Khái niệm

Vấn đề quan trọng đối với hệ thống mạng là chống lại việc truy cập không mong muốn qua mạng máy tính lớn hoặc cục bộ. Chúng ta có thể phân loại kẻ xâm nhập như sau:

o Kẻ giả danh

o Kẻ lạm quyền

o Người sử dụng giấu mặt

Có nhiều mức độ khả năng khác nhau xâm nhập khác nhau. Rõ ràng vấn đề trên được công khai và trở nên bức xúc

o Từ Wily Hacker” trong năm 1986/1987

o đến việc tăng nhanh các đội ứng cứu tình trạng khẩn cấp của máy tính

Với đội ứng cứu có thể cảm thấy bình an nhưng đòi hỏi các nguồn chi bổ sung để phát triển và duy trì hoạt động. Kẻ xâm nhập có thể sử dụng các hệ thống làm hại để tấn công.

Các kỹ thuật xâm phạm

Mục tiêu của kẻ xâm nhập là dành quyền truy cập hoặc tăng quyền trong hệ thống. Các phương pháp tấn công cơ bản bao gồm

o Tìm mục tiêu và thu thập thông tin

o Truy cập ban đầu

o Leo thang quyền

o Lần vết khôi phục

Mục tiêu chính là giành được mật khẩu và sau đó dùng quyền truy cập của người sở hữu.

Đoán mật khẩu

Đoán mật khẩu là một trong các hướng tấn công chung nhất. Kẻ tấn công đã biết tên người sử dụng đăng nhập (từ trang email/web) và tìm cách đoán mật khẩu.

o Mặc định, mật khẩu ngắn, tìm kiếm các từ chung

o Thông tin của người dùng (thay đổi tên, ngày sinh, số điện thoại, các mối quan tâm và từ chung)

o Tìm kiếm tổng thể mọi khả năng của mật khẩu

Kẻ xâm nhập kiểm tra đăng nhập với tệp mật khẩu đánh cắp được. Sự thành công của việc đoán mật khẩu phụ thuộc vào mật khẩu được chọn bởi người dùng. Tổng quan chỉ ra rằng nhiều người sử dụng chọn mật khẩu không cẩn thận.

Nắm bắt mật khẩu

Tấn công khác bao gồm nắm bắt mật khẩu

o Theo dõi qua vai khi nhập password

o Sử dụng chương trình ngựa thành Toroa để thu thập

o Theo dõi login mạng không an toàn, chẳng hạn Telnet, FTP, Web, email.

o Chắt lọc thông tin ghi lại được sau lần vào mạng thành công (đệm/lịch sử web, số quay cuối,…)

o Sử dụng login/password đúng để nhại lại người sử dụng

Người sử dụng cần được học để dùng các biện pháp đề phòng và ngăn ngừa thích hợp.

Phát hiện xâm nhập

Chắc chắn có lỗi an toàn ở đâu đó. Như vậy để phát hiện xâm nhập cần phải

• Chia khối để phát hiện nhanh
• Hành động ngăn chặn
• Thu thập thông tin để tăng cường an toàn

Giả thiết rằng kẻ xâm nhập sẽ hành động khác so với người dùng hợp pháp

• Nhưng sẽ có sự khác biệt nhỏ giữa họ

Các cách tiếp cận phát hiện xâm nhập

Phát hiện thống kê bất thường

• Vượt qua ngưỡng thống kê nào đó
• Dựa trên mô tả

Dựa trên qui tắc

• Hành động bất thường
• Định danh thâm nhập

Kiểm tra các bản ghi

Công cụ cơ bản để phát hiện xâm nhập là kiểm tra bản ghi đơn giản

• Một phần của hệ điều hành đa người sử dụng
• Sẵn sàng để sử dụng
• Có thể không có thông tin trong định dạng mong muốn

Tiến hành kiểm tra các bản ghi chuyên dùng để phát hiện

• Được tạo chuyên dùng để thu thập một số thông tin mong muốn
• Trả giá chi phí bổ sung trong hệ thống

Phát hiện thống kê bất thường

Phát hiện ngưỡng

• Đếm sự xuất hiện của sự kiện đặc biệt theo thời gian
• Nếu vượt quá giá trị nào đó thì cho là đã có xâm nhập
• Nếu chỉ dùng nó thì đây là phát hiện thô không hiệu quả

Dựa trên mô tả

• Đặc trưng hành vi quá khứ của người sử dụng
• Phát hiện hệ quả quan trọng từ đó
• Mô tả bằng nhiều tham số

Phân tích kiểm tra bản ghi

Đây là cơ sở của cách tiếp cận thống kê. Phân tích bản ghi để nhận được các số đo theo thời gian

• Số đếm, đo, thời gian khoảng, sử dụng nguồn

Sử dụng các kiểm tra khác nhau trên số liệu phân tích để xác định hành vi hiện tại có chấp nhận được không

• Tính kỳ vọng, phương sai, biến nhiều chiều, quá trình Markov, chuỗi thời gian, thao tác

Ưu điểm chính là không sử dụng kiến thức biết trước

Phát hiện xâm nhập dựa trên qui tắc

Quan sát các sự kiện trong hệ thống và áp dụng các qui tắc để quyết định hoạt động đó có đáng nghi ngờ hay không. Phát hiện bất thường dựa trên qui tắc

• Phân tích các bản ghi kiểm tra cũ để xác định mẫu sử dụng và qui tắc tự sinh cho chúng
• Sau đó quan sát hành vi hiện tại và sánh với các qui tắc để nhận thấy nếu nó phù hợp
• Giống như phát hiện thống kê bất thường không đòi hỏi kiến thức biết trước về sai lầm an toàn

Định danh sự thâm nhập dựa vào qui tắc

• Sử dụng công nghệ hệ chuyên gia
• Với qui tắc định danh sự xâm nhập đã biết, các mẫu điểm yếu, hoặc các hành vi nghi ngờ
• So sánh các bản ghi kiểm tra hoặc các trạng thái theo qui tắc
• Qui tắc được sinh bởi các chuyên gia nhũng người đã phỏng vấn và hệ thống kiến thức của các quản trị an toàn
• Chất lượng phụ thuộc vào cách thức thực hiện các điều trên

Ảo tưởng dựa trên tỷ lệ

o Thực tế phát hiện xâm nhập hệ thống cần phát hiện tỷ lệ xâm nhập đúng với rất ít cảnh báo sai

• Nếu rất ít sự xâm nhập được phát hiện -> an toàn không tốt
• Nếu rất nhiều cảnh báo sai -> bỏ qua/phí thời gian

o Điều đó rất khó thực hiện

o Các hệ thống tồn tại hình như không có các bản ghi tốt

Phát hiện xâm nhập phân tán

o Truyền thống thường tập trung hệ thống đơn lẻ

o Nhưng thông thường có các hệ thống máy tính

o Bảo vệ hiệu quả cần làm việc cùng nhau để phát hiện xâm nhập

o Các vấn đề

• Làm việc với nhiều định dạng bản ghi kiểm tra khác nhau
• Toàn vẹn và bảo mật dữ liệu trên mạng
• Kiến trúc tập trung và phân tán

Sử dụng bình mật ong

o Chăng lưới thu hút các kẻ tấn công

• Tách khỏi sự truy cập đến các hệ thống then chốt
• Để thu thập các thông tin về hoạt động của chúng
• Kích thích kẻ tấn công ở lại trong hệ thống để người quản trị có thể phán đoán

o Được cấp đầy đủ các thông tin bịa đặt

o Được trang bị để thu thập chi tiết thông tin về hoạt động của kẻ tấn công

o Hệ thống mạng đơn và lặp

Quản trị mật khẩu

o Là bảo vệ tuyến đầu chống kẻ xâm nhập

o Người sử dụng được cung cấp cả hai:

• Login – xác định đặc quyền của người sử dụng
• Password – xác định danh tính của họ

o Passwords thường được lưu trữ mã hoá

• Unix sử dụng DES lặp
• Các hệ thống gần đây sử dụng hàm hash

o Cần phải bảo vệ file passwords trong hệ thống

Tìm hiểu về mật khẩu

o Purdue 1992 – có nhiều mật khẩu ngắn

o Klein 1990 – có nhiều mật khẩu đoán được

o Kết luận là người sử dụng thường chọn các mật khẩu không tốt

o Cần một cách tiếp cận để chống lại điều đó

Tạo mật khẩu - cần giáo dục cách tạo mật khẩu

o Cần có chính sách và giáo dục người sử dụng

o Giáo dục tầm quan trọng của mật khẩu tốt

o Cho định hướng mật khẩu tốt

• độ dài tối thiểu > 6
• đòi hỏi trộn chữ hoa và chữ thường, số và dấu chấm
• không chọn từ trong từ điển

o Nhưng nên chọn sao cho nhiều người không để ý

Tạo mật khẩu – máy tính tự sinh

o Cho máy tính tự tạo mật khẩu

o Nếu ngẫu nhiên không dễ nhớ, thì sẽ viết xuống (hội chứng nhãn khó chịu)

o Ngay cả phát âm được cũng không nhớ

o Có câu chuyện về việc chấp nhận của người sử dụng tồi

o FIPS PUB 181 là một trong những bộ sinh tốt nhất

• Có cả mô tả và code ví dụ
• Sinh từ việc ghép ngẫu nhiên các âm tiết phát âm đư̖ 7;c

Tạo mật khẩu - kiểm tra trước

o Cách tiếp cận hưá hẹn nhất để có thể cải thiện an toàn mật khẩu

o Cho phép người sử dụng chọn trước mật khẩu của mình

o Nhưng để cho hệ thống kiểm chứng xem nó có chấp nhận được không

• Bắt buộc theo qui tắc đơn giản
• So sánh với từ điển các mật khẩu tồi
• Sử dụng mô hình thuật toán Markov hoặc bộ lọc để chống các cách chọn tồi

Các kiểu phần mềm có hại khác ngoài Virus

Virus máy tính đã được công bố rất nhiều, là một trong những phần mềm có hại. Tác động của nó mọi người đều biết, đã được nêu trong các báo cáo, viễn tưởng và phim ảnh, gây nhiều chú ý hơn là tán thưởng và được quan tâm nhiều để phòng chống.

Cửa sau hoặc cửa sập

Điểm vào chương trình bí mật, cho phép những người biết truy cập mà bỏ qua các thủ tục an toàn thông thường. Kỹ thuật này có thể được sử dụng chung bởi những người phát triển và là mối đe doạ khi để trong chương trình sản phẩm cho phép khai thác bởi các kẻ tấn công. Rất khó ngăn chặn trong hệ điều hành, đòi hỏi sự phát triển và cập nhật phần mềm tốt.

Bom logic

Đây là một trong những phần mềm có hại kiểu cổ, code được nhúng trong chương trình hợp pháp. Nó được kích hoạt khi gặp điều kiện xác định

o Có mặt hoặc vắng mặt một số file

o Ngày tháng/thời gian cụ thể

o Người sử dụng nào đó

Khi được kích hoạt thông thường nó làm hỏng hệ thống

o Biến đổi/xoá file/đĩa, làm dừng máy,…

Ngựa thành Tơ roa

Chương trình với các tác động phụ được dấu kín, mà thông thường rất hấp dẫn như

trò chơi hoặc phần mềm nâng cấp. Khi chạy thực hiện những nhiệm vụ bổ sung, cho phép kẻ tấn công gián tiếp dành quyền truy cập mà họ không thể trực tiếp. Thông thường sử dụng lan truyền virrus/sâu (worm) hoặc cài đặt cửa sau hoặc đơn giản phá hoại dữ liệu.

Zombie

Đây là chương trình bí mật điều khiển máy tính của mạng khác và sử dụng nó để gián tiếp tiến hành các tấn công. Thông thường sử dụng để khởi động tấn công từ chối các dịch vụ phân tán (DdoS). Khai thác các lỗ hổng trong các hệ thống.

Virus

Virus là đoạn code tự sinh lặp đính kèm với code khác như virus sinh học. Cả hai đều lan truyền tự nó và mang đi bộ tải

o Mang theo code để tạo các bản sao của chính nó

o Và cũng như mọi code nó cũng thực hiện nhiệm vụ ngầm nào đó

Thao tác của virus

Các giai đoạn của virus

o Nằm im - chờ sự kiện kích hoạt

o Lan truyền – lặp sinh ra chương trình/đĩa

o Kích hoạt - bởi sự kiện để thực hiện bộ tải

o Thực hiện bộ tải

o Cụ thể thông thường mang tính chất chuyên biệt của các máy và hệ điều hành. Nó khai thác các tính chất và điểm yếu

Cấu trúc Virus

program V :=

{goto main;<  /pre>         
         
           
1234567;
         
         
           
subroutine infect-executable := {loop:
         
         
           
file := get-random-executable-file;
         
         
           
if (first-line-of-file = 1234567) then goto loop else prepend V to file; }
         
         
           
subroutine do-damage := {whatever damage is to be done} 
         
         
           
subroutine trigger-pulled := {return true if condition holds}
         
         
           
main: main-program := {infect-executable;
         
         
           
if trigger-pulled then do-damage;
         
         
           
goto next;}
         
         
           
next:
         
         
           
}
         
         
                        Các kiểu Virus                    
         
Có thể phân loại dựa trên kiểu tấn công
         
o Virus ăn bám
         
o Virus cư trú ở bộ nhớ
         
o Virus ở sector khởi động
         
o Lén lút
         
o Virus nhiều hình thái
         
o Virus biến hoá
         
           Marco Virus         
         
Marco code đính kèm file dữ liệu, được dịch bởi chương trình sử dụng file
         
o Như marco của Word/Excel
         
o Sử dụng lệnh tự động và lệnh marco
         
Đây là đoạn code là độc lập với nền tảng, là đoạn nguồn chính của sự lan nhiễm virus. Có sự khác biệt không rõ ràng giữa dữ liệu và file chương trình, thông thường có sự thoả hiệp truyền thống: “dễ dàng sử dụng” và “an toàn”. Đã có sự cải thiện an toàn trong Word, không trội hơn sự đe doạ của virus.
         
           Virus email         
         
Đây là loại virus lan truyền sử dụng email được đính kèm chứa marco virus như Melissa. Thường được kích hoạt khi người sử dụng mở file đính kèm hoặc ít khi hơn khi mail được xem sử dụng một tính chất script của tác nhân mail. Do đó sẽ lan truyền rất nhanh, thông thường đích là tác nhân mail Microsoft Outlook hoặc tài liệu Word /Excel. Cần an toàn ứng dụng và hệ điều hành tốt hơn
         
           Sâu         
         
Đây là chương trình sinh lặp nhưng không có tác động, thường lan truyền trên mạng
         
o Như sâu Internet Morris 1988
         
o Dẫn đến việc tạo ra các đội ứng cứu khẩn cấp máy tính CERT
         
o Dùng đặc quyền phân tán hoặc khai thác các điểm yếu hệ thống
         
o Được sử dụng rộng rãi bởi Hackers để tạo zombie PC, kéo theo sử dụng các tấn công khác, đặc biệt từ chối dich vụ DoS
         
Vấn đề chính là mất sự an toàn của hệ thống kết nối thường xuyên như PC.
         
                        Thao tác của sâu                    
         
Các giai đoạn của sâu giống như virus:
         
o Nằm im
         
o Lan truyền
         
           
Tìm hệ thống khác để tác động
           
Thiết lập kết nội với hệ thống đích từ xa
           
Tự sinh lặp mình cho hệ thống từ xa
         
         
o Kích hoạt
         
o Thực hiện
         
           Sâu Morrris         
         
Sâu Morris là loại sâu cổ điển, được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix. Ở đây sử dụng một số kỹ thuật lan truyền, như
                  
o Phá mật khẩu đơn giản trong file mật khẩu cục bộ
         
o Khai thác lỗ hổng
         
o Tìm lỗi cửa sập trong hệ thống mail
         
Mọi tấn công thành công sẽ sinh lặp nó.
         
           Tấn công của sâu đương thời         
         
Làn sóng tấn công của sâu đương thời mới từ giữa 2001 như:
         
- Code Red - sử dụng lỗ hổng MS IIS:
         
o Thử IP ngẫu nhiên cho hệ thống chạy IIS
         
o Có kích hoạt thời gian cho tấn công từ chối dịch vụ
         
o Làn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờ
         
- Code Red 2 – cài đặt cửa sập
         
- Nimda – cơ chế tác động lặp
         
- SQL Slammer – đã tấn công máy chủ MS SQL
         
- Sobig – đã tấn công máy chủ proxy mở
         
- Mydoom – sâu email có số lượng lớn và có cửa sau
         
           Công nghệ sâu         
         
Các đặc tính của công nghệ sâu là tấn công đa nền tảng, khai thác nhiều chiều, lan truyền cực nhanh, có nhiều kiểu tác động, biến hoá, cơ động và khai thác zero day.
         
           Các biện pháp chống Virus         
         
Biện pháp tốt nhất là ngăn ngừa, nhưng nói chung là không thể. Do đó cần phải có một trong nhiều biện pháp sau:
         
o Phát hiện virus nhiễm trong hệ thống
         
o Định danh loại virus nhiễm
         
o Loại bỏ khôi phục hệ thống về trạng thái sạch
         
 Phần mềm chống Virus
         
Phần mềm thuộc thế hệ đầu tiên
         
o Quét sử dụng chữ ký của virus để định danh
         
o Hoặc phát hiện sự thay đổi độ dài của chương trình
         
Phần mềm thuộc thế hệ thứ hai
         
o Sử dụng các qui tắc trực quan để phát hiện nhiễm virus
         
o Sử dụng mã hash của chương trình để phát hiện sự thay đổi
         
Phần mềm thuộc thế hệ thứ ba
         
o Chương trình thường trú trong bộ nhớ định danh virus theo hành động
         
Phần mềm thuộc thế hệ thứ tư
         
           
Đóng gói với rất nhiều kiểu kỹ thuật chống virus
           
Quét và lần vết tích cực, kiểm soát truy cập
         
         
Phương pháp diệt bằng tay vẫn được dùng.
         
           Kỹ thuật chống Virus nâng cao         
         
Giải mã mẫu
         
o Sử dụng mô phỏng CPU kiểm tra chương trình, chữ ký và hành vi trước khi chạy chúng
         
Dùng Hệ thống miễn dịch số (IBM)
         
o Hành động đa muc tiêu và chống Virus
         
o Mọi virus nhập vào tổ chức được nắm bắt, phân tích, phát hiện/tấm chắn tạo ra chống nó và loại bỏ
         
Sau đây là sơ đồ Hệ miễn dịch số (Digital Immune System)
                                 
                

Phần mềm ngăn chặn hành vi

Các phần mềm này được tích hợp với hệ điều hành của máy chủ. Chương trình theo dõi các hành vi trong thời gian thực

o Chẳng hạn truy cập file, định dạng đĩa, các chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạng

Đối với các hành động có khả năng có hại

o Nếu phát hiện thì ngăn chặn, chấm dứt hoặc tìm kiếm

Có ưu điểm so với quét, nhưng code có hại chạy trước khi phát hiện.

Tấn công từ chối dịch vụ từ xa

Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn bởi sự vận chuyển vô ích.

Kẻ tấn công thường sử dụng một số lớn các “zombies”, tăng độ khó của các tấn công. Công nghệ bảo vệ tìm các biện pháp đương đầu chống lại

Tìm hiểu cách kẻ thù xây dựng mạng lưới tấn công từ chối dịch vụ từ xa

Từ chối dịch vụ có hiệu lực khi bị nhiễm rất nhiều “zombies”. Để thực hiện được điều

đó cần có:

- Phần mềm cài đặt tấn công từ chối dịch vụ từ xa

- Các lỗ hổng không vá được trong nhiều hệ thống

- Chiến lược quét để tìm lỗ hổng hệ thống: sử dụng các yếu tố ngẫu nhiên, lập danh sách va chạm, tìm hiểu cấu trúc topo, mạng con cục bộ.

Chống tấn công từ chối dịch vụ từ xa (DDoS)

Có ba cách bảo vệ sau đây được dùng rộng rãi

- Ngăn ngừa tấn công và chiếm lĩnh trước.

- Phát hiện tấn công và lọc trong quá trình sử dụng dịch vụ

- Lần vết nguồn tấn công và xác định sự tấn công sau khi sử dụng xong dịch vụ.

Nói chung có phạm vi rộng các khả năng tấn công, vì vậy phải có nhiều biện pháp chống và sử dụng kết hợp chúng.