Security:  sự xâm phạm dữ liệu và phần mềm

Security: sự xâm phạm dữ liệu và phần mềm

Rate this post

Một vấn đề bảo mật quan trọng đối với các hệ thống nối mạng là sự xâm phạm của người dùng hoặc phần mềm thù địch, hoặc ít nhất là không mong muốn. Sự xâm phạm của người dùng có thể ở dạng bỏ qua đăng nhập thông minh vào một máy hoặc, trong trường hợp là người dùng được ủy quyền, có được các quyền riêng tư hoặc thực hiện các hành động vượt quá những điều đã được cho phép. Phần mềm xâm nhập có thể ở dạng vi-rút, sâu hoặc Trojan.

Các bài viết liên quan:

Tất cả các cuộc tấn công này liên quan đến an ninh mạng bởi vì việc xâm nhập hệ thống có thể được thực hiện thông qua mạng. Tuy nhiên, các cuộc tấn công này không chỉ giới hạn trong các cuộc tấn công dựa trên công việc mạng. Người dùng có quyền truy cập vào một thiết bị đầu cuối cục bộ có thể tìm cách xâm phạm mà không cần sử dụng mạng trung gian. Virus hoặc Trojan horse có thể được đưa vào hệ thống bằng đĩa quang. Chỉ có con sâu là một mạng lưới duy nhất. Do đó, xâm nhập hệ thống là một lĩnh vực mà các mối quan tâm về an ninh mạng và bảo mật máy tính chồng chéo lên nhau.

Security:  sự xâm phạm dữ liệu và phần mềm

Vì trọng tâm của cuốn sách này là an ninh mạng, chúng tôi không cố gắng phân tích kỹ lưỡng về các cuộc tấn công hoặc các biện pháp đối phó bảo mật liên quan đến xâm nhập hệ thống. Thay vào đó, trong Phần này, chúng tôi trình bày một cái nhìn tổng thể về những mối quan tâm này.

Bài viết này bao gồm chủ đề về những kẻ xâm nhập. Đầu tiên, chúng tôi xem xét bản chất của cuộc tấn công và sau đó xem xét các chiến lược nhằm ngăn chặn và phát hiện thất bại. Tiếp theo, chúng tôi xem xét chủ đề liên quan của quản lý mật khẩu.

Sự xâm nhập( Intruder)

  • Masquerader: Một cá nhân không được phép sử dụng máy tính và người thâm nhập các kiểm soát truy cập của hệ thống để khai thác tài khoản của người dùng hợp pháp
  • Misfeasor: Người dùng hợp pháp truy cập vào dữ liệu, chương trình hoặc tài nguyên mà quyền truy cập đó không được phép hoặc người được ủy quyền cho quyền truy cập đó nhưng sử dụng sai đặc quyền của họ
  • Clandestine user: Một cá nhân nắm quyền kiểm soát giám sát hệ thống và sử dụng quyền kiểm soát này để trốn tránh việc kiểm tra và kiểm soát truy cập hoặc để ngăn chặn việc thu thập kiểm toán

Kẻ giả mạo có khả năng là người ngoài cuộc; kẻ phạm tội thường là người trong cuộc; và người dùng bí mật có thể là người ngoài cuộc hoặc người trong cuộc.

Các cuộc tấn công của kẻ xâm nhập bao gồm từ lành tính đến nghiêm trọng. Tạikết thúc lành tính của quy mô, có nhiều người chỉ đơn giản muốn khám phá internets và xem những gì là ngoài đó. Cuối cùng nghiêm trọng là những cá nhân đang cố gắng đọc dữ liệu đặc quyền, thực hiện các sửa đổi trái phép đối với dữ liệu hoặc làm gián đoạn hệ thống.

Liệt kê các ví dụ sau về xâm nhập:

  • Thực hiện thỏa hiệp gốc từ xa của máy chủ e-mail
  • Định nghĩa một máy chủ Web
  • Đoán và bẻ khóa mật khẩu
  • Sao chép cơ sở dữ liệu có chứa số thẻ tín dụng
  • Xem dữ liệu nhạy cảm, bao gồm hồ sơ bảng lương và thông tin y tế, mà không được phép
  • Chạy trình dò ​​tìm gói tin trên máy trạm để nắm bắt tên người dùng và mật khẩu
  • Sử dụng lỗi quyền trên máy chủ FTP ẩn danh để phân phối tệp nhạc và phần mềm vi phạm bản quyền
  • Quay số vào một modem không an toàn và có được quyền truy cập mạng nội bộ
  • Đóng vai một giám đốc điều hành, gọi cho bộ phận trợ giúp, đặt lại mật khẩu e-mail của giám đốc điều hành và tìm hiểu mật khẩu mới
  • Sử dụng máy trạm không giám sát, đã đăng nhập mà không được phép

Hành vi của kẻ xâm nhập (Intruder) 

Các kỹ thuật và hành vi Các mô hình của những kẻ xâm nhập liên tục thay đổi, để khai thác các điểm yếu mới được phát hiện và trốn tránh sự phát hiện và các biện pháp đối phó. Thậm chívì vậy, những kẻ xâm nhập thường tuân theo một trong số các mẫu hành vi có thể nhận biết được và các mẫu này thường khác với các mẫu của người dùng thông thường. Sau đây, chúng tôi xem xét tại ba ví dụ rộng rãi về các mẫu hành vi của kẻ xâm nhập, để cung cấp cho người đọc một số cảm nhận về thách thức mà quản trị viên bảo mật phải đối mặt. Bảng 20.1, dựa trên [RADC04], tóm tắt hành vi.

Security:  sự xâm phạm dữ liệu và phần mềm

HACKERS

Theo truyền thống, những kẻ xâm nhập vào máy tính làm như vậy vì cảm giác hồi hộp hoặc vì địa vị. Cộng đồng hack là một chế độ tài giỏi mạnh mẽ, trong đó địa vị được xác định theo mức độ năng lực. Vì vậy, những kẻ tấn công thường tìm kiếm các mục tiêu cơ hội và sau đó chia sẻ thông tin với những người khác.

Ví dụ điển hình là vụ đột nhập vào một tổ chức tài chính lớn được báo cáo trong [RADC04]. Kẻ xâm nhập đã lợi dụng thực tế là mạng công ty đang chạy các dịch vụ không được bảo vệ, một số dịch vụ thậm chí không cần thiết. Trong trường hợp này, chìa khóa để đột nhập là ứng dụng pcAnywhere. Nhà sản xuất Symantec quảng cáo chương trình này như một giải pháp điều khiển từ xa cho phép kết nối an toàn với các thiết bị từ xa. Nhưng kẻ tấn công đã dễ dàng truy cập vào pcAnywhere; quản trị viên đã sử dụng cùng một tên người dùng và mật khẩu gồm ba chữ cái cho chương trình. Trong trường hợp này, không có hệ thống phát hiện xâm nhập trên mạng công ty 700 nút. Kẻ đột nhập chỉ bị phát hiện khi một phó chủ tịch bước vào văn phòng của cô ấy và nhìn thấy con trỏ đang di chuyển các tệp trên máy trạm Windows của cô ấy.

Bảng 20.1 Một số ví dụ về các mẫu hành vi của kẻ xâm nhập

Security:  sự xâm phạm dữ liệu và phần mềm

Những kẻ xâm nhập lành tính có thể được chấp nhận, mặc dù chúng tiêu tốn tài nguyên và có thể làm chậm hiệu suất đối với những người dùng hợp pháp. Tuy nhiên, không có cách nào để biết trước kẻ xâm nhập là lành tính hay ác tính. Do đó, ngay cả đối với các hệ thống không có nguồn lực đặc biệt nhạy cảm, có động lực để kiểm soát vấn đề này. Hệ thống phát hiện xâm nhập (IDS) và hệ thống ngăn chặn xâm nhập (IPS) được thiết kế để chống lại loại mối đe dọa từ hacker này. Ngoài việc sử dụng các hệ thống như vậy, các tổ chức có thể xem xét việc hạn chế đăng nhập từ xa đối với các địa chỉ IP cụ thể và / hoặc sử dụng công nghệ mạng riêng ảo.

Một trong những kết quả của việc nâng cao nhận thức về vấn đề kẻ xâm nhập là việc thành lập một số đội ứng phó khẩn cấp máy tính (CERT). Các liên doanh hợp tác này thu thập thông tin về các lỗ hổng của hệ thống và phổ biến cho các nhà quản lý hệ thống. Tin tặc cũng thường xuyên đọc các báo cáo CERT.Do đó, điều quan trọng là quản trị viên hệ thống phải nhanh chóng chèn tất cả các bản vá phần mềm vào các lỗ hổng đã phát hiện. Thật không may, với sự phức tạp của nhiều hệ thống CNTT và tốc độ phát hành các bản vá lỗi, điều này ngày càng khó đạt được nếu không cập nhật tự động. Ngay cả khi đó, vẫn có những sự cố do phần mềm cập nhật không tương thích gây ra. Do đó cần có nhiều lớp phòng thủ trong việc quản lý các mối đe dọa an ninh đối với hệ thống CNTT.

CRIMINALS

Các nhóm tin tặc có tổ chức đã trở thành mối đe dọa phổ biến và rộng rãi đối với các hệ thống dựa trên Internet. Các nhóm này có thể làm việc cho cơ quan hoặc chính phủ nhưng thường là các băng nhóm tin tặc có liên kết lỏng lẻo. Thông thường, các băng nhóm này là những tin tặc trẻ tuổi, thường là các hacker Đông Âu, Nga hoặc Đông Nam Á kinh doanh trên Web [ANTE06]. Họ gặp nhau trong các diễn đàn ngầm có tên như DarkMarket.org và theftservices.com để trao đổi các mẹo và dữ liệu cũng như điều phối các cuộc tấn công. Mục tiêu phổ biến là tệp thẻ tín dụng tại máy chủ thương mại điện tử. Những kẻ tấn công cố gắng giành quyền truy cập root. Các số thẻ được sử dụng bởi tổ chức các băng nhóm tội phạm để mua các mặt hàng đắt tiền và sau đó được đưa lên các trang web của người chơi bài, nơi những người khác có thể truy cập và sử dụng số tài khoản; điều này che khuất các kiểu sử dụng và làm phức tạp việc điều tra.

Security:  sự xâm phạm dữ liệu và phần mềm

Trong khi các tin tặc truyền thống tìm kiếm các mục tiêu cơ hội, thì các tin tặc tội phạm thường có các mục tiêu cụ thể, hoặc ít nhất là các lớp mục tiêu trong tâm trí. Khi một trang web được phát hiện, kẻ tấn công sẽ hành động nhanh chóng, thu thập càng nhiều thông tin có giá trị càng tốt và thoát ra.

IDS và IPS cũng có thể được sử dụng cho những loại kẻ tấn công này, nhưng có thể kém hiệu quả hơn vì tính chất vào ra nhanh chóng của cuộc tấn công. Đối với các trang thương mại điện tử, mã hóa cơ sở dữ liệu nên được sử dụng cho thông tin nhạy cảm của khách hàng, đặc biệt là thẻ tín dụng. Đối với các trang thương mại điện tử được lưu trữ (do dịch vụ bên ngoài cung cấp), tổ chức thương mại điện tử nên sử dụng máy chủ chuyên dụng (không được sử dụng để hỗ trợ nhiều khách hàng) và giám sát chặt chẽ các dịch vụ bảo mật của nhà cung cấp.

INSIDER ATTACKS

Các cuộc tấn công nội gián là một trong những cuộc tấn công khó phát hiện và ngăn chặn nhất. Nhân viên đã có quyền truy cập và kiến ​​thức về cấu trúc và nội dung củacơ sở dữ liệu của công ty. Các cuộc tấn công nội gián có thể được thúc đẩy bởi sự trả thù hoặc đơn giản là cảm giác được hưởng. Một ví dụ trước đây là trường hợp của Kenneth Patterson, bị sa thải khỏi vị trí giám đốc truyền thông dữ liệu của American Eagle Outfitters. Patterson đã vô hiệu hóa khả năng của công ty trong việc xử lý các giao dịch mua bằng thẻ tín dụng trong năm ngày của kỳ nghỉ lễ năm 2002.

Luôn luôn có nhiều nhân viên cảm thấy có quyền mua thêm đồ dùng văn phòng để sử dụng tại nhà, nhưng điều này giờ đã mở rộng sang dữ liệu của công ty. Một ví dụ là của một phó giám đốc bán hàng của một công ty phân tích chứng khoán đã bỏ việc để đến với một đối thủ cạnh tranh. Trước khi đi, cô ấy đã sao chép cơ sở dữ liệu khách hàng để mang theo bên mình. Người vi phạm cho biết không cảm thấy có ác cảm với nhân viên cũ của mình; cô ấy chỉ muốn dữ liệu vì nó sẽ hữu ích cho cô ấy.

Mặc dù các cơ sở IDS và IPS có thể hữu ích trong việc chống lại các cuộc tấn công nội gián, các cách tiếp cận trực tiếp hơn khác được ưu tiên cao hơn. Ví dụ bao gồm những điều sau:

  • Thực thi đặc quyền ít nhất, chỉ cho phép truy cập vào các tài nguyên mà nhân viên cần để thực hiện công việc của họ.
  • Đặt nhật ký để xem những gì người dùng truy cập và những lệnh nào họ đang nhập.
  • Bảo vệ nhạy cảm tài nguyên có xác thực mạnh mẽ.
  • Sau khi chấm dứt, hãy xóa quyền truy cập mạng và máy tính của nhân viên.
  • Sau khi chấm dứt, hãy tạo một hình ảnh phản chiếu của ổ cứng của nhân viên trước khi quay trở lại kiện nó. Bằng chứng đó có thể cần thiết nếu thông tin công ty của bạn xuất hiện trước đối thủ cạnh tranh.

Trong phần này, chúng ta xem xét các kỹ thuật được sử dụng để xâm nhập. Sau đó, chúng tôi kiểm tra các cách để phát hiện sự xâm nhập.

Security:  sự xâm phạm dữ liệu và phần mềm

Intrusion Techniques 

Mục tiêu của kẻ xâm nhập là có được quyền truy cập vào hệ thống hoặc tăng phạm vi của đặc quyền có thể truy cập trên một hệ thống. Hầu hết các cuộc tấn công ban đầu sử dụng khả năng lưu hóa hệ thống hoặc phần mềm cho phép người dùng thực thi mã mở cửa sau vào hệ thống. Ngoài ra, kẻ xâm nhập cố gắng lấy thông tin đáng lẽ phải được bảo vệ. Trong một số trường hợp, thông tin này ở dạng mật khẩu người dùng. Với kiến ​​thức về mật khẩu của một số người dùng khác, kẻ xâm nhập có thể đăng nhập vào hệ thống và thực hiện tất cả các đặc quyền dành cho người dùng hợp pháp.

Thông thường, một hệ thống phải duy trì một tệp liên kết mật khẩu với mỗi người dùng được ủy quyền. Nếu một tệp như vậy được lưu trữ mà không được bảo vệ, thì việc truy cập vào nó và tìm hiểu mật khẩu là một vấn đề dễ dàng. Tệp mật khẩu có thể được bảo vệ theo một trong hai cách:

  • One-way function:  Hệ thống chỉ lưu trữ giá trị của một hàm dựa trên mật khẩu của người dùng. Khi người dùng xuất trình mật khẩu, hệ thống sẽ biến đổi mật khẩu đó và so sánh mật khẩu đó với giá trị được lưu trữ. Trong thực tế, hệ thống thường thực hiện phép biến đổi một chiều (không thể đảo ngược), trong đó mật khẩu được sử dụng để tạo khóa cho hàm một chiều và trong đó đầu ra có độ dài cố định được tạo ra.
  • Access control: Quyền truy cập vào tệp mật khẩu bị giới hạn ở một hoặc một số tài khoản.

Nếu một hoặc cả hai biện pháp đối phó này được áp dụng, thì cần phải có một số nỗ lực để kẻ xâm nhập tiềm năng tìm hiểu mật khẩu. Trên cơ sở khảo sát tài liệu và  phỏng vấn một số người bẻ khóa mật khẩu, báo cáo các kỹ thuật sau để học mật khẩu:

  1. Hãy thử mật khẩu mặc định được sử dụng với các tài khoản tiêu chuẩn được vận chuyển cùng với hệ thống. Nhiều quản trị viên không bận tâm đến việc thay đổi các giá trị mặc định này.
  2. Hãy thử tất cả các mật khẩu ngắn (từ một đến ba ký tự).
  3. Thử các từ trong hệ thống trực tuyến từ điển hoặc danh sách các mật khẩu có thể có. Ví dụ về cái sau có sẵn trên các bảng thông báo của hacker.
  4. Thu thập thông tin về người dùng, chẳng hạn như tên đầy đủ của họ, tên của vợ / chồng và con cái, hình ảnh trong văn phòng của họ và sách trong văn phòng của họ có liên quan đến sở thích.
  5. Thử số điện thoại, số An sinh xã hội và số phòng của người dùng.
  6. Hãy thử tất cả các biển số xe hợp pháp cho tiểu bang này.
  7. Sử dụng một con ngựa thành Troy để bỏ qua các hạn chế về quyền truy cập.
  8. Nhấn vào ranh giới giữa người dùng từ xa và hệ thống máy chủ.

Sáu phương pháp đầu tiên là những cách đoán mật khẩu khác nhau. Nếu kẻ xâm nhập phải xác minh phỏng đoán bằng cách cố gắng đăng nhập, đó là một phương tiện tấn công tẻ nhạt và dễ bị phản công. Ví dụ: một hệ thống có thể đơn giản từ chối bất kỳ đăng nhập nào sau ba lần thử mật khẩu, do đó yêu cầu kẻ xâm nhập kết nối lại với máy chủ để thử lại. Theo những điều kiện này, việc thử nhiều mật khẩu là không thực tế. Tuy nhiên, kẻ xâm nhập khó có thể thử những phương pháp thô thiển như vậy. Ví dụ: nếu kẻ xâm nhập có thể truy cập với mức đặc quyền thấp vào tệp mật khẩu được mã hóa, thì chiến lược sẽ là chụp tệp đó và sau đó sử dụng cơ chế mã hóa của hệ thống cụ thể đó khi rảnh rỗi cho đến khi có mật khẩu hợp lệ cung cấp đặc quyền lớn hơn được phát hiện. Các cuộc tấn công phỏng đoán là khả thi và thực sự có hiệu quả cao, khi một số lượng lớn

Kết quả phỏng đoán có thể được thực hiện tự động và mỗi lần đoán được xác minh, mà không thể phát hiện được quá trình đoán. Phần sau của bài viết này, chúng ta có nhiều điều để nói về việc ngăn chặn các cuộc tấn công phỏng đoán.

Phương thức tấn công thứ bảy được liệt kê trước đó, con ngựa thành Troy, có thể đặc biệt khó phản bác. Ví dụ về chương trình bỏ qua các kiểm soát truy cập đã được trích dẫn trong [ALVA90]. Một người dùng có đặc quyền thấp đã tạo ra một chương trình trò chơi và mời người điều hành hệ thống sử dụng nó khi rảnh rỗi. Chương trình thực sự chơi một trò chơi, nhưng trong nền nó cũng chứa mã để sao chép tệp mật khẩu, không được mã hóa nhưng được bảo vệ quyền truy cập, vào tệp của người dùng. Vì trò chơi đang chạy dưới chế độ đặc quyền cao của nhà điều hành, nên nó có thể truy cập vào tệp mật khẩu. Cuộc tấn công thứ tám được liệt kê, khai thác dòng, là một vấn đề vật lý Bảo vệ.

Các kỹ thuật xâm nhập khác không yêu cầu học mật khẩu. Những kẻ xâm nhập có thể truy cập vào hệ thống bằng cách khai thác các cuộc tấn công chẳng hạn như tràn bộ đệm trên một chương trình chạy với các đặc quyền nhất định. Việc leo thang đặc quyền cũng có thể được thực hiện theo cách này.

Bây giờ chúng ta chuyển sang thảo luận về hai biện pháp đối phó chính: phát hiện và phòng ngừa. Phát hiện liên quan đến việc tìm hiểu về một cuộc tấn công, trước hoặc sau khi nó thành công. Phòng ngừa là một mục tiêu an ninh đầy thách thức và là một cuộc chiến khó khănlần. Khó khăn bắt nguồn từ việc người phòng thủ phải cố gắng cản phá tất cả các đợt tấn công có thể xảy ra, ngược lại kẻ tấn công được tự do tìm kiếm mắt xích yếu nhất trong chuỗi phòng thủ và tấn công vào điểm đó.

Leave a Reply