Tấn công (attack) an toàn thông tin là gì
Chúng ta cần hiểu một số thuật ngữ sau trong lĩnh vực an toàn thông tin, đó là threat, remote exploit, local exploit, vulnerability, target of evaluation, attack để có thể hiểu được các mối nguy hiểm Khi nhắc đến hacker có lẽ hầu hết chúng ta đều liên tưởng đến các trang web bị tấn công và thay đổi giao diện, việc sử dụng trái phép thẻ tín dụng hay hình ảnh của một nhóm người mang mặt nạ là các thành viên thuộc nhóm hacker Anonymous, xa hơn nữa là những thông tin mật bị đánh cắp và đăng tải trên trang web Wikileak mà chương trình truyền hình đã đưa tin. Như vậy, một cách không chính thức mọi người đều cho rằng hacker là những kẻ xấu chuyên phá hoại và ăn trộm định danh, thông tin bí mật trên mạng internet, và điều này hoàn toàn sai đặc biệt là trong lĩnh vực Pentest hay còn được gọi là kiểm thử xâm nhập hệ thống.
>>> Xem thêm: Hacker và Hành Động Của Ethical Hacker là gì? Những Kỹ Thuật Tấn CôngCó nhiều công cụ và phương pháp để tìm kiếm các lổ hỗng bảo mật, tiến hành khai thác, tấn công hệ thống. Những kỹ thuật này bao gồm trojan, backdoor, sniffer, rootkit, khai thác lỗi tràn bộ đệm Buffer Overflow hay SQL Injection … mà chúng ta sẽ thảo luận trong các phần sau. Thông thường hacker sẽ tập trung tìm kiếm các lổ hỗng bảo mật của những thành phần :
Bên cạnh các kỹ thuật trên, những cuộc tấn công được chia làm hai trạng thái hoạt động là passvie (bị động) và active (chủ động). Những cuộc tấn công bị động thường khó dò tìm hơn vì không tương tác trực tiếp vào hệ thống hay đường truyền mà chỉ âm thầm thu thập các thông tin, dữ liệu. Nghe lén hay sniffing là dạng tấn công thuộc loại này, những hacker nghe lén dữ liệu được gọi là sniffer và thường tập trung vào tính riêng tư của thông tin. Trong khi đó dạng tấn công chủ động có sự tương tác trực tiếp vào hệ thống xác thực hay đường truyền làm thay đổi tính toàn vẹn, ảnh hưởng đến khả năng đáp ứng của dữ liệu. Những dạng tấn công thuộc loại này như DDoS, Scan Port … Bên cạnh sự phân loại tấn công dựa trên trạng thái hoạt động thì chúng ta còn xác định chúng theo vị trí địa lý là ở phía bên trong hay bên ngoài hệ thống tương ứng với các thuật ngữ là insise hay outside. Những kẻ tấn công inside là các insider thường là nhân viên hay những người có mối liên quan trực tiếp đối với tổ chức, vì vậy tác động của dạng tấn công này rất lớn và nguy hiểm. Theo một số thông kê thì có tới 80 % tác nhân gây mất mát thông tin là những thành viên bên trong của hệ thống. Tuy nhiên, những thành viên bên ngoài lại có những mối nguy hiểm khác vì họ thường đông đảo hơn, có trình độ kỹ thuật cao và mục tiêu tấn công của họ thường nhắm vào những hệ thống ít được bảo vệ hay có sự giao tiếp với môi trường công cộng (còn được gọi là môi trường không tin cậy) như các máy chủ cơ sở dữ liệu, trang web.
Nguyen Thi Thu Giang @NguyenThiThuGiang Đã đăng vào thg 9 26, 2021 3:41 SA 19 phút đọc
Tấn công mạng hay còn gọi là chiến tranh trên không gian mạng. Có thể hiểu tấn công mạng là hình thức tấn công xâm nhập vào một hệ thống mạng máy tính, cơ sở dữ liệu, hạ tầng mạng, website, thiết bị của một cá nhân hoặc một tổ chức thông qua mạng internet với những mục đích bất hợp pháp.
Tấn công bị động (Passive attack) Trong kiểu tấn công này, các hacker sẽ kiểm soát các traffic không được mã hóa và tìm kiếm mật khẩu không được mã hóa (clear text password), các thông tin nhạy cảm có thể được sử dụng trong các kiểu tấn công khác. Các cuộc tấn công bị động bao gồm các hoạt động như:
Các cuộc tấn công này cho phép kẻ tấn công có thể xem xét các hoạt động tiếp theo. Kết quả của các cuộc tấn công này là các thông tin hoặc file dữ liệu sẽ rơi vào tay kẻ tấn công mà người dùng không hề hay biết. Tấn công rải rác (Distributed attack) Tấn công nội bộ ( Insider attack) Tấn công giả mạo (Phishing ttack)
Phishing là hình thức tấn công hacker giả mạo thành một đơn vị/cá nhân uy tín để chiếm lòng tin của người dùng, thông thường qua email. Mục đích của tấn công giả mạo (phishing) là đánh cắp dữ liệu nhạy cảm như thông tin thẻ tín dụng, mật khẩu, đôi khi phishing là một hình thức để lừa người dùng cài đặt malware vào thiết bị của họ (khi đó phishing là một công đoạn trong tấn công bị động). Tấn công chiếm đoạt phiên (Session Hijacking attack)
Hijack attack là dạng tấn công an ninh mạng trong đó phiên làm việc của người dùng sẽ bị kẻ tấn công chiếm đoạt. Cuộc tấn công bắt đầu khi bạn đăng nhập vào một dịch vụ bất kỳ, ví dụ như: ứng dụng ngân hàng và kết thúc khi bạn đăng xuất.Về cơ bản Session hijacking attack là một biến thể của Man-in-the-middle attack chỉ khác là mục đích của Session hijacking là ăn cắp cookie còn Man-in-the-middle attack hướng tới là cái gói tin. Khi có cookie của người dùng, kẻ tấn công có thể sử dụng dịch vụ mà người dùng đã đăng nhập với vai trò như người dùng mà không cần đệ trình mật khẩu. Ngoài ra còn một loại tấn công hijacking nữa đó là DNS Hijacking. DNS Hijacking liên quan đến phần hạ tầng mạng, mục đích của nó là điều khiển mạng của người dùng tới trang web đích mà kẻ tấn công mong muốn. Tấn công mật khẩu (Password attack) Đối với cuộc tấn công mật khẩu, các hacker sẽ cố gắng “phá” mật khẩu được lưu trữ trên cơ sở dữ liệu tài khoản hệ thống mạng hoặc mật khẩu bảo vệ các tập tin. Các cuộc tấn công mật khẩu bao gồm 3 loại chính:
Tấn công khai thác lỗ hỏng bảo mật (Exploit attack) Tấn công Man-in-the-Middle Attack
Man in the Middle là kiểu tấn công mạng thường thấy nhất được sử dụng để chống lại những cá nhận và các tổ chức lớn chính, nó thường được viết tắt MITM. Có thể hiểu nôm na rằng MITM giống như một kẻ nghe trộm. MITM hoạt động bằng cách thiết lập các kết nối đến máy tính nạn nhân và chuyển tiếp dữ liệu giữa chúng. Trong trường hợp bị tấn công, nạn nhân cứ tin tưởng là họ đang truyền thông một cách trực tiếp với nạn nhân kia, nhưng sự thực thì các luồng truyền thông lại bị thông qua host của kẻ tấn công. Và kết quả là các host này không chỉ có thể thông dịch dữ liệu nhạy cảm mà còn có thể gửi xen vào cũng như thay đổi luồng dữ liệu để kiểm soát sâu hơn những nạn nhân của nó. Tấn công phá mã khóa (Compromised-key attack) Mã khóa ở đây là mã bí mật hoặc các con số quan trọng để “giải mã” các thông tin bảo mật. Mặc dù rất khó để có thể tấn công phá một mã khóa, nhưng với các hacker thì điều này vẫn có thể xảy ra. Sau khi các hacker có được một mã khóa, mã khóa này sẽ được gọi là mã khóa gây hại. Hacker sử dụng mã khóa này để giành quyền truy cập các thông tin liên quan mà không cần phải gửi hoặc nhận các giao thức tấn công. Với các mã khóa gây hại, các hacker có thể giải mã hoặc sửa đổi dữ liệu. Tấn công vào yếu tố con người (Social engineering) Kẻ tấn công có thể liên lạc với một người quản trị hệ thống, giả làm một người sử dụng để yều cầu thay đổi mật khẩu, thay đổi quyền truy nhập của mình đối với hệ thống, hoặc thậm chí thay đổi một số cấu hình của hệ thống để thực hiện các phương pháp tấn công khác. Với kiểu tấn công này không một thiết bị nào có thể ngăn chặn một cách hữu hiệu, và chỉ có một cách giáo dục người sử dụng mạng nội bộ về những yêu cầu bảo mật để đề cao cảnh giác với những hiện tượng đáng nghi. Nói chung yếu tố con người là một điểm yếu trong bất kỳ một hệ thống bảo vệ nào, và chỉ có sự giáo dục cộng với tinh thần hợp tác từ phía người sử dụng có thể nâng cao được độ an toàn của hệ thống bảo vệ. Tấn công cơ sở dữ liệu (SQL Injection) Tấn công SQL Injection là một kĩ thuật cho phép những kẻ tấn công lợi dụng lỗ hổng trong việc kiểm tra dữ liệu nhập trong các ứng dụng web và các thông báo lỗi của hệ quản trị cơ sở dữ liệu để "tiêm vào" (inject) và thi hành các câu lệnh SQL bất hợp pháp (không được người phát triển ứng dụng lường trước). Hậu quả của nó rất tai hại vì nó cho phép những kẻ tấn công có thể thực hiện các thao tác xóa, hiệu chỉnh, … Lỗi này thường xảy ra trên các ứng dụng web có dữ liệu được quản lí bằng các hệ quản trị cơ sở dữ liệu như SQL Server, MySQL, Oracle, DB2, Sysbase. Các dạng tấn công cơ sở dữ liệu:
Tấn công từ chối dịch vụ DoS (Denial of Service) DoS (Denial of Service) có thể mô tả như hành động ngăn cản những người dùng hợp pháp của một dịch vụ nào đó truy cập và sử dụng dịch vụ đó. Nó bao gồm cả việc làm tràn ngập mạng, làm mất kết nối với dịch vụ… mà mục đích cuối cùng là làm cho server không thể đáp ứng được các yêu cầu sử dụng dịch vụ từ các client. Các cách thức tấn công:
Tấn công từ chối phản xạ phân tán DRDoS ( Distributed Reflection Denial of Service) Tấn công từ chối dịch vụ phân tán DDoS (Distributed Denial of Service) DDoS (DDoS (Distributed Denial of Service) là tấn công từ chối dịch vụ phân tán và là phiên bản nâng cấp của DoS vì rất khó bị ngăn chặn. Hậu quả sau tấn công DDoS là sự sụp đổ của cả một hệ thống máy chủ trực tuyến. DDoS được thực hiện bằng cách tăng lượng truy cập trực tuyến từ nhiều nguồn đến máy chủ. Từ đó khiến máy chủ cạn kiệt tài nguyên lẫn băng thông. DDoS không chỉ dùng một máy tính để tấn công mà còn lợi dụng hàng triệu máy tính khác. Chúng cộng hưởng lại sẽ tạo ra các “đợt sóng thần” traffic. Do được phân tán thành nhiều điểm truy cập có dải IP khác nhau, DDoS mạnh hơn DoS rất nhiều. Thường rất khó để nhận biết hoặc ngăn chặn các cuộc tấn công DDoS. Có 2 loại tấn công DDoS:
Nguồn: All rights reserved |