An toàn thông tin (ATTT) có 3 đặc trưng quan trọng là bảo vệ tính bí mật, toàn vẹn và sẵn sàng của thông tin. Trong bối cảnh ngày nay, khi ATTT trở thành mối quan tâm hàng đầu thì các kỹ thuật mật mã đóng một vai trò vô cùng quan trọng trong phát triển và triển khai sản phẩm phần mềm. Tích hợp mật mã không chỉ là một biện pháp bảo mật để bảo vệ các thông tin quan trọng mà còn là một phần không thể thiếu của việc xây dựng một sản phẩm phần mềm an toàn, tin cậy và đáp ứng các tiêu chuẩn an toàn cao, từ đó quyết định sự tin cậy và thành công của sản phẩm.
Tuy nhiên, có một thách thức đáng kể mà các nhà phát triển và chuyên gia bảo mật phải đối mặt khi xây dựng sản phẩm phần mềm có tích hợp mật mã, đó là nguy cơ dịch ngược các thuật toán mật mã. Dịch ngược mật mã là quá trình phân tích và hiểu rõ lại thuật toán mật mã đã được sử dụng trong ứng dụng, có thể dẫn đến việc loại bỏ các biện pháp bảo mật [1]. Khi sản phẩm phần mềm không được bảo vệ đủ tốt, tin tặc có thể dễ dàng truy cập và phân tích mã chương trình. Kỹ thuật dịch ngược có thể tiết lộ chi tiết cấu trúc của thuật toán, các khóa mã hóa và cách thông tin được xử lý trong quá trình thực hiện mã hóa và giải mã.
Một số phương pháp dịch ngược thông dụng bao gồm sử dụng debuggers, disassemblers và các công cụ tương tự để theo dõi và phân tích quá trình thực thi của chương trình. Khi đã hiểu rõ thuật toán mật mã, tin tặc có thể tìm cách đánh lừa hoặc tấn công hệ thống một cách hiệu quả hơn, thậm chí có thể giả mạo chữ ký số hoặc giải mã thông tin nhạy cảm.
Một phần mềm có thể được phân tích bằng phương pháp phân tích tĩnh, phân tích động hoặc kết hợp cả hai. Phân tích tĩnh là quá trình sử dụng các công cụ disaseembly để phân tích mà không cần thực thi mã của chương trình [2]. Trong khi đó, sử dụng phương pháp phân tích động giúp xác định hành vi thực sự khi chương trình đang chạy và theo dõi các giá trị biến, lưu trữ trung gian của chương trình. Để phân tích động, các chương trình phần mềm được thực thi trong một công cụ trình gỡ lỗi. Bằng cách này, mọi thứ xảy ra trong quá trình thực thi chương trình đều có thể được kiểm soát bởi trình gỡ lỗi. Trong quá trình phân tích động, tin tặc có thể sử dụng chế độ gỡ lỗi để lần lượt bỏ qua tất cả các thuật toán bảo vệ của chương trình, đặc biệt là các quy trình tạo và kiểm tra khóa đăng ký [1]. Để khắc phục việc phân tích dịch ngược chương trình, có một số phương pháp mà các nhà phát triển có thể sử dụng để bảo vệ phần mềm như:
- Làm xáo trộn mã (Code Obfuscation): Làm xáo trộn mã liên quan đến việc sửa đổi để làm cho mã của một chương trình phần mềm trở nên khó hiểu hơn hoặc khó sử dụng kỹ thuật dịch ngược hơn. Kỹ thuật này có thể bao gồm một loạt các biến đổi, chẳng hạn như đổi tên biến/hàm/đối số, loại bỏ chuỗi, thay đổi thứ tự các khối mã và thêm mã “rác” (mã không có chức năng và các biến đổi khác). Mã nguồn sau đó trở nên khó đọc hơn nhưng vẫn hoạt động chính xác như trước khi được sửa đổi.
- Kỹ thuật chống giả mạo: Kỹ thuật chống giả mạo được sử dụng để ngăn chặn sửa đổi trái phép của một chương trình phần mềm. Kỹ thuật này có thể bao gồm các biện pháp như sử dụng checksum hoặc chữ ký số để đảm bảo rằng mã không bị thay đổi.
- Quản lý giấy phép: Quản lý giấy phép liên quan đến việc kiểm soát việc phân phối và sử dụng chương trình phần mềm thông qua các thỏa thuận cấp phép. Kỹ thuật này có thể bao gồm các biện pháp như kích hoạt sản phẩm, xác minh khóa cấp phép hoặc giám sát việc sử dụng. Quản lý giấy phép có thể giúp ngăn chặn việc sử dụng và phân phối trái phép chương trình phần mềm, từ đó có thể giúp bảo vệ chống lại kỹ thuật dịch ngược.
- Mã hóa: Mã hóa bao gồm việc sử dụng các thuật toán để xáo trộn mã phần mềm sao cho không thể đọc hoặc hiểu được nếu không có khóa giải mã. Đây có thể là một phương pháp hiệu quả để ngăn chặn kỹ thuật dịch ngược, vì việc hiểu mã nếu không có khóa là gần như không thể.
Các trình bảo vệ thay đổi cấu trúc mã thực thi của chương trình và thêm vào các phần mã hóa, nén làm mờ đi chức năng cụ thể khiến cho mã thực thi gốc sẽ bị ẩn đi khi tệp thực thi được nạp vào các công cụ phân tích, từ đó giúp ngăn chặn các kỹ thuật dịch ngược. Khả năng bảo vệ mà hầu hết các trình bảo vệ cung cấp là dựa trên việc đóng gói hoặc mã hóa tệp thực thi ban đầu: Chương trình ban đầu được nén hoặc mã hóa thành dữ liệu được đóng gói và liên kết với quy trình giải nén, giải mã mà không làm thay đổi chức năng nhằm mục đích khiến người tấn công hoặc người dịch ngược gặp khó khăn và tốn thời gian hơn trong việc bẻ khóa hoặc dịch ngược phần mềm. Phần dữ liệu thực sự chứa các dữ liệu nhạy cảm hoặc bí mật nằm ở đoạn dữ liệu được che giấu, dữ liệu này chỉ được giải mã khi chạy chương trình.
GIẢI PHÁP BẢO VỆ, CHE GIẤU CHƯƠNG TRÌNH WINDOWS CHỐNG LẠI NGUY CƠ PHÂN TÍCH, DỊCH NGƯỢC
Để bảo vệ chương trình phần mềm trước nguy cơ phân tích, dịch ngược, nhóm tác giả đề xuất mô hình giải pháp như Hình 1.
.jpg)
Hình 1. Mô hình mã hóa bảo vệ chương trình
Trong cấu trúc của một tệp thực thi, phần .text là phần chứa các mã lệnh thực thi của chương trình còn phần .data là phần khai báo các dữ liệu khởi tạo, các hằng số, các giá trị không thay đổi trong quá trình chạy. Trong mô hình mã hóa này, phần .text và .data sẽ được được nén bằng thuật toán LZMA (Lempel-Ziv Markov chain Algorithm) nhằm giảm kích thước của tệp thực thi rồi mã hóa từng phần bằng thuật toán AES-256 chế độ CBC với khóa được dẫn xuất từ một mật khẩu được cấp phát từ phía người quản trị. Hàm dẫn xuất được triển khai theo tiêu chuẩn PBKDF2 với tham số Salt được sinh ngẫu nhiên và được lưu lại trong phần dữ liệu được che giấu. Để chương trình có thể tự động giải nén và giải mã khi thực thi, đoạn dữ liệu được che giấu cần một đoạn mã shellcode gọi là đoạn mã stub đính kèm. Mô hình hoạt động của đoạn mã stub như Hình 2.
.jpg)
Hình 2. Mô hình hoạt động của đoạn mã stub
Khi một chương trình đã bảo vệ được thực thi, bản chất là đoạn mã stub thực thi đầu tiên sẽ thực hiện nhận mật khẩu từ phía người dùng thông qua hộp thoại được hiển thị rồi tiến hành giải nén, giải mã chương trình thật, nạp lên bộ nhớ và chuyển điều khiển luồng thực thi về cho chương trình chính. Dữ liệu sau khi được giải mã và giải nén hoàn toàn sẽ được kiểm tra tính toàn vẹn rồi cảnh báo phía người dùng nếu người dùng nhập sai mật khẩu.
Để đảm bảo chương trình vẫn hoạt động bình thường, cấu trúc PE của tệp thực thi mới được xây dựng lại sau khi đóng gói đoạn dữ liệu đã được che giấu và đoạn mã shellcode tự động giải nén giải mã chương trình như Hình 3.
.jpg)
Hình 3. Cấu trúc PE của tệp trước và sau khi bảo vệ
Dữ liệu được che giấu sẽ được đóng gói vào phần mới có tên là BCY1 trong khi đó, phần BCY0 được dùng để lưu trữ dữ liệu sau khi được giải nén và giải mã thành công. Để chương trình có thể thực thi, việc khó khăn cần thực hiện đó là xây dựng header mới theo các phần mới với một kích thước mới và thứ tự, số lượng các phần đã bị thay đổi. Trong khi xây dựng header mới, cần thiết lập điểm thực thi đầu tiên (OEP) vào đoạn mã stub, sau khi giải mã thành công tiến hành trả quyền thực thi về đoạn mã gốc (Hình 4).
Hình 4. Mô hình thực thi của tệp đã bảo vệ
Giải pháp đã tiến hành chạy thử trên phần mềm VSE VPN Server có sử dụng các thuật toán của Ngành trong bộ thư viện OpenSSL 3.x. Sử dụng công cụ CFF-Explorer so sánh cấu trúc của chương trình trước và sau khi áp dụng giải pháp thu được kết quả như Hình 5.
Hình 5. Cấu trúc tệp trước và sau khi tích hợp giải pháp
Sau khi áp dụng giải pháp, cấu trúc của chương trình đã hoàn toàn thay đổi nhưng vẫn đảm bảo chương trình thực thi đúng chức năng như chương trình gốc. Nếu như ở chương trình gốc, chương trình có 5 phần (.text, .data, .rdata, .rsrc, .reloc) thì ở chương trình sau chỉ có 3 phần là BCY0, BCY1 và .rsrc; đặc biệt là kích thước của các phần cũng đã giảm đáng kể. Đồng thời các hàm sử dụng trong chương trình cũng được che giấu và chỉ được hiển thị như Hình 6.
Hình 6. Các hàm trong chương trình sau khi bảo vệ
Toàn bộ chương trình đã được che giấu và hiển thị với các tên phần là BCY1. Chương trình sau khi che giấu thực hiện các chức năng giống như chương trình gốc và không cần tệp nào khác đính kèm để khôi phục chương trình.
KẾT LUẬN
Có thể nói, bảo vệ phần mềm chống lại kỹ thuật phân tích dịch ngược đang là mối quan tâm hàng đầu của các nhà phát triển phần mềm trên toàn thế giới vì phương pháp này có thể ngăn chặn truy cập trái phép vào phần mềm, giúp bảo đảm tính toàn vẹn của sản phẩm cũng như bảo vệ tài sản trí tuệ của họ. Bài báo đã giới thiệu một số kỹ thuật bảo vệ phần mềm phổ biến, từ đó đề xuất giải pháp cụ thể nhằm bảo vệ các chương trình Windows trước nguy cơ phân tích dịch ngược có thể được áp dụng cho các sản phẩm phần mềm nói chung và đặc biệt là các sản phẩm phần mềm mật mã yêu cầu cấp độ mật cao của ngành Cơ yếu nói riêng.
|
TÀI LIỆU THAM KHẢO [1]. Reginald Wong, "Mastering Reverse Engineering: Your Practical guide to master the art of Malware Reversing", October 2018. [2]. Bùi Đình Cường, Các kỹ thuật phân tích tĩnh cơ bản. [Online]: Accessed on 15 Feb. 2024. |
Nguyễn Đình Đại, Hoàng Thu Phương (Viện Khoa học - Công nghệ mật mã)
13:00 | 22/02/2022
09:00 | 04/05/2023
16:00 | 03/05/2021
14:00 | 17/09/2024
17:00 | 03/01/2025
Trong thời đại kỹ thuật số ngày nay, ransomware đã trở thành một trong những mối đe dọa nguy hiểm nhất đối với cả cá nhân lẫn tổ chức. Ransomware không chỉ gây tổn thất về tài chính mà còn đe dọa đến sự bảo mật thông tin, uy tín và hoạt động kinh doanh của các tổ chức. Tiếp nối phần I đã trình bày trong số trước, phần II của bài viết nhóm tác giả sẽ tiếp tục giới thiệu tới độc giả một số kỹ năng cần thiết cho các tổ chức để ngăn ngừa và giảm thiểu tác động của các cuộc tấn công ransomware.
13:00 | 18/11/2024
Đứng trước thách thức về các mối đe dọa nâng cao, khái niệm về “chuỗi tiêu diệt” được sử dụng để phòng, chống các mối đe dọa này. Phần 2 của bài báo tập trung trình bày về các biện pháp phát hiện, bảo vệ hệ thống khỏi tấn công APT, khai thác lỗ hổng Zero-day và tấn công chuỗi cung ứng.
10:00 | 14/11/2024
Một ví dụ điển hình trong việc triển khai mô hình Zero Trust thành công là của Tập đoàn công nghệ Microsoft. Điều này minh chứng cho cách một tổ chức lớn có thể bảo vệ tài nguyên và người dùng bằng các phương pháp kiểm soát nghiêm ngặt, đảm bảo an ninh mạng toàn diện. Đây cũng là bài học kinh nghiệm cho các tổ chức trong quá trình triển khai mô hình bảo mật hiện đại này.
16:00 | 23/09/2024
Quy định Bảo vệ Dữ liệu chung (GDPR) của Liên minh châu Âu là văn bản pháp lý quan trọng, hình mẫu cho các nước, khu vực khác trong việc bảo vệ dữ liệu. Tuy nhiên, việc tuân thủ GDPR sẽ đòi hỏi các tổ chức phải đầu tư kinh phí bổ sung, tăng cường nhân lực dành cho xử lý dữ liệu. Dưới đây là hướng dẫn 12 bước triển khai GDPR cho tổ chức do Ủy ban Bảo vệ Dữ liệu công bố.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Trong bối cảnh chuyển đổi số và ứng dụng rộng rãi của công nghệ thông tin (CNTT) thì xu hướng kết nối liên mạng để chia sẻ cơ sở dữ liệu (CSDL) trở nên tất yếu. Các hệ thống công nghệ vận hành (Operational Technology - OT) cũng không nằm ngoài xu hướng này, quá trình đó được gọi là Hội tụ IT/OT. Do vậy, nhu cầu truyền dữ liệu một chiều giữa các mạng độc lập ngày càng tăng để phục vụ cho mục đích khai thác dữ liệu. Bài viết này giới thiệu một giải pháp mới dựa trên công nghệ vi mạch tích hợp khả trình (Field-Programmable Gate Array - FPGA), sử dụng cơ chế xử lý đa luồng tốc độ cao, giúp duy trì băng thông hệ thống mà không gây ra tình trạng treo hoặc nghẽn mạng, cho phép các kết nối yêu cầu thời gian thực. Đồng thời, bài viết cũng sẽ trình bày giải pháp giả lập giao thức TCP/IP hỗ trợ cho các giao thức truyền thông trong các hệ thống mạng điều khiển IT/OT.
09:00 | 06/01/2025
Trong kỷ nguyên số hóa, việc ứng dụng các công nghệ hiện đại đóng vai trò rất quan trọng trong bảo vệ dữ liệu, hệ thống máy tính, ngăn chặn chúng khỏi sự tấn công hoặc truy cập trái phép. Blockchain và trí tuệ nhân tạo (AI) là hai trong số những công nghệ mạnh mẽ đã được ứng dụng và phát huy hiệu quả trong nhiều lĩnh vực của đời sống. Với những ưu thế vượt trội của từng công nghệ, việc kết hợp AI và Blockchain có thể đem lại nhiều giải pháp hiệu quả nhằm đảm bảo an ninh mạng (ANM), an toàn thông tin (ATTT). Bài viết sẽ giới thiệu về ứng dụng của công nghệ AI và Blockchain trong bảo đảm ANM, ATTT cũng như phân tích khả năng tích hợp hai công nghệ này trong phát hiện, ngăn chặn các mối đe dọa hiện nay.
10:00 | 06/02/2025
