Ngày nay công nghệ ngày càng phát triển, con người có thể liên lạc với nhau rất nhanh chóng nhờ mạng internet. Mạng internet ra đời giúp đỡ con người rất nhiều nhưng bên cạnh đó nó cũng tiềm tàng nhiều mối nguy hại như lộ thông tin các nhân, các thông tin dễ bị đánh cắp nếu người dùng và các nhà lập trình không cẩn thận. Dưới đây là ví dụ cho một phương pháp tấn công mạng Session Hijacking, tôi xin giới thiệu với đọc giả về cách thức tấn công cũng như cách phòng chống.
ĐẠI HỌC SÀI GỊN KHOA CƠNG NGHỆ THƠNG TIN HỌC PHẦN : AN NINH MẠNG ĐỀ TÀI TÌM HIỂU PHƯƠNG PHÁP TẤN CÔNG SESSION HIJACKING GIẢNG VIÊN : NGUYỄN VÕ LÂM GIANG SINH VIÊN : PHẠM LÊ HOÀNG LỚP : DCT1143 Tp Hồ Chí Minh, tháng năm 2020 Lời nói đầu An ninh mạng (cybersecurity), an ninh máy tính (computer security), bảo mật công nghệ thông tin (IT security) hay an ninh mạng máy tính việc bảo vệ hệ thống mạng máy tính từ hành vi trộm cắp làm hư hỏng phần cứng, phần mềm liệu, từ gián đoạn chuyển lạc hướng dịch vụ cung cấp An ninh mạng máy tính bao gồm việc kiểm sốt truy cập vật lý đến phần cứng, bảo vệ chống lại tác hại xảy qua truy cập mạng máy tính, sở liệu (SQL injection) việc lợi dụng lỗ hổng phần mềm (code injection) Tầm quan trọng lĩnh vực ngày tăng phụ thuộc ngày nhiều vào hệ thống máy tính Internet quốc gia,[4] phụ thuộc vào hệ thống mạng không dây Bluetooth, Wi-Fi, phát triển thiết bị "thông minh", bao gồm điện thoại thông minh, TV thiết bị khác kết nối vào hệ thống Internet of Things Lỗ hổng bảo mật điểm yếu hệ thống trình thiết kế, thi công quản trị Trong viết xin giới thiệu Phương thức công Session Hijacking Cách thức cơng biện pháp phịng chống Mục lục Danh mục hình ảnh A Nội dung lý thuyết I Phương pháp công Session Hijacking a Giới thiệu Session Session có nghĩa phiên làm việc Khi bạn làm phiên làm việc bạn tính từ lúc bạn đặt chân vào cơng ty lúc Đối với máy tính session tính từ lúc bạn truy cập website, ứng dụng thơng qua trình duyệt web, lúc khỏi Lúc này, trình duyệt web gửi yêu cầu truy cập tới máy chủ (server) website/ứng dụng khởi tạo phiên làm việc server Session tồn bạn chuyển sang trang khác hay mục khác website/ứng dụng Cuối cùng, session hết hiệu lực bạn rời khỏi trang, đóng ứng dụng, hết thời hạn cho phép (timeout) lập trình viên quy định sẵn Với người dùng truy cập vào website/ứng dụng, họ ghi nhận session có mã số sessionID riêng biệt Tất nhiên session tắt theo tiêu chí trên, tồn hàng trăm session lúc Với số lượng lớn vậy, session chứa q nhiều thơng tin ảnh hưởng đến khả chịu tải server Cho nên, session lưu lại thông tin như: thông tin đăng nhập, thời gian truy cập, thông tin giỏ hàng (trong trang TMĐT)… Một ví dụ điển hình session bạn sử dụng dịch vụ internet banking ngân hàng, thoát khỏi trang quay lại bạn bắt buộc phải đăng nhập lần Hoặc bạn đăng nhập không làm hết sau khoảng thời gian, session bạn tự động hết hiệu lực Cookie có nhiều điểm tương đồng với session nên dễ gây hiểu lầm Tuy nhiên, có nét khác biệt bật session cookie: (1) session lưu server cịn cookie giữ máy tính bạn, lẽ (2) session khơng thể truy cập hiệu chỉnh người dùng Cookie tệp tin tạm thời lưu ổ cứng máy tính, chứa thông tin hoạt động sử dụng website/ứng dụng người dùng Lần bạn truy cập vào website/ứng dụng đó, server gửi lưu tạm máy tính bạn tệp tin cookie(1) Lần ghé thăm tiếp theo, trình duyệt gửi tệp cookie(1) lên server để phân tích hoạt động trước bạn Sau đó, server lại gửi tệp cookie(2) khác, bao gồm thơng tin có tệp cookie(1) cũ thông tin thêm vào Vòng lặp tiếp diễn cookie hết hạn timeout bạn xóa (thơng qua cơng cụ dọn rác trình duyệt máy tính) Và ngày tất cookie tồn vĩnh viễn (persistant cookie) ổ cứng bạn, cịn khơng tồn thời gian rất dài, phục vụ cho mục đích theo dõi thu thập liệu người dùng Tác dụng cookie cho phép nhà phát triển nắm thông tin sử dụng website/ứng dụng người dùng, từ áp dụng vào cơng nghệ khác như: quảng cáo, gợi ý, thống kê… Nếu bạn chưa hiểu rõ cookie, thử làm thử nghiệm sau: truy cập vào trang TMĐT (Tiki, Lazada), nhấp vào xem sản phẩm Sau đó, bạn vào Faceboook bắt đầu lướt, bạn thấy sản phẩm vừa xem khung quảng cáo Facebook Tất nhiên bạn cần phải tắt tất chức chặn theo dõi quảng cáo trình duyệt trước thực việc Như nói trên, cookie lưu máy tính bạn, vậy, bị truy cập chỉnh sửa Các hacker lợi dụng cookie để chiếm lấy thông tin nhạy cảm công hai bên: website người dùng Là lập trình viên, quản trị viên website/ứng dụng, bạn nên thiết kế cho cookie không lưu giữ liệu quan trọng doanh nghiệp lẫn khách hàng Là người dùng, bạn nên quản lý cookie lưu máy tính, chỉnh sửa xóa bỏ cookie chứa thơng tin nhạy cảm Ngồi hacker nhà cung cấp dịch vụ thèm khát liệu cá nhân bạn sử dụng chúng vào mục đích khơng có lợi cho bạn Session Cookie Session lưu trữ server máy chủ Cookie lưu trữ máy tính người dùng Dữ liệu session khơng dễ dàng Dữ liệu cookie dễ dàng đươc thay thay đổi đổi lưu phía máy người dùng Session người dung kết Cookie lưu trữ thúc phiên làm việc khoảng thời gian dài sau hết hạn thời gian hiệu lực b Giới thiệu Session Hijacking Session Hijacking trình chiếm lấy session hoạt động, nhằm mục đích vượt qua q trình chứng thực truy cập bất hợp lệ vào thông tin dịch vụ hệ thống máy tính Khi user thực kết nối tới server qua trình xác thực, cách cung cấp ID người dùng mật Sau người dùng xác thực, họ có quyền truy cập đến máy chủ a hoạt động bình thường Trong q trình hoạt động, người dùng khơng cần phải chứng thực lại Kẻ công lợi dụng điều để cướp session hoạt động người dùng làm cho ngườidùng không kết nối với hệ thống Sau kẻ cơng mạo danh người dùng session vừa cướp được, truy cập đến máy chủ mà không cần phải đăng nhập vào hệ thống Khi cướp session người dùng, kẻ công vượt qua q trình chứng thực dùng, ghi lại phiên làm việc xem lại thứ diễn Đối với quan pháp lý, dung làm chứng để truy tố, kẻ cơng, dùng thu thập thơng tin ID người dùng mật Điều gây nhiều nguy hại đến người dùng c Nguyên nhân thai thác lỗi Session Hijacking: - Khơng cấu hình Account Lockout cho Session ID khơng hợp lệ - Thuật tốn phát sinh Session ID yếu - Khơng xác định thời gian hết hạn Session - Kích thước Session ID nhỏ - Truyền thông dạng Clear text d Các loại cơng Session Hijacking • Tấn cơng chủ động : kẻ cơng tìm kiếm phiên làm việc chiếm quyền làm việc • Tấn cơng thụ động : kẻ công chiếm quyền điều khiển phiên, ngừng lại, xem ghi lại tất lưu lượng truy cập gửi e Phương thức hoạt động Session Hijacking Quá trình cơng Session Hijacking gồm có ba bước sau : - Dị Tìm Session : Hacker dị tìm session mở tính tốn giá trị - gói tin Tái Đồng Bộ Kết Nối : Hacker gởi tín hiệu TCP reset (RST) hay FIN để yêu cầu - khởi động lại trình kết nối đồng thời đóng phiên làm việc cũ Chèn Các Packet Tấn Công : lúc hacker gởi đến máy chủ gói tin TCP với số hiệu tính tốn thích hợp với phiên làm việc máy chủ chấp nhận thông tin giống liệu hợp lệ người dùng bị công Nghĩa là, hacker gởi thơng điệp Wall nạn nhân tài khoản Facebook người bị công Các Công Cụ Tấn Cơng Session Hijacking : Có nhiều cơng cụ tiến hành cơng Session Hijacking phát triển trước Juggernaut chuyên sniff TCP session môi trường mạng hoạt động với hub Hoặc Hunt với chức giả mạo địa MAC với chế ARP spoofing, reset giám sát kết nối, nghe đường truyền Hiện nay, nhiều công cụ mạnh mẽ khác phát triển giúp cho hacker tiến hành cơng Session Hijacking dễ dàng Trong số phải kể đến Burp Suite, ứng dụng có mặt danh sách 125 cơng cụ bảo mật hàng đầu có khả thay đổi liệu trình truyền, đánh cướp session hay giả mạo chứng điện tử dùng xác thực https II Các phương pháp phòng chống cơng Để phịng chống khơng bị cơng Session Hijacking cần phịng tránh bị nghe lén, hacker khơng thể nghe công vào session người dùng Một giải pháp đế tránh sniffer mã hóa liệu, mã hóa đường truyền với kỹ thuật dùng Secure Shell (SSH thay cho Telnet thông thường) quản trị từ xa hay áp dụng Secure Socket Layer (SSL dùng cho truyền thông qua HTTPS ) Ngồi ngăn khơng cho hacker tương tác vào đường truyền giúp loại bỏ nguy bị công này, với giải pháp hữu hiệu dùng mạng riêng ảo (VPN), hay áp dụng IPSEC Nhiều ý kiến cho truy cập internet môi trường công cộng dùng thiết bị DCOM 3G giảm đáng kể nguy mát liệu Sau số khuyến nghị nhằm ngăn ngừa Session Hijacking : a Dành cho người dùng - Huấn luyện cho người dùng, nâng cao nhận thức an tồn thơng tin Sử dụng thông tin truy cập khác cho tài khoản khác b Dành cho lập trình viên - Sử dụng mã hóa Ứng dụng giao thức an tồn c Dành cho quản trị server - Hạn chế kết nối đầu vào Giảm truy cập từ xa Có chế độ xác thực mạnh mẽ B Nội dung Demo Thông tin thiết bị _Máy hacker : ASUS Windows 10 64 bit _Máy nạn nhân : máy ảo Windows 10 64 bit I Demo chi tiết phương pháp công Session Hijacking Tải cài đặt ứng dụng WireShark để bắt gói tin mạng Hình 1-Ứng dụng bắt gói tin WireShark Capture > Start để bắt đầu theo dõi gói tin 10 Hình 2-Start ứng dụng bắt đầu nghe 11 Hình 3-Các thơng tin truyền nhận Trường hợp hacker có thơng tin địa IP máy nạn nhân dung chung mạng _ Máy nạn nhân đăng nhập thông tin vào website thongtindaotao.sgu.edu.vn 12 Hình 4-Máy nạn nhân đăng nhập thongtindaotao.sgu.edu.vn Hình 5-Máy nạn nhân đăng nhập thành công trang thongtindaotao.sgu.edu.vn Sau nạn nhân đăng nhập vào web thongtindaotao.sgu.edu.vn 13 Hacker kiểm tra bắt gói tin POST chuyển từ máy nạn nhân Hình 6-Kiểm tra thông tin đăng nhập bắt máy nạn nhân Bắt SessionID nạn nhân đăng nhập website thongtindaotao.sgu.edu.vn ASP.NET_SessionId=xol5uq45mavy3ejkr4r51k55 Hacker vào trang web thongtindaotao.sgu.edu.vn, trình duyệt tải extension Google chrome để thay đổi giá trị cookie 14 Hình 7-Máy cơng mở edit cookie Nhập sessionId vào khung giá trị, nhấn Apply tiến hành F5 load lại trang, hacker đăng nhập vào phiên làm việc nạn nhân 15 Hình 8-Máy cơng đăng nhập thành công vào phiên nạn nhân III Demo giải pháp phịng chống cơng 16 C Tài liệu tham khảo [1] Cache, session, cookie gì? Phân biệt cache, session cookie : https://bitly.com.vn/lEX5a [2] Tìm hiểu cơng Man in the Middle (MITM) – Session Hijacking (https://quantrimang.com/tim-hieu-ve-tan-cong-man-in-the-middle-chiem-quyen-dieukhien-session-67520) [3] Tấn công Session Hijacking (https://www.youtube.com/watch? v=dJ1hETRveqU) 17 ... Phương thức công Session Hijacking Cách thức cơng biện pháp phịng chống Mục lục Danh mục hình ảnh A Nội dung lý thuyết I Phương pháp công Session Hijacking a Giới thiệu Session Session có nghĩa... thác lỗi Session Hijacking: - Khơng cấu hình Account Lockout cho Session ID khơng hợp lệ - Thuật toán phát sinh Session ID yếu - Khơng xác định thời gian hết hạn Session - Kích thước Session ID... lượng truy cập gửi e Phương thức hoạt động Session Hijacking Quá trình cơng Session Hijacking gồm có ba bước sau : - Dị Tìm Session : Hacker dị tìm session mở tính tốn giá trị - gói tin Tái Đồng