An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 1 KHOA TIN HỌC QUẢN LÝ  AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET Giảng viên hướng dẫn: GV. Trương Hoài Phan Sinh viên thực hiện 1. Nguyễn Mạnh Lâm_K094061155 2. Lê Thị Kiều Oanh_K094061173 3. Lê Thị Thu_K094061188 4. Nguyễn Thị Thúy_K094061190 5. Đỗ Thị Thanh Trang_K094061202 TP Hồ Chí Minh - 2012 1.1.1.1.1.1.1.1 K09406 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 2 NHẬN XÉT CỦA GIẢNG VIÊN ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 3 Mục Lục A. GIỚI THIỆU SƠ LƯỢC 4 B. LOCAL AREA NETWORK 4 I. SSL Strip 4 1. SSL Strip 4 2. Cách thực hiện 7 3. Nhận xét và cách phòng chóng 8 II. Đánh Cắp Cookie, Cướp Session 8 1. ARP và việc đầu độc ARP 9 2. Cướp cookies và chiếm quyền điều khiển session 10 3. Kết luận và các biện pháp phòng chóng 18 III. DNS Spoofing 18 1. DNS Spoofing 18 2. Các bước thực hiện 20 3. Kết luận và cách phòng chóng 21 IV. Sniff Password Dùng Wireshark 22 1. Wireshark 22 2. Cách thực hiện 22 3. Kết luận và biện pháp phòng chóng 25 C. INTERNET NETWORK 25 I. Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger 25 1. Keylogger 25 2. Cách thực hiện 26 3. Kết luận – cách phòng chóng 30 II. Dùng Web Lừa Đảo 30 1. Cách thực hiện 30 2. Ngữ cảnh và mục đích đạt được 32 3. Nhận xét và cách phòng chóng 32 D. DANH SÁCH NHÓM – PHÂN CÔNG VIỆC 32 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 4 A. GIỚI THIỆU SƠ LƯỢC Mạng cục bộ(Local Area Network) dùng để kết nối các máy tính với nhau trong 1 khu vực. Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao như dây cáp. Các LAN cũng có thể kết nối với nhau thành WAN. LAN thường bao gồm một máy chủ (server , host) còn gọi là máy phúc vụ. Máy chủ thường là máy có bộ xử lý (CPU) tốc độ cao, bộ nhớ (RAM) và đĩa cứng (HD) lớn. Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng máy tính được liên kết với nhau. Hệ thống này truyền thông tin theo kiểu nối chuyển gói dữ liệu (packet switching) dựa trên một giao thức liên mạng đã được chuẩn hóa giao thức IP. Hệ thống này bao gồm hàng ngàn mạng máy tính nhỏ hơn của các doanh nghiệp, của các viện nghiên cứu và các trường đại học, của nguười dùng cá nhân, và các chính phủ trên toàn cầu. Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế TCP/IP. Nó cũng là một kĩ thuật bảo mật, được phát triển nhằm giúp đỡ các nhà quản trị mạng khai thác và kiểm tra dữ liệu lưu thông trên mạng 1 cách hiệu quả. Có 2 loại sniffer đó là: active sniffer và passive sniffer. Quá trình sniffer: - Bước 1: Tiến hành đầu độc ARP, sử dụng các tool như ettercap chạy trên linux và cain & abel chạy trên windows. - Bước 2: Sau khi đầu độc ARP, máy hacker trở thành kẻ dứng giữa, sniff các gói tin được trao đổi giữa máy nạn nhân và gateway. Qua đó hacker có thể bắt các gói tin chứa thông tin quan trọng ví dụ các gói tin đăng nhập vào các website, email. Với nhiều phương pháp, hacker có thể tiến hành sniff cookie, cướp sessison, thực hiện DNS spoofing để đưa nạn nhân vào địa chỉ giả mạo. B. LOCAL AREA NETWORK I. SSL Strip 1. SSL Strip SSL và HTTPS Secure Socket Layers (SSL) hoặc Transport Layer Security (TLS) dưới sự thi hành hiện đại hơn của nó, là các giao thức được thiết kế để cung cấp bảo mật cho truyền thông mạng bằng phương pháp mã hóa. Giao thức này dễ được kết hợp với các giao thức khác nhất để cung cấp một thực thi an toàn cho dịch vụ mà giao thức cung cấp. Các ví dụ dẫn chứng ở đây gồm có SMTPS, IMAPS và HTTPS. Mục tiêu tối thượng là tạo các kênh an toàn trên các mạng không an toàn. Trong phần này, chúng tôi sẽ tập trung giới thiệu vào tấn công SSL trên HTTP, được biết đến như HTTPS, vì nó là trường hợp sử dụng phổ biến nhất của SSL. Có thể không nhận ra nhưng hầu như chắc chắn bạn đang sử dụng HTTPS hàng ngày. Các dịch vụ email phổ biến nhất và các ứng dụng ngân hàng trực tuyến An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 5 đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web của bạn và các máy chủ của họ được mã hóa an toàn. Nếu không sử dụng công nghệ này thì bất cứ ai với một bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được username, password và bất cứ thứ gì được ẩn khác. Quá trình được sử dụng bởi HTTPS để bảo đảm an toàn dữ liệu là xiết chặt các trung tâm có liên quan đến việc phân phối các chứng chỉ giữa máy chủ, máy khách và hãng thứ ba được tin cậy. Lấy một ví dụ về trường hợp có một người dùng đang cố gắng kết nối đến một tài khoản email của Gmail. Quá trình này sẽ gồm có một vài bước dễ nhận thấy, các bước này đã được đơn giản hóa trong hình 1 bên dưới. Hình 1: Quá trình truyền thông HTTPS Quá trình được phác thảo trong hình 1 không phải là một quá trình chi tiết, tuy nhiên về cơ bản nó sẽ làm việc như sau: - Trình duyệt máy khách kết nối đến https://www.mail.google. trên cổng 80 bằng cách sử dụng HTTP - Máy chủ redirect phiên bản HTTPS máy khách của site này bằng cách sử dụng HTTP code 302. - Máy khách kết nối đến https://www.mail.google.com trên cổng 443. - Máy chủ sẽ cung cấp một chứng chỉ cho máy khách gồm có chữ ký số của nó. Chứng chỉ này được sử dụng để thẩm định sự nhận dạng của site. - Máy khách sử dụng chứng chỉ này và thẩm định chứng chỉ này với danh sách các nhà thẩm định chứng chỉ tin cậy của nó. - Truyền thông mã hóa sẽ xảy ra sau đó. Nếu quá trình hợp lệ hóa chứng chỉ thất bại thì điều đó có nghĩa rằng các website đã thất bại trong việc thẩm định sự nhận dạng của nó. Tại điểm này, người dùng sẽ thấy xuất hiện một lỗi thẩm định chứng chỉ và họ vẫn có thể tiếp tục với những rủi ro có thể, vì rất có thể sẽ không có sự truyền thông thực sự với website mà họ nghĩ họ cần truy cập đến. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 6  Quá trình này được xem là an toàn cao cách đây một vài năm khi có một tấn công đã công bố rằng nó có thể chiếm quyền điều khiển thành công quá trình truyền thông. Quá trình này không liên quan đến bản thân việc phá hủy (defeating) SSL, mà đúng hơn là phá hủy “cầu nối” giữa truyền thông không mã hóa và mã hóa. Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho rằng trong hầu hết các trường hợp, SSL chưa bao giờ bị trực tiếp tấn công. Hầu hết thời gian một kết nối SSL được khởi tạo thông qua HTTPS nên nguyên nhân có thể là do ai đó đã redirect một HTTPS thông qua một mã đáp trả HTTP 302 hoặc họ kích vào liên kết direct họ đến một site HTTPS, chẳng hạn như nút đăng nhập. Ý tưởng ở đây là rằng nếu bạn tấn công một phiên giao dịch từ một kết nối không an toàn đến một kết nối an toàn, trong trường hợp này là từ HTTP vào HTTPS, bạn sẽ tấn công cầu nối và có thể “man-in-the-middle” kết nối SSL trước khi nó xuất hiện. Để thực hiện hiệu quả điều này, Moxie đã tạo một công cụ SSLstrip, chúng ta sẽ sử dụng công cụ này dưới đây. Quá trình thực hiện khá đơn giản và gợi nhớ lại các tấn công mà chúng ta đã nghiên cứu trong các phần trước của loạt bài. Nó được phác thảo như trong hình 2 bên dưới. Hình 2: Chiếm quyền điều khiển truyền thông HTTPS Quá trình được phác thảo trong hình 2 làm việc như sau: - Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn - Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết HTTP và sẽ ánh xạ những thay đổi của nó. - Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo máy khách. - Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại cho máy khách. Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL mà không hề biết về sự khác biệt này. Chỉ có một sự khác biệt rõ rệt trong trải nghiệm người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt, vì vậy một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 7 2. Cách thực hiện Bước 1: Tiến hành đầu độc ARP Bước 2: Cấu hình để chuyển tiếp IP. Bước 3: Cấu hình IPTables để định tuyến đúng lưu lượng HTTP. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 8 Bước 4: Chạy SSL strip. Khi hoàn tất, bạn sẽ có thể chiếm quyền điều khiển bất cứ kết nối SSL nào đang được thiết lập. Từ đây, bạn có thể khởi chạy tiện ích “đánh hơi” dữ liệu và thu thập mật khẩu, các thông tin nhận dạng cá nhân khác như số thẻ tín dụng, từ lưu lượng. 3. Nhận xét và cách phòng chóng Như được giới thiệu ở trên, việc chiếm quyền điều khiển SSL theo cách này là hầu như không thể phát hiện từ phía trình chủ vì máy chủ cứ tưởng nó vẫn truyền thông bình thường với máy khách. Nó không hề có ý tưởng rằng đang truyền thông với một client bởi proxy. Việc nâng cấp trình duyệt cũng khá quan trọng. Khuyến cáo nên sử dụng các trình duyệt khác Internet explorer. II. Đánh Cắp Cookie, Cướp Session An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 9 1. ARP và việc đầu độc ARP Đầu tiên để hiểu rõ hơn về quá trình đánh cắp cookies bằng BackTrack4, chúng ta cần tìm hiểu một chút về ARP và việc đầu độc ARP. Vậy ARP là gì? Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP). Vậy ARP hoạt động trong mạng Lan như thế nào? Hiểu rõ cơ chế hoạt động của Arp sẽ giúp chúng ta dễ dàng hiểu về việc thế nào là đầu độc ARP. Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị nào đó mà nó đã biết địa chỉ ở tầng network, nó sẽ gửi một ARP request bao gồm địa chỉ MAC của nó và địa chỉ IP của thiết bị mà nó cần biết địa chỉ MAC. Mỗi một thiết bị nhận được request này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói tin (trong đó có chưa địa chỉ MAC của mình). Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “độc”. Khi các ARP reply “đôc” này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất nạn nhân lại đang truyền thông với một kẻ tấn công. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 10 2. Cướp cookies và chiếm quyền điều khiển session Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi trở thành kẻ đứng giữa (Man in the midle), hacker có thể bắt các gói tin lưu thông trên card mạng của nạn nhân, qua đó Hacker có thể phân tích và tìm được cookie, cướp session của nạn nhân, sử dụng tài khoản trực tuyến của nạn nhân mà không cần thông qua chứng thực username/password. Trên thực tế, không có thứ gì đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt. Nguyên lý ẩn sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dung để thiết lập một session, khi đó hacker có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session. Để hiểu rõ về vấn đề cướp cookies và chiếm quyền điều khiển session, nhóm thiết lập một kịch bản nạn nhân đăng nhập vào facebook và hacker sẽ tiến hành cướp cookies của nạn nhân và dùng nó để vào facebook của nạn nhân mà không cần username và password. Trong kịch bản ví dụ mà đưa ra, nhóm sẽ thực hiện một tấn công chiếm quyền điều khiển session bằng cách chặn sự truyền thông của một người dùng đang đăng nhập vào tài khoản Facebook của anh ta. Và lợi dụng sự truyền thông bị chặn này, nhóm sẽ đóng vai người dùng đó và truy cập vào tài khoản từ máy tính đang dùng để tấn công. Để thực hiện vụ tấn công, nhóm sử dụng Back Track 4. Đầu tiên từ máy của nạn nhân, nạn nhân đăng nhập vào facebook Trang giao diện Home của tài khoản nạn nhân [...]... nhập gần nhất để bảo đảm mọi thứ vẫn diễn ra tốt đẹp Bảo mật tốt cho các máy tính bên trong: Các tấn công này thường được thực thi từ bên trong mạng Do đó nếu các thiết bị mạng của bạn an toàn thì cơ hội cho kẻ tấn công thỏa hiệp được các host bên trong mạng của bạn sẽ ít đi, và từ đó giảm được nguy cơ tấn công chiếm quyền điều khiển session DNS Spoofing 1 DNS Spoofing 18 An Toàn Và Bảo Mật Hệ Thống... ẩn là rất nhiều Cần biết rằng một trong những mục tiêu lớn nhất của tấn công chiếm quyền điều khiển session là tài khoản ngân hàng trực tuyến, tuy nhiên ngoài ra nó còn được áp dụng cho mọi thứ Cần có sự hiểu biết về tấn công: Những kẻ tấn công tinh vi, kể cả đến các hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại dấu vết đã tấn công bạn Việc biết thời điểm nào bạn bị đăng nhập vào các dịch vụ... chống việc giả mạo DNS vì có khá ít các dấu hiệu tấn công Thông thường, bạn không hề biết DNS của mình bị giả mạo cho tới khi điều đó xảy ra, đây là một phương pháp tấn công cực kì nguy hiểm Biện pháp phòng chống: - - - Bảo vệ các máy tính bên trong của bạn: Các tấn công giống như trên thường được thực thi từ bên trong mạng của bạn Nếu các thiết bị mạng của an toàn thì sẽ bạn sẽ giảm được khả năng... toàn bộ ARP table trên máy mình, như vậy các địa chỉ MAC bị tấn công cũng mất, và máy tính sẽ bắt đầu học lại Nhưng nếu máy tấn công vẫn tiếp tục bơm các gói tin ARP đầu độc thì việc xóa ARP table này cũng vô ích - arp -s gắn cố định IP đích vào MAC thật của nó, như vậy kẻ tấn công không đầu độc được IP này nữa Nhưng việc này không khả thi cho mạng lớn, nhiều máy tính, và có sự thay đổi IP (ví dụ dùng... chặn lưu lượng của bạn trên mạng gia đình ít hơn nhiều so với mạng ở nơi làm việc Điều này không phải vì máy tính ở nhà của bạn thường an toàn hơn, mà vấn đề là bạn chỉ có một hoặc hai máy tính tại nhà Trên mạng LAN ở nơi khác (ví dụ nơi bạn làm việc), bạn không biết những gì đang diễn ra bên dưới tiền sảnh hoặc trong văn phòng chi nhánh cách đó 200 dặm, vì vậy nguồn tấn công tiềm ẩn là rất nhiều Cần... cookie c_user và xs cho trình duyệt, để làm việc này, nhóm dùng trình duyệt Firefox và Add On Cookies Manager+ 16 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Trong giao diện để Add Cookies, nhóm tiến hành add hai cookie c_user và xs Bước 6: Hoàn tất, nhóm đã tiến hành cướp cookies xong, cuối cùng nhóm mở trình duyệt lên và gõ vào thanh địa chỉ facebook.com, trình duyệt sẽ đưa tới facebook... startup và ô Don't show program icon at startup, 2 cái ô này có công dụng là khi windows khởi động thì nó cũng tự động chạy với chế độ ẩn tại ô Show / hide program icon là chế độ phím tắt Ô remove the program from uninstation list, cái này dùng để ẩn keylog trong trình ứng dụng gỡ bỏ các chương trình cài đặt có sẵn trong windows cũng như các trình ứng dụng tương tự khác 27 An Toàn Và Bảo Mật Hệ Thống Thông... bạn sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo Không dựa vào DNS cho các hệ thống bảo mật: Trên các hệ thống an toàn và có độ nhạy cảm cao, không duyệt Internet trên nó là cách thực hiện tốt nhất để không sử dụng đến DNS Nếu bạn có phần mềm sử dụng hostname để thực hiện một số công việc của nó thì chúng cần phải được điều chỉnh những gì cần thiết trong... đáp trả truy vấn Tuy DNSSEC vẫn chưa được triển khải rộng rãi nhưng nó đã được chấp thuận là “tương lai của DNS” Sniff Password Dùng Wireshark 1 Wireshark Là công cụ dùng để phân tích các giao thức của mạng cho phép xem chi tiết các giao thức mạng hiện có, bắt các gói tin và phân tích offline chúng, phân tích VoIP Có thể đọc/ghi nhiều dạng file như tcpdump (libpcap), Catapult DCT2000, Cisco Secure... thành công User log in 2 Cách thực hiện Bước 1: Đầu độc ARP, cơ chế: để xây dựng ARP table, máy tính sẽ gửi các ARP request, sau đó nhận lại các ARP reply Hệ thống hoàn toàn không có cơ chế 22 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 xác minh xem thông tin của ARP reply đó là thật hay giả, thông tin này sẽ được lưu lại vào ARP table để sử dụng Lợi dụng điểm yếu này người tấn công .  Quá trình này được xem là an toàn cao cách đây một vài năm khi có một tấn công đã công bố rằng nó có thể chiếm quyền điều khiển thành công quá trình truyền thông. Quá trình này không. bên trong: Các tấn công này thường được thực thi từ bên trong mạng. Do đó nếu các thiết bị mạng của bạn an toàn thì cơ hội cho kẻ tấn công thỏa hiệp được các host bên trong mạng của bạn sẽ. mọi thứ. Cn có s hiu bit v tn công: Những kẻ tấn công tinh vi, kể cả đến các hacker dày dạn nhất cũng vẫn có thể mắc lỗi và để lại dấu vết đã tấn công bạn. Việc biết thời điểm nào bạn