Viruses, worms, trojans, attacks

Viruses, Worms, Trojans, AttacksThông tin và bảo mật thông tinKhoa Khoa Học Máy Tính1Security AspectsContentsPhần mềm độc hạiVirusesWormsTrojan horsesVí dụPhòng vệCác cuộc tấn công thông thườngMục tiêu bảo mật2Security AspectsVí dụ: Email WormEmail chứa đính kèmĐính kèm chứa một file, như làFile chương trìnhMacros, trong các tài liệuCũng có thể là ZIP, JPEG, PNG (gây tràn bộ đệm)Mở các đính kèm sẽ làm cho các mã nguồn khởi độngThỉnh thoảng mail chứa các nội dung độc hại (ví dụ HTML chứa các mã kịch bản)Mã tự sinh worm và có thể phá hủy hệ thống3Security AspectsTổng quanPhần mềm độc hại - Malicious software (malware)Có khả năng tự sinh sảnThường gây ra một số dạng phá hoại như sau:Các biến thểVirusesWorms Trojan horsesXuất hiện đầu tiên năm 70iesCơ chế phòng vệ phải hoạt động nhanh hơn virusTất cả các hệ điều hành đều có nguy cơ bị tấn công.4Security AspectsVirusĐịnh nghĩaMã nguồn tự sinh sảnTự động chèn nó vào các chương trình thực thi khácChứa một chức năng độc hại, được gọi là tải.Thông dụng nhấtMã độc ảnh hưởng đến các file thực thi.Macros trong tài liệuPhân phối quaEmailChia sẻ File Thường đòi hỏi sự theo dõi từ phía người dùng.e.g. chạy một chương trình bị nhiễm phần mềm độc hạiVirus thường được dùng chung cho thuật ngữ malware.5Security AspectsBoot Sector VirusChèn mã virus vào boot sector của đĩa cứng hay các thiết bị khởi động khác.Khởi động trước hệ điều hànhe.g. Có thể truy cập đĩa trước khi bất kì OS nào truy cập điều khiển hay phần mềm chống virus được kích hoạt.Dạng này phổ biến trong thời điểm mọi người sử dụng ổ đĩa mềm để chia sẻ phần mềm và dữ liệu.6Security AspectsVirus nhiễm các file chương trìnhChèn mã virus vào file thực thi hệ thốngTrong file *.exeCó thể đứng trước, sau hoặc xen kẽApplication CodeVirusApplication CodeVirusAVAVAVAVAChèn trướcChèn sau(surround)Xen kẽ7Security AspectsVirus độc lập và không độc lậpKhông độc lậpThực thi (nhân bản, ...) khi ứng dụng bị nhiễm được thực thiKết thúc khi thoát khỏi ứng dụngĐộc lậpKhởi động với ứng dụngTự cài đặt vào hệ thốnge.g. thủ tục thực thi ứng dụng của hệ thốngTồn tại trên hệ thống sau khi ứng dụng thoát8Security AspectsWormsXuất hiện lần đầu vào thập niên 1988Khác với virusMột chương trình độc lậpKhông nhiễm vào bất kì ứng dụng nàoLây lan qua mạng một cách tự độngThường lây lan nhanh hơn virusWorms sử dụng các lỗ hổng để tự sinh sảnSQL Slammer – MS SQL ServerSlapper - Apache/Mod-SSLCode Red – MS Internet Information Server9Security AspectsTrojan HorsesPhần mềm được xem như là vô hạiCó tác động ẩn và độc hạiThường ẩn dưới các phần mềm kháce.g. login dialogThường được sử dụng để ăn cắp thông tine.g. mật khẩu, TANs, khóa, xem lưu lượng mạngKhông có khả năng tự sinh sản10Security AspectsĐộng lựcTiêu khiển – với các đoạn mã hài hướcPhá hoạiĂn cắpMật khẩu hay thông tin quan trọng khácTài liệu kinh tế được quan tâmFameTrong giới hackerMoney11Security AspectsNguyên nhân – Kiểm soát truy cập không hiệu quảBất kì ứng dụng nào có cùng các quyền hệ thống (quyền hệ thống của người dùng khi khởi động)Phần mềm không được yêu cầu nhiều hơn quyền hệ thống được yêu cầuVí dụ các phần mềm cần quyền administrator để chạyPhần mềm bỏ qua tất cả các quyền hệ thống nó không cần thiếtHầu hết các hệ điều hành hỗ trợ nóe.g. ứng dụng server (e.g. apache) có thể mất quyền root sau khi mở socket serverThường người dùng (mã) có thể cài đặt và chỉnh sửa các file thực thi nàyVì nguyên nhân nào?Một số hệ thống có thể hỗ trợ các khả năngCó thể gán quyền hệ thống cho ứng dụng một cách độc lậpỨng dụng có thể chuyển các khả năng này cho các thành phần khác.12Security AspectsNguyên nhân – Người dùng bất cẩnLàm việc với quyền ưu tiên – root Sử dụng truy cập mặc định cho các fileTải và sử dụng các ứng dụng từ các nguồn không rõ ràngKhông sử dụng các phần mềm diệt virusLàm việc không có firewall.13Security AspectsNguyên nhân – kĩ thuậtKhông tách biệt rõ ràng giữa dữ liệu và mã nguồnMã kịch bản trong tài liệu, email, web sites Trong hệ thốngMã nguồn và dữ liệu (stack, heap) trong cùng bộ nhớNgăn xếp có khả năng thực thiThiết lập mặc định không bảo mậtCác bảo mật bổ sung14Security AspectsCác thành phần cao cấp khácKĩ thuật để tránh bị phát hiệnMã nguồn đa hìnhThay đổi tập lệnh của nóChuyển các thành phầnChèn các hành độngChia thành các mảnh nhỏ hơnMã hóa mã nguồnMã hóa một phần mã nguồnGiải mã trong thực tế trước khi thực thiChỉnh sửa module file hệ thốngChỉ chứa mã nguồn độc hại khi thực thiKhông thể hiên mã nguồn khi file được mở để đọc15Security AspectsMalware trong thực tếThường là kết hợp giữa virus, worm và Trojan horseLây lan như wormNhiễm vào file như là virusĂn cắp thông tin mật như là trojanNgày nay, email, WWW và các điểm yếu (lỗ hổng trên mạng) là môi trường phân phối thông dụng nhất16Security AspectsVí dụ: MyDoom (Worm)Lây lan qua email và chia sẻ file ngang hàng KaZaAGiống như là truyền mail bị lỗiPhần đính kèm có thể thực thiGửi chính nó qua email đến tất cả người nhận từ sổ địa chỉSao chép chính nó đến thư mục chia sẻ của KaZaAHàng triệu bản sao trong vài ngàyLàm chậm lưu lượng Internet (vài phần trăm)Lên đến gấn 10 lũy thừa email trên Internet bắt nguồn từ worm này.Hai hình thứcCài đặt cửa hậu backdoor trên TCP port 3127Tấn công từ chối dịch vụ vào web site SCO Group’s100.000 .. 1 million máy bị nhiễm khi truy cập web đồng thời.Chuyển website www.sco.com sang www.thescogroup.com Biến thểTấn công các trang khác (e.g. Microsoft, Google, AltaVista, Lycos)Khóa truy cập đến hệ thống và trang cập nhật virus17Security AspectsPhòng ngừaKhông cài đặt hay chạy các phần mềm từ các nguồn không tin cậyGiữ cho hệ thống cập nhật với các gói vá lỗiSử dụng phần mềm chống virus trên mọi hệ thốngCập nhật cơ sở dụng liệu virusÍt nhất mỗi lần một ngàySử dụng tường lửaMột tường lửa bên ngoài mạngMột tường lửa cá nhận trên tất cả máy conKhông cho kết nối đến nói chung.Chỉ cho phép những gì thực sự cần thiết18Security AspectsPhần mềm độc hại và tấn côngPhần mềm độc hại thường lây lan theo kiểu không có kiểm soát.Một tấn công thông thườngCó một mục tiêu được xác định rõ ràng.e.g. một công ty, một server.Và có một mục đíche.g. deface một trang web, làm cho server không hoạt động, lấy quyền truy cập hệ thống, lấy cắp tài liệu19Security AspectsTấn công có thể sử dụng malwareKẻ tấn công có thể cài đặt Trojan HorseKẻ tấn công có thể kiểm soát các host bị nhiễmNhững host như vậy được gọi là Zombie Sử dụng host đã bị kiểm soát để tấn cônge.g. tấn công từ chối dịch vụ phân tán (DDoS)Làm cho những kẻ tấn công thực sự khó bị theo dõi20Security AspectsCác tấn công thông thườngLấy cắpTài liệu, thông điệp, mật khẩu,...Man-in-the-middleNghe lén truyền thôngTamperingHiệu chỉnh hệ thống chỉnh sửa dữ liệuSpoofingGiả mạo địa chỉ, giả mạo nội dungHijackingChiếm phiên làm việc (e.g. Telnet), máy tính (zombie)Capture – replayBắt giữ và chuyển tiếp các thông điệp lệnhDenial of servicePhá hoại hay gây quá tải server với nhiều yêu cầu đồng thời21Security AspectsTấn công server hay mạngThu thập thông tin về mục tiêuHệ điều hành, dịch vụ, người dùng, ...Tìm các điểm yếuCác gói vá lỗi thiếu, mật khẩu yếu, ...Khai phá điểm yếuCài đặt cửa hậu, tạo tài khỏan, ...Ẩn các con đườngGỡ bỏ các nhật kí, giấu file, ...22Security AspectsPhòng ngừa: Thu thập thông tinĐừng để lộ thông tin không cần thiếtServer và phiên bản phần mềme.g. thông tin server trong tiêu đề HTTPUser namesDịch vụ fingerCác thông điệp lỗie.g. Các thông điệp ngoại lệ trong phản hồi HTTP23Security AspectsPhòng ngừa: Tìm điểm yếuTriển khai các gói vá lỗi quan trọngKiểm tra bản vá trước khi cài đặtĐảm bảo mật khẩu mạnh Triển khai chính sách mật khẩu tốtGiảm thiểu tấn công bề mặtBỏ các dịch vụ không cần thiếtCấu hình giới hạn firewall24Security AspectsPhòng ngừa: Tìm điểm yếuCơ chế bảo vệ xâm nhậpCơ chế ngăn ngừa tràn bộ đệmPhần mềm bảo mật chống virusMáy ảo VMware, Java, .NET,...Cấu hình hệ thống một cách an toànCác quyền ưu tiên ít nhất có thểGiảm thiểu cài đặt25Security AspectsPhòng ngừa: Giấu theo dõiGhi nhận tất cả truy cập hệ thốngCác lần thử đăng nhập, chỉnh sửa thông tin cấu hình.Bảo mật file nhật kí khỏi việc chỉnh sửaKhông cần thiết chỉnh sửa file nhật kíCho phép ghi mà khôgn được chỉnh sửaLưu trữ dưới các file tách biệtPhân tích nhật kí thông thường26Security Aspects