intTypePromotion=1

Giáo trình Bảo mạng web và cơ sở dữ liệu (Nghề: Quản trị mạng máy tính) - CĐ Công nghiệp và Thương mại

Chia sẻ: Ermintrudetran Ermintrudetran | Ngày: | Loại File: PDF | Số trang:63

0
7
lượt xem
3
download

Giáo trình Bảo mạng web và cơ sở dữ liệu (Nghề: Quản trị mạng máy tính) - CĐ Công nghiệp và Thương mại

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Giáo trình Bảo mạng web và cơ sở dữ liệu cung cấp cho người học những kiến thức như: Một số kỹ thuật tấn công và bảo mật Website; Bảo mật cơ sở dữ liệu. Mời các bạn cùng tham khảo để nắm chi tiết nội dung giáo trình!

Chủ đề:
Lưu

Nội dung Text: Giáo trình Bảo mạng web và cơ sở dữ liệu (Nghề: Quản trị mạng máy tính) - CĐ Công nghiệp và Thương mại

  1. BỘ CÔNG THƢƠNG TRƢỜNG CAO ĐẲNG CÔNG NGHIỆP VÀ THƢƠNG MẠI GIÁO TRÌNH MÔ ĐUN: BẢO MẬT WEB VÀ CƠ SỞ DỮ LIỆU NGHỀ: QUẢN TRỊ MẠNG MÁY TÍNH TRÌNH ĐỘ: CAO ĐẲNG NGHỀ (Ban hành kèm theo Quyết định số: /QĐ-CDCN&TM ngày tháng năm 2018 của Hiệu trưởng Trường Cao đẳng Công nghiệp và Thương Mại Vĩnh phúc, năm 2018
  2. Tên mô đun: Bảo mật Website và cơ sở dữ liệu Mã số mô đun: MDCC13030191 Thời gian thực hiện mô đun: 75h (Lý thuyết:15; Thực hành: 57; Kiểm tra: 3) I. Vị trí, tính chất của mô đun: - Vị trí của mô đun: Mô đun này giúp ngƣời học có các kiến thức, kỹ năng về kiểm tra và thực hiện phòng chống sự tấn công vào Website và CSDL trên máy chủ. - Tính chất của mô đun: là mô đun chuyên môn bắt buộc. II. Mục tiêu mô đun: + Kiến thức: - Trình bày đƣợc các trƣờng hợp phổ biến gây mất an ninh, an toàn Website và CSDL. - Trình bày đƣợc các phƣơng pháp bảo mật website và CSDL + Kỹ năng: - Tổ chức thực hiện tấn công để kiểm tra bảo mật của website - Áp dụng các kỹ thuật phòng chống tấn công Website - Sao lƣu và phục hồi dữ liệu Website và CSDL + Về năng lực tự chủ và trách nhiệm: Ngƣời học có thái độ đúng đắn cẩn thận, chủ động trong việc lĩnh hội kiến thức III. Nội dung mô đun: 1. Nội dung tổng quát và phân phối thời gian: Thời gian (giờ) Kiểm Thực TT Nội dung mô đun tra* Tổng Lý hành (LT số thuyết Bài hoặcT tập H) 1 Bài 1: Một số kỹ thuật tấn công và bảo 50 10 38 2 mật Website 2 Bài 2: Bảo mật CSDL 25 5 19 1 Tổng cộng 75 15 57 3
  3. MỤC LỤC BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE ............................ 1 1. 1. MỘT SỐ PHƢƠNG PHÁP TẤN CÔNG WEBSITE: SQL INJECTION, XSS, DDOS, PHISING, COOKIE THEFT, VIRUSES AND MALICIOUS CODE,.. ........... 1 1.1.1 SQL injection ..................................................................................................... 1 1.1.2 TẤN CÔNG XSS (CROSS-SITE SCRIPTING) ................................................. 2 1.1.3 DDOS ................................................................................................................... 4 1.1.4 BOTNET LÀ GÌ? .................................................................................................. 5 1.1.5 Phòng Chống Dos - Ddos - Botnet ......................................................................... 6 1.1.6 PHISHING. ........................................................................................................... 8 1.1.5 COOKIE THEFT................................................................................................. 13 1.2 CÀI KALI LINUX ..................................................................................................... 23 1.2.1 CÀI KALI LINUX TRÊN VMWARE WORKSTATION TỪ BẢN ẢO HÓA FULL ........................................................................................................................... 23 1.2.2 CÀI ĐẶT KALI LINUX TRÊN MÁY ẢO VM WARE TỪ FILE ISO ............... 28 1.3 KIỂM TRA BẢO MẬT VÀ CÁC BIỆN PHÁP PHÒNG CHỐNG ........................... 45 ________________________________________________________________ ................. 51 BÀI 2 : TẤN CÔNG VÀ BẢO MẬT CSDL ...................................................................... 51 2.1 CÁC PHƢƠNG PHÁP TẤN CÔNG, KHAI THÁC TRÁI PHÉP CSDL .................... 51 2.1.1Tổng quan về SQL Injection ..................................................................................... 51 Khái niệm .................................................................................................................... 51 Nguyên nhân ................................................................................................................ 51 Tính nguy hiểm của tấn công SQL Injection ................................................................. 52 2.1.2 Phân loại các kiểu tấn công SQL Injection ............................................................... 52 In-band SQLi ............................................................................................................... 52 Inferential SQLi (Blind SQLi) ...................................................................................... 54 Out-of-band SQLi ........................................................................................................ 55 2.2 BẢO MẬT, AN TOÀN CSDL ................................................................................... 55
  4. BÀI 1: MỘT SỐ KỸ THUẬT TẤN CÔNG VÀ BẢO MẬT WEBSITE 1. 1. MỘT SỐ PHƢƠNG PHÁP TẤN CÔNG WEBSITE: SQL INJECTION, XSS, DDOS, PHISING, COOKIE THEFT, VIRUSES AND MALICIOUS CODE,.. 1.1.1 SQL injection * Khái niệm: SQL injection là kĩ thuật cho phép các kẻ tấn công thực hiện các lệnh thực thi SQL bất hợp pháp (mà ngƣời phát triển không lƣờng trƣớc đƣợc), bằng cách lợi dụng các lỗ hổng bảo mật từ dữ liệu nhập vào của các ứng dụng. * Cách thức hoạt động của Sql injection  Lỗi Sql injection thƣờng xảy ra do sự thiếu kiểm tra dữ liệu truyền vào, điều này gây ra những tác động không mong muốn ngoài mục đích chính của câu truy vấn. Ta hãy xem xét câu truy vấn sau: Selected_user = "SELECT * FROM users WHERE name = '" + userName + "';"  Ta thấy rằng, mục đích chính của câu truy vấn này là lục tìm trong bảng users những dòng dữ liệu nào mà trƣờng name có giá trị bằng với tham số userName đã truyền vào.  Thoạt nhìn thì câu truy vấn này là đúng cấu trúc và không có bất cứ vấn đề gì, thế nhƣng ta hãy thử phân tích một tình huống sau đây: giả sử ngƣời gọi câu truy vấn này truyền vào tham số userName có giá trị: a' or 't'='t Nhƣ vậy câu truy vấn của ta có đƣợc hiểu nhƣ sau: SELECT * FROM users WHERE name = 'a' or 't'='t'; Câu truy vấn trên có ý nghĩa là gì? Mệnh đề WHERE của câu truy vấn trên luôn đúng, lí do là vì „t‟=‟t‟ luôn cho ra giá trị đúng. Nhƣ vậy, thay vì trả về kết quả của 1 dòng dữ liệu mong muốn, câu truy vấn này trả về kết quả là toàn bộ dữ liệu của bảng users.  Nguyên nhân chính của việc truy vấn sai này chính là do dữ liệu của tham số truyền vào. Hãy tƣởng tƣợng rằng toàn bộ dữ liệu này bị sử dụng nhằm mục đích không tốt, hậu quả thật khó lƣờng phải không nào? 1
  5. * Các trƣờng hợp thƣờng bị tấn công Sql injection  Bất cứ thao tác nào của ứng dụng có thực hiện truy vấn tới cơ sở dữ liệu đều có thể bị lợi dụng để tấn công Sql injection. Các thao tác cơ bản với CSDL là: select, insert, update đều có thể bị tấn công. Có thể kể ra vài thao tác phổ biến có thể tấn công nhƣ:  Kiểm tra đăng nhập ứng dụng.  Thao tác lƣu comment của user xuống DB.  Thao tác truy vấn thông tin user.  … * Cách phòng tránh lỗi Sql injection  Nhƣ đã phân tích ở trên: điểm để tấn công chính là tham số truyền vào câu truy vấn. Do vậy phải thực hiện các biện pháp phòng chống để đảm bảo việc kiểm tra dữ liệu truyền vào không thể gây ra sai lệch khi thực hiện truy vấn.  Giải pháp cho việc kiểm tra này là sử dụng “chuỗi escape”. Khi thực hiện escape một chuỗi, tức là mã hoá các kí tự đặc biệt của chuỗi (nhƣ kí tự „, &, |, …) để nó không còn đƣợc hiểu là 1 kí tự đặc biệt nữa. Mỗi ngôn ngữ lập trình đều cung cấp các hàm để thực hiện escape chuỗi, với PHP ta sẽ sử dụng hàm mysqli_real_escape_string() hoặc cũng có thể dùng addslashes() để thực hiện điều này.  Ví dụ về hàm addslashes(): kí tự nháy kép lúc này không còn đƣợc hiểu là kí tự điểu khiển nữa. 1 $str = addslashes('What does "yolo" mean?'); 2 //$str = 'What does \"yolo\" mean?' 1.1.2 TẤN CÔNG XSS (CROSS-SITE SCRIPTING) * Khái niệm  XSS là một kĩ thuật tấn công, trong đó kẻ tấn công sẽ chèn các đoạn mã client-script độc (thƣờng là javascript hoặc HTML) vào trang web, các đoạn mã này sẽ đƣợc thực thi khi ngƣời dùng truy cập và load trang có chứa mã độc.  Khác với Sql injection nơi mà mã độc đƣợc thực thi ở server, XSS là một dạng tấn công trong đó mã độc đƣợc thực thi ở máy client. Bởi vì mã độc đƣợc chứa ở server nhƣng lại đƣợc thực thi ở client, do đó kĩ thuật này đƣợc gọi là “cross-site” là vì vậy. 2
  6. * Cách thức hoạt động của XSS  Có thể chia XSS thành 2 loại: Stored-XSS và Reflected-XSS. Cả 2 đều là đƣa những đoạn mã độc tới máy client để thực thi, cụ thể là việc hiển thị các nội dung đƣợc sinh ra trong quá trình trang web hoạt động, tuy nhiên cách thức có đôi chút khác biệt nhƣ sau: * Stored-XSS  Loại tấn công XSS này lợi dụng các lỗ hổng bảo mật của trang web để lƣu trữ các đoạn mã độc trên server, mỗi khi ngƣời dùng tải trang về thì các đoạn mã độc này sẽ đƣợc thực thi. Điển hình nhất của loại tấn công này là lợi dụng các điểm chứa dữ liệu nhập vào từ ngƣời dùng nhƣ: các ô comment trong trang blog, các ô điền nội dung của thông tin tài khoản công khai, …  Giả sử trang web của chúng ta có ô nhập nội dung comment nhƣ sau:  Cài đặt và sử dụng Kali Linux  Kiểm tra bảo mật và các biện pháp phòng chống tấn công Thay vì nhập comment nhƣ bình thƣờng, kẻ tấn công sẽ chèn mã độc, ví dụ nhƣ đoạn script sau: 1 alert("XSS"); Khi đó, nếu một ngƣời dùng khác truy cập vào trang web này, đoạn script sẽ đƣợc kích hoạt, và kết quả của nó nhƣ sau: 3
  7. Trên đây chỉ là 1 ví dụ đơn giản về kĩ thuật tấn công XSS, tất nhiên là kẻ tấn công hoàn toàn có thể chèn vào các đoạn mã nguy hiểm hơn để khai thác thông tin của ngƣời dùng. Ta thấy rằng, mặc dù đoạn mã độc này đƣợc lƣu ở server, nhƣng nó lại đƣợc thực thi tại máy tính của client, do đó nó đƣợc gọi là stored-XSS. * Reflected-XSS Ở kĩ thuật tấn công này, mã độc đƣợc gắn trực tiếp vào link trang  web, một khi bạn truy cập vào đƣờng link có chứa mã độc, thì đoạn mã độc sẽ đƣợc thực thi.  Giả sử ta có link trang web sau: xyz.abc.vn/xss/reflected/index?qid=alert(„XSS‟);  Nếu nhƣ trang web này dùng giá trị của tham số qid để hiển thị, thì khi truy cập vào đƣờng link này, ta sẽ bị lỗi XSS. * CÁC PHÒNG TRÁNH XSS  Nhƣ đã đề cập ở trên, mấu chốt của kĩ thuật tấn công này nằm ở chỗ hiển thị các nội dung được nhập vào ở client, do vậy để phòng tránh thì ta sẽ kiểm soát chặt chẽ các nơi có thể hiển thị nội dung.  Cũng tƣơng tự nhƣ cách phòng chống Sql injection, mỗi khi nhận vào dữ liệu, ta sẽ thực hiện kiểm tra và mã hoá các kí tự đặc biệt và các kí tự điều khiển có nguy cơ gây hại cho chƣơng trình. Khi đó những kí tự đặc biệt sẽ đƣợc biến đổi một cách tƣơng tự nhƣ sau: sẽ đƣợc đổi thành <script>  Để làm đƣợc điều này, trƣớc khi hiển thị thông tin nào đó ra một thẻ HTML, ta luôn thực hiện escape trƣớc ở server để biến đổi các kí tự đặc biệt thành html entity (trong PHP ta có thể sử dụng hàm htmlentities() để làm việc này). 1.1.3 DDOS Dos là viết tắt của "Denial Of Service" nghĩa là "Tấn công từ từ chối dịch vụ", là kiểu thƣờng đƣợc sử dụng để tấn công vào các máy chủ, web server 4
  8. nhằm mục đích làm tắc nghẽn, gián đoạn kết nối giữa ngƣời dùng và máy chủ gây cạn kiệt tài nguyên. Kiểu tấn công cơ bản thƣờng dùng nhất là Attacker sẽ gửi liên tục các yêu cầu đến máy chủ và yêu cầu nào cũng mang dung lƣợng lớn. Do phải xử lý lƣợng yêu cầu này mà máy chủ không còn đủ tài nguyên để xử lý các yêu cầu từ ngƣời dùng khác gây nên tình trạng gián đoạn kết nối. "Ddos" tên đầy đủ là "Distributed Denial Of Service" hay "Tấn công từ từ chối dịch vụ phân tán" Tƣơng tự nhƣ Dos nhƣng lần này Attacker tấn công từ nhiều luồng khác nhau với nhiều IP và dãy IP khác nhau. Họ có thể gửi nhiều lƣợt truy cập vào một máy chủ trong cùng thời điểm, làm máy chủ không phân tán rất nhiều tài nguyên để xử lý đồng thời các yêu cầu đó. Gây ra tình trạng quá tải và đó là điều mà Attacker đang mong muốn. Cách tất công này khiến máy chủ khó phát hiện và ngăn chặn hơn Dos. Để mọi ngƣời có thể dễ hình dung hơn thì mình xin phép lấy kẹt xe đặc sản của Sài Gòn làm ví dụ: Bạn đang trên con đƣờng "băng thông" đến công ty bạn làm tên là "máy chủ" bình thƣờng vẫn không đông ngƣời lắm trên con đƣờng bỗng hôm nay có 1 đoàn xe tải của nhà xe "Dos" nối đuôi dài bất tận chạy chiếm hết cả con đƣờng khiến không ai có thể lƣu thông đƣợc nữa. Nhận thấy sự cố ý phá hoại đến từ nhà xe "Dos" công ty của bạn đã đặt biển cấm đối với mọi xe của "Dos" bằng cách đó là Ban IP của Attacker. Thì đối với Ddos Attacker đó thể tấn công từ nhiều luồng, nhiều địa chỉ khác nhau cũng nhƣ sử dụng nhiều xe, đi tới từ nhiều hƣớng nên rất khó xác định đƣợc xuất phát từ đâu. Vậy làm sao mà Attacker có thể sử dụng nhiều IP nhƣ thế trong cùng lúc để thực hiện hành vi của mình ? Có khác nhiều cách khác nhau nhƣ sử dụng server ảo, thay đổi IP liên tục qua các proxy và Botnet. 1.1.4 BOTNET LÀ GÌ? BotNet là thuật ngữ viết ngắn của "Bots Network". Chỉ mạng lƣới các máy tính nhiễm mã độc (Bots/Zombie) và bị chi phối bởi một máy tính khác. Mạng lƣới Botnet càng lớn thì độ nguy hiểm càng cao. Có những mạng lƣới Botnet có thể liên đến hàng ngàn hoặc trăm ngàn máy zombie Hiện nay có 2 hình thức cấu trúc mạng lƣới Botnet là client/server botnet model và peer-to- peer botnet model. Client/server botnet model 5
  9. Với mô hình này các máy bot/zombie kết nối với máy chủ hoặc cụm máy chủ thông qua tên mình hoặc kênh IRC để nhận lệnh của Botmaster. Mô hình này thƣờng phổ biến và dễ dàng sử dụng hơn. Các máy zombie thƣờng bị chi phối ngầm mà ngƣời sử dụng máy zombie không hay biết hoặc rất khó nhận ra. Thông qua sự chi phối của Botmaster ngƣời điều khiển của thể phát tán các mã độc khác để tạo ra một mạng lƣới Botnet càng lớn mạnh. Phƣơng thức phát tán thƣờng thấy nhất là ẩn các mã độc vào các các phần mềm miễn phí quen thuộc rồi rồi phát tán link tải trên internet. Botmaster có thể điều khiển máy zombie thực hiện nhiều yêu cầu khác nhau cho nhiều mục đích khác nhau của Attacker bao gồm cả Ddos. Ngƣời sử dụng có thể điều khiển các máy bot tấn công vào web server thông qua giao diện điều khiển đặc biệt của họ, lập tức các máy bot đang online trong mạng lƣới dù có ở khắp thế giới cùng lúc truy cập đến trang mục tiêu. Mô hình ngày cũng có một nhƣợc điểm, do các máy bị nhiễm mã độc điều kết nối tới 1 máy chủ duy nhất nên có thể tìm ra đƣợc máy chủ ngày trong quá trình phân tích mã độc. Chỉ cần máy chỉ bị phá hủy và ngƣng hoạt động thì các máy bots cũng không còn. Peer-to-peer botnet model Mô hình Bonet kết nối ngang hàng. Mô hình này đƣợc sinh ra để khắc phục điểm yếu của client/server ở trên. Thay vì kết nối tập trung vào một máy chủ thì các máy bots kết nối ngang hàng và chia sẻ với nhau. Thêm chức năng điều khiển vào mỗi máy bots để các máy này có thể dễ dàng giao tiếp, chia sẻ và điều khiển lẫn nhau nhằm mục đích cản trở nỗ lực tìm ra máy chủ. Trong cấu trúc này máy chủ lẫn máy bots đều chỉ có thể kết nối qua các nút lân cận để truyền dữ liệu cho nhau. Để duy trì ổn định cấu trúc này các máy đều có một danh sách các máy tin cậy để kết nối với nhau. Mô hình này nguy hiểm hơn rất nhiều so với client/server, rất khó khăn để tìm ra nguồn gốc ngăn để ngăn chặn và phá hủy hoàn toàn bởi mỗi máy trong mạng lƣới điều có khả năng là máy điều khiển. Nhƣng mô hình này lại lộ ra một nhƣợc điểm vì chức năng điều khiển ở mỗi máy bots nên ngƣời tạo ra chúng có khả năng mất quyền kiểm soát. Để hạn chế điều này các mã độc này thƣờng đƣợc mã hóa rất kỹ lƣỡng. 1.1.5 Phòng Chống Dos - Ddos - Botnet Đối với phòng chống Ddos thì hiện tại chƣa có cách phòng chống triệt để rõ ràng nào hiện nay. Vì đây là kiểu tấn công chủ động nhƣ đã nêu ở trên, vì thế 6
  10. để bảo mật website cần phải có kế hoạch cụ thể. LP Tech sẽ giới thiệu một số cách phòng chống Ddos và Botnet nhƣ sau: Định tuyến hố đen (black hole) Đây là cách làm khá phổ biến đối với các quản trị viên trong làm bảo mật website. Khi phát hiện lƣợng lớn các truy cập bất thƣờng, các truy cập sẽ đƣợc chuyển vào đây mất kể là truy cập bình thƣờng hay ác ý, nhằm giảm thiểu thiệt hại cho máy chủ. Hiện nay các nhà cung cấp dịch vụ internet ISP đang cung cấp dịch vụ này. Tuy nhiên để thiết lập cần tốn khá nhiều thời gian và thiết bị. Giới hạn truy cập Tự thiết lập số lƣợng truy cập cho máy chủ, website trong cùng một lúc. Cách này nhằm ổn định kết nối với cho những ngƣời đang sử dụng hệ thống khi xảy ra tấn công. Sau khi đạt đƣợc số lƣợng giới hạn truy cập cho phép thì mọi truy cập sau đó đều bị chặn lại và phải chờ. Tuy nhiên biện pháp này cũng có những rủi ro nhất định, nhất là đối với website đang làm SEO, Nếu bạn đang chạy Dịch Vụ SEO mà chặn hay giới hạn truy cập thì quả là nguy hiểm đấy. Chặn IP Ngăn chặn các IP đáng ngờ đang truy cập liên tục vào website của bạn. Đối với Dos thì cách này tuy đơn giản nhƣng rất hiệu quả. Cách này đƣợc sử dụng hầu hết ở các trang web PHP bằng cách cấu hình ở file .htaccess Ở ví dụ mình cũng đã nhắc tới. Tuy nhiên việc chặn IP bằng phần mềm cũng có góp phần vào việc bảo mật website khỏi tấn công DDOS nhƣng đó chỉ có thể chặn các cuộc tấn công nhẹ mà thôi. Các cuộc tấn công lớn thì để Bảo mật website tốt cần phải ngăn chặn các Request ở Layer đầu tiên, chứ nếu vào tới các server là đã vào đến Layer-7 theo Mô Hình OSI rồi, việc này sẽ giảm hiệu quả bảo mật website. Sử dụng Firewall Đây là khái niệm rất quen thuộc với chúng ta khi làm bảo mật website. Tƣờng lửa hoạt động nhƣ một rào chắn và lọc các kết nối không an toàn cả 2 chiều ra và vào hệ thống. Nó có thể giúp lọc ra các truy cập bị nghi ngờ là bots đang tấn công giúp hạn chế nguồn tài nguyên tiêu hao và ổn định chất lƣợng ngƣời dùng bên trong. Sử dụng Cloudflare Dịch vụ Cloudflare là một DNS trung gian giúp điều phối lƣợng truy cập vào máy chủ. Thay vì truy cập trực tiếp thông quan DNS thì ngƣời dùng truy cập thông qua máy chủ DNS của Cloudflare. Đây cũng là một hình thức bảo mật website hiệu quả, tuy nhiên nếu sử dụng gói miễn phí thì có khá nhiều vấn đề nhƣ thời gian Down-Time và tốc độ cũng bị ảnh hƣởng. 7
  11. Máy chủ Cloudflare sẽ điều tiết lƣợng truy cập vào website của bạn và lọc các kết nối độc hại. Bên cạnh đó Cloudflare còn giúp tăng tốc độ tải trang bằng cách lƣu lại cache và nén các CSS, hình ảnh của web và lƣu lại trên máy chủ của Cloudflare. Đối với ngƣời dùng Để tránh bị kẻ gian lợi dụng đánh cắp thông tin, phát tán mã độc và vô tình trở thành zombie trong một mạng BotNet nào đó, ngƣời dùng cần lƣu ý các vấn đề bảo mật website nhƣ sau:  Không mở những tập tin không rõ nguồn gốc.  Không nên sử dụng cái phần mềm lậu, path crack.  Không mở nhử tập tin tự động tải xuống mà mình không mong muốn.  Khi tải phần mềm nào đó hãy chú ý đến tên miền của trang web có phải là trang chủ của phần mềm mà mình muốn tải hay không.  Thường xuyên cập nhật những bản vá lỗi của hệ điều đang dùng  Cập nhật phần mềm diệt antivirus  Không sử dụng các phần mềm diệt virus không rõ nguồn gốc vì rất có thể bản thân nó là virus/mã độc 1.1.6 PHISHING. * PHISHING LÀ GÌ? 8
  12. Phishing (Tấn công giả mạo) là hình thức tấn công mạng mà kẻ tấn công giả mạo thành một đơn vị uy tín để lừa đảo ngƣời dùng cung cấp thông tin cá nhân cho chúng. Thông thƣờng, tin tặc sẽ giả mạo thành ngân hàng, trang web giao dịch trực tuyến, ví điện tử, các công ty thẻ tín dụng để lừa ngƣời dùng chia sẻ các thông tin nhạy cảm nhƣ: tài khoản & mật khẩu đăng nhập, mật khẩu giao dịch, thẻ tín dụng và các thông tin quý giá khác. Phƣơng thức tấn công này thƣờng đƣợc tin tặc thực hiện thông qua email và tin nhắn. Ngƣời dùng khi mở email và click vào đƣờng link giả mạo sẽ đƣợc yêu cầu đăng nhập. Nếu “mắc câu”, tin tặc sẽ có đƣợc thông tin ngay tức khắc. Phƣơng thức phishing đƣợc biết đến lần đầu tiên vào năm 1987. Nguồn gốc của từ Phishing là sự kết hợp của 2 từ: fishing for information (câu thông tin) và phreaking (trò lừa đảo sử dụng điện thoại của ngƣời khác không trả phí). Do sự giống nhau giữa việc “câu cá” và “câu thông tin ngƣời dùng”, nên thuật ngữ Phishing ra đời. * CÁC PHƢƠNG THỨC TẤN CÔNG PHISHING Có nhiều kỹ thuật mà tin tặc sử dụng để thực hiện một vụ tấn công Phishing. Giả mạo email Một trong những kỹ thuật cơ bản trong tấn công Phishing là giả mạo email. Tin tặc sẽ gửi email cho ngƣời dùng dƣới danh nghĩa một đơn vị/tổ chức uy tín, dụ ngƣời dùng click vào đƣờng link dẫn tới một website giả mạo và “mắc câu”. 9
  13. Những email giả mạo thƣờng rất giống với email chính chủ, chỉ khác một vài chi tiết nhỏ, khiến cho nhiều ngƣời dùng nhầm lẫn và trở thành nạn nhân của cuộc tấn công. Để làm cho nội dung email giống thật nhất có thể, kẻ tấn công luôn cố gắng “ngụy trang” bằng nhiều yếu tố:  Địa chỉ ngƣời gửi (VD: địa chỉ đúng là sales.congtyA@gmail.com thì địa chỉ giả mạo có thể là sale.congtyA@gmail.com)  Chèn Logo chính thức của tổ chức để tăng độ tin cậy  Thiết kế các cửa sổ pop-up giống y hệt bản gốc (cả về màu sắc, font chữ,…)  Sử dụng kĩ thuật giả mạo đƣờng dẫn (link) để lừa ngƣời dùng (VD: text là vietcombank.com.vnnhƣng khi click vào lại điều hƣớng tới vietconbank.com.vn)  Sử dụng hình ảnh thƣơng hiệu của các tổ chức trong email giả mạo để tăng độ tin cậy. Mánh khóe tinh vi của kẻ tấn công Phishing khiến nạn nhân dễ dàng tin tƣởng và đăng nhập. 10
  14. GIẢ MẠO WEBSITE Thực chất, việc giả mạo website trong tấn công Phishing chỉ là làm giả một Landing page chứ không phải toàn bộ website. Trang đƣợc làm giả thƣờng là trang đăng nhập để cƣớp thông tin của nạn nhân. Kỹ thuật làm giả website có một số đặc điểm sau:  Thiết kế giống tới 99% so với website gốc  Đƣờng link (url) chỉ khác 1 ký tự duy nhất. VD: reddit.com (thật) vs redit.com (giả); google.com vs gugle.com; microsoft.com vs mircoso ft.com hoặc verify-microsoft.com.  Luôn có những thông điệp khuyến khích ngƣời dùng nhập thông tin cá nhân vào website (call-to-action). VƢỢT QUA CÁC BỘ LỌC PHISHING Hiện nay, các nhà cung cấp dịch vụ email nhƣ Google hay Microsoft đều có những bộ lọc email spam/phishing để bảo vệ ngƣời dùng. Tuy nhiên những bộ lọc này hoạt động dựa trên việc kiểm tra văn bản (text) trong email để phát hiện xem email đó có phải phishing hay không. Hiểu đƣợc điều này, những kẻ tấn công đã cải tiến các chiến dịch tấn công Phishing lên một tầm cao mới. Chúng thƣờng sử dụng ảnh hoặc video để truyền tải thông điệp lừa đảo thay vì dùng text nhƣ trƣớc đây. Ngƣời dùng cần tuyệt đối cảnh giác với những nội dung này. * CÁCH PHÒNG CHỐNG PHISHING ĐỐI VỚI CÁ NHÂN Để tránh bị hacker sử dụng tấn công Phishing để lừa đảo trên Internet, thu thập dữ liệu cá nhân, thông tin nhạy cảm của bạn. Hãy lƣu ý những điểm sau :  Cảnh giác với các email có xu hướng thúc giục bạn nhập thông tin nhạy cảm. Cho dù lời kêu gọi có hấp dẫn thế nào đi chăng nữa thì vẫn nên kiểm tra kỹ càng. VD: bạn mới mua sắm online, đột nhiên có email từ ngân hàng tới đề nghị hoàn tiền cho bạn, chỉ cần nhập thông tin thẻ đã dùng để thanh toán. Có tin đƣợc không ?!  Không click vào bất kỳ đƣờng link nào đƣợc gửi qua email nếu bạn không chắc chắn 100% an toàn.  Không bao giờ gửi thông tin bí mật qua email.  Không trả lời những thƣ lừa đảo. Những kẻ gian lận thƣờng gửi cho bạn số điện thoại để bạn gọi cho họ vì mục đích kinh doanh. Họ sử 11
  15. dụng công nghệ Voice over Internet Protocol. Với công nghệ này, các cuộc gọi của họ không bao giờ có thể đƣợc truy tìm.  Sử dụng Tƣờng lửa và phần mềm diệt virus. Hãy nhớ luôn cập nhật phiên bản mới nhất của các phần mềm này.  Hãy chuyển tiếp các thƣ rác đến spam@uce.gov. Bạn cũng có thể gửi email tới reportphishing@antiphishing.org Tổ chức này giúp chống lại các phishing khác. ĐỐI VỚI CÁC TỔ CHỨC, DOANH NGHIỆP  Training cho nhân viên để tăng kiến thức sử dụng internet an toàn. Thƣờng xuyên tổ chức các buổi tập huấn, diễn tập các tình huống giả mạo  Sử dụng dịch vụ G-suite dành cho doanh nghiệp, không nên sử dụng dịch vụ Gmail miễn phí vì dễ bị giả mạo.  Triển khai bộ lọc SPAM để phòng tránh thƣ rác, lừa đảo  Luôn cập nhật các phần mềm, ứng dụng để tránh các lỗ hổng bảo mật có thể bị kẻ tấn công lợi dụng.  Chủ động bảo mật các thông tin nhạy cảm, quan trọng. Xem thêm Giải pháp bảo mật thông tin cho doanh nghiệp. * CÁCH XÁC ĐỊNH MỘT EMAIL LỪA ĐẢO Thoạt nhìn, email giả mạo trông không khác gì “chính chủ” Đây là một số cụm từ thƣờng gặp nếu bạn nhận đƣợc một email hay tin nhắn là lừa đảo 12
  16. “Xác thực tài khoản của bạn” / “Verify your account” – Các website hợp pháp sẽ không bao giớ bắt bạn gửi password, tên tài khoản hay bất cứ thông tin cá nhân nào của bạn qua email. “Nếu bạn không phản hồi trong vòng 48h, tài khoản của bạn sẽ bị ngừng hoạt động” / “If you don’t respond within 48 hours, your account will be closed.” – Đây là một tin nhắn truyền tải một thông điệp cấp bách để bạn trả lời ngay mà không cần suy nghĩ “Dear Valued Customer.” / “Kinh thƣa quí khách hàng” – Những tin nhắn từ các email lừa đảo thƣờng xuyên gửi đi với số lƣợng lớn và thƣờng sẽ không chứa first name và last name của bạn. “Nhấp chuột vào link bên dƣới để truy cập đến tài khoản của bạn” / “Click the link below to gain access to your account.” –Các thông điệp HTML có thể chứa các liên kết hay các form nhập liệu mà bạn có thể điền các thông tin vào giống nhƣ khi các form trên một website. Những đƣờng dẫn đó có thể chứa tất cả hoặc một phần thông tin của các công ty thực sự và thƣờng “đeo mặt nạ”, có nghĩa là các đƣờng dẫn mà bạn thấy không đƣa bạn đến website mà bạn nghĩ, ngƣợc lại nó sẽ đƣa bạn đến những website lừa đảo. * CÁC CÔNG CỤ HỮU ÍCH GIÚP PHÒNG CHỐNG PHISHING:  SpoofGuard: là một plugin trình duyệt tƣơng thích với Microsoft Internet Explorer. SpoofGuard đặt một “cảnh báo” trên thanh công cụ của trình duyệt. Nó sẽ chuyển từ màu xanh sang màu đỏ nếu bạn vô tình vào trang web giả mạo Phishing. Nếu bạn cố nhập các thông tin nhạy cảm vào một mẫu từ trang giả mạo, SpoofGuard sẽ lƣu dữ liệu của bạn và cảnh báo bạn.  Anti-phishing Domain Advisor: bản chất là một toolbar (thanh công cụ) giúp cảnh báo những trang web lừa đảo, dựa theo dữ liệu của công ty Panda Security.  Netcraft Anti-phishing Extension: Netcraft là một đơn vị uy tín cung cấp các dịch vụ bảo mật bao gồm nhiều dịch vụ. Trong số đó, tiện ích mở rộng chống Phishing của Netcraft đƣợc đánh giá khá cao với nhiều tính năng cảnh báo thông minh. 1.1.5 COOKIE THEFT 13
  17. Cookies giúp cho trải nghiệm lướt web của bạn thuận lợi và nhanh chóng hơn. Nhưng nếu xét về khía cạnh bảo mật, cookies có thể làm rò rỉ một số thông tin của bạn. Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải nghiệm duyệt web nhanh chóng vừa có thể giữ an toàn bảo mật cho các thông tin quan trọng của mình. Bạn đã bao giờ thắc mắc tại sao các quảng cáo Google có thể quảng cáo đúng sản phẩm mà bạn đang định mua, tại sao các trang web luôn đƣợc đăng nhập sẵn tên bạn dù bạn chỉ đăng nhập đúng một lần? Vâng đó chính là cơ chế hoạt động của cookies trên trình duyệt web của bạn. Cookie lƣu trữ thông tin duyệt web, chẳng hạn nhƣ các tùy chọn cho trang web hoặc thông tin hồ sơ của bạn. Nhờ đó, trình duyệt sẽ cung cấp những thông tin phù hợp nhất cho bạn, từ quảng cáo đến những thông tin lƣớt web đăng nhập. Có thể nói cookies sẽ giúp cho trải nghiệm lƣớt web của bạn thuận lợi và nhanh chóng hơn. Nhƣng nếu xét về khía cạnh bảo mật, cookies có thể làm rò rỉ một số thông tin của bạn. Bởi nếu hacker có thể lấy đƣợc những cookies này, hacker hoàn toàn có thể biết đƣợc thói quen, lịch sử duyệt web và dựa vào đó tấn công bạn. Thƣờng thì cookies sẽ đƣợc lƣu trữ trên máy tính của bạn cho đến khi chúng hết hạn hoặc bạn xóa chúng. Thời gian lƣu trữ của chúng từ khoảng 30 ngày đến 60 ngày. Với lƣợng thời gian này, hacker hoàn toàn có thể lấy đƣợc nhiều thông tin từ bạn. 14
  18. Nếu bạn biết cách quản lý cookies, bạn vừa có thể trải nghiệm duyệt web nhanh chóng vừa có thể giữ an toàn bảo mật cho các thông tin quan trọng của mình. Bạn có thể quản lý cookies ngay trên trình duyệt web của mình, chính là xóa những đoạn cookies định kỳ hoặc thiết lập cho trình duyệt tự động làm điều đó cho bạn và giữ thông tin của bạn luôn đƣợc bảo mật. Đối với trình duyệt Google Chrome Hãy nhấp vào biểu tƣợng menu ở góc trên bên phải cửa sổ trình duyệt và chọn Cài đặt >> Hiển thị cài đặt nâng cao… >> Cài đặt nội dung. Trong phần Cookies, chọn Chỉ lƣu dữ liệu trên máy cho đến khi bạn thoát trình duyệt của mình. Chọn Chặn dữ liệu trang Web và cookied của bên thứ ba. 15
  19. Quản lý cookies trên trình duyệt Mozilla Firefox Hãy nhấp vào biểu tƣợng menu ở góc trên bên phải cửa sổ trình duyệt và chọn Cài đặt. Chọn Privacy (thiết lập Bảo mật) ở menu bên trái. Dƣới mục History, chọn Use custom settings for history trong mục xổ xuống, sau đó nhấn chọn Never by Accept third-party cookies. Và đánh vào ô Keep until to I close Firefox. Có một vấn đề bạn nên lƣu ý: Khi bạn xóa Cookies trên trình duyệt Web, bạn cũng hủy luôn cả lệnh “Remember me” (Ghi nhớ tôi) mà bạn đã từng chọn – kèm theo các thiết lập lƣu trữ đăng nhập bạn đã lƣu khi đăng nhập bằng bảo mật 2 lớp. Có thể điều này khiến bạn cảm thấy rất phiền, nhƣng rõ ràng để đƣợc bảo mật thì cái giá này không hề mắc tẹo nào. Ngoài ra, để tăng tính bảo mật an toàn thông tin cá nhân, bạn nên sử dụng một giải pháp bảo mật nhƣ phần mềm bảo mật Kaspersky Internet Security 2017 có tích hợp tính năng vừa diệt virus vừa phát hiện và kịp thời ngăn chặn các trang web có dấu hiệu ngấm ngầm theo dấu thông tin dữ liệu cá nhân của bạn trên trình duyệt web. VIRUSES AND MALICIOUS CODE * Mã độc là gì? Tổng quan về mã độc Mã độc hay “Malicious software” là một loại phần mềm đƣợc tạo ra và chèn vào hệ thống một cách bí mật với mục đích thâm nhập, phá hoại hệ thống hoặc lấy cắp thông tin, làm gián đoạn, tổn hại tới tính bí mật, tính toàn vẹn và tính sẵn sàng của máy tính nạn nhân. Mã độc đƣợc phân thành nhiều loại tùy theo chức năng, cách thức lây nhiễm, phá hoại: virus, worm, trojan, rootkit… 16
  20. Mọi ngƣời hay bị nhầm lẫn với 1 khái niệm khác là virus máy tính. Thực tế, virus máy tính chỉ là 1 phần nhỏ trong khái niệm mã độc. Virus máy tính hiểu đơn thuần cũng là một dạng mã độc nhƣng sự khác biệt ở chỗ virus máy tính có khả năng tự lây lan. Các loại mã độc càng ngày càng phức tạp từ cách thức lây nhiễm, phƣơng pháp ẩn mình, cách thức thực hiện các hành vi nguy hiểm… Giới hạn giữa các loại mã độc ngày càng hạn hẹp vì bản thân các mã độc cũng phải có sự kết hợp lẫn nhau để hiệu quả tấn công là cao nhất. Sau đây, tôi xin trình bày một số khái niệm về mã độc dựa trên 3 yếu tố chính: chức năng, đối tƣợng lây nhiễm, đặc trƣng của mã độc. Xem thêm: một số công cụ kiểm tra mã độc website được chuyên gia tin dùng * LOẠI MÃ ĐỘC PHỔ BIẾN BOOT VIRUS Boot virus hay còn gọi là virus boot, là loại virus lây vào boot sector hoặc master boot record của ổ đĩa cứng. Đây là các khu vực đặc biệt chứa các dữ liệu để khởi động hệ thống, nạp các phân vùng. Boot virus đƣợc thực thi trƣớc khi hệ điều hành đƣợc nạp lên. Vì vậy, nó hoàn toàn độc lập với hệ điều hành. B-virus có nhƣợc điểm là khó viết do không thể sử dụng các dịch vụ, chức năng có sẵn của hệ điều hành và kích thƣớc virus bị hạn chế bởi kích thƣớc của các sector (mỗi sector chỉ có 512 byte). Ngày nay gần nhƣ không còn thấy sự xuất hiện của Boot Virus do đặc điểm lây lan chậm và không phù hợp với thời đại Internet. 17
ADSENSE
ADSENSE

CÓ THỂ BẠN MUỐN DOWNLOAD

 

Đồng bộ tài khoản
2=>2