TÌNH HUỐNG DẪN NHẬP
Tình huống
- Tôi muốn tìm các lỗ hổng trong hệ thống mà kẻ xâm nhập hay tấn công vào để tiếm quyền và tiến hành các hành động phá hoại.
- Nên lưu mật khẩu của người sử dụng như thế nào cho an toàn.
- Làm sao phòng chống được virus tấn công.
Câu hỏi
1.Làm sao để phát hiện được kẻ xâm nhập?
2.Phải tạo và quản lý mật khẩu như thế nào là tốt?
3.Có các loại phần mềm có hại nào?
4.Có thể xây dựng một hệ thống máy tính tin cậy được không?
1.Kẻ xâm nhập
1.1.Khái niệm
Vấn đề quan trọng đối với hệ thống mạng là chống lại việc truy cập không mong muốn qua mạng máy tính lớn hoặc cục bộ. Chúng ta có thể phân loại kẻ xâm nhập như sau:
Kẻ giả danh: người không có quyền sử dụng hệ thống, vượt qua kiểm soát truy cập lợi dụng tài khoản người sử dụng hợp pháp.
Kẻ lạm quyền: là người sử dụng hợp pháp, nhưng truy cập dữliệu, chương trình hoặc tài nguyên mà không có quyền hoặc là người có quyền truy cập đó nhưng lạm dụng đặc quyền của anh ta.
Người sử dụng giấu mặt: là người lạm dụng quyền kiểm soát tối cao của hệ thống để vượt qua sự kiểm tra và kiểm soát truy cập hoặc ngăn chặn mọi bản ghi kiểm tra.
Có nhiều mức độ về khả năng xâm nhập khác nhau. Rõ ràng vấn đề trên được công khai và trở nên bức xúc từ sự kiện nổi tiếng “Wily Hacker” trong năm 1986-1987, dẫn đến việc thành lập ngày càng nhiều các đội ứng cứu tình trạng khẩn cấp của máy tính.
Với đội ứng cứu có thể cảm thấy yên tâm hơn nhưng đòi hỏi các nguồn chi bổ sung để phát triển và duy trì hoạt động. Kẻ xâm nhập có thể sử dụng các công cụ làm hại để tấn công các hệ thống.
1.2.Các kỹ thuật xâm nhập
Mục tiêu của kẻ xâm nhập là dành quyền truy cập hoặc tăng quyền trong hệ thống. Các phương pháp tấn công cơ bản bao gồm:
Tìm mục tiêu và thu thập thông tin.
Thực hiện được việc truy cập ban đầu.
Sau đó tìm cách leo thang quyền.
Đặc biệt tìm cách nắm bắt file mật khẩu người sử dụng.
Mục tiêu chính là lấy được mật khẩu và sau đó dùng quyền truy cập của người sở hữu.
1.3.Đoán mật khẩu
Đoán mật khẩu là một trong các hướng tấn công chung nhất. Kẻ tấn công đã biết tên người sử dụng đăng nhập (từ trang Email/Web) và tìm cách đoán mật khẩu.
Mặc định, mật khẩu ngắn, tìm kiếm các từ chung. Nhiều người không thay đổi mật khẩu sau khi được trao tài khoản.
Thu thập thông tin của người dùng (thay đổi tên, ngày sinh, số điện thoại, các mối quan tâm và từ chung).
Tìm kiếm tổng thể mọi khả năng có thể của mật khẩu.
Kẻ xâm nhập kiểm tra đăng nhập với tệp mật khẩu đánh cắp được. Sự thành công của việc đoán mật khẩu phụ thuộc vào mật khẩu được chọn bởi người dùng. Tổng quan chỉ ra rằng nhiều người sử dụng chọn mật khẩu không cẩn thận.
Nắm bắt mật khẩu
Tấn công khác bao gồm việc nắm bắt mật khẩu thông qua
Theo dõi qua khi nhập password.
Sử dụng chương trình ngựa thành Toroa để thu thập thông tin về mật khẩu.
Theo dõi login mạng không an toàn, chẳng hạn Telnet, FTP, Web, email.
Chắt lọc thông tin ghi lại sau lần vào mạng được thành công (đệm/lịch sử web, số quay cuối,…).
Người sử dụng cần được học để dùng các biện pháp phòng và ngăn ngừa thích hợp.
1.4.Phát hiện xâm nhập
Khi có kẻ xâm nhập vào hệ thống, chắc chắn có lỗi an toàn ở đâu đó, như vậy để phát hiện xâm nhập cần phải:
Chia khối nguồn tài nguyên để phát hiện nhanh khu vực có kẻ xâm nhập.
Thực hiện ngay các hành động ngăn chặn để hạn chế tối đa tổn hại.
Thu thập thông tin định danh kẻ xâm nhập để có biện pháp tăng cường an ninh.
Giả thiết rằng kẻ xâm nhập sẽ hành động khác so với người dùng hợp pháp. Nhưng sẽ chỉ có sự khác biệt nhỏ giữa họ.
Các cách tiếp cận phát hiện xâm nhập
Phát hiện dựa trên các thống kê bất thường:
- Vượt qua ngưỡng thống kê nào đó của các sự kiện.
- Dựa trên hồ sơ hành vi của người sử dụng để phát hiện những hoạt động bất thường.
Dựa trên quy tắc
- Phát hiện hành động bất thường dựa trên quy tắc được xây dựng từ các mẫu sử dụng trước.
- Định danh xâm nhập: sử dụng các hệ chuyên gia để tìm kiếm các hành động nghi ngờ.
Các bản ghi kiểm tra
Công cụ cơ bản để phát hiện xâm nhập là các bản ghi kiểm tra. Bản ghi về hành động hiện tại của người sử dụng được duy trì như đầu vào của hệ thống phát hiện. Một phần của hệ điều hành đa người sử dụng đã có công cụ thu thập thông tin về hoạt động của người sử dụng, nên nó đã sẵn sàng để sử dụng. Nhưng nó có nhược điểm là có thể không có thông tin cần thiết và không chứa trong định dạng mong muốn.
Có thể sử dụng các bản ghi kiểm tra chuyên dùng để phát hiện. Nó được tạo ra để thu thập một số thông tin mong muốn, tuy nhiên phải trả giá cho chi phí bổ sung trong hệ thống.
Phát hiện thống kê bất thường
Chủ yếu dùng phương pháp thống kê để phát hiện ngưỡng như:
- Đếm sự xuất hiện của sựkiện đặc biệt theo thời gian.
- Nếu nó vượt quá giá trị nào đó thì cho là đã có kể xâm nhập.
- Nếu chỉ dùng nó thì đây là phát hiện thô không hiệu quả.
Có thể kết hợp thống kê với việc dựa trên hồ sơ của người sử dụng: o Đặc trưng hành vi quá khứ của người sử dụng.
- Phát hiện các hệ quả quan trọng từ hồ sơ đó.
- Mô tả các hồ sơ bằng nhiều tham số khác nhau.
Phân tích bản ghi kiểm tra là cơ sở của cách tiếp cận thống kê. Nó dùng để nhận được các số liệu thống kê theo thời gian:
- Số đếm, đo, thời gian khoảng, sử dụng nguồn. Dùng các bản ghi kiểm tra khác nhau trên sốliệu phân tích đểxác định hành vi hiện tại có chấp nhận được không.
- Tính kỳ vọng, phương sai của các biến nhiều chiều, chuỗi thời gian để rút ra các kết luận thống kê.
Ưu điểm chính là không cần sử dụng kiến thức biết trước để phát hiện.
Phát hiện xâm nhập dựa trên quy tắc
Quan sát các sự kiện trong hệ thống và áp dụng các quy tắc để quyết định hoạt động đó có đáng nghi ngờ hay không. Phát hiện bất thường dựa trên quy tắc được tiến hành như sau:
- Phân tích các bản ghi kiểm tra cũ để xác định mẫu sử dụng và đưa ra quy tắc tự sinh cho chúng.
- Sau đó quan sát hành vi hiện tại và so sánh với các quy tắc để nhận thấy nếu nó phù hợp.
- Giống như phát hiện thống kê bất thường không đòi hỏi kiến thức biết trước về các lỗi an ninh.
Định danh sự xâm nhập dựa vào quy tắc có cách tiếp cận sử dụng công nghệ hệ chuyên gia.
- Các đặc trưng chính của các hệ thống này là đưa ra quy tắc định danh sự xâm nhập khai thác các điểm yếu đã biết, hoặc các hành vi nghi ngờ.
- So sánh các bản ghi kiểm tra hoặc các trạng thái theo quy tắc.
- Quy tắc được sinh bởi các chuyên gia, những người đã phỏng vấn và hệ thống các kiến thức của các quản trị an ninh.
- Chất lượng phụ thuộc vào cách thức thực hiện các nguyên tắc trên.
Ảo tưởng phát hiện dựa trên tỷ lệ
- Trên thực tế để sử dụng cần phát hiện kẻ xâm nhập hệ thống với tỷ lệ đúng cao với tỷ lệ rất nhỏ các cảnh báo sai. Hai tỷ lệ này cần phải được cân đối cho từng hệ thống:
- Nếu rất ít sựxâm nhập được phát hiện, suy ra an ninh không tốt.
- Nếu rất nhiều cảnh báo sai, khi đó phí thời gian để kiểm tra xem xét.
- Điều trên nói chung rất khó thực hiện nó tùy thuộc vào yêu cầu an ninh của hệ thống.
- Các hệ thống hiện nay dường như chưa có các bản ghi kiểm tra tốt.
Phát hiện xâm nhập phân tán
Các hệ thống thông tin truyền thống thường tập trung, đơn lẻ. Nhưng ngày nay thông thường các hệ thống máy tính đều lớn và gồm nhiều máy chủ phân tán.
Do đó việc phát hiện kể xâm nhập vào hệ thống rất khó khăn. Muốn bảo vệ hiệu quả cần làm việc cùng nhau đểphát hiện kẻxâm nhập. Các vấn đềđặt ra cần giải quyết là:
- Làm việc với nhiều định dạng bản ghi kiểm tra khác nhau, trên nhiều hệ điều hành khác nhau.
- Toàn vẹn và bảo mật dữ liệu trên mạng, kể cả trên đường truyền Internet.
- Kiến trúc bây giờ là phân tán, các máy chủ bố trí xa nhau trong phạm vi rộng lớn.
- Cần phải kết hợp sử dụng module tác tử máy chủ, module tác tử giám sát mạng LAN và module quản trị trung tâm để cùng nhau phát hiện và đưa ra biện pháp phòng chống.
Sử dụng bình mật ong
- Chăng lưới thu hút các kẻ tấn công.
- Tách khỏi sự truy cập đến các hệ thống then chốt.
- Để thu thập các thông tin về hoạt động của chúng.
- Kích thích kẻ tấn công ở lại trong hệ thống để người quản trị có thể phán đoán.
- Được cấp đầy đủ các thông tin bịa đặt.
- Được trang bị để thu thập chi tiết thông tin về hoạt động của kẻ tấn công.
2.Quản trị mật khẩu
Quản trị mật khẩu là bảo vệ tuyến đầu chống kẻ xâm nhập. Người sử dụng được cung cấp cả hai thông tin:
- Login – xác định đặc quyền của người sử dụng.
- Password – xác thực danh tính của người sử dụng.
Cần phải bảo vệ file mật khẩu trong hệ thống và nó thường được lưu trữ dưới dạng mã hóa hoặc dạng bản băm:
- Unix sử dụng DES lặp để lưu mật khẩu.
- Các hệ thống gần đây sử dụng hàm hash để băm mật khẩu và lưu bản băm. Đặc biệt có thể dùng bản băm làm khóa mật sinh ra từ mật khẩu.
Lỗ hổng mật khẩu.
Để hiểu về bản chất mối đe dọa hệ thống mật khẩu, ta xét sơ đồ được áp dụng rộng rãi trên Unix, ở đó mật khẩu không bao giờ lưu trữ dạng tường minh.
Mỗi người sử dụng chọn mật khẩu dài đến tám ký tự in được, nó chuyển thành 56 bit (sử dụng 7 bit ASCII) và là đầu vào chính cho cơ chế mã hóa crypt(3) dựa trên DES. Thuật toán DES được biến thể sử dụng 12 bit “muối” bổ sung. Giá trị này thường liên quan đến thời điểm mà mật khẩu được chọn bởi người sử dụng. Thuật toán đó sử dụng khối dữ liệu gồm 64 bit 0. Đầu ra của nó lại là đầu vào của thuật toán mã hóa lần 2. Quá trình lặp lại 25 lần. Đầu ra cuối 64 bit được chuyển thành dãy 11 ký tự. Bản mã mật khẩu được lưu cùng với bản rõ của “muối” trong file mật khẩu tương ứng với ID của người sử dụng.
“Muối” có tác dụng làm cho mật khẩu không bị lặp, tăng độ dài mật khẩu và tránh dùng cài đặt DES trên phần cứng.
Khi đăng nhập vào hệ thống Unix, người sử dụng cung cấp định danh và mật khẩu. Hệ điều hành sử dụng định danh lấy bản rõ “muối” và bản mã mật khẩu. Sau đó dùng “muối” và mật khẩu tạo thành bản mã mật khẩu rồi sánh với giá trị lưu và quyết định mật khẩu chấp nhận hay không.
Có hai mối đe dọa hệ mật khẩu Unix. Người sử dụng giành quyền truy cập hệ thống bằng cách đoán tài khoản và chạy chương trình đoán mật khẩu. Hơn nữa, nếu có bản copy file mật khẩu, tin tặc có thể chạy chương trình đăng nhập trên máy khác để tăng tốc độ dò tìm.
Khóa mật sinh từ mật khẩu (trong sơ đồ Kerberos).
Các ký tự mật khẩu có thể biểu diễn theo định dạng 7 bit của ASCII. Mật khẩu với độ dài tùy ý sẽ được biến đổi thành khóa mật:
Trước hết, xâu mật khẩu s được lưu dạng các ký tự 7 bit, sau đó cuộn gọn lại nhờ phép XOR thành 56 bit.
Lấy nó làm 56 bit khóa của DES, bổ sung thành 64 bit khóa gồm 8 khối 8 bit.
Mật khẩu gốc được mã theo chếđộmã móc nối dây chuyền với khóa được tạo ởtrên.
Kết quả nhận được khóa 64 bit sinh ra từ mật khẩu.
Tìm hiểu về mật khẩu:
Theo Purdue năm 1992, có nhiều mật khẩu ngắn.
Theo Klein năm 1990, có nhiều mật khẩu đoán được.
Kết luận là người sử dụng thường chọn các mật khẩu không tốt.
Cần một cách tiếp cận để chống lại điều đó, giúp người sử dụng tạo nên các mật khẩu tốt, khó đoán.
Tạo mật khẩu - cần giáo dục cách tạo mật khẩu:
Cần có chính sách và giáo dục người sử dụng tạo mật khẩu an toàn.
Giáo dục tầm quan trọng của mật khẩu tốt.
Cho định hướng mật khẩu tốt:
- Độ dài tối thiểu lớn hơn 6.
- Đòi hỏi trộn chữ hoa và chữ thường, số và dấu chấm.
- Không chọn các từ có trong từ điển, tức là có ý nghĩa nào đó. o Nhưng nên chọn sao cho nhiều người không để ý.
Tạo mật khẩu – máy tính tự sinh:
Cho máy tính tự tạo mật khẩu một cách ngẫu nhiên theo các tiêu chuẩn tốt.
Nếu ngẫu nhiên không dễ nhớ thì khi viết sẽ khó khăn (hội chứng nhãn khó chịu)
Ngay cả phát âm được cũng không thể nhớ mật khẩu được do không có ý nghĩa.
FIPS PUB 181 là một trong những bộ sinh mật khẩu tốt nhất: o Có cả mô tả và code ví dụ.
-Sinh từ việc ghép ngẫu nhiên các âm tiết phát âm được. Tạo mật khẩu - kiểm tra trước:
Đây là cách tiếp cận hứa hẹn nhất để có thể cải thiện an toàn mật khẩu.
Cho phép người sử dụng chọn trước mật khẩu của mình.
Nhưng để cho hệ thống kiểm chứng xem nó có chấp nhận được không:
- Bắt buộc theo quy tắc đơn giản.
- So sánh với từ điển các mật khẩu tồi.
- Sử dụng mô hình thuật toán Markov hoặc bộ lọc để chống các cách chọn tồi.
3.Phần mềm có hại
3.1.Các kiểu phần mềm có hại
Virus máy tính đã được công bố rất nhiều là một trong những phần mềm có hại nhất. Tác động của nó mọi người đều biết, đã được nêu trong các báo cáo và phim ảnh, gây nhiều chú ý hơn là tán thưởng và được quan tâm nhiều để phòng chống.
3.1.1.Cửa sau hoặc cửa sập
Điểm vào chương trình bí mật, cho phép những người biết truy cập mà bỏ qua các thủ tục an toàn thông thường. Kỹ thuật này có thể được sử dụng chung bởi những người phát triển và là mối đe doạ khi để trong chương trình sản phẩm cho phép khai thác bởi các kẻ tấn công. Rất khó ngăn chặn trong hệ điều hành, đòi hỏi phải cẩn thận ngay từ khi phát triển xây dựng hoặc thường xuyên cập nhật phần mềm.
3.1.2.Bom logic
Đây là một trong những phần mềm có hại kiểu cổ, code được nhúng trong chương trình hợp pháp. Nó được kích hoạt khi gặp điều kiện xác định:
Có mặt hoặc vắng mặt một số file.
Ngày tháng/thời gian cụ thể.
Người sử dụng nào đó.
Khi được kích hoạt thông thường nó làm hỏng hệ thống, biến đổi, xoá file hoặc xóa đĩa, làm dừng máy,…
3.1.3.Ngựa thành Tơ roa
Chương trình với các tác động phụ được giấu kín, mà thông thường rất hấp dẫn như trò chơi hoặc phần mềm nâng cấp. Khi chạy thực hiện những nhiệm vụ bổ sung, cho phép kẻ tấn công gián tiếp giành quyền truy cập mà họ không thể thực hiện trực tiếp. Thông thường sử dụng ngựa thành Tơ roa để lan truyền virus/sâu (worm) hoặc cài đặt cửa sau hoặc đơn giản là phá hoại dữ liệu.
3.1.4.Zombie
Đây là chương trình bí mật điều khiển máy tính của mạng khác và sử dụng nó để gián tiếp tiến hành các cuộc tấn công. Thông thường nó được sử dụng để khởi động tấn công từ chối các dịch vụ phân tán (DdoS) và khai thác các lỗ hổng trong các hệ thống.
3.1.5.Virus
Virus là đoạn code tự sinh lặp đính kèm với code khác như virus sinh học. Cả hai đều tự lan truyền và mang đi bộ tải.
Mang theo code để tạo các bản sao của chính nó.
Cũng như mọi code nó cũng thực hiện nhiệm vụ ngầm nào đó như phá hoại các files hệ thống.
Thao tác của virus
Các giai đoạn của virus:
Nằm im – chờ sự kiện kích hoạt.
Lan truyền – lặp sinh ra chương trình/đĩa.
Kích hoạt – bởi sự kiện để thực hiện bộ tải.
Thực hiện bộ tải.
Cụ thể thông thường mang tính chất chuyên biệt của các máy và hệ điều hành. Nó khai thác các điểm yếu của hệ thống.
Cấu trúc Virus
Dòng mang nhãn 1234567 ký hiệu file hiện thời đã nhiễm virus chưa, nếu chưa thì nó sẽ được đính vào file. Khi thỏa mãn điều kiện nào đó, nó sẽ tiến hành các hành động phá hủy.
Các kiểu Virus
Có thể phân loại dựa trên kiểu tấn công:
Virus ăn bám là kiểu truyền thống và cũng chung nhất. Chúng đính kèm vào các file thực thi và nhân bản khi chương trình bị nhiễm thực hiện bằng cách nhiễm sang các file thực thi khác.
Virus cư trú ở bộ nhớ chính như một phần của chương trình hệ thống thường trú. Chúng lây nhiễm mọi chương trình đang thực thi.
Virus ở sector khởi động lây nhiễm bản ghi khởi động chính và lan truyền khi hệ thống khởi động từ đĩa có virus.
Lén lút là dạng virus chủ định được thiết kế ẩn náu tránh phát hiện bởi các phần mềm diệt virus.
Virus nhiều hình thái và biến hoá. Phát hiện định danh bằng dấu hiệu đặc trưng là không thể.
3.1.6.Marco Virus
Marco code đính kèm file dữ liệu, được dịch bởi chương trình sử dụng file và là nguồn lây nhiễm chính.
Như marco của Word/Excel.
Sử dụng lệnh tự động và lệnh marco.
Đây là đoạn code độc lập với nền tảng, mọi macro virus đều lây nhiễm sang các file doc của Microsoft Word. Mọi chương trình và hệ điều hành hỗ trợ Word cũng bị lây nhiễm. Nó dựa vào các macro tự động thực hiện không cần tác động tường minh của người dùng. Thông thường đó là các lệnh mở file, đóng file, bắt đầu ứng dụng. Một khi macro chạy, nó sẽ sao nó sang tài liệu khác hoặc xóa file hoặc gây hỏng hệ thống của người sử dụng.
Virus email
Đây là loại virus lan truyền sử dụng email được đính kèm chứa marco virus như Melissa. Nó thường được kích hoạt khi người sử dụng mở file đính kèm hoặc khi mail được xem sử dụng một tính chất script của tác nhân mail, do đó sẽ lan truyền rất nhanh, thông thường đích là tác nhân mail Microsoft Outlook hoặc tài liệu Word/Excel. Để phòng chống ta cần ứng dụng an ninh và hệ điều hành tốt hơn.
3.1.7.Worm
Đây là chương trình sinh lặp nhưng không có tác động, thường sử dụng việc kết nối mạng để lan truyền từ hệ thống này sang hệ thống khác. Ví dụ như sâu Internet Morris 1988.
Dẫn đến việc tạo ra các đội ứng cứu khẩn cấp máy tính CERT.
Dùng đặc quyền phân tán hoặc khai thác các điểm yếu hệ thống.
Được sử dụng rộng rãi bởi Hackers để tạo zombie PC, kéo theo sử dụng các tấn công khác, đặc biệt từ chối dịch vụ DoS.
Vấn đề chính là mất sự an toàn của hệ thống kết nối mạng thường xuyên.
Thao tác của sâu
Các giai đoạn của sâu giống như virus:
Nằm im.
Lan truyền.
- Tìm hệ thống khác để tác động.
- Thiết lập kết nối với hệ thống đích từxa. o Tự sinh lặp mình cho hệ thống từ xa.
Kích hoạt.
Thực hiện hành động phá hoại.
3.1.8.Sâu Morrris
Sâu Morris là loại sâu cổ điển, được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix. Ở đây sử dụng một số kỹ thuật lan truyền, như
Phá mật khẩu đơn giản trong file mật khẩu cục bộ.
Khai thác lỗ hổng của hệ thống.
Tìm lỗi cửa sập trong hệ thống mail.
Mọi tấn công thành công sẽ sinh lặp nó.
Tấn công của sâu đương thời
Làn sóng tấn công của sâu đương thời mới từ giữa 2001 như:
Code Red - sử dụng lỗ hổng MS IIS:
- Thử IP ngẫu nhiên cho hệ thống chạy IIS (Internet Information Server). o Có kích hoạt thời gian cho tấn công từ chối dịch vụ.
- Làn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờ.
Code Red 2 – cài đặt cửa sập.
Nimda – cơ chế tác động lặp.
SQL Slammer – đã tấn công máy chủ MS SQL.
Sobig – đã tấn công máy chủ proxy mở.
Mydoom – sâu email có số lượng lớn và có cửa sau.
Công nghệ sâu
Các đặc tính của công nghệ sâu là tấn công đa nền tảng, khai thác nhiều chiều, lan truyền cực nhanh, có nhiều kiểu tác động, biến hóa, cơ động và khai thác zero day (tấn công trước khi người phát triển phần mềm biết về điểm yếu của phần mềm ứng dụng).
3.2.Các biện pháp chống Virus
Biện pháp tốt nhất là ngăn ngừa, nhưng nói chung là không thể. Do đó cần phải có một trong nhiều biện pháp sau:
Phát hiện virus nhiễm trong hệ thống.
Định danh loại virus nhiễm.
Loại bỏ khôi phục hệ thống về trạng thái sạch.
Phần mềm chống Virus
Phần mềm thuộc thế hệ đầu tiên:
- Quét sử dụng chữ ký của virus để định danh.
- Hoặc phát hiện sự thay đổi độ dài của chương trình. Phần mềm thuộc thế hệ thứ hai:
- Sử dụng các quy tắc trực quan để phát hiện nhiễm virus.
- Sử dụng mã hash của chương trình để phát hiện sự thay đổi. Phần mềm thuộc thế hệ thứ ba:
Chương trình thường trú trong bộ nhớ định danh virus theo hành động. Phần mềm thuộc thế hệ thứ tư:
- Đóng gói với rất nhiều kiểu kỹ thuật chống virus/ o Quét và lần vết tích cực, kiểm soát truy cập.
Phương pháp diệt bằng tay vẫn được dùng.
Kỹ thuật chống Virus nâng cao
Giải mã mẫu: sử dụng mô phỏng CPU kiểm tra chương trình, chữ ký và hành vi trước khi chạy chúng.
Dùng Hệ thống miễn dịch số (IBM):
- Cung cấp việc mô phỏng đa mục tiêu và hệ thống phát hiện Virus.
- Mọi virus nhập vào tổ chức được nắm bắt, phân tích, phát hiện/tấm chắn tạo ra chống nó và loại bỏ.
Sau đây là sơ đồ Hệ miễn dịch số (Digital Immune System):
Các bước điển hình trong thao tác của hệ miễn dịch là:
Chương trình giám sát trên mỗi PC sử dụng nhiều kiểu tìm tòi dựa trên hành vi của hệ thống, theo dõi sự thay đổi chương trình hay chữ ký tập thể để phát hiện virus. Sau đó nó gửi bản sao đến máy điều hành.
Máy điều hành lấy mẫu gửi đến máy phân tích virus trung tâm
Máy này tạo môi trường cho máy nhiễm chạy để có thể phân tích. Sau đó nó tạo ra đơn để định danh và loại bỏ virus.
Đơn được gửi trả lại máy điều hành.
Máy điều hành gửi lại đơn cho máy bị nhiễm.
Đơn được gửi tới các máy khác trong tổ chức hệ thống.
Những người khác ngoài tổ chức sẽ nhận được bản cập nhật chống virus để chống virus mới đó.
3.3.Phần mềm ngăn chặn hành vi
Các phần mềm này được tích hợp với hệ điều hành của máy chủ. Chương trình theo dõi các hành vi trong thời gian thực:
Chẳng hạn truy cập file, định dạng đĩa, các chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạng.
Đối với các hành động có khả năng có hại, nếu phát hiện thì ngăn chặn, loại bỏ, trước khi chúng có cơ hội tác động đến hệ thống. Phương pháp này có ưu điểm so với quét, nhưng code có hại chạy trước khi phát hiện.
3.3.1.Tấn công từ chối dịch vụ từ xa
Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn bởi sựvận chuyển vô ích.
Kẻ tấn công thường sử dụng một số lớn các “Zombies”, tăng độ khó của các tấn công. Công nghệ bảo vệ tìm các biện pháp đương đầu chống lại.
3.3.2.Tìm hiểu cách kẻ thù xây dựng mạng lưới tấn công từ chối dịch vụ từ xa
Từ chối dịch vụ có hiệu lực khi bị nhiễm rất nhiều “Zombies”. Để thực hiện được điều đó cần có:
Phần mềm cài đặt tấn công từ chối dịch vụ từ xa.
Các lỗ hổng không vá được trong nhiều hệ thống.
Chiến lược quét để tìm lỗ hổng hệ thống: sử dụng các yếu tố ngẫu nhiên, lập danh sách va chạm, tìm hiểu cấu trúc topo, mạng con cục bộ.
3.3.3.Chống tấn công từ chối dịch vụ từ xa (DDoS)
Ba cách bảo vệ sau đây được dùng rộng rãi:
Ngăn ngừa tấn công và chiếm lĩnh trước.
Phát hiện tấn công và lọc trong quá trình sử dụng dịch vụ.
Lần vết nguồn tấn công và xác định sự tấn công sau khi sử dụng xong dịch vụ.
Nói chung các khả năng tấn công có phạm vi rộng lớn, vì vậy phải có nhiều biện pháp chống và sử dụng kết hợp chúng.
4.Các hệ thống tin cậy
4.1.Kiểm soát truy cập
Hệ thống đã xác định được định danh như người sử dụng, xác định các nguồn gốc nào nó có thể truy cập. Mô hình tổng quát là ma trận truy cập với
Chủthể- thực thểchủđộng (người sửdụng, quá trình) có khảnăng truy cập đối tượng.
Đối tượng - thực thể bị động (file hoặc chương trình, đoạn trong bộ nhớ) được truy cập đến.
Quyền truy cập – cách mà đối tượng được truy cập bởi chủ thể.
Có thể được phân tách bởi:
Cột ứng với đối tượng gồm danh sách quyền truy cập đến nó của các chủthểđịnh danh.
Hàng ứng với chủ thể gồm các thẻ về khả năng truy cập của nó đến các đối tượng
Ma trận kiểm soát quyền truy cập
Program1 ........ SegmentA SegmentB
Process1 Read Execute Read Execute
Process2 Read
4.2.Khái niệm hệ thống máy tính tin cậy
An toàn thông tin ngày càng quan trọng:
Có các mức độ khác nhau về sự nhạy cảm của thông tin, phân loại thông tin quân sự: bảo mật, bí mật.
Chủ thể (người hoặc chương trình) có nhiều quyền khác nhau truy cập đến các đối tượng thông tin.
Được biết như an ninh nhiều tầng:
Chủ thể có các mức độ an ninh thể hiện quyền truy cập.
Đối tượng có phân loại mức độ an ninh về mặt bảo vệ.
Cần xem xét các cách tăng độ tin tưởng trong hệ thống để củng cố các quyền đó.
4.3.Mô hình Bell LaPadula
Mô hình Bell LaPadula là một trong những mô hình an ninh nổi tiếng nhất, được cài đặt như các chính sách bắt buộc trong hệ thống. Có hai chính sách chính:
Không đọc lên (tính chất an ninh đơn giản): chủ thể chỉ có thể đọc các đối tượng nếu mức độ an ninh hiện tại của chủ thể trội hơn phân loại an ninh của đối tượng.
Không viết xuống: chủ thể chỉ có thể bổ sung/viết lên đối tượng nếu mức độ an ninh hiện tại của chủ thể nhỏ hơn hoặc bằng mức phân loại của đối tượng.
4.4.Chuẩn đánh giá các hệ thống máy tính
Trong khi các hệ thống Công nghệ thông tin phát triển mạnh mẽ, thì có khá nhiều chuẩn đánh giá khác nhau:
TCSEC, IPSEC và bây giờ là Tiêu chuẩn chung. Xác định một số mức độ đánh giá với việc tăng cường kiểm tra quy tắc. Đã xuất bản danh sách các sản phẩm được đánh giá.
Chỉ hướng tới sử dụng cho chính phủ/quốc phòng, tuy nhiên cũng có thể hữu ích trong công nghiệp.
Tiêu chuẩn chung
Đặc tả yêu cầu an ninh quốc tế và xác định tiêu chuẩn đánh giá. Tích hợp với các chuẩn khác:
Chẳng hạn CSEC, ITSEC, CTCPEC (Canada), Federal (US).
Đặc tả các chuẩn cho việc đánh giá các mức độ an ninh khác nhau.
Tiêu chuẩn đánh giá
Phương pháp luận cho việc ứng dụng Tiêu chuẩn.
Các thủ tục hành chính trong việc đánh giá, cấp giấy chứng nhận.
Xác định tập các yêu cầu an ninh, các mục tiêu đánh giá. Yêu cầu nằm trong hai loại sau, được tổ chức theo các lớp hoặc các thành phần:
- Chức năng: Kiểm soát an ninh, hỗ trợ mã, trao đổi thông tin, bảo vệ dữ liệu người sử dụng, định danh và xác thực, quản lý an ninh, tính riêng tư, bảo vệ các hàm an ninh tin cậy, nguồn thiết thực, đường dẫn tin cậy.
- Sự tin cậy: Quản lý tham số hệ thống, phân phối tham số và thao tác, tài liệu chỉ dẫn, hỗ trợ thời gian sống, kiểm tra, đánh giá lỗ hổng, bảo trì sự tin cậy.
Một Số Câu Hỏi Xin Mời Độc Giả Tham Gia Thảo Luận Và Để Lại Bình Luận Để Cùng Nhau Học Tập Thêm
1.Hãy phân loại kẻ xâm nhập vào hệ thống và lấy ví dụ minh họa?
2.Nêu một số kỹ thuật xâm nhập hay được sử dụng?
3.Việc đoán mật khẩu thường được xảy ra theo những kịch bản nào?
4.Nêu một số cách tiếp cận để phát hiện kẻ xâm nhập?
5.Giải thích cách dùng việc kiểm tra và phân tích bản ghi để phát hiện kẻ xâm nhập?
6.Nêu một số phương pháp phát hiện kẻ xâm nhập dựa trên quy tắc?
7. Có các biện pháp hỗ trợ nào để tạo mới mật khẩu một cách an toàn?
8.Bạn hãy nêu nguyên lý tạo khóa từ mật khẩu trong Kerberos 5?
9.Bạn hãy nêu một số kiểu phần mềm có hại?
10.Bạn hãy mô tả cấu trúc một chương trình virus?
11.Nêu các biện pháp chống virus?
12. Mô tả sơ đồ hệ miễn dịch số? Nêu các bước điển hình trong hoạt động của nó?
13.Nêu cách chống tấn công từ chối dịch vụ từ xa?
14.Mô tả ma trận kiểm soát quyền truy cập?
15. Mô tả hai chính sách chính trong mô hình hệ thống tin cậy Bell LaPadula?
Tình huống
- Tôi muốn tìm các lỗ hổng trong hệ thống mà kẻ xâm nhập hay tấn công vào để tiếm quyền và tiến hành các hành động phá hoại.
- Nên lưu mật khẩu của người sử dụng như thế nào cho an toàn.
- Làm sao phòng chống được virus tấn công.
Câu hỏi
1.Làm sao để phát hiện được kẻ xâm nhập?
2.Phải tạo và quản lý mật khẩu như thế nào là tốt?
3.Có các loại phần mềm có hại nào?
4.Có thể xây dựng một hệ thống máy tính tin cậy được không?
1.Kẻ xâm nhập
1.1.Khái niệm
Vấn đề quan trọng đối với hệ thống mạng là chống lại việc truy cập không mong muốn qua mạng máy tính lớn hoặc cục bộ. Chúng ta có thể phân loại kẻ xâm nhập như sau:
Kẻ giả danh: người không có quyền sử dụng hệ thống, vượt qua kiểm soát truy cập lợi dụng tài khoản người sử dụng hợp pháp.
Kẻ lạm quyền: là người sử dụng hợp pháp, nhưng truy cập dữliệu, chương trình hoặc tài nguyên mà không có quyền hoặc là người có quyền truy cập đó nhưng lạm dụng đặc quyền của anh ta.
Người sử dụng giấu mặt: là người lạm dụng quyền kiểm soát tối cao của hệ thống để vượt qua sự kiểm tra và kiểm soát truy cập hoặc ngăn chặn mọi bản ghi kiểm tra.
Có nhiều mức độ về khả năng xâm nhập khác nhau. Rõ ràng vấn đề trên được công khai và trở nên bức xúc từ sự kiện nổi tiếng “Wily Hacker” trong năm 1986-1987, dẫn đến việc thành lập ngày càng nhiều các đội ứng cứu tình trạng khẩn cấp của máy tính.
Với đội ứng cứu có thể cảm thấy yên tâm hơn nhưng đòi hỏi các nguồn chi bổ sung để phát triển và duy trì hoạt động. Kẻ xâm nhập có thể sử dụng các công cụ làm hại để tấn công các hệ thống.
1.2.Các kỹ thuật xâm nhập
Mục tiêu của kẻ xâm nhập là dành quyền truy cập hoặc tăng quyền trong hệ thống. Các phương pháp tấn công cơ bản bao gồm:
Tìm mục tiêu và thu thập thông tin.
Thực hiện được việc truy cập ban đầu.
Sau đó tìm cách leo thang quyền.
Đặc biệt tìm cách nắm bắt file mật khẩu người sử dụng.
Mục tiêu chính là lấy được mật khẩu và sau đó dùng quyền truy cập của người sở hữu.
1.3.Đoán mật khẩu
Đoán mật khẩu là một trong các hướng tấn công chung nhất. Kẻ tấn công đã biết tên người sử dụng đăng nhập (từ trang Email/Web) và tìm cách đoán mật khẩu.
Mặc định, mật khẩu ngắn, tìm kiếm các từ chung. Nhiều người không thay đổi mật khẩu sau khi được trao tài khoản.
Thu thập thông tin của người dùng (thay đổi tên, ngày sinh, số điện thoại, các mối quan tâm và từ chung).
Tìm kiếm tổng thể mọi khả năng có thể của mật khẩu.
Kẻ xâm nhập kiểm tra đăng nhập với tệp mật khẩu đánh cắp được. Sự thành công của việc đoán mật khẩu phụ thuộc vào mật khẩu được chọn bởi người dùng. Tổng quan chỉ ra rằng nhiều người sử dụng chọn mật khẩu không cẩn thận.
Nắm bắt mật khẩu
Tấn công khác bao gồm việc nắm bắt mật khẩu thông qua
Theo dõi qua khi nhập password.
Sử dụng chương trình ngựa thành Toroa để thu thập thông tin về mật khẩu.
Theo dõi login mạng không an toàn, chẳng hạn Telnet, FTP, Web, email.
Chắt lọc thông tin ghi lại sau lần vào mạng được thành công (đệm/lịch sử web, số quay cuối,…).
Người sử dụng cần được học để dùng các biện pháp phòng và ngăn ngừa thích hợp.
1.4.Phát hiện xâm nhập
Khi có kẻ xâm nhập vào hệ thống, chắc chắn có lỗi an toàn ở đâu đó, như vậy để phát hiện xâm nhập cần phải:
Chia khối nguồn tài nguyên để phát hiện nhanh khu vực có kẻ xâm nhập.
Thực hiện ngay các hành động ngăn chặn để hạn chế tối đa tổn hại.
Thu thập thông tin định danh kẻ xâm nhập để có biện pháp tăng cường an ninh.
Giả thiết rằng kẻ xâm nhập sẽ hành động khác so với người dùng hợp pháp. Nhưng sẽ chỉ có sự khác biệt nhỏ giữa họ.
Các cách tiếp cận phát hiện xâm nhập
Phát hiện dựa trên các thống kê bất thường:
- Vượt qua ngưỡng thống kê nào đó của các sự kiện.
- Dựa trên hồ sơ hành vi của người sử dụng để phát hiện những hoạt động bất thường.
Dựa trên quy tắc
- Phát hiện hành động bất thường dựa trên quy tắc được xây dựng từ các mẫu sử dụng trước.
- Định danh xâm nhập: sử dụng các hệ chuyên gia để tìm kiếm các hành động nghi ngờ.
Các bản ghi kiểm tra
Công cụ cơ bản để phát hiện xâm nhập là các bản ghi kiểm tra. Bản ghi về hành động hiện tại của người sử dụng được duy trì như đầu vào của hệ thống phát hiện. Một phần của hệ điều hành đa người sử dụng đã có công cụ thu thập thông tin về hoạt động của người sử dụng, nên nó đã sẵn sàng để sử dụng. Nhưng nó có nhược điểm là có thể không có thông tin cần thiết và không chứa trong định dạng mong muốn.
Có thể sử dụng các bản ghi kiểm tra chuyên dùng để phát hiện. Nó được tạo ra để thu thập một số thông tin mong muốn, tuy nhiên phải trả giá cho chi phí bổ sung trong hệ thống.
Phát hiện thống kê bất thường
Chủ yếu dùng phương pháp thống kê để phát hiện ngưỡng như:
- Đếm sự xuất hiện của sựkiện đặc biệt theo thời gian.
- Nếu nó vượt quá giá trị nào đó thì cho là đã có kể xâm nhập.
- Nếu chỉ dùng nó thì đây là phát hiện thô không hiệu quả.
Có thể kết hợp thống kê với việc dựa trên hồ sơ của người sử dụng: o Đặc trưng hành vi quá khứ của người sử dụng.
- Phát hiện các hệ quả quan trọng từ hồ sơ đó.
- Mô tả các hồ sơ bằng nhiều tham số khác nhau.
Phân tích bản ghi kiểm tra là cơ sở của cách tiếp cận thống kê. Nó dùng để nhận được các số liệu thống kê theo thời gian:
- Số đếm, đo, thời gian khoảng, sử dụng nguồn. Dùng các bản ghi kiểm tra khác nhau trên sốliệu phân tích đểxác định hành vi hiện tại có chấp nhận được không.
- Tính kỳ vọng, phương sai của các biến nhiều chiều, chuỗi thời gian để rút ra các kết luận thống kê.
Ưu điểm chính là không cần sử dụng kiến thức biết trước để phát hiện.
Phát hiện xâm nhập dựa trên quy tắc
Quan sát các sự kiện trong hệ thống và áp dụng các quy tắc để quyết định hoạt động đó có đáng nghi ngờ hay không. Phát hiện bất thường dựa trên quy tắc được tiến hành như sau:
- Phân tích các bản ghi kiểm tra cũ để xác định mẫu sử dụng và đưa ra quy tắc tự sinh cho chúng.
- Sau đó quan sát hành vi hiện tại và so sánh với các quy tắc để nhận thấy nếu nó phù hợp.
- Giống như phát hiện thống kê bất thường không đòi hỏi kiến thức biết trước về các lỗi an ninh.
Định danh sự xâm nhập dựa vào quy tắc có cách tiếp cận sử dụng công nghệ hệ chuyên gia.
- Các đặc trưng chính của các hệ thống này là đưa ra quy tắc định danh sự xâm nhập khai thác các điểm yếu đã biết, hoặc các hành vi nghi ngờ.
- So sánh các bản ghi kiểm tra hoặc các trạng thái theo quy tắc.
- Quy tắc được sinh bởi các chuyên gia, những người đã phỏng vấn và hệ thống các kiến thức của các quản trị an ninh.
- Chất lượng phụ thuộc vào cách thức thực hiện các nguyên tắc trên.
Ảo tưởng phát hiện dựa trên tỷ lệ
- Trên thực tế để sử dụng cần phát hiện kẻ xâm nhập hệ thống với tỷ lệ đúng cao với tỷ lệ rất nhỏ các cảnh báo sai. Hai tỷ lệ này cần phải được cân đối cho từng hệ thống:
- Nếu rất ít sựxâm nhập được phát hiện, suy ra an ninh không tốt.
- Nếu rất nhiều cảnh báo sai, khi đó phí thời gian để kiểm tra xem xét.
- Điều trên nói chung rất khó thực hiện nó tùy thuộc vào yêu cầu an ninh của hệ thống.
- Các hệ thống hiện nay dường như chưa có các bản ghi kiểm tra tốt.
Phát hiện xâm nhập phân tán
Các hệ thống thông tin truyền thống thường tập trung, đơn lẻ. Nhưng ngày nay thông thường các hệ thống máy tính đều lớn và gồm nhiều máy chủ phân tán.
Do đó việc phát hiện kể xâm nhập vào hệ thống rất khó khăn. Muốn bảo vệ hiệu quả cần làm việc cùng nhau đểphát hiện kẻxâm nhập. Các vấn đềđặt ra cần giải quyết là:
- Làm việc với nhiều định dạng bản ghi kiểm tra khác nhau, trên nhiều hệ điều hành khác nhau.
- Toàn vẹn và bảo mật dữ liệu trên mạng, kể cả trên đường truyền Internet.
- Kiến trúc bây giờ là phân tán, các máy chủ bố trí xa nhau trong phạm vi rộng lớn.
- Cần phải kết hợp sử dụng module tác tử máy chủ, module tác tử giám sát mạng LAN và module quản trị trung tâm để cùng nhau phát hiện và đưa ra biện pháp phòng chống.
Sử dụng bình mật ong
- Chăng lưới thu hút các kẻ tấn công.
- Tách khỏi sự truy cập đến các hệ thống then chốt.
- Để thu thập các thông tin về hoạt động của chúng.
- Kích thích kẻ tấn công ở lại trong hệ thống để người quản trị có thể phán đoán.
- Được cấp đầy đủ các thông tin bịa đặt.
- Được trang bị để thu thập chi tiết thông tin về hoạt động của kẻ tấn công.
2.Quản trị mật khẩu
Quản trị mật khẩu là bảo vệ tuyến đầu chống kẻ xâm nhập. Người sử dụng được cung cấp cả hai thông tin:
- Login – xác định đặc quyền của người sử dụng.
- Password – xác thực danh tính của người sử dụng.
Cần phải bảo vệ file mật khẩu trong hệ thống và nó thường được lưu trữ dưới dạng mã hóa hoặc dạng bản băm:
- Unix sử dụng DES lặp để lưu mật khẩu.
- Các hệ thống gần đây sử dụng hàm hash để băm mật khẩu và lưu bản băm. Đặc biệt có thể dùng bản băm làm khóa mật sinh ra từ mật khẩu.
Lỗ hổng mật khẩu.
Để hiểu về bản chất mối đe dọa hệ thống mật khẩu, ta xét sơ đồ được áp dụng rộng rãi trên Unix, ở đó mật khẩu không bao giờ lưu trữ dạng tường minh.
Mỗi người sử dụng chọn mật khẩu dài đến tám ký tự in được, nó chuyển thành 56 bit (sử dụng 7 bit ASCII) và là đầu vào chính cho cơ chế mã hóa crypt(3) dựa trên DES. Thuật toán DES được biến thể sử dụng 12 bit “muối” bổ sung. Giá trị này thường liên quan đến thời điểm mà mật khẩu được chọn bởi người sử dụng. Thuật toán đó sử dụng khối dữ liệu gồm 64 bit 0. Đầu ra của nó lại là đầu vào của thuật toán mã hóa lần 2. Quá trình lặp lại 25 lần. Đầu ra cuối 64 bit được chuyển thành dãy 11 ký tự. Bản mã mật khẩu được lưu cùng với bản rõ của “muối” trong file mật khẩu tương ứng với ID của người sử dụng.
“Muối” có tác dụng làm cho mật khẩu không bị lặp, tăng độ dài mật khẩu và tránh dùng cài đặt DES trên phần cứng.
Khi đăng nhập vào hệ thống Unix, người sử dụng cung cấp định danh và mật khẩu. Hệ điều hành sử dụng định danh lấy bản rõ “muối” và bản mã mật khẩu. Sau đó dùng “muối” và mật khẩu tạo thành bản mã mật khẩu rồi sánh với giá trị lưu và quyết định mật khẩu chấp nhận hay không.
Có hai mối đe dọa hệ mật khẩu Unix. Người sử dụng giành quyền truy cập hệ thống bằng cách đoán tài khoản và chạy chương trình đoán mật khẩu. Hơn nữa, nếu có bản copy file mật khẩu, tin tặc có thể chạy chương trình đăng nhập trên máy khác để tăng tốc độ dò tìm.
Khóa mật sinh từ mật khẩu (trong sơ đồ Kerberos).
Các ký tự mật khẩu có thể biểu diễn theo định dạng 7 bit của ASCII. Mật khẩu với độ dài tùy ý sẽ được biến đổi thành khóa mật:
Trước hết, xâu mật khẩu s được lưu dạng các ký tự 7 bit, sau đó cuộn gọn lại nhờ phép XOR thành 56 bit.
Lấy nó làm 56 bit khóa của DES, bổ sung thành 64 bit khóa gồm 8 khối 8 bit.
Mật khẩu gốc được mã theo chếđộmã móc nối dây chuyền với khóa được tạo ởtrên.
Kết quả nhận được khóa 64 bit sinh ra từ mật khẩu.
Tìm hiểu về mật khẩu:
Theo Purdue năm 1992, có nhiều mật khẩu ngắn.
Theo Klein năm 1990, có nhiều mật khẩu đoán được.
Kết luận là người sử dụng thường chọn các mật khẩu không tốt.
Cần một cách tiếp cận để chống lại điều đó, giúp người sử dụng tạo nên các mật khẩu tốt, khó đoán.
Tạo mật khẩu - cần giáo dục cách tạo mật khẩu:
Cần có chính sách và giáo dục người sử dụng tạo mật khẩu an toàn.
Giáo dục tầm quan trọng của mật khẩu tốt.
Cho định hướng mật khẩu tốt:
- Độ dài tối thiểu lớn hơn 6.
- Đòi hỏi trộn chữ hoa và chữ thường, số và dấu chấm.
- Không chọn các từ có trong từ điển, tức là có ý nghĩa nào đó. o Nhưng nên chọn sao cho nhiều người không để ý.
Tạo mật khẩu – máy tính tự sinh:
Cho máy tính tự tạo mật khẩu một cách ngẫu nhiên theo các tiêu chuẩn tốt.
Nếu ngẫu nhiên không dễ nhớ thì khi viết sẽ khó khăn (hội chứng nhãn khó chịu)
Ngay cả phát âm được cũng không thể nhớ mật khẩu được do không có ý nghĩa.
FIPS PUB 181 là một trong những bộ sinh mật khẩu tốt nhất: o Có cả mô tả và code ví dụ.
-Sinh từ việc ghép ngẫu nhiên các âm tiết phát âm được. Tạo mật khẩu - kiểm tra trước:
Đây là cách tiếp cận hứa hẹn nhất để có thể cải thiện an toàn mật khẩu.
Cho phép người sử dụng chọn trước mật khẩu của mình.
Nhưng để cho hệ thống kiểm chứng xem nó có chấp nhận được không:
- Bắt buộc theo quy tắc đơn giản.
- So sánh với từ điển các mật khẩu tồi.
- Sử dụng mô hình thuật toán Markov hoặc bộ lọc để chống các cách chọn tồi.
3.Phần mềm có hại
3.1.Các kiểu phần mềm có hại
Virus máy tính đã được công bố rất nhiều là một trong những phần mềm có hại nhất. Tác động của nó mọi người đều biết, đã được nêu trong các báo cáo và phim ảnh, gây nhiều chú ý hơn là tán thưởng và được quan tâm nhiều để phòng chống.
3.1.1.Cửa sau hoặc cửa sập
Điểm vào chương trình bí mật, cho phép những người biết truy cập mà bỏ qua các thủ tục an toàn thông thường. Kỹ thuật này có thể được sử dụng chung bởi những người phát triển và là mối đe doạ khi để trong chương trình sản phẩm cho phép khai thác bởi các kẻ tấn công. Rất khó ngăn chặn trong hệ điều hành, đòi hỏi phải cẩn thận ngay từ khi phát triển xây dựng hoặc thường xuyên cập nhật phần mềm.
3.1.2.Bom logic
Đây là một trong những phần mềm có hại kiểu cổ, code được nhúng trong chương trình hợp pháp. Nó được kích hoạt khi gặp điều kiện xác định:
Có mặt hoặc vắng mặt một số file.
Ngày tháng/thời gian cụ thể.
Người sử dụng nào đó.
Khi được kích hoạt thông thường nó làm hỏng hệ thống, biến đổi, xoá file hoặc xóa đĩa, làm dừng máy,…
3.1.3.Ngựa thành Tơ roa
Chương trình với các tác động phụ được giấu kín, mà thông thường rất hấp dẫn như trò chơi hoặc phần mềm nâng cấp. Khi chạy thực hiện những nhiệm vụ bổ sung, cho phép kẻ tấn công gián tiếp giành quyền truy cập mà họ không thể thực hiện trực tiếp. Thông thường sử dụng ngựa thành Tơ roa để lan truyền virus/sâu (worm) hoặc cài đặt cửa sau hoặc đơn giản là phá hoại dữ liệu.
3.1.4.Zombie
Đây là chương trình bí mật điều khiển máy tính của mạng khác và sử dụng nó để gián tiếp tiến hành các cuộc tấn công. Thông thường nó được sử dụng để khởi động tấn công từ chối các dịch vụ phân tán (DdoS) và khai thác các lỗ hổng trong các hệ thống.
3.1.5.Virus
Virus là đoạn code tự sinh lặp đính kèm với code khác như virus sinh học. Cả hai đều tự lan truyền và mang đi bộ tải.
Mang theo code để tạo các bản sao của chính nó.
Cũng như mọi code nó cũng thực hiện nhiệm vụ ngầm nào đó như phá hoại các files hệ thống.
Thao tác của virus
Các giai đoạn của virus:
Nằm im – chờ sự kiện kích hoạt.
Lan truyền – lặp sinh ra chương trình/đĩa.
Kích hoạt – bởi sự kiện để thực hiện bộ tải.
Thực hiện bộ tải.
Cụ thể thông thường mang tính chất chuyên biệt của các máy và hệ điều hành. Nó khai thác các điểm yếu của hệ thống.
Cấu trúc Virus
program V :=
{goto main;
1234567;
subroutine infect-executable :=
{loop:
file := get-random-executable-file;
if (first-line-of-file = 1234567) then goto loop else prepend V to file; }
subroutine do-damage := {whatever damage is to be done}
subroutine trigger-pulled := {return true if condition
holds}
main: main-program := {infect-executable; if trigger-pulled then do-damage; goto next;}
next:
}
Dòng mang nhãn 1234567 ký hiệu file hiện thời đã nhiễm virus chưa, nếu chưa thì nó sẽ được đính vào file. Khi thỏa mãn điều kiện nào đó, nó sẽ tiến hành các hành động phá hủy.
Các kiểu Virus
Có thể phân loại dựa trên kiểu tấn công:
Virus ăn bám là kiểu truyền thống và cũng chung nhất. Chúng đính kèm vào các file thực thi và nhân bản khi chương trình bị nhiễm thực hiện bằng cách nhiễm sang các file thực thi khác.
Virus cư trú ở bộ nhớ chính như một phần của chương trình hệ thống thường trú. Chúng lây nhiễm mọi chương trình đang thực thi.
Virus ở sector khởi động lây nhiễm bản ghi khởi động chính và lan truyền khi hệ thống khởi động từ đĩa có virus.
Lén lút là dạng virus chủ định được thiết kế ẩn náu tránh phát hiện bởi các phần mềm diệt virus.
Virus nhiều hình thái và biến hoá. Phát hiện định danh bằng dấu hiệu đặc trưng là không thể.
3.1.6.Marco Virus
Marco code đính kèm file dữ liệu, được dịch bởi chương trình sử dụng file và là nguồn lây nhiễm chính.
Như marco của Word/Excel.
Sử dụng lệnh tự động và lệnh marco.
Đây là đoạn code độc lập với nền tảng, mọi macro virus đều lây nhiễm sang các file doc của Microsoft Word. Mọi chương trình và hệ điều hành hỗ trợ Word cũng bị lây nhiễm. Nó dựa vào các macro tự động thực hiện không cần tác động tường minh của người dùng. Thông thường đó là các lệnh mở file, đóng file, bắt đầu ứng dụng. Một khi macro chạy, nó sẽ sao nó sang tài liệu khác hoặc xóa file hoặc gây hỏng hệ thống của người sử dụng.
Virus email
Đây là loại virus lan truyền sử dụng email được đính kèm chứa marco virus như Melissa. Nó thường được kích hoạt khi người sử dụng mở file đính kèm hoặc khi mail được xem sử dụng một tính chất script của tác nhân mail, do đó sẽ lan truyền rất nhanh, thông thường đích là tác nhân mail Microsoft Outlook hoặc tài liệu Word/Excel. Để phòng chống ta cần ứng dụng an ninh và hệ điều hành tốt hơn.
3.1.7.Worm
Đây là chương trình sinh lặp nhưng không có tác động, thường sử dụng việc kết nối mạng để lan truyền từ hệ thống này sang hệ thống khác. Ví dụ như sâu Internet Morris 1988.
Dẫn đến việc tạo ra các đội ứng cứu khẩn cấp máy tính CERT.
Dùng đặc quyền phân tán hoặc khai thác các điểm yếu hệ thống.
Được sử dụng rộng rãi bởi Hackers để tạo zombie PC, kéo theo sử dụng các tấn công khác, đặc biệt từ chối dịch vụ DoS.
Vấn đề chính là mất sự an toàn của hệ thống kết nối mạng thường xuyên.
Thao tác của sâu
Các giai đoạn của sâu giống như virus:
Nằm im.
Lan truyền.
- Tìm hệ thống khác để tác động.
- Thiết lập kết nối với hệ thống đích từxa. o Tự sinh lặp mình cho hệ thống từ xa.
Kích hoạt.
Thực hiện hành động phá hoại.
3.1.8.Sâu Morrris
Sâu Morris là loại sâu cổ điển, được tạo bởi Robert Morris vào 1988, nhằm tới các hệ thống Unix. Ở đây sử dụng một số kỹ thuật lan truyền, như
Phá mật khẩu đơn giản trong file mật khẩu cục bộ.
Khai thác lỗ hổng của hệ thống.
Tìm lỗi cửa sập trong hệ thống mail.
Mọi tấn công thành công sẽ sinh lặp nó.
Tấn công của sâu đương thời
Làn sóng tấn công của sâu đương thời mới từ giữa 2001 như:
Code Red - sử dụng lỗ hổng MS IIS:
- Thử IP ngẫu nhiên cho hệ thống chạy IIS (Internet Information Server). o Có kích hoạt thời gian cho tấn công từ chối dịch vụ.
- Làn sóng thứ hai tác động đến 360000 máy chủ trong vòng 14 giờ.
Code Red 2 – cài đặt cửa sập.
Nimda – cơ chế tác động lặp.
SQL Slammer – đã tấn công máy chủ MS SQL.
Sobig – đã tấn công máy chủ proxy mở.
Mydoom – sâu email có số lượng lớn và có cửa sau.
Công nghệ sâu
Các đặc tính của công nghệ sâu là tấn công đa nền tảng, khai thác nhiều chiều, lan truyền cực nhanh, có nhiều kiểu tác động, biến hóa, cơ động và khai thác zero day (tấn công trước khi người phát triển phần mềm biết về điểm yếu của phần mềm ứng dụng).
3.2.Các biện pháp chống Virus
Biện pháp tốt nhất là ngăn ngừa, nhưng nói chung là không thể. Do đó cần phải có một trong nhiều biện pháp sau:
Phát hiện virus nhiễm trong hệ thống.
Định danh loại virus nhiễm.
Loại bỏ khôi phục hệ thống về trạng thái sạch.
Phần mềm chống Virus
Phần mềm thuộc thế hệ đầu tiên:
- Quét sử dụng chữ ký của virus để định danh.
- Hoặc phát hiện sự thay đổi độ dài của chương trình. Phần mềm thuộc thế hệ thứ hai:
- Sử dụng các quy tắc trực quan để phát hiện nhiễm virus.
- Sử dụng mã hash của chương trình để phát hiện sự thay đổi. Phần mềm thuộc thế hệ thứ ba:
Chương trình thường trú trong bộ nhớ định danh virus theo hành động. Phần mềm thuộc thế hệ thứ tư:
- Đóng gói với rất nhiều kiểu kỹ thuật chống virus/ o Quét và lần vết tích cực, kiểm soát truy cập.
Phương pháp diệt bằng tay vẫn được dùng.
Kỹ thuật chống Virus nâng cao
Giải mã mẫu: sử dụng mô phỏng CPU kiểm tra chương trình, chữ ký và hành vi trước khi chạy chúng.
Dùng Hệ thống miễn dịch số (IBM):
- Cung cấp việc mô phỏng đa mục tiêu và hệ thống phát hiện Virus.
- Mọi virus nhập vào tổ chức được nắm bắt, phân tích, phát hiện/tấm chắn tạo ra chống nó và loại bỏ.
Sau đây là sơ đồ Hệ miễn dịch số (Digital Immune System):
Các bước điển hình trong thao tác của hệ miễn dịch là:
Chương trình giám sát trên mỗi PC sử dụng nhiều kiểu tìm tòi dựa trên hành vi của hệ thống, theo dõi sự thay đổi chương trình hay chữ ký tập thể để phát hiện virus. Sau đó nó gửi bản sao đến máy điều hành.
Máy điều hành lấy mẫu gửi đến máy phân tích virus trung tâm
Máy này tạo môi trường cho máy nhiễm chạy để có thể phân tích. Sau đó nó tạo ra đơn để định danh và loại bỏ virus.
Đơn được gửi trả lại máy điều hành.
Máy điều hành gửi lại đơn cho máy bị nhiễm.
Đơn được gửi tới các máy khác trong tổ chức hệ thống.
Những người khác ngoài tổ chức sẽ nhận được bản cập nhật chống virus để chống virus mới đó.
3.3.Phần mềm ngăn chặn hành vi
Các phần mềm này được tích hợp với hệ điều hành của máy chủ. Chương trình theo dõi các hành vi trong thời gian thực:
Chẳng hạn truy cập file, định dạng đĩa, các chế độ thực hiện, thay đổi tham số hệ thống, truy cập mạng.
Đối với các hành động có khả năng có hại, nếu phát hiện thì ngăn chặn, loại bỏ, trước khi chúng có cơ hội tác động đến hệ thống. Phương pháp này có ưu điểm so với quét, nhưng code có hại chạy trước khi phát hiện.
3.3.1.Tấn công từ chối dịch vụ từ xa
Tấn công từ chối dịch vụ từ xa (DDoS) tạo thành đe dọa đáng kể, làm cho hệ thống trở nên không sẵn sàng, làm tràn bởi sựvận chuyển vô ích.
Kẻ tấn công thường sử dụng một số lớn các “Zombies”, tăng độ khó của các tấn công. Công nghệ bảo vệ tìm các biện pháp đương đầu chống lại.
3.3.2.Tìm hiểu cách kẻ thù xây dựng mạng lưới tấn công từ chối dịch vụ từ xa
Từ chối dịch vụ có hiệu lực khi bị nhiễm rất nhiều “Zombies”. Để thực hiện được điều đó cần có:
Phần mềm cài đặt tấn công từ chối dịch vụ từ xa.
Các lỗ hổng không vá được trong nhiều hệ thống.
Chiến lược quét để tìm lỗ hổng hệ thống: sử dụng các yếu tố ngẫu nhiên, lập danh sách va chạm, tìm hiểu cấu trúc topo, mạng con cục bộ.
3.3.3.Chống tấn công từ chối dịch vụ từ xa (DDoS)
Ba cách bảo vệ sau đây được dùng rộng rãi:
Ngăn ngừa tấn công và chiếm lĩnh trước.
Phát hiện tấn công và lọc trong quá trình sử dụng dịch vụ.
Lần vết nguồn tấn công và xác định sự tấn công sau khi sử dụng xong dịch vụ.
Nói chung các khả năng tấn công có phạm vi rộng lớn, vì vậy phải có nhiều biện pháp chống và sử dụng kết hợp chúng.
4.Các hệ thống tin cậy
4.1.Kiểm soát truy cập
Hệ thống đã xác định được định danh như người sử dụng, xác định các nguồn gốc nào nó có thể truy cập. Mô hình tổng quát là ma trận truy cập với
Chủthể- thực thểchủđộng (người sửdụng, quá trình) có khảnăng truy cập đối tượng.
Đối tượng - thực thể bị động (file hoặc chương trình, đoạn trong bộ nhớ) được truy cập đến.
Quyền truy cập – cách mà đối tượng được truy cập bởi chủ thể.
Có thể được phân tách bởi:
Cột ứng với đối tượng gồm danh sách quyền truy cập đến nó của các chủthểđịnh danh.
Hàng ứng với chủ thể gồm các thẻ về khả năng truy cập của nó đến các đối tượng
Ma trận kiểm soát quyền truy cập
Program1 ........ SegmentA SegmentB
Process1 Read Execute Read Execute
Process2 Read
4.2.Khái niệm hệ thống máy tính tin cậy
An toàn thông tin ngày càng quan trọng:
Có các mức độ khác nhau về sự nhạy cảm của thông tin, phân loại thông tin quân sự: bảo mật, bí mật.
Chủ thể (người hoặc chương trình) có nhiều quyền khác nhau truy cập đến các đối tượng thông tin.
Được biết như an ninh nhiều tầng:
Chủ thể có các mức độ an ninh thể hiện quyền truy cập.
Đối tượng có phân loại mức độ an ninh về mặt bảo vệ.
Cần xem xét các cách tăng độ tin tưởng trong hệ thống để củng cố các quyền đó.
4.3.Mô hình Bell LaPadula
Mô hình Bell LaPadula là một trong những mô hình an ninh nổi tiếng nhất, được cài đặt như các chính sách bắt buộc trong hệ thống. Có hai chính sách chính:
Không đọc lên (tính chất an ninh đơn giản): chủ thể chỉ có thể đọc các đối tượng nếu mức độ an ninh hiện tại của chủ thể trội hơn phân loại an ninh của đối tượng.
Không viết xuống: chủ thể chỉ có thể bổ sung/viết lên đối tượng nếu mức độ an ninh hiện tại của chủ thể nhỏ hơn hoặc bằng mức phân loại của đối tượng.
4.4.Chuẩn đánh giá các hệ thống máy tính
Trong khi các hệ thống Công nghệ thông tin phát triển mạnh mẽ, thì có khá nhiều chuẩn đánh giá khác nhau:
TCSEC, IPSEC và bây giờ là Tiêu chuẩn chung. Xác định một số mức độ đánh giá với việc tăng cường kiểm tra quy tắc. Đã xuất bản danh sách các sản phẩm được đánh giá.
Chỉ hướng tới sử dụng cho chính phủ/quốc phòng, tuy nhiên cũng có thể hữu ích trong công nghiệp.
Tiêu chuẩn chung
Đặc tả yêu cầu an ninh quốc tế và xác định tiêu chuẩn đánh giá. Tích hợp với các chuẩn khác:
Chẳng hạn CSEC, ITSEC, CTCPEC (Canada), Federal (US).
Đặc tả các chuẩn cho việc đánh giá các mức độ an ninh khác nhau.
Tiêu chuẩn đánh giá
Phương pháp luận cho việc ứng dụng Tiêu chuẩn.
Các thủ tục hành chính trong việc đánh giá, cấp giấy chứng nhận.
Xác định tập các yêu cầu an ninh, các mục tiêu đánh giá. Yêu cầu nằm trong hai loại sau, được tổ chức theo các lớp hoặc các thành phần:
- Chức năng: Kiểm soát an ninh, hỗ trợ mã, trao đổi thông tin, bảo vệ dữ liệu người sử dụng, định danh và xác thực, quản lý an ninh, tính riêng tư, bảo vệ các hàm an ninh tin cậy, nguồn thiết thực, đường dẫn tin cậy.
- Sự tin cậy: Quản lý tham số hệ thống, phân phối tham số và thao tác, tài liệu chỉ dẫn, hỗ trợ thời gian sống, kiểm tra, đánh giá lỗ hổng, bảo trì sự tin cậy.
Một Số Câu Hỏi Xin Mời Độc Giả Tham Gia Thảo Luận Và Để Lại Bình Luận Để Cùng Nhau Học Tập Thêm
1.Hãy phân loại kẻ xâm nhập vào hệ thống và lấy ví dụ minh họa?
2.Nêu một số kỹ thuật xâm nhập hay được sử dụng?
3.Việc đoán mật khẩu thường được xảy ra theo những kịch bản nào?
4.Nêu một số cách tiếp cận để phát hiện kẻ xâm nhập?
5.Giải thích cách dùng việc kiểm tra và phân tích bản ghi để phát hiện kẻ xâm nhập?
6.Nêu một số phương pháp phát hiện kẻ xâm nhập dựa trên quy tắc?
7. Có các biện pháp hỗ trợ nào để tạo mới mật khẩu một cách an toàn?
8.Bạn hãy nêu nguyên lý tạo khóa từ mật khẩu trong Kerberos 5?
9.Bạn hãy nêu một số kiểu phần mềm có hại?
10.Bạn hãy mô tả cấu trúc một chương trình virus?
11.Nêu các biện pháp chống virus?
12. Mô tả sơ đồ hệ miễn dịch số? Nêu các bước điển hình trong hoạt động của nó?
13.Nêu cách chống tấn công từ chối dịch vụ từ xa?
14.Mô tả ma trận kiểm soát quyền truy cập?
15. Mô tả hai chính sách chính trong mô hình hệ thống tin cậy Bell LaPadula?
0 nhận xét:
Post a Comment