AN TOÀN THÔNG TIN MẠNG MÁY TÍNH Lời nói đầu Loạt viết phần Chương trình bảo mật toàn diện hệ thống thông tin, chia thành nhiều phần, phần viết độc lập có mối tương quan dây chuyền với Phần đề cập đến việc xem xét, nhận diện nguyên nhân, đối tượng, phương thức công vào hệ thống Mong nhận ý kiến đóng góp bạn để lần cập nhật tới hoàn thiện hơn! Thông tin góp ý xin liên hệ: Ng Ngọc Thanh Nghị Email: diemxua_hva@yahoo.com nghi.nguyen@xfrog.org // Phần 1: Nhận diện đối tượng, mục đích phương thức công vào hệ thống Không câu nói tiếng Tôn Tử (Sun Tzu) Tôn Tử binh pháp (The Art of War): “Biết người, biết ta, trăm trận trăm trăm thắng” (If you know the enemy and know yourself, you need not fear the result of a hundred battles If you know yourself but not the enemy, for every victory gained you will also suffer a defeat) Điều không với lịch sử thời Xuân Thu mà giá trị tồn đời sống đương đại Việc nhận diện đối tượng, động cách thức công quan trọng nhằm giúp quản trị viên có chiến lược đối phó thích hợp, đặc biệt công tác bảo mật – công tác phòng vệ - vấn đề quan trọng hết Một điều rõ ràng thực kết nối mở rộng hay trực tuyến nghĩa hệ thống đứng trước nguy bị công lúc Như nghĩa phải tư phòng bị, chờ bị công kêu cứu công ty bảo mật Kinh nghiệm thực tế cho thấy phòng vệ, ngăn chặn từ xa trước tốt để xảy tình trạng bị xâm nhập khắc phục kiểu “thủng đâu bịt đó” thường thấy hệ thống mạng Mục bàn đến vấn đề “biết người”: - Ai có khả công an ninh tổ chức (Who)? - Động họ làm tổ chức an ninh (Why)? - Họ công (How)? Nhận diện đối tượng tác động (Who) Câu hỏi đặt đối tượng có khả gây ảnh hưởng đến an ninh mạng tổ chức? Thực tế, đối tượng đa dạng không động hay phương thức công họ Họ - người trẻ tuổi, người già, nam giới, nữ giới, nhân viên hay người tổ chức Họ có điểm chung có khả tác động, có khả đánh cắp, phá hoại thông tin nhạy cảm công nhằm phục vục cho mục đích khác họ Việc nhận dạng đối tượng, biết rõ chất, tâm sinh lý, quy luật hoạt động cần thiết để có kế hoạch đối phó thích hợp Dưới số đối tượng có tác động đến an ninh mạng tổ chức, thực tế nói, đối tượng công, động phương pháp công nhiều vô kể, liệt kê hết Nhân viên tổ chức (Disgruntled Worker) Đối tượng nguy tiềm ẩn lớn từ bên nội tổ chức Những đối tượng bất mãn, tư thù lợi ích riêng mà có hành vi gây nguy hại cho an toàn mạng thông tin tổ chức Đây đối tượng cần quan tâm đơn giản họ nhân viên tổ chức nên họ nắm giữ nhiều thông tin; hiểu rõ luật lệ, thủ tục, hiểu rõ “ngõ ngách” tổ chức Một thống kê năm 2001 Cụ điều tra liên bang Mỹ (FBI) cho thấy trung bình có 41% vấn đề liên quan đến an toàn thông tin tổ chức có liên quan trực tiếp đến nhân viên bên tổ chức, với thiệt hại trung bình vụ lên đến số hàng nghìn USD (nguồn: Darwingmag.com) Và số không ngừng gia tăng theo thời gian Có thể khẳng định mối nguy thực đến từ bên trong, cho dù hệ thống thiết lập hệ thống an ninh vững vàng cách xây dựng Firewall, DMZ, IDS, IPS [1],… chí thực hệ thống “đóng” cách đặt hệ thống cách ly hoàn với giới internet bên nghĩa có an toàn Đừng quên nguy yếu, lỗ hổng nguy hiểm đến từ từ nội tổ chức Đừng quên họ người biết rõ nên công vào đâu, vào lúc để đạt kết tránh bị phát Một lưu lưu ý khác nhân viên việc xin chuyển công tác đến đơn vị khác, đối tác, hãng cung cấp,… phải lưu tâm họ có quyền có khả truy cập thông tin sở liệu thông tin tổ chức, đặc biệt khả khai thác kỹ thuật social engineering Cần phải có sách quản lý người dùng thích hợp để đề phòng trường hợp có khả rò rỉ thông tin Đối thủ cạnh tranh (Comptitor) Xuất phát điểm hầu hết vụ công từ yếu tố này, tồn tổ chức, xí nghiệp - cạnh tranh để tồn tại, để phát triển hay tiêu diệt lẫn Nguy bị thông tin vào tay đối thủ cạnh tranh có thực đối thủ trực diện hưởng lợi nhiều từ thiệt hại tổ chức Gián điệp (Spy) Gắn liền với việc cạnh tranh hoạt động gián điệp Gián điệp nhân viên tổ chức từ bên sử dụng kỹ thuật, mánh khóe để thu thập thông tin từ tổ chức nhằm trục lợi cá nhân Cùng với toàn cầu hóa kinh tế, nhiều tổ chức, nhóm tình báo quân trước chuyển hướng sang mục tiêu kinh tế - gián điệp kinh tế với nhiều phương tiện, trang thiết bị kỹ thuật cao bán đầy rẫy thị trường làm cho nguy tăng lên rõ rệt thời gian gần Hầu hết vụ nghe nhằm vào tổ chức, đặc biệt tổ chức có tiếng tăm, tổ chức thuộc ngành công nghệ “kỹ thuật cao” (high-tech) Tuy nhiên, việc công vào tổ chức nhỏ ngày phổ biến hệ thống an ninh mạng tổ chức không mạnh, có nhiều yếu điểm khai thác dễ tổ chức lớn Hacker Ở Việt Nam, nguy từ đối tượng không thực rõ ràng hai đối tượng cần phải lưu tâm thực tế thời gian qua hệ thống máy chủ nhiều tổ chức bị công đối tượng chủ yếu, công với nhiều mục đích Bất hệ thống mạng nào, thực kết nối bên nguy bị công hacker hoàn toàn xảy Hiện nay, trình độ hacker VN không thấp vài năm trước Hầu hết máy chủ tổ chức, ISPs VN bị đối tượng xâm nhập dễ dàng Nếu trước hacker xâm nhập với mục đích “vui chính” kể từ năm 2003, mục đích số hacker “mũ đen” chuyển thành công nhằm “thu lợi cá nhân” Thu lợi sửa đổi thông tin có lợi cho họ, đánh cắp thông tin theo đơn đặt hàng, Vì tổ chức thực kết nối, giao dịch qua mạng nguy từ đối tượng lớn, thực tế thời gian qua chứng minh điều Cần lưu ý nước xuất hacker “mũ trắng” - hacker thiện chí có tin thần hợp tác nhằm nâng cao tính bảo mật phá hoại Việc tổ chức hợp tác với đối tượng VN điều mẽ giới điều quen thuộc thiếu hệ thống bảo mật nhiều nước – The only way to stop a hacker is to think like one – Chỉ chống hacker hiểu rõ hacker, hiểu rõ cách thức hành động hacker Hai tổ chức hacker lớn VN HVA (http://www.HVAonline.net) VHF (cũ) chức chuyển thành tổ chức hoạt động lĩnh vực an ninh máy tính Đây điều đáng mừng cho bảo mật vốn non trẻ, nhiều yếu điểm nước ta Người tò mò (Explorer) Là người có kỹ năng, ham học hỏi tìm hiểu, đặc biệt khoa học máy tính Đối tượng danh nghĩa không nguy hại đến an toàn thông tin, thực tế hoạt động âm thầm mang tính “khám phá” riêng họ tác động nguy hiểm đến an ninh mạng tổ chức họ xâm nhập vào Những người không tồn VN mà quốc gia có Rất nhiều số “người tò mò” hacker mũ trắng Script Kiddie Những người thuộc nhóm gọi môt hacker thực thụ hai yếu tố trình độ kỹ thuật động hành động họ Xét góc độ kỹ thuật, hiểu đối tượng “hacker học việc” Họ chủ yếu sử dụng công cụ (tools) sẵn có để thực công - công cách máy móc hầu hết họ thiếu khả kiên nhẫn học hỏi để hiểu hết chất công (ít góc độ kỹ thuật) Xét góc độ động cơ, họ liệt vào nhóm gây nguy hiểm họ thực công mang tính phá hoại, mục đích tìm danh xây dựng Theo nhận xét hacker trẻ, hàng đầu nước có đến 90% người tự xưng hacker VN xếp vào nhóm script kiddie Kẻ trộm (Thief) Hành động đối tượng vô tình cố ý ảnh hưởng đến an toàn thông tin tổ chức, đặc biệt góc độ an ninh vật lý Việc xâm nhập trực tiếp, đánh cắp trực tiếp liệu máy, đánh cắp thiết bị máy tính xách tay (laptop),… tổ chức kết nối Ngoài tác nhân người trên, yếu tố khác nhiều có tác động đến an toàn thông tin: “Bà mẹ thiên nhiên” (Nature Mother) Yếu tố tác động thiên nhiên mưa, gió, giông, sét, động đất,… không kể đến yếu tố nguy hiểm - hỏa hoạn Tác động yếu tố lên an ninh mạng mặt vật lý (physical) Chiến tranh thông tin (Warspace) Do tác động chiến tranh mạng - điều xảy có ảnh hưởng đến không lớn Thời gian vừa có xảy chiến mạng tổ chức hacker VN gián tiếp nhiều làm ảnh hưởng đến hệ thống mạng nước, làm trì trệ hoạt động số dịch vụ mạng điện toán internet VN Khủng bố (Terrorist) Chắc hẳn nhớ vụ công cảm tử Al Qaeda vào tháp đôi WTC (World Trade Center) tháng 11/2001 Hãy thử tưởng tượng mà tổ chức đặt đó, hệ thống thông tin vận hành tòa nhà để hình dung tác động khủng bố đến an ninh hệ thống tổ chức … Tóm lại, đối tượng yếu tố có khả ảnh hưởng đến an toàn thông tin mạng đa dạng, phong phú, đáng kế ba đối tượng liệt kê Có thể nói, có ý định, có khả tiếp cận với thông tin tổ chức có khả tác động nguy hiểm đến an toàn thông tin tổ chức Động Biết động họ giúp quản trị viên hiểu rõ ta hiểu họ công, liệu họ có phải đối tượng nguy hiểm cho hệ thống Có nhiều động để dẫn đến vụ công Những động có khả lớn tác động tới an ninh mạng: Tài Là động chính, quan trọng phổ biến Có đến 80% vụ công nhằm mục tiêu tìm kiếm thông tin (thường theo đơn đặt hàng), tống tiền, đánh cắp mã số thẻ tính dụng,… Các tổ chức tội phạm công nghệ cao, có kỹ nhằm vào mục tiêu Thù oán Rất nhiều trường hợp cạnh tranh cá nhân, tổ chức hay có trường hợp nhân viên lý bị buộc phải việc nên đứng đằng sau vụ công để trả đũa tư thù Do tò mò / tự khẳng định Không riêng VN, mà nói chung đối tượng có động chiếm nhiều Họ đa phần thiếu niên trẻ tuổi, tham gia, học hỏi diễn đàn, mailinglist, nhóm tin (usernet) hacking mạng nên họ muốn thử tay nghề Thực tế cho thấy đa số vụ công động tò mò, muốn thử tay nghề, muốn khẳng định thiếu niên tập tễnh học làm hacker Chính trị Không phải công nhuốm màu sắc trị túy, theo “Đảng” mà công “Đảng” hay ủng hộ ứng cử viên phản đối ứng cử viên kia, mà phần nhiều phía công muốn bày tỏ quan điểm kiện trị hay chiến Ví dụ trường hợp hacker Trung Quốc, Nam Tư (cũ) thực vụ xâm nhập, deface (thay đổi nội dung) website phủ Mỹ để bày tỏ kiến họ, có “đạo lý” riêng họ,… Tuy nhiên, động trị thể rõ lực cực hữu, tổ chức khủng bố với công, khủng bố mạng có chủ đích vào tổ chức phủ (chủ yếu Mỹ), tổ chức thù địch với chúng để lại thông điệp trị chúng Theo AP, phát biểu Hội nghị chống phân biệt chủng tộc chủ nghĩa ngoại Tổ chức an ninh hợp tác châu Âu (OSCE) tổ chức, Gerard Kerforn, Chủ tịch Phong trào hòa bình cho người chống phân biệt chủng tộc (MRAP), nói: “Internet trở thành kênh cho biểu lộ tinh thần cực hữu Và nay, nhà chức trách gần bất lực Những website xuất ngày nhiều, tạo diễn đàn trao đổi quan điểm thù địch, chống phá hòa bình thân thiện dân tộc sắc tộc” Không lý Nghe có phi thực tế, thật xảy nhiều vụ công chẳng lý cả, vui làm, buồn thực hay công để “khoe mẽ” với… cô hàng xóm xếp vào loại … Cách thức thực (How) Động công thay đổi theo thời gian Ví dụ, nhiều năm trước để chiếm đoạt tiền hay thông tin từ ngân hàng kẻ công dùng vũ lực công trực diện vào mục tiêu để chiếm đoạt ngày mục đích không thay đổi, khác phương thức thực hiện, sử dụng nhiều kỹ thuật cao hơn, nhiều mánh khóe hơn; không cần phải dùng… súng đạn theo kiểu cổ điển mà dùng… bàn phím chuột thao tác kỹ thuật công từ xa Theo thời gian, công cụ (tools) phục vụ cho công xuất ngày nhiều Việc “công cụ hóa” với việc sử dụng phương tiện sẵn có làm cho số lượng kẻ công tăng lên đông đảo tính phổ thông nên thể tìm thấy sử dụng Một thống kê vào năm 2001 Nhật báo Bưu điện Hoa Thịnh Đốn cho thấy mức độ “kỹ thuật” hay đầu tư chất xám công giảm nhiều, thay vào việc sử dụng phương tiện khai thác sẵn sử dụng, dễ thực Nguồn: Báo Bưu điện Hoa Thịnh Đốn, 2001 (The Washington Post, USA) Một số kiểu công thịnh hành có khả tác động đến hệ thống server tổ chức, chủ yếu công kỹ thuật cao hacker: 3.1 Tấn công mặt vật lý (Phisical Attack) Kiểu công nguy hiểm quản trị viên thường không lường trước đánh giá thấp khả bị công kiểu Việc trang bị cho hệ thống thành phần bảo vệ mạnh firewall, IDS, IPS,… có khả phòng chống kiểu công từ xa Tấn công vật lý xảy nội tổ chức, hệ thống không kết nối Tấn công loại chia làm loại: Đánh cắp trực tiếp Nghe trộm mạng 3.1.1 Đánh cắp trực tiếp Nghĩa cách xâm nhập vào khu vực đặt hệ thống máy chủ tìm cách chép liệu, đánh cắp ổ đĩa chứa liệu,… đặc biệt đánh cắp laptop (máy tính xách tay) để tìm kiếm thông tin Nhiều vụ công vào Bộ quốc phòng Mỹ thời gian vừa nhằm vào điểm yếu 3.1.2 Nghe trộm mạng Hay gọi kỹ thuật sniffing Bằng cách sử dụng thiết bị chuyên dụng, phần mềm nghe trộm, kẻ công tìm cách thu thập thông tin hệ thống truyền dẫn qua cable quang, qua mạng không dây chúng không mã hóa trình truyền Kỹ thuật sử dụng chủ yếu vào việc trộm mật 3.2 Kỹ thuật đánh lừa (Social Enginering) Là phương thức phổ biến nhất, hiệu để đánh cắp mật nói riêng khai thác thông tin, công vào hệ thống nói chung Hiểu đơn giản kỹ thuật lừa đảo (chủ yếu mạng) Kỹ thuật không đòi hỏi phải sử dụng nhiều yếu tố kỹ thuật, chí liên quan đến kỹ thuật túy (non-technical) để tìm kiếm, khai thác thông tin phục vụ cho mục tiêu công Phương cách thực thông qua thư tín, email, điện thoại hay tiếp xúc trực tiếp, thông qua người quen, mối quan hệ cá nhân,… nhằm dẫn dụ, khai thác thông tin vô tình bị tiết lộ từ phía người dùng Đối với Việt Nam kỹ thuật mẽ nên xác xuất thành công áp dụng cao Thực tế cho thấy việc áp dụng thành công nói không khó, người bị đánh lừa cách dễ dàng thủ thuật tưởng chừng đơn giản Như nói, kỹ không đòi hỏi kẻ công phải thành thạo kỹ thuật máy tính túy mà quan trọng khai thác yếu tố tâm lý, khía cạnh giao tiếp xã hội nhiều sử dụng yếu tố kỹ thuật thông thường nên - có hiểu biết máy tính - sử dụng kỹ Đây nguyên nhân khiến kỹ thuật phổ biến thực tế sống Các ví dụ minh họa điều Ví dụ Là chuyện có thật hacker tiếng giới vài năm trở lại Kevin Mitnick (Mỹ) - chuyên gia hàng đầu kỹ thuật Social Engineering Trong lần công vào công ty X, vận dụng kỹ để dò tìm thông tin liên quan đến vị Tống giám đốc X trợ lý thân cận vị Lợi dụng lúc hai người công tác bên ngoài, liền sử dụng CallID giả giả giọng nói viên trợ lý tự xưng người để gọi đến quản trị viên mạng công ty yêu cầu gửi cho mật đăng nhập vào hệ thống vị Tổng giám đốc lý ngài bị “quên” mật Dĩ nhiên quản trị viên phải kiểm tra vài thông tin anh ta, rõ trước Mitnick có đủ thông tin khôn ngoan để chứng minh trợ lý công ty nên quản trị viên không nghi ngờ gửi cho mật vị Tổng giám đốc (điều vi phạm nguyên tắc an toàn mật khẩu) Kết Mitnick dùng mật đó, dĩ nhiên tài khoản có nhiều quyền hạn truy cập, để “leo thang” chiếm quyền điều khiển toàn hệ thống mạng công ty cách dễ dàng Ví dụ Để lẩy trộm mật người A đó, thử phone đến địa nói câu như: “Chào anh A, dịch vụ mà anh sử dụng công ty XXX bị trục trặc với account anh Đề nghị anh gửi gửi lại gấp tài khoản cho để điều chỉnh lại Xin cám ơn quý khách hợp tác…” Mời nghe thoáng qua tưởng chừng đơn giản, thực tế xác xuất thành công cao, đặc biệt giả giọng nói ngào cô nhân viên trực điện thoại xác xuất thành công cao :D Ví dụ khác gần gũi kỹ thuật “Fake Email Login” Các bạn sử dụng dịch vụ email công ty Yahoo quen với kỹ thuật Về nguyên tắc, đăng nhập vào hộp thư phải điền thông tin tài khoản gồm username password gửi thông tin đến mail server để xử lý Đến có người nảy ý tưởng làm trang đăng nhập giả (Fake Login), thay nhấn Sign In để gửi đến mail server họ tìm cách cho gửi đến họ Xét góc độ kỹ thuật làm rõ cách làm không khó, đáng lưu ý ý tưởng thủ thuật để dẫn dụ nạn nhân gửi thông tin thông qua trang đăng nhập giả Có nhiều cách để gửi trang đến nạn nhân, ví dụ giả dạng gửi điện hoa giả, trang giả yahoo đòi xác nhận mật khẩu,… Tóm lại, kỹ thuật Social Engineering đa dạng, phong phú nguy hiểm tính hiệu phổ biến Kiểu lừa đảo “phishing” rộ lên thời gian gần liệt vào loại (sẽ đề cập riêng) 3.3 Lổ hổng bảo mật (Security Hole) Ngày nay, lổ hổng bảo mật sản phẩm thiết kế phát ngày nhiều hơn, site Bugtraq (http://securityfocus.com) hay Cert (http://cert.org) chẳng hạn, cập nhật hàng ngày Các lỗi tập trung vào hệ điều hành máy chủ, ứng dụng web, thiết bị phần cứng phần mềm hãng thứ ba (thirdparty) phục vụ vận hành hệ thống Chỉ cần thời gian ngắn sau phát hiện, công bố có nhiều tài liệu, mã nguồn, công cụ hướng dẫn khai thác phát tán rộng rãi Internet Nếu nhà quản trị không kịp cập nhật hotfix, sửa lỗi path kịp thời việc hệ thống bị bị công điều hoàn toàn xảy Nhìn chung, việc cập nhật đa phần không thực đầy đủ, chí không thực Điều để hiểu sách rõ ràng, phân công nhân lực thực Đây thực trạng chung nhiều tổ Và nhữn nguyên nhân quan trọng để hệ thống bị công chúng không cập nhật, vá lỗi kịp thời Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến mức độ nguy hiểm) Trước tiên phải kể đến lỗi Unicode IIS (Unicode Internet Information Service) máy chủ web IIS sử dụng hệ điều hành mạng Windows NT hãng Microsoft Chỉ cần sử dụng vài Script URL vài câu lệnh DoS đơn giản, kẻ công dễ dàng chiếm quyền điều khiển máy chủ Suốt từ năm 2001 (thời điểm phát lỗi) đến nay, nhiều máy chủ sử dụng máy chủ web IIS lao đao gặp phải lỗi Tuy nhiên, lỗi bảo mật cho nguy hiểm phổ biến phải lỗi Tràn đệm (Buffer Over Flow) Về bản, tình trạng tràn đệm xảy liệu gửi đến ứng dụng nhiều mong đợi xảy tình trạng này, kẻ công lợi dụng để thực thi mã chương trình nhằm công giành quyền điều khiển hệ thống Kỹ thuật công làm cho hệ thống bị tê liệt làm cho quản trị viên hệ thống khả kiểm soát hoàn toàn tạo điều kiện cho kẻ công xâm nhập Điểm chết người lỗi hệ thống bị xâm nhập không lưu lại dấu vết kẻ công nên quản trị hoàn toàn không nhận có xảy cố hay chưa? Vì dẫn đến việc việc phòng chống khó khăn Cách phòng chống quản trị viên phải liên hệ thường xuyên với nhà sản xuất phần mềm hệ thống họ sử dụng cách viếng thăm website, tham gia vào mailinglist họ để cập nhật lỗ hổng để tải sửa lỗi thích hợp Theo nhận xét chuyên gia bảo mật, VN số hacker thành thạo kỹ thuật đếm đầu ngón tay, số quản trị mạng thành thạo không nhiều Một điều may mắn để khai thác lỗi kẻ công phải có trình độ định kỹ thuật phức tạp bảo mật nói riêng hacking nói chung Nó đòi hỏi người thực am hiểu rõ ràng hệ thống họ công, hệ điều hành, phần mềm chạy hệ thống Thêm vào đó, người thực thiết phải hiểu biết hợp ngữ, thông thạo vài ngôn ngữ lập trình kể cấp thấp cấp cao, hiểu tổ chức nhớ cách làm việc dòng CPU (Central Proccess Unit) chạy máy chủ lệnh (Opcodes) CPU Việc sử dụng đoạn mã khai thác Buffer Over Flow sẵn có (Already Built Shellcode) phần lớn không dẫn đến thành công, để hiểu đoạn mã sẵn có đòi hỏi cần có khả lập trình định Điều đáng ý quản trị mạng lỗi xuất tất sản phẩm tiếng, phần cứng lẫn phần mềm Lỗi không sử dụng để đột nhập máy chủ mà dùng để đột nhập vào định tuyến mạng (router), tường lửa quốc gia,… 3.4 Lỗi cấu hình hoạt động (Error Configuration) Lỗ hổng ứng dụng máy chủ có thiết lập mặc định lúc sản xuất (chạy chế độ mặc định) người quản trị hệ thống định cấu hình không an toàn, cấu hình sai Lỗi cấu hình không phù hợp phổ biến, chủ yếu quản trị viên lười biếng kiểm tra việc cài đặt hệ thống Bởi cài đặt họ cho chạy xác lập mặc định chương trình vốn mà điều chỉnh mức an toàn khác Vì sau cài đặt cấu hình (install and configuration) thay đổi thiết lập mặc định hệ thống để đảm bảo không bị mắc lỗi tưởng chừng giản đơn Một vài lỗi bị khai thác tiêu biểu: 3.4.1 Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS Khi cài đặt máy chủ web IIS cài đặt thư mục chứa tài liệu web, không xóa số tập tin mặc định ngôn ngữ kịch máy chủ server (server-side script) nằm thư mục mặc định Inetpub\www ổ đĩa hệ thống (C) Đây nguyên nhân giúp kẻ công dễ dàng giành quyền điều khiển toàn máy chủ nói lỗi IIS 3.4.2 Không cần Đăng nhập (Log-in) Nếu ứng dụng không thiết kế chặt chẽ, không ràng buộc trình tự bước duyệt ứng dụng lỗ hổng bảo mật hacker lợi dụng để truy cập thẳng đến trang thông tin bên mà không cần phải qua bước đăng nhập hay xác thực 3.4.3 Mật mặc định (Password-Based Attacks) Thông thường hệ thống cấu hình quản trị sử dụng tài khoản (account) mặc định chương trình, ví dụ root, admin, let me in,… Các admin hệ thống sau config xong không đổi, hội để giúp kẻ công đoán mật mặc định dễ dàng xâm nhập vào cách đường đường chính Một vào vào họ tạo thêm user, cài cửa hậu (backdoor) lần viếng thăm sau 3.5 Các điểm yếu ứng dụng/hệ thống (Vulnerabilities) Các điểm yếu có (vulnerabilities) có khả bị khai thác (exploit) nhiều lớp ứng dụng chạy (application) máy chủ (lớp ứng dụng mô hình mạng OSI) 3.5.1 SQL Injection Là kiểu công phổ biến vào loại bậc nay, hầu hết máy chủ nước ta sử dụng sở liệu (database), đặc biệt Microsoft SQL Server, nhiều tồn lỗi Tấn công kiểu gọn nhẹ hiệu cao dùng công cụ công trình duyệt web không cần phải sử dụng thêm công cụ khai thác Cách công chủ yếu chèn ký tự đặc biệt, tham số trực tiếp vào địa URL (Uniform Resource Locator) form đăng nhập để khai thác yếu điểm từ chương trình vận hành Database lập trình viên viết code (mã chương trình) bất cẩn không soát thông tin nhập liệu lỗi kỹ thuật hệ thống (chi tiết đề cập chi tiết viết khác) 3.5.2 XSS (Cross Site Scripting), Session Hijacking Thông thường, chương trình chạy máy chủ nhận diện người sử dụng thông qua chuỗi ký tự gọi Session ID, ví SesionID giấy thông hành tạm thời để lệnh cho máy chủ cung cấp liệu Khi bắt đầu kết nối vào máy chủ yêu cầu cung cấp thông tin quý giá, phần mềm máy chủ hỏi người sử dụng tên tài khoản mật mã tương ứng để xác nhận quyền sử dụng Nếu chấp nhận, người sử dụng cấp SessionID bí mật có hiệu lực khoản thời gian xác định, thời gian đó, người sử dụng phải cung cấp lại tên tài khoản mật tương ứng để cấp phát SessionID Điều xảy kẻ công biết SessionID thời người dùng máy chủ truy cập thông tin? Đương nhiên, phòng bị (theo phần mềm thời coi sessionID đáng tin tưởng), kẻ acker giả danh người dùng, người dùng cao cấp (các quản trị viên) có toàn quyền truy cập vào máy chủ lấy tất thông tin quý giá Để lấy SessionID (gọi session hijacking), kẻ công mạng cục (LAN) sử dụng phần mềm đặc biệt để bắt lấy liệu chạy cáp mạng sử dụng lỗi XSS (Cross Site Scripting) phần mềm chạy máy chủ không lập trình thận trọng gây Kỹ thuật bắt liệu mạng gọi Snifier không đòi hỏi hiểu biết TCPIP hạ tầng sở mạng máy tính nhiều Tại thời điểm này, có nhiều công cụ hỗ trợ cho việc bắt liệu mạng Để thực công sử dụng lỗi XSS đánh cắp SessionID, kẻ công cần có chút kiến thức ngôn ngữ máy khách Java Script Tuy nhiên, công thực nguy hiểm kẻ công am hiểu sâu sắc ngôn ngữ lập trình web (bất kể ASP, ASP.Net, PHP, Perl, Python, ), am hiểu giao thức HTTP (Hyper Text Transfer Protocol - Giao thức truyền tin đa phương tiện) chuẩn cookie liên quan đến giao thức HTTP Với hiểu biết vậy, phần mềm viết để tự động hoá trình công, gây cho hậu nặng nề, đôi lúc làm tê liệt toàn hệ thống Về nguyên tắc Session Hijacking không cho phép hacker đoạt quyền điều khiển máy chủ, hacker xem xóa thông tin bí mật thay đổi nội dung chúng Trường hợp hay xảy nhiều tổ chức nước Merufa đặt mật truy cập thông tin trùng với máy chủ nên kẻ công đương nhiên chiếm quyền điểu khiển toàn máy chủ 3.5.3 Code Injection Code Injection có vài điểm tương đồng với hai kiểu công trên, việc phát động công trình duyện web (Web Browser) Tuy nhiên, người thực công cần biết sử dụng ngôn ngữ lập trình web mà trang web bị công sử dụng (ví dụ PHP, Perl, Python, ) Để thực thành công Code Injection, thiết phải có máy chủ trung gian chứa code (mã chương trình) để inject (chèn) Thực công kiểu đòi hỏi trình độ định lập trình web không khó khăn hacker thực thụ Mặc nhiên, đoạn code inject chạy cấp độ quyền sử dụng server (thông thường quyền sử dụng cao nhất) Tuy nhiên, cho phép kẻ công thực việc download/upload (tải xuống đưa tài liệu lên mạng) tuỳ thích phần mềm, backdoor lên máy chủ bị công hậu nặng nề Nếu đạt trình độ định, hacker chiếm quyền cao để điều khiển toàn hệ thống không khó khăn 3.6 Tấn công từ chối dịch vụ - Denial of Services (DoS) Kỹ thuật khác dài, xin xem “Tấn công từ chối dịch vụ DoS/DDoS/DRDoS” Tóm lại việc nhận diện cách thức công vô quan trọng để có phương thức đối phó thích hợp Hơn nữa, việc nhận diện đối phương ai, động họ công yếu tố định cho thành công việc phòng chống công (Còn tiếp) Tài liệu tham khảo [1] The HVA Defense System, Thesun (Triệu Trần Đức), http://www.HVAonline.net [2] SANS Reading Room, http://www.sans.org Và số articles khác chuyên trang security Bugtrag, GIAC,…