ĐẠI HỌC Q UỐ C GIA THÀNH PHỐ HỒ CHÍ MINH TRƯỜNG ĐẠI HỌC KHOA HỌC TỰ NHIÊN ĐỒ ÁN MÔN HỌC PHƯƠNG PHÁP NG HIÊN CỨU KHOA HỌC Đề tài: Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Cơng Tác Bảo Mật Thơng Tin Vẫn Cịn Bị Chúng Ta Xem Nhẹ Giảng viên hướng dẫn : G S.TSKH Hoàng Văn Kiếm Học viên thực : Đào Trọng Nghĩa MSHV: 12 12 025 Lớp: TP Hồ Chí Minh, tháng 11 năm 2012 Cao học K22-2012 Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Công Tác Bảo Mật Thơng Tin Vẫn Cịn Bị Chúng Ta Xem Nhẹ Đào Trọng Nghĩa Khoa Công Nghệ Thông T in, Đại Học Khoa Học T ự Nhiên, Đại Học Quốc Gia Thành Phố Hồ Chí Minh daotrongnghia@rocketmail.com Tóm tắt—Trong thời đại nay, với phát triển mạnh mẽ công nghệ thông tin gia tăng nhanh chóng số lượng tội phạm an ninh mạng Vấn đề an tồn thơng tin khơng cịn nỗi lo nước phát triển mà trở thành nỗi lo chung toàn cầu Vào kỷ 21, sức mạnh phần cứng kỹ thuật phần mềm phát triển vượt bậc không đủ bảo vệ khỏi việc rị rỉ thơng tin Vậy đâu ngun nhân? Đó người, lẽ khơng có phần cứng hay phần mềm khắc phục điểm yếu yếu tố người Và lý khiến cho kỹ thuật S ocial Engineering - kỹ thuật công vào yếu tố người - ngày trở nên phổ biến tinh vi Keywords:Social Hacking; I Engineering; kinh tế, giáo dục, trị quân - lĩnh vực lỏng lẻo công tác bảo mật thông tin khiến phải trả giá đắt Chính thế, Social Engineering nhận nhiều quan tâm toàn cầu, đặc biệt lĩnh vực công nghệ thông tin Social Engineering thuật ngữ liên quan đến ngành khoa học xã hội, nhiên thường xuyên sử dụng bắt gặp ngành cơng nghệ thông tin Social Engineering hiểu đơngiản kĩ thuật tác động đến người nhằm mục đích lấy thông tin đạt hành động mong muốn Những kĩ thuật dựa vào tảng điểm yếu tâm lý, nhận thức sai lầm người việc bảo mật thông tin.Mục đích cơng Social Engineering có nhiều, kể đến như: lợi ích tài chính, tạo điều có lợi cho mình, trả thù … áp lực bên gây Vấn đề Social Engineering quan tâm nhiều giới, nhiên Việt Nam chúng ta, đặc biệt giới sinh Human GIỚI THỆU Trên giới, nói vấn đề bảo mật thơng tin, người ta khơng thể khơng nói đến Social Engineering - kỹ thuật khai thác thông tin nguy hiểm, khó phát hiện, phịng chống gây thiệt hại to lớn cho công tác bảomật thông tin Ngày nay, cơng nghệ thơng tin đóng vai trị chủ chốt nhiều lĩnh vực quan trọng xã hội viên tầm hiểu biết mối quan tâm vấn đề ỏi Mục đích ngh iên cứu chúng tơi khơng nhấn mạnh, sâu vào việc phân tích Social Engineering gì, hoạt động sao, tảng gì; chúng tơi đưa kiến thức sơ lược, thông tin gần gũi với người điều Qua cho người biết tác hại thực Social Engineering không nhỏ, mong muốn người nâng cao nhận thức vấn đề trang bị số kiến thức để phòng tránh cách hiệu II số tâm lý người thường xuyên bị Social Engineering lợi dụng:  Ln mong muốn điều có lợi cho tránh khỏi phiền hà, rắc rối: Chúng ta thấy điều qua ví dụ sau Trong trường hợp nhân viên chăm sóc khác hàng công ty dịch vụ Chúng ta biết rằng, họ yêu cầu phải làm cho khách hàng hài lịng Từ đó, họ phản hồi tốt chất lượng dịch vụ, tính điểm cao hệ thống Với mục tiêu đó, nhân viên cố gắng đáp ứng yêu cầu cho khách hàng cách tốt Chính lí này, nhiều họ, người nắm giữ thông tin, liệu hệ thống cung cấp nhiều thông tin không nên cung cấp cho khách hàng  Có khuynh hướng giúp đỡ người khác: Con người sinh vật sống có tình cảm Chúng ta ln sẵn sàng giúp đỡ người họ gặp vấn đề đó.Chính đặc điểm dễ dàng để bị kẻ xấu lợi dụng Bạn ngồi lướt web quán cà phê, có người đến nhờ sử dụng máy tính? Lúc bạn làm nào? Bạn từ chối, cố gái xinh xắn sao? Bạn có nghĩ trường hợp xấu xảy cho người lạ mượn máy tính khơng? NHỮNG ĐIỂM YẾU CỦA CON NGƯỜI Chúng ta biết phần mềm phần cứng máy tính thứ vô phức tạp Tuy nhiên, người, kẻ tạo chúng lại phức tạp gấp nhiều lần Bởi người có nhân cách, có tâm lý, tình cảm thứ mà vật nhân tạo chưa thể có Đây điểm vô mạnh giúp người thành công ngày hôm nay, điểm yếu người Và Social Engineering phương pháp công vô nguy hiểm dựa điểm yếu Chúng ta đặt câu hỏi, phương pháp Social Engineering dựa vào tâm lý người lại nguy hiểm? Để trả lời câu hỏi này, vào phân tích họ lại rằng, người không nằm hệ thống bảo mật làm ảnh hưởng đến tồn hệ thống bảo mật Người ta nói rằng: “Social Engineering is the hardest form of attack to defend againts because it can’t be defense with hardware or software alone” (Theo Social Engineering: Concepts and Solutions) Với cơng cơng nghệ, phịng chống phần cứng phần mềm, chúng tuân thủ hồn tồn u cầu người tạo ra, khơng hỏi sao, khơng cần biết sai… Tuy nhiên, người sinh vậtvới tâm lý phức tạp, khơng thể phịng thủ đơn thiết bị, chương trình cứng nhắc Chúng ta cần phải có phương pháp hiệu hơn, tốt Thế nhưng, tốt đến đâu hiệu đến đâu người ln có sai lầm Đây câu trả lời cần biết  Xu hướng chấp nhận thông tin nghi ngờ tính xác thực thơng tin đó:Hầu hết vậy, người nghe thông báo, khẳng định, lời khuyên đó… tin có thật Việc kéo dài phát khơng thật Qng thời gian khơng dài, nhiên khơng ngắn để thực số mục đích  Lười…muốn làm nhanh việc, cắt bỏ giai đoạn:Vấn đề vô nguy hiểm nhiên lại xảy vô phổ biến Chúng ta thường xuyên thực công việc với tâm lý thế, nhiên lại khơng nhận thức hậu việc Có bạn ghi mật lên tờ giấy, lên note máy tính chưa? Có bạn đọc password qua điện thoại chưa?  Thái độ người việc bảo vệ thơng tin cá nhân khơng cao: Đây tâm lý vô quan trọng nguy hiểm để kẻ xấu dựa vào thực mưu đồ Người ta ln nghĩ thơng tin cá nhân khơng quan trọng! Ai biết sao?Họ làm chứ? Nó chẳng ảnh hưởng đến thứ xung quanh cả… Người ta ln ngh ĩ vậy, nhiên III CÁC PHƯƠNG PHÁP T ẤN CƠNG Phía số điểm yếu tâm lý mà người thường bị kẻ sử dụng Social Engineering lợi dụng Và nữa, Social Engineering quy trình có hệ thống, có thứ tự có đầu tư kỹ lưỡng, công phu Mục tiêu từ thứ vơ bé, đơn giản đến việc thực mục tiêu cao hơn, tinh vi Chính vậy, hệ thống xác định phương pháp công Social Engineering cho dễ dàng hình dung Social Engineering thực nào? Nó dựa vào “lỗ hổng” tâm lý nào? Qua tiếp xúc với số phương pháp công người thực điều Về bản, phương pháp công Social Engineering nằm trong hai hình thức chính: dựa vào người dựa vào kĩ thuật.Mọi người lưu ý cách phân chia, người máy móc cơng cụ, đối tượng công cách công vào người hay máy móc Các phương pháp dựa vào máy móc:  Phishing: “Phishing phương pháp phổ biến Social Engineering giới trực tuyến” (Granger, 2006) Phishing hành động gửi mail lừa đảo cho nạn nhân Nội dung email dẫn thẳng người dùng đến website lừa đảo giống hệt website thật, qua lừa người dùng nhằm lấy thông tin tài khoảng người dùng  Pop-Up Windows: Chúng ta dễ gặp hình thức sử dụng trình duyệt web Nội dung PopUp thường thông báo nhận tiền, giải thưởng đó… Bắt đầu từ đó, có phương pháp để vào khai thác thông tin Các phương pháp dựa vào người:  Direct approach: Hỏi trực tiếp đối tượng để khai thác thông tin Phương pháp đơn giản nhất, khơng coi phương pháp, nhiên người có thái độ bảo mật thông tin không tốt, phương pháp nhiều mang đến hiệu bất ngờ Nhiều ngồi n để lấy thơng tin  DumpsterDiving and Shoulder Surfing: Đây hai hình thức sử dụng sớm Social Engineering Dumpster diving có nghĩa sẵn sàng thu thập thứ dơ bẩn, bị vứt bỏ để lấy thông tin họ cần, điển hình thấy rác Rác chứa thông tin quan trọng nào? Trước rác, thơng tin, tài liệu sử dụng Khi không cần dùng nữa, vứt đi, nhiên lại không xử lý chúng xử lý không cẩn thận thơng tin rơi vào tay kẻ có ý đồ xấu Cịn Shoulder Surfing, cách nhìn trộm mật mã pin Mọi người có chắn đánh mật nơi cơng cộng khơng có nhìn thấy khơng? Thậm chí bạn có đánh nhanh đến đâu, người ta quay phim phân tích  Impersonation and Important User: Phương pháp nàynhững kẻ công giả mạo người quan trọng, chức vụ cao, có uy tín tổ chức Hoặc họ làm vẻ ngu ngơ, giả vờ, làm người ngốc nghếch mà tưởng trừng vô hại Từ họ cầu giúp đỡ, lợi dụng lịng tốt sử dụng danh nghĩa người khác Họ thứ cần thiết để khai thác hệ thống, họ tận dụng vào người có thơng tin mà không cần phải trải qua xác nhận nào, thử thách  Third-Party Authorization: Sử dụng tên người có quyền để thực việc mong muốn chứng thực với hệ thống Ví dụ: “Ơng A nói đồng ý” “Trước nghỉ mát, giám đốc nói tớ liên lạc với cậu để lấy thơng tin.”Chúng ta nên nhớ hầu hết kĩ thuật Social Engineering thực nội tổ chức tìm thấy dễ dàng Phương pháp tương đối giống phương pháp  Pretexting: Với công này, attacker xây dựng kịch chi tiết trước để khai thác nạn nhân: họ làm tăng độ tin tưởng nạn nhân vào mình, từ làm nạn nhân vơ ý có chủ ý tiết lộ thơng tin thực hành động có lợi cho IV TẦM ẢNH HƯỞNG CỦA SOCIAL ENGINEERING Social Engineering có thực nguy hiểm, đáng quan tâm mức độ nguy hiểm đến mức nào.Chúng ta tham khảo khảo sát để biết tình hình Báo cáo“The risk of social engineering on information security: A survey of IT Professionals” Đây là khảo sát thực Dimens ional Research bảo đảm tổ chức Check Point , thực với 853 chun gia IT nhiều nước có ngành cơng nghệ thông tin phát triển hàng đầu giới: Mỹ, Anh, Canada, Úc, New Zealand Đức khoảng tháng tháng năm 2011 Mục tiêu khảo sát thu thập liệu nhận thức công Social Engineering tác động doanh nghiệp Báo cáo cho thấy kết sau:  Có 97% chuyên gia bảo mật 86% chuyên gia ngành Công Nghệ Thông Tin nhận thức mối đe dọa an ninh tiềm ẩn từ Social Engineering Sự nhận thức mối đe dọa chia thành nhiều cấp độ khác nhau: Check Point Software Technologies Ltd nhà tiên phong lĩnh v c An ninh Internet Check Point đ xu t gi i pháp an ninh t ng th có tính m t c ng h p nh t, m t agent m cu i (endpoint) đ n nh t m t ki n trúc qu n tr nh t, đ c tùy bi n đ thích ng nh t v i nhu c u kinh doanh đ ng c a khách hàng ích kinh tế 14% nhằm vào mục đích để trả thủ, mâu thuẫn cá nhân Qua thấy được, mục đích cơng mục đích xấu, gây ảnh hưởng tổn hại đến tổ chức, cá nhân không đơn giản  Về mật độ xảy vụ công trên: 32% tổng số người tham gia khảo sát nói họ thường xuyên đối tượng Social Engineering, vòng hai năm, họ bị khai thác khoảng 25 lần thế.Và 48% tổ chức khảo sát cho biết họ thường xuyên đối tượng bị công cho biết vòng hai năm số lần họ bị khai thác 25 Nhận thức chuyên gia Social Engineering  Có 43% số người vấn cho biết họ đối tượng bị khai thác Social Engineering Chỉ có 16% khẳng định họ khơng phải đối tượng Social Engineering, 41% không nhận thức họ bị công hay chưa Tần suất bị công Social Engineering công ty nhân viên Mức độ nhận biết bị công Social Engineering hay chưa Qua báo cáo cho thấy thiệt hại từ công tương đối lớn:  Khảo sát mục đích cơng cho thấy: 51% mục đích cơng nhằm vào lợi hành khảo sát, chúng tơi đặt vào vị trí người thực cơng tiến hành thu thập liệu phục vụ cho việc công mục tiêu Chúng dùng kỹ thuật nhỏ Social Engineering cách tiến hành danh nghĩa khảo sát tìm hiểu thói quen, phong cách sống sinh viên thời đại công nghệ thơng tin Trong đó, câu hỏi mang tính chất khai thác thơng tin bề ngồi lại hồn tồn vơ hại với người làm khảo sát Mức thiệt hại bị công Social Engineering Các tổ chức khảo sát cho biết, thiệt hại bao gồm chi phí gián đoạn kinh doanh, chi phí khách hàng, doanh thu, lao động chi phí khác…Gần nửa số họ (48%) cho biết thiệt hại 25,000$ 30% tổ chức lớn cho biết thiệt hại họ lên tới 100,000$ Báo cáo cho biết nhiều số nữa, không sâu vào việc diễn nào, đâu, nhiên đưa số nhằm cho người thấy độ nguy hiểm tầm ảnh hưởng Social Engineering Cho người thấy rằng: giới, Social Engineering vấn đề quan tâm, xảy thường xuyên thiệt hai gây khơng nhỏ V A Dữ liệu thực nghiệm Đối tượng khảo sát 142 bạn sinh viên đến từ nhiều trường khác Kết cấu nội dung khảo sát nghiên cứu, thực theo hai hướng: Đầu t iên câu hỏi lấy thông tin người tham gia Thứ hai câu hỏi để đánh giá nhận thức người vấn đề bảo mật thông tin Các câu hỏi hệ thống chuẩn bị từ trước, qua việc xem xét thông tin thu thập được, thực khai thác thông số người tham gia khảo sát  Đối với thông tin bản, người dùng yêu cầu cung cấp thông tin họ Ngồi cịn có u cầu cung cấp thơng tin liên lạc để nhận kết khảo sát, việc nhằm mục đích tăng tình hiếu kì người tham gia khảo sát Trong thơng tin họ tên, email, số điện thoại dùng để khai thác thông tin Các THỰC NGHIỆM Để kiểm chứng lại mức độ nguy hiểm Social Engineering nhận thức người an tồn thơng tin, chúng tơi làm khảo sát Khi tiến Câu hỏi: Bạn có tham gia mạng xã hội hay khơng? Mạng xã hội nguồn khai thác thông tin ưa thích kẻ cơng, nơi kẻ cơng phác thảo bạn cách tồn diện hình dạng tính cách Mạng xã hội mang người đến gần bạn hơn, có “Social Engineer” thơng tin trường chuyên ngành dùng để phân loại đối tượng Thống kê thể số lượng cung cấp thông tin Những thơng tin giúp ích nhiều việc khai thác đối tượng trả lời câu hỏi bảo mật, truy tìm tài khoản, thơng tin liên quan, giả mạo đối tượng để thu thập thông tin bạn bè, người thân đối phương Kết khảo sát phản ánh nhận thức người việc cung cấp thông tin cá nhân mạng internet nhận thức việc bảo mật thông tin cá nhân  Tiếp theo vô phần câu hỏi đánh vào phần nhận thức người Thống kê mức độ sử dụng Mạng xã hội Bạn có thói quen trao đổi chuyện học hành, công việc với bạn bè, thầy cô, đồng nghiệp qua email hay không? Kết thực nghiệm Sau khảo sát, chúng tơi thu 142 dịng liệu, kết bảng khảo sát chúng tơi chia thành hai nhóm: Nhóm người chun ngành Cơng Nghệ Thơng Tin (55 người), nhóm người không chuyên (87 người) Kết thống kê sau: B Thống kê thể mức độ trao đổi chuyện học hành, công việc Việc cho biết thói quen trao đổi thơng tin đối tượng, qua đánh giá tầm quan trọng email họ sử dụng lượng thông tin giá trị ẩn chứa tài khoản email họ Bạn thường download phần mềm cách nào? Việc nắm thói quen cài đặt phần mềm đối tượng giúp ta dễ dàng tiếp cận với máy tính đối tượng Đây cách giúp kẻ cơng đưa phần mềm có chứa mã độc hại vào máy tính nạn nhân qua kiểm sóat máy tính khai thác nhiều thơng tin có giá trị khác Bạn làm nhặt USB, việc bạn làm là? Lợi dụng tò mị người , kẻ cơng hồn tồn dàn cảnh bỏ quên USB nơi mà đối tượng dễ dàng nhìn thấy khơng qn kèm theo chút mã độc hại Vì tị mị, nhiều người muốn biết nội dung bên USB, số 91/142 số nhỏ ,trong có ½ dân cơng nghệ thơng tin Thống kê cách thức cài đặt chương trình Đa phần gặp khó khăn việc ghi nhớ password, bạn thường giải cách nào? Thống kê cách xử lý nhận usb Bạn ngồi quán quán cafe sử dụng laptop, có gái xinh đẹp có chuyện gấp cần mượn laptop bạn để gửi email cá nhân, bạn sẽ? Bạn sẵn sàng giúp đỡ người khác khơng chút phịng bị, việc xảy cô gái hacker người tổ chức đối thủ? Một thói quen chết người nhiều người “Dùng password cho nhiều tài khoản” dẫn đến tình trạng thơng tin hàng loạt Hãy tưởng tượng kẻ công dụ bạn đăng ký thành viên website họ tạo ra? Thống kê cách thức lưu trữ, ghi nhớ password 10 Người yêu bạn có yêu cầu bạn cho cô ấy/anh biết password bạn hay không? Thống kê thể mức độ tin tưởng người lạ Bạn có thường chia sẻ chuyện "tuyệt mật" mình, cơng ty cho người yêu biết không ? Thống kê thể độ tin cậy người yêu Một lần , mục tiêu kẻ công cần thông tin có giá trị hệ thống , thơng không thiết phải khai thác từ người quản trị hệ thống người ln có ý thức cao bảo mật Khai thác thông tin Với thông tin thu thập trên, tiến hành chọn số đối tượng làm nạn nhân khai thác thơng tin Số lượng chọn: 15 người (15 dịng liệu) Số lượng khai thác thành công: người Chúng khai thác thông tin sau: email yahoo, gmail, facebook, ID đăng nhập web trường, trang thông tin môn học, website, diễn đàn mạng, internet Chúng đăng nhập vào nick yahoo, xem danh sách bạn, lấy danh sách bạn bè, log chat nạn nhân Đăng nhập vào email, thu số tài liệu trao đổi với người khác, đăng nhập vào C Thống kê thể mức độ chia thông tin với người yêu Với Social Engineering , mục đích kẻ cơng cần thơng tin thơng tin khơng thiết phải khai thác tự bạn kẻ công biết bạn người có hiểu biết nhận thức bảo mật Tuy nhiên bạn có người yêu bạn có nhận thức cảnh giác tốt bạn ? 11 web trường, trang thông tin môn học Moodle, lấy nộp môn mà nạn nhân nộp (Moodle trang web môn học trường đại học Khoa học tự nhiên) Có thể mở rộng dùng tài khoản để phishing bạn bè friend list họ , nhiên giới hạn tìm hiểu , chúng tơi dừng việc khai thác Chúng lọc danh sách kết (142 dòng liệu), lọc dòng liệu có khai báo email Với người trả lời cầu hỏi số (khó khăn việc lưu trữ password) “Mỗi site đặt password đơn giản”, chúng tơi tiến hành đốn password họ nhận thấy password sử dụng : chữ lót tên, số điện thọai di động (họ cung cấp phần thông tin liên lạc) Nếu khơng đốn password dùng tính qn mật mail box: câu hỏi bảo mật thường “số điện thoại bạn”, “nơi bạn sinh ra” … thơng tin hồn tồn có thông qua thông tin liên lạc họ cung cấp mạng xã hội mà hộ tham gia Tiếp theo, đăng nhập vào mail box, xem thơng tin mà nạn nhân có: tài liệu, liên kết với website khác (diễn đàn, mạng xã hội, yahoo, hộp mail khác, …); vào security mailbox kiểm tra tài khoản kết nối Sử dụng thông tin khác từ khảo sát như: “Vấn đề lưu trữ password” trả lời “Dùng chung password” để khai thác thông tin cần thiết D Kết luận Rất nhiều người tham gia khảo sát chưa có đánh giá vấn đề bảo mật thơng tin Đặc biệt có số lớn người có chun ngành cơng nghệ thơng tin VI TỔNG KẾT VÀ HƯỚNG PHÁT TRIỂN Social Engineering thực kĩ thuật công nguy hiểm Nguy hiểm khó nhận biết, cách thức sử dụng nhiều, từ đơn giản đến phức tạp Nguy hiểm sử dụng từ xung quanh Trên giới Việt Nam ta, lĩnh vực chuyên sâu, nhìn Social Engineering tương đối tốt Tuy nhiên phận lớp trẻ, kể người học Cơng nghệ thơng tin nhận thức vấn đề vấn mơ hồ Qua báo cáo muốn mô tả cách dễ hiểu Social Engineering Từ mong muốn người nâng cao nhận thức vấn đề bảo mật thông tin cá nhân nói riêng trang bị kiến thức để phịng tránh khỏi kĩ thuật Social Engineering nói riêng Mong muốn nhóm tác giả chúng tơi đưa hệ thống cách phòng tránh ảnh hưởng Social Engineering cá nhân Từ giúp cho việc 12 App lications International Corporation200 Harry S Truman ParkwayAnnapolis, M aryland 21401 [3] “The risk of social engineering on information security: a survey of it professionals” Check Point [4] ThomasR.Peltier,“Social Engineering: Concepts and Solutions”,in Information Security and Risk M anagement [5] Aaron Dolan,"Social Engineering" in G SEC Option version 1.4b February 10, 2004 bảo vệ an ninh tổ chức nâng cao Vấn đề hi vọng gặp lại với người vào dịp khác TÀI LIỆU THAM KHẢO [1] M alcolm Allen,“Social Engineering: A M eans To Violate A ComputerSystem”,updated June 2006 [2] Ira S Winkler, Brian Dealy,“Information Security Technology? Don’t Rely on ItA Case Study in Social Engineering”, inScience 13 .. .Social Engineering - Phương Pháp Tấn Công Nguy Hiểm Trong Cơng Tác Bảo Mật Thơng Tin Vẫn Cịn Bị Chúng Ta Xem Nhẹ Đào Trọng Nghĩa Khoa Công Nghệ Thông T in, Đại Học Khoa... thành công ngày hôm nay, điểm yếu người Và Social Engineering phương pháp công vô nguy hiểm dựa điểm yếu Chúng ta đặt câu hỏi, phương pháp Social Engineering dựa vào tâm lý người lại nguy hiểm? ... người - ngày trở nên phổ biến tinh vi Keywords :Social Hacking; I Engineering; kinh tế, giáo dục, trị quân - lĩnh vực lỏng lẻo công tác bảo mật thông tin khiến phải trả giá đắt Chính thế, Social Engineering