Professional Documents
Culture Documents
1
Mã độc........................................................................................................................................................3
Hacking......................................................................................................................................................8
Firewall.......................................................................................................................................................9
Thám mã..................................................................................................................................................10
Cơ bản atbm
1. Khái niệm hệ thống
Hệ thống là 1 tập hợp có tổ chức gồm nhiều phần tử có các mối quan hệ ràng buộc
lẫn nhau và cùng hoạt động hướng tới một mục tiêu chung. Phần tử có thể là vật
chất hoặc phi vật chất: Con người, máy móc, thông tin, dữ liệu, phương pháp xử lý,
qui tắc, quy trình xử lý.
Phân loại hệ thống:
- Hệ thống mở: có tương tác với môi trường.
- Hệ thống đóng: không tương tác với môi trường (chỉ có trên lý thuyết). Mục tiêu
của hệ thống là lý do tồn tại của hệ thống. Để đạt được mục tiêu, hệ thống tương
tác với môi trường bên ngoài của nó.
2. Khái niệm hệ thống thông tin
Là hệ thống mà mối liên hệ giữa các thành phần của nó cũng như mối liên hệ giữa
nó với các hệ thống thông tin khác. Là sự trao đổi thông tin. Mục tiêu của hệ thống
thông tin là cung cấp thông tin phục vụ cho con người trong một tổ chức nào đó.
3. Khái niệm an toàn hệ thống thông tin
An toàn máy tính xét trên tính bí mật, tính toàn vẹn, tính sẵn sàng. Ba tính đó còn
gọi là tam giác C-I-A (confidentiality, integrity,availability). Đảm bảo an toàn hệ
thống thông tin là đảm bảo an toàn của hệ thống thông tin (phần cứng, phần mềm,
dữ liệu) trước các mối đe dọa (sự truy cập, sửa đổi, phá hoại dữ liệu bất hợp pháp)
bằng các biện pháp kỹ thuật lẫn phi kỹ thuật (mã hóa, kiểm soát truy cập, chính
sách …).
1
Một hệ thống thông tin được xem là an toàn khi đảm bảo ít nhất ba mục tiêu cơ
bản: tính bí mật, tính toàn vẹn, tính sẵn sàng. Ngoài ra còn có các mục tiêu khác
như: tính không thể chối cãi, tính xác thực.
3.1. Tính bí mật (Confidentiality)
Đảm bảo tính bí mật của thông tin, tức là thông tin chỉ được phép truy cập (đọc)
bởi những đối tượng (người, chương trình máy tính) được cấp phép. Tính bí mật
của thông tin có thể đạt được bằng cách giới hạn truy cập về cả mặt vật lý, ví dụ
tiếp cận trực tiếp tới thiết bị lưu trữ thông tin đó hoặc logic, ví dụ như truy cập
thông tin từ xa qua môi trường mạng.
Sau đây là một số cách thức như vậy:
+ Khóa kín và niêm phong thiết bị.
+ Yêu cầu đối tượng cung cấp credential, ví dụ, cặp username + password hay đặc
điểm về tính xác thực.
+ Sử dụng firewall hoặc ACL trên router để ngăn chặn truy cập trái phép.
+ Mã hóa thông tin sử dụng các giao thức và thuật toán mạnh như SSL/TLS, AES.
3.2. Tính toàn vẹn (integrity)
Đảm bảo tính toàn vẹn thông tin, tức là thông tin chỉ được phép xóa hoặc sửa bởi
những đối tượng được cho phép và phải đảm bảo băng thông vẫn còn chính xác khi
được lưu trữ hay truyền đi. Về điểm này, nhiều người thường hay nghĩ tính toàn
vẹn đơn giản chỉ là đảm bảo thông tin không bị thay đổi là chưa đầy đủ.
Ngoài ra một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn
gốc của thông tin này (thuốc sở hữu của đối tượng nào) để đảm bảo thông tin đến
từ một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính toàn vẹn của thông tin bị phá vỡ.
+ Thay đổi giao diện trang chủ của một website
+ Chặn đứng và thay đổi gói tin được gửi qua mạng
+ Chính sửa trái phép các file được lưu trữ trên máy tính
+ Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dần đến thông
tin bị sai lệch.
3.3. Tính sẵn sàng (availablility)
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi
những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị
2
nhưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì
độ sẵn sàng nó là 99,999%.
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế nào:
máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch
làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch
không thể hoạt động bình thường được nữa.
Đây cũng thuộc hình thức tấn công từ chối dịch vụ (DoS). Để tăng khả năng chống
chọi với các cuộc tấn công như duy trì độ sẵn sàng của hệ thống ta có thể áp dụng
một số kỹ thuật như: Load Balancing, Clustering, redudancy, Failover.
Bảo mật là việc bảo toàn dữ liệu, tài nguyên, do đó dữ liệu phải được đảm bảo các
yêu cầu đối với dữ liệu mềm:
+ Tính bảo mật: tính bảo mật chỉ cho phép người có quyền hạn truy cập đến nó.
+ Tính toàn vẹn dữ liệu: dữ liệu không được sửa đổi, bị xóa một cách bất hợp
pháp.
+ Tính sẵn sàng: bất cứ lúc nào chúng ta cần thì dữ liệu luôn sẵn sàng.
Thêm vào đó phải đảm bảo được an toàn cho các bộ phận dữ liệu cứng như: hệ
thống máy tính, bộ nhớ, hệ thống ổ đĩa, máy in và nhiều tài nguyên trên hệ thống
máy tính.
Mã độc
Các loại mã độc:
1. Mã độc là gì? Tổng quan về mã độc
3
Mã độc hay “Malicious software” là một loại phần mềm được tạo ra và chèn vào
hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp
thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của
máy tính nạn nhân.
Mã độc được phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá
hoại: virus, worm, trojan, rootkit…
Mọi người hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính. Thực tế, virus
máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu đơn thuần
cũng là một dạng mã độc nhưng sự khác biệt ở chỗ virus máy tính có khả năng tự
lây lan.
Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phương pháp ẩn
mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc
ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để
hiệu quả tấn công là cao nhất.
Sau đây, tôi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính:
chức năng, đối tượng lây nhiễm, đặc trưng của mã độc.
4
Đây là loại virus đặc biệt tấn công vào chương trình trong bộ Microsoft Office của
Microsoft: Word, Excel, Powerpoint. Macro là tính năng hỗ trợ trong bộ công cụ
văn phòng Microsoft Office cho phép người sử dụng lưu lại các công việc cần thực
hiện lại nhiều lần. Thực tế hiện nay cho thấy virus macro gần như đã “tuyệt
chủng”.
5
máy tính thông thường để bí mật xâm nhập vào máy nạn nhân. Khi tới thời điểm
thuận lợi chúng sẽ tiến hành các hoạt động ăn cắp thông tin cá nhân, mật khẩu,
điều khiển máy tính nạn nhân … Bản chất của Trojan là không tự lây lan mà phải
sử dụng phần mềm khác để phát tán.
Dựa vào cách hoạt động ta có thể phân chia Trojan thành các loại sau: BackDoor,
Adware và Spyware.
2.6. BackDoor
Phần mềm BackDoor (cửa sau) là một dạng Trojan khi thâm nhập vào máy tính
nạn nhân sẽ mở ra một cổng dịch vụ cho phép kẻ tấn công điều khiển các hoạt
động ở máy nạn nhân.
Kẻ tấn công có thể cài các phần mềm BackDoor lên nhiều máy tính khác nhau
thành một mạng lưới các máy bị điều khiển – Bot Net – rồi thực hiện các vụ tấn
công từ chối dịch vụ (DoS – Denial of Service).
6
email giả mạo trở nên “thật” hơn và người nhận dễ bị đánh lừa hơn. Nhờ những
email giả mạo đó mà Worm lây lan mạnh mẽ trên mạng Internet theo cấp số nhân.
Bên cạnh Worm lây lan theo cách truyền thống sử dụng email, Worm hiện nay còn
sử dụng phương pháp lân lan qua ổ USB. Thiết bị nhớ USB đã trở nên phổ biến
trên toàn thế giới do lợi thế kích thước nhỏ, cơ động và trở thành phương tiện lây
lan lý tưởng cho Worm.
Dựa đặc điểm lây lan mạnh mẽ của Worm, những kẻ viết virus đã đưa thêm vào
Worm các tính năng phá hoại, ăn cắp thông tin…, Worm đã trở thành “bạn đồng
hành” của những phần mềm độc hại khác như BackDoor, Adware…
2.9. Rootkit
Rootkit ra đời sau các loại virus khác, nhưng rootkit lại được coi là một trong
những loại virus nguy hiểm nhất.
Bản thân rootkit không thực sự là virus, đây là phần mềm hoặc một nhóm các phần
mềm máy tính được giải pháp để can thiệp sâu vào hệ thống máy tính (nhân của hệ
điều hành hoặc thậm chí là phần cứng của máy tính) với mục tiêu che giấu bản
thân nó và các loại phần mềm độc hại khác.
Rootkit là gì? Có những loại rootkit nào?
Với sự xuất hiện của rootkit, các phần mềm độc hại như trở nên “vô hình” trước
những công cụ thông thường thậm chí vô hình cả với các phần mềm diệt virus.
Việc phát hiện mã độc và tiêu diệt virus trở nên khó khăn hơn rất nhiều trước sự
bảo vệ của rootkit – vốn được trang bị nhiều kĩ thuật mới hiện đại.
Xuất hiện lần đầu trên hệ thống Unix từ khá lâu, nhưng kể từ lần xuất hiện “chính
thức” trên hệ điều hành Windows vào năm 2005, Rootkit đang dần trở nên phổ
biến và trở thành công cụ che giấu hữu hiệu cho các loại phần mềm độc hại khác.
2.10. Botnet
Là những máy tính bị nhiễm virus và điều khiển bởi Hacker thông qua Trojan,
virus… Hacker lợi dụng sức mạnh của những máy tính bị nhiễm virus để thực hiện
7
các hành vi tấn công, phá hoại, ăn cắp thông tin. Thiệt hại do Botnet gây ra thường
rất lớn.
2.11. Biến thể
Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng.
Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện
của phần mềm diệt virus hoặc làm thay đổi hành động của nó.
2.12. Virus Hoax
Đây là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một
yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng
lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email. Bản thân cảnh báo
giả là không gây nguy hiểm trực tiếp nhưng những thư gửi để cảnh báo có thể chữa
mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều
hành, xoá file làm nguy hại tới hệ thống. Kiểu cảnh báo giả này cũng gây tốn thời
gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu
dịch vụ.
Ngày nay, sự phát triển mạnh mẽ của Internet đang tạo ra một môi trường hoạt
động và lây lan lý tưởng cho các loại phần mềm độc hại. Bên cạnh đó, các hướng
dẫn chi tiết, các loại công cụ để tạo virus ngày càng nhiều, xuất hiện tràn lan trên
mạng toàn cầu. Đây là những yếu tố thuận lợi cho sự phát triển và lây lan mạnh mẽ
của virus, mã độc. Chính vì vậy những phân loại trên đây chỉ mang tính tương đối,
các loại virus đang theo xu hướng “kết hợp” lại với nhau, tạo thành những thế hệ
virus mới với nhiều đặc tính hơn, khả năng phá hoại cao hơn, nguy hiểm hơn và
khó bị phát hiện hơn. Vì vậy các giải pháp quản trị nguy cơ an ninh mạng như
SecurityBox sẽ đảm bảo môi trường làm việc an toàn cho người sử dụng máy tính.
Trên đây, chuyên gia an ninh mạng SecurityBox vừa chia sẻ cho các bạn về khái
niệm mã độc và các loại mã độc phổ biến. Đừng quên like và chia sẻ bài viết này
nhé!
Hacking
Giai đoạn một: Thông báo lại một mục tiêu để hack
Giai đoạn hai: Vũ khí hóa thông tin về một công ty
Giai đoạn ba: Bắt đầu cuộc tấn công
Giai đoạn bốn: Khai thác vi phạm bảo mật
8
Giai đoạn năm: Cài đặt một cửa sau liên tục
Giai đoạn sáu: Thực hiện lệnh và kiểm soát
Giai đoạn bảy: Đạt được mục tiêu của hacker
Firewall
Tường lửa hay còn được gọi với cái tên là FireWall thuật ngữ trong chuyên ngành
mạng máy tính, nói nôm na có thể gọi là bức tường lửa một hệ thống an ninh
mạng, bảo mật an toàn thông tin mạng. Tường lửa tồn tại ở 2 loại phần cứng và
phần mềm được tích hợp vào bên trong hệ thống và nó hoạt động như một rào chắn
phân cách giữa truy cập an toàn và truy cập không an toàn, chống lại truy cập trái
phép, ngăn chặn virus… đảm bảo thông tin nội bộ được an toàn không bị truy cập
xấu đánh cắp.
giúp kiểm soát luồng thông tin giữa Intranet và Internet, chúng phát hiện và phán
xét những hành vi được truy cập và không được truy cập vào bên trong hệ thống,
đảm bảo tối đa sự an toàn thông tin.
Tính năng chính của dòng thiết bị này có thể được tóm tắt ở những gạch đầu dòng
dưới đây:
- Cho phép hoặc vô hiệu hóa các dịch vụ truy cập ra bên ngoài, đảm bảo thông tin
chỉ có trong mạng nội bộ.
- Cho phép hoặc vô hiệu hóa các dịch vụ bên ngoài truy cập vào trong.
- Phát hiện và ngăn chặn các cuộc tấn công từ bên ngoài.
- Hỗ trợ kiểm soát địa chỉ truy cập (bạn có thể đặt lệnh cấm hoặc là cho phép).
- Kiểm soát truy cập của người dùng.
- Quản lý và kiểm soát luồng dữ liệu trên mạng.
- Xác thực quyền truy cập.
- Hỗ trợ kiểm soát nội dung thông tin và gói tin lưu chuyển trên hệ thống mạng.
- Lọc các gói tin dựa vào địa chỉ nguồn, địa chỉ đích và số Port ( hay còn cổng),
giao thức mạng.
- Người quản trị có thể biết được kẻ nào đang cố gắng để truy cập vào hệ thống
mạng.
- Firewall hoạt động như một Proxy trung gian.
9
- Bảo vệ tài nguyên của hệ thống bởi các mối đe dọa bảo mật.
- Cân bằng tải: Bạn có thể sử dụng nhiều đường truyền internet cùng một lúc, việc
chia tải sẽ giúp đường truyền internet ổn định hơn rất nhiều.
Thám mã
Bước 1: Phân loại bản mã
Bước 2 : Xác định mã pháp
Tính tần số
Tính trùng mã
Tần số định kỳ:
Tần số bộ đôi dọc và bộ đôi dọc đồng tự.
Phân tích kết quả tính các tần số và trùng mã
Xác định ngôn ngữ được dùng
Bước 3. Thám mã
Thám trực tiếp
Xây dựng phương pháp thám
10