HỌC VIỆN KỸ THUẬT MẬT MÃ BÀI TẬP LỚN PHÁT HIỆN MÃ ĐỘC TRONG IOT Giảng viên hướng dẫn: Thành viên: Hà Nội, 10/2019 MỤC LỤC DANH MỤC CHỮ VIẾT TẮT Viết tắt Tiếng Anh Tiếng Việt IoT Internet of things Internet Vạn Vật PKI Public key infrastructure Hạ tầng khóa cơng khai SOC System-on-a-chip Hệ thống vi mạch API Application Programming Interface Giao diện lập trình ứng dụng DANH MỤC HÌNH VẼ MỞ ĐẦU Trong trình phát triển người, cách mạng cơng nghệ đóng vai trị quan trọng, chúng làm thay đổi ngày sống người, theo hướng đại Đi đơi với q trình phát triển người, thay đổi tác động người tự nhiên, môi trường sống diễn ra, tác động trở lại chúng ta, ô nhiễm môi trường, khí hậu thay đổi, v.v Dân số tăng, nhu cầu tăng theo, dịch vụ, tiện ích từ hình thành phát triển theo Đặc biệt áp dụng công nghệ ngành điện tử, công nghệ thông tin truyền thông vào thực tiễn sống người Công nghệ Internet of Things (IoT) kỹ thuật điện tử, tin học viễn thông tiên tiến vào mục đích nghiên cứu, giải trí, sản xuất, kinh doanh, v.v , phạm vi ngày mở rộng, để tạo ứng dụng đáp ứng cho nhu cầu lĩnh vực khác Tuy vậy, với hệ sinh thái phức tạp, IoT tồn hàng loạt lỗ hổng an ninh bị khai thác gây ảnh hưởng trực tiếp đến liệu riêng tư người sử dụng Một nghiên cứu gần OWASP (Open Web Application Security Project) 75% thiết bị IoT bao gồm thiết bị tích hợp giao thơng tự hành, hệ thống giám sát, nhà thơng minh có nguy bị tin tặc công xâm hại Các phương pháp bảo mật truyền thống IPSec, PKI, chế trao đổi khóa Diffie-Hellman địi hỏi khối lượng tính tốn lớn khơng phù hợp để tích hợp thiết bị IoT vốn bị hạn chế hiệu năng, lượng không gian lưu trữ Bên cạnh đó, bất đồng chuẩn giao thức, sở hạ tầng nhà sản xuất dẫn đến nhiều khó khăn việc xây dựng giải pháp hoàn thiện an ninh cho mạng IoT đại Mục đích nghiên cứu Tìm hiểu, phát đưa giải pháp phòng chống mã độc IoT CHƯƠNG I: TỔNG QUAN VỀ INTERNET OF THINGS Giới thiệu Internet of Things (IoT – Internet vạn vật) kịch mà đồ vật, người cung cấp định danh riêng, có khả truyền tải, trao đổi thông tin giao tiếp với mà không cần can thiệp người Các đối tượng/đồ vật hoạt động tự động giao tiếp với đối tượng khác thông qua mơi trường mạng Các nút IoT có khả cung cấp liệu nhẹ, truy cập ủy quyền tài nguyên dựa đám mây để thu thập, trích xuất liệu đưa định cách phân tích liệu thu thập Sự xuất IoT dẫn đến kết nối lan tỏa người, dịch vụ, cảm biến đối tượng IoT tảng nhà thông minh, thành phố thông minh, hệ thống quản lý lượng thông minh hay hoạt động chăm sóc sức khỏe tiến tới xa tảng công nghệ 4.0 Hơn nữa, phụ thuộc thiết bị IoT vào sở hạ tầng đám mây để truyền tải, lưu trữ phân tích liệu dẫn đến phát triển mạng IoT hỗ trợ đám mây Từ làm tiền đề phát triển sâu rộng Hình 1.1 Internet of things Lịch sử phát triển IOT Internet of Things – IoT đưa nhà sáng lập MIT Auto-ID Center đầu tiên, năm 1999 Kevin Ashton đưa cụm từ Internet of Things nhằm để đối tượng nhận biết tồn chúng Thuật ngữ Auto-ID tới lớp rộng kỹ thuật xác minh sử dụng công nghiệp để tự động hóa, giảm lỗi tăng hiệu Các kỹ thuật bao gồm mã vạch, thẻ thơng minh, cảm biến, nhận dạng tiếng nói, sinh trắc học Từ năm 2003 Kỹ thuật Auto-ID hoạt động Radio Frequency Identification – RFID Đỉnh cao Auto-ID Center vào tháng 9/2003, hội nghị chuyên đề EPC (Electronic Product Code) tổ chức Chicago (Illinois, Mỹ) đánh dấu xuất thức hệ thống mạng EPC – sở hạ tầng kỹ thuật mở cho phép máy tính tự động xác định vật thể nhân tạo theo dõi chúng chúng từ nhà máy tới trung tâm phân phối để lưu trữ giá Hội nghị hỗ trợ nhiều công ty lớn giới – đại diện cho thực phẩm, hàng hóa tiêu dùng, cơng nghiệp bán lẻ, vận tải dược phẩm, số nhiều đại diện khác – bật RFID cho thấy trở thành chìa khóa cho phép kỹ thuật để phát triển kinh tế 55 năm tới Xem xét hội nghị giai đoạn lịch sử, Kevin Ashton dự đốn thay đổi từ máy tính xử lý thơng tin sang máy tính có cảm nhận Mục đích phòng Lab Auto-ID phát triển mạng lưới kết nối máy tính với vật thể – khơng phần cứng hay phần mềm để vận hành mạng, mà thứ cần thiết để tạo Internet of Things, bao gồm phần cứng phù hợp, phần mềm mạng, giao thức, ngôn ngữ mô tả đối tượng theo cách máy tính hiểu Lưu ý Auto-ID Labs khơng tìm cách tạo mạng toàn cầu khác mà xây dựng thành phần xây dựng đỉnh cao Internet Xu hướng phát triển Với phát triển Internet, smartphone đặc biệt thiết bị cảm biến, Internet of Things trở thành xu hướng giới Internet of Things định nghĩa vật dụng có khả kết nối Internet Ý tưởng nhà thơng minh vào nhà, mở khóa cửa, đèn tự động sáng chỗ đứng, điều hòa tự động điều chỉnh nhiệt độ, nhạc tự động bật để chào đón…những điều có phim khoa học viễn tưởng, dần trở thành thực với công nghệ Internet of Things Các thiết bị Internet of Things vận hành nhờ vi xử lý SOC bên Không vi xử lý thông thường, tính trọn vẹn thu gọn diện tích chip điện tử, có kết nối khơng dây đảm bảo tiết kiệm điện Dù nhỏ gọn, sức mạnh vi xử lý SOC bàn cãi hồn tồn vận hành trơn tru hệ điều hành nặng nề Windows hay Linux SOC phổ biến bên linh kiện điện thoại Theo dự báo IDC, thị trường Internet of Things dự báo tăng gấp lần, đạt 1,7 nghìn tỉ USD vào năm 2020 Khơng doanh nghiệp lớn nhìn thấy tiềm Internet of Things mạnh dạn đầu tư vào đây.Tuy nhiên, giống công nghệ nào, Internet of Things cần tảng để vận hành.Và doanh nghiệp công nghệ hiểu rằng, tạo tảng dẫn đầu, họ người chiến thắng xu hướng Kiến trúc hệ thống IoT Các vật thể kết nối Internet (Things) đề cập đến thiết bị có khả kết nối, truyền thơng tin thực nhiệm vụ xác định đồng hồ, điện thoại thông minh, đồ gia dụng, đèn chiếu sáng, đo lượng thiết bị cảm biến để thu thập thơng tin khác Các Gateway đóng vai trò trạm trung gian, tạo kết nối vật thể với điện toán đám mây cách bảo mật dễ dàng quản lý Nói cách khác, Gateway cửa sổ hệ thống IoT nội với giới bên ngồi Các cơng nghệ truyền liệu sử dụng GSM, GPRS, cáp quang công nghệ internet khác Hạ tầng mạng điện toán đám mây (Network and Cloud): Cơ sở hạ tầng mạng bao gồm thiết bị định tuyến (Router), chuyển mạch (Switch), thiếp bị lặp (Repeater) nhiều thiết bị khác dùng để kiểm soát lưu lượng liệu, kết nối đến mạng lưới viễn thông triển khai nhà cung cấp dịch vụ Trung tâm liệu hạ tầng điện toán đám mây bao gồm hệ thống lớn máy chủ, hệ thống lưu trữ kết nối mạng ảo hóa Cơng nghệ không dây Bluetooth, Smart, Zigbee, subGhz, Wi-Fi giúp tạo kết nối thiết bị thiết bị với mạng Internet Hệ thống điều khiển sử dụng để giám sát mạng IoT thông qua cơng nghệ khơng dây, thiết bị chuyên dụng điều khiển từ xa (Remote), điện thoại thơng minh (Smartphone) máy tính bảng (Tablet) Các lớp tạo cung cấp dịch vụ (Services-Creation and Solutions Layers) gồm API (Application Progmraming Interface) hỗ trợ cho công tác quản lý, phân tích liệu tận dụng hệ thống tài nguyên sẵn có cách hiệu nhanh chóng Hình 1.2 Mơ hình kiến trúc hệ thống IoT Kiến trúc an ninh IoT Cũng hệ thống truyền thống khác, mục đích cuối an ninh IoT đảm bảo tính bảo mật, tồn vẹn, tính sẵn sàng, xác thực liệu thông tin Trong chế này, kiến trúc an ninh IoT chia thành phần với yêu cầu khác mơ hình Hình để trì tính bảo mật đảm bảo an tồn thơng tin cho người sử dụng - Tầng cảm quan thực thu thập thông tin thuộc tính đối tượng điều kiện môi trường từ thiết bị cảm biến Yêu cầu an ninh tầng bao gồm + Chứng thực (Authentication) giúp ngăn chặn truy cập bất hợp pháp vào hệ thống IoT; + Mã hóa (Encryption) đảm bảo tính bảo mật truyền tải thơng tin + Thảo thuận khóa (Key agreement) thực trước mã hóa để cung cấp khả an ninh mạng nâng cao Các khóa hạng nhẹ sử dụng để tối ưu hóa việc sử dụng tài nguyên nâng cao hiệu hệ thống - Tầng mạng truyền tải thông tin dựa sở hạ tầng mạng mạng Internet, mạng truyền thông di động, vệ tinh, mạng không dây giao thức truyền thông Các chế bảo mật khó áp dụng tầng Ngun nhân thiết bị IoT có nguồn lượng thấp, dễ tổn hao, khả tính tốn hạn chế dẫn đến khó khăn việc xử lý thuật toán với độ phức tạp cao - Tầng hỗ trợ tổ chức theo nhiều cách thức khác nhau, phù hợp với dịch vụ cung cấp phân tải xử lý liệu Tầng hỗ trợ bao gồm phần sụn (Middleware), M2M (Machine to Machine) tảng điện toán đám mây Hầu hết giao thức mã hóa, kỹ thuật bảo mật, phân tích mã độc triển khai tầng - Tầng ứng dụng tạo ứng dụng người dùng Để giải vấn đề an toàn tầng này, cần quan tâm hai vấn đề: + Chứng thực thỏa thuận khóa bất đối xứng qua mạng; + Bảo vệ quyền riêng tư người dùng Ngoài ra, công tác quản lý quản lý mật cần nhận quan tâm đặc biệt Hình 1.3 Mơ hình kiến trúc an ninh IoT CHƯƠNG II: NGUY CƠ MÃ ĐỘC TRONG IOT I Tổng quan mã độc IoT Cuộc cách mạng công nghiệp lần thứ tư hiểu phát triển vượt bậc loạt công nghệ mới, xóa nhịa ranh giới lĩnh vực vật lý, kỹ thuật số, sinh học, ảnh hưởng đến kinh tế, xã hội, giáo dục trị Các lĩnh vực quan tâm cách mạng 4.0 bao gồm: Robotics, trí thơng minh nhân tạo, công nghệ nano, công nghệ sinh học, Internet vạn vật (IOT), in 3D, xe tự hành Trong thiết bị IoT đóng vai trị vơ quan trọng Sự phát triển nhanh chóng số lượng thiết bị loT mang tới khả kết nối, trao đổi thông tin thiết bị với thơng qua mạng Internet Trong có thiết bị sử dụng phổ biến để kết nối nhiều thiết bị IoT với thiết bị định tuyến (Router) Tuy nhiên, vấn đề bảo mật cho thiết bị định tuyến chưa quan tâm mức 10 2016, tỷ lệ lây nhiễm điện thoại thông minh tăng rõ rệt Trong bối cảnh này, phần mềm độc hại mẫu phát sau giây, theo nhà phân tích bảo mật Hình 2.1 Tiến hóa mẫu phần mềm độc hại Android Về mặt phần cứng, nghiên cứu ra, cơng chế tạo, diễn cách giả mạo chip trình chế tạo cách tận dụng mạch tương tự Những thay đổi tạo điều kiện thuận lợi cho cơng íuture Mặt khác, nghiên cứu chứng minh trường hợp hack tương tự, tế bào thêm vào q trình chế tạo chip, hoạt động tụ điện phơi bày hệ thống cho kẻ công Cuộc cơng cịn gọi cơng tương tự A2 A2 Phần mềm phần mềm Phần mềm độc hại mối đe dọa nghiêm trọng thiết bị loT phá hủy thiết bị hoặc, số trường hợp, đưa hệ thống vào trạng thái đặc quyền quyền kẻ công Chiêu giả Phần mềm độc hại tiếng theo thống kê công mạng rootkit, ransomware, bot, phần mềm độc hại tài chính, bom logic, virus, sâu trojan Rootkit loại phần mềm độc hại, kẻ cơng truy cập dần dần, với mục tiêu cuối kiểm soát hệ thống, quyền Phần mềm độc hại Ransomware khóa thiết bị phần mềm người dùng, tìm kiếm lợi ích tiền tệ từ người dùng để loại bỏ lây nhiễm Như lưu ý trước đây, ransomware khóa ransomware khóa TV thơng minh dựa Android Được thiết kế dạng loại phần mềm độc hại tự lan truyền, bot nhắm mục tiêu để phát thiết bị Những mối đe dọa phần mềm độc hại sau kết nối với máy chủ, gọi chủ bot, bot 13 có chức trung tâm điều khiển trung tâm cho thiết bị bị xâm nhập Các loại phần mềm độc hại tài chính, cố gắng thu thập tài khoản ngân hàng từ thiết bị trang web ngân hàng bị lỗi Bom logic khối mã kẻ công thêm vào hệ thống chức lập trình kích hoạt, chúng gây hại cho hệ thống, cách xóa liệu cách tạo điều kiện phá hủy tồn hệ thống Phần mềm độc hại phần mềm độc hại phát tán thơng qua chương trình phần mềm gây hại cho hệ thống Để tạo virus chép nhân rộng thiết bị, cần có hành động người dùng (ví dụ, cách kích hoạt thơng qua chương trình điều hành) Trái ngược với virus, sâu lây lan mà khơng có tương tác người dùng hoạt động độc lập thực thể độc lập Mặt khác, sâu phổ biến qua mạng Trojan bao gồm loại phần mềm độc hại xâm nhập hệ thống cách đánh cắp danh tính người dùng kích hoạt Do thuộc tính độc lập chúng, phần mềm độc hại cho phép cơng khác cách mở cửa hậu Trong loại tương tự như, Grayware Madware gây mối đe dọa đáng kể cho an ninh Phần mềm xám, số vi-rút khác bao gồm phần mềm quảng cáo trình quay số, khơng thể coi độc hại, chúng gây hành động khơng mong muốn, ảnh hưởng tiêu cực đến hiệu suất thiết bị Madware, mặt khác, sử dụng thông điệp quảng cáo cửa sổ bật lên nhắm mục tiêu tích cực, để thu thập thông tin từ thiết bị người dùng Theo điều khoản trong, mối đe dọa phổ biến liên quan đến điện thoại di động Uapush.A, Kasandra.B SMSTracker Uapush.A trojan đánh cắp liệu từ thiết bị di động, cách gửi SMS Kasandra.B trojan khác, giống ứng dụng bảo mật Kasandra.B truy cập liệu nhạy cảm có điện thoại di động nhật ký, thông tin đăng nhập, lịch sử, v.v SMSTracker ứng dụng Android, cho phép kẻ công theo dõi giao thức (SMS, gọi điện thoại, v.v.) toàn họ Tương tự vậy, người ta lưu ý ransomware khóa ransomware khóa TV thơng minh dựa Android Cuối cùng, nhiều thiết bị loT, bao gồm camera IP, định tuyến, DVR, máy in, v.v., bị công phần mềm độc hại có tên Mira Mirai Nó cơng thiết bị loT, cách quét tên người dùng mật Phần mềm phần cứng 14 Khi nói phần mềm độc hại phần cứng, kẻ cơng có nhiều cách để hành động cấp độ chip, phần thiếu hệ thống Bằng cách sử dụng số phương pháp, thiết bị hệ thống, tiếp xúc Các sửa đổi nhỏ cho chip, nguyên nhân gây nhiều công Bài viết này, chủ yếu tập trung vào tổng quan phần mềm độc hại phần mềm phần mềm IOT Tuy nhiên, giải vấn đề vi xử lý đại, bao gồm nhiều chương trình vi mơ hoạt động định nghĩa hoạt động thiết bị Các cấu trúc phần cứng, cấu trúc cách thực thuật toán mạnh thuật tốn mã hóa Kẻ cơng can thiệp vào hoạt động, liên quan đến giá trị tính tốn mật mã để lấy lại quyền, cách thực kỹ thuật khác Một phương pháp thiết thực để thỏa hiệp bảo mật thiết bị, sử dụng công kênh bên Các cơng có mục tiêu chung, để lấy lại thơng tin từ tín hiệu rò rỉ, hoạt động thiết bị Bằng cách áp dụng lựa chọn tính tốn dấu vết di động mẫu k, kẻ cơng thu kết thuận lợi Theo hướng này, phân tích cơng suất vi sai áp dụng nhiều thuật tốn AES, DES, v.v Hình 2.2 Phân tích sức mạnh khác Tấn cơng lỗi vi sai, nỗ lực để sửa đổi tính toán thuật toán, cách tạo lỗi cách tận dụng lỗi có Trong thực tế, liệu mã hóa thao tác mô tả kết Hơn nữa, kẻ cơng tạo mối tương quan mã xác lỗi để lấy ứng cử viên 15 Q trình áp dụng nhiều lần xác định khóa Đây trường hợp cho thẻ chip, dễ bị công Các vi xử lý nhúng nhạy cảm nhiệt độ cao, khả cung cấp lượng chúng cụ thể Tất điều kiện tạo thiết lập lý tưởng cho kẻ cơng Do đó, điểm yếu thể chất tạo mơi trường cơng Trong tình huống, công thời gian thực hiện, kẻ cơng khám phá khóa bí mật, cách ước tính thời gian xử lý hoạt động mật mã Trong trường hợp vậy, kẻ công sử dụng cơng cụ đo lường để tính tốn thời gian hoạt động Cụ thể, thuật toán RSA, Diffie- Hellman RC5, báo cáo dễ bị công Đối với cơng giám sát lượng có liên quan, kẻ cơng trích xuất khóa mật mã thông tin khác cách giám sát mức tiêu thụ lượng thiết bị mã hóa (mạch tích hợp, v.v.) Các cơng giám sát quyền lực chia thành loại đơn giản khác biệt, tùy thuộc vào cấp độ phân tích cơng suất tiên tiến Phân tích cơng suất đơn giản (SPA) chủ yếu tập trung vào hoạt động điện, phân tích cơng suất vi sai (DPA) địi hỏi phương pháp động Ngoài việc theo dõi dấu vết lượng lượng điện, kẻ công lấy giá trị từ tính tốn mật mã Mặc dù nói trên, công điện từ thực cách đo xạ điện từ phát từ thiết bị Kẻ cơng phân tích nắm bắt kết tín hiệu khai thác Lượng xạ phụ thuộc vào nhận dạng hoạt động, cho phép kẻ công nắm bắt hoạt động thực tìm khóa mã hóa Thuật tốn RSA, đặc biệt, dễ bị công điện từ Một cách khai thác thường xuyên khác phân tích lỗi vi sai (DFA), gọi kỹ thuật tiêm lỗi thuật tốn mã hóa thiết bị Nói cách khác, nỗ lực để sửa đổi tính tốn thuật toán Những sửa đổi tạo mã, đầu mã, cho phép kẻ công lấy ứng cử viên chủ chốt kỹ thuật phân tích mật mã khác biệt Do đó, khóa xác lấy cách tiêm lỗi liên tục Mật mã khối đối xứng thuật tốn khóa cơng khai, bị ảnh hưởng cụ thể DFA Trong năm trước, công Rowhammer phát thiết bị Android Theo nhà nghiên cứu, kẻ cơng bỏ qua Hệ thống cấp phép Android để có quyền truy cập đầy đủ vào thiết bị Như báo cáo nghiên cứu thử nghiệm, lỗi xáo trộn tạo cấp hàng DRAM (Bộ nhớ truy cập ngẫu nhiên động) ảnh hưởng đến hàng nhớ khác 16 Ngựa trojan phần cứng tác động đáng kể đến thiết bị phần cứng Chúng, đặt tên, liên quan đến thay đổi mạch điện tử chip giai đoạn chế tạo Khi kích hoạt, phần mềm độc hại tạo cố thiết bị đánh cắp khóa bí mật cho ứng dụng mật mã Các công tràn đệm yêu cầu giả mạo yêu cầu chéo trang web (CSRF) đề cập năm gần Ví dụ, mở rộng phạm vi không dây Belkin F9K1122 bị ảnh hưởng CSRF, định tuyến không dây ZyXel NBG6716 trải qua công tràn đệm Xác thực khơng an tồn Nếu chế xác thực khơng đủ an tồn, kẻ cơng khai thác để truy cập trái phép tài khoản người dùng ăn cắp liệu nhạy cảm Có số cách xảy Ví dụ, - - Nếu tên người dùng mặc định mật khơng thay đổi đúng, kẻ cơng tận dụng lợi để đạt quyền truy cập trái phép tài khoản người dùng Những kẻ cơng tận dụng lợi mật yếu để đạt quyền truy cập trái phép thiết bị Nếu thông tin người dùng thu thập khơng mã hóa cách, kẻ cơng lợi dụng điều nắm bắt chúng cho mục đích xấu Những kẻ cơng liệt kê tài khoản người dùng để truy cập thiết bị IOT Khơng nghi ngờ nữa, điều dẫn đến liệu liệu bị phá hoại Nó chí dẫn đến từ chối truy cập tiếp quản thiết bị hoàn chỉnh Giao diện web dễ bị tổn thương, giao diện di động Cloud Interfaces Những kẻ cơng khai thác giao diện web khơng an tồn, giao diện điện thoại di động giao diện điện toán đám mây để ăn cắp liệu nhạy cảm số cách: - Những kẻ cơng khai thác lỗ hổng bảo mật điện thoại di động, trang web đám mây giao diện làm phát sinh bạo SQL Injection, Cross Site Scripting công CSRF ăn cắp liệu người dùng nhạy cảm - Nếu giao diện web không thực HTTPS, kẻ cơng khai thác để ăn cắp liệu nhạy cảm khơng mã hóa truyền - Những kẻ cơng khai thác lỗ hổng ứng dụng di động, giao diện điện toán đám mây giao diện web để liệt kê tài khoản người dùng truy cập trái phép thiết bị 17 Những kẻ cơng sử dụng điện thoại di động, trang web đám mây giao diện khơng an tồn để truy cập trái phép vào tài khoản người dùng khai thác mật yếu thông tin mặc định Dịch vụ mạng dễ bị tổn thương Những kẻ cơng khai thác dịch vụ mạng dễ bị tổn thương cách sau: - Những kẻ cơng khai thác lỗ hổng bảo mật dịch vụ mạng để thâm nhập công lỗi tràn đệm công DoS - Những kẻ cơng tận dụng lợi cổng mở để thu thập thông tin thiết bị, để họ lập kế hoạch cho công nhiều - Những kẻ công chí cịn khai thác cổng mở thơng qua UPnP khai thác dịch vụ UDP Thiếu Mã Hóa Encryption Nếu liệu cảnh khơng mã hóa cách, kẻ cơng tận dụng lợi để ăn cắp liệu nhạy cảm - Thông thường, lưu lượng mạng thiết bị IOT khơng tiếp xúc với bên ngồi mạng Nhưng, mạng không dây không cấu hình cách, làm cho người mạng internet nhìn thấy phạm vi mạng khơng dây Và, dẫn đến thỏa hiệp hoàn thành thiết bị tài khoản người dùng Nếu giao thức mã hóa thích hợp SSL / TLS khơng sử dụng, kẻ cơng dễ dàng nắm bắt liệu cảnh khai thác cho mục đích xấu Vấn đề Bảo mật Do thiếu bảo vệ thích hợp liệu, kẻ cơng nắm bắt liệu nhạy cảm cá nhân thu thập thiết bị, mà khơng có nghi ngờ làm tăng mối quan tâm riêng tư Để ngăn chặn điều này, vài bước sau: - Chúng ta cần phải xác định tất loại liệu thu thập thiết bị, ứng dụng di động, giao diện web giao diện điện toán đám mây Chúng cần phải chắn để thu thập liệu cần thiết - Số liệu thu thập phải bảo vệ cách sử dụng mã hóa truyền tải - Chỉ có cá nhân có thẩm quyền phải có quyền truy cập vào liệu cá nhân - Chúng ta cần phải đảm bảo trì sách liệu thích hợp đặt ra, cá nhân lựa chọn để thu thập liệu vượt cần thiết cho hoạt động thiết bị 10 Bảo mật vật lý Những kẻ cơng khai thác truy cập vật lý hệ thống làm phát sinh bạo cơng Họ sử dụng cổng USB, thẻ SD lưu trữ khác có nghĩa để truy cập vào hệ điều hành liệu lưu trữ thiết bị khai thác 18 cho mục đích xấu 19 CHƯƠNG III: PHÁT HIỆN VÀ PHÒNG CHỐNG MÃ ĐỘC TRONG IOT I PHÁT HIỆN MÃ ĐỘC Phân tích tĩnh Phân tích tĩnh phương pháp phân tích, kiểm tra phần mềm, mã độc trực tiếp mã nguồn, mã nhị phân tường minh tập tin mà không cần thực thi chúng Các nghiên cứu sử dụng phương pháp thiết bị IoT kể đến Angr Phân tích tĩnh cho phép chi tiết hóa tồn luồng điều khiển (Control-Flow Graph) luồng liệu (Data-Flow Graph) cho tập tin hệ thống firmware Từ đó, phát mã độc kỹ thuật phân tích đặc trưng như: mã trung gian (bytecode), header, system- calls API hay Printable-Strings-Information (PSI) Phương pháp phân tích tĩnh cho phép phân tích chi tiết tập tin đưa nhìn tổng quát tất khả kích hoạt mã độc Tuy nhiên, phương pháp phân tích tĩnh khó áp dụng loại mã độc sử dụng kỹ thuật gây rối phức tạp (obíuscations) xếp lại câu lệnh, chèn mã lệnh vô nghĩa Một hạn chế phương pháp công nghệ dịch ngược mã nhị phân thành mã bậc cao nhiều hạn chế làm cho việc phân tích tính xác Do đó, theo Andreas Moser, phương pháp phân tích tĩnh nên sử dụng phần bổ sung cho phân tích động Phân tích động Phân tích động phương pháp giám sát, thu thập phân tích hành vi hệ thống để từ phát mã độc Kỹ thuật dựa nguyên lý sử dụng tập luật bình thường để trì xem xét chương trình có cố ý vi phạm tập luật định trước hay không Một số nghiên cứu phân tích động phát mã độc thiết bị loT kể đến Avatar, phân tích lỗ hổng bảo mật thiết bị định tuyến - Firmadyne Yêu cầu quan trọng phân tích động cho thiết bị loT xây dựng môi trường mô đầy đủ chức cần có thiết bị, có khả giám sát hành vi firmware thực thi tránh lây nhiễm mã độc sang môi trường thực tế Để giải yêu cầu trên, Jonas Zaddach cộng giới thiệu Avatar, cho phép mô hoạt động CPU tái sử dụng toàn phần cứng thiết bị định tuyến phục vụ mục đích mơ Tuy nhiên, hạn chế Avatar khả hoạt động thời gian thực, việc xử lý phân tích thơng tin mơi trường mơ 20 Qemu thiết bị thật thông qua kênh UART, Jtag chậm Do đó, việc sử dụng cơng cụ Avatar phát mã độc theo thời gian thực thiết bị loT bất khả thi Mặt khác, Daming Chen cộng trình bày Firmadyne nghiên cứu Đây hệ thống phân tích động với mục tiêu cụ thể thiết bị định tuyến hạ tầng mạng Tuy nhiên, Firmadyne cho phép mô phần giao diện web quản trị thiết bị định tuyến với đầu vào Firmware chúng Điều phục vụ mục tiêu quét lỗ hổng bảo mật thiết bị định tuyến cách sử dụng công cụ Metaspoit Nessus, không cho phép phát mã độc Ưu điểm bật phương pháp phân tích động hiệu độ xác, cho phép xác định nhanh chóng tổng quát mã độc phân tích, thơng qua hành vi chúng So với phương pháp phân tích tĩnh việc dịch ngược, gỡ rối (deobfuscation) phương pháp động cho phép phân tích dễ dàng với mã độc có cấu trúc, mã nguồn phức tạp Tuy nhiên, phân tích động giám sát đơn luồng thực thi Điều T Ronghua chứng minh cơng bố rằng: điều kiện mơi trường ảnh hưởng trực tiếp đến việc kích hoạt mã độc time-bomb, bot, phương động khơng thể giám sát hết hành vi tiềm tàng mã độc Việc giám sát đƣợc tất khả thực thi mã độc phân tích động địi hỏi nhiều thời gian với liệu ghi nhận lớn Mặc dù có hạn chế, nhƣng phân tích động có ưu điểm bật so với phân tích tĩnh khả áp dụng diện rộng tránh đƣợc kỹ thuật làm rối nhƣ nêu Do đó, phương pháp đề xuất báo dựa phương pháp phân tích động bổ khuyết cho Firmadyne cách xây dựng môi trƣờng mô đầy đủ, bao gồm phần giao diện web quản trị cho việc quét lỗ hổng phần hoạt động hệ điều hành thiết bị định tuyến cho việc phân tích mã độc II PHỊNG CHỐNG MÃ ĐỘC TRONG IOT Xây dựng sách phịng chống mã độc Các quan, tổ chức phải có sách ngăn chặn cố liên quan đến mã độc Chính sách cần rõ ràng, cho phép khả thực cách quán hiệu Các sách phịng chống mã độc nên tổng quát tốt để cung cấp linh hoạt việc thực hiện, bên cạnh làm giảm việc phải cập nhật sách thường xun Hiện có nhiều quan, tổ chức có sách xử lý 21 mã độc riêng biệt, nhiên số quan, tổ chức có sách phịng chống mã độc trùng lặp với sách khác Chính sách phịng chống mã độc bao gồm quy định liên quan đến nhân viên, người sử dụng hệ thống máy tính bên tổ chức người sử dụng hệ thống bên tổ chức, máy tính đơn vị làm thuê, máy tính cán làm việc từ xa (tại nhà), máy tính đối tác kinh doanh, thiết bị di động Chính sách phịng chống mã độc thường tập trung vào số quy định sau: - Yêu cầu dùng phần mềm quét thiết bị lưu trữ đơn vị bên tổ chức trước sử dụng - Yêu cầu tập tin đính kèm thư điện tử, bao gồm tập tin nén file zip cần lưu vào ổ đĩa kiểm tra trước mở - Cấm gửi nhận số loại tập tin có tệp tin exe qua thư điện tử - Hạn chế cấm việc sử dụng phần mềm không cần thiết, ví dụ ứng dụng dịch vụ khơng cần thiết phần mềm cung cấp tổ chức không rõ nguồn gốc - Hạn chế cung cấp quyền quản trị cho người sử dụng - Yêu cầu cập nhật phần mềm, vá, cho hệ điều hành - Hạn chế sử dụng thiết bị di động (ví dụ: đĩa mềm, đĩa CD, USB), đặc biệt hệ thống có nguy ảnh hưởng cao, điểm truy cập công cộng - Yêu cầu nêu rõ loại phần mềm phòng chống mã độc (ví dụ: phần mềm Anti virus, phần mềm phát gián điệp) hệ thống (máy chủ chia sẻ tệp tin, máy chủ thư điện tử, máy trạm, máy chủ proxy, thiết bị kỹ thuật số cá nhân) ứng dụng (ứng dụng thư điện tử khách hàng, trình duyệt web) - Người dùng muốn có quyền truy cập vào mạng khác (bao gồm Internet) cần thông qua đồng ý tổ chức - Yêu cầu thay đổi cấu hình tường lửa để phù hợp với sách cơng ty (Tránh tạo kết nối lạ bên Internet, đề phịng trước nguy máy tính tổ chức trở thành thành phần mạng Botnet) - Hạn chế việc sử dụng thiết bị di động mạng tin cậy 22 Tuyên truyền nâng cao nhận thức người dùng Các tổ chức cần cung cấp khóa học để giúp nâng cao nhận thức cho cán bộ, nhân viên tổ chức Các khóa học giúp họ hiểu rõ sách phịng chống mã độc tổ chức, quy định xử lý phù hợp trước tình xảy Nội dung khóa học nên bao gồm nội dung như: Hướng dẫn cho cán bộ, nhân viên cách phòng tránh cố liên quan đến mã độc hại, giảm thiểu mức độ nghiêm trọng cố Tất cán bộ, nhân viên tổ chức phải đào tạo hiểu nguy cơ, cách thức phần mềm độc hại xâm nhập vào hệ thống, lây nhiễm, lây lan, sách phịng chống mã độc thực hành thường xuyên khuyến cáo để tránh cố phần mềm độc hại Các khóa học nên thiết kế phù hợp với nhiều mơi trường làm việc khác nhau, ví dụ hướng dẫn nhân viên không thực số công việc sau: - Không mở thư điện tử tập tin đính kèm từ địa người gửi khơng rõ ràng có dấu hiệu nghi ngờ - Khơng truy cập vào popup trình duyệt mà cảm thấy nghi ngờ có dấu hiệu bất thường - Khơng truy cập vào trang web có khả chứa nội dung độc hại - Không mở tập tin với phần mở rộng có khả kết hợp với phần mềm độc hại (Ví dụ: bat, exe, pif, vbs ) - Khơng vơ hiệu hố chế kiểm sốt an ninh (ví dụ khơng tắt phần mềm Anti-virus, phần mềm phát gián điệp, tường lửa cá nhân) - Không sử dụng tài khoản có quyền quản trị cấp cao cho hoạt động thông thường - Không tải thực thi ứng dụng từ nguồn không tin cậy Các tổ chức nên đào tạo giúp cho cán bộ, nhân viên biết sách phương pháp áp dụng để xử lý cố phần mềm độc hại (Ví dụ: làm để xác định thiết bị, máy tính dùng bị nhiễm mã độc, làm để báo cáo máy tính nghi ngờ bị nhiễm, nhân viên cần phải làm để hỗ trợ xử lý cố (Ví dụ: cập nhật phần mềm Anti-virus, hệ thống quét phần mềm độc hại) Các nhân viên nên biết cố mã độc hại phổ biến, xảy việc tương tự họ có phương hướng báo cáo để xử lý Ngoài ra, nhân viên cần phải biết cách thích ứng với mơi trường làm việc thay đổi, xảy cố liên quan đến 23 mã độc, hệ thống bị cách ly hệ thống thư điện tử bị vô hiệu hóa, nhân viên cần có giải pháp để tiếp tục hồn thành cơng việc đơn vị tổ chức Quản lý lỗ hổng Các phần mềm độc hại công vào hệ thống cách khai thác lỗ hổng hệ điều hành, dịch vụ ứng dụng Có nhiều phần mềm độc hại tạo sau công bố lỗ hổng mới, chí trước lỗ hổng công khai thừa nhận (lỗi Zero-day) Một lỗ hổng thường xử lý nhiều phương pháp, cập nhật vá lỗi cấu hình lại phần mềm (ví dụ vơ hiệu hoá dịch vụ dễ bị khai thác) Với yêu cầu tổ chức giảm thiểu lỗ hổng hệ thống máy tính, bao gồm việc xử lý lỗ hổng liên tục phát hiện, tổ chức cần phải có tài liệu sách, quy trình thủ tục giảm thiểu lỗ hổng nên xem xét việc tạo chương trình quản lý lỗ hổng để hỗ trợ Ngoài nên liên tục đánh giá lỗ hổng để giảm thiểu khả bị khai thác Thông tin lỗ hổng mối đe doạ mã độc cần thu thập thông qua kết hợp nguồn thông tin khác Thu thập khuyến cáo, cảnh báo từ đội ứng phó xử lý cố An tồn thơng tin (Ví dụ: đội ứng cứu cố máy tính khẩn cấp - Cert, tin bảo mật công ty bảo mật, tư vấn mã độc từ công ty phần mềm Anti-virus) Tổ chức nên thiết lập chế để đánh giá lỗ hổng thông tin mối đe doạ mới, xác định phương pháp giảm thiểu thích hợp phân phối thơng tin cho bên thích hợp Các tổ chức cần phải có phương pháp để theo dõi đánh giá thường kỳ lực xử lý cố kỹ thuật giúp giảm thiểu lỗ hổng gồm có: (1) Quản lý vá; (2) Đặc quyền tối thiểu; (3) Biện pháp hỗ trợ khác Triển khai cơng nghệ phịng chống mã độc 4.1 Phần mềm Anti-virus Phần mềm Anti-virus phương pháp kỹ thuật thường sử dụng để giảm thiểu rủi ro mã độc Hệ điều hành ứng dụng phổ biến mục tiêu loại mã độc Hiện có nhiều hãng phần mềm Anti-virus với hầu hết các chức cung cấp bảo vệ, nhiên tất sản phẩm thực yêu cầu chức sau: - Quét thành phần hệ thống tập tin khởi động ghi khởi động 24 - Xem hoạt động thời gian thực hệ thống kiểm tra hoạt động đáng nghi ngờ Qt tồn tệp đính kèm, email gửi nhận Phần mềm Antivirus cấu hình để thực quét thời gian thực với chức mở tập tin tải quét trước thực thi - Giám sát hành vi ứng dụng phổ biến, chẳng hạn trình duyệt thư phía máy khách, trình duyệt Web, chương trình truyền file chương trình nhắn tin Phần mềm diệt virus giám sát hoạt động liên quan đến ứng dụng có nhiều khả sử dụng để làm hệ thống lây nhiễm lây lan mã độc tới hệ thống khác - Quét tập tin nghi ngờ có virus Phần mềm Anti-virus thiết lập để thường xuyên quét ổ cứng để xác định tập tin hệ thống bị nhiễm tuỳ chọn quét phương tiện lưu trữ khác Người dùng khởi động quét thủ công cần (theo yêu cầu) - Xác định loại mã độc hại phổ biến virus, worm, trojan horses, mã độc hại di động mối đe doạ hỗn hợp công cụ kẻ công keylogger backdoor Hầu hết sản phẩm Anti-virus hỗ trợ cho việc phát phần mềm gián điệp - Làm tập tin, có việc loại bỏ mã độc tập tin, cách ly tập tin Làm tập tin gỡ bỏ mã độc hại trả lại tập tin nguyên bản, nhiên nhiều tập tin bị nhiễm khơng thể làm Theo đó, phần mềm Anti-virus cấu hình lại để cố gắng làm tập tin bị nhiễm cho cách ly xố tập tin khơng làm 4.2 Phần mềm phát phần mềm gián điệp Phần mềm phát phần mềm gián điệp (spyware) công cụ loại bỏ thiết kế nhằm mục địch xác định nhiều dạng khác phần mềm gián điệp hệ thống từ cách ly gỡ bỏ chúng Khơng giống phần mềm Anti-virus (để xác định nhiều kiểu mã độc), phần mềm phát spyware tiện ích gỡ bỏ dùng cho loại mã độc kể dạng spyware Thông thường, phần mềm phát spyware công cụ gỡ bỏ cung cấp khả xử lý spyware mạnh mẽ phần mềm Anti-virus Ngăn ngừa cố bị phần mềm spyware quan trọng khơng phần mềm spyware vi phạm quyền riêng tư người dùng mà cịn thường xun gây vấn đề hệ thống, làm chậm hệ thống làm cho ứng dụng không ổn định 25 4.3 Hệ thống phòng chống xâm nhập mạng Hệ thống phịng chống xâm nhập mạng (IPS) thực cơng việc tra gói tin phân tích lưu lượng mạng để xác định ngăn chặn hoạt động bất thường Hệ thống thường triển khai mạng giống tường lửa Hệ thống IPS ngăn chặn hiệu mối nguy hại biết sâu công dịch vụ mạng, sâu công thư điện tử virus với đặc điểm dễ nhận biết (file đính kèm) Tuy nhiên, hệ thống IPS khơng có khả ngăn chặn mã độc hại thiết bị di động Trojan, phát ngăn chặn số mối đe doạ chưa biết thông qua phân tích giao thức mạng 4.4 Tường lửa định tuyến Các thiết bị mạng tường lửa định tuyến phần mềm tường lửa chạy máy chủ có nhiệm vụ tra lưu lượng mạng, cho phép từ chối dựa tập luật thiết lập Thiết bị định tuyến sử dụng danh sách điều khiển truy cập (Acess-list) để cản lọc gói tin vào mạng Có hai loại tường lửa: tường lửa mạng tường lửa cho máy chủ Tường lửa mạng thiết bị triển khai hệ thống mạng để hạn chế lưu lượng mạng không phù hợp truyền từ mạng qua mạng khác Tường lửa chạy máy chủ để cản lọc thông tin vào máy chủ Cả hai loại tường lửa có hữu ích việc phòng ngừa cố mã độc hại 26 KẾT LUẬN Do việc cạnh tranh phát triển công nghệ, nhà sản xuất không trọng tới an ninh thiết bị IoT, khiến cho thiết bị dễ dàng bị khai thác thông qua lỗ hổng bảo mật.Thực phân tích 32 356 firmware thiết bị nhúng phát 38 lỗ hổng bảo mật Theo thống kê Kaspersky, số lượng mã độc thu thập thiết bị loT nửa đầu năm 2018 gấp lần năm 2017 10 lần so với năm 2016 Cách cơng lây nhiễm chủ yếu bẻ khóa mật Telnet SSH thiết bị cấu hình mật yếu Năm 2016, mã độc Mirai lợi dụng lỗ hổng để gây công từ chối dịch vụ phân tán lớn lịch sử với lưu lượng mạng lên tới 620Gbps với 380000 thiết bị lây nhiễm tham gia Nghiên cứu mã độc thiết bị IoT quan tâm sâu sắc lĩnh vực an tồn thơng tin Các chủ đề nghiên cứu trước tập trung vào mã độc hệ điều hành Windows kiến trúc vi xử lý Intel gần thiết bị di động Các đề tài nghiên cứu mã độc thiết bị IoT cịn hạn chế Trước thực trạng đó, chúng tơi tìm hiểu, phát đưa giải pháp phòng chống mã độc IoT 27 ... VÀ PHỊNG CHỐNG MÃ ĐỘC TRONG IOT I PHÁT HIỆN MÃ ĐỘC Phân tích tĩnh Phân tích tĩnh phương pháp phân tích, kiểm tra phần mềm, mã độc trực tiếp mã nguồn, mã nhị phân tường minh tập tin mà không cần... định tuyến cho việc phân tích mã độc II PHÒNG CHỐNG MÃ ĐỘC TRONG IOT Xây dựng sách phịng chống mã độc Các quan, tổ chức phải có sách ngăn chặn cố liên quan đến mã độc Chính sách cần rõ ràng, cho... việc phát phần mềm gián điệp - Làm tập tin, có việc loại bỏ mã độc tập tin, cách ly tập tin Làm tập tin gỡ bỏ mã độc hại trả lại tập tin nguyên bản, nhiên nhiều tập tin bị nhiễm làm Theo đó, phần