Thông qua kết quả nghiên cứu về các nguy cơ đe dọa mạng và các điểm yếu an ninh mạng, em nhận thấy việc đảm bảo an ninh mạng ngày nay là một vấn đề cần thiết song cũng khá khó khăn.
Sau khi hoàn thành khóa luận, em mong muốn tiếp tục nghiên cứu chi tiết hơn về
các tấn công mạng một cách có hệ thống (hoặc một cách toàn diện hơn), cũng như các biện pháp bảo đảm an ninh mạng có hiệu quả cao hơn. Ví dụ, tìm hiểu về cách thức
phát hiện ra một lỗ hổng trong một hệ thống, đồng thời nghiên cứu cách thức phòng tránh các lỗ hổng đó trước khi kẻ tấn công lợi dụng được nó.
Kết quả nghiên cứu của khoá luận này sẽ giúp định hướng các nghiên cứu sâu hơn về an ninh mạng trong các môi trường và hệ thống mạng khác sau này.
PHỤ LỤC A
Báo cáo an ninh năm 2007
Tháng 9/2007, đội nghiên cứu an ninh X-Force của ISS đã nghiên cứu và phân loại được 4.256 điểm yếu an ninh. Như vậy, so với năm 2006 số lượng các điểm yếu an ninh đã tăng 25,8 % (3.384).
Trong số các hành vi lợi dụng điểm yếu an ninh thì các hành vi nhằm vượt qua tường lửa, proxy, hệ thống phát hiện xâm nhập, hệ thống quét virus... để truy cập được vào hệ thống và hành vi tấn công từ chối dịch vụ có sự thay đổi rõ nét theo từng tháng.
Hình 27 – Các hành vi khai thác điểm yếu an ninh Các điểm yếu an ninh nghiêm trọng
Trong 9 tháng đầu năm 2007, X-Force đã đưa ra rất nhiều cảnh báo về các điểm yếu an ninh nghiêm trọng của các nhà cung cấp các sản phẩm như Microsoft, Apple, Adobe, VMWare... Điển hình là những điểm yếu an ninh trong các PM Internet Explorer, Micrsoft Outlook, Windows DNS Server RPC của Microsoft.
Hình 28 - Xu hướng phishing sắp tới
Các báo cáo về Spam và Phishing
Theo X-Force, nước Mỹ chiếm hơn 1/8 lượng spam toàn cầu, còn Tây Ban Nha chiếm tỷ lệ email phishing lớn nhất. Mỹ cũng là nước dẫn đầu về các trang web được trỏ tới từ các liên kết nằm trong spam và email phishing, chiếm tỷ lệ hơn 1/3.
Các phân tích về nội dung web
Qua việc phân tích 150 triệu trang web và hình
ảnh mới mỗi tháng (hơn 6,9 tỉ trang web và hình
ảnh từ năm 1999), X-Force đã phân thành 62 danh mục với hơn 80 triệu thành phần và bổ sung, cập nhật 100.000 thành phần mỗi ngày. Kết quả cho thấy hơn 10% các nội dung của web là các thông tin khiêu dâm, bạo lực, ma túy.... Mỹ lại là nước có tỷ lệ các trang web chứa các nội dung không mong muốn như bạo lực và tội phạm, khiêu dâm, tội phạm máy tính, ma túy... lớn nhất.
Các báo cáo phát hiện PM độc hại (malware)
Trong 9 tháng đầu năm 2007, X-Force đã thu thập và đưa vào cơ sở dữ liệu phòng chống virus, chống spyware và chống các PM độc hại tổng cộng 677.65 mẫu mới. Trong số các PM độc hại, Trojan chiếm tỷ lệ lớn nhất. Nhà cung cấp Tỷ lệ điểm yếu Microsoft 4,2% Apple 3,0% Oracle 2,0% Cisco 1,9% Sun 1,5% IBM 1,3% Mozilla 1,3% XOOPS 1,2% BEA 1,1% Linux Kernel 0,9%
PHỤ LỤC B
Báo cáo an ninh năm 2008
Theo báo cáo về các mối đe dọa bảo mật mạng (ISTR) thứ 14 của hãng Symantec năm 2008, các hoạt động tấn công mạng trên thế giới tiếp tục phát triển ở mức kỷ lục, chủ yếu nhắm tới những thông tin quan trọng từ máy tính của người dùng.
Symantec đã tạo ra hơn 1,6 triệu mẫu chữ ký về các loại mã độc mới trong năm 2008, tương đương với hơn 60% tổng số mẫu chữ ký mà Symantec đã từng tạo ra từ
trước đến nay - một phản ứng đối với sự tăng trưởng mạnh về số lượng cũng như sự
phong phú, đa dạng của những mối đe doạ nguy hại mới.
Bản báo cáo cũng cho thấy duyệt web vẫn là một trong những nguyên nhân chủ đạo gây ra những phát tán và lây nhiễm virus trên mạng trong năm 2008. Hacker ngày nay tận dụng ngày càng nhiều những công cụ sinh mã độc hại khác nhau để phát triển và phát tán những mối đe doạ của chúng.
Nền kinh tế ngầm ngày càng hoạt động phức tạp
Dựa trên số liệu của Bản báo cáo về nền kinh tế ngầm mới nhất, Symantec cho biết có một nền kinh tế ngầm với cơ cấu tổ chức tinh vi chuyên buôn bán những thông tin quan trọng bị đánh cắp, đặc biệt là thông tin về thẻ tín dụng và thông tin về tài khoản ngân hàng.
Nền kinh tế ngầm này đang bùng nổ, một điều minh chứng là trong khi giá thành sản phẩm ở những thị trường hợp pháp đang suy giảm thì giá thành sản phẩm ở thế
giới ngầm vẫn không đổi từ năm 2007 đến cuối năm 2008.
Báo cáo cũng cho thấy những kẻ viết mã độc luôn thay đổi để chống lại những nỗ lực ngăn chặn các hành vi của chúng. Chẳng hạn như, việc đánh sập 2 hệ thống hosting mạng ma (botnet) đặt tại Mỹ đã góp phần làm giảm đáng kể các hoạt động botnet chủđộng kể từ tháng 9 đến tháng 11 năm 2008; tuy nhiên, những kẻ vận hành botnet đã tìm ra những địa chỉ Web hosting thay thế và sự lây nhiễm botnet lại nở rộ, trở lại ngưỡng trước khi bịđánh sập một cách nhanh chóng.
Ứng dụng web, nguồn gốc của lỗ hổng bảo mật
Theo Symantec, những nền tảng ứng dụng Web lại thường là những nguồn gốc của những lỗ hổng bảo mật. Những sản phẩm phần mềm được xây dựng sẵn này được thiết kế nhằm giúp đơn giản hoá việc triển khai những Website mới và được sử dụng rộng rãi trên Internet. Nhiều trong số những nền tảng này không có chức năng bảo mật, và một hệ quả tất yếu là chúng tiềm ẩn rất nhiều lỗ hổng và trở nên rất dễ bị xâm hại bởi các tấn công mạng.
Trong số những lỗ hổng bảo mật được xác định trong năm 2008, có đến 63% là các ứng dụng web bị lây nhiễm, tăng so với con số 59% của năm 2007. Trong số
12.885 lỗ hổng về mã lệnh liên kết chéo của báo cáo năm 2008 thì chỉ có 3% (394 lỗ
hổng) đã được khắc phục tại thời điểm báo cáo này được viết ra.
Báo cáo cũng chỉ ra rằng những tấn công trên Web phát sinh từ nhiều quốc gia trên thế giới mà trong đó Mỹ dẫn đầu (38%), sau đó là Trung Quốc (13%) và Ucraina (12%). Sáu trong số 10 quốc gia dẫn đầu về tấn công trên web là các nước trong khu vực Châu Âu, Trung Đông và Châu Phi, những quốc gia này có tỷ lệ tấn công trên web chiếm tới 45% so với con số toàn cầu, nhiều hơn các khu vực khác.
Lừa đảo qua mạng và nạn thư rác tiếp tục gia tăng
Báo cáo cho hay nạn lừa đảo qua mạng tiếp tục phát triển. Trong năm 2008, 55.389 máy chủ đặt website lừa đảo, tăng 66% so với con số 33.428 của năm 2007. Những vụ lừa đảo liên quan đến các dịch vụ tài chính chiếm tới 76% các vụ lừa đảo năm 2008, tăng mạnh so với con số 52% năm 2007.
Symantec cũng cho biết, số lượng thư rác trong thời gian trở lại đây lại tiếp tục tăng mạnh. Trong năm vừa qua, Symantec đã theo dõi sự tăng trưởng của thư rác là 192% trên toàn mạng Internet, con số này tăng từ 119.6 tỷ tin nhắn (năm 2007) lên tới 349.6 tỷ trong năm 2008. Năm 2008, các mạng botnet thực hiện việc phát tán tới khoảng 90% tất cả thư rác.
PHỤ LỤC C
Các kiểu tấn công DoS
Smurf attack là một biến thể riêng của tấn công ngập lụt trên mạng Internet công cộng. Kiểu tấn công này cần một hệ thống rất quan trọng, đó là mạng khuyếch
đại. Hacker dùng địa chỉ của máy tính cần tấn công bằng cách gửi gói tin ICMP echo cho toàn bộ mạng (broadcast). Các máy tính trong mạng sẽđồng loạt gửi gói tin ICMP reply cho máy tính mà hacker muốn tấn công. Kết quả là máy tính này sẽ không thể xử
lý kịp thời một lượng lớn thông tin và dẫn tới bị treo máy.
Hình 29 -Minh họa smurf attack
Ping flood là tấn công bằng cách gửi tràn ngập các gói tin ICMP tới máy bị tấn công sử dụng câu lệnh ping với tham số -t. Đây là kiểu tấn công rất đơn giản nhưng
đòi hỏi máy tấn công phải truy cập vào một băng thông lớn hơn băng thông của máy cần tấn công.
SYN flood lợi dụng cách thức hoạt động của kết nối TCP/IP. Khi một máy khách bắt đầu một kết nối TCP tới máy chủ, phải trải qua quá trình bắt tay ba bước.
• Máy khách gửi một TCP SYN packet đến cổng dịch vụ của máy chủ.
• Máy chủ sẽ phản hồi lại máy khách bằng 1 SYN/ACK Packet và chờ nhận một 1 ACK packet từ phía máy khách.
• Máy khách phản hồi lại máy chủ bằng một ACK Packet và việc kết nối hòan tất, máy khách và máy chủ thực hiện công việc trao đổi dữ liệu với nhau.
Hình 30 - Minh họa tấn công SYNFlood
Sau khi thực hiện xong bước hai, máy chủ phải chờ nhận gói ACK từ máy khách. Do đó nó cần phải tiêu tốn một lượng tài nguyên để thực hiện công việc này cho đến khi nhận được gói ACK hoặc hết một thời gian timeout. Tấn công SYN flood sẽ lợi dụng điều đó bằng cách gửi liên tiếp nhiều gói TCP SYN yêu cầu kết nối đến máy chủ, nhưng sau đó sẽ ko gửi trả lại gói ACK cho máy chủ. Khi số lượng yêu cầu kết nối quá nhiều, đến một lúc nào đó, máy chủ sẽ bị quá tải và không thể phục vụ các kết nối khác được nữa gây ra hiện tượng từ chối dịch vụ.
Kẻ tấn công có thể sử dụng hai phương thức để tạo nên một cuộc tấn công SYN flood. Thứ nhất là bỏ qua bước cuối cùng, tức là không gửi gói tin ACK lại máy chủ. Cách thứ hai là giả mạo địa chỉ IP nguồn trong gói SYN làm cho server gửi lại gói SYN-ACK đến sai địa chỉ, do đó sẽ không nhận được gói ACK trả lời.
Kiểu tấn công Land Attack
Kiểu tấn công Land Attack cũng tương tự như SYN flood, nhưng hacker sử dụng chính IP của mục tiêu cần tấn công để dùng làm địa chỉ IP nguồn trong gói tin, đẩy mục tiêu vào một vòng lặp vô tận khi cố gắng thiết lập kết nối với chính nó.
Kiểu tấn công UDP flood
Hacker gửi gói tin UDP echo với địa chỉ IP nguồn là cổng loopback của chính mục tiêu cần tấn công hoặc của một máy tính trong cùng mạng. Với mục tiêu sử dụng cổng UDP echo (port 7) để thiết lập việc gửi và nhận các gói tin echo trên 2 máy tính (hoặc giữa mục tiêu với chính nó nếu mục tiêu có cấu hình cổng loopback), khiến cho 2 máy tính này dần dần sử dụng hết băng thông của chúng, và cản trở hoạt động chia sẻ tài nguyên mạng của các máy tính khác trong mạng.
Trong mạng chuyển mạch gói, dữ liệu được chia thành nhiều gói tin nhỏ, mỗi gói tin có một giá trị offset riêng và có thể truyền đi theo nhiều con đường khác nhau để
tới đích. Tại đích, nhờ vào giá trị offset của từng gói tin mà dữ liệu lại được kết hợp lại như ban đầu. Lợi dụng điều này, hacker có thể tạo ra nhiều gói tin có giá trị offset trùng lặp nhau gửi đến mục tiêu muốn tấn công. Kết quả là máy tính đích không thể
PHỤ LỤC D
Phân loại lỗ hổng bảo mật
Có nhiều tổ chức khác nhau tiến hành phân loại các dạng lỗ hổng đặc biêt. Theo cách phân loại của Bộ quốc phòng Mỹ, các loại lỗ hổng bảo mật trên một hệ thống
được chia như sau:
• Lỗ hổng loại C: các lỗ hổng loại này cho phép thực hiện các phương thức tấn công theo DoS (Dinal of Services - Từ chối dịch vụ). Mức độ nguy hiểm thấp, chỉ ảnh hưởng tới chất lượng dịch vụ, có thể làm ngưng trệ, gián đoạn hệ thống; không làm phá hỏng dữ liệu hoặc đạt được quyền truy nhập bất hợp pháp
• Lổ hổng loại B: Các lỗ hổng cho phép người sử dụng có thêm các quyền trên hệ
thống mà không cần thực hiện kiểm tra tính hợp lệ. Mức độ nguy hiểm trung bình; Những lỗ hổng này thường có trong các ứng dụng trên hệ thống; có thể
dẫn đến mất hoặc lộ thông tin yêu cầu bảo mật.
• Lỗ hổng loại A: Các lỗ hổng này cho phép người sử dụng ở ngoài có thể truy nhập vào hệ thống bất hợp pháp. Lỗ hổng rất nguy hiểm, có thể làm phá hủy toàn bộ hệ thống.
Sau đây sẽ phân tích một số lỗ hổng bảo mật thường xuất hiện trên mạng và hệ
thống
Các lỗ hổng loại C:
Các lỗ hổng loại này cho phép thực hiện các cuộc tấn công DoS.
DoS là hình thức tấn công sử dụng các giao thức ở tầng Internet trong bộ giao thức TCP/IP để làm hệ thống ngưng trệ dẫn đến tình trạng từ chối người sử dụng hợp pháp truy nhập hay sử dụng hệ thống. Một số lượng lớn các gói tin được gửi tới server trong khoảng thời gian liên tục làm cho hệ thống trở nên quá tải, kết quả là server đáp
ứng chậm hoặc không thểđáp ứng các yêu cầu từ client gửi tới.
Các dịch vụ có chứa đựng lỗ hổng cho phép thực hiện các cuộc tấn công DoS có thể được nâng cấp hoặc sửa chữa bằng các phiên bản mới hơn của các nhà cung cấp dịch vụ. Hiện nay, chưa có một giải pháp toàn diện nào để khắc phục các lỗ hổng loại này vì bản thân việc thiết kế giao thức ở tầng Internet (IP) nói riêng và bộ giao thức TCP/IP đã chứa đựng những nguy cơ tiềm tàng của các lỗ hổng này.
Tuy nhiên, mức độ nguy hiểm của các lỗ hổng loại này được xếp loại C; ít nguy hiểm vì chúng chỉ làm gián đoạn cung cấp dịch vụ của hệ thống trong một thời gian mà không làm nguy hại đến dữ liệu và người tấn công cũng không đạt được quyền truy nhập bất hợp pháp vào hệ thống.
Một lỗ hổng loại C khác cũng thường thấy đó là các điểm yếu của dịch vụ cho phép thực hiện tấn công làm ngưng trệ hệ thống của người sử dụng cuối; Chủ yếu với
hình thức tấn công này là sử dụng dịch vụ Web. Giả sử: trên một Web Server có những trang Web trong đó có chứa các đoạn mã Java hoặc JavaScripts, làm "treo" hệ
thống của người sử dụng trình duyệt Web của Netscape bằng các bước sau:
• Viết các đoạn mã để nhận biết được Web Browers sử dụng Netscape Nếu sử dụng Netscape, sẽ tạo một vòng lặp vô thời hạn, sinh ra vô số các cửa sổ, trong mỗi cửa sổ đó nối đến các Web Server khác nhau. Với một hình thức tấn công đơn giản này, có thể làm treo hệ thống. Đây cùng là một hình thức tấn công kiểu DoS. Người sử dụng trong trường hợp này chỉ có thể khởi động lại hệ thống.
• Một lỗ hổng loại C khác cũng thường gặp đối với các hệ thống mail là không xây dựng các cơ chế anti-relay (chống relay) cho phép thực hiện các hành động spam mail. Như chúng ta đã biết, cơ chế hoạt động của dịch vụ thư điện tử là lưu và chuyển tiếp; một số hệ thống mail không có các xác thực khi người dùng gửi thư, dẫn đến tình trạng các đối tượng tấn công lợi dụng các máy chủ mail này để thực hiện spam mail; Spam mail là hành động nhằm tê liệt dịch vụ mail của hệ thống bằng cách gửi một số lượng lớn các messages tới một địa chỉ
không xác định, vì máy chủ mail luôn phải tốn năng lực đi tìm những địa chỉ
không có thực dẫn đến tình trạng ngưng trệ dịch vụ. Số lượng các messages có thể sinh ra từ các chương trình làm bom thư rất phổ biến trên mạng Internet. Các lỗ hổng loại B:
Lỗ hổng loại này có mức độ nguy hiểm hơn lỗ hổng loại C, cho phép người sử
dụng nội bộ có thể chiếm được quyền cao hơn hoặc truy nhập không hợp pháp.