AN TOÀN THÔNG TIN MẠNG MÁY TÍNH
Lời nói đầu
Loạt bài viết này là một phần của Chương trình bảo mật toàn diện hệ thống thông tin,
được chia thành nhiều phần, mỗi phần được viết độc lập nhưng có mối tương quan dây
chuyền với nhau. Phần 1 đề cập đến việc xem xét, nhận diện nguyên nhân, đối tượng,
phương thức tấn công vào hệ thống. Mong nhận được những ý kiến đóng góp của các
bạn để lần cập nhật tới được hoàn thiện hơn!
Thông tin góp ý xin liên hệ:
Ng Ngọc Thanh Nghị. Email: hoặc
// ------------------------------------------------------------------------------Phần 1: Nhận diện đối tượng, mục đích và phương thức tấn công vào hệ thống
Không ai trong chúng ta không biết câu nói nổi tiếng của Tôn Tử (Sun Tzu) trong Tôn Tử
binh pháp (The Art of War): “Biết người, biết ta, trăm trận trăm trăm thắng” (If you know
the enemy and know yourself, you need not fear the result of a hundred battles. If you
know yourself but not the enemy, for every victory gained you will also suffer a defeat).
Điều này không chỉ đúng với lịch sử thời Xuân Thu mà giá trị của nó vẫn còn tồn tại
trong đời sống đương đại. Việc nhận diện được đối tượng, động cơ và cách thức tấn
công là hết sức quan trọng nhằm giúp các quản trị viên có chiến lược đối phó thích hợp,
đặc biệt là trong công tác bảo mật – công tác phòng vệ - vấn đề này quan trọng hơn bao
giờ hết.
Một điều hết sức rõ ràng là khi thực hiện các kết nối mở rộng hay khi đang trực tuyến
nghĩa là hệ thống sẽ đứng trước nguy cơ bị tấn công bất kỳ lúc nào. Như vậy nghĩa là
chúng ta luôn phải ở trong tư thế phòng bị, chứ không phải chờ bị tấn công rồi kêu cứu
các công ty bảo mật. Kinh nghiệm thực tế cho thấy phòng vệ, ngăn chặn từ xa trước bao
giờ cũng tốt hơn là để xảy ra tình trạng bị xâm nhập rồi khắc phục kiểu “thủng đâu bịt
đó” như thường thấy ở các hệ thống mạng hiện nay. Mục này sẽ bàn đến 3 vấn đề “biết
người”:
-

Ai có khả năng tấn công an ninh tổ chức (Who)?

-

Động cơ họ làm tổ chức mất an ninh (Why)?

-

Họ tấn công như thế nào (How)?

1. Nhận diện đối tượng tác động (Who)
Câu hỏi đặt ra là những đối tượng nào có khả năng gây ảnh hưởng đến an ninh mạng tổ
chức? Thực tế, các đối tượng này cũng đa dạng không kém gì động cơ hay phương thức
tấn công của họ. Họ có thể là bất cứ ai - là người trẻ tuổi, người già, nam giới, nữ giới,
nhân viên ở trong hay người ngoài tổ chức. Họ có điểm chung là có khả năng tác động,
có khả năng đánh cắp, phá hoại thông tin nhạy cảm của công nhằm phục vục cho những
mục đích khác nhau của họ. Việc nhận dạng đối tượng, biết rõ bản chất, tâm sinh lý, quy
luật hoạt động là hết sức cần thiết để có kế hoạch đối phó thích hợp.


Dưới đây là một số đối tượng chính có tác động đến an ninh mạng của tổ chức, vì thực tế
như đã nói, các đối tượng tấn công, động cơ và phương pháp tấn công thì nhiều vô kể,
không thể liệt kê hết được.
Nhân viên tổ chức (Disgruntled Worker)
Đối tượng này là nguy cơ tiềm ẩn lớn nhất ngay từ chính bên trong nội bộ tổ chức.
Những đối tượng này có thể do bất mãn, tư thù hoặc vì lợi ích riêng mà có những hành vi
gây nguy hại cho an toàn mạng thông tin của tổ chức. Đây là đối tượng cần được quan
tâm nhất bởi đơn giản họ là nhân viên của tổ chức nên họ nắm giữ nhiều thông tin; hiểu
rõ những luật lệ, những thủ tục, hiểu rõ những “ngõ ngách” của tổ chức.
Một thống kê năm 2001 của Cụ điều tra liên bang Mỹ (FBI) cho thấy trung bình có 41%
những vấn đề liên quan đến mất an toàn thông tin trong tổ chức có liên quan trực tiếp đến
chính nhân viên bên trong tổ chức, với thiệt hại trung bình mỗi vụ lên đến một con số
hàng nghìn USD (nguồn: Darwingmag.com). Và con số không ngừng gia tăng theo thời

gian. Có thể khẳng định mối nguy cơ thực sự là đến từ chính bên trong, cho dù hệ thống
đã thiết lập các hệ thống an ninh vững vàng nhất bằng cách xây dựng các Firewall, DMZ,
IDS, IPS [1],… hoặc thậm chí là khi thực hiện một hệ thống “đóng” bằng cách đặt hệ
thống cách ly hoàn với thế giới internet bên ngoài thì không có nghĩa là đã có được sự an
toàn. Đừng quên nguy cơ chính yếu, lỗ hổng nguy hiểm nhất đến từ ngay từ nội bộ tổ
chức. Đừng quên họ là những người biết rõ nên tấn công vào đâu, vào lúc nào để đạt kết
quả và tránh bị phát hiện.
Một lưu lưu ý khác là nhân viên thôi việc hoặc xin chuyển công tác đến đơn vị khác, các
đối tác, các hãng cung cấp,… cũng phải được lưu tâm bởi họ cũng có quyền và có khả
năng truy cập thông tin trong cơ sở dữ liệu thông tin tổ chức, và đặc biệt là khả năng khai
thác kỹ thuật social engineering. Cần phải có những chính sách quản lý người dùng thích
hợp để đề phòng trường hợp có khả năng rò rỉ thông tin này.
Đối thủ cạnh tranh (Comptitor)
Xuất phát điểm của hầu hết các vụ tấn công là từ yếu tố này, và nó tồn tại ở bất kỳ tổ
chức, xí nghiệp - cạnh tranh để tồn tại, để cùng phát triển hay tiêu diệt lẫn nhau. Nguy cơ
bị mất thông tin vào tay đối thủ cạnh tranh là có thực bởi đó là đối thủ trực diện và cũng
hưởng lợi nhiều nhất từ những thiệt hại của tổ chức.
Gián điệp (Spy)
Gắn liền với việc cạnh tranh còn là hoạt động gián điệp. Gián điệp này có thể là nhân
viên của chính tổ chức hoặc các từ bên ngoài sử dụng các kỹ thuật, mánh khóe để thu
thập thông tin từ tổ chức nhằm trục lợi cá nhân. Cùng với toàn cầu hóa kinh tế, nhiều tổ
chức, nhóm tình báo quân sự trước đây đã chuyển hướng sang mục tiêu kinh tế - gián
điệp kinh tế hoặc với nhiều phương tiện, trang thiết bị kỹ thuật cao được bán đầy rẫy trên
thị trường cũng làm cho nguy cơ này tăng lên rõ rệt trong thời gian gần đây.
Hầu hết những vụ chúng ta được nghe đều nhằm vào các tổ chức, đặc biệt là các tổ chức
có tiếng tăm, các tổ chức thuộc ngành công nghệ “kỹ thuật cao” (high-tech). Tuy nhiên,
việc tấn công vào các tổ chức nhỏ cũng đang ngày một phổ biến do hệ thống an ninh
mạng của các tổ chức này không mạnh, có nhiều yếu điểm có thể khai thác được dễ hơn
các tổ chức lớn.



Hacker
Ở Việt Nam, tuy nguy cơ từ đối tượng này không thực sự rõ ràng như hai đối tượng trên
nhưng cũng cần phải lưu tâm vì thực tế trong thời gian qua hệ thống máy chủ của nhiều
tổ chức bị tấn công bởi các đối tượng này là chủ yếu, tấn công với nhiều mục đích. Bất cứ
một hệ thống mạng nào, một khi đã thực hiện các kết nối bên ngoài thì nguy cơ bị tấn
công bởi hacker là hoàn toàn có thể xảy ra.
Hiện nay, trình độ của các hacker VN hiện không còn thấp như một vài năm trước. Hầu
hết các máy chủ của các tổ chức, các ISPs của VN đều từng bị các đối tượng này xâm
nhập khá dễ dàng. Nếu trước đây các hacker chỉ xâm nhập với mục đích “vui là chính”
thì kể từ năm 2003, mục đích này được một số hacker “mũ đen” đã chuyển thành tấn
công nhằm “thu lợi cá nhân”. Thu lợi ở đây có thể là sửa đổi thông tin có lợi cho họ,
đánh cắp thông tin theo đơn đặt hàng,... Vì vậy một khi tổ chức thực hiện các kết nối,
giao dịch qua mạng thì nguy cơ từ đối tượng này là rất lớn, và thực tế thời gian qua cũng
đã chứng minh điều này.
Cần lưu ý là ở trong nước đã xuất hiện các hacker “mũ trắng” - hacker thiện chí có tin
thần hợp tác nhằm nâng cao tính bảo mật hơn là phá hoại. Việc tổ chức hợp tác với các
đối tượng này ở VN còn là điều mới mẽ trong khi thế giới thì điều này đã quá quen thuộc
và không thể thiếu trong hệ thống bảo mật của nhiều nước – The only way to stop a
hacker is to think like one – Chỉ có thể chống hacker khi hiểu rõ hacker, hiểu rõ cách thức
hành động của hacker. Hai tổ chức hacker lớn nhất VN là HVA
() và VHF (cũ) cũng đã chính chức chuyển thành những tổ
chức hoạt động trong lĩnh vực an ninh máy tính. Đây là điều rất đáng mừng cho bảo mật
vốn còn rất non trẻ, còn nhiều yếu điểm của nước ta.
Người tò mò (Explorer)
Là những người có kỹ năng, ham học hỏi tìm hiểu, đặc biệt là trong khoa học máy tính.
Đối tượng này trên danh nghĩa không nguy hại đến an toàn thông tin, nhưng trên thực tế
những hoạt động âm thầm mang tính “khám phá” của riêng họ vẫn có thể tác động nguy
hiểm đến an ninh mạng tổ chức nếu họ xâm nhập vào. Những người này không chỉ tồn tại
ở VN mà bất cứ quốc gia nào cũng có. Rất nhiều trong số những “người tò mò” này là

những hacker mũ trắng.
Script Kiddie
Những người thuộc nhóm này không thể gọi là môt hacker thực thụ được bởi hai yếu tố
trình độ kỹ thuật và động cơ hành động của họ.
Xét dưới góc độ kỹ thuật, có thể hiểu đối tượng này là những “hacker học việc”. Họ chủ
yếu sử dụng những công cụ (tools) sẵn có để thực hiện các cuộc tấn công - tấn công một
cách máy móc bởi hầu hết họ đều thiếu khả năng và sự kiên nhẫn học hỏi để hiểu hết bản
chất của các cuộc tấn công đó (ít nhất là dưới góc độ kỹ thuật).
Xét dưới góc độ động cơ, họ được liệt vào nhóm có thể gây nguy hiểm bởi họ thực hiện
các cuộc tấn công mang tính phá hoại, vì mục đích tìm danh hơn là xây dựng.
Theo nhận xét của một trong những hacker trẻ, hàng đầu trong nước hiện nay thì có đến
90% những người tự xưng là hacker ở VN có thể được xếp vào nhóm script kiddie này.
Kẻ trộm (Thief)


Hành động của những đối tượng này do vô tình hoặc cố ý đều có thể ảnh hưởng đến an
toàn thông tin tổ chức, đặc biệt dưới góc độ an ninh vật lý. Việc xâm nhập trực tiếp, đánh
cắp trực tiếp các dữ liệu trên máy, đánh cắp thiết bị như máy tính xách tay (laptop),…
ngay cả khi tổ chức không có các kết nối ra ngoài.
Ngoài các tác nhân con người trên, các yếu tố khác cũng ít nhiều có tác động đến an toàn
thông tin:
“Bà mẹ thiên nhiên” (Nature Mother)
Yếu tố này là các tác động của thiên nhiên như mưa, gió, giông, sét, động đất,… và
không thể không kể đến yếu tố nguy hiểm nhất - hỏa hoạn. Tác động chính của các yếu tố
trên lên an ninh mạng là về mặt vật lý (physical).
Chiến tranh thông tin (Warspace)
Do tác động của chiến tranh trên mạng - điều này cũng hiếm xảy ra và nếu có thì ảnh
hưởng đến không lớn. Thời gian vừa rồi có xảy ra các cuộc chiến trên mạng giữa các tổ
chức hacker VN gián tiếp ít nhiều làm ảnh hưởng đến hệ thống mạng trong nước, làm trì
trệ hoạt động của một số dịch vụ trên mạng điện toán internet VN.

Khủng bố (Terrorist)
Chắc hẳn ai cũng còn nhớ vụ tấn công cảm tử của Al Qaeda vào tháp đôi WTC (World
Trade Center) tháng 11/2001. Hãy thử tưởng tượng mà tổ chức chúng ta đặt tại đó, hệ
thống thông tin chúng ta vận hành trong tòa nhà đó để hình dung tác động của khủng bố
đến an ninh hệ thống tổ chức là thế nào.
…
Tóm lại, đối tượng và yếu tố có khả năng ảnh hưởng đến an toàn thông tin mạng rất đa
dạng, phong phú, đáng kế nhất là ba đối tượng được liệt kê đầu tiên ở trên. Có thể nói,
bất cứ ai có ý định, có khả năng tiếp cận với thông tin của tổ chức đều có khả năng tác
động nguy hiểm đến an toàn thông tin tổ chức đó.
2. Động cơ
Biết được động cơ của họ sẽ giúp quản trị viên hiểu rõ ta hiểu vì sao họ tấn công, liệu họ
có phải là đối tượng nguy hiểm cho hệ thống. Có nhiều động cơ để dẫn đến các vụ tấn
công. Những động cơ có khả năng lớn nhất tác động tới an ninh mạng:
Tài chính
Là động cơ chính, quan trọng và cũng là phổ biến nhất. Có đến hơn 80% các vụ tấn công
nhằm mục tiêu tìm kiếm thông tin (thường theo đơn đặt hàng), tống tiền, đánh cắp mã số
thẻ tính dụng,… Các tổ chức tội phạm công nghệ cao, có kỹ năng đều nhằm vào mục tiêu
này.
Thù oán
Rất nhiều trường hợp do cạnh tranh giữa các cá nhân, tổ chức hay có trường hợp những
nhân viên vì lý do gì đó bị buộc phải thôi việc nên đã đứng đằng sau các vụ tấn công để
trả đũa vì tư thù này.
Do tò mò / tự khẳng định


Không riêng gì ở VN, mà nói chung thì đối tượng có động cơ này chiếm khá nhiều. Họ
đa phần là những thanh thiếu niên trẻ tuổi, tham gia, học hỏi ở các diễn đàn, các
mailinglist, các nhóm tin (usernet) về hacking trên mạng nên họ cũng muốn thử tay nghề.
Thực tế cho thấy đa số các vụ tấn công là vì động cơ tò mò, muốn thử tay nghề, muốn

khẳng định mình của những thanh thiếu niên tập tễnh học làm hacker.
Chính trị
Không phải các cuộc tấn công đều nhuốm màu sắc chính trị thuần túy, không phải theo
“Đảng” này mà tấn công “Đảng” nọ hay ủng hộ ứng cử viên này rồi phản đối ứng cử viên
kia, mà phần nhiều do phía tấn công muốn bày tỏ quan điểm về một sự kiện chính trị hay
một cuộc chiến nào đó. Ví dụ như trường hợp các hacker Trung Quốc, Nam Tư (cũ) thực
hiện các vụ xâm nhập, deface (thay đổi nội dung) các website của chính phủ Mỹ để bày
tỏ chính kiến của họ, cũng có khi là vì “đạo lý” riêng của họ,…
Tuy nhiên, động cơ chính trị thể hiện rõ nhất là ở các thế lực cực hữu, các tổ chức khủng
bố với các cuộc tấn công, khủng bố mạng có chủ đích vào các tổ chức của chính phủ (chủ
yếu là Mỹ), các tổ chức thù địch với chúng và để lại các thông điệp chính trị của chúng.
Theo AP, phát biểu tại Hội nghị chống phân biệt chủng tộc và chủ nghĩa bài ngoại do Tổ
chức an ninh và hợp tác châu Âu (OSCE) tổ chức, Gerard Kerforn, Chủ tịch Phong trào
vì hòa bình cho mọi người và chống phân biệt chủng tộc (MRAP), nói: “Internet đã trở
thành một trong những kênh cơ bản cho sự biểu lộ tinh thần cực hữu. Và hiện nay, các
nhà chức trách gần như bất lực. Những website này xuất hiện ngày một nhiều, tạo ra các
diễn đàn trao đổi quan điểm thù địch, chống phá hòa bình cũng như sự thân thiện giữa
các dân tộc và sắc tộc”.
Không lý do
Nghe có phi thực tế, nhưng sự thật đã xảy ra nhiều vụ tấn công chẳng vì lý do gì cả, vui
cũng làm, buồn thì cũng thực hiện hay tấn công chỉ để “khoe mẽ” với… cô hàng xóm
cũng được xếp vào loại này.
…
3. Cách thức thực hiện (How)
Động cơ tấn công ít thay đổi theo thời gian. Ví dụ, nếu nhiều năm trước để chiếm đoạt
tiền hay thông tin từ ngân hàng thì kẻ tấn công có thể dùng vũ lực tấn công trực diện vào
mục tiêu để chiếm đoạt thì ngày nay mục đích vẫn không thay đổi, chỉ khác là phương
thức thực hiện, nhất là sử dụng nhiều kỹ thuật cao hơn, nhiều mánh khóe hơn; không cần
phải dùng… súng và đạn theo kiểu cổ điển mà chỉ dùng… bàn phím và chuột thao tác kỹ
thuật tấn công từ xa.

Theo thời gian, những công cụ (tools) phục vụ cho các cuộc tấn công xuất hiện ngày càng
nhiều. Việc “công cụ hóa” với việc sử dụng các phương tiện sẵn có làm cho số lượng kẻ
tấn công tăng lên đông đảo do tính phổ thông nên ai cũng thể tìm thấy và sử dụng. Một
thống kê vào năm 2001 của Nhật báo Bưu điện Hoa Thịnh Đốn cho thấy mức độ “kỹ
thuật” hay sự đầu tư chất xám trong các cuộc tấn công giảm rất nhiều, thay vào đó là việc
sử dụng các phương tiện khai thác sẵn có dễ sử dụng, dễ thực hiện.


Nguồn: Báo Bưu điện Hoa Thịnh Đốn, 2001 (The Washington Post, USA)
Một số kiểu tấn công thịnh hành hiện nay có khả năng tác động đến hệ thống server của
tổ chức, chủ yếu là tấn công kỹ thuật cao của các hacker:
3.1. Tấn công về mặt vật lý (Phisical Attack)
Kiểu tấn công này rất nguy hiểm do các quản trị viên thường không lường trước hoặc
đánh giá thấp khả năng bị tấn công kiểu này. Việc trang bị cho hệ thống các thành phần
bảo vệ mạnh như firewall, IDS, IPS,… chỉ có khả năng phòng chống các kiểu tấn công từ
xa. Tấn công vật lý sẽ xảy ra ngay trong nội bộ tổ chức, ngay cả khi hệ thống không được
kết nối ra ngoài. Tấn công loại này có thể chia làm 2 loại: Đánh cắp trực tiếp và Nghe
trộm mạng.
3.1.1. Đánh cắp trực tiếp
Nghĩa là bằng cách nào đó xâm nhập vào khu vực đặt hệ thống máy chủ rồi tìm cách sao
chép dữ liệu, đánh cắp ổ đĩa chứa dữ liệu,… và đặc biệt là đánh cắp laptop (máy tính
xách tay) để tìm kiếm thông tin. Nhiều vụ tấn công vào Bộ quốc phòng Mỹ thời gian vừa
rồi cũng nhằm vào điểm yếu này.
3.1.2. Nghe trộm mạng
Hay còn gọi là kỹ thuật sniffing. Bằng cách sử dụng các thiết bị chuyên dụng, các phần
mềm nghe trộm, kẻ tấn công tìm cách thu thập thông tin của hệ thống truyền dẫn qua
cable quang, qua mạng không dây nếu chúng không được mã hóa trong quá trình truyền.
Kỹ thuật sử dụng chủ yếu vào việc trộm mật khẩu.
3.2. Kỹ thuật đánh lừa (Social Enginering)



Là một trong những phương thức phổ biến nhất, hiệu quả nhất để đánh cắp mật khẩu nói
riêng cũng như khai thác thông tin, tấn công vào hệ thống nói chung. Hiểu đơn giản đây
là kỹ thuật lừa đảo (chủ yếu là trên mạng). Kỹ thuật này không đòi hỏi phải sử dụng quá
nhiều yếu tố kỹ thuật, thậm chí không có liên quan đến kỹ thuật thuần túy (non-technical)
để tìm kiếm, khai thác thông tin phục vụ cho mục tiêu tấn công. Phương cách thực hiện
có thể thông qua thư tín, email, điện thoại hay tiếp xúc trực tiếp, thông qua người quen,
các mối quan hệ cá nhân,… nhằm dẫn dụ, khai thác các thông tin do vô tình bị tiết lộ từ
phía người dùng. Đối với Việt Nam chúng ta thì kỹ thuật này còn rất mới mẽ nên xác
xuất thành công khi áp dụng là rất cao. Thực tế cho thấy việc áp dụng thành công có thể
nói là không khó, không hiếm những người bị đánh lừa một cách dễ dàng bởi những thủ
thuật tưởng chừng rất ư là đơn giản này.
Như đã nói, kỹ năng này không đòi hỏi kẻ tấn công phải thành thạo các kỹ thuật máy tính
thuần túy mà quan trọng nhất của nó chính là khai thác các yếu tố tâm lý, khía cạnh giao
tiếp xã hội nhiều hơn là sử dụng các yếu tố kỹ thuật thông thường nên bất cứ ai - có hoặc
hiểu biết về máy tính - cũng có thể sử dụng được các kỹ năng này. Đây cũng là một trong
những nguyên nhân khiến kỹ thuật này hết sức phổ biến trong thực tế cuộc sống. Các ví
dụ dưới đây sẽ minh họa điều đó.
Ví dụ 1
Là chuyện có thật về một trong những hacker nổi tiếng nhất thế giới trong vài năm trở lại
đây là Kevin Mitnick (Mỹ) - chuyên gia hàng đầu về kỹ thuật Social Engineering. Trong
một lần tấn công vào công ty X, anh ta vận dụng kỹ năng này để dò tìm thông tin liên
quan đến vị Tống giám đốc X và một trong những trợ lý thân cận của vị này. Lợi dụng
lúc hai người đi công tác bên ngoài, anh ta liền sử dụng CallID giả và giả giọng nói của
viên trợ lý và tự xưng là người này để gọi đến quản trị viên mạng của công ty yêu cầu gửi
cho anh ta mật khẩu đăng nhập vào hệ thống của vị Tổng giám đốc vì lý do là ngài bị
“quên” mật khẩu. Dĩ nhiên là quản trị viên phải kiểm tra một vài thông tin về anh ta,
nhưng rõ là trước đó Mitnick đã có đủ thông tin và sự khôn ngoan để chứng minh anh ta
là trợ lý của công ty nên quản trị viên không nghi ngờ khi gửi cho anh ta mật khẩu của vị
Tổng giám đốc (điều đã vi phạm nguyên tắc an toàn mật khẩu). Kết quả là Mitnick dùng

mật khẩu đó, dĩ nhiên tài khoản này có nhiều quyền hạn truy cập, để “leo thang” chiếm
quyền điều khiển toàn bộ hệ thống mạng của công ty một cách dễ dàng.
Ví dụ 2
Để lẩy trộm mật khẩu của một người A nào đó, thì chúng ta thử phone đến địa chỉ của
anh ta và nói những câu đại loại như: “Chào anh A, dịch vụ mà anh đang sử dụng tại
công ty XXX chúng tôi hiện đang bị trục trặc với account của anh. Đề nghị anh gửi gửi
lại gấp tài khoản cho chúng tôi để điều chỉnh lại. Xin cám ơn quý khách đã hợp tác…”.
Mời nghe thoáng qua tưởng chừng có vẻ đơn giản, nhưng thực tế thì xác xuất thành công
rất cao, đặc biệt là nếu là giả giọng nói ngọt ngào như mấy cô nhân viên trực điện thoại
thì chắc là xác xuất thành công càng cao hơn nữa. :D
Ví dụ khác gần gũi hơn là kỹ thuật “Fake Email Login”. Các bạn khi sử dụng dịch vụ
email của công ty Yahoo chắc quen với kỹ thuật này. Về nguyên tắc, mỗi khi đăng nhập
vào hộp thư thì chúng ta phải điền thông tin tài khoản gồm username và password rồi gửi
thông tin đến mail server để xử lý. Đến đây thì có người nảy ra ý tưởng làm trang đăng
nhập giả (Fake Login), thay vì nhấn Sign In để gửi đến mail server thì họ tìm cách sao


cho nó gửi đến họ. Xét dưới góc độ kỹ thuật làm thì rõ cách làm là không hề khó, và cái
đáng lưu ý chính là ý tưởng và thủ thuật để dẫn dụ nạn nhân gửi thông tin thông qua trang
đăng nhập giả. Có rất nhiều cách để gửi trang này đến nạn nhân, ví dụ giả dạng gửi điện
hoa giả, trang giả yahoo đòi xác nhận mật khẩu,…
Tóm lại, kỹ thuật Social Engineering rất đa dạng, phong phú và cũng hết sức nguy hiểm
do tính hiệu quả và sự phổ biến. Kiểu lừa đảo “phishing” rộ lên thời gian gần đây cũng có
thể liệt vào loại này (sẽ đề cập trong bài riêng).
3.3. Lổ hổng bảo mật (Security Hole)
Ngày nay, các lổ hổng bảo mật do sản phẩm thiết kế được phát hiện ngày một nhiều hơn,
trên các site như Bugtraq () hay Cert () chẳng hạn,
hầu như là được cập nhật hàng ngày. Các lỗi này tập trung vào hệ điều hành máy chủ, các
ứng dụng web, các thiết bị phần cứng và những phần mềm của các hãng thứ ba (thirdparty) phục vụ vận hành hệ thống. Chỉ cần một thời gian rất ngắn sau khi được phát hiện,
công bố thì có rất nhiều tài liệu, mã nguồn, công cụ hướng dẫn khai thác được phát tán

rộng rãi trên Internet. Nếu các nhà quản trị không kịp cập nhật các hotfix, các bản sửa lỗi
path kịp thời thì việc hệ thống bị bị tấn công là điều hoàn toàn có thể xảy ra.
Nhìn chung, việc cập nhật này đa phần là không được thực hiện đầy đủ, thậm chí không
thực hiện. Điều này cũng để hiểu vì không có chính sách rõ ràng, không có sự phân công
và nhân lực thực hiện. Đây cũng là thực trạng chung của nhiều tổ hiện nay. Và là một
trong nhữn nguyên nhân quan trọng để hệ thống bị tấn công do chúng không được cập
nhật, vá lỗi kịp thời.
Hai lỗ hổng bảo mật tiêu biểu (do tính phổ biến và mức độ nguy hiểm)
Trước tiên phải kể đến lỗi Unicode IIS (Unicode Internet Information Service) trên các
máy chủ web IIS sử dụng hệ điều hành mạng Windows NT của hãng Microsoft. Chỉ cần
sử dụng vài Script URL và một vài câu lệnh DoS đơn giản, kẻ tấn công có thể dễ dàng
chiếm quyền điều khiển máy chủ. Suốt từ năm 2001 (thời điểm phát hiện lỗi) đến nay, rất
nhiều máy chủ sử dụng máy chủ web IIS lao đao vì gặp phải lỗi này.
Tuy nhiên, lỗi bảo mật được cho là nguy hiểm và phổ biến phải kế đến lỗi Tràn bộ đệm
(Buffer Over Flow). Về cơ bản, tình trạng tràn bộ đệm xảy ra khi dữ liệu được gửi đến
ứng dụng nhiều hơn mong đợi và khi xảy ra tình trạng này, kẻ tấn công có thể lợi dụng để
thực thi các mã chương trình nhằm tấn công giành quyền điều khiển hệ thống. Kỹ thuật
tấn công này có thể làm cho hệ thống bị tê liệt hoặc làm cho quản trị viên hệ thống mất
khả năng kiểm soát hoàn toàn tạo điều kiện cho kẻ tấn công xâm nhập.
Điểm chết người của lỗi này là hệ thống bị xâm nhập sẽ không lưu lại được dấu vết kẻ
tấn công nên các quản trị hoàn toàn có thể không nhận ra là đã có xảy ra sự cố hay chưa?
Vì vậy dẫn đến việc việc phòng chống rất khó khăn. Cách phòng chống duy nhất là các
quản trị viên phải liên hệ thường xuyên với các nhà sản xuất các phần mềm hệ thống họ
đang sử dụng bằng cách viếng thăm website, tham gia vào các mailinglist của họ để cập
nhật các lỗ hổng mới nhất để tải về các bản sửa lỗi thích hợp. Theo nhận xét của một
chuyên gia bảo mật, ở VN chúng ta số hacker thành thạo kỹ thuật này chỉ đếm trên đầu
ngón tay, số quản trị mạng thành thạo thì cũng không hơn nhiều.
Một điều may mắn là để khai thác được lỗi này thì kẻ tấn công phải có một trình độ nhất
định bởi đây là một trong những kỹ thuật phức tạp của bảo mật nói riêng và hacking nói



chung. Nó đòi hỏi người thực hiện am hiểu rõ ràng về hệ thống họ sắp tấn công, về hệ
điều hành, phần mềm được chạy trên hệ thống. Thêm vào đó, người thực hiện nhất thiết
phải hiểu biết về hợp ngữ, thông thạo một vài ngôn ngữ lập trình kể cả cấp thấp và cấp
cao, hiểu được tổ chức bộ nhớ và cách làm việc của từng dòng CPU (Central Proccess
Unit) chạy trên máy chủ cũng như bộ lệnh (Opcodes) của CPU đó. Việc sử dụng các
đoạn mã khai thác Buffer Over Flow sẵn có (Already Built Shellcode) phần lớn là không
dẫn đến thành công, và để hiểu được các đoạn mã sẵn có cũng đòi hỏi cần có khả năng
lập trình nhất định. Điều đáng chú ý đối với quản trị mạng là lỗi này xuất hiện ở tất cả các
sản phẩm nổi tiếng, cả phần cứng lẫn phần mềm. Lỗi này không chỉ được sử dụng để đột
nhập máy chủ mà còn được dùng để đột nhập vào các bộ định tuyến mạng (router), tường
lửa quốc gia,…
3.4. Lỗi cấu hình hoạt động (Error Configuration)
Lỗ hổng do các ứng dụng của máy chủ có các thiết lập mặc định lúc sản xuất (chạy ở chế
độ mặc định) hoặc do người quản trị hệ thống định cấu hình không an toàn, cấu hình sai.
Lỗi do cấu hình không phù hợp rất phổ biến, chủ yếu là do các quản trị viên lười biếng
kiểm tra việc cài đặt hệ thống. Bởi khi cài đặt họ cho chạy các xác lập mặc định của
chương trình vốn mà không hề có sự điều chỉnh các mức an toàn khác. Vì vậy sau khi cài
đặt và cấu hình (install and configuration) thì hãy lập tức thay đổi các thiết lập mặc định
của hệ thống để đảm bảo không bị mắc lỗi tưởng chừng như là rất giản đơn này.
Một vài lỗi bị khai thác tiêu biểu:
3.4.1. Lỗi cài điều khiển từ xa (Remote Access Control) qua IIS
Khi cài đặt máy chủ web IIS thì cài đặt thư mục chứa tài liệu web, không xóa một số tập
tin mặc định của các ngôn ngữ kịch bản máy chủ server (server-side script) nằm trong thư
mục mặc định là Inetpub\www ở ổ đĩa hệ thống (C). Đây là một trong những nguyên
nhân giúp kẻ tấn công dễ dàng giành quyền điều khiển toàn bộ máy chủ như đã nói ở lỗi
IIS trên.
3.4.2. Không cần Đăng nhập (Log-in)
Nếu ứng dụng không được thiết kế chặt chẽ, không ràng buộc trình tự các bước khi duyệt
ứng dụng thì đây sẽ là một lỗ hổng bảo mật và hacker có thể lợi dụng để truy cập thẳng

đến các trang thông tin bên trong mà không cần phải qua bất cứ bước đăng nhập hay xác
thực nào cả.
3.4.3. Mật khẩu mặc định (Password-Based Attacks)
Thông thường một hệ thống mới cấu hình thì quản trị sẽ sử dụng một tài khoản (account)
mặc định của chương trình, ví dụ như root, admin, let me in,… Các admin của hệ thống
sau khi config xong thì không đổi, đây là cơ hội để có thể giúp kẻ tấn công đoán được
mật khẩu mặc định đó và dễ dàng xâm nhập vào một cách đường đường chính chính. Một
khi đã vào khi đã vào rồi thì họ có thể tạo thêm user, cài cửa hậu (backdoor) để cho lần
viếng thăm sau.
3.5. Các điểm yếu của ứng dụng/hệ thống (Vulnerabilities)
Các điểm yếu có (vulnerabilities) có khả năng bị khai thác (exploit) nhiều nhất hiện nay
là ở lớp ứng dụng chạy (application) trên máy chủ (lớp ứng dụng trong mô hình mạng
OSI).


3.5.1. SQL Injection
Là kiểu tấn công phổ biến vào loại bậc nhất hiện nay, hầu hết các máy chủ nước ta sử
dụng các cơ sở dữ liệu (database), đặc biệt là Microsoft SQL Server, ít nhiều đã và đang
tồn tại lỗi này. Tấn công kiểu này rất gọn nhẹ nhưng hiệu quả rất cao vì chỉ dùng công cụ
tấn công duy nhất là trình duyệt web chứ không cần phải sử dụng thêm bất cứ công cụ
khai thác nào nữa.
Cách tấn công chủ yếu là chèn các ký tự đặc biệt, các tham số trực tiếp vào địa URL
(Uniform Resource Locator) hoặc các form đăng nhập để khai thác yếu điểm từ các
chương trình vận hành Database do các lập trình viên viết code (mã chương trình) bất cẩn
do không soát được thông tin nhập liệu chứ không phải là do lỗi kỹ thuật của hệ thống
(chi tiết sẽ đề cập chi tiết trong bài viết khác).
3.5.2. XSS (Cross Site Scripting), Session Hijacking
Thông thường, một chương trình chạy trên máy chủ nhận diện người sử dụng thông qua
một chuỗi ký tự gọi là Session ID, có thể ví SesionID như giấy thông hành tạm thời để
có thể ra lệnh cho máy chủ cung cấp dữ liệu. Khi bắt đầu kết nối vào máy chủ và yêu cầu

cung cấp những thông tin quý giá, phần mềm trên máy chủ sẽ hỏi người sử dụng về tên
tài khoản và mật mã tương ứng để xác nhận quyền sử dụng. Nếu được chấp nhận, người
sử dụng sẽ được cấp một SessionID bí mật và chỉ có hiệu lực trong khoản thời gian xác
định, quá thời gian đó, người sử dụng phải cung cấp lại tên tài khoản và mật khẩu tương
ứng để được cấp phát SessionID mới. Điều gì xảy ra khi kẻ tấn công biết được SessionID
hiện thời của người dùng đối với một máy chủ đang truy cập thông tin? Đương nhiên,
nếu không có sự phòng bị (theo mặc nhiên các phần mềm hiện thời coi sessionID là rất
đáng tin tưởng), kẻ acker sẽ giả danh người dùng, và nếu là người dùng cao cấp (các quản
trị viên) thì sẽ có toàn quyền truy cập vào máy chủ lấy đi tất cả các thông tin quý giá.
Để lấy được SessionID (gọi là session hijacking), nếu kẻ tấn công trong cùng một mạng
cục bộ (LAN) có thể sử dụng các phần mềm đặc biệt để bắt lấy dữ liệu chạy trên cáp
mạng hoặc sử dụng các lỗi XSS (Cross Site Scripting) do phần mềm chạy trên máy chủ
không được lập trình thận trọng gây ra. Kỹ thuật bắt dữ liệu trên mạng được gọi là Snifier
không đòi hỏi hiểu biết về TCPIP và hạ tầng cơ sở mạng máy tính nhiều. Tại thời điểm
này, có rất nhiều công cụ hỗ trợ cho việc bắt dữ liệu trên mạng. Để thực hiện được một
cuộc tấn công sử dụng lỗi XSS và đánh cắp SessionID, kẻ tấn công chỉ cần có một chút
kiến thức về ngôn ngữ máy khách Java Script. Tuy nhiên, cuộc tấn công sẽ thực sự nguy
hiểm nếu kẻ tấn công am hiểu sâu sắc về một ngôn ngữ lập trình web (bất kể là ASP,
ASP.Net, PHP, Perl, Python,...), am hiểu về giao thức HTTP (Hyper Text Transfer
Protocol - Giao thức truyền tin đa phương tiện) và các chuẩn cookie liên quan đến giao
thức HTTP. Với hiểu biết như vậy, một phần mềm có thể được viết ra để tự động hoá quá
trình tấn công, gây ra cho hậu quả rất nặng nề, đôi lúc làm tê liệt toàn bộ hệ thống.
Về nguyên tắc Session Hijacking không cho phép hacker đoạt được quyền điều khiển
máy chủ, nhưng hacker có thể xem và xóa các thông tin bí mật cũng như thay đổi nội
dung của chúng. Trường hợp rất hay xảy ra ở nhiều tổ chức trong nước và cả Merufa là
do đặt mật khẩu truy cập thông tin trùng với máy chủ nên kẻ tấn công đương nhiên chiếm
quyền điểu khiển toàn bộ máy chủ.
3.5.3. Code Injection



Code Injection có vài điểm tương đồng với hai kiểu tấn công trên, việc phát động tấn
công cũng chỉ bằng trình duyện web (Web Browser). Tuy nhiên, người thực hiện cuộc
tấn công này cần biết sử dụng ngôn ngữ lập trình web mà trang web đang bị tấn công sử
dụng (ví dụ PHP, Perl, Python, ...). Để thực hiện thành công Code Injection, nhất thiết
phải có một máy chủ trung gian chứa code (mã chương trình) để inject (chèn). Thực hiện
tấn công kiểu này đòi hỏi một trình độ nhất định về lập trình web nhưng không quá khó
khăn đối với một hacker thực thụ. Mặc nhiên, những đoạn code được inject sẽ chạy ở cấp
độ quyền sử dụng của server (thông thường không phải là quyền sử dụng cao nhất). Tuy
nhiên, nó cho phép kẻ tấn công thực hiện việc download/upload (tải xuống và đưa tài liệu
lên mạng) tuỳ thích các phần mềm, backdoor lên máy chủ bị tấn công và hậu quả là rất
nặng nề. Nếu đạt được trình độ nhất định, hacker có thể chiếm quyền cao nhất để điều
khiển toàn bộ hệ thống không mấy khó khăn.
3.6. Tấn công từ chối dịch vụ - Denial of Services (DoS)
Kỹ thuật này khác dài, xin xem ở bài “Tấn công từ chối dịch vụ DoS/DDoS/DRDoS”.
Tóm lại việc nhận diện ra cách thức tấn công là vô cùng quan trọng để có được phương
thức đối phó thích hợp. Hơn nữa, việc nhận diện ra đối phương là ai, động cơ của họ là
gì và tấn công như thế nào là yếu tố quyết định cho sự thành công trong việc phòng
chống các cuộc tấn công đó.
(Còn tiếp)
Tài liệu tham khảo
[1] The HVA Defense System, Thesun (Triệu Trần Đức),
[2] SANS Reading Room,
Và một số articles khác trên các chuyên trang về security như Bugtrag, GIAC,…