PHÂN TÍCH CÁC TẤN CƠNG VÀ GIẢI PHÁP BẢO VỆ MẠNG 3G TẠI VIỆT NAM

Một phần của tài liệu nghiên cứu một số phương pháp bảo mật mạng thông tin di động 3g tại việt nam (Trang 50 - 55)

MẠNG 3G TẠI VIỆT NAM

3.1 PHÂN TÍCH CÁC KIỂU TẤN CÔNG VÀO MẠNG 3G

3.1.1 CÁC ĐE DOẠ TỚI MÁY DI ĐỘNG (MALWARE)

Khi công nghệ 3 G đƣợc triển khai chúng ta cần cảnh giá với các nguy cơ bảo mật tới các máy di động từ các loại malware khác nhau. Malware (phần mềm có hại) có thể là chƣơng trình hay đoạn mã chƣơng trình có hại, không có đặc quyền, hoặc là thực hiện các tác vụ bất hợp pháp lên máy tính, các phần tử mạng hay thiết bị đầu cuối di động. Malware đƣợc chia thành 8 thể loại.

1.Worms: Một worm (con sâu) là một chƣơng trình thực hiện copy bản thân nó (bằng các cách khác nhau nó sử dụng email hoặc cơ chế truyền tải khác). Các loại worm phổ biến trên điện thoại di động là:

- Cabir Worm: Là malware đƣợc mô tả đầu tiên trên các máy điện thoại di động. Nó sử dụng bluetooth để gây nhiễm các máy điện thoại và truyền tải bản thân nó tới một host mới nhƣ là một file. Khi bị nhiễm bởi Cabir Worm, hệ điều hành (OS) của máy di động bị biến đổi để Cabir đƣợc thực hiện mỗi lần máy điện thoại đƣợc bật lên.

- Lasco Worm: Là Worm đầu tiên đƣợc bung ra năm 2005, gây nhiễm các thiết bị số cầm tay (PDA) và các máy di động chạy hệ điều hành Symbian.

- Comwarrior Worm: Là Worm đầu tiên lan tỏa qua MMS, giống nhƣ cabir nó có thể lan tỏa qua bluetooth.

2. Zombies: Là một chƣơng trình thực hiện bí mật qua một máy tính khác đƣợc gán với internet và sau đó sử dụng máy tính đó để thực hiện các tấn cơng gây khó khăn để trace ngƣời tạo zombie. Các Zombie có thể đƣợc sử dụng để thực hiện các tấn công từ chối dịch vụ (Dos), điển hình chống lại các website mục tiêu.

3. Viruses: Một virus là một chuỗi mã nguồn đƣợc chèn vào mã nguồn khác có thể thực hiện đƣợc, thỏa mãn khi chƣơng trình chạy thì mã nguồn gây ra bởi virus cũng đƣợc thực hiện. Mã nguồn gây ra bởi virus gây ra một copy bản thân nó để đƣợc chèn vào trong một hoặc nhiều hơn một chƣơng trình. Các virus khơng

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn

phải là các chƣơng trình riêng biệt, chúng khơng thể tự chạy và cần có chƣơng trình chủ, mà virus là một phần của chƣơng trình chủ này để chạy và kích hoạt chúng. Một số loại virus điển hình trong thơng tin di động nhƣ Duts virus, Pseudo virus,…Một danh sách ngắn các tác vụ mà một virus di động có thể thực hiện gồm: Khóa các thẻ nhớ; Chống lại các chƣơng trình diệt virus; Gây nhiễm các file cá nhân; Biến đổi các biểu tƣợng và các ứng dụng hệ thống; Cài đặt các font chữ sai hoặc khơng hoạt động, các ứng dụng,chƣơng trình có hại; Lấy cắp dữ liệu và gửi những bản tin tới những ngƣời sử dụng khác .

4. Trojan Horses: Một Trojan là một malware thực hiện các tác vụ bất hợp pháp, thƣờng là có hại. Giống nhƣ virus, Trojan có thể gây hại hoặc một phản ứng hệ thống không mong đợi và có thể thỏa hiệp sự bảo mật của các hệ thống. Một Trojan giống nhƣ một chƣơng trình bình thƣờng bất kỳ nhƣng nó có một số mã nguồn có hại nằm ẩn bên trong nó.

Các loại Trojan phổ biến trên các máy điện thoại di động là: Skull Trojan; Mosquito Trojan; Brador Trojan; Cardtrap.A; Metal Gear…

5. Logic Bombs: Một logic bomd là một đoạn mã chƣơng trình đƣợc chèn bí mật hoặc chủ ý. Bomb đƣợc thiết kế để thực hiện dƣới những diều kiện đặc biệt, nó làm hiển thị một bản tin giả mạo, xóa dữ liệu , corrupt dữ liệu hoặc các ảnh hƣởng không mong muốn khác khi đƣợc thực hiện.

6. Trap Doors: Đơi khi cịn gọi là Back Door, là điểm đầu vào bí mật trong chƣơng trình cho phép kẻ tấn cơng nhận đƣợc quyền truy nhập mà không phải thực hiện các thủ tục truy nhập bảo mật.

7. Phishing Scam (PS): Một PS là một trang web, một email hoặc một tin nhắn văn bản không trung thực thu hút những ngƣời sử dụng không nghi ngờ để lộ các thông tin nhạy cảm nhƣ: password, các thông tin tài chinh hoặc dữ liệu cá nhân khác.

8. Spyware: Là một phần mềm nhằm để lộ thông tin cá nhân của ngƣời sử dụng di động hoặc hệ thống máy tính của nó tới các kẻ nghe trộm.

3.1.2 CÁC KIỂU TẤN CÔNG TRÊN MẠNG 3G 3.1.2.1 Phân loại các kiểu tấn công 3.1.2.1 Phân loại các kiểu tấn công

Việc phân loại các kiểu tấn công trên mạng 3G có thể dựa trên 3 chiều là: Các thể loại tấn công; Các phƣơng tiên tấn công; Chiều truy nhập vật lý.

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn

- Các tấn công đƣợc phân loại theo 5 kiểu nhƣ sau:

1. Ngăn chặn: Kẻ tấn công ngăn chặn thông tin hoặc đọc các bản tin báo hiệu trên một đƣờng truyền nhƣng không làm biến đổi hoặc xóa các thông tin này. Các tấn công nhƣ vậy sẽ ảnh hƣởng đến tính riêng tƣ của thuê bao và nhà khai thác mạng.

2. Giả mạo/phát lặp: Kẻ tấn công có thể chèn các đối tƣợng giả mạo vào hệ thống. Các đối tƣợng này phụ thuộc vào các phƣơng tiện tấn công và kiểu truy nhập vật lý. Đó có thể là các bản tin báo hiệu sai, logic dịch vụ giả mạo hoặc là dữ liệu thuê bao giả mạo vào hệ thống.

3. Biến đổi các nguồn tài nguyên: Kẻ tấn công gây hại bằng cách biến đổi các nguồn tài nguyên của hệ thống. Chúng có thể biến đổi các bản tin báo hiệu vào/ra, biến đổi logic dịch vụ hoặc biến đổi dữ liệu thuê bao.

4. Từ chối dịch vụ (DoS): Kẻ tấn công gây quá tải hoặc ngắt các nguồn tài nguyên hoặc các ứng dụng đƣợc kết nối tới mạng 3G buộc mạng phải hoạt động ở chế độ bất bình thƣờng. Kết quả là một thuê bao hợp lệ không thu đƣợc dịch vụ còn th bao khơng hợp lệ thì thu đƣợc dịch vụ hoặc tồn bộ mạng bị cấm.

5. Ngắt quãng: Kẻ tấn công có thể gây ngắt quãng hoạt động bằng cách phá hủy các nguồn tài nguyên. Kẻ tấn công có thể xóa các bản tin báo hiệu vào/ra, xóa dữ liệu thuê bao trong HLR và có thể dừng việc phát dịch vụ tới ngƣời sử dụng.

- Dựa trên phƣơng tiện tấn công đƣợc phân loại nhƣ sau:

1. Các tấn công dựa trên dữ liệu: Kẻ tấn công nhằm vào dữ liệu đƣợc lƣu giữ trong hệ thống 3G bằng cách biến đổi, chèn hoặc làm rơi rớt dữ liệu.

2. Các tấn công dựa trên các bản tin: Kẻ tấn công có thể chèn, biến đổi, phát lặp hoặc làm rớt bản tin báo hiệu.

3. Tấn công logic dịch vụ: Tấn cơng q trình chạy logic dịch vụ, hậu quả là làm xóa hoàn toàn sự chạy logic ở MSC.

- Phân loại dựa theo chiều truy nhập vật lý:

1. Kẻ tấn công đƣợc quyền truy nhập giao diện không gian sử dụng một thiết bị vật lý: Kẻ tấn công có thể truy nhập tới một thiết bị của nó mà nó giả làm một số phần của mạng (chẳng hạn một trạm gốc giả). Các máy di động nạn nhân truyền thông tới trạm gốc giả sẽ bị các tấn công khác nhau. Kẻ tấn công cũng có thể sử

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn

dụng các máy di động đã biến đổi phát quảng bá ở tần số cao, nghe trộm hoặc thực hiện tấn công ở giữa.

2. Kẻ tấn công đƣợc quyền truy nhập tới các đƣờng kết nối các chuyển mạch của mạng 3G, gây nên hậu quả nghiêm trọng bằng cách ngắt sự truyền dẫn bình thƣờng bản tin báo hiệu.

3. Kẻ tấn công truy nhập tới các phần tử nhạy cảm của mạng di động 3G (chẳng hạn các node chuyển mạch), gây nên hậu quả nghiêm trọng bằng cách soạn thảo logic dịch vụ hoặc biến đổi dữ liệu thuê bao đƣợc lƣu giữ ở thực thể mạng 3G.

4. Kẻ tấn công truy nhập tới một số kết nối internet với mạng 3G. Đây là tấn công trên liên kết giữa các hạ tầng mạng, trong đó kẻ tấn công có thể gây hại bằng cách ngắt sự truyền dẫn các bản tin báo hiệu giữa các liên kết và chèn một số bản tin báo hiệu vào đƣờng liên kết giữa 2 mạng.

5. Kẻ tấn công truy nhập tới các server internet hặc các server mạng cung cấp dịch vụ. Đây là tấn công ở giữa các hạ tầng mạng, kẻ tấn công có thể gây hại bằng cách soạn thảo logic dịch vụ hoặc biến đổi dữ liệu thuê bao đƣợc lƣu giữ ở các server mạng.

3.1.2.2 Một số tấn công điển hình

Các tấn cơng có thể khởi nguồn từ bên ngoài mạng di động (mạng internet, các mạng riêng, mạng của nhà khai thác khác…) hoặc từ bên trong mạng di động ( máy điện thoại thơng minh hoặc các máy tính đƣợc kết nối tới mạng 3G).

Bảng 3.1: Tổng kết một số kiểu tấn cơng điển hình trên mạng 3G

Kiểu tấn công Mục tiêu Mục đích

Worm, Virus, Trojan, SMS/MMS spam

Các ngƣời sử dụng khác nhau, các phần tử mạng

Quấy rầy, DoS, ngắt dịch vụ.

DoS, Synflood, các tấn công lơp ứng dụng

HLR, AAA, các server nội dung, các node báo hiệu

Tấn công khả năng cung cấp dịch vụ.

Tấn công Overbiding Các phần tử quản lý của nhà khai thác (AAA, HLR, VLR…)

Gian lận

Spoofed PDP context Các phiên của ngƣời sử dụng Ăn trộm dịch vụ Các tấn công mức báo

hiệu (SIGTRAN, SIP)

Các node báo hiệu Tấn công khả năng cung cấp dịch vụ

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn

a, Tấn công từ chối dịch vụ (DoS):

Các tấn công DoS nhằm gây từ chối hoặc suy giảm chất lƣợng truy nhập của ngƣời sử dụng hợp lệ tới một dịch vụ hoặc nguồn tài nguyên mạng. Tấn công DoS có thể làm sập server cung cấp dịch vụ. Tấn công DoS có thể đƣợc chia thành 2 loại: Một là, các tấn công dịch vụ cấm: Kẻ tấn công DoS lợi dụng các điểm yếu thực hiện để cấm sự cung cấp dịch vụ. Các điểm yếu đƣợc sử dụng với các tấn công kiểu này là tràn bộ đệm. Hai là, phá hoại nguồn tài nguyên: Phá hoại có thể đạt đƣợc bằng cách gây ra các tính tốn chi phí cao, lƣu giữ thơng tin trạng thái, cạn kiệt nguồn tài nguyên hoặc tải lƣu lƣợng cao.

Các tấn công DoS có thể đe dọa các dịch vụ đƣợc cung cấp tới những ngƣời sử dụng di động và hạ tầng truyền thông. Đặc biệt, các nguồn tài nguyên truy nhập nhƣ băng thông là những mục tiêu cần đƣợc bảo vệ. Các tấn công DoS có thể xẩy ra ở các lớp mạng khác nhau.

Hiện nay một trong những nguy cơ bảo mật phổ biến nhất đối với các nhà cung cấp ISP hữu tuyến là tấn công từ chối dịch vụ phân tán (DDoS). Các tấn công DDoS sử dụng phƣơng pháp tổng lực (brute force) để làm tràn ngập các hệ thống mục tiêu hoặc là bị chậm hoặc là bị dừng hẳn. Việc tạo ra đủ lƣu lƣợng để tấn công DDoS yêu cầu một mạng các máy tính đƣợc thỏa hiệp, các máy tính này thƣờng đƣợc gọi là các “bot” hoặc “zombie” hoặc “botnet”. Các zombie là các máy tính đã

Zombi e Inner Router Master Computer Business Server

Private Network Public Network User Zombi e Zombi e Zombi e Master Computer User

Số hóa bởi Trung tâm Học liệu – Đại học Thái Nguyên http://www.lrc-tnu.edu.vn

đƣợc thỏa hiệp bởi kẻ tấn công thông qua Trojan, sau đó các zombie này đƣợc điều khiển từ xa bởi kẻ tấn công.

b, Tấn công Spoofed PDP context.

Giao thức đƣờng hầm GPRS (GTP) đƣợc sử dụng để báo hiệu và thực hiện đƣờng hầm giữa GGSN và SGSN. SGSN sử dụng GTP để kích hoạt một phiên của thuê bao, đƣợc gọi là “PDP context activation ”. Ngữ cảnh PDP này là một cấu trúc dữ liệu bao gồm các thông tin nhƣ địa chỉ IP động, các mô tả đƣờng hầm đối với phiên GTP ở cả GGSN và IMSI của thuê bao. Tuy nhiên, GTP không thực hiện bất kỳ nhận thực, sự kiểm tra toàn vẹn dữ liệu hoặc bảo vệ bí mật nào; điều đó có nghĩa là GTP có thể bị thỏa hiệp bởi kẻ tấn công. GTP đƣợc sử dụng ở giao diện Gn (kết nối giữa SGSN và GGSN), giao diện Gp (kết nối tới mạng di động khác) và giao diện Gi (kết nối với mạng dữ liệu bên ngoài nhƣ mạng internet).

Các kiểu tấn công Spoofed PDP context khai thác các điểm yếu ở giao thức GTP. Nó gây ra tổn thất dịch vụ hoặc ngắt những ngƣời sử dụng đầu cuối hoặc là dẫn đến truy nhập bất hợp pháp,không hợp lệ tới internet hay các mạng dữ liệu khách hàng.

c, Tấn công Overbilling.

Tấn công overbilling gồm một số ngƣời sử dụng có hại tấn công một địa chỉ IP của thuê bao và sau đó sử dụng kết nối đó để bắt đầu tải dữ liệu bị tính cƣớc hoặc

Server internet 

Một phần của tài liệu nghiên cứu một số phương pháp bảo mật mạng thông tin di động 3g tại việt nam (Trang 50 - 55)

Tải bản đầy đủ (PDF)

(78 trang)