AN TÒAN THÔNG TIN TRUNG TÂM ĐÀO TẠO QUẢN TRỊ MẠNG & AN TÒAN THÔNG TIN SECURITY365 - GIẢI PHÁP AN TÒAN
GIỚI THIỆU MỘT SỐ BÀI LAB TRONG MODULE AN TÒAN THÔNG TIN CỦA HỆ THỐNG ELEARNING ROOM www.giaiphapantoan.com www.quantrimang.org www.antoanthongtin.org Nội dung chính và quan trọng nhất của khóa học là phần An Tòan Thông Tin với các kiến thức về bảo mật thông tin được cập nhật thường xuyên như các kỹ năng giúp an tòan đường truyền, mã hóa dữ liệu … Ngoài ra chuyên mục An Tòan Thông Tin còn có những nội dung chính được đề cập trong các giáo trình Security+, CEH và những bài Hacking & Defence Lab thực tế, những tình huống khai thác lỗi bảo mật mới như Setslice(), Webmin, Wmf, các bài hướng dẫn tạo code Yahoo Worm, Trojan Downloader, Fake Certificate, ARP Spoofing, Fake DNS, Spoofing DHCP, nghe lén password, hacking / penetration cùng với những giải pháp phòng chống. Bên cạnh đó là các bài Lab hướng dẫn bảo mật và an tòan đường truyền với SSH Tunneling, vá lổ hổng hệ thống, phòng chống Man In The Middle. Sau đây là một số minh họa của nội dung An Tòan Thông Tin.
1. Hacking Với Metasploit Framework : Danh sách 100 công cụ bảo mật hàng đầu có đề cập đến Metasploit , công cụ được các hacker và chuyên gia bảo mật rất yêu thích, trong tài liệu Writing Shell Code & Security Tools MSF chiếm đến ¼ nội dung sách. Bên cạnh khả năng exploit (khai thác lỗ hổng cực mạnh) với dữ liệu về lỗ hỗng hệ thống rộng và phong phú được cập nhật thường xuyên thì MSF còn cho phép chúng ta viết các đọan mã khai thác (gọi là các payload hay shell code, là những chương trình mà hacker muốn chạy trên máy victim khi exploit thành công, ví dụ wind32_bind add user cho phép tạo một account trên máy victim từ xa được giới thiệu ở phần Module An Tòan Thông Tin.
2. Man In The Midle - Sniffer Password Mail - Fake DNS/Fake Certificate: Hacking Cleartext Password …Có một tình huống sau, trên hệ thống mạng LAN công ty bạn hiện nay chạy rất chậm,nguyênnhân là do có một máy nào đó truy cập vào các trang web đen và tải về một số lượng lớn các file, điều này làm cho mọi người rất bực mình. Trong vai trò quản trị bạn cần xử lý tình trạng trên để hệ thống hoạt động ổn định. Bạn đề xuất công ty triển khai ISA Server 2004 vì những tính năng mạnh mẽ của nó có thể cho chúng ta quản lý việc truy cập internet chặt chẽ, ngăn chặn các trang web đen…và đã được duyệt. Tuy nhiên, trong thời gian chờ đợi ISA Server 2004 Firewall, chúng ta hãy sử dụng một biện pháp “nghiệp vụ” đơn giản sau: - Gởi một email thông báo tình trạng mạng hiện nay rất chậm, đề nghị mọi ngườikhông truy cập và tải về những file có dung lượng lớn, khuyến cáo khôngnên truy cập vào các trang web đen vì ở đó thường chứa các mối nguyhiểm như virus/trojan.. và sử dụng chương trình power sniffer lord of the tokenring để phát hiện và cắt đứt (kill) các liên kết đến những trang web này.
Password Bị Capture, Ngòai Ra Chúng Ta Còn Có Thể Kill 1 Bad Connection Hay Fake Certificate Để Bắt Hotmail/Gmail Password Một Cách Dễ Dàng
3. Đánh Lừa Các Chương Trình Diệt Virus : Defeat Norton Antivirus (Hãy sử dụng KAV hay BidDefence cho các máy chủ hay máy cá nhân của bạn vì khả năng detect virus/malware cao hơn so với NAV) .Trong các bài học trước chúng tôi có giới thiệu một malware nguy hiểm là server.exe cho phéo remote admin (tên thường thấy trong của các chường trình trojan) và malware này có thể qua mặt chương trình diệt virus thông dụng hiện nay là NAV khá dễ dàng. Để thực chiện điều này các attacker có thể mã hóa các malware sau khi đã được cấu hình và gởi đến máy victim qua đường email hay chat, web.. Tiến Trình Mã Hóa Malware
4.Nhúng Tập Tin EXE Vào Image : Một trong những chiêu thức thường được các attacker sử dụng để đánh lừa người dùng mở email có chưá trojan đó là send các email với những hình ảnh nóng bỏng và nhúng kèm trong các file email đó là một chương trình exe, ví dụ sau tôi sẽ gởi đến các bạn 1 hình ảnh hoctructuyen.gif và nhúng kèm chương trình Calculator để hổ trợ các bạn trong việc tính toán. Tuy nhiên các attacker thì sẽ nhúng những con trojan nguy hiểm, vì vậy hãy cẩn thận khi mở và lưu các hình ảnh chứa trong các trang web hay email xuất phát từ những domain lạ (ngay cả các nhà quản trị và chuyên gia IT cao tay đôi khi bị đánh lừa vì bị attacker biết được một số thông tin nhạy cảm như địa chỉ email của người thân, bạn gái và ngày sinh nhật hay ngày mà chúng ta được thăng chức, tăng lương để gởi 1 phishing mail với hình là 1 greeting card có nhúng trojan hack yahoo mail được rootkit để qua mặt NAV) Các Image Đã Được Nhúng EXE
5. Exploit Internet / Intranet Client Thông Qua Khai Thác Lỗi WMF: Chúng ta đã thực tập cách cài đặt và sử dụng Metasploit Framework với các exploit sẳn có cũng như cách thức để cập nhật mã khai thác những lổ hổng mới của các hệ thống ứng dụng như dcom, createtextrange.. Sau đây là một file video demo cách thức khai thác lổ hổng dựa trên lỗi bảo mật wmf mà chúng ta đã biết. Đây là một lỗi nguy hiểm ảnh hưởng đến tất cả các hệ thống MS Windows . Attacker boot máy bằng đĩa Attack Tool (có thể là BackTrack hay Whoppix, lớp học của chúng ta sử dụng đĩa BackTrack được gởi kèm cho các học viên sau khi đăng kí). Ngòai ra Attacker có thể cài đặt Metasploit Framework trên Windows như minh họa trong file video (Download source từ www.metasploit.com) Hình ảnh các bước tiến hành như sau:
6. Nhúng Mã Nguy Hiểm Vào Trang Web: Đây là bài Lab được nhiều bạn yêu thích và cũng là bài Lab mang tính “phi chính qui” khá cao cho nên các trung tâm đào tạo tin học hầu như không muốn đưa vào giáo trình chính thức của mình. Vì vậy các học viên khi thực hành bài Lab này chỉ dùng cho mục đích nghiên cứu học tập, theo tiêu chí biết cách tấn công để phòng chống : Hack To Defence. Không được áp dụng vào những mục tiêu trái với luật định của Nhà Nước Việt Nam , chúng tôi (Security365.Org) không chịu trách nhiệm trước các hành vi trên. Internet Client Bị Dính Trojan Sau Khi Truy Cập vào Trang Web Bị Nhúng Mã Nguy Hiểm
7. Các Bài Hướng Dẫn Hacking Và Defence Của Haking Defence: Ngày nay nhu cầu bảo mật thông tin ngày càng tăng cao, vì vậy rất nhiều người nghiên cứu và trau dồi thêm những kiến thức về an tòan hệ thống. và một trong nhữn glĩnh vực bảo mật được rất nhiều bạn trẻ yêu thích đó là Penetrating hay còn gọi là Hacking. Tuynhiên chúng ta không thể hack hay attack những hệ thống publish trên môi trường internet hay những máy tính không thuộc quyền sở hữu của mình, vì điều đó là vi phạm luật . Vì vậy trong bài viết này tôi sẽ trình bày một phương pháp dựng Hacking Lab để có thể phục vụ cho môi trương nghiên cứu và học tập lấy một ví dụ thực tế, các attacker từ evil site security.biz sẽ thăm dò và tấn công vào hệ thống mạng của công ty company.com, để thực hiện quá trình penetrating này chúng ta cần có một máy tính làm Attack machine, trên máy tính này chúng ta sẽ được trang bị bộ công cụ Hacking Tool, được khởi động từ CDROM và không cần cài đặt gì thêm (NAAS/SCNP Tool).
8. Cách Viết Yahoo Messenger Worm Hay Trojan Downloader: Vừa qua chúng ta đã tham khảo và nghiên cứu con worm đầu tiên của khóa học, tuy đơn giản nhưng cũng hết sức lợi hại. Đọan code đơn giản các bạn đã decode ra đã được một số hacker nổi tiếng áp dụng cho mục đích lan truyền. Khi chúng tôi thử nghiệm AutiIt để viết nó thì ở Việt Nam bùng phát dịch Xrobot (một con worm có cơ chế lây lan qua tin nhắn) vì vậy bài tập này đa được tạm ngưng cho đến khi WC 2006 khởi tranh. Như các bạn thấy, điều quan trọng để trở thành 1 hacker là vấn đề tư duy, suy luận là chính, ngòai ra là kiến thức về hệ thống còn kỹ năng lập trình không phải là quan trọng nhất vì với các công cụ hổ trợ lập tình mạnh mẽ như AutoIT mà chúng tôi giới thiệu trong khóa học sẽ đảm nhiệm phần lớn công việc viết code. Các đọan code như Yahoo Worm hay Trojan Downloader, ý tưởng thật đơn giản. Chương trình WorldCup 2006 khi chạy sẽ lắng nghe chờ đến khi cữa sổ Send Message To Group active với hàm WinWaitActive() sẽ từ động chèn message thông qua hàm Send() của mình vào và gởi đi trước khi chủ nhân kịp phản ứng. Đây chỉ là 1 module trong một cấu trúc tổng thể của đợt tấn công hay lây nhiễm.
Worm Code (Craf)
Kiểm Tra Worm Send Message
9. Xây Dựng Free, Power IPCOP Firewall: Sau khi tham khảo bài ISA 2004 LAB, nhiều bạn cho rằng ISA Server 2004 Firewall quả thật là mạnh mẽ trong vấn đề bảo vệ hệ thống cũng như quản lý người dùng ngọai trừ chi phí bản quyền quá cao so với chúng ta, khi mà Việt Nam sắp sữa gia nhập WTO. Chính vì vậy chúng tôi cover lại bài viết đăng trên PC World của NTTV về việc xây dựng 1 Firewall cũng mạnh mẽ không kém nhưng không đòi hỏi cấu hình máy tính phải mạnh mẽ và hòan tòan miễn phí. Lưu ý, đây là bài Lab tham khảo các bạn hãy cẩn thận khi triển khai vì quá trình cài đặt sẽ format tòan bộ ổ cứng có thể gây mất mát dữ liệu.
10.Acunetix Web Scanner: Trong thời đại công ngệ thông tin, các công ty sản xuất, kinh doanh cho đến giáo dục đều tích cực áp dụng Web để quảng bá hình ảnh công ty, tiếp thị sản phẩm, dịch vụ và điều này đã làm doanh thu của họ tăng lên rất nhiều lần. Tuy nhiên khi công bố những thông tin nhạy cảm cho khách hàng qua các ứng dụng web chúng ta thường gặp các mối nguy hiểm về bảo mật thông tin do bị hacker/attacker lợi dụng các lổ hổng hay những điểm yếu ứng dụng như sql injection, cross site scripting, directory traversal attack, parameter manipulation (như URL, Cookie, HTTP Header, HTML Forms) tấn công và lấy đi các dữ liệu quan trọng. Chính vì lý do đó chúng ta cần kiểm tra những khiếm khuyết trong ứng dụng Web của mình một cách cẩn thận qua những phương pháp khác nhau như
Penetration Test, Tự tấn công …Và một trong những phương pháp hiệu quả nhất là sử dụng phần mềm kiểm tra lổ hổng ứng dụng Web số 1 hiện nay : Acunextix web vulneribility scaner (phiên bản là 4.0).
Ngoài ra, trong hệ thống Elearning còn có nhiều bài Video Lab Bài Giảng và Hướng Dẫn về an tòan đường truyền bằng cách tạo các secure link cho remote desktop hay làm sao xây dựng 1 sock riêng để vượt firewall, kỹ thuật chuyển hướng port (port forwarding) …Và với tài khỏan có hiệu lực 2 năm (sau khi kết thúc khóa học các member vẫn có thể log in để download và tham khảo tài liệu) các học viên luôn được cập nhật những kiến thức mới lạ và bổ ích.