ĐỒ ÁN TỐT NGHIỆP PHƯƠNG THỨC TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG

ĐỒ ÁN TỐT NGHIỆP PHƯƠNG THỨC TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG Nhiều Website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị Hacker tấn công, gây tổn thất lớn về nguồn tài chính cho doanh nghiệp. Tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều lổ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ.

ĐỀ TÀI TỐT NGHIỆP Chuyên ngành: An ninh mạng

Đề tài:

PHƯƠNG THỨC TẤN CÔNG VÀ PHÒNG THỦ TRÊN KHÔNG GIAN MẠNG

Trên thực tế không có sự thành công nào mà không gắn liền với những sự hỗ trợ, giúp đỡ dù ít hay nhiều, dù trực tiếp hay gián tiếp của người khác Trong suốt thời gian từ khi bắt đầu học tập ở giảng đường cao đẳng đến nay, em đã nhận được rất nhiều sự quan tâm, giúp đỡ của quý Thầy Cô Với lòng biết ơn sâu sắc nhất, với tri thức và tâm huyết của mình để truyền đạt vốn kiến thức quý báu cho chúng em trong suốt thời gian học tập tại trường Và đặc biệt, trong học kỳ này, Khoa đã tổ chức cho chúng em được tiếp cận với môn học mà theo em là rất hữu ích đối với sinh viên ngành An Ninh Mạng cũng như tất cả các sinh viên thuộc các chuyên ngành Khoa Công Nghệ Thông Tin khác.Nếu không có những lời hướng dẫn, dạy bảo của thầy Dương Trọng Khang thì em nghĩ bài bảo vệ đồn án tốt nghiệp này của em rất khó có thể hoàn thiện được Một lần nữa, em xin chân thành cảm ơn thầy Do vậy, không tránh khỏi những thiếu sót là điều chắc chắn, em rất mong nhận được những ý kiến đóng góp quý báu của quý Thầy Cô và các bạn học cùng lớp để kiến thức của em trong lĩnh vực này được hoàn thiện hơn

Chúng em kính chúc thầy ThS Dương Trọng Khang cũng như tất cả thầy cô trong khoa Công Nghệ Thông Tin trường Cao Đẳng Nghề iSpace dồi dào sức khỏe, gặt hái nhiều thành trong sự nghiệp trồng người

mà thầy cô đã chọn

MỤC LỤC

Lời cảm ơn 1

Mục lục 2

Bảng phân công nhiệm vụ trong nhóm 6

Lý do chọn đề tài 10

Lời nói đầu 11

Danh mục từ viết tắt 12

Danh sách các hình vẽ 13

Chương 1 : TỔNG QUAN VỀ AN NINH MẠNG 16

1.1 – Tầm quan trọng của an ninh mạng 16

1.1.1 – Bản tin về bảo mật 16

1.1.2 – Các Website và hệ thống Server liên tục bị tấn công 27

1.1.3 – Nhu cầu về an ninh mạng 32

1.2 – Các yếu tố về an ninh mạng 34

1.3 – Hacker và ảnh hưởng của việc Hack 36

1.3.1 – Hacker là ai ? 36

1.3.2 – Các loại Hacker 38

1.3.3 - Ảnh hưởng của việc Hack 38

1.4 – Các loại tấn công mạng 39

1.4.1 – Tấn công hệ điều hành 39

1.4.2 – Tấn công Sniffer 42

1.4.3 – Tấn công các cấp độ ứng dụng 44

Chương 2 : TỔNG QUAN VỀ CÁC PHƯƠNG THỨC TẤN CÔNG 45

2.1 – Giới thiệu về Sniffer 45

2.1.1 – Sniffer là gì ? 45

2.1.2 – Sniffer thường xảy ra ở đâu ? 46

2.1.3 – Các mối đe dọa về Sniffer 46

2.1.4 – Sniffer được sử dụng như thế nào ? 48

2.1.5 – Cơ chế hoạt động chung của Sniffer 49

2.1.6 – Phân loại Sniffer 50

2.1.7 – Biện pháp ngăn chặn Sniffer 53

2.2 – Giới thiệu về giao thức ARP 54

2.2.1 – Giao thức ARP là gì ? 54

2.2.2 – Tác dụng của ARP Protocol 55

2.2.3 – Nguyên tắc hoạt động của ARP Protocol 55

2.3 – Giới thiệu về DNS 58

2.3.1 – DNS là gì ? 58

2.3.2 – Chức năng của DNS 59

2.3.3 – Nguyên tắc làm việc của DNS 59

2.3.4 – Cơ chế làm việc của DNS 60

2.4 – Giới thiệu về DHCP 62

2.4.1 – DHCP là gì ? 62

2.4.2 – Nguyên lý hoạt động của DHCP 62

2.5 – Giới thiệu về IPTables 63

2.5.1 – Cơ chế xử lý Package trong IPTables 64

2.5.2 – Một số khái niệm trong IPTables 66

2.5.3 – Cấu hình IPTables 66

2.5.4 – Các câu lệnh trong IPTables 69

2.5.5 – Các kiểu chặn và một số ví dụ về IPTables 72

2.6 – Các phương thức tấn công và phòng thủ 77

2.6.1 – Các dạng tấn công dựa trên giao thức ARP 77

2.6.2 – Tấn công MAC Flooding 82

2.6.3 – Tấn công giả mạo địa chỉ MAC 84

2.6.4 – Tấn công DHCP 85

2.6.5 – Tấn công giả mạo DNS (DNS Cache Poisoning) 89

2.6.6 – Tấn công giả mạo DNS (DNS Spoofing) 97

2.6.7 – Tấn công DDoS 100

2.6.8 – Tấn công Social Engineering 116

2.6.9 – Tấn công khai thác lỗi hệ điều hành và ứng dụng 135

2.6.10 – Tấn công SQL Injection 140

2.6.11 – System Hacking 149

2.6.12 – Session Hijacking 155

Chương 3 : DEMO CÁC PHƯƠNG THỨC TẤN CÔNG VÀ PHÒNG THỦ 161

3.1 – Tấn công đầu độc ARP 161

3.2 – Tấn công DHCP Snoofing và giả mạo DNS 176

3.3 – Tấn công DHCP Snoofing và giả mạo Gateway 196

3.4 – Tấn công giả mạo DNS Snoofing 213

3.5 – Tấn công MAC Flooding 232

3.6 – Tấn công DDoS 239

3.7 – Tấn công Social Engineering 248

3.8 – Tấn công khai thác lỗi hệ điều hành và ứng dụng 258

3.8.1 – Tấn công khai thác lỗi ms09-050 258

3.8.1.1- Các bước thực hiện tấn công lỗi MS09-050 258

3.8.2 Tấn công khai thác lỗi ms12-027 266

3.8.2.1- Các bước thực hiện tấn công lỗi MS09-050 266

3.9 – Tấn công SQL Injection 281

3.10 – System Hacking 296

3.11 – Session Hijacking 308

Kết luận 316

Tài liệu tham khảo 317

Nhận xét của GVHD 318

Nhận xét của bên phản biện 319

BẢNG PHÂN CÔNG NHIỆM VỤ CHO TỪNG THÀNH VIÊN TRONG NHÓM

STT Họ và Tên MSSV Phân Công Việc

1 Nguyễn Thị Mỹ Duyên 99520240011

- Lời cảm ơn, lời nói đầu

- Chương 1 : Tổng quan về an ninh mạng

+ Tầm quan trọng của an ninh mạng

 Bản tin về bảo mật

 Các Website và hệ thống Server liên tục bị tấn công

 Nhu cầu về an ninh mạng + Các yếu tố về an ninh mạng

+ Hacker và ảnh hưởng của việc Hack

 Sniffer thường xảy ra ở đâu

 Các mối đe dọa về Sniffer

 Sniffer được sử dụng như thế nào

?

 Cơ chế hoạt động chung của Sniffer

 Phân loại Sniffer

 Biện pháp ngăn chặn Sniffer + Giới thiệu về giao thức ARP

 Giao thức ARP là gì

 Tác dụng của ARP Protocol

 Nguyên tắc hoạt động của ARP Protocol

+ Giới thiệu về DNS

 DNS là gì

 Chức năng của DNS

 Nguyên tắc làm việc của DNS

 Cơ chế làm việc của DNS

3 Nguyễn Trung Tiên 92520240003

+ Giới thiệu về DHCP

 DHCP là gì ?

 Nguyên lý hoạt động của DHCP

+ Giới thiệu về IPTables

 Cơ chế xử lý Package trong IPTables

 Một số khái niệm trong IPTables

 Cấu hình IPTables

 Các câu lệnh trong IPTables

 Các kiểu chặn và một số ví dụ về IPTables

+ Các phương thức tấn công và phòng

thủ

 Các dạng tấn công dựa trên giao thức ARP

 Tấn công MAC Flooding

 Tấn công giả mạo địa chỉ MAC

 Tấn công Social Engineering

 Tấn công khai thác lỗi hệ điều hành và ứng dụng

 Tấn công SQL Injection

 System Hacking

 Session Hijacking

 Tấn công đầu độc ARP

 Tấn công DHCP Snoofing và giả mạo DNS

 Tấn công DHCP Snoofing và giả mạo Gateway

 Tấn công giả mạo DNS

 Tấn công MAC Flooding

 Tấn công DDoS

 Tấn công Social Engineering

 Tấn công khai thác lỗi hệ điều hành và ứng dụng

 Tấn công khai thác lỗi ms09-050

 Tấn công khai thác lỗi ms12-027

 Tấn công SQL Injection

 System Hacking

 Session Hijacking

LÝ DO CHỌN ĐỀ TÀI

Trong những năm gần đây, Việt Nam ngày càng phát triển và nhất là về mặt công nghệ thông tin Với an ninh mạng, các mối đe dọa đang thay đổi, các hình thức tấn công mạng đang thay đổi và mục tiêu của các cuộc tấn công cũng đang thay đổi Đặc biệt là về ứng dụng Website, hầu như mọi người ai cũng từng nghe và làm việc trên ứng dụng Website Website trở nên phổ biến và trở thành một phần quan trọng của mọi người và nhất là các doanh nghiệp, công ty Bên cạnh đó lý do an toàn bảo mật cho ứng dụng Website luôn là vấn đề nan giải của mọi người Vì vậy chúng ta sẽ đi nghiên cứu và tìm hiểu nguyên lý, cơ chế hoạt động của các cuộc tấn công của Hacker nói chung và từng kỹ thuật tấn công nói riêng

Mục tiêu đề tài này là giúp chúng ta có thể hiểu hơn về các ứng dụng Website, các mối đe dọa về vấn đề an toàn thông tin khi chúng ta làm việc trên ứng dụng Website hàng ngày, hiểu rõ hơn về các kỹ thuật tấn công và bảo mật Website

Phạm vi của đề tài tìm hiểu các kỹ thuật tấn công phổ biến nhất hiện nay như Spoofing ARP, Sniffer… cách bảo mật, phòng thủ các loại tấn công phổ biến trên một cách tổng quan nhất

LỜI NÓI ĐẦU

Hơn một thập kỷ qua, Internet đã phát triển mạnh mẽ cả về quy mô cũng như sự phức tạp Trong quá trình phát triển này, vấn đề an ninh mạng ngày càng khó khăn Quản trị mạng ngày càng trở nên phức tạp và không thể sửa lỗi một cách thủ công như trước

Nhiều Website của các doanh nghiệp, công ty bảo mật hàng đầu trên thế giới đều bị Hacker tấn công, gây tổn thất lớn về nguồn tài chính cho doanh nghiệp Tình hình an ninh mạng vẫn trên đà bất ổn và tiếp tục được coi là “báo động đỏ” của an ninh mạng Việt Nam và thế giới khi có nhiều lổ hổng an ninh mạng nghiêm trọng được phát hiện, hình thức tấn công thay đổi và có rất nhiều cuộc tấn công của giới tội phạm công nghệ cao vào các hệ thống công nghệ thông tin của doanh nghiệp và chính phủ

Với mục đích nghiên cứu và tìm hiểu nguyên lý, cơ chế hoạt động của các cuộc tấn công của Hacker nói chung và từng kỹ thuật tấn công nói riêng, nhóm em chọn đề tài tìm hiểu Các Phương Thức Tấn Công

Và Phòng Thủ Trên Không Gian Mạng, đề tài nhóm em gồm 3 chương :

Chương 1 : Tổng quan về an ninh mạng

Chương 2 : Tổng quan về các phương thức tấn công

Chương 3 : Demo các phương thức tấn công và phòng thủ

Cuối cùng là phần kết luận và tài liệu tham khảo

DANH MỤC TỪ VIẾT TẮT

TỪ VIẾT TẮT Ý NGHĨA

Sniffer Nghe lén DHCP Dynamic Host Configuration Protocol

Session hijacking cướp một phiên kết nối

Cookie tập tin lưu trữ thông tin người dùng trên

website

Social Engineering kỹ thuật lừa đảo

Cross Site Scripting Xứ thần tiên

Remote Command Execution Thực hiện lệnh từ xa

DANH SÁCH CÁC HÌNH VẼ

Hình 1.1.1.1 - Tỉ lệ sự kiện tấn công vào việt nam và trên thế giới 17

Hình 1.1.1.2 - Các kỹ thuật tin tặc dùng để tấn công mạng 18

Hình 1.1.1.3 – Mỗi tháng có 7000 đợt tấn công Website chính quyền TP.HCM 19

Hình 1.1.1.4– Sơ lược một số trang thông tin điện tử của cơ quan nhà nước bị tấn công trong tháng 5 21 Hình 1.1.1.5 – Sơ lược một số mạng máy tính ma (bonet) lớn được ghi nhận hoạt động tại Việt Nam trong tháng 6 22

Hình 1.1.1.6- Mikko Hyppoenen, tượng đài của làng bảo mật thế giới sẽ có mặt tại Đà Nẵng vào tháng 12 tới 24

Hình 1.1.1.7 - Dennis Batchelder sẽ chia sẻ nhiều điều thú vị liên quan đến giải pháp bảo mật của hệ điều hành Windows tại AVAR 2015 25

Hình 1.1.1.8- Righard Zwienenberg từng giữ chức Chủ tịch AMTSO 26

Hình 1.1.2.1 – Thống kê số lượng Website Việt Nam bị tấn công trong thời gian từ ngày 1 đến 7/8/2015 27

Hình 1.1.2.2 - Lưu lượng khổng lồ trong ngày 1/12 mà máy chủ tên miền A của Verisign nhận được 29 Hình 1.1.2.3 – Website Nganluong.vn bị Hacker tấn công thay đổi giao diện ngày 4/8 30

Hình 1.2.1 : Báo cáo về tội phạm Internet 34

Hình 1.2.2 : Sơ lược tỷ lệ cá website bị tấn công tại Việt Nam trong tháng 6 35

Hình 1.3.1.1 - Thống kê của VNCERT về các sự cố tại Việt Nam tính đến tháng 10/2015 37 Hình 1.4.2.1 – Chụp bắt gói tin 42

Hình 2.1.1.1 – Minh họa Sniffer 45

Hình 2.1.3.2 – Các lỗ hổng của giao thức để Sniffing 48

Hình 2.1.5.1 – Cơ chế hoạt động của Sniffer 49

Hình 2.1.6.1 – Phân loại Sniffer 50

Hình 2.1.6.2 – Sniffing thụ động 51

Hình 2.1.6.3 – Sniffing chủ động 52

Hình 2.2.1.1 – Mô hình OSI 54

Hình 2.2.3.1 – Cơ chế hoạt động của quá trình truyền thông ARP 58

Hình 2.3.3.1 – Hệ thống DNS (Domain Name System) 60

Hình 2.3.4.1 – Cơ chế làm việc của DNS 61

Hình 2.4.2.1 – Quá trình cấp phát IP từ máy chủ DHCP 63

Hình 2.5.1.1 – Quá trình xử lý gói tin trong bảng NAT 64

Hình 2.5.1.2 – Quá trình xử lý gói tin trong bảng Filter 65

Hình 2.5.1.3 – Quá trình xử lý gói tin trong bảng Mangle 65

Hình 2.5.3.1 – Những Module giúp đỡ của NAT 67

Hình 2.6.1.1 – Chặn bắt thông tin bằng cách giả mạo ARP Cache 80

Hình 2.6.2.1 – Hacker gửi cùng lúc nhiều địa chỉ MAC giả mạo đến Switch 82

Hình 2.6.2.1 – Mô tả hoạt động của bảng CAM 83

Hình 2.6.3.1 – Minh họa quá trình giả mạo MAC 84

Hình 2.6.4.1 – Minh họa DHCP Rogue 86

Hình 2.6.4.2 – Minh họa việc chuyển hướng người dùng 87

Hình 2.6.4.3 – Minh họa việc cấp phát IP giả 88

Hình 2.6.5.1 – Sơ đồ tấn công giả mạo phản hồi DNS 91

Hình 26.5.2 – Tấn công giả mạo DNS bằng phương pháp giả mạo DNS ID 92

Hình 2.6.6.1 – Truy vấn và hồi đáp DNS 97

Hình 2.6.6.2 – Truy vấn và hồi đáp DNS bằng đệ quy 98

Hình 2.6.6.3 – Tấn công giả mạo DNS bằng cách giả mạo DNS ID 99

Hình 2.6.7.1 – Mô hình Agent-Handler 102

Hình 2.6.7.2 – Mô hình IRC-Based 103

Hình 2.6.10.1 – Mô tả SQL Injection 140

Hình 2.6.11.1 – Quá trình tấn công vào một hệ thống 151

Hình 2.6.11.2 – Sơ đồ tổng quan hệ thống mạng LAN 153

Hình 2.6.11.3 – Đặt Password Bios 155

Hình 2.6.12.1 – Minh họa Hacker chiếm Session giữa người dùng và máy chủ 156

Hình 2.6.12.2 – Ví dụ minh họa Session Hijacking 158

Hình 2.6.12.3 – Kỹ thuật HTTP tham chiếu 159

Hình 2.6.12.4 – So sánh sự khác nhau giữa Spoofing và Hijacking 159

Hình 2.6.12.5 – Minh họa quá trình chiếm quyền điều khiển phiên của Session Hijacking 160

Chương 1 : TỔNG QUAN VỀ AN NINH MẠNG 1.1 – Tầm quan trọng của an ninh mạng

1.1.1 – Bản tin về bảo mật

Tình hình mất an ninh mạng đang diễn biến phức tạp và xuất hiện nhiều nguy cơ đe dọa đến việc phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh Nguy cơ an ninh mạng và bảo mật an toàn thông tin tại các doanh nghiệp trên thị trường đang ở mức báo động khi tình trạng bị Hacker, Virus, Malware tấn công khiến dữ liệu bị xóa, thông tin bị đánh cắp, bị theo dõi, mất quyền bảo hành, lây truyền Virus sang máy tính khác, … liên tục gia tăng không ngừng, gây ra hậu quả và thiệt hại vô cùng lớn về kinh tế, uy tín cho doanh nghiệp về lâu dài

Theo thống kê của Security Daily từ các diễn đàn an ninh mạng, diễn đàn Hacker, trong nửa đầu tháng 9/2014, đã có tổng cộng 1.039 Website của Việt Nam bị tấn công, đây là con số cao nhất trong năm 2014.Còn trong 9 tháng đầu năm 2015, đã có 4.767 Website của Việt Nam bị tấn công, tăng gấp đôi so với các năm từ 2011-2013.Trung bình mỗi ngày có hơn 18 Website của Việt Nam bị chiếm quyền điều khiển.Năm

2014 thực sự là một năm rất nóng về tình hình tấn công ứng dụng Website tại Việt Nam

Và theo đánh giá của các tổ chức quốc tế, Việt Nam luôn nằm trong danh sách các nước có tỷ lệ lây nhiễm phần mềm độc hại, mã độc hại ở mức cao.Vấn đề này đã gây ra những thiệt hại lớn, ảnh hưởng tới hình ảnh và mức độ tin cậy của Việt Nam trên thế giới

Trước đó, phát biểu tại Diễn đàn cấp cao Công nghệ thông tin Việt Nam - ASOCIO 2014, cuối tháng 10/2014, Phó Thủ tướng Vũ Đức Đam tin rằng, nếu như những nỗ lực đẩy mạnh Công nghệ thông tin không gắn liền với việc ngăn chặn các nguy cơ mất an toàn, an ninh thông tin thì hậu quả sẽ rất nghiêm trọng

Năm 2015, theo thống kê từ Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), hơn 700

Website tại Việt Nam bị tấn công chỉ trong 7 ngày đầu tiên của tháng 8/2015

Hình 1.1.1.1 - Tỉ lệ sự kiện tấn công vào việt nam và trên thế giới

Theo nguồn Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam VNCERT (Bộ TT&TT), có 57,01% các

cuộc tấn công mạng vào Việt Nam xuất phát từ các máy chủ đặt tại Mỹ, sau đó là Trung Quốc với 9,84%, Nga 7,78%, Thụy Sĩ 4,86%, Hà Lan 4,17%, còn lại là các nước khác

Trong Quý I/2015, có 550.000 sự kiện tấn công xếp loại ‘đèn đỏ’ – tức ở mức báo động cao Trong

đó có 5 kiểu tấn công điển hình, gồm:

 Tấn công gây từ chối dịch vụ bằng cách sử dụng công cụ của Google cung cấp cho việc tìm kiếm thông tin Dạng tấn công này mới phát hiện ở Việt Nam và rất khó phòng chống, ngăn chặn

 Tấn công vét cạn để phát hiện mật khẩu các dịch vụ điều khiển và chia sẻ tệp tin từ xa SSH và FTP

 Tấn công nhằm tải trái phép các tệp tin điều khiển (shell) lên máy chủ website, ngay cả khi máy chủ

Hình 1.1.1.2 - Các kỹ thuật tin tặc dùng để tấn công mạng

Cũng lưu ý về tình trạng tấn công vào các trang thông tin điện tử Trong quý I/2015 có tổng số 1.174 trang bị tấn công nhằm thay đổi giao diện, trong đó 14 trang thuộc cơ quan nhà nước VNCERT đã phối hợp khắc phục được 797 trường hợp

Đặc biệt, có 656 trường hợp hacker giả mạo các trang thông tin điện tử để lừa đảo, các trang bị giả mạo nhiều nhất là Apple, PayPal, Google và MasterCard

Trong các kiểu tấn công mạng, mã độc là nguy cơ hàng đầu đe dọa an toàn thông tin trên mạng ở Việt Nam Chỉ trong quý I/2015, VNCERT ghi nhận hơn 1,2 triệu sự kiện tấn công liên quan đến mã độc Trong đó, có hơn 300.000 lượt địa chỉ IP Việt Nam nhiễm mã độc, 783 trong số này là các IP thuộc cơ quan nhà nước.Các mã độc hoạt động mạnh gồm Trojan-Dropper Win32/Mudrop, Trojan Ramnit, Win32.Msblast, Worm:Win32/Conficker.B/C/D

Trung bình mỗi tháng có khoảng hơn 44.000 đợt dò quét và khoảng 7.000 đợt tấn công, trong đó, Trung Quốc và Mỹ là hai quốc gia có nguồn tấn công nhiều nhất nhắm vào hệ thống của TPHCM

Hình 1.1.1.3 – Mỗi tháng có 7000 đợt tấn công Website chính quyền TP.HCM

Theo thống kê của Trung tâm dữ liệu thành phố, trong 09 tháng đầu năm 2015 đã có tổng cộng hơn 400.000 đợt dò quét và 60.000 đợt tấn công mạng bằng nhiều hình thức nhằm vào hệ thống của thành phố đã được phát hiện và ngăn chặn

Đặc biệt đối với cổng thông tin điện tử TPHCM, trong 09 tháng đầu năm 2015, đã thống kê được có hơn 4,7 triệu đợt dò quét và tấn công ứng dụng website đã được hệ thống tường lửa ứng dụng website phát hiện và ngăn chặn Các website của các đơn vị bị tấn công nhiều nhất như UB Việt Kiều, Trang chủ HCM, Trung tâm xúc tiến thương mại - điện tử

Trong khi đó, nói chung về tình hình an ninh mạng tại Việt Nam, trong 9 tháng đầu năm 2015, diễn biến an ninh mạng ngày càng phức tạp hơn rất nhiều với kỹ thuật ngày càng tinh vi và gây ra hậu quả khôn lường

Thống kê cho thấy, trung bình mỗi tháng xuất hiện hơn 1.000 trang giả mạo Facebook nhằm lấy cắp thông tin tài khoản 13,9 triệu tin nhắn rác được phát tán mỗi ngày, 30% website ngân hàng tồn tại nhiều

lổ hổng Có 23.605 dòng virus máy ti ́nh mới xuất hiện tại Việt Nam Các virus này đã lây nhiễm trên 30.936.000 lượt máy ti ́nh Virus lây nhiều nhất nửa đầu năm 2015 là W32.Sality.PE, đã lây nhiễm trên 2.676.000 lượt máy ti ́nh Đồng thời, 2.790 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker xâm nhập, trong đó có 34 site gov.vn và 122 site edu.vn

Cũng theo thống kê của zone-h.org, trong năm 2015 có hơn 120 websites thuộc khối chi ́nh phủ Việt Nam (có tên miền gov.vn) bị tin tặc tấn công và thay đổi giao diện

Riêng trong quý I/2015, theo VNCERT ghi nhận 365.644 lượt địa chỉ IP Việt Nam tham gia mạng Botnet, tức đã nhiễm mã độc và sẵn sàng tấn công DDOS đến bất kỳ máy ti ́nh nào trên thế giới Trong đó có 896 lượt địa chỉ IP của các cơ quan nhà nước

Nhận thức về tầm quan trọng của an toàn thông tin và nâng cao nhận thức của các cấp lãnh đạo, cán bộ vận hành hệ thống thông tin, Sở Thông tin Truyền thông Thành phố đã chủ động tiếp và làm việc với các tập đoàn, công ty lớn trên thế giới về an toàn thông tin như FireEyes (Hoa Kỳ), Bynet (Israel), các doanh nghiệp Phần Lan để trao đổi, học tập kinh nghiệm trong triển khai và ứng cứu, đảm bảo an toàn thông tin

Ngoài ra, theo thông tin từ Sở Thông tin Truyền thông TPHCM, trong năm 2014-2015, thành phố đã tổ chức đào tạo cho lự c lượng tác chiến an ninh thông tin (ANTT) của thành phố các khoá học cơ bản về quản trị hệ thống và ANTT (Security+, CCNA Security, MCSA ) Kế hoạch trong năm 2016 sẽ tiếp tục đào tạo các khoá học chuyên sâu về kỹ năng phân ti ́ch, điều tra truy quét về các sự cố ANTT

Hình 1.1.1.4– Sơ lược một số trang thông tin điện tử của cơ quan nhà nước bị tấn công trong

tháng 5

Hình 1.1.1.5 – Sơ lược một số mạng máy tính ma (bonet) lớn được ghi nhận hoạt động

tại Việt Nam trong tháng 6

Trên các website tán gẫu có rất nhiều các công cụ Hack được mua đi bán lại Những kẻ gửi thư rác (Spammer) có thể mua một danh sách 29.000 địa chỉ Email với giá chỉ có 5 USD Thông tin chi tiết của một chiếc máy tính đã bị Hack và có thể được điều khiển từ xa bởi một tay Hacker có thể được bán với giá chỉ từ

6 USD đến 20 USD

Một số "báo giá" mà Symantec tiết lộ cũng rất đáng ngạc nhiên Trong khi thông tin về thẻ tín dụng chỉ bán được với vài USD thì một tài khoản PayPal có thể lên đến cái giá 500 USD Một tài khoản gọi điện thoại Internet của Skype giá 12 USD và một tài khoản Game Online World Of Warcraft có thể được bán với giá 10 USD.Ông Turner cho biết các mức giá khác nhau phản ánh mức độ sử dụng của những thông tin bị Hack Ví dụ, thẻ tín dụng chỉ có thể dùng được trong vòng vài ngày, thậm chí là vài giờ vì mức độ kiểm soát rất cao do đó giá khá rẻ

Bản báo cáo của Symantec còn cho biết xu hướng đánh cắp các thông tin bí mật đang gia tăng rất mạnh Hiện có trên 45% vụ tấn công mà Symantec theo dõi nhắm vào việc đánh cắp thông tin bí mật, trong khi cách đây sáu tháng tỷ lệ này chỉ là 23%

Một vấn đề nữa, hiện nay chúng ta đang phát triển viễn thông rất nhanh và tiến hành xây chính phủ điện tử, hành chính điện tử, thương mại điện tử, hải quan điện tử Bên cạnh đó, hàng loạt các vụ việc mất tiền do Hacker trộm thẻ tín dụng vẫn xảy ra Chưa kể rất nhiều văn bản, thư từ soạn thảo rồi gửi qua các mạng đã bị gài mã độc Trụ sở của Google , Facebook và Yahoo đều nằm ở nước ngoài, các công ty này đều

Vào năm 2015 theo Bộ Thông Tin và Truyền Thông ICTnews thì sẽ có những cao thủ bảo mật đến AVAR 2015 tổ chức tại Việt Nam Huyền thoại bảo mật thế giới Mikko Hypponen, Dennis Batchelder, Giám đốc Trung tâm phòng chống mã độc của Microsoft, Righard Zwienenberg, Chủ tịch của Tổ chức tiêu chuẩn đánh giá phần mềm chống mã đốc (AMTSO) là ba trong số những chuyên gia hàng đầu của các hãng bảo mật lớn trên thế giới sẽ góp mặt tại Hội nghị Quốc tế về phòng chống mã độc toàn cầu 2015 (AVAR 2015)

sẽ được tổ chức tại Đà Nẵng từ ngày 2-4/12 tới

Theo đánh giá của ông Triệu Trần Đức, Giám đốc Công ty CMC Infosec, Giám đốc AVAR Vietnam, Mikko Hypponen, Dennis Batchelder và Righard Zwienenberg là 3 nhân vật được các chuyên gia bảo mật Việt Nam cũng như thế giới chờ đợi nhất tại Hội nghị Quốc tế về phòng chống mã độc toàn cầu (AVAR 2015)

Mikko Hypponen - diễn giả diễn đàn An ninh mạng của NATO :

Hình 1.1.1.6- Mikko Hyppoenen, tượng đài của làng bảo mật thế giới sẽ có mặt tại Đà

Nẵng vào tháng 12 tới

Tâm điểm của Hội nghị AVAR 2015 là sự góp mặt ông Mikko Hypponen, một trong những “huyền thoại” về An ninh An toàn Thông tin của thế giới Ông chính là một trong những người đầu tiên đưa ra khái niệm antivirus từ những năm 1980 Tạp chí Foreign Policy danh tiếng đã từng xếp hạng ông tại vị trí thứ 61 trong danh sách “100 người có ảnh hưởng nhất thế giới” (The FP 100 Top Global thinkers) Năm 2007, tạp chí PC World của Mỹ cũng xếp ông vào danh sách “50 người có ảnh hưởng nhất tới Internet” (50 Most Important People on the Website) Ông Mikko Hypponen đã từng diễn thuyết tại các Hội thảo An toàn Thông tin quy mô lớn trên thế giới như Black Hat, DEFCON, DLD, … và đặc biệt là diễn giả thường xuyên của các diễn đàn An ninh mạng Quân sự như NATO (Tổ chức Hiệp ước Bắc Đại Tây Dương), CCD, ICCC

Hiện Mikko Hypponen đang cộng tác cho hãng bảo mật F-Secure của Phần Lan Tại AVAR 2015, Mikko Hypponen sẽ trình bản tham luận với chủ đề “Bảo vệ tương lai chúng ta”

Dennis Batchelder - Giám đốc Trung tâm phòng chống mã độc Microsoft

Hình 1.1.1.7 - Dennis Batchelder sẽ chia sẻ nhiều điều thú vị liên quan đến giải pháp bảo

mật của hệ điều hành Windows tại AVAR 2015

Dennis Batchelder hiện đảm nhiệm vị trí Giám đốc Trung tâm phòng chống mã độc của Microsoft (MMPC) Kể từ năm 2007, Dennis đã cùng với MMPC bảo vệ hàng ngàn khách hàng với các sản phẩm và dịch vụ phòng chống mã độc thời gian thực

Ông Batchelder đã có 20 năm kinh nghiệm với vai trò lãnh đạo trong lĩnh vực Công Nghệ Thông Tin, quản lý và phát triển phần mềm tại Hoa Kỳ và Ấn Độ Dự kiến, tại AVAR 2015, ông Batchelder cùng các chuyên gia sẽ thảo luận về các giải pháp bảo mật trên hệ điều hành Windows – nền tảng phổ biến nhất trên máy tính cá nhân và cũng là mục tiêu tấn công nhiều nhất của tin tặc trên toàn cầu

Ngoài ra, vị đại diện đến từ “ông trùm” phần mềm cũng sẽ giải đáp những thắc mắc liên quan đến việc tích hợp phần mềm chống virus Windows Defender vào hệ điều hành Windows

Righard Zwienenberg - Phó Chủ tịch AVAR :

Hình 1.1.1.8- Righard Zwienenberg từng giữ chức Chủ tịch AMTSO

Righard Zwienenberg là chuyên gia nghiên cứu về virus máy tính sau khi ông phát hiện ra loại virus đầu tiên tại trường đại học công nghệ Delft từ năm 1988 Ông khởi đầu sự nghiệp như một nhà tư vấn độc lập Năm 1991, ông trở thành đồng sáng lập và nhà quản lý các hoạt động nghiên cứu và phát triển của công ty CSE

Sau khi Tổ chức tiêu chuẩn đánh giá phần mềm chống mã đốc (AMTSO) được thành lập, Zwienenberg được bầu làm chủ tịch của tổ chức này Ông giữ vị trí Phó Chủ tịch AVAR và là thành viên của Ban nghiên cứu kỹ thuật của Wildlist Tháng 4/2015, lần thứ hai, ông đảm nhiệm chức vụ Chủ tịch của AMTSO

Tại AVAR 2015, Righard Zwienenberg sẽ trình bày tham luận có chủ đề “Hợp tác trong công nghiệp phòng chống mã độc: Nên hay không ? Thành công hay thất bại.”

Bên cạnh đó, một hội nghị bàn tròn do AMTSO chủ trì nhằm đưa ra tiêu chuẩn về phần mềm chống virus trên toàn cầu cũng sẽ được diễn ra trong khuôn khổ AVAR 2015

Dự kiến, Hội nghị AVAR 2015 có chủ đề “Kỷ nguyên chiến tranh mạng” sẽ diễn ra từ ngày 2-4/12 tại

TP Đà Nẵng Hội nghị có sự tham gia của 150 chuyên gia cấp cao đại diện cho 50 hãng bảo mật lớn trên thế giới như Intel (McAfee), Symantec, Kaspersky, Microsoft, BitDefender,…

1.1.2 – Các Website và hệ thống Server liên tục bị tấn công

Hình 1.1.2.1 – Thống kê số lượng Website Việt Nam bị tấn công trong thời gian từ ngày 1 đến

7/8/2015

Trong số các Website bị tấn công, có 18 Website thuộc các bộ, ngành, cơ quan nhà nước đã bị tấn công chiếm quyền điều khiển và thay đổi giao diện Hình thức tấn công chủ yếu thay đổi giao diện (Deface) VNCERT ghi nhận và phát hiện 357 trường hợp sự cố tấn công thay đổi giao diện trên toàn quốc Sau khi kiểm tra, VNCERT gửi 274 yêu cầu điều phối đến các đơn vị liên quan Tính đến ngày 7/8, có 169 Website

đã được khắc phục sự cố, còn lại 188 trường hợp chưa được khắc phục

Thời gian gần đây, số lượng Website Việt Nam bị tấn công đang có chiều hướng gia tăng, đặc biệt hình thức tấn công phổ biến thông qua hành động xâm nhập vào máy chủ (có một số máy chủ chứa hàng trăm website), do vậy khi máy chủ bị tấn công, các website ở trong đó cũng bị tấn công theo Có thể kể đến

như trường hợp ngày 6/6, một nhóm Hacker có tên CmTr đã khai thác lỗ hổng trên Server và tấn công vào

hơn 200 Website tiếng Việt Đêm ngày 3/7/2011, gần 200 Website có tên miền vn, com, net nằm trên một

số Server đã bị tin tặc hỏi thăm, trong đó có cả Website của Sở Tài chính tỉnh Bình Dương

Và theo thông tin hiện nay có một nhóm hacker bí ẩn đã tấn công từ chối dịch vụ vào 13 máy chủ tên miền gốc khiến người dùng Internet cảm thấy việc truy cập website chậm hơn bình thường,13 máy chủ tên miền gốc (root name server - máy chủ tên miền mức cao nhất) là 13 mạng lưới máy chủ với hàng trăm DNS server được đặt khắp thế giới Những server này có vai trò giống nhau để khi một số máy bị tấn công thì các máy khác có thể sẵn sàng thay thế 13 máy chủ tên miền gốc được điều hành bởi 12 tổ chức độc lập trên thế giới.j

Trong giai đoạn từ ngày 30/11 đến 1/12 vừa qua, những máy chủ này hứng chịu một cuộc tấn công DDoS khổng lồ với tần suất 5 triệu lệnh truy vấn mỗi giây và tổng cộng đã có 60 tỷ lệnh chỉ trong hai ngày Trong khi đó, suốt hai năm qua, vào những ngày bận rộn nhất, máy chủ tên miền gốc A do Verisign quản lý cũng chưa bao giờ nhận được hơn 10 tỷ lệnh

Hình 1.1.2.2 - Lưu lượng khổng lồ trong ngày 1/12 mà máy chủ tên miền A của

Verisign nhận được

Trong lịch sử Internet, đã xảy ra hàng trăm cuộc tấn công vào 13 máy chủ gốc như đầu năm 2012, nhóm hacker Anonymous đã huy động lực lượng nhằm DDoS 13 root server với mục đích đánh sập Internet Tuy nhiên, chưa có cuộc tấn công từ chối dịch vụ nào thành công

Nhưng lần này ,trang Root-servers.org - website do các nhà quản lý tên miền gốc điều hành - phải thừa nhận cuộc tấn công này quá lớn và có ảnh hưởng nhất định đến Internet

"Tại một số khu vực trên thế giới, các máy chủ DNS không kịp xử lý các truy vấn thông thường của người dùng trong một thời gian nhất định" , website này cho biết

Theo IBTimes, nhiều người dùng lo lắng một ngày nào đó, 13 máy chủ tên miền gốc có thể bị "hạ gục" khi hacker tấn công DDoS lớn hơn nữa Tuy nhiên, điều này sẽ không xảy ra vì các nhà điều hành những máy chủ này luôn có những server dự phòng để cân bằng và thay thế Không một tổ chức nào trên thế giới có đủ tiềm lực để tiêu diệt toàn bộ những máy chủ này chỉ bằng kỹ thuật DDoS bởi chúng có cấu hình khác nhau, chạy phần mềm và có cách thức bảo vệ cũng khác nhau

Ví dụ điển hình : Cổng thanh toán trực tuyến Nganluong.vn bị Hacker tấn công và thay đổi giao diện

Vào khoảng 10 giờ sáng ngày 4/8, một hình ảnh website của Nganluong.vn bị Hacker tấn công và thay đổi giao diện, kèm theo thông tin website đã bị Hacker có biệt danh là “Hacker 6009” tấn công, đã được

Hình 1.1.2.3 – Website Nganluong.vn bị Hacker tấn công thay đổi giao diện ngày 4/8

Theo tìm hiểu, Hacker không sử dụng hình thức tấn công Deface (thay đổi giao diện trang chủ của Nganluong.vn), mà thực chất Hacker đã khai thác lỗ hổng bảo mật để vượt qua các cơ chế bảo vệ của hệ thống Nganluong.vn, sau đó đã Upload (nạp dữ liệu ) một File nội dung lên máy chủ của Nganluong.vn

Vụ tấn công nhằm mục đích cảnh báo, không nhằm mục đích lấy cắp cơ sở dữ liệu?

Tin tặc có biệt danh “Hacker 6009”, thủ phạm được cho đứng đằng sau vụ tấn công mạng này, là thành viên của nhóm Hacker Việt Nam “Empty Hacker Group” và có vẻ như mục đích của vụ tấn công này nhằm cảnh báo đến lỗ hổng bảo mật trên Nganluong.vn, thay vì tấn công và lấy cắp cơ sở dữ liệu của website này “Hacker 6009” đã bắt đầu những vụ tấn công nhằm vào các website tại Việt Nam từ năm 2013, trong số các “nạn nhân” có các website của chính phủ (tên miền gov.vn) hoặc các tổ chức giáo dục (tên miền edu.vn) với hình thức tấn công khá giống nhau, đó là đều lợi dụng lỗ hổng bảo mật trên hệ thống

để Upload các File nội dung do Hacker tạo ra trên máy chủ của các website bị tấn công

Hiệp hội an toàn thông tin Việt Nam cho biết : ”Việt Nam là 1 trong 5 nước có nguy cơ mất an toàn thông tin cao nhất”

Hiện số thuê bao Internet chiếm gần 32% dân số Việt Nam Đa số các doanh nghiệp và các tổ chức

có hệ thống mạng và Website giới thiệu, quảng bá thương hiệu với gần 200.000 tên miền vn và hàng triệu tên miền thương mại Có rất nhiều doanh nghiệp đã ứng dụng thanh toán trực tuyến vào công việc kinh doanh và giao dịch

Hiện nay, nhiều Website ngân hàng bị “hổng”, theo Trung tâm an ninh mạng (BKIS) những lỗ hổng này sẽ giúp các tin tặc lấy được toàn bộ nội dung của cơ sở dữ liệu, thay đổi, xóa nội dung Website và gây ảnh hưởng tới khách hàng và uy tín của ngân hàng Đặc biệt nguy hiểm, nếu tin tặc kiểm soát được một Server thì tin tặc có thể chiếm quyền các Server khác cùng hệ thống và sẽ xảy ra những thiệt hại nghiêm

trọng nếu đó là những Server phụ trách giao dịch nghiệp vụ của ngân hàng Ngay sau khi phát hiện các lỗ hổng trên Website, BKIS đã gửi công văn cảnh báo và hướng dẫn khắc phục tới các ngân hàng nói trên

Các cuộc tấn công trên mạng chủ yếu có mục tiêu vụ lợi, có tổ chức và mang tính quốc tế đang nở

rộ với quy mô lớn Thủ phạm các cuộc tấn công nhằm vào Website có trình độ cao, hình thức tấn công tinh

vi ,doanh nghiệp tài chính, ngân hàng và tất cả hệ thống Các cuộc tấn công trên là một lời cảnh báo về an toàn thông tin là rất cần thiết đối với các báo điện tử và những Website quan trọng của Việt Nam

Năm 2011, đã có 38.961 dòng Virus mới xuất hiện, lây lan nhiều nhất là Virus W32.Sality.PE Virus này đã lây nhiễm trên 4,2 triệu máy tính và có 2,245 Website của các cơ quan, doanh nghiệp tại Việt Nam

bị tấn công Suy ra trung bình mỗi tháng có 187 Website bị tấn công

1.1.3 – Nhu cầu về an ninh mạng

Một nghiên cứu mới đây cho thấy, nhu cầu về an ninh mạng tăng gấp 3,5 lần so với thị trường IT và gấp 12 lần so với thị trường lao động nói chung Một nghiên cứu khác từ CSIS/McAfee cũng cho thấy tội phạm mạng gây thiệt hại cho nền kinh tế toàn cầu khoảng 445 tỷ đô mỗi năm Đặc biệt, số vụ tấn công mạng vào các hệ thống cơ sở hạ tầng trọng yếu của nhiều quốc gia ngày càng gia tăng và không chỉ các thiết bị kết nối Internet truyền thống, các thiết bị dân dụng như tivi thông minh, máy in, hệ thống phần mềm điều khiển trên xe ôtô… cũng có thể trở thành mục tiêu tấn công mạng Bên cạnh các yếu tố đe dọa an ninh truyền thống, nguy cơ chiến tranh mạng đang trở nên hiện hữu

Chỉ riêng tại Việt Nam, theo số liệu của Sở Thông tin và Truyền thông TP.HCM, ước tính đến năm

2015, cả nước cần hơn 330.000 lao động ở lĩnh vực này Còn theo thống kê của Bộ Giáo Dục – Đào Tạo, hiện nay nguồn nhân lực CNTT tại các doanh nghiệp đang thiếu trầm trọng, nhu cầu tuyển dụng trong lĩnh

vực CNTT là khoảng 250.000 lao động Những con số trên một lần nữa đã cho thấy nhu cầu, cơn khát nhân lực trong ngành CNTT nói chung và nhân lực an ninh mạng ngày càng tăng

Đa số các Doanh Nghiệp Việt Nam hiện nay đã có ý thức được tầm quan trọng của việc đảm bảo an toàn các thông tin trên hệ thống mạng vì đó chính là tài sản của Doanh nghiệp Đặc biệt là trong thời buổi

mà hoạt động kinh doanh đang phát triển theo hướng số hóa Thất thoát thông tin cũng đồng nghĩa với việc túi tiền của doanh nghiệp bị hao hụt

Theo bảng báo cáo về hiện trạng bảo mật mới nhất công bố của Symantec, Việt Nam đứng vị trí 18/20 quốc gia có số người sử dụng Internet đông nhất trên thế giới và đứng thứ 11 trên toàn cầu về các nguy cơ tấn công mạng Số lượng các vụ tấn công có chủ đích gia tăng từ 77 cuộc tấn công mỗi ngày lên 82 cuộc tấn công mỗi ngày Các cuộc tấn công có chủ đích lợi dụng các mạng xã hội và phần mềm độc hại chuyên biệt, nhằm có được khả năng truy cập bất hợp pháp tới những thông tin nhạy cảm

Với thực trạng các Hacker đang tung hoành hiện nay, doanh nghiệp bắt buộc phải thận trọng hơn về bảo mật thông tin và đầu tư cho lĩnh vực này Điều đó kéo theo nhu cầu nhân sự chất lượng cho bảo mật mạng cũng không ngừng tăng Trong lĩnh vực này, bảo mật và an toàn an ninh thông tin sẽ rất khởi sắc trong thời gian tới Theo số liệu của Trung tâm Dự báo nhu cầu nhân lực và Thông tin thị trường lao động TP.HCM, giai đoạn 2011 - 2015, mỗi năm, thành phố cần từ 8.000 đến 10.000 nhân sự CNTT Trong đó, trọng tâm đặt vào ngành Hệ thống thông tin - An ninh mạng

1.2 – Các yếu tố về an ninh mạng

Hình 1.2.1 : Báo cáo về tội phạm Internet

Tình hình an ninh mạng trong nước cũng như trên thế giới liên tiếp được dự báo là sẽ tiếp tục diễn biến phức tạp với hàng loạt các website bị tấn công, chiếm đoạt tên miền, các thông tin, dữ liệu cá nhân bị đánh cắp, các biến thể vi rút mới xuất hiện…Vì vậy, việc nắm bắt các lợi thế của công nghệ thông tin, đồng thời hạn chế tối đa các nguy cơ và rủi ro mất an toàn thông tin chính là chìa khóa để đưa công nghệ thông

tin thực sự trở thành hạ tầng, động lực cho sự phát triển kinh tế xã hội bền vững

Hình 1.2.2 : Sơ lược tỷ lệ cá website bị tấn công tại Việt Nam trong tháng 6

1.3 – Hacker và ảnh hưởng của việc Hack

1.3.1 – Hacker là ai ?

Hacker không có nghĩa là tin tặc, mà còn là những người có khả năng tìm tòi, phát hiện ra những kẽ

hở len lõi trong các đoạn mã lập trình phức tạp của những ứng dụng, mã nguồn tưởng chừng như hoàn hảo

Hacker là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản

trị và bảo mật Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức của bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau Hacker có kiến thức chuyên sâu về các giao thức và hệ thống mạng, có khả năng hoàn thiện và tối ưu hóa hệ thống mạng

Mặt tối của những Hacker này là khả năng tìm ra điểm yếu mạng và lợi dụng những điểm yếu này

để đột nhập vào hệ thống mạng Đánh cắp thông tin về các đối tượng như người dùng, doanh nghiệp, các chi nhánh của công ty, máy chủ… và chiếm được quyền truy cập ở mức độ quản trị Khi đó xem như Hacker

có toàn quyền điều khiển hệ thống mạng Có thể sử dụng Sniffer để bắt các gói tin, từ đó phân tích tìm ra mật khẩu

Hình 1.3.1.1 - Thống kê của VNCERT về các sự cố tại Việt Nam tính đến tháng 10/2015

Đầu năm đến hết tháng 10/2015, có 14.115 trường hợp bị nhiễm mã độc và lây lan mã độc đến các máy tính Trong 14.115 website này, có 86 website/ cổng thông tin điện tử của các cơ quan nhà nước,4.484 website bị tấn công và cài mã phishing.Số website bị tấn công thay đổi giao diện (deface) tính đến hết tháng 10/2015 là 6.122 website, trong đó có 118 website/ cổng thông tin điện tử của cơ quan nhà nước

Đáng chú ý, theo Cục An toàn thông tin, chỉ riêng trong tháng 10/2015, đã có 922 máy chủ và 1.805 website tại Việt Nam bị hacker tấn công với mục đích gửi thư rác

1.3.2 – Các loại Hacker

 Hacker : Người thực hiện hành động xâm nhập và Hack, những người rất giỏi về công nghệ, luôn muốn đi theo con đường mới, xâm nhập hệ thống và sửa đổi tính chất, trạng thái làm việc của hệ thống

 Attacker : Người sử dụng những phát minh của Hacker và tấn công hệ thống

 Script Kiddies : Người muốn tấn công hệ thống hoặc bảo mật nó tuy nhiên chỉ biết dùng Tools hay những thứ 2 loại trên phát hiện ra mà không cần quan tâm bản chất của chúng là gì

 Cracker : Những người thuộc một trường phái của Hacking, chuyên bẻ khóa và am hiểu về mật mã học

1.3.3 - Ảnh hưởng của việc Hack

Theo công ty nghiên cứu an ninh quốc gia Symantec, các cuộc tấn công của Hacker gây thiệt hại cho doanh nghiệp lớn khoảng 2,2 triệu USD mỗi năm Hành vi trộm cắp thông tin cá nhân của khách hàng có thể làm giảm danh tiếng của doanh nghiệp dẫn tới các vụ kiện Hacker có thể làm 1 công ty bị phá sản Botnet có thể được sử dụng để khởi động các loại Dos và các cuộc tấn công dựa trên Website khác dẫn đến các doanh nghiệp bị giảm doanh thu Kẻ tấn công có thể ăn cắp bí mật công ty, thông tin tài chính, hợp đồng quan trọng và bán chúng cho các đối thủ cạnh tranh

Vậy mới thấy, hệ thống máy tính hay các phần mềm quản lý đã “thâu tóm” mọi hoạt động của doanh nghiệp, và có ảnh hưởng to lớn với mọi bộ phận, quá trình sản xuất kinh doanh của doanh nghiệp như thế nào Trong thời đại công nghệ phát triển như hiện nay, việc lựa chọn ứng dụng một hệ thống quản trị vừa đảm bảo đủ “mạnh” để quản lý doanh nghiệp, vừa đủ bảo mật thông tin trước các nguy cơ xâm phạm là vấn đề cực kỳ quan trọng

 Lỗi trong hệ điều hành

 Hệ thống chưa được vá lỗi

Theo thông tin hiện nay, Microsoft đã phát hành gói cập nhật bảo mật lớn nhất từ trước đến nay bao gồm 13 bản vá 34 lỗ hổng trong các phiên bản hệ điều hành Windows, gồm cả lỗ hổng trong hệ điều hành chưa được tung ra thị trường – Windows 7, và những lỗ hổng trong Internet Explorer, Office, SQL Server và nhiều phần mềm khác Microsoft đánh giá 8 trong số 13 bản cập nhật và 21 trong số 34 lỗ hổng ở mức critical – rất nguy hiểm, mức cao nhất trong hệ thống đánh giá gồm 4 mức của Microsoft Những bản cập nhật còn lại được đánh giá ở mức important – nguy hiểm, ở mức thứ 3 trong thang đánh giá, trong khi đó 9 trong số các lỗ hổng còn lại cũng được đánh giá là important, và 4 lỗ hổng còn lại được đánh giá ở mức độ moderate – trung bình

Microsoft đã vá ba lỗ hổng trong SMB 2 (Server Message Block), một giao thức chia sẻ in và file qua mạng do Microsoft phát triển được tích hợp trong hệ điều hành Windows, hai lỗ hổng trong máy chủ FTP được tích hợp trong các phiên bản cũ của máy chủ Website IIS (Internet Information Services), và hai lỗ hổng trong Windows Media Runtime Những lỗ hổng trong SMB 2 và IIS đã được người dùng biết đến từ đầu tháng 9, tuy nhiên những lỗ hổng trong Windows Media Runtime bao gồm một lỗi mà Microsoft cho biết

là đã bị khai thác nhưng không làm lộ ra nguồn công cộng thường dùng như danh sách mail bảo mật

Vì lí do đó, Storms khuyên người dùng nên sử dụng bản cập nhật MS09-051 để vá những lỗ hổng trong Windows Media ngay khi có thể Ông nói “Trước tiên, cần triển khai bản cập nhật MS09-051 ngay lập tức Chúng ta đã biết rằng lỗ hổng này đang bị khai thác Quan trọng hơn, nó có thể bị khai thác trong những cuộc tấn công chiếm quyền điều khiển để buộc người dùng truy cập vào các website độc hại.”

Đầu tháng trước, Microsoft đã xác nhận về lỗ hổng trong SMB 2, dù mã tấn công đã được phát tán nhưng theo các nhà nghiên cứu bảo mật thì không có cuộc tấn công thực sự nào được tiến hành Lỗ hổng này ảnh hưởng tới Windows Vista, Windows Server 2008 và những phiên bản thử nghiệm của Windows 7, nhưng không ảnh hưởng tới phiên bản dự kiến được tung ra vào tuần tới

Trong gói cập nhật định kỳ ngày hôm qua Microsoft cũng đã vá 8 lỗ hổng trong GDI+ (Graphics Device Interface), một thành phần được tích hợp trong Windows XP và là một thành phần chủ chốt của Windows Vista và Windows 7 cũng như những hệ điều hành dành cho máy chủ như Windows Server 2003

và Windows Server 2008

Tin tặc có thể khai thác các lông hổng trong GDI+ bằng cách gửi những file ảnh qua xử lý theo nhiều định dạng như BMP, PNG, TIFF và WMF tới người dùng qua email, hay lừa người dùng truy cập vào những trang chứa nhiều file ảnh độc Tin tặc còn có thể sử dụng lỗ hổng này để chèn những phần mềm độc bổ sung để chiếm quyền điều khiển hệ thống hay đánh cắp dữ liệu

Ví Dụ : OpenOffice

Thông tin từ Symantec Security Response cho biết thực chất mã độc nói trên là một con sâu máy tính đính kèm trong các tệp tin OpenOffice độc hại được phát tán bằng con đường Email Con sâu này có khả năng lây nhiễm lên hệ điều hành Windows, Linux và Mac OS X

Con sâu máy tính này đã được phát hiện hồi cuối tháng trước Tuy nhiên tại thời điểm đó các chuyên gia bảo mật cho rằng chúng chưa được phát tán rộng trên mạng Internet

Nếu người dùng mở tệp tin OpenOffice độc hại con sâu badbunny.odg ngay lập tức sẽ được khởi

động cùng với một Macro (gộp) có chức năng xác định hệ điều hành mà người dùng đang sử dụng

Nếu đó là hệ điều hành Windows, con sâu sẽ cấy một tệp tin có tên drop.bad vào hệ thống Chức năng chính của tệp tin này là di chuyển tệp tin hệ thống thesystem.ini vào trong thư mục mIRC Đồng thời

nó cũng cho thực thi một JavaScript badbunny.js có chức năng nhân bản các tệp tin khác trong thư mục

nó tồn tại

Còn trên hệ điều hành Mac OS X con sâu cấy vào máy hai con virus Ruby Script có tên badbunny.rb

và badbunnya.rb Còn trên hệ thống Linux thì bị nhiễm hai con virus XChat Script badbunny.py và Perl Script badbunny.pl

Symantec xếp con sâu OpenOffice mới vào mức nguy hiểm trung bình Hãng bảo mật khuyến cáo người dùng không nên mở các tệp tin OpenOffice được gửi đến từ một nguồn không rõ ràng

Với các công cụ Sniffing, hacker có thể dò tìm tên người dùng (user name), mật khẩu (password), thông tin các tài khoản trên Internet… Đặc biệt nguy hiểm người dùng có thể bị đánh mất thông tin tài khoản email, thẻ tín dụng, ngân hàng… Kỹ thuật này sẽ không “đánh” trực diện vào máy chủ (server) hoặc máy khách (client) mà chủ yếu nó đứng giữa để chụp bắt các gói tin di chuyển từ máy khách (client) đến máy chủ (server)

Quá trình gửi – nhận thông tin giữa máy tính gửi tin và máy nhận tin vẫn diễn ra bình thường Người

sử dụng khó biết được mình đang bị nghe lén thông tin vì phiên làm việc giữa 2 máy tính vẫn “chạy tốt” Tính chất nguy hiểm của kỹ thuật tấn công này là như vậy

Theo Trung tâm Đào tạo Quản trị và An ninh mạng Athena, các hacker có thể chiếm phiên làm việc của người dùng máy tính bằng kỹ thuật tấn công Man-In-the Middle (có ý nghĩa đứng giữa hai thiết bị mạng

và nghe lén) Người sử dụng Internet sẽ không hề biết mình đang bị đọc trộm thông tin Trong suốt quá trình đăng nhập, hacker sẽ đọc hết các email có trong tài khoản hoặc các mẫu trao đổi trong quá trình chat bằng Yahoo! Messenger Các hacker có thể sử dụng các phần mềm phân tích gói tin dành cho các nhà quản trị mạng như: Network Monitor, Sniffer Pro… hoặc dùng đến công cụ hành nghề nghe lén như: Cain & Abel, Ettercap, Dsniff…

Trước đây, một số người dùng cứ nghĩ rằng máy tính của mình bị nhiễm virus, spyware… hoặc bị cài

PM ghi bàn phím (keylogger) nhưng trên thực tế họ đang bị nghe lén trong mạng nội bộ Hacker chỉ cần kết nối máy tính của mình vào mạng nội bộ, chọn card mạng cần nghe lén và khởi động chương trình Sniffing

để ghi nhận các gói tin gửi về từ máy tính của nạn nhân

Sau khi đã bắt được các gói tin, các hacker sẽ tiến hành lọc gói tin này bằng công cụ Cookie Editor

và nhặt ra các thông tin quan trọng như tên người dùng, mật khẩu, nội dung chat… Các phần mềm nghe lén này có thể đọc trộm thông tin trong các ứng dụng websitemail, chat…phổ biến hiện nay

Tuy nhiên, đối với một số ứng dụng websitemail có mã hoá dữ liệu ở mức độ cao thì hacker khó lòng đánh cắp thông tin dù vẫn nghe lén được bình thường Khi đó, công cụ bắt gói tin chỉ có thể ghi nhận một

mớ thông tin mã hoá lấy được từ máy tính nạn nhân

Công cụ nghe lén các đoạn chat bằng Yahoo! Messenger là các PM có thể ghi nhận và lưu giữ các mẫu đối thoại bằng Yahoo! Messenger; tự động gửi báo cáo về nội dung chat qua email để theo dõi từ xa… một số gia đình, phụ huynh đã dùng đến công cụ này để quản lý nếu con mình sử dụng máy tính để chat trên mạng

Trong một số trường hợp, việc bảo vệ đường dẫn được quản lý thông tin qua cấu hình, và đôi khi bị cấu hình sai sót Các lập trình viên cũng đôi khi quên tích hợp đoạn mã kiểm tra quyền Sai sót như vậy cho phép kẻ tấn công truy cập trái phép vào một số chức năng cần bảo vệ Thông thường giao diện quản trị là mục tiêu chính cho kiểu tấn công này

1.4.3 – Tấn công các cấp độ ứng dụng

Phần mềm ứng dụng đi kèm với nhiều chức năng và cả tính năng, nhưng chưa kiểm tra lỗi kỹ thuật dẫn đến lỗ hổng để Hacker khai thác, bao gồm các loại tấn công như :

 Tràn bộ đệm

 Cross Site Scripting (XSS)

 Tấn công từ chối dịch vụ (DDoS)

Website phổ biến nhất hiện nay như WordPress, Joomla, Drupal, và MediaWiki Và không những là thông tin

về các lỗ hổng trên các ứng dụng đó có thể tìm kiếm dễ dàng mà tin tặc với một vài từ khoá đơn giản có thể tìm kiếm chính xác website nào chưa được sửa các lỗ hổng đó

Bên cạnh đó, thông thường, các tin tặc sẽ tập trung vào khai thác các lỗi sau :

 SQL Injection

 Cross Site Scripting (XSS)

 Remote Command Execution

 Path Traversal

Chương 2 : TỔNG QUAN VỀ CÁC PHƯƠNG THỨC TẤN CÔNG 2.1 – Giới thiệu về Sniffer

2.1.1 – Sniffer là gì ?

Hình 2.1.1.1 : Minh họa Sniffer

Khởi đầu Sniffer là tên một sản phẩm của Network Associates có tên là Sniffer Network Analyzer Sniffer được hiểu đơn giản như là một chương trình cố gắng nghe ngóng, “đánh hơi” các lưu lượng thông tin trên hệ thống mạng

Sniffer được sử dụng như một công cụ để nhà quản trị mạng theo dõi và bảo trì hệ thống mạng Về mặt tiêu cực, Sniffer được sử dụng như một công cụ với mục đích nghe lén các thông tin trên mạng để lấy các thông tin quan trọng

Sniffer dựa vào phương thức tấn công ARP để bắt các gói tin được truyền qua mạng

Những giao dịch giữa các hệ thống mạng máy tính thường là những dữ liệu ở dạng nhị phân (Binary) Bởi vậy để nghe lén và hiểu được những dữ liệu ở dạng nhị phân này, các chương trình Sniffer phải có tính năng được biết như là sự phân tích các nghi thức (Protocol Analysis), cũng như tính năng giải mã (Decode) các dữ liệu ở dạng nhị phân để hiểu được chúng

Trong một hệ thống mạng sử dụng những giao thức kết nối chung và đồng bộ Bạn có thể sử dụng Sniffer ở bất cứ Host nào trong hệ thống mạng của bạn Chế độ này được gọi là chế độ hỗn tạp (Promiscuous Mode)

Đối tượng Sniffing là :

• Password (từ Email, Website, SMB, FTP, SQL hoặc Telnet)

 Các thông tin về thẻ tín dụng

 Văn bản của Email

 Các tập tin đang di động trên mạng (tập tin Email, FTP hoặc SMB)

2.1.2 – Sniffer thường xảy ra ở đâu ?

Nghe lén chủ yếu xảy ra ở mặt vật lý Nghĩa là kẻ tấn công phải tiếp cập và có thể điều khiển một thành phần của hệ thống mạng, chẳng hạn như một máy tính nào đó Ví dụ kẻ tấn công có thể dùng Laptop hoặc PC trong các dịch vụ Internet, các quán Cafe Wifi, trong hệ thống mạng nội bộ doanh nghiệp

Trường hợp hệ thống máy tính nghe trộm và kẻ tấn công ở cách xa nhau, kẻ tấn công tìm cách điều khiển một máy tính nào đó trong hệ thống mạng rồi cài đặt chương trình nghe lén vào máy đó để thực hiện nghe trộm từ xa

2.1.3 – Các mối đe dọa về Sniffer

Bằng cách đặt gói tin trên mạng ở chế độ Multi-Mode, kẻ tấn công có thể bắt và phân tích tất cả lưu lượng, thông tin mạng Các gói tin nghe lén có thể chỉ bắt những thông tin trên cùng 1 miền mạng Nhưng thông thường thì Laptop có thể tham gia vào mạng và thực thi Hơn thế nữa, trên Switch có nhiều Port được

mở nên nguy cơ về nghe lén là rất cao

Hiện nay, nghe trộm mạng được thực hiện rất dễ dàng, bởi có quá nhiều công cụ giúp thực hiện như Cain & Able, Ettercap, Ethereal, Dsniff, TCPDump, Sniffit, … Các công cụ này ngày càng được tối ưu hóa, dễ

sử dụng và tránh bị phát hiện khi được thực thi So với các kiểu tấn công khác, tấn công dạng Sniffing cực

kỳ nguy hiểm, bởi nó có thể ghi lại toàn bộ thông tin được truyền dẫn trên mạng, và người sử dụng không biết là đang bị nghe lén lúc nào do máy tính của họ vẫn hoạt động bình thường, không có dấu hiệu bị xâm hại Điều này dẫn đến việc phát hiện và phòng chống nghe trộm rất khó, và hầu như chỉ có thể phòng chống trong thế bị động (Passive) – nghĩa là chỉ phát hiện được bị nghe trộm khi đang ở trình trạng bị nghe trộm

Các giao thức có thể sử dụng Sniffing :

• Telnet và Rlogin : ghi lại các thông tin như Password, Username

• HTTP : Các dữ liệu gởi đi mà không mã hóa

• SMTP : Password và dữ liệu gởi đi không mã hóa

• NNTP : Password và dữ liệu gởi đi không mã hóa

• POP : Password và dữ liệu gởi đi không mã hóa

• FTP : Password và dữ liệu gởi đi không mã hóa

• IMAP : Password và dữ liệu gởi đi không mã hóa

Hình 2.1.3.2 : Các lỗ hổng của giao thức để Sniffing

2.1.4 – Sniffer được sử dụng như thế nào ?

Sniffer thường được sử dụng vào 2 mục đích :

 Một công cụ giúp cho các quản trị mạng theo dõi và bảo trì hệ thống mạng của mình

 Một chương trình được cài vào một hệ thống mạng máy tính với mục đích đánh hơi, nghe lén các thông tin trên đoạn mạng này

Điều kiện để thực hiện Sniffer :

 Sniff có thể hoạt động trong mạng LAN, WAN, WLAN

 Điều kiện cần chỉ là dùng chung Subnet Mask khi Sniffer

 Ngoài ra còn dùng một số Tool để bắt và phân tích gói tin

Một số tính năng của Sniffer :

 Các Hacker sử dụng Sniffer để đánh bắt, trộm tên truy cập của người dùng (Username) và mật khẩu không được mã hoá (Clear Text Password) trong hệ thống mạng của người dùng

 Sniffer giúp các nhà quản trị theo dõi các thông tin dữ liệu trên đường truyền Họ có thể đọc và hiểu được ý nghĩa của những dữ liệu đó