Module 1 trong chương trình CEH Tiếng Việt có đề cập đến các khái niệm cơ bản về hack: hacking là gì, hacker là ai và các loại hacker cùng với 5 giai đoạn hack riêng biệt mà chúng ta cần nắm rõ. Các bạn có thể đọc thêm các bài viết khác tại đây.
Hacking là gì?
Đầu tiên ta cần hiểu được khai niệm hacking là gì? Hacking trong lĩnh vực bảo mật máy tính đề cập đến việc khai thác các lỗ hổng của hệ thống và phá vỡ các biện pháp bảo mật để truy cập trái phép vào tài nguyên hệ thống.
Hacker có thể sửa đổi các tính năng của hệ thống hoặc ứng dụng để đạt được mục tiêu ngoài mục đích ban đầu của người tạo ra nó. Thêm vào đó, hoạt động hacking có thể ăn cắp hoặc phân phối lại tài sản trí tuệ, dẫn đến tổn thất kinh doanh.
Hacking trên mạng máy tính thường được thực hiện bằng cách sử dụng các tập lệnh hoặc lập trình mạng. Các kỹ thuật hack mạng bao gồm tạo mã độc hoặc thực hiện các cuộc tấn công từ chối dịch vụ (DoS), thiết lập các kết nối truy cập từ xa trái phép tới một thiết bị sử dụng trojan hoặc backdoor, tạo botnet, đánh hơi gói tin, lừa đảo và bẻ khóa mật khẩu.
Động cơ đằng sau việc hack có thể là để đánh cắp thông tin hoặc làm gián đoạn dịch vụ quan trọng, vì tò mò, thử nghiệm, lợi ích tài chính, uy tín, quyền lực, báo thù và nhiều lí do khác.
Hacker là ai?
Hacker (tin tặc) là người đột nhập vào hệ thống hoặc mạng mà không được phép để phá hủy, đánh cắp dữ liệu nhạy cảm hoặc thực hiện các cuộc tấn công trái phép khác.
Một hacker là một cá nhân thông minh với kỹ năng máy tính xuất sắc, cùng với khả năng tạo và khám phá phần mềm và phần cứng của máy tính. Thông thường, một hacker là một kỹ sư hoặc lập trình viên lành nghề có đủ kiến thức để phát hiện ra các lỗ hổng trong hệ thống mục tiêu. Họ thường có kiến thức chuyên môn và thích tìm hiểu về các ngôn ngữ lập trình và hệ thống máy tính khác nhau.
Đối với một số hacker, hack là một sở thích để xem họ có thể xâm nhập bao nhiêu máy tính hoặc mạng. Mục đích của họ có thể là để đạt được kiến thức hoặc tìm kiếm xung quanh hoặc có thể tấn công với mục đích xấu như đánh cắp dữ liệu kinh doanh, thông tin thẻ ngân hàng, mật khẩu cá nhân.
Phân loại hacker
- Black Hats: hacking bất hợp pháp, phá hoại. Loại hacker này thường tham gia vào các hoạt động tội phạm. Chúng còn được gọi là crackers.
- White Hats: có thể là pentester, là những cá nhân sử dụng kỹ năng hack cho mục đích phòng thủ. Ngày nay, hầu hết các tổ chức kinh doanh đều có các nhân sự có nhiệm vụ phân tích bảo mật và am hiểu về các biện pháp đối phó với hack, có thể bảo mật hệ thống thông tin và mạng của mình trước các cuộc tấn công nguy hiểm. Họ có sự cho phép của chủ sở hữu hệ thống.
- Gray Hats: là những người có tác dụng tấn công lẫn phòng thủ vào nhiều thời điểm khác nhau. Họ có thể giúp tin tặc tìm ra các lỗ hổng khác nhau trong hệ thống hoặc mạng, đồng thời, giúp các nhà cung cấp cải thiện sản phẩm (phần mềm hoặc phần cứng) bằng cách kiểm tra các lỗ hổng có trong những sản phẩm đó.
- Suicide Hackers: là những cá nhân nhằm mục đích phá hủy cơ sở hạ tầng quan trọng vì một “lý do” và không quan tâm phải đối mặt với pháp luật. Chúng tương tự như những kẻ đánh bom liều chết hy sinh mạng sống cho một cuộc tấn công và không quan tâm đến hậu quả.
- Script Kiddies: là những tin tặc không có kinh nghiệm xâm nhập hệ thống mà sử dụng các công cụ và phần mềm được viết sẵn.
- Cyber Terrorists: những cá nhân có nhiều kỹ năng, được thúc đẩy bởi tôn giáo hoặc chính trị, nhằm tạo ra sự gián đoạn quy mô lớn của mạng máy tính.
- State-Sponsored Hackers: được nhà nước bảo trợ, những cá nhân được chính phủ thuê để xâm nhập, lấy thông tin tối mật và làm hỏng hệ thống thông tin của các chính phủ khác.
- Hacktivist: khi tin tặc đột nhập vào hệ thống máy tính của chính phủ hoặc công ty để phản đối. Họ là những cá nhân sử dụng hack để thúc đẩy một chương trình chính trị, đặc biệt là bằng cách phá hoặc vô hiệu hóa các trang web. Các mục tiêu hacktivist phổ biến bao gồm các cơ quan chính phủ, các tập đoàn đa quốc gia và bất kỳ đối tượng nào mà họ coi là mối đe dọa.
Các giai đoạn trong hacking – CEH Tiếng Việt
Nhìn chung, hacking gồm 5 giai đoạn chính:
- Trinh sát (Reconnaissance)
- Dò quét (Scanning)
- Cướp quyền (Gaining Access)
- Duy trì quyền (Maintaining Access)
- Xóa dấu vết (Clearing Tracks)
Reconnaissance
Trong series CEH Tiếng Việt, Reconnaissance đề cập đến giai đoạn chuẩn bị trong đó kẻ tấn công thu thập càng nhiều thông tin càng tốt về mục tiêu trước khi tiến hành tấn công.
Trong giai đoạn này, attacker tìm hiểu thêm về mục tiêu, có thể bao gồm khách hàng, nhân viên, hoạt động, mạng lưới và hệ thống liên quan. Ví dụ: hacker có thể gọi cho nhà cung cấp dịch vụ Internet của mục tiêu và sử dụng thông tin cá nhân có được trước đó. Hacker giả mạo làm khách hàng và khai thác thông tin từ nhân viên dịch vụ khách hàng.
Giai đoạn này có thể chia làm 2 loại là chủ động và thụ động.
Đối với thụ động, chúng không tương tác trực tiếp với mục tiêu. Thay vào đó,chúng dựa vào thông tin có sẵn được công khai như các bản tin. Mặt khác, các kỹ thuật trinh sát chủ động lại tương tác trực tiếp với hệ thống mục tiêu bằng cách sử dụng các công cụ như dò quét để phát hiện các port đang mở, các server có thể truy cập, các thống tin về vị trí của router, thông tin chi tiết của hệ điều hành và các dịch vụ, …
Ta phải có khả năng phân biệt giữa các phương pháp do thám khác nhau và đưa ra các biện pháp phòng ngừa trước các mối đe dọa tiềm ẩn. Các công ty phải coi bảo mật như một phần không thể thiếu trong chiến lược kinh doanh, đồng thời được trang bị các chính sách và thủ tục thích hợp để kiểm tra các lỗ hổng tiềm ẩn.
Scanning
Dò quét là giai đoạn ngay trước khi tấn công. Tại đây, attacker sử dụng các chi tiết thu thập được trong quá trình trinh sát. Dò quét và trinh sát chủ động khác biệt ở chỗ, việc dò quét bao gồm việc thăm dò chuyên sâu hơn. Attacker có thể thu thập thông tin quan trọng về hệ thống, router và firewall bằng cách sử dụng các công cụ đơn giản như Windows Traceroute. Ngoài ra, còn có các công cụ như Cheops để thêm thông tin bổ sung vào kết quả của Traceroute.
Attacker trích xuất thông tin như các máy tính đang hoạt động, port, trạng thái port, chi tiết về hệ điều hành, loại thiết bị và thời gian hoạt động của hệ thống. Công cụ quét port có nhiệm vụ phát hiện các port đang chạy từ đó đoán được máy đó đang chạy dịch vụ nào.
Để tránh dò quét port, cần tắt các dịch vụ không cần thiết và thực hiện lọc port thích hợp bằng firewall. Tuy nhiên, attacker vẫn có thể sử dụng các công cụ để dò quét, có thể tìm kiếm hàng nghìn lỗ hổng trên hệ thống của mục tiêu. Các tổ chức sử dụng hệ thống phát hiện xâm nhập vẫn phải cảnh giác vì những kẻ tấn công có thể và sẽ sử dụng các kỹ thuật trốn tránh bất cứ lúc nào.
Gaining access
Đây là giai đoạn thực sự của việc hacking, đó là chiếm quyền truy cập. Attacker sử dụng các lỗ hổng được xác định trong giai đoạn reconaissance và scanning để truy cập vào hệ thống mục tiêu. Attacker có thể giành quyền truy cập vào hệ điều hành, ứng dụng hoặc ở mức độ network. Mặc dù attacker có thể không chiếm được bất kỳ quyền truy cập nào vào hệ thống nhưng tác động của việc truy cập trái phép là rất nghiêm trọng.
Ví dụ, các cuộc tấn công DoS từ bên ngoài có thể làm cạn kiệt tài nguyên dẫn tới sập các dịch vụ. Attacker thậm chí cấu hình lại và làm hỏng hệ thống. Hơn nữa, attacker có quyền truy cập vào hệ thống mục tiêu cục bộ (ngoại tuyến), qua mạng LAN hoặc Internet. Ví dụ bao gồm bẻ khóa mật khẩu, khai thác lỗi tràn bộ đệm dựa trên stack, DoS và cướp phiên truy cập.
Hacker còn sử dụng một kỹ thuật được gọi là giả mạo để khai thác hệ thống bằng cách giả vờ là một người dùng hợp pháp, gửi một gói dữ liệu có chứa lỗi đến hệ thống mục tiêu để khai thác lỗ hổng. Điều này khiến người dùng trên mạng tràn ngập dữ liệu của nhau, như thể tất cả mọi người đang tấn công lẫn nhau và khiến hacker ẩn danh.
Cơ hội tiếp cận hệ thống mục tiêu của hacker phụ thuộc vào một số yếu tố như kiến trúc, cấu hình của hệ thống, trình độ kỹ năng và mức độ truy cập ban đầu có được. Sau khi attacker giành được quyền truy cập vào hệ thống mục tiêu, chúng sẽ cố gắng nâng cao đặc quyền để có thể kiểm soát hoàn toàn. Trong quá trình này, chúng cũng làm tổn hại đến các hệ thống trung gian được kết nối với nó.
Maintaining Access
Duy trì quyền truy cập đề cập đến giai đoạn khi attacker cố gắng duy trì quyền thao tác của mình đối với hệ thống. Một khi chúng giành được quyền truy cập vào hệ thống mục tiêu với các đặc quyền cấp quản trị hoặc root, chúng có thể sử dụng cả hệ thống và tài nguyên theo ý muốn.
Attacker có thể sử dụng hệ thống như một bệ phóng để dò quét và khai thác các hệ thống khác hoặc giữ một cấu hình thấp và tiếp tục khai thác chúng. Cả hai hành động này đều có thể gây ra lượng thiệt hại lớn. Ví dụ: hacker có thể triển khai một công cụ nghe lén để nắm tất cả lưu lượng mạng, bao gồm cả Telnet và FTP.
Những attacker sẽ xóa bằng chứng về việc xâm nhập của chúng và cài đặt một backdoor hoặc một trojan để có được quyền truy cập lặp lại. Attacker cũng có thể cài đặt rootkit ở cấp kernel để có quyền truy cập quản trị đầy đủ vào máy tính đó. Rootkit có quyền truy cập ở cấp hệ điều hành, trong khi trojan có quyền truy cập ở cấp ứng dụng
Trong hệ thống Windows, hầu hết trojan tự cài đặt như một dịch vụ và chạy với quyền truy cập quản trị. Attacker có thể tải lên, tải xuống hoặc thao tác dữ liệu, ứng dụng, cấu hình, chuyển tên người dùng, mật khẩu và bất kỳ thông tin nào khác được lưu trữ trên hệ thống. Họ có thể duy trì quyền kiểm soát hệ thống trong một thời gian dài bằng cách đóng các lỗ hổng để ngăn các tin tặc khác chiếm quyền kiểm soát và bảo vệ hệ thống khỏi các cuộc tấn công khác.
Clearing tracks
Để tránh rắc rối pháp lý, attacker thường sẽ xóa tất cả bằng chứng về hành động của chúng. Xóa dấu vết đề cập đến các hoạt động để che giấu các hành vi độc hại.
Chúng sử dụng các tiện ích như PsTools, Netcat hoặc trojan để xóa dấu chân của chúng khỏi các file log của hệ thống. Khi trojan đã có, attacker rất có thể đã giành được toàn quyền kiểm soát hệ thống và có thể thực thi các tập lệnh trong trojan hoặc rootkit để che giấu sự hiện diện của chúng.
Các kỹ thuật khác bao gồm steganography và tunneling. Steganography là quá trình ẩn dữ liệu trong dữ liệu khác như file ảnh hoặc âm thanh. Còn tunneling tận dụng lợi thế của giao thức truyền bằng cách nhúng giao thức này trong một giao thức khác. Attacker có thể sử dụng ngay cả header gói tin TCP và IP để che giấu thông tin.
Attacker có thể sử dụng hệ thống bị xâm nhập để tấn công hệ thống khác mà không bị phát hiện. Như vậy, giai đoạn tấn công này có thể chuyển thành giai đoạn trinh sát của một cuộc tấn công khác. Quản trị viên hệ thống có thể triển khai IDS (hệ thống phát hiện xâm nhập) và phần mềm chống virus để phát hiện trojan và các file bị xâm phạm.
Một hacker đạo đức phải nhận thức được các công cụ và kỹ thuật mà kẻ tấn công triển khai để họ có thể vận hành và thực hiện các biện pháp đối phó.
Vậy là bài viết này mình đã giới thiệu cho các bạn về khái niệm hacking, định nghĩa hacker, phân loại hacker và động lực của chúng cũng như quy trình trong hacking để có thể hiểu và đưa ra những giải pháp phòng chống.
Comments 2