Các nguy cơ xảy ra có thể là do nguyên nhân khách quan hoặc do chủ quan của con người. Các nguyên nhân do khách quan mang lại được gọi là các thảm họa
(Disaster) là các sự cố xảy ra đột ngột không lường trước, có thể là các thiên tai như động đất, núi lửa, sóng thần… hoặc cũng có thể là do con người gây nên như là hỏa hoạn, mất điện hay sụp đổ hệ thống. Các thảm họa đến ngẫu nhiên và không thể ngăn cản được vì vậy phải tiến hành công tác dự báo và phải có các chiến lược phục hồi sau thảm họa. Còn các nguyên nhân chủ quan chính là các hành vi tấn công. Tấn công là các hành vi nhằm phá hoại mục tiêu CIA. Tấn công thường xảy ra hơn và cũng khó đối phó hơn vì hình thức thay đổi liên tục, để đối phó được thì cần phải hiểu được các kĩ thuật được sử dụng để tấn công ở mục này tôi sẽ trình bày chi tiết về các kĩ thuật tấn công thường gặp.
Phân loại tấn công
Các loại tấn công được phân làm 3 loại chính:
• Social Engineering Attacks : kẻ tấn công lợi dụng sự bất cẩn hay sự cả tin của những người trong công ty để lấy được thông tin xác nhận quyền truy nhập của user và có thể truy nhập hê thống vào bằng thông tin đó.
• Software Attacks: loại này nhằm vào các ứng dụng ( applications), hệ điều hành ( OS) và các giao thức ( protocols). Mục đích là để phá hủy hay vô hiệu hóa các ứng dụng, hệ điều hành hay các giao thức đang chạy trên các máy tính, để đạt được quyền truy nhập vào hệ thống và khai thác thông tin. Loại tấn công này có dùng độc lập hoặc kết hợp với 1 số loại khác.
• Hardware Attacks: nhằm vào ổ cứng, bo mạch chủ, CPU, cáp mạng …mục đích là để phá hủy phần cứng vô hiệu hóa phần mềm, là cơ sở cho tấn công từ chối dịch vụ (DoS).
Các kĩ thuật tấn công thường gặp
Các kĩ thuật tấn nguy hiểm và thường gặp nhất là tấn công nhằm vào phần mềm (Software Attacks) cụ thể như sau:
1. Tấn công quét cổng (Port Scanning Attacks)
- Kẻ tấn công theo dõi máy tính và các thiết bị kết nối đi ra Internet và tìm xem cổng TCP hay UDP nào đang trao đổi thông tin và dịch vụ nào đang hoạt động.
- Ta có thể giám sát được các máy ở bên ngoài bị quét cổng ở trên hệ thống của mình - Tấn công này là bước đầu tiên để xác định điểm yếu của hệ thống
- Một số công cụ để thực hiện: Supper Scan, Nmap, Strobe
2. Tấn công nghe trộm (Eavesdropping Attacks) còn được gọi là đánh hơi (sniffing) - Kẻ tấn công cố gắng truy nhập vào các cuộc trao đổi thông tin có tính chất riêng
tư bằng các thiết bị chuyên dụng để ăn cắp thông tin về nội dung cuộc trao đổi hay ăn cắp username & password
- Có thể thực hiện bằng các đường dây liên lạc thông thường hay các tuyến thông tin không dây.
- Các công cụ thực hiện là: Dsniff, Ethereal, Ettercap
3. Tấn công giả mạo địa chỉ IP (IP Spoofing Attacks):
Kẻ tấn công tạo ra các gói tin IP với điạ chỉ IP là giả mạo và sử dụng các gói tin đó nhằm đạt được quyền truy nhập vào các hệ thống ở xa. Kĩ thuật này dựa trên cơ sở:
Các ứng dụng và dịch vụ được xác thực dự trên địa chỉ IP nguồn Các thiết bị chạy Sun RPC, X Windows
Các dịch vụ đã được bảo mật sử dụng giao thức TCP Network File System (NFS), UNIX Rlogin command
4. Tấn công chiếm đoạt quyền điều khiển (Hijacking Attacks):
Kẻ tấn công dành lấy quyền điều khiển các phiên TCP (sau thủ tục xác thực khi bắt đầu mỗi phiên) để đạt được quyền truy nhập vào dữ liệu hay tài nguyên của mạng với danh nghĩa là người sử dụng hợp lệ.
5. Tấn công truyền lại (Replay Attacks)
- Kẻ tấn công bắt giữ các gói tin trên mạng sau đó lưu và truyền lại để đạt được quyền truy nhập vào 1 host hay 1 mạng nào đó.
- Phương pháp tấn công này sẽ thành công nếu các kẻ tấn công bắt giữ được các gói tin mang Username & Password hay các thông tin xác thực khác.
- Replay Attack khác với Eavesdropping vì tấn công nghe lỏm chỉ lắng nghe nội dung thông tin chứ không lưu lại các gói tin để truyền lại.
6. Tấn công kẻ trung gian (Man-in-Middle Attacks)
- Kẻ tấn công chen ngang vào giữa 2 bên đang trao đổi thông tin để truy nhập được vào cuộc trao đổi đó
- Kẻ tấn công giả dạng là bên gửi và bên nhận thông tin khi trao đổi giữa Client & Server
A
Attackerttacker ClientClient Server Server (1)chặn các gói tin (1)chặn các gói tin từ Client từ Client (2) gửi các thông (2) gửi các thông
báo trả lời giả
báo trả lời giả
mạo cho client
mạo cho client
(3) gửi các gói
(3) gửi các gói
tin giả mạo cho
tin giả mạo cho
Server Server (4)trả lời cho kẻ (4)trả lời cho kẻ tấn công tấn công (5) giả dạng làm (5) giả dạng làm
client trả lời cho
client trả lời cho
server
Hình 1.13.Tấn công kẻ trung gian
Máy tính trung gian mạo danh là máy chủ khi giao tiếp với máy trạm và mạo danh là máy trạm khi giao tiếp với máy chủ .Điều này cho phép cho máy trung gian ghi lại hết được nội dung trao đổi giũa máy trạm và máy chủ.
7. Tấn công từ chối dịch vụ (Denial of Services): được chia làm hai loại là DoS và DDoS
DoS attacks: kẻ tấn công cố tình làm sập các hệ thống cung cấp các dịch vụ mạng bằng cách:
- Làm nghẽn các đường link của hệ thống bằng dồn vào đó nhiều data hơn hẳn khả năng truyền tải có thể
- Gửi dữ liệu để khai thác các lỗ hổng trong 1 ứng dụng
- Chi phối các tài nguyên của 1 hệ thống đến mức mà nó phải shuts down
DDoS Attacks: Kẻ tấn công dành được quyền điều khiển hay thao túng được nhiều máy tính trên các mạng khác nhau nằm phân tán để thực hiện 1 tấn công DoS.
8. Tấn công sử dụng mã nguồn độc (Malicious Code Attacks):
Kẻ tấn công đưa các đoạn mã nguồn độc vào hệ thống của người sử dụng để phá hỏng hay vô hiệu hóa hệ điều hành hay các ứng dụng. Một số loại mã nguồn độc:
- Virus: Là 1 đoạn mã nguồn có khả năng lây lan từ máy này sang máy khác bằng cách gắn vào các file, khi truyền các file có gắn thêm các đoạn mã độc này giữa các máy làm cho virus lây lan ,tính năng của nó là lây lan và phá hủy
- Worm (Sâu): cũng là 1 đoạn mã nguồn có khả năng lây lan từ máy này sang máy khác nhưng tự nó sao chép và lây lan chứ không cần vật kí sinh là các file như virus. Sâu có thể phá hủy và xóa các file trên ổ cứng.
- Trojan: Là 1loại mã nguồn độc nhưng nó lại có khả năng giả vờ như vô hại bằng cách cải trang thành các file như bình thường để chống lại sự để ý của các phần mềm diệt virus. Khi hoạt động nó cũng có thể phá hủy các file trên ổ cứng.
- Logic Bomb: Là 1 đoạn mã nguồn độc nằm chờ trên máy tính cho đến khi nó bị kích hoạt bằng 1 sự kiện đặc biệt và nó có thể phá hủy hoặc xóa dữ liệu trên máy tính.
9. Tấn công chống lại cấu hình bảo mật mặc định (Attacks Against Default Security Configuration) thường là như sau:
- Kẻ tấn công truy nhập vào máy tính để phá hủy hoạt động của máy tính bằng cách khai thác các lỗ hổng trong công tác bảo mật của hệ điều hành.
- Dựa trên các điểm yếu trong các cấu hình mặc định của hệ điều hành.
10. Tấn công khai thác phần mềm (Software Exploitation Attacks):
Kẻ tấn công truy nhập vào hệ thống hay các dữ liệu nhạy cảm bằng cách khai thác các điểm yếu hay tính năng của ứng dụng.
11. Tấn công ăn cắp password(Password Attacks):
Kẻ tấn công cố gắng đoán biết password hay tìm cách phá file mật khẩu được mã hóa.
12. Backdoor Attacks:
Kẻ tấn công truy nhập vào hệ thống bằng cách sử dụng 1 chương trình phần mềm nhỏ hỗ trợ hay bằng cách tạo ra 1 user giả (không tồn tại)
13. Tấn công tiếp quản (Takeover Attack):
Kẻ tấn công truy nhập được vào hệ thống ở xa và dành được quyền kiểm soát hệ thống đó bằng cách sử dụng các phương pháp tấn công ở trên.
Nhận dạng tấn công xảy ra trên các lớp của mô hình TCP/IP a. Nhận dạng tấn công ở lớp giao diện mạng
Ở lớp giao diện mạng, các gói tin được truyền trên các dây dẫn được gọi là các khung (frames), trong 1 gói tin gồm có 3 trường: phần mào đầu (the header), phần tải trọng (payload) , và phần kiểm tra lỗi (FCS), vì lớp giao diện mạng được dùng để trao đổi thông tin trên trong mạng nội bộ nên tấn công ở lớp này cũng xảy ra trong mạng nội bộ (local network). Sau đây là 1 số phương pháp sử dụng để xâm hại đến mục tiêu CIA.
Phần mào đầu có chứa địa chỉ MAC của cả máy nguồn và máy đích, và đó là điều kiện để gói tin được truyền thành công từ nguồn đến đích. Kẻ tấn công có thể dễ dàng làm giả địa chỉ MAC của 1 máy khác. Và mọi cơ chế an ninh dựa trên địa chỉ MAC đều có thể bị làm hại bởi loại tấn công này.
• Từ chối dịch vụ (Denial of service)
Một tấn công từ chối dịch vụ làm cho 1 hệ thống bị quá tải vượt xa khả năng mà dịch vụ của nó có thể đáp ứng. Một tấn công sử dụng giao thức ARP có thể làm cho 1 máy tính bị chìm ngập trong các bản tin broadcast và sẽ làm cho máy tính mất đi khả năng sẵn sàng phục vụ của mục tiêu CIA triad
• Phá hoại bộ nhớ đệm (ARP cache poisoning)
Bộ đệm ARP cất giữ địa chỉ MAC của máy tính trong mạng nội bộ, nếu thông tin trong nó bị sai lệch hoặc giả mạo thì máy tính sẽ không thế gửi gói tin đến đích một cách chính xác được.
b. Nhận dạng tấn công ở lớp Internet
Tại lớp Internet, gói tin IP được tạo ra, nó gồm có 2 trường là phần mào đầu và phần tải trọng. Sau đây là một số phương pháp có thể được sử dụng để làm tổn hại đến mục tiêu CIA:
• Giả mạo địa chỉ IP (IP address spoofing)
Nếu biết trường mào đầu và độ dài của địa chỉ IP, thì địa chỉ IP có thể dễ dàng bị phát hiện và giả mạo. Và mọi cơ chể bảo mật dựa trên địa chỉ IP nguồn có thẻ bị xâm hại.
• Tấn công kẻ trung gian (Man-in-the-middle attacks)
Loại tấn công này xảy ra khi kẻ tấn công đặt mình ở giữa máy nguồn và máy đích theo một cách nào đó mà cả 2 không thể biết được. Trong khi đó kẻ tấn công có thể chỉnh sửa và xem được nội dung các gói tin trao đổi của cả hai bên.
• Tấn công từ chối dịch vụ (DoS)
Ở lớp này tấn công từ chối dịch vụ có thể sử dụng các giao thức ở lớp IP để làm quá tải khả năng xử lý của máy tính, do đó phá hoại mục tiêu CIA.
• Làm sai lệch khả năng tái hợp của các cấu trúc khung bị phân mảnh (Incorrect reassembly of fragmented datagrams)
Đối với các khung tin bị phân mảnh, trường Offset được sử dụng để tái hợp lại các gói tin. Nếu như trường Offset bị thay đổi thì các gói tin sẽ bị tái hợp sai lệch. Và điều này có thể làm cho một gói tin có thể không đi qua được Firewall và truy nhập được vào mạng phía bên trong, và làm tổn hại đến mục tiêu CIA.
• Phá hoại các gói tin (Corrupting packets)
Vì gói tin IP phải đi qua 1 số máy trược khi đi đến đích nên thông tin trong trường mào đầu bị đọc và có thể bị thay đổi chẳng hạn mỗi khi đi đến 1 router. Nếu gói tin bị chặn lại thì nội dung trong trường mào đầu có thể bị chỉnh sửa và làm cho khung tin IP bị sai đi. Điều này có thể làm cho gói tin đó không bao giờ có thể đến được đích hoặc làm cho các giao thức hoặc phần thông tin tải đi bị thay đổi.
c. Nhận dạng tấn công ở lớp vận chuyển
Ở lớp vận chuyển thì phần mào đầu UDP hoặc TCP có thể được gắn vào trong bản tin. Ở trên lớp ứng dụng đang yêu cầu dịch vụ có thể dựa vào đó mà xác định được là sẽ sử dụng loại giao thức nào. Lớp vận chuyển cũng có thể được lợi dụng để làm tổn hại đến mục tiêu CIA theo một số cách như sau:
• Sử dụng các cổng UDP và TCP
Bằng cách biết được trường và độ dài của đoạn mào đầu, các cổng được sử dụng để trao đổi thông tin giữa 2 máy tính có thể được xác định và thông tin đó có thể được sử dụng để phá hoại.
• Tấn công từ chối dịch vụ
Vói tấn công từ chối dịch vụ ở mức này, các giao thức IP đơn giản và các tiện ích có thể được sử dụng để làm quá tải khả năng phục vụ của máy tính, vì thế làm tổn hại đến mục tiêu CIA. Ví dụ như bằng các hiểu biết về phương pháp bắt tay 3 bước TCP, kẻ tấn công có thể gửi đi các gói tin theo các thứ tự sai và phá hoại tính sẵn sàng phục vụ của một máy chủ. Ví dụ chúng gửi đi rất nhiều các gói tin SYN và bỏ dở phiên kết nối làm cho server phải tốn bộ đệm và thời gian chờ các thông tin thiết lập kết nối kế tiếp theo thủ
tục bắt tay 3 bước. Nếu hacker thành công trong việc mở ra toàn bộ các phiên kết nối có thể thì các các kết nối thật sự khác không thể mở ra được khi không có yêu cầu và rõ ràng là server không thể phục vụ được.
• Dành quyền tiếp quản phiên truyền
Loại tấn công này xảy ra sau khi mà máy nguồn và máy đích thiết lập được kết nối trao đổi thông tin với nhau. Máy tính thứ 3 làm mất khả năng trao đổi thông tin của 1 máy và sau đó giả dạng máy tính đó. Vì kết nối đã được thiết lập nên máy thứ 3 có thể phá hoại mục tiêu CIA.
d. Nhận dạng tấn công ở lớp ứng dụng
Tấn công xảy ra ở lớp ứng dụng là tấn công khó đối phó nhất vì nó lợi dụng được các điểm yểu trong các ứng dụng và sự thiếu hiểu biết của người sử dụng về công tác bảo mật. Một số phương pháp được sử dụng để tấn công ở lớp ứng dụng là:
• Khai thác ứng dụng gửi thư điện tử
Các bản đính kèm có thể được gửi kèm theo các thư điện tử và được chuyển vào trong hộp thư nhận của người sử dụng. Khi mở thư và xem các bản đính kèm thì thường là phải chạy các ứng dụng. Các bản đính kèm đó có thể gây hại ngay lập tức hoặc có thể chưa gây ảnh hưởng. Tương tự hacker thường gắn thêm vào các đoạn mã nguồn độc trong các bản tin được định dạng HTML (ngôn ngữ đánh dấu siêu văn bản). Bằng các phương pháp đó có thể lợi dụng được các điểm yếu của các ứng dụng gửi thư điện tử cũng như sự thiếu hiểu biết của người sử dụng về vấn đề bảo đảm an toàn của email
• Khai thác các trình duyệt Web
Khi một máy tính trạm sử dụng 1 trình duyệt Web để kết nối đến 1 Web server và tải về một trang Web, nội dung của trang Web đó có thể đang kích hoạt, có nghĩa là nội dung đó có thể chỉ là những thông tin tĩnh nhưng cũng có thể là mã nguồn chạy. Nếu mã nguồn đó là mã nguồn độc thì sẽ làm tổn hại đến mục tiêu CIA.
• Khai thác ứng dụng truyền file
Giao thức truyền file được sử dụng để truyền các file giữa các máy tính với nhau. Khi một máy khách phải cung cấp tên đăng nhập và mật khẩu để xác thực, thông tin đó được
truyền trên Internet sử dụng các kí tự text dễ hiểu. Tại một điểm nào đó trên đường truyền thông tin đó có thể được ghi lại. Nếu khách hàng đó sử dụng lại tên truy nhập và