Tiểu luận An toàn và bảo mật hệ thống thông tin Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET

Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng máy tính được liên kết với nhau.. đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web

Trang 1

KHOA TIN HỌC QUẢN LÝ 

AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN

Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET

Giảng viên hướng dẫn:

GV Trương Hoài Phan

Sinh viên thực hiện

Trang 2

NHẬN XÉT CỦA GIẢNG VIÊN

………

Trang 3

Mục Lục

A GIỚI THIỆU SƠ LƯỢC 4

B LOCAL AREA NETWORK 4

I SSL Strip 4

1 SSL Strip 4

2 Cách thực hiện 7

3 Nhận xét và cách phòng chóng 8

II Đánh Cắp Cookie, Cướp Session 8

1 ARP và việc đầu độc ARP 9

2 Cướp cookies và chiếm quyền điều khiển session 10

3 Kết luận và các biện pháp phòng chóng 18

III DNS Spoofing 18

1 DNS Spoofing 18

2 Các bước thực hiện 20

3 Kết luận và cách phòng chóng 21

IV Sniff Password Dùng Wireshark 22

1 Wireshark 22

3 Kết luận và biện pháp phòng chóng 25

C INTERNET NETWORK 25

I Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger 25

1 Keylogger 25

3 Kết luận – cách phòng chóng 30

II Dùng Web Lừa Đảo 30

2 Ngữ cảnh và mục đích đạt được 32

3 Nhận xét và cách phòng chóng 32

Trang 4

A GIỚI THIỆU SƠ LƯỢC

Mạng cục bộ(Local Area Network) dùng để kết nối các máy tính với nhau trong 1 khu vực

Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao như dây cáp Các LAN cũng có thể kết nối với nhau thành WAN LAN thường bao gồm một máy chủ (server , host) còn gọi là máy phúc vụ Máy chủ thường là máy có bộ xử lý (CPU) tốc độ cao, bộ nhớ (RAM) và đĩa cứng (HD) lớn

Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng

máy tính được liên kết với nhau Hệ thống này truyền thông tin theo kiểu nối chuyển gói dữ liệu

(packet switching) dựa trên một giao thức liên mạng đã được chuẩn hóa giao thức IP Hệ thống

này bao gồm hàng ngàn mạng máy tính nhỏ hơn của các doanh nghiệp, của các viện nghiên cứu

và các trường đại học, của nguười dùng cá nhân, và các chính phủ trên toàn cầu

Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế

TCP/IP Nó cũng là một kĩ thuật bảo mật, được phát triển nhằm giúp đỡ các nhà quản trị mạng khai thác và kiểm tra dữ liệu lưu thông trên mạng 1 cách hiệu quả

Có 2 loại sniffer đó là: active sniffer và passive sniffer

Quá trình sniffer:

- Bước 1: Tiến hành đầu độc ARP, sử dụng các tool như ettercap chạy trên linux và cain &

abel chạy trên windows

- Bước 2: Sau khi đầu độc ARP, máy hacker trở thành kẻ dứng giữa, sniff các gói tin được

trao đổi giữa máy nạn nhân và gateway Qua đó hacker có thể bắt các gói tin chứa thông tin quan trọng ví dụ các gói tin đăng nhập vào các website, email Với nhiều phương pháp, hacker có thể tiến hành sniff cookie, cướp sessison, thực hiện DNS spoofing để đưa nạn nhân vào địa chỉ giả mạo

B LOCAL AREA NETWORK

I SSL Strip

1 SSL Strip

SSL và HTTPS

Secure Socket Layers (SSL) hoặc Transport Layer Security (TLS) dưới sự thi

hành hiện đại hơn của nó, là các giao thức được thiết kế để cung cấp bảo mật cho truyền thông mạng bằng phương pháp mã hóa Giao thức này dễ được kết hợp với các giao thức khác nhất để cung cấp một thực thi an toàn cho dịch vụ mà giao thức cung cấp Các ví dụ dẫn chứng ở đây gồm có SMTPS, IMAPS và HTTPS Mục tiêu tối thượng là tạo các kênh an toàn trên các mạng không an toàn

Trong phần này, chúng tôi sẽ tập trung giới thiệu vào tấn công SSL trên HTTP, được biết đến như HTTPS, vì nó là trường hợp sử dụng phổ biến nhất của SSL Có thể không nhận ra nhưng hầu như chắc chắn bạn đang sử dụng HTTPS hàng ngày Các dịch vụ email phổ biến nhất và các ứng dụng ngân hàng trực tuyến

Trang 5

đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web của bạn và các máy chủ của họ được mã hóa an toàn Nếu không sử dụng công nghệ này thì bất cứ

ai với một bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được username, password và bất cứ thứ gì được ẩn khác

Quá trình được sử dụng bởi HTTPS để bảo đảm an toàn dữ liệu là xiết chặt các trung tâm có liên quan đến việc phân phối các chứng chỉ giữa máy chủ, máy khách và hãng thứ ba được tin cậy Lấy một ví dụ về trường hợp có một người dùng đang cố gắng kết nối đến một tài khoản email của Gmail Quá trình này sẽ gồm có một vài bước dễ nhận thấy, các bước này đã được đơn giản hóa trong hình

1 bên dưới

Hình 1: Quá trình truyền thông HTTPS Quá trình được phác thảo trong hình 1 không phải là một quá trình chi tiết, tuy nhiên về cơ bản nó sẽ làm việc như sau:

- Trình duyệt máy khách kết nối đến https://www.mail.google trên cổng 80 bằng cách sử dụng HTTP

- Máy chủ redirect phiên bản HTTPS máy khách của site này bằng cách sử dụng HTTP code 302

- Máy khách kết nối đến https://www.mail.google.com trên cổng 443

- Máy chủ sẽ cung cấp một chứng chỉ cho máy khách gồm có chữ ký số của

nó Chứng chỉ này được sử dụng để thẩm định sự nhận dạng của site

- Máy khách sử dụng chứng chỉ này và thẩm định chứng chỉ này với danh sách các nhà thẩm định chứng chỉ tin cậy của nó

- Truyền thông mã hóa sẽ xảy ra sau đó

Nếu quá trình hợp lệ hóa chứng chỉ thất bại thì điều đó có nghĩa rằng các website đã thất bại trong việc thẩm định sự nhận dạng của nó Tại điểm này,

Trang 6

Phá hủy HTTPS

Quá trình này được xem là an toàn cao cách đây một vài năm khi có một tấn công đã công bố rằng nó có thể chiếm quyền điều khiển thành công quá trình truyền thông Quá trình này không liên quan đến bản thân việc phá hủy (defeating) SSL, mà đúng hơn là phá hủy “cầu nối” giữa truyền thông không mã hóa và mã hóa

Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho rằng trong hầu hết các trường hợp, SSL chưa bao giờ bị trực tiếp tấn công Hầu hết thời gian một kết nối SSL được khởi tạo thông qua HTTPS nên nguyên nhân

có thể là do ai đó đã redirect một HTTPS thông qua một mã đáp trả HTTP 302 hoặc họ kích vào liên kết direct họ đến một site HTTPS, chẳng hạn như nút đăng nhập Ý tưởng ở đây là rằng nếu bạn tấn công một phiên giao dịch từ một kết nối không an toàn đến một kết nối an toàn, trong trường hợp này là từ HTTP vào HTTPS, bạn sẽ tấn công cầu nối và có thể “man-in-the-middle” kết nối SSL trước khi nó xuất hiện Để thực hiện hiệu quả điều này, Moxie đã tạo một công cụ SSLstrip, chúng ta sẽ sử dụng công cụ này dưới đây

Quá trình thực hiện khá đơn giản và gợi nhớ lại các tấn công mà chúng ta

đã nghiên cứu trong các phần trước của loạt bài Nó được phác thảo như trong hình 2 bên dưới

Hình 2: Chiếm quyền điều khiển truyền thông HTTPS Quá trình được phác thảo trong hình 2 làm việc như sau:

- Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn

- Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết HTTP và sẽ ánh xạ những thay đổi của nó

- Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo máy khách

- Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại cho máy khách

Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL

mà không hề biết về sự khác biệt này Chỉ có một sự khác biệt rõ rệt trong trải nghiệm người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt,

vì vậy một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường

Trang 7

2 Cách thực hiện

Bước 1: Tiến hành đầu độc ARP

Bước 2: Cấu hình để chuyển tiếp IP

Bước 3: Cấu hình IPTables để định tuyến đúng lưu lượng HTTP

Trang 8

Bước 4: Chạy SSL strip

Khi hoàn tất, bạn sẽ có thể chiếm quyền điều khiển bất cứ kết nối SSL nào đang được thiết lập Từ đây, bạn có thể khởi chạy tiện ích “đánh hơi” dữ liệu và thu thập mật khẩu, các thông tin nhận dạng cá nhân khác như số thẻ tín dụng, từ lưu lượng

3 Nhận xét và cách phòng chóng

Như được giới thiệu ở trên, việc chiếm quyền điều khiển SSL theo cách này

là hầu như không thể phát hiện từ phía trình chủ vì máy chủ cứ tưởng nó vẫn truyền thông bình thường với máy khách Nó không hề có ý tưởng rằng đang truyền thông với một client bởi proxy Việc nâng cấp trình duyệt cũng khá quan trọng Khuyến cáo nên sử dụng các trình duyệt khác Internet explorer

II Đánh Cắp Cookie, Cướp Session

Trang 9

1 ARP và việc đầu độc ARP

Đầu tiên để hiểu rõ hơn về quá trình đánh cắp cookies bằng BackTrack4, chúng ta cần tìm hiểu một chút về ARP và việc đầu độc ARP Vậy ARP là gì?

Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng Do vậy ta phải có một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau Từ đó ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP)

Vậy ARP hoạt động trong mạng Lan như thế nào? Hiểu rõ cơ chế hoạt động của Arp sẽ giúp chúng ta dễ dàng hiểu về việc thế nào là đầu độc ARP Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị nào đó mà nó đã biết địa chỉ

ở tầng network, nó sẽ gửi một ARP request bao gồm địa chỉ MAC của nó và địa chỉ IP của thiết bị mà nó cần biết địa chỉ MAC Mỗi một thiết bị nhận được request này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói tin (trong đó có chưa địa chỉ MAC của mình)

Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào Điều này

có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác

và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “độc” Khi các ARP reply “đôc” này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất nạn nhân lại đang truyền thông với một kẻ tấn công

Trang 10

2 Cướp cookies và chiếm quyền điều khiển session

Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt các tấn công khác nhau Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session

Khi trở thành kẻ đứng giữa (Man in the midle), hacker có thể bắt các gói tin lưu thông trên card mạng của nạn nhân, qua đó Hacker có thể phân tích và tìm được cookie, cướp session của nạn nhân, sử dụng tài khoản trực tuyến của nạn nhân mà không cần thông qua chứng thực username/password

Trên thực tế, không có thứ gì đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt Nguyên lý ẩn sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dung để thiết lập một session, khi đó hacker có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần

có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session

Để hiểu rõ về vấn đề cướp cookies và chiếm quyền điều khiển session, nhóm thiết lập một kịch bản nạn nhân đăng nhập vào facebook và hacker sẽ tiến hành cướp cookies của nạn nhân và dùng nó để vào facebook của nạn nhân mà không cần username và password

Trong kịch bản ví dụ mà đưa ra, nhóm sẽ thực hiện một tấn công chiếm quyền điều khiển session bằng cách chặn sự truyền thông của một người dùng đang đăng nhập vào tài khoản Facebook của anh ta Và lợi dụng sự truyền thông bị chặn này, nhóm sẽ đóng vai người dùng đó và truy cập vào tài khoản từ máy tính đang dùng để tấn công Để thực hiện vụ tấn công, nhóm sử dụng Back Track 4

Đầu tiên từ máy của nạn nhân, nạn nhân đăng nhập vào facebook

Trang giao diện Home của tài khoản nạn nhân

Trang 11

Các thông số Netword của máy nạn nhân

Bước 1: Máy tính dùng để tấn công khởi động Back Track 4, và vào phần Konsole

( ô vuông đỏ trong hình) để tiến hành việc đầu tiên là đầu độc ARP

Bước 2: Trong cửa sổ Konsole, gõ dòng lệnh ettercap –T –p –M arp

/192.168.1.100/ /192.168.1.1/ -i eth0 ( eth0 vì đang sử dụng mạng có dây) trong đó 192.168.1.100 là IP Adress của máy nạn nhân và 192.168.1.1 là Default Gateway của máy nạn nhân

Trang 12

Sau khi gõ dòng lệnh và nhấn enter, Back Track 4 sẽ thông báo đã đầu độc ARP thành công và các thông báo về việc nạn nhân đăng nhập facebook được hiển thị

Trang 13

Bước 3: Sau khi đầu độc ARP, nhóm tiến hành capture lưu lượng và phân tích các

gói dữ liệu này, vì ARP đã bị đầu độc nên các gói dữ liệu sẽ được bảo đảm capture đúng

Khởi động Wireshark trong BackTrack 4

Giao diện chính của Wirsshack hiện ra, nhóm chọn eth0 vì đang sử dụng mạng có dây

Trang 14

Sau khi chọn, Wireshark sẽ bắt đầu tiến hành capture các gói dữ liệu từ máy tính nạn nhân

Sau khi Wireshark capture xong, vì nhóm đang tiến hành đánh cắp cookies nên sẽ chỉ quan tâm tới những gói liên quan cookies của nạn nhân, nên nhóm sẽ lọc

ra những gói liên quan đến cookies của nạn nhân

Trang 15

Bước 4: Từ những gói đã được lọc ra, nhóm tìm kiếm gói thông tin nào có chứa

cookies liên quan tới việc nạn nhân đăng nhập Facebook để tiến hành đánh cắp nó

Sau khi đã tìm ra gói chứa cookies của nạn nhân, nhóm tiến hành đánh cắp cookies

Trang 16

Bước 5: Từ những thông tin về cookies của nạn nhân mà nhóm cướp được, nhóm

tạo cookie c_user và xs cho trình duyệt, để làm việc này, nhóm dùng trình duyệt

Firefox và Add On Cookies Manager+

Trang 17

Trong giao diện để Add Cookies, nhóm tiến hành add hai cookie c_user và xs

Bước 6: Hoàn tất, nhóm đã tiến hành cướp cookies xong, cuối cùng nhóm mở trình

duyệt lên và gõ vào thanh địa chỉ facebook.com, trình duyệt sẽ đưa tới facebook

của nạn nhân

Trang 18

3 Kết luận và các biện pháp phòng chóng

Bằng phương pháp đánh cắp cookie, hacker có thể thâm nhập vào tài khoản của nạn nhân, giả mạo nạn nhân để phục vụ cho ý đồ của mình, chủ yếu là lừa đảo Tuy nhiên không thể chiếm được tài khoản của victim vì không biết password Chỉ cần user chủ động out ra, ngay lập tức cookie bị xóa => hacker dù bắt được nhưng không thể sự dụng vì cookie này đã hết hiệu lực

Ngoài ra có một số biện pháp phòng tránh những yếu tố nguy cơ:

Truy cập tại nhà: Cơ hội để ai đó có thể chặn lưu lượng của bạn trên mạng

gia đình ít hơn nhiều so với mạng ở nơi làm việc Điều này không phải vì máy tính

ở nhà của bạn thường an toàn hơn, mà vấn đề là bạn chỉ có một hoặc hai máy tính tại nhà Trên mạng LAN ở nơi khác (ví dụ nơi bạn làm việc), bạn không biết những

gì đang diễn ra bên dưới tiền sảnh hoặc trong văn phòng chi nhánh cách đó 200 dặm, vì vậy nguồn tấn công tiềm ẩn là rất nhiều Cần biết rằng một trong những mục tiêu lớn nhất của tấn công chiếm quyền điều khiển session là tài khoản ngân hàng trực tuyến, tuy nhiên ngoài ra nó còn được áp dụng cho mọi thứ

Cần có sự hiểu biết về tấn công: Những kẻ tấn công tinh vi, kể cả đến các

hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại dấu vết đã tấn công bạn Việc biết thời điểm nào bạn bị đăng nhập vào các dịch vụ dựa trên session có thể giúp bạn xác định được rằng liệu có ai đó đang rình rập mình hay không Do đó nhiệm vụ của bạn là cần phải canh chừng mọi thứ, quan tâm đến thời gian đăng nhập gần nhất để bảo đảm mọi thứ vẫn diễn ra tốt đẹp

Bảo mật tốt cho các máy tính bên trong: Các tấn công này thường được

thực thi từ bên trong mạng Do đó nếu các thiết bị mạng của bạn an toàn thì cơ hội cho kẻ tấn công thỏa hiệp được các host bên trong mạng của bạn sẽ ít đi, và từ đó giảm được nguy cơ tấn công chiếm quyền điều khiển session

III DNS Spoofing

1 DNS Spoofing

Định dạng
Số trang	34
Dung lượng	3,48 MB