣợc khắc phục lỗ hổng bảo mật, CodeRed Worm tự sinh ghi vào Server Bảo lại tự dị tìm mạng để lây nhiễm sang Server khác Tùy thuộc vào số lƣợng Server chƣa đƣợc khắc phục lỗ hổng bảo mật, Worm tạo hàng trăm ngàn CodeRed Worm đƣợc thiết kế để thực mục tiêu sau: - Tự nhân 20 ngày tháng - Thay trang Web Server mà nhiễm trang Web có nội dung “Hacked by Chinese” 64 - Tấn công liên tục White House Web Server Các phiên CodeRed biến đổi liên tục Sau nhiễm vào Server, Worm chọn thời điểm định sẵn công vào Domain www.whitehouse.gov Các Server bị nhiễm đồng loạt gửi khoảng 100 kết nối tới cổng 80 www.whitehouse.gov (198.137.240.91) khiến phủ Mỹ phải thay đổi IP WebServer khuyến cáo ngƣời sử dụng phải nâng cấp WindowsNT 2000 “vá” sửa lỗi Họ đa hình – polymorphic Những virus họ có khả tự nhân nhƣng ngụy trang thành biến thể khác với mẫu biết để tránh bị chƣơng trình diệt virus phát Một chi họ virus đa hình dùng thuật tốn mã hóa giải mã khác hệ thống chí bên tệp khác nhau, làm cho khó nhận dạng Một chi khác lại thay đổi trình tự lệnh dùng lệnh giả để đánh lừa chƣơng trình diệt virus Nguy hiểm mutant sử dụng số ngẫu nhiên để thay đổi mã cơng thuật tốn giải mã Họ lừa dọa - hoaxes Đây virus mà thơng điệp nhƣ cảnh báo ngƣời tốt bụng nhƣng có nhiều ngƣời nhận nhẹ tin lại gửi tiếp chúng đến ngƣời khác bùng lên vụ lây lan đến mức nghẽn mạng gây lịng tin Trên giới có nhiều sở liệu cung cấp mẫu dạng thông điệp giả cần so sánh chúng với thông điệp cảnh báo vừa nhận đƣợc để khỏi bị lừa tiếp tay cho tin tặc NGĂN CHẶN SỰ XÂM NHẬP Mục tiêu: - Phòng ngừa xâm nhập virus Virus tin học ranh ma nguy hiểm nhƣng bị ngăn chặn loại trừ cách dễ dàng Có số biện pháp dƣới Chƣơng trình diệt virus - Anti-virus Dùng chƣơng trình chống virus để phát diệt virus gọi anti-virus Thông thƣờng anti-virus tự động diệt virus phát Với số chƣơng trình phát mà khơng diệt đƣợc, phải để ý đọc thơng báo Ðể sử dụng anti-virus hiệu quả, nên trang bị cho vài chƣơng trình để sử dụng kèm, bổ khuyết cho kết tốt Một điều cần lƣu ý nên chạy anti-virus tình trạng nhớ tốt (khởi động máy từ đĩa mềm sạch) việc quét virus hiệu an tồn, khơng gây lan tràn virus đĩa cứng Có hai loại anti-virus, ngoại nhập nội địa Các anti-virus ngoại đƣợc sử dụng phổ biến SCAN McAfee, Norton Antivirus Symantec, Toolkit, Dr Solomon Các anti-virus sản phẩm 65 thƣơng mại Ƣu điểm chúng số lƣợng virus đƣợc cập nhật lớn, tìm-diệt hiệu quả, có đầy đủ cơng cụ hỗ trợ tận tình (thậm chí tỉ mỉ đến sốt ruột) Nhƣợc điểm chúng cồng kềnh Các anti-virus nội thông dụng D2 BKAV Ðây phần mềm miễn phí Ngồi ƣu điểm miễn phí, anti-virus nội địa chạy nhanh chúng nhỏ gọn, tìm-diệt hiệu "rất nhạy cảm" với virus nội địa Nhƣợc điểm chúng khả nhận biết virus ngoại kém, đƣợc trang bị cơng cụ hỗ trợ chế độ giao tiếp với ngƣời sử dụng, để khắc phục nhƣợc điểm này, anti-virus nội cố gắng cập nhật virus thƣờng xuyên phát hành nhanh chóng đến tay ngƣời dùng Tuy nhiên đừng tin tƣởng vào anti-virus Bởi anti-virus tìm-diệt đƣợc virus mà cập nhật Với virus chƣa đƣợc cập nhật vào thƣ viện chƣơng trình anti-virus hồn tồn khơng diệt đƣợc Ðây nhƣợc điểm lớn chƣơng trình diệt virus Xu hƣớng anti-virus cố gắng nhận dạng virus mà không cần cập nhật Symantec triển khai hệ chống virus theo chế miễn dịch IBM, phát hành tƣơng lai Phần mềm D2 nội địa có cố gắng định việc nhận dạng virus lạ Các phiên D2- Plus version 2xx đƣợc trang bị môđun nhận dạng New macro virus NewBvirus, sử dụng chế chẩn đốn thơng minh dựa sở tri thức lý thuyết hệ chuyên gia Ðây phiên thử nghiệm hƣớng tới hệ chƣơng trình chống virus thơng minh chƣơng trình Lúc phần mềm dự báo xuất loại virus Nhƣng dù nên tự trang bị thêm số biện pháp phòng chống virus hữu hiệu nhƣ đƣợc đề cập sau Ðề phòng B-virus Đừng khởi động máy từ đĩa mềm có đĩa cứng, ngoại trừ trƣờng hợp tối cần thiết nhƣ đĩa cứng bị trục trặc chẳng hạn Nếu buộc phải khởi động từ đĩa mềm, đĩa mềm phải hồn tồn Ðơi việc khởi động từ đĩa mềm lại xảy cách ngẫu nhiên, ví dụ nhƣ để quên đĩa mềm ổ đĩa A phiên làm việc trƣớc Nếu nhƣ Boot record đĩa mềm có B-virus, nhƣ phiên làm việc sau, quên không rút đĩa khỏi ổ B-virus "lây nhiễm" vào đĩa cứng Tuy nhiên diệt cách dùng D2-Plus dự trù trƣớc trƣờng hợp chức chẩn đốn thơng minh New B-virus đĩa mềm Chỉ cần chạy D2 thƣờng xuyên, chƣơng trình phân tích Boot record đĩa mềm dự báo có mặt virus dƣới tên gọi PROBABLE B-Virus Ðề phòng F-virus Nguyên tắc chung khơng đƣợc chạy chƣơng trình khơng rõ nguồn gốc Hầu hết chƣơng trình hợp pháp đƣợc phát hành từ nhà sản xuất đƣợc đảm bảo Vì vậy, khả tiềm tàng F-virus file COM,EXE cịn xảy chƣơng trình trơi (chuyền tay, lấy từ mạng, ) Ðề phòng Macro virus Nhƣ nói, họ virus lây văn bảng tính Microsoft Vì vậy, nhận file DOC hay XL? bất kỳ, nhớ kiểm tra chúng trƣớc mở Ðiều phiền 66 toái giải D2- Plus giống nhƣ trƣờng hợp New B-virus, New macro virus đƣợc nhận dạng dƣới tên PROBABLE Macro Hơn sử dụng WinWord Exel Microsoft Office 97 khơng phải lo lắng Chức AutoDectect Macro virus Office kích hoạt Warning Box văn bảng tính cần mở có chứa macro (chỉ cần Disable) Cách bảo vệ máy tính trƣớc Trojan - Sử dụng chƣơng trình chống virus, trojan hãng đáng tin cậy - Để phát xem máy tính có nhiễm Trojan hay không, bạn vào Start -> Run -> gõ regedit -> HKEY_LOCAL_MACHINE -> SOFTWARE -> Microsoft -> Windows -> CurrentVersion >Run, nhìn vào cửa sổ bên phía tay phải Bảng hiển thị chƣơng trình Windows nạp khởi động, nhìn thấy chƣơng trình lạ ngồi chƣơng trình bạn biết, chẳng hạn nhƣ: sub7, kuang, barok, … mạnh dạn xóa chúng (để xóa triệt để, bạn nhìn vào đƣờng dẫn để tìm tới nơi lƣu file đó), sau khởi động lại máy tính - Nhấn tổ hợp phím Ctrl+Alt+Del để thị bảng Close Program (Win9x), bảng Task Manager (WinNT, Win2K, WinXP) để xem có chƣơng trình lạ chạy khơng Thƣờng có số loại Trojan khơng thể che dấu trƣớc chế - Sử dụng số chƣơng trình quan sát máy bạn lập firewall nhƣ lockdown, log monitor, PrcView - Không tải tệp từ nguồn không rõ hay nhận mail ngƣời lạ - Trƣớc chạy tệp lạ nào, kiểm tra trƣớc Bài tập thực hành học viên Câu 1: Lựa chọn phần mềm Virus thông dụng để cài đặt hệ thống Câu 2: Thực cách ngăn chặn Autorun.inf Virus.exe xâm nhập máy tính thơng qua USB Hƣớng dẫn thực Để thực việc vô hiệu hóa tính MountPoints2, bạn thực bƣớc sau Start > Run Win + R Nhập Regedit vào ô run > Enter Tại cửa sổ Registry Editor thực khóa: HKEY_CURENT_USER\Software\Microsoft\Windows\Curent Version\Explorer\MountPoints2 67 Nhấn phải chuột vào MountPoints2 > Permission Cửa sổ Pemission for MountPoints2 mở > Advanced Tại cửa sổ thiết lập Advanced Security Settings for MountPoints2 > Permissions 68 * Win : Bỏ chọn tính Include inheritable pemssions from this object's parrent có khóa đăng ký hiển thị khung Pemission entries 69 * Win XP : Bỏ chọn tính Inherit from parent the pemission entries that apply to child objects Include these with entries explicitly defined here Hộp thoại Windows Security xuất > Remove 70 Tại cửa sổ Advanced Security Settings for MountPoints2 > Apply 71 Hộp thoại Windows Security xuất lần với nội dung "Bạn từ chối tất ngƣời dùng truy cập MountPoints2 Khơng truy cập MountPoints2 có bạn thay đổi cho phép Bạn có muốn tiếp tục?" > Yes > OK lần > đóng cửa sổ Registry Editor > khởi động lại hệ thống 72 TÀI LIỆU THAM KHẢO [1] THs Ngô Bá Hùng-Ks Phạm Thế phi Giáo trình mạng máy tính, Đại học Cần Thơ, năm 2005 [2] Đặng Xn Hà, An tồn mạng máy tính Computer Networking năm 2005 [3] Nguyễn Anh Tuấn, Bài giảng Kỹ thuật an tồn mạng , Trung tâm TH-NN Trí Đức, 2009 [4] TS Nguyễn Đại Thọ, An Toàn Mạng, Trƣờng Đại học Công nghệ - ĐHQGHN, 2010 73 ... QUAN VỀ AN TỒN VÀ BẢO MẬT THƠNG TIN Mã chƣơng: MH 23-01 Giới thiệu: Bảo mật lĩnh vực mà giới công nghệ thông tin quan tâm Một Internet đời phát triển, nhu cầu trao đổi thông tin trở nên cần thiết... thông tin vào thời điểm cần thiết Trong yêu cầu này, thông thƣờng yêu cầu bảo mật đƣợc coi yêu cầu số thông tin lƣu trữ mạng Tuy nhiên, thơng tin khơng đƣợc giữ bí mật, u cầu tính tồn vẹn quan... tham gia trao đổi thông tin muốn bảo vệ tài liệu quan trọng hay gửi chúng cách an toàn Các tài liệu quan trọng là: tài liệu qn sự, tài chính, kinh doanh đơn giản thông tin mang tính riêng tƣ