Tài liệu Bảo mật mạng: Chương 4 - Nguyễn Tấn Thành

CHƯƠNG 4: SOCIAL<br /> ENGINEERING<br /> Nguyễn Tấn Thành<br /> Social engineering là phương pháp phi kỹ thuật đột nhập vào hệ thống hoặc mạng công<br /> ty. Đó là quá trình đánh lừa người dùng của hệ thống, hoặc thuyết phục họ cung cấp<br /> thông tin có thể giúp chúng ta đánh bại bộ phận an ninh. Social engineering là rất quan<br /> trọng để tìm hiểu, bởi vì hacker có thể lợi dụng tấn công vào yếu tố con người và phá<br /> vỡ hệ thống kỹ thuật an ninh hiện tại. Phương pháp này có thể sử dụng để thu thập thông<br /> tin trước hoặc trong cuộc tấn công.<br /> <br /> 1. Social engineering là gì?<br /> Social engineering sử dụng sự ảnh hưởng và sự thuyết phục để đánh lừa người dùng<br /> nhằm khai thác các thông tin có lợi cho cuộc tấn công hoặc thuyết phục nạn nhân thực<br /> hiện một hành động nào đó. Social engineer (người thực hiện công việc tấn công bằng<br /> phương pháp social engineering) thường sử dụng điện thoại hoặc internet để dụ dỗ<br /> người dùng tiết lộ thông tin nhạy cảm hoặc để có được họ có thể làm một chuyện gì đó<br /> để chống lại các chính sách an ninh của tổ chức. Bằng phương pháp này, Social engineer<br /> tiến hành khai thác các thói quen tự nhiên của người dùng, hơn là tìm các lỗ hổng bảo<br /> mật của hệ thống. Điều này có nghĩa là người dùng với kiến thức bảo mật kém cõi sẽ là<br /> cơ hội cho kỹ thuật tấn công này hành động.<br /> Sau đây là một ví dụ về kỹ thuật tấn công social engineering được Kapil Raina kể lại,<br /> hiện ông này đang là một chuyên gia an ninh tại Verisign, câu chuyện xẩy ra khi ông<br /> đang làm việc tại một công ty khác trước đó: “Một buổi sàng vài năm trước, một nhóm<br /> người lạ bước vào công ty với tư cách là nhân viên của một công ty vận chuyển mà<br /> công ty này đang có hợp động làm việc chung. Và họ bước ra với quyền truy cập vào<br /> toàn bộ hệ thống mạng công ty. Họ đã làm điều đó bằng cách nào?. Bằng cách lấy một<br /> lượng nhỏ thông tin truy cập từ một số nhân viên khác nhau trong công ty. Đầu tiên họ<br /> đã tiến hành một nghiên cứu tổng thể về công ty từ hai ngày trước. Tiếp theo họ giã vờ<br /> làm mất chìa khóa để vào cửa trước, và một nhân viên công ty đã giúp họ tìm lại được.<br /> Sau đó, họ làm mất thẻ an ninh để vào cổng công ty, và chỉ bằng một nụ cười thân thiện,<br /> nhân viên bảo vệ đã mở cửa cho họ vào. Trước đó họ đã biết trường phòng tài chính<br /> vừa có cuộc công ta xa, và những thông tin của ông này có thể giúp họ tấn công hệ<br /> thống. Do đó họ đã đột nhập văn phòng của giám đốc tài chính này. Họ lục tung các<br /> thùng rác của công ty để tìm kiếm các tài liệu hữu ích. Thông qua lao công của công ty,<br /> <br /> họ có thêm một số điểm chứa tài liệu quan trọng cho họ mà là rác của người khác. Điểm<br /> quan trọng cuối cùng mà họ đã sử dụng là giả giọng nói của vị giám đốc vắn mặt này.<br /> Có thành quả đó là do họ đã tiến hành nghiên cứu giọng nói của vị giám đốc. Và những<br /> thông tin của ông giám đốc mà họ thu thập được từ thùng rác đã giúp cho họ tạo sự tin<br /> tưởng tuyệt đối với nhân viên. Một cuộc tấn công đã diễn ra, khi họ đã gọi điện cho<br /> phòng IT với vai trò giám đốc phòng tài chính, làm ra vẽ mình bị mất pasword, và rất<br /> cần password mới. Họ tiếp tục sử dụng các thông tin khác và nhiều kỹ thuật tấn công<br /> đã giúp họ chiếm lĩnh toàn bộ hệ thống mạng”. Nguy hiểm nhất của kỹ thuật tấn công<br /> này là quy trình thẩm định thông tin cá nhân. Thông qua tường lửa, mạng riêng ảo, phần<br /> mềm giám sát mạng...sẽ giúp rộng cuộc tấn công, bởi vì kỹ thuật tấn công này không<br /> sử dụng các biện pháp trực tiếp. Thay vào đó yếu tố con người rất quan trọng. Chính sự<br /> lơ là của nhân viên trong công ty trên đã để cho kẽ tấn công thu thập được thông tin<br /> quan trọng.<br /> <br /> 2. Nghệ thuật của sự thao túng<br /> Social Engineering bao gồm việc đạt được những thông tin mật hay truy cập trái phép,<br /> bằng cách xây dựng mối quan hệ với một số người. Kết quả của social engineer là lừa<br /> một người nào đó cung cấp thông tin có giá trị. Nó tác động lên phẩm chất vốn có của<br /> con người, chẳng hạn như mong muốn trở thành người có ích, tin tưởng mọi người và<br /> sợ những rắc rối.<br /> Social engineering vận dụng những thủ thuật và kỹ thuật làm cho một người nào đó<br /> đồng ý làm theo những gì mà Social engineer muốn. Nó không phải là cách điều khiển<br /> suy nghĩ người khác, và nó không cho phép Social engineer làm cho người nào đó làm<br /> những việc vượt quá tư cách đạo đức thông thường. Và trên hết, nó không dễ thực hiện<br /> chút nào. Tuy nhiên, đó là một phương pháp mà hầu hết Attackers dùng để tấn công<br /> vào công ty. Có 2 loại rất thông dụng :<br />  Social engineering là việc lấy được thông tin cần thiểt từ một người nào đó hơn<br /> là phá hủy hệ thống.<br />  Psychological subversion: mục đích của hacker hay attacker khi sử dụng<br /> PsychSub (một kỹ thuật thiên về tâm lý) thì phức tạp hơn và bao gồm sự chuẩn<br /> bị, phân tích tình huống, và suy nghĩ cẩn thận, chính xác những từ sử dụng và<br /> giọng điệu khi nói, và nó thường sử dụng trong quân đội.<br /> Sau đây là một tình huống mà một Attacker đã đánh cấp password của một khách hàng.<br /> Nếu bạn có ý đồ làm hacker thì có thể học hỏi, còn nếu bạn là người dùng thì hãy cẩn<br /> thận khi gặp tình huống tương tự.<br /> Vào một buổi sáng, cô Alice đang ăn sáng thì nhận được cuộc gọi.<br /> <br /> Attacker : “ Chào bà, tôi là Bob, tôi muốn nói chuyện với<br /> cô Alice”<br /> Alice: “ Xin chào, tôi là Alice”.<br /> Attacker: ” Chào cô Alice, tôi gọi từ trung tâm dữ liệu,<br /> xin lỗi vì tôi gọi điện cho cô sớm Thế này…”<br /> Alice: ” Trung tâm dữ liệu à, tôi đang ăn sáng, nhưng không<br /> sao đâu.”<br /> Attacker: ” Tôi gọi điện cho cô vì những thông tin cá nhân<br /> của cô trong phiếu thông tin tạo account có vấn đề.”<br /> Alice: ” Của tôi à..à vâng.”<br /> Attacker: ” Tôi thông báo với cô về việc server mail vừa<br /> bị sập tối qua, và chúng tôi đang cố gắng phục hồi lại hệ<br /> thống mail. Vì cô là người sử dụng ở xa nên chúng tôi xử<br /> lý trường hợp của cô trước tiên.”<br /> Alice: ”Vậy mail của tôi có bị mất không?”<br /> Attacker: “Không đâu, chúng tôi có thể phục hồi lại được<br /> mà. Nhưng vì chúng tôi là nhân viên phòng dữ liệu, và chúng<br /> tôi không được phép can thiệp vào hệ thống mail của văn<br /> phòng, nên chúng tôi cần có password của cô, nếu không<br /> chúng tôi không thể làm gì được.”<br /> Alice: ”Password của tôi à?uhm..”<br /> Attacker: ”Vâng, chúng tôi hiểu, trong bản đăng kí ghi rõ<br /> chúng tôi không được hỏi về vấn đề này, nhưng nó được viết<br /> bởi văn phòng luật, nên tất cả phải làm đúng theo luật.” (<br /> nỗ lực làm tăng sự tin tưởng từ nạn nhân)<br /> Attacker: ” Username của cô là AliceDxb phải không? Phòng<br /> hệ thống đưa cho chúng tôi username và số điện thoại của<br /> cô, nhưng họ không đưa password cho chúng tôi. Không có<br /> password thì không ai có thể truy cập vào mail của cô được,<br /> cho dù chúng tôi ở phòng dữ liệu. Nhưng chúng tôi phải phục<br /> hồi lại mail của cô, và chúng tôi cần phải truy cập vào<br /> mail của cô. Chúng tôi đảm bảo với cô chúng tôi sẽ không<br /> sử dụng password của cô vào bất cứ mục đích nào khác.”<br /> <br /> Alice: ” uhm, pass này cũng không riêng tư lắm đâu, pass<br /> của tôi là 123456”<br /> Attacker: ” Cám ơn sự hợp tác của cô. Chúng tôi sẽ phục hồi<br /> lại mail của cô trong vài phút nữa.”<br /> Alice: ” Có chắc là mail không bị mất không?”<br /> Attacker: ” Tất nhiên là không rồi. Chắc cô chưa gặp trường<br /> hợp này bao giờ, nếu có thắc mắc gì thì hãy liên hệ với<br /> chúng tôi. Cô có thể tìm số liên lạc ở trên Internet.”<br /> Alice: ” Cảm ơn.”<br /> Attacker: ” Chào cô.”<br /> <br /> 3. Điểm yếu của mọi người<br /> Mọi người thường mắc phải nhiều điểm yếu trong các vấn đề bảo mật. Để đề phòng<br /> thành công thì chúng ta phải dựa vào các chính sách tốt và huấn luyện nhân viên thực<br /> hiện tốt các chính sách đó. Social engineering là phương pháp khó phòng chống nhất vì<br /> nó không thể dùng phần cứng hay phần mềm để chống lại.<br /> Một người nào đó khi truy cập vào bất cứ phần nào của hệ thống thì các thiết bị vật lý<br /> và vấn đề cấp điện có thể là một trở ngại lớn. Bất cứ thông tin nào thu thập được đều có<br /> thể dùng phương pháp Social engineering để thu thập thêm thông tin. Có nghĩa là một<br /> người không nằm trong chính sách bảo mật cũng có thể phá hủy hệ thống bảo mật. Các<br /> chuyên gia bảo mật cho rằng cách bảo mật giấu đi thông tin là rẩt yếu. Trong trường<br /> hợp của Social engineering, hoàn toàn không có sự bảo mật nào vì không thể che giấu<br /> việc ai đang sử dụng hệ thống và khả năng ảnh hưởng của họ tới hệ thống.<br /> Có nhiều cách để hoàn thành mục tiêu đề ra. Cách đơn giản nhất là yêu cầu trực tiếp,<br /> đó là đặt câu hỏi trực tiếp. Mặc dù cách này rất khó thành công, nhưng đây là phương<br /> pháp dễ nhất, đơn giản nhất. Người đó biết chính xác họ cần gì.<br /> Cách thứ hai, tạo ra một tình huống mà nạn nhân có liên quan đến. Với các nhân tố khác<br /> nhau cần được yêu cầu xem xét, làm thế nào để nạn nhân dễ dàng dính bẩy nhất, bởi vì<br /> attacker có thể tạo ra những lý do thuyết phục hơn những người bình thường. Attacker<br /> càng nỗ lực thì khả năng thành công càng cao, thông tin thu được càng nhiều. Không<br /> có nghĩa là các tình huống này không dựa trên thực tế. Càng giống sự thật thì khả năng<br /> thành công càng cao.<br /> Một trong những công cụ quan trọng được sử dụng trong Social engineering là một trí<br /> nhớ tốt để thu thập các sự kiện. Đó là điều mà các hacker và sysadmin nổi trội hơn, đặc<br /> biệt khi nói đến những vấn đề liên quan đến lĩnh vực của họ.<br /> <br /> 4. Phân loại kỹ thuật tấn công Social engineering<br /> Social engineering có thể được chia thành hai loại phổ biến:<br /> Human-based: Kỹ thuật Social engineering liên quan đến sự tương tác giữa con người<br /> với con người để thu được thông tin mong muốn. Ví dụ như chúng ta phải gọi điện thoại<br /> đến phòng Help Desk để truy tìm mật khẩu.<br /> Computer-based: Kỹ thuật này liên quan đến việc sử dụng các phần mềm để cố gắng<br /> thu thập thông tin cần thiết. Ví dụ bạn gửi email và yêu cầu người dùng nhập lại mật<br /> khẩu đăng nhập vào website. Kỹ thuật này còn được gọi là Phishing (lừa đảo).<br /> <br /> 4.1.<br /> <br /> Human-Based Social Engineering<br /> <br /> Kỹ thuật Human Based có thể chia thành các loại như sau:<br /> Impersonation: Mạo danh là nhân viên hoặc người dùng hợp lệ. Trong kỹ thuật này,<br /> kẽ tấn công sẽ giả dạng thành nhân viên công ty hoặc người dùng hợp lệ của hệ thống.<br /> Hacker mạo danh mình là người gác công, nhân viên, đối tác, để độp nhập công ty. Một<br /> khi đã vào được bên trong, chúng tiến hành thu thập các thông tin từ thùng rác, máy<br /> tính để bàn, hoặc các hệ thống máy tính, hoặc là hỏi thăm những người đồng nghiệp.<br /> Posing as Important User: Trong vai trò của một người sử dụng quan trọng như người<br /> quan lý cấp cao, trưởng phòng, hoặc những người cần trợ giúp ngay lập tức, hacker có<br /> thể dụ dỗ người dùng cung cấp cho chúng mật khẩu truy cập vào hệ thống.<br /> Third-person Authorization: Lấy danh nghĩa được sự cho phép của một người nào đó<br /> để truy cập vào hệ thống. Ví dụ một tên hacker nói anh được sự ủy quyền của giám đốc<br /> dùng tài khoản của giám đốc để truy cập vào hệ thống.<br /> Calling Technical Support: Gọi điện thoại đến phòng tư vấn kỹ thuật là một phương<br /> pháp cổ điển của kỹ thuật tấn công Social engineering. Help-desk và phòng hổ trợ kỹ<br /> thuật được lập ra để giúp cho người dùng, đó cũng là con mồi ngon cho hacker.<br /> Shoulder Surfing là kỹ thuật thu thập thông tin bằng cách xem file ghi nhật ký hệ<br /> thống. Thông thường khi đăng nhập vào hệ thống, quá trình đăng nhập được ghi nhận<br /> lại, thông tin ghi lại có thể giúp ích nhiều cho hacker.<br /> Dumpster Diving là kỹ thuật thu thập thông tin trong thùng rác. Nghe có vẽ “đê tiện”<br /> vì phải lôi thùng rác của người ta ra để tìm kiếm thông tin, nhưng vì đại cuộc phải chấp<br /> nhận hi sinh. Nói vui vậy, thu thập thông tin trong thùng rác của các công ty lớn, thông<br /> tin mà chúng ta cần thu có thể là password, username, filename hoặc những thông tin<br /> mật khác. Ví dụ: Tháng 6 năm 2000, Larry Ellison, chủ tịch Oracle, thừa nhận là Oracle<br /> đã dùng đến dumpster diving để cố gắng tìm ra thông tin về Microsoft trong trường hợp<br /> <br />