Công nghệ thông tin đã và đang phát triển với một tốc độ chóng mặt, mang lại rất nhiều lợi ích cho nhân loại. Từ đời sống sinh hoạt đến các hoạt động kinh doanh, các hoạt động quản lý, chỉ đạo trong bộ máy nhà nước thì đều có sự hiện diện và đóng góp của Công Nghệ Thông Tin. Tuy nhiên, bên cạnh các mặt tích cực mà nó mang lại thì vẫn còn tồn tại nhiều mặt tiêu cực và ngày càng trở nên nghiêm trọng, nhức nhối cho xã hội như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống mạng, hệ thống thông tin, nguy cơ bị đánh cắp các thông tin “nhạy cảm” của cá nhân, tổ chức, doanh nghiệp, các cơ quan nhà nước… Với sự phát triển không ngừng của kĩ thuật máy tính, nguy cơ bị hacker tấn công vào hệ thống thông tin ngày càng gia tăng, vấn đề password ngày càng trở nên phức tạp, giờ đây password không chỉ đơn thuần là một chuỗi kí tự bí mật của riêng user, mà nó luôn ở trong nguy cơ bị cracking cao độ, do đó đòi hỏi người dùng cần có những kiến thức mới về password.
Trang 1PHỤ LỤC
Trang 2MỞ ĐẦU
Công nghệ thông tin đã và đang phát triển với một tốc độ chóng mặt, mang lại rất nhiều lợi ích cho nhân loại Từ đời sống sinh hoạt đến các hoạt động kinh doanh, các hoạt động quản lý, chỉ đạo trong bộ máy nhà nước thì đều
có sự hiện diện và đóng góp của Công Nghệ Thông Tin Tuy nhiên, bên cạnh các mặt tích cực mà nó mang lại thì vẫn còn tồn tại nhiều mặt tiêu cực và ngày càng trở nên nghiêm trọng, nhức nhối cho xã hội như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống mạng, hệ thống thông tin, nguy cơ bị đánh cắp các thông tin “nhạy cảm” của cá nhân, tổ chức, doanh nghiệp, các cơ quan nhà nước…
Với sự phát triển không ngừng của kĩ thuật máy tính, nguy cơ bị hacker tấn công vào hệ thống thông tin ngày càng gia tăng, vấn đề password ngày càng trở nên phức tạp, giờ đây password không chỉ đơn thuần là một chuỗi kí tự bí mật của riêng user, mà nó luôn ở trong nguy cơ bị cracking cao độ, do đó đòi hỏi người dùng cần có những kiến thức mới về password
Với lý do trên nhóm em quan tâm lựa chọn đề tài “Cracking password” Nội dung của đề tài gồm 3 chương:
Chương 1: Tổng quan về password
Chương 2: Các phương thức cracking password
Chương 3: Các biện pháp phòng chống cracking password
Trang 3CHƯƠNG 1: TỔNG QUAN VỀ PASSWORD 1.1 Khái niệm về password
Password (tạm dịch là mã xác nhận) là một từ hoặc một chuỗi kí tự bí mật, được sử dụng để xác thực, chứng minh người sử dụng trước khi truy cập tài nguyên
Mật khẩu có thể đi cặp với tên truy nhập khi hệ thống cần phân biệt các người sử dụng khác nhau
1.2 Độ phức tạp của mật khẩu
a Mật khẩu yếu
Một mật khẩu yếu là một mật khẩu ngắn, phổ biến, một mặc định của hệ thống cung cấp, hoặc một thứ gì đó có thể bị đoán ra nhanh chóng bằng cách thực thi tấn công vét cạn sử dụng một tập con của tất cả các mật khẩu khả dĩ, như các từ trong từ điển, tên riêng, những từ dựa trên tên người dùng hoặc những biến thể thông thường của các từ đó Mật khẩu có thể bị dễ dàng đoán được dựa trên những hiểu biết về người dùng đó, như ngày tháng năm sinh và tên thú nuôi, cũng bị xem là yếu
Các ví dụ về mật khẩu yếu:
+ 888, 123456, 123qwe, asdfgh
+ giap, luanl, aaa, bbbb
+…
b Mật khẩu mạnh
Một mật khẩu mạnh là một mật khẩu đủ dài, mang tính ngẫu nhiên, hoặc nếu không chỉ có người chọn nó mới nghĩ ra được, sao cho việc đoán được ra nó
sẽ phải cần nhiều thời gian hơn là thời gian mà một kẻ bẻ khóa mật khẩu sẵn sàng bỏ ra để đoán nó
Ví dụ về mật khẩu mạnh:
+ gIap2@bs7lnnl334ls, lUanhAnam@213
Trang 4Thời gian trung bình Brute-Force mật khẩu
1.3 Sự cần thiết của password
Password giúp ta ngăn chặn việc xâm nhập trái phép vào hệ thống, bảo vệ thông tin, và giúp ta xác nhận duy nhất cá nhân đăng nhập hệ thống cũng như ghi vết lại những hành động của họ trên dữ liệu
1.4 Các hiểm họa đến từ password
Trong khi phần lớn các tổ chức và 99% người dùng tại gia vẫn phụ thuộc vào password như là một hình thức nhận dạng cơ bản đối với các dữ liệu nhạy cảm và riêng tư, thì các mạng có cơ chế bảo mật thấp vô hình chung tạo ra các lỗ hổng cho hacker tiếp cận tài nguyên của công ty và tài sản của người dùng
Mặc dù password là phương tiện cần thiết, thân thiện với người dùng để nhận dạng người dùng khi tiếp cận mạng hoặc cơ sở dữ liệu của họ, nhưng sự thật người dùng rất lơ là với những yêu cầu là họ cần thay đổi password, cần tạo
ra một password có tính bảo mật và làm theo những chỉ dẫn để nó càng bí mật càng tốt Kết quả là một số lượng lớn password có thể dò được, các password giống nhau trên nhiều hệ thống, và người dùng phải ghi chú để đăng nhập gồm password và tên đăng nhập
Trang 5CHƯƠNG 2: CÁC PHƯƠNG THỨC CRACKING PASSWORD 2.1 Các dạng tấn công mật khẩu.
Tấn công password là ta tìm cách để có được password của một urerID nào đó để xâm nhập vào hệ thống của họ
Một cách tổng quan, có 4 dạng tấn công mật khẩu là:
• Passive Online: Nghe trộm sự thay đổi mật khẩu trên mạng Cuộc tấn
công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, và replay attacks (tấn công dựa vào phản hồi)
• Active Online: Đoán trước mật khẩu nguời quản trị Các cuộc tấn
công trực tuyến bao gồm việc đoán password tự động
• Offline: Các kiểu tấn công như Dictionary, hybrid, và brute-force
• Non-Electronic: Các cuộc tấn công dựa vào yếu tố con người như
Social engineering, Phising…
2.1.1 Passive Online Attack
a Wire sniffing
Bắt mật khẩu trên môi trường không mã hóa tốt, đặc biệt là trong môi trường mạng Lan khi các máy ra Net bắt buộc phải đi ra default gateway Các
hệ thống truyền đạt thông tin qua mạng đôi khi không chắc chắn lắm và lợi dụng điều này, hacker có thể truy cập vào đường truyền dữ liệu để nghe trộm hoặc đọc trộm luồng dữ liệu truyền qua Hacker nghe trộm sự truyền đạt thông tin, thu thập những thông tin quý giá về hệ thống như một packet chứa username và password của một ai đó
+ Chạy công cụ bắt gói tin trên mạng LAN để bắt gói tin và phân tích dữ liệu để tìm ra mật khẩu
+ Các mật khẩu thường bắt được dạng plaintext của các dịch vụ như: Telnet, FTP, rlogin, mail
+ thông tin nghe lén được sử dụng để truy cập trái phép vào hệ thống mục tiêu
Trang 6Attacker nghe lén trên đường truyền dữ liệu giữa các victim
b Man In The Middle Attack
Man-in-the-Middle (MITM) là hình thức tấn công mà kẻ tấn công (attacker) nằm vùng trên đường kết nối (mạng LAN) với vai trò là máy trung gian trong việc trao đổi thông tin giữa hai máy tính, hai thiết bị, hay giữa một máy tính và server, nhằm nghe trộm, đánh cắp thông tin hoặc thay đổi luồng dữ liệu trao đổi giữa các nạn nhân
Tấn công Man In The Middle
c Replay attack:
Các gói dữ liệu và access token của Victim được Attacker bắt lại để sau này sử dụng để truy cập vào server
Access Token là đoạn mã sinh ra ngẫu nhiên được sử dụng bí mật cho mỗi người dùng, ứng dụng khi thực hiện các thao tác quan trọng, hay truy cập vào tài
Trang 7khoản của người dùng Bạn có thể tạm hiểu access token trong trường hợp này như một đường hầm bí mật để vào ngôi nhà của bạn Các hình thức xác thực như username, password giống như khóa và chìa khóa cửa nhà của bạn vậy Access token sẽ không đi qua cánh cửa này
Kẻ tấn công nghe lén trên đường truyền
2.1.2 Active Online Attack
* Hash Injection and Phishing
+ Hash Injection:
Hash Injection Attack cho phép attacker “tiêm” một giá trị hash vào một phiên làm việc cục bộ trên máy tính nạn nhân và sử dụng hash để kiểm tra tính hợp lệ khi truy cập tài nguyên mạng
Attacker tìm và trích thông tin của “domain admin account hash” đã đăng nhập
Attacker sử dụng hash thu thập được để đăng nhập vào domain controller +Phishing:
Phishing là việc xây dựng những hệ thống lừa đảo nhằm đánh cắp các thông tin nhạy cảm, như tên đăng nhập, mật khẩu hay thông tin về các loại thẻ tín dụng của người dùng Phishing xuất hiện như một thực thể đáng tin cậy, một trang thông tin điện tử, eBay, Paypal, gmail, hay các ngân hàng trực tuyến là những mục tiêu hướng đến của hình thức tấn công này Phishing thường được thực hiện qua email, những tin nhắn nhanh và thường tập trung vào hướng lừa
Trang 8người dùng nhập các thông tin vào một form hay click vào một đường dẫn của website lừa đảo
Ví dụ: Hacker làm giả giao diện các trang web như FB, Gmail, hay các trang ngân hàng trực tuyến…, và gửi cho nạn nhân yêu cầu đăng nhập để xác thực một vấn đề gì đó, khi người dùng không cảnh giác và nhập username, password thì sẽ được gửi tới cho hacker
Hacker làm giả trang web Facebook để hack tài khoản người dùng
* Trojan Horse, Spyware, Keyloggers:
Đây là những loại mã độc mà khi máy tính nạn nhân bị nhiễm thì hacker
có thể lấy được một số thông tin quan trọng như username và password
+ Trojan Horse:
Trojan horse là chương trình máy tính thường ẩn mình dưới dạng một chương trình hữu ích và có những chức năng mong muốn, hay ít nhất chúng trông như có các tính năng này Một cách bí mật, nó lại tiến hành các thao tác
Trang 9khác không mong muốn Những chức năng mong muốn chỉ là phần bề mặt giả tạo nhằm che giấu cho các thao tác này
Trong thực tế, nhiều Trojan horse chứa đựng các phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng
Khác nhau căn bản với virus máy tính là Trojan Horse về mặt kỹ thuật chỉ
là một phần mềm thông thường và không có ý nghĩa tự lan truyền Các chương trình này chỉ lừa người dùng để tiến hành các thao tác khác mà thân chủ sẽ không tự nguyện cho phép tiến hành Ngày nay, các Trojan horse đã được thêm vào đó các chức năng tự phân tán Điều này đẩy khái niệm Trojan horse đến gần với khái niệm virus và chúng trở thành khó phân biệt
+ Spyware (Phần mềm gián điệp):
Phần mềm gián điệp (Spyware) là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người
ta có thể tải về từ Internet Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc) Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả mật khẩu cũng như là số thẻ tín dụng
Spyware được cài đặt một cách vô tội vạ khi mà người chủ máy chỉ muốn cài đặt phần mềm có chức năng hoàn toàn khác
+ Keyloggers: Là phần mềm ghi lại chuỗi phím gõ của người dùng Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được
Trang 10các thiết bị an ninh Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu
và chìa khóa mã hóa
* Password Guesing:
Kẻ tấn công sử dụng từ điển username/password để dò mật khẩu của hệ thống Phương thức đoán mật khẩu dựa trên kinh nghiệm của attacker và thói quen người sử dụng Từ điển này được tạo từ hacker với những từ liên quan đến nạn nhân như tên, số điện thoại, ngày sinh, tên những người thân… Phương pháp này khá hiệu quả khi kẻ tấn công hiểu khá rõ về nạn nhân… Tuy nhiên với những mật khẩu phức tạp thì cách này khó có thể thành công
2.1.3 Offline Attack
Các kiểu tấn công offline:
Để tìm hiểu về vấn đề này, trước hết ta phải tìm hiểu về cơ chế mã hóa và xác nhận password
+ Mã hóa password: hiện nay, đa số password được “băm” một chiều bằng các hàm băm ví dụ như SHA hoặc MD5 Do đó trên các ứng dụng tốt, password chỉ được lưu dưới dạng chuỗi kí tự đã được băm chứ không bao giờ được lưu dưới dạng plaintext
+ Xác nhận password: giả sử user A có password là abc, password này được ứng dụng “hash” nó thành 0cc175b7c0f1b6a831c399e269772661 rồi chứa trong CSDL Nếu chúng trùng nhau, user A được vào
Khi các hệ thống bị nhân nhượng, các hacker chỉ có thể lấy được file mã hóa password, không thể có được file password dạng plaintext, do đặc tính một
Trang 11chiều của hàm băm, các hacker muốn có được password dạng plaintext có thể dùng những các sau đây:
a Dictionary attack (dạng từ điển):
+ Tấn công từ điển là tạo ra (download về) một file chứa hầu hết các từ có nghĩa trong từ điển, sau đó băm ra và so sánh với mật khẩu người dùng, sử dụng
nó để đoán ra password của user Trên thực tế các users thường dùng những từ
có nghĩa để đặt cho password của mình, do đó phương pháp tấn công bằng từ điển là một phương pháp đơn giản mà mức độ thành công lại cao Trên hầu hết các hệ thống, tấn công từ điển có thể hoàn thành trong thời gian ngắn để so sánh với các tổ hợp từ có thể
+ Việc lập file từ điển khá đơn giản, nhất là khi bạn biết khá rõ về user này Ví dụ: một thuật ngữ thường xuyên sử dụng trong công việc của user, hoặc tên một người quan trọng đối với user đó cũng có thể được đưa vào từ điển
+ Kiểu tấn công này có một số hạn chế là nó không được sử dụng với những mật khẩu mạnh, có cả chữ và số hay kết hợp của những kí tự không có nghĩa
Tấn công dạng từ điển
b Hybrid attack (dạng tổng hợp):
Trang 12+ Là sự kết hợp giữa tấn công bằng từ điển và tấn công vét cạn Các cuộc tấn công Hybrid bắt đầu với một tập tin từ điển và thay thế các con số và các ký hiệu cho các ký tự trong mật khẩu Ví dụ, nhiều người sử dụng thêm số 1 vào cuối mật khẩu của họ để đáp ứng yêu cầu mật khẩu mạnh Hybrid được thiết kế
để tìm những loại bất thường trong mật khẩu
+ Ví dụ: user sử dụng password là intertainment123 Khi đó không thể dùng phương pháp từ điển vì không có từ nào chữ số, nếu dùng phương pháp brute force thì quá lâu Ta sẽ dùng phương pháp tấn công tổng hợp, bằng cách sử dụng phương pháp từ điển để lấy ra một từ có nghĩa, sau đó dùng phương pháp brute force để thêm các con số vào sau từ đó và dò tìm password
c Brute Force Attack (Tấn công vét cạn):
+ Đây là phương pháp bẻ password bằng cách vét cạn tất cả các trường hợp ghép nối các kí tự có thể có, bắt đầu từ những kí tự đơn giản thông thường cho đến những kí tự đặc biệt, sau đó băm ra để so sánh với password người dùng
+ Một cuộc tấn công bằng thuật toán brute-force là chậm nhất trong ba loại tấn công vì có thể kết hợp nhiều ký tự trong mật khẩu Tuy nhiên, với một máy tính mạnh có khả năng ghép nối tất cả các kí tự lại với nhau, hacker có thể
bẻ được tất cả những mật khẩu nếu có đủ thời gian
2.1.4 Non-electronic attack
Các cuộc tấn công nonelectronic là dạng tấn công mà không sử dụng bất
kỳ kiến thức kỹ thuật nào Loại tấn công có thể bao gồm các kỹ thuật như social engineering, shoulder surfing, keyboard sniffing, dumpster diving
a Social engineering
Sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực hiện một hành động nào đó Social engineer (người thực hiện công việc tấn công bằng phương pháp social engineering) thường sử dụng điện thoại hoặc internet
Trang 13để dụ dỗ người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó để chống lại các chính sách an ninh của tổ chức Bằng phương pháp này, Social engineer tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo mật của hệ thống Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là cơ hội cho kỹ thuật tấn công này hành động
b Shoulder surfing
Shoulder Surfing là một kỹ thuật thu thập password bằng cách xem qua người khác khi họ đăng nhập vào hệ thống Hacker có thể xem người sử dụng đăng nhập hợp lệ và sau đó sử dụng password đó đề giành được quyền truy xuất đến hệ thống Phương thức này có vẻ đơn giản nhưng chính sự chủ quan của người dùng tạo cơ hội cho attacker có thể tìm ra mật khẩu
c Keyboard sniffing
Sử dụng bàn phím giả gắn trên bàn phím thật, mọi thao tác của người sử dụng đều bị lưu lại trên bộ nhớ hoặc gắn camera ngay trên bàn phím để ghi hình việc người sử dụng gõ bàn phím Ví dụ: gắn bàn phím giả lên trên bàn phím thật
ở các máy ATM để lấy mã PIN các chủ thẻ
d Dumpster diving
Tìm kiếm trong thùng rác, thông tin được viết trên mảnh giấy hoặc bản in máy tính Hacker có thể tìm thấy password, filename, hoặc những mẩu thông tin
bí mật
2.2 Các công cụ crack password phổ biến.
+ Legion: Đây là công cụ có khả năng quét nhiều máy tính cùng lúc thông
qua các dãy địa chỉ IP để tìm ra các tài nguyên chia sẻ và đoán mật khẩu của người dùng tự động
+ L0pht Crack : Có khả năng bẻ khóa mật khẩu rất mạnh mẽ dựa trên dữ
liệu từ điển có sẵn của ứng dụng hay tiến hành bẻ khóa theo dạng brute-force