Tải bản đầy đủ (.docx) (24 trang)
  1. Trang chủ
    2. >>
  2. Công Nghệ Thông Tin
    3. >>
  3. An ninh - Bảo mật

Tìm hiểu về Challenge respone và Online Activation

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (1.03 MB, 24 trang )


MỤC LỤC
MỤC LỤC.....................................................................................................................2
MỞ ĐẦU.......................................................................................................................3
DANH MỤC HÌNH ẢNH............................................................................................4
NỘI DUNG...................................................................................................................5
I.

Challenge Respone...........................................................................................5
1.1.

Khái quát Challenge Respone..................................................................5

1.2.

Cơ chế xác thực của Challenge Respone.................................................5

1.3.

Các loại Challenge Respone.....................................................................6

1.3.1.

Static – Tĩnh :.......................................................................................6

1.3.2.

Dynamic – Động :...............................................................................7

1.4.


Ví dụ về hệ thống Challenge Respone.....................................................7

1.4.1.

CAPTCHA...........................................................................................7

1.4.2.

Password..............................................................................................9

1.4.3.

Sinh trắc học......................................................................................10

1.5.

Công dụng của Challenge Respone........................................................11

1.6.

Hạn chế của Challenge Respone............................................................12

1.7.

Cách mã CAPTCHA tiến hành xác thực...............................................12

II. Online Activation...........................................................................................15
2.1.

Khái qt về Online Activation..............................................................15


2.2.

Ví dụ về Online Activation.....................................................................16

2.3.

Cơng dụng Online Activation.................................................................18

2.4.

Cơ chế xác thực Online Activation........................................................18

2.5.

Một số phương pháp bypass cơ chế online activation..........................19

III.

Demo............................................................................................................20

KẾT LUẬN.................................................................................................................23
TÀI LIỆU THAM KHẢO.........................................................................................24
2


MỞ ĐẦU
Bảo vệ bản quyền là một khía cạnh quan trọng trong việc bảo vệ quyền sở hữu trí tuệ
và đảm bảo rằng người sáng tạo và chủ sở hữu có quyền độc quyền đối với tác phẩm
của mình. Trong thời đại số, khi thông tin và tài sản kỹ thuật số có thể dễ dàng được

sao chép và phân phối, việc thực hiện các biện pháp hiệu quả để bảo vệ bản quyền trở
nên quan trọng hơn bao giờ hết.
Trong báo cáo lần này, chúng em sẽ nêu ra những kiến thức về hai kỹ thuật thường
được sử dụng trong việc bảo vệ bản quyền là kỹ thuật challenge respone và kỹ thuật
online activation. Do thời gian có hạn, chưa có nhiều kiến thức, kinh nghiệm cũng
như cơng cụ hỗ trợ, bài báo cáo này cịn nhiều thiếu sót, chúng em rất mong nhận
được sự đóng góp của thầy giáo để hoàn thiện hơn báo cáo.

3


DANH MỤC HÌNH ẢNH
I . Challenge Respo
Hình 1. 1. Cơ chế xác thực của challenge respone........................................................5
Hình 1. 2. Quên mật khẩu ở Facebook...........................................................................7
Hình 1. 3. Mã OTP xác thực giao dịch của nhiều ngân hàng hiện nay..........................7
Hình 1. 4. Mã CAPTCHA là 1 dãy các chữ , các số và ký tự........................................8
Hình 1. 5. reCAPTCHA yêu cầu chọn đèn giao thơng..................................................9
Hình 1. 6. noCAPTCHA u cầu người dùng xác nhận khơng phải là robot................9
Hình 1. 7. Password xuất hiện phổ biến trong các ứng dụng.......................................10
Hình 1. 8. Sử dụng vân tay để xác nhận ngày càng phổ biến......................................11
Hình 1. 9. Chữ số, chữ cái mờ của mã CAPTCHA.....................................................13
Hình 1. 10. Mã CAPTCHA có thể là các câu hỏi tốn................................................14
Hình 1. 11. reCAPTCHA yêu cầu người dùng chọn đúng những yêu cầu trong ảnh..14
Hình 1. 12. noCAPTCHA đơn giản chỉ với một click chuột.......................................15
II. Online ActivationY
Hình 2. 1. Người dùng nhập thơng tin cá nhân để nhận lại key để có bản quyền........16
Hình 2. 2. Office yêu cầu người dùng nhập email để tiến hành Online Activation.....17
Hình 2. 3. Product Key của Office gồm 25 ký tự........................................................17
Hình 2. 4. KMSpico hỗ trợ crack bane quyền Windows.............................................20

III. Demo
Hình 3. 1. Khởi động chức năng tạo key.....................................................................20
Hình 3. 2. Khởi động chức năng xác thực....................................................................21
Hình 3. 3. Giao diện tạo tài khoản...............................................................................21
Hình 3. 4. Giao diện cung cấp key...............................................................................21
Hình 3. 5. Kích hoạt thành cơng..................................................................................22
Hình 3. 6. Nhập sai key................................................................................................22
Hình 3. 7. Nhập lại key đã sử dụng..............................................................................22

4


NỘI DUNG
I.
Challenge Respone
I.1. Khái quát Challenge Respone
- Cơ chế xác thực phản hồi thách thức còn được gọi là CRAM - Challenge
Response Authentication Mechanism . Một tập hợp các giao thức giúp xác
thực các hành động để bảo vệ tài sản và dịch vụ kỹ thuật số (Tài sản kỹ thuật
số (digital assets) bao gồm thứ được tạo ra hoặc lưu trữ dưới dạng điện tử,
chẳng hạn như tài liệu, tài nguyên mạng, tiền điện tử và các tài sản số khác.)
khỏi bị truy cập trái phép. Giao thức này thường có hai thành phần – câu hỏi
và câu trả lời – trong đó người xác minh đưa ra thách thức đối với người
dùng, người này phải cung cấp câu trả lời chính xác để xác thực. Các giao
thức phản hồi thách thức có thể đơn giản như mật khẩu hoặc yêu cầu được
tạo động () .
- Challenge response là một kỹ thuật bảo vệ bản quyền được sử dụng cơ chế
tương tác giữa phần mềm hoặc thiết bị và một hệ thống trung tâm để xác thực
tính hợp lệ của người sử dụng.
- Cơ chế xác thực phản hồi thách thức cung cấp cho doanh nghiệp một công cụ

dễ sử dụng mà họ có thể sử dụng để kiểm sốt quyền truy cập vào thơng tin
nhạy cảm và xác định các tác nhân xấu.
I.2. Cơ chế xác thực của Challenge Respone

Hình 1. 1. Cơ chế xác thực của challenge respone

5


- Bước 1: Người dùng sẽ gửi yêu cầu đăng nhập đến cho máy chủ xác thực đăng
nhập
- Bước 2 : Máy chủ xác thực đăng nhập sẽ gửi lại cho người dùng 1 thử thách –
challenge. Thử thách mà máy chủ xác thực đăng nhập ở đây gửi lại cho người
dùng có thể là 1 yêu cầu đăng nhập hoặc là 1 mã CAPTCHA,.. để xác thực có
đúng với người dùng đã đăng ký trước đó khơng
- Bước 3 : Sau khi nhận được thử thách từ máy chủ xác nhận thì người dùng sẽ
phản hồi – respone lại bằng cách thực hiện các thử thách mà máy chủ xác nhận
đưa ra như: điền mật khẩu của mình đã đăng ký trước đó, hoặc là thực hiện xác
nhận mã CAPTCHA mà máy chủ dưa ra ,....
- Bước 4 : Sau khi máy chủ xác nhận nhận được phản hồi của người dùng về thử
thách thì máy chủ tiến hành xác nhận phản hồi của người dùng có đúng hay
khơng. Hệ thống sẽ tiến hành cho người dùng truy cập vào hệ thống nếu phản
hồi đúng hoặc không cho phếp người dùng truy cập hệ thống nếu phản hồi sai
I.3. Các loại Challenge Respone
Có hai loại Challenge Respone chính đó là : Static (Tĩnh ) và Dynamic ( Động )
I.3.1. Static – Tĩnh :
- Các thử thách tĩnh là các giao thức trong đó các phản hồi khơng thay đổi theo
thời gian. Những thách thức này cho phép người dùng chọn một thách thức
cho mục đích xác thực. Trường hợp 'quên mật khẩu' là một ví dụ về thử thách
tĩnh. Tại đây, khi người dùng quên mật khẩu, họ có thể đặt lại mật khẩu bằng

cách trả lời câu hỏi bảo mật mà họ đã lưu khi thiết lập tài khoản. Câu trả lời
cho những câu hỏi này vẫn còn tĩnh, nghĩa là chúng không thay đổi trong một
khoảng thời gian.
- Ví dụ khi người dùng quên mất khẩu trên ứng dụng Facebook, người dùng sẽ
được hệ thống yêu cầu nhập lại email mà người dùng đã đăng ký trước đó với
hệ thống. Và mỗi lần người dùng quên mật khẩu sẽ luôn được hệ thống đưa ra
thử thách này

6


Hình 1. 2. Quên mật khẩu ở Facebook

I.3.2. Dynamic – Động :
- Người dùng phải phản hồi một thách thức được đưa ra một cách linh hoạt.
Những thách thức động này dựa trên tiền đề rằng nếu người dùng là người
thật, thì người dùng sẽ có câu trả lời hợp lệ cho thách thức. Do đó, các câu trả
lời có thể khác nhau cho mỗi thách thức. Chẳng hạn, mật khẩu dùng một lần
(OTP – one time password) hoặc mã thông báo được tạo ngẫu nhiên mà
người dùng phải nhập để hồn tất quy trình xác thực.

Hình 1. 3. Mã OTP xác thực giao dịch của nhiều ngân hàng hiện nay

I.4. Ví dụ về hệ thống Challenge Respone
I.4.1. CAPTCHA
- CAPTCHA là viết tắt của cụm từ "Completely Automated Public Turing test to
tell Computers and Humans Apart", có thể tạm dịch là: Phép thử tự động để
phân biết máy tính với con người.
7



- Một phương pháp tự động để phân biệt giữa con người và bot, CAPTCHA
được thiết kế để ngăn bot phát tán thư rác, đăng ký tài khoản mới giả mạo và
xâm nhập vào tài khoản người dùng thực.
- Ban đầu, mã captcha thường là các chữ, số bị làm mờ, biến dạng, sắp xếp lộn
xộn để trở nên khó đọc. Mã captcha được thiết kế đế có thể dễ dàng nhập đúng
bởi con người với tỷ lệ 80% trong khi đó robot chỉ là 0.1%.
- Mã captcha trước đây thường được máy tính tạo ra để xác định tính “con
người” khi truy cập vào trang web hoặc dịch vụ nào đó. Tuy nhiên hiện nay hệ
thống reCaptcha và noCaptcha đã trở nên phổ biến và dần thay thế kiểu cũ.
Captcha hiện đại cũng có nhiều hình thức hơn từ giọng nói, hình ảnh chữ khơng
chỉ gồm chữ và số như trước đây nữa.

Hình 1. 4. Mã CAPTCHA là 1 dãy các chữ , các số và ký tự

- reCAPTCHA về cơ bản là những hình chụp, bản scan ngồi đời thật. Ví dụ,
khi người ta cần số hóa một tài liệu cũ, nhiều chi tiết bị mờ và máy tính khơng
đọc được người ta sẽ sử dụng hình ảnh đó làm mã reCAPTCHA

8


Hình 1. 5. reCAPTCHA u cầu chọn đèn giao thơng

- noCAPTCHA, đây là một phiên bản cải tiến mới hơn của reCAPTCHA.
noCAPTCHA không bắt bạn phải nhập ký tự hay chọn hình ảnh gì cả, chỉ đơn
giản là bạn dùng chuột tick vào ơ “khơng phải robot” là xong

Hình 1. 6. noCAPTCHA yêu cầu người dùng xác nhận không phải là robot


I.4.2. Password
- Mật khẩu là một chuỗi ký tự được sử dụng để xác minh danh tính của người
dùng trong quá trình xác thực. Mật khẩu thường được sử dụng song song với
tên người dùng; chúng được thiết kế để chỉ người dùng biết và cho phép người
dùng đó có quyền truy cập vào thiết bị, ứng dụng hoặc trang web. Mật khẩu có
thể khác nhau về độ dài và có thể chứa các chữ cái, số và ký tự đặc biệt.
9


- Mật khẩu là một ứng dụng đơn giản của xác thực phản hồi thử thách, sử dụng
mã bằng lời nói, văn bản hoặc đánh máy để đáp ứng yêu cầu thử thách.

Hình 1. 7. Password xuất hiện phổ biến trong các ứng dụng

I.4.3. Sinh trắc học
- Sinh trắc học là công nghệ sử dụng các thuộc tỉnh về vật lý hoặc mẫu hành vi,
các đặc điểm về sinh học như khuôn mặt, dấu vân tay, mống mắt....Các đặc
điểm về hành vi liên quan đến từng kiều hành vi của một con người như: lực gõ
phím, dáng đi, giọng nói, kiều sử dụng chuột máy tính, chữ ký và nhận thức để
nhận diện từng con người
- Xác thực sinh trắc học thực hiện thông qua các dấu hiệu nhận diện như: dấu
vân tay, dái tai, võng mạc, hình dạng bàn tay, khn mặt hoặc chữ ký bằng văn
bản. Trong đó, dấu vân tay là loại xác thực sinh trắc học được sử dụng phổ biến
và lâu đời nhất.
- Mỗi cá nhân đều có đặc điểm nhận diện sinh học riêng. Dữ liệu sinh trắc học
của từng người được tích hợp với phần mềm, tạo ra mật khẩu cho các giao dịch
điện tử hoặc mở khóa thiết bị di động. Phương thức này chính là “cơng nghệ
sinh trắc đa nhân tố”.

10



Hình 1. 8. Sử dụng vân tay để xác nhận ngày càng phổ biến

I.5. Công dụng của Challenge Respone
- Để xác minh mật khẩu : Khi người dùng nhập mật khẩu để đăng nhập vào tài
khoản kỹ thuật số, mật khẩu sẽ khớp với mật khẩu được lưu trên máy chủ. Trong
trường hợp hai mật khẩu trùng khớp, người dùng được xác thực thành công và
được phép tiếp tục hành trình kỹ thuật số tiếp theo. Trong trường hợp khơng phù
hợp, các biện pháp đối phó thích hợp được sử dụng.
- Để phân biệt giữa Bot và con người : Các cuộc tấn cơng bot có thể làm gián
đoạn hoạt động kinh doanh và làm suy giảm trải nghiệm người dùng. Ví dụ: bot
scalper có thể mua hàng loạt các mặt hàng trong một sự kiện giảm giá trực tuyến,
từ chối người tiêu dùng chân chính có cơ hội hợp lý để đạt được thỏa thuận.
Những kẻ xấu triển khai bot và sử dụng thông tin chi tiết bị đánh cắp của người
tiêu dùng để hoàn thành các giao dịch trái phép trên quy mô lớn. Nhiều doanh
nghiệp sử dụng xác thực phản hồi thử thách để xác minh con người nhằm ngăn
chặn bot bằng cách tạo cơ hội cho người tiêu dùng chứng minh họ không phải là
bot. Một trong những ví dụ phổ biến về xác thực phản hồi thử thách xác minh con
người là CAPTCHA.
- Để đào tạo các chương trình học máy : đào tạo các chương trình học máy và
trí tuệ nhân tạo để giải quyết các chương trình phức tạp. Chẳng hạn, chúng được
tạo ra để giải các câu đố xác minh con người và kết quả khớp với kết quả của
người dùng. Các chương trình học hỏi từ phản hồi giúp cải thiện việc ra quyết định
của họ theo thời gian.
11


I.6. Hạn chế của Challenge Respone
- Mặc dù các phương pháp xác thực phản hồi thách thức thường được sử dụng

rất hữu ích trong việc xác thực người tiêu dùng, nhưng chúng có những hạn chế
riêng.
- Một trong những vấn đề cấp bách nhất là với mật khẩu. Thông thường, người
tiêu dùng sử dụng lại và tái chế mật khẩu của họ trên nhiều tài khoản kỹ thuật
số.
- Một cuộc tấn cơng chiếm đoạt tài khoản thành cơng có thể dẫn đến việc xâm
phạm nhiều tài khoản. Máy chủ không thể xác định liệu người cung cấp mật
khẩu là người dùng chính hãng hay kẻ mạo danh sử dụng thơng tin chi tiết của
người tiêu dùng bị đánh cắp. Nếu kẻ mạo danh cung cấp đúng mật khẩu, hệ
thống sẽ cho phép truy cập vào hệ thống.
1.7. Cách mã CAPTCHA tiến hành xác thực
- Mã CAPTCHA (Completely Automated Public Turing test to tell Computers
and Humans Apart) là một cơ chế xác thực thường được sử dụng trên các trang
web để phân biệt giữa người dùng và các chương trình tự động (bots) trong q
trình gửi thơng tin hoặc thực hiện các hành động.
- Cơ chế xác thực challenge-response của mã CAPTCHA thường được thực hiện
như sau:
Bước 1 : Trang web hiển thị một hình ảnh hoặc một đoạn văn bản chứa các ký
tự hoặc hình ảnh khơng dễ nhận biết. Đây có thể là các ký tự chữ cái, số, biểu
tượng hoặc các hình ảnh đơn giản như hình ảnh đường cong hoặc ô vuông.
Bước 2 : Người dùng được yêu cầu nhập lại các ký tự hoặc thông tin liên quan
được hiển thị trên hình ảnh hoặc đoạn văn bản.
Bước 3 : Thông tin nhập vào của người dùng được gửi đến máy chủ xử lý.
Bước 4 : Máy chủ so sánh thông tin nhập vào của người dùng với thơng tin ban
đầu và kiểm tra xem nó khớp chính xác hay khơng.
Bước 5 : Nếu thơng tin nhập vào khớp với thông tin ban đầu, máy chủ xác
nhận rằng người dùng là người thực và cho phép tiếp tục thực hiện hành động
mong muốn trên trang web.
Ngược lại, nếu thông tin nhập vào không khớp, máy chủ coi người dùng là một
chương trình tự động (bot) và từ chối hoặc hạn chế quyền truy cập của người

dùng.
- Một số cách thức phổ biến để mã CAPTCHA phân biệt giữa con người và bot:
+ Chữ cái hoặc số mờ: Mã CAPTCHA có thể sử dụng các hình ảnh chữ cái
hoặc số được biến đổi hoặc mờ đi để làm cho chúng khó đọc đối với các
12


chương trình tự động, trong khi con người có khả năng nhìn thấy và nhận biết
chúng.

Hình 1. 9. Chữ số, chữ cái mờ của mã CAPTCHA

+ Hình ảnh nhiễu: Mã CAPTCHA có thể chứa các hình ảnh nhiễu như các
đường cong, các điểm hoặc các hình ảnh nền phức tạp để làm cho việc phân
tách các yếu tố trong mã CAPTCHA trở nên khó khăn với các chương trình tự
động.
+ Giải các bài tốn đơn giản: Mã CAPTCHA có thể yêu cầu người dùng giải
các bài toán đơn giản như tính tốn số học đơn giản, tìm các yếu tố trong hình
ảnh hoặc điền vào các từ hoặc cụm từ thiếu sót.

13


Hình 1. 10. Mã CAPTCHA có thể là các câu hỏi tốn

+ Nhận dạng hình ảnh: Mã CAPTCHA có thể yêu cầu người dùng nhận dạng
và chọn các hình ảnh đúng từ một tập hợp các hình ảnh hiển thị.

Hình 1. 11. reCAPTCHA yêu cầu người dùng chọn đúng những yêu cầu trong ảnh


+ Xác nhận hành vi: Mã CAPTCHA có thể theo dõi các hành vi của người
dùng trên trang web, chẳng hạn như thời gian thực hiện, cách di chuyển chuột
hoặc các hành động khác, để xác định xem người dùng có hành động giống như
con người hay khơng. Ví dụ của xác nhận hành vi này chính là noCAPTCHA
+ Kết hợp nhiều yếu tố: Một số mã CAPTCHA kết hợp nhiều yếu tố như hình
ảnh và văn bản để tăng độ phức tạp và khó khăn trong việc giải quyết bởi các
chương trình tự động.
- noCAPTCHA là một phiên bản cải tiến của mã CAPTCHA được Google phát
triển. Nó được thiết kế để phân biệt giữa con người và bot một cách hiệu quả
bằng cách sử dụng một hình thức xác thực gọi là "nhấp chuột" (click-based).
+ Trong noCAPTCHA, thay vì u cầu người dùng nhập thơng tin từ các hình
ảnh mờ hoặc chữ số khó đọc, người dùng chỉ cần nhấp chuột vào một ô vuông
(checkbox) đơn giản để chứng tỏ rằng họ là con người. Tuy nhiên, cách thức
hoạt động bên trong ô vuông noCAPTCHA rất phức tạp.
+ Khi người dùng nhấp chuột vào ô vng, Google sẽ phân tích cách người
dùng tương tác với trang web và thu thập các thông tin như vị trí chuột, cách di
14


chuyển và hành vi tương tác khác. Sử dụng các thuật tốn phân tích và học
máy, Google sẽ đánh giá xem hành vi này có phù hợp với hành vi của người
thực hay không.
+ Đối với con người, nhấp chuột vào ô vuông là một hành động tự nhiên và
thường được thực hiện một cách nhất quán và có hệ thống. Trong khi đó, các
bot thường khơng thể mơ phỏng hoặc tái tạo được hành vi nhấp chuột của con
người một cách chính xác. Họ có xu hướng di chuyển nhanh, khơng đều và
khơng tự nhiên.
+ Bằng cách phân tích các thông tin và hành vi liên quan đến hành động nhấp
chuột, noCAPTCHA có thể xác định xem người dùng là con người hay bot và
cho phép hoặc từ chối quyền truy cập tương ứng.


Hình 1. 12. noCAPTCHA đơn giản chỉ với một click chuột

II.
Online Activation
II.1. Khái quát về Online Activation
- Online activation là một kỹ thuật bảo vệ bản quyền phần mềm mà yêu cầu
người dùng kết nối mạng để kích hoạt và sử dụng phần mềm. Khi người dùng
kích hoạt phần mềm, họ phải cung cấp thơng tin đăng ký, thơng tin này được
gửi đến máy chủ kích hoạt của nhà cung cấp phần mềm để xác minh và phê
duyệt.
- Sau khi máy chủ kích hoạt xác nhận thơng tin đăng ký của người dùng, phần
mềm được kích hoạt trên hệ thống của người dùng và họ có thể sử dụng phần
15


mềm. Khi người dùng thực hiện kích hoạt trên một hệ thống mới hoặc thay đổi
phần cứng của họ, họ có thể cần phải thực hiện lại q trình kích hoạt để đảm
bảo phần mềm được sử dụng hợp pháp.

Hình 2. 1. Người dùng nhập thông tin cá nhân để nhận lại key để có bản quyền

II.2. Ví dụ về Online Activation
- Ví dụ về online activation với Microsoft Office 365 là q trình kích hoạt bản
quyền phần mềm Microsoft Office 365 thơng qua mạng internet. Q trình này
thường được thực hiện sau khi người dùng đã mua và tải xuống phần mềm từ
trang web của Microsoft.
- Sau khi cài đặt phần mềm, người dùng sẽ được yêu cầu nhập mã sản phẩm hoặc
đăng nhập tài khoản Microsoft để kích hoạt bản quyền. Nếu người dùng chưa
có tài khoản Microsoft, họ sẽ được yêu cầu đăng ký một tài khoản mới trên

trang web của Microsoft.

16


Hình 2. 2. Office yêu cầu người dùng nhập email để tiến hành Online Activation

- Sau khi nhập mã sản phẩm hoặc đăng nhập tài khoản Microsoft, phần mềm sẽ
tự động kết nối tới máy chủ của Microsoft để xác minh và kích hoạt bản quyền.
Nếu q trình kích hoạt thành công, người dùng sẽ nhận được thông báo xác
nhận và có thể bắt đầu sử dụng phần mềm.

Hình 2. 3. Product Key của Office gồm 25 ký tự

- Quá trình online activation giúp đảm bảo người dùng sử dụng phần mềm hợp
pháp và đầy đủ các tính năng được cung cấp bởi Microsoft Office 365. Ngoài
17


ra, q trình này cịn giúp Microsoft kiểm sốt việc sử dụng phần mềm và đảm
bảo rằng người dùng chỉ sử dụng phần mềm trên số lượng thiết bị cho phép.
II.3. Công dụng Online Activation
- Bảo vệ bản quyền phần mềm: Online activation giúp ngăn chặn việc sao
chép, phân phối hoặc sử dụng không hợp pháp phần mềm. Khi một người dùng
muốn sử dụng phần mềm, họ phải kích hoạt bản quyền thơng qua q trình
online activation. Điều này đảm bảo rằng chỉ những người dùng có bản quyền
hợp lệ mới có thể truy cập và sử dụng phần mềm.
- Quản lý bản quyền: Quá trình online activation cung cấp thông tin về số lượng
và loại bản quyền được sử dụng. Điều này cho phép nhà phát triển phần mềm
và nhà cung cấp dịch vụ theo dõi việc sử dụng bản quyền, kiểm soát và quản lý

quyền truy cập phần mềm.
- Cập nhật và nâng cấp phần mềm: Online activation cho phép nhà phát triển
phần mềm cung cấp các bản cập nhật và phiên bản nâng cấp cho người dùng.
Khi phần mềm đã được kích hoạt trực tuyến, người dùng có thể nhận thơng báo
và tải về các bản cập nhật mới nhất để tăng cường tính năng và khắc phục các
lỗi hoặc lỗ hổng bảo mật.
- Hỗ trợ kỹ thuật: Q trình online activation cung cấp các thơng tin về phiên
bản phần mềm, hệ điều hành, và thông tin máy tính của người dùng. Điều này
giúp nhà cung cấp hỗ trợ kỹ thuật có thể cung cấp dịch vụ hỗ trợ chính xác và
hiệu quả khi người dùng gặp vấn đề hoặc cần giải đáp thắc mắc.
II.4. Cơ chế xác thực Online Activation

- Cơ chế xác thực của online activation (kích hoạt trực tuyến) thường được thực
hiện như sau:
Bước 1 : Người dùng cài đặt phần mềm trên máy tính hoặc thiết bị của mình.
18


Bước 2 : Khi khởi chạy phần mềm lần đầu tiên, người dùng được yêu cầu nhập
các thông tin cần thiết như mã sản phẩm hoặc số serial.
Bước 3 : Sau đó, phần mềm kết nối với máy chủ activation của nhà phát triển
hoặc nhà cung cấp dịch vụ.
Bước 4 : Máy chủ activation kiểm tra thông tin gửi từ phần mềm và xác minh
tính hợp pháp của bản quyền.
Bước 5 : Nếu thông tin xác thực hợp lệ, máy chủ activation sẽ tạo và gửi lại
cho phần mềm một mã kích hoạt hoặc một chứng chỉ kỹ thuật số.
Bước 6 :Phần mềm sẽ sử dụng mã kích hoạt hoặc chứng chỉ để hồn thành q
trình kích hoạt và xác nhận bản quyền hợp pháp.
Bước 7 : Người dùng có thể sử dụng phần mềm với các tính năng và quyền
truy cập tương ứng.

- Q trình online activation địi hỏi kết nối internet để truyền thông tin giữa
phần mềm và máy chủ activation. Nó cũng có thể yêu cầu người dùng tạo tài
khoản hoặc cung cấp thông tin cá nhân để xác thực. Thơng tin này có thể được
mã hóa để đảm bảo an toàn và bảo mật trong quá trình truyền tải.
- Cơ chế xác thực của online activation giúp đảm bảo rằng phần mềm chỉ được
sử dụng bởi những người dùng có bản quyền hợp pháp và ngăn chặn việc sao
chép, phân phối hoặc sử dụng không hợp pháp. Đồng thời, nó cũng cho phép
nhà phát triển phần mềm và nhà cung cấp dịch vụ theo dõi và quản lý quyền
truy cập phần mềm một cách hiệu quả.
II.5. Một số phương pháp bypass cơ chế online activation
- Xóa bỏ cơ chế xác thực của phần mềm
+ Patch và Exe fixed : Nguyên tắc hoạt động của các phần mềm này là tác
động vào chương trình nguồn (sửa chữa cấu trúc, mã nguồn) biến nó thành đã
được đăng kí mà khơng phải nhập số Serial. Chính vì có thể can thiệp vào cấu
trúc chương trình nên một khi Patch thành cơng, chức năng địi bản quyền của
phần mềm sẽ bị vơ hiệu hóa hồn tồn. Đối với loại này thường phải copy
patch vào thư mục cài đặt phần mềm, sau đó chạy phần mềm Patch đến lúc báo
crack thành cơng. Exe fixed có thể nói là phương thức bẻ khóa phần mềm được
sử dụng rộng rãi nhất hiện nay. Exe fixed sửa chữa, bỏ chức năng bảo vệ bản
quyền so với file gốc. Sử dụng phương pháp crack này phần mềm tuy không
nhập serial nhưng nhà cung cấp không thể phát hiện được.
- Tạo máy chủ giả mạo
+ Kẻ tấn cơng tạo một máy chủ giả mạo để đóng vai trị cấp quyền cho phần
mềm. u cầu kích hoạt thay vì được gửi đến máy chủ của nhà sản xuất thì
được gửi đến máy chủ giả mạo, máy chủ giả mạo này sẽ cấp quyền cho ứng
dụng.
+ Ví dụ: sử dụng phần mềm KMSpico để crack bản quyền Win10

19



+ KMS Emulator: KMSpico tạo một môi trường ảo (emulator) trong hệ thống,
giả lập các dịch vụ Key Management Service (KMS) mà Microsoft sử dụng để
kích hoạt sản phẩm của họ.
+ Giả mạo máy chủ KMS: KMSpico tạo ra một máy chủ KMS giả mạo trên
máy tính của bạn. Khi bạn chạy cơng cụ, nó sẽ tự động kích hoạt sản phẩm của
Microsoft bằng cách gửi yêu cầu kích hoạt đến máy chủ KMS giả mạo này.
KMSpico vượt qua cơ chế xác thực của Microsoft và giúp bạn kích hoạt phiên
bản không cấp phép mà không cần sử dụng một khóa sản phẩm hợp pháp từ
Microsoft.

Hình 2. 4. KMSpico hỗ trợ crack bane quyền Windows

III.

Demo
Kịch bản: tạo 1 server cung cấp cơ chế xác thực Challenge-Respone cho 1
client
Bước 1: Khởi động chức năng tạo khóa của server:

Hình 3. 1. Khởi động chức năng tạo key

Bước 2: Khởi động chức năng xác thực của server
20



Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×