Theo định nghĩa một cách chung nhất thì thông tin là những hiểu biết, tri thức của con người về một đối tượng, một thực thể, một sự kiện trong thế giới khách quan. Thông tin có thể tồn tại dưới nhiều dạng khác nhau (chữ viết, âm thanh, hình ảnh hoặc chuỗi những chữ số). Chính vì thế thông tin cũng có thể trao đổi được dưới nhiều hình thức khác nhau, trong đó hình thức trao đổi thông tin dưới dạng thông tin số đang là một hình thức tiện lợi và được áp dụng vào hầu hết các lĩnh vực của cuộc sống ngày nay.
CHƯƠNG TỔNG QUAN VỀ AN TỒN THƠNG TIN 1.1 Thơng tin an tồn thơng tin 1.1.1 Định nghĩa thơng tin Theo định nghĩa cách chung thông tin hiểu biết, tri thức người đối tượng, thực thể, kiện giới khách quan Thơng tin tồn nhiều dạng khác (chữ viết, âm thanh, hình ảnh chuỗi chữ số) Chính thơng tin trao đổi nhiều hình thức khác nhau, hình thức trao đổi thông tin dạng thông tin số hình thức tiện lợi áp dụng vào hầu hết lĩnh vực sống ngày Thông tin thường đa dạng, phong phú, thơng tin khác có giá trị khác Giá trị thông tin phụ thuộc vào nội dung thơng tin 1.1.2 An tồn thơng tin a Định nghĩa an tồn thơng tin Khi nói đến an tồn thơng tin (ATTT), điều người ta thường nghĩ đến xây dựng tường lửa (Firewall) tương tự để ngăn chặn công xâm nhập bất hợp pháp Cách tiếp cận khơng hồn tồn chất ATTT không đơn sử dụng số cơng cụ vài giải pháp mà để đảm bảo ATTT cho hệ thống cần có nhìn tổng quát khoa học Vậy ATTT gì? An tồn nghĩa thơng tin bảo vệ, hệ thống dịch vụ có khả chống lại tai hoạ, lỗi tác động không mong đợi, thay đổi tác động đến độ an toàn hệ thống nhỏ Hệ thống có đặc điểm sau khơng an tồn: Các thơng tin liệu hệ thống bị người khơng quyền truy nhập tìm cách lấy sử dụng (thơng tin bị rò rỉ) Các thông tin hệ thống bị thay sửa đổi làm sai lệch nội dung (thông tin bị xáo trộn) Thơng tin có giá trị cao đảm bảo tính xác kịp thời, hệ thống cung cấp thơng tin có giá trị thực chức hệ thống đảm bảo hoạt động đắn Mục tiêu an tồn bảo mật cơng nghệ thơng tin đưa số tiêu chuẩn an toàn Ứng dụng tiêu chuẩn an toàn vào đâu để loại trừ giảm bớt nguy hiểm Do kỹ thuật truyền nhận xử lý thông tin ngày phát triển đáp ứng yêu cầu ngày cao nên hệ thống đạt tới độ an tồn Quản lý an tồn rủi ro gắn chặt với quản lý chất lượng Khi đánh giá độ an tồn thơng tin cần phải dựa phân tích rủi ro, tăng an tồn cách giảm tối thiểu rủi ro Các đánh giá cần hài hồ với đặc tính, cấu trúc hệ thống q trình kiểm tra chất lượng b Mục đích an tồn thơng tin Hình 1.1.2.b.1 Tam giác CIA * Tính bí mật Bí mật thuật ngữ sử dụng để tránh lộ thông tin đến đối tượng không xác thực để lọt vào hệ thống khác Ví dụ: giao dịch tín dụng qua Internet, số thẻ tín dụng gửi từ người mua hàng đến người bán, từ người bán đến nhà cung cấp dịch vụ thẻ tín dụng Hệ thống cố gắng thực tính bí mật cách mã hóa số thẻ suốt trình truyền tin, giới hạn nơi xuất (cơ sở liệu, log file, lưu (backup), in hóa đơn…) việc giới hạn truy cập nơi mà lưu lại Nếu bên khơng xác thực (ví dụ người dùng khơng có giao dịch, hacker…) lấy số thẻ cách nào, tính bí mật khơng Tính bí mật cần thiết (nhưng chưa đủ) để trì riêng tư người có thơng tin hệ thống lưu giữ * Tính tồn vẹn Trong an tồn thơng tin, tồn vẹn có nghĩa liệu khơng thể bị chỉnh sửa mà khơng bị phát Nó khác với tính tồn vẹn tham chiếu sở liệu, xem trường hợp đặc biệt tính quán hiểu hơ hình cổ điển ACID (tính ngun tử (atomicity), tính quán (consistency), tính tính cách ly (isolation), tính lâu bền (durability) – tập thuộc tính đảm bảo sở liệu đáng tin cậy) xử lý giao dịch Tính tồn vẹn bị xâm phạm thông điệp bị chỉnh sửa giao dịch Hệ thống thơng tin an tồn ln cung cấp thơng điệp tồn vẹn bí mật * Tính sẵn sàng Mọi hệ thống thông tin phục vụ mục đích riêng thơng tin phải ln ln sẵn sàng cần thiết Điều có nghĩa hệ thống tính tốn sử dụng để lưu trữ xử lý thơng tin, có hệ thống điều khiển bảo mật sử dụng để bảo vệ nó, kênh kết nối sử dụng để truy cập phải ln hoạt động xác Hệ thống có tính sẵn sàng cao hướng đến sẵn sàng thời điểm, tránh rủi ro phần cứng, phần mềm như: cố điện, hỏng phần cứng, cập nhật, nâng cấp hệ thống… đảm bảo tính sẵn sàng có nghĩa tránh cơng từ chối dịch vụ * Tính xác thực Trong hoạt động tính tốn, kinh doanh qua mạng an tồn thơng tin, tính xác thực vơ cần thiết để đảm bảo liệu, giao dịch, kết nối tài liệu (tài liệu điện tử tài liệu cứng) thật (genuine) Nó quan trọng cho việc xác nhận bên liên quan biết họ hệ thống * Tính khơng thể chối cãi Khơng thể chối cãi có nghĩa bên giao dịch phủ nhận việc họ thực giao dịch với bên khác Ví dụ: giao dịch mua hàng qua mạng, khách hàng gửi số thẻ tín dụng cho bên bán, tốn thành cơng, bên bán khơng thể phủ nhận việc họ nhận tiền, (trừ trường hợp hệ thống khơng đảm bảo tính an tồn thơng tin giao dịch) 1.2 Nguy rủi ro an tồn thơng tin Với phát triển giới nói chung Việt Nam nói riêng, xã hội phát triển kéo thêm nhiều nguy an tồn thơng tin Đặc biệt vấn đề đe dọa thơng tin đường truyền internet, qua máy tính, điện thoại thông minh, thiết bị thông minh khác để lại nguy tiềm ẩn Tình trạng đáng lo ngại trước hành vi thâm nhập vào hệ thống, phá hoại hệ thống mã hóa, phần mềm xử lý thơng tin tự động gây thiệt hại vô lớn Sau số nguy rủi ro an tồn thơng tin: 1.2.1 Nguy an tồn thơng tin khía cạnh vật lý Nguy an tồn thơng tin khía cạnh vật lý nguy điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng, phần tử phá hoại nhân viên xấu bên kẻ trộm bên 1.2.2 Nguy bị mất, hỏng, sửa đổi nội dung thơng tin Người dùng vơ tình để lộ mật khơng thao tác quy trình tạo hội cho kẻ xấu lợi dụng để lấy cắp làm hỏng thông tin Kẻ xấu sử dụng cơng cụ kỹ thuật để thay đổi nội dung thơng tin (các file) nhằm sai lệnh thông tin chủ sở hữu hợp pháp 1.2.3 Nguy bị công phần mềm độc hại Các phần mềm độc hại công nhiều phương pháp khác để xâm nhập vào hệ thống với mục đích khác như: Virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware, Trojan, Adware) 1.2.4 Nguy xâm nhập từ lỗ hổng bảo mật Lỗ hổng bảo mật thường lỗi lập trình, lỗi cố phần mềm, nằm nhiều thành phần tạo nên hệ điều hành chương trình cài đặt máy tính Hiện, lỗ hổng bảo mật phát ngày nhiều hệ điều hành, web server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước 1.2.5 Nguy xâm nhập bị công cách phá mật Quá trình truy cập vào hệ điều hành bảo vệ khoản mục người dùng mật Đôi người dùng khoản mục lại làm mục đích bảo vệ cách chia sẻ mật với người khác, ghi mật để cơng khai để nơi cho dễ tìm khu vực làm việc Những kẻ cơng có nhiều cách khác phức tạp để tìm mật truy nhập Những kẻ cơng có trình độ biết ln có khoản mục người dùng quản trị Kẻ cơng sử dụng phần mềm dò thử mật khác Phần mềm tạo mật cách kết hợp tên, từ từ điển số Ta dễ dàng tìm kiếm số ví dụ chương trình đốn mật mạng Internet như: Xavior, Authforce Hypnopaedia Các chương trình dạng làm việc tương đối nhanh ln có tay kẻ cơng 1.2.6 Nguy an tồn thơng tin sử dụng e-mail Tấn cơng có chủ đích thư điện tử công email giả mạo giống email gửi từ người quen, gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus Cách thức công thường nhằm vào cá nhân hay tổ chức cụ thể Thư điện tử đính kèm tập tin chứa virus gửi từ kẻ mạo danh đồng nghiệp đối tác Người dùng bị cơng thư điên tử bị đánh cắp mật bị lây nhiễm virus 1.2.7 Nguy an tồn thơng tin q trình truyền tin Trong q trình lưu thơng giao dịch thơng tin mạng internet nguy an tồn thơng tin trình truyền tin cao kẻ xấu chặn đường truyền thay đổi phá hỏng nội dung thông tin gửi tiếp tục đến người nhận Mặt khác, ngày Internet/Intranet môi trường tiện lợi cho việc trao đổi thông tin tổ chức cá nhân tổ chức với Các giao dịch trao đổi thư tín điện tử (email), trao đổi thông tin trực tuyến quan nhà nước cơng dân, tìm kiếm thơng tin, … thông qua mạng internet không ngừng mở rộng ngày phát triển Bên cạnh lợi ích mà Internet/Intranet mang lại mơi trường tiềm ẩn nguy gây an toàn an ninh cho hệ thống mạng tổ chức có tham gia giao dịch Internet/Intranet Một vấn đề đặt cho tổ chức bảo vệ nguồn thông tin liệu số liệu cơng tác quản lý hành nhà nước, tài kế tốn, số liệu nguồn nhân lực, tài liệu công nghệ, sản phẩm…., trước mối đe dọa mạng Internet mạng nội làm tổn hại đến an tồn thơng tin gây hậu nghiêm trọng khó lường trước 1.3 Hacker ảnh hưởng việc hack 1.3.1 Hacker họ Là người thông minh với kỹ máy tính xuất sắc, có khả tạo hay khám phá phần mềm phần cứng máy tính Đối với số hacker, hack sở thích để chứng tỏ họ cơng nhiều máy tính mạng Mục đích họ tìm hiểu kiến thức phá hoại bất hợp pháp Một số mục đích xấu hacker đánh cắp liệu kinh doanh, thơng tin thẻ tín dụng, sổ bảo hiểm xã hội, mật khẩu, email… 1.3.2 Các loại hacker Black Hats: người có kỹ tính tốn xuất sắc, sử dụng thành thạo cơng cụ máy tính, có hoạt động phá hoại, ví dụ crackers White Hats: người biết nhiều kỹ hacker, sử dụng chúng cho mục đích phòng thủ, ví dụ chuyên gia phân tích an ninh mạng Gray Hats: người làm việc, cơng phòng thủ thời điểm khác Suicide Hackers: người công sở hạ tầng quan trọng mà không quan tâm đến phải chịu 30 năm tù hành vi 1.3.3 Ảnh hưởng việc hack Theo công ty nghiên cứu an ninh quốc gia Symantec, công hacker gây thiệt hại cho doanh nghiệp lớn khoảng 2,2 triệu $ năm Hành vi trộm cắp thông tin cá nhân khách hàng làm giảm danh tiếng doanh nghiệp dẫn tới vụ kiện Hack làm cơng ty bị phá sản Botnet sử dụng để khởi động loại Dos công dựa web khác dẫn đến doanh nghiệp bị giảm doanh thu Kẻ cơng ăn cắp bí mật cơng ty, thơng tin tài chính, hợp đồng quan trọng bán chúng cho đối thủ cạnh tranh 1.4 Tình hình cơng mạng 1.4.1 Tại việt nam Trong năm 2015, cơng mạng có quy mơ mức độ lớn gia tăng dẫn đến gây mát liệu, thiệt hại kinh tế Theo thống kê VNCERT, xu hướng công lừa đảo, mã độc, thay đổi giao diện trở nên phổ biến Cụ thể, có 4.484 cố cơng lừa đảo, 6.122 cố thay đổi giao diện, 14.115 cố mã độc 3.257 cố khác ghi nhận 11 tháng đầu năm Bên cạnh đó, trang web/cổng thông tin điện tử Cơ quan nhà nước có website bị cơng thay đổi giao diện với 144 đường dẫn bị thay đổi; 106 website bị cài mã độc với 227 đường dẫn phát tán mã độc, website bị công cài mã lừa đảo Các hình thức lừa đảo trực tuyến gia tăng, bao gồm lừa đảo chiếm đoạt thẻ cào điện thoại di động tài khoản mạng xã hội, lấy cắp thơng tin cá nhân Các hình thức quảng cáo rác, tin nhắn rác chưa kiểm soát Đặc biệt, cơng có chủ đích vào quan nhà nước chiếm 2,5% Quý I gia tăng 7,1% Quý II Theo thống kê hãng bảo mật Kaspersky Symantec, Việt Nam nằm số nước có số người dùng di động bị mã độc cơng nhiều giới Gần 50% người dùng có nguy nhiễm mã độc sử dụng Internet máy tính Loại mã độc đáng lo ngại mã độc tống tiền - Ransomware Một số cơng mạng điển hình năm 2015: - Google.com.vn bị cơng: Ngày 23/02/2015, trang Web tìm kiếm Google Việt Nam xuất thông báo bị cơng nhóm hacker Lizard Squad Ngay sau phát cố, Google chặn hướng truy cập tới website nhằm sửa lỗi khắc phục Đã có nhiều nhận định khác nguyên nhân vụ việc như: hệ thống quản lý tên miền quốc gia bị công, đơn vị quản lý tên miền tự ý thay đổi mà khơng có đồng với VNNIC - Hơn 50.000 tài khoản VNPT bị lộ thông tin: Một nhóm hacker với tên gọi DIE Group tiến hành khai thác lỗ hổng môđun tra cứu thông tin khách hàng máy chủ cũ chi nhánh VNPT Sóc Trăng Thơng tin tài khoản bị công khai bao gồm: mã số khách hàng, họ tên, địa chỉ, số điện thoại (di động cố định) Phần lớn thông tin cá nhân bị tiết lộ hoạt động Các đơn vị chức phối hợp với VNPT Sóc Trăng xử lý kịp thời dứt điểm, đảm bảo an toàn tài khoản liệu cho khách hàng - Các công tin tặc Trung Quốc: Dấu hiệu công hãng bảo mật Kaspersky phát vào tháng 4/2015 Một nhóm tin tặc có tên Naikon cho Trung Quốc tham gia hoạt động gián điệp mạng với mục tiêu quốc gia vùng biển Đơng Nhóm tin tặc sử dụng hình thức cơng cách gửi email đến nạn nhân có đính kèm tập tin độc hại Cuộc công thứ hai hãng bảo mật FireEye phát Nhóm tin tặc APT30 bắt đầu mua tên miền để phục vụ cho hoạt động công mạng từ ngày 14/3/2004 Sau tháng, tên miền bắt đầu hoạt động, với loại mã độc đính kèm Mục tiêu loại mã độc lấy cắp cách có hệ thống “thơng tin nhạy cảm” từ phủ, tập đồn nhà báo có liên quan đến phủ Trung Quốc, thuộc khu vực Đơng Nam Á Ấn Độ, có Việt Nam 1.4.2 Trên giới - “Hacking Team” bị hack: Ngày 5/7/2015, nhóm tin tặc thực công vào công ty chuyên cung cấp phần mềm gián điệp Hacking Team sau sử dụng tài khoản Twitter cơng ty để cơng khai liệu khai thác Có khoảng 500GB liệu phát tán Internet qua BitTorrent nhằm mục đích tiết lộ danh sách khách hàng mã nguồn bảo vệ, bao gồm nội dung email liên lạc, ghi âm, mã nguồn, danh sách khách hàng với thời gian giao dịch Trong danh sách có Cục Điều tra Liên bang Mỹ (FBI), số tổ chức thuộc nước Tây Ban Nha, Úc, Chile, Iraq - Chiến tranh mạng tổ chức Hồi giáo IS nhóm hacker Anonymous: Cuộc chiến bắt nguồn từ sau khủng bố đẫm máu Paris hơm 13/11 Đầu tiên, nhóm hacker Anomymous tun bố công IS mạng Internet thực tế chiến diễn Nhiều tài khoản Twitter IS bị công, nhiều kênh liên lạc IS bị phá hỏng Đến lượt IS tự nhận họ “ông chủ” giới ảo trả đũa Anonymous Ngày 7/12, nhóm hacker Anonymous tun bố dành riêng 11/12 làm “Ngày trêu tức IS” với tổng công vào tài khoản Twitter, Facebook YouTube IS Lỗ hổng an tồn thơng tin: - Lỗ hổng từ “Hacking team”: Trong q trình phân tích liệu bị rò rỉ Hacking Team, nhà nghiên cứu phát lỗ hổng liên quan đến phần mềm Adobe Flash Player, hệ điều hành Windows, Internet Explorer Trong đó, lỗ hổng zero-day Adobe Flash Player cho nghiêm trọng nhất: Lỗ hổng CVE-2015-5119 cho phép tin tặc thực thi mã độc, gây “crash” máy thực kiểm sốt tồn hệ thống bị ảnh hưởng; Lỗ hổng CVE-2015-5122 khiến máy tính bị “crash” cho phép kẻ công chiếm quyền điều khiển hệ thống Đặc biệt, lỗ hổng có đoạn mã khai thác POC thành cơng, gây ảnh hưởng lớn tới cộng đồng mạng - Dell, Lenovo cài phần mềm quảng cáo vào máy tính người dùng: Tháng 2/2015, nhà sản xuất PC Lenovo bị tố cài đặt adware (phần mềm quảng cáo) vào máy tính Có tên gọi Superfish, adware đưa quảng cáo bên thứ ba vào kết tìm kiếm Google Nghiêm trọng hơn, loại adware tiếp tay cho hacker ăn cắp thông tin cá nhân quan trọng người dùng tài khoản ngân hàng Mike Shaver - kỹ sư Facebook, phát rằng, Superfish cài chứng Tấn công (man-in-themiddle) cho phép bên thứ ba theo dõi website người dùng truy cập Lenovo sau phải đưa công cụ gỡ bỏ adware Vào cuối năm 2015, hãng Dell bị phát có hành vi tương tự - Android bị phát có lỗ hổng bảo mật Stagefright ảnh hưởng gần tỷ thiết bị: Nền tảng Android Google từ trước tới bị đánh giá thấp khả bảo mật Stagefright minh chứng rõ ràng cho điều Stagefright tên gọi thư viện media, phần mã nguồn mở Android giúp điện thoại “bung” tin nhắn đa phương tiện, cho phép thiết bị hiểu nội dung MMS (nội dung đa phương tiện) Với Stagefright, tin tặc công cách đơn giản gửi tin nhắn MMS độc hại đến thiết bị nạn nhân Nó nguy hiểm tới mức, người dùng khơng cần mở tin nhắn mục đích kẻ xấu hoàn thành, nhận tin, điện thoại họ bị lây nhiễm Google nhận thức nguy hiểm Stagefright, việc khắc phục lại không dễ dàng Lý vì, khơng iOS, q trình phát hành cập nhật vá lỗi cho Android phải qua nhiều bước, liên quan tới nhà sản xuất phần cứng lẫn nhà mạng viễn thơng Bên cạnh đó, loạt lỗ hổng nghiêm trọng tác động đến cộng đồng CNTT Ghost, VENOM, Freak Lỗ hổng bảo mật Ghost glibc cho phép tin tặc thực thi lệnh từ xa nhằm chiếm quyền điều khiển máy chủ Linux Lỗ hổng liên quan đến lỗi tràn đệm heap-based ảnh hưởng đến tất hệ thống Linux, có mặt mã glibc từ năm 2000 Trong đó, Freak lại gây ảnh hưởng đến giao thức bảo mật SSL/TLS, cho phép thực điều khiển từ xa máy chủ SSL để tiến hành công hạ cấp RSA tạo điều kiện cho công Brute force Lỗ hổng bảo mật VENOM (Virtual Environment Neglected Operations Manipulation) với mã định danh CVE-2015-3456 đánh giá vô nguy hiểm, ảnh hưởng đến chương trình điều khiển đĩa mềm QEMU (một giả lập máy tính mã nguồn mở sử dụng để quản lý máy ảo) Lỗ hổng cho phép tin tặc gửi lệnh thông số liệu đặc biệt từ hệ thống người dùng đến FDC, gây tràn đệm thực thi mã tùy ý tiến trình hypervisor thiết bị đầu cuối qua số lệnh Hình 2.7.3.b.1 Amplification attack Có thể chia Amplification attack thành hai loại: - Smuft attack: Trong kiểu công attacker gửi packet đến network amplifier (router hay thiết bị mạng khác hỗ trợ broadcast), với địa nạn nhân Thông thường packet dùng ICMP ECHO REQUEST, packet yêu cầu bên nhận phải trả lời ICMP ECHO REPLY packet Network amplifier gửi đến ICMP ECHO REQUEST packet đến tất hệ thống thuộc địa broadcast tất hệ thống REPLY packet địa IP mục tiêu công Smuft Attack - Fraggle Attack: Tương tự Smuft attack thay dùng ICMP ECHO REQUEST packet dùng UDP ECHO packet gửi đến mục tiêu Thật biến thể khác Fraggle attack gửi UDP ECHO packet đến chargen port (port 19/UNIX) mục tiêu, với địa bên gửi echo port (port 7/UNIX) mục tiêu, tạo nên vòng lặp vô hạn Attacker phát động công ECHO REQUEST với địa bên nhận địa broadcast, toàn hệ thống thuộc địa gửi REPLY đến port echo nạn nhân, sau từ nạn nhân ECHO REPLY lại gửi trở địa broadcast, trình tiếp diễn Đây nguyên nhân Flaggle Attack nguy hiểm Smuft Attack nhiều c Những kiểu công làm cạn kiệt tài nguyên Kiểu công làm cạn kiệt tài nguyên (Resource Depletion Attack) kiểu cơng Attacker gửi packet dùng protocol sai chức thiết kế, hay gửi packet với dụng ý làm tắt nghẽn tài nguyên mạng làm cho tài nguyên không phục vụ user thông thường khác * Protocol Exploit Attack TCP SYS Attack: Transfer Control Protocol hỗ trợ truyền nhận với độ tin cậy cao nên sử dụng phương thức bắt tay bên gửi bên nhận trước truyền liệu Bước đầu tiên, bên gửi gửi SYN REQUEST packet (Synchronize) Bên nhận nhận SYN REQUEST trả lời SYN/ACK REPLY packet Bước cuối cùng, bên gửi truyền packet cuối ACK bắt đầu truyền liệu Hình 2.7.3.c.1 Kiểu cơng TCP SYS Attack Nếu bên server trả lời yêu cầu SYN SYN/ACK REPLY không nhận ACK packet cuối sau khoảng thời gian quy định resend lại SYN/ACK REPLY hết thời gian timeout Toàn tài nguyên hệ thống “dự trữ” để xử lý phiên giao tiếp nhận ACK packet cuối bị “phong tỏa” hết thời gian timeout Nắm điểm yếu này, attacker gửi SYN packet đến nạn nhân với địa bên gửi giả mạo, kết nạn nhân gửi SYN/ACK REPLY đến địa khác không nhận ACK packet cuối cùng, hết thời gian timeout nạn nhân nhận điều giải phóng tài nguyên hệ thống Tuy nhiên, lượng SYN packet giả mạo đến với số lượng nhiều dồn dập, hệ thống nạn nhân bị hết tài ngun Hình 2.7.3.c.2 Attacker giả mạo IP PUSH = ACK Attack: Trong TCP protocol, packet chứa buffer, buffer đầy packet chuyển đến nơi cần thiết Tuy nhiên, bên gửi yêu cầu hệ thống unload buffer trước buffer đầy cách gửi packet với PUSH ACK mang giá trị Những packet làm cho hệ thống nạn nhân unload tất liệu TCP buffer gửi ACK packet trở thực xong điều này, trình diễn liên tục với nhiều Agent, hệ thống xử lý lượng lớn packet gửi đến bị treo * Malformed Packet Attack Malformed Packet Attack cách công dùng Agent để gửi packet có cấu trúc khơng chuẩn nhằm làm cho hệ thống nạn nhân bị treo Có hai loại Malformed Packet Attack: - IP address attack: Dùng packet có địa gửi nhận giống làm cho hệ điều hành nạn nhân không xử lý bị treo - IP packet options attack ngẫu nhiên hóa vùng OPTION IP packet thiết lập tất bit QoS lên 1, điều làm cho hệ thống nạn nhân phải tốn thời gian phân tích, sử dụng số lượng lớn Agent làm hệ thống nạn nhân hết khả xử lý 2.7.4 Một số công cụ công DDoS Dựa tảng chung phần trên, có nhiều cơng cụ viết ra, thông thường công cụ mã nguồn mở nên mức độ phức tạp ngày cao có nhiều biến thể lạ - Cơng cụ DDoS dạng Agent-Handler: + TrinOO: Là công cụ DDoS phát tán rộng rãi TrinOO có kiến trúc Agent-Handler, cơng cụ DDoS kiểu Bandwidth Depletion Attack, sử dụng kỹ thuật UDP flood Các version TrinOO không hỗ trợ giả mạo địa IP TrinOO Agent cài đặt lợi dụng lỗi remote buffer overrun Hoạt động hệ điều hành Solaris 2.5.1 Red Hat Linux 6.0 Attack-network giao tiếp dùng TCP (attacker client handler) UDP (Handler Agent) Mã hóa giao tiếp dùng phương pháp mã hóa đối xứng Client, handler Agent + Tribe Flood Network (TFN): Kiểu kiến trúc Agent-Handler, công cụ DDoS hỗ trợ kiểu Bandwidth Depletion Attack Resourse Depletion Attack Sử dụng kỹ thuật UDP flood, ICMP Flood, TCP SYN Smurf Attack Các version không hỗ trợ giả mạo địa IP TFN Agent cài đặt lợi dụng lỗi buffer overflow hoạt động hệ điều hành Solaris 2.x Red Hat Linux 6.0 Attack Network giao tiếp dùng ICMP ECHO REPLY packet (TFN2K hỗ trợ thêm TCP/UDP với tính chọn protocol tùy ý), khơng mã hóa giao tiếp (TFN2K hỗ trợ mã hóa) + Stacheldraht: Là biến thể TFN có thêm khả update Agent tự động Giao tiếp telnet mã hóa đối xứng Attacker Handler + Shaft: Là biến thể TrinOO, giao tiếp Handler-Agent UDP, AttackerHendle Internet Tấn cơng dùng kỹ thuật UDP, ICMP TCP flood Có thể cơng phối hợp nhiều kiểu lúc Có thống kê chi tiết cho phép attacker biết tình trạng tổn thất nạn nhân, mức độ quy mô công để điều chỉnh số lượng Agent - Công cụ DDoS dạng IRC-Based: Công cụ DDoS dạng IRC-based phát triển sau công cụ dạng AgentHandler Tuy nhiên, công cụ DDoS dạng IRC phức tạp nhiều, tích hợp nhiều đặc tính cơng cụ DDoS dạng Agent-Handler Trinity: Là điển hình cơng cụ dạng Trinity có hầu hết kỹ thuật công bao gồm: UDP, TCP SYS, TCP ACK, TCP fragment, TCP NULL, TCP RST, TCP random flag, TCP ESTABLISHED packet flood Nó có sẵn khả ngẫu nhiên hóa địa bên gửi Trinity hỗ trợ TCP flood packet với khả ngẫu nhiên tập CONTROL FLAG Trinity nói số cơng cụ DDoS nguy hiểm Ngồi nhắc thêm số công cụ DDoS khác Knight, thiết kế chạy Windows, sử dụng kỹ thuật cài đặt troijan back Orifice Knight dùng kỹ thuật công SYV, UDP Flood Urgent Pointer Flooder Sau Kaiten, biến thể Knight, hỗ trợ nhiều kỹ thuật công như: UDP, TCP flood, SYN, PUSH + ACK attack Kaiten thừa hưởng khả ngẫu nhiên hóa địa giả mạo Trinity CHƯƠNG DEMO MỘT SỐ KỸ THUẬT TẤN CƠNG 3.1 Sử dụng cơng cụ Havij công Website Xây dựng trang website bán laptop online để tiến hành cơng Hình 3.1.1.a.1 Trang Website tiến hành công Chạy phần mềm Havij SQL injection chép dán liên kết trang Website dễ bị tổn thương minh hoạ hình ấn vào nút Analyze (phân tích) Hình 3.1.1.a.2 Tiến hành cơng Sau cho ta thấy số thơng tin như: sở liệu, Website sever, database… Hình 3.1.1.a.3 Thơng tin Website Sau ấn vào Table để tìm bảng, ta bảng tên shop Hình 3.1.1.a.4 Bảng Sau ấn Get Table để lấy bảng gi ỏ hàng, hóa đ ơn, s ản phẩm, thành viên Hình 3.1.1.a.5 Danh sách bảng Ta tích vào bảng thành viên nhấn Get Columns đ ược b ảng nh user, pass, họ tên Thường bảng có th ể có thơng tin tài khoản Hình 3.1.1.a.6 Các bảng bảng thành viên Trong cần đánh dấu tên đăng nhập mật để lấy thơng tin Hình 3.1.1.a.7 Thơng tin tài khoản Cuối ta có thơng tin tài khoản, ta nh ấn MD5 đ ể mã hóa password Ví dụ giải mã password có tên user Admin ta mật sau mã hóa “xuanquoc” Hình 3.1.1.a.8 Kết sau mã hóa Sau mã hóa ta tiến hành đăng nhập tài khoản Hình 3.1.1.a.9 Đăng nhập thành cơng ... Theo công ty nghiên cứu an ninh quốc gia Symantec, công hacker gây thiệt hại cho doanh nghiệp lớn khoảng 2,2 triệu $ năm Hành vi trộm cắp thông tin cá nhân khách hàng làm giảm danh tiếng doanh... thơng tin, … thơng qua mạng internet khơng ngừng mở rộng ngày phát triển Bên cạnh lợi ích mà Internet/Intranet mang lại mơi trường tiềm ẩn nguy gây an toàn an ninh cho hệ thống mạng tổ chức có tham... liệu d Tấn công giả mạo Tấn công giả mạo địa MAC cách chạy chương trình nghe địa MAC máy trạm, máy liên kết với switch dùng địa MAC để truy cập mạng Bằng cách lắng nghe lưu lượng qua mạng, kẻ