b) An toàn mạng máy tính là gì?
4.2 Các phương thức tấn công mạng phổ biến
4.2.1 Scanner
Kẻ phá hoại sử dụng chƣơng trình scanner tự động rà soát và cố thể phát hiện ra những điểm yếu lỗ hổng về bảo mật trên một Server ở xa. Scanner là một chƣơng trình trên một máy trạm làm việc tại cục bộ hoặc trên một trạm ở xa.
Các chƣơng trình Scanner có thể rà soát và phát hiện các số hiệu cổng (Port) sử dụng trong giao thức TCP/UDP của tầng vận chuyển và phát hiện những dịch vụ sử dụng trên hệ thống đó. Nó ghi lại các đáp ứng (response) của hệ thống ở xa tƣơng ứng với các dịch vụ mà nó phát hiện ra. Dựa vào những thông tin này, những kẻ tấn công có thể tìm ra những điểm yếu trên hệ thống. Chƣơng trình Scanner có thể hoạt động đƣợc trong môi trƣờng TCP/IP, hệ điều hành UNIX và các máy tính thƣơng thích.
94 Các chƣơng trình Scanner cung cấp thông tin về khả năng bảo mật yếu kém của một hệ thống mạng. Những thông tin này là hết sức hữu ích và cần thiết đối với ngƣời quản trị mạng nhƣng hết sức nguy hiểm khi những kẻ phá hoại có thông tin này.
4.2.2 Bẻ khóa
Chƣơng trình bẻ khóa Password là chƣơng trình có khả năng giải mã một mật khẩu đã đƣợc mã hóa hoặc có thể vô hiệu hóa chức năng bảo vệ mật khẩu của một hệ thống. Hầu hết việc mã hóa các mật khẩu đƣợc tạo ra từ một phƣơng thức mã hóa sử dụng các thuật toán mã hóa để mã hóa mật khẩu. Có thể thay thế phá khóa trên một hệ thống phân tán, đơn giản hơn so với việc phá khóa trên một server cục bộ
Một danh sách các từ đƣợc tạo ra và thực hiện mã hóa từng từ. Sau mỗi lần mã hóa, sẽ so sánh với mật khẩu (Password) đã mã hóa cần phá. Nếu không trùng hợp, quá trình lại quay lại. Phƣơng thức bẻ khóa này gọi là Bruce-Force. Phƣơng pháp này tuy không chuẩn tắc nhƣng thực hiện nhanh vì dựa vào nguyên tắc khi đặt mật khẩu ngƣời sử dụng thƣờng tuân theo một số quy tắc để thuận tiện sử dụng.
Thông thƣờng các chƣơng trình phá khóa thƣờng kết hợp một số thông tin khác trong quá trình dò mật khẩu nhƣ: thông tin trong tập tin /etc/pass , từ điển và sử dụng các từ lặp các từ liệt kê tuần tự, chuyển đổi cách phát âm của một từ…
Biện pháp khắc phục là cần xây dựng một chính sách bảo vệ mật khẩu đúng đắn.
4.2.3 Trojans
Trojan - một chƣơng trình dạng vi rút, một kẻ làm nội gián trong máy tính của bạn đã giúp cho tên tin tặc (hacker) điều khiển máy tính của bạn, Trojan giúp tên tin tặc lấy những thông tin quý báu của bạn, thậm chí hắn có thể xóa hoặc định dạng lại cả ổ cứng của bạn nữa. Trojan có thể nhiễm vào máy của bạn qua tập tin gắn kèm thƣ điện tử mà bạn đã vô tình tải về và chạy thử, hoặc có lẫn trong những chƣơng trình trò chơi, nhƣng chƣơng trình mà bạn không rõ nguồn gốc...
Ðể "moi ruột" đƣợc mật khẩu của các chủ thuê bao, hacker nội thƣờng sử dụng vi rút có họ Trojan (vi rút thành Troa) gửi đến các thuê bao cần tấn công thông qua thƣ điện tử (e- mail) dƣới dạng dữ liệu đính kèm (File Attachment). Chỉ cần khi các chủ thuê bao vô tình mở file này, lập tức vi rút Trojan đƣợc kích động và tự động sao chép lại tất cả các thông số về mật khẩu của chủ thuê bao. Không chỉ là mật khẩu truy cập Intemet mà ngay cả đến mật khẩu của hòm thƣ điện tử cũng dễ dàng bị đánh cắp. Ngay sau khi chủ thuê bao kết nối Internet, vi rút Trojan sẽ bí mật sinh ra một e- mail và gửi mật khẩu đánh cắp về cho "tin tặc". Và sau đó mỗi lần thay đổi mật khẩu virus Trojan sẽ tiếp tục lặng lẽ "tuồn" của ăn cắp tới một địa chỉ mà hacker nội đã định sẵn.
Ðể đánh lừa "nạn nhân", "tin tặc" luôn tìm cách giăng ra những loại bẫy hết sức tinh vi. Tinh vi đến nỗi không ít chủ thuê bao dù rất 'kỹ tính" nhƣng vẫn cứ "sập" bẫy nhƣ thƣờng. Phổ biến nhất là hacker nội đội lốt những tổ chức hay công ty có uy tín để đánh lừa chủ thuê bao bằng chƣơng trình phần mềm thƣ ma Ghostmail. "tin tặc" dễ dàng thảo ra những e-mail mạo danh với nội dung: "Hiện giờ tình trạng đánh cắp mật khẩu thuê bao đang rất phổ biến, nhằm để phòng tránh, chúng tôi xin đƣợc gửi tới quý khách chƣơng trình phần mềm Tr-
95 Protect (Vi rút Trojan sau khi đã đổi tên)". Có khi chúng lại "đội lốt" chuyên gia lập trình chƣơng trình diệt vi rút số 1 Việt Nam. Nguyễn Tử Quảng: "Ðể phòng chống virus Chernobyl 26- 4, chúng tôi hàn hạnh gởi tới quý ngài chƣơng trình BKAV 383. Mong quý vị dùng thử Mọi ý kiến đóng góp xin gửi về địa chỉ sau quangnt@it-hut.edu.vn". Khi nhận đƣợc những tin kiểu nhƣ vậy, có không ít thuê bao dễ dàng "cắn câu" và cứ "tự nhiên" cho chạy chƣơng trình vi rút Trojan mà không hề nhận thức đƣợc rằng họ đang "tự nguyện" hiến mình thành nạn nhân của bọn "tin tặc"
Nhƣ vậy, khi Trojan đƣợc kích hoạt trên máy của bạn và khi bạn truy cập Internet thì Trojan có thể lấy mật khẩu truy cập mạng, lấy danh sách thƣ điện tử và thậm chí cả cấu hình máy tính của bạn để gửi cho một địa chỉ thƣ điện tử của tên tin tặc. Nhƣng nguy hiểm hơn, Trojan còn gửi cả địa chỉ mạng IP, là địa chỉ mà nhà cung cấp dịch vụ mạng (ISP) gán cho bạn lúc truy cập; tên tin tặc sẽ sử dụng địa chỉ IP của bạn để thiết lập kết nối từ máy tính của hắn tới máy tính của bạn qua mạng Internet. Trojan sẽ lấy thông tin, xóa thông tin...
Các thủ đoạn của Hacker:
1. Giả danh nhà cung cấp dịch vụ: Hacker lấy danh nghĩa nhà cung cấp dịch vụ Internet (ISP) gọi điện thoại hoặc gởi e-mail yêu cầu bạn cung cấp password hoặc đổi password theo họ gợi ý. Hacker mail cho bạn một Attached File (tập tin .exe) cho biết là file hỗ trợ sử dụng Internet nhƣng thực chất đây là file ăn cắp password
2. Lợi dụng sự tin tƣởng khi mƣợn hoặc sửa chữa máy tính của bạn họ sẽ dễ dàng lấy mật khẩu vì đa số ngƣời sử dụng đều thƣờng xuyên Save Password vào máy
3. Cài "gián điệp" vào máy tính của bạn: Ðây là phƣơng thức cổ điển nhƣng lại là cách ăn cắp password thông dụng và hiệu quả nhất mà không tốn công sức, thƣờng là file Horse Trojan (vi rút thành Troa) đƣợc gởi qua e-mail với những lời mời chào hết sức hấp dẫn, kích thích tò mò. Nếu bạn mở file này thì ngay lập tức máy bạn đã bị nhiễm vi rút và từ đó trở đi, password của bạn đƣợc thƣờng xuyên gởi về cho Hacker ngay cả khi bạn thay password mới
Ðề phòng, tìm và diệt Trojan:
Ðể đề phòng bị nhiễm Trojan và các loại virus, bạn cần thận trọng khi tải các tập tin trên mạng
Ðể tìm và diệt Trojan, bạn cần tiến hành theo các bƣớc sau:
1.Không nên tải và chạy thử những tập tin gắn kèm thƣ điện tử gửi cho bạn từ những địa chỉ thƣ điện tử mà bạn không rõ. Cũng vì lý do này mà tác giả của chƣơng trình diệt vi rút thông dụng BKAV đã cảnh báo có nhiều kẻ mạo danh gửi cho bạn chƣơng trình diệt virus mà thực chất là Trojan
2. Sử dụng chƣơng trình phát hiện và diệt Trojan, bạn có thể tìm kiếm trên mạng Internet với từ khóa "Detect and destroy Trojan "
3. Nếu bạn không có sẵn trong tay những chƣơng trình phát hiện và diệt Trojan thì bạn có thể kiểm tra Registry của Window :
HKEY - LOCAL – MACHINE\Software\Microsoft\Windows\Current Version\Run. Nếu thấy có đƣờng dẫn tới một chƣơng trình mà bạn biết là không phải của Window
96 hoặc của các chƣơng trình tiện ích, bạn hãy thoát Window về chế độ DOS và xóa tập tin theo đƣờng dẫn của Registry, vào lại Window và xóa dòng đã ghi trong Registry. Bạn cũng có thể kiểm tra cả tập tin Win.ini, System.ini trong thƣ mục C:\Windows sau mục Run hoặc Load
4.2.4 Sniffer
Sniffer là một hình thức nghe lén trên hệ thống mạng dựa trên những đặc điểm của cơ chế TCP/IP.
Sniffer ban đầu là một kỹ thuật bảo mật, đƣợc phát triển nhằm giúp các nhà quản trị mạng khai thác mạng hiệu quả hơn, và có thể kiểm tra các dữ liệu ra vào mạng cũng nhƣ các dữ liệu trong mạng (kiểm tra lỗi).
Sau này, hacker dùng phƣơng pháp này để lấy cắp mật khẩu hay các thông tin nhạy cảm khác.
Biến thể của sniffer là các chƣơng trình nghe lén bất hợp pháp nhƣ: công cụ nghe lén yahoo, ăn cắp password email…
Môi trƣờng hoạt động: Chủ yếu hoạt động trên các mạng sử dụng thiết bị chuyển mạch (switch).
Active sniffer:
Cơ chế hoạt động: Thay đổi đƣờng đi của dòng dữ liệu, áp dụng cơ chế ARP và RARP (hai cơ chế chuyển đổi từ IP sang MAC và từ MAC sang IP) bằng cách phát đi các gói tin đầu độc.
Đặc điểm: Do phải gửi gói tin đi nên chiếm băng thông của mạng, nếu sniff quá nhiều trong mạng thì lƣợng gói tin gửi đi sẽ rất lớn (do liên tục gửi đi các thông tin giả mạo) có thể dẫn tới nghẽn mạng hay gây quá tải lên chính NIC của máy (thắt nút cổ chai)
Một số kỹ thuật ép dòng dữ liệu đi qua NIC của mình nhƣ: - ARP poisoning: thay đổi thông tin ARP
- MAC flooding: làm tràn bộ nhớ switch, từ đó switch sẽ chạy chế độ forwarding mà không chuyển mạch gói.
- Giả MAC: các sniffer sẽ thay đổi MAC của mình thành một MAC của một máy hợp lệ và qua đƣợc chức năng lọc MAC của thiết bị.
- Đầu độc DHCP để thay đổi gateway của máy client. - DNS spoofing: làm phân giải sai tên miền.
Passtive sniffer:
Môi trƣờng hoạt động: Chủ yếu hoạt động trong môi trƣờng không có thiết bị switch mà dùng hub.
Cơ chế hoạt động: Hoạt động dựa trên cơ chế broadcast gói tin trong mạng; do không có thiết bị switch nên các các gói tin đƣợc broadcast đi trong mạng; có thể bắt các gói tin lại để xem (dù host nhận gói tin không phải là nơi gói tin đó gửi tới)
97 Đặc điểm: Do máy tự broadcast gói tin nên hình thức Passtive sniff này rất khó phát hiện.
Phát hiện và phòng chống sniff:
Dựa vào quá trình đầu độc ARP của sniff để phát hiện:
Vì phải đầu độc ARP nên sniffer sẽ liên tục gửi gói tin đầu độc tới các victim. Do đó ta có thể dùng các công cụ bắt gói tin trong mạng để phát hiện.
Một cách khác ta có thể kiểm tra bảng ARP của host. Nếu thấy trong bảng APR có 2 MAC giống nhau thì có thể mạng đang bị sniffer
Dựa trên băng thông:
Do quá trình gửi gói tin đầu độc của sniffer nên quá trình này có thể chiếm băng thông từ đây có thể dùng một số công cụ kiểm tra băng thông để phát hiện.
Các công cụ phát hiện sniffer: Xarp, ARPwatch, Simantec endpoint protection