Đó là một kỹ thuật tấn công, thường được hacker dùng để dò tìm mật khẩu, đọc các thông tin trao đổi bằng các ứng dụng chat trên Internet.
Chụp bắt các gói tin
Đầu tiên, công cụ dùng để đọc – phân tích các gói tin (Sniffing) trên mạng nội bộ thường được các nhà quản trị mạng sử dụng để theo dõi – chẩn đoán – phát hiện sự cố trên mạng. Sau này, kỹ thuật này nảy sinh các biến thể và trở thành công cụ nghe lén trên mạng của giới hacker.
Với các công cụ Sniffing, hacker có thể dò tìm tên người dùng (user name), mật khẩu (password), thông tin các tài khoản trên Internet… Đặc biệt nguy hiểm người dùng có thể bị đánh mất thông tin tài khoản email, thẻ tín dụng, ngân hàng… Kỹ thuật này sẽ không “đánh” trực diện vào máy chủ (server) hoặc máy khách (client) mà chủ yếu nó đứng giữa để chụp bắt các gói tin di chuyển từ máy khách (client) đến máy chủ (server).
Quá trình gửi – nhận thông tin giữa máy tính gửi tin và máy nhận tin vẫn diễn ra bình thường. Người sử dụng khó biết được mình đang bị nghe lén thông tin vì phiên làm việc giữa 2 máy tính vẫn “chạy tốt”. Tính chất nguy hiểm của kỹ thuật tấn công này là như vậy.
Theo Trung tâm Đào tạo Quản trị và An ninh mạng Athena, các hacker có thể chiếm phiên làm việc của người dùng máy tính bằng kỹ thuật tấn công Man-In-the Middle (có ý nghĩa đứng giữa hai thiết bị mạng và nghe lén). Người sử dụng Internet sẽ không hề biết mình đang bị đọc trộm thông tin. Trong suốt quá trình đăng nhập, hacker sẽ đọc hết các email có trong tài khoản hoặc các mẫu trao đổi trong quá trình chat bằng Yahoo! Messenger.
Mất dữ liệu không biết!
Người dùng Internet có thể bị đánh cắp mật khẩu, tài khoản email bị đọc trộm các mẫu trao đổi thông qua ứng dụng chat Yahoo! Messenger… khi bị nghe lén trên mạng. Các hacker có thể sử dụng các phần mềm (PM) phân tích gói tin dành cho các nhà quản trị mạng như: Network Monitor, Sniffer Pro… hoặc dùng đến công cụ hành nghề nghe lén như: Cain & Abel, Ettercap, Dsniff…
Trước đây, một số người dùng cứ nghĩ rằng máy tính của mình bị nhiễm virus, spyware… hoặc bị cài PM ghi bàn phím (keylogger) nhưng trên thực tế họ đang bị nghe lén trong mạng nội bộ. Hacker chỉ cần kết nối máy tính của mình vào mạng nội bộ, chọn card mạng cần nghe lén và khởi động chương trình Sniffing để ghi nhận các gói tin gửi về từ máy tính của nạn nhân.
Sau khi đã bắt được các gói tin, các hacker sẽ tiến hành lọc gói tin này bằng công cụ Cookie Editor và nhặt ra các thông tin quan trọng như tên người dùng, mật khẩu, nội dung chat… Các PM nghe lén này có thể đọc trộm thông tin trong các ứng dụng webmail, chat… phổ biến hiện nay.
Tuy nhiên, đối với một số ứng dụng webmail có mã hoá dữ liệu ở mức độ cao thì hacker khó lòng đánh cắp thông tin dù vẫn nghe lén được bình thường. Khi đó, công cụ bắt gói tin chỉ có thể ghi nhận một mớ thông tin mã hoá lấy được từ máy tính nạn nhân.
Công cụ nghe lén các đoạn chat bằng Yahoo! Messenger là các PM có thể ghi nhận và lưu giữ các mẫu đối thoại bằng Yahoo! Messenger; tự động gửi báo cáo về nội dung chat qua email để theo dõi từ xa… Trong một số gia đình, phụ huynh đã dùng đến công cụ này để quản lý nếu con mình sử dụng máy tính để chat trên mạng.
Đối phó với Sniffing
Theo một số chuyên gia về bảo mật, việc phát hiện và phòng chống nghe lén trên mạng không đơn giản. Kỹ thuật Sniffing hầu như không để lại dấu vết nên rất khó phát hiện hệ thống bị tấn công theo hình thức này. Sniffing là một chương trình thụ động (Passive), không trực tiếp tác động vào máy tính và gây ra sự thay đổi. Các PM phát hiện Sniffing khó lòng nhận diện chính xác và cần đến sự nhạy cảm của các nhân viên quản trị mạng.
Có thời gian, một số đơn vị và phòng máy tính đã dùng đến thiết bị chuyển mạch Switch thay cho Hub (thiết bị kết nối cáp mạng) để kết nối các máy tính trong mạng nội bộ (LAN). Điều này hạn chế việc nghe lén các máy tính đang chạy trong mạng nội bộ; tuy nhiên không thể khống chế hoàn toàn việc nghe lén.
Các hacker sẽ dùng đến các công cụ phân tích gói tin mạnh như Dsniff, Ettercap… để giả mạo địa chỉ MAC (địa chỉ vật lý của máy trạm). Khi đó, các gói tin thay vì chuyển đến máy tính cần nhận tin lại chuyển hướng gửi sang máy tính của hacker (cài đặt PM Ettercap).
“Lấy độc trị độc!”
Theo ông Trương Văn Cường, Giảng viên của Trung tâm Athena: Người dùng Internet có thể sử dụng chính các công cụ nghe lén để phát hiện mình có bị nghe lén hay không. Các công cụ này ngoài việc thực hiện tác vụ nghe lén, còn có khả năng dò tìm trên mạng nội bộ có máy nào đang nghe lén hay không.
Ví dụ như công cụ nghe lén Ettercap có 2 tính năng hữu ích. Thứ nhất là tìm kiếm các máy tính có chạy chương trình Ettercap trong cùng mạng nội bộ; thứ hai là phát hiện các chương trình nghe lén khác (ngoài Ettercap). Kể cả khi hacker sử dụng PM giả mạo địa chỉ MAC cũng sẽ bị phát hiện.
Các nhân viên quản trị mạng có thể phát hiện máy tính nghe lén bằng cách dò tìm - kiểm tra từng card mạng đang áp dụng chế độ hỗn tạp (Promiscuous Mode). Hầu hết các card mạng hiện nay đều hỗ trợ việc chuyển sang chế độ nhận gói tin kiểu này. Sau khi phát hiện máy tính tấn công, người quản trị hệ thống sẽ tiến hành cô lập máy tính nhiễm độc để bảo vệ cho các máy tính khác.
Đối với các hệ thống mạng máy tính ở các công ty, có thể dùng đến cơ chế thiết lập mạng riêng ảo nội bộ (Virtual LAN) để phòng chống tình trạng nghe lén trên mạng, thiết lập chính sách an toàn thông tin – cấm kết nối thiết bị trái phép… Đồng thời, giám sát chặt chẽ việc thay đổi địa chỉ MAC trong mạng nội bộ.
Việc mã hoá dữ liệu truyền trong mạng nội bộ tuy tốt nhưng không thể phòng chống tuyệt đối việc nghe lén trên mạng khi hacker sử dụng các công cụ mạnh!
Chỉ phát hiện được sau khi bị nghe lén Các nhân viên quản trị mạng hoặc người dùng cuối có thể sử dụng các PM phát hiện nghe lén trên mạng, nhưng chỉ phát hiện được khi đã bị nghe lén. Phần lớn các PM chỉ dựa trên việc phát hiện các máy tính cài đặt chế độ hỗn tạp cho card mạng hoặc giả mạo địa chỉ MAC để cảnh báo người dùng mạng máy tính nội bộ. |