Đang tải... (xem toàn văn)
Bảo vệ bản quyền là một khía cạnh quan trọng trong việc bảo vệ quyền sở hữu trí tuệ và đảm bảo rằng người sáng tạo và chủ sở hữu có quyền độc quyền đối với tác phẩm của mình. Trong thời đại số, khi thông tin và tài sản kỹ thuật số có thể dễ dàng được sao chép và phân phối, việc thực hiện các biện pháp hiệu quả để bảo vệ bản quyền trở nên quan trọng hơn bao giờ hết. Trong báo cáo lần này, chúng em sẽ nêu ra những kiến thức về hai kỹ thuật thường được sử dụng trong việc bảo vệ bản quyền là kỹ thuật challenge respone và kỹ thuật online activation. Do thời gian có hạn, chưa có nhiều kiến thức, kinh nghiệm cũng như công cụ hỗ trợ, bài báo cáo này còn nhiều thiếu sót, chúng em rất mong nhận được sự đóng góp của thầy giáo để hoàn thiện hơn báo cáo.
MỤC LỤC MỤC LỤC MỞ ĐẦU .3 DANH MỤC HÌNH ẢNH NỘI DUNG I Challenge Respone 1.1 Khái quát Challenge Respone 1.2 Cơ chế xác thực Challenge Respone .5 1.3 Các loại Challenge Respone 1.3.1 Static – Tĩnh : .6 1.3.2 Dynamic – Động : .7 1.4 Ví dụ hệ thống Challenge Respone 1.4.1 CAPTCHA 1.4.2 Password 1.4.3 Sinh trắc học 10 1.5 Công dụng Challenge Respone 11 1.6 Hạn chế Challenge Respone 12 1.7 Cách mã CAPTCHA tiến hành xác thực .12 II Online Activation 15 2.1 Khái quát Online Activation 15 2.2 Ví dụ Online Activation 16 2.3 Công dụng Online Activation .18 2.4 Cơ chế xác thực Online Activation 18 2.5 Một số phương pháp bypass chế online activation 19 III Demo 20 KẾT LUẬN .23 TÀI LIỆU THAM KHẢO .24 MỞ ĐẦU Bảo vệ quyền khía cạnh quan trọng việc bảo vệ quyền sở hữu trí tuệ đảm bảo người sáng tạo chủ sở hữu có quyền độc quyền tác phẩm Trong thời đại số, thơng tin tài sản kỹ thuật số dễ dàng chép phân phối, việc thực biện pháp hiệu để bảo vệ quyền trở nên quan trọng hết Trong báo cáo lần này, chúng em nêu kiến thức hai kỹ thuật thường sử dụng việc bảo vệ quyền kỹ thuật challenge respone kỹ thuật online activation Do thời gian có hạn, chưa có nhiều kiến thức, kinh nghiệm công cụ hỗ trợ, báo cáo cịn nhiều thiếu sót, chúng em mong nhận đóng góp thầy giáo để hồn thiện báo cáo DANH MỤC HÌNH ẢNH I Challenge Respo Hình 1 Cơ chế xác thực challenge respone Hình Quên mật Facebook Hình Mã OTP xác thực giao dịch nhiều ngân hàng Hình Mã CAPTCHA dãy chữ , số ký tự Hình reCAPTCHA u cầu chọn đèn giao thơng Hình noCAPTCHA yêu cầu người dùng xác nhận robot Hình Password xuất phổ biến ứng dụng .10 Hình Sử dụng vân tay để xác nhận ngày phổ biến 11 Hình Chữ số, chữ mờ mã CAPTCHA 13 Hình 10 Mã CAPTCHA câu hỏi tốn 14 Hình 11 reCAPTCHA yêu cầu người dùng chọn yêu cầu ảnh 14 Hình 12 noCAPTCHA đơn giản với click chuột .15 II Online ActivationY Hình Người dùng nhập thơng tin cá nhân để nhận lại key để có quyền 16 Hình 2 Office yêu cầu người dùng nhập email để tiến hành Online Activation 17 Hình Product Key Office gồm 25 ký tự 17 Hình KMSpico hỗ trợ crack bane quyền Windows 20 III Demo Hình Khởi động chức tạo key 20 Hình Khởi động chức xác thực 21 Hình 3 Giao diện tạo tài khoản .21 Hình Giao diện cung cấp key .21 Hình Kích hoạt thành cơng 22 Hình Nhập sai key 22 Hình Nhập lại key sử dụng 22 NỘI DUNG I Challenge Respone I.1 Khái quát Challenge Respone - Cơ chế xác thực phản hồi thách thức gọi CRAM - Challenge Response Authentication Mechanism Một tập hợp giao thức giúp xác thực hành động để bảo vệ tài sản dịch vụ kỹ thuật số (Tài sản kỹ thuật số (digital assets) bao gồm thứ tạo lưu trữ dạng điện tử, chẳng hạn tài liệu, tài nguyên mạng, tiền điện tử tài sản số khác.) khỏi bị truy cập trái phép Giao thức thường có hai thành phần – câu hỏi câu trả lời – người xác minh đưa thách thức người dùng, người phải cung cấp câu trả lời xác để xác thực Các giao thức phản hồi thách thức đơn giản mật yêu cầu tạo động () - Challenge response kỹ thuật bảo vệ quyền sử dụng chế tương tác phần mềm thiết bị hệ thống trung tâm để xác thực tính hợp lệ người sử dụng - Cơ chế xác thực phản hồi thách thức cung cấp cho doanh nghiệp công cụ dễ sử dụng mà họ sử dụng để kiểm sốt quyền truy cập vào thông tin nhạy cảm xác định tác nhân xấu I.2 Cơ chế xác thực Challenge Respone Hình 1 Cơ chế xác thực challenge respone - Bước 1: Người dùng gửi yêu cầu đăng nhập đến cho máy chủ xác thực đăng nhập - Bước : Máy chủ xác thực đăng nhập gửi lại cho người dùng thử thách – challenge Thử thách mà máy chủ xác thực đăng nhập gửi lại cho người dùng yêu cầu đăng nhập mã CAPTCHA, để xác thực có với người dùng đăng ký trước khơng - Bước : Sau nhận thử thách từ máy chủ xác nhận người dùng phản hồi – respone lại cách thực thử thách mà máy chủ xác nhận đưa như: điền mật đăng ký trước đó, thực xác nhận mã CAPTCHA mà máy chủ dưa , - Bước : Sau máy chủ xác nhận nhận phản hồi người dùng thử thách máy chủ tiến hành xác nhận phản hồi người dùng có hay khơng Hệ thống tiến hành cho người dùng truy cập vào hệ thống phản hồi không cho phếp người dùng truy cập hệ thống phản hồi sai I.3 Các loại Challenge Respone Có hai loại Challenge Respone : Static (Tĩnh ) Dynamic ( Động ) I.3.1 Static – Tĩnh : - Các thử thách tĩnh giao thức phản hồi khơng thay đổi theo thời gian Những thách thức cho phép người dùng chọn thách thức cho mục đích xác thực Trường hợp 'quên mật khẩu' ví dụ thử thách tĩnh Tại đây, người dùng quên mật khẩu, họ đặt lại mật cách trả lời câu hỏi bảo mật mà họ lưu thiết lập tài khoản Câu trả lời cho câu hỏi cịn tĩnh, nghĩa chúng khơng thay đổi khoảng thời gian - Ví dụ người dùng quên ứng dụng Facebook, người dùng hệ thống yêu cầu nhập lại email mà người dùng đăng ký trước với hệ thống Và lần người dùng quên mật hệ thống đưa thử thách Hình Quên mật Facebook I.3.2 Dynamic – Động : - Người dùng phải phản hồi thách thức đưa cách linh hoạt Những thách thức động dựa tiền đề người dùng người thật, người dùng có câu trả lời hợp lệ cho thách thức Do đó, câu trả lời khác cho thách thức Chẳng hạn, mật dùng lần (OTP – one time password) mã thông báo tạo ngẫu nhiên mà người dùng phải nhập để hoàn tất quy trình xác thực Hình Mã OTP xác thực giao dịch nhiều ngân hàng I.4 Ví dụ hệ thống Challenge Respone I.4.1 CAPTCHA - CAPTCHA viết tắt cụm từ "Completely Automated Public Turing test to tell Computers and Humans Apart", tạm dịch là: Phép thử tự động để phân biết máy tính với người - Một phương pháp tự động để phân biệt người bot, CAPTCHA thiết kế để ngăn bot phát tán thư rác, đăng ký tài khoản giả mạo xâm nhập vào tài khoản người dùng thực - Ban đầu, mã captcha thường chữ, số bị làm mờ, biến dạng, xếp lộn xộn để trở nên khó đọc Mã captcha thiết kế đế dễ dàng nhập người với tỷ lệ 80% robot 0.1% - Mã captcha trước thường máy tính tạo để xác định tính “con người” truy cập vào trang web dịch vụ Tuy nhiên hệ thống reCaptcha noCaptcha trở nên phổ biến dần thay kiểu cũ Captcha đại có nhiều hình thức từ giọng nói, hình ảnh chữ không gồm chữ số trước Hình Mã CAPTCHA dãy chữ , số ký tự - reCAPTCHA hình chụp, scan ngồi đời thật Ví dụ, người ta cần số hóa tài liệu cũ, nhiều chi tiết bị mờ máy tính khơng đọc người ta sử dụng hình ảnh làm mã reCAPTCHA Hình reCAPTCHA u cầu chọn đèn giao thông - noCAPTCHA, phiên cải tiến reCAPTCHA noCAPTCHA không bắt bạn phải nhập ký tự hay chọn hình ảnh cả, đơn giản bạn dùng chuột tick vào “khơng phải robot” xong Hình noCAPTCHA yêu cầu người dùng xác nhận robot I.4.2 Password - Mật chuỗi ký tự sử dụng để xác minh danh tính người dùng trình xác thực Mật thường sử dụng song song với tên người dùng; chúng thiết kế để người dùng biết cho phép người dùng có quyền truy cập vào thiết bị, ứng dụng trang web Mật khác độ dài chứa chữ cái, số ký tự đặc biệt - Mật ứng dụng đơn giản xác thực phản hồi thử thách, sử dụng mã lời nói, văn đánh máy để đáp ứng yêu cầu thử thách Hình Password xuất phổ biến ứng dụng I.4.3 Sinh trắc học - Sinh trắc học công nghệ sử dụng thuộc tỉnh vật lý mẫu hành vi, đặc điểm sinh học khuôn mặt, dấu vân tay, mống mắt Các đặc điểm hành vi liên quan đến kiều hành vi người như: lực gõ phím, dáng đi, giọng nói, kiều sử dụng chuột máy tính, chữ ký nhận thức để nhận diện người - Xác thực sinh trắc học thực thông qua dấu hiệu nhận diện như: dấu vân tay, dái tai, võng mạc, hình dạng bàn tay, khuôn mặt chữ ký văn Trong đó, dấu vân tay loại xác thực sinh trắc học sử dụng phổ biến lâu đời - Mỗi cá nhân có đặc điểm nhận diện sinh học riêng Dữ liệu sinh trắc học người tích hợp với phần mềm, tạo mật cho giao dịch điện tử mở khóa thiết bị di động Phương thức “cơng nghệ sinh trắc đa nhân tố” 10 Hình Sử dụng vân tay để xác nhận ngày phổ biến I.5 Công dụng Challenge Respone - Để xác minh mật : Khi người dùng nhập mật để đăng nhập vào tài khoản kỹ thuật số, mật khớp với mật lưu máy chủ Trong trường hợp hai mật trùng khớp, người dùng xác thực thành công phép tiếp tục hành trình kỹ thuật số Trong trường hợp khơng phù hợp, biện pháp đối phó thích hợp sử dụng - Để phân biệt Bot người : Các cơng bot làm gián đoạn hoạt động kinh doanh làm suy giảm trải nghiệm người dùng Ví dụ: bot scalper mua hàng loạt mặt hàng kiện giảm giá trực tuyến, từ chối người tiêu dùng chân có hội hợp lý để đạt thỏa thuận Những kẻ xấu triển khai bot sử dụng thông tin chi tiết bị đánh cắp người tiêu dùng để hoàn thành giao dịch trái phép quy mô lớn Nhiều doanh nghiệp sử dụng xác thực phản hồi thử thách để xác minh người nhằm ngăn chặn bot cách tạo hội cho người tiêu dùng chứng minh họ bot Một ví dụ phổ biến xác thực phản hồi thử thách xác minh người CAPTCHA - Để đào tạo chương trình học máy : đào tạo chương trình học máy trí tuệ nhân tạo để giải chương trình phức tạp Chẳng hạn, chúng tạo để giải câu đố xác minh người kết khớp với kết người dùng Các chương trình học hỏi từ phản hồi giúp cải thiện việc định họ theo thời gian 11 I.6 Hạn chế Challenge Respone - Mặc dù phương pháp xác thực phản hồi thách thức thường sử dụng hữu ích việc xác thực người tiêu dùng, chúng có hạn chế riêng - Một vấn đề cấp bách với mật Thông thường, người tiêu dùng sử dụng lại tái chế mật họ nhiều tài khoản kỹ thuật số - Một công chiếm đoạt tài khoản thành cơng dẫn đến việc xâm phạm nhiều tài khoản Máy chủ xác định liệu người cung cấp mật người dùng hãng hay kẻ mạo danh sử dụng thông tin chi tiết người tiêu dùng bị đánh cắp Nếu kẻ mạo danh cung cấp mật khẩu, hệ thống cho phép truy cập vào hệ thống 1.7 Cách mã CAPTCHA tiến hành xác thực - Mã CAPTCHA (Completely Automated Public Turing test to tell Computers and Humans Apart) chế xác thực thường sử dụng trang web để phân biệt người dùng chương trình tự động (bots) q trình gửi thơng tin thực hành động - Cơ chế xác thực challenge-response mã CAPTCHA thường thực sau: Bước : Trang web hiển thị hình ảnh đoạn văn chứa ký tự hình ảnh khơng dễ nhận biết Đây ký tự chữ cái, số, biểu tượng hình ảnh đơn giản hình ảnh đường cong ô vuông Bước : Người dùng yêu cầu nhập lại ký tự thông tin liên quan hiển thị hình ảnh đoạn văn Bước : Thông tin nhập vào người dùng gửi đến máy chủ xử lý Bước : Máy chủ so sánh thông tin nhập vào người dùng với thông tin ban đầu kiểm tra xem khớp xác hay khơng Bước : Nếu thông tin nhập vào khớp với thông tin ban đầu, máy chủ xác nhận người dùng người thực cho phép tiếp tục thực hành động mong muốn trang web Ngược lại, thông tin nhập vào không khớp, máy chủ coi người dùng chương trình tự động (bot) từ chối hạn chế quyền truy cập người dùng - Một số cách thức phổ biến để mã CAPTCHA phân biệt người bot: + Chữ số mờ: Mã CAPTCHA sử dụng hình ảnh chữ số biến đổi mờ để làm cho chúng khó đọc 12 chương trình tự động, người có khả nhìn thấy nhận biết chúng Hình Chữ số, chữ mờ mã CAPTCHA + Hình ảnh nhiễu: Mã CAPTCHA chứa hình ảnh nhiễu đường cong, điểm hình ảnh phức tạp để làm cho việc phân tách yếu tố mã CAPTCHA trở nên khó khăn với chương trình tự động + Giải tốn đơn giản: Mã CAPTCHA u cầu người dùng giải tốn đơn giản tính tốn số học đơn giản, tìm yếu tố hình ảnh điền vào từ cụm từ thiếu sót 13 Hình 10 Mã CAPTCHA câu hỏi tốn + Nhận dạng hình ảnh: Mã CAPTCHA yêu cầu người dùng nhận dạng chọn hình ảnh từ tập hợp hình ảnh hiển thị Hình 11 reCAPTCHA yêu cầu người dùng chọn yêu cầu ảnh + Xác nhận hành vi: Mã CAPTCHA theo dõi hành vi người dùng trang web, chẳng hạn thời gian thực hiện, cách di chuyển chuột hành động khác, để xác định xem người dùng có hành động giống người hay khơng Ví dụ xác nhận hành vi noCAPTCHA + Kết hợp nhiều yếu tố: Một số mã CAPTCHA kết hợp nhiều yếu tố hình ảnh văn để tăng độ phức tạp khó khăn việc giải chương trình tự động - noCAPTCHA phiên cải tiến mã CAPTCHA Google phát triển Nó thiết kế để phân biệt người bot cách hiệu cách sử dụng hình thức xác thực gọi "nhấp chuột" (click-based) + Trong noCAPTCHA, thay u cầu người dùng nhập thơng tin từ hình ảnh mờ chữ số khó đọc, người dùng cần nhấp chuột vào ô vuông (checkbox) đơn giản để chứng tỏ họ người Tuy nhiên, cách thức hoạt động bên ô vuông noCAPTCHA phức tạp + Khi người dùng nhấp chuột vào ô vng, Google phân tích cách người dùng tương tác với trang web thu thập thông tin vị trí chuột, cách di 14 chuyển hành vi tương tác khác Sử dụng thuật tốn phân tích học máy, Google đánh giá xem hành vi có phù hợp với hành vi người thực hay không + Đối với người, nhấp chuột vào ô vuông hành động tự nhiên thường thực cách quán có hệ thống Trong đó, bot thường khơng thể mơ tái tạo hành vi nhấp chuột người cách xác Họ có xu hướng di chuyển nhanh, không không tự nhiên + Bằng cách phân tích thơng tin hành vi liên quan đến hành động nhấp chuột, noCAPTCHA xác định xem người dùng người hay bot cho phép từ chối quyền truy cập tương ứng Hình 12 noCAPTCHA đơn giản với click chuột II Online Activation II.1 Khái quát Online Activation - Online activation kỹ thuật bảo vệ quyền phần mềm mà yêu cầu người dùng kết nối mạng để kích hoạt sử dụng phần mềm Khi người dùng kích hoạt phần mềm, họ phải cung cấp thông tin đăng ký, thông tin gửi đến máy chủ kích hoạt nhà cung cấp phần mềm để xác minh phê duyệt - Sau máy chủ kích hoạt xác nhận thơng tin đăng ký người dùng, phần mềm kích hoạt hệ thống người dùng họ sử dụng phần 15 mềm Khi người dùng thực kích hoạt hệ thống thay đổi phần cứng họ, họ cần phải thực lại q trình kích hoạt để đảm bảo phần mềm sử dụng hợp pháp Hình Người dùng nhập thơng tin cá nhân để nhận lại key để có quyền II.2 Ví dụ Online Activation - Ví dụ online activation với Microsoft Office 365 trình kích hoạt quyền phần mềm Microsoft Office 365 thơng qua mạng internet Q trình thường thực sau người dùng mua tải xuống phần mềm từ trang web Microsoft - Sau cài đặt phần mềm, người dùng yêu cầu nhập mã sản phẩm đăng nhập tài khoản Microsoft để kích hoạt quyền Nếu người dùng chưa có tài khoản Microsoft, họ yêu cầu đăng ký tài khoản trang web Microsoft 16 Hình 2 Office yêu cầu người dùng nhập email để tiến hành Online Activation - Sau nhập mã sản phẩm đăng nhập tài khoản Microsoft, phần mềm tự động kết nối tới máy chủ Microsoft để xác minh kích hoạt quyền Nếu trình kích hoạt thành cơng, người dùng nhận thơng báo xác nhận bắt đầu sử dụng phần mềm Hình Product Key Office gồm 25 ký tự - Quá trình online activation giúp đảm bảo người dùng sử dụng phần mềm hợp pháp đầy đủ tính cung cấp Microsoft Office 365 Ngồi 17 ra, q trình cịn giúp Microsoft kiểm soát việc sử dụng phần mềm đảm bảo người dùng sử dụng phần mềm số lượng thiết bị cho phép II.3 Công dụng Online Activation - Bảo vệ quyền phần mềm: Online activation giúp ngăn chặn việc chép, phân phối sử dụng không hợp pháp phần mềm Khi người dùng muốn sử dụng phần mềm, họ phải kích hoạt quyền thơng qua q trình online activation Điều đảm bảo người dùng có quyền hợp lệ truy cập sử dụng phần mềm - Quản lý quyền: Quá trình online activation cung cấp thông tin số lượng loại quyền sử dụng Điều cho phép nhà phát triển phần mềm nhà cung cấp dịch vụ theo dõi việc sử dụng quyền, kiểm soát quản lý quyền truy cập phần mềm - Cập nhật nâng cấp phần mềm: Online activation cho phép nhà phát triển phần mềm cung cấp cập nhật phiên nâng cấp cho người dùng Khi phần mềm kích hoạt trực tuyến, người dùng nhận thông báo tải cập nhật để tăng cường tính khắc phục lỗi lỗ hổng bảo mật - Hỗ trợ kỹ thuật: Quá trình online activation cung cấp thông tin phiên phần mềm, hệ điều hành, thơng tin máy tính người dùng Điều giúp nhà cung cấp hỗ trợ kỹ thuật cung cấp dịch vụ hỗ trợ xác hiệu người dùng gặp vấn đề cần giải đáp thắc mắc II.4 Cơ chế xác thực Online Activation - Cơ chế xác thực online activation (kích hoạt trực tuyến) thường thực sau: Bước : Người dùng cài đặt phần mềm máy tính thiết bị 18 Bước : Khi khởi chạy phần mềm lần đầu tiên, người dùng yêu cầu nhập thông tin cần thiết mã sản phẩm số serial Bước : Sau đó, phần mềm kết nối với máy chủ activation nhà phát triển nhà cung cấp dịch vụ Bước : Máy chủ activation kiểm tra thông tin gửi từ phần mềm xác minh tính hợp pháp quyền Bước : Nếu thông tin xác thực hợp lệ, máy chủ activation tạo gửi lại cho phần mềm mã kích hoạt chứng kỹ thuật số Bước :Phần mềm sử dụng mã kích hoạt chứng để hồn thành q trình kích hoạt xác nhận quyền hợp pháp Bước : Người dùng sử dụng phần mềm với tính quyền truy cập tương ứng - Q trình online activation địi hỏi kết nối internet để truyền thông tin phần mềm máy chủ activation Nó yêu cầu người dùng tạo tài khoản cung cấp thông tin cá nhân để xác thực Thơng tin mã hóa để đảm bảo an tồn bảo mật trình truyền tải - Cơ chế xác thực online activation giúp đảm bảo phần mềm sử dụng người dùng có quyền hợp pháp ngăn chặn việc chép, phân phối sử dụng khơng hợp pháp Đồng thời, cho phép nhà phát triển phần mềm nhà cung cấp dịch vụ theo dõi quản lý quyền truy cập phần mềm cách hiệu II.5 Một số phương pháp bypass chế online activation - Xóa bỏ chế xác thực phần mềm + Patch Exe fixed : Nguyên tắc hoạt động phần mềm tác động vào chương trình nguồn (sửa chữa cấu trúc, mã nguồn) biến thành đăng kí mà khơng phải nhập số Serial Chính can thiệp vào cấu trúc chương trình nên Patch thành cơng, chức địi quyền phần mềm bị vơ hiệu hóa hồn tồn Đối với loại thường phải copy patch vào thư mục cài đặt phần mềm, sau chạy phần mềm Patch đến lúc báo crack thành cơng Exe fixed nói phương thức bẻ khóa phần mềm sử dụng rộng rãi Exe fixed sửa chữa, bỏ chức bảo vệ quyền so với file gốc Sử dụng phương pháp crack phần mềm không nhập serial nhà cung cấp phát - Tạo máy chủ giả mạo + Kẻ cơng tạo máy chủ giả mạo để đóng vai trị cấp quyền cho phần mềm u cầu kích hoạt thay gửi đến máy chủ nhà sản xuất gửi đến máy chủ giả mạo, máy chủ giả mạo cấp quyền cho ứng dụng + Ví dụ: sử dụng phần mềm KMSpico để crack quyền Win10 19 + KMS Emulator: KMSpico tạo môi trường ảo (emulator) hệ thống, giả lập dịch vụ Key Management Service (KMS) mà Microsoft sử dụng để kích hoạt sản phẩm họ + Giả mạo máy chủ KMS: KMSpico tạo máy chủ KMS giả mạo máy tính bạn Khi bạn chạy cơng cụ, tự động kích hoạt sản phẩm Microsoft cách gửi yêu cầu kích hoạt đến máy chủ KMS giả mạo KMSpico vượt qua chế xác thực Microsoft giúp bạn kích hoạt phiên không cấp phép mà không cần sử dụng khóa sản phẩm hợp pháp từ Microsoft Hình KMSpico hỗ trợ crack bane quyền Windows III Demo Kịch bản: tạo server cung cấp chế xác thực Challenge-Respone cho client Bước 1: Khởi động chức tạo khóa server: Hình Khởi động chức tạo key Bước 2: Khởi động chức xác thực server 20