CHƯƠNG 1: GIỚI THIỆU CYBERSECURITY¤
1. KHÁI NIỆM CƠ BẢN¤
Information Security (NIST): - Bảo vệ thông tin và hệ thống khỏi truy cập, sử dụng, tiết lộ, phá hoại, sửa đổi hoặc phá hủy trái phép - Đảm bảo tính: Confidentiality, Integrity, Availability
CIA Triad - 3 Mục tiêu bảo mật:
1. Confidentiality (Bảo mật): Tránh tiết lộ thông tin trái phép
2. Integrity (Toàn vẹn): Tránh sửa đổi thông tin trái phép
3. Availability (Sẵn sàng): Đảm bảo thông tin/hệ thống sẵn sàng khi cần
Phân biệt: - Information Security: Bảo vệ thông tin (rộng nhất) - Cybersecurity: Bảo vệ mạng, máy tính, dữ liệu khỏi tấn công số (subset của InfoSec) - Network Security: Bảo vệ dữ liệu truyền qua mạng (subset của Cybersec)
2. TÌNH TRẠNG CYBERSECURITY HIỆN NAY¤
Vấn đề chính: - Nhiều phần mềm lỗi (buggy software) - Tội phạm mạng tăng liên tục, thiệt hại lớn - Social engineering rất hiệu quả - Thị trường mua bán lỗ hổng và máy bị tấn công phát triển
Thống kê (ISACA 2020): - Thiếu hụt nhân lực an ninh mạng nghiêm trọng - 92% chuyên gia IT cho rằng tội phạm mạng đang tăng (COVID-19)
3. HACKERS VÀ ĐỘNG CƠPHẠM TỘI¤
Phân loại Hackers: 1. Black Hat (crackers): Tội phạm mạng 2. White Hat (ethical hackers): Hacker đạo đức 3. Gray Hat: Nằm giữa
Ai là hackers? - Trẻ em (vd: Kristoffer von Hassel - 2009) - Nation-state actors (nhà nước) - Insider threats (nội bộ) - Tội phạm có động cơ tài chính (phổ biến nhất)
Các cuộc tấn công nổi tiếng: - 1988: Morris Worm (sâu Internet đầu tiên) - 2014: Heartbleed - 2016: Mirai Botnet - 2017: WannaCry ransomware - 2017: Equifax data breach (143M người)
4. TẠI SAO HACKERS TẤN CÔNG?¤
1. Đánh cắp IP address & Bandwidth: - Spam (tỷ lệ 1:12M email → mua hàng) - DDoS ($20/1h, $100/24h) - Click fraud (Clickbot.a)
2. Đánh cắp thông tin đăng nhập: - Mật khẩu banking, corporate, gaming - Man-in-the-Browser (MITB): Silent Banker trojan, Zeus botnet - Malware tiêm Javascript vào trang login
3. Ransomware: - WannaCry: Lây lan qua lỗ hổng SMB (port 445) - Eternalblue (14/4/2017) → WannaCry (12/5/2017) - chỉ 3 tuần để vũ khí hóa
4. Server-side attacks: - Data breach: Equifax (Apache Struts RCE) - Động cơ chính trị: DNC, Tunisia Facebook, GitHub - Lây nhiễm người truy cập
5. VULNERABILITIES (LỖ HỔNG)¤
Nguyên nhân mất dữ liệu: - Physical document loss - Lost/stolen laptops/servers - Malware/Hacking (chính) - Accidental disclosure - Insider misuse/attack
Các loại lỗ hổng:
A. Bugs trong phần mềm: - Buffer Overflow: Lỗ hổng lớn nhất từ Morris Worm (1988) đến nay - Top CWE 2020 (Common Weakness Enumeration)
B. Misconfiguration (Cấu hình sai): - VẤN ĐỀ CỰC LỚN!
C. Human Factors (Con người): - Đào tạo kém, thiếu nhận thức bảo mật
Ứng dụng bị khai thác nhiều nhất:
- Browsers
- Office applications
- Adobe products
- Java
- Flash
6. THỊ TRƯỜNG LỖ HỔNG (0-DAY EXPLOITS)¤
Bug Bounty Programs: - Google: lên đến $31,337 - Microsoft: lên đến $100K - Apple: lên đến $200K - Pwn2Own: $15K
Thị trường ngầm (Zerodium 2019): - iOS: lên đến $2M - Android: lên đến $2.5M
Thuật ngữ quan trọng:
- RCE: Remote Code Execution
- LPE: Local Privilege Escalation
- SBX: Sandbox Escape
Zerodium mua 0-day để: - Bán cho chính phủ, cơ quan thực thi pháp luật - Nghiên cứu bảo mật
7. REFLECTIONS ON TRUSTING TRUST¤
Thompson's Backdoor (1984):
Vấn đề: Không thể tin tưởng hoàn toàn bất kỳ thành phần nào
Kịch bản tấn công: 1. Compiler có backdoor trong binary (không phải source) 2. Khi compile chương trình "login" → thêm backdoor vào login 3. Khi compile chính compiler → backdoor tự nhân bản 4. Phục hồi source code về trạng thái gốc → không phát hiện được
Chuỗi tin cậy bị phá vỡ: - Applications/OS có thể bị backdoor - Reinstall OS? → Không tin được OS để cài OS - Boot từ USB (Tails)? → Không tin được BIOS/UEFI - BIOS/UEFI? → Không tin được (vd: ShadowHammer 2018) - Motherboard? → Không tin được
Giải pháp: Trusted Computing Base (TCB) - Giả định một phần tối thiểu của hệ thống KHÔNG bị tấn công - Xây dựng môi trường bảo mật trên đó - Bottom line: Không gì tuyệt đối an toàn, nhưng phải có điểm xuất phát để tiến triển
TRỌNG TÂM ÔN THI:¤
Phải nhớ: - CIA Triad: 3 mục tiêu (C-I-A) - Phân biệt: InfoSec > CyberSec > NetSec - Các loại hackers: Black/White/Gray Hat - 4 lý do tấn công: IP/Bandwidth, Credentials, Ransomware, Data breach - 3 nguồn lỗ hổng: Bugs, Misconfiguration, Human - Buffer Overflow: từ 1988 đến nay vẫn là vấn đề lớn - RCE, LPE, SBX (thuật ngữ exploit) - Thompson's Backdoor: compiler backdoor tự nhân bản - TCB: giả định tối thiểu để xây dựng bảo mật
CHƯƠNG 1: INTRODUCTION TO CYBERSECURITY¤
PHẦN 1: KHÁI NIỆM CƠ BẢN¤
Câu 1: CIA Triad trong Information Security bao gồm những yếu tố nào?
A. Copyright, Integration, Authentication
B. Confidentiality, Integrity, Availability ✓
C. Control, Implementation, Authorization
D. Compliance, Investigation, Audit
Câu 2: Confidentiality trong CIA Triad có nghĩa là gì?
A. Đảm bảo hệ thống luôn sẵn sàng hoạt động
B. Đảm bảo dữ liệu không bị thay đổi trái phép
C. Tránh tiết lộ thông tin cho người không có quyền ✓
D. Đảm bảo tính minh bạch của dữ liệu
Câu 3: Integrity trong bảo mật thông tin đề cập đến?
A. Bảo vệ thông tin khỏi bị đánh cắp
B. Bảo vệ thông tin khỏi bị sửa đổi trái phép ✓
C. Đảm bảo hệ thống hoạt động liên tục
D. Mã hóa toàn bộ dữ liệu
Câu 4: Availability trong CIA Triad yêu cầu điều gì?
A. Dữ liệu phải được mã hóa mọi lúc
B. Chỉ admin mới truy cập được hệ thống
C. Thông tin và hệ thống phải sẵn sàng khi người được ủy quyền cần ✓
D. Hệ thống phải backup 24/7
Câu 5: Mối quan hệ giữa Information Security, Cybersecurity và Network Security là?
A. Network Security ⊃ Cybersecurity ⊃ Information Security
B. Cả ba là khái niệm độc lập không liên quan
C. Information Security ⊃ Cybersecurity ⊃ Network Security ✓
D. Cybersecurity = Network Security ⊂ Information Security
Câu 6: Network Security tập trung vào việc bảo vệ gì?
A. Tất cả thông tin trong tổ chức
B. Dữ liệu đang được truyền qua các thiết bị trong mạng ✓
C. Chỉ bảo vệ router và switch
D. Chỉ bảo vệ firewall
Câu 7: Cybersecurity được định nghĩa là?
A. Chỉ bảo vệ website khỏi hacker
B. Bảo vệ mạng, máy tính và dữ liệu khỏi truy cập, tấn công hoặc thiệt hại số ✓
C. Chỉ sử dụng antivirus
D. Chỉ mã hóa dữ liệu
PHẦN 2: HACKERS VÀ ĐỘNG CƠPHẠM TỘI¤
Câu 8: Black Hat Hacker là gì?
A. Hacker làm việc cho chính phủ
B. Hacker thực hiện các hoạt động bất hợp pháp (crackers/cybercriminals) ✓
C. Hacker được thuê để test bảo mật
D. Hacker nghiệp dư
Câu 9: White Hat Hacker được gọi là?
A. Hacker nguy hiểm nhất
B. Ethical Hacker - Hacker có đạo đức ✓
C. Hacker làm việc bán thời gian
D. Hacker chỉ tấn công vào ban đêm
Câu 10: Gray Hat Hacker là?
A. Hacker chỉ tấn công hệ thống chính phủ
B. Hacker nằm giữa Black Hat và White Hat ✓
C. Hacker đã nghỉ hưu
D. Hacker mới học
Câu 11: Động cơ phổ biến NHẤT của hacker hiện nay là gì?
A. Thể hiện kỹ năng
B. Động cơ chính trị
C. Động cơ tài chính (Financial motivation) ✓
D. Trả thù cá nhân
Câu 12: Morris Worm (1988) nổi tiếng vì điều gì?
A. Tấn công vào ngân hàng đầu tiên
B. Là sâu Internet đầu tiên (first Internet worm) ✓
C. Đánh cắp Bitcoin
D. Tấn công vào Facebook
Câu 13: WannaCry ransomware (2017) lây lan chủ yếu qua?
A. Email đính kèm
B. USB drive
C. Lỗ hổng SMB - port 445 (Eternalblue) ✓
D. Trình duyệt web
Câu 14: Equifax data breach (2017) xảy ra do?
A. Mật khẩu yếu
B. Lỗ hổng Apache Struts (RCE - Remote Code Execution) ✓
C. Nhân viên đánh cắp dữ liệu
D. DDoS attack
Câu 15: WannaCry mất bao lâu để vũ khí hóa sau khi Eternalblue bị leak?
A. 1 tuần
B. 3 tuần ✓
C. 2 tháng
D. 6 tháng
PHẦN 3: TẠI SAO HACKERS TẤN CÔNG¤
Câu 16: Spam email có tỷ lệ chuyển đổi (conversion rate) bao nhiêu theo nghiên cứu?
A. 1:1000
B. 1:12,000,000 (pharmacy spam) ✓
C. 1:100
D. 1:500,000
Câu 17: DDoS-as-a-Service thường có giá bao nhiêu cho 24 giờ?
A. $10
B. $50
C. $100 ✓
D. $500
Câu 18: Man-in-the-Browser (MITB) attack hoạt động như thế nào?
A. Thay đổi DNS của trình duyệt
B. Malware tiêm Javascript vào trang web để đánh cắp thông tin khi user submit ✓
C. Chặn kết nối Internet
D. Xóa cookies của trình duyệt
Câu 19: Silent Banker trojan và Zeus botnet sử dụng kỹ thuật nào?
A. Phishing email
B. SQL Injection
C. Man-in-the-Browser (MITB) ✓
D. Brute force attack
Câu 20: FinSpy spyware có thể thu thập những gì?
A. Chỉ contacts và call history
B. Chỉ geolocation
C. Contacts, call history, geolocation, texts, messages trong encrypted chat apps ✓
D. Chỉ passwords
Câu 21: Cách cài đặt FinSpy trên iOS và Android sau 2017 là?
A. Qua SMS links
B. Qua Email links
C. Physical access (tiếp cận vật lý thiết bị) ✓
D. Qua app store
Câu 22: Hackers đánh cắp IP address và bandwidth để làm gì?
A. Chỉ để ẩn danh
B. Spam, DDoS, Click fraud ✓
C. Chỉ để download phim
D. Để chơi game online
PHẦN 4: VULNERABILITIES (LỖ HỔNG)¤
Câu 23: Buffer Overflow nổi tiếng từ khi nào và vẫn là vấn đề lớn?
A. Từ 2000 đến nay
B. Từ Morris Worm 1988 đến nay ✓
C. Từ 2010 đến nay
D. Từ 1995 đến nay
Câu 24: Ba nguồn gốc chính của vulnerabilities là?
A. Virus, Worm, Trojan
B. Bugs trong software, Misconfiguration, Human factors ✓
C. Firewall, Antivirus, IDS
D. Hardware, Software, Network
Câu 25: Misconfiguration (cấu hình sai) được đánh giá như thế nào?
A. Vấn đề nhỏ, dễ fix
B. Chỉ xảy ra với người mới
C. Là vấn đề CỰC LỚN (huge problem) ✓
D. Không quan trọng lắm
Câu 26: Nguyên nhân CHÍNH của data breach theo PrivacyRights.org là?
A. Physical document loss
B. Lost/stolen laptops
C. Malware/Hacking ✓
D. Accidental disclosure
Câu 27: Human factors trong vulnerabilities đề cập đến?
A. Máy tính bị hỏng
B. Người dùng được đào tạo kém, thiếu nhận thức bảo mật ✓
C. Phần mềm lỗi
D. Mạng chậm
PHẦN 5: THỊ TRƯỜNG LỖ HỔNG¤
Câu 28: RCE trong bảo mật viết tắt của gì?
A. Random Code Error
B. Remote Code Execution ✓
C. Real Connection Exploit
D. Reverse Code Engineering
Câu 29: LPE trong bảo mật có nghĩa là?
A. Long Process Execution
B. Local Privilege Escalation ✓
C. Low Priority Event
D. Linux Program Error
Câu 30: SBX trong thuật ngữ exploit nghĩa là?
A. System Box
B. Sandbox Escape ✓
C. Security Bypass eXploit
D. Secure Boot eXtension
Câu 31: Apple Bug Bounty Program trả tối đa bao nhiêu?
A. $50,000
B. $100,000
C. $200,000 ✓
D. $500,000
Câu 32: Zerodium trả giá cao nhất cho iOS 0-day exploit là bao nhiêu (2019)?
A. $500,000
B. $1,000,000
C. $2,000,000 ✓
D. $5,000,000
Câu 33: Zerodium mua 0-day exploits để làm gì?
A. Tự tấn công các công ty
B. Đăng public trên Internet
C. Bán cho chính phủ và cơ quan thực thi pháp luật ✓
D. Chỉ để nghiên cứu nội bộ
Câu 34: Google Vulnerability Reward Program trả tối đa bao nhiêu?
A. $10,000
B. $31,337 ✓
C. $50,000
D. $100,000
Câu 35: Pwn2Own competition thường trả bao nhiêu?
A. $5,000
B. $15,000 ✓
C. $50,000
D. $100,000
PHẦN 6: REFLECTIONS ON TRUSTING TRUST¤
Câu 36: Thompson's Backdoor (1984) chứng minh điều gì?
A. Antivirus có thể phát hiện mọi backdoor
B. Không thể tin tưởng hoàn toàn bất kỳ thành phần nào trong hệ thống ✓
C. Linux an toàn hơn Windows
D. Mã hóa là giải pháp cho mọi vấn đề
Câu 37: Trong Thompson's attack, backdoor được đặt ở đâu?
A. Trong source code của compiler
B. Trong binary của compiler, không phải source code ✓
C. Trong login program source code
D. Trong operating system
Câu 38: Khi compile "login program" bằng backdoored compiler, điều gì xảy ra?
A. Compiler báo lỗi
B. Login program được compile với backdoor tự động được thêm vào ✓
C. Không có gì xảy ra
D. Compiler tự xóa backdoor
Câu 39: Khi compile chính compiler bằng backdoored compiler binary, điều gì xảy ra?
A. Backdoor bị xóa
B. Backdoor tự nhân bản vào compiler binary mới ✓
C. Compiler không compile được
D. Source code bị thay đổi
Câu 40: Tại sao không thể phát hiện Thompson's backdoor bằng cách đọc source code?
A. Source code quá dài
B. Source code được mã hóa
C. Sau khi compile, attacker phục hồi source code về trạng thái gốc ✓
D. Source code bị ẩn
Câu 41: ShadowHammer operation (2018) tấn công vào thành phần nào?
A. Operating System
B. Applications
C. BIOS/UEFI ✓
D. Network drivers
Câu 42: Trusted Computing Base (TCB) là gì?
A. Hệ thống backup dự phòng
B. Phần tối thiểu của hệ thống được GIẢ ĐỊNH là không bị tấn công để xây dựng bảo mật ✓
C. Phần cứng đặc biệt chống hack
D. Phần mềm diệt virus mạnh nhất
Câu 43: Bottom line của "Reflections on Trusting Trust" là gì?
A. Có thể tin tưởng tuyệt đối vào source code
B. Không gì tuyệt đối an toàn, nhưng phải có điểm xuất phát (TCB) để tiến triển ✓
C. Chỉ cần dùng Linux là an toàn
D. Antivirus giải quyết được mọi vấn đề
Câu 44: Để an toàn khi nhận laptop mới qua mail, nên làm gì theo tài liệu?
A. Chỉ cần cài antivirus
B. Reinstall OS là đủ
C. Boot từ Tails USB, nhưng vẫn không thể tin tưởng hoàn toàn BIOS/UEFI và hardware ✓
D. Không cần làm gì, tin tưởng nhà sản xuất
PHẦN 7: TÌNH TRẠNG CYBERSECURITY¤
Câu 45: Theo ISACA 2020, bao nhiêu % IT professionals cho rằng cybercrime đang tăng?
A. 50%
B. 75%
C. 92% ✓
D. 100%
Câu 46: Vấn đề lớn nhất về nhân lực trong Cybersecurity hiện nay là?
A. Lương quá cao
B. Thiếu hụt nhân lực nghiêm trọng ✓
C. Quá nhiều người
D. Không có vấn đề gì
Câu 47: Social engineering được đánh giá như thế nào?
A. Không hiệu quả
B. Chỉ hiệu quả với người già
C. Rất hiệu quả (very effective) ✓
D. Đã lỗi thời
Câu 48: Tình trạng phần mềm hiện nay theo tài liệu là?
A. Hầu hết đều an toàn
B. Nhiều phần mềm có lỗi (lots of buggy software) ✓
C. Chỉ open source mới có lỗi
D. Không còn lỗi nữa
PHẦN 8: CÁC CUỘC TẤN CÔNG NỔI TIẾNG¤
Câu 49: Kristoffer von Hassel (2009) nổi tiếng vì điều gì?
A. Hacker lớn tuổi nhất thế giới
B. Hacker trẻ tuổi nhất thế giới đã biết ✓
C. Tạo ra virus đầu tiên
D. Phát minh ra firewall
Câu 50: Heartbleed attack (2014) là loại tấn công gì?
A. DDoS attack
B. Lỗ hổng bảo mật nghiêm trọng ✓
C. Phishing campaign
D. Ransomware
Câu 51: Mirai Botnet (2016) gây ra hậu quả gì?
A. Đánh cắp Bitcoin
B. Làm sập một phần lớn Internet ✓
C. Phá hủy dữ liệu
D. Chỉ tấn công IoT devices
Câu 52: Eternalblue vulnerability được ai leak ra?
A. Anonymous
B. ShadowBrokers ✓
C. Wikileaks
D. Edward Snowden
Câu 53: Eternalblue được leak vào ngày nào?
A. 12 tháng 5 năm 2017
B. 14 tháng 4 năm 2017 ✓
C. 1 tháng 1 năm 2017
D. 31 tháng 12 năm 2016
PHẦN 9: TỔNG HỢP VÀ PHÂN TÍCH¤
Câu 54: Trong các loại ứng dụng bị exploit, loại nào bị tấn công nhiều nhất?
A. Mobile apps
B. Browsers ✓
C. Email clients
D. Gaming apps
Câu 55: Nation-state actors thường có động cơ gì?
A. Chỉ kiếm tiền
B. Chính trị, gián điệp, chiến tranh mạng ✓
C. Thể hiện kỹ năng
D. Giải trí
Câu 56: Insider threat nguy hiểm vì sao?
A. Kỹ năng cao
B. Có quyền truy cập hợp pháp từ bên trong tổ chức ✓
C. Sử dụng công cụ hiện đại
D. Không bị phát hiện
Câu 57: Clickbot.a là ví dụ của loại tấn công nào?
A. Ransomware
B. Click fraud ✓
C. Phishing
D. DDoS
Câu 58: Storm botnet được sử dụng chủ yếu để làm gì?
A. DDoS
B. Spam ✓
C. Ransomware
D. Cryptomining
Câu 59: Mục tiêu chính của attacker khi đánh cắp IP address là?
A. Bán IP address
B. Trông giống như một Internet user bình thường (random user) ✓
C. Tăng tốc độ mạng
D. Bypass firewall
Câu 60: Khóa học NT140 tập trung vào nội dung nào?
A. Chỉ lý thuyết bảo mật
B. Threats (ai tấn công), Attacks (như thế nào), Defense (cách phòng thủ) ✓
C. Chỉ lập trình
D. Chỉ quản trị mạng
ĐÁP ÁN NHANH (Để kiểm tra)¤
1.B 2.C 3.B 4.C 5.C 6.B 7.B 8.B 9.B 10.B 11.C 12.B 13.C 14.B 15.B 16.B 17.C 18.B 19.C 20.C 21.C 22.B 23.B 24.B 25.C 26.C 27.B 28.B 29.B 30.B 31.C 32.C 33.C 34.B 35.B 36.B 37.B 38.B 39.B 40.C 41.C 42.B 43.B 44.C 45.C 46.B 47.C 48.B 49.B 50.B 51.B 52.B 53.B 54.B 55.B 56.B 57.B 58.B 59.B 60.B