Sử dụng Backtrac k5 tấn công bằng lệnh exploit

Một phần của tài liệu (LUẬN văn THẠC sĩ) một số giải pháp đảm bảo an toàn thông tin và an ninh mạng cho khoa quản trị và kinh doanh (HSB) – đại học quốc gia hà nội (Trang 91)

Hình 2.11: Sử dụng Backtrack hiển thị thông đối tượng tấn công lỗi ms08_067

- Ta gõ lệnh set RHOST 192.168.19.134 (xác định IP của máy tấn công).

- Ta tiếp tục gõ lệnh exploit, quá trình khai thác bắt đầu.

Hình 2.12: Dùng Backtrack thực hiện kiểm tra lỗi qua dòng lệnh

nạnnhân.

Hình 2.13: Dùng Backtrack thực hiện kiểm tra thông tin hệ điều hành

- Ta gõ lệnh getuid để chiếm quyền admin của máy nạn nhân, với màn hình này

là việc chiếm quyền kiểm soát thành công máy nạn nhân.

Hình 2.14: Dùng Backtrack thực hiện chiếm quyền Administrator và thực hiện tạo thư mục trên máy nạn nhân

- Ta thử tạo 1 folder có tên là SUCCESSFULLY bằng lệnh md SUCCESSFULLY. Lúc này tại ổ C/Windows/System32 đã có một thƣ mục SUCCESSFULLY ta có thể đƣa vào thƣ mục này những tệp thực thi cần thiết để thực hiện các việc tấn công khác khi cần thiết.

- Tiếp tục phát triển hack máy tính cài đặt Windows XP này ta sẽ tiến hành dò

password thực tế của ngƣời dùng. Tại máy backtrack, sau khi đã chiếm đƣợc quyền admin bằng lệnh getuid ra tiếp tục gõ lệnh hashdump và lập tức toàn bộ user và password sẽ đƣợc khai thác. Password đã đƣợc mã hóa dƣới dạng hash.

Hình 2.15: Dùng Backtrack hiển thị chuỗi md5 mật khẩu máy nạn nhân

- Truy cập trang web http://www.hash-cracker.com/ Ta copy những dãy số hash

này vào khung bên dƣới, sau đó điền mã Capcha vào ô kế tiếp và click nút crack lập tức sẽ ra kết quả, một số password dài và nhiều ký tự đặc biệt sẽ mất nhiều thời gian và có thể không dò đƣợc kết quả.

- Hiện nay vẫn còn một số cá nhân tổ chức sử dụng hệ điều hành Widnows XP việc này là tiềm ẩn nhiều rủi ro về ATTT. Khuyến cáo các quản trị viên làm công việc đảm bảo an toàn thông tin thƣờng xuyên sử dụng hệ điều hành KaLi tại www.kali.org. Kali là phiên bản nâng cấp sau của Backtrack 5 gồm rất nhiều các Tools để tấn công và kiểm thử hệ thống giúp nhà quản trị, cũng nhƣ những Hacker sử dụng vào mục đích khai thác lỗ hổng và tấn công. Kali là phiên bản có sử dụng nhiều tools đƣợc các hacker cập nhật liên tục. Tác giả đã sử dụng Kali để thực hiện hack mật khẩu wifi sử dụng bảo mật WPA2 của modem wifi của FPT thông qua bài hƣớng dẫn Hack wifi trên Youtube.com

CHƢƠNG 3. MỘT SỐ GIẢI PHÁP NHẰM ĐẢM BẢO AN TOÀN THÔNG TIN VÀ AN NINH MẠNG TẠI HSB

Để đảm bảo an toàn thông tin đòi hỏi phải có giải pháp tổng thể, từ việc ban hành và thực thi chính sách, pháp luật của cơ quan quản lý nhà nƣớc, sự sáng tạo, tự chủ trong mỗi đơn vị và sự am hiểu của từng cá nhân trong tổ chức, cũng nhƣ các đơn vị cung cấp các sản phẩm, dịch vụ trên không gian mạng, sự hợp tác toàn cầu xây dựng một không gian mạng lành mạnh giữa các quốc gia.

3.1 Một số giải pháp

3.1.1 Nâng cao năng lực quản trị ATTT, an ninh mạng tại HSB

Mục tiêu:

Theo các báo cáo gần đây, lực lƣợng nhân sự ANM chuyên trách ở HSB hiện còn rất mỏng, chƣa đƣợc đào tạo chuyên sâu, dẫn đến công tác bảo đảm an toàn, an ninh thông tin mạng tại đơn vị, tổ chức còn tồn tại nhiều bất cập, nhất là trong bối cảnh tội phạm mạng gia tăng và ngày càng tinh vi hơn.

Do đó, vấn đề quan tâm đến ANM cần đƣợc duy trì thƣờng xuyên, quan tâm đào tạo con ngƣời, hợp tác với các tổ chức độc lập để đánh giá rủi ro, tƣ vấn bài bản về đảm bảo an toàn ANM:

- Đào tạo nhân viên về tầm quan trọng của bảo mật và các biện pháp, quy định bảo mật của đơn vị, trở thành một phần của quy trình dịch vụ;

- Cung cấp các kiến thức nền tảng về an toàn thông tin và đảm bảo an toàn thông tin cho toàn đơn vị;

- Cung cấp các kiến thức để học viên có thể vận hành, quản trị, giám sát hệ thống một cách an toàn;

- Cung cấp kỹ năng cho ngƣời dùng tại HSB có thể thiết lập, áp dụng các giải pháp về an toàn thông tin cơ bản đƣợc khuyến nghị vào thực tế.

Về quản lý và tổ chức

- Xây dựng quy chế chính sách, tiêu chuẩn an toàn bảo mật thông tin cho đơn vị. - Xây dựng cơ chế quản lý tài nguyên số, các nguy cơ tƣơng ứng đối với tài nguyên số. - Xây dựng cơ chế quản lý và kiểm soát ATTT với quy trình quản trị hệ thống và ứng

dụng các phần mềm quản lý chính sách.

Về công nghệ

- Kiểm soát truy cập: Kiểm soát chứng thực ngƣời dùng trƣớc khi cho phép truy cập, mọi thiết bị không đạt chuẩn về an ninh đều bị chặn, cô lập thông báo cho quản trị;

- Firewall: Triển khai ở vùng mạng lỗi, giám sát luồng dữ liệu, chặn kết nối bất hợp pháp; - Lọc nội dung: Lọc cấm các truy xuất vào dữ liệu không phù hợp cho công việc;

- Xây dựng hệ thống phát hiện ngăn chặn xâm nhập, antivirus, antispyware, antispam…; - Mã hóa dữ liệu, xây dựng hạ tầng KPI;

- Quét tìm, phát hiện lỗ hổng bảo mật hệ thống; - Thiết lập hệ thống cung cấp các bản vá lỗi bảo mật;

- Xây dựng cơ chế dự phòng và phục hồi backup dữ liệu đảm bảo tính liên tục của hệ thống.

3.1.2 Sử dụng ISO 27001 trong công tác quản lý an toàn thông tin

3.1.2.1 Nhu cầu về tự đánh giá an toàn thông tin

Theo Nghị định 64-2007/NĐ-CP, an toàn thông tin bao gồm các hoạt động quản lý, nghiệp vụ và kỹ thuật đối với hệ thống thông tin nhằm bảo vệ, khôi phục các hệ thống, các dịch vụ và nội dung thông tin đối với nguy cơ tự nhiên hoặc do con ngƣời gây ra. Việc bảo vệ thông tin, tài sản và con ngƣời trong hệ thống thông tin nhằm bảo đảm cho các hệ thống thực hiện đúng chức năng, phục vụ đúng đối tƣợng một cách sẵn sàng, chính xác và tin cậy. An toàn thông tin bao hàm các nội dung bảo vệ và bảo mật thông tin, an toàn dữ liệu, an toàn máy tính và an ninh mạng.

Một nhu cầu thực tế đặt ra là làm thế nào để biết các sản phẩm và hệ thống có tin cậy hay không, có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào? Đánh giá an toàn thông tin chính là để đáp ứng nhu cầu đó, nhằm cung cấp bằng chứng về việc đảm bảo an toàn cho các sản phẩm và hệ thống.

Mặt khác, nhiều ngƣời sử dụng CNTT không có đủ kiến thức, chuyên môn và tài nguyên cần thiết để phán xét về sự an toàn của các sản phẩm và hệ thống CNTT có phù hợp hay không, và cũng không thể chỉ dựa vào cam kết của các nhà phát triển. Bởi vậy, ngƣời dùng có thể nâng cao tin cậy trong các biện pháp an toàn của hệ thống CNTT bằng cách phân tích về an toàn cho chúng, nghĩa là đánh giá an toàn.

Đánh giá an toàn thông tin là một nhu cầu thực tế, giúp ngƣời dùng xác định xem sản phẩm hoặc hệ thống CNTT có đủ an toàn và tin cậy chƣa khi đƣa vào sử dụng, các rủi ro an toàn tiềm ẩn khi sử dụng có chấp nhận đƣợc hay không, hoặc các sản phẩm và hệ thống có áp dụng các biện pháp và kỹ thuật an toàn phù hợp hay không, mức độ an toàn nhƣ thế nào. Ngoài ra, việc đánh giá an toàn thông tin còn giúp các doanh nghiệp trong việc phát triển các sản phẩm và hệ thống CNTT đảm bảo các yêu cầu về an toàn thông tin.

Đánh giá an toàn thông tin cho một sản phẩm, dịch vụ hay hệ thống công nghệ thông tin cần phải nắm rõ đƣợc các yêu cầu đảm bảo an toàn thông tin, các tiêu chí và các phƣơng pháp đánh giá an toàn thông tin cho sản phẩm, dịch vụ hay hệ thống đó.

Việc sử dụng các tiêu chí đánh giá sẽ làm tăng tính tin cậy trong các yếu tố khác nhau của mô hình đánh giá sự phù hợp bảo đảm an toàn (SACA). Nhiều tiêu chí đánh giá đòi hỏi có các kinh nghiệm chuyên gia và kiến thức cơ bản, nhằm đạt đƣợc sự nhất quán và khách quan trong các kết quả đánh giá.

Để tăng cƣờng sự nhất quán và khách quan cho các kết quả đánh giá, cần có một quy trình công nhận hay phê chuẩn. Quy trình này xem xét kỹ càng một cách độc lập các kết quả đánh giá để đƣa ra chứng nhận hay phê chuẩn về mức độ an toàn cho các sản phẩm, dịch vụ hay hệ thống CNTT khi vào sử dụng.

3.1.2.2 Sự cần thiết xây dựng tiêu chuẩn về đánh giá ATTT

Thời gian qua Bộ Thông tin và Truyền thông đã tổ chức xây dựng và đề nghị ban hành nhiều dự thảo tiêu chuẩn quốc gia về an toàn thông tin. Các tiêu chuẩn này sẽ là cơ sở giúp các tổ chức, doanh nghiệp thực hiện quản lý các vấn đề về an toàn thông tin một cách tổng thể và hiệu quả. Bên cạnh các tiêu chuẩn về quản lý cũng cần quan tâm đến các tiêu chuẩn liên quan đến đánh giá an toàn thông tin. Đánh giá an toàn thông tin cũng là một mắt xích không thể thiếu trong quá trình đảm bảo an toàn thông tin cho các sản phẩm, dịch vụ hay hệ thống công nghệ thông tin. Đến thời điểm hiện tại, tiêu chuẩn quốc gia liên quan về đánh giá an toàn thông tin mới ban hành đƣợc một bộ tiêu chuẩn TCVN 8709:2011 (tuân theo ISO/IEC 15408:2009). Nhƣ vậy tiêu chuẩn quốc gia về mảng này còn đang thiếu hụt rất lớn.

Hơn nữa đánh giá an toàn thông tin cũng là một nhu cầu thiết thực, giúp tổ chức doanh nghiệp xác định đƣợc mức độ an toàn của sản phẩm, dịch vụ hay hệ thống công nghệ thông tin.

3.1.2.3 Sử dụng công cụ đánh giá trong công tác đảm bảo ATTT

Để việc tự đánh giá mức độ an toàn thông tin nhà quản trị cần sử dụng các bộ công cụ sau:

Hiện tại có rất nhiều các bộ tiêu chuẩn giúp nhà quản trị lập kế hoạch đánh giá xây dựng quy trình, công cụ nhận định và quản lý an toàn thông tin trong đơn vị mình nhƣ:

- ISO/IEC 2700x

- HIPAA

- Common Criteria - Khác

Hàng năm các tổ chức tiêu chuẩn quốc tế vẫn liên tục cập nhật và xây dựng mới các tiêu chuẩn về an toàn thông tin. Trong các tiêu chuẩn an toàn thông tin liên quan đến vấn đề quản lý an toàn thông tin có bộ tiêu chuẩn ISO/IEC 2700X. Bên cạnh những tiêu chuẩn về quản lý an toàn thông tin thì chuẩn về đánh giá an toàn thông tin cũng đƣợc các tổ chức tiêu chuẩn thế giới quan tâm.

Tiêu chuẩn về quản lý an toàn thông tin có bộ ISO/IEC 270X cung cấp các hƣớng dẫn và các vấn đề liên quan trong hệ thống quản lý an toàn thông tin:

- ISO/IEC 27000:2009 - Hệ thống quản lý an toàn thông tin - Tổng quan và từ vựng - ISO/IEC 27001:2005 - Hệ thống quản lý an toàn thông tin - Các yêu cầu

- ISO/IEC 27002:2005 - Quy tắc thực hành quản lý an toàn thông tin

- ISO/IEC 27003:2010 - Hƣớng dẫn thực thi hệ thống quản lý an toàn thông tin - ISO/IEC 27004:2009 - Quản lý an toàn thông tin - Đo lƣờng

- ISO/IEC 27005:2011-Quản lý rủi ro an toàn thông tin

Tiêu chuẩn liên quan về đánh giá an toàn thông tin có:

- Bộ tiêu chuẩn ISO/IEC 15408:2009 cung cấp một tập các yêu cầu đảm bảo an toàn của các sản phẩm và hệ thống công nghệ thông tin và các biện pháp đảm bảo áp dụng các yêu cầu trong quá trình đánh giá an toàn. Bộ tiêu chuẩn này gồm có 3 phần:

- ISO/IEC 15408-1:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 1: Giới thiệu và mô hình chung.

- ISO/IEC 15408-2:2009 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh giá cho an toàn công nghệ thông tin - Phần 2: Các thành phần chức năng an toàn. - ISO/IEC 15408-3:2008 - Công nghệ thông tin - Các kỹ thuật an toàn - Tiêu chí đánh

giá cho an toàn công nghệ thông tin - Phần 3: Các thành phần đảm bảo an toàn.

- Bộ tiêu chuẩn ISO/IEC 18045:2008 - Công nghệ thông tin - Các kỹ thuật an toàn- Phƣơng pháp ƣớc lƣợng an toàn công nghệ thông tin. Tiêu chuẩn này đƣợc sử dụng cùng với các tiêu chí đánh giá an toàn trong bộ ISO/IEC 15408

- Bộ tiêu chuẩn ISO/IEC TR19791:2010 - Công nghệ thông tin - Các kỹ thuật an toàn- Đánh giá an toàn các hệ thống hoạt động. Tiêu chuẩn này cung cấp các hƣớng dẫn và tiêu chí cho việc ƣớc lƣợng an toàn các hệ thống hoạt động. Tiêu chuẩn này mở rộng

hơn của ISO/IEC 15408, nó đề cập các khía cạnh quan trọng trong các hệ thống hoạt động mà trong tiêu chuẩn ISO/IEC 15408 không đƣợc đề cập.

- Bộ tiêu chuẩn ISO/IEC TR 15443:2012 đề cập đến các khái niệm và tiêu chí cho việc so sánh và phân tích các phƣơng pháp đánh giá sự phù hợp bảo đảm an toàn. Bộ tiêu chuẩn này gồm 2 phần:

- ISO/IEC 15443-1:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 1: Giới thiệu và khái niệm

- ISO/IEC 15443-2:2012 - Công nghệ thông tin - Kỹ thuật an toàn - Khung bảo đảm an toàn công nghệ thông tin - Phần 2: Các phân tích

3.1.3 ISO 2700X trong công tác quản lý an toàn thông tin

Thông qua việc sử dụng bộ ISO 27001 làm công cụ và cơ sở đánh giá, đảm bảo ATTT và triển khai các biện pháp đảm bảo an toàn thông tin trƣớc các mối nguy hại ở mức chính sách ngƣời dùng, các yêu cầu kỹ thuật tốn kém và cần có chuyên môn sâu rộng về lĩnh vực.

Khi nói đến an toàn thông tin (ATTT), điều đầu tiên ngƣời ta thƣờng nghĩ đến là xây dựng tƣờng lửa (Firewall) hoặc một cái gì đó tƣơng tự để ngăn chặn các cuộc tấn công và xâm nhập bất hợp pháp. Cách tiếp cận nhƣ vậy không hoàn toàn đúng vì bản chất ATTT không đơn thuần chỉ là sử dụng một số công cụ hoặc một vài giải pháp nào đó mà để đảm bảo ATTT cho một hệ thống cần có một cái nhìn tổng quát và khoa học hơn.

Giải pháp toàn diện và hiệu quả nhất để giải quyết vấn đề trên là áp dụng Hệ thống quản lý an ninh thông tin ATTT (Information Security Management System) theo tiêu chuẩn ISO 27001.

Triển khai ISO 27001 sẽ giúp cho đơn vị chỉ ra đầy đủ nhất những nguy cơ trong hệ thống thông tin của mình bằng phƣơng pháp phân tích rủi ro. Trong phƣơng pháp này, mỗi tài sản thông tin đều đƣợc phân tích để chỉ rõ những nguy cơ có thể tác động đến, ví dụ: máy tính bị nhiễm virus gây mất dữ liệu quan trọng, website bị tấn công làm gián đoạn dịch vụ, ổ cứng hệ thống server bị sự cố, nhân viên tiết lộ thông tin về hợp đồng cho đối thủ cạnh tranh.

Quá trình phân tích sẽ chỉ ra các nguyên nhân dẫn tới những nguy cơ trên, chẳng

Một phần của tài liệu (LUẬN văn THẠC sĩ) một số giải pháp đảm bảo an toàn thông tin và an ninh mạng cho khoa quản trị và kinh doanh (HSB) – đại học quốc gia hà nội (Trang 91)

Tải bản đầy đủ (PDF)

(124 trang)