Đề tài Một số tấn công trên môi trường mail

MỤC LỤC

I. Giới thiệu

II. Một số tấn công trên môi trường mail

1. Hiểm họa bị đọc len

2. Vấn đề thu thập

3. Phan tich đường truyền

4. Giả mạo

5. Bom thư

III. Một số công cụ sử dụng trong tấn công mail

1. Đọc trộm Yahoo Mail với Ferret, Cookie Editor & Cain

2. Phân tích gói tin với WIRESHARK

 

IV. Tổng Kết

 

docx25 trang | Chia sẻ: netpro | Lượt xem: 1714 | Lượt tải: 5download
Bạn đang xem trước 20 trang tài liệu Đề tài Một số tấn công trên môi trường mail, để xem tài liệu hoàn chỉnh bạn click vào nút DOWNLOAD ở trên
ư điện tử, các thông tin được trao đổi qua dịch vụ này cũng trở nên đa dạng và phong phú (từ những thông tin trao đổi thông thường cho đến các thông tin liên quan đến sự thành bại của một công ty, tổ chức hay thậm chí là của cả một đất nước). Khi giá trị thông tin được trao đổi qua thư điện tử tăng lên đã kéo theo sự ra đời của nhiều phương pháp tấn công vào các hệ thống thư tín nhằm phá hoại hệ thống, ăn cắp thông tin, ... Do vậy việc đảm bảo an toàn cho những thông tin được trao đổi qua đường thư điện tử cũng là một vấn đề đã, đang được quan tâm và đầu tư nhiều không chỉ đối với những nhà xây dựng phần mềm thư điện tử mà ngay cả với các tổ chức, công ty, hay cá nhân sử dụng dịch vụ thư tín điện Một số tấn công trên môi trường mail Hiểm họa đọc lén Còng nh­ ®èi víi c¸c ứng dông kh¸c trªn m¹ng (c¸c phiªn ®¨ng nhËp tõ xa, t¶i th«ng tin sö dông ftp, héi tho¹i trùc tuyÕn, ...), th­ tÝn ®iÖn tö còng cã thÓ bÞ ®äc lÐn. Nh­ng ai lµ ®èi t­îng muèn ®äc lÐn néi dung th­ cña b¹n? C©u tr¶ lêi phô thuéc vµo b¹n lµ ai, b¹n ®ang lµm g×, vµ ai quan t©m ®Õn viÖc b¹n ®ang lµm. D­íi ®©y lµ mét vµi ®èi t­îng cã thÓ ®äc lÐn th­ cña b¹n. ChÝnh phñ n­íc ngoµi C¸c tæ chøc t×nh b¸o qu©n sù n­íc ngoµi lµ c¸c ®èi t­îng nghe trém víi nh÷ng thiÕt bÞ tinh vi hiÖn ®¹i nhÊt. §äc trém néi dung th­ c¸ nh©n lµ nghÒ cña hä. Khi b¾t ®Çu thêi kú chiÕn tranh l¹nh, mçi n¨m hä ®· ®Çu t­ nhiÒu tû §« la cho viÖc thu thËp, biªn dÞch vµ ph©n tÝch d÷ liÖu cña ®èi ph­¬ng göi qua m¹ng. HiÖn t¹i khi thêi kú chiÕn tranh l¹nh ®· kÕt thóc, nh­ng kh«ng cã g× cã thÓ kh¼ng ®Þnh hä kh«ng thùc hiÖn nh÷ng g× hä ®· tõng lµm. Mèi quan hÖ gi÷a qu©n ®éi Mü vµ c¸c tæ chøc t×nh b¸o lµ mét mét quan hÖ “mê ¸m”, cã rÊt nhiÒu øng dông ®­îc x©y dùng bëi qu©n ®éi Mü hiÖn ®ang ®­îc sö dông trong lÜnh vùc th­¬ng m¹i. ë mét sè n­íc, môc tiªu thu thËp tin tøc cña hä lµ nh»m vµo c¸c c«ng ty n­íc ngoµi, th«ng tin thu thËp ®­îc sÏ ®­îc sö dông lµm c«ng cô c¹nh tranh cho c¸c c«ng ty thuéc n­íc b¶n ®Þa. NhËt B¶n vµ Ph¸p lµ hai n­íc næi tiÕng nhÊt trong viÖc “ph¹m téi” theo kiÓu nµy, tÊt nhiªn c¸c n­íc ph¸t triÓn kh¸c còng hoµn toµn cã thÓ lµm ®­îc ®iÒu ®ã. VÝ dô NSA ®· tõng bÞ buéc téi lµ cã hµnh vi chÆn c¸c cuéc ®iÖn tho¹i gi÷a hai n­íc Ch©u Âu ®Ó ¨n c¾p th«ng tin vµ b¸n cho c¸c ®èi t­îng c¹nh tranh kh¸c. ChÝnh phñ trong n­íc ViÖc sö dông gi¸n ®iÖp c«ng nghÖ ®èi víi c«ng d©n n­íc m×nh nhiÒu nhÊt ®­îc biÕt ®Õn lµ c¸c n­íc nh­ Trung Quèc, B¾c TriÒu Tiªn, Cuba. §èi víi Ph¸p, chÝnh phñ chØ cho phÐp m· ho¸ th«ng tin trao ®æi gi÷a c¸c c«ng d©n víi nhau khi thuËt to¸n m· vµ kho¸ ®­îc cÊp bëi c¬ quan cã thÈm quyÒn. Cßn ®èi víi §µi Loan vµ Hµn Quèc th× hä yªu cÇu c¸c c«ng ty lo¹i bá viÖc sö dông m· ho¸ th«ng tin trong c¸c cuéc kÕt nèi tho¹i, d÷ liÖu, vµ FAX. Trong b¶n th©n n­íc Mü, nhiÒu tæ chøc thuéc ChÝnh phñ còng quan t©m ®Õn viÖc ®äc trém c¸c th«ng tin c¸ nh©n ®­îc trao ®æi qua th­ ®iÖn tö. Ch¼ng h¹n ®èi víi FBI, c¸c tæ chøc dÝnh d¸ng ®Õn chÝnh trÞ, ... 1.3 C¹nh tranh th­¬ng m¹i ViÖc kinh doanh cã thÓ bÞ do th¸m bëi c¸c c«ng ty c¹nh tranh. C¸c th«ng tin ®èi thñ cÇn quan t©m ë ®©y cã thÓ lµ danh s¸ch kh¸ch hµng, néi dung dù ¸n, kÕ ho¹ch triÓn khai, tiÒm lùc tµi chÝnh, ... VÝ dô Coca-Cola cã thÓ tr¶ hËu hÜnh cho ai biÕt ®­îc kÕ ho¹ch qu¶ng c¸o míi cña Pepsi, h·ng Ford còng cã thÓ lµm nh­ vËy trong viÖc biÕt ®­îc th«ng tin vÒ mÉu xe míi cña mét h·ng s¶n xuÊt xe h¬i kh¸c. 1.4 Téi ph¹m C¸c ®èi t­îng ph¹m téi cã thÓ thu thËp nh÷ng th«ng tin cã gi¸ trÞ tõ th­ ®iÖn tö, ®Æc biÖt lµ lo¹i téi ph¹m kinh tÕ. C¶nh s¸t ë nhiÒu n­íc ®· ph¸t hiÖn ra viÖc bä ®iÖn tö ®­îc g¾n bÊt hîp ph¸p trªn c¸c kªnh ®iÖn tho¹i nh»m gi¸m s¸t vµ nghe trém th«ng tin vÒ sè thÎ tÝn dông ®­îc truyÒn qua ®­êng ®iÖn tho¹i. Kh«ng cã lý do nµo ®Ó cã thÓ nãi r»ng chóng kh«ng lµm t­¬ng tù ®èi víi th­ tÝn ®iÖn tö khi c¸c th«ng ®iÖp ®­îc truyÒn trªn m¹ng. NhiÒu c«ng ty ®· më giao dÞch ®iÖn tö mua b¸n qua m¹ng Internet, vµ ®· cã nhiÒu mÆt hµng ®­îc mua b¸n qua m¹ng th«ng qua thÎ tÝn dông. SÏ lµ rÊt dÔ dµng ®Ó x©y dùng vµ thiÕt lËp mét øng dông ch¹y tù ®éng quÐt c¸c th«ng ®iÖp trªn m¸y tÝnh ng­êi sö dông nh»m t×m kiÕm c¸c th«ng tin vÒ sè thÎ tÝn dông trong c¸c phiªn giao dÞch ®iÖn tö nãi trªn. 1.5 B¹n bÌ ng­êi th©n Cuèi cïng, chÝnh b¹n bÌ, ng­êi th©n cña b¹n còng cã thÓ lµ "gi¸n ®iÖp". Sö dông thuËt ng÷ "gi¸n ®iÖp" trong tr­êng hîp nµy cã thÓ lµ ch­a ®­îc chÝnh x¸c, nh­ng nh÷ng ®èi t­îng trªn còng cÇn ®­îc quan t©m khi th­ tÝn ®iÖn tö ®­îc sö dông ®Ó trao ®æi c¸c th«ng tin riªng t­. Mét vÝ dô ®¬n gi¶n, trong m«i tr­êng lµm viÖc ë mét v¨n phßng, ®ång nghiÖp hoµn toµn cã thÓ quan t©m ®Õn nh÷ng th«ng tin c¸ nh©n ®­îc trao ®æi qua th­ tÝn ®iÖn tö cña chóng ta mµ kh«ng chØ dõng l¹i ë môc ®Ých tß mß. VÊn ®Ò thu thËp VÊn ®Ò lín nhÊt khi muèn ®äc mét th«ng ®iÖp ®­îc göi qua ®­êng th­ tÝn ®iÖn tö cña mét ai ®ã lµ viÖc t×m nã gi÷a mét biÓn c¸c th«ng ®iÖp th­ tÝn ®iÖn tö kh¸c trªn m¹ng. C«ng viÖc nµy ®­îc ng­êi ta vÝ nh­ viÖc "mß kim ®¸y biÓn". Tuy lµ mét c«ng viÖc khã kh¨n nh­ng hiÖn vÉn cã c¸c c¬ quan hoÆc tæ chøc ®­îc sinh ra ®Ó lµm c«ng viÖc ®ã. Ch¼ng h¹n, mét trong c¸c c«ng viÖc chÝnh cña NSA, NSA gi¸m s¸t c¸c luång d÷ liÖu m¸y tÝnh vµo, ra n­íc Mü vµ gi÷a c¸c n­íc kh¸c víi nhau. NhiÖm vô thu thËp th«ng tin tõ c¸c th«ng ®iÖp th­ tÝn ®iÖn tö ®­îc vÝ nh­ nhiÖm vô cña mét chµng Herculean. N¨m 1994, theo thèng kª d÷ liÖu m¸y tÝnh vµo ra n­íc Mü ®· ®¹t con sè nhiÒu gigabytes, víi hµng tû th«ng ®iÖp ®­îc trao ®æi trong mét th¸ng. Trong ®ã gåm th­ tÝn ®iÖn tö, th«ng tin ®¨ng nhËp tõ xa, dÞch vô truyÒn tÖp, d÷ liÖu "chat" thêi gian thùc, ... §Ó l­u tr÷ ®­îc l­îng d÷ liÖu trªn ®· lµ mét c«ng viÖc lín chø ch­a nãi g× ®Õn viÖc ®äc vµ ph©n tÝch chóng. Tuy nhiªn ®èi víi c¸c th«ng tin cÇn quan t©m, c¸c m¸y tÝnh cã thÓ thùc hiÖn viÖc sµng läc tõ dßng d÷ liÖu trong thêi gian thùc. NSA hoµn toµn cã thÓ thùc hiÖn viÖc ®­a luång d÷ liÖu vµo ra n­íc Mü vµo mét hÖ thèng m¸y tÝnh m¹nh, hÖ thèng m¸y tÝnh nµy sÏ thùc hiÖn viÖc t×m kiÕm d÷ liÖu mµ NSA quan t©m. HÖ thèng m¸y tÝnh nµy cã thÓ t×m kiÕm d÷ liÖu theo tõ kho¸, gi¶ sö c¸c th«ng ®iÖp th­ tÝn ®iÖn tö cã chøa tõ kho¸ "nuclear" (nguyªn tö), "cryptography" (mËt m·), hay "assassination" (cuéc ¸m s¸t), sÏ ®­îc l­u gi÷ l¹i phôc vô cho môc ®Ých ph©n tÝch sau. Ngoµi ra cßn rÊt nhiÒu c«ng nghÖ kh¸c ®­îc hÖ thèng m¸y tÝnh cña NSA sö dông. Hä cã thÓ t×m kiÕm d÷ liÖu tõ mét c¸ nh©n hoÆc mét tæ chøc cô thÓ. Hä còng cã thÓ t×m kiÕm d÷ liÖu theo mét cÊu tróc cho tr­íc. Tãm l¹i NSA ®­îc ®Çu t­ rÊt nhiÒu tiÒn cho vÊn ®Ò nµy, hä ®· vµ ®ang thùc hiÖn c«ng viÖc trªn trong mét thêi gian dµi. §iÒu quan träng nhÊt lµ hä thùc hiÖn c«ng viÖc trªn trong thêi gian thùc, vµ kh«ng nhiÒu l¾m d÷ liÖu ®­îc l­u. Hä hy väng r»ng d÷ liÖu mµ hä thu thËp trong ngµy nµo sÏ ®­îc ph©n tÝch lu«n trong ngµy ®ã. ViÖc thu thËp d÷ liÖu sÏ trë thµnh v« gi¸ trÞ nÕu d÷ liÖu ®ã kh«ng ®­îc ph©n tÝch, bëi vËy vÊn ®Ò kh¨n chÝnh lµ viÖc ph©n tÝch d÷ liÖu. NSA cã thÓ kÕt hîp rÊt nhiÒu c«ng nghÖ nh»m ph©n tÝch d÷ liÖu mµ hä quan t©m, nh­ mèi quan hÖ gi÷a tõ kho¸ nãi lªn d÷ liÖu cÇn t×m, ®èi t­îng göi nhËn th«ng tin, ... Ph©n tÝch ®­êng truyÒn Trong tr­êng hîp néi dung th­ ®­îc m· ho¸, ®èi t­îng ®äc trém (NSA ch¼ng h¹n) kh«ng thÓ ®äc néi dung th­ ®iÖn tö, hä cã thÓ thu thËp ®­îc mét l­îng th«ng tin kh«ng nhá th«ng qua viÖc ph©n tÝch ®­êng truyÒn. ViÖc ph©n tÝch ®­êng truyÒn dùa vµo mét trong c¸c yÕu tè nh­: b¹n göi th­ ®iÖn tö cho ai, b¹n nhËn th­ ®iÖn tö tõ ai, ®é dµi cña c¸c th«ng ®iÖp th­ ®iÖn tö, hoÆc khi nµo th­ ®iÖn tö ®­îc göi. Cã rÊt nhiÒu th«ng tin Èn chøa trong c¸c yÕu tè kiÓu nh­ vËy nÕu hä biÕt c¸ch khai th¸c. Tr­íc hÕt chóng ta h·y thö t×m hiÓu lÜnh vùc cung cÊp dÞch vô ®iÖn tho¹i. HÇu hÕt c¸c quèc gia ch©u ¢u kh«ng ghi chiÕt kho¶n môc trong c¸c ho¸ ®¬n ®iÖn tho¹i nh­ ®èi víi c¸c c«ng ty cña Mü. C¸c ho¸ ®¬n ®iÖn tho¹i ë ch©u ¢u chØ liÖt kª sè l­îng cuéc ®µm tho¹i ®· sö dông qua mét thuª bao cô thÓ, nh­ng kh«ng ghi l¹i thêi ®iÓm còng nh­ ®Þa ®iÓm cña c¸c cuéc ®µm tho¹i ®ã. §èi víi c¸c ho¸ ®¬n thanh to¸n ®iÖn tho¹i cña Mü, trong ®ã liÖt kª chi tiÕt tÊt c¶ c¸c cuéc ®µm tho¹i ®èi víi mét sè thuª bao: thêi ®iÓm thùc hiÖn, sè ®­îc gäi ®Õn, vµ thêi l­îng cuéc gäi. Tõ nh÷ng th«ng tin c¸c cuéc ®µm tho¹i, c¸c c¬ quan cã chøc n¨ng cña Mü cã thÓ ph©n lo¹i c¸c ®èi t­îng cÇn theo dâi hoÆc ®­a vµo danh s¸ch c¸c ®èi t­îng cÇn ®Ò phßng. T­¬ng tù nh­ vËy ®èi víi c¸c th«ng ®iÖp th­ tÝn ®iÖn tö. ThËm chÝ khi c¸c th«ng ®iÖp th­ tÝn ®iÖn tö ®· ®­îc m· ho¸, phÇn ®Çu cña th«ng ®iÖp th­ tÝn ®iÖn tö bao giê còng thÓ hiÖn râ ®èi t­îng göi, ®èi t­îng nhËn, thêi ®iÓm göi, vµ ®é dµi cña th«ng ®iÖp. Trªn thùc tÕ ®· cã nh÷ng dÞch vô th­ tÝn ®iÖn tö “Èn danh”, nh»m che dÊu ®i nh÷ng th«ng tin chóng ta võa liÖt kª ë trªn. Tuy nhiªn theo c¸c nhµ ph©n tÝch vÒ lÜnh vùc nµy trªn thÕ giíi ®· cho r»ng ®iÒu ®ã ch¼ng cã nghÜa lý g× ®èi víi c¸c ®èi t­îng nghe trém cì NSA. Mét vÝ dô cô thÓ h¬n, gi¶ sö Eve nghi ngê Alice lµ ng­êi ñng hé chñ nghÜa khñng bè. Trong khi ®ã tÊt c¶ th­ tÝn ®iÖn tö cña Alice ®­îc c« Êy m· ho¸, bëi vËy Eve kh«ng thÓ ®äc ®­îc néi dung cña c¸c th«ng ®iÖp th­ tÝn ®iÖn tö ®­îc göi nhËn bëi Alice. Tuy nhiªn, Eve cã thÓ thu thËp tÊt c¶ c¸c th«ng tin trªn ®­êng truyÒn cña Alice. Eve biÕt tÊt c¶ c¸c ®Þa chØ th­ ®iÖn tö cña nh÷ng ng­êi mµ Alice th­êng liªn l¹c. Alice th­êng göi c¸c th«ng ®iÖp th­ tÝn ®iÖn tö dµi cho mét ng­êi cã tªn lµ Bob, ng­êi th­êng phóc ®¸p ngay sau ®ã víi mét th«ng ®iÖp rÊt ng¾n. Cã thÓ c« Êy ®· göi Bob c¸c mÖnh lÖnh vµ anh ta phóc ®¸p l¹i viÖc ®· nhËn ®­îc c¸c lÖnh ®ã. Mét ngµy nµo ®ã bçng d­ng cã mét b­íc nh¶y vät trong viÖc trao ®æi th­ ®iÖn tö gi÷a Alice vµ Bob. Cã thÓ hä ®ang lËp mét kÕ ho¹ch g× ®ã. Vµ sau ®ã lµ sù im lÆng, kh«ng cã mét th«ng ®iÖp th­ ®iÖn tö nµo ®­îc trao ®æi qua l¹i gi÷a hä. Ngµy tiÕp theo toµ nhµ chÝnh phñ bÞ ®¸nh bom. §iÒu nµy ®· ®ñ lµm b»ng chøng ®Ó b¾t gi÷ hä ch­a cßn tuú thuéc vµo nhiÒu b»ng chøng kh¸c, nh­ng Ýt nhÊt chóng ®· ®em l¹i cho c¸c c¬ quan quan t©m ®Õn lÜnh vùc nµy kh«ng Ýt th«ng tin quý gi¸. Khñng bè kh«ng ph¶i lµ ®èi t­îng duy nhÊt bÞ theo dâi th«ng qua viÖc ph©n tÝch ®­êng truyÒn. ViÖc ph©n tÝch ®­êng truyÒn trao ®æi th«ng ®iÖp th­ tÝn ®iÖn tö còng lµ mét c«ng cô ®Ó FBI c¨n cø trong viÖc ®iÒu tra téi ph¹m bu«n b¸n ma tuý. Trong lÜnh vùc kinh tÕ x· héi, mét c«ng ty sÏ nghÜ sao khi mét thµnh viªn trong c«ng ty ®ã th­êng xuyªn liªn l¹c th­ ®iÖn tö víi mét ®èi thñ c¹nh tranh. §iÒu g× sÏ x¶y ra nÕu mét ng­êi hay ghen nhËn thÊy vî hoÆc chång m×nh th­êng xuyªn liªn hÖ víi “®èi thñ tiÒm n¨ng” th«ng qua th­ ®iÖn tö. Tãm l¹i viÖc ph©n tÝch ®­êng truyÒn th­ ®iÖn tö lµ mét c«ng cô th«ng minh trong viÖc ¨n c¾p th«ng tin c¸ nh©n. Gi¶ m¹o Gi¶ m¹o lµ mét vÊn ®Ò an toµn kh¸c trªn m¹ng m¸y tÝnh nãi chung. Kh¸i niÖm ng¾n nhÊt vÒ gi¶ m¹o lµ viÖc ng­êi nµy gi¶ danh lµ mét ng­êi kh¸c. ViÖc gi¶ m¹o cã thÓ xuÊt ph¸t tõ môc ®Ých trªu ®ïa, lµm mÊt danh dù, b«i nhä ng­êi kh¸c hoÆc lµ c«ng cô ®Ó lõa g¹t. Hµng ngµy cã rÊt nhiÒu th«ng ®iÖp th­ tÝn ®­îc göi mét c¸ch tù ®éng ®Õn hép th­ cña ng­êi sö dông trªn m¹ng Internet, víi chñ ®Ò kiÓu nh­ “t«i lµ ng­êi thÝch lµm phiÒn ng­êi kh¸c vµ t«i tù hµo vÒ ®iÒu ®ã” hoÆc víi chñ ®Ò nh­ mét khÈu hiÖu trong viÖc ph©n biÖt chñng téc, ph©n biÖt giíi tÝnh. Néi dung cña c¸c th«ng ®iÖp th­ tÝn ®iÖn tö nµy hoµn toµn kh«ng cã ý nghÜa g×. Sau ®ã mét thêi gian l¹i cã mét th­ kh¸c còng xuÊt ph¸t tõ cïng mét tµi kho¶n víi lêi xin lçi vÒ viÖc ®· göi th­ ®iÖn tö thø nhÊt. Nãi chung kh«ng nªn tin vµo bÊt kú ®iÒu g× trong c¸c th«ng ®iÖp th­ tÝn kiÓu nh­ vËy, ®Êy chØ lµ mét trß trªu ®ïa trªn m¹ng. Mét vÝ dô kh¸c, Eve muèn b«i nhä Alice. C« ta viÕt mét th­ ®iÖn tö buéc téi mét ai ®ã, viÕt tªn cña Alice ë cuèi th­, gi¶ m¹o th«ng tin c¸ nh©n cña Alice trªn phÇn tiªu ®Ò cña th­ (®iÒu nµy ®­îc thùc hiÖn mét c¸ch dÔ dµng ®èi víi c¸c tin tÆc), sau ®ã c« ta göi mét b¶n copy tíi mét t¹p chÝ nµo ®ã, nh­ The New York Times ch¼ng h¹n. Mét kiÓu gi¶ m¹o kh¸c chóng ta cã thÓ lÊy vÝ dô nh­ kiÓu tÊn c«ng cña kÎ thø ba trong mËt m·. VÝ dô, Bob vµ Alice hîp t¸c víi nhau trong mét dù ¸n nµo ®ã, vµ hä th­¬ng xuyªn trao ®æi th«ng tin víi nhau qua th­ ®iÖn tö. Eve gi¶ danh lµ Bob göi th­ ®iÖn tö cho Alice vµ nãi r»ng tµi kho¶n th­ ®iÖn tö tr­íc ®©y ®· bÞ huû bá. T­¬ng tù nh­ vËy ®èi víi Bob vµ nÕu c¶ Bob vµ Alice ®Òu tin vµo néi dung th­ ®iÖn tö nhËn ®­îc th× mäi liªn hÖ gi÷a Alice vµ Bob ®­îc thùc hiÖn th«ng qua ng­êi thø ba lµ Eve. Khi ®ã Eve sÏ biÕt mäi th«ng tin vÒ dù ¸n mµ Bob vµ Alice ®ang hîp t¸c. Eve sÏ lµ ng­êi ®¸nh c¾p th«ng tin trao ®æi gi÷ Bob vµ Alice chõng nµo Bob vµ Alice ch­a trao ®æi trùc tiÕp hoÆc th«ng qua ®iÖn tho¹i. HiÓm ho¹ m¹o danh cã thÓ ®­îc kh¾c phôc th«ng qua viÖc sö dông ch÷ ký ®iÖn tö. Víi ch÷ ký ®iÖn tö Alice (trong vÝ dô trªn) hoµn toµn cã thÓ kiÓm tra ®­îc nh÷ng th«ng ®iÖp th­ tÝn ®iÖn tö nµo lµ thËt sù cña Bob. Vµ còng kh«ng ai cã thÓ m¹o danh Alice ®Ó göi c¸c th«ng ®iÖp ®iÖn tö cho ng­êi kh¸c. Bom th­ NÕu b¹n ®ang sö dông th­ ®iÖn tö, b¹n cã thÓ ®· tõng nhËn ®­îc mét sè th«ng ®iÖp th­ ®iÖn tö ®­îc göi mét c¸ch tù nguyÖn tõ mét ®Þa chØ nµo ®ã tíi mµ ch­a ®­îc sù cho phÐp cña b¹n, nh÷ng th«ng ®iÖp th­ ®iÖn tö ®ã ®­îc gäi lµ spam. Spam lµ mét kiÓu th­ r¸c trªn Internet, spam ®­îc sö dông cho rÊt nhiÒu môc ®Ých: qu¶ng c¸o, quÊy rèi, ... NÕu lµ mét ng­êi míi sö dông Internet cã thÓ b¹n chØ nhËn ®­îc mét sè Ýt th«ng ®iÖp ®iÖn tö kh«ng mong muèn nh­ trªn. Nh­ng khi b¹n ®· sö dông Internet ®­îc mét vµi n¨m b¹n cã thÓ ®· c¶m thÊy rÊt khã chÞu khi nhËn ®­îc hµng lo¹t th­ ®iÖn tö mµ m×nh kh«ng hÒ mong muèn. D­íi ®©y lµ mét sè kiÓu th­ ®iÖn tö th­êng xuyªn xuÊt hiÖn trong hép th­ cña b¹n: C¸c th«ng ®iÖp ®iÖn tö ®­îc göi tõ c¸c c«ng ty th­¬ng m¹i nµo ®ã mµ b¹n ch­a hÒ cã mèi quan hÖ tr­íc ®©y. Th­ ®iÖn tö cã môc ®Ých qu¶ng c¸o cho c¸c s¶n phÈm hoÆc dÞch vô bÊt hîp ph¸p, mê ¸m hoÆc thËm chÝ lµ cã môc ®Ých ®¸nh lõa ng­êi nhËn. C¸c th­ ®iÖn tö ®­îc göi tõ mét ®Þa chØ kh«ng râ rµng. C¸c th­ kh«ng hÒ cã ®Þa chØ ®Ó ng­êi nhËn cã thÓ phóc ®¸p NÕu b¹n ®· tõng nhËn ®­îc mét mÈu bom th­ nµo ®ã, cã thÓ b¹n ®· cã c¶m gi¸c bèi rèi, vµ tù m×nh ®Æt ra nh÷ng c©u hái nh­: th«ng ®iÖp nµy lµ g× vËy? Nã ®­îc göi tõ ®©u ®Õn vµ b»ng c¸ch nµo nh÷ng ng­êi göi th­ cã ®­îc ®Þa chØ hép th­ cña m×nh? Khi nh÷ng b¨n kho¨n cña m×nh võa qua ®i th× b¹n ®· nhËn ®­îc liªn tiÕp c¸c th­ r¸c tiÕp theo, vµ nh­ vËy chóng ®· g©y nªn sù bùc m×nh cho b¹n. Cã thÓ, b¹n sÏ viÕt th­ than phiÒn víi ng­êi göi th­ r¸c, nh­ng sù bùc m×nh cña b¹n sÏ t¨ng lªn khi biÕt th­ ®iÖn tö than phiÒn cña m×nh sÏ kh«ng ®Õn ®­îc ®èi t­îng m×nh cÇn göi, v× kÎ göi th­ r¸c th­êng nguþ trang hoÆc dùng gi¶ mét hép th­ nµo ®ã khi göi cho b¹n. Mét sè lo¹i bom th­: Th­ ®iÖn tö th­¬ng m¹i tù nguyÖn (UCE - Unsolicited Commercial Email): lµ c¸c th«ng ®iÖp th­ ®iÖn tö mµ ng­êi sö dông nhËn ®­îc ngoµi ý muèn, víi néi dung nh»m qu¶ng c¸o cho mét s¶n phÈm hay mét dÞch vô nµo ®ã. Lo¹i bom th­ nµy cßn ®­îc gäi lµ "Junk mail". Th­ ®iÖn tö göi hµng lo¹t (UBE - Unsolicited Bulk Email): ®­îc biÕt ®Õn nh­ c¸c th«ng ®iÖp ®iÖn tö ®­îc göi víi sè l­îng lín cho hµng ngh×n thËm chÝ hµng triÖu ng­êi nhËn. UBE cã thÓ ®­îc sö dông cho môc ®Ých th­¬ng m¹i, trong tr­êng hîp ®ã nã còng lµ UCE. Nh­ng nã còng cã thÓ ®­îc sö dông cho nhiÒu môc tiªu kh¸c, nh­ vËn ®éng bÇu cö trong lÜnh vùc chÝnh trÞ, hay chØ ®¬n gi¶n lµ g©y rèi hÖ thèng th­ ®iÖn tö. C¸c th«ng ®iÖp th­ ®iÖn tö kiÕm tiÒn nhanh (MMF - Make Money Fast): th­êng c¸c th«ng ®iÖp nµy lµ mét chuçi c¸c th­ cïng mét mÉu. Néi dung cña c¸c th«ng ®iÖp th­ ®iÖn tö kiÓu nµy gîi ý ng­êi nhËn r»ng hä cã thÓ trë nªn giµu cã nÕu thùc hiÖn theo c¸c b­íc nh­: H·y göi tiÒn cho ng­êi cã tªn ®Çu tiªn trong danh s¸ch (danh s¸ch ®­îc göi kÌm theo th­) Lo¹i bá tªn cña ng­êi ®ã, bæ sung tªn cña m×nh vµo cuèi danh s¸ch vµ chuyÓn th«ng ®iÖp ®ã cho ng­êi kh¸c. C¸c th«ng ®iÖp th­ ®iÖn tö MMF ®­îc xem lµ trß sæ sè bÊt hîp ph¸p ë n­íc Mü. C¸c tÊn c«ng sù næi tiÕng: lµ c¸c th«ng ®iÖp th­ ®iÖn tö mµ ng­êi sö dông cho lµ nã ®­îc göi tõ mét ng­êi hoÆc mét tæ chøc cô thÓ, nh­ng thùc tÕ nã l¹i ®­îc göi tõ mét ®Þa chØ nµo ®ã kh¸c. Môc ®Ých cña c¸c th«ng ®iÖp ®iÖn tö kiÓu nµy kh«ng ph¶i nh»m qu¶ng cao cho s¶n phÈm hay dÞch vô, mµ nh»m môc ®Ých lµm cho ng­êi nhËn giËn ng­êi göi xuÊt hiÖn trong th­. Một số công cụ sử dụng trong tấn công mail Đọc trộm Yahoo Mail với Ferret, Cookie Editor & Cain Với sự trợ giúp của một số phần mềm như Cain , ta có thể dễ dàng sniff được username & password của các ứng dụng trong môi trường Switch. Nhưng để làm điều này việc bắt gói phải thực hiện trước quá trình đăng nhập của user. Vậy nếu user đã đăng nhập rồi thì có thể nào vào được các tài khoản này? Đối với HTTP, sau việc đăng nhập thành công, để không phải hỏi lại nhiều lần thông tin đăng nhập. Web server sẽ lưu xuống máy client những thông tin cần thiết để kiểm tra lại, các thông tin lưu này được gọi cookie. Các cookie sẽ khác nhau ở từng website và do người lập trình thiết lập. Và ngoài thông tin xác thực user cookie còn có thể mang nhiều giá trị khác mà người thiết kế muốn. Mỗi cookie lưu trên máy Client gồm các thông tin: Name, Content, Domain, Path, Expire date. Vậy nếu có được các cookie có giá trị, ta có thể kết nối đến Server với tư cách user sở hữu cookie đó. Các bước thực hiện: 1. User đăng nhập vào Yahoo Mail 2. Attacker dùng Cain để ARP spoofing. 3. Sniff cookie với ferret và lưu lại với file hamster.txt 4. Add cookie vào firefox với add-on Cookie Editor 5. Login Phân tích gói tin với WIRESHARK Một số tình huống cơ bản A Lost TCP Connection (mất kết nối TCP) Một trong các vấn đề phổ biến nhất là mất kết nối mạng.Chúng ta sẽ bỏ qua nguyên nhân tại sao kêt nối bị mất, chúng ta sẽ nhìn hiện tượng đó ở mức gói tin. Ví dụ: Một ví truyền file bị mất kết nối: Bắt đầu bằng việc gửi 4 gói TCP ACK từ 10.3.71.7 đến 10.3.30.1. Hình 2.1-1: This capture begins simply enough with a few ACK packets. Lỗi bắt đầu từ gói thứ 5, chúng ta nhìn thấy xuất hiện việc gửi lại gói của TCP. Hình 2.1-2: These TCP retransmissions are a sign of a weak or dropped connection. Theo thiết kế, TCP sẽ gửi một gói tin đến đích, nếu không nhận được trả lời sau một khoảng thời gian nó sẽ gửi lại gói tin ban đầu. Nếu vẫn tiếp tục không nhận được phản hồi, máy nguồn sẽ tăng gấp đôi thời gian đợi cho lần gửi lại tiếp theo. Như ta thấy ở hình trên, TCP sẽ gửi lại 5 lần, nếu 5 lần liên tiếp không nhận được phản hồi thì kết nối được coi là kết thúc. Hiện tượng này ta có thể thấy trong Wireshark như sau: Hình 2.1-4: Windows will retransmit up to five times by default. Khả năng xác định gói tin bị lỗi đôi khi sẽ giúp chúng ta có thể phát hiện ra mấu trốt mạng bị mất là do đâu. 2.2 Unreachable Destinations and ICMP Codes (không thể chạm tới điểm cuối và các mã ICMP) Một trong các công cụ khi kiểm tra kết nối mạng là công cụ ICMP ping. Nếu may mắn thì phía mục tiêu trả lời lại điều đó có nghĩa là bạn đã ping thành công, còn nếu không thì sẽ nhận được thông báo không thể kết nối tới máy đích. Sử dụng công cụ bắt gói tin trong việc này sẽ cho bạn nhiều thông tin hơn thay vì chỉ dung ICMP ping bình thường. Chúng ta sẽ nhìn rõ hơn các lỗi của ICMP. Hình 2.1-1: A standard ping request from 10.2.10.2 to 10.4.88.88 Hình dưới đây cho thấy thông báo không thể ping tới 10.4.88.88 từ máy 10.2.99.99. Như vậy so với ping thông thường thì ta có thể thấy kết nối bị đứt từ 10.2.99.99. Ngoài ra còn có các mã lỗi của ICMP, ví dụ : code 1 (Host unreachable) Hình 2.1-2: This ICMP type 3 packet is not what we expected. 2.3 Unreachable Port (không thể kết nối tới cổng) Một trong các nhiệm vụ thông thường khác là kiểm tra kết nối tới một cổng trên một máy đích. Việc kiểm tra này sẽ cho thấy cổng cần kiểm tra có mở hay không, có sẵn sang nhận các yêu cầu gửi đến hay không. Ví dụ, để kiểm tra dịch vụ FTP có chạy trên một server hay không, mặc định FTP sẽ làm việc qua cổng 21 ở chế độ thông thường. Ta sẽ gửi gói tin ICMP đến cổng 21 của máy đích, nếu máy đích trả lời lại gói ICMP loại o và mã lỗi 2 thì có nghĩa là không thể kết nối tới cổng đó.s Fragmented Packets Hình 2.3-1: This ping request requires three packets rather than one because the data being transmitted is above average size. Ở đây có thể thấy kích thước gói tin ghi nhận được lớn hơn kích thước gói tin mặc định gửi đi khi ping là 32 bytes tới một máy tính chạy Windows. Kích thước gói tin ở đây là 3,072 bytes. 2.4 Determining Whether a Packet Is Fragmented (xác định vị trí gói tin bị phân đoạn) Vấn đề : chúng ta có 2 nhân viên mới A và B và được sắp ngồi cạnh nhau và đương nhiên là được trang bị 2 máy tính. Sau khi được trang bị và làm các thao tác để đưa 2 máy tính vào mạng, có một vấn đề xảy ra là máy tính của Hải chạy tốt, kết nối mạng bình thường, máy tính của Thanh không thể truy nhập Internet. Mục tiêu : tìm hiểu tại sao máy tính của Thanh không kết nối được Internet và sửa lỗi đó. Các thông tin chúng ta có cả 2 máy tính đều mới cả 2 máy đều được đặt IP và có thể ping đến các máy khác trong mạng Nói tóm lại là 2 máy này được cấu hình không có gì khác nhau. Tiến hành Cài đặt Wireshark trực tiếp lên cả 2 máy. Phân tích Trước hết trên máy của Hải ta nhìn thấy một phiên làm việc bình thường với HTTP. Đầu tiên sẽ có một ARP broadcast để tìm địa chỉ của gateway ở tầng 2, ở đây là 192.168.0.10. Khi máy tính của Hải nhận được thông tin nó sẽ bắt tay với máy gateway và từ đó có phiên làm việc với HTTP ra bên ngoài. Hình 2.4-1 : A’s computer completes a handshake, and then HTTP data transfer begins. Trường hợp máy tính của Thanh Hình 2.4-3: B’s computer appears to be sending an ARP request to a different IP address. Hình trên cho thấy yêu cầu ARP không giống như trường hợp ở trên. Địa chỉ gateway được trả về là 192.168.0.11. Như vậy có thể thấy NetBIOS có vấn đề. NetBIOS là giao thức cũ nó sẽ được thay thế TCP/IP khi TCP/IP không hoạt động. Như vậy là máy của Thanh không thể kết nối Internet với TCP/IP. Chi tiết yêu cầu ARP trên 2 máy : Máy A Máy B Kết luận : máy A đặt sai địa chỉ gateway nên không thể kết nối Internet, cần đặt lại là 192.168.0.10. 2.5 The Ghost in Internet Explorer (con ma trong trình duyệt IE) Hiện tượng : máy tính của A có hiện tượng như sau, khi sử dụng trình duyệt IE, trình duyệt tự động trỏ đến rất nhiều trang quảng cáo. Khi A thay đổi bằng tay thì vẫn bị hiện tượng đó thậm chí khở động lại máy cũng vẫn bị như thế. Thông tin chúng ta có A không thạo về máy tính lắm Máy tính của A dùng Widows XP, IE 6 Tiến hành Vì hiện tượng này chỉ xảy ra trên máy của A và trang home page của A bị thay đổi khi bật IE nên chúng ta sẽ tiếp hành bắt gói tin từ máy của A. Chúng ta không nhất thiết phải cài Wireshark trực tiếp từ máy của A. Chúng ta có thể dùng kỹ thuật “Hubbing Out” . Phân tích Hình 2.5-1 : Since there is no user interaction happening on A’s computer at the time of this capture, all of these packets going across the wire should set off some alarms. Chi tiết gói tin thứ 5: Hình 2.5-2: Looking more closely at packet 5, we see it is trying to download data from the Internet. Từ máy tính gửi yêu cầu GET của HTTP đến địa chỉ như trên hình. Hình 2,5-3: A DNS query to the weatherbug.com domain gives a clue to the culprit. Gói tin trả lại bắt đầu có vấn đề : thứ tự các phần bị thay đổi. Một số gói tiếp theo có sự lặp ACK. Hình 2.5-4: A DNS query to the weatherbug.com domain gives a clue to the culprit. Sau một loạt các thay đổi trên thì có truy vấn DNS đến deskwx.weatherbug.com Đây là địa chỉ A không hề biết và không có ý định truy cập. Như vậy có thể là có một process nào đó đã làm thay đổi địa chỉ trang chủ mỗi khi IE được bật lên. Dùng một công cụ kiểm tra process ẩn ví dụ như Process Explore và thấy rằng có tiến trình weatherbug.exe đang chạy. Sau khi tắt tiến trình này đi không còn hiện tượng trên nữa. Thông thường các tiến trình như weatherbug có thể là virus, spyware. Giao diện Process Explore 2.6 Lỗi kết nối FTP Tình huống : có tài khoản FTP trên Windows Server 2003 đã update service packs vừa cài đặt xong, phần mềm FTP Server hoàn toàn bình thường, khoản đúng nhưng không truy nhập được. Thông tin chúng ta có FTP làm việc trên cổng 21 Tiến hành Cài đặt Wireshark trên cả 2 máy. Phân tích Client: Hình 2.6-1: The client tries to establish connection with SYN packets but gets no response; then it sends a few more. Client gửi các gói tin SYN để bắt tay với server nhưng không có phản hồi từ server. Server : Hình 2.6-2: The client and server trace files are almost identical. Có 3 lý do có thể dẫn đến hiện tượng trên FTP server chưa chạy, điều này không đúng vì FTP server của chúng ta đã chạy như kiểm tra lúc đầu Server quá tải hoặc có lưu lượng quá lớn khiến không thể đáp ứng yêu cầu. Điều này cũng không chính xác vì server vừa mới được cài đặt. Cổng 21 bị cấm ở phía clien hoặc phía server hoặc ở cả 2 phía. Sau khi kiểm tra và thấy rằng ở phía Server cấm cổng 21 cả chiều Incoming và Outgoing trong Local Security Policy Kết luận Đôi khi bắt gói tin không cho ta biết trực tiếp vấn đề nhưng nó đã hạn chế được rất nhiều trường hợp và giúp ta đưa ra suy đoán chính xác vấn đề là gì. Tổng Kết. Qua quá trình tìm hiểu và

Các file đính kèm theo tài liệu này:

  • docxMột số tấn công trên môi trường mail.docx