TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN o0o Bài tập lớn môn học NGUYÊN LÝ HỆ ĐIỀU HÀNH Giảng viên hướng dẫn: Nguyễn Thị Hữu Phương Người thực hiện: 1. Dương Thị Thảo 2. Trần Xuân Đức 3. Nguyễn Đẩu Hoàng Lớp: Tin học Trắc Địa K55 Hà Nội , tháng 5/2012 ĐẶT VẤN ĐỀ Hệ điều hành là một chương trình hay một hệ chương trình hoạt động giữa người sử dụng (user) và phần cứng của máy tính . Mục tiêu của hệ điều hành là cung cấp một môi trường để người sử dụng có thể thi hành các chương trình . Nó làm cho máy tính dễ sử dụng hơn , thuận lợi hơn và hiệu quả hơn. Hệ điều hành là một phần quan trọng của hầu hết các hệ thống máy tính . Một hệ thống máy tính được chia làm bốn phần chính : phần cứng , hệ điều hành , các chương trình ứng dụng và người sử dụng. Hệ điều hành điều khiển và phối hợp việc sử dụng phần cứng cho những ứng dụng khác nhau . Nó cung cấp môi trường mà các chương trình có thể làm việc hữu hiệu trên đó. Hệ điều hành có thể được coi như là bộ phân phối tài nguyên của máy tính, hoạt động như một bộ quản lý các tài nguyên và phân phối chúng cho các chương trình và người sử dụng khi cần thiết. Trong quá trình học, chúng em đã chọn đề tài :” An toàn và bảo mật trong hệ điều hành Android”. Với khoảng thời gian không nhiều nhưng với sự nỗ lực của bản thân và sự hướng dẫn tận tình của cô giáo, chúng em đã hoàn thành bài tập. Tuy nhiên do thời gian còn hạn chế nên phạm vi nghiên cứu và chương trình còn nhiều vấn đề chưa giải quyết được triệt để. Em mong được sự chỉ bảo của cô để em hoàn thành tốt hơn bài tập của mình. Em xin chân thành cám ơn cô giáo Nguyễn Thị Hữu Phương đã tận tình giảng dạy và giúp chúng em hoàn thành bài tập lớn này. 2 NỘI DUNG BÁO CÁO Phần I: Các khái niệm 1. Android là gì? Android là một hệ điều hành dành cho các thiết bị di động như smartphone, tablet hay netbook. Nó do Google phát triển dựa trên nền tảng Linux kernel và các phần mềm mã nguồn mở. Android là hệ điều hành mã nguồn mở mã nguồn chính duy nhất với 12 triệu dòng bao gồm 3 triệu dòng mã XML, 2,8 triệu dòng mã C, 2,1 triệu dòng Java, và 1,75 triệu dòng C++. 2. An toàn là gì? Hệ thống được gọi là an toàn nếu các tài nguyên được sử dụng đúng như quy ước trong mọi hoàn cảnh. Kém may mắn là điều này hiếm khi đạt được trong thực tế. Thông thường, an toàn bị vi phạm vì các nguyên nhân vô tình hay cố ý phá hoại. Việc chống đỡ các phá hoại cố ý là rất khó khăn và gần như không thể đạt hiệu quả hoàn toàn. Bảo đảm an toàn hệ thống ở cấp cao chống lại các tác hại từ môi trường ngoài như hỏa hoạn, mất điện, phá hoại, cần được thực hiện ở 2 mức độ vật lý ( trang bị các thiết bị an toàn cho vị trí đặt hệ thống) và nhân sự ( chọn lọc cẩn thận những nhân viên làm việc trong hệ thống). Nếu an toàn môi trường được đảm bảo tốt, an toàn hệ thống sẽ được duy trì tốt nhờ các cơ chế của hệ điều hành 3 3. Bảo mật là gì? Bảo mật là bảo vệ an toàn những thông tin trước những "tay" chuyên rình mò thông tin của người khác. Với hệ thống thông tin của doanh nghiệp, thông tin chính là tiền của bạn. Với website của doanh nghiệp của bạn, việc có thể thay đổi thông tin trên đó sẽ ảnh hưởng xấu đến thương hiệu của bạn. Nếu ứng dụng thương mại điện tử, thiệt hại sẽ rất lớn nếu website bị hack, khách hàng sẽ không bao giờ tin tưởng để cung cấp những thông tin cá nhân trên website nữa. Phần II: Mục tiêu của việc an toàn và bảo mật hệ thống I. Mục đích của an toàn An toàn là rất cần thiết vì các hệ thống máy tính và mạng lưu giữ rất nhiều thông tin và tài nguyênkhác nhau, Ví dụ: khi người mua hàng sử dụng thẻ tín dụng để thanh toán trên mạng thì cần đến nhà cung cấp internet cung cấp một kênh an toàn để thực hiện giao dịch và đảm bản rằng tất cả nhưng thông tin nhạy cảm không bị lộ.Mục đích của của an toàn có thể chia thành các nhóm sau: + Bảo vệ thông tin và tài nguyên: Các hệ thống máy tính lưu trữ rất nhiều thông tin và tài nguyêncần được bảo vệ.Vi du: Trong một công ty những thông tin và tài nguyên này có thể là dữ liệu kếtoán, thông tin nguồn nhân lực, thông tin quản lý, bán hàng, +Bảo đảm tính riêng tư: Các hệ thống máy tính lưu trữ rất nhiều thông tin cá nhân, tổ chức cần được giữ bí mật. nhữngthông tin này bao gồm:- Số thẻ bảo hiểm xã hội- Số thẻ ngân hàng- Số thẻ tín dụng- Thông tin về gia đình- Thông tin về sức khỏe- Thông tin về việc làm- Thông tin về sinh viên- Thông tin về các khoản mục đầu tư- Thông tin về sổ hưu tríTính riêng tư yêu cầu rất quan trọng mà các ngân hàng, các công ty tín dụng, các công ty đầu tưcần phải đảm bảo để gửi đi các tài liệu thông tin chi tiết về cách họ sử dụng và chia sẻ thông tin vềkhách hàng. + Kích thích luồng công việc: Luồng công việc bao gồm một chuỗi các hoạt động cần thiết đểhoàn thành một tác vụ nào đó. Sự an toàn là rất quan trọng trong từng công đoạn của luồng côngviệc. Nếu một công đoạn bị lộ do một vấn đề an toàn nào đó. khi đó một tổ chức có thể bị mất tiền,mất dữ liệu hoặc cả hai. 4 +Phát hiện các lỗ hổng an toàn và gỡ rối phần mềm: các sản phẩm phần cứng và phần mềmthường gặp phải rất nhiều áp lực khi đưa ra thị trường tiêu thụ. Các sản phẩm này thường chứa cáclỗ hổng an toàn hoặc không ổn định do chúng chưa được kiểm tra, đánh giá một cách kỹ lưỡng.Do vậy mà khi chúng ta mua một OS mới, phần mềm, phần cứng mới chúng ta nên có kế hoạchkiểm tra một cách nghiêm ngặt chúng để bảo đảm an toàn và tin cậy. Và đặc biệt là phải thườngxuyên cập nhật các bản vá lỗ hổng nhằm tránh kẻ tấn công lợi dụng những lỗ hổng này để xâmnhập vào máy tính. +Tổn thất vì lỗi hay sự bất cẩn của con người: Các tính năng an toàn của OS cũng chưa quyếtđịnh nếu thiếu người biết cách cấu hình và sử dụng chứng. Một OS có nhiều tính năng an toàn,nhưng những tính năng này sẽ trở nên vô ích nếu người dùng không biết cách thực hiện hoặc sửdụng chúng một cách tối ưu. Có rất nhiều lý do dẫn đến việc không sử dụng đầy đủ các tính năngan toàn, bao gồm các lý do sau:- Thiếu đào tạo, hiểu biết về những tính năng này Chọn sự tiện lợi, và dễ sử dụng hơn là an toàn Thiếu thời gian,- Do chính sách của các cơ quan, tổ chức Không kiểm tra đánh giá thường xuyên Thói quen làm việc theo một cách nhất định.Một số cách khăc phục: Cài đặt và cấu hình các tính năng an toàn trên hệ thống. Triển khai cáctính năng an toàn bằng văn bản. Đào tạo người dùng nhằm nâng cao năng lực và sự lơ đẳng củangười dùng. II. Mục đích của bảo mật Bảo vệ chống lỗi của tiến trình: khi có nhiều tiến trình cùng hoạt động,lỗi của một tiến trình phải được ngăn chặn không cho lan truyền trên hệ thống làm ảnh hưởng đến các tiến trình khác. Đặc biệt, qua việc phát hiện các lỗi tiềm ẩn trong các thành phần của hệ thống có thể tăng cường độ tin cậy hệ thống. Chống sự truy xuất bất hợp lệ: Bảo đảm các bộ phận tiến trình sử dụng tài nguyên theo một cách thức hợp lệ được quy định cho nó trong việc khai thác các tài nguyên này. Phần III: Cơ chế an toàn và bảo mật trong Android I. Tổng quan về chương trình an ninh Android Ban đầu trong giai đoạn phát triển, đội ngũ phát triển cốt lõi Android được công nhận là một mô hình an ninh vững chắc, cần thiết để cho phép một hệ sinh thái mạnh mẽ của các ứng dụngvà các thiết bị được xây dựng trên và xung 5 quanh nền tảng Android và hỗ trợ bởi dịch vụ đám mây. Kết quả là, thông qua toàn bộ vòng đời phát triển của nó, Android đã có được một chương trình bảo mật chuyên nghiệp. Nhóm nghiên cứu Android đã có cơ hội đểquan sát điện thoại di động khác, máy tính để bàn, và các nền tảng máy chủ đã ngăn cản và phản ứng với vấn đề an ninh và xây dựng một chương trình bảo mật để giải quyết các điểm yếu quan sát thấy trong các dịch vụ khác. Các thành phần chính của Chương trình An toàn Android bao gồm: • Thiết kế Đánh giá : Quá trình bảo mật Android bắt đầu sớm trong vòng đời phát triểnvới việc tạo ra một mô hình cấu hình bảo mật và phong phú.Mỗi tính năng chínhcủa nền tảng này được xem xét bởi kỹ thuật và các nguồn lực an ninh, với kiểm soát an ninh thích hợp tích hợp vào kiến trúc của hệ thống. • Kiểm tra thâm nhập và xem xét lại mã : Trong sự phát triển của nền tảng này, Android được tạo ra và các thành phần mã nguồn mở có thể đánh giá là có an ninh vững chắc. Những đánh giá này được thực hiện bởi đội an ninh Android, đội ngũ an ninh thông tin kỹ thuật của Google, và các chuyên gia tư vấn an ninh độc lập. Mục tiêu của những đánh giá này là để xác định các điểm yếu và lỗ hổng có thể có trước khi nền tảng là mã nguồn mở, và để mô phỏng các loại phân tích sẽ được thực hiện bởi các chuyên gia an ninh bên ngoài khi phát hành. • Mã nguồn mở và đánh giá cộng đồng : Dự án mã nguồn mở Android cho phép mở rộng an ninh xem xét lại bởi bất kỳ bên nào quan tâm đến dự án này. Android cũng sử dụng công nghệ mã nguồn mở đã trải qua nhiều cuộc rà soát an ninh từ bên ngoài, chẳng hạn như hạt nhân Linux. Các thị trường Android cung cấp một diễn đàn cho người sử dụng và các công ty cung cấp thông tin về các ứng dụng cụ thể, trực tiếp đến người sử dụng. • Trả lời sự cố : Ngay cả với tất cả các biện pháp phòng ngừa, vấn đề an ninh có thể xảy ra sau khi vận chuyển, đó là lý do tại sao các dự án Android đã tạo ra một quá trình phản hồi an ninh toàn diện. Toàn bộ thời gian đội an ninh Android liên tục giám sát Android và cộng đồng an ninh chung của các cuộc thảo luận về các lỗ 6 hổng tiềm ẩn.Khi phát hiện các vấn đề hợp pháp, nhóm nghiên cứu Android có một quá trình phản ứng cho phép giảm thiểu nhanh chóng các lỗ hổng để đảm bảo rằng rủi ro tiềm ẩn cho tất cả người sử dụng Android được giảm thiểu. Những phản ứng hỗ trợ điện toán đám mây có thể bao gồm cập nhật nền tảng Android, loại bỏ các ứng dụng từ Android Market, và loại bỏ các ứng dụng từ các thiết bị trong lĩnh vực này. II- Bảo mật thông tin trong Android 2.1- Giới thiệu  Android trở thành mục tiêu của các phần mềm độc hại Các chuyên gia bảo mật ở McAfee vừa đưa ra bản báo cáo về bảo mật Q3 năm 2011 cho biết số lượng phần mềm và mã độc hại ngày càng tập trung vào nền tảng Android và có dấu hiệu phát triển. Theo McAfee năm 2011 được xem là năm của phần mềm độc hại trên nền tảng di động, riêng nền tảng Android tỉ lệ này tăng trưởng 37% chỉ trong Q2. Hiện có khoảng 75 triệu mã độc hại tấn công người dùng di động trong đó Trojan chiếm chủ yếu, các 7 Hacker sử dụng phương thức này để đánh cắp tin nhắn, thông tin tài khoản, chuyển tiền và gởi tin nhắn. Android là nền tảng mở, các Hacker có thể lấy mã nguồn và khai thác những lỗi bảo mật chưa trong hệ điều hành này nhưng một phần do hệ thống phân phối ứng dụng Android Market của Google không có tính năng kiểm duyệt các phần mềm được đăng tải nghiêm ngặt như App Store của Apple, đây cũng là lý do khiến Android Market trở thành công cụ tiếp tế mã độc tới tay người dùng.  Các bài báo liên quan tới sự bùng nổ phần mềm độc hại trên Android Bùng nổ phần mềm độc hại trên Android: Theo nghiên cứu công bố ngày 14/3 của Kaspersky Lab, các phần mềm độc hại hay còn gọi là Malware trên Android đang phát triển với một tốc độ đáng báo động. Từ tháng 1 năm 2011 các Malware đã phát triển với tốc độ lên đến 200%. Đến tháng 12 năm 2011, các chuyên gia bảo mật Internet đã phát hiện ra 82.000 các loại Malware khác nhau tấn công vào Android. Và trong hai tuần đầu tiên của năm 2012 đã phát hiện ra số lượng khổng lồ là 360.000 Malware. Các Malware tấn công vào thiết bị chạy trên nền tảng Android xuất hiện ở nhiều dạng khác nhau.Một số malware sử dụng cách tiếp cận backdoor để tấn công vào điện 8 thoại hoặc máy tính bảng.Kế tiếp chúng truy cập trái phép vào một thiết bị trong đó có các thông tin cá nhân của người dùng như chi tiết tài khoản ngân hàng hoặc các hình ảnh cá nhân. Một phương pháp tiếp cận khác của các Malware lấy cắp tài khoản là chúng sẽ tự động gửi đi từ điện thoại của bạn một khối lượng lớn các tin nhắn văn bản đến các số điện thoại tính phí. Chủ tài khoản phải chi trả hóa đơn với con số khổng lồ còn các tay Hacker sẽ ung dung lấy được số tiền trong tài khoản đó. Bên cạnh đó, các hacker còn sử dụng một số thủ thuật khác như cài đặt những công cụ tự động tải về và khởi động chương trình độc hại trên thiết bị của người dùng. Chuyên gia bảo mật tại Kaspersky Lab, Timothy Armstrong, cho rằng “Malware trên Android được phát hiện nhiều hơn hầu như mỗi ngày. Thời gian gần đây, chúng tôi đã phát hiện ra ba nhà phát triển ứng dụng (mà có khi là từ cùng 1 người) với tên gọi MYOURNET, Kingmall2010, we20092020 đã cung cấp các ứng dụng để tải về miễn phí trên Android Market, mà hầu hết các ứng dụng đó đều chứa mã độc”. Đây là một phát hiện cực kỳ quan trọng, bởi vì cho đến bây giờ, hầu hết các Malware tìm được đều không nằm trong Android Market, nó yêu cầu một số bước thực hiện đặc biệt thì mới lây nhiễm được sang các thiết bị. Thế nhưng hiện nay, người dùng hoàn toàn có thể cài đặt các ứng dụng mới trực tiếp từ web thông qua Android Market phiên bản mới. Kaspersky Lab khuyến cáo người dùng nên kiểm tra lại tất cả các yêu cầu cài đặt từ các ứng dụng trên Tablet hay điện thoại của bạn trước khi cho phép chúng thực hiện việc cài đặt tự động. 2.2- Các cách bảo mật thông tin trong Android Hình ảnh bảo mật thông tin trong Android  Mã độc ồ ạt tấn công Android: 9 • Kho ứng dụng Android Market: thật giả lẫn lộn • Bạn cần lưu ý rằng những phản hồi nhận xét về ứng dụng trên Android Market không phải lúc nào cũng đáng tin cậy, đó có thể là một trò đánh lừa từ chính chủ nhân của ứng dụng để tạo ra vỏ bọc an toàn xây dựng lòng tin nơi người dùng. • Ứng dụng có chèn mã độc và cung cấp miễn phí, các nạn nhân tha hồ tải về mà không biết dữ liệu của mình đã bị chạm tới. Bức ảnh hấp dẫn nhưng thực ra là một tập tin chứa mã độc:  Luôn kiểm tra quyền hạn của ứng dụng: • Bất cứ khi nào bạn tải về hay cập nhật một ứng dụng, bạn sẽ nhìn thấy một danh sách quyền hạn (permissions) mà ứng dụng đó yêu cầu được cấp phép để hoạt động. Một ứng dụng báo thức thì hiển nhiên là không cần tọc mạch trong danh bạ. Do 10 [...]... hồi các quyền hạn trong thời gian chạy, hãy xem lớp ngữ cảnh 20 Phần IV: Kết luận Trên đây là báo cáo của chúng em về đề tài :” An toàn và bảo mật trong hệ điều hành Android ” So với các hệ điều hành thông dụng khác hiện nay như IOS, Blackberry OS, symbian OS thì Android là hệ điều hành có độ an toàn và bảo mật kém nhất, nhưng nhờ vào việc phát triển các ứng dụng bảo mật ngày càng mạnh đã phần nào... các quyền hạn Liệt kê 3 Khai báo một quyền hạn tùy chỉnh Trong Liệt kê 3, một quyền hạn khách hàng được định nghĩa bằng cách xác... cả các quyền hạn qua bản kê do Android định nghĩa, hãy xem trang Manifest.permisson Liệt kê 2 là một ví dụ của một tệp bản kê yêu cầu cấp quyền sử dụng Internet và quyền ghi vào bộ nhớ ngoài: Liệt kê 2 Khai báo (yêu cầu cấp) một quyền hạn 17 Các ứng dụng có thể định nghĩa các quyền hạn tùy chỉnh riêng của mình để bảo vệ tài nguyên của ứng dụng Các ứng dụng khác muốn truy cập vào tài nguyên được bảo vệ của một... có liên quan đến bảo mật được tìm thấy khi bạn phát triển các ứng dụng Android 14 • Việc ký ứng dụng hoặc mã là quá trình tạo các khóa riêng và khóa công khai và các chứng chỉ khóa-công khai, ký và tối ưu hóa ứng dụng • Các quyền hạn là một cơ chế bảo mật của nền tảng Android cho phép hoặc hạn chế ứng dụng truy cập vào các API( Application program interface - Giao diện lập trình ứng dụng.) và các tài... đơn giản hóa quá trình xuất bản và các chi phí liên quan Sử dụng các quyền hạn Các quyền hạn là một cơ chế bảo mật của nền tảng Android để cho phép hoặc hạn chế ứng dụng truy cập đến các API và các tài nguyên bị hạn chế Theo mặc định, các ứng dụng Android không được cấp các quyền hạn nào, làm cho chúng an toàn bằng cách không cho phép chúng truy cập vào các API được bảo vệ hoặc các tài nguyên trên... dàng thực hiện bằng cách định nghĩa thuộc tính android: permission như trong Liệt kê 4 Mức bảo vệ này để cho ứng dụng đó cho phép hoặc hạn chế các ứng dụng khác truy cập vào tài nguyên hệ thống Liệt kê 4 Định nghĩa một quyền hạn cho một hoạt động android: permission="com.cenriqueortiz .android. ACCESS_FRIENDS_LIST" ... cho phép quét toàn bộ thiết bị để tìm xem ứng dụng nào đang "gây rối", đánh dấu nó theo mức độ nguy hiểm để bạn xử lý PermissionDog còn giúp theo dõi trong thời gian thực và cảnh báo bạn về các ứng dụng đang chạy nền trong hệ thống và quyền hạn đang sử dụng 2.3 Các hộp cát, các tiến trình và các quyền hạn Android sử dụng khái niệm về hộp cát để bắt buộc tách riêng giữa ứng dụng với nhau và các quyền... dụng Android không được cấp các quyền hạn nào, làm cho chúng an toàn nhờ không cho phép chúng truy cập vào các API hoặc các tài nguyên được bảo vệ trên thiết bị Các quyền hạn phải cần thiết, các quyền hạn tùy chỉnh được định nghĩa và các nhà cung cấp nội dung và tệp được bảo vệ Hãy chắc chắn rằng bạn kiểm tra, tuân thủ và thu hồi các quyền hạn trong thời gian chạy Tiếp theo, hãy xem xét từng lĩnh vực bảo . cô để em hoàn thành tốt hơn bài tập của mình. Em xin chân thành cám ơn cô giáo Nguyễn Thị Hữu Phương đã tận tình giảng dạy và giúp chúng em hoàn thành bài tập lớn này. 2 NỘI DUNG BÁO CÁO Phần. thành bài tập. Tuy nhiên do thời gian còn hạn chế nên phạm vi nghiên cứu và chương trình còn nhiều vấn đề chưa giải quyết được triệt để. Em mong được sự chỉ bảo của cô để em hoàn thành tốt hơn bài. TRƯỜNG ĐẠI HỌC MỎ ĐỊA CHẤT KHOA CÔNG NGHỆ THÔNG TIN o0o Bài tập lớn môn học NGUYÊN LÝ HỆ ĐIỀU HÀNH Giảng viên hướng dẫn: Nguyễn Thị Hữu Phương Người thực