An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 1 KHOA TIN HỌC QUẢN LÝ  AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET Giảng viên hướng dẫn: GV. Trương Hoài Phan Sinh viên thực hiện 1. Nguyễn Mạnh Lâm_K094061155 2. Lê Thị Kiều Oanh_K094061173 3. Lê Thị Thu_K094061188 4. Nguyễn Thị Thúy_K094061190 5. Đỗ Thị Thanh Trang_K094061202 TP Hồ Chí Minh - 2012 1.1.1.1.1.1.1.1 K09406 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 2 NHẬN XÉT CỦA GIẢNG VIÊN ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 3 Mục Lục A. GIỚI THIỆU SƠ LƯỢC 4 B. LOCAL AREA NETWORK 4 I. SSL Strip 4 1. SSL Strip 4 2. Cách thực hiện 7 3. Nhận xét và cách phòng chóng 8 II. Đánh Cắp Cookie, Cướp Session 8 1. ARP và việc đầu độc ARP 9 2. Cướp cookies và chiếm quyền điều khiển session 10 3. Kết luận và các biện pháp phòng chóng 18 III. DNS Spoofing 18 1. DNS Spoofing 18 2. Các bước thực hiện 20 3. Kết luận và cách phòng chóng 21 IV. Sniff Password Dùng Wireshark 22 1. Wireshark 22 2. Cách thực hiện 22 3. Kết luận và biện pháp phòng chóng 25 C. INTERNET NETWORK 25 I. Lấy Cắp Thông Tin Tài Khoản Yahoo, Gmail, Facebook Dùng Keylogger 25 1. Keylogger 25 2. Cách thực hiện 26 3. Kết luận – cách phòng chóng 30 II. Dùng Web Lừa Đảo 30 1. Cách thực hiện 30 2. Ngữ cảnh và mục đích đạt được 32 3. Nhận xét và cách phòng chóng 32 D. DANH SÁCH NHÓM – PHÂN CÔNG VIỆC 32 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 4 A. GIỚI THIỆU SƠ LƯỢC Mạng cục bộ(Local Area Network) dùng để kết nối các máy tính với nhau trong 1 khu vực. Kết nối được thực hiện thông qua môi trường truyền thông tốc độ cao như dây cáp. Các LAN cũng có thể kết nối với nhau thành WAN. LAN thường bao gồm một máy chủ (server , host) còn gọi là máy phúc vụ. Máy chủ thường là máy có bộ xử lý (CPU) tốc độ cao, bộ nhớ (RAM) và đĩa cứng (HD) lớn. Internet là một hệ thống thông tin toàn cầu có thể được truy nhập công cộng gồm các mạng máy tính được liên kết với nhau. Hệ thống này truyền thông tin theo kiểu nối chuyển gói dữ liệu (packet switching) dựa trên một giao thức liên mạng đã được chuẩn hóa giao thức IP. Hệ thống này bao gồm hàng ngàn mạng máy tính nhỏ hơn của các doanh nghiệp, của các viện nghiên cứu và các trường đại học, của nguười dùng cá nhân, và các chính phủ trên toàn cầu. Sniffer là một hình thức nghe lén trên hệ thống mạng, dựa trên những đặc điểm của cơ chế TCP/IP. Nó cũng là một kĩ thuật bảo mật, được phát triển nhằm giúp đỡ các nhà quản trị mạng khai thác và kiểm tra dữ liệu lưu thông trên mạng 1 cách hiệu quả. Có 2 loại sniffer đó là: active sniffer và passive sniffer. Quá trình sniffer: - Bước 1: Tiến hành đầu độc ARP, sử dụng các tool như ettercap chạy trên linux và cain & abel chạy trên windows. - Bước 2: Sau khi đầu độc ARP, máy hacker trở thành kẻ dứng giữa, sniff các gói tin được trao đổi giữa máy nạn nhân và gateway. Qua đó hacker có thể bắt các gói tin chứa thông tin quan trọng ví dụ các gói tin đăng nhập vào các website, email. Với nhiều phương pháp, hacker có thể tiến hành sniff cookie, cướp sessison, thực hiện DNS spoofing để đưa nạn nhân vào địa chỉ giả mạo. B. LOCAL AREA NETWORK I. SSL Strip 1. SSL Strip SSL và HTTPS Secure Socket Layers (SSL) hoặc Transport Layer Security (TLS) dưới sự thi hành hiện đại hơn của nó, là các giao thức được thiết kế để cung cấp bảo mật cho truyền thông mạng bằng phương pháp mã hóa. Giao thức này dễ được kết hợp với các giao thức khác nhất để cung cấp một thực thi an toàn cho dịch vụ mà giao thức cung cấp. Các ví dụ dẫn chứng ở đây gồm có SMTPS, IMAPS và HTTPS. Mục tiêu tối thượng là tạo các kênh an toàn trên các mạng không an toàn. Trong phần này, chúng tôi sẽ tập trung giới thiệu vào tấn công SSL trên HTTP, được biết đến như HTTPS, vì nó là trường hợp sử dụng phổ biến nhất của SSL. Có thể không nhận ra nhưng hầu như chắc chắn bạn đang sử dụng HTTPS hàng ngày. Các dịch vụ email phổ biến nhất và các ứng dụng ngân hàng trực tuyến An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 5 đều dựa vào HTTPS để bảo đảm truyền thông giữa trình duyệt web của bạn và các máy chủ của họ được mã hóa an toàn. Nếu không sử dụng công nghệ này thì bất cứ ai với một bộ “đánh hơi” gói dữ liệu trên mạng cũng đều có thể phát hiện ra được username, password và bất cứ thứ gì được ẩn khác. Quá trình được sử dụng bởi HTTPS để bảo đảm an toàn dữ liệu là xiết chặt các trung tâm có liên quan đến việc phân phối các chứng chỉ giữa máy chủ, máy khách và hãng thứ ba được tin cậy. Lấy một ví dụ về trường hợp có một người dùng đang cố gắng kết nối đến một tài khoản email của Gmail. Quá trình này sẽ gồm có một vài bước dễ nhận thấy, các bước này đã được đơn giản hóa trong hình 1 bên dưới. Hình 1: Quá trình truyền thông HTTPS Quá trình được phác thảo trong hình 1 không phải là một quá trình chi tiết, tuy nhiên về cơ bản nó sẽ làm việc như sau: - Trình duyệt máy khách kết nối đến https://www.mail.google. trên cổng 80 bằng cách sử dụng HTTP - Máy chủ redirect phiên bản HTTPS máy khách của site này bằng cách sử dụng HTTP code 302. - Máy khách kết nối đến https://www.mail.google.com trên cổng 443. - Máy chủ sẽ cung cấp một chứng chỉ cho máy khách gồm có chữ ký số của nó. Chứng chỉ này được sử dụng để thẩm định sự nhận dạng của site. - Máy khách sử dụng chứng chỉ này và thẩm định chứng chỉ này với danh sách các nhà thẩm định chứng chỉ tin cậy của nó. - Truyền thông mã hóa sẽ xảy ra sau đó. Nếu quá trình hợp lệ hóa chứng chỉ thất bại thì điều đó có nghĩa rằng các website đã thất bại trong việc thẩm định sự nhận dạng của nó. Tại điểm này, người dùng sẽ thấy xuất hiện một lỗi thẩm định chứng chỉ và họ vẫn có thể tiếp tục với những rủi ro có thể, vì rất có thể sẽ không có sự truyền thông thực sự với website mà họ nghĩ họ cần truy cập đến. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 6  Quá trình này được xem là an toàn cao cách đây một vài năm khi có một tấn công đã công bố rằng nó có thể chiếm quyền điều khiển thành công quá trình truyền thông. Quá trình này không liên quan đến bản thân việc phá hủy (defeating) SSL, mà đúng hơn là phá hủy “cầu nối” giữa truyền thông không mã hóa và mã hóa. Moxie Marlinspike, một chuyên gia nghiên cứu bảo mật hàng đầu đã cho rằng trong hầu hết các trường hợp, SSL chưa bao giờ bị trực tiếp tấn công. Hầu hết thời gian một kết nối SSL được khởi tạo thông qua HTTPS nên nguyên nhân có thể là do ai đó đã redirect một HTTPS thông qua một mã đáp trả HTTP 302 hoặc họ kích vào liên kết direct họ đến một site HTTPS, chẳng hạn như nút đăng nhập. Ý tưởng ở đây là rằng nếu bạn tấn công một phiên giao dịch từ một kết nối không an toàn đến một kết nối an toàn, trong trường hợp này là từ HTTP vào HTTPS, bạn sẽ tấn công cầu nối và có thể “man-in-the-middle” kết nối SSL trước khi nó xuất hiện. Để thực hiện hiệu quả điều này, Moxie đã tạo một công cụ SSLstrip, chúng ta sẽ sử dụng công cụ này dưới đây. Quá trình thực hiện khá đơn giản và gợi nhớ lại các tấn công mà chúng ta đã nghiên cứu trong các phần trước của loạt bài. Nó được phác thảo như trong hình 2 bên dưới. Hình 2: Chiếm quyền điều khiển truyền thông HTTPS Quá trình được phác thảo trong hình 2 làm việc như sau: - Lưu lượng giữa máy khách và máy chủ đầu tiên sẽ bị chặn - Khi bắt gặp một HTTPS URL, sslstrip sẽ thay thế nó bằng một liên kết HTTP và sẽ ánh xạ những thay đổi của nó. - Máy tấn công sẽ cung cấp các chứng chỉ cho máy chủ web và giả mạo máy khách. - Lưu lượng được nhận trở lại từ website an toàn và được cung cấp trở lại cho máy khách. Quá trình làm việc khá tốt, máy chủ có liên quan vẫn nhận lưu lượng SSL mà không hề biết về sự khác biệt này. Chỉ có một sự khác biệt rõ rệt trong trải nghiệm người dùng là lưu lượng sẽ không được cắm cờ HTTPS trong trình duyệt, vì vậy một người dùng có kinh nghiệm sẽ có thể thấy đó là một điều dị thường. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 7 2. Cách thực hiện Bước 1: Tiến hành đầu độc ARP Bước 2: Cấu hình để chuyển tiếp IP. Bước 3: Cấu hình IPTables để định tuyến đúng lưu lượng HTTP. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 8 Bước 4: Chạy SSL strip. Khi hoàn tất, bạn sẽ có thể chiếm quyền điều khiển bất cứ kết nối SSL nào đang được thiết lập. Từ đây, bạn có thể khởi chạy tiện ích “đánh hơi” dữ liệu và thu thập mật khẩu, các thông tin nhận dạng cá nhân khác như số thẻ tín dụng, từ lưu lượng. 3. Nhận xét và cách phòng chóng Như được giới thiệu ở trên, việc chiếm quyền điều khiển SSL theo cách này là hầu như không thể phát hiện từ phía trình chủ vì máy chủ cứ tưởng nó vẫn truyền thông bình thường với máy khách. Nó không hề có ý tưởng rằng đang truyền thông với một client bởi proxy. Việc nâng cấp trình duyệt cũng khá quan trọng. Khuyến cáo nên sử dụng các trình duyệt khác Internet explorer. II. Đánh Cắp Cookie, Cướp Session An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 9 1. ARP và việc đầu độc ARP Đầu tiên để hiểu rõ hơn về quá trình đánh cắp cookies bằng BackTrack4, chúng ta cần tìm hiểu một chút về ARP và việc đầu độc ARP. Vậy ARP là gì? Trên thực tế, các card mạng (NIC) chỉ có thể kết nối với nhau theo địa chỉ MAC, địa chỉ cố định và duy nhất của phần cứng. Do vậy ta phải có một cơ chế để chuyển đổi các dạng địa chỉ này qua lại với nhau. Từ đó ta có giao thức phân giải địa chỉ: Address Resolution Protocol (ARP). Vậy ARP hoạt động trong mạng Lan như thế nào? Hiểu rõ cơ chế hoạt động của Arp sẽ giúp chúng ta dễ dàng hiểu về việc thế nào là đầu độc ARP. Khi một thiết bị mạng muốn biết địa chỉ MAC của một thiết bị nào đó mà nó đã biết địa chỉ ở tầng network, nó sẽ gửi một ARP request bao gồm địa chỉ MAC của nó và địa chỉ IP của thiết bị mà nó cần biết địa chỉ MAC. Mỗi một thiết bị nhận được request này sẽ so sánh địa chỉ IP trong request với địa chỉ tầng network của mình. Nếu trùng địa chỉ thì thiết bị đó phải gửi ngược lại cho thiết bị gửi ARP request một gói tin (trong đó có chưa địa chỉ MAC của mình). Việc giả mạo bảng ARP chính là lợi dụng bản tính không an toàn của giao thức ARP. Không giống như các giao thức khác, chẳng hạn như DNS (có thể được cấu hình để chỉ chấp nhận các nâng cấp động khá an toàn), các thiết bị sử dụng giao thức phân giải địa chỉ (ARP) sẽ chấp nhận nâng cấp bất cứ lúc nào. Điều này có nghĩa rằng bất cứ thiết bị nào có thể gửi gói ARP reply đến một máy tính khác và máy tính này sẽ cập nhật vào bảng ARP cache của nó ngay giá trị mới này. Việc gửi một gói ARP reply khi không có request nào được tạo ra được gọi là việc gửi ARP “độc”. Khi các ARP reply “đôc” này đến được các máy tính đã gửi request, máy tính request này sẽ nghĩ rằng đó chính là đối tượng mình đang tìm kiếm để truyền thông, tuy nhiên thực chất nạn nhân lại đang truyền thông với một kẻ tấn công. An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 10 2. Cướp cookies và chiếm quyền điều khiển session Thuật ngữ chiếm quyền điều khiển session (session hijacking) chứa đựng một loạt các tấn công khác nhau. Nhìn chung, các tấn công có liên quan đến sự khai thác session giữa các thiết bị đều được coi là chiếm quyền điều khiển session. Khi trở thành kẻ đứng giữa (Man in the midle), hacker có thể bắt các gói tin lưu thông trên card mạng của nạn nhân, qua đó Hacker có thể phân tích và tìm được cookie, cướp session của nạn nhân, sử dụng tài khoản trực tuyến của nạn nhân mà không cần thông qua chứng thực username/password. Trên thực tế, không có thứ gì đi qua mạng được an toàn, và dữ liệu session cũng không có gì khác biệt. Nguyên lý ẩn sau hầu hết các hình thức chiếm quyền điều khiển session là nếu có thể chặn phần nào đó dung để thiết lập một session, khi đó hacker có thể sử dụng dữ liệu đó để thủ vai một trong số những thành phần có liên quan trong truyền thông và từ đó có thể truy cập các thông tin session. Để hiểu rõ về vấn đề cướp cookies và chiếm quyền điều khiển session, nhóm thiết lập một kịch bản nạn nhân đăng nhập vào facebook và hacker sẽ tiến hành cướp cookies của nạn nhân và dùng nó để vào facebook của nạn nhân mà không cần username và password. Trong kịch bản ví dụ mà đưa ra, nhóm sẽ thực hiện một tấn công chiếm quyền điều khiển session bằng cách chặn sự truyền thông của một người dùng đang đăng nhập vào tài khoản Facebook của anh ta. Và lợi dụng sự truyền thông bị chặn này, nhóm sẽ đóng vai người dùng đó và truy cập vào tài khoản từ máy tính đang dùng để tấn công. Để thực hiện vụ tấn công, nhóm sử dụng Back Track 4. Đầu tiên từ máy của nạn nhân, nạn nhân đăng nhập vào facebook Trang giao diện Home của tài khoản nạn nhân [...]... Những thông tin về cookies của nạn nhân được nhóm lấy ra, nhưng nhóm chỉ quan tâm tới c_user và xs 15 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Bước 5: Từ những thông tin về cookies của nạn nhân mà nhóm cướp được, nhóm tạo cookie c_user và xs cho trình duyệt, để làm việc này, nhóm dùng trình duyệt Firefox và Add On Cookies Manager+ 16 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 -... nhân và 192.168.1.1 là Default Gateway của máy nạn nhân 11 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Sau khi gõ dòng lệnh và nhấn enter, Back Track 4 sẽ thông báo đã đầu độc ARP thành công và các thông báo về việc nạn nhân đăng nhập facebook được hiển thị 12 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Bước 3: Sau khi đầu độc ARP, nhóm tiến hành capture lưu lượng và. .. hình 1 phút hoặc vài phút hoặc có thể lâu hơn Picture Quality là chất lượng của ảnh càng cao thì càng nặng Bước 5: Ở mục Email 28 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 29 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Sau khi cài đặt thành công thì ghép keylogger vào phần mềm để gửi cho victim cài đặt Và vào mail đã thiết lập để kiểm tra các file log và capture-screen... K094061155 lammanh1991@gmail.com Đánh cắp cookie cướp session Lê Thị Kiều Oanh kieuoanh008@gmail.com Sniff password dùng wireshark Họ Và Tên MSSV K094061173 Lê Thị Thu K094061188 cangthu@gmail.com Keylogger Trang web ảo Nguyễn Thị Thúy K094061190 thuynguyenktl9@gmail.com SSL strip Đỗ Thị Thanh Trang K094061202 dothanhtrang145@gmail.com DNS spoofing HẾT 33 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 -... và thử nghiệm 31 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Kết quả: 2 Ngữ cảnh và mục đích đạt được Việc giả mạo trang đăng nhập chỉ thực hiện được khi nạn nhân vào trang lừa đảo mà ta đã dựng sẵn, việc này khó thực hiện nếu nạn nhân để ý tên miền của trang web Việc dựng một trang web lừa đảo có thể lấy được thông tin của nạn nhân Từ đó có thể truy cập các tài khoản và sẽ rất nguy... quan cookies của nạn nhân, nên nhóm sẽ lọc ra những gói liên quan đến cookies của nạn nhân 14 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Bước 4: Từ những gói đã được lọc ra, nhóm tìm kiếm gói thông tin nào có chứa cookies liên quan tới việc nạn nhân đăng nhập Facebook để tiến hành đánh cắp nó Sau khi đã tìm ra gói chứa cookies của nạn nhân, nhóm tiến hành đánh cắp cookies Những thông. .. pháp phòng chống: - - - Bảo vệ các máy tính bên trong của bạn: Các tấn công giống như trên thường được thực thi từ bên trong mạng của bạn Nếu các thiết bị mạng của an toàn thì sẽ bạn sẽ giảm được khả năng các host bị thỏa hiệp và được sử dụng để khởi chạy tấn công giả mạo Không dựa vào DNS cho các hệ thống bảo mật: Trên các hệ thống an toàn và có độ nhạy cảm cao, không duyệt Internet trên nó là cách... hóa và tiến hành dò với database Bước 3: Server thông báo thành công User log in 2 Cách thực hiện Bước 1: Đầu độc ARP, cơ chế: để xây dựng ARP table, máy tính sẽ gửi các ARP request, sau đó nhận lại các ARP reply Hệ thống hoàn toàn không có cơ chế 22 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 xác minh xem thông tin của ARP reply đó là thật hay giả, thông tin này sẽ được lưu lại vào... K09406 - 2012 Trong giao diện để Add Cookies, nhóm tiến hành add hai cookie c_user và xs Bước 6: Hoàn tất, nhóm đã tiến hành cướp cookies xong, cuối cùng nhóm mở trình duyệt lên và gõ vào thanh địa chỉ facebook.com, trình duyệt sẽ đưa tới facebook của nạn nhân 17 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 III 3 Kết luận và các biện pháp phòng chóng Bằng phương pháp đánh cắp cookie,... các bản vá cho hệ điều hành và các chương trình phòng chống Dùng Web Lừa Đảo 1 Cách thực hiện 30 An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 Dựng một trang web lừa đảo giống giao diện đăng nhập của trang cần lấy tài khoản Sau đó tìm một tên miền gần giống với tên miền của trang web muốn lừa đảo, vd: yahooo.com, gmail.server.com,… Ta chỉnh sửa một số đoạn code trong trang đăng nhập sau . An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 1 KHOA TIN HỌC QUẢN LÝ  AN TOÀN VÀ BẢO MẬT HỆ THỐNG THÔNG TIN Đánh Cắp Thông Tin Tài Khoản Trong Mạng LAN Và INTERNET. nhân, nạn nhân đăng nhập vào facebook Trang giao diện Home của tài khoản nạn nhân An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 11 Các thông số Netword của máy nạn. lên và gõ vào thanh địa chỉ facebook.com, trình duyệt sẽ đưa tới facebook của nạn nhân An Toàn Và Bảo Mật Hệ Thống Thông Tin Nhóm 2 - K09406 - 2012 18 3. Kết luận và các