Cơ bản atbm...............................................................................................................................................

1
Mã độc........................................................................................................................................................3
Hacking......................................................................................................................................................8
Firewall.......................................................................................................................................................9
Thám mã..................................................................................................................................................10

Cơ bản atbm
1. Khái niệm hệ thống
Hệ thống là 1 tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ ràng buộc
lẫn nhau và cùng hoạt động hướng tới một mục tiêu chung. Phần tử có thể là vật
chất hoặc phi vật chất: Con người, máy móc, thông tin, dữ liệu, phương pháp xử lý,
qui tắc, quy trình xử lý.
Phân loại hệ thống:
- Hệ thống mở: có tương tác với môi trường.
- Hệ thống đóng: không tương tác với môi trường (chỉ có trên lý thuyết). Mục tiêu
của hệ thống là lý do tồn tại của hệ thống. Để đạt được mục tiêu, hệ thống tương
tác với môi trường bên ngoài của nó.
2. Khái niệm hệ thống thông tin
Là hệ thống mà mối liên hệ giữa các thành phần của nó cũng như mối liên hệ giữa
nó với các hệ thống thông tin khác. Là sự trao đổi thông tin. Mục tiêu của hệ thống
thông tin là cung cấp thông tin phục vụ cho con người trong một tổ chức nào đó.
3. Khái niệm an toàn hệ thống thông tin
An toàn máy tính xét trên tính bí mật, tính toàn vẹn, tính sẵn sàng. Ba tính đó còn
gọi là tam giác C-I-A (confidentiality, integrity,availability). Đảm bảo an toàn hệ
thống thông tin là đảm bảo an toàn của hệ thống thông tin (phần cứng, phần mềm,
dữ liệu) trước các mối đe dọa (sự truy cập, sửa đổi, phá hoại dữ liệu bất hợp pháp)
bằng các biện pháp kỹ thuật lẫn phi kỹ thuật (mã hóa, kiểm soát truy cập, chính
sách …).

1
Một hệ thống thông tin được xem là an toàn khi đảm bảo ít nhất ba mục tiêu cơ
bản: tính bí mật, tính toàn vẹn, tính sẵn sàng. Ngoài ra còn có các mục tiêu khác
như: tính không thể chối cãi, tính xác thực.
3.1. Tính bí mật (Confidentiality)
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc)
bởi những đối tượng (người, chương trình máy tính) được cấp phép. Tính bí mật
của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ
tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập
thông tin từ xa qua môi trường mạng.
Sau đây là một số cách thức như vậy:
+ Khóa kín và niêm phong thiết bị.
+ Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc
điểm về tính xác thực.
+ Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
+ Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES.
3.2. Tính toàn vẹn (integrity)
Đảm bảo tính toàn vẹn thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi
những đối tượng được cho phép và phải đảm bảo băng thông vẫn còn chính xác khi
được lưu trữ hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính toàn
vẹn đơn giản chỉ là đảm bảo thông tin không bị thay đổi là chưa đầy đủ.
Ngoài ra một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn
gốc của thông tin này (thuốc sở hữu của đối tượng nào) để đảm bảo thông tin đến
từ một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ.
+ Thay đổi giao diện trang chủ của một website
+ Chặn đứng và thay đổi gói tin được gửi qua mạng
+ Chính sửa trái phép các file được lưu trữ trên máy tính
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dần đến thông
tin bị sai lệch.
3.3. Tính sẵn sàng (availablility)
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi
những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị

2
nhưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì
độ sẵn sàng nó là 99,999%.
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào:
máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch
làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch
không thể hoạt động bình thường được nữa.
Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS). Để tăng khả năng chống
chọi với các cuộc tấn công như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng
một số kỹ thuật như: Load Balancing, Clustering, redudancy, Failover.

4. Khái niệm lỗ hổng an ninh mạng

Bảo mật là một trong những lĩnh vực mà hiện nay trong giới công nghệ thông tin
khá quan tâm. Một khi internet ra đời và phát triển, nhu cầu trao đổi thông tin trở
nên cần thiết. Mục tiêu của việc nối mạng là làm cho người có thể sử dụng tài
nguyên từ những vị trí địa lý khác nhau.
Cũng chính vì vậy mà các tài nguyên cũng rất dễ dàng bị phân tán, một điều hiển
nhiên là chúng sẽ bị xâm hại, gây mất mát dữ liệu cùng các thông tin có giá trị.

Bảo mật là việc bảo toàn dữ liệu, tài nguyên, do đó dữ liệu phải được đảm bảo các
yêu cầu đối với dữ liệu mềm:
+ Tính bảo mật: tính bảo mật chỉ cho phép người có quyền hạn truy cập đến nó.
+ Tính toàn vẹn dữ liệu: dữ liệu không được sửa đổi, bị xóa một cách bất hợp
pháp.
+ Tính sẵn sàng: bất cứ lúc nào chúng ta cần thì dữ liệu luôn sẵn sàng.
Thêm vào đó phải đảm bảo được an toàn cho các bộ phận dữ liệu cứng như: hệ
thống máy tính, bộ nhớ, hệ thống ổ đĩa, máy in và nhiều tài nguyên trên hệ thống
máy tính.

Mã độc
Các loại mã độc:
1. Mã độc là gì? Tổng quan về mã độc

3
Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào
hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp
thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của
máy tính nạn nhân.
Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá
hoại: virus, worm, trojan, rootkit…
Mọi người hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính. Thực tế, virus
máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu đơn thuần
cũng là một dạng mã độc nhưng sự khác biệt ở chỗ virus máy tính có khả năng tự
lây lan.
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương pháp ẩn
mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc
ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để
hiệu quả tấn công là cao nhất.
Sau đây, tôi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính:
chức năng, đối tượng lây nhiễm, đặc trưng của mã độc.

2. 12 loại mã độc phổ biến

2.1. Boot virus
Boot virus hay còn gọi là virus boot, là loại virus lây vào boot sector hoặc master
boot record của ổ đĩa cứng. Đây là các khu vực đặc biệt chứa các dữ liệu để khởi
động hệ thống, nạp các phân vùng.
Boot virus được thực thi trước khi hệ điều hành được nạp lên. Vì vậy, nó hoàn toàn
độc lập với hệ điều hành. B-virus có nhược điểm là khó viết do không thể sử dụng
các dịch vụ, chức năng có sẵn của hệ điều hành và kích thước virus bị hạn chế bởi
kích thước của các sector (mỗi sector chỉ có 512 byte).
Ngày nay gần như không còn thấy sự xuất hiện của Boot Virus do đặc điểm lây lan
chậm và không phù hợp với thời đại Internet.
Mã độc
2.2. Macro virus

4
Đây là loại virus đặc biệt tấn công vào chương trình trong bộ Microsoft Office của
Microsoft: Word, Excel, Powerpoint. Macro là tính năng hỗ trợ trong bộ công cụ
văn phòng Microsoft Office cho phép người sử dụng lưu lại các công việc cần thực
hiện lại nhiều lần. Thực tế hiện nay cho thấy virus macro gần như đã “tuyệt
chủng”.

2.3. Scripting virus

Scripting virus là loại virus được viết bằng các ngôn ngữ script (kịch bản) như
VBScript, JavaScript, Batch script. Những loại virus này thường có đặc điểm dễ
viết, dễ cài đặt. Chúng thường tự lây lan sang các file script khác, thay đổi nội
dung cả các file html để thêm các thông tin quảng cáo, chèn banner … Đây cũng là
một loại virus phát triển nhanh chóng nhờ sự phổ biến của Internet.
2.4. File Virus
Virus này chuyên lây vào các file thực thi (ví dụ file có phần mở
rộng .com, .exe, .dll) một đoạn mã để khi file được thực thi, đoạn mã virus sẽ được
kích hoạt trước và tiếp tục thực hiện các hành vi phá hoại, lây nhiễm.
Loại virus này có đặc điểm lây lan nhanh và khó diệt hơn các loại virus khác do
phải xử lý cắt bỏ, chỉnh sửa file bị nhiễm.
File Virus có nhược điểm là chỉ lây vào một số định dạng file nhất định và phụ
thuộc vào hệ điều hành.
F-Virus vẫn tồn tại tới ngày nay với những biến thể ngày càng trở nên nguy hiểm,
phức tạp hơn.

2.5. Trojan horse – ngựa thành Tơ roa

Tên của loại virus này được lấy theo một điển tích cổ. Trong cuộc chiến với người
Tơ-roa, các chiến binh Hy Lạp sau nhiều ngày không thể chiếm được thành đã nghĩ
ra một kế, giảng hòa rồi tặng người dân thành Tơ-roa một con ngựa gỗ khổng lồ.
Sau khi ngựa gỗ được đưa vào thành, đêm đến các chiến binh Hy Lạp từ trong
ngựa gỗ chui ra đánh chiếm thành.
Đây cũng chính là cách mà các Trojan horse (gọi tắt là Trojan) áp dụng: các đoạn
mã của Trojan được “che giấu” trong các loại virus khác hoặc trong các phần mềm

5
máy tính thông thường để bí mật xâm nhập vào máy nạn nhân. Khi tới thời điểm
thuận lợi chúng sẽ tiến hành các hoạt động ăn cắp thông tin cá nhân, mật khẩu,
điều khiển máy tính nạn nhân … Bản chất của Trojan là không tự lây lan mà phải
sử dụng phần mềm khác để phát tán.
Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau: BackDoor,
Adware và Spyware.

2.6. BackDoor
Phần mềm BackDoor (cửa sau) là một dạng Trojan khi thâm nhập vào máy tính
nạn nhân sẽ mở ra một cổng dịch vụ cho phép kẻ tấn công điều khiển các hoạt
động ở máy nạn nhân.
Kẻ tấn công có thể cài các phần mềm BackDoor lên nhiều máy tính khác nhau
thành một mạng lưới các máy bị điều khiển – Bot Net – rồi thực hiện các vụ tấn
công từ chối dịch vụ (DoS – Denial of Service).

2.7. Adware và Spyware

Đây là loại Trojan khi xâm nhập vào máy tính với mục đích quảng cáo hoặc “gián
điệp”. Chúng đưa ra các quảng cáo, mở ra các trang web, thay đổi trang mặc định
của trình duyệt (home page) … gây khó chịu cho người sử dụng. Các phần mềm
này cài đặt các phần mềm ghi lại thao tác bàn phím (key logger), ăn cắp mật khẩu
và thông tin cá nhân …

2.8. Worm – sâu máy tính

Cùng với các loại mã độc máy tính như Trojan, WannaCry, Worm (sâu máy tính)
là loại virus phát triển và lây lan mạnh mẽ nhất hiện nay nhờ mạng Internet.
Vào thời điểm ban đầu, Worm được tạo ra chỉ với mục đích phát tán qua thư điện
tử – email. Khi lây vào máy tính, chúng thực hiện tìm kiếm các sổ địa chỉ, danh
sách email trên máy nạn nhân rồi giả mạo các email để gửi bản thân chúng tới các
địa chỉ thu thập được.
Các email do worm tạo ra thường có nội dung “giật gân”, hoặc “hấp dẫn”, hoặc
trích dẫn một email nào đó ở máy nạn nhân để ngụy trang. Điều này khiến các

6
email giả mạo trở nên “thật” hơn và người nhận dễ bị đánh lừa hơn. Nhờ những
email giả mạo đó mà Worm lây lan mạnh mẽ trên mạng Internet theo cấp số nhân.
Bên cạnh Worm lây lan theo cách truyền thống sử dụng email, Worm hiện nay còn
sử dụng phương pháp lân lan qua ổ USB. Thiết bị nhớ USB đã trở nên phổ biến
trên toàn thế giới do lợi thế kích thước nhỏ, cơ động và trở thành phương tiện lây
lan lý tưởng cho Worm.
Dựa đặc điểm lây lan mạnh mẽ của Worm, những kẻ viết virus đã đưa thêm vào
Worm các tính năng phá hoại, ăn cắp thông tin…, Worm đã trở thành “bạn đồng
hành” của những phần mềm độc hại khác như BackDoor, Adware…

2.9. Rootkit
Rootkit ra đời sau các loại virus khác, nhưng rootkit lại được coi là một trong
những loại virus nguy hiểm nhất.
Bản thân rootkit không thực sự là virus, đây là phần mềm hoặc một nhóm các phần
mềm máy tính được giải pháp để can thiệp sâu vào hệ thống máy tính (nhân của hệ
điều hành hoặc thậm chí là phần cứng của máy tính) với mục tiêu che giấu bản
thân nó và các loại phần mềm độc hại khác.
Rootkit là gì? Có những loại rootkit nào?
Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình” trước
những công cụ thông thường thậm chí vô hình cả với các phần mềm diệt virus.
Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều trước sự
bảo vệ của rootkit – vốn được trang bị nhiều kĩ thuật mới hiện đại.
Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện “chính
thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở nên phổ
biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc hại khác.

2.10. Botnet
Là những máy tính bị nhiễm virus và điều khiển bởi Hacker thông qua Trojan,
virus… Hacker lợi dụng sức mạnh của những máy tính bị nhiễm virus để thực hiện

7
các hành vi tấn công, phá hoại, ăn cắp thông tin. Thiệt hại do Botnet gây ra thường
rất lớn.
2.11. Biến thể
Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng.
Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện
của phần mềm diệt virus hoặc làm thay đổi hành động của nó.
2.12. Virus Hoax
Đây là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một
yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng
lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email. Bản thân cảnh báo
giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chữa
mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều
hành, xoá file làm nguy hại tới hệ thống. Kiểu cảnh báo giả này cũng gây tốn thời
gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu
dịch vụ.
Ngày nay, sự phát triển mạnh mẽ của Internet đang tạo ra một môi trường hoạt
động và lây lan lý tưởng cho các loại phần mềm độc hại. Bên cạnh đó, các hướng
dẫn chi tiết, các loại công cụ để tạo virus ngày càng nhiều, xuất hiện tràn lan trên
mạng toàn cầu. Đây là những yếu tố thuận lợi cho sự phát triển và lây lan mạnh mẽ
của virus, mã độc. Chính vì vậy những phân loại trên đây chỉ mang tính tương đối,
các loại virus đang theo xu hướng “kết hợp” lại với nhau, tạo thành những thế hệ
virus mới với nhiều đặc tính hơn, khả năng phá hoại cao hơn, nguy hiểm hơn và
khó bị phát hiện hơn. Vì vậy các giải pháp quản trị nguy cơ an ninh mạng như
SecurityBox sẽ đảm bảo môi trường làm việc an toàn cho người sử dụng máy tính.
Trên đây, chuyên gia an ninh mạng SecurityBox vừa chia sẻ cho các bạn về khái
niệm mã độc và các loại mã độc phổ biến. Đừng quên like và chia sẻ bài viết này
nhé!

Hacking
Giai đoạn một: Thông báo lại một mục tiêu để hack
Giai đoạn hai: Vũ khí hóa thông tin về một công ty
Giai đoạn ba: Bắt đầu cuộc tấn công
Giai đoạn bốn: Khai thác vi phạm bảo mật

8
Giai đoạn năm: Cài đặt một cửa sau liên tục
Giai đoạn sáu: Thực hiện lệnh và kiểm soát
Giai đoạn bảy: Đạt được mục tiêu của hacker

Firewall 
Tường lửa hay còn được gọi với cái tên là FireWall thuật ngữ trong chuyên ngành
mạng máy tính, nói nôm na có thể gọi là bức tường lửa một hệ thống an ninh
mạng, bảo mật an toàn thông tin mạng. Tường lửa tồn tại ở 2 loại phần cứng và
phần mềm được tích hợp vào bên trong hệ thống và nó hoạt động như một rào chắn
phân cách giữa truy cập an toàn và truy cập không an toàn, chống lại truy cập trái
phép, ngăn chặn virus… đảm bảo thông tin nội bộ được an toàn không bị truy cập
xấu đánh cắp.
giúp kiểm soát luồng thông tin giữa Intranet và Internet, chúng phát hiện và phán
xét những hành vi được truy cập và không được truy cập vào bên trong hệ thống,
đảm bảo tối đa sự an toàn thông tin.
Tính năng chính của dòng thiết bị này có thể được tóm tắt ở những gạch đầu dòng
dưới đây:
- Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin
chỉ có trong mạng nội bộ.
- Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.
- Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.
- Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).
- Kiểm soát truy cập của người dùng.
- Quản lý và kiểm soát luồng dữ liệu trên mạng.
- Xác thực quyền truy cập.
- Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.
- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng),
giao thức mạng.
- Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống
mạng.
- Firewall hoạt động như một Proxy trung gian.

9
- Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
- Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc
chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.

Thám mã
Bước 1: Phân loại bản mã
Bước 2 : Xác định mã pháp
Tính tần số
Tính trùng mã
Tần số định kỳ:
Tần số bộ đôi dọc và bộ đôi dọc đồng tự.
Phân tích kết quả tính các tần số và trùng mã
Xác định ngôn ngữ được dùng

Bước 3. Thám mã
Thám trực tiếp
Xây dựng phương pháp thám

10