Luận văn Nâng cấp ứng dụng khai thác các lỗ hổng an ninh Metasploit Framework

ĐẠI THỌ Hà Nội – 2020 3 MỤC LỤC LỜI CẢM ƠN ............................................................................................................ 5 LỜI CAM ĐOAN ....................................................................................................... 6 DANH MỤC HÌNH VẼ, ĐỒ THỊ ............................................................................. 7 DANH MỤC BẢNG BIỂU ........................................................................................ 7 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT ................................................ 8 MỞ ĐẦU .................................................................................................................... 9 Chương 1. TỔNG QUAN VỀ KIỂM ĐỊNH AN TOÀN THÔNG TIN ................. 11 1.1. Bối cảnh hiện tại ............................................................................................ 11 1.2. Giới thiệu bài toán ......................................................................................... 12 Chương 2. TỔNG QUAN VỀ METASPLOIT ....................................................... 13 2.1. Khái niệm cơ bản ........................................................................................... 13 2.2. Các phiên bản Metasploit .............................................................................. 13 2.2.1. Metasploit Community Edition ................................................................. 13 2.2.2. Metasploit Framework Edition ................................................................. 14 2.2.3. Metasploit Pro .......................................................................................... 15 2.3. Kiến trúc của Metasploit ............................................................................... 17 2.3.1. Thư viện chính ......................................................................................... 17 2.3.2. Giao diện .................................................................................................. 17 2.3.3. Mô đun chức năng ................................................................................... 19 2.3.4. Thành phần mở rộng ................................................................................ 19 Chương 3. HỆ THỐNG CÁC TIÊU CHUẨN VỀ AN TOÀN THÔNG TIN ........ 20 3.1. Các tiêu chuẩn quản lý an toàn thông tin ..................................................... 21 3.2. Họ tiêu chuẩn ISMS....................................................................................... 23 3.3. Chuẩn ISO 27001 ........................................................................................... 24 3.4. Chi tiết phụ lục chuẩn ISO 27001 ................................................................. 25 Chương 4. XÂY DỰNG CÔNG CỤ LẬP LỊCH QUÉT TỰ ĐỘNG VÀ TUÂN THỦ TIÊU CHUẨN CHO METASPLOIT FRAMEWORK ................................ 40 4.1. Tính năng Automatic Task Chain trong Metasploit Pro ............................. 40 4.2. Phân tích yêu cầu ........................................................................................... 44 4.3. Lập danh sách các mã khai thác ................................................................... 45 4 4.4. Thiết kế kịch bản kiểm thử ........................................................................... 50 4.5. Cấu trúc Compliance Chain .......................................................................... 50 4.5.1. Biểu đồ lớp ................................................................................................ 51 4.5.2. Danh sách chức năng ............................................................................... 52 4.5.3. Các thao tác nạp kịch bản kiểm thử ......................................................... 52 KẾT LUẬN .............................................................................................................. 69 TÀI LIỆU THAM KHẢO ....................................................................................... 71 5 LỜI CẢM ƠN Trước tiên tôi xin dành lời cảm ơn chân thành và sâu sắc nhất đến Thầy giáo, TS. Nguyễn Đại Thọ – người đã tận tình hướng dẫn, khuyến khích, chỉ bảo, tạo cho tôi những điều kiện tốt nhất từ khi bắt đầu cho tới khi hoàn thành công việc làm luận văn của mình. Tôi xin gửi lời cảm ơn chân thành tới các Thầy giáo, Cô giáo giảng dạy tại bộ môn An toàn Thông tin, khoa Công nghệ Thông tin, Đại học Công nghệ - ĐHQGHN đã tận tình đào tạo, cung cấp cho tôi những kiến thức vô cùng quý giá và đã tạo điều kiện tốt nhất cho tôi trong suốt quá trình học tập, nghiên cứu tại trường. Đồng thời tôi xin cảm ơn tất cả những người thân yêu trong gia đình cùng toàn thể bạn bè, đồng nghiệp những người đã luôn giúp đỡ, động viên những khi tôi vấp phải những khó khăn, bế tắc trong cuộc sống và công việc. Mặc dù đã rất cố gắng nhưng luận văn chắc chắn không tránh khỏi những thiếu sót, tôi rất mong nhận được những ý kiến đánh giá và phê bình từ phía các Thầy giáo, Cô giáo để luận văn này được hoàn thiện hơn. Tôi xin chân thành cảm ơn! 6 LỜI CAM ĐOAN Tôi xin cam đoan rằng luận văn Thạc sĩ Công nghệ Thông tin với đề tài “Nâng cấp ứng dụng khai thác các lỗ hổng an ninh Metasploit Framework” là công trình nghiên cứu của riêng tôi dưới sự hướng dẫn của TS. Nguyễn Đại Thọ, không sao chép lại của người khác. Trong toàn bộ nội dung của luận văn, những điều đã được trình bày là hoàn toàn trung thực, hoặc là của chính cá nhân tôi tìm hiểu, hoặc là được tổng hợp từ nhiều nguồn tài liệu và chưa từng được công bố đồ án, luận văn, luận án tại trường Đại học Công nghệ - ĐHQGHN hoặc bất kỳ trường đại học nào khác. Tất cả các nguồn tài liệu tham khảo đều có xuất xứ rõ ràng và hợp pháp. Nếu có bất cứ phát hiện nào về sự gian lận, sao chép tài liệu, công trình nghiên cứu của tác giả khác mà không ghi rõ trong phần tài liệu tham khảo, tôi xin hoàn toàn chịu trách nhiệm và chịu mọi hình thức kỷ luật theo quy định cho lời cam đoan này. Hà Nội, ngày 12 tháng 12 năm 2020 Học viên Lã Xuân Kiên 7 DANH MỤC HÌNH VẼ, ĐỒ THỊ Hình 2.1. Metasploit Community Edition .................................................................. 14 Hình 2.2. Giao diện Metasploit Framework ............................................................... 14 Hình 2.3. Metasploit Pro ............................................................................................ 15 Hình 2.4. So sánh phiên bản Metasploit Pro và Framework ....................................... 16 Hình 2.5. Kiến trúc Metasploit ................................................................................... 17 Hình 2.6. Giao diện Console ...................................................................................... 18 Hình 2.7. Giao diện CLI ............................................................................................ 18 Hình 2.8. Giao diện Web-GUI ................................................................................... 19 Hình 3.1. Hệ thống các quy chuẩn về an toàn thông tin .............................................. 21 Hình 3.2. Họ tiêu chuẩn ISMS ................................................................................... 23 Hình 3.3. Danh sách các yêu cầu cần kiểm soát ......................................................... 24 Hình 4.1. Danh sách Task Chains .............................................................................. 40 Hình 4.2. Danh sách Module trong Task Chain .......................................................... 41 Hình 4.3. Danh sách thao tác trong Module ............................................................... 41 Hình 4.4. Danh sách các thao tác Module trong Task Chain ...................................... 42 Hình 4.5. Lập lịch tự động chạy Chain ....................................................................... 43 Hình 4.6. Lập lịch tự động chạy Chain ....................................................................... 44 Hình 4.7. Biểu đồ lớp Compliance Chain ................................................................... 51 Hình 4.8. Danh sách chức năng trong Compilance Chain ........................................... 52 Hình 4.9. Hướng dẫn thao tác Compliance Chain ...................................................... 53 Hình 4.10. Nạp kịch bản vào công cụ Compliance Chains ......................................... 68 DANH MỤC BẢNG BIỂU Bảng 4.1. Danh sách các mã khai thác ....................................................................... 49 Bảng 4.2. Danh sách Chains ...................................................................................... 50 Bảng 4.3. Mô tả kịch bản ........................................................................................... 67 8 DANH MỤC CÁC KÝ HIỆU VÀ CHỮ VIẾT TẮT Ký hiệu Thuật ngữ Ý nghĩa API Application Programming Interface Giao diện lập trình ứng dụng CLI Command Line Interface Giao diện dòng lệnh GUI Graphical User Interface Giao diện đồ họa người dùng HTTPS Hypertext Transfer Protocol Secure Mã hóa giao thức truyền tải siêu văn bản HTTP HyperText Transfer Protocol Giao thức truyền tải siêu văn bản IoT Internet of Things Internet vạn vật ISO International Organization for Standardization Tổ chức tiêu chuẩn hóa Quốc tế IEC International Electrotechnical Commission Ủy ban Kỹ thuật điện Quốc tế ISMS Information Security Magagement System Hệ thống quản lý an toàn thông tin MSF Metasploit Framework SSL Secure Sockets Layer Mã hóa lớp Sockets SMB Server Message Block XML eXtensible Markup Language Ngôn ngữ đánh dấu mở rộng 9 MỞ ĐẦU Ngày nay, an ninh thông tin đã, đang đi vào mọi ngõ ngách của đời sống xã hội và dần trở thành một bộ phận quan trọng của an ninh quốc gia. Nguy cơ gây mất an ninh thông tin là mối đe dọa rất lớn và ngày càng gia tăng đối với an ninh quốc gia. Lĩnh vực viễn thông, Internet, tần số vô tuyến điện có sự phát triển mạnh mẽ, đạt được mục tiêu số hóa hoàn toàn mạng lưới, phát triển nhiều dịch vụ mới, phạm vi phục vụ được mở rộng, bước đầu hình thành những doanh nghiệp mạnh, có khả năng vươn tầm khu vực, quốc tế. Hệ thống bưu chính chuyển phát, báo chí, xuất bản phát triển nhanh cả về số lượng, chất lượng và kỹ thuật nghiệp vụ, có đóng góp quan trọng cho sự phát triển kinh tế - xã hội; đảm bảo quốc phòng, an ninh, đối ngoại của đất nước. Tình hình an ninh thông tin ở Việt Nam đã và đang có những diễn biến phức tạp. Các cơ quan đặc biệt nước ngoài, các thế lực thù địch, phản động tăng cường hoạt động tình báo, gián điệp, khủng bố, phá hoại hệ thống thông tin; tán phát thông tin xấu, độc hại nhằm tác động tới chính trị nội bộ, can thiệp, hướng lái chính sách, pháp luật của Việt Nam. Gia tăng hoạt động tấn công mạng nhằm vào hệ thống thông tin quan trọng về an ninh quốc gia. Theo thống kê, trung bình mỗi năm, qua kiểm tra, kiểm soát các cơ quan chức năng đã phát hiện trên 850.000 tài liệu chiến tranh tâm lý, phản động, ân xá quốc tế, tài liệu tuyên truyền tà đạo trái phép; gần 750.000 tài liệu tuyên truyền chống Đảng, Nhà nước được phát tán vào Việt Nam qua đường bưu chính. Từ 2010 đến 2019 đã có 53.744 lượt cổng thông tin, trang tin điện tử có tên miền .vn bị tấn công, trong đó có 2.393 lượt cổng thông tin, trang tin điện tử của các cơ quan Đảng, Nhà nước dưới tên miền gov.vn, xuất hiện nhiều cuộc tấn công mang màu sắc chính trị, gây ra những hậu quả nghiêm trọng. Tội phạm và vi phạm pháp luật trong lĩnh vực thông tin diễn biến phức tạp, gia tăng về số vụ, thủ đoạn tinh vi, gây thiệt hại nghiêm trọng về nhiều mặt. Các hành vi phá hoại cơ sở hạ tầng thông tin, gây mất an toàn, hoạt động bình thường, vững mạnh của mạng máy tính, mạng viễn thông, phương tiện điện tử của các cơ quan, tổ chức, cá nhân, hệ thống thông tin vô tuyến điện, đã và đang gây ra những thiệt hại lớn về kinh tế, xâm hại trực tiếp đến quyền, lợi ích hợp pháp của các cơ quan, tổ chức và cá nhân. Thực tế nêu trên đã làm xuất hiện nhiều nguy cơ đe dọa đến an ninh thông tin của Việt Nam ở cả bên trong và bên ngoài. Ở trong nước, trước hết là nguy cơ tụt hậu về công nghệ, lệ thuộc vào công nghệ của nước ngoài, nhất là hệ thống mạng lõi; phần mềm hệ thống, dịch vụ thông tin của nước ngoài (nhất là dịch vụ mạng xã hội) dẫn tới mất chủ quyền nội dung số, tài nguyên thông tin về các công ty công nghệ nước ngoài ngày càng nghiêm trọng hơn; các đối tượng cơ hội, chống đối chính trị trong nước, triệt để sử dụng mạng xã hội tán phát thông tin giả, thông tin xấu, độc nhằm gây rối nội bộ, kích động biểu tình, bạo loạn. 10 Hệ thống thông tin của Việt Nam còn tồn tại nhiều điểm yếu, lỗ hổng bảo mật dễ bị khai thác, tấn công, xâm nhập, tình trạng lộ, mất bí mật nhà nước qua hệ thống thông tin gia tăng đột biến, hiện tượng khai thác, sử dụng trái phép cơ sở dữ liệu, tài nguyên thông tin quốc gia, dữ liệu cá nhân người dùng diễn biến phức tạp, xuất hiện nhiều dịch vụ mới, hiện đại gây khó khăn cho công tác quản lý, kiểm soát của các cơ quan chức năng. Hiện nay, đất nước ta đang đứng trước những nguy cơ, thách thức lớn từ cuộc Cách mạng công nghiệp lần thứ 4 với sự phát triển, ứng dụng mạnh mẽ của trí tuệ nhân tạo, rô-bốt, công nghệ sinh học, sẽ hình thành nên nhiều lĩnh vực mới như: “Internet công nghiệp”, “Nhà máy thông minh”, “Thành phố thông minh”, “Xã hội siêu thông minh”, “Chính phủ điện tử”, hoạt động trên môi trường không gian mạng, tạo sự đột phá về phát triển kinh tế, chính trị - xã hội. Xu hướng Internet kết nối vạn vật (IoT), gồm Internet kết nối với năng lượng, dịch vụ, truyền thông đa phương tiện, con người, vạn vật sẽ thay đổi phương thức hoạt động của cả một nền kinh tế, thói quen, tâm lý, văn hóa xã hội. Sự phát triển kinh tế xã hội cũng như đảm bảo an ninh quốc gia ở Việt Nam những năm tới chủ yếu dựa trên nền tảng kỹ thuật số. Với xu thế phát triển của nền kinh tế chia sẻ, chuyển đổi số, công nghiệp công nghệ thông tin sẽ trở thành ngành kinh tế chủ đạo, quyết định sự phát triển nhanh, bền vững của quốc gia. Vậy để thông tin được bảo vệ, hạn chế tấn công, vừa giúp cho doanh nghiệp, tổ chức có được hình ảnh uy tín cũng như được các bên đối tác đánh giá và tin tưởng khi hợp tác với các doanh nghiệp có được sự bảo vệ thông tin một cách an toàn thì vấn đề an toàn thông tin lại càng quan trọng, là nhu cầu cấp thiết đối với các doanh nghiệp, tổ chức. Vậy làm thế nào để giúp các doanh nghiệp, tổ chức thực hiện được điều đó? Để trả lời cho câu hỏi này, trong luận văn “Nâng cấp ứng dụng khai thác các lỗ hổng an ninh Metasploit Framework” tôi đã nghiên cứu và tìm hiểu cách xây dựng công cụ lập lịch tự động dò quét để kiểm thử an ninh hệ thống (Penetration Testing) sử dụng công cụ miễn phí nguồn mở Metasploit Framework theo các yêu cầu tiêu chuẩn về an toàn thông tin ISO 27001 giúp cho doanh nghiệp quản lý, bảo vệ thông tin của mình một cách an toàn và hiệu quả nhất. Luận văn của tôi được chia làm 4 chương: Chương 1: Trình bày tổng quan về kiểm định an toàn thông tin Chương 2: Trình bày tổng quan về Metasploit Chương 3: Trình bày hệ thống tiêu chuẩn về an toàn thông tin Chương 4: Xây dựng công cụ lập lịch dò quét tự động cho Metasploit Framework 11 Chương 1. TỔNG QUAN VỀ KIỂM ĐỊNH AN TOÀN THÔNG TIN 1.1. Bối cảnh hiện tại Với sự phát triển của Thế giới nói chung và Việt Nam nói riêng, xã hội càng phát triển càng kéo thêm nhiều nguy cơ mất an toàn thông tin. Đặc biệt là vấn đề đe dọa thông tin trên các đường truyền Internet, qua máy tính, những chiếc điện thoại thông minh, những thiết bị thông minh khác đều để lại những nguy cơ tiềm ẩn. Tình trạng rất đáng lo ngại trước hành vi thâm nhập vào hệ thống, phá hoại các hệ thống mã hóa, các phần mềm xử lý thông tin tự động gây thiệt hại vô cùng lớn. Sau đây là một số nguy cơ rủi ro mất an toàn thông tin: Nguy cơ mất an toàn thông tin về khía cạnh vật lý: Là nguy cơ do mất điện, nhiệt độ, độ ẩm không đảm bảo, hỏa hoạn, thiên tai, thiết bị phần cứng bị hư hỏng. Nguy cơ bị mất, hỏng, sửa đổi nội dung thông tin: Người dùng có thể vô tình để lộ mật khẩu hoặc không thao tác đúng quy trình tạo cơ hội cho kẻ xấu lợi dụng để lấy cắp hoặc làm hỏng thông tin. Nguy cơ bị tấn công bởi các phần mềm độc hại: Các phần mềm độc hại tấn công bằng nhiều phương pháp khác nhau để xâm nhập vào hệ thống với các mục đích khác nhau như: Virus, sâu máy tính (Worm), phần mềm gián điệp (Spyware, Trojan, Adware). Nguy cơ xâm nhập từ lỗ hổng bảo mật: Lỗi do lập trình, lỗi hoặc sự cố phần mềm, nằm trong một hoặc nhiều thành phần tạo nên hệ điều hành hoặc trong chương trình cài đặt trên máy tính. Nguy cơ xâm nhập do bị tấn công bằng cách phá mật khẩu: Những kẻ tấn công có rất nhiều cách khác phức tạp hơn để tìm mật khẩu truy nhập. Những kẻ tấn công có trình độ đều biết rằng luôn có những khoản mục người dùng quản trị chính. Nguy cơ mất an toàn thông tin do sử dụng Email: Tấn công có chủ đích bằng thư điện tử là tấn công bằng Email giả mạo giống như email được gửi người quen, có thể gắn tập tin đính kèm nhằm làm cho thiết bị bị nhiễm virus. Cách thức tấn công này thường nhằm vào một cá nhân hay một tổ chức cụ thể. Thư điện tử đính kèm tập tin chứa virus được gửi từ kẻ mạo danh là một đồng nghiệp hoặc một đối tác nào đó. Người dùng bị tấn công bằng thư điện tử có thể bị đánh cắp mật khẩu hoặc bị lây nhiễm virus. Nguy cơ mất an toàn thông tin trong quá trình truyền tin: Trong quá trình lưu thông và giao dịch thông tin trên mạng Internet nguy cơ mất an toàn thông tin trong quá trình truyền tin là rất cao do kẻ xấu chặn đường truyền và thay đổi hoặc phá hỏng nội dung thông tin rồi gửi tiếp tục đến người nhận. Mặt khác, ngày nay Internet/Intranet là môi trường tiện lợi cho việc trao đổi thông tin giữa các tổ chức và giữa các cá nhân trong tổ chức với nhau. Các giao dịch trao đổi thư tín điện tử (Email), các trao đổi thông tin trực tuyến giữa cơ quan nhà 12 nước và công dân, tìm kiếm thông tin, thông qua mạng Internet không ngừng được mở rộng và ngày càng phát triển. Bên cạnh các lợi ích mà Internet/Intranet mang lại thì đây cũng chính là môi trường tiềm ẩn các nguy cơ gây mất an toàn an ninh cho các hệ thống mạng của các tổ chức có tham gia giao dịch trên Internet/Intranet. Một vấn đề đặt ra cho các tổ chức là làm sao bảo vệ được các nguồn thông tin dữ liệu như các số liệu trong công tác quản lý hành chính nhà nước, về tài chính kế toán, các số liệu về nguồn nhân lực, các tài liệu về công nghệ, sản phẩm., trước các mối đe dọa trên mạng Internet hoặc mạng nội bộ có thể làm tổn hại đến sự an toàn thông tin và gây ra những hậu quả nghiêm trọng khó có thể lường trước được. 1.2. Giới thiệu bài toán Đề tài là sự kết hợp giữa 2 bài toán, một là bài toán nâng cấp Metasploit Framework. Hiện tại, Framework không có các chức năng nâng cao của Metasploit Pro như kiểm thử hệ thống theo kịch bản sẵn có, kiểm thử tự động, lập lịch quét, ... Hai là với nhu cầu thực tế về kiểm thử hệ thống đảm bảo tuân thủ các chuẩn an toàn thông tin, Framework chưa đáp ứng được mà chỉ được sử dụng như một công cụ cung cấp rất nhiều Exploit rời rạc. Do đó, tôi đã tìm hiểu xây dựng một phần mở rộng cho Framework và cụ thể hóa các yêu cầu của chuẩn an toàn thông tin mẫu là chuẩn ISO 27001 thành các Exploit từ cơ sở dữ liệu về Exploit của Metasploit Framework, sắp xếp thành các nhóm để lên 1 kịch bản kiểm thử, từ đó lập lịch định kỳ chạy. 13 Chương 2. TỔNG QUAN VỀ METASPLOIT 2.1. Khái niệm cơ bản Metasploit (Metasploit Project) là một dự án liên quan đến bảo mật máy tính, cung cấp những thông tin về các lỗ hổng bảo mật. Đối tượng của Metasploit chính là những quá trình tấn công xâm nhập kiểm thử (Penetration Testing) và phát triển các hệ thống phát hiện xâm nhập (IDS - Intrusion Detection System) Metasploit Framework có mã nguồn mở, sử dụng các Shellcode (Payload) để tấn công máy đích có lỗ hổng. Cùng với một số bộ công cụ bảo mật khác, Metasploit có cơ sở dữ liệu chứa hàng ngàn Shellcode, Exploit (khai thác) của các hệ điều hành, các chương trình hay dịch vụ. Trong quá trình phát triển Metasploit liên tục cập nhật các Exploit vào cơ sở dữ liệu nên càng ngày nó càng trở thành một bộ công cụ mạnh mẽ trong kiểm thử an ninh hệ thống. Metasploit Framework được tích hợp sẵn trong hệ điều hành Kali Linux. Phiên bản mới nhất cài đặt dành cho các hệ điều hành Linux/ MacOS/ Windows có thể được tải xuống từ địa chỉ Website của nhà phát triển Rapid 7 tại https://github.com/rapid7/metasploit-framework/wiki/Nightly-Installers Các tính năng chính của Metasploit: - Quét cổng để xác định các dịch vụ đang hoạt động trên máy chủ (Server). - Xác định các lỗ hổng dựa trên phiên bản của hệ điều hành và phiên bản các phần mềm cài đặt trên hệ điều hành đó. - Thực nghiệm khai thác các lỗ hổng đã được xác định. Lịch sử phát triển Metasploit: Metasploit được phát triển ra bởi H. D. Moore, sinh năm 1981, là chuyên gia về bảo mật mạng, lập trình viên nguồn mở và cũng là 1 Hacker. Ông là người sáng lập Metasploit Project vào năm 2003 như là một công cụ kiểm thử thâm nhập sử dụng ngôn ngữ lập trình Perl. Đến năm 2007, Metasploit Framework đã được viết lại hoàn toàn bằng ngôn ngữ lập trình Ruby. Vào ngày 21 tháng 10 năm 2009, dự án Metasploit đã được mua lại bởi Rapid7, một công ty bảo mật chuyên cung cấp các giải pháp bảo mật quản lý lỗ hổng. 2.2. Các phiên bản Metasploit 2.2.1. Metasploit Community Edition Phiên bản này được phát hành vào tháng 10 năm 2011 bao gồm một giao diện người dùng dựa trên web miễn phí cho Metasploit. Metasploit Community Edition dựa trên chức năng thương mại của các phiên bản trả phí với một số tính năng được giảm bớt như Network Discovery/Module Browsing/Manual Exploitation. Vào ngày 18 tháng 7 năm 2019, Rapid7 đã thông báo về việc kết thúc bán Metasploit Community Edition. Người dùng hiện tại có thể tiếp tục sử dụng nó cho đến khi giấy phép hết hạn. 14 Hình 2.1. Metasploit Community Edition 2.2.2. Metasploit Framework Edition Là phiên bản mã nguồn mở, hoàn toàn miễn phí, rất phù hợp cho việc phát triển và nghiên cứu, sử dụng giao diện dòng lệnh, chỉ có một số tính năng cơ bản. Chính vì vậy việc phát triển, tích hợp các tính năng mới vào Metasploit Framework là rất cần thiết, phù hợp với những nhu cầu, nhiệm vụ kiểm thử an ninh hệ thống khi mà có giới hạn về mặt chi phí. Tuy có nhiều hạn chế về những tính năng ưu việt thì phiên bản này có thể coi là công cụ không thể thiếu của những nhà nghiên cứu bảo mật chuyên nghiệp, những người kiểm thử xâm nhập và được giới Hacker rất ưa chuộng. Hình 2.2. Giao diện Metasploit Framework 15 2.2.3. Metasploit Pro Tháng 10 năm 2010, Rapid7 đã phát hành Metasploit Pro, một phiên bản thương mại. Có thể nói đây là một phiên bản mạnh mẽ nhất của Metasploit, nó bao gồm tất cả các tính năng của Metasploit Express và phát triển thêm các tính năng ưu việt khác như “Quick Start Wizards/MetaModules”, xây dựng, quản lý những hoạt động tấn công sử dụng kỹ nghệ xã hội (Social Engineering), kiểm thử ứng dụng Web, tạo các Payload một cách tự động để tránh sự phát hiện của các phần mềm Anti-Virus, tích hợp cả công cụ mạnh mẽ Nexpose cho việc quét lỗ hổng trên mạng. Phiên bản Metasploit Pro hỗ trợ cả chế độ dòng lệnh và giao diện người dùng. Phiên bản này hiện tại có giá cao nhất so với các phiên bản khác, phù hợp cho những người thực hiện kiểm thử xâm nhập, những nhóm bảo mật. Hình 2.3. Metasploit Pro 16 Hình 2.4. So sánh phiên bản Metasploit Pro và Framework 17 2.3. Kiến trúc của Metasploit Hình 2.5. Kiến trúc Metasploit 2.3.1. Thư viện chính Rex (Ruby Extension Library): sẽ bao gồm các thư viện cơ bản được sử dụng trong Framework cho các giao thức các giao thức khác nhau, chuyển đổi, và xử lý kết nối. hỗ trợ SSL, SMB, HTTP, XOR, Base64, Unicode. MSF Core: là phần lõi của Metasploit Framework, là thư viện định nghĩa các lớp điều khiển vận hành chung của Framework và cung cấp các API cơ bản. MSF Base: cung cấp các API đơn giản và thân thiện cho Metasploit Framework 2.3.2. Giao diện Console: 18 Hình 2.6. Giao diện Console CLI: Hình 2.7. Giao diện CLI 19 Web (GUI) Hình 2.8. Giao diện Web-GUI 2.3.3. Mô đun chức năng Payloads: là một đoạn code được chạy (thực thi) trên máy nạn nhân dùng để thực hiện một số hoạt động nào đó gồm 2 loại: - Bind payload: nếu có thể tiếp cận mạng từ bên ngoài, sau khi khai thác thành công, máy tấn công sẽ gửi kết nối tới máy nạn nhân để gửi Payload và tương tác từ bên ngoài mạng. - Reverse payload: sau khi khai thác thành công, máy nạn nhân sẽ mở một kết nối tới máy tấn công (kết nối đi ra ngoài mạng) để vượt qua tường lửa từ bên trong. Exploits: là chương trình khai thác lỗ hổng dịch vụ, ta bắt buộc phải biết được lỗ hổng trên máy nạn nhân. Encoders: là payload được encoding, mã hóa và được chèn vào những kí tự đặc biệt giúp tránh bị phát hiện bởi phần mềm diệt virus hoặc tường lửa. Nops: là một module tùy chọn thêm để đảm bảo kích thước của payload. Auxiliary: là một loại module đặc biệt, nó cung cấp chức năng tăng cường cho các thử nghiệm xâm nhập và quét lỗ hổng, thu thập thông tin, quét cổng, ... 2.3.4. Thành phần mở rộng Plugins: gồm các Plugin có thể tải vào trong quá trình chạy. Plugin là các công cụ, module giúp tương tác với công cụ bên thứ 3 hoặc hỗ trợ quá trình khai thác Metasploit Framework. Các nhà phát triển cá nhân khi muốn phát triển module hoặc chức năng mới cho Metasploit sẽ cần phát triển thành một Plugin và được đánh giá bởi cộng đồng người sử dụng. Tools: chứa một vài tiện ích dòng lệnh hữu dụng hỗ trợ trong quá trình khai thác như bộ dịch ASM, .... 20 Chương 3. HỆ THỐNG CÁC TIÊU CHUẨN VỀ AN TOÀN THÔNG TIN Hiện nay, trên thế giới đã hình thành một hệ thống tiêu chuẩn An toàn thông tin tương đối đầy đủ, bao quát được hầu hết các khía cạnh của lĩnh vực an toàn thông tin và đáp ứng mọi đối tượng cần tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại gồm: tiêu chuẩn đánh giá, tiêu chuẩn đặc tả và tiêu chuẩn về quản lý Tuân thủ tiêu chuẩn an toàn thông tin (ATTT) là yếu tố quan trọng đảm bảo cho sự hoạt động ổn định và tin cậy của hạ tầng kỹ thuật, sự an toàn của hệ thống thông tin và dữ liệu của tổ chức, cá nhân. Đối với các nhà thiết kế và sản xuất, tiêu chuẩn sẽ hỗ trợ để họ có thể cung cấp cho thị trường những sản phẩm chất lượng cao và phù hợp với các đối tượng sử dụng. Tiêu chuẩn hóa trong ATTT với tư cách là một lĩnh vực, được khởi đầu ở Mỹ vào cuối những năm 70 của thế kỷ trước, khi mạng máy tính ở Bộ Quốc phòng (Mỹ) xuất hiện những vấn đề đầu tiên về an ninh, an toàn. Tiêu chuẩn ATTT đầu tiên được thừa nhận ở phạm vi quốc tế và có ảnh hưởng đặc biệt đối với quá trình xây dựng nhiều tiêu chuẩn sau này là “Các tiêu chí đánh giá các hệ thống máy tính tin cậy” (Trusted Computer System Evaluation Criteria - TCSEC), được Bộ Quốc phòng (Mỹ) xây dựng và công bố năm 1983. Tiêu chuẩn này được sử dụng trong đánh giá, phân loại, lựa chọn để xử lý, lưu trữ, phục hồi thông tin nhạy cảm và thông tin mật trong Bộ Quốc phòng (Mỹ). Trong tiêu chuẩn này, lần đầu tiên hàng loạt các khái niệm và nội dung cơ bản về ATTT được đề cập như: hệ thống an toàn và tin cậy, mức độ đảm bảo, cơ sở tính toán tin cậy, trọng tâm và phạm vi an toàn, chính sách an toàn thông tin, quản lý truy cập.... Sau TCSEC, nhiều tiêu chuẩn ATTT, dựa trên nền tảng của tiêu chuẩn này ra đời. Kết quả của hoạt động khẩn trương đó là trong hai thập kỷ 80, 90 của thế kỷ trước, một số lượng lớn tiêu chuẩn trong lĩnh vực ATTT đã được xây dựng và công bố. Những tiêu chuẩn này được sàng lọc trong thực tiễn, nhiều tiêu chuẩn trong số đó được áp dụng hiệu quả và được nhiều quốc gia, tổ chức chấp nhận, khuyến cáo thành tiêu chuẩn chính thức. Đến nay, hầu hết các khía cạnh của lĩnh vực ATTT đã được tiêu chuẩn hóa (sản phẩm, dịch vụ, quy trình). Hệ thống tiêu chuẩn này có thể phân thành ba loại như sau: - Các tiêu chuẩn đánh giá: là các tiêu chuẩn dùng để đánh giá, phân loại các hệ thống thông tin và các phương tiện bảo vệ thông tin. - Các tiêu chuẩn đặc tả: là các tiêu chuẩn mang đặc tính kỹ thuật, chúng xác lập các phương diện khác nhau trong việc thực thi và sử dụng các phương tiện bảo vệ thông tin. - Các tiêu chuẩn về quản lý: Các tiêu chuẩn này xác định yêu cầu đối với công tác tổ chức và quản lý ATTT, quản lý rủi ro và hướng dẫn về ATTT. 21 Hình 3.1. Hệ thống các quy chuẩn về an toàn thông tin Công nghệ thông tin được phát triển và ứng dụng trước hết ở các quốc gia công nghiệp tiên tiến như Mỹ, Canada, Nhật Bản và các nước phương Tây. Do đó, vai trò quyết định trong quá trình hình thành hệ thống tiêu chuẩn ATTT thuộc về các tổ chức tiêu chuẩn hóa tại các quốc gia này, nổi bật là NIST, ANSI (Mỹ), BSI (Anh). Ở đây có vai trò đặc biệt của tổ chức tiêu chuẩn hóa quốc tế ISO, một tổ chức liên kết các nước thành viên và hoạt động với mục tiêu “quốc tế hóa” các tiêu chuẩn trên phạm vi toàn cầu. Ngoài các cơ quan chính phủ và các tổ chức tiêu chuẩn hóa uy tín nêu trên, một số tổ chức khác như Cộng đồng Internet (Internet Community), ... đã có đóng góp không nhỏ vào sự hình thành hệ thống tiêu chuẩn về ATTT, đặc biệt là trong việc xây dựng các tiêu chuẩn kỹ thuật. Hệ thống tiêu chuẩn về ATTT hiện tại trên thế giới bao gồm Tiêu chuẩn quốc tế ISO tổ chức xây dựng và công bố, các Tiêu chuẩn quốc gia (do Chính phủ các nước công bố) và các Tiêu chuẩn của các tổ chức chuyên ngành (tương ứng ở nước ta gọi là tiêu chuẩn cơ sở). 3.1. Các tiêu chuẩn quản lý an toàn thông tin Một trong những tiêu chuẩn về quản lý an toàn thông tin ra đời sớm nhấ