Translate - Cơ bản về Hacking và Security

Chào các bạn, trong thế giới về công nghệ thông tin luôn tồn tại 2 phe đối nghịch nhau Hacking và Security. Trong khi đó, phía Hacking là những người tìm cách phá hoại, đánh cắp thông tin nhằm mục đích xấu thì Security lại là những người phải bảo vệ các hoạt động trong môi trường công nghệ thông tin khỏi tay các hackers. Mình sẽ dịch một bài viết về chủ đề này có tiêu đề là Hacking and Basic Security nằm trong cuốn sách Hacking: Computer Hacking, Security Testing, Penetration Testing and Basic Security của 2 tác giả Gary Hall và Erin Watson.

---

Giới thiệu

Phần lớn mọi người thường nhận thức rằng các hackers và người dùng có ý đồ xấu có thể tấn công hệ thống của họ. Tuy nhiên, đa phần mọi người thực sự không hiểu được các cuộc tấn công mà các hệ thống có nhiều lỗ hổng, dấu hiệu để các hackers có thể xâm nhập hệ thống của họ.

Nhận dạng các cuộc tấn công của các hackers

Người dùng có ý định xấu có thể khai thác lổ hỗng hệ thống của bạn bằng rất nhiều cách. Một cuộc tấn công có thể đến từ nhiều cách khai thác hoặc một vài con backdoor mà đã tấn công trước đó.

Đây là lý do mà rất khó nhận dạng được bạn có đang bị hack hay không, đặc biệt nếu như bạn không có kinh nghiệm. Nếu bạn muốn học cách để trở thành một hacker đạo đức, khá quan trọng để nhận dạng ai đang tấn công hệ thống của bạn. Nó còn bao gồm các hướng dẫn giúp bạn tránh khỏi các cuộc tấn công mà hacker gây ra cho bạn.

Các hướng dẫn dưới đây phụ thuộc vào việc máy tính của bạn chạy hệ điều hành Windows hay hệ điều hành UNIX.

Đối với hệ điều hành Windows:

• Một lượng traffic mạng cao ngất ngưỡng không thường thấy cũng là một dấu hiệu xấu. Có thể bạn sử dụng đường truyền ADSL hoặc tài khoản kết nối đàm thoại và bạn nhận ra lượng traffic đáng ngờ, mặc dù bạn không hề tải lên bất kỳ thứ gì, có thể hệ thống của bạn đang bị tấn công. Một hacker có ý đồ có thể sử dụng máy tính của bạn để gửi spam hoặc một network worm để tự nhân bản và thay thế các tài liệu trong máy tính của bạn. Nếu bạn sử dụng cáp để truy cập mạng thì rất khó để nhận dạng vì luồng traffic trong và ngoài hầu như giống nhau.
• Nâng cao mức độ hoạt động của ổ đĩa và các file không xác định trong thư mục root của bạn. Hầu hết các hacker có xu hướng thực hiện một hoạt động scans lớn trên các mục tiêu mà chúng nhắm tới, tìm kiếm bất kỳ tài liệu hoặc file có giá trị nào. Scans sẽ tăng hoạt động của các ổ đĩa khi các máy tính nằm ở trạng thái idle (nhàn rỗi). Các hoạt động scans này nhằm khai thác mật khẩu các websites, các tài khoản giao dịch hay thông tin tài khoản ngân hàng. Đôi khi có một số dạng worm có thể gây ảnh hưởng tới hệ thống của bạn và tự động tìm kiếm tới các tài liệu có chứa danh sách địa chỉ emails. Điều này dẫn đến có thể spread (lây lan) tới những người dùng. Nếu bạn nhận dạng hoạt động bất thường của ổ đĩa cùng với các thư mục với tên đáng ngờ, khi đó bạn có thể đã bị hacked hoặc bị lây nhiễm malware (nếu muốn biết thêm về malware có thể xem bài viết này).
• Tường lửa cá nhân của bạn dừng một lượng lớn các gói tin từ một địa chỉ nguồn. Các hackers có thể viết ra một công cụ tự động tìm nhiều cách để lợi dụng điều này kiểm soát hệ thống. Đó cũng là dấu hiệu cho thấy tường lửa của bạn đang bị các hackers lợi dụng để tấn công. Có một sự thật rằng tường lủa của bạn dừng các đợt tấn công này là tốt, nhưng sẽ đôi khi gây ra nhiều vấn đề về việc hacker lợi dụng để đánh dấu vào một dịch vụ FTP trong hệ thống khi bạn online. Cách tốt nhất là bạn sẽ chặn địa chỉ IP của hacker đó cho tới khi họ ngừng kết nối tới hệ thống của bạn.
• Một trường hợp khác nữa là phần mềm diệt virus của bạn thông báo máy tính của bạn có Trojans và backdoors (đọc bài viết về malware tại đây để hiểu thêm nhé). Những sai lầm dễ gây hiểu lầm nhất là chúng ta luôn nghĩ các hackers sẽ luôn thiết lập tấn công bằng nhiều cách, nhưng thực ra họ sẽ luôn nghĩ ra cách tấn công nào mà chúng ta dễ mắc sai phạm nhất. Ví dụ, hệ thống của bạn có nhiều nhiều rủi ro tiềm ẩn, các hackers sẽ đơn giản sử dụng Trojans hoặc backdoors để chiếm lấy hoàn toàn quyền kiểm soát máy tính. Về điều đó, phần mềm diệt virus sẽ đưa ra các báo cáo về malware và bạn chưa thực hiện thay đổi nào trên máy tính gần đây nhất, khi đó sẽ có người chiếm lấy quyền truy cập điều khiển hoàn toàn.

Đối với hệ điều hành UNIX:

• Nhiều tập tin với các tên dễ gây nghi ngờ trong thư mục /tmp của bạn. Nhiều hacker sẽ lợi dụng điều này để tạo ra các tập tin tạm thời (temporary file) và giấu chúng trong thư mục /tmp. Các tập tin này thường không thể xoá được bằng cách thông thường, do đó sẽ khiến cho các hackers dễ xâm nhập vào hệ thống hơn. Đôi khi cũng thường thấy một số "sâu máy tính" (worms) xuất hiện nhắm vào mục tiêu là các máy hệ điều hành UNIX. Họ có thể tự làm ở nhà trong thư mục /tmp và sử dụng để thay thế nó với thư mục /tmp hiện tại. Bạn cần phải thận trọng để nhận ra các dấu hiệu này.
• Thêm một dịch vụ dễ gây nghi ngờ nữa là thư mục /etc/services chứa các tập tin dịch vụ. Nhiều hackers thường thêm vào nhiều dòng text lạ ở dưới để mở đường cho một backdoor vào trong hệ thống. Một hacker thường sẽ nhắm đến 2 mục tiêu dễ nhất - /etc/services và /etc/ined.conf. Những files này bạn cần phải để mắc đến trong các phần mềm monitor để kiểm tra xem có dấu hiệu hoạt động của backdoor hay không.
• Sửa đổi các tập tin hệ thống bao gồm trong thư mục /etc. Một hacker thường sẽ tạo ra một profile cho người dùng mới và họ sẽ sử dụng nó để đăng nhập vào trong hệ thống của bạn. Những thay đổi này có thể thay thế đến các tập tin trong 2 thư mục /etc/shadow và /etc/passwd (mình sẽ đề cập đến vấn đề này trong các bài viết sắp tới). Nếu bạn đang sử dụng một hệ thống có nhiều người dùng, bạn phải luôn luôn cẩn trọng kiểm tra bất kỳ tên người dùng nào hoặc các tập tin mật khẩu kèm theo.

Linux/Unix và Windows

Các kiểu tấn công

Có nhiều cách khác nhau để một hacker có thể thực hiện một cuộc tấn công vào trong hệ thống của bạn. Các hệ thống có thể sẽ trở nên nhiều rủi ro hơn trong một vài thời điểm do truyền thông, điện toán đám mây và ảo hoá. Chúng ta càng nâng cao về mặt chất lượng công nghệ, sẽ càng xuất hiện nhiều môi trường IT dễ gây mất an ninh. Thường thì có 3 dạng tấn công điển hình mà các hackers có thể thực hiện tấn công trên hệ thống. Đó là các kiểu tấn công Vật lý, kiểu tấn công Cú pháp và kiểu tấn công Ngữ nghĩa.

Kiểu tấn công Vật lý là kiểu tấn công mà các hackers sử dụng các vũ khí truyền thống như lửa hoặc lựu đạn để phá huỷ dữ liệu. Nó có thể gây ra các tác nhân khác như phá huỷ các công trình hoặc các trang thiết bị, tệ hơn nữa là phá huỷ những dữ liệu nhạy cảm (mật khẩu, tài sản các nhân, mạng lưới internet, v.v).

Kiểu tấn công Cú pháp là kiểu tấn công mà các loại malware như virus, worms, Trojan horse được sử dụng để thâm nhập và phá huỷ hệ thống. Một trong những cách thường thấy nhất là dạng này được đính kèm theo với thư điện tử (email).

Kiểu tấn công Ngữ nghĩa là kiểu tấn công khi mà hacker thường khéo léo tiếp cận mục tiêu, lấy sự tự tin và gây ra các hệ thống bị lỗi và kết quả thất thường. Hacker có thể thay đổi thông tin và gửi đi dưới dạng thông tin chính gốc hoặc thông tin phổ biến nhưng không chính xác.

3 kiểu tấn công này có thể được phá huỷ thông qua các mẹo về hacking. Vài trong số đó là những kỹ thuật nâng cao và tinh vi trong khi những số khác lại là những kỹ thuật thường thấy mà các hacker đạo đức sử dụng rất lâu rồi.

1. Keylogging

Một hacker có thể sử dụng một phần mềm đơn giản, được biết đến tên là keylogger, dùng để lưu lại các vết tích đã được gõ phím trên bàn phím máy tính. Phần mềm sẽ lưu lại thông tin trong một tập tin log trong máy tính bạn, cho phép có thể lấy về bởi hacker. Tập tin log này có thể bao gồm các mật khẩu của các tài khoản cá nhân của email chẳng hạn.

Kiểu tấn công keylogger

2. Denial of Service (DoS)

Đây là dạng tấn công nơi mà hacker gây ra trì hoãn một server hoặc website với hàng tỷ luồng dữ liệu yêu cầu (traffic request) và cố làm cho server đó bị "sập". Các server hoặc site bị chọn làm mục tiêu không thể handle lại một lượng lớn dữ liệu yêu cầu trong thời gian thực, điều đó dẫn đến server hoặc site sẽ bị crash. Các hackers có thể thực hiện các kiểu tấn công như thế này bằng cách tạo ra một đội quân các "máy tính zombies" (zombie computers) hay còn gọi là các botnets có thể thực hiện những công việc gửi số lượng lớn dữ liệu này đến mục tiêu.

Một hacker có thể thực hiện một cuộc tấn công DoS trên hình thức là gửi tin nhắn đến một người dùng tức thời. Hệ thống của người dùng đó sẽ bị trì hoãn với hàng tá tin nhắn từ các tài khoản khác nhau được tạo bởi hacker, do đó gây ra hệ thống không ổn định và bị treo.

Kiểu tấn công DoS

3. Phishing Attacks

Giống với tên gọi, kỹ thuật "câu cá" (phising) là một kỹ thuật lợi dụng sự mất tập trung khi họ mở thư điện tử (emails) để kiểm tra lịch làm việc hay thư sếp gửi chẳng hạn. Một hacker gửi một thư điện tử và làm nó trông giống như nó được gửi từ một nguồn đáng tin cậy (ví dụ điển hình là ngân hàng hoặc cộng đồng tình nguyện), và trong bức thư điện tử đó yêu cầu người dùng click vào một liên kết và nó sẽ gửi cho họ quyền truy cập vào tài khoản website nào đó. Liên kết này có thể có tên trùng với tên của website mà người dùng hay thường truy cập, nhưng trong thực tế thì nó sẽ dẫn người dùng đó đến một website khác và sẽ tự động cài đặt một Trojan vào trong hệ thống người dùng. Trong nhiều trường hợp, một hacker có thể gửi một thư điện tử về nội dung là đến từ một tổ chức tài chính nào đó, yêu cầu người dùng cung cấp các thông tin nhạy cảm như số tài khoản ngân hàng và mật khẩu; mặc khác, tài khoản của họ sẽ bị thu hồi.

Tấn công kiểu "câu cá"

4. Waterhole Attacks

Đây là một kỹ thuật mà hacker nhắm mục tiêu vào ai đó ở tại một nơi nào đó mà họ dễ bị truy cập nhất. Ví dụ, bạn có thể thường vào một quán cà phê ưa thích vào một ngày hẹn hò hay lịch hẹn với ai đó và tuỳ ý mở wifi công cộng để sử dụng internet chẳng hạn. Một hacker có thể giám sát lịch trình của bạn, tạo ra một điểm truy cập wifi giả mạo trong quán cà phê đó, và thay đổi website mà bạn hay truy cập để cố gắng ăn cắp thông tin cá nhân của bạn. Khi bạn kết nối tới điểm truy cập wifi giả này, hacker sẽ có toàn quyền truy cập hết các dữ liệu của bạn.

Kiểu tấn công waterhole

5. Eavesdropping and Impersonation

Đây là dạng tấn công kiểu "bị động" mà hacker có thể giám sát hệ thống để đánh cắp thông tin nhạy cảm như mật khẩu và tài khoản người dùng. Một hacker có thể đánh cắp danh tính người dùng và gửi các tin nhắn đến những người trong danh sách liên lạc của tài khoản email nạn nhân. Những người nằm trong danh sách liên lạc của nạn nhân sẽ không nhận thức được rằng họ đang chia sẻ các thông tin nhạy cảm với một người dùng không hề tồn tại. Một hacker sẽ gửi chúng đến trong một phần mềm Trojan và yêu cầu thực thi nó trên máy tính của họ, do đó cho phép hacker toàn quyền truy cập nhiều mật khẩu và tài khoản khác nữa.

Kiểu tấn công nghe trộm và mạo danh

6. Pharming

Đây cũng là một dạng tấn công kiểu "câu cá" (phishing attack) mà hacker chuyển hướng lưu lượng truy cập dành cho một website chính gốc đến một website khác giả mạo. Pharming (còn đánh vần là "farming") có thể được hoàn thành theo 2 cách: thay đổi tệp của trang chủ trên máy tính của người dùng hoặc khai thác lỗ hổng trong phần mềm của máy chủ DNS của website. Máy chủ DNS đóng vai trò điều hướng các người dùng đang online đến với website mà họ mong muốn. Nếu một máy chủ DNS bị xâm phạm, các người dùng sẽ đơn giản là bị dẫn đến các website mà hacker muốn. Kiểu tấn công này thường nhắm vào các ngân hàng trực tuyến và các website thương mại.

Kiểu tấn công Pharming

7. Clickjacking

Kỹ thuật này cũng được biết đến là kiểu tấn công dựa trên giao diện người dùng. Một hacker có thể ẩn giấu vài đoạn code có hại bên dưới một nút hoặc liên kết trên một website. Khi một người dùng không tập trung click vào cái nút hoặc liên kết đó, đoạn code sẽ được thực thi. Nói cách khác, bạn click vào một thứ gì đó bạn có thể thấy, nhưng bạn không ngờ điều gì đó không đúng nó sẽ xảy ra.

Lấy ví dụ khác, một người dùng đi đến một website và khi họ đã vào xong, họ quyết định click vào nút "X" ngay trên cùng cửa sổ để đóng cửa sổ. Tuy nhiên, họ không thể ngờ rằng điều đó sẽ dẫn đến việc hacker có thể ẩn giấu ngay dưới đó một nút "tàng hình" khác và sẽ tự động thực thi việc tải về một Trojan horse, mở webcam máy tính hoặc xoá một vài quy luật của tường lửa máy tính bạn. Website có thể xem là hợp pháp nhưng nó có thể bị lợi dụng để bị hack và thao túng. Hoặc, một hacker có thể thay thế một website được xem là phổ biến và đăng các liên kết online hoặc gửi các thư điện tử kèm theo những liên kết này.

Kiểu tấn công clickjacking

8. Cookie Theft

Kiểu tấn công ăn cắp cookie thường xảy ra khi hacker cố ăn cắp cookie mà người dùng được đưa bởi một website. Hacker khi đó sử dụng cookie cùng với cookie mà người dùng được đưa để mạo danh cho phiên session mà người dùng đã đăng nhập. Đó là lý do tại sao kẻ cắp cookie thường xem xét dạng tấn công session hijacking (Session Hijacking là hình thức tấn công vào phiên làm việc giữa client và server cách đánh cắp cookie của người sử dụng sau khi họ đã qua bước xác thực với máy chủ, sau đó sẽ chiếm quyền điều khiển của phiên làm việc này). Ví dụ rằng, mỗi lần người dùng đăng nhập vào tài khoản Facebook (mạng xã hội phổ biến nhất hiện nay), website sẽ xác thực rằng cookie đã được chứng thực nhận dạng người dùng đó trong quá trình phiên làm việc diễn ra. Nếu người dùng đang lướt internet ở một nơi công cộng có wifi miễn phí - tất nhiên là wifi chưa được mã hoá, một hacker có thể sử dụng phần mềm để đọc, sao chép và sử dụng cookie. Hacker có thể sẽ đăng các tin nhắn, thay đổi hồ sơ người dùng và hơn thế nữa.

Kiểu tấn công sessiong hijacking khác bao gồm cả việc lắng nghe (sniffing) và tấn công dạng Evil Twin (kiểu tấn công Evil Twin mà hacker sẽ tạo ra một điểm truy cập wifi giả mạo, và một khi bạn đăng nhập vào mạng wifi do chúng tạo ra thì mọi thông tin, dữ liệu của bạn gửi đi chúng đều nắm được hết.). Sniffing là kiểu tấn công mà hacker sử dụng một loại phần mềm chặn thông tin được gửi hoặc nhận bởi một thiết bị cụ thể. Kiểu tấn công Evil Twin tham gia vào việc tạo mạng lưới wifi giống như thật nhưng thực sự là không. Các người dùng thường vô thức tham gia vào mạng lưới này, do đó cho phép hacker có thể thực hiện một cuộc tấn công man-in-the-middle.

Kiểu tấn công ăn cắp cookie

9. Man-in-the-middle Attack

Kiểu tấn công này cũng thường hay được viết tắt thành MiM hay MitM - là kiểu tấn công mà hacker là người ở giữa để chặn các tin nhắn được trao đổi giữa 2 cá thể và mạo danh luôn cả 2, do đó có thể thu thập thông tin được gửi từ 2 bên. 2 cá thể này sẽ không nhận thức được việc ai là người giao tiếp với mình khi nằm ngoài phạm vi. Đây là dạng tấn công lắng nghe thời gian thực cho phép kẻ xâm nhập thao túng những người khác bằng cách tiêm nhiễm những thông tin sai vào trong cuộc nói truyện online như là tài khoản ngân hàng và mật khẩu. Cuộc nói chuyện có thể giữa 2 người hoặc giữa máy client và máy server. Các website tài chính thường là các mục tiêu chủ yếu cho các dạng tấn công kiểu này.

Kiểu tấn công MitM

10. Spyware

Đây là một phần mềm máy tính mà hacker cài đặt trong máy tính nạn nhân để thu thập các thông tin nhạy cảm mà không để nạn nhân biết. Phần mềm có thể được cài đặt từ xa mà không cần phải giao tiếp trực tiếp với máy tinh nạn nhân. Không giống như worms và các virus khác, spyware không thể tự lây lan đến các thiết bị khác.

Hacker biết rằng người dùng sẽ chẳng bao giờ tải xuống phần mềm spyware cả, vì thế họ thường cài nó vào trong một phần mềm hợp lệ khác giống như các công cụ đa dụng phổ biến hoặc các phần mềm chống spyware. Người dùng sẽ đơn giản là tải xuống và chạy phần mềm từ internet mà không nhận thức được rằng họ đang bị theo dõi. Một vài phần mềm spyware được đính kèm với đĩa CD hoặc phần mềm chia sẻ nào đó. Người dùng cũng có thể bị tricked bằng cách click vào nút hoặc liên kết trên bề mặt xuất hiện để bảo vệ họ khỏi những phần mềm tải xuống không mong muốn. Ví dụ, một hộp thoại có thể xuất hiện với một hình quảng cáo về một phần mềm tối ưu hệ thống nào đó. Người dùng sẽ được yêu cầu click vào "Yes" hoặc "No", nhưng thường thì có nhấn vào đâu thì spyware vẫn sẽ tự động tải xuống.

Kiểu tấn công spyware

---

Tóm tắt

Mình đã chia sẻ cho các bạn về các khái niệm độc lập giữa Hacking và Security trong môi trường an ninh mạng. Ngoài ra, mình còn đưa ra các cách thức mà các hacker lợi dụng các sơ hở của người dùng hoặc các lỗ hổng của hệ thống để khai thác tấn công nhằm ý đồ xấu. Cám ơn các bạn đã xem bài viết này.