MỤC LỤC
I. Giới thiệu
II. Một số tấn công trên môi trường mail
1. Hiểm họa bị đọc len
2. Vấn đề thu thập
3. Phan tich đường truyền
4. Giả mạo
5. Bom thư
III. Một số công cụ sử dụng trong tấn công mail
1. Đọc trộm Yahoo Mail với Ferret, Cookie Editor & Cain
2. Phân tích gói tin với WIRESHARK
IV. Tổng Kết
25 trang |
Chia sẻ: netpro | Lượt xem: 1714 | Lượt tải: 5
Bạn đang xem trước 20 trang tài liệu Đề tài Một số tấn công trên môi trường mail, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ư điện tử, các thông tin được trao đổi qua dịch vụ này cũng trở nên đa dạng và phong phú (từ những thông tin trao đổi thông thường cho đến các thông tin liên quan đến sự thành bại của một công ty, tổ chức hay thậm chí là của cả một đất nước). Khi giá trị thông tin được trao đổi qua thư điện tử tăng lên đã kéo theo sự ra đời của nhiều phương pháp tấn công vào các hệ thống thư tín nhằm phá hoại hệ thống, ăn cắp thông tin, ... Do vậy việc đảm bảo an toàn cho những thông tin được trao đổi qua đường thư điện tử cũng là một vấn đề đã, đang được quan tâm và đầu tư nhiều không chỉ đối với những nhà xây dựng phần mềm thư điện tử mà ngay cả với các tổ chức, công ty, hay cá nhân sử dụng dịch vụ thư tín điện
Một số tấn công trên môi trường mail
Hiểm họa đọc lén
Còng nh ®èi víi c¸c ứng dông kh¸c trªn m¹ng (c¸c phiªn ®¨ng nhËp tõ xa, t¶i th«ng tin sö dông ftp, héi tho¹i trùc tuyÕn, ...), th tÝn ®iÖn tö còng cã thÓ bÞ ®äc lÐn. Nhng ai lµ ®èi tîng muèn ®äc lÐn néi dung th cña b¹n? C©u tr¶ lêi phô thuéc vµo b¹n lµ ai, b¹n ®ang lµm g×, vµ ai quan t©m ®Õn viÖc b¹n ®ang lµm. Díi ®©y lµ mét vµi ®èi tîng cã thÓ ®äc lÐn th cña b¹n.
ChÝnh phñ níc ngoµi
C¸c tæ chøc t×nh b¸o qu©n sù níc ngoµi lµ c¸c ®èi tîng nghe trém víi nh÷ng thiÕt bÞ tinh vi hiÖn ®¹i nhÊt. §äc trém néi dung th c¸ nh©n lµ nghÒ cña hä. Khi b¾t ®Çu thêi kú chiÕn tranh l¹nh, mçi n¨m hä ®· ®Çu t nhiÒu tû §« la cho viÖc thu thËp, biªn dÞch vµ ph©n tÝch d÷ liÖu cña ®èi ph¬ng göi qua m¹ng. HiÖn t¹i khi thêi kú chiÕn tranh l¹nh ®· kÕt thóc, nhng kh«ng cã g× cã thÓ kh¼ng ®Þnh hä kh«ng thùc hiÖn nh÷ng g× hä ®· tõng lµm.
Mèi quan hÖ gi÷a qu©n ®éi Mü vµ c¸c tæ chøc t×nh b¸o lµ mét mét quan hÖ “mê ¸m”, cã rÊt nhiÒu øng dông ®îc x©y dùng bëi qu©n ®éi Mü hiÖn ®ang ®îc sö dông trong lÜnh vùc th¬ng m¹i. ë mét sè níc, môc tiªu thu thËp tin tøc cña hä lµ nh»m vµo c¸c c«ng ty níc ngoµi, th«ng tin thu thËp ®îc sÏ ®îc sö dông lµm c«ng cô c¹nh tranh cho c¸c c«ng ty thuéc níc b¶n ®Þa. NhËt B¶n vµ Ph¸p lµ hai níc næi tiÕng nhÊt trong viÖc “ph¹m téi” theo kiÓu nµy, tÊt nhiªn c¸c níc ph¸t triÓn kh¸c còng hoµn toµn cã thÓ lµm ®îc ®iÒu ®ã. VÝ dô NSA ®· tõng bÞ buéc téi lµ cã hµnh vi chÆn c¸c cuéc ®iÖn tho¹i gi÷a hai níc Ch©u Âu ®Ó ¨n c¾p th«ng tin vµ b¸n cho c¸c ®èi tîng c¹nh tranh kh¸c.
ChÝnh phñ trong níc
ViÖc sö dông gi¸n ®iÖp c«ng nghÖ ®èi víi c«ng d©n níc m×nh nhiÒu nhÊt ®îc biÕt ®Õn lµ c¸c níc nh Trung Quèc, B¾c TriÒu Tiªn, Cuba. §èi víi Ph¸p, chÝnh phñ chØ cho phÐp m· ho¸ th«ng tin trao ®æi gi÷a c¸c c«ng d©n víi nhau khi thuËt to¸n m· vµ kho¸ ®îc cÊp bëi c¬ quan cã thÈm quyÒn. Cßn ®èi víi §µi Loan vµ Hµn Quèc th× hä yªu cÇu c¸c c«ng ty lo¹i bá viÖc sö dông m· ho¸ th«ng tin trong c¸c cuéc kÕt nèi tho¹i, d÷ liÖu, vµ FAX.
Trong b¶n th©n níc Mü, nhiÒu tæ chøc thuéc ChÝnh phñ còng quan t©m ®Õn viÖc ®äc trém c¸c th«ng tin c¸ nh©n ®îc trao ®æi qua th ®iÖn tö. Ch¼ng h¹n ®èi víi FBI, c¸c tæ chøc dÝnh d¸ng ®Õn chÝnh trÞ, ...
1.3 C¹nh tranh th¬ng m¹i
ViÖc kinh doanh cã thÓ bÞ do th¸m bëi c¸c c«ng ty c¹nh tranh. C¸c th«ng tin ®èi thñ cÇn quan t©m ë ®©y cã thÓ lµ danh s¸ch kh¸ch hµng, néi dung dù ¸n, kÕ ho¹ch triÓn khai, tiÒm lùc tµi chÝnh, ... VÝ dô Coca-Cola cã thÓ tr¶ hËu hÜnh cho ai biÕt ®îc kÕ ho¹ch qu¶ng c¸o míi cña Pepsi, h·ng Ford còng cã thÓ lµm nh vËy trong viÖc biÕt ®îc th«ng tin vÒ mÉu xe míi cña mét h·ng s¶n xuÊt xe h¬i kh¸c.
1.4 Téi ph¹m
C¸c ®èi tîng ph¹m téi cã thÓ thu thËp nh÷ng th«ng tin cã gi¸ trÞ tõ th ®iÖn tö, ®Æc biÖt lµ lo¹i téi ph¹m kinh tÕ. C¶nh s¸t ë nhiÒu níc ®· ph¸t hiÖn ra viÖc bä ®iÖn tö ®îc g¾n bÊt hîp ph¸p trªn c¸c kªnh ®iÖn tho¹i nh»m gi¸m s¸t vµ nghe trém th«ng tin vÒ sè thÎ tÝn dông ®îc truyÒn qua ®êng ®iÖn tho¹i. Kh«ng cã lý do nµo ®Ó cã thÓ nãi r»ng chóng kh«ng lµm t¬ng tù ®èi víi th tÝn ®iÖn tö khi c¸c th«ng ®iÖp ®îc truyÒn trªn m¹ng.
NhiÒu c«ng ty ®· më giao dÞch ®iÖn tö mua b¸n qua m¹ng Internet, vµ ®· cã nhiÒu mÆt hµng ®îc mua b¸n qua m¹ng th«ng qua thÎ tÝn dông. SÏ lµ rÊt dÔ dµng ®Ó x©y dùng vµ thiÕt lËp mét øng dông ch¹y tù ®éng quÐt c¸c th«ng ®iÖp trªn m¸y tÝnh ngêi sö dông nh»m t×m kiÕm c¸c th«ng tin vÒ sè thÎ tÝn dông trong c¸c phiªn giao dÞch ®iÖn tö nãi trªn.
1.5 B¹n bÌ ngêi th©n
Cuèi cïng, chÝnh b¹n bÌ, ngêi th©n cña b¹n còng cã thÓ lµ "gi¸n ®iÖp". Sö dông thuËt ng÷ "gi¸n ®iÖp" trong trêng hîp nµy cã thÓ lµ cha ®îc chÝnh x¸c, nhng nh÷ng ®èi tîng trªn còng cÇn ®îc quan t©m khi th tÝn ®iÖn tö ®îc sö dông ®Ó trao ®æi c¸c th«ng tin riªng t. Mét vÝ dô ®¬n gi¶n, trong m«i trêng lµm viÖc ë mét v¨n phßng, ®ång nghiÖp hoµn toµn cã thÓ quan t©m ®Õn nh÷ng th«ng tin c¸ nh©n ®îc trao ®æi qua th tÝn ®iÖn tö cña chóng ta mµ kh«ng chØ dõng l¹i ë môc ®Ých tß mß.
VÊn ®Ò thu thËp
VÊn ®Ò lín nhÊt khi muèn ®äc mét th«ng ®iÖp ®îc göi qua ®êng th tÝn ®iÖn tö cña mét ai ®ã lµ viÖc t×m nã gi÷a mét biÓn c¸c th«ng ®iÖp th tÝn ®iÖn tö kh¸c trªn m¹ng. C«ng viÖc nµy ®îc ngêi ta vÝ nh viÖc "mß kim ®¸y biÓn". Tuy lµ mét c«ng viÖc khã kh¨n nhng hiÖn vÉn cã c¸c c¬ quan hoÆc tæ chøc ®îc sinh ra ®Ó lµm c«ng viÖc ®ã. Ch¼ng h¹n, mét trong c¸c c«ng viÖc chÝnh cña NSA, NSA gi¸m s¸t c¸c luång d÷ liÖu m¸y tÝnh vµo, ra níc Mü vµ gi÷a c¸c níc kh¸c víi nhau.
NhiÖm vô thu thËp th«ng tin tõ c¸c th«ng ®iÖp th tÝn ®iÖn tö ®îc vÝ nh nhiÖm vô cña mét chµng Herculean. N¨m 1994, theo thèng kª d÷ liÖu m¸y tÝnh vµo ra níc Mü ®· ®¹t con sè nhiÒu gigabytes, víi hµng tû th«ng ®iÖp ®îc trao ®æi trong mét th¸ng. Trong ®ã gåm th tÝn ®iÖn tö, th«ng tin ®¨ng nhËp tõ xa, dÞch vô truyÒn tÖp, d÷ liÖu "chat" thêi gian thùc, ... §Ó lu tr÷ ®îc lîng d÷ liÖu trªn ®· lµ mét c«ng viÖc lín chø cha nãi g× ®Õn viÖc ®äc vµ ph©n tÝch chóng.
Tuy nhiªn ®èi víi c¸c th«ng tin cÇn quan t©m, c¸c m¸y tÝnh cã thÓ thùc hiÖn viÖc sµng läc tõ dßng d÷ liÖu trong thêi gian thùc. NSA hoµn toµn cã thÓ thùc hiÖn viÖc ®a luång d÷ liÖu vµo ra níc Mü vµo mét hÖ thèng m¸y tÝnh m¹nh, hÖ thèng m¸y tÝnh nµy sÏ thùc hiÖn viÖc t×m kiÕm d÷ liÖu mµ NSA quan t©m. HÖ thèng m¸y tÝnh nµy cã thÓ t×m kiÕm d÷ liÖu theo tõ kho¸, gi¶ sö c¸c th«ng ®iÖp th tÝn ®iÖn tö cã chøa tõ kho¸ "nuclear" (nguyªn tö), "cryptography" (mËt m·), hay "assassination" (cuéc ¸m s¸t), sÏ ®îc lu gi÷ l¹i phôc vô cho môc ®Ých ph©n tÝch sau.
Ngoµi ra cßn rÊt nhiÒu c«ng nghÖ kh¸c ®îc hÖ thèng m¸y tÝnh cña NSA sö dông. Hä cã thÓ t×m kiÕm d÷ liÖu tõ mét c¸ nh©n hoÆc mét tæ chøc cô thÓ. Hä còng cã thÓ t×m kiÕm d÷ liÖu theo mét cÊu tróc cho tríc. Tãm l¹i NSA ®îc ®Çu t rÊt nhiÒu tiÒn cho vÊn ®Ò nµy, hä ®· vµ ®ang thùc hiÖn c«ng viÖc trªn trong mét thêi gian dµi.
§iÒu quan träng nhÊt lµ hä thùc hiÖn c«ng viÖc trªn trong thêi gian thùc, vµ kh«ng nhiÒu l¾m d÷ liÖu ®îc lu. Hä hy väng r»ng d÷ liÖu mµ hä thu thËp trong ngµy nµo sÏ ®îc ph©n tÝch lu«n trong ngµy ®ã. ViÖc thu thËp d÷ liÖu sÏ trë thµnh v« gi¸ trÞ nÕu d÷ liÖu ®ã kh«ng ®îc ph©n tÝch, bëi vËy vÊn ®Ò kh¨n chÝnh lµ viÖc ph©n tÝch d÷ liÖu. NSA cã thÓ kÕt hîp rÊt nhiÒu c«ng nghÖ nh»m ph©n tÝch d÷ liÖu mµ hä quan t©m, nh mèi quan hÖ gi÷a tõ kho¸ nãi lªn d÷ liÖu cÇn t×m, ®èi tîng göi nhËn th«ng tin, ...
Ph©n tÝch ®êng truyÒn
Trong trêng hîp néi dung th ®îc m· ho¸, ®èi tîng ®äc trém (NSA ch¼ng h¹n) kh«ng thÓ ®äc néi dung th ®iÖn tö, hä cã thÓ thu thËp ®îc mét lîng th«ng tin kh«ng nhá th«ng qua viÖc ph©n tÝch ®êng truyÒn.
ViÖc ph©n tÝch ®êng truyÒn dùa vµo mét trong c¸c yÕu tè nh: b¹n göi th ®iÖn tö cho ai, b¹n nhËn th ®iÖn tö tõ ai, ®é dµi cña c¸c th«ng ®iÖp th ®iÖn tö, hoÆc khi nµo th ®iÖn tö ®îc göi. Cã rÊt nhiÒu th«ng tin Èn chøa trong c¸c yÕu tè kiÓu nh vËy nÕu hä biÕt c¸ch khai th¸c.
Tríc hÕt chóng ta h·y thö t×m hiÓu lÜnh vùc cung cÊp dÞch vô ®iÖn tho¹i. HÇu hÕt c¸c quèc gia ch©u ¢u kh«ng ghi chiÕt kho¶n môc trong c¸c ho¸ ®¬n ®iÖn tho¹i nh ®èi víi c¸c c«ng ty cña Mü. C¸c ho¸ ®¬n ®iÖn tho¹i ë ch©u ¢u chØ liÖt kª sè lîng cuéc ®µm tho¹i ®· sö dông qua mét thuª bao cô thÓ, nhng kh«ng ghi l¹i thêi ®iÓm còng nh ®Þa ®iÓm cña c¸c cuéc ®µm tho¹i ®ã. §èi víi c¸c ho¸ ®¬n thanh to¸n ®iÖn tho¹i cña Mü, trong ®ã liÖt kª chi tiÕt tÊt c¶ c¸c cuéc ®µm tho¹i ®èi víi mét sè thuª bao: thêi ®iÓm thùc hiÖn, sè ®îc gäi ®Õn, vµ thêi lîng cuéc gäi. Tõ nh÷ng th«ng tin c¸c cuéc ®µm tho¹i, c¸c c¬ quan cã chøc n¨ng cña Mü cã thÓ ph©n lo¹i c¸c ®èi tîng cÇn theo dâi hoÆc ®a vµo danh s¸ch c¸c ®èi tîng cÇn ®Ò phßng.
T¬ng tù nh vËy ®èi víi c¸c th«ng ®iÖp th tÝn ®iÖn tö. ThËm chÝ khi c¸c th«ng ®iÖp th tÝn ®iÖn tö ®· ®îc m· ho¸, phÇn ®Çu cña th«ng ®iÖp th tÝn ®iÖn tö bao giê còng thÓ hiÖn râ ®èi tîng göi, ®èi tîng nhËn, thêi ®iÓm göi, vµ ®é dµi cña th«ng ®iÖp. Trªn thùc tÕ ®· cã nh÷ng dÞch vô th tÝn ®iÖn tö “Èn danh”, nh»m che dÊu ®i nh÷ng th«ng tin chóng ta võa liÖt kª ë trªn. Tuy nhiªn theo c¸c nhµ ph©n tÝch vÒ lÜnh vùc nµy trªn thÕ giíi ®· cho r»ng ®iÒu ®ã ch¼ng cã nghÜa lý g× ®èi víi c¸c ®èi tîng nghe trém cì NSA.
Mét vÝ dô cô thÓ h¬n, gi¶ sö Eve nghi ngê Alice lµ ngêi ñng hé chñ nghÜa khñng bè. Trong khi ®ã tÊt c¶ th tÝn ®iÖn tö cña Alice ®îc c« Êy m· ho¸, bëi vËy Eve kh«ng thÓ ®äc ®îc néi dung cña c¸c th«ng ®iÖp th tÝn ®iÖn tö ®îc göi nhËn bëi Alice. Tuy nhiªn, Eve cã thÓ thu thËp tÊt c¶ c¸c th«ng tin trªn ®êng truyÒn cña Alice. Eve biÕt tÊt c¶ c¸c ®Þa chØ th ®iÖn tö cña nh÷ng ngêi mµ Alice thêng liªn l¹c. Alice thêng göi c¸c th«ng ®iÖp th tÝn ®iÖn tö dµi cho mét ngêi cã tªn lµ Bob, ngêi thêng phóc ®¸p ngay sau ®ã víi mét th«ng ®iÖp rÊt ng¾n. Cã thÓ c« Êy ®· göi Bob c¸c mÖnh lÖnh vµ anh ta phóc ®¸p l¹i viÖc ®· nhËn ®îc c¸c lÖnh ®ã. Mét ngµy nµo ®ã bçng dng cã mét bíc nh¶y vät trong viÖc trao ®æi th ®iÖn tö gi÷a Alice vµ Bob. Cã thÓ hä ®ang lËp mét kÕ ho¹ch g× ®ã. Vµ sau ®ã lµ sù im lÆng, kh«ng cã mét th«ng ®iÖp th ®iÖn tö nµo ®îc trao ®æi qua l¹i gi÷a hä. Ngµy tiÕp theo toµ nhµ chÝnh phñ bÞ ®¸nh bom. §iÒu nµy ®· ®ñ lµm b»ng chøng ®Ó b¾t gi÷ hä cha cßn tuú thuéc vµo nhiÒu b»ng chøng kh¸c, nhng Ýt nhÊt chóng ®· ®em l¹i cho c¸c c¬ quan quan t©m ®Õn lÜnh vùc nµy kh«ng Ýt th«ng tin quý gi¸.
Khñng bè kh«ng ph¶i lµ ®èi tîng duy nhÊt bÞ theo dâi th«ng qua viÖc ph©n tÝch ®êng truyÒn. ViÖc ph©n tÝch ®êng truyÒn trao ®æi th«ng ®iÖp th tÝn ®iÖn tö còng lµ mét c«ng cô ®Ó FBI c¨n cø trong viÖc ®iÒu tra téi ph¹m bu«n b¸n ma tuý.
Trong lÜnh vùc kinh tÕ x· héi, mét c«ng ty sÏ nghÜ sao khi mét thµnh viªn trong c«ng ty ®ã thêng xuyªn liªn l¹c th ®iÖn tö víi mét ®èi thñ c¹nh tranh. §iÒu g× sÏ x¶y ra nÕu mét ngêi hay ghen nhËn thÊy vî hoÆc chång m×nh thêng xuyªn liªn hÖ víi “®èi thñ tiÒm n¨ng” th«ng qua th ®iÖn tö.
Tãm l¹i viÖc ph©n tÝch ®êng truyÒn th ®iÖn tö lµ mét c«ng cô th«ng minh trong viÖc ¨n c¾p th«ng tin c¸ nh©n.
Gi¶ m¹o
Gi¶ m¹o lµ mét vÊn ®Ò an toµn kh¸c trªn m¹ng m¸y tÝnh nãi chung. Kh¸i niÖm ng¾n nhÊt vÒ gi¶ m¹o lµ viÖc ngêi nµy gi¶ danh lµ mét ngêi kh¸c. ViÖc gi¶ m¹o cã thÓ xuÊt ph¸t tõ môc ®Ých trªu ®ïa, lµm mÊt danh dù, b«i nhä ngêi kh¸c hoÆc lµ c«ng cô ®Ó lõa g¹t.
Hµng ngµy cã rÊt nhiÒu th«ng ®iÖp th tÝn ®îc göi mét c¸ch tù ®éng ®Õn hép th cña ngêi sö dông trªn m¹ng Internet, víi chñ ®Ò kiÓu nh “t«i lµ ngêi thÝch lµm phiÒn ngêi kh¸c vµ t«i tù hµo vÒ ®iÒu ®ã” hoÆc víi chñ ®Ò nh mét khÈu hiÖu trong viÖc ph©n biÖt chñng téc, ph©n biÖt giíi tÝnh. Néi dung cña c¸c th«ng ®iÖp th tÝn ®iÖn tö nµy hoµn toµn kh«ng cã ý nghÜa g×. Sau ®ã mét thêi gian l¹i cã mét th kh¸c còng xuÊt ph¸t tõ cïng mét tµi kho¶n víi lêi xin lçi vÒ viÖc ®· göi th ®iÖn tö thø nhÊt. Nãi chung kh«ng nªn tin vµo bÊt kú ®iÒu g× trong c¸c th«ng ®iÖp th tÝn kiÓu nh vËy, ®Êy chØ lµ mét trß trªu ®ïa trªn m¹ng.
Mét vÝ dô kh¸c, Eve muèn b«i nhä Alice. C« ta viÕt mét th ®iÖn tö buéc téi mét ai ®ã, viÕt tªn cña Alice ë cuèi th, gi¶ m¹o th«ng tin c¸ nh©n cña Alice trªn phÇn tiªu ®Ò cña th (®iÒu nµy ®îc thùc hiÖn mét c¸ch dÔ dµng ®èi víi c¸c tin tÆc), sau ®ã c« ta göi mét b¶n copy tíi mét t¹p chÝ nµo ®ã, nh The New York Times ch¼ng h¹n.
Mét kiÓu gi¶ m¹o kh¸c chóng ta cã thÓ lÊy vÝ dô nh kiÓu tÊn c«ng cña kÎ thø ba trong mËt m·. VÝ dô, Bob vµ Alice hîp t¸c víi nhau trong mét dù ¸n nµo ®ã, vµ hä th¬ng xuyªn trao ®æi th«ng tin víi nhau qua th ®iÖn tö. Eve gi¶ danh lµ Bob göi th ®iÖn tö cho Alice vµ nãi r»ng tµi kho¶n th ®iÖn tö tríc ®©y ®· bÞ huû bá. T¬ng tù nh vËy ®èi víi Bob vµ nÕu c¶ Bob vµ Alice ®Òu tin vµo néi dung th ®iÖn tö nhËn ®îc th× mäi liªn hÖ gi÷a Alice vµ Bob ®îc thùc hiÖn th«ng qua ngêi thø ba lµ Eve. Khi ®ã Eve sÏ biÕt mäi th«ng tin vÒ dù ¸n mµ Bob vµ Alice ®ang hîp t¸c. Eve sÏ lµ ngêi ®¸nh c¾p th«ng tin trao ®æi gi÷ Bob vµ Alice chõng nµo Bob vµ Alice cha trao ®æi trùc tiÕp hoÆc th«ng qua ®iÖn tho¹i.
HiÓm ho¹ m¹o danh cã thÓ ®îc kh¾c phôc th«ng qua viÖc sö dông ch÷ ký ®iÖn tö. Víi ch÷ ký ®iÖn tö Alice (trong vÝ dô trªn) hoµn toµn cã thÓ kiÓm tra ®îc nh÷ng th«ng ®iÖp th tÝn ®iÖn tö nµo lµ thËt sù cña Bob. Vµ còng kh«ng ai cã thÓ m¹o danh Alice ®Ó göi c¸c th«ng ®iÖp ®iÖn tö cho ngêi kh¸c.
Bom th
NÕu b¹n ®ang sö dông th ®iÖn tö, b¹n cã thÓ ®· tõng nhËn ®îc mét sè th«ng ®iÖp th ®iÖn tö ®îc göi mét c¸ch tù nguyÖn tõ mét ®Þa chØ nµo ®ã tíi mµ cha ®îc sù cho phÐp cña b¹n, nh÷ng th«ng ®iÖp th ®iÖn tö ®ã ®îc gäi lµ spam. Spam lµ mét kiÓu th r¸c trªn Internet, spam ®îc sö dông cho rÊt nhiÒu môc ®Ých: qu¶ng c¸o, quÊy rèi, ...
NÕu lµ mét ngêi míi sö dông Internet cã thÓ b¹n chØ nhËn ®îc mét sè Ýt th«ng ®iÖp ®iÖn tö kh«ng mong muèn nh trªn. Nhng khi b¹n ®· sö dông Internet ®îc mét vµi n¨m b¹n cã thÓ ®· c¶m thÊy rÊt khã chÞu khi nhËn ®îc hµng lo¹t th ®iÖn tö mµ m×nh kh«ng hÒ mong muèn.
Díi ®©y lµ mét sè kiÓu th ®iÖn tö thêng xuyªn xuÊt hiÖn trong hép th cña b¹n:
C¸c th«ng ®iÖp ®iÖn tö ®îc göi tõ c¸c c«ng ty th¬ng m¹i nµo ®ã mµ b¹n cha hÒ cã mèi quan hÖ tríc ®©y.
Th ®iÖn tö cã môc ®Ých qu¶ng c¸o cho c¸c s¶n phÈm hoÆc dÞch vô bÊt hîp ph¸p, mê ¸m hoÆc thËm chÝ lµ cã môc ®Ých ®¸nh lõa ngêi nhËn.
C¸c th ®iÖn tö ®îc göi tõ mét ®Þa chØ kh«ng râ rµng.
C¸c th kh«ng hÒ cã ®Þa chØ ®Ó ngêi nhËn cã thÓ phóc ®¸p
NÕu b¹n ®· tõng nhËn ®îc mét mÈu bom th nµo ®ã, cã thÓ b¹n ®· cã c¶m gi¸c bèi rèi, vµ tù m×nh ®Æt ra nh÷ng c©u hái nh: th«ng ®iÖp nµy lµ g× vËy? Nã ®îc göi tõ ®©u ®Õn vµ b»ng c¸ch nµo nh÷ng ngêi göi th cã ®îc ®Þa chØ hép th cña m×nh?
Khi nh÷ng b¨n kho¨n cña m×nh võa qua ®i th× b¹n ®· nhËn ®îc liªn tiÕp c¸c th r¸c tiÕp theo, vµ nh vËy chóng ®· g©y nªn sù bùc m×nh cho b¹n. Cã thÓ, b¹n sÏ viÕt th than phiÒn víi ngêi göi th r¸c, nhng sù bùc m×nh cña b¹n sÏ t¨ng lªn khi biÕt th ®iÖn tö than phiÒn cña m×nh sÏ kh«ng ®Õn ®îc ®èi tîng m×nh cÇn göi, v× kÎ göi th r¸c thêng nguþ trang hoÆc dùng gi¶ mét hép th nµo ®ã khi göi cho b¹n.
Mét sè lo¹i bom th:
Th ®iÖn tö th¬ng m¹i tù nguyÖn (UCE - Unsolicited Commercial Email): lµ c¸c th«ng ®iÖp th ®iÖn tö mµ ngêi sö dông nhËn ®îc ngoµi ý muèn, víi néi dung nh»m qu¶ng c¸o cho mét s¶n phÈm hay mét dÞch vô nµo ®ã. Lo¹i bom th nµy cßn ®îc gäi lµ "Junk mail".
Th ®iÖn tö göi hµng lo¹t (UBE - Unsolicited Bulk Email): ®îc biÕt ®Õn nh c¸c th«ng ®iÖp ®iÖn tö ®îc göi víi sè lîng lín cho hµng ngh×n thËm chÝ hµng triÖu ngêi nhËn. UBE cã thÓ ®îc sö dông cho môc ®Ých th¬ng m¹i, trong trêng hîp ®ã nã còng lµ UCE. Nhng nã còng cã thÓ ®îc sö dông cho nhiÒu môc tiªu kh¸c, nh vËn ®éng bÇu cö trong lÜnh vùc chÝnh trÞ, hay chØ ®¬n gi¶n lµ g©y rèi hÖ thèng th ®iÖn tö.
C¸c th«ng ®iÖp th ®iÖn tö kiÕm tiÒn nhanh (MMF - Make Money Fast): thêng c¸c th«ng ®iÖp nµy lµ mét chuçi c¸c th cïng mét mÉu. Néi dung cña c¸c th«ng ®iÖp th ®iÖn tö kiÓu nµy gîi ý ngêi nhËn r»ng hä cã thÓ trë nªn giµu cã nÕu thùc hiÖn theo c¸c bíc nh:
H·y göi tiÒn cho ngêi cã tªn ®Çu tiªn trong danh s¸ch (danh s¸ch ®îc göi kÌm theo th)
Lo¹i bá tªn cña ngêi ®ã, bæ sung tªn cña m×nh vµo cuèi danh s¸ch vµ chuyÓn th«ng ®iÖp ®ã cho ngêi kh¸c.
C¸c th«ng ®iÖp th ®iÖn tö MMF ®îc xem lµ trß sæ sè bÊt hîp ph¸p ë níc Mü.
C¸c tÊn c«ng sù næi tiÕng: lµ c¸c th«ng ®iÖp th ®iÖn tö mµ ngêi sö dông cho lµ nã ®îc göi tõ mét ngêi hoÆc mét tæ chøc cô thÓ, nhng thùc tÕ nã l¹i ®îc göi tõ mét ®Þa chØ nµo ®ã kh¸c. Môc ®Ých cña c¸c th«ng ®iÖp ®iÖn tö kiÓu nµy kh«ng ph¶i nh»m qu¶ng cao cho s¶n phÈm hay dÞch vô, mµ nh»m môc ®Ých lµm cho ngêi nhËn giËn ngêi göi xuÊt hiÖn trong th.
Một số công cụ sử dụng trong tấn công mail
Đọc trộm Yahoo Mail với Ferret, Cookie Editor & Cain
Với sự trợ giúp của một số phần mềm như Cain , ta có thể dễ dàng sniff được username & password của các ứng dụng trong môi trường Switch. Nhưng để làm điều này việc bắt gói phải thực hiện trước quá trình đăng nhập của user. Vậy nếu user đã đăng nhập rồi thì có thể nào vào được các tài khoản này? Đối với HTTP, sau việc đăng nhập thành công, để không phải hỏi lại nhiều lần thông tin đăng nhập. Web server sẽ lưu xuống máy client những thông tin cần thiết để kiểm tra lại, các thông tin lưu này được gọi cookie. Các cookie sẽ khác nhau ở từng website và do người lập trình thiết lập. Và ngoài thông tin xác thực user cookie còn có thể mang nhiều giá trị khác mà người thiết kế muốn.Mỗi cookie lưu trên máy Client gồm các thông tin: Name, Content, Domain, Path, Expire date.Vậy nếu có được các cookie có giá trị, ta có thể kết nối đến Server với tư cách user sở hữu cookie đó. Các bước thực hiện:1. User đăng nhập vào Yahoo Mail2. Attacker dùng Cain để ARP spoofing.3. Sniff cookie với ferret và lưu lại với file hamster.txt4. Add cookie vào firefox với add-on Cookie Editor5. Login
Phân tích gói tin với WIRESHARK
Một số tình huống cơ bản
A Lost TCP Connection (mất kết nối TCP)
Một trong các vấn đề phổ biến nhất là mất kết nối mạng.Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin.
Ví dụ:
Một ví truyền file bị mất kết nối:
Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10.3.71.7 đến 10.3.30.1.
Hình 2.1-1: This capture begins simply enough with a few ACK packets.
Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP.
Hình 2.1-2: These TCP retransmissions are a sign of a weak or dropped connection.Theo thiết kế, TCP sẽ gửi một gói tin đến đích, nếu không nhận được trả lời sau một khoảng thời gian nó sẽ gửi lại gói tin ban đầu. Nếu vẫn tiếp tục không nhận được phản hồi, máy nguồn sẽ tăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo.
Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản hồi thì kết nối được coi là kết thúc.
Hiện tượng này ta có thể thấy trong Wireshark như sau:
Hình 2.1-4: Windows will retransmit up to five times by default.
Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu trốt mạng bị mất là do đâu.
2.2 Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP)
Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping. Nếu may mắn thì phía mục tiêu trả lời lại điều đó có nghĩa là bạn đã ping thành công, còn nếu không thì sẽ nhận được thông báo không thể kết nối tới máy đích. Sử dụng công cụ bắt gói tin trong việc này sẽ cho bạn nhiều thông tin hơn thay vì chỉ dung ICMP ping bình thường. Chúng ta sẽ nhìn rõ hơn các lỗi của ICMP.
Hình 2.1-1: A standard ping request from 10.2.10.2 to 10.4.88.88
Hình dưới đây cho thấy thông báo không thể ping tới 10.4.88.88 từ máy 10.2.99.99.
Như vậy so với ping thông thường thì ta có thể thấy kết nối bị đứt từ 10.2.99.99. Ngoài ra còn có các mã lỗi của ICMP, ví dụ : code 1 (Host unreachable)
Hình 2.1-2: This ICMP type 3 packet is not what we expected.
2.3 Unreachable Port (không thể kết nối tới cổng)
Một trong các nhiệm vụ thông thường khác là kiểm tra kết nối tới một cổng trên một máy đích. Việc kiểm tra này sẽ cho thấy cổng cần kiểm tra có mở hay không, có sẵn sang nhận các yêu cầu gửi đến hay không.
Ví dụ, để kiểm tra dịch vụ FTP có chạy trên một server hay không, mặc định FTP sẽ làm việc qua cổng 21 ở chế độ thông thường. Ta sẽ gửi gói tin ICMP đến cổng 21 của máy đích, nếu máy đích trả lời lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó.s
Fragmented Packets
Hình 2.3-1: This ping request requires three packets rather than one because the data being transmitted is above average size.
Ở đây có thể thấy kích thước gói tin ghi nhận được lớn hơn kích thước gói tin mặc định gửi đi khi ping là 32 bytes tới một máy tính chạy Windows.
Kích thước gói tin ở đây là 3,072 bytes.
2.4 Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn)
Vấn đề : chúng ta có 2 nhân viên mới A và B và được sắp ngồi cạnh nhau và đương nhiên là được trang bị 2 máy tính. Sau khi được trang bị và làm các thao tác để đưa 2 máy tính vào mạng, có một vấn đề xảy ra là máy tính của Hải chạy tốt, kết nối mạng bình thường, máy tính của Thanh không thể truy nhập Internet.
Mục tiêu : tìm hiểu tại sao máy tính của Thanh không kết nối được Internet và sửa lỗi đó.
Các thông tin chúng ta có
cả 2 máy tính đều mới
cả 2 máy đều được đặt IP và có thể ping đến các máy khác trong mạng
Nói tóm lại là 2 máy này được cấu hình không có gì khác nhau.
Tiến hành
Cài đặt Wireshark trực tiếp lên cả 2 máy.
Phân tích
Trước hết trên máy của Hải ta nhìn thấy một phiên làm việc bình thường với HTTP. Đầu tiên sẽ có một ARP broadcast để tìm địa chỉ của gateway ở tầng 2, ở đây là 192.168.0.10. Khi máy tính của Hải nhận được thông tin nó sẽ bắt tay với máy gateway và từ đó có phiên làm việc với HTTP ra bên ngoài.
Hình 2.4-1 : A’s computer completes a handshake, and then HTTP data transfer begins.
Trường hợp máy tính của Thanh
Hình 2.4-3: B’s computer appears to be sending an ARP request to a different IP address.
Hình trên cho thấy yêu cầu ARP không giống như trường hợp ở trên. Địa chỉ gateway được trả về là 192.168.0.11.
Như vậy có thể thấy NetBIOS có vấn đề.
NetBIOS là giao thức cũ nó sẽ được thay thế TCP/IP khi TCP/IP không hoạt động. Như vậy là máy của Thanh không thể kết nối Internet với TCP/IP.
Chi tiết yêu cầu ARP trên 2 máy :
Máy A
Máy B
Kết luận : máy A đặt sai địa chỉ gateway nên không thể kết nối Internet, cần đặt lại là 192.168.0.10.
2.5 The Ghost in Internet Explorer (con ma trong trình duyệt IE)
Hiện tượng : máy tính của A có hiện tượng như sau, khi sử dụng trình duyệt IE, trình duyệt tự động trỏ đến rất nhiều trang quảng cáo. Khi A thay đổi bằng tay thì vẫn bị hiện tượng đó thậm chí khở động lại máy cũng vẫn bị như thế.
Thông tin chúng ta có
A không thạo về máy tính lắm
Máy tính của A dùng Widows XP, IE 6
Tiến hành
Vì hiện tượng này chỉ xảy ra trên máy của A và trang home page của A bị thay đổi khi bật IE nên chúng ta sẽ tiếp hành bắt gói tin từ máy của A. Chúng ta không nhất thiết phải cài Wireshark trực tiếp từ máy của A. Chúng ta có thể dùng kỹ thuật
“Hubbing Out” .
Phân tích
Hình 2.5-1 : Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wire should set off some alarms.
Chi tiết gói tin thứ 5:
Hình 2.5-2: Looking more closely at packet 5, we see it is trying to download data from the Internet.
Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như trên hình.
Hình 2,5-3: A DNS query to the weatherbug.com domain gives a clue to the culprit.
Gói tin trả lại bắt đầu có vấn đề : thứ tự các phần bị thay đổi.
Một số gói tiếp theo có sự lặp ACK.
Hình 2.5-4: A DNS query to the weatherbug.com domain gives a clue to the culprit.
Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.com
Đây là địa chỉ A không hề biết và không có ý định truy cập.
Như vậy có thể là có một process nào đó đã làm thay đổi địa chỉ trang chủ mỗi khi IE được bật lên. Dùng một công cụ kiểm tra process ẩn ví dụ như Process Explore và thấy rằng có tiến trình weatherbug.exe đang chạy. Sau khi tắt tiến trình này đi không còn hiện tượng trên nữa.
Thông thường các tiến trình như weatherbug có thể là virus, spyware.
Giao diện Process Explore
2.6 Lỗi kết nối FTP
Tình huống : có tài khoản FTP trên Windows Server 2003 đã update service packs vừa cài đặt xong, phần mềm FTP Server hoàn toàn bình thường, khoản đúng nhưng không truy nhập được.
Thông tin chúng ta có
FTP làm việc trên cổng 21
Tiến hành
Cài đặt Wireshark trên cả 2 máy.
Phân tích
Client:
Hình 2.6-1: The client tries to establish connection with SYN packets but gets no response; then it sends a
few more.
Client gửi các gói tin SYN để bắt tay với server nhưng không có phản hồi từ server.
Server :
Hình 2.6-2: The client and server trace files are almost identical.
Có 3 lý do có thể dẫn đến hiện tượng trên
FTP server chưa chạy, điều này không đúng vì FTP server của chúng ta đã chạy như kiểm tra lúc đầu
Server quá tải hoặc có lưu lượng quá lớn khiến không thể đáp ứng yêu cầu. Điều này cũng không chính xác vì server vừa mới được cài đặt.
Cổng 21 bị cấm ở phía clien hoặc phía server hoặc ở cả 2 phía. Sau khi kiểm tra và thấy rằng ở phía Server cấm cổng 21 cả chiều Incoming và Outgoing trong Local Security Policy
Kết luận
Đôi khi bắt gói tin không cho ta biết trực tiếp vấn đề nhưng nó đã hạn chế được rất nhiều trường hợp và giúp ta đưa ra suy đoán chính xác vấn đề là gì.
Tổng Kết.
Qua quá trình tìm hiểu và
Các file đính kèm theo tài liệu này:
- Một số tấn công trên môi trường mail.docx