Cuộc tấn công Cookie Hijacking là kẻ thù giám sát lưu lượng truy cập của mạng không dây công cộng. Ví dụ: khuôn viên trường đại học hoặc quán cà phê. Hình 1 trình bày quy trình tấn công của Cookie Hijacking. (1) Trình duyệt gắn Cookie HTTP của người dùng với các yêu cầu được gửi ở dạng văn bản rõ ràng qua kết nối không được mã hóa, (2) Lưu lượng truy cập đang được giám sát bởi kẻ nghe trộm (Eavesdropper), kẻ trích xuất Cookie HTTP của người dùng từ dấu vết mạng, (3) Kẻ nghe trộm kết nối với các dịch vụ dễ bị tấn công bằng cách sử dụng Cookie bị đánh cắp, (4) Các dịch vụ nhận dạng (Identify) người dùng từ Cookie và cung cấp phiên bản được cá nhân hóa của trang web, do đó, tiết lộ thông tin cá nhân và chức năng tài khoản của người dùng cho kẻ thù.
Hình 1. Trình bày quy trình của cuộc tấn công Cookie Hijacking
Tính khả dụng của Cookie. Các cuộc tấn công này yêu cầu người dùng trước đó đã đăng nhập vào dịch vụ để có các Cookie được yêu cầu. Việc đóng trình duyệt kể từ lần đăng nhập trước không ảnh hưởng đến các cuộc tấn công, vì các Cookie này vẫn tồn tại trong các phiên duyệt Web.
Tài liệu tham khảo
1. S. Sivakorn, I. Polakis and A. D. Keromytis, "The Cracked Cookie Jar: HTTP Cookie Hijacking and the Exposure of Private Information," 2016 IEEE Symposium on Security and Privacy (SP), 2016, pp. 724-742, doi: 10.1109/SP.2016.49.
Giao thức TCP thiết lập các kết nối bình thường thông qua bắt tay ba bước: đầu tiên, máy khách gửi một gói SYN đến máy chủ; máy chủ nhận được thông báo này và sẽ trả lời gói SYN + ACK cho máy khách; cuối cùng, máy khách sẽ có thể trả lại gói ACK cho máy chủ, nhận biết rằng kết nối TCP đã được thiết lập. Quy trình xử lý của giao thức bắt tay ba bước TCP được thể hiện trong Hình 1.
Hình 1. Bắt tay ba bước TCP
Khi nhận được gói SYN đầu tiên, TCP sẽ tạo một nửa kết nối, phân bổ tài nguyên liên quan cho nửa kết nối và thêm vào danh sách nửa kết nối. Chỉ khi quá trình bắt tay ba bước hoàn tất hoặc tin nhắn đã hết thời gian chờ, kết nối một nửa này sẽ bị xóa khỏi danh sách và các tài nguyên liên quan sẽ được giải phóng. Nếu kẻ tấn công tiếp tục tạo ngẫu nhiên địa chỉ IP và gửi gói SYN bằng cách kiểm soát một số lượng lớn các máy Proxy, máy chủ sẽ nhận được rất nhiều gói SYN. Do địa chỉ IP bị giả mạo, các gói SYN + ACK không thể được gửi đến đúng máy khách và do đó không thể nhận gói ACK tương ứng từ máy khách. Trong khoảng thời gian này, tài nguyên máy chủ sẽ không được giải phóng cho đến khi chúng cạn kiệt, và cuối cùng dẫn đến sự cố máy chủ hoặc không thể đáp ứng các yêu cầu máy khách TCP bình thường. Loại tấn công DDoS nhắm vào lỗ hổng lớp TCP này được gọi là tấn công SYN Flood.
Tài liệu tham khảo
1. Bo Hang and Ruimin Hu, "A novel SYN Cookie method for TCP layer DDoS attack," 2009 International Conference on Future BioMedical Information Engineering (FBIE), 2009, pp. 445-448, doi: 10.1109/FBIE.2009.5405818.
Bảo mật tầng vận chuyển (Transport Layer Security - TLS) là giao thức được sử dụng rộng rãi nhất cho các kênh an toàn. Nó cung cấp xác thực lẫn nhau giữa máy khách và máy chủ và đảm bảo tính bảo mật và tính toàn vẹn của các thông điệp bằng cách hỗ trợ các bộ mật mã khác nhau. TLS có thể được chia thành hai giao thức: giao thức bắt tay (Handshake) và giao thức ghi (Record).
Hình 1. Giao thức bắt tay TLS
- Giao thức bắt tay TLS (Handshake): Để thương lượng bộ mật mã được sử dụng trong giao thức bản ghi và để cung cấp cơ chế xác thực lẫn nhau giữa máy khách và máy chủ, giao thức bắt tay phải được chạy trước khi gửi hoặc nhận dữ liệu được mã hóa thông qua giao thức bản ghi. Để đơn giản, chúng tôi xem xét xác thực một chiều, trong đó chỉ yêu cầu xác thực máy chủ, đây là quy trình xác thực trên thực tế. Hình 1 mô tả giao thức bắt tay TLS chung với giao thức trao đổi khóa RSA.
- Giao thức bản ghi TLS (Record): Sau giao thức bắt tay và dẫn xuất khóa Session, giao thức bản ghi được tuân theo, nơi dữ liệu có thể được trao đổi dưới dạng mã hóa bằng các dẫn xuất khóa Session. Trong giao thức bản ghi, các khối dữ liệu bản rõ được dịch thành các đoạn văn bản rõ, sau đó được dịch thành các đoạn bản mã bằng cách sử dụng các hàm mã hóa và MAC. Trong quy trình này, các đặc tả TLS hỗ trợ ba chế độ mật mã (được chọn trong giao thức bắt tay): StreamCipher, BlockCipher và AEADCipher.
Tuy nhiên, tính bảo mật của TLS còn nhiều nghi vấn. Hiện tại, TLS mắc phải một số lỗ hổng như HeartBleed, SLOTH, DROWN, POODLE, FREAK, BEAST, Lucky Thirteen và Logjam.
Tài liệu tham khảo
1. H. Kwon, H. Nam, S. Lee, C. Hahn and J. Hur, "(In-)Security of Cookies in HTTPS: Cookie Theft by Removing Cookie Flags," in IEEE Transactions on Information Forensics and Security, vol. 15, pp. 1204-1215, 2020, doi: 10.1109/TIFS.2019.2938416.
HTTP Cookie (Web Cookie, Browser Cookie) là một phần dữ liệu nhỏ được gửi từ máy chủ và được trình duyệt của người dùng lưu trữ để ghi nhớ thông tin trạng thái hoặc ghi lại hoạt động duyệt web của người dùng. Trong môi trường web hiện đại, Cookie HTTP hiệu quả xử lý các yêu cầu và phản hồi HTTP bằng cách cung cấp nhiều chức năng khác nhau. Trong nhiều trường hợp, Cookie chứa thông tin người dùng riêng tư và duy nhất (ví dụ: mã thông báo xác thực). Thông thường, Bảo mật truyền tải nghiêm ngặt HTTP (HTTP Strict Transport Security - HSTS) và cờ Cookie là những phương pháp nổi tiếng nhất cho mục đích bảo vệ đầy đủ thông tin trong Cookie.
- Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) là một chính sách để hầu hết thực thi việc sử dụng TLS trong các trình duyệt Web (tác nhân). Nó cho phép triển khai hiệu quả TLS bằng cách đảm bảo rằng tất cả các giao tiếp đều được thực hiện qua kênh an toàn. Một tác động tích cực khác là giảm thiểu các cuộc tấn công Man-In-The-Middle (MITM), nơi TLS có thể bị loại bỏ khỏi giao tiếp và khiến trình duyệt gặp rủi ro.
- Cờ Cookie (Flag) là một cơ chế bảo mật bảo vệ dữ liệu trong Cookie. Máy chủ có thể xác định các thuộc tính đặc biệt cho Cookie bằng cách thêm các cờ trong tùy chọn tiêu đề Set-Cookie khi phân phối Cookie đến trình duyệt. Có hai loại cờ Cookie được thêm vào tiêu đề Set-Cookie: HttpOnly và Secure. Cờ HttpOnly đảm bảo rằng không thể truy cập Cookie bởi các API phía máy khách như JavaScript. Hạn chế này giúp loại bỏ nguy cơ đánh cắp Cookie thông qua Cross-Site Scripting (XSS). Cookie có cờ Secure chỉ có thể được truyền qua kết nối được mã hóa như TLS khi máy khách gửi nó đến máy chủ sau đó. Nó bảo vệ Cookie khỏi bị đánh cắp Cookie thông qua việc nghe trộm qua HTTP. Nếu cờ Secure không được đặt đúng cách trong tiêu đề Set-Cookie, kẻ tấn công MITM được cải trang thành một máy chủ HTTP hợp pháp có thể lấy Cookie riêng thông qua HTTP.
Tài liệu tham khảo
1. H. Kwon, H. Nam, S. Lee, C. Hahn and J. Hur, "(In-)Security of Cookies in HTTPS: Cookie Theft by Removing Cookie Flags," in IEEE Transactions on Information Forensics and Security, vol. 15, pp. 1204-1215, 2020, doi: 10.1109/TIFS.2019.2938416.
EDXML (E là Event, D là Dataset và XML) được tạo ra vào năm 2009 bởi Dik Takken với nhiệm vụ tìm kiếm một biểu diễn dữ liệu có thể mở rộng, đúng với dữ liệu gốc, không phụ thuộc vào tên miền và không quá phức tạp.
Một biểu diễn dữ liệu chung nằm ở trung tâm của bất kỳ nỗ lực tích hợp dữ liệu nào. Nhiều tiêu chuẩn biểu diễn dữ liệu khác nhau tồn tại, nhưng những tiêu chuẩn này thường bị giới hạn trong các lĩnh vực cụ thể như pháp y, thương mại điện tử hoặc an ninh mạng. Tích hợp dữ liệu từ các tên miền khác nhau cho phép có hai cách tiếp cận.
Tùy chọn một là tạo một biểu diễn mới bằng cách kết hợp các khía cạnh từ tất cả các tên miền. Điều này mang lại một biểu diễn dữ liệu tùy chỉnh, phức tạp và dài dòng, yêu cầu phần mềm phân tích tùy chỉnh phức tạp để xử lý nó.
Tùy chọn hai liên quan đến việc tìm kiếm một 'điểm chung' cho tất cả các tên miền. Càng có nhiều tên miền tham gia, điểm chung này sẽ càng thu hẹp và độ 'trung thực' của dữ liệu càng bị ảnh hưởng.
EDXML cung cấp một biểu diễn dữ liệu tránh đánh đổi phạm vi/độ phức tạp/độ trung thực điển hình bằng cách kết hợp dữ liệu với ngữ nghĩa. Cấu trúc vật lý của dữ liệu được tách rời khỏi cấu trúc ngữ nghĩa của nó, dẫn đến một biểu diễn đơn giản có phạm vi hầu như không giới hạn trong khi vẫn giữ được độ trung thực của dữ liệu gốc càng nhiều càng tốt.
Tài liệu tham khảo
1. edxml.org
Ngôn ngữ đánh dấu có thể mở rộng (Extensible Markup Language - XML) là một ngôn ngữ đánh dấu tiêu chuẩn, độc lập với nền tảng xác định các quy tắc định dạng để mã hóa dữ liệu. Điểm mạnh chính là nó cung cấp một cách rõ ràng để biểu diễn dữ liệu có cấu trúc để sử dụng trong các ứng dụng, đặc biệt là định dạng để lưu trữ và để giao tiếp trong tin nhắn.
Tính khả chuyển của XML trên các nền tảng khác nhau làm cho nó trở nên lý tưởng để biểu diễn dữ liệu trong các hệ thống phân tán, khắc phục sự không đồng nhất. XML cũng có thể mở rộng được, cho phép tạo ra các biến thể dành riêng cho miền ứng dụng và miền ứng dụng của ngôn ngữ cơ bản, một ví dụ cổ điển về ngôn ngữ này là Ngôn ngữ đánh dấu hóa học (Chemical Markup Language - CML); điều này được sử dụng để mô tả các cấu trúc phân tử phức tạp trong một định dạng tài liệu được tiêu chuẩn hóa và rõ ràng. Các đặc điểm của XML đã dẫn đến việc nó được sử dụng phổ biến trong nhiều ứng dụng, cũng như là phương pháp biểu diễn dữ liệu được lựa chọn trong các giao thức khác như SOAP và các dịch vụ Web.
Tài liệu tham khảo
1. Richard John Anthony, Chapter 6 - Distributed Systems, Systems Programming, Morgan Kaufmann, 2016, doi = 10.1016/B978-0-12-800729-7.00006-6.
Bộ xử lý trung tâm (Central Processing Unit - CPU) là bộ não của máy tính, có khả năng điều khiển và thực hiện các phép tính toán học. Cuối cùng, mọi thứ một máy tính làm đều là toán học: thêm số (có thể mở rộng thành phép trừ, nhân, chia, v.v.), thực hiện các phép toán logic, truy cập vị trí bộ nhớ theo địa chỉ, v.v. Tốc độ CPU hay còn gọi là tốc độ xung nhịp CPU được đo bằng đơn vị Gigahertz hay GHz biểu thị số chu kỳ xử lý mỗi giây mà CPU có thể thực hiện được.
Tài liệu tham khảo
1. Eric Conrad and Seth Misenar and Joshua Feldman, Chapter 7 - Domain 6: Security Architecture and Design, CISSP Study Guide (Second Edition), Syngress, 2012.
PostScript là một ngôn ngữ lập trình đồ họa được Adobe Systems giới thiệu vào năm 1984. PostScript là một ngôn ngữ mô tả trang (Page) theo cách độc lập với thiết bị để một trang có thể được in trên nhiều loại thiết bị có độ phân giải khác nhau. PostScript hỗ trợ giao tiếp giữa trình ứng dụng như Adobe, Corel Draw,... với các thiết bị đầu ra đồ họa có độ phân giải cao như máy in Laser, máy ghi phim. Dùng trong ngành công nghiệp xuất bản điện tử và xuất bản Desktop.
Tài liệu tham khảo
1. J. E. Warnock, "The Origins of PostScript," in IEEE Annals of the History of Computing, vol. 40, no. 3, pp. 68-76, Jul.-Sep. 2018, doi: 10.1109/MAHC.2018.033841112.
2. R. N. Horspool and J. Vitek, "Static analysis of PostScript code," Proceedings of the 1992 International Conference on Computer Languages, 1992, pp. 14-23, doi: 10.1109/ICCL.1992.185464.
Trong số tất cả các định nghĩa được cung cấp cho dữ liệu lớn “Big Data”, tôi thích nhất là nó có nghĩa là dữ liệu quá lớn, quá nhanh hoặc quá khó để các công cụ hiện có xử lý. Ở đây, “quá lớn” có nghĩa là các tổ chức ngày càng phải xử lý các bộ sưu tập dữ liệu quy mô petabyte đến từ các luồng nhấp chuột, lịch sử giao dịch, cảm biến và các nơi khác. “Quá nhanh” có nghĩa là dữ liệu không chỉ lớn mà còn phải được xử lý nhanh chóng - ví dụ: để thực hiện phát hiện gian lận tại điểm bán hàng hoặc xác định quảng cáo nào sẽ hiển thị cho người dùng trên trang web. “Quá khó” là yêu cầu dữ liệu không vừa khít với công cụ xử lý hiện có hoặc cần một số loại phân tích mà các công cụ hiện có không thể cung cấp dễ dàng. Dữ liệu lớn thường được đặc trưng với năm chữ V: Volume - khối lượng cho kích thước của dữ liệu phóng to từ mức TB đến PB, Variety - sự đa dạng cho nhiều loại, Velocity - tốc độ cho tốc độ xử lý hiệu quả, Veracity - tính xác thực để theo đuổi chất lượng cao của dữ liệu và Value - giá trị cho giá trị cao.
Tài liệu tham khảo
1. S. Madden, "From Databases to Big Data," in IEEE Internet Computing, vol. 16, no. 3, pp. 4-6, May-June 2012, doi: 10.1109/MIC.2012.50.
2. H. Mei, and L. Gao, “Big data standardization white paper v2.0,” China electronics technology standardization institute, 2016.
CISSP (Certified Information Systems Security Professional) là một trong những chứng chỉ cao cấp về bảo mật được thừa nhận trên toàn thế giới và chứng nhận bởi tổ chức độc lập ISC2 (International Information Systems Security Certification Consortium) trong đó cung cấp chứng nhận khả năng của các chuyên gia ở nhiều lĩnh vực từ an ninh thông tin, bảo mật hệ thống. Cũng giống như các chứng chỉ liên quan đến an ninh khác, nhu cầu cao về chứng chỉ và dự kiến sẽ như vậy trong nhiều năm tới, nhưng không giống như những chứng chỉ khác, bạn có thể kiếm được chứng chỉ liên kết trong khi làm việc theo yêu cầu, làm cho chứng chỉ này là một chứng chỉ có giá trị cho những ai muốn bước chân vào lĩnh vực an ninh. Khi an toàn an ninh thông tin được đặt dưới góc nhìn của nhà quản lý, nó sẽ được hữu hình hóa rõ ràng hơn bằng cách đưa ra những chủ đề và những lĩnh vực phổ biến nhất, gọi chung là Common Body of Knowledge (CBK). ISC2 cũng cung cấp ba chứng chỉ CISSP với mục tiêu chủ yếu tập trung vào các lĩnh vực cụ thể trong bảo mật công nghệ thông tin.
Web lưu trữ kiến thức cá nhân đã tham khảo và thấy hữu ích cho người đọc. Các bạn có thể đóng góp bài viết qua địa chỉ: dzokha1010@gmail.com