intTypePromotion=1
zunia.vn Tuyển sinh 2024 dành cho Gen-Z zunia.vn zunia.vn
ADSENSE

Báo cáo đồ án Ứng dụng truyền thông và an ninh thông tin - Đề tài: Secure email

Chia sẻ: Lê Văn Thương | Ngày: | Loại File: DOCX | Số trang:48

145
lượt xem
31
download
 
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Mời các bạn cùng tham khảo nội dung đề tài "Secure email" trong bài báo cáo đồ án Ứng dụng truyền thông và an ninh thông tin để nắm bắt tổng quan về cơ sở lý thuyết của hệ thống email và nêu lên các nguy cơ về bảo mật hiện hữu, tìm hiểu về các giải pháp cho các vấn đề truyền thông và an ninh thông tin. Hy vọng đây là tài liệu tham khảo hữu ích cho các bạn.

 

 

Chủ đề:
Lưu

Nội dung Text: Báo cáo đồ án Ứng dụng truyền thông và an ninh thông tin - Đề tài: Secure email

  1. Đại Học Quốc Gia TP.Hồ Chí Minh Trường Đại Học Công Nghệ Thông Tin BÁO CÁO ĐỒ ÁN ƯNG DUNG TRUYÊN THÔNG & AN NINH THÔNG TIN ́ ̣ ̀ ĐỀ TÀI SECURE EMAIL GVHD: ThS. NCS. Tô Nguyễn Nhật Quang Nhóm SV thực hiện: Restart Team  Lê Văn  08520599 Thương 08520618 08520596  Nguyễn  Thành Vinh  08520032  Nguyễn  Văn Thiệu ̣ ̉  Đăng Tiêu  Binh ̀
  2.        TP.HCM, tháng 3 – 2012
  3. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ Trich yêu ́ ́ Mục tiêu va đôi t ̀ ́ ượng tim hiêu cua bao cao ̀ ̉ ̉ ́ ́ ̉ ̣ ́ ́ ̀ ́ ̉ ̣ Bao cao tim hiêu môt sô vân đê liên quan đên bao mât email va cac nguy c ́ ́ ̀ ̀ ́ ơ trong môi   trương s ̀ ử  dung email. Trong đo, viêc ̣ ́ ̣  tim hiêu ̀ ̉   cac giai phap đê bao mât email đ ́ ̉ ́ ̉ ̉ ̣ ược   ̣ ̉ ́ ́ ̃ ̉ ̀ ơ sở ly thuyêt cua hê thông email quan tâm xem xet. Cu thê, bao cao se đi tông quan vê c ́ ́ ́ ̉ ̣ ́   va nêu lên cac nguy c ̀ ́ ơ vê bao mât hiên h ̀ ̉ ̣ ̣ ưu. T ̃ ừ đo bao cao se  ́ ́ ́ ̃tim hiêu ̀ ̉  vê cac giai phap ̀ ́ ̉ ́  cho cac vân đê đa nêu  ́ ́ ̀ ̃ ở trên. Bên canh viêc  ̣ ̣ tim hiêu  ̀ ̉ ly thuyêt va cac giai phap, bao cao ́ ́ ̀ ́ ̉ ́ ́ ́  ̃ ực hiên cac bai lab đê mô phong viêc th se th ̣ ́ ̀ ̉ ̉ ̣ ực thi cac giai phap nay. ́ ̉ ́ ̀ Phương phap nghiên c ́ ưu va tim kiêm thông tin ́ ̀ ̀ ́ Trong bao cao, chung em s ́ ́ ́ ử dung cac kiên th ̣ ́ ́ ức đa đ ̃ ược hoc  ̣ ở môn “An toan mang may ̀ ̣ ́  tinh” đ ́ ược day  ̣ ở  trương Đai hoc Công nghê Thông tin. Cac kiên th ̀ ̣ ̣ ̣ ́ ́ ức được sử  dung ̣   ̣ ̃ ́ ́ ưng va bât đôi x bao gôm mât ma khoa đôi x ̀ ́ ̀ ́ ́ ứng, chứng chi sô CA. Chung em s ̉ ́ ́ ử dung ̣   ̉ ̀ ́ ̀ ̣ search google.com đê tim kiêm cac tai liêu liên quan, s ́ ử  dung trang youtube.com  ̣  để  ̉ tham khao cac video bai lab. ́ ̀ ̉ Cac kêt qua thu đ ́ ́ ược ­ ̉ ược cac nguy c Tim hiêu đ ̀ ́ ơ  hiên h ̣ ưu trong hê thông email cung nh ̃ ̣ ́ ̃ ư  trong quá  trinh truyên email. ̀ ̀ ­ ̉ ược cac giai phap co thê s Tim hiêu đ ̀ ́ ̉ ́ ́ ̉ ử dung va câu hinh cho email client đê bao ̣ ̀ ́ ̀ ̉ ̉   ̣ mât email. ­ ̉ ́ ược bô loc Spam mail cua Gmail. Tim hiêu va phân tich đ ̀ ̀ ̣ ̣ ̉ Trang 3
  4. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ ­ Thực hiên đ ̣ ược cac bai lab mô phong th ́ ̀ ̉ ực tê viêc th ́ ̣ ực hiên cac giai phap đa đê ̣ ́ ̉ ́ ̃ ̀  ̣ ̉ ̀ ửi email sử dung theo ra: bao gôm viêc câu hinh email client theo cac chuân va g ̀ ́ ̀ ́ ̣   ̉ ̉ ược. cac giai phap đa tim hiêu đ ́ ́ ̃ ̀ Muc luc ̣ ̣ Lơi cam  ̀ ̉ ơn Trước tiên, em muốn gửi lời cảm ơn sâu sắc nhất đến thầy giáo Ths. NCS Tô Nguyêñ   ̣ Nhât Quang đã tận tình hướng dẫn chung em trong qua trinh nghiên c ́ ́ ̀ ứu đê tai nay. ̀ ̀ ̀ Chung em xin bày t ́ ỏ lời cảm  ơn sâu sắc đến những thầy cô giáo đã giảng dạy chung ́   em trong bốn năm qua, những kiến thức mà chung em nh ́ ận được trên giảng đường  đại học sẽ là hành trang giúp chung em v ́ ững bước trong tương lai. Trang 4
  5. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ Cuối cùng, chung em mu ́ ốn gửi lời cảm ơn sâu sắc đến tất cả bạn bè đa gop y đê bai  ̃ ́ ́ ̉ ̀ ́ ́ ̀ ̣ ơn. bao cao hoan thiên h TP. Hô Chi Minh, thang 3 năm 2012 ̀ ́ ́     Nhom viêt bao cao ́ ́ ́ ́ Danh muc̣ ̣ ̀ ̉ Danh muc hinh anh Trang 5
  6. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ Danh mục từ viết tắt Từ viết tắt Tiếng Anh Giải thích 3 Nâng cấp Tiêu chuẩn Mã hóa  Dữ  liệu (mã hóa thông tin qua  3DES Triple  Data Encryption Standard 3 lần mã hóa DES với 3 khóa  khác nhau). C Công ty công cấp chứng chỉ  CA Certificate Authority số. D Hệ  thống tên miền được phát  DNS Domain Name System minh   vào   năm   1984  cho Internet. H Giao thức truyền tải siêu văn  HTTP  HyperText Transfer Protocol bản. Kết hợp giữa giao thức HTTP  và giao thức bảo mật SSL hay  Hypertext Transfer Protocol  HTTPS TLS cho phép trao đổi thông  Secure tin một cách bảo mật trên  Internet. I IMAP Internet Message Access  Một giao thức gửi nhận email. Trang 6
  7. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ Protocol Báo cáo bảo mật thường kỳ  Intelligent Report của Symantec. Giao thức Liên mạng là một  giao thức hướng dữ liệu được  sử dụng bởi các máy  IP Internet Protocol chủ nguồn và đích để truyền  dữ liệu trong một liên mạng  chuyển mạch gói. ISP Internet Service Provider Nhà cung cấp dịch vụ Internet. P Mật mã hóa PGP. Là  một phần mềm máy tính dùng  PGP Pretty Good Privacy để mật mã hóa dữ liệu và xác  thực.  POP Post Office Protocol  Một giao thức gửi nhận email. R  RSA là một thuật toán mật  RSA mã hóa khóa công khai. S Là chuẩn dùng khóa công khai  Secure/Multipurpose Internet  S/MIME để mã hóa và ký nhận MIME  Mail Extensions data. SHA Secure Hash Algorithm Thuật giải băm an toàn, là  năm thuật giải được chấp  nhận bởi FIPS dùng để  chuyển một đoạn dữ liệu  nhất định thành một đoạn dữ  liệu có chiều dài không đổi  Trang 7
  8. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ với xác suất khác biệt cao. Giao thức truyền tải thư tín  đơn giản, là một chuẩn  SMTP Simple Mail Transfer Protocol truyền tải thư điện tử qua  mạng Internet. Secure Sockets Layer SSL/TLS Transport Layer Security Một chứng chỉ số. Một công nghệ chống SPAM  SURBL của Gmail. U UBE Unsolicited Bulk Email Một dạng Spam mail. UCE Unsolicited Commercial E­Mail Một dạng Spam mail. Trang 8
  9. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ 1. Lơi noi đâu ̀ ́ ̀ Email là một phương tiện thông tin liên lạc tiện lợi và ngày càng được sử  dụng rộng   rãi hiện nay. Vì vậy nó cũng là phương tiện và mục tiêu để những kẻ tấn công nhắm  tới. Việc bảo mật email tránh những rò rỉ thông tin người sử dụng email là một nhiệm  vụ quan trọng mà các nhà cung cấp và người quản trị cần quan tâm.  Theo báo cáo Bảo mật Intelligence Report tháng 2­2012 của Symantec cho thấy sự gia   tăng của các mã độc (malware) va cac hanh vi l ̀ ́ ̀ ưa đao (phishing) trên Internet.  ̀ ̉ Cứ 274.0  email trên toàn cầu được gửi đi trong tháng 2­2012 thì có 1 email được xác định có   chứa mã độc, trong đo phat hiên va ngăn chăn đ ́ ́ ̣ ̀ ̣ ược 28.7%. Trong thang 2 năm 2012, c ́ ư ́ ́ ̣ 358.1 emails thi co 1 email co nôi dung l ̀ ́ ưa đao;  68% email đ ̀ ̉ ược gửi đi trên toan câu la ̀ ̀ ̀  ̃ ̀ ứ 1.47 email được gửi đi thi trong sô đo co 1 email spam. Trong email spam, nghia la c ̀ ́ ́ ́   ̉   lượng   email   spam   thì  có  tơí   43%   nôị   dung   liên   quan   tơí   linh số  tông ̃   vực  Adult/Sex/Dating, trong đo cac email co dung l ́ ́ ́ ượng lơn th ́ ương ch ̀ ưa ma đôc. ́ ̃ ̣ 1 ́ ức đô nguy hiêm to l Qua bai bao cao nay, cho thây m ̀ ́ ́ ̀ ̣ ̉ ớn khi truyên thông trên môi ̀   trương email. Do đo, chung em muôn đi sâu nghiên c ̀ ́ ́ ́ ứu cac nguy c ́ ơ vê bao mât email ̀ ̉ ̣   ̉ ́ ́ ̀ ược đăt ra nhăm nâng cao kiên th va cac giai phap cho cac vân đê đ ̀ ́ ́ ̣ ̀ ́ ức chuyên môn cuả   ̉ ̣ ̣ ̣ ̣ ̣ ̉ minh đê phuc vu cho qua trinh hoc tâp sau nay. Muc tiêu cua bao cao la nêu lên đ ̀ ́ ̀ ̀ ́ ́ ̀ ược cać   ̉ giai phap cho nh ́ ưng vân đê vê bao mât email đa nêu va th ̃ ́ ̀ ̀ ̉ ̣ ̃ ̀ ực hiên bai lab đê mô phong ̣ ̀ ̉ ̉   thực tê cac giai phap.  ́ ́ ̉ ́ 1 Symantec, 2012,  Symantec Intelligence  Report:  February  2012, viewed 2 April 2012, Trang 9
  10. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ ́ ̣ ̉ ́ ́ ư sau: Câu truc nôi dung cua bao cao nh ́ 1. Lơi noi đâu ̀ ́ ̀ Giới thiêu vê đê tai, bôi canh cua đê tai, muc tiêu va cac gi ̣ ̀ ̀ ̀ ́ ̉ ̉ ̀ ̀ ̣ ̀ ́ ới han cua đê tai.  ̣ ̉ ̀ ̀ 2. Cơ sở ly thuyêt ́ ́ Giới thiêu môt cach s ̣ ̣ ́ ơ lược vê cac kiên th ̀ ́ ́ ức ly thuyêt c ́ ́ ơ  ban vê Email va nêu ̉ ̀ ̀   lên cac nguy c ́ ơ đôi v ́ ới Email. 3. Nghiên cưu cac giai phap ́ ́ ̉ ́ Đưa ra cac giai phap cho cac vân đê đ ́ ̉ ́ ́ ́ ̀ ược đăt ra  ̣ ở phân 1. ̀ 4. Thực hiên bai lab mô phong ̣ ̀ ̉ Thực hiên bai lab mô phong th ̣ ̀ ̉ ực tê môt trong cac giai phap đa đ ́ ̣ ́ ̉ ́ ̃ ược nêu ở phân 2.  ̀ ́ ̣ 5. Kêt luân va kiên nghi ̀ ́ ̣ ́ ̣ Rut ra kêt luân nh ́ ững gi đa tim hiêu đ ̀ ̃ ̀ ̉ ược qua bai bao cao noi trên va đ ̀ ́ ́ ́ ̀ ưa ra cac  ́ ̣ ̉ ̉ ́ ới vân đê bao mât Email. kiên nghi cua ban thân đôi v ́ ́ ̀ ̉ ̣ Trang 10
  11. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ 1. Cơ sở ly thuyêt ́ ́ 1. Câu truc va hoat đông cua hê thông email ́ ́ ̀ ̣ ̣ ̉ ̣ ́ ̉ ơ ban vê kiên truc cua môt hê thông Email, cung nh Phân nay se mô ta c ̀ ̀ ̃ ̉ ̀ ́ ́ ̉ ̣ ̣ ́ ̃ ư cơ chê va  ́ ̀ đường đi cua môt email t ̉ ̣ ư n ̀ ơi gửi đên n ́ ơi nhân.  ̣ 1.1. Gửi môt email đên ng ̣ ́ ươi nhân ̀ ̣ Gửi môt email cung giông nh ̣ ̃ ́ ư  khi ban g ̣ ửi môt la th ̣ ́ ư. Khi gửi môt la th ̣ ́ ư, ban ̣   ̉ ửi no vao môt b phai g ́ ̀ ̣ ưu điên đia ph ̣ ̣ ương. Bưu điên đia ph ̣ ̣ ương đo “đoc” đia chi ́ ̣ ̣ ̉  va cac thông tin trên b ̀ ́ ưc th ́ ư  cua ban ma quyêt đinh b ̉ ̣ ̀ ́ ̣ ức thư  đo se phai g ́ ̃ ̉ ửi đên ́  bưu điên khu v ̣ ực nao tiêp theo. Khi đo b ̀ ́ ́ ưu điên khu v ̣ ực nay se “đoc” đia chi va ̀ ̃ ̣ ̣ ̉ ̀  ̉ ́ ̣ ̃ ửi bưc th cac thông tin đê quyêt đinh se g ́ ́ ư nay đên b ̀ ́ ưu điên đia ph ̣ ̣ ương nao tiêp ̀ ́  ́ ̀ ừ bưu điên đia ph theo. Cuôi cung, t ̣ ̣ ương, bưc th ́ ư se đ ̃ ược chuyên đên tay ng ̉ ́ ười  ̣ nhân.  May tinh cung giông nh ́ ́ ̃ ́ ư  môt “b ̣ ưu điên đia ph ̣ ̣ ương” va giao th ̀ ưc truyên thông ́ ̀   ̉ ̣ ̀ ́ ưu điên đia ph email (SMTP) la “thu tuc” ma cac “b ̀ ̣ ̣ ương” sử dung đê “đoc” thông ̣ ̉ ̣   ̉ ̀ ́ ́ ưu điên” kê tiêp. tin cua email va truyên đên câp “b ̀ ̣ ́ ́ ̀ ́ ̣ Hâu hêt moi ngươi g ̀ ửi email băng hai cach sau: ̀ ́ ­ Sử dung dich vu email nên Web (vi du: Gmail, Yahoo Mail, Hotmail) ̣ ̣ ̣ ̀ ́ ̣ ­ Sử dung cac ch ̣ ́ ương trinh “Email client” nh ̀ ư Outlook, Thunderbird. ̣ ửi email băng ch Khi ban g ̀ ương trinh email client trên may tinh (hoăc trên điên ̀ ́ ́ ̣ ̣   ̣ ̣ ̉ ̉ ̣ ̣ ̉ ương trinh email xac đinh thoai, smartphone), ban phai chi đinh môt server đê ch ̀ ́ ̣   ̉ ửi email đi đâu. Server được chi đinh đo cung giông nh phai g ̉ ̣ ́ ̃ ́ ư  “bưu điên đia ̣ ̣   Trang 11
  12. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ phương”. Chương trinh email giao tiêp tr ̀ ́ ực tiêp v ́ ới server sử  dung giao th ̣ ưć   ̣ ửi email đi cung giông nh SMTP. Viêc g ̃ ́ ư  ban g ̣ ửi no vao b ́ ̀ ưu điên đia ph ̣ ̣ ương  ̣ vây. ̣ ửi môt email s Khi ban g ̣ ử dung Webmail, khi đo b ̣ ́ ạn se s ̃ ử dung giao th ̣ ưc HTTP ́   ̣ ̉ ́ ́ ới Webmail Server để  truy cập các dịch vụ  email. Sau  hoăc HTTPS đê kêt nôi v đó Webmail sẽ dùng giao thức SMTP để kết nối tới SMTP Server va g ̀ ửi thông  ̣ điêp đo đi. ́ Hinh 2.: G ̀ ửi email đên ng ́ ươi nhân ̀ ̣   1.2. Nhân môt email t ̣ ̣ ư ng ̀ ươi g ̀ ửi ̣ ̣ ̣ ̣ ̀ ́ ̃ ̉ Khi môt SMTP Server nhân môt thông điêp email, đâu tiên no se kiêm tra trên   ̉ ̀ ́ ̉ server cua minh co inbox cua ng ươi nhân hay không. Nêu không co, no se tiêp ̀ ̣ ́ ́ ́ ̃ ́  ̣ ̣ ̣ ́ ới no.́  tuc truyên thông điêp email nay đên môt SMTP Server khac gân nhât v ̀ ̀ ́ ́ ̀ ̀ ương tự như qua trinh chuyên tiêp gi Qua trinh nay t ́ ̀ ́ ̀ ̉ ́ ữa “bưu điên đia ph ̣ ̣ ương”  với “bưu điên khu v ̣ ực”. Qua trinh nay đ ́ ̀ ̀ ược goi la “SMTP relaying”. ̣ ̀ ́ ̉ ̉ Cac tinh huông co thê xay ra khi g ́ ̀ ́ ửi môt email t ̣ ừ may tinh ng ́ ́ ươi g ̀ ửi đên ́  SMTP Server ngươi nhân. Bao gôm: ̀ ̣ ̀ Trang 12
  13. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ ­ ̉ SMTP server cua ng ươi g ̀ ửi kêt nôi thanh công v ́ ́ ̀ ới SMTP server  ̉ cua ng ươi nhân va g ̀ ̣ ̀ ửi thông điêp email tr ̣ ực tiêp đên đo. ́ ́ ́ ­ ̉ SMTP server cua ng ươi g ̀ ửi không thê kêt nôi đên SMTP server ̉ ́ ́ ́   thực sự cua ng ̉ ươi nhân (co thê luc đo server đang bân, server bi down, ̀ ̣ ́ ̉ ́ ́ ̣ ̣   ̣ ̣ ̃ ́ ́ hoăc bi lôi kêt nôi). Trong trương h ̀ ợp nay, server ng ̀ ươi g ̀ ửi cô găng kêt ́ ́ ́  ̉ ̣ ̉ nôi va chuyên thông điêp đên backup server đâu tiên cua ng ́ ̀ ́ ̀ ươi nhân. ̀ ̣ ­ SMTP server ngươi g ̀ ửi không thê kêt nôi đên SMTP server ng ̉ ́ ́ ́ ươì  ̣ ̀ ̉ nhân va ca backup server đâu tiên. Trong tr ̀ ương h ̀ ợp nay, SMTP server ̀   ngươi g ̀ ửi cô găng kêt nôi va chuyên email cho backup server th ́ ́ ́ ́ ̀ ̉ ư hai. ́ ­ Trương h ̀ ợp cuôi cung, server cua ng ́ ̀ ̉ ươi g ̀ ửi không thê kêt nôi đên ̉ ́ ́ ́  ́ ̉ ̉ tât ca server cua ng ươi nhân. Trong tr ̀ ̣ ương h ̀ ợp nay, no se đ ̀ ́ ̃ ưa thông   ̣ ́ ̀ ̀ ợi va cô găng g điêp email đo vao hang đ ̀ ́ ́ ửi chung vao lân sau. No se cô ́ ̀ ̀ ́ ̃ ́  ́ ửi email nay trong vai ngay đên khi thanh công hoăc thông điêp bi găng g ̀ ̀ ̀ ́ ̀ ̣ ̣ ̣  ̉ huy. ́ ứ email nao đ Bât c ̀ ược chuyên giao đên backup server đêu trai qua qua trinh cô ̉ ́ ̀ ̉ ́ ̀ ́  găng kêt  đên SMTP th ́ ́ ́ ực sự cua ng ̉ ươi nhân, hoăc backup server đ ̀ ̣ ̣ ược ưu tiên  cao hơn. SMTP Server co thê đ ́ ̉ ưa email vao hang đ ̀ ̀ ợi đê chuyên đi lân sau. ̉ ̉ ̀   ̉ (Chu y răng SMTP Server cua ng ́ ́ ̀ ươi nhân co thê không co backup server nao ̀ ̣ ́ ̉ ́ ̀  ̣ ́ ̀ ơn, chư không nhât thiêt la hai backup server). hoăc co nhiêu h ́ ́ ́ ̀ Trang 13
  14. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ ́ ̀ ửi nhân email Hinh 2.: Qua trinh g ̀ ̣ 2. Cac nguy c ́ ơ vê bao mât đôi v ̀ ̉ ̣ ́ ới cac giao tiêp email ́ ́ 2.1. Sự thiếu bảo mật trong hệ thống email  Webmail Nếu kết nối tới Webmail Server là “không an toàn” (ví dụ sử  dung giao ̣   thức là HTTP chư không phải là HTTPS), lúc đó mọi thông tin bao gồm  ́ username  và  password  se ̃  đ ượ c   truyên ̣   plaintext   ch ư ́  không  ̀   đi   dang được mã hóa.  SMTP ̣ ừ cac may chu co hô tr SMTP  không  mã  hóa  thông  điệp (ngoai tr ́ ́ ̉ ́ ̉ ợ  mã  hoa TLS). ́ ́ ưa cac SMTP Server truyên thông tin d   Giao tiêp gi ̃ ́ ̀ ươi dang ́ ̣   ̀ ́ ̃ ̀ ̣ ́ ̀ ̣ ́ ́ ̣ plaintext; điêu đo dê dang bi cac hanh đông nghe len phat hiên va khai ̀   thac. ́   Thêm  vào  đó,  nếu  email  server  yêu  cầu  bạn  gửi  username  và  password đ ể  “login” vào SMTP server mục đích để chuyển  thông điệp  tới  một  server  khác,  khi  đó  tất  cả  đều  đ ược  gửi  dưới  dạng  plaintext.  Cuối  cùng,  thông  điệp  gửi  bằng  SMTP bao  gồm  thông  tin  về  má  y  Trang 14
  15. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ tính  mà  chúng  được  gửi đi  và  chương  trình  e mail  đã  đ ược  sử  dụng.  POP  và  IMAP Giao  thức  POP  và  IMAP  yêu cầu bạn gửi username  và  password  để  login, đều không được mã hóa. Vì vậy, thông điệp của bạn có thể được  đọc bởi bất kỳ hoat đông nghe lén nao. ̣ ̣ ́ ́ ̉ ̣ ̀   Cac thông tin co thê bi khai thac ́  ́ ̉ ̉ ̣ ́ ̣ co thê bao gôm thông tin vê may tinh cua ban va nha cung câp dich vu ̀ ̀ ́ ́ ̀ ̀ ̣  ̀ ̣ ử dung. email ma ban s ̣  Backups Server Thông điệp  được  lưu  trữ  trên  SMTP  server  dưới  dạng  plaintext,  không  được  mã  hóa. Việc  sao  lưu  dữ  liệu  trên  server  có  thể  được  thực hiện  bất  cứ  lúc  nào  và  người  quản  trị  có  thể  đọc  bất  kỳ  dữ  liệu  nào. Nôị   ̉ ̣ ́ ̉ ̣ ưu trữ bât ng dung email cua ban co thê bi l ́ ờ va vô th ̀ ơi han trên backup ̀ ̣   server. 2.2. Các nguy cơ trong quá trình gửi email  Eavesdropping Internet là nơi rộng lớn với rất nhiều người sử  dung. ̣  Thật dễ dàng để  ̣ ai đó truy cập vào máy tính hoặc mạng nôi bô ̣, băt cac thông tin va đoc ́ ́ ̀ ̣   ́   Giống  như  ai  đó  ở  phòng  kế  bên  đang  lắng nghe  cuộc  nói  len chung. ́ chuyện điện thoại của bạn, hacker có thể sử dụng các công cụ man­in­ the­middle để bắt toàn bộ các gói tin từ người sử dụng email. Việc này  có  thể  được  thực  hiện  một  cách  dễ  dàng  thông  qua  các  chương  trình  như Cain&Abel, Ettercap... Trang 15
  16. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ Hinh 2.3:  ̀ Eavesdropping  Identify Theft Nếu  ai  đó  có  thể  thu  thập  username  và  password  mà  bạn  dùng  để  truy  cập vào email server, họ có thể đọc email của bạn và gia mao ban đê g ̉ ̣ ̣ ̉ ửi  email đi. Thông thường, những thông tin này có thể thu thập bởi kẻ nghe  lén trên SMTP, POP, IMAP hoặc kết nối Webmail, bằng cách đọc thông  điệp không được ma hoa trên cac giao th ̃ ́ ́ ưc email nay ́ ̀.  Invasion of Privacy Nếu bạn rất quan tâm đến thông tin riêng tư của mình, bạn cần xem xét  khả năng việc sao lưu dữ liêu email ̣  của bạn không  được bảo vệ. Bạn  có thể cũng quan tâm đến việc những người khác có khả năng biết được  địa chỉ IP của máy tính bạn. Thông tin này có thể được dùng để nhận ra  thành phố bạn đang sống hoặc thậm chí trong trường hợp nào đó có thể  tìm ra địa chỉ của bạn. Việc này không xảy ra với WebMail, POP, IMAP,  nhưng đối với SMTP thì lại có khả năng xảy ra.  Message Modification Bất  cứ  Administrator naò   trên  bất  kỳ  SMTP  server  nơi cac email đ ́ ược  ̉ ́ ̀  có thể đọc thông điệp của bạn va ̀hơn thê n chuyên tiêp qua đo đêu ́ ́ ưa,  ̃ họ  Trang 16
  17. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ còn  có  thể  hay  thay  đổi  thông  điệp  trước  khi  nó  tiếp  tục  đi  đến  đích.  Người  nhận của  bạn  sẽ  không  thể  biết  thông  điệp  của  bạn  có  bị  thay  đổi hay không? Nếu thông điệp bị xóa đi mất thì họ cũng không thể biết  rằng có thông điệp đã được gửi cho họ.  Fake Messages Thật dễ dàng để tạo ra một email giả mạo mà có vẻ như được gửi bởi  một người nào đó. Nhiều virus đã lợi dụng điểm này để lan truyền sang  các máy tính khác. Nhìn  chung, không có cách gì chắn chắn rằng người  gửi email là người gửi thực sự ­ tên người gửi có thể dễ dàng làm giả.  Message Relay Email có  thể  bị  chặn  lại,  chỉnh  sửa, lưu trữ và  gửi  lại  sau đó.  Bạn  có  thể  nhận  được  một  email  gốc  hợp  lệ  nhưng  sau  đó  lại  nhận  được  những tin nhắn giả mạo mà có vẻ như hợp lệ.  Unprotected Backups Thông điệp được lưu dưới dạng plain­text trên tất cả các server SMTP.  Vì thế các bản sao lưu của các server sẽ chứa bản copy thông điệp của  bạn. Bản sao lưu có thể giữ trong nhiều năm và có thể đọc bởi bất kỳ  người  nào  có  quyền  truy  cập.  Thông  điệp  của  bạn  có  thể  được  đặt  ở  những nơi không an toàn và bất kì ai cũng có thể lấy nó được, thậm chí  ̃ ̀ ̃ ́ ́ ̉ sau khi bạn nghi la đa xoa tât ca email.  Repudiation Bởi vì  những  thông  điệp thông  thường  có thể bị giả  mạo,  do  đó  không  có cách nào chứng minh rằng người nao đo ̀ ́  có gửi cái thông điệp đó cho  Trang 17
  18. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ bạn  hay  không.  Nghĩa  là  thậm  chí  nếu  một  ai  đó  đã  gửi  cho  bạn  một  thông  điệp,  họ  hoàn  tòan  có  thể  chối  bỏ.  Đây  là  môṭ  trong  số  những  điểm hết sức cần lưu  ý khi  sử dụng email để thực  hiện các  hợp đồng,  giao dịch kinh doanh… 3. Nguy cơ vê Spam mail ̀ 3.1. Giới thiệu về spam 1.1.1.1. Spam là gì? Spam  hay  còn  gọi  là  UBE  (Unsolicited  Bulk  Email).  Spam  là  những  email  không  được  sự  cho  phép  của  người  nhận  (unsolicited  email)  được  gửi  đi  với số lượng lớn tới hôp̣  thư của người dùng internet. Spam đôi khi cũng là  những  email  thương  mại  không  được  sự  cho  phép  của  người nhận (UCE­ Unsolicited  Commercial  E­Mail).  Spam làm tràn  môi trường  Internet  bằng  cách  gửi  đi  nhiều  gói tin  với  cùng  một  nội  dung,  những  gói tin  này  được  truyền đến những người mà họ không thể không nhận chúng. 1.1.1.1. Phân loai spam ̣ Có hai loại spam chính, chúng có những ảnh hưởng khác nhau đến người  dùng Internet:  Usernet spam Đây là dạng spam ta thường gặp trên các forum, một gói tin sẽ được gửi  đến trên 20 newsgroup. Qua quá trình sử dụng, người dùng đã thấy rằng  bất  kỳ  một tin nào được  gửi  đến  nhiều  newgroup  một lúc thường  sẽ  mang những thông tin không cần thiết. Usernet spam cố gắng trở  thành  một  “kẻ  giấu  mặt”  –  đọc  thông  tin  trong  các newsgroup nhưng  ít khi  hoặc không bao  giờ  post bài  hay  cho  địa  chỉ  của  mình. Usernet spam  Trang 18
  19. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ chiếm quyền sử  dụng  của  các newsgroup  bằng  cách làm tràn ngập  các  quảng cáo hoặc những  bài  viết không  phù  hợp.  Ngoài ra, Usernet  spam  có khi còn làm ảnh hưởng đến quyền điều khiển của quản trị hệ thống,  chiếm quyền quản lý một topic nào đó.  Email spam  Email spam nhắm đến người dùng riêng biệt trực tiếp qua các thư điện  tử. Các spammer sẽ tiến hành thu thập địa chỉ mail bằng cách duyệt qua  hòm thư Usernet, ăn cắp danh sách mail hay tìm kiếm trên web. Đối với  những user sử dụng dịch vụ điện thoại  thì đồng hồ đo vẫn chạy trong  khi họ nhận hay đọc mail, chính vì vậy mà spam làm họ tốn thêm một  khoản tiền. Trên hết, các ISP và các dịch vụ trực tuyến (online services)  phải tốn tiền để chuyển các email – spam đi, những chi phí này sẽ được  chuyển trực tiếp đến các thuê bao. Bất  cứ  ai  cũng  có  thể  trở  thành  người  gửi  thư  rác  (spammer).  Chẳng  hạn,  bạn  có  một  món  hàng  độc  đáo  cần  bán  ngay.  Nhưng làm  sao  để  mọi  người  biết?  Trước  hết  bạn  thông  báo  cho  bạn  bè  bằng  cách  gửi  email cho 100 người nằm trong sổ địa chỉ của bạn. Như thế bạn không  mất một đồng nào mà vẫn có thể gửi đi 100 email quảng cáo sản phẩm  của mình. Nếu có người biết để mua hàng thì bạn sẽ lời to. Và bạn tự  nhủ : "Tại sao mình  không  gửi email cho nhiều người khác nữa? Mình  sẽ có thể thu được nhiều lợi nhuận hơn?” Rồi bạn sẽ tìm tòi  ứng dụng  các  giải  pháp  để  gửi  đi  được  nhiều  email  cho  cả  những  người  bạn  không quen biết hơn. Vậy là bạn đã trở thành spammer. 4. Tác hại của spam Hầu hết các spam đều nhằm  mục đích quảng cáo, thường  cho  những sản phẩm  Trang 19
  20. Đê tai: Secure email ̀ ̀ GVHD: Ths. NCS. Tô Nguyên Nhât Quang ̃ ̣ không  đáng tin  cậy  hoặc những  dịch  vụ  có  vẻ  như  hợp  pháp.  Tuy nhiên, không  phải mọi vụ gửi SPAM đều là nhằm mục đích quảng cáo thương mại. Một số vụ  gửi SPAM lại nhằm mục đích bất chính hoặc cũng có những kẻ gửi SPAM chỉ để  bày tỏ quan điểm chính trị hoặc tôn giáo. Hình thức gửi SPAM nguy hiểm nhất là  hình thức  gửi  đi  những  thông điệp  để  lừa  người  dùng tiết lộ thông tin tài  khoản  ngân hàng trực tiếp, số thẻ tín dụng … ­ hay đây chính là một dạng phổ biến của  lừa đảo trực tuyến. Do không có một cách thức hiệu quả nào để lọc spam nhận vào trước khi nó được  nhận bởi server tại ISP cục bộ, ISP phải trả chi phí về băng thông cho các gói tin  mà họ nhận. Theo thống kê của phần lớn các ISP thì họ thường bị spam chiếm khoảng 25­30%  băng thông. Spam làm tràn bộ đệm của người dùng với các mail quảng cáo, co thê ́ ̉  làm họ không nhận được các mail khác nêu bi tran hôp mail ́ ̣ ̀ ̣ . Qua đó ta thấy spam đã  sử dụng một lượng lớn tài nguyên mà không cần sự cho phép hay có bất kỳ một  hành động bồi thường thiệt hại nào, làm cho cộng đồng Internet phải tốn một chi  phí đáng kể. Những chi phí liên quan khi spam sẽ được trả bởi người nhận chứ không phải là  từ các spammer. Tài khoản của spammer sẽ bị hủy bỏ ngay khi ISP phát hiện ra nó  dùng để gửi spam, vì thế mà hầu hết các spam đều được gửi từ những tài khoản  thử miễn phí (Trial account) để không mất bất kỳ một chi phí nào. Do hầu hết các ISP đều có một chính sách giới hạn tự động  nhằm tránh sự  lạm  dụng  hệ  thống  của  họ,  các  spammer  sẽ  chuyển  gói  tin  sang  các  hệ  thống  ở  các  nước khác, chiếm thời gian xử lý và băng thông mà không  cần hiểu rõ về các hệ  thống đó. Theo báo cáo vào khoảng tháng 6 năm 2008 thì phần trăm spam trong tổng số email  Trang 20
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2