1|9 KHÓA CERTIFIED ETHICAL HACKER V10 VIETNAMESE Bài 2: 1.1 Giới thiệu Ethical Hacking - Tổng quan bảo mật liệu Xem học website để ủng hộ Kteam: 1.1 Giới thiệu Ethical Hacking - Tổng quan bảo mật liệu Mọi vấn đề lỗi website làm ảnh hưởng đến bạn thắc mắc, mong muốn khóa học mới, nhằm hỗ trợ cải thiện Website Các bạn vui lòng phản hồi đến Fanpage How Kteam nhé! Cơng nghệ tóm tắt Tổng quan bảo mật liệu Những phương thức, trình bảo mật thông tin với hệ thống thông tin khỏi truy cập trái phép, rị rỉ thơng tin, lạm dụng thay đổi Việc bảo mật thông tin đảm bảo liệu an toàn, nguyên vẹn Khi tổ chức khơng có sách điều luật bảo mật phù hợp – thơng tin Copyright © Howkteam.com KHÓA CERTIFIED ETHICAL HACKER V10 VIETNAMESE 2|9 liệu mật liên quan đến quan nằm vịng nguy hiểm thiếu biện pháp bảo vệ lại nói tổ chức, với sách thủ tục bảo mật rõ ràng chặt chẽ, tài sản quý giá họ bảo vệ khỏi truy cập bất hợp pháp, hay lạm dụng Trong giới đại, hàng triệu người dùng tương tác với giây phút hỗ trợ công nghệ, tảng Chỉ 60 giây, khoảng thời gian thật “yếu ớt” và, tiêu tốn nhiều tiền tổ chức tư nhân tổ chức cộng đồng mối đe dọa đến từ hàng đống cách thức, từ cổ lỗ đến đại toàn cầu Hệ thống mạng cơng cộng lựa chọn nhanh chóng phổ biến cho kẻ muốn phát tán mối nguy hiểm toàn giới Mã độc, nội dung độc hại, Viruses, Spams, lỗ hổng bảo mật đâu đó, trực chờ rình rập bạn Đó lý khơng loại bỏ biện pháp bảo mật mạng, bảo mật hệ thống Việc bổ sung sách bảo mật hiệu thay cho biện pháp bảo vệ vừa không cần thiết, vừa tốn tài nguyên lại gây lỗ hổng tạo điều kiện cho mối đe dọa thách thức Có ba khái niệm mà mục đich bảo mật ta xoay quanh: Data Breach eBay Data Breach eBay Data Breach ví dụ thực tế thể bảo mật thông tin liệu quan trọng doanh nghiệp eBay tảng mua bán đấu giá online tiếng, sử dụng rộng rãi khắp giới.Năm 2014, eBay tiết lộ lỗ hổng liệu khổng lồ với liệu nhạy cảm ước tính rằng, có liệu 145 triệu khách hàng bị đánh cắp công Theo eBay, lỗ hổng liệu làm tổn hại thông tin đề cập đây:      Tên khách hàng Mật mã hóa Địa bưu điện Số điện thoại liên lạc Ngày sinh Copyright © Howkteam.com KHĨA CERTIFIED ETHICAL HACKER V10 VIETNAMESE 3|9 Những thơng tin nhạy cảm phải trình bày dạng mã hóa mạnh mẽ Thay trình bày theo chữ thông thường, thông tin phải viết dạng mật mã eBay thông tin liên quan đến số cần bảo mật thông tin thẻ tín dụng khơng bị tổn hại, việc đánh cắp nhận dạng mật vô nguy hiểm Cơ sở liệu eBay bao gồm thơng tin tài thẻ tín dụng nhiều thứ liên quan khác yêu cầu phải giữ định dạng riêng biệt dạng mật mã Những hacker làm tổn thương số lượng nhỏ nhân viên đáng tin cậy qua công “phishing” tháng hai tháng ba năm 2014 để gây nên nguồn gốc lỗ hổng liệu eBay Có lẽ nhân viên chuyên biệt bị nhắm vào để truy cập vào hệ thống mạng eBay có lẽ hệ thống mạng eBay hồn tồn bị giám sát, sau bị làm tổn thương eBay khẳng định, họ phát công cơng nghệ cao (cyberattack) vịng hai tuần Google Play Hack Hacker (tin tặc) người Thổ Nhĩ Kỳ, “Ibrahim Balic” “ hack” Google Play hai lần Hắn thừa nhận trách nhiệm vụ cơng Google Play Nhưng khơng phải lần thử nghiệm Hắn đứng sau vụ công the Apple’s Developer site Qua thử nghiệm điểm yếu Google’s Developer console tìm thiếu sót hệ thống vận hành Android (Android Operating System), thứ thử hai lần để chắn khiến “sập” hết lần đến lần khác Với kết việc thử nghiệm điểm yếu, phát triển thiết bị android để khai thác điểm yếu Khi bảng điều khiển nhà phát triển bị “sập”, người dùng tải xuống ứng dụng, thiết bị nhà phát triển đăng tải ứng dụng, thiết bị The Home Depot Data Breach Ngày nay, việc đánh cắp thông tin từ thẻ tín dụng trở nên phổ biến Vào năm 2014, thiết bị bán hàng Home Depot bị công Ngày tháng năm 2014, thông báo từ Home Depot phát đi, thừa nhận hệ thống họ xuất lỗ hổng Copyright © Howkteam.com 4|9 KHÓA CERTIFIED ETHICAL HACKER V10 VIETNAMESE Những kẻ cơng ( attacker) có quyền truy cập vào hệ thống đăng nhập từ bên thứ ba cấp chứng tin cậy truy cập vào mạng POS Khai thác từ lỗ hổng Zero-Day để tạo nên đường lách xâm nhập hệ thống mạng nội Home Depot, thiết lập đường từ môi trường đối tác thứ ba đến lưới mạng Home Depot Sau truy cập thành công, chúng phát tán Memory Scraping Malware nhằm công điểm đầu cuối tốn Memory Scraping Malware có khả cao, thâu tóm thơng tin hàng triệu thẻ tín dụng Home Depot có nhiều động thái nhằm sửa chữa, chống lại công này, sử dụng đến thẻ tín dụng EMV Chip-& Pin Loại thẻ Chip-&Pin có gắn chip bảo mật để đảm bảo Essential Terminology Hack Value Dùng để giá trị bao gồm sức hấp dẫn, hứng thú thứ đáng giá Giá trị biểu thị mức độ hứng thú hacker mục tiêu Zero-Day Attack Zero-Day Attack nghĩa mối đe dọa điểm yếu khai thác nạn nhân trước nhà phát triển phát hiện, gửi phát hành vá nhằm sửa chữa điểm yếu Vulnerability Vulnerability có nghĩa chỗ yếu ớt, lỗ hổng, vấn đề hệ thống lưới mạng nào, giúp tin tặc khám phá, khai thác nhằm vượt qua chúng Bất kỳ điểm yếu lối vào thuận lợi cho tin tặc xâm nhập vào mục tiêu Daisy Chaining Daisy Chaining trình thử nghiệm nhiều cách thức cơng “hacking” nhằm có quyền truy cập vào lưới mạng hay hệ thống, Copyright © Howkteam.com 5|9 KHĨA CERTIFIED ETHICAL HACKER V10 VIETNAMESE hết lần đến lần khác với thông tin giống thơng tin có từ lần thử nghiệm trước Exploit Exploit lỗ hổng bảo mật hệ thống qua Vulnerabilities, Zero-day Attacks thiết bị “hack” khác Doxing Doxing nghĩa công khai đặt thông tin liên quan đến cá nhân Thông tin thu thập cách công khai, phần lớn từ truyền thông xã hội nguồn khác Payload Payload nghĩa phần có thực thơng tin liệu cấu trúc đối lập với siêu liệu (metadata) tự động sinh Trong an tồn thơng tin, Payload phần mã độc, mã khai thác, thứ gây nhiều hoạt động tiềm tàng nguy hiểm khai thác, xâm nhập qua hàng rào bảo mật thiết bị (backdoor) chiếm quyền kiểm soát Bot Bots loại phần mềm đước sử dụng để điều khiển mục tiêu từ xa thi hành nhiệm vụ xác định từ trước Phần mềm có khả chạy scripts tự động qua internet Bên cạnh đó, biết, bots dành cho Internet Bot web robot Những Bots sử dụng cho mục đích xã hội ChatterBots, mục đích tài mục đích cố ý gây tổn hại Spambots, Viruses, phát tán bọ, Botnets, công DDoS Những nhân tố an tồn thơng tin Confidentiality ( Tính bảo mật) Chúng ta ln muốn chắn điều nhạy cảm, bí mật bảo vệ Confidentiality nghĩa người cho phép có quyền Copyright © Howkteam.com 6|9 KHĨA CERTIFIED ETHICAL HACKER V10 VIETNAMESE làm việc xem xét tài nguyên kỹ thuật số sở hạ tầng ta Cũng rút ngụ ý rằng, chưa ủy quyền khơng nên có truy cập để tiếp cận liệu Nói chung, có hai loại liệu: liệu di động (data in motion) – chúng di chuyển qua lại lưới mạng liệu tĩnh ( data at rest), liệu lưu trữ phương tiện media ( ví dụ máy chủ, ổ cứng, đám mây) liệu di động, ta cần chắn chúng mã hóa trước gửi qua mạng Có lựa chọn khác sử dụng với mật mã sử dụng mạng riêng biệt cho liệu nhạy cảm liệu tĩnh, ta áp dụng mật mã lại nơi lưu trữ để trường hợp bị đánh cắp, người khác đọc liệu Integrity ( Tính tồn vẹn) Ta khơng muốn liệu bị kẻ chưa tin tưởng ủy thác truy cập sử dụng Sự toàn vẹn liệu đảm bảo có cấp quyền thay đổi liệu Availability ( Tính sẵn sàng) Availability gắn với hệ thống liệu Nếu người cấp quyền lấy liệu lỗi mạng thông thường công từ chối dịch vụ (DOS attack) Khi đó, trường hợp cơng việc cịn có liên quan đến, vấn đề điều dẫn tới mát doanh thu ghi chép lại số kết quan trọng Ta dùng từ “CIA” để nhớ lấy ba khái niệm bảo mật quan trọng Copyright © Howkteam.com KHĨA CERTIFIED ETHICAL HACKER V10 VIETNAMESE 7|9 Authenticity (Tính xác thực ) Authentication (chứng minh xác thực) trình nhận dạng người dùng thiết bị để cấp quyền ưu tiên, truy cập đảm bảo luật, điều lệ đặt Tương tự, Authenticity đảm bảo q trình xác thực thơng tin chắn từ người dùng hợp lệ- người khẳng định thông ti tin nhắn chuyển tiếp bắt nguồn từ họ Q trình xác thực qua nhận dạng mật kết hợp, ta hoàn thành việc chứng minh xác thực Figure 1-1 Elements of Information Security Copyright © Howkteam.com 8|9 KHĨA CERTIFIED ETHICAL HACKER V10 VIETNAMESE Non-Repudiation ( Tính khơng thể chối cãi ) Non-Repudiation trụ cột đảm bảo thông tin (information assurance) – bảo đảm việc truyền nhận lại thông tin người gửi với người nhận qua nhiều loại công nghệ chữ ký kỹ thuật số mật mã Non-Repudiation cam kết xác thực, người gửi chối bỏ gửi Tương tự vậy, bên nhận khơng thể phủ định việc nhận Hợp đồng kỹ thuật số, chữ ký, tin nhắn qua email sử dụng công nghệ Non-repudiation The Security, Functionality, and Usability T riangle Trong hệ thống, mức độ bảo mật thước đo độ mạnh yếu việc bảo mật, chức tính khả dụng Chúng ta biết rằng, ba điều kết hợp tạo thành “tam giác” Security, functionality & usability Hãy xem xét “trái bóng” nằm tam giác Khi trái bóng nằm trong tâm, điều có nghĩa ba yếu tố nêu mạnh mẽ Ở khía cạnh khác, trái bóng lại gần phía “Security” hơn, có nghĩa hệ thống tiêu tốn nhiều tài nguyên cho việc bảo mật, chức tính khả dụng hệ thống cần nhiều quan tâm Một hệ thống bảo mật bắt buộc phải cung cấp cho người dùng bảo vệ mạnh mẽ song song với đem lại cho họ dịch vụ, đặc điểm tính khả dụng cần thiết Figure 1-2 Security, Functionality & Usability Triangle Copyright © Howkteam.com KHĨA CERTIFIED ETHICAL HACKER V10 VIETNAMESE 9|9 Việc thực thi hệ thống bảo mật cao cấp thường có sức ảnh hưởng cách dễ dàng đến mức độ chức tính khả dụng Chẳng cần dùng đến hệ thống với phần nhìn xuống cấp Trong phát triển thiết bị, triển khai bảo mật hệ thống, chuyên gia bảo mật phải tâm niệm cần chắn chức tính khả dụng Vậy nên, ba yếu tố tam giác cần cân Copyright © Howkteam.com ... hiểm toàn giới Mã độc, nội dung độc hại, Viruses, Spams, lỗ hổng bảo mật đâu đó, trực chờ rình rập bạn Đó lý khơng loại bỏ biện pháp bảo mật mạng, bảo mật hệ thống Việc bổ sung sách bảo mật hiệu... CERTIFIED ETHICAL HACKER V10 VIETNAMESE 2|9 liệu mật liên quan đến quan nằm vịng nguy hiểm thiếu biện pháp bảo vệ lại nói tổ chức, với sách thủ tục bảo mật rõ ràng chặt chẽ, tài sản quý giá họ bảo. .. có liên quan đến, vấn đề điều dẫn tới mát doanh thu ghi chép lại số kết quan trọng Ta dùng từ “CIA” để nhớ lấy ba khái niệm bảo mật quan trọng Copyright © Howkteam.com KHĨA CERTIFIED ETHICAL