Xây dựng hệ thống phát hiện xâm nhập mạng áp dụng cho hệ thống mạng Bộ Khoa học và Công nghệ

Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống.. Lĩnh vực nghiên cứu mà luận văn tập tr

ĐẠI HỌC QUỐC GIA HÀ NỘI

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

VÕ TUẤN HẢI

XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG

TRƯỜNG ĐẠI HỌC CÔNG NGHỆ

VÕ TUẤN HẢI

XÂY DỰNG HỆ THỐNG PHÁT HIỆN XÂM NHÂP MẠNG ÁP DỤNG CHO HỆ THỐNG MẠNG

BỘ KHOA HỌC VÀ CÔNG NGHỆ

Ngành: Công nghệ thông tin

Chuyên ngành: Hệ thống thông tin

1

MỤC LỤC

MỞ ĐẦU 4

Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên mạng 7

1.1 - Hệ thống phát hiện xâm nhập là gì ? 7

1.2 - Các kiểu của hệ thống IDS 8

1.3 - Giải thích hoạt động cơ bản của hệ thống IDS 11

1.4 - Cảm biến (sensor) 12

1.4.1 - Chức năng của Sensor 12

1.4.2 - Network-Based Sensors 12

1.4.3 - Host-Based Sensors 13

1.4.4 - Vị trí đặt Sensor 13

1.4.5 - Các lưu thông mạng đã được mã hóa 14

1.5 - Mô hình phân tích trong hệ thống IDS 15

1.5.1 - Phân tích là gì ? 15

1.5.2 - Các bước tiên hành phân tích 16

1.5.3 - Mô hình phân tích Rule-Based Detection (Misuse Detection) 18

1.6 - Ví dụ về một vài luật của IDS 19

1.7 - Đánh giá ưu nhược điểm của hệ thống phát hiện xâm nhập mạng 20

1.8 - Giới thiệu chung về lừa đảo trên mạng (phishing) 20

1.9 - Phân tích các tấn công kiểu phishing 21

1.9.1 - Ví dụ về phishing 21

1.9.2 - Mục tiêu của phisher 26

1.10 - Phân tích về vỏ lừa đảo 27

1.11 - Các phương thức đưa thông báo tới nạn nhân 28

1.11.1 - Bằng email và spam 28

1.11.2 - Bằng trang Web 29

1.11.3 - Bằng IRC và Instant messaging 30

1.11.4 - Bằng các máy đã bị cài Trojan 30

1.11.5 - Bằng VoIP 31

1.11.6 - Bằng spear phishing 31

1.11.7 - Bằng whaling 32

1.11.8 - Bằng đường bưu điện 32

1.12 - Các hỗ trợ kỹ thuật cho phishing 33

1.12.1 - Kỹ thuật Man-in-the-middle 33

1.12.2 - Kỹ thuật URL giả 34

1.12.3 - Kỹ thuật tấn công Cross-site Scripting 36

1.12.4 - Kỹ thuật đặt trước Session ID 37

1.12.5 - Kỹ thuật ẩn 37

1.12.6 - Kỹ thuật theo dõi thông tin nạn nhân 38

1.12.7 - Kỹ thuật lợi dụng điểm yếu tại máy người dùng 39

Chương 2 - Quy trình phòng ngừa và ngăn chặn xâm nhập mạng cho hệ thống mạng Bộ Khoa học và Công nghệ 39

2.1 - Phòng ngừa xâm nhập tường lửa 39

2.2 - Kiểm tra lỗ hổng bảo mật của các Website 40

2.3 - Phòng ngừa xâm nhập mạng từ trong nội bộ thông qua tài liệu chia sẻ: 41

2.4 - Phòng ngừa xâm nhập thông qua mạng không dây 42

2.5 - Phòng ngừa xâm nhập hệ điều hành 42

2.6 - Phòng ngừa xâm nhập SQL Injection 43

2.7 - Phòng ngừa và ngăn chặn tấn công từ chối dịch vụ 44

2.8 - Phòng ngừa và ngăn chặn phishing 45

2.9 - Phòng ngừa và ngăn chặn spoofing 47

Chương 3 - Xây dựng và triển khai hệ thống phát hiện xâm nhập mạng cho hệ thống mạng Bộ Khoa học và Công nghệ 50

3

3.1 - Mô hình mạng Bộ Khoa học và Công nghệ 50

3.2 - Hệ thống phát hiện xâm nhập xây dựng trên nền tảng mã nguồn mở Snort 52

3.2.1 - Cài đặt 53

3.2.2 - Các chức năng chính của Snort 54

3.2.3 - Cấu hình cho phần mềm Snort 57

3.2.4 - Quản lý và tạo luật trong phần mềm Snort 70

3.3 - Thiết kế và triển khai hệ thống phát hiện xâm nhập mạng 73

3.3.1 - Thiết kế hệ thống phát hiện xâm nhập mạng 73

3.3.2 - Triển khai hệ thống phát hiện xâm nhập mạng 74

KẾT LUẬN 92

TÀI LIỆU THAM KHẢO 94

tổ chức hay cá nhân lưu trữ trên các mạng máy tính, mà các đa số mạng máy tính này lại không đảm bảo độ an toàn, bảo mật thông tin tuyệt đối

Ngày nay, nhu cầu trao đổi dữ liệu qua hệ thống mạng máy tính trở thành vô cùng quan trọng trong mọi hoạt động của xã hội Vấn đề bảo đảm an ninh, an toàn cho thông tin trên mạng ngày càng là mối quan tâm hàng đầu của các công ty, các

tổ chức, các nhà cung cấp dịch vụ Cùng với thời gian, các kỹ thuật tấn công ngày càng tinh vi hơn khiến các hệ thống an ninh mạng trở nên mất hiệu qủa Các hệ thống an ninh mạng truyền thống thuần túy dựa trên các tường lửa nhằm kiểm soát luồng thông tin ra vào hệ thống mạng một cách cứng nhắc dựa trên các luật bảo vệ

cố định Với kiểu phòng thủ này, các hệ thống an ninh sẽ bất lực trước kỹ thuật tấn công mới, đặc biệt là các cuộc tấn công nhằm vào điểm yếu của hệ thống

Trên thế giới đã có rất nhiều công trình nghiên cứu về lĩnh vực an ninh, an toàn thông tin Khi xem xét đến lĩnh vực này trên thế giới, thường người ta đặt nó vào một trong các khía cạnh:

 An toàn máy tính (Computer Security): là sự bảo vệ các thông tin cố định bên trong máy tính (Static Informations), là khoa học về bảo đảm

an toàn thông tin trong máy tính

 An toàn truyền tin (Communication Security) là sự bảo vệ thông tin trên đường truyền tin (Dynamic Informations), là khoa học về bảo đảm an toàn thông tin trên đường truyền tin

Để bảo vệ thông tin bên trong máy tính hay đang trên đường truyền tin, phải nghiên cứu các nội dung:

 An toàn dữ liệu (Data Security)

 An toàn cơ sở dữ liệu (Database Security)

5

 An toàn hệ điều hành ( peration S ystem Security)

 An toàn mạng máy tính (Network Security)

Lĩnh vực nghiên cứu mà luận văn tập trung vào là ở nội dung an toàn mạng máy tính để xây dựng một hệ thống phát hiện xâm nhập mạng máy tính, nhằm mục đích bảo vệ mạng máy tính khỏi sự tấn công, đột nhập của tin tặc và trợ giúp quản trị mạng thực hiện công việc bảo mật bằng các xây dựng quy trình đảm bảo an toàn cho hệ thống mạng máy tính

Bộ Khoa học và Công nghệ là một cơ quan nhà nước có hệ thống mạng thông tin khá phát triển Hệ thống mạng Bộ Khoa học và Công nghệ được xây dựng vào những năm 1997-1998 Đây là một hệ thống mạng có chất lượng tốt và được thiết kế theo mô hình công nghệ được đánh giá là tiên tiến của thời điểm những năm cuối thập kỷ 20 Hiện tại Hệ thống mạng Bộ Khoa học và Công nghệ bao gồm hơn 20 máy chủ, gồm nhiều chủng loại như Intel, Sun, IBM, Fujitsu… Các hệ điều hành được sử dụng khá đa dạng bao gồm: Windows NT, Windows Server 2003, Windows Server 2000, RedHat Linux, Solaris Hệ thống còn bao gồm các thiết bị truyền thông, thiết bị mạng như router, switch, wireless access point…

Trong những năm tới, Hệ thống mạng Bộ Khoa học và Công nghệ sẽ có thêm nhiều sự phát triển về quy mô, khi các ứng dụng công nghệ thông tin vào hoạt động của Bộ chạy trên hệ thống ngày càng nhiều Ý thức được điều này, Bộ Khoa học và Công nghệ đã quan tâm rất nhiều đến vấn đề an ninh, an toàn thông tin Hệ thống mạng đã được trang bị một số thiết bị để đảm bảo an ninh, an toàn thông tin, như Firewall Checkpoint, Cisco IDS 4215, phần mềm diệt virus cho máy chủ và thư điện tử TrendMicro, hệ thống sao lưu và phục hồi dữ liệu UltraBac, hệ thống lưu trữ SAN

Tuy vậy, việc áp dụng cứng nhắc những sản phẩm này vào hệ thống mạng chưa thể đảm bảo việc nâng mức an toàn lên cao hơn Bởi yếu tố con người mới là khía cạnh quan trọng nhất trong lĩnh vực bảo mật Hiện nay, vẫn chưa có một nghiên cứu nào để cung cấp cho các quản trị mạng Bộ Khoa học và Công nghệ những hiểu biết cần thiết để thiết lập các quy tắc đảm bảo an ninh trong hệ thống

Việc nghiên cứu và phát triển các sản phẩm về an ninh thông tin nói chung

và an ninh mạng nói riêng là một nhu cầu bức thiết đối với hệ thống mạng Bộ Khoa

học và Công nghệ Khi mà các ứng dụng chạy trên đó ngày càng phát triển về cả quy mô và số lượng, thì những lỗ hổng về bảo mật ẩn chứa trong các hệ thống này cũng ngày càng nhiều Bên cạnh đó, trình độ của các tin tặc trong nước trong thời gian qua đã có nhiều bước tiến Các nguyên lý, cách thức tấn công mà các tin tặc vận dụng đã có nhiều bổ sung và vận dụng linh hoạt Trong khi đó, hệ thống đảm bảo an ninh, an toàn cho hệ thống mạng thông tin Bộ Khoa học và Công nghệ thực chất chỉ bao gồm một thiết bị Cisco IDS 4215 với số lượng mẫu tấn công có thể phát hiện là rất hạn chế

Những hạn chế về an ninh, an toàn của hệ thống mạng Bộ Khoa học và Công nghệ còn thể hiện ở những mặt sau:

 Chưa có một nghiên cứu bài bản và có hệ thống nào về các quy trình, phương thức, hay giải pháp hướng dẫn công tác đảm bảo an toàn và bảo mật cho hệ thống mạng Do vậy việc đảm bảo an toàn hệ thống mạng được thực hiện chủ yếu dựa vào kinh nghiệm của các quản trị mạng Dẫn đến sự thiếu hiệu quả trong công tác quản trị mạng

 Hệ thống phát hiện xâm nhập của Hệ thống mạng Bộ Khoa học và Công nghệ chỉ có một thiết bị mang tính chất riêng lẻ là Cisco IDS

4215, chưa phải là một hệ thống hoàn chỉnh, do đó rất khó hoạt động hiệu quả Thiết bị IDS này phát hiện xâm nhập dựa trên những dấu hiệu có sẵn trong thiết bị, đây chưa phải là phương pháp phát hiện xâm nhập hiệu quả Bản thân những dấu hiệu xâm nhập có sẵn trong thiết

bị đã cũ và không được cập nhật thường xuyên

Như vậy, những nội dung nghiên cứu đặt ra ở đề tài này sẽ góp phần giải quyết những mặt hạn chế tồn tại về an ninh, an toàn trong Hệ thống mạng Bộ Khoa học và Công nghệ Đó là:

 Nghiên cứu, xây dựng quy trình đảm bảo an toàn cho hệ thống mạng máy tính Bộ Khoa học và Công nghệ

 Xây dựng, triển khai một hệ thống phần mềm phát hiện xâm nhập mạng dựa trên nền tảng phần mềm mã nguồn mở

7

Chương 1 - Tổng quan về phát hiện xâm nhập mạng và lừa đảo trên

mạng

1.1 - Hệ thống phát hiện xâm nhập là gì ?

Hệ thống phát hiện xâm nhập (IDS) có thể coi là các công cụ, phương thức,

và tài nguyên để giúp cho việc nhận dạng, quyết định, báo cáo về các hành động diễn ra trái phép trong hệ thống mạng nó quản lý Thuật ngữ phát hiện xâm nhập (intrusion detection) có thể coi là chưa chính xác khi là hệ thống phát hiện xâm nhập không hoàn toàn là phát hiện xâm nhập, nó chỉ dò tìm các hành động qua giao thông mạng để đoán xem các hành động đó có là một cuộc xâm nhập hay không

Hệ thống phát hiện xâm nhập là một phần của hệ thống bảo mật, nó được cài đặt trên hệ thống và các thiết bị Tuy nhiên nó không đứng một mình trong hệ thống bảo mật (thường thì kết hợp với FireWall)

Ta có thể kết hợp sử dụng FireWall để khóa cửa sau, hệ thống phát hiện xâm nhập và cảnh báo và hệ thống chống tấn công bằng chó canh cổng Giả sử bạn có một kho chứa các tài liệu bí mật và bạn muốn bảo vệ chúng với hàng rào bảo vệ gồm hệ thống cảnh báo, khóa cả cửa ra vào, đặt cameras theo dõi Việc khóa các cửa ra vào sẽ giúp dừng các hành động bất hợp pháp khi đi vào kho của bạn, tuy nhiên nó lại không làm gì để cảnh báo về một cuộc xâm nhập, nhưng nó ngăn chặn được cuộc xâm nhập đó Hệ thống cảnh báo thì lại cảnh báo với bạn trong trường hợp có ai đó cố gắng lấy thông tin trong kho, nhưng bản thân nó lại không thể ngăn chặn xâm nhập Và cuối cùng là chó canh cổng, trong một vài trường hợp, nó có khả năng chặn các cuộc xâm nhập bắt hợp pháp

Như đã phân tích ở trên thì the khóa cửa, hệ thống báo động, and chó canh cổng phân chia nhiệm vụ trong một hệ thống bảo mật Nó cũng đúng với tường lửa, IDS và IPS Việc kết hợp ngăn chặn, cảnh báo và phòng chống tấn công sẽ làm tăng sức mạnh an ninh cho hệ thống mạng

Một vấn đề quan trọng là IDS và IPS chỉ là hai trong nhiều phương pháp được sử dụng trong hệ thống bảo mật Việc tiếp cận các tầng, phòng thủ theo chiều sâu trên cơ sở phân tích cẩn thận các rủi ro có thể sẽ quyết định việc bảo vệ thông tin Điều này có nghĩa là hệ thống mạng cần thiết phải được bảo mật theo nhiều lớp, mỗi lớp sẽ có những chức năng riêng, để đảm bảo sự toàn diện trong bảo mật

một hệ thống mạng trong tổ chức của bạn Hình dưới đây là mô hình phòng thủ theo chiều sâu của hệ thống mạng

Hình 1: Sơ đồ phòng thủ mạng

- Your enterprise: tổ chức của bạn - Technology: Công nghệ

- Operations: Các hoạt động - People: Con người

- Outside threats: các mối hiểm họa từ bên ngoài

IDS làm việc và phân tích các gói tin tới tận tầng ứng dụng trong mô hình mạng TCP/IP, với các cảm biến đặt tại các chốt chặn của hệ thống mạng Nó sẽ bắt

và phân tích gói tin dựa vào các mẫu có sẵn rồi đưa ra cảnh báo hoặc ghi lại luồng

dữ liệu qua hệ thống mạng Hoạt động của nó gần giống với một phần mềm diệt virus với các dấu hiệu tấn công có sẵn trong cơ sở dữ liệu của nó

1.2 - Các kiểu của hệ thống IDS

IDS có ba kiểu chính : Phát hiện xâm nhập tại một máy, phát hiện xâm nhập trên toàn hệ thống mạng, và cuối cùng là sự kết hợp của cả hai kiểu trên

 Phát hiện xâm nhập tại máy trạm: Host-based intrusion-detection system (HIDS)

9

 Phát hiện xâm nhập trên toàn hệ thống mạng: Network-based intrusion-detection system (NIDS)

 Kết hợp cả hai kiểu trên (Hybrid IDS)

HIDS thực chất là một ứng dụng chạy trên máy trạm, nó có chức năng quét toàn bộ hệ thống của máy đó bao gồm việc quét nhật ký hệ thống và các nhật ký sự kiện Nó sẽ kiểm tra bất kỳ một hành động nào trên nhật ký để xem nó có khớp với các sự kiện bất thường được ghi trong cớ sở dữ liệu không

Một hệ thống NIDS nằm trực tiếp trên hệ thống mạng và nó phân tích các gói tin giao thông trên mạng để tìm kiếm những cuộc tấn công NIDS nhận tất cả các gói tin trên các phân đoạn mạng được chỉ định (thậm chí gồm cả những gói tin

đi đến chuyển mạch của mạng) Nó cẩn thận trong việc cấu trúc lại các luồng thông tin đó để tiện cho việc phân tích và so sánh chúng với các mẫu có sẵn trong cơ sở

dữ liệu Hầu hết các NIDS đều được cung cấp khả năng ghi lại các hành động diễn

ra trên mạng và gửi những cảnh báo tới nhà quản trị với những hành động bất thường

Hybrid IDS thì lại kết hợp cả HIDS và NIDS, tuy nhiên HIDS và NIDS đều

có những ưu và nhược điểm khác nhau

Hệ thống phát hiện xâm nhập NIDS và HIDS

Hệ thống phát hiện xâm nhập NIDS và HIDS

Phát hiện trên sở sở nhưng thứ được ghi

lại trên toàn hệ thống mạng

Phát hiện dựa vào bản ghi nhật ký hệ thống trên chỉ máy đó

Kiểm tra phần đầu (header) của gói tin Không kiểm tra phần đầu (header) của

gói tin

Trả lời gần như ngay lập tức Chỉ trả lời sau khi một hành động trái

phép cố gắng thực hiện Không phụ thuộc hệ điều hành Phụ thuộc hệ điều hành

Dò tìm tấn công bằng cách phân tích dữ

liệu trong gói tin

Dò tìm các cuộc tấn công tại chỗ trước khi nó ra khỏi hệ thống mạng

Dò tìm các cố gắng tấn công Kiểm tra sự thành công và thất bại của

một cuộc tấn công

Bảng 1: Phân biệt NIDS và HIDS

Quy trình cơ bản của một IDS là nó sẽ chọn lựa dữ liệu, tiền xử lý (processing) và tập hợp chúng Việc phân tích mang tính thống kê (statistical analysis) kết thúc sẽ quyết định thông tin là một hoạt động bình thường hay không Hoặc dữ liệu sẽ được đưa đến để so sánh với cơ sở dữ liệu (knowledge base), nếu khớp thì cảnh báo sẽ được đưa ra

11

Hình 2: Một IDS chuẩn

- GUI: giao diện đồ họa - Response Manager: Bộ phản hồi

- Host system or network sniffrer: bộ cảm biến mạng và máy tính

- Pre-processing: bộ tiền xử lý -Alert manager: bộ báo động

- Statistical analysis: phân tích tĩnh -Signature matching:so sánh mẫu

- Knowledge base: cơ sở dữ liệu lưu trữ dấu hiệu tấn công

- Long-term storage: nơi phát hiện dị thường

1.3 - Giải thích hoạt động cơ bản của IDS

Gói tin bị bắt từ cảm biến trên máy tính (sensor - host system) hoặc cảm biến mạng (network sniffer) sẽ được chuyển qua bộ sắp xếp

Bộ tiền xử l ý: gồm bộ phận giải mã và bộ phận tiền xử l ý:

 Bộ phận giải mã: giải mã gói tin, nhận biết các trường trong gói tin

 Bộ phận sắp xếp: sắp xếp hoặc chỉnh sửa lại gói tin trước khi đi vào bộ phát hiện

Một số mô-đun này có khả năng phát hiện các gói tin dị thường trong phần đầu (header) và sinh ra cảnh báo Ngoài ra, nó có thể tái định dạng gói tin (defragment), sắp xếp lại chuỗi

Bộ phát hiện (Detection engine): xảy ra quá trình phân tích gói tin: so sánh mẫu (signature matching) hoặc phân tích các dị thường trong gói tin (statictical analysis)

để đưa ra đầu ra (alert manager) quyết định

Cơ sở dữ liệu lưu trữ mẫu dấu hiệu tấn công (knowledgebase)

:Nơi chứa các phát hiện dị thường của packet, không được định nghĩa trước term storage)

(Long-Bộ phản hồi (Response manager): thực thi đáp ứng của bộ báo động (alert manager) như: ghi nhật ký, hiển thị lên giao diện

GUI: giao diện đồ họa tương tác

1.4 - Cảm biến (sensor)

Cảm biến là một thành phần chức năng của hệ thống phát hiện xâm nhập và phòng chống tấn công Chúng là điểm bắt đầu của hệ thống trên vì mọi dữ liệu đi vào hệ thống sẽ đi qua các cảm biến đầu tiên

1.4.1 - Chức năng của cảm biến

Cảm biến là thành phần quan trọng của hệ thống phát hiện tấn công Tuy nhiên nó không quá phức tạp, chúng được thiết kế chỉ để giành được dữ liệu và chuyển dữ liệu đó đi Có hai kiểu cảm biến là : dựa trên mạng (network-based) và dựa trên máy tính (host-based)

1.4.2 - Cảm biến dựa trên mạng

Cảm biến dựa trên mạng có thể là chương trình hoặc thiết bị vật lý có khả năng bắt dữ liệu lưu thông qua local Ethernet hoặc Tokenring hoặc điểm rẽ nhánh của mạng (switch) Ưu điểm lớn nhất của cảm biến này là không phụ thuộc vào số lượng máy tính trong một mạng.Trong môi trường tốt, một cảm biến có thể đuợc sử dụng để điều khiển toàn bộ giao thông đến và ra khỏi mạng Nếu mạng lớn có hàng nghìn máy tính, cảm biến vẫn có thể thu thập đuợc thông tin về dữ liệu lưu thông

1.4.3 - Cảm biến dựa trên máy tính

Giống như cảm biến dựa trên máy tính, cảm biến dựa trên mạng có khả năng bắt dữ liệu trên giao tiếp mạng rồi gửi chúng tới nơi khác Sản phẩm của cảm biến dựa trên máy tính thường là ghi dữ liệu ra nhật ký rồi gửi tới các chương trình phân tích được đặt trên cùng một máy tính

Hình 3: Tầm quan trọng của vị trí đặt cảm biến

Đặt cảm biến tại điểm B sẽ quan sát được dữ liệu lưu thông giữa DMZ và Internet nhưng không thấy được giao thông giữa Internet và mạng cục bộ

Đặt cảm biến tại điểm C sẽ cho phép nhìn tất cả dữ liệu lưu thông giữa hệ thống mạng và Internet nhưng lại không thể quan sát giao thông giữa mạng cục bộ

và DMZ

Việc quyết định đặt cảm biến ở đâu cho hợp lý nhất là tuỳ thuộc vào hệ thống mạng triển khai IDS Không thể hy vọng để NIDS có thể bắt được tất cả các

dữ liệu lưu thông trên mạng Nên cần có những giải pháp tối ưu nhất

Giải pháp cho vấn đề là đặt cảm biến giữa hệ thống mà quy định các dịch vụ tới Internet (ở đây là DMZ) Những hệ thống này thường có nguy cơ bị tấn công cao hơn là trên mạng nội bộ Chúng cũng có thể quy định những dịch vụ tới khách hàng hay những đối tác thương mại của bạn Những hệ thống quy định các dịch vụ tới Public Internet trong mạng riêng rẽ để giới hạn truy nhập trực tiếp tới mạng nội

bộ là rất quan trọng Điều này cũng dễ quan sát giao thông trên mạng hơn

1.4.5 - Các lưu thông mạng đã được mã hóa

15

Giả sử dữ liệu được mã hoá tới WebServer để xử lý thanh toán tiền trên trang Web thương mại Dữ liệu này được mã hoá bằng SSL nên các cảm biến bình thường (như Snort) sẽ không thể xử lý chính xác được Ví dụ minh hoạ

Hình 4: IDS không thể theo dõi các lưu thông được mã hóa

Giải pháp đặt ra là sử dụng một Proxy SSL để quy định giải mã SSL rồi gửi tiếp đến Webserver, tất nhiên Proxy này sẽ đặt sau FireWall Khi đó cảm biến sẽ đặt giữa Proxy và Webserver

Hình 5: IDS có khả năng theo dõi giao dịch Web

1.5 - Mô hình phân tích trong hệ thống IDS

IDS phải có chức năng phân tích thông tin Nó là rất quan trọng để hiểu tiến trình phân tích thông tin : phân tích cái gì, kiểu phân tích, ưu và nhược điểm của các mô hình phân tích khác nhau

1.5.1 - Phân tích là gì ?

Phân tích là tổ chức, cấu tạo các phần dữ liệu và các quan hệ giữa chúng để

nhận dạng bất cứ một hành động bất hợp pháp Phân tích thời gian thực (Real-time

analysis) là một phân tích được thực hiện với dữ liệu đi qua hệ thống hoặc máy tính

trong thời gian thực, có thể hiểu là việc phân tích là gần như ngay lập tức khi nhận được dữ liệu

Mục đích chính của việc phân tích là tăng tính bảo mật của hệ thống bảo mật thông tin Mục đích này có thể đi xa hơn bao gồm :

 Tạo các bản ghi về các hành động tiếp theo có liên quan

 Xác định chỗ sai trong mạng bằng việc đi tìm các hành động đặc trưng

đề là ở chỗ làm thế nào để phân biệt được giữa những hành động bất hợp pháp với những hành động bình thường Có những ý kiến cho rằng rất khó phân biệt ranh giới giữa hai hành động, và có cả những ý kiến cho rằng sự phân biệt là rất dễ dàng

Có thể nói việc phân tích trong hệ thống IDS phải đảm bảo sự khác biệt giữa hai hành động trên là nhỏ nhất

Hình 6: Mối quan hệ giữa những hành động mạng bất thường và bình thường

- Baseline activity: hành động bình thường

- Anomalous activity: hành động bất thường

1.5.2 - Các bước tiên hành phân tích

Việc phân loại (classifications) phụ thuộc vào từng mô hình phân tích based detection hoặc anomaly detection) Với mô hình dựa trên luật thì việc phân loại sẽ dựa trên việc miêu tả mẫu để dễ dàng so sánh với các luật Trong khi mô hình phân tích những thông tin dị thường thì sẽ phân loại thông tin dựa trên một số thuật toán

(rule-Sau khi hoàn thành tiến trình phân loại dữ liệu Dữ liệu sẽ được kết nối và đặt vào phiên bản được định nghĩa hoặc khuôn mẫu của một vài đối tượng bằng cách gán giá trị cho các biến Những khuôn mẫu này nằm trong kho các mẫu dữ liệu tấn công (knowledge base) được coi là nhân của kỹ thuật phân tích :

 Phát hiện sự thay đổi của hệ thống file nhật ký

 Phát hiện sự leo thang đặc quyền không hợp pháp

 Phát hiện việc mở các cửa sau

 Những cố gắng cấp quyền của cơ sở dữ liệu

 …

Khi tiền xử lý hoàn thành công việc, việc phân tích bắt đầu Dữ liệu được so

sánh với kho dữ liệu các mẫu tấn công (knowledge base), và ghi ra nhật ký như một cảnh báo có xâm nhập hoặc bỏ qua nếu không có gì bất thường

Bước tiếp theo là Trả lời, nó chỉ có thể đưa ra cảnh báo

Giai đoạn cuối cùng là hoàn chỉnh (refinement) Nó giúp tối ưu hóa IDS, tránh được các cảnh báo sai lầm, tăng cường khả năng bảo mật Có thể lấy ví dụ về một công cụ Cisco Threat Response (CTR), nó giúp cho việc đảm bảo một cảnh báo được đưa ra là chính xác bằng cách kiểm tra xuất xứ của một hành động tấn công

1.5.3 - Mô hình phân tích dựa trên luật (Rule-Based Detection)

Đây là kỹ thuật sơ khai của hệ thống phát hiện xâm nhập Nó dựa trên các mẫu có sẵn, các dấu hiệu tấn công có sẵn

Dưới đây là bốn bước của tiến trình phân tích áp dụng cho mô hình phân tích dựa trên luật:

 Tiền xử l ý (Preprocessing): Bộ tiền xử lý sẽ tập hợp dữ liệu về xâm nhập,

lỗi, tấn công và đặt chúng vào một mô hình phân loại hoặc miêu tả mẫu Việc phân loại được xây dựng theo một định dạng chung

o Signature Name: Tên của dấu hiệu

o Signature ID: ID duy nhất cho dấu hiệu

o Signature Description: Miêu tả dấu hiệu

o Possible False Positive Description: Miêu tả những sai xót về cảnh báo

có thể xảy ra

o Related Vulnerability Information: Thông tin về lỗi xảy ra

o User Notes: Thông tin thêm vào tùy từng tổ chức

Miêu tả mẫu có thể dựa trên nội dung, như là phần đầu (header) hay dữ liệu của gói tin, hoặc dựa trên ngữ cảnh, ví dụ như việc chỉ kiểm tra phần đầu (header) thì mẫu sẽ chỉ gồm phần đầu (header) Chú ý là việc miêu tả mẫu sẽ có thể hoặc miêu tả đơn hoặc miêu tả kết hợp Miêu tả đơn nghĩa là sẽ cảnh báo theo từng gói tin một trong khi miêu tả kết hợp là miêu tả một lúc nhiều gói tin để đồng thời đưa ra cảnh báo

19

 Phân tích (Analysis): Dữ liệu được định dạng và so sánh với kho dữ liệu các

mẫu tấn công (knowledge base) bằng cách sử dụng kỹ thuật phân tích so khớp mẫu (pattern-matching)

 Phản hồi (Response): Nếu một dữ liệu khớp với dấu hiệu tấn công thì hệ

thống sẽ đưa ra cảnh báo với IDS

 Hoàn chỉnh (Refinement): Bước này trong mô hình này thực chất là việc cập

nhật các luật mới về các kiểu tấn công mới

Ngoài ra còn có những kỹ thuật phân tích giúp có thể đoán nhận được những hành động bất hợp pháp Bất kể những hành động đó có trong luật hay không Tuy nhiên đây là kỹ thuật khó

1.6 - Ví dụ về một vài luật của IDS

Dưới đây chúng ta sẽ mô tả về một mẫu và mô hình phân tích của một số kiểu tấn công Định dạng phân tích này là của công cụ IDS mã nguồn mở là Snort

 Đầu tiên là luật của một cuộc tấn công NetBus back door

alert tcp $HOME_NET 12345:12346 -> $EXTERNAL_NET any

(msg:"BACKDOOR netbus active"; flow:from_server,established;

content:"NetBus";

reference:arachnids,401; classtype:misc-activity; sid:109; rev:4;)

Luật này sẽ kiểm tra các gói tin tcp đi ra từ mạng cục bộ (HOME_NET) qua cổng 12345–12346 Nếu có dấu hiệu này, Snort sẽ cảnh báo bằng một thông điệp là

“BACKD R netbus active" cùng một loạt các thông tin chứng minh về một cuộc tấn công

 Còn đây là luật phát hiện tấn công DNS zone transfer request

alert udp $EXTERNAL_NET any -> $HOME_NET 53 (msg:"DNS zone transfer UDP"; content: "|00 00 FC|"; offset:14; reference:cve,CAN-1999-0532;

reference:arachnids,212; classtype:attempted-recon; sid:1948; rev:1;)

Đây là là một cuộc tấn công từ bên ngoài vảo bằng gói tin udp qua cổng 53 Nếu khớp với dấu hiệu, snort sẽ cảnh báo bằng thông điệp “DNS zone transfer UDP”

1.7 - Đánh giá ưu nhược điểm của hệ thống phát hiện xâm nhập mạng

Ưu điểm:

 Dò tìm các cuộc tấn công từ trong và ngoài hệ thống mạng

 Dễ dàng trong việc quy định mức độ bảo vệ cho toàn hệ thống mạng

 Kiểm soát và điều khiển được mức độ của các cuộc tấn công

 Quy định phòng thủ theo chiều sâu

 Đưa ra cho nhà quản trị khả năng và số lượng của các cuộc tấn công

 Quy định bảo vệ thêm với các tầng ứng dụng

Hạn chế:

 Có thể tạo ra những cảnh báo sai lầm

 Phản ứng với các cuộc tấn công hơn là ngăn chặn nó

 Quy định điều khiển toàn bộ thời gian

 Phụ thuộc vào tiến trình trả về hết sức phức tạp

 Khó có thể điều khiển được với các giao thông mạng tốc độ cao

 Tạo ra số lượng khổng lồ các dữ liệu cần phân tích, nên khó đoán nhận đâu

là đúng

 Dễ bị mắc bẫy với các cuộc tấn công chậm hoặc rất chậm

 Không thể làm việc với các gói tin bị mã hóa

 Khá đắt tiền

1.8 - Giới thiệu chung về lừa đảo trên mạng (phishing)

Phishing là một thuật ngữ mô tả hình thức tấn công người dùng trên mạng, thông qua gửi một email hay một thông báo lừa đảo ở dạng nào đó Bằng việc

Chúng ta sẽ nói qua những phương thức mà giới phisher hiện tại đang dùng Tiếp đến, chúng ta sẽ xem những cách nào giúp chống lại âm mưu của phisher

Những kiến thức ở đây không nhằm mục đích hướng dẫn thực hiện phishing

và cũng không thể giúp người đọc trở thành phisher hoàn hảo Nó không nói cho phisher biết phải làm gì, mà chủ yếu hướng vào phân tích phishing là như thế nào,

từ đó giúp người đọc có khái niệm cần thiết cũng như hiểu được các phương pháp phòng chống

1.9 - Phân tích các tấn công kiểu phishing

Những biện pháp kỹ thuật chỉ giúp lấy thông tin hoặc che dấu vết, quan trọng

là phải thuyết phục được nạn nhân chìa ra thông tin

Để hiểu rõ về phishing, trước hết ta hãy xem xét một tình huống cụ thể và xem xét xem mục tiêu của các cuộc tấn công phishing là gì

1.9.1 - Ví dụ về phishing

Một ngày nào đó, bạn nhận được email thông báo bạn có thiệp điện tử từ một người bạn thân Hình dưới cho thấy email hoàn toàn chứa các thông tin hợp lệ và quả đúng là một email chứa thiệp điện tử Cho dù bạn có nhận thiệp điện tử của Hallmark đến hàng trăm lần thì bạn vẫn không thể nghi ngờ gì được email này Hơn nữa, việc ”nhận thiệp điện tử” dường như không có vẻ gì là nguy hiểm, đơn giản là bấm vào liên kết, nếu không phải thiệp điện tử thì dừng lại

Hoàn toàn yên tâm sau khi nhìn kỹ email (thậm chí nhiều người không quan tâm đến việc này), bạn nhấn vào đường dẫn đến thiệp điện tử Nhưng có một

chuyện xảy ra, yahoo không đưa bạn đến cái thiệp điện tử đó, thay vào đó là một thông báo ”session expired” như trong hình dưới Thông báo đó có nghĩa là phiên làm việc hiện tại với yahoo của bạn đã không còn tác dụng Điều này hoàn toàn dễ hiểu và có đến hàng tá lý do khiến nó xảy ra Thậm chí bạn có thể tự trách mình là

cứ cẩn thận xem xét email quá lâu khiến phiên làm việc bị hết hạn Tuy nhiên, đó không phải là vấn đề lớn, bạn thấy mình hoàn toàn có thể đăng nhập lại

Yên tâm rằng chuyện này là chuyện thường và đã xảy ra nhiều lần, bạn nhấn vào ”Relogin to Yahoo Mail” Như mọi khi, bạn nhìn thấy trang đăng nhập Với tính cẩn thận, bạn lướt qua một lượt không thấy vấn đề gì và sau đó gõ username cùng mật khẩu Kết quả là bạn lại vào được hòm thư Yahoo của mình

23

Hình 7: Email thông báo có ecard

Từ một địa chỉ email hòan tòan chính xác của một người bạn

Nội dung email hòan tòan đúng với email thật từ Hallmark

Link hiện ra hòan tòan đúng với link của Hallmark

Hình 8: Thông báo session expired của Yahoo

25

Hình 9: Trang login lại vào yahoo

Đến đây, bạn có thể vào xem lại cái thiệp điện tử hoặc bỏ qua nó Nếu bạn vẫn muốn xem, có điều lạ là lần nào bạn nhấn vào cái đường dẫn thiệp điện tử đó, chuyện cũng xảy ra tương tự Nhưng nếu bạn không nhanh chóng đổi mật khẩu, sau

đó một thời gian bạn sẽ thấy một chuyện còn lạ hơn Đó là bạn không thể vào lại hòm thư của mình được nữa, mật khẩu đã bị đổi Vậy bạn đã sơ suất lúc nào và tại sao tin tặc lại có được mật khẩu? Bạn chỉ đăng nhập với yahoo thôi cơ mà? Hay yahoo đổi của bạn?

Để lấy cắp mật khẩu của ai đó, tin tặc có hàng chục cách khác nhau Nhưng trong trường hợp này, sự thật là bạn đã bị tấn công theo kiểu Phishing Chúng ta sẽ tìm hiểu kỹ hơn xem câu chuyện xảy ra thế nào ngay sau đây

Thứ nhất, tin tặc đã lợi dụng điểm yếu của giao thức gửi email SMTP để tạo

ra địa chỉ email giả

Thứ hai, tin tặc đã giấu đi liên kết thật trong email giả Bạn nhìn và thấy đó

là đường dẫn đến trang của Hallmark, nhưng đó chỉ là phần hiện ra cho bạn thấy Còn đường dẫn thật thì lại dẫn đến trang của tin tặc

Thứ ba, đường dẫn đến trang của tin tặc lại khá giống yahoo Bạn so sánh kỹ hai đường dẫn và nhận ra là, chúng chỉ khác nhau chữ “v” và “y” trong từ yahoo

Kết luận là, bạn đã gõ tên sử dụng và mật khẩu vào trang của tin tặc, không phải trang của yahoo Sau đó, trang của tin tặc đưa bạn trở lại trang của yahoo Và tất nhiên là bạn lại vào được hòm thư của mình, vì session ID của bạn vẫn còn nguyên giá trị, không hề hết hạn như thông báo giả

Vậy, chúng ta có thể đặt câu hỏi :”Có phải sự thực tin tặc lấy mật khẩu như trở bàn tay thế không?” Câu trả lời là “Có” và “Không” Kịch bản lấy cắp mật khẩu như trên đã từng xảy ra và hiện tại vẫn có thể xảy ra với một số trang web có

an ninh thấp Nhưng nó đã không còn dễ dàng như trước bởi các biện pháp an ninh mới đã ra đời, ví dụ như các bộ lọc thư rác, thư lừa đảo, các trình duyệt thông minh,v.v Đồng nghĩa với các biện pháp bảo mật, thì tin tặc cũng nghĩ ra vô vàn phương thức phishing mới Cuộc chiến phishing và chống dường như sẽ là một cuộc chiến chưa có thể thấy điểm dừng Sau đây chúng ta sẽ phân những kỹ thuật phishing hiện đại mà tin tặc đang sử dụng

1.9.2 - Mục tiêu của kẻ lừa đảo (phisher)

Khởi đầu với việc chỉ tìm cách lấy tên tài khoản và mật khẩu của người, để

có thể “làm gì đó” với tài khoản sử dụng của người đó, giờ phisher đã hướng tới nhắm tới những mục đích cao hơn như tiền và những lợi ích từ tài khỏan ăn cắp Những mục đích mà phisher nhắm tới gồm:

 Ăn cắp tên tài khoản và mật khẩu của tài khoản của một hệ thống trực tuyến nào đó: Các hệ thống thu hút phisher là những hệ thống mua bán trực tuyến như eBay, Paypal Các tài khoản ăn cắp giúp phisher có thể mua những thứ mình muốn mà không phải trả tiền

 Ăn cắp tên tài khoản và mật khẩu của tài khỏan internet banking: Điều này giúp phisher có thể chuyển tiền sang tài khỏan khác bất hợp pháp

 Ăn cắp các thông tin tối mật: Các thông tin tối mật có giá trị hơn các thông tin cá nhân thông thường Thường thì phisher nhắm cụ thể vào một tổ chức

và có mục đích tìm được một thông tin nào đó Kiểu tấn công đặc trưng này được gọi là spear phishing

 Rải các nút cho tấn công từ chối dịch vụ: Máy của nạn nhân sau khi bị lừa sẽ ngầm biến thành một nút trong một mạng phân tán để tấn công từ chối dịch

vụ

 Tạo nút trung gian cho một cuộc tấn công: Máy của nạn nhân bị lừa sẽ bị biến thành một bàn đạp cho một cuộc tấn công khác Cuộc tấn công đó có thể hướng vào mục tiêu thực, do đó tạo khó khăn cho công việc lần vết sau này Cuộc tấn công đó cũng có thể là vào mạng của công ty nạn nhân

1.10 - Phân tích về vỏ lừa đảo

Tấn công kiểu phishing mang đậm chất nghệ thuật lừa đảo được hỗ trợ bởi các phương thức kỹ thuật Do vậy nói đến phishing là phải nhắc đến khả năng “giả vờ” của tin tặc Kỹ thuật “giả vờ” của tin tặc được gọi chung là “Social Engineering”

Kỹ thuật này hiện được áp dụng khá nhiều và luôn là đề tài nóng trong lĩnh vực bảo mật Thậm chí người ta phải nghiên cứu cả nó trong các trường đại học như là một phần của lĩnh vực bảo mật, lĩnh vực mà lẽ ra chỉ liên quan đến công nghệ Điều thú

vị là ở chỗ, thứ nhất, kỹ thuật này được coi là kỹ thuật hiệu quả nhất trong các kỹ thuật hacking Thứ hai, do tính chất “nghệ thuật” của nó, tin tặc có thể không cần phải học (Tuy nhiên, sang phần sau chúng ta sẽ thấy nếu có thêm hiểu biết về công nghệ thì sức mạnh của tin tặc tăng lên rất nhiều Điều này giống như việc một người rất giỏi lừa nhưng để tiếp cận được đối tượng anh ta còn phải hiểu được cách

để vượt qua những vệ sĩ của người đó) Chúng ta sẽ xét xem mục tiêu của tin tặc khi áp dụng phishing để làm gì và chúng lừa về cái gì Hiểu được chúng muốn gì và

sẽ làm gì (tuy rằng chưa biết sẽ làm thế nào) giúp chúng ta có cái nhìn rõ hơn về loại tin tặc này

1.11 - Các phương thức đưa thông báo tới nạn nhân

1.11.1 - Bằng email và spam

Đây là hình thức phishing phổ biến nhất Kẻ lừa đảo sử dụng các công cụ spam, gửi email đến hàng triệu các địa chỉ email Hiện nay người dùng Internet đã quá quen thuộc với những thư rác lừa đảo kiểu này và phần lớn email kiểu này không lọt qua được bộ lọc thư rác (spam filter) Tuy nhiên, hy vọng ở phisher nằm

ở chỗ, trong một triệu email, sẽ có lọt lưới một lượng nhỏ nào đó, khoảng 100 hòm thư chẳng hạn Trong 100 hòm thư đó, chỉ cần một con cá cắn câu

Các kỹ thuật sau được sử dụng liên quan đến phishing bằng email

 Email trông nghiêm chỉnh, tạo ấn tượng và hoàn toàn giống như email chính thức từ một đơn vị nào đó

 Email dạng HTML nhằm đánh lạc hướng và che dấu thông tin URL

 Đính kèm những tệp tin độc hại vào email

 Các kỹ thuật vượt qua bộ lọc

o Đặt các câu chữ vô nghĩa vào cuối thư Người dùng có thể không để ý đến, nhưng nó khiến các bộ lọc không thể phán đoán nổi rốt cuộc nó là cái gì

o Chủ động tạo những lỗi ngữ pháp nho nhỏ, hoặc chèn các dấu – vào chữ

o Tạo phần đầu (header) giả chứng thực cho việc đã vượt qua một lưới lọc thư rác nào đó

 Lợi dụng các diễn đàn để gửi email đến thành viên

 Giả địa chỉ email người gửi bằng cách viết vào trường Mail From trong giao thức SMTP bất cứ email nào mà phisher muốn

29

 Trong nội dung email, sử dụng các font chữ khác nhau Mục tiêu là người đọc vẫn hiểu và cảm thấy hợp lý, nhưng bộ lọc thư rác thì không hiểu được

Ví dụ: sử dụng biểu tượng Cyrillic “o” thay cho chữ cái “o”

 Sử dụng ngôn ngữ phù hợp với những đối tượng các nước khác nhau Tất nhiên một người Việt đọc một email tiếng Việt bao giờ cũng hiểu dễ hơn

 Đưa ra số credit card: Thực ra phisher chỉ đưa ra những số đầu của credit card, mà những số này thì nhiều credit card giống nhau, tùy thuộc vào ngân hàng phát hành nó Tuy nhiên người dùng có thể không biết điều đó và nó tạo được lòng tin

1.11.2 - Bằng trang Web

Lừa đảo thông qua các trang Web cũng là một cách phổ biến và tương đối hiệu quả Khi việc gửi thư rác đã quá cũ và nhan nhản hàng ngày, người dùng có xu hướng tin tưởng vào các website hơn, vì có cảm giác nó ”chính thức” hơn các email gửi vào hòm thư của mình Các trang web lừa đảo có thể được dẫn từ một trang web nằm trong sự điều khiển của phisher, hoặc thậm chí từ một trang trung gian hoàn toàn không có mục tiêu lừa đảo

Các kỹ thuật liên quan gồm:

 Đặt các đường liên kết dẫn đến trang lừa đảo trên các trang web phổ biến, các diễn đàn

 Mua dịch vụ quảng cáo của các trang phổ biến, rồi đặt các banner quảng cáo câu kéo, dẫn đến trang lừa đảo

 Sử dụng các kỹ thuật lập trình Web, giấu đi các đối tượng lập trình, nhằm theo dõi các nạn nhân tiềm năng

 Sử dụng các cửa sổ phụ không có khung, nhằm giấu đi nguồn gốc của thông báo

 Sử dụng khả năng lập trình, tạo ra các đoạn mã hiểm độc nhằm lợi dụng các

lỗ hổng bảo mật của trình duyệt web

 Lợi dụng các thiết lập bảo mật lỏng lẻo trong trình duyệt của nạn nhân

 Lợi dụng lỗi bảo mật trong những trang web lương thiện, nhằm triển khai tấn công cross-site-script

Hình 10: Một hình quảng cáo hoàn toàn như thật này có thể đánh lừa

1.11.3 - Bằng IRC và dịch vụ nhắn tin tức thời (Instant messaging)

Do IRC chat và dịch vụ gửi tin nhắn tức thời (instant messaging) đang trở nên ngày càng phổ biến Phần lớn người dùng có xu hướng sử dụng dịch vụ nhắn tin tức thời cho những tin nhắn đơn giản thay cho email vì tính tiện dụng và nhanh gọn của nó

Do sự phổ biến của dịch vụ gửi tin nhắn tức thời, nhiều nhà dịch vụ tích hợp nhiều thứ trong phần mềm, ví như gửi link, gửi tệp tin, nhạc, vân vân Do vậy, các

kỹ thuật của phishing có thể được sử dụng trong dịch vụ gửi tin nhắn này

Các phisher có thể sử dụng các công cụ, cho phép tự động tạo hàng loạt các

ID chat, sau đó sử dụng chúng như các phần mềm tự động để gửi tin nhắn tới người dùng

1.11.4 - Bằng các máy đã bị cài Trojan

Hiểu rằng các nhà quản trị mạng có thể lần ra dấu vết khởi nguồn cho các vụ tấn công, các phisher cao tay và giàu kinh nghiệm đều sử dụng cách “mượn tay kẻ khác” Do vậy, phisher tung ra các chú ngựa thành Tơ roa (Trojan horse) để âm thầm xâm nhập vào các máy tính khác Sau đó, các máy bị nhiễm này sẽ được sử dụng làm nguồn cho các vụ lừa đảo Nhờ việc “mượn đao giết người” này, mà công việc lần tìm dấu vết trở nên khó khăn gấp bội

Điều đáng chú ý là Trojan ngày càng trở nên tinh vi và hoạt động khó lường, cho dù các phần mềm anti-virus cũng phát triển nhanh không kém Gần đây có loại Trojan khi xâm nhập vào máy nạn nhân, không những cố gắng qua mắt các phần mềm anti-virus, còn chủ động tiêu diệt các Trojan đồng loại, nhằm chiếm quyền kiểm soát toàn bộ

31

1.11.5 - Bằng VoIP

Kỹ thuật này được gọi là Vishing, xuất phát từ Voice và Phishing Việc sử dụng điện thoại để lừa đảo không còn là điều lạ lẫm gì Tuy nhiên việc các nhà cung cấp dịch vụ hoàn toàn có thể lần ra thậm chí vị trí nơi xuất phát cuộc gọi, khiến điện thoại cố định không còn là công cụ tốt cho phisher Sử dụng một số di động có thể là một thay thế, tuy nhiên ở một số nước người ta yêu cầu người dùng đăng ký khi mua SIM Ngoài ra, điện thoại di động không có được nhiều lợi điểm như VoIP

Lý do mà điện thoại được sử dụng và có khả năng thành công cao hơn (tất nhiên cũng tốn công sức hơn) là do:

 Thuyết phục bằng lời nói có hiệu quả hơn email hoặc tin nhắn

 Địa chỉ email có thể giả, hoặc cũ, hoặc một người có hàng tá email Đồng thời với các bộ lọc, thư rác có cơ hội thấp để được một người đọc, chưa kể đến việc họ có tin hay không Sử dụng điện thoại sẽ có cơ hội cao để tiếp cận nạn nhân hơn

 Điện thoại giúp phisher tiếp cận với những đối tượng ít tiếp xúc internet Ví dụ: người già

 Nếu khôn khéo cộng với gọi đúng thời điểm, tỷ lệ thành công sẽ cao

 Sử dụng điện thoại giúp phisher có thể tùy cơ ứng biến và có nhiều chiêu khác nhau cho từng đối tượng khác nhau

Lý do mà VoIP được ưa thích là chúng đem lại chức năng như điện thoại, nhưng:

 Chi phí rẻ hơn

 Có thể gọi xuyên quốc gia

 Che dấu vết tốt hơn

1.11.6 - Bằng spear phishing

Đây là một trường hợp đặc biệt của phishing, khi mà đối tượng được nhắm tới không phải là đại trà, ai cũng được Đối tượng của spear phishing là một cơ

quan, một tổ chức cụ thể Phisher tìm cách gửi thông báo tới thành viên bằng cách lọc lấy chúng từ danh sách chung, tìm trên các thông tin được công bố, tìm các địa chỉ mà email sẽ được forward đến một nhóm rộng hơn (ví dụ:

nhanvien@congtyA.com)

Điểm đặc biệt ở loại lừa đảo này là ở chỗ, khi gửi đến thành viên tổ chức, phisher sử dụng email giả của người quản lý, của một người có trách nhiệm hoặc của một thành viên Email sẽ đưa ra yêu cầu cung cấp các thông tin mật hoặc để nạn nhân mở các file đính kèm độc hại Loại tấn công này thường nhằm để giúp phisher thâm nhập vào hệ thống từ thông tin thu được

1.11.7 - Bằng whaling

Sở dĩ thuật ngữ whaling được sử dụng, vì từ phishing phát nguồn từ fish, và trong trường hợp này thì nó là “big fish” Chính vì thế, whaling là phishing được nhắm vào các đối tượng có trọng trách trong một đơn vị, hay những “con cá lớn” Các kỹ thuật áp dụng không có gì khác biệt, ngoại trừ việc phải cẩn trọng và tính toán kỹ hơn khi “câu cá lớn” mà thôi

Bằng việc đoạt được thông tin mật từ nhóm này, phisher có khả năng giành được quyền kiểm soát cao hơn đối với hệ thống của tổ chức liên quan, hoặc cũng kiếm được những món hời hơn

1.11.8 - Bằng đường bưu điện

Khả năng này không thể loại trừ, bởi nó cũng đem thông báo đến người dùng

và hoàn toàn có thể che hoặc giả gốc tích không một chút dấu vết Tuy nhiên do đặc trưng mất công sức, tốn kém và cũng không gửi ào ạt được, phương thức này chỉ được dùng khi nhắm vào một số đối tượng cụ thể và khi việc thông tin qua đường bưu điện đem lại lợi ích hơn Ví dụ, phisher có thể gửi một đĩa CD với danh nghĩa là tặng, nhằm để khách hàng đánh giá sản phẩm CD đó sẽ có đầy đủ chức năng như là một sản phẩm cần đánh giá thực sự, tuy nhiên nó lại ngầm chứa các chương trình gián điệp

33

1.12 - Các hỗ trợ kỹ thuật cho phishing

Về bản chất, phishing là lừa đảo, và nó cần sự “tinh quái” của phisher Tuy nhiên có những kỹ thuật mang tính công nghệ giúp đắc lực cho việc lừa đảo này Sau đây chúng ta sẽ điểm qua một số chiêu thức phổ biến trong giới phisher

1.12.1 - Kỹ thuật Man-in-the-middle

Có thể nói đây là một kỹ thuật kinh điển và phổ biến nhất trong giới tin tặc

Lý do là kẻ tấn công luôn có thể tiếp cận đến các kênh thông tin trao đổi giữa các bên, vấn đề là nó có được bọc kín thế nào hay không thôi Do vậy, trong mọi môi trường giao tiếp, đều tiềm ẩn một dạng tấn công là tin tặc đứng giữa hai người mà hai người đó không hề biết Trong các mô hình bảo mật, một điều kiện luôn đặt ra phải giả định tin tặc có thể tiếp cận được kênh thông tin

Trong dạng tấn công này, tin tặc đứng chặn giữa kênh liên lạc hai bên A và

B Sau đó giao tiếp với bên A như thể là bên B và ngược lại Cách tấn công này hiệu quả với giao thức HTTP, hay ngay cả HTTPS

Hình 11: Tấn công kiểu man-in-the-middle

Để đảm bảo được việc lái luồng thông tin của nạn nhân vào máy của mình (gọi là proxy) và lái luồng thông tin của một trang web thật cũng vào proxy, phisher có thể áp dụng các cách sau:

Proxy ẩn:

Có trường hợp, máy proxy này nằm cùng mạng với máy chủ thật hoặc đường dẫn đến máy chủ thật buộc phải đi qua proxy này Phishing có thể sử dụng ARP spoofing để bắt tất cả các gói tin đến và đi từ máy chủ thật

Đầu độc bộ đệm DNS:

Kỹ thuật này tạo ra các ánh xạ giả giữa tên miền và địa chỉ IP Nếu bộ định tuyến sử dụng đến ánh xạ giả này, các gói tin được gửi đến tên miền của máy chủ thật sẽ bị lái đến địa chỉ IP của máy proxy

Lừa URL:

Bằng những tiểu xảo nào đó, khiến nạn nhân nhận nhầm URL và chọn phải URL của proxy Tuy nhiên, do phisher thực hiện man-in-the-middle, nên sau đó máy proxy vẫn chuyển tiếp các thông tin đến máy chủ thật Do vậy, nạn nhân vẫn

sử dụng bình thường mà không hề hay biết thông tin của mình bị lấy mất

Đặt thông số proxy tại máy nạn nhân:

Bằng một cách nào đó, thông số proxy tại trình duyệt của máy nạn nhân bị thay đổi, nó trỏ thẳng đến proxy của phisher

1.1.2 - Kỹ thuật URL giả

Nguyên tắc của kỹ thuật này là người dùng nhận được một liên kết mà không phát hiện ra nó là liên kết giả, bằng việc nó trông giống hệt như thật, hoặc che giấu

nó đi Sau đây là các chiêu thức phổ biến

Tên miền giả

Kỹ thuật này tạo ra các tên miền trông có vẻ như tương tự như tên miền hợp pháp Xét ví dụ của một ngân hàng hợp pháp với tên miền

http://privatebanking.mybank.com Phisher có thể đăng ký cho mình những tên miền sau nhằm qua mặt khách hàng

35

Dựa vào đăng nhập qua URL

Một số trình duyệt cho phép một số site được để thông tin đăng nhập ngay trên URL Định dạng sẽ như sau:

URL ://username:password@hostname/path

Các website ngân hàng có độ bảo mật cao, tất nhiên không cho phép điều này Tuy nhiên, do trình duyệt cho phép, phisher sẽ lợi dụng nó để khách hàng nhầm tưởng mình đang đăng nhập vào trang chính thức Ví dụ đường link sau bắt đầu với chữ mybank.com, nhưng nó lại dẫn đến site lừa đảo

http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm

Dựa vào dịch vụ làm ngắn đường link

Có một số công ty cung cấp dịch vụ làm ngắn đường liên kết Nguyên lý là

họ đưa ra các đường liên kết ngắn gọn, rồi các liên kết đó sẽ lái (redirect) đến đường liên kết thật rất dài Ý tưởng của dịch vụ này rất đem lại lợi ích cho người dùng Tuy nhiên, nó lại được phisher lợi dụng

Phisher sẽ đưa cho khách hàng một đường liên kết rất dài, gần như giống hệt như đường liên kết thật nhưng có để một lỗi nào đó khiến không thể vào được Bên cạnh đó, phisher sẽ đưa ra một đường liên kết rút gọn, từ một công ty cung cấp đường liên kết rút gọn hợp pháp Tuy nhiên, nơi mà đường liên kết rút gọn dẫn đến lại là trang lừa đảo

Viết ra URL ở định dạng khác

Khi trình duyệt nhận một URL ở dạng tên miền, thực chất nó phải chuyển về địa chỉ IP Phisher lợi dụng điều này, đưa ra các dạng địa chỉ không ở dạng tên miền, nhằm vượt qua các bộ lọc và làm cho người dùng không dễ dàng nhận ra đó

là trang lừa đảo Kỹ thuật này có thể kết hợp với cả các kỹ thuật trên, tạo sức mạnh tổng hợp

Ví dụ, đường liên kết sau:

http://mybank.com:ebanking@evilsite.com/phishing/fakepage.htm

có thể được chuyển thành dạng

http://mybank.com:ebanking@210.134.161.35/login.htm

Thậm chí, câu chuyện còn phức tạp hơn ở mức, trang sau đây:

 Hexadecimal – http://0xD2.0x86.0xA1.0x23/ or even http://0xD286A123/

 Trong một số trường hợp, liên kết có thể được trộn lẫn các dạng Ví dụ: http://0322.0x86.161.0043/

Pha trộn mã hóa

Kỹ thuật này lợi dụng các trình duyệt hay email cho phép sử dụng pha trộn các mã hóa khác nhau, nhằm hỗ trợ cho nhiều dạng ngôn ngữ khác nhau Tuy nhiên phisher lại lợi dụng điều này để khiến cho người dùng bằng mắt thường không thể nào phát hiện ra liên kết giả

1.12.3 - Kỹ thuật tấn công Cross-site-Scripting

Kỹ thuật này cho phép nhồi một nội dung lừa đảo vào ngay trong một trang web thật Kỹ thuật này hiện tại phổ biến trong giới tin tặc và lỗ hổng an ninh khi xây dựng trang web tạo điều kiện cho tin tặc thực thi kiểu tấn công này

Các kiểu lợi dụng thường thấy là như sau:

 Thay hẳn một liên kết con trong liên kết lớn như:

37

Hình 12 – Vỏ bọc thật – Nội dung giả

1.12.4 - Kỹ thuật đặt trước Session ID

Do các giao thức HTTP và HTTPS là các giao thức không lưu trạng thái, do vậy việc phân biệt liên lạc giữa một website và với máy của người dùng nào đó được thông qua session ID Lỗ hổng nằm ở chỗ, những trang web có độ bảo mật kém, có thể cho phép session ID được đặt ra bởi phía máy người dùng

Do vậy, khi phisher gửi liên kết đến một nạn nhân, trong liên kết đó đã chứa sẵn một session ID mà hắn biết Việc còn lại chỉ là hắn ngồi chờ đợi, cứ sau một khoảng thời gian ngắn lại sử dụng cái session ID đó để xem có vào được trang web thật kia không (bằng một chương trình tự động)

1.12.5 - Kỹ thuật ẩn

Nội dung lại lấy từ trang web lừa đảo

Bản chất của kỹ thuật này là sử dụng khả năng lập trình HTML, DHTML hoặc những ngôn ngữ kịch bản khác để che dấu những phần có thể làm người dùng phát hiện ra Cụ thể có những chiêu thức sau

Frame ẩn

Nguyên tắc của kỹ thuật này là trang web thực chất có 2 frame Frame thứ nhất trỏ đến trang web thật và chỉ có nó được hiện ra trên trình duyệt Frame thứ hai được ẩn đi và bí mật theo dõi người dùng

Ví dụ một đoạn mã như sau:

<frameset rows="100%,*" framespacing="0">

<frame name="real" src="http://mybank.com/" scrolling="auto">

<frame name="hiddenContent" src="http://evilsite.com/bad.htm"

1.12.6 - Kỹ thuật theo dõi thông tin nạn nhân

Đây là một kỹ thuật phổ biến trong giới tin tặc, giờ nó đã bắt đầu được các phisher sử dụng

Key log

Kỹ thuật này ghi lại tòan bộ các phím được bấm trên máy tính của nạn nhân Key logger có thể là một chương trình ngầm, theo dõi tất cả các chương trình chạy