6 cách tấn công mà hacker thường sử dụng
6 cách tấn công mà hacker thường sử dụng Giới thiệu Hacker và tội phạm công nghệ cao đã, đang và sẽ luôn là những chủ đề nóng bỏng được giới tin học nhắc đến nhiều. Tuy nhiên, vẫn có các bước mà bạn có thể thực hiện để ngăn chặn những mối đe dọa và giảm thiểu rủi ro về an ninh cho hệ thống thông tin của bạn. Bước đầu tiên là bạn, với tư cách là người nắm giữ trọng trách đảm bảo an ninh thông tin cho tổ chức, cần biết được những lỗ hổng (vulnerability) nào đang hiện diện trong hệ thống, đồng thời xác định những rủi ro (risk) nào có thể xảy ra một khi có các mối đe dọa (threat) khai thác thành công những lỗ hổng đó. Bước thứ hai là bạn cần hoạch định và triển khai những biện pháp bảo vệ cho hệ thống trước những mối đe dọa mà bạn đã nhận diện được ở bước 1. Bài viết này sẽ tập trung vào tìm hiểu về 6 phương thức phổ biến mà các hacker sử dụng để phá vỡ hàng rào an ninh và bẻ gãy hệ thống của bạn. Cùng với đó là các chỉ dẫn, lời khuyên để đảm bảo an ninh cho hệ thống trước các mối đe dọa đó. 1. Đánh cắp mật khẩu Từ nhiều năm nay, an toàn mật khẩu (password security) luôn là vấn đề khiến các chuyên gia bảo mật phải bận tâm vì không nhiều người dùng lắng nghe và làm theo các khuyến cáo về cách tạo và quản lý mật khẩu sao cho an toàn. Nếu hệ thống của bạn chỉ sử dụng mật khẩu làm cơ chế chứng thực thì đây thực sự là một nguy cơ lớn khi mà hacker, bằng nhiều cách khác nhau như password cracking, social engineering, phishing…, có thể dò tìm ra mật khẩu và từ đó xâm nhập trái phép vào hệ thống của bạn. Một mật khẩu đơn giản đó là một chuỗi các ký tự có trên bàn phím mà một đối tượng cần ghi nhớ và cung cấp cho hệ thống khi cần thiết như để đăng nhập vào máy tính, truy cập tài nguyên trên mạng. Khi mà sức mạnh tính toán của các máy tính ngày này ngày càng tăng, chúng có khả năng xử lý một lượng lớn dữ liệu chỉ trong một khoảng thời gian ngắn thì thật không may, các mật khẩu mà quá phức tạp để ghi nhớ đối với con người thì lại dễ dàng bị dò ra bởi các công cụ bẻ khóa mật khẩu trong một khoảng thời gian ngắn đến kinh ngạc. Các kiểu tấn công như dictionary, brute fore và hybrid thường được sử dụng để dò tìm mật khẩu. Để đối phó lại những mối đe dọa đó, bạn nên tạo ra các mật khẩu đủ mạnh có độ dài thường từ 8 ký tự trở lên, trong đó bao gồm cả chữ cái in thường/in hoa, chữ số và ký tự đặc biệt và kết hợp với các yếu tố khác như vân tay, smart card, võng mạc mắt,… cho việc chứng thực. Nhưng ngay cả khi người ta có thể nhớ được các mật khẩu mạnh (tất nhiên độ phức tạp của nó cần ở mức vừa phải) như dài từ 12 đến 16 ký tự, thì vẫn còn các vấn đề khác liên quan đến sự an toàn của mật khẩu như: • Mọi người có thói quen sử dụng cùng một mật khẩu cho nhiều tài khoản, nguy hiểm hơn nếu đó là các tài khoản ở các Website kém bảo mật trên Internet. Hacker chỉ cần biết được mật khẩu của một tài khoản là có thể kiểm soát các tài khoản khác có cùng mật khẩu. Vì vậy, người dùng nên tạo riêng các mật khẩu mạnh cho mỗi tài khoản quan trọng như email, credit card… • Mọi người thường ghi lại các mật khẩu của họ vào đâu đó như mẩu giấy, tập tin trên máy tính… và cất giấu chúng ở những nơi không an toàn như ngăn kéo bàn, tập tin không được mã hóa • Các phần mềm ghi nhận lại các thao tác gõ phím (keylogger) được cài trên máy người dùng sẽ âm thầm gửi các mật khẩu mà nó thu thập được cho hacker. Bạn nên cài đặt một trình Anti-virus mạnh và được cập nhật thường xuyên để giúp phát hiện và loại bỏ các keylogger. • Sử dụng các giao thức kém an toàn như HTTP, SMTP/POP3/IMAP , FTP… để truyền đi các mật khẩu dưới dạng không mã hóa. • Kẻ xấu có thể nhìn trộm bạn gõ mật khẩu từ đằng sau hoặc đặt camera giám sát việc sử dụng máy tính của bạn. Các hành vi đánh cắp mật khẩu vẫn luôn là những mối đe dọa nguy hại đối với môi trường CNTT của bất kỳ tổ chức nào. Giải pháp tốt hơn cho vấn đề này là bạn nên áp dụng phương thức chứng thực sử dụng nhiều yếu tố (multi-factor authentication) và chỉ dẫn hoặc ép buộc người dùng hình thành thói quen quản lý mật khẩu sao cho an toàn. 2. Trojan Horse Trojan horse (thường gọi tắt là trojan) là mối đe dọa tiếp theo cho hệ thống của bạn. Về cơ bản, trojan là một chương trình máy tính độc hại được bí mật cài vào máy tính của người dùng. Có thể bạn cũng đã từng biết đến một số trojan nổi tiếng như Back Orifice, NetBus, SubSeven… Nhưng điều đáng lo về trojan lại nằm ở chỗ chúng có thể được xây dựng bởi bất kỳ ai với những kỹ năng cơ bản về máy tính. Thường thì trojan được tạo nên bằng cách kết hợp payload (đoạn mã độc hại) với các phần mềm hợp pháp khác và có rất nhiều cách thức cũng như công cụ để làm điều này. Vì vậy, sự nguy hiểm từ những cuộc tấn công sử dụng trojan là không thể lường trước được. Các mã độc có trong trojan có thể làm nhiều chuyện như: phá hủy dữ liệu, sửa đổi nội dung tập tin, ghi lại thao tác gõ phím, giám sát lưu lượng mạng, theo dõi hoạt động truy cập Web, sao chép e-mail và dữ liệu nhạy cảm rồi gửi về cho hacker, cho phép hacker truy cập và điều khiển máy tính của nạn nhân từ xa, sử dụng máy tính của nạn nhân để phát động các cuộc tấn công chống lại các mục tiêu khác,… Các attacker có thể tải về các payload sẵn có từ Internet hoặc nếu có khả năng thì có thể tự viết ra các payload riêng cho mình. Sau đó, payload này sẽ được nhúng vào trong bất kỳ phần mềm hợp pháp nào như anti-virus, media player, office suite, game, screen saver,… và thậm chí là các loại tài liệu để tạo thành trojan. Để tấn công sử dụng trojan được thành công thì yêu cầu duy nhất là người dùng thực thi “host program” (chương trình được tạo nên bởi payload kết hợp với phần mềm hợp pháp). Khi đó, payload cũng sẽ tự động được khởi chạy và thường người dùng khó mà nhận thấy được các biểu hiện bất thường của máy tính do hoạt động của trojan tạo ra. Trojan có thể được cài lên máy tính của nạn nhân thông qua việc họ tải về các tập tin được đính kèm theo e-mail, từ các Website, hoặc được chứa trong các thiết bị lưu trữ di động như thẻ nhớ, CD/DVD, ổ USB, ổ đĩa mềm Trong bất cứ trường hợp nào, bạn nên sử dụng các công cụ phòng chống mã độc và hơn hết là nâng cao ý thức sử dụng máy tính và Internet sao cho an toàn của người dùng. 3. Khai thác các thiết lập mặc định Việc hệ thống mục tiêu sử dụng các cấu hình được thiết lập mặc định bởi nhà sản xuất thiết bị phần cứng hay phần mềm làm cho việc tấn công vào mục tiêu đó trở nên dễ dàng hơn bao giờ hết. Nhiều công cụ tấn công và các mã khai thác giả định rằng mục tiêu đang sử dụng các thiết lập mặc định (default setting). Vì vậy, một trong các phương án phòng ngừa hiệu quả và không thể bỏ qua là đơn giản thay đổi các thiết lập mặc định này. Các rất nhiều dạng thiết lập mặc định như: username, password, access code, path name, folder name, component, service, configuration, setting… Nhiệm vụ của bạn là cần biết tất cả các thiết lập mặc định của các sản phẩm phần cứng và phần mềm mà bạn đã hoặc sắp triển khai và cố gắng thay đổi các thiết lập mặc định đó thành các thiết lập khác bí mật hơn. Bạn có thể xem trong tài liệu đi kèm với sản phẩm và dịch vụ hoặc tìm kiếm trên Internet để biết được hệ thống của bạn có những thiết lập mặc định nào. Bàn thêm: Về vấn đề này thì xin lấy một ví dụ sau: thiết lập mặc định mà cho phép hacker có thể truy cập và quản lý router giả sử có tên model là ABC-123 của nạn nhân từ xa có thể thông qua HTTP, Telnet, SSH… là username và password mặc định của tài khoản có quyền quản trị. Hacker có thể tìm kiếm trên Internet với từ khóa “default password + ABC-123” là có thể dễ dàng biết được thiết lập mặc định mà một số người dùng thường quên đổi đi này. Bạn nên cân nhắc việc điều chỉnh lại các lựa chọn mặc định khi có thể như: - Cố gắng tránh cài đặt hệ điều hành lên các ổ đĩa và thư mục mặc định. - Đừng cài đặt các ứng dụng, phần mềm tới các vị trí chuẩn của chúng… Bạn điều chỉnh càng nhiều các thiết lập mặc định thì hệ thống của bạn sẽ trở nên 'khó tương thích' hơn với các công cụ và mã khai thác của hacker, đồng nghĩa với việc hacker cần nhiều nỗ lực hơn để tấn công vào mục tiêu. 4. Tấn công Man-in-the-Middle (MITM) Mỗi người đang đọc bài viết này có thể đã là mục tiêu của các cuộc tấn công MITM. MITM xảy ra khi attacker lừa gạt user thiết lập một kênh liên lạc với một máy chủ server hoặc dịch vụ nào đó xuyên qua một 'rogue entity'. Ở đây, rogue entity chính là hệ thống do hacker điều khiển. Nó được dựng lên để chặn đứng việc liên lạc giữa user và server mà không để cho user nhận thấy được rằng tấn công đang diễn ra. Bàn thêm Trong tấn công kiểu MITM, hacker đảm nhận việc trung chuyển luồng thông tin giữa user và server. Và user vẫn truyền thông với server bình thường nhưng toàn bộ thông tin trao đổi qua lại đều bị máy hacker tóm được. Để thực hiện thành công MITM thì hacker phải bằng cách nào đó đánh lừa được user chuyển hướng luồng thông tin tới rogue entity do hacker điều khiển. Ttức là thay vì gửi trực tiếp gói tin tới server thì user lại gửi tới rogue entity và sau đó rogue entity sao chép lại gói tin đó trước khi chuyển cho server. MITM có thể đơn giản như kiểu tấn công lừa đảo qua e-mail mà trong đó hacker gửi cho user một e-mail có chứa một URL dẫn tới rogue entity thay vì trang web thực sự mà user muốn tới. Rogue entity có giao diện trông giống như của trang web thực nhằm đánh lừa user cung cấp các thông tin đăng nhập (credential). Sau đó, credential này được hacker sao chép lại trước khi chuyển cho website thực sự mà user cần liên lạc. Sau hành động đáng tiếc trên thì user vẫn kết nối thành công với website, nhưng không biết được rằng cuộc nói chuyện giữa họ và website đã bị hacker nghe trộm được và hacker có thể bóp méo nội dung của cuộc nói chuyện này khiến cho user và website nhận về những thông tin sai lệch. MITM cũng có thể được thực hiện bằng cách sử dụng các phương thức phức tạp hơn như ARP poisoning, router table poisoning, DNS query poisoning, DNS hijacking, rogue DNS server, HOSTS file alteration, local DNS cache poisoning, proxy re-routing… Và những phương thức này không hề dính dáng đến vấn đề mã hóa hoặc các thủ thuật dùng để ẩn dấu đi các hướng liên kết sai (URL Obfuscation). Để tự bảo vệ bản thân trước các cuộc tấn công kiểu MITM, bạn cần tránh nhấn vào các URL lạ có trong các e-mail. Bạn cũng nên luôn xác minh các URL đó trỏ tới các trang web có domain đáng tin cậy hoặc có sử dụng SSL certificate còn hiệu lực hay không. Ngoài ra, nếu có thể bạn nên triển khai các hệ thống H-IDS/N-IDS để giám sát các lưu lượng mạng cũng như những thay đổi trên hệ thống cục bộ của bạn như HOSTS file, ARP cache, routing table, DNS cache 5. Tấn công các mạng không dây Các mạng không dây (wireless network) hấp dẫn người dùng hơn mạng có dây ở tính tiện dụng và linh hoạt của nó. Ngoài ra, triển khai các mạng không dây thì khá rẻ và cũng dễ dàng cài đặt. Nhưng bên cạnh những lợi ích đó thì mạng không dây cũng bộc lộ những nguy cơ mà làm tiêu tốn không ít thời gian, nỗ lực và chi phí để giữ an toàn cho chúng. Jamming (gây nhiễu tín hiệu), DoS, Hijacking, MiTM, Sniffing (nghe trộm),… và nhiều kiểu tấn công khác mà hacker có thể sử dụng để quậy phá các mạng không dây. Đó là chưa kể tới các vấn đề về tốc độ, phạm vi phủ sóng bị hạn chế của từng chuẩn mạng không dây. Tuy nhiên, ngay cả khi tổ chức của bạn không chính thức chấp thuận việc triển khai một mạng không dây thì bạn vẫn còn một số vấn đề mà bạn cần quan tâm. Ví dụ, nhiều tổ chức đã phát hiện ra rằng các nhân viên đã bí mật tự ý thiết lập mạng không dây của riêng họ bằng cách mang vào tổ chức thiết bị WAP (wireless access point), và cắm cáp mạng mà tổ chức cấp xuống cho các phòng ban vào WAP, sau đó họ kết nối laptop/desktop của mình tới WAP bằng cáp mạng hoặc sóng radio. Điều này bổ sung thêm tùy chọn kết nối không dây, thông qua WAP, tới mạng nội bộ của tổ chức. Như thế, mức độ rủi ro mà tổ chức có thể phải gánh chịu do bị hacker tấn công sẽ càng tăng cao khi các nhân viên này triển khai WAP với chuẩn bảo mật yếu như WEP hoặc thậm chí không hề sử dụng cơ chế bảo mật nào cho mạng không dây. Vì vậy, một thiết bị WAP có giá 50 USD có thể dễ dàng tạo ra các rủi ro cho một mạng có dây trị giá hàng triệu đô la được bảo vệ kỹ càng. Để ngăn chặn với các WAP không được phê duyệt để triển khai này, cần thực hiện một cuộc khảo sát định kỳ khu vực hoạt động của tổ chức bằng cách sử dụng các các công cụ giúp phát hiện các mạng không dây như NetStumbler hoặc với một thiết bị cầm tay chuyên dụng. 6. Do thám hệ thống mục tiêu Các hacker, đặc biệt là kẻ tấn công không phải là người trong nội bộ tổ chức biết cách làm sao để vượt qua các hàng rào an ninh bằng cách tìm kiếm, thu thập các thông tin về tổ chức và hệ thống CNTT của bạn. Quá trình này được gọi là reconnaissance (do thám), hoặc footprinting. Sau cùng, hacker tập trung vào nghiên cứu tất cả thông tin hiện có về tổ chức của bạn từ các nguồn được phát tán rộng rãi và các tài nguyên lưu hành nội bộ. Nếu có tìm hiểu về binh pháp, bạn sẽ ý thức được rằng vũ khí quan trọng nhất mà bạn có chính là thông tin. Hacker biết rõ điều này và dùng nhiều thì giờ và sức lực để có được kho vũ khí đầy đủ nhất. Trớ trêu thay là nhiều tổ chức vẫn còn để lộ và dâng nộp vũ khí thông tin của mình vào kho đạn của hacker. Tình trạng rò rỉ và thất thoát dữ liệu đang diễn ra ở công ty, họ thoải mái cung cấp nhiều thông tin mà có thể được sử dụng trong nhiều kiểu tấn công vào hệ thống của họ. Dưới đây là một vài ví dụ về những thông tin về tổ chức của bạn mà hacker có thể biết được: - Việc đăng ký tên miền yêu cầu cung cấp địa chỉ, số điện thoại, email…. của chủ sở hữu tên miền đó. - Thông qua DNS lookup và traceroute sẽ biết được thông tin về ISP của bạn. - Thông tin về các nhân viên như địa chỉ, số điện thoại, lịch sử công tác,… - Các hệ điều hành, các chương trình quan trọng, các ngôn ngữ lập trình, các thiết bị mạng, những nền tảng và dịch vụ… mà tổ chức đang sử dụng. - Các điểm yếu, điểm mạnh, lối vào, các đường truy cập bí mật… và nhiều thông tin quan trọng khác về hệ thống của bạn. - Sử dụng kỹ thuật Google hacking để tìm được các tài liệu mật được lưu trữ trên máy chủ Web của tổ chức. Như bạn thấy, có rất nhiều thông tin mà một hacker có thể có được từ các nguồn mở, công cộng và danh sách ở trên chưa thể liệt kê hết các thông tin này. Một hacker thường bỏ ra khoảng 90% thời gian cho các hoạt động thu thập thông tin vì càng hiểu rõ về mục tiêu thì khả năng tấn công thành công càng cao. Mẫn Thắng . 6 cách tấn công mà hacker thường sử dụng Giới thiệu Hacker và tội phạm công nghệ cao đã, đang và sẽ luôn là những chủ đề nóng bỏng. bằng cách sử dụng các các công cụ giúp phát hiện các mạng không dây như NetStumbler hoặc với một thiết bị cầm tay chuyên dụng. 6. Do thám hệ thống mục tiêu Các hacker, đặc biệt là kẻ tấn công. của hacker, đồng nghĩa với việc hacker cần nhiều nỗ lực hơn để tấn công vào mục tiêu. 4. Tấn công Man-in-the-Middle (MITM) Mỗi người đang đọc bài viết này có thể đã là mục tiêu của các cuộc tấn