05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
Ngoài ra, một giải pháp “data integrity” có thể bao gồm thêm việc xác thực nguồn
gốc của thông tin này (thuộc sở hữu của đối tượng nào) để đảm bảo thông tin đến từ
một nguồn đáng tin cậy và ta gọi đó là tính “authenticity” của thông tin.
Sau đây là một số trường hợp tính “integrity” của thông tin bị phá vỡ:
• Thay đổi giao diện trang chủ của một website (hay còn gọi là deface website).
• Chặn đứng và thay đổi gói tin được gửi qua mạng.
• Chỉnh sửa trái phép các file được lưu trữ trên máy tính.
• Do có sự cố trên đường truyền mà tín hiệu bị nhiễu hoặc suy hao dẫn đến thông
tin bị sai lệch.
Tính sẵn sàng( availability)
Đảm bảo độ sẵn sàng của thông tin, tức là thông tin có thể được truy xuất bởi
những người được phép vào bất cứ khi nào họ muốn. Ví dụ, nếu một server chỉ bị
ngưng hoạt động hay ngừng cung cấp dịch vụ trong vòng 5 phút trên một năm thì độ
sẵn sàng của nó là 99,999%.
Ví dụ sau cho thấy hacker có thể cản trở tính sẵn sàng của hệ thống như thế
nào: Máy của hacker sẽ gửi hàng loạt các gói tin có các MAC nguồn giả tạo đến switch
làm bộ nhớ lưu trữ MAC address table của switch nhanh chóng bị đầy khiến switch
không thể hoạt động bình thường được nữa. Đây cũng thuộc hình thức tấn công từ chối
dịch vụ (DoS).
Để tăng khả năng chống trọi với các cuộc tấn công cũng như duy trì độ sẵn sàng
của hệ thống ta có thể áp dụng một số kỹ thuật như: Load Balancing, Clustering,
Redudancy, Failover…
Như vậy, vấn đề bảo mật thông tin không chỉ đơn thuần là việc chống lại các cuộc
tấn công từ hacker, ngăn chặn malware để đảm bảo thông tin không bị phá hủy hoặc bị
tiết lộ ra ngoài… Hiểu rõ 3 mục tiêu của bảo mật ở trên là bước căn bản đầu tiên trong
quá trình xây dựng một hệ thống thông tin an toàn nhất có thể. Ba mục tiêu này còn
được gọi là tam giác bảo mật C-I-A.
Hệ thống được coi là bảo mật ( confident) nếu tính riêng tư của nội dung thông tin
được đảm bảo theo đúng các tiêu chí trong một thời gian xác định.
1.1.3 Các yếu tố cần xem xét trong bảo mật hệ thống thông tin:
Yếu tố công nghệ: Những sản phẩm như: FireWall. Phần mềm phòng chống virut,
giải pháp mật mã, sản phẩm mạng. hệ điêu hành… Những ứng dụng như: trình duyệt
internet và phần mềm nhận Email từ máy trạm…
Yếu tố con người: Là những người sử dụng máy tính, những người làm việc với
thông tin và sử dụng máy tính trong công việc của mình.
Nhóm 02 – Lớp 1102ECIT0911 Page 5
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
1.1.4 Vai trò của an toàn bảo mật thông tin:
Thông tin là tài sản vô giá của doanh nghiệp, thông tin chỉ có giá trị cao khi đảm
bảo tính chính xác và kịp thời, hệ thống chỉ có thể cung cấp các thông tin có giá trị thực
sự khi các chức năng của hệ thống đảm bảo hoạt động đúng đắn.
Rủi ro về thông tin của mỗi doanh nghiệp có thể gây thất thoát tiền bạc , tài sản,
con người và gây thiệt hại đến hoạt động kinh doanh sản xuất của doanh nghiệp.
Như vậy, an toàn bảo mật thông tin có vai trò quan trọng đối với sự phát triển bền
vững của doanh nghiệp
An toàn bảo mật không phải là công việc của riêng người làm công nghệ thông tin
mà là của mọi cà nhân và đơn vị trong tổ chức doanh nghiệp.
1.1.5 Mục tiêu của an toàn bảo mật thông tin: 3 mục tiêu cơ bản
Phát hiện các lỗ hổng của hệ thống thông tin, dự đoán trước các nguy cơ tấn công
Ngăn chặn những hành động gây mất an toàn thông tin từ bên trong cũng như bên
ngoài
Phục hồi tổn thất khi hệ thống bị tấn công
1.2 Những lý luận về tấn công mạng
1.2.1 Đối tượng tấn công mạng
Đối tượng là những cá nhân hoặc tổ chức sử dụng những kiến thức mạng và các
công cụ phá hoại (gồm cả phần cứng hoặc phần mềm) để dò tìm các điểm yếu và các lỗ
hổng bảo mật trên hệ thống, thực hiện các hoạt động xâm nhập và chiếm đoạt tài
nguyên trái phép.
Một số đối tượng tấn công mạng như:
Hacker: là những kẻ xâm nhập vào mạng trái phép bằng cách sử dụng các công cụ
triệt phá mật khẩu hoặc khai thác các điểm yếu cả thành phần truy nhập trên hệ thống.
Masquerader: là những kẻ giả mạo thông tin trên mạng như giả mạo địa chỉ IP, tên
miền, định danh người dùng…
Eavesdropping: là những đối tượng nghe trộm thông tin trên mạng, sử dụng những
công cụ Sniffer sau đó dùng các công cụ phân tích và debug để lấy trộm thông tin có giá
trị.
Những đối tượng tấn công mạng có thể nhằm nhiều mục đích khác nhau như ăn
cắp các thông tin có giá trị về kinh tế, phá hoại hệ thống mạng có chủ định, hoặc có thể
đó là những hành động vô thức…
1.2.2 Các lỗ hổng bảo mật
Các lỗ hổng bảo mật là những điểm yếu trên hệ thống hoặc ẩn chứa trong một
dịch vụ mà dựa vào đó kẻ tấn công có thể xâm nhập trái phép vào hệ thống để thực hiện
những hành động phá hoại chiếm đoạt tài nguyên bất hợp pháp.
Có nhiều nguyên nhân gây ra những lỗ hổng bảo mật: có thể do lỗi của bản thân
hệ thống, hoặc phần mềm cung cấp hoặc người quản trị yếu kém không hiểu sâu về các
dịch vụ cung cấp…
Mức độ ảnh hưởng của các lỗ hổng tới hệ thống là khác nhau. Có lỗ hổng chỉ ảnh
hướng tới chất lượng dịch vụ cung cấp, có lỗ hổng ảnh hưởng tới toàn bộ hệ thống hoặc
phá hủy hệ thống.
Nhóm 02 – Lớp 1102ECIT0911 Page 6
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
1.2.3 Chính sách bảo mật
Chính sách bảo mật là tập hợp những quy tắc áp dụng cho người tham gia quản trị
mạng, có sử dụng các tài nguyên và các dịch vụ mạng.
Đối với từng trường hợp phải có chính sách bảo mật khác nhau. Chính sách bảo
mật giúp người sử dụng biết trách nhiệm của mình trong việc bảo vệ các tài nguyên trên
mạng, đồng thời còn giúp cho nhà quản trị mạng thiết lập các biện pháp đảm bảo hữu
hiệu trong quá trình trang bị, cấu hình và kiểm soát hoạt động của hệ thống và mạng.
Nhóm 02 – Lớp 1102ECIT0911 Page 7
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
PHẦN HAI: 05 XU HƯỚNG BẢO MẬT INTERNET CỦA NĂM
2011 MÀ SYMANTEC CẢNH BÁO
2.1 Hacker sẽ tấn công các hạ tầng quan trọng
Có vẻ như những kẻ tấn công đang theo dõi tác động của sâu Stuxnet đối với
những ngành công nghiệp có sử dụng hệ thống kiểm soát ngành, và rút ra những bài
học kinh nghiệm từ cuộc tấn công này. Symantec cho rằng những kinh nghiệm đó sẽ
giúp tin tặc triển khai thêm các cuộc tấn công vào nhiều hạ tầng quan trọng trong năm
2011. Stuxnet là ví dụ điển hình nhất của dạng virus máy tính được thiết kế cho mục
đích sửa đổi hành vi của các hệ thống phần cứng nhằm gây ra những thiệt hại vật lý
trong thế giới thực. Mặc dù ban đầu số lượng các cuộc tấn công này có thể thấp nhưng
cường độ sẽ tăng lên nhanh chóng trong thời gian tới.
Báo cáo khảo sát về Bảo vệ hạ tầng thông tin quan trọng (Critical Information
Infrastructure Protection - CIP) năm 2010 của Symantec cũng cho thấy xu hướng đó
khi 48% doanh nghiệp được hỏi cho rằng họ có thể là nạn nhân của kiểu tấn công này
trong năm tới; và 80% tin rằng tần suất những vụ tấn công kiểu đó đang tăng lên.
2.1.1 Sâu Stuxnet là gì?
Stuxnet: là một con sâu máy tính sống trong môi trường hệ điều hành Windows,
khai thác triệt để những lỗ hổng của hệ điều hành này để phá hoại một mục tiêu vật chất
cụ thể. Nó được tạo ra để hủy diệt một mục tiêu cụ thể như nhà máy điện, nhà máy lọc
dầu hoặc nhà máy hạt nhân sau khi bí mật xâm nhập hệ thống điều khiển quy trình công
nghiệp, viết lại chương trình điều khiển này theo hướng tự hủy hoại. Nó sống trong môi
trường Windows, khai thác triệt để những lỗ hổng để phá hoại một mục tiêu vật chất cụ
thể.
Hoạt động đã lâu nhưng sâu Stuxnet chỉ mới bị VirusBlokAda, một công ty an
ninh máy tính có trụ sở ở Belarus, phát hiện hồi tháng 6-2010. Tuy nhiên nó có thể hoạt
động từ hơn 1 năm trở về trước (cuối 2008 đến đầu 2009) vì có một số thành phần được
biên dịch từ tháng 1 năm 2009.
Không giống như các loại sâu khác, Stuxnet không giúp người tạo ra nó kiếm tiền
hay ăn cắp dữ liệu. Stuxnet là con sâu máy tính đầu tiên có khả năng di chuyển từ lĩnh
vực số sang thế giới vật chất để
hủy diệt một mục tiêu vật chất.
Nó được tạo ra để hủy diệt một
mục tiêu cụ thể như nhà máy
điện, nhà máy lọc dầu hoặc nhà
máy hạt nhân sau khi bí mật
xâm nhập hệ thống điều khiển
quy trình công nghiệp, viết lại
chương trình điều khiển này
theo hướng tự hủy hoại.
Nhóm 02 – Lớp 1102ECIT0911 Page 8
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
Xét về độ phức tạp, sâu Stuxnet có nhiều điểm khó hiểu. Nó cho thấy người tạo ra
nó có hiểu biết sâu sắc về các quy trình công nghiệp, về những lỗ hổng của Windows và
có chủ ý tấn công vào cơ sở hạ tầng công nghiệp. Việc nó được viết bằng nhiều ngôn
ngữ lập trình khác nhau (bao gồm cả C và C++) cũng là một chuyện không bình
thường.
Về mức độ nguy hiểm, Stuxnet làm các chuyên gia về sâu máy tính ngỡ ngàng.
Nó quá phức tạp, chứa quá nhiều mã, kích thước quá lớn để có thể hiểu hết “ruột gan”
của nó trong thời gian ngắn. Theo Công ty Microsoft, hiện có khoảng 45.000 máy tính
trên thế giới của 9 nước bị nhiễm sâu Stuxnet nhưng số hệ thống kiểm soát công nghiệp
bị nhiễm không nhiều, chủ yếu ở Iran.
2.1.2 Nguồn gốc của sâu Stuxnet
Cho đến nay, người ta vẫn chưa biết được nó ra đời từ đâu. Chỉ biết rằng, nó là
một siêu vũ khí chuyên để chiến tranh mạng, là mối lo ngại thực sự cho mọi quốc gia.
Nếu rơi vào tay bọn khủng bố, chẳng biết là nó sẽ gây nguy hiểm như thế nào nữa.
Cho đến nay, chưa có ai nhận là cha đẻ của Stuxnet. Mọi giải đáp đều chỉ mới là suy
luận và giả thuyết.
Theo nhiều báo, đài lớn của Anh, Mỹ như The Guardian, BBC và The New York
Times, với mức độ tạo mã cực kỳ phức tạp, không một cá nhân nào có thể tạo ra nó. Đó
là một công trình tập thể bao gồm 5 đến 10 người, phải mất ít nhất 6 tháng, thậm chí cả
năm và hao tốn cả chục triệu USD mới có thể tạo ra sâu Stuxnet. Trong điều kiện đó,
chỉ có thể là một quốc gia mới có đủ khả năng thuê mướn một nhóm như vậy để làm
chuyện mờ ám. Vì có đến 60% máy tính
và thiết bị công nghiệp bị nhiễm sâu là
của Iran, Tổng thống Iran Mahmoud
Ahmadinejad đã xác nhận rằng một số hệ
thống kiểm soát công nghiệp đã bị nhiễm
Stuxnet nhưng không nhiều như báo chí
phương Tây mô tả – quốc gia đầu tiên bị
nghi ngờ không ai khác hơn là Israel.
Theo nhật báo The New York Times, một
cựu nhân viên tình báo Mỹ cho rằng tác
giả tạo ra con Stuxnet có thể là Đơn vị
8200, một cơ quan bí mật chuyên thu thập
và giải mã thông tin tình báo của quân đội Israel.
Yossi Melman, nhà báo chuyên về thông tin tình báo của nhật báo Israel Haaretz,
đang viết một cuốn sách về tình báo Israel, cũng tin rằng Israel đứng đằng sau vụ tấn
công các nhà máy hạt nhân Iran bằng sâu Stuxnet. Melman đặc biệt lưu ý rằng Meir
Dagan, Giám đốc Cơ quan Tình báo quốc gia Mossad, đáng lý ra đã mãn nhiệm hồi
năm 2009 nhưng vẫn được giữ lại cho đến nay để thực hiện nhiều dự án quan trọng,
trong đó có thể bao gồm dự án Stuxnet.
Ngoài ra, một năm trước khi Stuxnet bị phát hiện, Scott Borg, một chuyên gia của
US-CUU (cơ quan Nghiên cứu hậu quả chiến tranh mạng của Mỹ), tin rằng do Mỹ
không đồng ý cho Israel mở một cuộc tấn công quân sự vào những cơ sở hạt nhân của
Iran vì sợ gây ra một cuộc khủng hoảng chính trị và quân sự rộng lớn ở khu vực Trung
Nhóm 02 – Lớp 1102ECIT0911 Page 9
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
Đông, Israel đã chọn chiến tranh mạng để hủy hoại các máy ly tâm làm giàu uranium
của Iran.
Borg nhấn mạnh: “Từ mùa thu năm 2002, tôi đã tiên đoán rằng một vũ khí chiến
tranh mạng đang được triển khai. Israel chắc chắn có khả năng tạo ra sâu Stuxnet dùng
để tấn công địch mà không sợ rủi ro vì gần như không thể biết đích xác ai gây ra cuộc
chiến đó. Một vũ khí như Stuxnet rõ ràng là một sự lựa chọn tối ưu”.
Cũng có những tin đồn NATO, Mỹ và một số nước phương Tây khác dính líu vào
cuộc chiến này. Tuần rồi, tuần báo Pháp Le Canard Enchainé, dẫn nguồn tin tình báo
Pháp, cho biết các cơ quan tình báo Mỹ, Anh và Israel đã hợp đồng tác chiến phá hoại
chương trình hạt nhân của Iran sau khi Israel đồng ý từ bỏ kế hoạch tấn công quân sự
những cơ sở hạt nhân của Iran.
2.1.3 Hậu quả khôn lường từ sâu Stuxnet
Năm 2010, sự kiện số một trong lĩnh vực an ninh mạng là virus có tên “Stuxnet”.
Stuxnet không được nhắc đến nhiều một phần bởi ảnh hưởng của nó trong một khu vực
địa lý nhỏ và hậu quả của nó lại không được công bố một cách chính xác. Đây là một
con sâu của thế giới ảo cực kỳ thông minh và nguy hiểm vì lần đầu tiên nó có khả năng
đe dọa thế giới vật chất từ thế giới ảo.
Một loại sâu máy tính có khả năng gây nên một cuộc chiến tranh mạng trên thế
giới, đã từng khiến hàng ngàn máy làm giàu uranium của Iran đột nhiên bị ngừng hoạt
động. Nó đã khiến cho chương trình hạt nhân của Iran bị đẩy lùi hai năm theo một cách
kỳ lạ và đang là sự quan tâm của thế giới. Như quyền năng của nó, gốc gác cũng như
bản chất của sâu máy tính Stuxnet là cực kỳ bí ẩn. Nó không chỉ hủy diệt những vật thể
mà nó len lỏi vào mà còn có thể hủy diệt cả những ý tưởng.
Trong một báo cáo, ba chuyên gia hàng đầu của Viện Khoa học và An ninh quốc
tế (Institute for Science and
International Security – ISIS) là
David Albright, Paul Brannan và
Christina Walrond cho rằng virus
“Stuxnet” đã phá hoại hoạt động
của hàng nghìn máy li tâm ở cơ sở
làm giàu hạt nhân Natans, cách thủ
đô Teheran 300 km về phía Nam.
Theo báo cáo trên, mặc dù
“không phá hoại được tất cả” các
máy ly tâm ở cơ sở làm giàu hạt
nhân Natans, nhưng virus
“Stuxnet” đã phá hoại “một số
lượng nhất định” máy ly tâm và
“không bị phát hiện trong một thời
gian khá dài”.
Bản thân Tổng thống Iran Mahmud Ahmadinejad cũng phải thừa nhận tác hại của
virus “Stuxnet”, khi tuyên bố trong một cuộc họp báo rằng “một số lượng hạn chế các
máy ly tâm” đã vấp phải một số vấn đề do “một phần mềm được cấy vào các thiết bị
điện tử”. Trong khi đó, ba chuyên gia nói trên của ISIS cho rằng tác hại của virus
“Stuxnet” có qui mô to lớn hơn nhiều so với sự thừa nhận của Tổng thống Iran.
Nhóm 02 – Lớp 1102ECIT0911 Page 10
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
Theo báo cáo của ISIS, trong 6 tháng cuối năm 2009, khoảng 1.000 máy ly tâm
(chiếm 1/10 tổng số máy ly tâm được lắp đặt ở cơ sở làm giàu uranium Natans) đã bị
ngừng hoạt động… có thể do bị “Stuxnet” phá hoại ngầm. Báo cáo này cũng loại trừ
khả năng số máy ly tâm nói trên phải ngừng hoạt động do một số linh kiện cấu thành bị
trục trặc. Chỉ có điều, phía Iran đã kịp thời lắp đặt thêm hàng loạt máy ly tâm mới để
đảm bảo tiến độ của chương trình hạt nhân.
Cho đến nay, người ta phát hiện ra rằng virus “Stuxnet” đã thao túng tần số vòng
quay của các máy ly tâm: thay vì có tần số 1.064 Hertz, các máy này chạy với tần số
không ổn định (bị đẩy lên 1.410 Hertz rồi sau đó từ từ hạ xuống 1.062 Hertz và quá
trình này được lặp đi, lặp lại nhiều lần trong vòng gần một tháng). Khi bị đẩy lên tần số
trần 1.410 Hertz, số máy ly tâm nói trên có nguy cơ bị vỡ tung. Điều nguy hại là quá
trình thao túng tần số của “Stuxnet” lại được ngụy trang rất khéo léo vì “mỗi lần thao
túng đều đi kèm với một cuộc tấn công vô hiệu hóa các thiết bị cảnh báo và an ninh”,
che mắt các nhân viên điều hành máy ly tâm. Chỉ có điều, virus “Stuxnet” đã không đạt
được mục tiêu đề ra là đẩy tần số vòng quay của các máy ly tâm lên mức trần 1.410
Hertz trong chu kỳ tác hại kéo dài 15 phút, mà chỉ tác hại đáng kể đến hoạt động và tuổi
thọ của số máy ly tâm nói trên.
Một tác hại nhãn tiền là việc Iran đã phải tiêu tốn nguyên liệu uranhexafluorid
nhiều hơn, trong khi lại sản xuất được lượng uranium đã được làm giàu ít hơn. Theo ba
nhà khoa học nói trên của ISIS, nhiều máy ly tâm của cơ sở làm giàu uranium ở Natans
đã hoạt động kém hiệu quả và lãng phí một khối lượng lớn uranhexafluorid trong một
thời gian khá dài.
Tỷ lệ (%) nhiễm W32.Stuxnet theo quốc gia.
Nguồn: Symantec
Có một điều rõ ràng là để tác hại đến chương trình hạt nhân của Iran trong một
thời gian dài như vậy, các nhà lập trình và cài cấy virus “Stuxnet” phải có thông tin
chính xác về tần số hoạt động của các máy ly tâm ở Natans, điều mà bản thân Cơ quan
Năng lượng Hạt nhân Quốc tế (IAEA) cũng không được biết. Chính vì vậy mà báo cáo
nói trên của ISIS không loại trừ khả năng virus “Stuxnet” chính là một trong những
Nhóm 02 – Lớp 1102ECIT0911 Page 11
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
“sản phẩm” của các cơ quan tình báo phương Tây nhằm phá hoại chương trình làm giàu
uranium đầy tham vọng của Iran.
Không giống như bom tấn, tên lửa hay súng ống, vũ khí chiến tranh mạng có thể
bị sao chép, việc phổ biến “siêu vũ khí” mạng như Stuxnet rất khó ngăn chặn và không
thể kiểm soát. Ông Langner lo rằng công nghệ sản xuất sâu máy tính tương tự như
Stuxnet có thể rơi vào tay các nước thù địch của Mỹ và phương Tây, các tổ chức khủng
bố hay các tổ chức tội phạm kiểu mafia.
Stuxnet rất khác vũ khí thông thường.
Người ta có thể biết một quả bom hạt nhân
được chế tạo như thế nào nhưng không phải ai
cũng có khả năng chế tạo hay sở hữu bom hạt
nhân. Vũ khí chiến tranh mạng rất khác. Nó có
thể bị sao chép, tái sử dụng và rao bán trên
mạng với giá không đắt lắm. Thậm chí trong
một số trường hợp nó còn được biếu không.
Sâu Stuxnet hiện có được tạo ra để phá
hoại một mục tiêu cụ thể với độ chính xác cao.
Những con Stuxnet trong tương lai, theo ông
Langner, trong tay những kẻ xấu có thể giống như “bom bẩn”, nghĩa là ngu hơn con
Stuxnet do bị giảm chức năng (Stuxnet có đến 5.0000 chức năng), gây ra những thiệt
hại nhỏ hơn nhưng mức độ nguy hiểm có thể cao hơn. Chẳng hạn, trong một cuộc tấn
công, sâu Stuxnet chỉ “đánh sập” một nhà máy điện cụ thể trong khi đó sâu máy tính
thuộc dạng “bom bẩn” có thể làm cả chục nhà máy điện hoạt động chập chờn, hậu quả
nghiêm trọng hơn nhiều.
Trong viễn cảnh đó, dưới đầu đề “Sâu Stuxnet đánh động cả thế giới”, nhật báo
kinh tế Anh Financial Times cho biết sau một năm tìm cách giải mã và tìm hiểu sâu
Stuxnet, các chuyên gia an ninh mạng phương Tây tỏ ra hết sức lo lắng. Họ chỉ mới biết
mục tiêu của sâu Stuxnet ở Iran là tấn công dàn máy ly tâm làm giàu uranium của các
cơ sở hạt nhân Iran. Họ vẫn chưa biết mục tiêu của nó ở Indonesia, Ấn Độ và Pakistan
là những nơi cũng có những hệ thống máy tính công nghiệp bị nhiễm sâu Stuxnet.
2.1.4 Giải pháp ngăn chặn đề xuất
Chúng ta biết rõ rằng Stuxnet đang tấn công trực diện ngành công nghiệp, với một
hiểu biết khổng lồ về hệ thống điều khiển. Vì vậy, giải pháp ngăn chặn có vẻ mang lại
nhiều hiệu quả nhất lúc này chính là việc tăng cường bảo vệ cho những hệ thống này
trước khi có thể tìm được cách tiêu diệt con sâu nguy hiểm này. Hiện tại Mỹ và một số
nước châu Âu đang đầu tư mạnh vào “mạng lưới thông minh” trong các lĩnh vực điện
nước, GTVT… Nhưng công tác bảo mật các mạng lưới này chưa thể ứng phó với sâu
Stuxnet, ít nhất trong lúc này.
Một biện pháp thực sự để tiêu diệt tận gốc loại phá hoại này chỉ có thể là đầu tư
công sức và tiền bạc để tìm hiểu cấu tạo và phát hiện những điểm yếu của nó, một chút
hy vọng rất nhỏ, nhưng đó là biện pháp về lâu dài để thế giới sớm thoát khỏi những ám
ảnh của sâu Stuxnet.
2.2 Lỗ hổng zero-day sẽ thông dụng hơn
Nhóm 02 – Lớp 1102ECIT0911 Page 12
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
Năm 2010, Trojan Hydraq (còn gọi là “Aurona”) được coi là ví dụ điển hình cho
việc đe dọa tấn công vào các mục tiêu xác định - đó có thể là các tổ chức hoặc một hệ
thống máy tính cụ thể nào đó thông qua những lỗ hổng phần mềm chưa được biết tới
(zero-day). Giới hacker đã lợi dụng những lỗ hổng bảo mật như vậy trong nhiều năm
qua, thế nhưng những mối đe dọa mang tính mục tiêu cao như vậy sẽ tăng mạnh trong
năm 2011. Trong vòng 12 tháng tới, chúng ta sẽ chứng kiến những lỗ hổng zero-day
ngày càng tăng nhanh với số lượng cao hơn bất kỳ năm nào trước đây.
Sở dĩ xu hướng này trở nên nổi bật hơn là do bản chất phát tán chậm của các loại
mã độc kiểu đó. Những đe dọa có tính mục tiêu thường tập trung vào các tổ chức và cá
nhân với mục đích rõ ràng là đánh cắp dữ liệu có giá trị hoặc xâm nhập vào các hệ
thống mục tiêu để phá hoại. Từ thực tế đó mà những kẻ tấn công muốn nâng cao lợi thế
và nhắm vào mục tiêu lần đầu mà không bị phát hiện, bắt giữ.
2.2.1 Lỗ hổng zero-day là gì?
Lỗ hổng Zero-day là một thuật ngữ để chỉ những lỗ hổng chưa được công bố hoặc
chưa đượckhắc phục. Lợi dụng những lỗ hổng này, hacker và bọn tội phạm mạng có thể
xâm nhập được vào hệ thống máy tính của các doanh nghiệp, tập đoàn để đánh cắp hay
thay đổi dữ liệu.
Lỗ hổng zero-day là những điểm yếu để bọn tội phạm lợi dụng cơ hội tấn công
Hệ quả là có cả một thị trường chợ đen giao dịch, mua bán lỗ hổng Zero-day hết
sức đông vui, nhộn nhịp trên mạng Internet. "Bọn tội phạm mạng sẵn sàng trả khoản
tiền rất lớn để mua lại các lỗ hổng zero-day", bà Justine Aitel phát biểu trước các cử
tọa của Hội thảo bảo mật SyScan’07 đang diễn ra tại Singapore.
Immunity chuyên đứng ra mua lại các lỗ hổng zero-day, để rồi cất kỹ và theo dõi
xem phải mất bao lâu thì những lỗ hổng đó mới được các hãng tìm ra hay vá lại. Tuổi
thọ trung bình của một lỗ hổng zero-day là 348 ngày, dù cũng có những lỗ hổng chỉ tồn
tại vẻn vẹn 99 ngày thì đã bị lôi ra ánh sáng. Trong khi ấy, lập kỷ lục về độ "Cao niên"
là một lỗ hổng tồn tại suốt 1080 ngày, tương đương gần 3 năm mà chưa bị phát hiện.
Nhóm 02 – Lớp 1102ECIT0911 Page 13
05 xu hướng bảo mật Internet của năm 2011 mà Symantec cảnh báo
2.2.2 Tình hình về Lỗ Hổng trong những năm gần đây
Dạng tấn công zero-day nguy hiểm nhất cho phép thực hiện tải về ngầm, chỉ cần
người dùng duyệt một trang web hay đọc một email HTML nhiễm độc là có thể kích
hoạt một cuộc xâm lấn làm tràn ngập PC với spyware, Trojan horse hay các phần mềm
độc hại khác. Khoảng giữa năm 2005 đến cuối năm 2006, đã có ít nhất 2 cuộc tấn công
zero-day với hàng triệu nạn nhân bằng cách khai thác các lỗ hổng trong định dạng file
ảnh ít được dùng của Microsoft.
10.000 máy tính dính lỗ hổng zero-day trong Windows XP
Khi các cuộc tấn công được biết đến rộng rãi, ban đầu Microsoft nói sẽ đưa ra bản
vá trong vài tuần theo quy trình thông thường nhưng khi các hoạt động khai thác và sự
phản ứng của người dùng lên cao, công ty đã cấp tốc đưa ra bản vá vào đầu tháng 1.
Tuy nhiên, bản vá này không dập tắt được các cuộc tấn công, cho thấy kẽ hở zero-
day có thể ảnh hưởng trong thời gian dài. Giống như lỗ hổng VML, kẽ hở Metafile mở
cửa cho việc tải về ngầm mà bọn tội phạm ưa thích vì nạn nhân không cần nhấn lên ảnh
lây nhiễm. Nếu cài đặt bản vá của Microsoft thông qua chương trình Automatic
Updates, bạn an toàn. Nhưng rõ ràng nhiều người dùng Windows đã không làm vậy.
Vào tháng 7, một banner độc tìm cách xuất hiện trên các site lớn như MySpace và
Webshots thông qua một mạng phân phối quảng cáo. Mã độc ẩn nấp trong banner này
tải về máy tính của nạn nhân một chương trình Trojan horse và đến lượt nó cài tiếp
adware và spyware. Bảy tháng sau bản vá mới có và số nạn nhân lên đến hàng triệu.
Năm 2010, sâu Trojan.Hydraq (còn gọi là “Aurona”) là ví dụ điển hình cho việc
đe dọa tấn công vào các mục tiêu xác định. Các mục tiêu này có thể là những tổ chức
hoặc một hệ thống máy tính cụ thể nào đó thông qua những lỗ hổng phần mềm chưa
được biết tới.
Nhóm 02 – Lớp 1102ECIT0911 Page 14
Không có nhận xét nào:
Đăng nhận xét