Tải bản đầy đủ (.docx) (20 trang)

tiểu luận môn thương mại điện tử tình hình an ninh mạng

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (338.18 KB, 20 trang )

1
BỘ TÀI CHÍNH
TRƯỜNG ĐẠI HỌC TÀI CHÍNH - MARKETING
 
THUYẾT TRÌNH THƯƠNG MẠI ĐIỆN TỬ
Chủ đề: TÌNH HÌNH AN NINH MẠNG
Nhóm 17 – Lớp 11DMA1
2
 TÌNH HÌNH AN NINH MẠNG
1. Tình hình an ninh mạng thế giới:
Các cường quốc về công nghệ thông tin trên thế giới như: Mỹ, Nhật, Trung Quốc, Ấn Độ,
Triều Tiên, Hàn quốc và các nước khu vực Euro. Các nước này liên tiếp có những hoạt
động tấn công mạng lẫn nhau nhằm thu lại những thông tin có ít cho quốc gia của mình
(chủ yếu là quân sự).
Theo báo cáo mới nhất của tập đoàn chống hacker Akamai Technologies của Hoa Kỳ:
trong giai đoạn từ tháng Tư đến tháng Sáu năm 2013, có đến 38% các cuộc tấn công
hacker có địa chỉ IP tại Indonesia, trong khi đó con số này từ Trung Quốc là 33%.
Tuy nhiên, báo cáo nói rõ, con số địa chỉ IP của các hacker không nói lên được rằng các
hacker có nguồn gốc từ Indonesia và Trung Quốc. Lý do khá đơn giản, đó là bởi gì các
hacker có thể sử dụng địa chỉ IP ở những nơi khác để ném đá giấu tay.
Đối với trường hợp của Indonesia, tờ báo cho rằng, các hacker chọn nước này làm nơi
dụng võ, đó là bởi vì có đến 86% phần mềm được sử dụng ở Indonesia là hàng giả, không
đủ chất lượng và rất có nhiều nguy cơ bị tin tặc tấn công. Con số này ở Trung Quốc là
77%, ở Ấn Độ là 63%.
Sự kiện nổi bật nhất gần đây chính là những tiết lộ của cựu tình báo mỹ Edward Snowden
về việc Mỹ bí mật theo dõi trên diện rộng các cá nhân và tập thể của đồng minh thân cận
như Pháp, Đức và nhiều nước khác trong khu vực Euro đã gây ra “cơn bão” về
ngoại giao trên toàn thế giới.
2. Tình hình Đông Nam Á
Nhật và ASEAN hợp tác về an ninh mạng
Nhật và 10 quốc gia ASEAN đã nhất trí tăng cường hợp tác về nghiên cứu và dự báo các


cuộc tấn công mạng trong hội nghị về an ninh mạng ở Tokyo vào 13.9.2013.
3
Theo hãng Jiji Press, các bên cũng nhất trí rằng Nhật sẽ cung cấp cho các nước ASEAN những
cảnh báo về lây nhiễm virus máy tính.
Thỏa thuận được đưa vào một tuyên bố chung sau khi một hội nghị cấp bộ trưởng bàn về hợp tác
chống tội phạm mạng giữa Nhật và ASEAN bế mạc.
Nhật đang tiến hành nghiên cứu về dự báo tấn công mạng bằng cách thu thập và phân tích dữ liệu
về các cuộc tấn công trong quá khứ, gồm cả các dữ liệu được Indonesia, Thái Lan và Malaysia
cung cấp.
Theo thỏa thuận mới nhất, bảy nước ASEAN còn lại cũng sẽ cung cấp các dữ liệu tương tự để hỗ
trợ việc nghiên cứu.
3. Tình hình an ninh mạng Việt Nam
Theo thống kê của trang web Zone-H – chuyên thống kê các website bị tấn công trên toàn
cầu, chỉ trong 20 ngày đầu tháng 6, có khoảng 446 website ".vn" đã bị hacker tấn công,
trong đó có 16 trang chứa tên miền “.gov.vn”. Chỉ tính riêng tuần đầu tiên của tháng 6
cũng đã có 407 website tên miền .vn bị hacker tấn công.
Điển hình là trong đêm 6/6, hơn 200 website tiếng Việt có tên miền .vn và .com đã bị một
nhóm hacker có tên CmTr đã tấn công và đã cài lại một file chứa mã độc vào website.
Còn theo ông Nguyễn Quang Huy, Trưởng Phòng Kỹ thuật Hệ thống Trung tâm Ứng cứu
khẩn cấp sự cố máy tính Việt Nam - VNCert, từ cuối tháng 5 đầu tháng 6, chúng ta tiếp
nhận rất nhiều cuộc tấn công và các trang web của doanh nghiệp (DN) và nhiều cơ quan
tổ chức Chính phủ Có thông tin cho biết số lượng trang web bị tấn công lên tới 1.500.
Hay như vụ Diễn đàn hacker Việt Nam (www.hvaonline.net), ngày 12 và 13 cũng bị tấn
công từ chối dịch vụ (D-DOS) với cường độ rất lớn khiến mọi truy cập đến địa chỉ này
đều không thực hiện được.
Vấn đề đáng báo động ở đây là Hacker còn tấn công cả những địa chỉ có tên miền gov.vn
của các cơ quan thuộc Chính phủ như website www.ntc.mofa.gov.vn của Bộ Ngoại giao
Việt Nam, Caugiay.hanoi.gov.vn - cổng thông tin điện tử quận Cầu Giấy, Hà Nội, và gần
đây nhất, ngày 20/6, nhóm hacker Hmei7 đã “hỏi thăm” website của Sở Thông tin –
Truyền thông Hà Nội ( )

4
Danh sách các website của Việt Nam bị hacker tấn công
Do mức độ các website bị tấn công dồn dập và với số lượng lớn như trên, nhiều chuyên
gia công nghệ cho rằng, nguyên nhân là do hacker đã chiếm được một máy chủ của một
nhà cung cấp dịch vụ hosting để từ đó tấn công giao diện hàng loạt website trên đó. Theo
đánh giá của ông Triệu Trần Đức, Tổng giám đốc CMC Info Sec: Hiện nay, các website
của Việt Nam đều mắc những lỗi giống nhau, chỉ bằngcách đơn giản thì 300 trang web đã
có thể bị hack, trong đó, phổ biến nhất là search trên Google. Thực tế, máy chủ của Việt
Nam cứ dựng lên là trở thành “sân tập” cho hacker thế giới.
Theo đánh giá của đại diện VnCert, những cuộc tấn công này đều là những hành động
đơn lẻ, mang tính tự phát nhiều với mức độ nguy hiểm chưa cao, không thể hiện trình độ
5
của hacker. Có thể hiểu là mức độ sơ khai. Qua kiểm tra, có nhiều dấu hiệu hacker tấn
công từ nước ngoài qua các địa chỉ IP xuất phát từ nhiều nước như Trung Quốc, Hồng
Kông, Hàn Quốc, Mỹ Có cả IP từ Việt Nam. Tuy nhiên, hiện cũng chưa có thống kê cụ
thể số vụ tấn công từ các quốc gia nhất định.
Ý thức người dùng Việt Nam còn kém
Viettel và Tổng cục Thủy sản là 2 ví dụ gần đây khi mà tin tặc có thể xem được mã
nguồn, khai thác đường dẫn vào trang quản trị.
Với website của Tổng cục Thủy sản, có thể vào trang login để xuất bản nội dung. Thiết
kế hệ thống và bảo mật có vấn đề. Chỉ cần đánh email, mật khẩu không đúng, khai thác
lỗi CSDL Hay như website của Viettel: có rất nhiều thông tin hiển thị như
uploads/admin lẽ ra không được hiển thị nếu đúng theo quy trình bảo mật.
Tuy nhiên, ngay khi thấy bị hack, các đơn vị sử dụng lại quan niệm đơn giản: bị hack thì
tắt đi, lúc nào hết thì lại bật lên (ví dụ doanthanhnien.hoabinh.gov.vn) hay như Sở Thông
tin – Truyền thông Hà Nội là sẽ bỏ trang thông tin điện tử này đi.
ó những trang web bị hack nhiều năm nay vẫn không quan tâm, ví dụ Ủy ban quốc gia về
hợp tác kinh tế quốc tế (nciec.gov.vn). Điều này chỉ chứng tỏ 1 điều: Ý thức bảo mật quá
kém nên mới bị hack.
Ngay như các đơn vị cung cấp dịch vụ online như ngân hàng, khi mà Microsolf đưa ra

bản vá lỗi cho các ngân hàng nhưng sau 15 ngày mới có 30% các ngân hàng bắt đầu vá
lỗi. Và chi check ngẫu nhiên thì cả 3 ngân hàng ko hề vá lỗi.
 TROJAN HORSE (NGỰA THÀNH TROY)
Đây là 1 phần mềm ác tính được đặt tên theo một điển tích nổi tiếng của Hy Lạp: Ngựa
thành Troy. Trong điển tích đó, người Hy Lạp đã giả vờ để quên một con ngựa gỗ khổng
lồ khi họ rút khỏi chiến trường. Trong bụng con ngựa gỗ này có nhiều chiến binh Hy Lạp
ẩn náu. Người Troy tưởng rằng mình có được một chiến lợi phẩm và kéo con ngựa gỗ
này vào thành. Đến đêm thì các chiến binh Hy Lạp chui ra khỏi bụng con ngựa này để
mở cửa thành giúp quân Hy Lạp vào chiếm thành.
 Từ cái tên có thể hình dung được phần nào cách thức hoạt động của phần mềm
này.
Đặc điểm:
6
• Đầu tiên, theo điển tích thì ngựa thành Troy là 1 con ngựa gỗ ban đầu được người
Troy coi như là 1 chiến lợi phẩm. Phần mềm này cũng vậy, nó tồn tại như 1 dạng
chương trình hữu ích, có thể gây thích thú, thu hút, có chức năng mong muốn
hay ít nhất là trông như có các tính năng đó. vd: các game, hình ảnh hấp dẫn, thư
điện tử
• Tuy nhiên, Trojan Horse trên thực tế chứa đựng những phần mềm gián điệp.
Khi kích hoạt các tập tin mà Trojan Horse đính kèm, lập tức phần mềm này sẽ âm
thầm xâm nhập vào máy tính gây ra những tác hại bất ngờ, có thể khiến máy tính
bị điều khiển từ xa qua hệ thống mạng bởi hacker.
• Khác với virus máy tính, Trojan Horse về mặt kỹ thuật chỉ là một phần mềm thông
thường và không có ý nghĩa tự lan truyền. Các chương trình này chỉ lừa người
dùng để tiến hành các thao tác khác mà thân chủ sẽ không tự nguyện cho phép tiến
hành. Ngày nay, các Trojan horse đã được thêm vào đó các chức năng tự phân tán.
Điều này đẩy khái niệm Trojan horse đến gần với khái niệm virus và chúng trở
thành khó phân biệt.
Một số kiểu gây hại của Ngựa Trojan:
Sau khi xâm nhập vào máy chủ, phần mềm này có thể cung cấp mọi thông tin bạn thực

hiện với máy tính cho hacker để từ hacker có thể thực hiện các thủ thuật gây hại cho bạn
như:
• Xoá hay viết lại các dữ liệu trên máy tính.
• Làm hỏng chức năng của các tệp.
• Lây nhiễm các phần mềm ác tính khác như là virus.
• Cài đặt mạng để máy có thể bị điều khiển bởi máy khác.
• Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác .
• Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng.
• Đọc các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu phạm tội.
• Cài đặt lén các phần mềm chưa được cho phép.
Cách thức hoạt động của Trojan Horse:
Ðể lấy được mật khẩu của các chủ thuê bao, hacker thường sử dụng một đoạn mã chương
trình Trojan gửi đến các thuê bao cần tấn công thông qua e-mail dưới dạng dữ liệu đính
kèm (File Attachment). Chỉ cần khi các chủ thuê bao vô tình mở file này, lập tức Trojan
được kích động và tự động thực hiện những mã lệnh mà hacker đã lập trình sẵn, có thể
sao chép lại tất cả các thông số về mật khẩu của chủ thuê bao. Ngay sau khi chủ thuê bao
kết nối Internet, Trojan sẽ bí mật sinh ra một e- mail và gửi mật khẩu đánh cắp về cho
7
hacker. Và sau đó mỗi lần thay đổi mật khẩu Trojan sẽ tiếp tục lặng lẽ gửi những gì ăn
cắp được tới một địa chỉ mà hacker đã định sẵn.
Khả năng thu thập được các thông tin của máy chủ được thực hiện nhờ tính năng Screen
shot (chụp màn hình) của Trojan Horse. Phần mềm này sẽ lưu lại tất cả những hành động
mà bạn thực hiện trên máy chủ (ví dụ như đánh password, mở thư, xem các thông tin
mật…) để từ đó gửi cho hacker.
Hacker một khi vào máy tính bạn rồi: mọi cái gì bí mật ở bạn, họ đều biết cả qua việc họ
đọc mọi file ở Windows Explorer của bạn. Email nào gửi đến bạn hacker đều đọc được cả
. Mọi hình ảnh tối mật của gia đình bạn, hacker đều biết cả. Mọi thông tin cá nhân bạn
đều bị chúng nắm cả: từ hình ảnh cá nhân của bạn, lý lịch CV, tài khoản nhà băng, bạn
đang làm việc ở đâu, mọi thư từ, số phone bạn và mọi người thân.
Còn tối nguy hơn nữa nếu bạn thích dùng webcam hay microphone nữa, lúc ấy muốn ăn

trộm nhà bạn không gì quá khó với hackers cả.
Ví dụ cụ thể về một Trojan Horse :
• Netbus:
Một loại Trojan khá phổ biến vào năm 1998. Chính Trojan này lại được các sinh
viên đại học nước ngoài rất ưa dùng để cài đặt nó trên máy tính lẫn nhau với mục
đích chỉ là “chơi khăm” đối thủ. Nhưng hậu quả không chỉ dừng ở đó vì Netbus đã
làm sụp đổ nhiều máy tính, ăn cắp dữ liệu tài chính, điều khiển bàn phím để đăng
nhập hệ thống và gây nên những hậu quả không lường khiến những người tham
gia cuộc chơi cũng phải ân hận.
Ví dụ cụ thể: Netbus Trojan :. Hacker sẽ gửi một file có dạng đuôi .exe, qua một
file có tên netbusserver.exe được nén zip kèm vào mail bạn. Cũng có thể qua các
trò chơi chia sẻ games sharing: hackers đã nối file game và netbusserver.exe thành
ra 1 file game duy nhất( vd tên là chess.exe ) khó thể nào nhận ra trừ phi bạn biết
kích thước file của game ấy thật chính xác.
Điều gì khác biệt khi bạn ấn trên file chess.exe : không có gì bất thường cả thế
nhưng bạn đã bị cài Trojan horse tên netbus.exe âm thầm vào máy tính bạn.
Netbus có thể chụp mọi screen shot trong máy, mở ổ CDROM bạn, tắt máy tính
của bạn, gửi tin nhắn đến bạn, nghe biết cách nhấn bàn phím để tìm ra thông tin
mật, xoá, copy file, làm bàn phím bạn tê liệt , download file ngay từ máy tính bạn,
quán lý các mật mả, cấu hình máy tính, còn biết cả IP của bạn.
• Ví dụ trên máy tính
Cách phòng chống hiệu quả Trojan Horse:
8
• Cách hữu hiệu nhất là đừng bao giờ mở các đính kèm được gửi đến một cách bất
ngờ. Khi các đính kèm không được mở ra thì Trojan horse cũng không thể hoạt
động. Cẩn thận với ngay cả các thư điện tử gửi từ các địa chỉ quen biết. Trong
trường hợp biết chắc là có đính kèm từ nơi gửi quen biết thì vẩn cần phải thử lại
bằng các chương trình chống virus trước khi mở nó.
• Sử dụng mail, chat phải cẩn thận không bao giờ mở file zip nào không rõ nguồn
gốc nhất là trong ấy ấy có 1 trong 3 dạng nguy hiểm là .jbs, .com, . exe và nhất là

các file hình ảnh tự bung có dạng exe.
• Dùng đến Firewall để bảo vệ mọi data quí giá của bạn thất thoát ra ngoài khi
không mong muốn cộng thêm một chương trình diệt virus như Norton antivirus
2006 hay Mac Afee.
 ROOKITS
Khái niệm:
Rootkits là một bộ công cụ phần mềm do kẻ xâm nhập đưa vào máy tính nhằm
mục đích cho phép mình quay lại xâm nhập máy tính đó và dùng nó cho các mục đích
xấu mà không bị phát hiện, bộ công cụ này cho phép truy nhập vào hoạt động của máy
tính ở mức căn bản nhất.
Rootkit là từ xuất phát từ hệ điều hành UNIX. Rootkit là thuật ngữ được dùng để
chỉ những chương trình có khả năng cướp (trực tiếp hay gián tiếp) quyền kiểm soát hệ
thống. Nói cách khác rootkit là những mã lệnh hay chương trình có khả năng kiểm sóat
một máy tính mà người dùng không bao giờ hoặc khó có thể phát hiện ra được.
Rootkit không phải là một chương trình phá hoại và nó cũng không phải là xấu .
Rootkit chỉ là một cây súng và xấu hay tốt là do người cầm nó quyết định . Thực tế cho
thấy rất nhiều phần mềm bảo mật trên thế giới đã , đang hay sắp sử dụng kỹ thuật này. Ví
dụ điển hình là chương trình chống ăn cắp bản quyền của Sony và Norton SystemWorks .
Phương thức hoạt động:
9
Rootkits có thể được cài đặt trong nhiều cách: khai thác một lỗ hổng trong hệ điều
hành hoặc bằng cách tiếp cận quản trị viên máy tính
Những rootkit hiện đại sẽ thường sử dụng phương pháp ẩn giấu những malware
khác (gọi là payload) như virus hay trojan, từ đó chúng có thể trộm mật khẩu, thông tin
thẻ tín dụng, dữ liệu cá nhân, dữ liệu bí mật trong các công ty,…
Khi người dùng sử dụng máy vi tính để truy cập internet, vô tình tải một tập tin có
chứa Rootkit về máy. Lúc này, tiến trình hack sẽ diễn ra, nó sẽ tạo ra một cửa hậu, ngay
lập tức xóa hết dấu vết, quá trình mà nó xâm nhập vào máy. Chính cửa hậu này cho phép
kẻ xấu tấn công vào máy tính mà người dùng không hề biết. Hoặc chính kẻ xấu cũng có
thể trực tiếp đưa Rootkit vào trong máy, nếu như họ có cơ hội tiếp cận máy tính của bạn.

Phân loại:
Phân loại dựa trên mức độ xâm nhập hệ thống , thì có hai loại rootkit xuất hiện
phổ biến trong thế giới công nghệ ngày nay, đó là user-mode rootkit và kernel-mode root
kit.
1. User-mode rootkit:
Với user-mode rootkit, nó hoạt động ở mức cao hơn trong các tầng bảo mật của hệ
thống máy tính, cùng tầng với những ứng dụng bình thường khác mà chúng ta hay sử
dụng. Chúng có nhiều cách thức tấn công khác nhau và sẽ thay đổi những giao diện lập
trình ứng dụng (API).
Cụ thể hơn, nó sẽ chỉnh sửa một hàm API sao cho khi một ứng dụng nào đó gọi
hàm này, thay vì thực hiện tính năng vốn có, nó sẽ được chuyển hướng để thực thi mã
độc trong rootkit. Một số user-mode rootkit sẽ đẩy một tập tin liên kết động (*.DLL trên
Windows, *.dylib trên OS X) vào bên trong một ứng dụng/tiến trình nào đó, trong khi vài
rootkit khác thì chỉ đơn giản ghi đè lên phần bộ nhớ của ứng dụng khác rồi hoạt động.
10
User-mode rootkit có thể gây các ảnh hưởng như khai thác các lỗ hổng bảo mật
hiện có, ngăn chặn việc truyền thông tin,
2. Kernel-mode rootkit
Những con kernel-mode rootkit nguy hiểm hơn, khó bị phát hiện và cũng khó bị
diệt vì nó ẩn sau bên trong hệ điều hành. Khi bạn vừa bật máy lên, những con rootkit này
sẽ tải bản thân nó lên trước các driver máy tính và tất nhiên là trước luôn cả những biện
pháp bảo mật thông thường vốn được tích hợp ở tầng user-mode. Để thực hiện được mục
đích của mình, kernel-mode rootkit sẽ tác động vào kernel, bộ nhớ và các thành phần hệ
thống khác.
Về chức năng, nó có thể làm được những việc sau:
• Tự ngụy trang bản thân và những phần mềm mã độc khác
• Nhiễm lại vào hệ thống nếu chúng bị gỡ bỏ
• Vô hiệu hóa các trình antivirus
• Từ chối quyền đọc/ghi vào các tập tin có rootkit để chúng không bị xóa
Phân loại theo thời gian tồn tại :

1.Rootkit bám dai (Persistent Rootkits):
Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt động mỗi
khi hệ thống khởi động. Bởi vì các malware chứa mã phá hoại sẽ được thực thi tự động
mỗi khi hệ thống khởi động hoặc khi người sử dụng đăng nhập vào hệ thống. Chúng cần
phải lưu trữ các đoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các
phương pháp cho phép âm thầm chạy các đoạn mã mà người sử dụng không hay biết
2.Rootkit trên bộ nhớ (Memory-Based Rootkits ):
Loại rootkit này chính là các malware không có những đoạn mã "dai dẳng" - chỉ
lưu trong bộ nhớ, chính vì thế loại rootkit này không tồn tại sau khi khởi động lại máy.
11
Ngoài ra, còn có 2 loại Rootkit mà ít người biết đến đó là Koutodoor và TDSS,
hay còn được gọi là rootkit thầm lặng.
• TDSS, đại diện cho hơn 37% các rootkit hiện có và nó là bằng chứng cho thấy gia
đình rootkit có thể biến đổi như thế nào để chống lại các biện pháp antivirus. Gần
đây có một con rootkit dòng TDSS đã thay đổi giá trị trong Master Boot Record
khiến hệ thống tải nó lên trước khi tải driver và giải pháp chống phần mềm mã
độc, cho phép rootkit này vô hiệu hóa các phần mềm antivirus. TDSS rootkit còn
có khả năng sống "kí sinh" lên các tập tin hiện có, tự tạo một file system riêng
được mã hóa để chứa các malware phụ. TDSS có thể đánh cắp mật khẩu hay dữ
liệu mà chúng ta không hề hay biết.
• Theo số liệu của McAfee, Koutodoor hiện đang chiếm 21% trong tổng số rootkit
hiện có. Koutodoor hoạt động theo nhiều giai đoạn, bao gồm việc cài đặt Trojan
như là một rootkit, cài một malware khác tải từ các trang web. Sau đó, các
malware mới cài này sẽ gửi thông tin về kết nối của người dùng đến các địa chỉ
web cụ thể, từ đó tạo ra các cú click chuột giả trên banner quảng cáo hay bộ đếm
traffic. Chính vì thế, nó mang lại doanh thu cho các hacker Con rootkit này có
nhiều thuộc tính rất thông minh. Nó tự biến đổi mình thành nhiều "dạng" khác
nhau để tránh bị phát hiện, đồng thời thay đổi giá trị thực thi cũng như quyền
đọc/ghi để không bị các phần mềm antivirus xóa mất. Nó còn đổi tên tập tin chứa
rootkit trong mỗi lần máy khởi động. Ngoài ra, Koutodoor còn vô hiệu hóa những

ứng dụng bảo mật khác trong hệ thống.
Tác hại :
Rootkit càng tồn tại lâu trong một chiếc máy thì nó càng gây nhiều ảnh hưởng
nghiêm trọng tới tính bảo mật của thiết bị cũng như đến độ an toàn thông tin của người
dùng
12
Rootkit thường được các hacker sử dụng .Các mục đích của kẻ xâm nhập khi sử
dụng rootkit bao gồm :
• Thu thập dữ liệu về máy tính (kể các máy tính khác trong cùng mạng) và những
người sử dụng chúng (chẳng hạn mật khẩu và thông tin tài chính)
• Gây lỗi hoặc sai trong hoạt động của máy tính
• Tạo hoặc chuyển tiếp spam
Rootkit thường được phát tán bằng mã nguồn mở, điều này có nghĩa là hacker có thể
thay đổi mã rootkit một cách nhanh chóng để các chương trình diệt virus không thể phát
hiện được.
Sau khi chương trình đã được cài đặt và miễn là nó có đặc quyền quản trị đầy đủ,
nó sẽ che giấu chính nó và thay đổi hệ điều hành được cài đặt cũng như phần mềm để
ngăn chặn sự phát hiện trong tương lai. Rootkit rất “thâm độc” khi nó sẽ tắt chương trình
Antivirus của bạn hoặc cài đặt vào hạt nhân của hệ điều hành, do đó đa phần khi bị
Rootkit tấn công, sự lựa chọn duy nhất của bạn đôi khi là phải cài đặt lại toàn bộ hệ điều
hành đang sử dụng.
Một điều chắc chắn là rootkit vẫn là kĩ thuật còn đang phát triển. Bản báo cáo mới
nhất của McAfee cho biết tính phức tạp của các rootkit đang phát triển ở một tốc độ dị
thường. Chỉ trong 5 năm số lượng bộ phận cấu thành rootkit đã tăng từ 27 lên tới 2.400.
Và trong thời gian sắp tới sẽ còn tăng lên đáng kể. Khó ai có thể dự đoán được sự nguy
hiểm tiềm tàng của rootkit trong tương lai.
Ví dụ minh họa :
Rootkit.boot.Harbinger.a là một bệnh nguy hiểm .Nó vừa được thiết kế bởi bọn tội
phạm mạng để lây nhiễm sang các cửa sổ người sử dụng vô tội và trích tiền chúng của
họ.

Sau khi cài đặt, Rootkit.boot.Harbinger.a gây rất nhiều khó khăn với môi trường
duyệt web của bạn. Rootkit.boot.Harbinger.a này sẽ thay đổi Windows registry mục
inorder để chạy tự động mỗi khi bạn khởi động Windows. Hơn nữa,
13
Rootkit.boot.Harbinger.a đánh cắp tất cả các dữ liệu bí mật của bạn như số tài khoản, mật
khẩu, tên người dùng
Phòng chống và giải quyết :
Hiện các công ty bảo mật đang sử dụng nhiều cách để phát hiện được rootkit, trong đó
có thể kể đến như:
+ Sử dụng một thiết bị đáng tin cậy khác : Chiếc máy bị nghi ngờ nhiễm rootkit sẽ
được tắt đi, sau đó boot bằng những thiết bị như đĩa CD, ổ đĩa USB rồi quét rootkit. Đây
là cách hữu hiệu để quét kernel-mode rootkit vì rootkit không ẩn mình tốt nếu nó đang
không chạy.
+ Các phần mềm chống rootkit trên hệ điều hành Unix :Zeppoo, chkrootkit, rkhunter,
OSSEC. Còn trên Windows, một số phần mềm quét rootkit là Microsoft Sysinternals
RootkitRevealer, Avast! Antivirus, Sophos Anti-Rootkit, F-Secure, Radix, GMER,
WindowsSCOPE, mới đây có thêm McAfee Deep Defender
Đa phần khi bị Rootkit tấn công, sự lựa chọn duy nhất của bạn đôi khi là phải cài đặt
lại toàn bộ HĐH đang sử dụng. Theo các nhà chuyên môn, để thoát khỏi một Rootkit mà
không phải cài đặt lại HĐH, bạn nên khởi động vào một HĐH thay thế và sau đó cố gắng
để làm sạch các Rootkit hoặc ít nhất nếu không muốn dùng lại HĐH đó bạn cũng có thể
tạo ra bản sao các dữ liệu quan trọng để sử dụng trở lại.
 DoS
1. Khái niệm:
- DoS Attack hay còn gọi là tấn công DoS là kiểu tấn công mà chỉ cần một người với một
máy tính kết nối internet cùng với những phương thức làm quá tải tài nguyên hệ thống là
đã có thể làm cho một hệ thống chậm đi đáng kể hoặc tệ hơn nữa là tê liệt toàn bộ hệ
thống.
- Các cuộc tấn công có thể được thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm
tấn công vào các thiết bị định tuyến, web, thư điện tử và hệ thống DNS.

- Mặc dù tấn công DoS không có khả năng truy cập vào dữ liệu thực của hệ thống nhưng
nó có thể làm gián đoạn các dịch vụ mà hệ thống đó cung cấp.
- Khi tấn công DoS xảy ra người dùng có cảm giác khi truy cập vào dịch vụ đó như
bị:
+ Disable Network – Tắt mạng
+ Disable Organization – Tổ chức không hoạt động
14
+ Financial Loss – Tài chính bị mất
2. Phương thức hoạt động
- DoS Attack được phân ra thành rất nhiều dòng đa dạng nhưng đều có chung một nguyên
tắc hoạt động. Khi thực hiện tấn công DoS, hacker sẽ dùng nhiều cách để chiếm dụng
một lượng lớn tài nguyên trên server ( tài nguyên đó có thể là băng thông, bộ nhớ, cpu,
đĩa cứng, ) làm cho server không thể nào đáp ứng các yêu cầu từ các máy của người
khác (máy của những người dùng bình thường) và server có thể nhanh chóng bị ngừng
hoạt động, crash hoặc reboot.
- Dựa trên nguyên tắc hoạt động đó, tấn công DoS lại chia thành nhiều dòng tấn công khác
nhau như:
o Tấn công thông qua kết nối: tấn công kiểu SYN flood
o Lợi dụng nguồn tài nguyên của chính nạn nhân để tấn công: tấn công kiểu
Land attack, UDP flood.
o Tấn công bằng cách sử dụng băng thông : DdoS
o Tấn công bằng cách sử dụng nguồn tài nguyên khác : Smurf attack, Tear
drop….
3. Phân loại:
Dựa theo đặc điểm của hệ thống bị tấn công
- Loại 1: gây quá tải khiến hệ thống mất khả năng phục vụ. Tin tặc gửi rất nhiều yêu cầu
dịch vụ, bắt chước như người dùng thực sự yêu cầu đối với hệ thống. Để giải quyết yêu
cầu, hệ thống phải tốn tài nguyên (CPU, bộ nhớ, đường truyền,…). Mà tài nguyên này thì
là hữu hạn. Do đó hệ thống sẽ không còn tài nguyên để phục vụ các yêu cầu sau. (DDoS,
Smurf Attack)

- Loại 2 : Làm cho hệ thống bị treo, tê liệt do tấn công vào đặc điểm của hệ thống hoặc lỗi
về an toàn thông tin. Tin tặc lợi dụng kẽ hở an toàn thông tin của hệ thống để gửi các yêu
cầu hoặc các gói tin không hợp lệ (không đúng theo tiêu chuẩn) một cách cố ý, khiến cho
hệ thống bị tấn công khi nhận được yêu cầu hay gói tin này, xử lý không đúng hoặc
không theo trình tự đã được thiết kế, dẫn đến sự sụp đổ của chính hệ thống đó. Điển hình
là kiểu SYN Attack hay Teardrop.
4. Tác hại:
- Tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng hoặc thời gian
xử lý, khi đó hệ thống mạng sẽ không có khả năng đáp ứng những dịch vụ khác cho
người dùng bình thường.
- Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn nhân dẫn
đến việc liên lạc giữa hai bên không được thông suốt và ngăn chặn quá trình truy cập vào
dịch vụ.
- Phá hoại hoặc thay đổi các thông tin cấu hình.
- Phá hoại tầng vật lý hoặc các thiết bị mạng như nguồn điện, điều hoà…
15
- Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.
5. Ví dụ minh họa: DDoS (tấn công từ chối dịch vụ)
Một trong những phương thức tấn công DoS khá phổ biến hiện nay là DDoS
(Distributed DoS Attacks) hay còn gọi là tấn công từ chối dịch vụ. DDoS hầu hết đều tập
trung vào việc chiếm dụng băng thông gây nghẽn mạch. DDoS yêu cầu phải có ít nhất vài
hackers cùng tham gia. Các hackers sẽ thâm nhập vào các mạng máy tính bảo mật kém và
cài lên các hệ thống này chương trình DDoS server. Sau đó các hackers sẽ đồng loạt dùng
DDoS client kết nối đến các DDoS servers và ra lệnh cho các DDoS servers này tiến
hành tấn công DDoS đến hệ thống nạn nhân. Theo cách này thì dù băng thông có bao
nhiêu đi chăng nữa thì cũng không thể chịu đựng được số lượng hàng triệu các gói tin đó
nên hệ thống không thể hoạt động được nữa và như thế dẫn đến việc các yêu cầu hợp lệ
khác không thể nào được đáp ứng, server sẽ bị “đá văng” khỏi internet.
Vào ngày 23/12/2009, nhà cung cấp dịch vụ phân giải tên miền (DNS) cho Amazon bị
tấn công DDoS, khiến người dùng không thể truy cập vào máy chủ Amazon.com và

Amazon Web Services trong khi đây là thời điểm mua sắm sôi động nhất trong năm tại
các nước khu vực Bắc Mỹ => gây thiệt hại lớn
6. Cách phòng chống tổng quát
Có rất nhiều giải pháp và ý tưởng được đưa ra nhằm đối phó với các cuộc tấn công
kiểu DoS. Tuy nhiên không có giải pháp và ý tưởng nào là giải quyết trọn vẹn bài toán
16
Anti-DoS. Các hình thái khác nhau của DoS liên tục xuất hiện theo thời gian song song
với các giải pháp đối phó, tuy nhiên cuộc đua vẫn tuân theo quy luật tất yếu của bảo mật
máy tính: “Hacker luôn đi trước giới bảo mật một bước”. Sau đây chỉ là một vài cách
phòng tránh đơn giản
• Cách phòng tránh:
- Mô hình hệ thống cần phải được xây dựng hợp lý, tránh phụ thuộc lẫn nhau quá mức. Bởi
khi một bộ phận gặp sự cố sẽ làm ảnh hưởng tới toàn bộ hệ thống. Xây dựng và triển khai
hệ thống dự phòng.
- Thiết lập mật khẩu mạnh (strong password) để bảo vệ các thiết bị mạng và các nguồn tài
nguyên quan trọng khác.
- Dùng một số cơ chế, công cụ, phần mềm để chống lại TCP SYN Flooding. Tắt các dịch
vụ khác nếu có trên máy chủ để giảm tải và có thể đáp ứng tốt hơn. Nếu được có thể nâng
cấp các thiết bị phần cứng để nâng cao khả năng đáp ứng của hệ thống hay sử dụng thêm
các máy chủ cùng tính năng khác để phân chia tải.
- Thiết lập các mức xác thực đối với người sử dụng cũng như các nguồn tin trên mạng. Đặc
biệt, nên thiết lập chế độ xác thực khi cập nhật các thông tin định tuyến giữa các router.
- Xây dựng hệ thống lọc thông tin trên router, firewall… và hệ thống bảo vệ chống lại
SYN flood.
- Chỉ kích hoạt các dịch vụ cần thiết, tạm thời vô hiệu hoá và dừng các dịch vụ chưa có yêu
cầu hoặc không sử dụng.
- Xây dựng hệ thống định mức, giới hạn cho người sử dụng, nhằm mục đích ngăn ngừa
trường hợp người sử dụng ác ý muốn lợi dụng các tài nguyên trên server để tấn công
chính server hoặc mạng và server khác.
- Liên tục cập nhật, nghiên cứu, kiểm tra để phát hiện các lỗ hổng bảo mật,những hiện

tượng bất thường và có biện pháp khắc phục kịp thời.
• Cách giải quyết khi bị tấn công:
- Khi bạn phát hiện máy chủ mình bị tấn công hãy nhanh chóng truy tìm địa chỉ IP đó và
cấm không cho gửi dữ liệu đến máy chủ.
- Nếu bị tấn công do lỗi của phần mềm hay thiết bị thì nhanh chóng cập nhật các bản sửa
lỗi cho hệ thống đó hoặc thay thế.
- Tạm thời chuyển máy chủ sang một địa chỉ khác.
 PASSWORD CRACKING
Khái niệm:
17
Password cracking là việc mà các haker sử dụng để bẻ khóa một mật khẩu của
người sử dụng, nhằm truy cập trái phép vào hệ thống máy tính hay trang điện tử
thông qua việc sử dụng các chương trình phá hoại để gây sự cố làm mất uy tính
của cá nhân hay tổ chức.
Phương thức crack password:
Để hiểu được một Password Cracker làm việc như thế nào chúng ta cần phải hiểu
được các chương trình quản lý Password thực hiện ra sao. Hầu hết các chương
trình quản lý Password đều mã hóa Password theo một phương thức nào đó.
- Mật khẩu sau khi được tạo ra và lưu vào trong hệ thống sẽ được mã hóa, hệ
thống sẽ chứa Key để giải mã mật khẩu.
- Những hacker sẽ tìm cách lấy được các đoạn mật mã đó.
-Sau khi đã lấy được các đoạn mật mã trên máy của nạn nhân chúng sẽ tiến hành
giải mã mật khẩu bằng những phương thức cụ thể cho từng tình huống
Có 4 kiểu tấn công password
- Passive Online attacks: Nghe trôm sự thay đổi mật khẩu trên mạng. Cuộc
tấn công thụ động trực tuyến bao gồm: sniffing, man-in-the-middle, và
replay attacks (tấn công dựa vào phản hồi)
- Active Online attacks: Đoán mật khẩu nguời dùng
- Offline attacks : Các kiểu tấn công như Dictionary, hybrid, và brute-force.
- Non-Electronic attacks: Các cuộc tấn công dựa vào yếu tố con người

như Social engineering, Phising…
• Passive Online Attacks
Là việc đánh hơi (sniffing) để tìm các dấu vết, các mật khẩu trên một mạng.
Mật khẩu bị lấy trong quá trình xác thực và sau đó có thể được so sánh với
một từ điển (dictionary) hoặc là danh sách từ (word list). Tài khoản người
dùng có mật khẩu thường được mã hóa (encrypted) trước khi gửi lên mạng
để ngăn chặn truy cập trái phép và sử dụng. Nếu mật khẩu được bảo
vệ bằng cách trên, một số công cụ đặc biệt giúp hacker có thể phá
vỡ các thuật toán mã hóa mật khẩu. Passive online attacks bao gồm:
sniffing, man-in-the-middle, và replay attacks (tấn công dựa vào phản hồi)
• Active Online Attacks (cuộc tấn công trực tuyến)
Active Online Attack dựa trên các yếu tố con người tham gia vào việc tạo ra mật khẩu để
đoán được mật khẩu của người dùng bằng cách dùng các chương trình tự động có thể
nhanh chóng tạo ra file từ điển, danh sách từ, hoặc kết hợp tất cả có thể có của các chữ
cái, số và ký tự đặc biệt và cố gắng để đăng nhập vào Cách tấn công này chỉ hữu dụng
với những mật khẩu yếu.
18
Hầu hết các hệ thống ngăn chặn kiểu tấn công này bằng cách thiết lập một số lượng tối đa
của các nỗ lực đăng nhập vào một hệ thống trước khi tài khoản bị khóa. (ví dụ khi bạn
đăng nhập vào một trang web mà bạn nhập sai password 5 lần thì tài khoản bạn từ động
bị khóa lại 1 ngày)
• Offline Attacks
Offline attacks được thực hiện tại một vị trí khác hơn là hành động tại máy tính có chứa
mật khẩu hoặc nơi mật khẩu được sử dụng. Cuộc tấn công Offline yêu cầu phần cứng để
truy cập vật lý vào máy tính và sao chép các tập tin mật khẩu từ hệ thống lên phương tiện
di động. Hacker sau đó có file đó và tiếp tục khai thác lỗ hổng bảo mật bằng cánh dùng
các chương trình tự động có thể nhanh chóng tạo ra file từ điển, danh sách từ, hoặc kết
hợp tất cả có thể có của các chữ cái, số và ký tự đặc biệt và cố gắng tìm ra mật
khẩu Các loại hình tấn công offline:
Dictionary Attack là cách tấn công đơn giản và nhanh nhất trong cácloại hình tấn công.

Nó được sử dụng để xác định một mật khẩu từ thực tế, và mật khẩu có thể được tìm
thấy trong từ điển.Thông thường nhất, cuộc tấn công sử dụng một tập tin từ điển các
từ có thể, sau đó sử dụng một thuật toán được sử dụng bởi quá trình xác thực. Các từ
trong từ điển được so sánh mật khẩu người dùng. Dictionary Attack chỉ làm việc nếu mật
khẩu là một thực thể có trong từ điển. Nhưng kiểu tấn công này có một số hạn chế là nó
không thể được sử dụng với các mật khẩu mạnh có chứa số hoặc ký hiệu khác .
Hybrid Attack là cấp độ tiếp theo của hacker, một nỗ lực nếu mật khẩu không thể
được tìm thấybằng cách sử dụng Dictionary Attack. Các cuộc tấn công Hybrid bắt đầu
với một tập tin từ điển và thay thế các con số và các ký hiệu cho các ký tự trong mật
khẩu. Ví dụ, nhiều người sử dụng thêm số 1 vào cuối mật khẩu của họ để đáp ứng yêu
cầu mật khẩu mạnh. Hybrid được thiết kế để tìm những loại bất thường trong mật khẩu.
Brute Force Attack là một cuộc tấn công bằng thuật toán brute-force, mà mọi cố
gắng kết hợp có thể có của chữ hoa và chữ thường, chữ cái, số, và biểu tượng. Một cuộc
tấn công bằng thuật toán brute-force là chậm nhất trong ba loại tấn công vì có thể kết
hợp nhiều ký tự trong mật khẩu.Tuy nhiên, cách này có hiệu quả, cần có đủ thời
gian và sức mạnh xử lý tất cả.
• Noneelectronic Attacks
Các cuộc tấn công nonelectronicor làcuộc tấn công mà không sử dụng bất kỳ kiến thức
kỹ thuật nào. Ví dụ như xem lén người dùng gõ mật khẩu, tìm xem người dùng có ghi
mật khẩu ra giấy hoặc là một nơi bất kỳ, đoán mật khẩu thông qua các số quen thuộc như:
123456, abcde,….
Ví dụ:
Giám đốc Công ty CP công nghệ truyền thông thông tin Việt Nam đã cạnh tranh
bán hàng bằng cách xâm nhập vào hệ thống quản lý giáo dục điện tử của một số
19
trường như trường tiểu học Hạ Đình để nhằm hạ uy tín của Công ty “đối thủ” hiện
đang bán phần mềm cho các đơn vị này.
/>Tác hại của password cracking:
• Các hacker thâm nhập vào hệ thống máy tính, trang điện tử để làm mất uy tín của
cá nhân hay tổ chức

• Đánh cắp các thông tin bảo mật của tổ chức
• Lừa đảo các khách hàng khi tham gia mua sắm trên mạng
• Các hacker có thể cài đặt mã độc vào các wedside nhằm phát tán virus, lấy cắp dữ
liệu người dùng hoặc máy tính khi bị nhiễm sẽ bị hacker điều khiển từ xa…
Cách phòng chóng:
• Tạo một mật khẩu mạnh
- Áp đặt chính sách độ dài tối thiểu của mật khẩu là 8 và tốt nhất là 15
- Yêu cầu phải có những ký tự đặc biệt, số, chữ hoa, chữ thường trong một
mật khẩu
- Không sử dụng bất kỳ từ khóa nào trong từ điển English hay những nước
khác
- Không sử dụng Password giông tên Username, và phải thay đổi thường
xuyên
- Chọn Password bạn dễ dàng sử dụng mà người khác khó đoán biết được
• Hãy thay đổi mật khẩu thường xuyên ít nhất một tháng một lần – Hãy thay
đổi ngay lập tức khi phát hiện ra mật khẩu của mình bị người khác sử dụng
• Đừng bao giờ chứa Password trên máy tính của bạn – nhiều người có thói
quen vào các trang web và lưu lại mật khẩu của mình điều này không bảo
mật bởi mã hóa trong máy tính dễ dàng bị giải mã
• Không nói cho người khác biết mật khẩu của mình
• Không gửi mail và tránh đặt trùng Password trên nhiều ứng dụng
• Không ghi Password của mình ra cho dễ nhớ.
• Khi gõ Password hãy cẩn thận với các loại Keyloger và người xem chộm

×