Đang tải... (xem toàn văn)
Người quản trị hệ thống có thể sử dụng tiện ích Syskey trong các cửa sổ để bảo vệ mật khẩu được lưu trữ trên ổ cứng máy chủ.. Nhật ký máy chủ cũng nên được theo dõi cho các cuộc tấn công[r]
(1)CHƯƠNG 8: SYSTEM HACKING Phạm Thanh Tân Trong các chương trước, chúng ta đã khảo sát qua quá trình thu thập thông tin mục tiêu cần công Những kỹ thuật Footprinting, Social engineering, Enumeration, Google Hacking…đã áp dụng cho mục đích truy tìm thông tin Đến chương này, bạn bắt đầu vào quá trình công hệ thống thật Mục tiêu bạn bây đã lộ rõ trước mắt, bạn phải tiến hành kỹ thuật khác để làm vào hệ thống đó, thực việc mà mình mong muốn, xóa liệu, chạy chương trình trojan, keylogger… Quá trình công hệ thống Trước tiếp tục nói System Hacking chúng ta dành chút thời gian cho việc tìm hiểu quá trình công hệ thống Mục tiêu phía trước chúng ta là hệ thống máy tính Các bước để công, đánh sập nó, có thể liệt kê hình vẽ bên cạnh Nó gồm công đoạn sau: Enumerate (liệt kê): Trích tất thông tin có thể user hệ thống Sử dụng phương pháp thăm dò SNMP để có thông tin hữu ích, chính xác Bạn đã tìm hiểu phương pháp SNMP phần trước Crack: Công đoạn này có lẽ hấp dẫn nhiều hacker Bước này yêu cầu chúng ta bẽ khóa mật đăng nhập user Hoặc cách nào khác, mục tiêu phải đạt tới là quyền truy cập vào hệ thống Escalste (leo thang): Nói cho dễ hiểu là chuyển đổi giới hạn truy cập từ user binh thường lên admin user có quyền cao đủ cho chúng ta công Execute (thực thi): Thực thi ứng dụng trên hệ thống máy đích Chuẩn bị trước malware, keylogger, rootkit…để chạy Hình 1: Quy trình công hệ thống nó trên máy tính công Hide (ẩn file): Những file thực thi, file soucecode chạy chương trình…cần phải làm ẩn đi, tránh bị mục tiêu phát tiêu diệt (2) Tracks (dấu vết): Tất nhiên không phải là để lại dấu vết Những thông tin có liên quan đến bạn cần phải bị xóa sạch, không để lại thứ gì Nếu không khả bạn bị phát là kẻ đột nhập là cao Trong chương này, bạn cùng trải qua công nghệ thực các bước trên để công hệ thống Qua đó chúng ta đưa giải pháp để chống lại công đó Phần Enumeration đã thảo luận chương trước, nên không đề cập phần này Phần 1: Cracking Passwords Mật và các kiểu công mật Một vài kiểu password dùng để truy cập vào hệ thống Các ký tự dùng làm mật có thể rơi vào các trường hợp sau Chỉ là chữ cái VD: ABCDJ Chỉ là số VD: 457895 Chỉ là ký tự đặc biệt VD: #$^@&* Chữ cái và số VD: asw04d5s Chỉ là số và ký tự đặc biệt VD: #$345%4#4 Chữ cái ,số, và ký tự đặc biệt VD: P@ssw0rd Độ mạnh mật phụ thuộc vào khả nhạy cảm hacker Quy tắc sau đây, đề nghị Hội đồng EC, phải áp dụng bạn tạo mật khẩu, để bảo vệ nó chống lại các công Không chứa tên tài khoản người dùng Ngắn phải ký tự Phải chứa các ký tự từ ít ba số các loại sau o Có chứa các ký tự đặc biệt/ o Chứa chữ số o Chữ cái viết thường o Chữ cái viết hoa Một hacker dùng các cách công khác để tìm password và tiếp tục truy cập vào hệ thống Các kiểu công password thường dạng sau: (3) Hình 2: Các kiểu công mật Passive Online: Nghe trôm thay đổi mật trên mạng Cuộc công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, và replay attacks (tấn công dựa vào phản hồi) Active Online: Đoán trước mật nguời quản trị Các công trực tuyến bao gồm việc đoán password tự động Offline: Các kiểu công Dictionary, hybrid, và brute-force Non-Electronic: Các công dựa vào yếu tố người Social engineering, Phising… Passive Online Attacks Một công thụ động trực tuyến là đánh (sniffing) để tìm các dấu vết, các mật trên mạng Mật là bị bắt (capture) quá trình xác thực và sau đó có thể so sánh với từ điển (dictionary) là danh sách từ (word list) Tài khoản người dùng có mật thường băm (hashed) mã hóa (encrypted) trước gửi lên mạng để ngăn chặn truy cập trái phép và sử dụng Nếu mật bảo vệ cách trên,một số công cụ đặc biệt giúp hacker có thể phá vỡ các thuật toán mã hóa mật Active Online Attacks Cách dễ để đạt cấp độ truy cập quản trị viên hệ thống là phải đoán từ đơn giản thông qua giả định là các quản trị viên sử dụng mật đơn giản Mật (4) đoán là để công Active Online Attack dựa trên các yếu tố người tham gia vào việc tạo mật và cách công này hữu dụng với mật yếu Trong chương 6, chúng ta thảo luận các giai đoạn Enumeration, bạn đã học lỗ hổng NetBIOS Enumeration và Null Session Giả sử NetBIOS TCP mở port 139, phương pháp hiệu để đột nhập vào Win NT hệ thống Windows 2000 là đoán mật Cái này thực cách cố gắng kết nối đến hệ thống giống quản trị viên thực Tài khoản và mật kết hợp để đăng nhập vào hệ thống Một hacker, đầu tiên có thể thử để kết nối với tài nguyên chia mặc định là Admin$, C$ C:\Windows Để kết nối tới các ổ đĩa máy tính, ổ đĩa chia sẻ, gõ lệnh sau đây Start > Run: \\ ip_address \ c$ Các chương trình tự động có thể nhanh chóng tạo file từ điển, danh sách từ, kết hợp tất có thể có các chữ cái, số và ký tự đặc biệt và cố gắng để đăng nhập vào Hầu hết các hệ thống ngăn chặn kiểu công này cách thiết lập số lượng tối đa các nỗ lực đăng nhập vào hệ thống trước tài khoản bị khóa (ví dụ bạn đăng nhập vào trang web mà bạn nhập sai password lần thì tài khoản bạn từ động bị khóa lại ngày) Trong các phần sau, chúng ta thảo luận làm nào hacker có thể thực việc tự động đoán mật chặt chẽ hơn, các biện pháp đối phó với các công Performing Automated Password Guessing: (Tự Động Đoán Mật Khẩu) Để tăng tốc độ đoán mật khẩu, hacker thường dùng công cụ tự động Một cách có quá trình, dễ dàng để tự động đoán mật là sử dụng cửa sổ lệnh dựa trên cú pháp chuẩn lệnh NET USE Để tạo kịch đơn giản cho việc đoán mật tự động, thực các bước sau đây: Tạo tên người dùng đơn giản và tập tin mật cách sử dụng các cửa sổ notepad Dùng các dòng lệnh để tạo danh sách các từ điển Và sau đó lưu vào các tập tin vào ổ đĩa C, với tên là credentials.txt Sử dụng lênh FOR C:\> FOR /F “token=1, 2*” %i in (credentials.txt) (5) Gõ lệnh net use \\targetIP\IPC$ %i /u: %j để sử dụng file credentials.txt cố gắng logon vào hệ thống chia ẩn trên hệ thống mục tiêu Bảo Vệ Chống Lại Các Hoạt Động Đoán Mật Khẩu Có hai vấn đề tồn là bảo vệ chống lại đoán mật và công mật Cả hai cách công thông minh tạo trạng thái bất an người dùng tạo mật riêng họ Một người sử dụng có thể chứng thực (authenticated) và xác nhận (validated) cách kiểm tra Trong đó yêu cầu hai hình thức nhận dạng (chẳng hạn các thẻ thông minh (smart card) và mật khẩu) xác thực người dùng Bằng cách yêu cầu cái gì đó người dùng có thể có (smart card) và cái gì đó mà người dùng biết (mật khẩu) , bảo mật tăng, và không dễ dàng công Offline Attacks Cuộc công Offline thực vị trí khác là hành động máy tính có chứa mật nơi mật sử dụng Cuộc công Offline yêu cầu phần cứng để truy cập vật lý vào máy tính và chép các tập tin mật từ hệ thống lên phương tiện di động Hacker sau đó có file đó và tiếp tục khai thác lỗ hổng bảo mật Bảng sau minh họa vài loại hình công offline: Bảng 8.1: Các kiểu công Offline Type of Attack Dictionary attack Hybrid attack Brute-force-attack Characteristics Example Password Nỗ lực để sử dụng mật từ từ điển Administrator Thay vài ký tự mật Thay đổi toàn ký tự mật Adm1n1strator Ms!tr245@F5a Dictionary Attack là cách công đơn giản và nhanh các loại hình công Nó sử dụng để xác định mật từ thực tế, và mật có thể tìm thấy từ điển Thông thường nhất, công sử dụng tập tin từ điển các từ có thể, sau đó sử dụng thuật toán sử dụng quá trình xác thực Các hàm băm (hash) các từ từ điển so sánh với hàm băm mật người dùng đăng nhập vào, với các mật lưu trữ tập tin trên máy chủ Dictionary Attack làm việc mật là thực thể có từ điển Nhưng kiểu công này có (6) số hạn chế là nó không thể sử dụng với các mật mạnh có chứa số ký hiệu khác Hybrid Attack là cấp độ hacker, nỗ lực mật không thể tìm thấy cách sử dụng Dictionary Attack Các công Hybrid bắt đầu với tập tin từ điển và thay các số và các ký hiệu cho các ký tự mật Ví dụ, nhiều người sử dụng thêm số vào cuối mật họ để đáp ứng yêu cầu mật mạnh Hybrid thiết kế để tìm loại bất thường mật Brute Force Attack là công thuật toán brute-force, mà cố gắng kết hợp có thể có chữ hoa và chữ thường, chữ cái, số, và biểu tượng Một công thuật toán brute-force là chậm ba loại công vì có thể kết hợp nhiều ký tự mật Tuy nhiên, cách này có hiệu quả, cần có đủ thời gian và sức mạnh xử lý tất Noneelectronic Attacks Các công nonelectronicor là công mà không sử dụng kiến thức kỹ thuật nào Loại công có thể bao gồm các kỹ thuật social engineering, shoulder surfing, keyboard sniffing, dumpster diving Microsoft Authentication Microsoft đề xuất hàng loạt các giao thức thực dành cho hệ điều hành máy khách và máy chủ, môi trường workstation domain áp dụng Những giao thức có thể kế hình, kèm theo là phiên hệ điều hành sử dụng nó Mỗi giao thức chứng thực có cách mã hóa liệu khác nhau, và độ dài mã hóa khác Bảng 8.2 đây là bảng thông tin mã hóa dành cho các loại chứng thực (7) Hình 3: Các giao thức chứng thực Microsoft Bảng 8.2:Thông tin chứng thực bản Giao thức xác thực NTLM Sử dụng chế thách thức-đáp ứng (challenge-response) để xác thực người dùng và máy tính chạy Windows Me hệ điều hành trước đó, máy tính chạy Windows 2000 sau đó mà không phải là phần doamin Một người dùng thách thức (challenge) để cung cấp số phần thông tin cá nhân cho người sử dụng (response) (8) Hình 4: Mô hình chứng thực Challenge-Response Windows Server 2003 hỗ trợ ba phương pháp xác thực theo kiểu challenge- response sau đây: LAN Manager (LM): Được phát triển IBM và Microsoft để sử dụng OS2 và Windows cho Workgroups (Windows 95, Windows 98 và Windows Me) Đây là hình thức kém an toàn xác thực challenge-response vì nó là dễ bị kẽ công nghe trộm, và máy chủ chứng thực người dùng phải lưu trữ các thông tin LMHash NTLM version 1: Một hình thức an toàn so với kiểu LM Nó sử dụng để kết nối với máy chủ chạy Windows NT với Service Pack sớm NTLMv1 sử dụng giao thức mã hóa 56-bit Máy chủ xác thực người dùng với phiên NTLM nào, việc xác thực phải lưu trữ các thông tin Hash NT NTLM version 2: Hình thức an toàn có sẵn chứng thực challengeresponse Phiên này bao gồm kênh an toàn để bảo vệ quá trình xác thực Nó sử dụng để kết nối với máy chủ chạy Windows 2000, Windows XP, và Windows NT với Service Pack cao NTLMv2 sử dụng mã hóa 128-bit để đảm bảo các giao thức an toàn LM Authentication LM Authentication cung cấp khả tương thích với hệ điều hành trước đó, bao gồm Windows 95, Windows 98 và Windows NT 4.0 Service Pack sớm Ngoài còn có các ứng dụng trước đó mà có thể dựa vào chế xác thực này Tuy nhiên, giao thức LM là yếu nhất, và dễ dàng để công Không sử dụng chứng thực LM môi trường Windows Server 2003 Nâng cấp các máy tính dựa trên giao thức LM để loại bỏ lỗ hổng bảo mật này (9) Storing LM passwords Lý chính không sử dụng giao thức LM là mật tạo người sử dụng và lưu trữ để sử dụng, mật chuyển đổi để LMHash lần LMHash chứa tên người dùng và hash mật tương ứng Hash là hình thức mã hóa chiều Khi khách hàng cố gắng để xác thực với chứng thực LM các hash mật truyền trên mạng Máy chủ có thể để xác thực người sử dụng máy chủ có lưu trữ LMHash LMHash có vài điểm yếu mà làm cho nó dễ bị công Hash NT Các LMHash lưu trữ là các chữ hoa, giới hạn 14 ký tự Nếu có hiểu biết, kẻ công có quyền truy cập vào LMHashes lấy số lượng lớn người sử dụng, có khả là kẻ công giải mã mật Bảng 8.3: Ví dụ mật và các LMHashes tương ứng mà có thể lưu trữ Chú ý với hash mật luôn có 14 ký tự, chưa đủ thì ký tự E (mã 16) thêm vào sau cùng Trong quá trình tính toán các hash, mật ban đầu chia thành hai bảy ký tự Nếu mật là bảy ký tự ít hơn, tập thứ hai bảy ký tự là null Điều này dẫn đến các ký E cuối cùng là giá trị giúp cho kẻ công biết các mật ban đầu là ít tám ký tự Điều này giúp kẽ công giãm bơt thời gian dò tìm mã Vô hiệu hóa mật LM Windows Server 2003 cho phép bạn vô hiệu hóa các LMHash để loại bỏ các lỗ hổng trình bày trên Tuy nhiên, bạn có client chạy Windows 3.1 phát hành ban đầu Windows 95 kết nối với máy tính chạy Windows Server 2003, thì bạn không vô hiệu hóa các LMHash Tuy nhiên, bạn có thể vô hiệu hóa việc sử dụng LMHash trên sở account-by-account cách làm điều sau đây: Sử dụng mật với 15 ký tự dài Kích hoạt các giá trị registry NoLMHash cục trên máy tính cách sử dụng chính sách an ninh (10) Sử dụng các ký tự ALT mật Ký tự ALT đưa vào mật cách giữ phím ALT, gõ các phím số, và sau đó thả phím ALT NTLM Authentication Như đã đề cập trước đó, NTLM bao gồm ba phương pháp xác thực challenge-response: LM, NTLMv1, và NTLMv2 Quá trình xác thực cho tất các phương pháp là nhau, chúng khác mức độ mã hóa Quá trình xác thực Các bước sau đây chứng tỏ quá trình kiện xác thực xảy client xác nhận đến domain controller cách sử dụng các giao thức NTLM: Hình 5: Mô hình chứng thực NTLM Các client và server thương lượng giao thức xác thực Điều này thực thông qua việc thương lượng nhà cung cấp dịch vụ hổ trợ bảo mật Microsoft (Security Support Provider) Client gửi tên người dùng và tên miền tới domain controller Domain controller chọn ngẫu nhiên 16 byte để tạo chuỗi ký tự gọi là nonce Client mã hóa nonce này với hash mật và gửi nó trở lại domain controller Domain controller trả lời hash mật từ sở liệu tài khoản bảo mật (11) Domain controller sử dụng các giá trị băm lấy từ sở liệu tài khoản bảo mật để mã hóa nonce Giá trị này so sánh với giá trị nhận từ client Nếu các giá trị phù hợp, client chứng thực Giao thức chứng thực Kerberos Là giao thức xác thực mặc định cho Windows Server 2003, Windows 2000 và Windows XP Professional Kerberos thiết kế để an toàn và khả mở rộng so với NTLM trên mạng lớn Kerberos cung cấp thêm các lợi ích sau đây: Hiệu (Efficiency): Khi máy chủ cần xác thực client, máy chủ Kerberos có thể xác nhận các thông tin client mà không cần phải liên hệ với domain controller Tự chứng thực (Mutual authentication) Ngoài việc chứng thực cliet đến server, Kerberos cho phép máy chủ xác thực lẫn Ủy quyền chứng thực (Delegated authentication): Cho phép các dịch vụ để đóng vai client truy cập vào tài nguyên Đơn giản hóa quản lý (TrustKerberos): có thể sử dụng trust các domain cùng forest và các domain kết nối với forest Khả cộng tác ( Interoperability): Kerberos dựa trên tiêu chuẩn Internet Engineering Task Force (IETF) và đó tương thích với IETF khác tuân theo lõi Kerberos Quy trình xác thực Kerberos Giao thức Kerberos lấy ý tưởng từ các chó ba đầu thần thoại Hy Lạp Ba thành phần Kerberos là: Các client yêu cầu dịch vụ chứng thực Các server lưu trữ các dịch vụ theo yêu cầu client Một máy tính có nghĩa là đáng tin cậy khách hàng và máy chủ (trong trường hợp này, Windows Server 2003 domain controller chạy dịch vụ Kerberos Key Distribution Center) Xác thực Kerberos dựa trên các gói liệu định dạng đặc biệt gọi là ticket Trong Kerberos, các ticket qua mạng thay vì mật Truyền ticket thay vì mật làm cho quá trình xác thực tăng khả chống công Kerberos Key Distribution Center (12) Key Distribution Center (KDC) trì sở liệu các thông tin tài khoản cho tất các hiệu trưởng an ninh (security principals) miền Các KDC lưu trữ khoá mật mã có các nsecurity principals biết đến Khóa này sử dụng để giao tiếp security principals và KDC, và biết đến chìa khóa dài hạn Chìa khóa dài hạn bắt nguồn từ mật đăng nhập người dùng Quá trình xác thực Kerberos Sau đây là mô tả phiên giao dịch (giản lược) Kerberos Trong đó: AS = Máy chủ chứng thực (authentication server), TGS = Máy chủ cấp vé (ticket granting server), SS = Máy chủ dịch vụ (service server) Một cách vắn tắt: người sử dụng chứng thực mình với máy chủ chứng thực AS, sau đó chứng minh với máy chủ cấp vé TGS mình đã chứng thực để nhận vé, cuối cùng chứng minh với máy chủ dịch vụ SS mình đã chấp thuận để sử dụng dịch vụ Hình 6: Mô tả vắn tắt quy trình chứng thực Kerberos (13) Người sử dụng nhập tên và mật máy tính mình (máy khách) Phần mềm máy khách thực hàm băm chiều trên mật nhận Kết dùng làm khóa bí mật người sử dụng Phần mềm máy khách gửi gói tin (không gửi mật mã hóa) tới máy chủ dịch vụ AS để yêu cầu dịch vụ Nội dung gói tin đại ý: “người dùng XYZ muốn sử dụng dịch vụ” Cần chú ý là khóa bí mật lẫn mật không gửi tới AS AS kiểm tra nhân dạng người yêu cầu có nằm sở liệu mình không Nếu có thì AS gửi gói tin sau tới người sử dụng: o Gói tin A: “Khóa phiên TGS/client” mật mã hóa với khóa bí mật người sử dụng o Gói tin B: “Chấp Thuận Vé” (bao gồm danh người sử dụng (ID), địa mạng người sử dụng, thời hạn vé và “Khóa phiên TGS/client”) mật mã hóa với khóa bí mật TGS Khi nhận gói tin trên, phần mềm máy khách giải mã gói tin A để có khóa phiên với TGS (Người sử dụng không thể giải mã gói tin B vì nó mã hóa với khóa bí mật TGS) Tại thời điểm này, người dùng có thể xác thực mình với TGS Khi yêu cầu dịch vụ, người sử dụng gửi gói tin sau tới TGS: o Gói tin C: Bao gồm “Vé chấp thuận” từ gói tin B và danh (ID) yêu cầu dịch vụ o Gói tin D: Phần nhận thực (bao gồm danh người sử dụng và thời điểm yêu cầu), mật mã hóa với “Khóa phiên TGS/máy khách” Khi nhận gói tin C và D, TGS giải mã D gửi gói tin sau tới người sử dụng: o Gói tin E: “Vé” (bao gồm danh người sử dụng, địa mạng người sử dụng, thời hạn sử dụng và “Khóa phiên máy chủ/máy khách”) mật mã hóa với khóa bí mật máy chủ cung cấp dịch vụ o Gói tin F: “Khóa phiên máy chủ/máy khách” mật mã hóa với “Khóa phiên TGS/máy khách” Khi nhận gói tin E và F, người sử dụng đã có đủ thông tin để xác thực với máy chủ cung cấp dịch vụ SS Máy khách gửi tới SS gói tin: o Gói tin E thu từ bước trước (trong đó có “Khóa phiên máy chủ/máy khách” mật mã hóa với khóa bí mật SS) o Gói tin G: phần nhận thực mới, bao gồm danh người sử dụng, thời điểm yêu cầu và mật mã hóa với “Khóa phiên máy chủ/máy khách” SS giải mã “Vé” khóa bí mật mình và gửi gói tin sau tới người sử dụng để xác nhận định danh mình và khẳng định đồng ý cung cấp dịch vụ: (14) o Gói tin H: Thời điểm gói tin yêu cầu dịch vụ cộng thêm 1, mật mã hóa với “Khóa phiên máy chủ/máy khách” 10 Máy khách giải mã gói tin xác nhận và kiểm tra thời gian có cập nhật chính xác Nếu đúng thì người sử dụng có thể tin tưởng vào máy chủ SS và bắt đầu gửi yêu cầu sử dụng dịch vụ 11 Máy chủ cung cấp dịch vụ cho người sử dụng Kỹ Thuật Crack Password Công Nghệ Crack Password Có nhiều hacker nỗ lực việc bẻ khóa password Passwords là chìa khóa, thông tin cần thiết để truy cập hệ thống User, mà họ tạo password thường là password khó đoán Nhiều password tái sử dụng chọn ký tự, là tên nào đó giúp họ dễ nhớ nó Bởi vì yếu tố người nên đã có nhiều password bẻ gãy thành công Nó là điểm mấu chốt quá trình leo thang, thực thi ứng dụng, ẩn file, và che dấu thông tin Password có thể bẻ thủ công tìm từ điển Crack password thủ công liên quan đến việc cố gắng đăng nhập với password khác Các bước mà hacker tiến hành: Tìm tài khoản người dùng (có thể là tài khoản administractor khách) Tạo danh sách các mật có thể Xếp hạng các mật có xác xuất từ cao xuống thấp Mức độ quan trọng mật Cố gắng làm làm lại nào bẻ password thành công Hình 7: Các bước cack password thủ công Một hacker cố gắng tạo tập tin kịch với password danh sách Nhưng đây là cách thủ công, nó thường tốn nhiều thời gian và không hiệu Để tăng (15) hiệu quả, hacker có thể sử dụng công cụ hổ trợ cho việc truy tìm mật cách tự động Một cách hiệu để phá mật là truy cập vào các tập tin mật trên hệ thống Hầu hết các mật mã hóa để lưu trữ hệ thống Trong lúc đăng nhập vào hệ thống, password người dùng nhập vào thường mã hóa các thuật toán và sau đó so sánh với password lưu file Một hacker có thể cố gắng truy cập vào server để lấy file, các thuật toán thay vì cố gắng đoán không xác định password Nếu hacker thành công, họ có thể giải mã password lưu trữ trên server Mật lưu file SAM trên Windows và file Shadow trên Linux Hacking Tools Giới thiệu số phần mềm dò tìm password Hacker có thể tự động đoán mật các phiên NetBIOS Hacker quét qua nhiều địa IP trên các hệ thống chia và thường công các công cụ thủ công NTInfoScan là máy quét an ninh Quét tất các lỗ hỗng tạo báo cáo dựa vào các vấn đề an ninh tìm thấy trên máy đích và số thông tin khác LophtCrack là phần mềm khôi phục mật và các gói phần mềm phân phối công ty @stake software, bây đã thuộc sở hữu Symantec Đây là phần mềm chặn các gói tin trên mạng và nắm bắt các phiên đăng nhập cá nhân LophtCrack chứa từ điển hành động và khả công lại John the ripper là công cụ dòng lệnh thiết kế để crack mật Unix và NT Các mật phân biệt trường hợp dạng chữ và có thể không thành công cho mật hỗn hợp Kerbcrack bao gồm hai chương trình: kerbsniff và kerbcrack sniffer Việc lắng nghe kết nối với internet và bắt giữ phiên đăng nhập Windows 2000/XP, sử dụng thuật toán Kerberos Soft này có thể sử dụng để tìm các mật từ các tập tin bắt cách công vào hệ thống Bẻ Khóa Password Windows 2000 Tài khoản lưu file gồm usernames và password đã mã hóa Nó nằm vị trí theo đường dẫn: Windows\system32\config Đây là file đã khóa, hệ thống chạy Hacker không thể chép file hệ thống khởi động Một lựa chọn cho việc chép tập tin này là khởi động từ (16) dos linux thì khởi động từ CD, chép từ thư mục repair Nếu quản trị viên hệ thống sử dụng các tính RDISK Windows để lưu hệ thống, sau đó tập tin nén gọi là SAM._ tạo C:\windows\repair Để mở file, bạn sử dụng lệnh sau dấu nhắc lệnh C:>expand sam._sam Sau đó tập tin không còn nén, các kiểu công dictionary, hybrid, or brute-force có thể áp dụng để khai thác file SAM Hacking Tools Win32CreateLocalAdminUser: là chương trình tạo người dùng với username và password là X và thêm người dùng vào nhóm quản trị viên Phần mềm này là dự án Metasploits và có thể đưa vào thư viện netframwork window Offline NT Password Resetter là phương thức đặt lại password người quản trị hệ thống hệ thống không khởi động window Đa số các phương pháp khởi động hệ điều hành linux CD với phân vùng là NTFS mà hệ điều hành không có password bảo vệ, nên có thể thay đổi password Kỹ Thuật Tấn Công Chuyển Hướng Một hướng khác để khám phá mật trên mạng là chuyển hướng đăng nhập máy chủ, làm chặn gửi tin nhắn đến máy khách, mà gửi password đến cho hacker Để làm điều này hacker phải gửi phản hồi xác thực từ server và lừa nạn nhân vào cửa sổ xác thực kẻ công Một kỹ thuật phổ biến là gửi đến nạn nhân email với liên kết lừa đảo, liên kết click, thì người dùng vô tìn đã gửi thông tin họ qua mạng Chuyển hướng SMB (Server Message Block) Một số phần mềm có thể tự động thực chuyển hướng SMBRelay là phần mềm có thể capture lại tên đăng nhập và mật mã hóa Đây có thể gọi là phần mềm trung gian kẻ công SMBRelay2 là phần mềm giống SMBRelay dùng tên NetBIOS địa IP để ghi lại tên đăng nhập và mật pwdump2 là chương trình ghi lại chính xác mật đã mã hóa file hệ thông window Mật chính xác có thể chạy cùng với chương trình bẻ password Lophtcrack samdump là chương trình để giải mã mật đã mã hóa từ tập tin SAM (17) c2MYAZZ là chương trình phần mềm gián điệp làm cho các cửa sổ khách hàng gửi mật dạng văn rõ ràng Nó hiển thị tên người dùng và mật họ là người sử dụng gắn với tài nguyên máy chủ Tấn Công SMB Relay MITM & Biện Pháp Đối Phó Tấn Công SMB Relay MITM là kẻ công cài đặt lừa máy chủ với địa nào đó (Relay Address) Khi client là nạn nhân (victim client) kết nối tới máy chủ lừa đảo, các MITM server chặn phiên lại, mã hóa password, và chuyển kết nối tới máy chủ nạn nhân Hình 8: SMB relay MITM attack Biện pháp đối phó bao gồm các cấu hình windows 2000 dùng SMB Để mã hóa khối thông tin liên lạc Thiết lập này tìm thấy đường dẫn Security Policies/Security Options Hacking Tools SMBGrind là phần mềm làm tăng tốc độ làm việc cách loại bỏ bớt các trùng lắp và cung cấp các tiện ích cho người sử dụng mà người dùng không cần chỉnh sửa cách thủ công SMBDie là công cụ xử lý cố máy tính chạy window 2000/xp/NT cách gửi các yêu cầu thiết kế đặc biệt SMB (18) NBTdeputy là chương trình có thể đăng ký tên máy tính NetBIOS trên mạng và ứng phó với NetBIOS thông qua yêu cầu TCP IP Tên truy vấn nó đơn giản hoá Giúp việc sử dụng các SMBRelay có thể gọi tên máy tính thay vì địa ip Tấn Công NetBIOS Dos Tấn công NetBIOS Denial of Service (DoS) cách gửi tin NetBIOS Name Release đến dịch vụ NetBIOS Name Service trên hệ thống mục tiêu chạy hệ điều hành Windows và hệ thống quá tải, không đáp ứng các yêu cầu người dùng Là cách công cách gửi các thông điệp từ chối mày chủ Các công cụ máy có thể đặt tên lại cho cuoc công Do đó công chủ yểu từ phía mày khách hàng Tạo mạng lưới công dos rộng lớn Hacking Tools NBName là công cụ có thể disable toàn mạng LAN và ngăn chặn các máy hệ thống chúng Các nút trên mạng Net-BIOS bị nhiễm, mà chúng lại cùng trên môi trường mạng nên chúng nghĩ tên chúng đã sẵn sàng sử dụng máy tính khác Biện Pháp Đối Phó Với Crack Password Password quan trọng là phải thực nhiệm vụ bảo vệ Password phải bao gồm từ 8-12 ký tự chữ số Độ dài mật đã bàn tới phần trước Để bảo vệ các thuật toán mã hóa cho các mật lưu trữ trên máy chủ, bạn phải có thể cô lập và bảo vệ máy chủ Người quản trị hệ thống có thể sử dụng tiện ích Syskey các cửa sổ để bảo vệ mật lưu trữ trên ổ cứng máy chủ Nhật ký máy chủ nên theo dõi cho các công brute-force trên các tài khoản người dùng Một viên quản trị hệ thống có thể thực các biện pháp phòng ngừa bảo mật sau để giảm rủi cho mật người quản trị người dùng o Đừng để password mặc định o Đừng bào dùng password từ điển o Không nên dùng password liên quan tới tên host ,tên miền ,hoặc cái gì mà hacker dễ đoán o Không nên dùng password liên quan tới ngày kỳ nghỉ bạn, vật nuôi, thân nhân ngày sinh nhật o Dùng từ có nhiều 21 ký tự từ điển để làm password (19) Thời Hạn Mật Khẩu Khi mật đã hết hạn sau khoảng thời gian thì buộc người dùng phải thay đổi mật Nếu mật thiết lập thời hạn quá ngắn, có thể là người dùng quên mật tại, kết là người quản trị hệ thống phải thiết lập lại password thường xuyên Một trường hợp khác là password cho phép người dùng thiết lập thời hạn quá dài thì mức độ an toàn bị tổn thương Một lời đề nghị là password nên thay đổi khoảng 30 ngày Ngoài ra, đề nghị là không cho phép người dùng dùng lại password đó lần Theo Dõi Người Dùng Đăng Nhập Vào Hệ Thống Người quản trị hệ thống phải theo dõi toàn thâm nhập hệ thống hacker, trước mà họ xâm nhập là họ xâm nhập Nói chung, vài lần thất bại lưu lại hệ thống, trước công xâm nhập thành công hay phá mật Nhật ký an toàn tốt đến mức nào là người quản trị hệ thống, người phải theo dõi quá trình đăng nhập Công cụ tìm kiếm VisuaLast hỗ trợ người người quản trị mạng giải mã và phân tích file mã hóa an toàn Visualast cung cấp cái nhìn toàn giúp người quản trị có cái nhìn toàn và đánh giá chính xác, hiệu Chương trình cho phép người quản trị xem và báo cáo cá nhân quá trình đăng nhập và đăng xuất Nó ghi lại kiện chính xác trên trang, và là tài liệu vô giá cho các nhà phân tích an ninh Sự kiên này lưu theo đường dẫn c:\windows\system32\config\sec.evt Đây là đường dẫn chứa dấu vết kẻ công Phần 2: Escalating Privileges Escalating Privileges (Kỹ Thuật Leo Thang Đặc Quyền) Leo thang đặc quyền là bước thứ ba chu trình Hacking System, leo thang đặc quyền có nghĩa là thêm nhiều quyền cho phép tài khoản người dùng thêm quyền, leo thang đặc quyền làm cho tài khoản người dùng có quyền là tài khoản quản trị Nói chung, các tài khoản quản trị viên có yêu cầu mật nghiêm ngặt hơn, và mật họ bảo vệ chặt chẽ Nếu không thể tìm thấy tên người dùng và mật tài khoản với quyền quản trị viên, hacker có thể chọn sử dụng tài khoản với quyền thấp Tại trường hợp này, các hacker sau đó phải leo thang đặc quyền để có nhiều quyền quyền quản trị (20) Cái này thực cách nắm lấy quyền truy cập cách sử dụng tài khoản người dùng không phải là quản trị viên Thường cách thu thập các tên người dùng và mật thông qua bước trung gian để gia tăng các đặc quyền trên tài khoản với mức độ quản trị viên Một hacker đã có tài khoản người dùng hợp lệ và mật khẩu, các bước là để thực thi các ứng dụng nói chung hacker cần phải có tài khoản có quyền truy cập cấp quản trị viên để cài đặt chương trình Đó là lý leo thang đặc quyền là quan trọng Trong các phần , chúng tôi xem gì hacker có thể làm với hệ thống bạn họ có quyền quản trị Hacking Tools Getadmin.exe là chương trình nhỏ nó có thể thêm người dùng vào nhóm Local Administrator Một vài kernel NT cấp thấp, thường xuyên truy cập phép quá trình chạy Một đăng nhập vào giao diện điều khiển máy chủ là cần thiết để thực chương trình Getadmin.exe chạy từ dòng lệnh và hoạt động trên Win NT 4.0 Service Pack Tiện ích HK.exe để lộ kẽ hở giao thức gọi hàm cục (Local Procedure Call) Windows NT Một người dùng có thể là không phải người quản trì có thể leo thang vào nhóm quản trị viên cách sử dụng công cụ này Phần 3: Executing Applications Một hacker đã có thể truy cập tài khoản với quyền quản trị, điều cần làm là thực thi các ứng dụng trên hệ thống đích Mục đích việc thực thi ứng dụng có thể cài đặt cửa sau trên hệ thống, cài đặt keylogger để thu thập thông tin bí mật, chép các tập tin, gây thiệt hại cho hệ thống, điều gì hacker muốn làm trên hệ thống Một hacker có thể thực thi các ứng dụng, hệ thống phụ thuộc vào kiểm soát hacker Hacking tools PsExec là chương trình kết nối vào và thực thi các tập tin trên hệ thống từ xa Phần mềm không cần phải cài đặt trên hệ thống từ xa Remoxec thực thi chương trình cách sử dụng dịch vụ RPC (Task Scheduler) WMI (Windows Management Instrumentation) Administrators với mật rỗng hay yếu (21) có thể khai thác thông qua lịch trình công việc (Task Scheduler - 1025/tcp) chế độ phân phối thành phần đối tượng (Distributed Component Object Mode; 135/tcp) Buffer Overflows Hacker cố gắng khai thác lỗ hổng mã ứng dụng (Application) Về chất, công tràn đệm gửi quá nhiều thông tin cho biến nào đó ứng dụng, có thể gây lỗi ứng dụng Hầu hết các lần, ứng dụng không biết hành động vì nó ghi đè các liệu bị tràn Vì nó thực thi các lệnh các liệu bị tràn giảm dấu nhắc lệnh phép người dùng nhập lệnh này Dấu nhắc lệnh (command prompt shell) là chìa khóa cho hacker có thể sử dụng để thực thi các ứng dụng khác Chuyên đề Buffer Overflows thảo luận chi tiết chương 19: Buffer Overflows Rootkits RootKits: phần mềm dán điệp Rootkit là loại chương trình thường sử dụng để che dấu các tiện ích trên hệ thống bị xâm nhập Rootkit bao gồm cái gọi là back doors, nó giúp cho kẻ công đó truy cập vào hệ thống dễ dàng lần sau Ví dụ, các rootkit có thể ẩn ứng dụng, ứng dụng này có thể sinh lệnh kết nối vào cổng mạng cụ thể trên hệ thống Back door cho phép các quá trình bắt đầu người không có đặc quyên, dùng để thực chức thường dành cho các quản trị viên Rootkit thường xuyên sử dụng phép lập trình viên rootkit có thể xem và truy cập vào tên người dùng và thông tin đăng nhập trên các trang site có yêu cầu họ Khái niệm Site đây không phải là website, mà là miền (domain) hệ thống các máy tính Một số loại rootkit thường gặp: Kernel-level rootkits: Rootkit cấp độ Kernel thường thêm thay vài thành phần nhân hệ thống, thay mã sửa đổi để giúp che giấu chương trình trên hệ thống máy tính Điều này thường thực cách thêm mã cho nhân hệ thống thông qua thiết bị ổ đĩa có khả nạp mô-đun, chẳng hạn các kernel mô-đun có thể nạp linux các thiết bị điều khiển Microsoft Windows Rootkit đặc biệt nguy hiểm vì nó có thể khó phát mà không có phần mềm phù hợp (22) Library-level rootkits: Rootkit cấp độ thư viện thường chắp vá, sữa chữa, thay hệ thống Một số phiên có thể giấu thông tin tùy theo mục đích hacker Application-level rootkits: Rootkit cấp ứng dụng thì có thể thay chương trình ứng dụng giống trojan độc hại, họ có thể thay đổi hành vi các ứng dụng có cách sử dụng các móc (hook), các vá lỗi (patch), mã độc hại (injected code), các phương tiện khác Trong các phần sau thảo luận quá trình lây nhiễm rootkit cho hệ thống Triển khai Rootkits trên Windows 2000 & XP Trong hệ điều hành Window NT/2000 thì rookit xây dựng trình điều khiển chế độ kernel driver, có thể tự động nạp chế độ runtime Rootkit có thể chạy với đặc quyền hệ thống (system privileges ) NT Kernel Do đó, nó đã truy cập vào tất các nguồn tài nguyên hệ điều hành Các rootkit có thể ẩn các quy trình, ẩn các tập tin, ẩn các mục đăng ký, tổ hợp phím tắt trên hệ thống, giao diện điều khiển, phát hành gián đoạn bước để gây màn hình màu xanh chết chốc (death) và chuyển các tập tin EXE Rootkit này có chứa trình điều khiển hoạt động chế độ kernel (kernel mode device driver) có tên gọi là _root_.sys và khởi chạy chương trình có tên là DEPLOY.EXE Sau đạt quyền truy cập vào hệ thống, chúng copy file -root-.sys và DEPLOY.EXE thành nhiều file vào hệ thống và thực thi file DEPLOY.EXE Sau đó cài đặt trình điều khiển thiết bị rootkit và kẻ công bắt đầu xóa DEPLOY.EXE từ các máy tính mục tiêu Những kẻ công sau đó có thể dừng lại và khởi động lại các rootkit cách sử dụng lệnh net stop _root_and _root_ và các tập tin _root_.sys không còn xuất danh sách thư mục Rootkit chặn không cho hệ thống gọi tập tin danh sách và giấu tất các file bắt đầu với _root_ Trong hệ điều hành, có hai chế độ hoạt động là usermode và kernel mode Với Kernel mode, các trình ứng dụng có toàn quyền truy cập vùng nhớ RAM, các lệnh CPU…nói chung là toàn quyền Rootkit nhúng vào giao thức TCP/IP Một tính rootkit window NT/2000 là nó hoạt động cách xác định tình trạng kết nối dựa trên các liệu gói liệu đến (incoming) Rootkit có địa (23) IP cố định mà nó trả lời Rootkit sử dụng các kết nối Ethernet qua hệ thống card mạng, vì nó mạnh mẽ Một hacker có thể kêt nối đến port trên hệ thống Ngoài ra, nó cho phép nhiều người có thể đăng nhập cùng lúc Phòng chống Rootkit Tất các rootkit truy cập hệ thống đích có quyền giống quản trị viên (administrator), đó, bảo mật mật là quan trọng Nếu bạn phát rootkit, lời khuyên bạn nên lưu liệu quan trọng và cài đặt lại hệ điều hành và các ứng dụng từ nguồn đáng tin cậy Các quản trị viên nên giữ sẵn nguồn đáng tin cậy để cài đặt và phục hồi tự động Biện pháp đối phó khác là sử dụng thuật toán mã hóa MD5, checksum MD5 tập tin là giá trị 128-bit, nó giống là dấu vân tay tập tin Thuật toán này thiết kế để phát thay đổi, chút tập tin liệu, để kiểm tra các nguyên nhân khác Thuật toán này có tính hữu ích để so sánh các tập tin và đảm bảo tính toàn vẹn nó Một tính hay là kiểm tra chiều dài cố định, kích thước tập tin nguồn là nào Việc tổng kiểm tra MD5 đảm bảo file đã không thay đổi này có thể hữu ích việc kiểm tra tính toàn vẹn file rootkit đã tìm thấy trên hệ thống Các công cụ Tripwire thực để kiểm tra MD5, để xác định các tập tin có bị ảnh hưởng rootkit hay không Countermeasure Tools Tripwire là chương trình kiểm tra tính toàn vẹn hệ thống tập tin hệ điều hành Unix, Linux, thêm vào kiểm tra mật mã nhiều nội dung thư mục và tập tin Tripwire có sở liệu chứa thông tin cho phép bạn xác minh, cho phép truy cập và cài đặt chế độ tập tin, tên người dùng chủ sở hữu tập tin, ngày tháng và thời gian tập tin đã truy cập lần cuối, và sửa đổi cuối Keyloggers and Other Spyware Nếu tất nỗ lực để thu thập mật không thành công, thì keylogger là công cụ lựa chọn cho các hacker Được thực là phần mềm cài đặt trên máy tính là phần cứng gắn vào máy tính Keylogger là các phần mềm ẩn, ngồi phần cứng (bàn phím) và hệ điều hành, để họ có thể ghi lại phím tắt Keylogger phần mềm có thể phá hoại hệ thống Trojans viruses (24) Keylogger là phần mềm gián điệp có dung lượng nhỏ, giúp kết nối các bàn phím máy tính và lưu tất các thao tác phím vào file Hacker có thể cài thêm tính là tự động gửi nội dung file đó đến máy chủ hacker Đối vối kiểu keylogger cứng, có thiết bị, giống usb, gắn vào máy tính Quá trình thao tác phím ghi lại usb đó Để làm điều này thì hacker phải có quyền truy cập vật lý vào hệ thống Keylogger cứng thường cài các điềm internet công cộng có ý đồ xấu Do đó truy cập net nơi công cộng, bạn nên quan sát kỹ lưỡng các thiết bị bất thường cấm vào máy tính Hacking Tools Spector là phần mềm gián điệp ghi lại điều từ hệ thống nào đó trên mạng Internet, giống camera giám sát tự động Spector có hàng trăm ảnh chụp thứ gì trên màn hình máy tính và lưu ảnh chụp vị trí ẩn trên ổ đĩa cứng hệ thống Spector có thể phát và loại bỏ bở phần mềm chống Spector eBlaster là phần mềm gián điệp internet để chụp các email gửi đến và gửi đi, và chuyển chúng đến địa email Eblaster có thể chụp hai mặt hội thoại nhắn tin tức thời (Instant Messenger), thực tổ hợp phím đăng nhập và các trang web truy cập thường xuyên Spyanywhere là công cụ cho phép bạn xem các hoạt động hệ thống và hành động người sử dụng, tắt/khởi động lại máy, khóa/đóng băng, và trình duyệt gỡ bỏ tập tin hệ thống Spyanywhere cho phép bạn kiểm soát chương trình mở và đóng cửa sổ trên hệ thống từ xa và xem lịch sử internet và các thông tin liên quan Kkeylogger là phần mềm gián điệp hiệu suất cao, trình điều khiển thiết bị ảo, chạy âm thầm mức thấp hệ điều hành Windows 95/98/ME Tất các tổ hợp phím ghi lại tập tin Email keylogger là phần mềm ghi lại tất các email gửi và nhận trên hệ thống Mục tiêu các hacker là có thể xem người gửi, người nhận, chủ đề, và thời gian/ngày… nội dung email và file đính kèm ghi lại (25) Phần 4: Hiding Files Một hacker có thể muốn che dấu các tập tin trên hệ thống, để ngăn chặn bị phát hiện, sau đó có thể dùng để khởi động công khác trên hệ thống Có hai cách để ẩn các tập tin Windows Đầu tiên là sử dụng lệnh attrib Để ẩn tập tin với lệnh attrib, gõ sau dấu nhắc lệnh: attrib +h [file/directory] Cách thứ hai để ẩn tập tin Windows là với luồng liệu xen kẽ NTFS (alternate data streaming - ADS) NTFS File Streaming NTFS sử dụng Windows NT, 2000, và XP có tính gọi là ADS cho phép liệu lưu trữ các tập tin liên kết ẩn cách bình thường, có thể nhìn thấy tập tin Streams không giới hạn kích thước, stream có thể liên kết đến file bình thường Để tạo và kiểm tra NTFS file stream, ta thực các bước sau: Tại dòng lệnh, nhập vào notepad test.txt Đặt số liệu tập tin, lưu tập tin, và đóng notepad Tại dòng lệnh, nhập dir test.txt và lưu ý kích thước tập tin Tại dòng lệnh, nhập vào notepad test.txt:hidden.txt thay đổi số nội dung vào Notepad, lưu các tập tin, và đóng nó lại Kiểm tra kích thước tập tin lại (giống bước 3) Mở lại test.txt bạn nhìn thấy liệu ban đầu Nhập type test.txt:hidden.txt dòng lệnh thông báo lỗi hiển thị “The filename, directory name, or volume label syntax is incorrect.” Hacking Tools Makestrm.exe là tiện ích chuyển liệu từ tập tin vào tập tin liên kết ADS và thay liên kết với các tập tin ban đầu NTFS File Streaming Countermeasures Để xóa stream file, đầu tiên là copy nó đến phân vùng FAT, và sau đó cpoy nó trởvào phân vùng NTFS Stream bị tập tin chuyển đến phân vùng FAT, vì nó có tính phân vùng NTFS và đó tồn trên phân vùng NTFS (26) Countermeasure Tools Bạn có thể sử dụng LNS.exe để phát Stream LNS báo cáo tồn và vị trí file chứa liệu stream Steganography Technologies Steganography là quá trình giấu liệu các loại liệu khác hình ảnh hay tập tin văn Các phương pháp phổ biến liệu ẩn các tập tin là sử dụng hình ảnh đồ họa là nơi để cất giấu Kẻ công có thể nhúng các thông tin tập tin hình ảnh cách sử dụng steganography Các hacker có thể ẩn các dẫn thực bom, số bí mật tài khoản ngân hàng Hành động có thể ẩn hình ảnh Đối với file hình ảnh JGP, có thuật toán gọi là Disrete Sosine Transform (DCT) để mã hóa, nén thêm liệu ẩn vào file Thuật toán này tính công thức sau: Hacking Tools Imagehide là chương trình steganography, nó giấu số lượng lớn văn hình ảnh Ngay sau thêm liệu,vẫn không có gia tăng kích thước hình ảnh, hình ảnh trông giống chương trình đồ họa bình thường Nó nạp và lưu các tập tin và đó là có thể tránh nghe lén Blindside là ứng dụng steganography mà giấu thông tin bên ảnh BMP (bitmap) Đó là tiện ích dòng lệnh (27) MP3stego giấu thông tin file mp3 quá trình nén Dữ liệu nén, mã hóa, và chúng ẩn các dòng bit MP3 Snow là chương trình whitespace steganography có nghĩa là che giấu thông điệp ASCII text, cách phụ thêm các khoảng trắng cuối file Vì spaces and tabs không thể nhìn thấy người xem văn Nếu sử dụng thuật toán mã hóa, tin nhắn không thể đọc nó bị phát Camera/shy làm việc với Window và trình duyệt Internet Explorer, cho phép người dùng chia sẻ tìm kiểm thông tin nhạy cảm lưu giữ hình ảnh GIF thường Stealth là công cụ lọc, cho các tập tin PGP Nó loại bỏ thông tin nhận dạng từ tiêu đề, sau đó các tập tin có thể sử dụng cho steganography Chống lại Steganography Steganography có thể phát số chương trình, mặc dù làm là khó khăn Bướcđầu tiên việc phát là để xác định vị trí các tập tin với các văn ẩn, có thể thực cách phân tích các mẫu các hình ảnh và thay đổi bảng màu Countermeasure Tools Stegdetect là công cụ tự động để phát nội dung steganographic hình ảnh Dskprobe là công cụ trên đĩa CD cài đặt Windows 2000 Nó là quét đĩa cứng cấp độ thấp có thể phát steganography Phần 5: Cover Your Tracks & Erase Evidence Cover Your Tracks & Erase Evidence: Che dấu thông tin và xóa bỏ dấu vết Một kẻ xâm nhập thành công, đã đạt quyền truy cập quản trị viên trên hệ thống, cố gắng để che dấu vết chúng để ngăn chặn bị phát Một hacker có thể cố gắng để loại bỏ các chứng các hoạt động họ trên hệ thống, để ngăn ngừa truy tìm danh tính vị trí quan hacker Xóa thông báo lỗi các kiện an ninh đã lưu lại, để tránh phát (28) Trong các phần sau đây, chúng tôi xem xét việc vô hiệu hóa kiểm toán (auditing) và xóa bỏ các ghi kiện (event log), đó là hai phương pháp sử dụng hacker để bao bọc dấu vết và tránh bị phát Auditing là tính ghi lại Event Log Windows Event Viewer là chương trình dùng để quản lý Auditing trên windows Vô hiệu hóa Auditing Những việc làm đầu tiên kẻ xâm nhập sau giành quyền quản trị là vô hiệu hóa auditing Auditing Windows ghi lại tất các kiện định Windows Event Viewer Sự kiện có thể bao gồm đăng nhập vào hệ thống, ứng dụng, kiện Một quản trị viên có thể chọn mức độ ghi nhật ký trên hệ thống Hacker cần xác định mức độ ghi nhật ký để xem liệu họ cần làm gì để xóa dấu vết trên hệ thống Hacking tools auditPol là công cụ có Win NT dành cho các quản trị tài nguyên hệ thống Công cụ này có thể vô hiệu hóa kích hoạt tính kiểm toán từ cửa sổ dòng lệnh Nó có thể sử dụng để xác định mức độ ghi nhật ký thực quản trị viên hệ thống Xóa Nhật Ký Xự Kiện Những kẻ xâm nhập có thể dễ dàng xóa bỏ các ghi bảo mật Windows Event Viewer Một ghi kiện có chứa một vài kiện là đáng ngờ vì nó thường cho thấy các kiện khác đã bị xóa Vẫn còn cần thiết để xóa các ghi kiện sau tắt Auditing, vì sử dụng công cụ AuditPol thì còn kiện ghi nhận việc tắt tính Auditing Hacking Tools Một số công dụ để xóa các ghi kiện, hacker có thể thực tay Windows Event Viewer Tiện ích elsave.exe là công cụ đơn giản để xóa các ghi kiện Winzapper là công cụ mà kẻ công có thể sử dụng để xóa các ghi kiện, chọn lọc từ các cửa sổ đăng nhập bảo mật năm 2000 Winzapper đảm bảo không có kiện bảo mật lưu lại chương trình chạy Evidence Eliminator là trình xóa liệu trên máy tính Windows Nó ngăn ngừa (29) không cho liệu trở thành file ẩn vĩnh viễn trên hệ thống Nó làm thùng rác, nhớ cache internet, hệ thống tập tin, thư mục temp… Evidence Eliminator có thể hacker sử dụng để loại bỏ các chứng từ hệ thống sau công Tổng Kết Hiểu tầm quan trọng bảo mật mật Thực thay đổi mật khoảng thời gian nào đó, mật nào là mạnh, và các biện pháp bảo mật khác là quan trọng an ninh mạng Biết các loại công mật khác Passive online bao gồm sniffing, man-in-themiddle, và replay Active online bao gồm đoán mật tự động Offline attacks bao gồm dictionary, hybrid, và brute force Nonelectronic bao gồm surfing, keyboard sniffing, và social engineering Biết làm nào để có chứng activite hacking là loại bỏ kẻ công Xoá ghi kiện và vô hiệu hoá phương pháp kiểm tra kẻ công sử dụng để che dấu vết chúng Nhận các tập tin ẩn là phương tiện sử dụng để lấy thông tin nhạy cảm Steganography, NTFS File, và các lệnh attrib là cách tin tặc có thể ẩn và ăn cắp các tập tin (30)