An ninh thông tin và chuẩn hóa - Phần 2

Người trình bày: Lê Trung Nghĩa

Bài trình bày tại khóa bồi dưỡng nâng cao cho các CIO, được tổ chức bởi Bộ Thông tin và Truyền thông và Ngân hàng Thế giới từ 14-18/12/2009 tại Hội An, Quảng Nam.

B. An ninh không gian mạng

1. Tổng quan về an ninh không gian mạng

1. Barack Obama, ngày 29/05/2009: “Sự thịnh vượng về kinh tế của nước Mỹ trong thế kỷ 21 sẽ phụ thuộc vào an ninh có hiệu quả của không gian mạng, việc đảm bảo an ninh cho không gian mạng là xương sống mà nó làm nền vững chắc cho một nền kinh tế thịnh vượng, một quân đội và một chính phủ mở, mạnh và hiệu quả”. “Trong thế giới ngày nay, các hành động khủng bố có thể tới không chỉ từ một ít những kẻ cực đoan đánh bom tự sát, mà còn từ một vài cái gõ bàn phím trên máy tính – một vũ khí huỷ diệt hàng loạt”. Văn bản gốc tiếng Anh. Video.

2. Trend Macro: Số lượng máy tính bị lây nhiễm phần mềm độc hại cực lớn. Năm 2008: 253 triệu máy. Dự kiến năm 2009 là 491 triệu máy. Tỷ lệ các mẫu phần mềm độc hại mới được tạo ra là hơn 1 triệu mẫu trong 1 tháng. Các botnet với hàng triệu máy bị lây nhiễm lâu dài bởi nhiều loại virus, sâu, phần mềm độc hại. Nền công nghiệp chống virus đã lừa dối người sử dụng 20 năm nay. Khả năng chống virus hầu như là không thể với số lượng khổng lồ các virus hiện nay;

3. McAfee: số lượng các cuộc tấn công bằng phần mềm độc hại để thâm nhập hoặc gây hại cho một hệ thống máy tính tăng 500% trong năm 2008 – tương đương với tổng cộng của 5 năm trước đó cộng lại. Trong đó 80% tất cả các cuộc tấn công bằng phần mềm độc hại có động lực là tài chính, với những kẻ tấn công cố ăn cắp thông tin dữ liệu cá nhân vì lợi nhuận; 20% các cuộc tấn công còn lại có các mục đích liên quan tới tôn giáo, gián điệp, khủng bố hoặc chính trị. Mỗi tháng có 1,5 triệu site bị nhiễm phần mềm độc hại sẽ được tạo ra và gây lây nhiễm cho các máy tính của những người viếng thăm.

Một vài hình ảnh:

Số lượng các mối đe dọa theo năm. Năm 2008 tăng vọt và hơn cả tổng số các đợt tấn công của 5 năm trước cộng lại; từ 1 máy lây nhiễm cho nhiều máy khác qua thư điện tử - spam để tạo nên các botnet khổng lồ; Tấn công gián điệp thông tin qua thư điện tử tăng chưa từng có: trung bình từ 2 vụ trong 1 tuần năm 2005 tăng lên tới 60 vụ trong 1 ngày năm 2009 và gần đây có những thời điểm đạt 2005 vụ trong 1 ngày; tấn công vào khắp các lĩnh vực công nghiệp, nhất là khu vực nhà nước và tài chính; đặc biệt hay tấn công vào các máy chủ thư điện tử.

Một vài tư liệu video:

1. Về vụ mạng GhostNet: Video của Symantec; Cyberspies China GhostNet Exposed III; Global Computer Espionage Network Uncovered; China Cyberspy GhostNet targets governments;

2. Tấn công lưới điện của Mỹ - China & Russia Infiltrate US Power Grid-Cyber Spies Hack The Grid;

3. Tấn công mạng của Lầu 5 góc - Chinese Military Hacks Pentagon's computer system; Chinese hackers: No site is safe;

4. Tấn công vào các mạng truyền thông, ngân hàng, điện... của Mỹ - China Cyber Attack on America;

5. Tấn công vào các mạng của cả Obama và McCain trong thời kỳ tranh cử năm 2008 - Chinese Cyber Attacks Target White House, Presidential Candidates;

2. Lý do và mục đích tấn công

1. Về chính trị:

   1. Mục tiêu: các website và các mạng thông tin của chính phủ.

   2. Xung đột giữa các quốc gia: Israel – Syria, Israel – Palestine, Nga – Estonia, Nga – Georgia, Mỹ cùng liên quân – Iraq, Mỹ cùng Hàn Quốc - Bắc Triều Tiên.

   3. Bất đồng về chính trị, tôn giáo: Bầu cử ở Iran.

   4. TQ và các quốc gia khác - 09/10/2009: hàng chục vụ, ở nhiều quốc gia, tần suất gia tăng.

   5. Các vụ liên quan tới Việt Nam: Màn hình đen (Tại Mỹ, WGA [Windows Genuine Advantage] bị đưa ra tòa vì bị coi như một phần mềm gián điệp); Conficker (Việt Nam đứng số 1 thế giới với 13% số máy bị lây nhiễm theo OpenDNS); Nháy chuột giả mạo - số 1 thế giới; GhostNet (số 2/103 nước trên thế giới, chỉ sau Đài Loan, trên cả Mỹ và Ấn Độ), với 130/1295 máy tính chạy Windows bị lây nhiễm (Symantec làm video mô phỏng lại cuộc tấn công), mục đích gián điệp thông tin chống lại các chính phủ, những gì liên quan tới vụ này???, Hiện nay ra sao???; Các báo cáo từ hội thảo quốc gia an ninh bảo mật tháng 24-25/3/2009.

2. Về kinh tế:

   1. Mục tiêu: Các site chứng khoán, ngân hàng, các tổ chức tín dụng.

   2. Ăn cắp tiền từ các tài khoản ngân hàng của các doanh nghiệp vừa và nhỏ 40 triệu USD đến tháng 9/2009, 100 triệu USD đến tháng 10/2009, bùng nổ từ giữa năm 2008 trở lại đây, trong các trò chơi trực tuyến ở Trung Quốc. Không chừa ai, kể cả giám đốc FBI.

   3. Lừa đảo để bán phần mềm an ninh giả mạo

3. Mục đích tấn công: Gián điệp thông tin, có thể sớm trở thành phá hoại

   1. Vụ mạng gián điệp lớn nhất thế giới từ trước tới nay GhostNet

   2. Gián điệp thông tin, vào được hầu như mọi nơi được coi là bí mật và an ninh nhất, kể cả các mạng các bộ quốc phòng, ngoại giao, thương mại, năng lượng, hàng không vũ trụ, thậm chí mạng dành riêng cho 2 cuộc chiến tranh mà Mỹ hiện đang tham chiến.

   3. Cảnh báo phá hoại hệ thống lưới điện ở Úc, lưới điện, giao thông, ngân hàng ở Mỹ, lưới điện Brazil, y tế ở Anh...

   4. Tạo ra hàng loạt các botnet với các kích cỡ từ khổng lồ tới nhỏ với hàng chục triệu hoặc hàng trăm máy tính bị lây nhiễm để chuẩn bị cho các cuộc tấn công qui mô lớn sau này.

   5. Dự đoán thời gian để chuyển từ gián điệp thông tin sang phá hoại: từ 3-8 năm.

3. Công cụ sử dụng để tấn công

1. Phần cứng và thiết bị:

   1. Chip máy tính, cấy phần mềm độc hại hoặc phần mềm gián điệp vào Bios máy tính (Stoned Boot - tất cả các phiên bản Windows từ XP tới 7, Microsoft làm việc với các OEM để đưa ACPI [Advanced Configuration and Power Interface] vào các máy tính - có thể bị lợi dụng để cấy Trojan vào ngay cả khi đĩa cứng hoàn toàn được mã hóa - bootkit sẽ khởi động trước và tự nó ẩn mình - chiếm quyền kiểm soát toàn bộ máy tính - phải có truy cập vật lý tới máy tính), lấy dữ liệu khóa an ninh từ DRAM (Cold Boot).

   2. Thiết bị viễn thông: vụ thầu thiết bị viễn thông ở Anh.

2. Phần mềm

   1. Xác xuất lỗi được tính theo: (1) Hệ điều hành, (2) Phần mềm trung gian (Middleware), (3) Giải pháp; (4) Phần mềm ứng dụng. Ví dụ, trong phần mềm nguồn mở thì lỗi ở hệ điều hành là ít nhất và tăng dần theo các con số ở trên (với RHEL4.0 và 5.0 thì lỗi mang tính sống còn là bằng 0), còn lượng người sử dụng ở hệ điều hành là lớn nhất rồi giảm dần theo các con số ở trên. (Xem bài “Hỗ trợ nguồn mở” trên tạp chí Tin học và Đời sống, số tháng 11/2009). Nhân của hệ điều hành nguồn mở GNU/Linux được cải tiến, sáng tạo liên tục với tốc độ không thể tưởng tượng được cũng là một điểm rất quan trọng.

Lớp ứng dụng

Lực lượng người sử dụng và độ trưởng thành

Xác suất lỗi

1. Cửa hậu được gài trong Windows và một số hệ điều hành thương mại khác và/hoặc trong phần mềm thư điện tử Lotus Notes.

2. Tin tặc tận dụng khiếm khuyết của các phần mềm của Microsoft để tấn công các hệ thống mạng trên khắp thế giới – Windows, Exchange Server, Office, Wordpad, Internet Explorer... Các phần mềm khác cũng bị lợi dụng để tấn công, phổ biến là của Adobe Acrobat Reader, Adobe Flash, Quicktime, Firefox trên Windows...., các mạng xã hội như Facebook, Twitter...

1. Lạm dụng công nghệ:

   1. Vụ WGA bị đưa ra tòa ở Mỹ như một phần mềm gián điệp.

   2. Mất dữ liệu với máy tính đám mây: vụ Sidekick.

2. Mua bán công cụ

   1. Mua bán mã nguồn để tấn công, công cụ tạo mã độc hại, phần mềm an ninh giả mạo; phần mềm dọa nạt (phishing) đưa người sử dụng vào bẫy để mua phần mềm chống virus giả mạo;

   2. Mua bán máy tính bị lây nhiễm trong các botnet theo vùng địa lý với các thông tin bị ăn cắp đi kèm, giá mua vào từ 5-100 USD/1000 máy bị lây nhiễm cùng dữ liệu bị ăn cắp, giá bán ra từ 25-100 USD. Việt Nam có giá mua vào 5 USD/1000 máy, bán ra 25 USD/1000 máy.

3. Pháp nhân tiến hành tấn công: cá nhân, nhóm, tổ chức do chính phủ hỗ trợ???

4. Tần suất và phạm vi tấn công

1. Tần suất lớn khổng lồ

   1. Mỹ bị tin tặc lấy đi hàng terabyte dữ liệu từ hệ thống mạng của các Bộ Quốc phòng, Ngoại giao, Thương mại, Năng lượng và Cơ quan Hàng không Vũ trụ NASA. Mạng quân đội Mỹ bị quét hàng ngàn lần mỗi ngày.

   2. Tháng 03/2009, có 128 "hành động xâm lược không gian mạng" trong 1 phút vào các hệ thống mạng của nước Mỹ.

2. Phạm vi rộng khắp

   1. Vụ GhostNet tấn công vào 103 quốc gia, 1295 máy tính bị lây nhiễm. Tài liệu 53 trang, video mô tả lại cuộc tấn công.

   2. Các quốc gia mạnh về CNTT cũng bị tấn công: Mỹ, Anh, Pháp, Đức, Hàn Quốc...

   3. Khắp các lĩnh vực như vũ trụ, hàng không, quân sự, tài chính, ngoại giao, ...

3. Số lượng các máy tính bị lây nhiễm trong các vụ tấn công cực lớn: Các botnet hàng triệu máy tính Windows bị lây nhiễm.

4. Nhiều loại sâu, bọ, virus, phần mềm độc hại tham gia các botnet. Có loại chuyên ăn cắp tiền (Clampi), có loại tinh vi phức tạp (Conficker), có loại đã tồn tại từ nhiều năm trước nay hoạt động trở lại dù có hàng chục bản vá lỗi của Windows (MyDoom).

5. Thiệt hại cực lớn: Conficker - ước tính 9.1 tỷ USD chỉ trong nửa năm (tới tháng 6/2009).

5. Đối phó của các quốc gia

1. Về đường lối chính sách: Học thuyết chiến tranh thông tin, cả phòng thủ lẫn tấn công, bất kỳ vũ khí gì, kể cả hạt nhân ; Kế hoạch phản ứng (Mỹ). Anh, Nga, Pháp, Trung Quốc... đi theo?

2. Về tổ chức: Củng cố và xây dựng lực lượng chuyên môn (Mỹ, Anh, Hàn Quốc, Singapore), tăng cường nhân lực và đầu tư cho các cơ quan chuyên môn (Bộ An ninh Quốc nội - DHS, Cục Tình báo Trung ương - CIA, Cục Tình báo Liên bang - FBI, Cơ quan An ninh Quốc gia - NSA, Bộ Quốc phòng, Cơ quan Hàng không Vũ trụ – NASA, Bộ Năng lượng Mỹ...).

3. Về nhân lực: Huy động thanh niên, học sinh, sinh viên. Mỹ tổ chức thi để lấy 10,000 nhân tài, Anh cũng bước theo, Bộ An ninh Quốc nội Mỹ tuyển 1,000 nhân viên làm về an ninh không gian mạng. Thanh niên Trung Quốc, phong trào thanh niên Nga... Bọn khủng bố cũng tuyển người cho chiến trang không gian mạng.

4. Về công nghệ kỹ thuật: Phương châm “Nguồn mở an ninh hơn nguồn đóng”. Dự án sản xuất Chip (Trung Quốc, Ấn Độ), Dự án OS tăng cường an ninh (Mỹ, Trung Quốc, châu Âu), Xây dựng OS riêng cho quốc gia mình (Ấn Độ, Nga, Brazil, Venezuela, Cuba ...). Tất cả các OS đều dựa trên GNU/Linux/Unix.

5. Sản xuất các vũ khí mới cho chiến tranh không gian mạng: Nhiều quốc gia, bao gồm cả Mỹ, đang phát triển các vũ khí để sử dụng trên các mạng máy tính mà chúng tích hợp vào các hoạt động của mọi thứ từ các ngân hàng tới các hệ thống cung cấp điện cho tới các văn phòng của chính phủ. Họ đưa vào các “bom logic” mà chúng có thể được ẩn dấu trong các máy tính để làm treo các máy tính đó tại những thời điểm sống còn hoặc mạch điện bị hư hỏng; “các botnet” mà chúng có thể vô hiệu hóa hoặc gián điệp trên các website và mạng, hoặc các thiết bị sóng cực ngắn mà chúng có thể đốt cháy các mạng máy tính từ cách xa nhiều dặm...

6. Về thực tiễn triển khai khu vực dân sự để đảm bảo an ninh cao

   1. Chuyển sang sử dụng các hệ thống dựa trên GNU/Linux (Thị trường chứng khoán ở New York, Tokyo, Luân Đôn, ...)

   2. Không sử dụng Windows khi thực hiện các giao dịch ngân hàng trực tuyến (khuyến cáo của Viện Công nghệ SAN, chính quyền New South Wale – Úc, chuyên gia an ninh mạng của tờ The Washington Post).v.v.

6. Bài học cho Việt Nam

1. Tuân thủ kiến trúc phân vùng mạng, tuân thủ kiểm soát truy cập các vùng mạng, tuân thủ các yêu cầu cơ bản đảm bảo an ninh mạng.

2. Chúng ta đang bị phụ thuộc vào phần cứng, hệ điều hành, phần mềm ứng dụng, có thể sẽ phụ thuộc nốt cả dữ liệu. Hiện vẫn còn cơ hội, dù rất nhỏ, để thoát???

   1. Trước mắt: Chuẩn mở và hệ điều hành nguồn mở là mục tiêu số 1?. Cách chống virus tốt nhất là sử dụng hệ điều hành GNU/Linux. Hiện tại các doanh nghiệp Việt Nam đứng thứ 75/75 về các hoạt động liên quan tới nguồn mở theo nghiên cứu của RedHat-Georgia tháng 04/2009.

   2. Tương lai: Hệ điều hành, chip, các thiết bị viễn thông... Cần làm chủ được CNTT.

3. Về chính sách, chiến lược:

   1. Chính sách quốc gia về an ninh không gian mạng, coi không gian mạng như một đường biên giới mới, đặc biệt (do con người tạo ra) bên cạnh địa phận, không phận, hải phận và vũ trụ;

   2. Rà soát lại chính sách về các chuẩn sử dụng trong các hệ thống thông tin nhà nước, kiên quyết hướng tới việc sử dụng các chuẩn mở và hệ điều hành nguồn mở cộng đồng.

   3. Rà soát lại chính sách mua sắm công nghệ thông tin của chính phủ, ưu tiên các công nghệ mở, chuẩn mở, phần mềm tự do nguồn mở.

   4. Hoàn thiện chính sách về triển khai ứng dụng phần mềm tự do nguồn mở.

4. Về tổ chức và xây dựng lực lượng:

   1. Xây dựng và củng cố các tổ chức có chức năng phù hợp để đối phó với an ninh không gian mạng. Học tập các kinh nghiệm phòng chống chiến tranh không gian mạng của các nước tiên tiến trong bối cảnh thực tế của Việt Nam.

   2. Đầu tư mạnh mẽ cho giáo dục để chuẩn bị nhân lực cho tương lai từ học sinh - sinh viên, với các kỹ năng mới dựa trên công nghệ mở, phần mềm tự do nguồn mở.

5. Về công nghệ - kỹ thuật

   1. Hướng theo xu thế mở của thế giới, trước mắt hướng vào chuẩn mở và hệ điều hành nguồn mở cộng đồng.

   2. Lâu dài: xây dựng hệ điều hành, chip, một số phần quan trọng trong các thiết bị viễn thông... thông qua các dự án quốc gia.

6. Phòng ngừa cho bản thân, đặc biệt với các máy tính xách tay, kể cả khi mã hóa cả ổ cứng.

7. Nâng cao nhận thức cho toàn xã hội, cuộc chiến của toàn dân, các CIO phải đi đầu làm gương.

Ghi chú: Một số thông tin tham khảo khác về an ninh có thể xem ở đây, ở đây hoặc ở đây.

Xem phần 1: Tổng quan về an ninh thông tin và chuẩn hóa