Bài giảng An toàn cơ sở dữ liệu: Các tấn công vào cơ sở dữ liệu giới thiệu một số cuộc tấn công cơ sở dữ liệu lớn trên thế giới, đồng thời trình bày điểm yếu cùng lỗ hổng cở sở dữ liệu dẫn đến những cuộc tấn công này,... Mời các bạn cùng tham khảo để nắm bắt các nội dung chi tiết.
Các công vào sở liệu (Database Attacks) Giảng viên: Trần Thị Lượng • Thực tế cho thấy, cố an ninh xảy với CSDL ảnh hưởng nghiêm trọng đến danh tiếng công ty quan hệ với khách hàng Hãng bảo mật SecureWorks cho biết phát tới 8.000 vụ công lên sở liệu ngày Tổn thất tài lớn Một vụ cơng tiếng vụ cơng vào CardSystems Solutions - hãng chuyên lưu trữ có sở liệu tốn thẻ tín dụng Tin tặc sử dụng giải pháp công SQL Injection để chiếm quyền điều khiển hệ thống sở liệu CardSystems chuyển toàn sở liệu ngồi Đã có khoảng 40 triệu thẻ tín dụng khách hàng (bao gồm Master Card Visa Card) rơi vào tay chúng gây thiệt hại hàng triệu USD Theo SecureWorks 7/2007 Hacker công vào website Microsoft-UK Làm thể diện danh tiếng Theo Windows Security 3/8/2007 – 8/2005 Hacker công sở liệu khơng qn Mỹ Làm lộ thơng tin bí mật quốc gia giảm mạnh quân đánh cắp thông tin cá nhân gần 33.000 quân nhân phục vụ cho không quân Mỹ Số liệu bị đánh cắp bao gồm ngày tháng năm sinh số thẻ an ninh (Social Security) 12/2007 Hacker TQ cơng phòng thí nghiệm hạt nhân Oak Ridge Mỹ nhằm đánh cắp liệu từ dự án tuyệt mật phòng thí nghiệm Theo Quantrimang.com 6/2/2006 Website tỉnh Lâm Đồng (lamdong.gov.vn) bị hacker nước ngồi cơng, thay đổi hoàn toàn nội dung trang tin tức - Các website hoạt động bình thường, khơng hay biết sở liệu quan trọng, chí cấp quốc gia, bị chép, ăn cắp - Các đầu mối thơng tin website bị kiểm sốt sửa đổi với mục đích xấu, khiến người truy cập web hiểu sai thông tin, dẫn tới nhiều hậu nguy hiểm 10/5/2005 60% website gov.vn bị công nắm quyền kiểm soát Theo Vietnamnet.vn Top 10 database attacks • • • • • • • • • • Excessive privileges Privilege abuse Unauthorized privilege elevation Platform vulnerabilities SQL injection Weak audit Denial of service Database protocol vulnerabilities Weak authentication 10 Exposure of backup data Lỗ hổng hệ quản trị CSDL • Ngày 22/12/2008, Microsoft cảnh báo lỗ hổng hệ quản trị Cơ sở liệu (CSDL) Microsoft SQL Server Đây lỗ hổng tràn đệm cho phép Hacker cơng chiếm quyền kiểm sốt máy tính từ xa Lỗ hổng hãng an ninh SEC Consult công bố với mã khai thác sp_replwritetovarbin (Theo Trung tâm an ninh mạng Bkis) Microsoft tiếp tục vá lỗ hổng bảo mật • Ngày 5.2, Microsoft thông báo phát hành vá lỗi để bịt kín lỗ hổng bảo mật, có lỗ hổng xếp vào mức độ nghiêm trọng • lỗ hổng cho phép hacker thực thi đoạn mã độc từ xa, tồn ứng dụng phổ biến Internet Explorer, SQL Server, Exchange Server Visio Trong số này, lỗ hổng IE Exchange Microsoft xếp vào mức độ “nghiêm trọng” (critical),2 lỗ hổng lại xếp vào mức "quan trọng” (important) SQL Injection khối tin tặc • SQL Injection cách thức công khai tác lỗi việc kiểm tra • • • liệu đầu vào ứng dụng, để từ chạy câu lệnh truy vấn (query) liệu SQL có lợi cho kẻ cơng SQL Injection xảy tất phần mềm có sử dụng ngôn ngữ truy vấn liệu SQL, thường gặp web-application Cho đến nay, SQL Injection phương thức thông dụng tin tặc cơng website sở liệu xem trái tim website Số lượng website bị tin tặc "nắm giữ" lên đến vài trăm ngàn thường dùng để phát tán mã độc, malware hay lừa đảo trực tuyến (phishing) khách truy cập truy xuất vào website Những vụ "SQL Injection" đình đám năm 2008 phải kể đến việc 10.597 số an sinh xã hội hồ sơ pháp lý công dân thuộc Oklahoma website bị tin tặc công qua phương thức SQL Injection đợt công quy mô lớn gây tổn thất cho nửa triệu website Việc chống trả từ webmaster xem yếu ớt đại đa số sử dụng hệ thống máy chủ sở liệu dùng chung khơng bảo vệ kỹ, cách thức lập trình website sơ hở Cả Microsoft HP tham gia hỗ trợ cho khách hàng qua cơng cụ miễn phí nhằm kiểm tra mức độ ngăn chặn đợt công SQL Injection (Theo Tuoi tre online) Yếu điểm hệ thống DNS • Tháng 7-2008, chuyên gia nghiên cứu bảo mật Dan Kaminsky làm chấn động làng CNTT qua phát yếu điểm hệ thống DNS (Domain Name System) toàn cầu Yếu điểm cho phép tin tặc dễ dàng công vào DNS server có chức hỏi hộ (recursive) lưu giữ kết (caching) có điểm yếu: chấp nhận xử lý đồng thời nhiều yêu cầu truy vấn với mục đích làm thay đổi ánh xạ tên miền hướng người dùng đến địa IP bất hợp lệ tùy ý • Đây lỗi nghiêm trọng giúp hacker lợi dụng cơng hệ thống DNS, chuyển tên miền mà người truy cập muốn vào đến website độc hại Sơ đồ cơng DNS • Điều kiện thuận lợi cho tin tặc phát động công ạt vào hệ thống DNS giới, chuyển hướng người dùng đến website giả mạo nhằm lừa họ cung cấp thông tin cá nhân, tài khoản ngân hàng trực tuyến, số thẻ tín dụng • Người làm tốt cơng tác bảo mật người tuân thủ theo luật KISS! KISS = Keep It Simple, Stupid! Những lỗ hổng website doanh nghiệp • Dữ liệu đầu vào khơng kiểm tra tính hợp lệ • • Trước tiên, hacker thiết lập proxy đứng trình duyệt máy chủ ứng dụng web Proxy có khả chặn gói liệu trước chuyển đến máy chủ, cho phép hacker sửa đổi liệu truy cập chèn mã công trước gửi đến ứng dụng web Những cơng dạng có xu hướng ngày phổ biến số lượng công cụ hỗ trợ chức tạo tham số bất kỳ, tạo mã cơng, cơng lập trình máy (brute force) ngày tăng Hậu việc sử dụng tham số khơng kiểm tra gây khó khăn cho nhà lập trình web họ khơng có hệ thống tập trung kiểm tra tính hợp lệ tất truy xuất HTTP Lỗi kiểm soát truy cập nguồn tài nguyên Những lập trình viên thường khơng đánh giá mức độ khó khăn việc xây dựng chế quản lý kiểm soát truy cập liệu Đa số chức không đựơc thiết kế từ lúc đầu mà xây dựng kèm theo tùy tính ứng dụng Vì vậy, chức kiểm soát xây dựng khắp module khác mã nguồn Khi ứng dụng phát triển xong đưa vào triển khai, mã kiểm sốt trở nên khơng thống gây nhiều lỗ hổng nghiêm trọng khó phát Lỗi liên quan đến trình quản lý xác thực phiên truy cập • • • Một số lượng lớn lỗi ứng dụng hàm quản lý tài khoản phiên truy cập dẫn đến mối nguy lộ tài khoản người sử dụng chí tài khoản người quản trị Ứng dụng web thường phải theo dõi trì phiên truy cập người dùng nhằm phân biệt truy cập từ người dùng khác Giao thức HTTP không cung cấp khả ứng dụng web phải tự tạo chế Thông thường, môi trường phát triển ứng dụng cung cấp chế quản lý phiên truy cập (thường hình thức mã hóa đoạn video hấp dẫn) Tuy nhiên, đa số nhà lập trình nghiêng phát triển chế riêng họ Trong hai trường hợp, token quản lý phiên truy cập không bảo vệ, tin tặc ăn cắp token truy cập tài khoản người khác Lỗi tràn đệm Tin tặc sử dụng lỗi tràn đệm nhằm ảnh hưởng đến dòng lệnh thực thi ứng dụng web Bằng cách gửi đoạn mã thiết kế đặc biệt đến ứng dụng, tin tặc làm cho ứng dụng web thi hành đoạn mã nào, điều tương đương với việc chiếm quyền làm chủ máy server Mặc dù lỗi phổ biến, lỗi tràn đệm loại lỗi khó phát phát hiện, lỗi khó bị lợi dụng tin tặc cần trình độ cao để viết đoạn mã khai thác Lưu trữ thiếu an toàn Đa số ứng dụng web cần lưu trữ liệu nhạy cảm, sở liệu tập tin hệ thống Thông tin nhạy cảm bao gồm: mật khẩu, số thẻ tín dụng, thơng tin tài khoản, thơng tin cần bảo vệ khác Các chế mã hóa thường sử dụng để bảo vệ thông tin Mặc dù, sử dụng hàm mã hóa khơng khó cho lập trình viên Tuy nhiên, lập trình viên thường mắc lỗi áp dụng vào ứng dụng web không hiểu rõ hết đặc điểm mã hóa Những lỗi thơng thường bao gồm: khơng mã hóa liệu quan trọng khóa, certificates mật khẩu, lưu trữ khóa bảo mật nhớ chế khơng an tồn, chế tạo số ngẫu nhiên không đảm bảo, sử dụng sai thuật tốn • Từ chối dịch vụ • Một dạng cơng DoS là, ứng dụng web dựa lỗi chức ứng dụng Ví dụ ứng dụng sử dụng chế khóa tài khoản tiếng nhận lần mật sai Hacker lợi dụng điểm yếu này, gửi đến lần sai mật tài khoản hợp lệ, hậu người dùng tài khoản truy cập tiếng Trong cơng từ chối dịch vụ điển hình vào ứng dụng web, hackers tìm cách chiếm gần hết nguồn tài nguyên hệ thống máy chủ ứng dụng khiến người sử dụng hợp lệ truy cập vào ứng dụng Quản lý cấu hình thiếu an tồn Theo thống kê nay, thơng thường phần mềm hệ điều hành máy chủ không cập nhật kịp thời với vá lỗi bảo mật Lỗi phần mềm web hosting máy chủ cho phép liệt kê thư mục (hoặc tập tin) hệ thống tập tin mặc định, tập tin tạo để test script, tập tin cấu hình khơng xóa thư mục trang web Những tập tin này, thường có độ bảo mật yếu chứa thơng tin quan trọng Quy trình xử lý báo lỗi Quy trình xử lý báo lỗi gây nhiều vấn đề bảo mật cho trang web Vấn đề thông thường thông báo lỗi có chứa thơng tin nhạy cảm stack traces, thông tin sở liệu mã lỗi thông báo cho người dùng Những lỗi cung cấp thông tin hệ thống, ứng dụng mức độ thấp thông tin phải bảo mật Sử dụng thơng tin này, hacker dò tìm lỗi khác ứng dụng • • • Với việc tìm hàng chục lỗi bảo mật website DN, dự án bảo mật ứng dụng web đưa giải pháp để phòng chống, thưa ông ? Vấn đề bảo mật ứng dụng web câu chuyện Thực tế phần lớn vấn đề hiểu rõ nhiều thập kỷ qua Tuy nhiên, đến có nhiều dự án phát triển phần mềm mắc phải lỗ hổng đe dọa không đến an toàn cho hệ thống khách hàng mà ảnh hưởng chung đến an tồn hệ thống Internet Do tính chất phức tạp ứng dụng, chưa có giải pháp tuyệt đối cho vấn đề Tuy nhiên giải pháp sau đề nghị để giảm thiểu rủi ro liên quan đến bảo mật ứng dụng web: Các tiêu chí bảo mật phải đặt từ lúc thiết kế ứng dụng nhằm phát triển module bảo vệ từ giai đoạn đầu, ban hành chuẩn tối thiểu bảo mật cho toàn ứng dụng; thường xuyên cập nhật kiến thức bảo mật cho lập trình viên; sử dụng dịch vụ đánh giá bảo mật cơng ty ngồi để kiểm tra tính bảo mật ứng dụng; sử dụng cơng cụ dò phát lỗi ứng dụng; cập nhật phần mềm máy chủ web với phiên vá lỗi bảo mật nhất; sử dụng thiết bị tường lửa ứng dụng web để bảo vệ ứng dụng mức ngoại vi ... vụ công vào CardSystems Solutions - hãng chun lưu trữ có sở liệu tốn thẻ tín dụng Tin tặc sử dụng giải pháp công SQL Injection để chiếm quyền điều khiển hệ thống sở liệu CardSystems chuyển toàn. .. Theo Quantrimang.com 6/2/2006 Website tỉnh Lâm Đồng (lamdong.gov.vn) bị hacker nước cơng, thay đổi hồn tồn nội dung trang tin tức - Các website hoạt động bình thường, khơng hay biết sở liệu quan... cố an ninh xảy với CSDL ảnh hưởng nghiêm trọng đến danh tiếng công ty quan hệ với khách hàng Hãng bảo mật SecureWorks cho biết phát tới 8.000 vụ công lên sở liệu ngày Tổn thất tài lớn Một vụ cơng