TRƯỜNG ĐẠI HỌC SÀI GÒN CHƯƠNG 2: CÁC MỐI ĐE DỌA VÀ LỖ HỔNG TRÊN HỆ THỐNG MẠNG GV: ThS Lương Minh Huấn huanlm@sgu.edu.vn NỘI DUNG I Các mối đe dọa hệ thống II Các lỗ hổng hệ thống mạng III Một số vấn đề quản lý an tồn thơng tin I CÁC MỐI ĐE DỌA TRÊN HỆ THỐNG ➢Tổng quan mối đe dọa ➢Xu hướng hành vi công ➢Nguồn gốc nguyên nhân mối đe dọa I.1 TỔNG QUAN CÁC MỐI ĐE DỌA ➢Mối đe dọa (threat): Mối đe dọa hành động gây hư hại đến tài nguyên hệ thống (gồm phần cứng, phần mềm, CSDL, file, liệu, hạ tầng mạng vật lý,…) ➢Tấn công (Attack): thực thi nguy ▪ Thường lợi dụng, khai thác lỗ hổng ▪ Kẻ cơng ai? Kẻ cơng có gì? ➢Độ rủi ro (Risk): xác suất hệ thống bị tổn hại mối đe dọa I.1 TỔNG QUAN CÁC MỐI ĐE DỌA ➢Thơng thường, có mối đe dọa an toàn mạng: ▪ Chặn bắt (Interception): thành phần khơng phép truy cập đến dịch vụ hay liệu, “nghe trộm” thông tin truyền ▪ Đứt đoạn (Interruption): mối đe dọa mà làm cho dịch vụ hay liệu bị mát, bị hỏng, dùng nữa… ▪ Thay đổi (Modification): tượng thay đổi liệu hay can thiệp vào dịch vụ làm cho chúng khơng cịn giữ đặc tính ban đầu ▪ Giả mạo (Fabrication): tượng thêm vào liệu ban đầu liệu hay hoạt động đặc biệt mà nhận biết để ăn cắp liệu hệ thống I.1 TỔNG QUAN CÁC MỐI ĐE DỌA ➢Đối tượng công mạng ▪ Là đối tượng sử dụng kỹ thuật mạng để dị tìm lỗ hổng bảo mật hệ thống để thực xâm nhập chiếm đoạt thông tin bất hợp pháp ➢Các kỹ thuật công: ▪ Nghe ▪ DoS ▪ Giả mạo ▪ … I.1 TỔNG QUAN CÁC MỐI ĐE DỌA ➢Các đối tượng công mạng: ▪ Hacker: Xâm nhập vào mạng trái phép cách sử dụng công cụ phá mật khai thác điểm yếu hệ thống ▪ Masquerader: Giả mạo thông tin, địa IP, tên miền, định danh người dùng… ▪ Eavesdropping: Là đối tượng nghe trộm thông tin mạng để lấy cắp thông tin I.1 TỔNG QUAN CÁC MỐI ĐE DỌA I.1 TỔNG QUAN CÁC MỐI ĐE DỌA ➢Thông thường, hacker công theo kịch sau: ➢Các giai đoạn thực cơng: ▪ Chuẩn bị cơng • Thăm dị thơng tin • Qt, rà sốt hệ thống ▪ Thực thi cơng • Giành quyền truy cập • Duy trì truy cập ▪ Xóa dấu vết I.1 TỔNG QUAN CÁC MỐI ĐE DỌA ➢Kịch công III.5.2 LUẬT QUỐC TẾ VỀ ATTT ➢Luật xuất chống gián điệp: hạn chế việc xuất công nghệ hệ thống xử lý thơng tin phịng chống gián điệp kinh tế; ▪ Economic Espionage Act, 1996: phịng chống việc thực giao dịch có liên quan đến bí mật kinh tế cơng nghệ; ▪ Security and Freedom through Encryption Act, 1999: quy định vấn đề có liên quan đến sử dụng mã hóa đảm bảo an tồn tự thơng tin III.5.2 LUẬT QUỐC TẾ VỀ ATTT ▪ U.S Copyright Law: Luật quyền Mỹ • Điều chỉnh vấn đề có liên quan đến xuất bản, quyền tác giả tài liệu, phần mềm, bao gồm tài liệu số ▪ Luật tự thông tin (Freedom of Information Act, 1966 (FOIA)): Các cá nhân truy nhập thông tin không gây tổn hại đến an ninh quốc gia III.5.2 LUẬT QUỐC TẾ VỀ ATTT ➢Các tổ chức luật quốc tế: ▪ Hội đồng châu Âu chống tội phạm mạng (Council of Europe Convention on Cybercrime): Hiệp ước chống tội phạm mạng Hội đồng châu Âu phê chuẩn vào năm 2001; ▪ Hiệp ước bảo vệ quyền sở hữu trí tuệ (Agreement on Trade-Related Aspects of Intellectual Property Rights (TRIPS)): Tổ chức Thương mại giới WTO chủ trì đàm phán giai đoạn 1986– 1994; ▪ Digital Millennium Copyright Act (DMCA): luật quyền số Thiên niên kỷ III.5.3 LUẬT AN NINH MẠNG Ở VN ➢Luật an ninh mạng Việt Nam thức có hiệu lực từ ngày 1/1/2019 ➢Với chương, 43 điều, Luật An ninh mạng quy định hoạt động bảo vệ an ninh quốc gia, bảo đảm trật tự, an toàn xã hội khơng gian mạng, bên cạnh trách nhiệm quan, tổ chức, cá nhân có liên quan III.5.3 LUẬT AN NINH MẠNG Ở VN ➢Các hành vi bị nghiêm cấm Luật An ninh mạng bắt đầu có hiệu lực: ▪ Sử dụng khơng gian mạng để thực hành vi: a Tuyên truyền chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam b Tổ chức, hoạt động, cấu kết, xúi giục, mua chuộc, lừa gạt, lôi kéo, đào tạo, huấn luyện người chống Nhà nước Cộng hòa xã hội chủ nghĩa Việt Nam c Xuyên tạc lịch sử, phủ nhận thành tựu cách mạng, phá hoại khối đại đoàn kết toàn dân tộc, xúc phạm tôn giáo, phân biệt đối xử giới, phân biệt chủng tộc III.5.3 LUẬT AN NINH MẠNG Ở VN d Thông tin sai thật gây hoang mang nhân dân, gây thiệt hại cho hoạt động kinh tế - xã hội, gây khó khăn cho hoạt động quan nhà nước người thi hành cơng vụ, xâm phạm quyền lợi ích hợp pháp tổ chức, cá nhân khác e Hoạt động mại dâm, tệ nạn xã hội, mua bán người; đăng tải thông tin dâm ô, đồi trụy, tội ác; phá hoại phong, mỹ tục dân tộc, đạo đức xã hội, sức khỏe cộng đồng f Xúi giục, lơi kéo, kích động người khác phạm tội III.5.3 LUẬT AN NINH MẠNG Ở VN ▪ Thực công mạng, khủng bố mạng, gián điệp mạng, tội phạm mạng; gây cố, công, xâm nhập, chiếm quyền điều khiển, làm sai lệch, gián đoạn, ngưng trệ, tê liệt phá hoại hệ thống thông tin quan trọng an ninh quốc gia ▪ Sản xuất, đưa vào sử dụng cơng cụ, phương tiện, phần mềm có hành vi cản trở, gây rối loạn hoạt động mạng máy tính, mạng viễn thơng; phát tán chương trình tin học gây hại cho hoạt động mạng máy tính, mạng viễn thơng, phương tiện điện tử; xâm nhập trái phép vào mạng máy tính, mạng viễn thơng phương tiện điện tử người khác III.5.3 LUẬT AN NINH MẠNG Ở VN ▪ Chống lại cản trở hoạt động lực lượng bảo vệ an ninh mạng; cơng, vơ hiệu hóa trái pháp luật làm tác dụng biện pháp bảo vệ an ninh mạng ▪ Lợi dụng lạm dụng hoạt động bảo vệ an ninh mạng để xâm phạm chủ quyền, lợi ích, an ninh quốc gia, trật tự, an toàn xã hội, quyền lợi ích hợp pháp tổ chức, cá nhân để trục lợi ➢Ngoài nội dung kể trên, Luật An ninh mạng nghiêm cấm hành vi khác vi phạm quy định Luật III.5.4 VẤN ĐỀ ĐẠO ĐỨC ATTT ➢Bộ Quy tắc ứng xử 10 điểm (Ten Commandments of Computer Ethics) đề xuất Viện đạo đức máy tính (Mỹ): Khơng sử dụng máy tính để gây hại cho người khác; Không can thiệp vào công việc người khác máy tính; Khơng trộm cắp files máy tính người khác; Khơng sử dụng máy tính để trộm cắp; Khơng sử dụng máy tính để tạo chứng giả; Khơng chép sử dụng phần mềm khơng có quyền; III.5.4 VẤN ĐỀ ĐẠO ĐỨC ATTT Không sử dụng tài nguyên máy tính người khác khơng phép khơng có bồi thường thỏa đáng; Khơng chiếm đoạn tài sản trí tuệ người khác; Nên suy nghĩ hậu xã hội chương trình xây dựng hệ thống thiết kế; 10 Nên sử dụng máy tính cách có trách nhiệm, đảm bảo quan tâm tơn trọng đến đồng bào III.5.4 VẤN ĐỀ ĐẠO ĐỨC ATTT ➢Sự khác biệt vấn đề đạo đức văn hóa: ▪ Nhận thức vấn đề đạo đức sử dụng kkhác biệt quốc gia có văn hóa khác nhau; ▪ Trong nhiều hợp, hành vi phép số cá nhân quốc gia lại vi phạm quy tắc đạo đức quốc gia khác; • VD: Tỷ lệ vi phạm quyền phần mềm nước tiên tiến Mỹ châu Âu tương đối thấp, cao nước châu Á • Tỷ lệ vi phạm quyền phần mềm Việt Nam khoảng 90% III.5.4 VẤN ĐỀ ĐẠO ĐỨC ATTT ➢Vấn đề vi phạm quyền phần mềm: ▪ Vấn đề vi phạm quyền phần mềm nghiêm trọng, đặc biệt nước phát triển châu Á châu Phi; ▪ Người dùng đa số có hiểu biết vấn đề quyền phần mềm, coi việc sử dụng phần mềm bất hợp pháp bình thường nhiều nước chưa có quy định khơng xử lý nghiêm vi phạm III.5.4 VẤN ĐỀ ĐẠO ĐỨC ATTT ➢Vấn đề lạm dụng tài nguyên công ty, tổ chức: ▪ Một số cơng ty/tổ chức chưa có quy định cấm nhân viên sử dụng tài nguyên công ty, tổ chức vào việc riêng Một số có quy định chưa thực thi chặt chẽ chưa có chế tài xử phạt nghiêm minh; ▪ Các hành vi lạm dụng thường gặp: • In ấn tài liệu riêng; • Sử dụng email cá nhân cho việc riêng; • Tải tài liệu/files khơng phép; III.5.4 VẤN ĐỀ ĐẠO ĐỨC ATTT • Cài đặt chạy chương trình/phần mềm khơng phép; • Sử dụng máy tính cơng ty làm việc riêng; • Sử dụng loại phương tiện làm việc khác điện thoại công ty mức vào việc riêng; ... ➢ Các đe dọa/nguy với vùng người dùng: ▪ Thiếu ý thức vấn đề an ninh an toàn ▪ Coi nhẹ sách an ninh an tồn ▪ Vi phạm sách an ninh an tồn ▪ Đưa CD/DVD/USB với files cá nhân vào hệ thống ▪ Tải... dùng (User domain) Vùng máy trạm (Workstation domain) Vùng mạng LAN (LAN domain) Vùng LAN-to-WAN (LAN-to-WAN domain) Vùng WAN (WAN domain) Vùng truy nhập từ xa (Remote Access domain) Vùng hệ thống/ứng... http://www.darkreading.com/cloud/cybercrime-a-black-marketpricelist-from-the-dark-web/d/d-id/1 324 895?image_number=1 I .2 XU HƯỚNG CÁC HÀNH VI TẤN CÔNG ➢Mở rộng hành vi đánh cắp thơng tin cá nhân ➢Tình báo ➢Trở thành vấn đề an ninh quốc gia: ▪ Kiểm duyệt ▪ Tình báo ▪ Chiến tranh mạng I.2