Bảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại NamBảo đảm an toàn thông tin cho hệ thống E learning Trường Đại học Đại Nam
HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THƠNG - NGÔ NGỌC GIANG ĐẢM BẢO AN TỒN THƠNG TIN CHO HỆ THỐNG E-LEARNING TRƢỜNG ĐẠI HỌC ĐẠI NAM CHUYÊN NGÀNH : MÃ SỐ : HỆ THỐNG THƠNG TIN 8480104 TĨM TẮT LUẬN VĂN THẠC SỸ KỸ THUẬT NGƢỜI HƢỚNG DẪN KHOA HỌC: TS ĐỖ XUÂN CHỢ HÀ NỘI - 2017 Luận văn hồn thành tại: HỌC VIỆN CƠNG NGHỆ BƢU CHÍNH VIỄN THÔNG Người hướng dẫn khoa học: TS ĐỖ XUÂN CHỢ Phản biện 1: ………………………………………………………… Phản biện 2: ……………………………………………………… Luận văn bảo vệ trước Hội đồng chấm luận văn thạc sĩ Học viện Cơng nghệ Bưu Viễn thông Vào lúc: ngày tháng năm Có thể tìm hiểu luận văn tại: - Thư viện Học viện Công nghệ Bưu Viễn thơng MỞ ĐẦU Lý chọn đề tài Chương trình ứng dụng cơng nghệ thơng tin (CNTT) nhằm đại hóa q trình giảng dạy lưu trữ thông tin Bộ giáo dục đạo tạo mang lại kết lớn đặc biệt tiện ích cho sinh viên Một ứng dụng CNTT triển khai nhiều Hệ thống đào tạo trực tuyến E-learning Hệ thống đào tạo trực tuyến E-learning tạo cầu nối giao tiếp nhanh chóng thuận tiện cho nhà trường, học sinh phụ huynh Hệ thống ứng dụng triển khai nhiều nước giới Tuy nhiên, Việt Nam ứng dụng tương đối mẻ lạ lẫm Một số kết luận đánh giá hiệu hệ thống thông tin rằng: Hệ thống đào tạo trực tuyến E-learning hệ thống thông tin đại, mang lại tiện ích lớn thiết thực cho người học Tuy nhiên, bên cạnh lợi ích hữu Hệ thống đào tạo trực tuyến E-learning số bất cập mang lại rủi ro cao cách sử dụng quản lý Một rủi ro nhắc đến nhiều nguy an tồn thơng tin cho liệu Hệ thống đào tạo trực tuyến E-learning Có nhiều lý khách quan chủ quan dẫn đến tình trạng an tồn thơng tin cho liệu hệ thống kỹ thuật công biết bị xem nhẹ Trường Đại học Đại Nam trường đại học đầu nước vấn đề ứng dụng CNTT công tác giảng dạy học tập Hệ thống đào tạo trực tuyến E-learning trường nghiên cứu triển khai thực tế Tuy nhiên, ứng dụng CNTT khác, hệ thống thông đào tạo trực tuyến E-learning nhà trường từ lúc xây dựng đến lúc vào hoạt động chủ yếu coi trọng đến chức hệ thống chưa có đánh giá mức độ an tồn thơng tin hệ thống Chính vậy, công mạng khai thác thành công lỗ hổng tiềm ẩn hệ thống chắn rủi ro lớn Từ lý trên, học viên với giúp đỡ TS Đỗ Xuân Chợ lựa chọn đề tài: “Đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam” Tổng quan vấn đề cần nghiên cứu E-learning (viết tắt Electronic Learning), E-learning thuật ngữ dùng để mô tả việc học tập đào công lúc tìm cách leo thăng đặc quyền cách gửi WebShell lên hệ thống Rồi từ chiếm tồn điều khiển hệ thống 3.1.2 Một số công cụ thực nghiệm - VMware Workstation 10 [11] - Kali Linux [12] - Acunetix WVS (Web Vulnerability Scanner) [13] - Wireshark [14] - WebShell [15] 21 3.2 Thực nghiệm đánh giá 3.2.1 Thực nghiệm rà quét lỗ hổng bảo mật Để tìm kiếm lỗ hổng bảo mật website hệ thống E-learning trường Đại học Đại Nam, học viên xử dụng cơng cụ Acunetix WVS (hình 3.1) Chức thành phần công cụ Acunetix WVS trình bày mục 3.1.1 luận văn Tiếp theo, luận văn trình bày cách thưc tiến hành rà quét lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam Hình 3.1 Giao diện cơng cụ Acunetix WVS Hình 3.2 Kết q trình rà qt website cơng cụ Acunetix WVS 22 Kết luận: Trên luận văn trình bày kỹ thuật cách thức để tiến hành rà quét, tìm kiếm phân tích lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an tồn với kỹ thuật cơng mạng phổ biến Kết giúp cho kẻ cơng có phương án khác cơng vào hệ thống đào tạo E-learning trường Đại học Đại Nam 3.2.2 Thực nghiệm công Sau thất bại việc tìm kiếm lỗ hổng bảo mật để khai thác thông tin hệ thống E-learning trường Đại học Đại Nam Kẻ công nhận thấy việc công trực diện vào hệ thống không khả thi Nhận thấy website hệ thống Elearning trường Đại học Đại Nam không sử dụng giao thức HTTPS để thực truyền nhận tin Chính vậy, kẻ cơng tìm cách nghe nén đường truyền để nắm thơng tin q trình truyền tin Qúa trình thực tiến hành sau: Bước 1: tìm cách giả mạo địa IP mạng Lan Học viên giả thuyết rằng, kẻ công nạn nhân ngồi mạng Lan Kẻ công dùng kỹ thuật để bắt gói tin phân tích chúng Bước 2: cấu hình cho Wireshark Ở bước này, kẻ công sử dụng eth0 khởi động Hình 3.3 Thơng tin thu thập từ Wireshark Bước 3: chờ đợi thông tin đăng nhập từ nạn nhân: Quản trị vào website để nhập tài khoản quản lý 23 Hình 3.4 Nạn nhân đăng nhập thông tin Bước 6: Thu thập thông tin: Tại máy kẻ công Sau bắt gói tin, kẻ cơng điền vào tìm kiếm wireshark: http.request.method == “POST” Kết thu được thể qua hình 3.5 Hình 3.5 Kết phân tích gói tin Từ hình 3.5 cho thấy thông tin mật tên người dùng trình đăng nhập từ máy khách chuyển máy chủ lưu dạng rõ Chính vậy, kẻ cơng thu thập thơng tin mật người quản trị Từ thơng tin này, kẻ cơng tìm cách đăng nhập vào hệ thống tiến hành tiêm mã độc vào hệ thống nhằm đánh cắp leo thang đặc quyền hệ thống Tiếp theo, luận văn mô tả q trình kẻ cơng tiến hành leo thang đặc quyền chiếm quyền điều khiển toàn hệ thống Quy trình kẻ cơng tiến hành leo thang đặc quyền chiếm quyền điều khiển toàn hệ thống gồm bước sau: Bước 1: Đăng nhập vào hệ thống danh nghĩa quản trị viên: Sau biết thông tin đăng nhập quản trị viên, kẻ công tiến hành đăng nhập thơng tin máy 24 Bước 2: Tìm cách chuyển mã đơc (Web shell dạng PHP) lên hệ thống để chiếm quyền điều khiển Root server Tuy nhiên, trình tiến hành chuyển mã độc lên website khởi động mã độc, kẻ công gặp phải trở ngại hệ thống không cho phép đẩy file liệu lên mà tải máy Kẻ công nhận thấy website dùng moodle 3.0 có phần install plugin nên kẻ công tải moodle plugin 3.0 cho mã độc php vào moodle plugin install plugin Với cách này, kẻ công thành công việc đẩy mã độc lên website moodle lên để thực thi Đường link để tải moodle 3.0 là: https://moodle.org/plugins/download.php/12670/local_navigation_moodle32_201611 0101.zip Bước 3: chèn mã độc vào file moodle plugin vừa tải: Sau tải giải nén file moodle plugin hình 3.20 Kẻ cơng tìm cách đưa mã độc file hệ thống tiến hành cài đặt Trong luận văn, học viên sử dụng mã độc có tên là: shacojx.php Đây loại mã độc tương đối mới, mạnh mẽ Bước 4: cài đặt mã độc: Kết trình cài đặt kích hoạt mã độc thể qua hình 3.22÷3.23 luận văn Chú ý: q trình Install plugin, máy kẻ cơng có path C:\xampp\htdocs\online/local/navigation Đây đường link mà kẻ cơng để web shell forder navigation, tên mã độc shacojx.php Như vậy, kẻ công vào thực thi web shell với link web: http://khaothi.dainam.edu.vn:9000/local/navigation/shacojx.php Hình 3.24 thể kết giao diện web shell Đăng nhập password để vào shell: smile!@# Hình 3.25 giao diện web shell đăng nhập thành cơng Hình 3.6 Giao diện web shell đăng nhập thành công Bước Đánh cắp liệu: Kẻ công chọn mã độc đơn giản, có chức thực thi cmd (tên mã độc shell.php) Sau kẻ cơng vào link dẫn mã độc shell.php :http://khaothi.dainam.edu.vn:9000/shell.php Kẻ công gõ lệnh whoami để xem quyền thấy quyền cao system (Xem hình 3.26 luận văn) Kẻ 25 cơng xem tồn file ổ C; ổ D: server cách sửa link dẫn hiển thị Tiếp theo, hình 3.8 thể q trình kẻ cơng thành cơng việc đánh cắp liệu từ máy chủ máy tính kẻ cơng Hình 3.7 Thư mục file máy tính nạn nhân Hình 3.8 Tải file danh_cho_sv_thi_thu_Toeic_dau_vao.rar Kết luận chƣơng Những kết đạt chương sau: - Mô tả số cơng cụ hỗ trợ q trình rà qt phát lỗ hổng hệ thống E-learning trường Đại học Đại Nam - Thực rà quét tìm kiếm lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an toàn với kỹ thuật công mạng phổ biến 26 - Thực công leo thang đặc quyền lên website hệ thống Elearning trường Đại học Đại Nam cách nghe nén đường truyền sử dụng mã độc shacojx.php shell.php Kết công cho thấy kẻ công thành công việc công leo thang vào hệ thông 27 KẾT LUẬN LUẬN VĂN Những kết luận văn: - Trình bày hệ thống đào tạo trực tuyến E-learning bao gồm: Vai trò, cơng nghệ áp dụng, thành phần Các kết nghiên cứu cho thấy nhu cầu học tập người lợi ích của việc học trực tuyến lớn - Trình bày mơ hình đào tạo trực tuyến trường Đại học Đại Nam - Trình bày nguy cơ, điểm yếu, mối đe dọa hệ thống đào tạo trực truyến E-learning nói chung hệ thống E-learning trường Đại học Đại Nam Kết cho thấy, phần lớn hệ thống hệ thống E-learning khơng có sách đảm bảo an tồn thơng tin tốt, tính chất an tồn thơng tin chưa thực coi trọng - Trình bày phương pháp nhằm đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E-learning trường Đại học Đại Nam Kết nghiên cứu cho thấy để đảm bảo an tồn thơng tin cho hệ thống E-learning trường Đại học Đại Nam cần kết hợp đầy đủ yếu tố: người, sách, cơng nghệ - Thực rà qt tìm kiếm lỗ hổng bảo mật hệ thống E-learning trường Đại học Đại Nam dựa công cụ mã nguồn mở Acunetix WVS Các kết ban đầu cho thấy hệ thống tương đối an toàn với kỹ thuật công mạng phổ biến - Thực công leo thang đặc quyền lên website hệ thống E-learning trường Đại học Đại Nam cách nghe nén đường truyền sử dụng mã độc shacojx.php shell.php Kết công cho thấy kẻ công thành công việc công leo thang vào hệ thống Hƣớng phát triển luận văn Trên kết làm luận văn nghiên cứu phát triển theo hướng sau: - Áp dụng số biện pháp công nghệ để gia cố cho hệ thống E-learning trường Đại học Đại Nam - Xây dựng hệ thống phát mã độc sử dụng giao thức HTTPS trình truyền tin ... nhằm đảm bảo an tồn thơng tin cho hệ thống đào tạo trực truyến E- learning trường Đại học Đại Nam Kết nghiên cứu cho thấy để đảm bảo an tồn thơng tin cho hệ thống E- learning trường Đại học Đại Nam. .. Đảm bảo an tồn thơng tin cho hệ thống E- learning trường Đại học Đại Nam Tổng quan vấn đề cần nghiên cứu E- learning (viết tắt Electronic Learning) , E- learning thuật ngữ dùng để mô tả việc học. .. cơng vào hệ thống đào tạo E- learning trường Đại học Đại Nam 3.2.2 Thực nghiệm công Sau thất bại việc tìm kiếm lỗ hổng bảo mật để khai thác thông tin hệ thống E- learning trường Đại học Đại Nam Kẻ