Chủ đề BH 2014 : Internet Scanning - Current State and Lessons Learned
1. Giới thiệu về diễn giả
Mark Schloesser là một nhà nghiên cứu an ninh tại trung tâm Rapid7, ông là một chuyên gia trong việc phân tích các mối đe dọa (botnes, malware,..) để từ đó đưa ra giải pháp nhằm bảo vệ và chống lại các nguy cơ đó.
Ông là một trong những người đóng góp vào các dự án mã nguồn mở như tham gia vào dự án Honeynet ( một hệ thống xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và người dùng hợp pháp); hay dự án xây dựng phần mềm mã nguồn mở Cuckoo Sandbox để phân tích một cách tự động các tập tin nghi ngờ có nguy cơ.
2. Những dự án về Internet-wide scanning ( quét diện rộng trên Internet)
2.1 Dự án Internet Mapping
Dự án Internet Mapping được xây dựng bởi William Cheswick và Hal Burch ở phòng Labs Bell vào mùa hè năm 1998. Dự án đã thông qua công cụ traceroute hay tracert trên Windows (công cụ truy vết) để thu thập và lưu trữ hàng trăm ngàn nút mạng hằng ngày cho đến nay. Những thông tin này đã được sử dụng để phục vụ cho việc nghiên cứu các vấn đề về định tuyến và sự thay đổi, các cuộc tấn công DDos và lý thuyết đồ thị.
2.2 Dự án Shodan
Hình: Trang chủ của công cụ trực tuyến shodan
Dự án Shodan được xây dựng nhằm mục đích tạo ra một công cụ tìm kiếm giúp bạn tìm ra các máy tính, server, router, máy in, webcam và tất cả những thứ khác, miễn là chúng kết nối với Internet.
2.3 Dự án Sonar ở Rapid7
Dự án Sonar là một dự án nghiên cứu bảo mật của trung tâm nghiên cứu Rapid7 để nhằm tiến hành các cuộc điều tra trên diện rộng internet về những dịch vụ và giao thức khác nhau với mục đích phân tích và phát hiện sớm được những lỗ hổng mới nhất.
Dự án Sonar sẽ thu thập dữ liệu bằng cách quét tất các địa chỉ IPv4 cho mỗi dịch vụ cụ thể và sau đó thì trích xuất những thông tin cần thiết lấy được.
3. Công cụ
Sau đây, chúng ta sẽ tìm hiểu một công cụ “ScanNow for Universal Plug and Play” của trung tâm rapid7 – là một ứng dụng để minh họa cho lợi ích của việc quét diện rộng trên internet.
3.1 Giới thiệu về UPnP trên các thiết bị mạng
UPnP là viết tắt của “Universal Plug and Play”, là một giao thức mạng giúp các thiết bị (PC, laptop, TV, router, tablet, máy in…) có khả năng giao tiếp và chia sẻ dữ liệu cho nhau, bất kể thiết bị đó thuộc chủng loại nào hoặc chạy hệ điều hành gì. UPnP được kích hoạt mặc định trên nhiều thiết bị định tuyến (router) đời mới hoặc modem băng thông rộng. Vấn đề chính là các lỗ hổng bảo mật của UPnP không phải ít và việc khắc phục vấn đề các giao thức mạng thường không được nhanh chóng như các lỗ hổng phần mềm thông thường.
Trong khoảng thời gian từ ngày 1/6 đến 17/11 năm 2012, trung tâm Rapid7 đã có một thực hiện một cuộc nghiên cứu và thống kê trên diện rộng của môi trường Internet. Trung tâm đã quét các thiết bị trên Internet bằng cách hằng tuần đều gửi yêu cầu SSDP – Simple Service Discovery Protocol (một giao thức mạng cho phép phát hiện ra các dịch vụ mạng và thông tin về dịch vụ đó), đến với tất cả các địa chỉ IPv4 đang trực trực tuyến.
Kết quả nghiên cứu đã chỉ ra rằng có gần 81 triệu thiết bị có phản hồi và trả lời lại phép thử của trung tâm, điều này đồng nghĩa với việc 81 triệu thiết bị này có thể bị xâm nhập và nắm quyền điều khiển bất cứ lúc nào, đặc biệt là khi một trong những ứng dụng chính của UPnP là việc điều khiển thư viện multimedia từ xa.
Vào cuối tháng 1 năm 2013 thì những nhà nghiên cứu của DefenseCode đã tìm được một lỗ hổng an ninh thực thi mã tùy biến từ xa liên quan tới lỗi của UPnP. Những sản phầm của các thiết bị Linksys, Boardcom, Asus, TP-Link, D-Link, Netgear, US Robotics, và Zyxel đều dính phải lỗi này. Lỗi này khai thác qua một modun wanipc và wanppp của Broadcom UPnP - là giao thức UPnP được phát triển cho Broadcom và nó được sử dụng trong các chip của router. Dưới đây là demo về việc khai thác thành công lỗ hổng Broadcom UPnP trên thiết bị Cisco Linksys WRT54GL:
3.2 Công cụ ScanNow cho giao thức UPnP
Trung tâm Rapid 7 đã phát triển một công cụ mang tên “ScanNow UPnP” để kiểm tra xem các thiết bị mạng của bạn có khả năng bị tấn công UPnP không.
Ta truy cập vào địa chỉ: http://upnp-check.rapid7.com sẽ thấy giao diện trang web công cụ ScanNow như sau:
Hình: Trang chủ của công cụ ScanNow for UPnP
Trong đó, nếu click nút “Scan My Router” thì đây là dịch vụ online sẽ kiểm tra UPnP của Router chúng ta thông qua địa chỉ IPv4 được public ra ngoài internet.
Hình: Mẫu kết quả sau khi quét dịch vụ online
Còn nếu ta muốn kiếm tra các địa chỉ nội bộ thì click vào “Download ScanNow” để tải về công cụ “ScanNow for Universal Plug and Play”
Một số hình ảnh của công cụ quét offline:
Mark Schloesser là một nhà nghiên cứu an ninh tại trung tâm Rapid7, ông là một chuyên gia trong việc phân tích các mối đe dọa (botnes, malware,..) để từ đó đưa ra giải pháp nhằm bảo vệ và chống lại các nguy cơ đó.
Ông là một trong những người đóng góp vào các dự án mã nguồn mở như tham gia vào dự án Honeynet ( một hệ thống xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và người dùng hợp pháp); hay dự án xây dựng phần mềm mã nguồn mở Cuckoo Sandbox để phân tích một cách tự động các tập tin nghi ngờ có nguy cơ.
2. Những dự án về Internet-wide scanning ( quét diện rộng trên Internet)
2.1 Dự án Internet Mapping
Dự án Internet Mapping được xây dựng bởi William Cheswick và Hal Burch ở phòng Labs Bell vào mùa hè năm 1998. Dự án đã thông qua công cụ traceroute hay tracert trên Windows (công cụ truy vết) để thu thập và lưu trữ hàng trăm ngàn nút mạng hằng ngày cho đến nay. Những thông tin này đã được sử dụng để phục vụ cho việc nghiên cứu các vấn đề về định tuyến và sự thay đổi, các cuộc tấn công DDos và lý thuyết đồ thị.
2.2 Dự án Shodan
Hình: Trang chủ của công cụ trực tuyến shodan
Dự án Shodan được xây dựng nhằm mục đích tạo ra một công cụ tìm kiếm giúp bạn tìm ra các máy tính, server, router, máy in, webcam và tất cả những thứ khác, miễn là chúng kết nối với Internet.
2.3 Dự án Sonar ở Rapid7
Dự án Sonar là một dự án nghiên cứu bảo mật của trung tâm nghiên cứu Rapid7 để nhằm tiến hành các cuộc điều tra trên diện rộng internet về những dịch vụ và giao thức khác nhau với mục đích phân tích và phát hiện sớm được những lỗ hổng mới nhất.
Dự án Sonar sẽ thu thập dữ liệu bằng cách quét tất các địa chỉ IPv4 cho mỗi dịch vụ cụ thể và sau đó thì trích xuất những thông tin cần thiết lấy được.
3. Công cụ
Sau đây, chúng ta sẽ tìm hiểu một công cụ “ScanNow for Universal Plug and Play” của trung tâm rapid7 – là một ứng dụng để minh họa cho lợi ích của việc quét diện rộng trên internet.
3.1 Giới thiệu về UPnP trên các thiết bị mạng
UPnP là viết tắt của “Universal Plug and Play”, là một giao thức mạng giúp các thiết bị (PC, laptop, TV, router, tablet, máy in…) có khả năng giao tiếp và chia sẻ dữ liệu cho nhau, bất kể thiết bị đó thuộc chủng loại nào hoặc chạy hệ điều hành gì. UPnP được kích hoạt mặc định trên nhiều thiết bị định tuyến (router) đời mới hoặc modem băng thông rộng. Vấn đề chính là các lỗ hổng bảo mật của UPnP không phải ít và việc khắc phục vấn đề các giao thức mạng thường không được nhanh chóng như các lỗ hổng phần mềm thông thường.
Kết quả nghiên cứu đã chỉ ra rằng có gần 81 triệu thiết bị có phản hồi và trả lời lại phép thử của trung tâm, điều này đồng nghĩa với việc 81 triệu thiết bị này có thể bị xâm nhập và nắm quyền điều khiển bất cứ lúc nào, đặc biệt là khi một trong những ứng dụng chính của UPnP là việc điều khiển thư viện multimedia từ xa.
Vào cuối tháng 1 năm 2013 thì những nhà nghiên cứu của DefenseCode đã tìm được một lỗ hổng an ninh thực thi mã tùy biến từ xa liên quan tới lỗi của UPnP. Những sản phầm của các thiết bị Linksys, Boardcom, Asus, TP-Link, D-Link, Netgear, US Robotics, và Zyxel đều dính phải lỗi này. Lỗi này khai thác qua một modun wanipc và wanppp của Broadcom UPnP - là giao thức UPnP được phát triển cho Broadcom và nó được sử dụng trong các chip của router. Dưới đây là demo về việc khai thác thành công lỗ hổng Broadcom UPnP trên thiết bị Cisco Linksys WRT54GL:
3.2 Công cụ ScanNow cho giao thức UPnP
Trung tâm Rapid 7 đã phát triển một công cụ mang tên “ScanNow UPnP” để kiểm tra xem các thiết bị mạng của bạn có khả năng bị tấn công UPnP không.
Ta truy cập vào địa chỉ: http://upnp-check.rapid7.com sẽ thấy giao diện trang web công cụ ScanNow như sau:
Hình: Trang chủ của công cụ ScanNow for UPnP
Trong đó, nếu click nút “Scan My Router” thì đây là dịch vụ online sẽ kiểm tra UPnP của Router chúng ta thông qua địa chỉ IPv4 được public ra ngoài internet.
Hình: Mẫu kết quả sau khi quét dịch vụ online
Còn nếu ta muốn kiếm tra các địa chỉ nội bộ thì click vào “Download ScanNow” để tải về công cụ “ScanNow for Universal Plug and Play”
Một số hình ảnh của công cụ quét offline:
Chỉnh sửa lần cuối bởi người điều hành: