Luận văn Xây dựng thử nghiệm công cụ phát hiện và khai thác các lỗ hổng an ninh

máy chủ chứa cơ sở dữ liệu về một bộ phận kế toán. Trong quá trình kiểm tra, thực tế là có nhiều máy chủ chứa cơ sở dữ liệu không an toàn, thuộc về các bộ phận khác, nhƣng ngƣời kiểm thử không biết và vẫn thực hiện kiểm thử trên các máy thuộc bộ phận khác đó. Kết quả của báo cáo cuối cùng lại chứa nhiều máy chủ hơn nhiều so với yêu cầu ban đầu. Một tình huống nhƣ vậy có thể dẫn đến một kiểm thử an ninh chất lƣợng thấp trong thời gian dài. Để xác định đƣợc phạm vi một cách tốt hơn chính xác hơn thì tổ chức hay công ty có thể sử dụng hai cách sau: Cách 1: Đặt phạm vi dựa trên các báo cáo cũ Việc sử dụng các báo cáo từ các phiên kiểm thử an ninh trƣớc đó sẽ giúp cho tất cả mọi ngƣời tham gia dự án biết về cách kiểm thử có thể đƣợc thực hiện và cả cách các tổ chức khác đã suy luận khi thiết lập phạm vi kiểm thử. Tuy nhiên cần phải kiểm duyệt các báo cáo này trƣớc khi sử dụng nhằm tránh các trƣờng hợp xấu có thể xảy ra nhƣ vô tình làm lộ thông tin bí mật về một bên khác hay gặp rắc rối với luật pháp khi sử dụng làm phạm vi mẫu khi không đƣợc sự cho phép của công ty hoặc tổ chức sở hữu báo cáo đó. Cách 2: Lấy ý kiến từ các chuyên gia hàng đầu 14 Việc yêu cầu giúp đỡ từ các chuyên gia kiểm thử hàng đầu dày dặn kinh nghiệm hơn sẽ giúp xác định phạm vi một cách dễ dàng hơn và tránh đƣợc các rủi ro không đáng có. Tùy thuộc vào môi trƣờng công nghệ thông tin của khách hàng và ngân sách của họ mà các chuyên gia kiểm thử có thể đề xuất những gì nên đƣợc đƣa vào kiểm thử và nên áp dụng phƣơng pháp kiểm thử nào. 1.3.3. Thu thập thông tin trƣớc khi kiểm thử Thông thƣờng kiểm thử hộp trắng và xám yêu cầu ngƣời kiểm thử có đƣợc cái nhìn khái quát về bên trong của hệ thống trƣớc khi thực hiện giai đoạn kiểm tra kỹ thuật. Không phải tất cả các hệ thống đều đƣợc tạo ra nhƣ nhau, do đó kết quả kiểm thử sẽ phụ thuộc vào các chi tiết và tính chính xác của thông tin đƣợc cung cấp cho ngƣời kiểm thử trƣớc đó (cùng với phạm vi kiểm thử). Những thông tin cần thiết có thể lấy từ quản lý, quản trị viên hệ thống và mạng, quản lý cung cấp dịch vụ và nhà phát triển. Mƣời ba câu hỏi sau đây có thể giúp chúng ta lấy đƣợc những thông tin cần thiết nhất trƣớc khi bắt đầu kiểm thử:  Mục đích của hệ thống là gì?  Hệ thống cung cấp dịch vụ và giao diện nào?  Dữ liệu dự định đi vào và ra khỏi hệ thống nhƣ thế nào?  Hệ thống có chứa dữ liệu sản xuất không?  Có bất kỳ tài liệu có sẵn nào không?  Ngƣời kiểm thử sẽ truy cập hệ thống nhƣ thế nào?  Có mã nguồn nào không?  Có bất kỳ phần cứng hoặc phần mềm nào có thể can thiệp vào hoạt động kiểm thử an ninh và nếu có thì có thể tạm thời tắt trong quá trình kiểm thử? (nhƣ tƣờng lửa hoặc hệ thống phát hiện và ngăn chặn xâm nhập)  Hệ điều hành nào đang đƣợc sử dụng?  Có quy trình khắc phục lỗi tại chỗ không (trong trƣờng hợp kiểm thử gặp sai lầm nghiêm trọng)?  Có sao lƣu công việc không?  Có báo cáo cũ về những lần kiểm thử trƣớc đó không?  Tài sản nào liên quan đến hệ thống là quan trọng nhất đối với bạn? 15 1.3.4. Tuyên bố công việc Bản tuyên bố công việc (Statement Of Work) là một tài liệu phác thảo phạm vi của kiểm thử và loại kiểm thử nào sẽ đƣợc thực hiện trong phạm vi đó. Tài liệu cần chỉ ra rằng ngƣời kiểm thử đã hiểu những gì về phạm vi kiểm thử, loại kiểm thử, thời hạn kiểm thử, v.v. Chi tiết hơn có thể đƣa ra cả thông tin về nơi các bài kiểm tra sẽ đƣợc thực hiện và trong thời gian nào trong ngày. Ngoài ra bản tuyên bố cũng chỉ ra rõ ngƣời kiểm thử an ninh nên liên hệ với ai trong trƣờng hợp có sự kiện bất ngờ xảy ra 1.3.5. Quyền kiểm thử chuyên sâu Đây là một thuật ngữ dùng để chỉ một đặc quyền đƣợc cấp riêng cho ngƣời kiểm thử an ninh nhằm phân biệt với các Hacker mang ý đồ xấu. Trong quá trình kiểm thử các công cụ và phƣơng pháp đƣợc sử dụng bởi ngƣời kiểm tra bảo mật trong hầu hết các trƣờng hợp sẽ bắt chƣớc chính xác, hoặc gần giống với cách mà một Hacker thực hiện khi tấn công vào hệ thống. Do đó ngƣời kiểm thử phải đảm bảo rằng có tất cả các quyền cần thiết để thực hiện kiểm tra chuyên sâu một cách thuận lợi nhất mà không gặp trở ngại từ các ứng dụng bảo vệ hệ thống (nhƣ phần mềm Ani-Virus) . Quyền này phải đƣợc ký, bởi một ngƣời có thẩm quyền thích hợp và cần hoàn thành trƣớc khi chuyển sang bƣớc tiếp theo của bài kiểm thử an ninh. 1.3.6. Thực thi kiểm thử Đây là giai đoạn ngƣời kiểm thử bắt đầu đột nhập vào các hệ thống nằm trong phạm vi đã định sẵn từ trƣớc. Ngƣời thực hiện bƣớc này của quy trình kiểm thử an ninh phải hiểu rất rõ các kỹ thuật Hack khác nhau và cách tƣ duy của các tin tặc, hoặc tội phạm máy tính. Mặc dù các bƣớc khác trong quy trình kiểm thử có thể đƣợc lên kế hoạch và thực hiện bởi một ngƣời không am hiểu về kỹ thuật bảo mật nhƣng bƣớc này phải đƣợc thực hiện bởi ngƣời có kiến thức kỹ thuật sâu về các công cụ và kỹ thuật của Hacker. 1.3.7. Báo cáo kiểm thử an ninh Bản báo cáo cuối cùng luôn luôn là khía cạnh quan trọng nhất của bất kì bài kiểm thử an ninh nào. Báo cáo là văn bản tổng hợp liệt kê đƣa ra các thông tin nhƣ các loại lỗ hổng bảo mật nào đƣợc phát hiện, cách chúng đƣợc phát hiện và cách để có thể sửa chúng. Một bài báo cáo đƣợc viết tốt, đƣợc tất cả mọi ngƣời hiểu, là mục tiêu cuối cùng của một bài kiểm thử an ninh. Bởi vì nếu báo cáo không đƣợc làm cẩn thận hay thậm chí không có báo cáo thì chủ sở hữu hệ thống và các bên liên quan khác sẽ không có cách nào để biết liệu hệ thống của họ có an toàn hay không. Bên cạnh thách thức về kỹ thuật xâm nhập vào hệ thống máy tính, viết một bài báo cáo tốt là công việc khó khăn đối với ngay cả chuyên gia bảo mật dày dạn kinh nghiệm nhất. 16 Kiểm thử an ninh sẽ đem lại kết quả tốt nhất nếu ngƣời kiểm thử tuân theo quy trình đã đƣợc thiết lập. Có một thói quen đƣợc thiết lập sẽ không chỉ tạo ra một bài kiểm tra bảo mật chất lƣợng cao hơn, mà còn giúp việc hoàn thành dự án đúng hạn dễ dàng hơn. Mỗi bƣớc của quy trình (xem Hình 1.1), nên đƣợc ký tắt trƣớc khi dự án chuyển sang bƣớc tiếp theo. Mặc dù bản thân ngƣời kiểm thử có thể nhảy thẳng đến bƣớc thực thi kiểm thử (nơi diễn ra vụ hack thực tế), nhƣng điều quan trọng cần nhớ là mọi bƣớc của quy trình đều quan trọng nhƣ nhau. Thực hiện từng bƣớc theo quy trình sẽ đảm bảo rằng tất cả mọi ngƣời tham gia vào dự án đều biết những gì đang diễn ra và nhận đƣợc kết quả mong đợi từ phần quan trọng nhất đối với mỗi bài kiểm thử chính là bản báo cáo cuối cùng. Thông qua chƣơng này của luận văn chúng ta có thể hiểu khái quát về kiểm thử an ninh cũng nhƣ phần quan trọng nhất trong mỗi bài kiểm thử chính là báo cáo (Report). Chƣơng sau sẽ trình bày tổng quan về Metasploit, Metasploit Framework, cấu trúc và các tính năng của chúng. 17 CHƢƠNG 2: TỔNG QUAN VỀ METASPLOIT 2.1. Khái niệm cơ bản Metasploit hay còn có thể gọi là Metasploit Project là một dự án liên quan đến bảo mật máy tính, cung cấp những thông tin về các lỗ hổng bảo mật. Đối tƣợng nhắm đến của Metasploit chính là những quá trình tấn công xâm nhập kiểm thử (Penetration Testing) và phát triển các hệ thống phát hiện xâm nhập (Intrusion Detection System – IDS) Metasploit đƣợc tích hợp sẵn trong hệ điều hành Kali Linux. Nó cũng có thể đƣợc tải xuống từ địa chỉ web của nhà phát triển: https://www.rapid7.com/products/metasploit/. 2.2. Lịch sử Metasploit Metasploit ra đời vào năm 2003 bởi tác giả H. D. Moore đƣợc viết trên nền tảng ngôn ngữ Perl sau này là Ruby, ban đầu nó đƣợc xem nhƣ là các công cụ dạng Portable dành cho mạng máy tính. Mãi cho đến ngày 21 tháng 09 năm 2009, Metasploit đã đƣợc mua lại bởi Rapid7, một công ty bảo mật chuyên cung cấp những giải pháp về quản lý lỗ hổng. Cũng giống nhƣ những sản phẩm thƣơng mại “Canvas” của Immunity, “Core Impact” của Core Security Technologies. Metsploit cũng đƣợc sử dụng để kiểm tra lỗ hổng bảo mật của những hệ thống máy tính hoặc xâm nhập vào những hệ thống từ xa. Metasploit có thể đƣợc dùng vào các hoạt động hợp pháp hoặc không hợp pháp, nó dần trở nên nổi tiếng và đƣợc biết đến nhƣ là một Framework cho việc phát triển những module khai thác, tấn công lỗ hổng bảo mật. Mỗi một Module đƣợc phát triển từ bên thứ ba (Third-Party) đều đƣợc đi kèm với những khuyến cáo để nhằm nêu bật đƣợc khả năng khai thác, mức độ rủi ro và cách khắc phục lỗ hổng chứ không chỉ tập trung vào khai thác lỗ hổng. Từ phiên bản Metasploit 3.0 đƣợc tích hợp thêm những công cụ giúp phát hiện các lỗi bảo mật trong phần mềm. Vào tháng 8 năm 2011 thì phiên bản Metasploit 4.0 đƣợc phát hành và đƣợc sử dụng cho đến nay, đặc biệt là có hỗ trợ trên rất nhiều các nền tảng khác nhau nhƣ : Linux, Windows, Unixvv 18 2.3. Các phiên bản của Metasploit Hiện nay trải qua một thời gian dài sừa đổi và phát triển thì Metasploit có những phiên bản sau: Metasploit Community Edition Vào tháng 10 năm 2011 thì Rapid7 phát hành Metasploit Community Edition, một phiên bản miễn phí, có giao diện web cho ngƣời dùng. Phiên bản này đƣợc phát triển dựa vào những tính năng của phiên bản có trả phí, chỉ có điều phiên bản này đã bị bỏ đi một số tính năng “network discovery/ module browsing/manual exploitation”. Phiên bản này phù hợp với các công ty nhỏ và sinh viên. Hình 2. 1 Metasploit Community Edition 19 Metasploit Pro Tháng 10 năm 2010, Rapid7 đã phát hành Metasploit Pro, một phiên bản thƣơng mại. Có thể nói đây là một phiên bản mạnh mẽ nhất của Metasploit, nó bao gồm tất cả các tính năng của Metasploit Express và phát triển thêm các tính năng ƣu việt khác nhƣ “Quick Start Wizards/MetaModules” , xây dựng và quản lý những hoạt động tấn công sử dụng kỹ nghệ xã hội (Social Engineering), kiểm thử ứng dụng Web, tạo các Payload một cách tự động để tránh sự phát hiện của các phần mềm Anti-Virus, tích hợp cả công cụ mạnh mẽ Nexpose cho việc quét lỗ hổng trên mạng, sử dụng kỹ thuật “VPN pivoting”. Và có một điểm khác biệt nữa là phiên bản Pro hỗ trợ cả chế độ dòng lệnh và giao diện ngƣời dùng. Phiên bản này hiện tại thì có giá cao nhất so với các phiên bản khác, phù hợp cho những ngƣời thực hiện kiểm thử xâm nhập, những nhóm bảo mật. Hình 2. 2 Metasploit Pro Và cuối cùng là phiên bản Metsploit Framework. Vì đây là phiên bản sẽ đƣợc sử dụng chính ở luận văn này nên sẽ đƣợc trình bày chi tiết ở mục tiếp theo. 20 2.4. Metasploit Framework Hình 2. 3 Metasploit Framework 2.4.1. Tổng quan về Metasploit Framework Trái ngƣợc hoàn toàn với các phiên bản khác của Metasploit thì Metasploit Framework chỉ có duy nhất một chế độ giao diện dòng lệnh, mọi thao tác đều thông qua dòng lệnh. Có một điều đặc biệt thì đây là phiên bản mã nguồn mở và hoàn toàn miễn phí, rất phù hợp cho việc phát triển và nghiên cứu. Nhƣợc điểm của phiên bản này là hầu nhƣ chỉ có một số tính năng cơ bản, không đƣợc cập nhật nhƣ những phiên bản khác. Chính vì vậy việc phát triển, tích hợp các tính năng mới vào Metasploit Framework là rất cần thiết, phù hợp với những nhu cầu, nhiệm vụ khi mà có giới hạn về mặt chi phí. Tuy có nhiều hạn chế về những tính năng ƣu việt thì phiên bản này có thể coi là công cụ không thể thiếu của những nhà nghiên cứu bảo mật chuyên nghiệp, những ngƣời kiểm thử xâm nhập và đƣợc giới Hacker rất ƣa chuộng. Nhà phát triển Rapid7 đã thống kê các tính năng đƣợc tích hợp sẵn trong phiên bản miễn phí Metasploit Framework, đồng thời so sánh với các tính năng có trong phiên bản cao cấp nhất Metasploit Pro (xem Hình 2.4-2.5-2.6). 21 Tính năng tích hợp hỗ trợ giao tiếp với bên ngoài Hình 2. 4 Tính năng tích hợp hỗ trợ giao tiếp với bên ngoài Tính năng tự động Hình 2. 5 Tính năng tự động 22 Tính năng xâm nhập Hình 2. 6 Tính năng xâm nhập Qua bảng so sánh trên có thể thấy rằng các tính năng của Metasploit Framework hạn chế hơn rất nhiều so với các phiên bản khác nhƣ giao diện kém thân thiện, không có tính năng tự động mọi thứ đều thao tác thủ công, thậm chí còn thiếu đi tính năng tạo báo cáo sau mỗi lần kiểm thử. 23 2.4.2. Cấu trúc của Metasploit Framework Luận văn này sẽ sử dụng phiên bản Metasploit Framewok nên kể từ mục này trở đi Metasploit Framework sẽ đƣợc viết tắt là MSF. Hình 2. 7 Cấu trúc của Metasploit Framework 24 MSF có thể chia thành hai thành phần chính.  MSF Filesystem o Data: chứa các File có thể chỉnh sửa đƣợc. o Lib: chứa các thƣ viện cơ sở. o Modules: nơi chứa các Module thực sự của MSF . o Scripts: chứa Meterpreter và các Script khác. o Plugins: gồm các Plugin có thể tải vào trong quá trình chạy. o Tools: chứa một vài tiện ích dòng lệnh hữu dụng.  MSF Libraries o Rex : chứa các thƣ viện cơ bản cho mọi tác vụ của MSF. o Msf:Core: cung cấp một API cho việc phát triển mã khai thác. o Msf:Base: cung cấp một API thân thiện cho việc phát triển giao diện. 2.4.3. Quy trình kiểm thử trên Metasploit Framework Nhƣ chúng ta đã biết thì MSF đƣợc dùng cho việc nghiên cứu bảo mật, tấn công xâm nhập, đánh giá bảo mật. MSF sử dụng hệ quản trị cở sở dữ liệu PostgreSQL để lƣu trữ một số cấu hình, Payload phục vụ cho những nhiệm vụ khác nhau. Quá trình kiểm thử trên MSF sẽ gồm các bƣớc sau: Bƣớc 1: Phát hiện mục tiêu và thu thập thông tin (chủ yếu sử dụng Module Auxiliary/Scanner và các công cụ dò quét khác nhƣ Nmap đƣợc tích hợp). Bƣớc 2: Lựa chọn mục tiêu để tấn công. Bƣớc 3: Tìm kiếm những lỗ hổng và mã khai thác liên quan đến mục tiêu (chủ yếu sử dụng các Module Auxiliary phù hợp với dịch vụ đã phát hiện ra). Bƣớc 4: Thực hiên tấn công xâm nhập thông qua các lỗ hổng đã đƣợc xác thực tồn tại. Bƣớc 5: Tiến hành triển khai các mã độc và duy trì kết nối sau khi xâm nhập thành công. Bƣớc 6: Dọn dẹp các chứng cứ. Tùy thuộc vào đặc thù của mỗi phiên kiểm thử mà quy trình thực hiện có thể đƣợc thay đổi. Tuy nhiên trong quy trình kiểm thử tối thiểu cần phải có thêm bƣớc tạo báo cáo, đây là bƣớc có ý nghĩa rất lớn trong quản trị an toàn thông tin và cũng là tính năng chúng tôi muốn mở rộng thêm cho MSF. Chƣơng sau của luận văn sẽ trình bày chi tiết về các bƣớc cũng nhƣ cách để mở rộng thêm tính năng tạo báo cáo trên MSF. 25 CHƢƠNG 3: MỞ RỘNG TÍNH NĂNG TẠO BÁO CÁO CHO METASPLOIT FRAMEWORK Để tạo ra đƣợc một bản báo cáo đầy đủ và đáp ứng đƣợc các yêu cầu chuẩn mực quốc tế, chúng tôi sẽ tham khảo định dạng và phƣơng pháp tạo báo cáo đƣợc đề xuất của nhà phát triển Rapid7 trên phiên bản cao cấp nhất đƣợc toàn thế giới công nhận là Metasploit Pro. https://metasploit.help.rapid7.com/docs/about-reports. Hình 3. 1: Đề xuất báo cáo trên Metasploit Pro Dựa vào cấu trúc của MSF (Hình 2.7) và đề xuất của nhà phát triển Metasploit là Rapid7 (xem Hình 3.1) về việc mở rộng thêm tính năng cho công cụ này, tôi sẽ tạo một công cụ xuất báo cáo theo dạng Plugin mở rộng, sử dụng ngôn ngữ Ruby và tƣơng tác thông qua giao diện CLI. Ngôn ngữ đƣợc sử dụng ở đây là Ruby 2.5.0 giống nhƣ phiên bản đang đƣợc sử dụng trên MSF phiên bản 5. Để phù hợp với hoạt động của Framework, công cụ báo cáo đƣợc xây dựng để tích hợp vào trong Framework thay vì phát triển một ứng dụng độc lập. 26 Công cụ sẽ đƣợc móc vào Framework và đƣợc sử dụng nhƣ một hệ thống rời, vừa có thể thực hiện đƣợc lời gọi các hàm từ Framework vừa có thể chạy độc lập các hàm mở rộng. Vì sử dụng trong Framework nên giao diện đƣợc sử dụng là giao diện dòng lệnh, giống cách mà các kiểm thử viên sử dụng Framework. Điểm đặc biệt là có thể sử dụng để tạo báo cáo ngay trên các phiên bản Linux chỉ sử dụng giao diện dòng lệnh thay vì cần thực hiện thông qua một Web Server ở một máy chủ khác. Công cụ tƣơng tác với Framework thông qua giao diện Plugin thuộc lớp giao diện đƣợc dựng sẵn của Framework dành cho các công cụ tích hợp bên ngoài mà không thuộc phân loại công cụ tấn công nhƣ Auxiliary, Payload, Encoder hay Exploit, .v.v. Tiếp theo sẽ là các bƣớc chi tiết của quá trình phát triển và mở rộng tính năng cho MSF. 3.1. Xác định chuẩn báo cáo trong Metasploit Pro Để đảm bảo tính đầy đủ và hoàn thiện nhất tôi sẽ tạo báo cáo cho MSF theo tiêu chuẩn đƣợc mô tả trên Metasploit Pro, bao gồm hai chuẩn là chuẩn PCI và FISMA (xem Hình 3.2). Hình 3. 2: Chuẩn báo cáo trong Metasploit Pro 27 3.1.1. Chuẩn PCI Chuẩn này đƣợc đƣa ra bởi Hội đồng Tiêu chuẩn Bảo mật PCI (bao gồm các thành viên là các tổ chức thẻ quốc tế: Visa, MasterCard, American Express, Discover Financial Services, JCB International. Mục đích của PCI DSS là bảo đảm an toàn cho dữ liệu thẻ khi đƣợc xử lý và lƣu trữ tại các ngân hàng hoặc doanh nghiệp thanh toán điện tử. Theo đó, tất cả mọi tổ chức có liên quan đến việc truyền tải, xử lý và lƣu trữ dữ liệu thẻ thanh toán (đƣợc gọi là “Cardholder Data”) đều phải tuân thủ theo tiêu chuẩn PCI DSS. PCI DSS yêu cầu hệ thống các yêu cầu để đáp ứng các chuẩn mực về an ninh, chính sách, quy trình, cấu trúc mạng, hệ thống phần mềm và một số yếu tố khác. Tập hợp các chuẩn mực này định hƣớng cho các ngân hàng hoặc doanh nghiệp về thanh toán đảm bảo an ninh cho dữ liệu của thẻ thanh toán. Báo cáo dựa theo chuẩn này sẽ cho ta biết các nội dung thu thập đƣợc theo yêu cầu của chuẩn bảo mật dữ liệu công nghiệp cho thẻ thanh toán PCI-DSS 2.0, PCI bao gồm 12 yêu cầu cụ thể chia thành 6 nhóm chính:  Xây dựng và duy trì một mạng lƣới an toàn.  Bảo vệ dữ liệu chủ thẻ.  Duy trì chƣơng trình quản lý lỗ hổng.  Thực hiện các biện pháp kiểm soát truy cập.  Giám sát và kiểm tra mạng thƣờng xuyên.  Bảo trì chính sách an ninh thông tin. 3.1.2. Chuẩn FISMA Là một đạo luật về an ninh mạng đƣợc cơ quan liên bang Mỹ đề xuất nhằm thực hiện các quy trình và kiểm soát hệ thống, bảo vệ tính bảo mật của dữ liệu và hệ thống thông tin. Luật này bảo vệ mạng lƣới hạ tầng quốc gia, và kêu gọi tăng cƣờng nỗ lực bảo vệ an ninh thông tin cho tất cả các công dân, các cơ quan an ninh quốc gia và cơ quan thực thi pháp luật. FISMA dựa trên một bộ tiêu chuẩn và khuyến nghị từ Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST). NIST xây dựng các tiêu chuẩn và hƣớng dẫn trong văn bản SP800-53rev4, mà các cơ quan có thể sử dụng để xây dựng các chƣơng trình tuân thủ theo luật FISMA. Các hƣớng dẫn đƣợc phát triển bởi NIST xác định các yêu cầu tối thiểu để quản lý, vận hành, kiểm soát hệ thống thông tin. Báo cáo loại này bao gồm các mục:  AC7- Kiểm soát truy cập.  AT-2- Đào tạo nâng cao nhận thức.  CM-7- Quản lý cài đặt.  IA-2,IA-5,IA-7- Định danh và xác thực. 28  RA-5- Xác định rủi ro.  SI-2,SI-10- Đúng đắn của hệ thống và thông tin. 3.2. Xác định các loại báo trên Metasploit Pro Ngoài hai chuẩn chính trên tôi tiến hành tham khảo thêm các dạng báo cáo đƣợc tích hợp trong phiên bản Pro (xem Hình 3.3), đồng thời sàng lọc để lựa chọn các dạng báo cáo phù hợp với các thông tin có thể thu thập đƣợc trong phiên bản Framework. Hình 3. 3: Các loại báo trên Metasploit Pro  Báo cáo kiểm định Bao gồm các thông tin về : o Phát hiện chính: Phần này trình bày các thông tin về máy chủ, thống kê hệ điều hành số lỗ hổng đã phát hiện và dữ liệu thông tin có thể bị tấn công thu thập thông qua các bảng và biểu đồ. o Phát hiện chi tiết: Phần này liệt kê chi tiết các thông tin của từng máy, các thông tin tài khoản, các dịch vụ và các lỗ hổng, các mã khai thác có thể dùng để xâm nhập thiết bị  Báo cáo chứng chỉ đăng nhập Bao gồm các thông tin về các tài khoản thu thập đƣợc, có thể ở dạng văn bản rõ, bản mật khẩu băm, khoá xác thực SSH. Báo cáo này bao gồm thông tin về: o Các chứng chỉ. o Các tài khoản đăng nhập. o Thông tin về máy chủ. o Dịch vụ.  Các báo cáo khác o Báo cáo thu thập chứng cứ. o Báo cáo hoạt động. o Báo cáo thiết bị chứa lỗ hổng. o Báo cáo về dịch vụ. 29 Các báo cáo này đƣợc gộp chung lại vì có các điểm chung là sử dụng các nhóm thông tin giống nhau nhƣ các mã đã sử dụng, các máy chủ, các chứng chỉ, các dịch vụ và kết nối thu thập đƣợc. Sau khi xác định đƣợc các chuẩn cùng dạng báo cáo tôi tiếp tục thiết kế công cụ để đáp ứng đƣợc các chuẩn báo cáo trên. 3.3. Chuẩn bị dữ liệu để kết xuất Để thực hiện việc xây dựng một bản báo cáo có độ chi tiết tốt, chúng tôi cần có một bộ dữ liệu mẫu sử dụng cho báo cáo, phục vụ mục đích kiểm thử và đánh giá mức độ hoàn thiện của báo cáo xây dựng đƣợc. Phần chuẩn bị dữ liệu này bao gồm hai phần, chuẩn bị dữ liệu tấn công kiểm thử làm nội dung cho báo cáo và chuẩn bị các bản báo cáo mẫu từ phiên bản Pro dựa trên dữ liệu tấn công kiểm thử đó để đối sánh mức độ hoàn thiện của báo cáo đƣợc tạo ra. 3.3.1. Chuẩn bị dữ liệu tấn công kiểm thử Để có bộ dữ liệu tấn công kiểm thử một cách hợp pháp, tôi sử dụng máy ảo Metasploitable 2 , là phiên bản máy ảo đƣợc cài sẵn các dịch vụ chứa nhiều lỗ hổng bảo mật, chuyên dụng cho việc tấn công kiểm thử bằng công cụ MSF. Về Metasploitable, phiên bản 2, là một sản phẩm khác đƣợc phát triển bởi Rapid7, phiên bản mới nhất là Metasploitable 3 nhƣng chƣa ổn định và đang trong giai đoạn phát triển, nên chúng tôi sử dụng bản Metasploitable 2 để có thể dễ dàng đạt đƣợc các kết quả tấn công nhiều nhất có thể. Phiên bản có thể đƣợc tải về thông qua địa chỉ Web : https://sourceforge.net/projects/metasploitable/files/Metasploitable2/ Sản phẩm chạy đƣợc trên các phần mềm ảo hoá phổ biến nhƣ Oracle Virtualbox, VMWare Player/Workstation, .v.v. 3.3.2. Tấn công kiểm thử Để tấn công các lỗ hổng có trên Metasploitable 2, chúng tôi sử dụng công cụ Armitage, là một phiên bản của MSF đƣợc thiết kế với giao diện dễ sử dụng, tích hợp nhiều tính năng đƣợc lập trình sẵn giúp rút ngắn thời gian tấn công. Armigate có sẵn trong bản phân phối Kali Linux. 30 Thực hiện quét phát hiện mục tiêu (xem Hình 3.4). Hình 3. 4 Quét mục tiêu trên Armitage 31 Thực hiện tấn công bằng chế độ Hail Mary, tự động dò quét và tấn công tất cả các lỗ hổng có thể (xem Hình 3.5). Hình 3. 5 Tấn công bằng chế độ Hail Mary 32 Sau đó tiếp tục tấn công bằng các Exploit tìm đƣợc (xem Hình 3.6). Hình 3. 6 Tấn công bằng các Exploit tìm đƣợc 33 Sau khi tấn công xong chúng tôi tiến hành đƣa ra kết quả tấn công dƣới định dạng XML (xem Hình 3.7). Hình 3. 7 Tạo kết quả tấn công dƣới định dạng XML 34 Từ bản XML này chúng tôi sẽ nhập vào phiên bản Pro để tạo báo cáo thử. Sau khi sử dụng công cụ Metasploit Pro, chúng tôi đã thu đƣợc các mẫu báo cáo dựa trên bộ dữ liệu vừa xuất từ cơ sở dữ liệu trên, nhƣ báo cáo mức độ tuân thủ chuẩn PCI DSS (xem Hình 3.8), báo cáo kiểm định, báo cáo dịch vụ, báo cáo tổng hợp, . . . Hình 3. 8 Báo cáo chuẩn PCI DSS trên Metasploit Pro Sau khi có dữ liệu dựng báo cáo và mẫu báo cáo từ phiên bản Pro, tiếp theo luận văn sẽ trình bày chi tiết về thiết kế cho công cụ tạo báo cáo. 35 3.4. Thiết kế công cụ tạo báo cáo 3.4.1. Phân tích 3.4.1.1. Phân tích quy trình tạo báo cáo Trƣờng hợp 1: Chuyên viên kiểm thử an toàn thông tin thực hiện tấn công và thu thập thông tin về các đối tƣợng đang quan tâm. Dữ liệu đƣợc lƣu trong Database của Framework trên máy có cài đặt Framework hoặc trên một Server Database khác. Chuyên viên sử dụng dữ liệu đó để tạo báo cáo. Trƣờng hợp 2: Chuyên viên sau khi thực hiện kiểm thử an toàn thông tin, tổng hợp dữ liệu tấn công kiểm thử về một nguồn đƣợc cấp phép, thực hiện tạo báo cáo theo yêu cầu. Sơ đồ ngữ cảnh sử dụng (xem Hình 3.9) Hình 3. 9 Sơ đồ ngữ cảnh sử dụng 36 Dựa vào lƣợc đồ trên có thể phân tích các chức năng chính của công cụ (xem Hình 3.10). Hình 3. 10 Các chức năng chính của công cụ. 37 3.4.1.2. Phân tích yêu cầu hệ thống Công cụ cần đƣợc cài đặt với MSF, đặt trong thƣ mục chứa Plugin theo hai dạng yêu cầu là chức năng và phi chức năng. Yêu cầu chức năng  Quản lý các gói dữ liệu o Nhập gói dữ liệu từ Framework để sử dụng.  Công cụ cần thu thập đƣợc dữ liệu tấn công kiểm thử của MSF. o Nhập gói dữ liệu từ nguồn bên ngoài.  Công cụ cần đọc đƣợc chuẩn nhập/xuất dữ liệu database của MSF. XML. o Xoá các gói dữ liệu.  Cấu hình cho báo cáo o Lựa chọn đƣợc định dạng báo cáo. o Lựa chọn đƣợc chuẩn báo cáo. o Lựa chọn đƣợc gói dữ liệu sử dụng trong báo cáo.  Tạo báo cáo theo các chuẩn và định dạng đã cấu hình o Định dạng HTML/PDF. o Chuẩn báo cáo PCI DSS Compliance/Audit/Network Services. Yêu cầu phi chức năng  Chất lƣợng: Công cụ cần đạt tiêu chuẩn thiết kế theo hƣớng dẫn của MSF cho việc phát triển Module mở rộng.  Yêu cầu tiến trình o Môi trƣờng  Chạy đƣợc trên mọi hệ điều hành có hỗ trợ MSF.  Chạy đƣợc ngay cả khi không có kết nối Database. o Ngôn ngữ lập trình: Ruby phiên bản 2.5.3 đã đƣợc đóng gói kèm Framework. o Ràng buộc: Không đƣợc can thiệp vào danh sách Gem sử dụng cho Framework. o Độ tin cậy: Báo cáo kết xuất ra cần đạt tiêu chuẩn đƣợc định nghĩa trong các tài liệu mô tả tiêu chuẩn báo cáo tuân thủ quốc tế hoặc tiêu chuẩn báo cáo của Metasploit.  Sản phẩm: o Giao diện  Đẹp mắt, giống với giao diện CLI của