Theo tác giả an toàn thông tin là: bảo vệ thông tin chống lại việc truy cập, sử dụng,
chỉnh sửa, phá hủy, làm lộ và làm gián đoạn thông tin và hoạt động của hệ thống một cách trái phép.
Xác định các lỗ hổng hệ thống
Việc xác định các lỗ hổng hệ thống đƣợc bắt đầu từ các điểm truy cập vào hệ thống nhƣ: - Kết nối mạng Internet
- Các điểm kết nối từ xa - Kết nối các tổ chức khác
- Các môi trƣờng truy cập vật lý hệ thống - Các điểm truy cập ngƣời dùng
- Các điểm truy cập không dây
Ở mỗi điểm truy cập, ta phải xác định đƣợc các thông tin có thể truy cập và mức độ truy cập vào hệ thống.
Xác định các mối đe đoạ
Đây là một công việc khó khăn vì các mối đe dọa thƣờng không xuất hiện rõ ràng (ẩn), thời điểm và quy mô tấn công không biết trƣớc. Các hình thức và kỹ thuật tấn công đa dạng nhƣ: - DoS/DDoS, BackDoor, Tràn bộ đệm…
- Virus, Trojan Horse, Worm - Social Engineering
Các biện pháp an toàn hệ thống
Các biện pháp an toàn hệ thống gồm các biện pháp: Nhƣ firewall, phần mềm diệt virut, điều khiển truy cập, hệ thống chứng thực (mật khẩu, sinh trắc học, thẻ nhận dạng), mã hoá dữ liệu, hệ thống xâm nhập IDS, các kỹ thuật khác, ý thức ngƣời dùng, hệ thống chính sách bảo mật và tự động vá lỗi hệ thống. Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một dịch vụ hệ thống đó cung cấp, dựa vào đó tin tặc có thể xâm nhập trái phép để thực hiện các hành động phá hoại hoặc chiếm đoạt các thông tin cần thiết phục vụ mục đích phi pháp. Các lỗ hổng có thể tạo ra sự ngƣng trệ của dịch vụ, thêm quyền đối với ngƣời sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống.
Có nhiều nguyên nhân gây ra lỗ hổng bảo mật: thêm quyền đối với ngƣời sử dụng hoặc cho phép các truy nhập không hợp pháp vào hệ thống. Các lỗ hổng cũng có thể còn tồn tại ngay chính tại hệ điều hành nhƣ trong Windows XP, Windows NT, UNIX, hệ điều hành các thiết bị router, modem hoặc trong các ứng dụng thƣờng xuyên sử dụng nhƣ word processing, các hệ Databases, Các lỗ hổng cũng có thể nằm ngay trong các dịch vụ cung cấp nhƣ sendmail, web, ftp …. Do lỗi bản thân hệ thống, do ngƣời quản trị yếu kém không hiểu sâu sắc các dịch vụ cung cấp, do ngƣời sử dụng có ý thức bảo mật kém. Điểm yếu ở yếu tố con ngƣời cũng đƣợc xem là lỗ hổng bảo mật.
Ngày nay thông tin phần lớn đƣợc số hóa và lƣu trữ trên các thiết bị số, việc đảm bảo an toàn thông tin luôn gắn liền với đảm bảo an toàn cho hệ thống số hóa lƣu trữ và khai thác dữ liệu nhƣ hệ thống máy tính, hệ thống mạng trong tổ chức, trong quốc gia trƣớc các nguy cơ tổn hại từ bên ngoài, mối kết hợp giữa an toàn thông tin và ANM đã đƣợc định hình từ đây, an toàn thông tin luôn song hành cùng an ninh mạng hay nói cách khác an toàn thông tin ngày nay phần lớn là đảm bảo cho hệ thống máy tính, các thiết bị cá nhân đƣợc an toàn.
1.4 Một số hình thức tấn công điển hình gây mất ATTT, an ninh mạng
1.4.1 Tấn công hệ thống (System hacking)
Tƣơng tự nhƣ các cuộc tấn công khác, tấn công hệ thống cũng tuân thủ các giai đoạn nhƣ đã trình bày (1.1.3). Rất nhiều tình huống tấn công hệ thống bắt đầu với việc phá mật khẩu vì đây là một trong những thông tin quan trọng nhất để truy cập vào hệ thống. Có nhiều dạng mật khẩu khác nhau nhƣng thông thƣờng khi ngƣời dùng muốn truy cập vào hệ thống của mình nhƣ hệ điều hành Windows 7 thì ngƣời dùng cần phải cung cấp thông tin
gồm tài khoản cùng với mật khẩu liên quan. Vì nhiều lý do cá nhân mà ngƣời sử dụng thƣờng đặt mật khẩu khá dễ nhớ và liên quan đến các thông tin đặc biệt của mình nhƣ ngày sinh, số điện thoại hay là tên ngƣời yêu, thú cƣng của mình... Do đó mà việc tấn công mật khẩu thƣờng có tỉ lệ thành công cao. Đặc biệt, các mật khẩu lại thƣờng đƣợc dùng chung cho nhiều dịch vụ khác nhau cho nên khi một mật khẩu hệ thống bị phá vỡ thì các hệ thống khác cũng chịu chung số phận nhƣ tình huống mà các hacker thuộc nhóm Luzsec khi tấn công vào diễn đàn của công ty bảo mật danh tiếng là BKIS đã công bố trên blog. Một khi việc bẻ khóa thành công thì hacker sẽ tiến hành các thao tác leo thang đặc quyền, chạy những chƣơng trình nguy hiểm trên hệ thống bị tấn công và sau đó là tiến hành che dấu tập tin, xóa dấu vết để phòng chống bị điều tra. Có nhiều kỹ thuật bẻ khóa khác nhau từ các phƣơng pháp thủ công cho đến tự động dựa trên cơ chế dò từ điển hay tấn công brute- force. Để tấn công theo dạng thủ công thì hacker sẽ đoán mật khẩu của tài khoản (thƣờng là Administrator) dựa trên các đặc điểm của ngƣời dùng nhƣ số điện thoại, ngày sinh… và tiến hành thử nghiệm cho đến khi đăng nhập thành công. Với phƣơng pháp này, hacker cần phải tìm hiểu thông tin của ngƣời dùng khá kỹ thông qua các cơ sở dữ liệu đƣợc công bố trên internet hay những mối quan hệ thân quen của nạn nhân. Còn có các cách thức hiệu quả hơn, đó là hacker tìm cách đánh cắp những tập tin mật khẩu đƣợc lƣu trữ trên máy tính nhƣ tập tin /etc/passwd trên Linux, tập tin SAM trên hệ thống Windows. Các tập tin này chứa thông tin ngƣời dùng và mật khẩu đã đƣợc mã hóa một chiều theo các thuận toán băm (MD5, SHA) sau đó sử dụng công cụ để tiến hành bẻ khóa theo dạng brute-force hay dò từ điển. Một cách tổng quan, có bốn dạng tấn công mật khẩu là:
Passive Online: Nghe trộm sự thay đổi mật khẩu trên mạng. Cuộc tấn công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, và replay attacks (tấn công dựa vào phản hồi).
Active Online: Đoán trƣớc mật khẩu nguời quản trị. Các cuộc tấn công trực tuyến bao gồm việc đoán password tự động.
Offline: Các kiểu tấn công nhƣ Dictionary, hybrid, và brute-force.
Kết hợp với ứng dụng dò và đoán mật khẩu của hệ thống nhƣ (Legion, L0pht Crack, Join The RIPer, KerbCrack) đƣợc cài đặt vào hệ thống tại bƣớc 4 của giai đoạn tấn công Hacker dò tìm mật khẩu và truy cập vào hệ thống đánh cắp thông tin có giá trị.
1.4.2 Kỹ thuật đánh lừa: Social engineering
Bên cạnh các biện pháp tấn công bằng kỹ thuật nhƣ sử dụng các chƣơng trình tấn công thì hacker thƣờng vận dụng kết hợp với các phƣơng pháp phi kỹ thuật, tận dụng các kiến thức và kỹ năng xã hội để đạt đƣợc kết quả nhanh chóng và hiệu quả hơn. Đây là thủ thuật đƣợc nhiều hacker sử dụng cho các cuộc tấn công và thâm nhập vào hệ thống mạng và máy tính bởi tính đơn giản mà hiệu quả của nó. Hacker sẽ giả mạo những ngƣời có đủ thẩm quyền để truy cập thông tin mật, hay giả vờ đóng vai trò những chuyên viên hỗ trợ để dò hỏi các tài khoản của ngƣời dùng nhƣ để lấy cấp mật khẩu, thông tin, tấn công vào và phá hủy hệ thống.
Social Engineering đƣợc chia làm hai hình thức chính:
Human-based: Human-based social engineerign dựa trên mối qua hệ giữa ngƣời – và –
ngƣời để khai thác, thu thập thông tin nhƣ gọi điện thoại hỏi các nhân viên bộ phận hỗ trợ ngƣời dùng để thử tìm các thông tin nhạy cảm.
Computer-based: Computer-based Social Engineering sử dụng các chƣơng trình máy tính
hay những trang web để dẫn dụ ngƣời dùng nhập vào các thông tin bí mật là tài khoản và mật khẩu truy cập. Dạng tấn công này thƣờng đƣợc gọi là phissing.
Bên cạnh đó hacker làm giả các website, popup, các thông báo cung cấp hay sửa đổi tài khoản để đánh lừa ngƣời dùng, gửi các tệp đính kèm với tiêu đề nhạy cảm (E-mail attachment / Phising, Fake website, Popup window).
1.4.3 Sử dụng Trojan và Backdoor
Để kiểm soát mục tiêu các hacker thƣờng sử dụng trojan và backdoor, giữa chúng có một số điểm khác biệt nhƣng đều có chung một cách thức lây nhiễm đó là cần đƣợc cài đặt thông qua một chƣơng trình khác hay ngƣời dùng phải bị dẫn dụ để click vào một tập tin đính kèm mã độc trong email, hay truy cập vào đƣờng link liên kết đến trang web đã đƣợc chèn mã khai thác, và mã độc chứa trojan hay backdoor sẽ đƣợc nhúng kèm trong shellcode (chúng ta sẽ trình bày khái niệm này ở phần sau) cài đặt trên máy của nạn nhân.
Backdoor - cổng sau: Backdoor hay còn gọi là ―cổng sau‖ là chƣơng trình mà hacker
cài đặt trên máy tính của nạn nhân để có thể điều khiển hay xâm nhập lại dễ dàng. Một chức năng khác của backdoor là xóa tất cả những thông tin hay các chứng cứ mà hacker có thể để lại khi họ xâm nhập trái phép vào hệ thống, các backdoor tinh vi đôi khi tự nhân bản hay che dấu để có thể duy trì ―cổng sau‖ cho phép các hacker truy cập hệ thống ngay cả khi chúng bị phát hiện. Kỹ thuật mà backdoor thƣờng thực hiện đó là thêm một dịch vụ
mới trên các hệ điều hành Windows, và dịch vụ này càng khó nhận dạng thì hiệu quả càng cao. Do đó tên của chúng thƣờng đặt giống với tên của những dịch vụ của hệ thống hay thậm chí các hacker sẽ tìm tên các tiến trình hệ thống nào không hoạt động (hay tắt những tiến trình này) và dùng tên này đặt cho các backdoor của mình. Điều này sẽ qua mặt đƣợc cả những chuyên gia hệ thống giàu kinh nghiệm.
Trojan: Trojan ban đầu chỉ là một ý tƣởng điều khiển máy tính liên phòng ban trong
quân sự, nhƣng về sau đã đƣợc các hacker phát triển thành một công cụ tấn công nguy hiểm. Tên gọi trojan lấy ý tƣởng từ cuộc chiến thành Troy với tên gọi là Trojan Hoorse. Phim cuộc chiến thành Troy do tài tử Brad Pitt thể hiện rất xuất sắc trong vai anh hùng Achil, mặc dù với quân lực mạnh mẽ nhƣng vẫn không thể nào hạ thành, vì vậy bọn họ đã lập mƣu tặng một món quà là con ngựa gỗ khổng lồ có các chiến binh núp ở bên trong để nửa đêm xuất hiện công phá thành từ phía bên trong. Trojan trên máy tính cũng vậy, đƣợc cài vào hệ thống của chúng ta thông qua các hình thức ―tặng quà‖ hay những cách tƣơng tự. Ví dụ ta cần kiếm một chƣơng trình nào đó phục vụ công việc và tìm chúng qua các mạng chia sẻ, các diễn đàn hay tìm kiếm torrent của ứng dụng này. Các hacker biết rõ điều này nên họ đã tạo sẵn các chƣơng trình trên với tập tin crack đã đƣợc ―khuyến mãi‖ thêm mã độc (trojan/backdoor). Nếu bất cẩn chúng ta có thể bị nhiễm trojan theo hình thức này, một khi bị nhiễm thì các tín hiệu bàn phím chúng ta gõ vào hay những hành động trên máy tính của mình sẽ đƣợc thông báo đến hộp thƣ của hacker hay đẩy lên một máy chủ FTP nào đó trên mạng internet. Đối với các trojan phức tạp và tinh vi còn đƣợc trang bị thêm các cơ chế nhận lệnh từ kênh IRC (Internet Relay Chat) để các hacker dễ dàng điều khiển và phát động các cuộc ―tổng tấn công‖ gây ra tình trạng từ chối dịch vụ của website hay máy chủ của cơ quan hay tổ chức. Hình thức này đƣợc ứng dụng nhiều tại Việt Nam thông qua việc download các tài nguyên trên mạng về máy cá nhân.
Một số Trojan thƣờng gặp: Trojan có thể đƣợc sử dụng cho nhiều dạng tấn công khác nhau từ đánh cắp dữ liệu cho đến chạy chƣơng trình từ xa, tấn công từ chối dịch vụ …Có nhiều dạng trojan khác nhau.
Remote Access Trojan (RAT) — dùng để truy cập từ xa vào hệ thống.
Data-Sending Trojan — dùng để đánh cắp dữ liệu trên hệ thống và gửi về cho hacker.
Destructive Trojan — sử dụng để phá hủy tập tin trên hệ thống.
Proxy Trojan —đƣợc dùng để tạo ra các vỏ bọc truyền thông (tunnel) hay phát động tấn công từ một hệ thống khác.
FTP Trojan — dùng để tạo ra dịch vụ FTP nhằm sao chép dữ liệu lên hệ thống bị nhiễm.
Security software disabler Trojan — dùng để tắt các dịch vụ phòng chống virus, Trojan.
1.4.4 Virus và Worm
Virus là phần mềm mà nó làm cho hệ thống máy hoạt động mất ổn định, bị hƣ hỏng, bị xóa tập tin hay thậm chí gây gãy đổ toàn hệ thống. Chúng có khả năng lây lan trên mạng Lan và mạng internet thông qua các lỗ hổng bảo mật hay do sự bất cẩn của ngƣời dùng, do thiếu các giải pháp phòng ngừa cẩn thận. Nhiều virus máy tính còn mang theo các trojan hay backdoor cho phép hacker đột nhập vào hệ thống hay truy cập dữ liệu trái phép. Một trong số các virus có tốc độ lây lan chóng mặt là conflicker đã gây ra các cơn bão dữ liệu trên mạng internet, làm tràn ngập mạng LAN khiến cho nhiều hoạt động bị tê liệt. Virus và Worm đều là những phẩn mềm nguy hiểm gây thiệt hại về mặt kinh tế hay phá hủy dữ liệu của ngƣời dùng, tuy nhiên, về mặt cơ bản thì giữa chúng có những khác biệt cơ bản là bản thân các chƣơng trình virus không tự mình lây lan mà chỉ nhiễm vào các ứng dụng có khả năng thực thi, sau đó lây lên các máy tính khác khi ngƣời dùng sao chép hay di chuyển những tập tin này bằng USB, email hay trò chơi điện tử... Trong khi đó Worm hay sâu máy tính có thể tự mình tìm kiếm những điểm yếu của các máy tính khác ở trên mạng để lây nhiễm.
Virus đƣợc phân loại dựa trên đối tƣợng và cách thức mà chúng lây nhiễm. Một virus máy tính có thể lây nhiễm vào các thành phần sau đây của hệ thống: System sector, tập tin, macros, các tập tin hay hàm thƣ viện hệ thống dll, nini, diskcluster, tập tin bat, mã nguồn ứng dụng.
Virus và worm, mỗi loại có những điểm khác biệt đặc trƣng nhƣng cả hai đều là các ứng dụng gây ảnh hƣởng đến sự vận hành của hệ thống một khi bị lây nhiễm. Vì vậy chúng ta cần có các biện pháp phòng tránh cũng nhƣ áp dụng quy trình diệt thích hợp để nâng cao tính an toàn cho hệ thống. Nguồn gốc của sự lây nhiễm virus hay worm thƣờng do máy tính hay chƣơng trình thiếu các bản cập nhật hay bản vá lỗi, cài đặt và sử dụng các chƣơng trình không có nguồn gốc rõ ràng cũng nhƣ bất cẩn trong việc thiết lập các chính sách an
ninh, và trên hết chúng ta cần nâng cao nhận thức về an toàn thông tin cho ngƣời dùng, đặc biệt là kiến thức về virus và sâu máy tính.
1.4.5 Khai thác tràn bộ đệm
Tràn bộ đệm là một tình trạng xảy ra khi dữ liệu đƣợc gửi quá nhiều so với khả năng xử lý của hệ thống hay CPU. Nếu hacker khai thác tình trạng tràn bộ đệm này thì họ có thể làm cho hệ thống bị tê liệt hoặc làm cho hệ thống mất khả năng kiểm soát khi ngƣời dùng hay hacker cung cấp các biến đầu vào hay dữ liệu vƣợt quá khả năng xử lý của chƣơng trình làm cho hệ thống bị treo dẫn đến từ chối dịch vụ (DoS) hay có khả năng bị các hacker lợi dụng chèn các chỉ thị trái phép nhằm thực thi các đoạn mã nguy hiểm từ xa. Có hai dạng lỗi tràn bộ đệm là stack-based và heapbased. Cả hai thành phần stack và heap đều đƣợc sử dụng để lƣu trữ các biến ngƣời dùng khi chạy chƣơng trình. Khi một chƣơng trình đƣợc nạp vào bộ nhớ đƣợc chia thành 6 giai đoạn tƣơng ứng với sơ đồ phân đoạn trong bộ nhớ nhƣ hình minh họa bên dƣới: