Đang tải... (xem toàn văn)
Công nghệ thông tin đã và đang phát triển với một tốc độ chóng mặt, mang lại rất nhiều lợi ích cho nhân loại. Từ đời sống sinh hoạt đến các hoạt động kinh doanh, các hoạt động quản lý, chỉ đạo trong bộ máy nhà nước thì đều có sự hiện diện và đóng góp của Công Nghệ Thông Tin. Tuy nhiên, bên cạnh các mặt tích cực mà nó mang lại thì vẫn còn tồn tại nhiều mặt tiêu cực và ngày càng trở nên nghiêm trọng, nhức nhối cho xã hội như: các nguy cơ tấn công mạng nhằm phá hoại hệ thống mạng, hệ thống thông tin, nguy cơ bị đánh cắp các thông tin “nhạy cảm” của cá nhân, tổ chức, doanh nghiệp, các cơ quan nhà nước… Với sự phát triển không ngừng của kĩ thuật máy tính, nguy cơ bị hacker tấn công vào hệ thống thông tin ngày càng gia tăng, vấn đề password ngày càng trở nên phức tạp, giờ đây password không chỉ đơn thuần là một chuỗi kí tự bí mật của riêng user, mà nó luôn ở trong nguy cơ bị cracking cao độ, do đó đòi hỏi người dùng cần có những kiến thức mới về password.
PHỤ LỤC MỞ ĐẦU Công nghệ thông tin phát triển với tốc độ chóng mặt, mang lại nhiều lợi ích cho nhân loại Từ đời sống sinh hoạt đến hoạt động kinh doanh, hoạt động quản lý, đạo máy nhà nước có diện đóng góp Công Nghệ Thông Tin Tuy nhiên, bên cạnh mặt tích cực mà mang lại tồn nhiều mặt tiêu cực ngày trở nên nghiêm trọng, nhức nhối cho xã hội như: nguy công mạng nhằm phá hoại hệ thống mạng, hệ thống thông tin, nguy bị đánh cắp thông tin “nhạy cảm” cá nhân, tổ chức, doanh nghiệp, quan nhà nước… Với phát triển khơng ngừng kĩ thuật máy tính, nguy bị hacker công vào hệ thống thông tin ngày gia tăng, vấn đề password ngày trở nên phức tạp, password không đơn chuỗi kí tự bí mật riêng user, mà ln nguy bị cracking cao độ, đòi hỏi người dùng cần có kiến thức password Với lý nhóm em quan tâm lựa chọn đề tài “Cracking password” Nội dung đề tài gồm chương: Chương 1: Tổng quan password Chương 2: Các phương thức cracking password Chương 3: Các biện pháp phòng chống cracking password CHƯƠNG 1: TỔNG QUAN VỀ PASSWORD 1.1 Khái niệm password Password (tạm dịch mã xác nhận) từ chuỗi kí tự bí mật, sử dụng để xác thực, chứng minh người sử dụng trước truy cập tài nguyên Mật cặp với tên truy nhập hệ thống cần phân biệt người sử dụng khác 1.2 Độ phức tạp mật a Mật yếu Một mật yếu mật ngắn, phổ biến, mặc định hệ thống cung cấp, thứ bị đốn nhanh chóng cách thực thi công vét cạn sử dụng tập tất mật khả dĩ, từ từ điển, tên riêng, từ dựa tên người dùng biến thể thông thường từ Mật bị dễ dàng đoán dựa hiểu biết người dùng đó, ngày tháng năm sinh tên thú ni, bị xem yếu Các ví dụ mật yếu: + 888, 123456, 123qwe, asdfgh + giap, luanl, aaa, bbbb +… b Mật mạnh Một mật mạnh mật đủ dài, mang tính ngẫu nhiên, khơng có người chọn nghĩ được, cho việc đoán phải cần nhiều thời gian thời gian mà kẻ bẻ khóa mật sẵn sàng bỏ để đốn Ví dụ mật mạnh: + gIap2@bs7lnnl334ls, lUanhAnam@213 Thời gian trung bình Brute-Force mật 1.3 Sự cần thiết password Password giúp ta ngăn chặn việc xâm nhập trái phép vào hệ thống, bảo vệ thông tin, giúp ta xác nhận cá nhân đăng nhập hệ thống ghi vết lại hành động họ liệu 1.4 Các hiểm họa đến từ password Trong phần lớn tổ chức 99% người dùng gia phụ thuộc vào password hình thức nhận dạng liệu nhạy cảm riêng tư, mạng có chế bảo mật thấp vơ hình chung tạo lỗ hổng cho hacker tiếp cận tài nguyên công ty tài sản người dùng Mặc dù password phương tiện cần thiết, thân thiện với người dùng để nhận dạng người dùng tiếp cận mạng sở liệu họ, thật người dùng lơ với yêu cầu họ cần thay đổi password, cần tạo password có tính bảo mật làm theo dẫn để bí mật tốt Kết số lượng lớn password dò được, password giống nhiều hệ thống, người dùng phải ghi để đăng nhập gồm password tên đăng nhập CHƯƠNG 2: CÁC PHƯƠNG THỨC CRACKING PASSWORD 2.1 Các dạng công mật Tấn công password ta tìm cách để có password urerID để xâm nhập vào hệ thống họ Một cách tổng quan, có dạng cơng mật là: • Passive Online: Nghe trộm thay đổi mật mạng Cuộc công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, • replay attacks (tấn cơng dựa vào phản hồi) Active Online: Đốn trước mật nguời quản trị Các • • cơng trực tuyến bao gồm việc đốn password tự động Offline: Các kiểu công Dictionary, hybrid, brute-force Non-Electronic: Các công dựa vào yếu tố người Social engineering, Phising… 2.1.1 Passive Online Attack a Wire sniffing Bắt mật môi trường không mã hóa tốt, đặc biệt mơi trường mạng Lan máy Net bắt buộc phải default gateway Các hệ thống truyền đạt thông tin qua mạng không chắn lợi dụng điều này, hacker truy cập vào đường truyền liệu để nghe trộm đọc trộm luồng liệu truyền qua Hacker nghe trộm truyền đạt thông tin, thu thập thông tin quý giá hệ thống packet chứa username password + Chạy cơng cụ bắt gói tin mạng LAN để bắt gói tin phân tích liệu để tìm mật + Các mật thường bắt dạng plaintext dịch vụ như: Telnet, FTP, rlogin, mail + thông tin nghe sử dụng để truy cập trái phép vào hệ thống mục tiêu Attacker nghe đường truyền liệu victim b Man In The Middle Attack Man-in-the-Middle (MITM) hình thức cơng mà kẻ công (attacker) nằm vùng đường kết nối (mạng LAN) với vai trò máy trung gian việc trao đổi thơng tin hai máy tính, hai thiết bị, hay máy tính server, nhằm nghe trộm, đánh cắp thông tin thay đổi luồng liệu trao đổi nạn nhân Tấn công Man In The Middle c Replay attack: Các gói liệu access token Victim Attacker bắt lại để sau sử dụng để truy cập vào server Access Token đoạn mã sinh ngẫu nhiên sử dụng bí mật cho người dùng, ứng dụng thực thao tác quan trọng, hay truy cập vào tài khoản người dùng Bạn tạm hiểu access token trường hợp đường hầm bí mật để vào ngơi nhà bạn Các hình thức xác thực username, password giống khóa chìa khóa cửa nhà bạn Access token không qua cánh cửa Kẻ công nghe đường truyền 2.1.2 Active Online Attack * Hash Injection and Phishing + Hash Injection: Hash Injection Attack cho phép attacker “tiêm” giá trị hash vào phiên làm việc cục máy tính nạn nhân sử dụng hash để kiểm tra tính hợp lệ truy cập tài nguyên mạng Attacker tìm trích thơng tin “domain admin account hash” đăng nhập Attacker sử dụng hash thu thập để đăng nhập vào domain controller +Phishing: Phishing việc xây dựng hệ thống lừa đảo nhằm đánh cắp thông tin nhạy cảm, tên đăng nhập, mật hay thơng tin loại thẻ tín dụng người dùng Phishing xuất thực thể đáng tin cậy, trang thông tin điện tử, eBay, Paypal, gmail, hay ngân hàng trực tuyến mục tiêu hướng đến hình thức cơng Phishing thường thực qua email, tin nhắn nhanh thường tập trung vào hướng lừa người dùng nhập thông tin vào form hay click vào đường dẫn website lừa đảo Ví dụ: Hacker làm giả giao diện trang web FB, Gmail, hay trang ngân hàng trực tuyến…, gửi cho nạn nhân yêu cầu đăng nhập để xác thực vấn đề đó, người dùng khơng cảnh giác nhập username, password gửi tới cho hacker Hacker làm giả trang web Facebook để hack tài khoản người dùng * Trojan Horse, Spyware, Keyloggers: Đây loại mã độc mà máy tính nạn nhân bị nhiễm hacker lấy số thơng tin quan trọng username password + Trojan Horse: Trojan horse chương trình máy tính thường ẩn dạng chương trình hữu ích có chức mong muốn, hay chúng trơng có tính Một cách bí mật, lại tiến hành thao tác khác không mong muốn Những chức mong muốn phần bề mặt giả tạo nhằm che giấu cho thao tác Trong thực tế, nhiều Trojan horse chứa đựng phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng Khác với virus máy tính Trojan Horse mặt kỹ thuật phần mềm thơng thường khơng có ý nghĩa tự lan truyền Các chương trình lừa người dùng để tiến hành thao tác khác mà thân chủ không tự nguyện cho phép tiến hành Ngày nay, Trojan horse thêm vào chức tự phân tán Điều đẩy khái niệm Trojan horse đến gần với khái niệm virus chúng trở thành khó phân biệt + Spyware (Phần mềm gián điệp): Phần mềm gián điệp (Spyware) loại phần mềm chuyên thu thập thơng tin từ máy chủ (thơng thường mục đích thương mại) qua mạng Internet mà khơng có nhận biết cho phép chủ máy Một cách điển hình, spyware cài đặt cách bí mật phận kèm theo phần mềm miễn phí (freeware) phần mềm chia sẻ (shareware) mà người ta tải từ Internet Một cài đặt, spyware điều phối hoạt động máy chủ Internet lặng lẽ chuyển liệu thông tin đến máy khác (thường hãng chuyên bán quảng cáo tin tặc) Phần mềm gián điệp thu thập tin tức địa thư điện tử mật số thẻ tín dụng Spyware cài đặt cách vô tội vạ mà người chủ máy muốn cài đặt phần mềm có chức hồn tồn khác + Keyloggers: Là phần mềm ghi lại chuỗi phím gõ người dùng Nó hữu ích cho việc tìm nguồn gốc lỗi sai hệ thống máy tính đơi dùng để đo suất làm việc nhân viên văn phòng Các phần mềm kiểu hữu dụng cho ngành luật pháp tình báo - ví dụ, cung cấp phương tiện để lấy mật khóa mật mã nhờ qua mắt thiết bị an ninh Tuy nhiên, phần mềm keylogger phổ biến rộng rãi Internet sử dụng cho mục đích lấy trộm mật chìa khóa mã hóa * Password Guesing: Kẻ cơng sử dụng từ điển username/password để dò mật hệ thống Phương thức đoán mật dựa kinh nghiệm attacker thói quen người sử dụng Từ điển tạo từ hacker với từ liên quan đến nạn nhân tên, số điện thoại, ngày sinh, tên người thân… Phương pháp hiệu kẻ công hiểu rõ nạn nhân… Tuy nhiên với mật phức tạp cách khó thành cơng 2.1.3 Offline Attack Các kiểu cơng offline: Để tìm hiểu vấn đề này, trước hết ta phải tìm hiểu chế mã hóa xác nhận password + Mã hóa password: nay, đa số password “băm” chiều hàm băm ví dụ SHA MD5 Do ứng dụng tốt, password lưu dạng chuỗi kí tự băm khơng lưu dạng plaintext + Xác nhận password: giả sử user A có password abc, password ứng dụng “hash” thành 0cc175b7c0f1b6a831c399e269772661 chứa CSDL Nếu chúng trùng nhau, user A vào Khi hệ thống bị nhân nhượng, hacker lấy file mã hóa password, khơng thể có file password dạng plaintext, đặc tính 10 chiều hàm băm, hacker muốn có password dạng plaintext dùng sau đây: a Dictionary attack (dạng từ điển): + Tấn công từ điển tạo (download về) file chứa hầu hết từ có nghĩa từ điển, sau băm so sánh với mật người dùng, sử dụng để đốn password user Trên thực tế users thường dùng từ có nghĩa để đặt cho password mình, phương pháp cơng từ điển phương pháp đơn giản mà mức độ thành công lại cao Trên hầu hết hệ thống, cơng từ điển hồn thành thời gian ngắn để so sánh với tổ hợp từ + Việc lập file từ điển đơn giản, bạn biết rõ user Ví dụ: thuật ngữ thường xuyên sử dụng công việc user, tên người quan trọng user đưa vào từ điển + Kiểu công có số hạn chế khơng sử dụng với mật mạnh, có chữ số hay kết hợp kí tự khơng có nghĩa Tấn công dạng từ điển b Hybrid attack (dạng tổng hợp): 11 + Là kết hợp công từ điển công vét cạn Các công Hybrid bắt đầu với tập tin từ điển thay số ký hiệu cho ký tự mật Ví dụ, nhiều người sử dụng thêm số vào cuối mật họ để đáp ứng yêu cầu mật mạnh Hybrid thiết kế để tìm loại bất thường mật + Ví dụ: user sử dụng password intertainment123 Khi khơng thể dùng phương pháp từ điển khơng có từ chữ số, dùng phương pháp brute force lâu Ta dùng phương pháp công tổng hợp, cách sử dụng phương pháp từ điển để lấy từ có nghĩa, sau dùng phương pháp brute force để thêm số vào sau từ dò tìm password c Brute Force Attack (Tấn cơng vét cạn): + Đây phương pháp bẻ password cách vét cạn tất trường hợp ghép nối kí tự có, kí tự đơn giản thơng thường kí tự đặc biệt, sau băm để so sánh với password người dùng + Một công thuật tốn brute-force chậm ba loại cơng kết hợp nhiều ký tự mật Tuy nhiên, với máy tính mạnh có khả ghép nối tất kí tự lại với nhau, hacker bẻ tất mật có đủ thời gian 2.1.4 Non-electronic attack Các công nonelectronic dạng công mà không sử dụng kiến thức kỹ thuật Loại cơng bao gồm kỹ thuật social engineering, shoulder surfing, keyboard sniffing, dumpster diving a Social engineering Sử dụng ảnh hưởng thuyết phục để đánh lừa người dùng nhằm khai thác thông tin có lợi cho cơng thuyết phục nạn nhân thực hành động Social engineer (người thực công việc công phương pháp social engineering) thường sử dụng điện thoại internet 12 để dụ dỗ người dùng tiết lộ thông tin nhạy cảm để có họ làm chuyện để chống lại sách an ninh tổ chức Bằng phương pháp này, Social engineer tiến hành khai thác thói quen tự nhiên người dùng, tìm lỗ hổng bảo mật hệ thống Điều có nghĩa người dùng với kiến thức bảo mật cõi hội cho kỹ thuật công hành động b Shoulder surfing Shoulder Surfing kỹ thuật thu thập password cách xem qua người khác họ đăng nhập vào hệ thống Hacker xem người sử dụng đăng nhập hợp lệ sau sử dụng password đề giành quyền truy xuất đến hệ thống Phương thức đơn giản chủ quan người dùng tạo hội cho attacker tìm mật c Keyboard sniffing Sử dụng bàn phím giả gắn bàn phím thật, thao tác người sử dụng bị lưu lại nhớ gắn camera bàn phím để ghi hình việc người sử dụng gõ bàn phím Ví dụ: gắn bàn phím giả lên bàn phím thật máy ATM để lấy mã PIN chủ thẻ d Dumpster diving Tìm kiếm thùng rác, thông tin viết mảnh giấy in máy tính Hacker tìm thấy password, filename, mẩu thơng tin bí mật 2.2 Các công cụ crack password phổ biến + Legion: Đây cơng cụ có khả qt nhiều máy tính lúc thơng qua dãy địa IP để tìm tài nguyên chia sẻ đoán mật người dùng tự động + L0pht Crack : Có khả bẻ khóa mật mạnh mẽ dựa liệu từ điển có sẵn ứng dụng hay tiến hành bẻ khóa theo dạng brute-force 13 (quét cạn) dò tìm điển khơng thành cơng Với ứng dụng này, máy tính có cấu hình mạnh tỉ lệ thành cơng cao + Join The Riper: Ứng dụng dạng dòng lệnh bẻ khóa mật hệ thống Unix Windows + KerbCrack: Chương trình gồm hai thành phần : kerbsniff kerbcrack, kerbsniff lắng nghe bắt giữ thông tin đăng nhập hệ thống Windows 2000 / XP / 2003 / Vista sau gởi đến cho kerbcrack bẻ khóa thơng qua phương pháp quét cạn hay dùng từ điển + Cain Abel: Nghe mật thông qua cơng giả mạo ARP cache, hay bẻ khóa mật từ điển hay vét cạn + Konboot: Đột nhập vào máy tính window khơng cần mật 14 CHƯƠNG 3: CÁC BIỆN PHÁP PHỊNG CHỐNG CRACKING PASSWORD 3.1 Phòng chống cơng bẻ khóa mật Để ngăn ngừa bị bẻ khóa mật cần áp đặt sách mật mạnh có độ dài kí tự, với kết hợp nhiều dạng kí tự khác gồm kí tự đặc biệt, chữ hoa, chữa thường số làm cho trình cơng dò từ điển hay brute-force trở nên khó khăn Bên cạnh đó, quản trị mạng nên ứng dụng Syskey Windows, chức bảo vệ mã hóa mật nâng cao phòng chống tốt công cụ L0phtCrack, Ron The Ripper Sau số quy tắt đặt mật cần tn theo để phòng chống bị bẻ khóa: • • Không sử dụng mật mặc định Không sử dụng mật đơn giản bị tìm kiếm thơng qua dò từ điển, mật password, abcdef, • 123456 mật thống kê bị công nhiều Không sử dụng mật liên quan đến hostname, domain • name hay thơng tin mà hacker dễ dàng tìm kiếm qua Whois Khơng sử dụng mật liên quan đến thú cưng, ngày sinh bạn hay người yêu đối tượng mà hacker nghĩ • đến dò mật bạn Đừng đặt kí tự đặt biệt sau từ khóa Ví dụ: • khơng đặt password password1 Đừng ghép hai từ với để password Ví dụ • • • • • • • như: vnevne Khơng đặt password dễ đốn khơng đặt password ngắn Không đặt password từ thường xuyên gõ như: 123qwe Hãy thay đổi mật thường tháng lần Hãy thay đổi phát tài khoản bị người khác sử dụng Đừng chứa password máy tính bạn Khơng nói cho người khác biết mật 15 • • • Tránh đặt trùng password nhiều ứng dụng Không ghi password dạng plaintext cho dễ nhớ Sử dụng mật có độ dài 21 kí tự khiên cho hacker khơng thể bẻ khóa cách dò từ điển hay vét cạn (thời gian lâu) 3.2 Một số phương pháp tăng độ mạnh mật ngăn ngừa bị công 3.2.1 Thay đổi mật thường xuyên Thay đổi mật thường xuyên tiêu chí hàng đầu việc bảo vệ mật khẩu, thoe khuyến nghĩ sách an tồn thơng tin ISO 27001 : 2005 nên thay đổi mật sau 24 ngày 48 ngày tùy vào nhu cầu tổ chức Mặc dù điều gây đôi chút bất tiện cho người dùng hạn chế nhiều khả hacker bẻ khóa mật tái sử dụng để truy cập bất hợp pháp vào hệ thống 3.2.2 Theo Dõi Event Viewer Log Trong vai trò quản trị hệ thống hay người phụ trách vấn đề an ninh mạng tổ chức bạn cần thường xuyên theo dõi tập tin nhật kí Event View, điều giúp phát hành động khả nghi xâm nhập trái phép hacker, có virus lây lan mạng cố gắng kết nối đến máy tính khác tên netbios mật mặc định Có nhiều cơng cụ giám sát Event Log chuyên dụng cho hệ thống máy chủ riêng biệt sản phẩm GFI (www.gfi.com) hay chương trình VisualLast (http://www.ntobjectives.com/) hỗ trợ quản trị mạng cơng việc phân tích log file thơng qua báo cáo tình trạng đăng nhập tương đối rõ ràng Đối với chương trình chuyên dụng hệ thống có cố xảy có cảnh báo thích hợp mail, sms hay gọi điện thoại tự động đến cho quản trị viên Tập tin nhật kí lưu trữ c:\\windows\system32\config\ , cần lưu ý số tình tập tin rỗng bạn không hiệu lực chúng 16 sách bảo mật thiết lập chúng mục Security Settings\ Local Policies 3.2.3 Sử dụng mật dạng hình ảnh (Graphical password) Về bản, người có xu hướng ghi nhớ thơng tin dạng hình ảnh dễ dàng thơng tin dạng khác Chúng ta gặp khó khăn phải nhớ chuỗi 50 ký tự, lại dễ dàng nhớ gương mặt người ta gặp, nơi ta đến thứ ta thấy Dựa vào đặc điểm này, người ta tạo mật hình ảnh (graphical password) Để đăng nhập vào website hay hệ thống bảo mật graphical password, thay phải nhập chuỗi ký tự alpha – numberic password, người dùng yêu cầu ấn chuột vào điểm ảnh mà hệ thống đưa điểm mật mà họ xác định ghi nhớ trình tạo mật Dĩ nhiên người dùng chọn số lượng điểm bí mật nhiều để tăng độ bảo mật Điểm mạnh graphical password dễ nhớ mà mức độ bảo mật lại cao hacker khơng thể dụng cách công từ điển để đánh cắp mật chương trình keylogger trở nên vơ dụng biểu tượng xáo trộn ngẫu nhiên lần đăng nhập Tuy nhiên bạn bị lộ password người khác quan sát ghi nhớ biểu tượng điểm ảnh bạn chọn lần đăng nhập 3.2.4 Sử dụng mật dùng lần (One time password) Nguyên lý hoạt động mật lần (One time password - OTP) sau: sau đăng ký dịch vụ, lần muốn đăng nhập, người dùng cung cấp mật tạo đầu đọc thẻ thông minh hay thiết bị tạo mật cầm tay (token) nhờ vào kết nối internet với máy chủ dịch vụ cung cấp OTP thơng qua thẻ OTP in sẵn hay điện thoại di động mà không cần đến kết nối internet 17 Mật tự hiệu lực sau người dùng đăng xuất (log out) khỏi hệ thống Như vậy, bạn bị lộ mật người có mật khơng thể dùng được, giải pháp OTP có tính bảo mật cao Q trình tạo mật lặp lại lần người dùng đăng nhập vào hệ thống bảo mật OTP Công nghệ OTP dùng nhiều chứng thực trực tuyến (thương mại trực tuyến) Hiện người dùng thiết bị cầm tay iPhone, Blackberry tự cài đặt chế bảo mật OTP chương trình nhưVeriSign, RSA SecureID hay SafeNet MobilePASS KẾT LUẬN Hiểu tầm quan trọng mật khẩu, bảo mật mật khẩu, mật mạnh, dạng công mật cách phòng chống bẻ khóa mật quan trọng an ninh mạng Trên toàn báo cáo chúng em đề tài cracking password Thông qua báo cáo, chúng em hiểu tương đối rõ mật khẩu, dạng bẻ 18 khóa mật làm thể để tăng độ bảo mật mật khẩu…Tuy nhiên, dừng lại mức độ lý thuyết, chưa có điều kiện thời gian để thực hành với công cụ công chống cơng mật Bài báo cáo nhiều thiếu sót, chúng em hy vọng nhận đóng góp ý kiến, giúp đỡ nhiệt tình thầy giáo bạn để báo cáo chúng em hoàn thiện 19 ... cần có kiến thức password Với lý nhóm em quan tâm lựa chọn đề tài Cracking password Nội dung đề tài gồm chương: Chương 1: Tổng quan password Chương 2: Các phương thức cracking password Chương... chống cracking password CHƯƠNG 1: TỔNG QUAN VỀ PASSWORD 1.1 Khái niệm password Password (tạm dịch mã xác nhận) từ chuỗi kí tự bí mật, sử dụng để xác thực, chứng minh người sử dụng trước truy cập tài. .. khóa Ví dụ: • khơng đặt password password1 Đừng ghép hai từ với để password Ví dụ • • • • • • • như: vnevne Khơng đặt password dễ đốn khơng đặt password q ngắn Không đặt password từ thường xuyên