MODULE Những Nội Dung Chính Trong Chương Này Các Thuật Ngữ Về An Tồn Thơng Tin Những Kỹ Thuật Tấn Cơng Các Giai Đoạn Tấn Cơng Hacktivism Là Gì Phân Lọai Hacker Hành Động Của Ethical Hacker Mục Tiêu Của Những Kẻ Tấn Công Những Kỹ Năng Cần Thiết Để Trở Thành Ethical Hacker Tìm Kiếm Các Lổ Hỗng Bảo Mật Quy Trình Tấn Cơng Thử Nghiệm Tạo Bản Kế Hoạch Đánh Giá Bảo Mật Blackbox Và Whitebox Các Kiểu Tấn Cơng Của Ethical Hacker Ethical Hacking Report Tính Hợp Lệ Của Việc Tấn Công Khi nhắc đến hacker có lẽ hầu hết liên tưởng đến trang web bị công thay đổi giao diện, việc sử dụng trái phép thẻ tín dụng hay hình ảnh nhóm người mang mặt nạ thành viên thuộc nhóm hacker Anonymous, xa thông tin mật bị đánh cắp đăng tải trang web Wikileak mà chương trình truyền hình đưa tin Như vậy, cách khơng thức người cho hacker kẻ xấu chuyên phá hoại ăn trộm định danh, thông tin bí mật mạng internet, điều hồn toàn sai đặc biệt lĩnh vực CEH CEH viết tắt Cetified Ethical Hacker chứng công nhận hacker thiện chí hay gọi hacker mũ trắng, người có kỹ hacker hành động họ hồn tồn sáng, khơng vi phạm pháp luật mà đóng góp cho vấn đề bảo mật, an tồn thơng tin Các Thuật Ngữ Về An Tồn Thơng Tin Để nhận thức mối nguy hiểm cần hiểu số thuật ngữ sau lĩnh vực an tồn thơng tin, threat, remote exploit, local exploit, vulnerability, target of evaluation, attack Threat mối đe dọa an tồn thơng tin bao gồm hacker, virus, cố máy tính hư hỏng phần cứng, lỗi phần mềm nguyên nhân thiên tai, hỏa hoạn threat Vulnerability điểm yếu bảo mật hệ thống thiếu vá lỗi bảo mật, sử dụng sách mật yếu … điểm nhạy cảm có khả bị threat khai thác gây an tồn thơng tin Exploit q trình khai thác điểm yếu bảo mật để đánh cắp thông tin, tiến trình thực tác nhân bên hay bên hệ thống Remote exploit trình khai thác lổ hỗng bảo mật từ xa máy tính khác hay từ internet Local exploit trình khai thác điểm yếu bảo mật hệ thống để tiến hành leo thang nâng quyền hạn tài khoản, hay bẻ khóa mật ứng dụng Target of evaluation mục tiêu có khả chứa lổ hỗng bảo mật bị cơng Các mục tiêu máy chủ, máy trạm,những ứng dụng hay trang web Attack thuật ngữ tiến trình cơng vào mục tiêu Những Kỹ Thuật Tấn Cơng Có nhiều cơng cụ phương pháp để tìm kiếm lổ hỗng bảo mật, tiến hành khai thác, công hệ thống Những kỹ thuật bao gồm trojan, backdoor, sniffer, rootkit, khai thác lỗi tràn đệm Buffer Overflow hay SQL Injection … mà thảo luận phần sau Thông thường hacker tập trung tìm kiếm lổ hỗng bảo mật thành phần : Hệ Điều Hành : Nhiều hệ thống cài đặt cấu hình mặc định, nghĩa khơng có thay đổi hay tùy biến để nâng cao tính an tồn Ngồi ra, máy tính khơng cập nhật vá hay cài đặt chương trình sữa lỗi bảo mật mồi ngon kẻ công Ứng Dụng : Mỗi máy tính có nhiều ứng dụng cài đặt, chương trình có lổ hỗng bảo mật bị hacker cơng chiếm quyền điều khiển từ xa Shrink-wrap Code : Đây thành phần mở rộng ứng dụng mà nhiều người dùng không hay biết, hacker biết rõ thành phần ví dụ chức macro ứng dụng MS Word cho phép hacker chạy chương trình độc hại ứng dụng xử lý văn Hay lỗi Active X cho phép hacker chạy lệnh từ xa thơng qua trình duyệt nạn nhân Lỗi Cấu Hình : Việc cấu hình sai ngun nhân khiến hệ thống bị cơng, ví dụ lỗi liên quan đến việc gán quyền khơng chặt chẽ cho phép hacker hay người dùng chép chạy chương trình trái phép Bên cạnh kỹ thuật trên, công chia làm hai trạng thái hoạt động passvie (bị động) active (chủ động) Những công bị động thường khó dò tìm khơng tương tác trực tiếp vào hệ thống hay đường truyền mà âm thầm thu thập thông tin, liệu Nghe hay sniffing dạng công thuộc loại này, hacker nghe liệu gọi sniffer thường tập trung vào tính riêng tư thơng tin Trong dạng cơng chủ động có tương tác trực tiếp vào hệ thống xác thực hay đường truyền làm thay đổi tính tồn vẹn, ảnh hưởng đến khả đáp ứng liệu Những dạng công thuộc loại DDoS, Scan Port … Bên cạnh phân loại công dựa trạng thái hoạt động xác định chúng theo vị trí địa lý phía bên hay bên hệ thống tương ứng với thuật ngữ insise hay outside Những kẻ công inside insider thường nhân viên hay người có mối liên quan trực tiếp tổ chức, tác động dạng cơng lớn nguy hiểm Theo số thơng kê có tới 80 % tác nhân gây mát thơng tin thành viên bên hệ thống Tuy nhiên, thành viên bên ngồi lại có mối nguy hiểm khác họ thường đơng đảo hơn, có trình độ kỹ thuật cao mục tiêu cơng họ thường nhắm vào hệ thống bảo vệ hay có giao tiếp với mơi trường cơng cộng (còn gọi mơi trường khơng tin cậy) máy chủ sở liệu, trang web Hình 1.1 – Phân loại dạng cơng dựa trạng thái hoạt động vị trí địa lý Trong thi lấy chứng CEH có nhiều câu hỏi liên quan đến dạng công này, cần ghi nhớ đặc điểm loại cơng để đưa câu trả lời xác Các Giai Đoạn Tấn Công Một công chia làm năm giai đoạn Reconnaissance, Scaning, Gaining Access, Maintaining Access, Covering Track số tài liệu gọi Clear Track hình 1.2 Hình 1.2 - Năm giai đoạn công Phase : Passive Active Reconnaissance Reconnaissance giai đoạn thu thập thông tin Và passive reconnaissance trình thu thập liệu mục tiêu hay tổ chức mà thông tin tổ chức Quá trình passive reconnaissance đơn giãn theo dõi thơng tin hoạt động tòa nhà cơng sở để ghi nhận lại giấc làm việc nhân viên, nhiên q trình thường thực thơng qua chương trình tìm kiếm Google hay sở liệu Whois Cơng đoạn gọi information gathering hay thu thập thơng tin tồn tiến trình cơng hacker Một phương pháp thu thập thông tin cách bị động social engineering dumpster diving mà trình bày chương sau Hình thức cơng sniffing hay nghe ví dụ điển hình cho passive reconnaissance, với phương pháp hacker thu thập nhiều thơng tin giá trị dãy địa IP, tên miền tổ chức, máy chủ ẩn danh hay dịch vụ hoạt động mạng Nghe thông tin tương tự hệ thống giám sát tòa nhà thiết bị thu âm chuyên dùng để đánh cắp thơng tin gọi, nói chuyện mục tiêu mà thường thấy phim ảnh Ngược lại, active reconnaissance q trình thu thập thơng tin mục tiêu theo hình thức chủ động, lúc hacker tác động trực tiếp lên đối tượng để ghi nhận liệu phản hồi Một ví dụ tình active reconnaissance kẻ cơng tiến hành dò qt mạng để xác định máy hoạt động hay dịch vụ chạy hệ thống thơng qua cơng cụ Nessus, Supperscan Vì mang tính chất chủ động nên kết thu thập nhanh chóng khả quan so với passive reconnaissance acvtive reconnaissance dễ bị phát hiện, dò tìm Cả hai hình thức passive reconnaissance active reconnaissance thường kẻ cơng sử dụng để tìm kiếm thơng tin hữu ích máy chủ web hay hệ điều hành sử dụng Reconnaissance thực chuyên gia bảo mật tiến trình cơng thử nghiệm gọi penetration test hay pentest Tuy nhiên, pentest hành động hợp pháp nên người thực penetration tester thường sử dụng active reconnaissance để nhanh chóng thu nhận kết Phase : Scanning Scanning trình thuộc giai đoạn thu thập thơng tin reconnaissance Các hacker tiến hành scanning chương trình quét lỗi hệ thống, quét địa IP hay cổng mở ứng dụng Nmap, Acunetix Web Vulnerability Scanner, hay Angry Ip Scan Chúng ta thảo luận chi tiết scanning Module Scanning Network Phase : Gaining Access Gaining access trình thâm nhập mục tiêu trình khai thác công thành công Lúc hacker xâm nhập vào hệ thống tiến hành hành động đánh cắp tập tin mật hay phá hủy liệu, chạy chương trình nguy hiểm, leo thang đặc quyền để truy cập vào khu vực thơng tin bí mật Muốn thâm nhập thành cơng hacker cần sử dụng thơng tin mà tiến trình reconnaissance scanning thu thập được, dựa thông tin hacker xác định phương án công hợp lý sử dụng mã khai thác lỗi tràn đệm (buffer overflow), hay chiếm quyền sử dụng phiên làm việc người dùng (session hijacking) mà trình bày Module 11 Session Hijacking Module 17 Buffer Overflow giáo trình Phase 4: Maintaining Access Một đa xâm nhập hệ thống thành công hacker thường cài đặt chương trình gián điệp để tri kiểm sốt, nghe thơng tin người dùng nhập vào từ bàn phím hay mơ cơng hậu để quay lại vào lần sau, cơng đoạn gọi maintaining access Những mã độc nguy hiểm hacker dùng để cấp vào máy tính bị công gọi trojan hay backdoor, khái niệm trình bày module giáo trình CEH Phase 5: Covering Track Covering track hay clear track hành động xóa dấu vết hacker để tránh bị phát Các hành động xóa tập tin nhật kí ứng dụng hay hệ thống, xóa chương trình cài đặt, ẩn tiến trình nguy hiểm Hacktivism Là Gì Hacktivism hành động cơng mục tiêu xã hội hay mang tính chất trị Thơng qua hành động cơng hacker đưa thông điệp đến quan quản lý hay tổ chức tình hacker Việt Nam hacker Trung Quốc công vào trang web quan quản lý hai nước để đưa thông tin chủ quyền biển đảo Hoàng Sa – Trường Sa Hay gần nhóm hacker Luzsec cơng vào máy chủ công ty bảo mật BKIS yêu cầu tha bổng cho hacker xâm nhập vào trang web quan nhằm đưa cảnh báo bảo mật Những hacker cơng mục tiêu định thường nhóm hacker, hay đơi cá nhân riêng lẽ đa phần hành động sai trái khơng hợp lệ Hình 1.3 minh họa hacktivism điển hình Hình 1.3 – Một thông điệp mà hacker để lại trang web bị công Các bạn cần lưu ý thuật ngữ hacktivism chủ đề thường hay xuất câu hỏi kì thi chứng CEH, cần đặc biệt lưu ý khái niệm với định nghĩa tiếng Anh “Hactivism refers to hacking for a cause” Phân Lọai Hacker Chúng ta thường nghe gọi nhóm hacker mũ đen, nhóm khác hacker mũ trắng hay khái niệm tương tự khác Vậy có tất lọai “mũ” mà hacker “đội” ý nghĩa chúng nào? Sau tìm hiểu khái niệm    Black Hat (Mũ đen) o Là cá nhân hay nhóm hacker sử dụng kỹ kiến thức để xâm nhập trái phép hệ thống, thực hành vi phá họai hay đánh cắp liệu Nhóm gọi 'Cracker’ hay ‘Attacker’ White Hat (Mũ trắng) o Là cá nhân có kỹ hacker sử dụng chúng cho mục đích bảo mật thơng tin hay phòng chống hacker Những chuyên viên kiểm định bảo mật 'Security Analyst' hay chuyên gia an toàn thơng tin, penetration tester hacker thuộc nhóm Gray Hat (Mũ xám) o Là người họat động hai lĩnh vực hacker mũ đen hacker mũ trắng Ethical Hacker Và Attacker Trong dạng hacker hacker mũ đen hay attacker nhóm nguy hiểm nhất.Và hacker thuộc nhóm chia làm dạng khác tùy thuộc vào vị trí tiến hành cơng hay cơng cụ mà họ sử dụng Còn ethical hacker xem hacker thiện chí họ chuyên gia bảo mật đích thực  Ethical Hacker Là hacker thiện chí, sử dụng kiến thức kỹ phục vụ cho tiến trình bảo mật an tòan thơng tin, tiến hành công hay xâm nhập vào hệ thống cho phép chủ nhân hệ thống Các phương pháp kỹ thuật mà ethical hacker áp dụng giống cách thức mà hacker mũ đen thực  Internal Attacker Đây kẻ công từ bên hay hacker nội bộ, nhân viên cơng ty, cộng tác viên hay người làm chung tòa nhà, cao ốc văn phòng Do có thuận lợi mặt vật lý nên hacker thuộc nhóm dễ đánh cắp thơng tin người dùng email, mật đột nhập máy chủ, máy trạm mạng  Electronic Activist, Hacktivist Thuật ngữ hành động phá họai thay nội dung trang web hay cố tình thâm nhập trái phép vào hệ thống vật dẫn, đường truyền công ty, tổ chức  Data Thief Những kẻ cơng thuộc nhóm chun đánh cắp thơng tin riêng tư người dùng, ví dụ attacker đánh cắp tài khỏan game thủ thủ đọan cài keylogger máy tính phòng game, internet Để ngăn ngừa việc bị phát hiện, attacker thuộc dạng Data thief thường tiến hành cover track, nghĩa xóa dấu vết lưu tập tin nhật kí  Script kiddie Đa số kẻ công script kiddie, họ người biết sử dụng công cụ, đọan mã xây dựng sẳn để tiến hành khai thác công hệ thống bị lỗi mà không am hiểu chi tiết kỹ thuật Nhóm nguy hiểm mức độ hiểu biết chúng tỉ lệ nghịch với khả phá họai  Electronic Vandal Các attacker thuộc nhóm muốn phá họai dư liệu, hệ thống hay dịch vụ mà không cần mục tiêu Các hành động để vui đùa, giải trí mục đích phơ trương, trình diễn  Cyberterrorist Các attacker thuộc nhóm có hành động giám sát, xem trộm thông điệp cá nhân hay tổ chức tiến hành đánh cắp hay thay đổi liệu Hành Động Của Ethical Hacker Ethical hacker hay hacker thiện chí có phương pháp thực tương tự kẻ công “thiếu thiện chí” mục tiêu họ hồn tồn khác Ethical hacker tìm kiếm điểm yếu bảo mật xác định cách thức để thâm nhập vào mục tiêu nhằm đánh giá mức độ thiệt hại lổ hỗng gây ra, từ đưa cảnh báo phương án gia cố, kiện tồn bảo mật thích hợp Tiến trình thường gọi penetration test hay công thử nghiệm mà trình bày Cơng cụ hàng đầu hay sử dụng để tiến hành penetration test trang web Acunetix Web Vulnerability Scanner với thông điệp quảng cáo mà ta thường thấy IS YOUR WEBSITE HACKABLE ? hình minh họa Ngồi mục tiêu điểm khác biệt quan trọng ethical hacker hacker thông thường hacker thiện chí hành động hệ thống mà họ có thẩm quyền hay cho phép, ủy quyền người chủ hệ thống Nhiều hacker Việt Nam nhầm lẫn khái niệm trình thi lấy chứng CEH hành động họ việc tìm kiếm lỗi Một số người chủ động dò lỗi trang web, thâm nhập vào sau gởi yêu cầu vá lỗi cho chủ nhân hệ thống, hành động khơng hợp lệ chưa có cho phép chủ nhân xâm nhập trái phép Tuy nhiên, dừng lại hành động dò qt lỗi gởi thơng báo riêng lỗi phát hồn tồn hợp lệ, ngoại trừ số máy chủ hay dãy địa IP tuyệt mật NASA hay Bộ Quốc Phòng Mỹ việc qt IP không phép Mục Tiêu Của Những Kẻ Tấn Công An tồn thơng tin bao gồm bốn yếu tố sau :     Confidentiality Integrity Availability Authenticity Mục tiêu việc triển khai giải pháp bảo mật, áp dụng sách an ninh để bảo vệ bốn đặc tính Ngược lại, điều mà kẻ công nhắm tới phá vỡ yêu tố thông tin Khi hacker cơng theo hình thức nghe liệu đường truyển để trộm mật hộp thư điện tử hay tài khoản ftp lúc họ phá vỡ tính riêng tư, bí mật liệu Đặc tính gọi Confidentiality Còn trường hợp hacker đánh cướp session (trình bày Module 11 Session Hijacking) để chiếm phiên làm việc qua xác thực người dùng thi họ công chế xác thực hệ thống, chế Authenticity Một tình thơng dụng khác công vào chế xác thực giả mạo địa MAC thiết bị mạng gọi MAC address spoofing, dạng công vượt qua chế kiểm sốt 10 Social Engineering Là Gì ? Bên cạnh biện pháp công kỹ thuật sử dụng chương trình cơng hacker thường vận dụng kết hợp với phương pháp phi kỹ thuật, tận dụng kiến thức kỹ xã hội để đạt kết nhanh chóng hiệu Và phương pháp công không dựa kỹ thuật hay công cụ túy gọi Social Engineering, đời thực dạng cơng xem kiểu lừa đảo để chiến dụng tài sản, giả mạo để đạt mục tiêu Có câu chuyện thường nhắc dạng cơng Social Engineering điền sau “ thăm dò tính bảo mật chặt chẽ quản lý thông tin công ty cao ốc văn phòng lớn Wall Street, chuyên gia bảo mật giả dạng nhóm chuyên viên an ninh mạng tiến hành đợt khảo sát thẩm định an ninh miễn phí cho doanh nghiệp thuộc tòa cao ốc Và đợt thử nghiệm “chuyên gia bảo mật giả dạng” yêu cầu nhân viên quản trị hệ thống doanh nghiệp cho phép kiểm tra hệ thống máy chủ, kế thông tin quan trọng để đánh giá xem có lổ hỗng hay khơng Và kết thật đáng ngạc nhiên, có đến 7/10 cơng ty yêu cầu cho phép hacker thâm nhập thao tác trực tiếp hệ thống May mà hacker mũ trắng hoạt động với mục tiêu lường tính bảo mật doanh nghiệp Tại Sao Các Dạng Tấn Công Social Engineering Thành Công ? Các hacker tiến hành công Social Engineering thường tận dụng mối quan hệ thân thiết, tin cậy mà môi trường thông tin gọi “trust relationship” để tiến hành khai thác mục tiêu Chắc hẳn bạn nhớ vụ Tiến Sĩ Lê Đăng Doanh bị hacker đắnh cắp hộp thư gởi mail cho tất đồng nghiệp, bạn bè danh bạ để hỏi mượn tiền bị kẹt nước Hay thường xuyên nhận tin nhắn từ số máy lạ để yêu cầu mua giùm thẻ điện thoại gởi mã số đến số hacker Việ cơng hiệu đánh vào điểm yếu quy trình an tồn thơng tin chúng ta, hiểu biết người dùng Chính để phòng chống dạng cơng doanh nghiệp cần có chương trình đào tạo nhăm nâng cao nhận thức an tồn thơng tin cho nhân viên Những Kiểu Tân Công Thông Dụng Của Social Engineering Social Engineering chia làm hai hình thức : Human-based : Human-based social engineerign dựa dựa mối qua hệ người – – người để khai thác, thu thập thông tin gỏi điện thoại hỏi nhân viên phận hỗ trợ người dùng để thử tìm thơng tin nhạy cảm Computer-based : Computer-based Social Engineering sử dụng chương trình máy tính hay trang web để dẫn dụ người dùng nhập vào thơng tin bí mật tài khoản mật truy cập Dạng công thường gọi phissing Human-Based Social Engineering Những trường hợp điển hình cho dạng công giả dạng nhân viên cộng tác viên để truy cập vật lý vào thông tìn bảo vệ Như giả dạng làm nhân viên bảo trì hệ thống để đột nhập phòng máy chủ trái phép Bên cạnh hacker giả làm nhân vật quan trọng hay nhân vật thứ ba để gọi điện thoại cho phận hỗ trợ, quản trị hệ thống yêu cầu cung cấp tài khoản quản trị hình minh họa Tình công hacker Kevin Mitnick cộng trình diễn đại hội Blackhat, tình dùng phần mềm giả giọng nói số điện thoại nhân vật quản trị cao cấp yêu cầu quản trị mạng nhắc mật email bị quên password, kết hồn tồn thành cơng Shoulder surfing : Dạng cơng hacker xem thông tin mật nhập vào tên tài khoản, xem kí tự bàn phím hay lắng nghe âm phát người dùng gõ vào để đoán xem kí tự Vì lý mà nhiều doanh nghiệp cho thiết kế trạm làm việc cho bảo đảm tính thận thiện ngăn ngừa người nhìn thấy hình người khác Dumpster diving : Cũng có tình hacker giả dạng làm người quét dọn vệ sinh, hay đồng nghiệp lục lọi hồ sơ để tìm kiếm bị mật cơng nghệ, thơng tin riêng tư hình thức gọi Dumpster diving Vì vậy, doanh nghiệp thường trang bị máy hủy giấy để ngăn ngừa thơng tin bí mật hay ý tưởng quan trọng bị lộ từ mãnh giấy bỏ Hoặc sách công ty yêu cầu nhân viên rời khỏi bàn làm việc phải đặt hình chế độ Screen Saver, lật úp mặt tài liệu mang tính riêng tư Một hình thức nâng cao khác social engineering reverse social engineering, tình hacker giả mạo người có đủ thẩm quyền để truy cập thơng tin mật, hay giả vờ đóng vai trò chun viên hỗ trợ để dò hỏi tài khoản người dùng ví dụ mà ta thấy phần Computer-Based Social Engineering Dạng công computer-based social engineering bao gồm :  E-mail attachment / Phising  Fake website  Popup window Hàng ngày nhận nhiều email lừa đảo hay gọi phising mail với thông tin hấp dẫn bạn vừa trúng giải thưởng lớn Hình 9.1, hay gởi tặng thiệp điện tử hình ảnh qua mail đính kèm, hay liên kết dẫn đến trang web để người dùng nhấn vào có khả bị lây nhiễm virus, dẫn đến trang web nguy hiểm chứa mã độc Hình 9.1 - Một thơng điệp giả mạo thường thấy email Đôi trang web làm giống trang thức Paypal, Ebay, Clickbank … để đăng nhập bị đánh cắp thông tin Các trang web giả mạo gọi Fake Web, dạng công điển hình Computer-based Social Engineering Ngồi ra, trang web nguy hiểm tạo cữa sổ popup với thông tin cảnh báo người dùng bị virus, hay máy tính bạn bị nhiễm loại virus, yêu câu tải chương trình để quét dĩ nhiên chương trình nguy hiểm Tấn Cơng Vật Lý Và Tấn Công Từ Bên Trong Bảo vệ thông tin mức vật lý mục tiêu quan trọng hàng đầu an tồn thơng tin Vì nhiều tổ chức hay doanh nghiệp xây dựng phòng máy chủ với hệ thống an ninh nhằm bảo vệ an toàn tối đa cho thiết bị quan trọng Việc bảo vệ thiết bị vật lý ngồi phòng chống cắp hay ngăn khơng cho kẻ gian xâm nhập tương tác vào thiết bị quan trọng cần có hệ thống bảo đảm ổn định điệp áp, giữ nhiệt độ phòng mức thích hợp cho vận hành máy chủ, phòng chống cháy nổ theo sách an ninh cần tuân thủ đủ Đối với máy trạm hay hệ thống máy tính nhân viên, việc bảo đảm an toàn vật lý ngăn ngừa hacker lấy trộm thông tin thông qua giao tiếp USB, cài đặt chương trình nguy hiểm đề phòng mật cắp máy tính xách tay mục tiêu mà hacker hay kẻ gian thường nhắm đến Những hình thức thuộc dạng công mức vật lý Nếu hacker khơng tìm cách để cơng vào mục tiêu từ bên ngồi họ cơng từ bên trong, insider attack giải pháp cơng hiệu mà chun gia phòng chống tội phạm thường sử dụng Insider Attack ngụ ý hacker trà trộn hay thâm nhập vào nội công ty, tổ chức cách xin làm nhân viên doanh nghiệp để tận dụng lợi từ bên tiến hành thao tác đánh cắp liệu dễ dàng Vì có câu nói “ bạn bên trong, bạn chủ nhân hệ thống mạng” Đây tình thuộc dạng cơng vật lý Chúng ta dẽ dàng nhìn thấy tình tương tự phim ảnh hành động mà gián điệp cài cắm vào hàng ngũ cổ kẽ địch hay tổ chức tội phạm để điều tra manh mối Một ví dụ điển hình tổ chức hacker khét tiếng Anonymous bị nhân viên anh ninh FBI trà trộn vào hàng ngũ mình,sau lần manh mối danh tính thành viên quan trọng tổ chức “ẩn danh” này, làm cho 25 thành viên chủ chốt bị bắt giam có thủ lĩnh mang biệt danh Sector404 Hình 9.2 - Một thành viên tổ chức hacker Anonymous Identity Theft Identuty Theft nói đến việc đánh cắp định danh người dùng bao gồm từ việc ăn trộm mật email, tài khoản ngân hàng việc lấy cắp thẻ kiểm tra an ninh để đột nhập vào khu vực bảo vệ Online Scam Một số trang web đưa thông tin giả mạo để dẫn dụ người dùng nhập vào địa email mật Như tình hacker gởi link chưa hình ảnh qua Yahoo ! Messenger click vào dẫn đến trang web yêu cầu nhập vào email password hộp thư Yahoo để xem hình ảnh này, rõ ràng trang web Fake (website giả mạo, lừa đảo) nên nhập thông tin vào bị hacker đánh cắp Hình thức xảy hacker gởi email có chưa mã độc nhúng tập tin đính kèm, chương trình nguy hiểm virus, trojan hay key logger đánh cắp thông tin mà nhập vào từ bàn phím Như ví dụ sau minh họa email scam có chứa chương trình nguy hiểm tập tin đính kèm Mail server report Our firewall determined the e-mails containing worm copies are being sent from your computer Nowadays it happens from many computers, because this is a new virus type (Network Worms) Using the new bug in the Windows, these viruses infect the computer unnoticeably After the penetrating into the computer the virus harvests all the e-mail addresses and sends the copies of itself to these e-mail addresses Please install updates for worm elimination and your computer restoring Best regards, Customer support service Nội dung thông điệp tương tự nhiều email lừa đảo khác yêu cầu người dùng thay đổi tên mật truy cập vào tài khoản quan trọng Paypal, E-gold … mà thường nhận Bên cạnh hình thức Email Attachment số trang web đen hay hiển thị Popup (cữa sổ) cảnh báo bị nhiễm virus, hay bạn vừa có email để nhấp vào chuyển hướng đến trang web khác chưa nội dung nguy hiểm hay trang web quảng cáo URL Obfuscation URL Uniform Resource Locator thường nhập vào trình duyệt để kết nối đến trang web Và thay đưa đường dẫn đến trang web mà người dùng cần truy cập hacker cố tình thay đổi đường dẫn url đến trang web giả mạo khác để lấy cắp thông tin mà người dùng không nhận liên kết thường ẩn dạng hyper link tập tin word hay pdf, hình thức cơng theo kiểu URL Obfuscation Phòng Chống Social Engineering Như Thế Nào ? Để phòng chống bị công Social Engineering cần nâng cao nhận thức kiến thức an tồn thơng tin cho người sử dụng thông qua buổi huấn luyện chương trình đào tạo Bên cạnh đó, tổ chức cần có sách an ninh chặt chẽ kết hợp với biện pháp chế tài để hạn chế ngăn ngừa hành vi xâm phạm thông tin trái phép Chính lý mà mơ hình phòng thủ theo chiều sâu để bảo vệ thơng tin lớp sách bảo mật ln nhấn mạnh bao trùm lên tất lớp phòng thủ vật lý khác, đồng thời q trình huấn luyện người dùng xem hành động quan trọng hàng đầu công tác bảo vệ an tồn thơng tin Ngồi việc bảo vệ liệu cần bảo vệ thiết bị lưu trữ, vận hành hệ thống thông tin đĩa cứng, máy chủ, hệ thống truyền dẫn cáp truyền, mạng wifi nhằm tránh tương tác trực tiếp hacker Một phương pháp để bảo vệ vật lý ngăn không cho xâm nhập trái phép với thông báo “không phận miễn vào” , đề sách sử dụng thiết bị thích hợp phòng bị mát liệu qua đường truyền internet, đường kết nối dial-up hay ổ cắm USB Và cần lưu ý, nhân viên công ty hay người làm việc bán thời gian hacker nguy hiểm có khả công vật lý vào hệ thống Bên cạnh tác nhân người, yếu tố đến từ thiên nhiên hõa hoạn, động đất yếu tố hàng đầu cho nguy an toàn thơng tin, thảm họa 11/9 ví dụ điển hình Do cần có kế hoạch bảo đảm tính liên tục phục hồi thảm họa thông qua giải pháp lưu, xây dựng hệ thống dự phòng đáp ứng yêu cầu tổ chức Và cuối cùng, tác nhân đến từ mơi trường nguồn điện, nhiệt độ đem đến mối nguy hiểm mát thơng tin vai trò CEH cần lưu ý đến tác động này, cần có hệ thống ổn định nguồn điện, hệ thống điện dự phòng, hệ thống điều hòa nhiệt độ Thậm chí, nhiều doanh nghiệp ứng dụng quy luật phong thủy vấn đề đặt từ vị trí workstation máy tính, máy chủ nhằm đem đến hòa hợp mơi trường sở vật chất tạo thuận lợi công việc kinh doanh Đây vấn đề mà bạn cần ý chương Social Engineering đề phòng công vật lý Tổng Kết Qua chương nắm số khái niệm quan trọng dạng công Social engineering ứng dụng kỹ xã hội, dùng mối quan hệ người để thu thập tin cần thiết phục vụ cho cơng phía sau Việc cơng social engineering thành cơng đánh vào điểm yếu người Các bước thực công Social engineering gồm : Thu thập thông tin, chọn mục tiêu, cơng Ngồi ra, bạn tìm hiểu vấn đề Insider Attack, Indentify Theft, Online Scam, Phising… Và cuối để phòng chống lại kiểu công này, cần phải đào tạo, huấn luyện người dùng để nâng cao nhận thức an tồn thơng tin cho họ Module 10 Tấn Công Từ Chối Dịch Vụ (DoS) Những Nội Dung Chính Trong Chương Này Tấn Cơng DoS Là Gì ? Cơ Chế Hoạt Động Của DDoS SMURF Attack “SYN” Flooding Phòng Chống Tấn Cơng Từ Chối Dịch Vụ Tấn Cơng DoS Là Gì ? Một khơng thể tìm cách thức xâm nhập vào hệ thống mục tiêu cách dò tìm khai thác lỗi hacker áp dụng phương pháp công từ chối dịch vụ hay gọi Denial of Service (DoS) DoS dạng công làm cho hệ thống máy chủ, trang web bị tê liệt đáp ứng lại yêu cầu người dùng Đây hình thức cơng đem lại hiệu cao cho hacker giải pháp sau nêu khơng tìm cách đột nhập vào mục tiêu DOS đánh vào chất tự nhiên q trình truyền thơng client server, có q nhiều clicent truy cập server bị tải, buộc lòng phải từ chối yêu cầu truy cập khác Trong vai trò CEH bạn cần hiểu rõ DoS DDoS, thuật ngữ hay nhắc đến kì thi lấy chứng hacker mũ trắng Có nhiều tình cơng DoS nhắc đến phương tiện truyền thông gần đây, ví dụ BKAV bị cơng từ chối dịch vụ làm cho website truy cập vào ngày 6/2/2012 hay trang web Cục Tình báo Trung ương Mỹ bị hạ gục suốt đêm 10/2/2012 (giờ VN), hậu vụ công từ chối dịch vụ có chủ đích (DDoS) Một tài khoản Twitter tun bố nhóm hacker khét tiếng Anonymous gây vụ việc (theo tin từ VietnamNet) Sau số dạng công từ chối dịch vụ mà hacker thường sử dụng : - - Làm tràn ngập hệ thống mạng số lượng lớn liệu truyền, khiến cho giao dịch thông thường khác khơng thể thực Ví dụ vào khoảng cuối năm 2012 đầu năm 2011 hệ thống mạng nhiều công ty tổ chức bị tê liệt khiến cho người dùng kết nối đến máy chủ hay truy cập internet nhiều máy tính bị lây nhiễm virus conflicker Vào thời gian có nhận nhiều yêu cầu hỗ trợ xử lý phát nguyên nhân trên, với giải pháp cài đặt ứng dụng Wiresharke để phân tích đường truyền nhận thấy ràng luồng liệu đề xuất phát từ máy bị nhiễm loạt virus có nhiều tên gọi khác conflicker hay kido Virus lây nhiễm vào hệ thống Windows thiếu cài đặt vá lỗi có tên Microsoft Security Bulletin MS08-067 Ngắt kết nối hai máy tính, ngăn khơng cho máy khách truy cập dịch vụ máy chủ Chặn host khơng cho truy cập dịch vụ Ngắt đáp ứng hệ thống hay người dùng Có nhiều loại cơng cụ cơng DoS khác loại sử dụng chế riêng để làm tràn ngập hệ thống kết cuối – làm cho hệ thống mục tiêu trở nên bận rộn hay bị tải mà đáp ứng yêu cầu người dùng, đáp ứng yêu cầu làm thiệt hại mặt kinh tế, uy tín cho đơn vị chủ quản trang web bị cơng (thường DoS hay nhắm vào trang web có chức kinh doanh trực tuyến, ứng dụng thương mại điện tử) Ví dụ vào kì đại hội thể thao diễn Euro, WorldCup nhà Bet365.Com, SportingBet … có nhiều khách hàng đăng kí tham gia dự đốn kết trận cầu nóng bỏng đen đến nguồn lợi khổng lồ Và hacker biết rõ điều này, họ thường hăm dọa nhà công DoS / DDoS làm tê liệt trang web ngăn không cho khách hàng truy cập, khơng muốn bị cơng phải đồng ý trả cho hacker khoản tiền lớn Hình thức tống tiền băng nhóm tội phạm mạng ưa chuộng đem đến hiệu cao Lưu ý : DoS dạng cơng hacker sử dụng máy tính để tiến hành, DDoS hay Distribute Denial of Services (tấn công từ chối dịch vụ phân tán) hacker tiến hành cơng DoS từ nhiều máy tính khác nhau, thông thường hệ thống mạng botnet Vậy hacker thường sử dụng cơng cụ đề công DoS, số ứng dụng điển hình : - - - - - - Ping of Death : Các công cụ công Ping of Death gởi nhiều gói tin IP với kích thước lớn đến mục tiêu làm cho máy phải nhiều thời gian tài nguyên hệ thống để xử lý, kết đáp ứng yêu cầu kết nối thông thường máy tính khác dẫn đến bị từ chối dịch vụ LAND Attack : Những cơng cụ có chức cơng LAND Attack gởi gói tin có địa IP trùng lắp với địa IP đích khiến cho việc xử lý yêu cầu dẫn đến tình trạng bị lặp lại (loop) khơng thể tiếp nhận thêm yêu cầu truy cập khác WinNuke : Chương trình tìm kiếm máy tính mở port 139 để gởi gói tin IP rác đến mục tiêu Dạng cơng gọi Out of Bound (OOB) làm tràn ngập nhớ đệm giao thức IP CPU Hog : Công cụ làm tải nguồn tài nguyên CPU máy bị công Bubonic : Là cơng cụ DoS hoạt động cách gởi gói tin TCP với thiết lập ngẫu nhiên làm cho mục tiêu bị công bị tãi hay chí bị gãy đổ RPC Locator : Đây dịch vụ nhạy cảm không vá lỗi có khả bị cơng gây tràn đệm Dịch vụ hoạt động hệ thống Windows để phân phối cài đặt hay ứng dụng trẹn toàn hệ thống, dịch vụ dễ bị cơng gây tình trạng từ chối dịch vụ máy chủ Ngồi có cơng cụ SSPing hay Targa gởi gói tin với kích thược lớn đến mục tiêu làm tê liệt khả đáp ứng xử lý liệu này, điều có nghĩa nạn nhân tiếp nhận yêu cầu khác dẫn đến tình trạng “từ chối dịch vụ” Cơ Chế Hoạt Động Của DDoS Tuy nhiên, công mà bạn thường nghe phương triện truyền thông thường sử dụng công cụ khác Các cơng DDoS, hình thức sử dụng hệ thống mạng máy tính “ma” gọi botnet, máy trạm hệ thống gọi bot hay zombie hacker cài đặt trojan điều khiển từ xa thơng qua kênh IRC hay liệu tập trung (có thể tập tin điều khiển đặt trang web Hình 10.1) Một ví dụ cơng hình thức hacker DanTruongX công vào trang web công ty VietCo phát chuyên gia BKAV trước Hình 10.1 - Tập tin điều khiển máy tính mạng botnet Thơng thường DDoS gồm có thành phần : - Master hay Handler : Chương trình dùng để điều khiển Slave hay zombie, bot máy tính bị cài đặt hay lây nhiễm chương trình nguy hiểm bị điều khiển master / handler Victim : Những mục tiêu bị công từ chối dịch vụ Trong công DDoS gần hacker thường sử dụng công cụ Low Orbit Ion Cannon (LOIC) Hiện nay, nhóm hacker hàng đầu giới Anonymous phát triển ứng dụng có tác dụng mạnh mẽ có tên #RefRef để thay cho LOIC Vậy ứng dụng DDoS sử dụng chương trình nào, có lẽ Trojan SubSeven Trong tường thuật website mình, chuyên gia bảo mật tiếng Webmaster www.grc.com có kể lại lần vơ tình gọi hacker trẻ tuổi script kiddi, thuật ngữ am kẽ biết sử dụng cơng cụ để khai thác mà khơng có hiểu biết chuyên sâu hacker nghĩa Điều làm hacker trẻ tuổi bị chạm tự với người bạn phát triển cơng cụ có tên gọi Sub Seven, sau cài đặt lây nhiễm số lượng lớn máy tính tạo thành hệ thống botnet mạnh mẽ Tiếp theo, với người bạn có nickname hellfire điều khiển hệ thống botnet qua kênh IRC khởi động công từ chối dịch vụ làm cho trang web grc.com bị tê liệt thời gian dài Sau cùng, webmaster GRC hacker lão luyện phải tự dò tìm thủ phạm gởi đến hacker trẻ tuổi lời xin lỗi cho nhận xét vơ tình mình, đồng thời đưa cảnh cáo liên quan đến hình phạt luật pháp dành cho kẻ công) để yêu cầu ngừng tất cơng Hình 10.2 - Giao diện Low Orbit Ion Cannon Ngoài cách sử dụng botnet số cơng cụ hacker ứng dụng để tiến hành công DDoS Trinoo, ứng dụng gởi liệu sử dụng giao thức vận chuyển User Datagram Protocol (UDP) với địa gốc giả mạo hay sử dụng danh sách IP khác nhau, làm cho mục tiêu bị công phải vất vã trình đáp ứng lại địa giả mà khơng biết thơng tin giả ví lý UDP giao thức thiếu tin cậy khơng có chế kiểm tra đầy đủ cho tính hợp lệ IP nguồn Trinoo hoạt động Linux, Windows có phiên tương tự gọi WinTrinoo hay biên thể khác Sharf Bên cạnh Trinoo có Tribal Flood Netowrk (TFN) có khả làm suy yếu tài nguyên băng thông hệ thống mục tiêu thông qua việc gởi số lượng lớn gói tin UDP ICMP Nhưng việc gởi nhiều liệu theo cách dễ bị nhận dạng TFN nâng cấp lên phiên TFN2 khó bị phát Hình 10.3 – Các công cụ DoS khác DoSHTTP, Sput, PHP DOS … SMURF Attack Đây hình thức cơng lạc hậu vô hiệu hệ thống Dạng công Smurf gởi số lượng lớn yêu cầu ICMP ECHO Request (Ping) đến nhiều mục tiêu theo dạng broadcast với địa nguồn giả mạo, điều làm phát sinh số lượng lớn đáp ứng máy tính nhận yêu cầu máy công dẫn đến băng thông bị chiếm dụng hệ thống mạng máy tính có khả tê liệt “SYN” Flooding Không UDP giao thức vận chuyển thiếu tin cậy, TCP giao thức tin cậy truyền thơng với quy trình bắt tay ba bước Three-way handshake chặt chẽ Khi máy tính cần kết nối gởi tín hiệu yêu cầu đồng hóa cờ SYN Nhưng có nhiều yêu cầu đồng tạo hacker thông qua công cụ cơng máy nhận bị q tải với việc đáp ứng tiếp nhận thêm yêu cầu kết nối hợp lệ khác Đây dạng cơng SYN Flooding Phòng Chống Tấn Cơng Từ Chối Dịch Vụ Như Thế Nào ? Có nhiều cách thức để nhận biết phòng chống bị cơng từ chối dịch vụ khác Trước tiên cần vá lổ hỗng bảo mật dịch vụ hay ứng dụng chạy máy chủ để tránh bị hacker lợi dụng công từ chối dịch vụ RPC Locator service Sau số giải pháp cần quan tâm : - Network-ingress filtering : Tất hệ thống hay thiết bị cung cấp kết nối truy cập mạng cần thực chế lọc Network-infgress filtering nhằm loại bỏ luồn liệu xuất phát từ địa giả mạo, có nguồn gốc khơng rõ ràng Điều khơng ngăn ngừa cơng giúp chặn đứng chúng truy tìm có hành động trái phép diễn Các thiết bị dạng Cisco IPS Source IP Reputation Filtering, Black Hole Filtering … - Rate-limiting network system : Nhiều định tuyến có khả hạn chế kiểm sốt băng thơng giao thức khác nhau, kỹ thuật gọi trafic shapping - Instruction Detect System : Triển khai hệ thống dò tìm xâm phạm trái phép để phát kịp thời luồng truyền thông nguy hiểm, công hay virus / worm lan truyền mạng Một ứng dụng IDS nguồn mở sử dụng phổ biến Snort (www.snort.org) - Sử dụng công cụ Host-auditing : Một số chương trình có khả qt tập tin hệ thống để tìm cơng cụ cơng DDoS hay chương trình botnet nguy hiểm - Sử dụng cơng cụ Network-auditing : Chạy chương trình qt mạng để phát agent (các thành viên mạng botnet) loại bỏ chúng - Sử dụng chương trình dò tìm cơng cụ DoS : Thường xun qt tìm cơng cụ DoS hệ thống với chương trình thích hợp Find_ddos, SARA, Zombi Zapper để phát xử lý kịp thời mầm mống gây nên cố từ chối dịch vụ - Tắt dịch vụ khơng cần thiết : Đóng cổng hay tắt dịch vụ không cần thiết hay hạn chế dụng chức get, strcpy … - Cấu hình firewall để chặn tất tín hiệu ICMP từ bên - Thường xuyên cập nhật hệ thống : Cập nhật vá lỗi cho hệ thống ứng dụng liên quan - Sử dụng hệ thống bảo vệ DDoS chuyên dụng IntelliGuard DDoS Protection System (DPS) hay chương trình phòng chống DDoS Hình 10.4 Hình 10.4 - Một số cơng cụ phòng chống DoS/DDoS Tổng Kết Chương trình bày dạng cơng nguy hiểm hàng đầu DoS DDoS cơng cụ điển hình mà bạn cần ghi nhớ Cần phân biệt khác công từ chối dịch vụ thông thường công từ chối dịch vụ theo mơ hình phân tán, lưu ý cơng cụ biên pháp dò tìm, phòng chống bị công DoS / DDoS Thường xuyên kiểm tra lổ hỗng bảo mật cập nhật vá lỗi kịp thời Trong chương tìm hiểu Session Hijacking ... Registrant ID:tuTv2ItRZBMNd4lA Registrant Name: John Smith Registrant Organization:International Council of E-Commerce Consultants Registrant Street1:67 Wall Street, 22nd Floor Registrant City:New... qt mạng để xác định máy hoạt động hay dịch vụ chạy hệ thống thơng qua cơng cụ Nessus, Supperscan Vì mang tính chất chủ động nên kết thu thập nhanh chóng khả quan so với passive reconnaissance... sử dụng active reconnaissance để nhanh chóng thu nhận kết Phase : Scanning Scanning q trình thuộc giai đoạn thu thập thơng tin reconnaissance Các hacker tiến hành scanning chương trình quét