6. Hãy chỉ ra các yêu cầu an toàn đối với hệ mật khẩu. Giải thích ý nghĩa của các yêu cầu đó. Yêu cầu đối với hệ mật khẩu 7. Trình bày các khái niệm “từ điển mật khẩu”, “bảng băm mật khẩu” (precomputed hash table). Giải thích cách sử dụng các đối tượng nói trên. Từ điển mật khẩu là danh sách tập hợp các mật khẩu thường được sử dụng nhất. Bảng băm mật khẩu là: bảng băm mật khẩu là một cấu trúc dữ liệu sử dụng hàm băm để ánh Hãy phân biệt dạng thức sử dụng mật mã để đảm bảo tính bí mật thông tin là mã hóa dữ liệu lưu trữ, mã hóa đầu cuối và mã hóa kênh truyền. Lấy một ví dụ cho mỗi dạng thức. Mã hóa dữ liệu lưu trữ
ĐỀ CƯƠNG ƠN TẬP AN TỒN THƠNG TIN Trình bày khái niệm “an tồn thơng tin”, “an ninh thơng tin” Phân biệt hai khái niệm An tồn thông tin bảo vệ thông tin hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật tính khả dụng thơng tin An ninh thơng tin việc bảo đảm thông tin mạng không gây phương hại đến an ninh quốc gia, trật tự an tồn xã hội, bí mật nhà nước, quyền lợi ích hợp pháp tổ chức, cá nhân [72/2013/NĐ-CP] Phân biệt: An ninh thông tin đảm bảo thông mạng ATTT đảm bảo an toàn hệ thống tập trung vào tính nguyên vẹn, bảo mật, khả dụng thơng tin Trình bày khái niệm, phân loại hiểm họa an tồn thơng tin, cho ví dụ loại *Hiểm họa ATTT HTTT khả tác động lên TT, HTTT dẫn tới thay đổi, hư hại, chép, ngăn chặn tiếp cận tới TT; tới phá huỷ ngừng trệ hoạt động vật mang TT Ví dụ: virus, động đất, cơng mạng,… *Phân loại hiểm họa an tồn thơng tin theo tiêu chí khác nhau: -Theo chất xuất +Hiểm họa tự nhiên: thiên tai, mối mọt, ẩm mốc, + Hiểm họa nhân tạo: phá hoại, thao tác sai, -Theo mức độ định trước +Hiểm họa từ hành động vô ý: tải tập tin có virus mạng máy +Hiểm họa từ hành động có chủ ý: Cố tình phát tán virus -Theo nguồn trực tiếp sinh +Nguồn sinh trực tiếp người + Nguồn sinh phần mềm hợp lệ + Nguồn sinh phần mềm trái phép: malware cơng -Theo vị trí nguồn sinh +Vùng 1: phạm vi quan, đơn vị, tổ chức +Vùng 2:phạm vi tòa nhà +Vùng 3: phòng chờ lễ tân, trực ban +Vùng 4: phòng họp, phòng làm việc cán bộ, nhân viên +Vùng 5: Những khu vực đặc biệt quan trọng lãnh đạo +Vùng 6: Tủ chứa tài liệu, sở liệu -Theo mức độ hoạt động HTTT + Không phụ thuộc vào hoạt động hệ thống + Chỉ xuất hệ thống hoạt động -Theo mức độ tác động lên HTTT + Hiểm họa thụ động, không làm thay đổi cấu trúc, nội dung hệ thống + Hiểm họa tích cực, gây thay đổi định hệ thống Phân biệt khái niệm “điểm yếu” “lỗ hổng” Cho ví dụ (có giải thích) Điểm yếu chỗ hệ thống mà khơng có biện pháp kiểm sốt biện pháp kiểm sốt khơng có tác dụng (điểm yếu:có thể bị khai thác) Lỗ hổng HTTT khiếm khuyết chức năng, thành phần HTTT mà bị lợi dụng để gây hại cho hệ thống (thực tế bị khai thác) Ví dụ: Khơng có chế ngăn chặn duyệt mật khẩu, khơng có UPS Một lỗ hổng bị khai thác nhiều hiểm họa khác nhau, lỗ hổng thực tế bị khai thác Phân tích mối quan hệ “hiểm họa”, “lỗ hổng”, “điểm yếu” “rủi ro” Cho ví dụ minh họa Hiểm họa: Bao gồm tập hợp tác nhân xấu có khả ảnh hưởng tới an ninh hệ thống Lỗ hổng :là khiếm khuyết chức năng, thành phần HTTT mà bị lợi dụng để gây hại cho hệ thống (thực tế bị khai thác) Về chất chúng lỗ hổng bị khai thác hiểm họa để làm hư hại Điểm yếu: Những lỗ hổng không lường trước phát sinh trình thiết kế, triển khai, hoạt động hệ thống Rủi ro: khả xấu xảy Để rủi ro xảy mơi trường cụ thể cần phải có hiểm họa lỗ hổng mà hiểm họa cụ thể khai thác Ví dụ: có cấu trúc làm từ gỗ đặt lửa, có hiểm họa (lửa) tổn thương phù hợp với ( cấu trúc gỗ) Trong trường hợp ta có chắn rủi ro( bị cháy) Nêu giải thích ngun tắc chung đảm bảo an tồn thơng tin Ngun tắc tính hệ thống Các yếu tố, điều kiện nhân tố có quan hệ với nhau, có tương tác với có biến đổi theo thời gian Chống lại kênh truy cập trái phép tiềm tàng (chưa biết) Nguyên tắc tổng thể Các biện pháp phải thống nhất, đồng Phải tổ chức phòng ngự nhiều lớp Nguyên tắc bảo vệ liên tục Đảm bảo ATTT trình liên tục Xuyên suốt chu kỳ sống hệ thống, từ thiết kế loại bỏ Nguyên tắc đầy đủ hợp lý Khơng có an tồn tuyệt đối Biện pháp bảo vệ nhiều đến hoạt động hệ thống Biện pháp bảo vệ thường tốn Chi phí cho việc bảo vệ khơng lớn giá trị hệ thống Mục tiêu bảo vệ đưa rủi ro mức chấp nhận Nguyên tắc mềm dẻo hệ thống Phân hệ an tồn thiết lập điều kiện có nhiều bất định Phải cho phép nâng cấp, cập nhật Nguyên tắc đơn giản sử dụng Cơ chế bảo vệ khơng gây khó khăn cho người dùng hợp lệ Ngun tắc cơng khai thuật tốn chế bảo vệ Biết thuật toán, chế bảo vệ vượt qua Chính tác giả khơng thể vượt qua Khơng có nghĩa phải cơng khai thuật tốn chế bảo vệ Nêu khái niệm “rò rỉ thơng tin” Liệt kê kênh rò rỉ thơng tin Rò rỉ thơng tin việc thơng tin mật bị phát tán cách khơng kiểm sốt ngồi phạm vi tổ chức ngồi nhóm người, mà thơng tin coi an tồn Các kênh rò rỉ thơng tin: - Rò rỉ thơng tin qua kênh tiêu chuẩn: Thiết bị lưu trữ di động Thư điện tử Hội thoại Diễn đàn giao thức, dịch vụ mạng khác (http) giao tiếp thoại (trực tiếp, voip, phone) photocopy, scanner, camera - rò rỉ thơng tin qua kênh kỹ thuật việc phát tán (lan truyền) thông tin mật cách khơng kiểm sốt từ vật mang qua mơi trường vật lý định đến thiết bị thu thông tin Trình bày khái niệm “định danh”, “xác thực” “phân quyền” Lấy ví dụ để phân biệt tác vụ Định danh (identification) việc gắn định danh (identificator) cho người dùng kiểm tra tồn định danh Xác thực (authentication) q trình kiểm tra tính chân thực danh tính xác lập trình định danh Cấp quyền (Authorization) việc xác định chủ thể (subject) xác thực phép thực thao tác lên đối tượng (object) hệ thống Ví dụ: người ta phân biệt người sử dụng hệ thống username cấp cho họ mật Username mà người biết username khơng biết password=> Định danh Khi bạn muốn đăng nhập vào hệ thống sử dụng mật để xác thực người sở hữu tài khoản hay nói cách khác username, password tơi Còn người quản trị cung cấp cho username có số quyền định ví dụ username A có quyền đọc, ghi username B có quyền đọc, user C có quyền truy cập thư mục Trình bày khái niệm phân loại “nhân tố xác thực” Cho ví dụ với loại nhân tố xác thực, ứng dụng nhân tố xác thực Nhân tố xác thực (authentication factor) thơng tin sử dụng cho q trình xác thực Có loại nhân tố xác thực – Cái người dùng biết Thường mật khẩu: Ngoài ra: tr.lời cho số câu hỏi riêng tư Chủ yếu để khôi phục mật Ưu điểm: đơn giản, chi phí thấp Nhược điểm: Có thể bị lộ (đánh cắp), bị qn – Cái người dùng có Chìa khóa, giấy tờ tùy thân Thẻ từ, smartcard OTP token, Cryptographic token, khóa mật mã SIM điện thoại Ưu điểm: phù hợp cho xác thực đa nhân tố Nhược điểm: Chi phí cao, bị mất, chiếm đoạt, làm giả – Cái thuộc thể người dùng Khuôn mặt, vân tay, bàn tay, võng mạc, giọng nói Ưu điểm: khơng bị chép, làm mất, đánh cắp Nhược điểm: Chi phí cao, thay đổi theo thể trạng, không phù hợp cho xác thực qua mạng Có nhóm nhân tố xác thực khác – Đặc điểm hành vi người dùng Chữ ký bàn phím | Chữ ký viết tay (tốc độ gia tốc) Ưu điểm: không bị chép, đánh cắp Nhược điểm: chi phí cao, khơng ổn định, thay đổi theo thời gian, khơng phù hợp cho xác thực qua mạng – Vị trí người dùng Vị trí mặt đất (qua hệ thống định vị tồn cầu) Nhược điểm: Chi phí cao, làm lộ thông tin riêng tư người dùng Trình bày khái niệm “mật khẩu” Hãy hiểm họa an toàn mật Mật lượng thơng tin mật đó, mà có người dùng hệ mật biết, mà người dùng cần phải nhớ đưa để qua thủ tục xác thực Hiểm họa an toàn mật Thơng qua tìm kiếm, dò đốn Nhìn trộm Qua bàn giao định trước mật cho người khác Đánh cắp CSDL hệ mật Chặn bắt thông tin chứa mật Lưu giữ mật vị trí dễ tiếp cận Đưa vào bẫy chương trình Khai thác lỗi giai đoạn thiết kế Làm hỏng hệ mật Lựa chọn mật dễ nhớ dễ đoán Ghi mật khó nhớ lưu ghi chép nơi dễ tiếp cận Đưa mật vào mà người khác nhìn thấy Cho người khác mật cách cố ý nhầm lẫn Hiểm họa an toàn truyền mật qua mạng Chặn bắt dùng lại thông tin Chặn bắt khôi phục mật Thay đổi thông tin với mục đích đánh lừa phía kiểm tra Kẻ xấu bắt chước hđộng phía kiểm tra để đánh lừa người dùng 10 Hãy yêu cầu an tồn hệ mật Giải thích ý nghĩa yêu cầu Yêu cầu hệ mật Xác định độ dài cực tiểu MK: làm khó cho kẻ xấu muốn nhìn trộm công phương pháp “vét cạn” Trong MK dùng nhóm ký hiệu khác nhau: hạn chế phương pháp công “vét cạn” đối phương Kiểm tra loại bỏ MK theo từ điển: chống lại phương pháp đoán nhận MK theo từ điển đối phương Xác định độ dài cực đại thời gian MK: hạn chế công theo kiểu “vét cạn”, kể tiếp cận từ xa (chế độ off-line) Xác định độ dài cực tiểu thời gian dùng MK: ngăn cản ý định người dùng đổi MK cũ sau đến hạn đổi theo yêu cầu Hạn chế số lượng ý định đưa MK vào: hạn chế ý đồ cơng lựa chọn tích cực đối phương Duy trì chế độ bắt buộc thay đổi MK người dùng: bảo đảm hiệu cho đòi hỏi hạn chế độ dài cực đại tác dụng MK Dùng biện pháp dừng kéo dài có MK sai đưa vào: hạn chế phương pháp lựa chọn tích cực đối phương Cấm việc tự ngdùng chọn MK sinh MK tự động hoá thuật toán: chống lại việc đoán MK theo từ điển chống lại công “vét cạn” đối phương 10.Bắt buộc đổi MK lần ghi nhận người dùng HT: ngăn cản hành vi trái phép nhà quản trị hthống có quyền tiếp cận hệ MK thời điểm bắt đầu ghi danh sách kiểm toán 11.Đưa sổ ghi lý lịch MK: tăng cường khả an toàn MK kèm với đòi hỏi khác 11.Trình bày khái niệm “từ điển mật khẩu”, “bảng băm mật khẩu” (precomputed hash table) Giải thích cách sử dụng đối tượng nói Từ điển mật danh sách tập hợp mật thường sử dụng Bảng băm mật là: bảng băm mật cấu trúc liệu sử dụng hàm băm để ánh xạ từ giá trị xác định, gọi khóa (ví dụ username), đến giá trị tương ứng (ví dụ mật username đó) Do đó, bảng băm mảng kết hợp Hàm băm sử dụng để chuyển đổi từ khóa thành số (giá trị băm) mảng lưu trữ giá trị tìm kiếm Cách sử dụng: Từ điển mật khẩu: tài khoản đăng nhập mật thường dùng list từ điển, đến dừng lại Bảng băm mật khẩu: ta ánh xạ từ username sang password 12.Cho sơ đồ giao thức xác thực sử dụng mật Hãy trình bày hoạt động giao thức (bao gồm pha khởi tạo) Giải thích định cuối Bob Hãy khả công lên giao thức cho Pha khởi tạo: + Salt: tạo ngẫu nhiên với chiều dài bất kỳ, thường byte(64 bit) đủ độ khó attacker khó dò tìm Salt + Password file lưu trữ: tên người dùng, Salt, Password băm với Salt Đầu tiên Alice gửi thông tin bao gồm ID Pass Tìm xem ID có tồn hay khơng có gửi lại Salt ID dùng để băm (Pass người dùng nhập vào Salt ID tìm được) So sánh Pass xác thực thành cơng ngược lại khơng =>> Khả công lên giao thức Chặn bắt thông tin truyền tới Bob 13.Cho sơ đồ giao thức xác thực mật lần Lamport Hãy giải thích hoạt động giao thức (bao gồm pha khởi tạo) Giải thích định cuối Bob Giải thích công Man-In-The-Middle lên giao thức cho Khởi tạo: Trong database lưu trữ ID, n (number), Hash n lần Password (sau lần xác thực thành cơng n giảm 1) Đầu tiên Alice yêu cầu xác thực Bob tìm database để trả lại giá trị (n-1) cho Alice Alice Hash (n-1) lần Password gửi cho Bob Bob nhận Hash thêm lần dem so sánh với Hash n lần database cho phép truy cập ngược lại ko Sau lần đăng nhập thành công database update lại n thành (n -1) Hash(P) 14.Cho sơ đồ giao thức xác thực mã băm (Digest Authentication) Hãy giải thích hoạt động giao thức (bao gồm pha khởi tạo) Giải thích định cuối Server Hãy điểm yếu giao thức cho 1.Đầu tiên Client gửi requires authentication lên Server Server trả nonve realm cho client Ở client tính tốn response cách dùng MD5 HA1=MD5(username:realm:password) HA2=MD5(method:digestURI) response=MD5(HA1:nonce:HA2) sau gửi username, password với response lên Server 15.Hãy giải thích mơ hình kiểm sốt truy cập DAC, MAC RBAC - Kiểm soát truy cập tùy chọn DAC: Mơ hình hạn chế Mọi đối tượng có chủ sở hữu Chủ sở hữu có tồn quyền điều khiển đối tượng họ 10 Mã độc khái niệm chung để phần mềm độc hại viết với mục đích lây lan phát tán hệ thống máy tính internet, nhằm thực hành vi bất hợp pháp nhằm vào người dùng cá nhân, quan, tổ chức Thực hành vi chuộc lợi cá nhân, kinh tế, trị để thỏa mãn ý tưởng sở thích người viết Mục đích Thu thập liệu máy tính Ăn cắp thông tin mật khẩu, mã bảo vệ thẻ tín dụng Nghe thơng tin chụp hhifnh, ghi âm, quay hình, keylogger Sử dụng mạng máy tính nạn nhân thành botnet -> DDOS Sử dụng máy tính nạn nhân phát tán thư rác Sử dụng tài nguyên máy nạn nhân( đào tiền ảo) Mã hóa liệu đòi tiền chuộc Phá hủy liệu máy nạn nhân Làm hư hại phần cứng thiết bị Phân loại: tuỳ thuộc vào chế, hình thức lây nhiễm phương pháp phá hoại mà người ta phân mã độc thành nhiều loại khác Đặc điểm chung mã độc thực hành vi không hợp pháp không theo ý muốn người sử dụng máy tính + Mã độc cần có vật chủ: Logic bomb, Trojan, Backdoor, Exploit, Virus + Phần mềm độc lập: Worm, Zombie + Trong phần Viruses chia làm loại : Vật chủ : boot sector, file thực thi, file văn Kỹ thuật : đơn giản, đa hình, siêu đa hình, tàng hình Con đường lây nhiễm mã độc: - Cài đặt trực tiếp: +Cho người khác mượn máy tính, điện thoại +Rời máy tính, đthoai mà k khóa hệ thống + Máy bị nhiễm mã độc từ nhà sản xuất - Phần mềm lậu, bẻ khóa +Người bẻ khóa thường thành viên nhóm hacker, cracker +Phần mềm bẻ khóa thường bị nhúng mã độc để pvụ mục đích tin tặc +Khi sd phần mềm thé mã độc phát triển vào máy - Qua thiết bị lưu trữ di động +Khi cắm USB, thẻ nhớ, vào máy bị nhiễm mã độc, chúng bị nhiễm 14 +Cắm USB, thẻ nhớ bị nhiễm vào máy khác, mã độc kích hoạt lây nhiễm vào máy +Kích hoạt: tính autorun, hoạt động người dùng -Khai thác lỗi phần mềm +Phần mềm: hệ điều hành, trình duyệt web, phần mềm chơi nhạc & video, game,… +Nhiều phần mềm có lỗi +Hacker tạo đầu vào đặc biệt cho phần mềm có mã độc +Khi phần mền xử lí đầu vào đặc biệt mã độc đc thực thi Phương pháp phòng chống mã độc: phòng tránh ngăn chặn mã độc khơng dựa vào phần mềm diệt virus mà liên quan tới nhận thức người dùng Một số biện pháp phòng tránh mã độc: +Ln ln cài đặt sử dụng phần mềm diệt virus hãng +Xây dựng sách với thiết bị PnP +Đóng băng ổ đĩa +Thiết lập quy tắc đối xử với file: +Truy cập web an toàn +Cập nhật máy tính, phần mềm +Nhờ chuyên gia can thiệp 19.Hãy trình bày cơng nghe mạng máy tính Đó kỹ thuật cơng, thường hacker dùng để dò tìm mật khẩu, đọc thơng tin trao đổi ứng dụng chat Internet Theo tên gọi, kỹ thuật không công trực diện vào máy khách hay máy chủ, mà nhằm vào đoạn truyền liệu thơng qua cable hay tín hiệu vơ tuyến máy, đặc biệt mạng Ethernet Hiện nay, nghe trộm mạng thực dễ dàng, có nhiều công cụ giúp thực Ettercap, Ethereal, dsniff, TCPdump, Sniffit, Các công cụ ngày “tối ưu hóa” để dễ sử dụng tránh bị phát sử thực thi So với kiểu công khác, công dạng Sniffer nguy hiểm, ghi lại tồn thơng tin lưu chuyển qua card mạng máy, thân người sử dụng bị nghe trộm lúc máy tính họ hoạt động bình thường, khơng có dấu hiệu bị xâm nhập hay phá hoại Chính điều dẫn đến việc phát phòng chống nghe trộm khó, phòng chống bị động (passive) - nghĩa phát bị nghe trộm tình trạng bị nghe trộm 15 20.Hãy trình bày cơng từ chối dịch vụ mạng máy tính Là cơng nhằm phá vỡ tính khả dụng thơng tin, hệ thống thơng tin Phân loại Băng thông thấp Băng thông cao Đơn lẻ Phân tán Băng thông thấp Ping of Death Teardrop Băng thông cao (máy đơn) SYN flood Ping flood • HTTP POST DoS Các hình thức cơng DoS: SYN Floods: attacker liên tục gửi gói tin chứa cờ SYN cho target, đến lúc target k thể trả lời kịp gói tin dẫn tới tình trạng target bị crash treo Fin Floods: Tương tự SYN floods attacker gửi gói tin có chứa cờ FIN, cờ kết thúc kết nối Thực chất attacker ko thiết lập kết nối victim drop gói tin Việc drop gói tin cần xử lý tốn phần tài nguyên victim, Attacker gửi liên tục đồng thời gửi gói tin có dung lượng lớn đến lúc victim bị treo crash Smurf: Là kiểu công mà attacker giả mạo gói tin ICMP với địa nguồn địa IP victim gửi tới địa broadcast mạng khác nhau, đồng loạt máy mạng reply tới máy victim làm máy victim bị treo Fraggle: Tương tự smurf gói tin UDP Ping of Death: Attacker gửi gói tin ICMP cơng cụ ping cho victim giả mạo địa nguồn địa IP victim tạo thành vòng lặp máy nạn nhân, đến máy nạn nhân bị treo Teardrop: attacker gửi gói tin bị phân mảnh tới nạn nhận, máy nạn nhân k thể xếp lại thứ tự gói tin làm treo hệ thống, bug mạng TCP/IP 16 Tấn công DDoS: kiểu công phân tán, attacker lợi dụng hàng loạt máy tính bị điều khiển mạng botnet (thường máy tính bị dính malware) nghe lệnh attacker đồng thời cơng mục tiêu theo lên lịch trước 21 Hãy trình bày công kỹ nghệ xã hội mạng máy tính Kỹ nghệ xã hội( social engineering) Là phương tiện thu thập thông tin cho công cách dựa điểm yếu cá nhân Không cần đến công nghệ Tấn công dùng kỹ nghệ xã hội bao gồm: Các phương pháp tâm lý Các phương pháp vật lý • Phương pháp tâm lý( psychology) Tiếp cận mặt tinh thần cảm xúc mặt vật chất Nhằm thuyết phục nạn nhân cung cấp thông tin thuyết phục họ hành động Các phương pháp tâm lý thường dùng: Thuyết phục (Persuasion) Mạo danh (Impersonation) Phishing (lừa đảo) Thư rác( spam) Cảnh báo giả (Hoax) Những phương pháp thuyết phục gồm: Lấy lòng A dua Thân thiện Kẻ công hỏi vài thông tin nhỏ: Tập hợp thông tin từ vài nạn nhân khác Đưa yêu cầu đáng tin Kẻ cơng tạo bỏ bọc để có thông tin( trước nạn nhân cảm thấy nghi ngờ) Kẻ cơng mỉm cười u cầu giúp đỡ từ nạn nhân Mạo danh: 17 Tạo nhân cách giả, đóng vai nạn nhân Những vai phổ biến thường mạo danh Trợ lý hỗ trợ kỹ thuật Công nhân sửa chữa Bên thứ đáng tin cậy Cá nhân có quyền lực Nạn nhân nói “khơng” với người có quyền lực Phishing: Gửi thư điện tử tự xưng nguồn hợp pháp Cố gắng đánh lừa người dùng để họ cung cấp thông tin riêng tư Người dùng yêu cầu: Trả lời mail Cập nhật thông tin cá nhân trang web Mật khẩu, tài khoản ngân hàng, số cmnd Tuy nhiên trang web mạo danh lập nhằm đánh cắp thong tin người dùng Những biến thể Fishing: Pharming(nuôi cá): tự động chuyển hướng tới site fake Spear phishing( xiên cá): gửi e-mail , tin nhắn đến người dùng xác định Whaling( câu cá): nhằm vào người giàu có Vishing( lừa đảo điện thoại) Kẻ công gọi cho nạn nhân với nội dung tin nhắn từ “ngân hàng” yêu cầu nạn nhân gọi lại vào số điện thoại cung cấp Nạn nhân sau gọi vào số điện thoại kẻ công nhập thông tin riêng tư 22.Thế công XSS? Phân loại công XSS Lấy ví dụ đoạn mã có lỗ hổng XSS; trình bày chế khai thác lỗ hổng đoạn mã Lỗ hổng XSS(CROSS SITE SCRIPTING) lỗ hổng cho phép hacker chèn script vào tham số truy vấn HTTP sau script thực thi máy người dùng * Phân loại : Stored XSS, Reflected XSS, DOM Based XSS… Stored XSS: dạng ấn công mà hacker chèn trực tiếp mã độc vào csdl website Dạng công xảy liệu gửi lên server không kiểm tra kỹ lưỡng mà lưu trực tiếp vào csdl Khi người dùng truy cập vào trang web đoạn script độc thực thi chung với trình load web Reflected XSS dạng công thường gặp loại XSS với Reflected XSS, hacker không gửi liệu động lại lên server nạn nhân, mà gửi trực tiếp link có chứa mã độc 18 cho người dùng, người dùng click vào link trang web load chung vs đoạn script độc hại Reflected XSS thường dùng để ăn cắp Cookie, Session DOM Based XSS: DOM Based XSS kỹ thuật khai thác XSS dựa việc thay đổi cấu trúc DOM tài liệu, cụ thể HTML *Cơ chế cơng XSS điển hình: Tạo URL chứa script gửi cho nạn nhân Nạn nhân mở URL script thực thi *Ví dụ giải thích: Ta có trang web mà người dùng để lại lời nhắn , bìn luận, Thay nhập vào lời nhắn bình thường, ta nhập vào đoạn mã sau: Xin alert(“XSS”)chào! Kết quả: xuất alert với nội dung “XSS” với button OK Vì lời nhắn lưu trữ database nên người dùng truy cập vào trang web thực thi đoạn mã Thay đoạn mã vơ hại trên, hacker thay đoạn mã nguy hiểm khác nhằm gây hại đến người dùng 23.Thế công SQL Injection? Phân loại cơng SQL Injection Lấy ví dụ đoạn mã có lỗ hổng SQL Injection; trình bày chế khai thác lỗ hổng đoạn mã Lỗ hổng SQL Injection lỗ hổng cho phép kẻ công lợi dụng lỗ hổng việc ktra liệu đầu vào ứng dụng web thông báo lỗi hệ quản trị CSDL trả để inject (tiêm vào) thi hành câu lệnh SQL cách trái phép Phân Loại : Dựa kênh truy xuất liệu Inband or inline Out-of-band Dựa phàn hổi nhận từ máy chủ Error-based sql injections Blind sql injection Dựa liệu đầu vào xử lý(kiểu liệu : string, number…) Dựa thoe mức/ thứ tự bị inject First-order injections Second-order injections 19 Dựa điểm bị inject: Injection through user input form fields Injection through cookies Injection through server variables (headers-based injections) Cơ chế: Lợi dụng truy vấn từ ứng dụng web tới CSDL (SQL) mà attacker truyền vào câu lệnh truy vấn SQL bên liệu đầu vào webserver thực thi thực đoạn truy vấn với CSDL attacker chỉnh sửa liệu (thêm, sửa, xoá, ) bypass việc xác thực user *Ví dụ giải thích: đoạn PHP k-ểm tra login sau Khi ngdùng nhập username password gửi lên cho web server, web server kiểm tra sở liệu có ghi trùng với điều kiện username password khơng Nếu có xác thực thành cơng k xác thực thất bại Lợi dụng điều mà attacker truyền vào nội dung để vượt qua xác thực sau Username: anyuser’ OR 1=1; - comment Password: anypassword Câu truy vấn mà web server thực SELECT ID FROM users WHERE username=’anyuser’ OR 1=1; -comment AND password=anypassword Ta thấy sau “ ” comment câu lệnh SELECT ID FROM users WHERE username=’anyuser’ OR 1=1; Với câu lệnh ta trả tất ghi điều kiện ln Do attacker vượt qua việc xác thực 24.Thế lỗ hổng tràn đệm? Phân loại lỗ hổng tràn đệm Lấy ví dụ đoạn mã có lỗ hổng tràn đệm; trình bày chế khai thác lỗ hổng đoạn mã 20 Khái niệm : Lỗ hổng tràn đệm lỗ hổng cho phép liệu xử lý thường liệu đầu vào, dài giới hạn vùng đệm cấp phát để chứa Cơ chế: Lợi dụng liệu bị trà khỏi giới hạn cấp phát, attacker thêm vào phần tràn liệu độc hại để thay ( ghi đè lên) cho đoạn liệu quan trọng nằm phía sau liệu bị tràn Phân loại : Tràn đệm Stack : biến cục Tràn đệm Heap : cấp phát động Ví dụ Ta có ví dụ chương trình C sau #include “stdio.h” int main() { int cookie; char buf[16]; printf (“&buf: %p, &cookie: %p\n”, buf, &cookie); gets(buf); if (cookie == 0x41424344) { printf(“You Win”); } } Chương trình nhận chuỗi từ nhập chuẩn (stdin) từ hàm gets Nếu biến cookie 41424344 in dòng chữ ‘You Win’ Giả sử cookie đóng vai trò liệu quan trọng Và mục đích ta in dòng chữ Để làm ta phải gán biến cookie giá trị 41424344 Ta thấy hàm gets không kiểm tra kích thước vùng nhớ dùng để chứa liệu nhập xảy tràn đẹp nhập liệu dài kích thước đệm Vì biến cookie khai báo trước biến cookie nằm địa cao biến buf, nằm sau buf nhớ Nếu ta nhập kí tự “abcdef” trạng thái nhớ sau 21 Nếu ta nhập 16 kí tự “0123456789abcdef” trạng thái nhớ sau biến cookie bị ghi đè, để biến Cookie có giá trị 41424344 nhớ biến cookie phải có giá trị 44,43, 42, 41 theo quy ước kết thúc nhỏ xử lý intel x86 Đối chiếu với bảng mã ASCII kí tự ABCD Sau ta nhập đoạn liệu sau gồm 16 chữ a theo sau DCBA ta dòng chữ You Win aaaaaaaaaaaaaaaaDCBA 25.Trình bày 02 kịch kiểu công sử dụng kỹ nghệ xã hội biện pháp phòng chống tương ứng 22 Hacker giả làm Admin: ví dụ này, hacker gọi cho người dùng mạo nhận quản trị mạng Hacker gắng thuyết phục người dùng thay đổi password họ (thường để đổi password, bạn phải nhập vào password cũ trước đó) tiết lộ thơng tin liên quan tới password Hacker giả làm người dùng: trường hợp này, hacker gọi cho người quản trị mạng ngờ nghệch… (để hacker không bị phát giác người dùng giả mạo :D) đóng vai làm người dùng khó tính nản lòng khơng thể đăng nhập vào hệ thống mạng Người quản trị thản nhiên giúp đỡ tận tình “người dùng” cách đặt lại password cung cấp password để đăng nhập cho “người dùng” hacker giả mạo Hacker giả làm nhà sản xuất: tình hacker gửi email cho khách hàng (là victim ;)) đóng giả làm nhà sản xuất phần mềm thiết bị mà khách hàng sử dụng Sau đó, hacker cố gắng đưa khuyến cáo thật thuyết phục để victim tin tưởng cài đặt gói cập nhật cho sản phẩm từ nhà sản xuất tốt bụng này! Nhưng victim đâu ngờ gói update thật Trojan giúp hacker có quyền truy cập vào hệ thống victim 26 Khái niệm “quản lý an tồn thơng tin” Tại cần có tiêu chuẩn quản lý an tồn thơng tin? Lợi ích việc tn thủ tiêu chuẩn quản lý an tồn thơng tin? Giải thích chu trình PDCA theo tiêu chuẩn ISO 27001 Quản lý an tồn thơng tin tác động lên hệ thống thơng tin nhằm đưa hệ thống trạng thái đảm bảo tính bí mật, tính tồn vẹn tính khả dụng Tại cần có tiêu chuẩn quản lý an tồn thơng tin Trong q trình quản lý an tồn thơng tin gặp phải câu hỏi như: Cần biện pháp tác động Tác động Bao nhiêu đủ Kiểm chứng kết Để giải vấn đề cách hiệu cần áp dụng tiêu chuẩn quản lý an tồn thơng tin Chu trình PDCA theo tiêu chuẩn ISO 27001 23 B1: Lập kế hoạch Thiết lập ISMS Xác định phạm vi ISMS Đề sách ISMS Xác định phương pháp đánh giá rủi ro tổ chức Nhận diện rủi ro Phân tích đánh giá rủi ro B2: Thực Triển khai vận hành ISMS Thiết lập kế hoạch xử lý rủi ro Thực kế hoạch xử lý rủi ro Thực công cụ kiểm soát chọn để đáp ứng mục tiêu kiểm soát Quy định cách đo lường hiệu cơng cụ kiểm sốt chọn B3 : Theo dõi rà sóat Theo dõi rà soát ISMS Thực thủ tục theo dõi, sốt xét cơng cụ kiểm sốt khác Rà soát định kỳ hiệu ISMS Đo lường hiệu cơng cụ kiểm sốt Xem xét định kỳ đánh giá rủi ro Định kỳ đánh giá nội ISMS B4 : Cải tiến Duy trì cải tiến ISMS Thực cải tiến xác định Thực hành động khắc phục phòng ngừa thích hợp Thơng tin hoạt động cải tiến với tất bên liên quan Bảo đảm cải tiến đạt mục tiêu đề Tiếp tục vòng lặp hệ thống thơng tin quản lý cách an tồn 24 17 Hãy giải thích vai trò pháp luật an tồn thơng tin Hãy tội danh lĩnh vực Công nghệ thông tin quy định Bộ luật hình 2015 cho biết khung hình phạt cao tội danh Vai trò pháp luật an tồn thơng tin : Vai trò bên cơng q lớn? Nhà cung cấp lợi nhuận mà sử dụng sản phầm, cơng nghệ khơng đảm bảo an tồn Những hiểm họa mà loại trừ biện pháp kỹ thuật Tổ chức , cá nhân coi nhẹ việc bảo vệ hệ thống thông tin Xây dựng hành lang pháp lý để bảo vệ quyền, lợi ích hợp pháp cá nhân , tổ chức, xã hội nhà nước lĩnh vực thông tin Các tội danh lĩnh vực công nghệ thông tin quy định luật hình 2015 Tội sản xuất, mua bán, trao đổi tặng cho công cụ, thiết bị, phần mềm để sử dụng vào mục đích trái pháp luật Khởi điểm: để sử dụng trái pháp luật Phạt tiền: 20 tr – tỉ Phạt tù: đến năm Bổ sung: phạt tiền, cấm hành nghề Tội phát tán chương trình tin học gây hại cho hoạt động mạng máy tính, mạng viễn thơng, phương tiện điện tử Khởi điểm: thu lợi bất gây hại 50 tr, lây nhiễm 50 máy Phạt tiền: 50 tr – 500 tr Phạt tù: đến 12 năm Bổ sung: phạt tiền, cấm hành nghề Tội cản trở gây rối loạn hoạt động mạng máy tính, mạng viễn thơng, phương tiện điện tử Phạt tiền : từ 20tr – 25tr Phạt tù : từ năm đến 20 năm Bổ sung : cấm đảm nhiệm chức vụ, cấm hành nghề làm công việc định từ đến năm Tội đưa sử dụng trái phép thông tin mạng máy tính, mạng viễn thơng Khởi điểm: phạm tội có tổ chức, thu lợi bất từ tr Phạt tiền : 20tr – 200tr Phạt tù : năm – năm Bổ sung: cấm đảm nhiệm chức vụ, cấm hành nghề 25 Tội xâm nhập trái phép vào mạng máy tính, mạng viễn thông phương tiện điện tử người khác Khởi điểm : thu lợi bất 500tr , xâm nhập vào sở hạ tầng thông tin quốc gia, hệ thống thơng tin phục vụ quốc phòng an ninh Phạt tiền : 300tr- tỉ Phạt tù : năm – 12 năm Bổ sung: cấm đảm nhận chức vụ, cấm hành nghề Tội sử dụng mạng máy tính, mạng viễn thơng, phương tiện điện tử thực hành vi chiếm đoạt tài sản Khởi điểm: chiếm đoạt tài sản từ 5tr trở lên, gây hậu nghiêm trọng Phạt tiền 20tr – 100 tr Phạt tù : 20 năm Bổ sung : tịch thu phần toàn tài sản, cấm đảm nhiệm chức vụ Tội thu thập, tàng trữ, trao đổi, mua bán, cơng khai hóa trái phép thông tin tài khoản ngân hàng Khởi điểm : thu lợi bất chình từ 200tr , công khai 200 tài khoản trở lên Phạt tiền:200tr – 500 tr Phạt tù : năm – năm Bổ sung: cấm đảm nhiệm chức vụ, cấm hành nghề Tội cung cấp dịch vụ trái phép mạng máy tính, mạng viễn thơng Khởi điểm : thu lợi bất từ 500tr trở lên Phạt tiền: 1tỉ - 1tỉ 500tr Phạt tù : năm – năm Bổ sung: cấm đảm nhiệm chức vụ, hành nghề, tịch thu tài sản 18 Hãy cho biết cần xem xét vấn đề đạo đức an tồn thơng tin Hãy nêu số vấn đề đạo đức mà người làm an tồn thơng tin gặp phải Tại cần xem xét vấn đề đạo đức attt Đạo đức phải công cụ để giải vấn đề trường hợp mà luật pháp phát huy tác dụng đạo đức ATTT bổ sung, phối hợp không mâu thuẫn với quy định có tính pháp lí Vấn đề hướng tới mục tiêu hướng dẫn tổ chức, cá nhân hành nghề cung cấp dịch vụ an tồn thơng tin a cách trực, trọng danh dự tin cậy Các chương trình đào tạo CNTT, bao gồm đào tạo chuyên gia ATTT, thường tập trung vào kiến thức kỹ kỹ thuật Người học truyền thụ kiến thức, kỹ để thực công việc, lại cảnh báo khả năng, kịch kiến thức, kỹ bị lạm dụng 26 Trên thực tế, nhiều người làm CNTT hành động với suy nghĩ hacker (mũ đen): tất làm thứ phép làm Và nhiều người chí khơng nhận thấy tồn vấn đề đạo đức công việc họ Đó vấn đề đạo đức nào? Giúp đỡ người có tinh thần học hỏi Người làm ATTT không phép từ chối chia sẻ với người khác kiến thức lĩnh vực CNTT bảo vệ thông tin Những kiến thức phải truyền đạt cách không vụ lợi cho tất có mong muốn học hỏi Tránh điều có hại Trong cơng việc mình, người làm ATTT cần phải tránh việc gây hại cho đối tượng bảo vệ (thiệt hại từ tác dụng phụ), trừ trường hợp việc gây hại cần thiết để ngăn chặn thiệt hại lớn Cần tránh gây hại cho bên không liên quan, cho dù việc gây hại giúp tránh thiệt hại cho đối tượng bảo vệ Không phát tán thông tin nguy hiểm Người làm ATTT không cung cấp cho thông tin điểm yếu mà bị khai thác (ngoại trừ việc cung cấp thông tin cho chủ sở hữu nhà phát triển hệ thống chứa điểm yếu nhằm mục đích loại trừ điểm yếu đó) Khơng cung cấp cho chương trình độc hại chương trình đa mục đích, có người cung cấp sử dụng chương trình cách ác ý Sử dụng có chừng mực Khi có quyền truy cập tới hệ thống thơng tin hệ thống, người làm ATTT sử dụng quyền truy cập/thơng tin để thực việc bảo vệ, ngăn chặn mối nguy hại tăng cường mức an tồn, mà khơng sử dụng quyền truy cập/thơng tin cho mục đích khác, kể mục đích vơ hại Khi thực xong nhiệm vụ, quyền truy cập cần đóng lại, thơng tin cần phải xóa bỏ Giữ bí mật Người làm ATTT cần phải giữ bí mật thơng tin tiếp cận q trình cung cấp dịch vụ bảo vệ, thơng tin bí mật thương mại, bí mật đời tư, bí mật nghề nghiệp hay dạng thông tin mật khác, có hay khơng có thỏa thuận việc giữ bí mật thơng tin Những quy tắc đạo đức không nỗ lực ban đầu việc văn hóa chuẩn mực đạo đức nghề nghiệp cho người làm lĩnh vực bảo vệ thông tin, mà chúng cần 27 quy định thức cho tổ chức ứng cứu cố máy tính, giám sát an tồn mạng, cung cấp dịch vụ ATTT Đó yếu tố đảm bảo thành viên đội thực chức cách vơ tư, cơng Trong số vấn đề đạo đức mà người làm ATTT phải đối mặt trước hết phải kể đến vấn đề liên quan đến tính riêng tư Ví dụ: Nếu bạn có khả đọc email cá nhân người dùng khác mạng bạn có đọc chúng khơng? Liệu có ổn khơng, bạn đọc email nhân viên để đảm bảo thông tin nhạy cảm công ty không bị tiết lộ? Liệu có ổn khơng bạn đọc đọc email nhân viên để đảm bảo nhân viên không vi phạm quy định cơng ty (ví dụ, quy định không phép sử dụng hệ thống email công ty vào mục đích cá nhân) Và bạn định đọc email nhân viên bạn có thơng báo cho họ biết hay khơng? Nếu có thơng báo trước hay sau đọc chúng? Liệu có cần phải giám sát tất hành động truy cập web người dùng mạng hay khơng? Có cần ghi vào log tất website mà người dùng truy cập không? Việc không giám sát truy cập có phải tắc trách khơng, mà bạn biết việc giám sát giúp ngăn ngừa truy cập nội dung khiêu dâm làm việc đồng thời tạo mơi trường làm việc thân thiện? Liệu có ổn không cài đặt key logger máy tính mạng để ghi lại tất thao tác gõ bàn phím người dùng? Câu trả lời có khác không đối tượng cài đặt phần mềm chụp ảnh hình, cho phép người quản lý theo dõi tất hình người dùng? Và bạn định giám sát người dùng hai hình thức bạn có thơng báo trước cho người dùng hay khơng? Liệu có ổn khơng bạn đọc file tài liệu xem file hình ảnh mà người dùng lưu máy họ thư mục họ file server? 28 ... phá vỡ tính khả dụng thơng tin, hệ thống thông tin Phân loại Băng thông thấp Băng thông cao Đơn lẻ Phân tán Băng thông thấp Ping of Death Teardrop Băng thông cao (máy đơn) SYN flood... Lấy lòng A dua Thân thiện Kẻ công hỏi vài thông tin nhỏ: Tập hợp thông tin từ vài nạn nhân khác Đưa yêu cầu đáng tin Kẻ cơng tạo bỏ bọc để có thơng tin( trước nạn nhân cảm thấy nghi ngờ)... cấp thông tin riêng tư Người dùng yêu cầu: Trả lời mail Cập nhật thông tin cá nhân trang web Mật khẩu, tài khoản ngân hàng, số cmnd Tuy nhiên trang web mạo danh lập nhằm đánh cắp thong tin