vùng dữ liệu quan trọng (thƣờng bao gồm nơi chứa mã thực thi và vị trí các thƣ viện, heap và stack) một cách ngẫu nhiên trong không gian địa chỉ một tiến trình.
Việc ngẫu nhiên hóa các địa chỉ bộ nhớ ảo của các hàm và biến sẽ làm cho việc khai thác lỗi tràn bộ đệm trở nên khó khăn hơn. Nó còn buộc kẻ tấn công phải điều chỉnh lại các khai thác sao cho hợp với từng hệ thống cụ thể.
+ Deep Packet Inspection (DPI):
Kỹ thuật này có thể phát hiện khai thác lỗi tràn bộ đệm từ xa đến biên của mạng. Nó có khả năng chặn các gói tin có chứa các tín hiệu của một vụ tấn công đã biết hoặc chứa một chuỗi dài các lệnh NOP (No-Operation - (NOP - lệnh rỗng không làm gì).
Tuy nhiên, việc kiểm tra các gói tin không phải là một phƣơng pháp hiệu quả vì Hacker có thể sử dụng mã alphanumeric, metamorphic và shellcode tự sửa để mã hóa các gói tin nhằm tránh bị phát hiện.
2.4. Tổng kết phƣơng thức khai thác lỗ hổng bảo mật để tấn công hệ thống máy tính máy tính
- Thu thập thông tin về mục tiêu:
Thu thập thông tin là những bƣớc quan trọng nhất và không thể thiếu đƣợc để ngƣời tấn công phân tích thông tin về mục tiêu, nó là quá trình tìm hiểu sơ lƣợc những thông tin bảo mật của một tổ chức, đơn vị hay một mục tiêu an ninh – quân sự nào đó: nhƣ mục tiêu đang kết nối mạng theo dạng nào (Internet, Intranet, Extranet, hay Wireless). Chính sách bảo mật của mục tiêu đó ra sao. Quá trình thu thập ta cần lấy đƣợc các thông tin sau: tên Domain, vị trí liên hệ (điện thoại hoặc email), địa chỉ IP, DSN; các thông tin về ngƣời đăng ký Domain và đăng ký thông qua dịch vụ nào, thông tin các nhân của admin; xác định ISP, server, phân tích đƣờng mạng,...
- Quét thăm dò mục tiêu:
Thăm dò mục tiêu là một bƣớc quan trọng để biết những thông tin về hệ thống mục tiêu. Ở bƣớc này, ngƣời tấn công cần khám phá: hệ thống mục tiêu đang chạy trên hệ điều hành nào, có bao nhiêu dịch vụ đang chạy, cổng dịch vụ đóng và cổng (port) nào đang
mở. Trong quét thăm dò ta cũng cần lấy địa chỉ IP thực, kiến trúc hệ thống mạng của hệ thống mục tiêu, các điểm yếu của máy chủ mục tiêu.
Có ba phƣơng pháp quét thông dụng, đó là:
+ Quét cổng (Port): kỹ thuật này sử dụng một dãy thông điệp gửi đến hệ thống mục tiêu nhằm phát hiện các dịch vụ đang chạy trên hệ thống đó. Mỗi dịch vụ khi chạy sẽ có số cổng tƣơng ứng đặc trƣng.
+ Quét mạng: kỹ thuật này sử dụng một thủ tục nhận dạng các host đang hoạt động trong mạng để phát hiện ra các chính sách bảo mật đang áp dụng trên hệ thống mục tiêu.
+ Quét các điểm yếu trên hệ thống mục tiêu: đây là quá trình để khám phá ra hệ thống mạng mục tiêu đang sử dụng bức tƣờng lửa dạng nào, từ đó tìm ra các điểm yếu dựa vào đặc điểm của tƣờng lửa đang sử dụng.
- Thống kê mục tiêu:
Thống kê thông tin là quá trình thực hiện các kết nối đến hệ thống mục tiêu và truy vấn trực tiếp. Đây là bƣớc tấn công cần thu thập các thông tin: Tài nguyên mạng, dữ liệu chia sẻ, ngƣời dùng, nhóm ngƣời dùng và các ứng dụng trên hệ thống mục tiêu; phát hiện những điểm yếu và lỗ hổng của mục tiêu, từ đó thực hiện việc thâm nhập và tấn công.
- Tấn công hệ thống và xóa dấu vêt:
Ngƣời tấn công sử dụng một phƣơng thức hoặc kết hợp tổng hợp nhiều phƣơng thức để tấn công, và sẽ thực hiện các bƣớc sau:
+ Thống kê các tài khoản ngƣời dùng.
+ Bẻ khóa mật khẩu: tìm mật khẩu của tài khoản và gán quyền truy cập đến hệ thống. + Leo thang đặc quyền: từng bƣớc chiếm quyền admin của hệ thống.
+ Thực hiện ứng dụng: cài đặt các ứng dụng theo dõi nhƣ phần mềm gián điệp, keylogger trên máy tính nạn nhân.
+ Ẩn tệp tin: sử dụng mã hóa hoặc phƣơng pháp tạo mặt nạ ẩn các tập hack, mã nguồn. + Xóa các dấu vết hệ thống mà ngƣời tấn công đã xâm nhập.
Chƣơng 3:
MỘT SỐ GIẢI PHÁP ĐẢM BẢO AN NINH CHO HỆ THỐNG MÁY TÍNH