Thứ Tư, 11 tháng 8, 2010

Tấn công thành công vào hạ tầng quốc gia là 'bao giờ', chứ không phải 'nếu'

Successful attack on nation's infrastructure is 'when,' not 'if'

By Jill R. Aitoro 08/06/2010

Theo: http://www.nextgov.com/nextgov/ng_20100806_9847.php?oref=topstory

Bài được đưa lên Internet ngày: 06/08/2010

Lời người dịch: Cuộc phỏng vấn giữa Nextgov và Marc Maiffret, một cựu tin tặc nổi tiếng của Mỹ, người mà khoảng một thập kỷ trước đã nổi tiếng như là “Chameleon”, “Rhino9” và “sn1per”, các bí danh mà ông đã sử dụng khi thâm nhập vào một số mạng máy tính quốc gia (Mỹ). Ông cho rằng “Bây giờ không phải là vấn đề 'có thể' xảy ra một cuộc tấn công vào hạ tầng sống còn hay không, mà là 'khi nào'. Đây là một cuộc chạy đua tới đích... Trong vòng 2 năm tới, chúng ta có thể thấy những thứ nghiêm trọng hơn sẽ xảy ra liên quan tới hạ tầng sống còn của chúng ta”. Và đây là lời khuyên của ông đối với chính phủ: “Một trong những thứ lớn nhất mà chính phủ có thể làm để cải thiện an ninh là sử dụng sức mạnh mua sắm của mình. Vào cuối mỗi ngày, an ninh là một ý nghĩ nảy ra quá muộn đối với các nhà cung cấp vì đó không phải là thứ gì đó mà có thể làm cho các công ty có tiền. Nhưng khi mà bạn nhờ chính phủ nói rằng để chiến thắng một hợp đồng, thì bạn cần phải đáp ứng được các mức độ an ninh nào đó, thì cũng chính những công ty y chang đó thấy các dấu USD mà họ có thể đánh mất”.

Cựu tin tặc cao thủ Marc Maiffret nói chính phủ liên bang nên sử dụng sức mạnh mua sắm của mình để cải thiện an ninh.

Marc Maiffret bây giờ là đồng sáng lập và giám đốc công nghệ tại eEye Digital Security, nhưng khoảng một thập kỷ trước ông đã nổi tiếng như là “Chameleon”, “Rhino9” và “sn1per”, các bí danh mà ông đã sử dụng khi thâm nhập vào một số mạng máy tính quốc gia. Ông thậm chí đã xuất hiện trên một loạt chương trình True Life của MTV: Tôi là Tin tặc.

Một tin tặc nổi tiếng đã trở thành một giám đốc một công ty phần mềm có uy tín về việc phát hiện sâu máy tính của Microsoft Code Red, và có ảnh trên các bìa tạp chí Details, Entrepreneur and Inc., cũng như những trang nhất của tờ Thời báo Los Angeles và Nước Mỹ ngày nay. Ông cũng đã làm chứng trước Quốc hội về cách mà các mạng nhạy cảm nhất của quốc gia có thể bị thâm nhập dễ dàng như thế nào.

Ông phải nói gì hôm nay nhỉ? Maiffret cảnh báo không phải là nếu các mạng vận hành hạ tầng sống còn của quốc gia sẽ bị tấn công, mà là khi nào. Như là bằng chứng, ông nhắc cách chỉ trong 2 giờ đồng hồ ông đã thâm nhập được vào một hệ thống mà đã kiểm soát hệ thống cấp nước cho một thành phố lớn ở California và đã có khả năng điều khiển các hoạt động chính như cách mà nhiều chất Chlorine hơn được đưa vào.

Nhưng Maiffret nói những mối đe dọa khác lờ mờ hiện ra đối với các hệ thống của chính phủ: tội phạm và gián điệp không gian mạng. “Sự để lộ ra nhiều vô số các thông tin nhạy cảm bởi WikiLeaks chỉ ra rằng thật quá dễ dàng để ăn cắp các thông tin nhạy cảm bây giờ hơn trong thời kỳ Chiến tranh Lạnh, khi bạn đã cần tới những người được cấy một cách vật lý vào đất liền”, ông nói.

Maiffret đã nói hôm thứ sáu với phóng viên kỳ cựu Jill R. Aitoro của Nextgov về những mối đe dọa không gian mạng ngày nay và cái gì chính phủ nên quan tâm nhất. Sau đây là một trích đoạn từ cuộc phỏng vấn này.

Former hacker Marc Maiffret says the federal government should use its buying power to improve security.

Marc Maiffret now is the co-founder and chief technology officer at eEye Digital Security, but about a decade ago he was better known as "Chameleon," "Rhino9" and "sn1per," pseudonyms he used while breaking into some of the nation's computer networks. He even appeared in MTV's series True Life: I'm a Hacker.

The celebrity-hacker-turned-software-company executive is credited for discovering the first Microsoft computer worm Code Red, and graced the covers of Details, Entrepreneur and Inc. magazines, as well as the front pages of The Los Angeles Times and USA Today. He also testified before Congress about how easily the nation's most sensitive networks could be penetrated.

What does he have to say today? Maiffret warns it's not if networks operating the nation's critical infrastructure will be attacked, but when. As evidence, he mentions how in only two hours he broke into a system that controlled the water supply for a large city in California and was able to manipulate major operations such as how much chlorine was added.

But Maiffret says other threats loom for government systems: cybercrime and espionage. "The [massive exposure of sensitive information] by WikiLeaks shows that it's so much easier to steal sensitive information now than [during] the Cold War, when you needed people physically planted on the ground," he said.

Maiffret spoke on Friday with Nextgov Senior Reporter Jill R. Aitoro about today's cyberthreats and what should most concern government. The following is an excerpt from the interview.

Nextgov: Hội nghị các tin tặc mũ đen vừa mới kết thúc. Liệu có thảo luận sâu sắc nào đáng chia sẻ?

Maiffret: Nổi lên là việc thâm nhập các máy ATM, khi ai đó đã bắn vào từ xa tới máy ATM làm tất cả tiền của nó rơi xuống đất.

Một thứ mà tôi đã thấy thú vị hơn so với các phiên khác là các cuộc hội thoại bên lề ở quán cà phê hoặc quầy bar, nơi mà bạn có thể nghe thấy các nhà nghiên cứu nói về số lượng các chỗ bị tổn thương ngày số 0 còn chưa được sửa mà họ đi qua mà chó thể bị khai thác trước khi các lập trình viên phần mềm thậm chí biết là chúng có tồn tại. Nó giống như là có một thời hoàng kim vậy.

Nextgov: Chính phủ có truy cập tới dạng thông tin này không?

Maiffret: Thường là Microsoft có thể được nói về một chỗ bị tổn thương và đưa một bản vá lên trực tuyến. Bây giờ, các nhà nghiên cứu đang xem xét đòi bồi thường cho công việc mà họ đang làm, nên các nhà cung cấp phần mềm, các nhà thầu và chính phủ trả cho họ để tìm kiếm các chỗ bị tổn thương ngày số 0 và hiểu cách mà chúng làm việc từ cả quan điểm phòng thủ và tấn công.

Nextgov: Liệu dạng thử thâm nhập đó có được sử dụng để cải thiện an ninh của ác mạng liên bang đối với việc thâm nhập vào chính chúng, mà nó đối nghịch với cách mà một kẻ tấn công sẽ làm sau một tổ chức bằng việc nghĩ nhiều hơn ra bên ngoài. Vấn đề là mọi người từ các giới công nghiệp an ninh và nghiên cứu mà được mời để động não với chính phủ đã làm việc trong và ngoài D.C. 10 năm và chỉ theo cách quan liêu thực hiện công việc.

Dù là vài người trong số đó đang thay đổi. Tin tặc nổi tiếng “Mudge” [Peiter C. Zatko] bây giờ có trách nhiệm về các chương trình tại Cơ quan Nghiên cứu các Dự án Tiên tiến Quốc phòng, làm việc từ trong ra ngoài để hàng ngày tạo cầu nối giữa chính phủ và từng cộng đồng tin tặc.

Nextgov: The Black Hat conference just wrapped up. Any insightful discussions worth sharing?

Maiffret: A standout was the ATM hacking, in which someone made an ATM machine remotely spit all of its money onto the floor.

One thing I found more interesting [than the sessions] was the side conversations at the coffee shop or lobby bar, where you'd hear researchers talk about the number of undisclosed zero-day vulnerabilities they've come across [that can be exploited before software developers even know they exist]. It sounds like there's a heyday going on.

Nextgov: Does government have access to that kind of information?

Maiffret: It used to be that Microsoft would [be told about a vulnerability] and post a patch online. Now, researchers are looking to get recouped for the work they're doing, so software vendors, contractors and government pay them to find the zero-day vulnerabilities and understand how they work from both the offensive and defensive perspectives.

Nextgov: Is that kind of penetration testing used to enhance the security of federal networks and systems?

Maiffret: There's a good level of testing, but the government has a very repetitive, formulaic process for hacking into themselves, which runs contrary to how an attacker will go after an organization by thinking more outside the box. The problem is the people from the security and research industries who are invited to brainstorm [with the government] have worked on and off in D.C. for 10-plus years and are just as [entrenched in the bureaucratic way of doing things].

Some of that is changing though. The famous hacker "Mudge" [Peiter C. Zatko] is now in charge of programs at [the Defense Advanced Research Projects Agency], working from the inside out to create a bridge between government and the everyday hacking community.

Nextgov: Làm thế nào mà sự chuyển dịch từ một tin tặc nổi tiếng sang một nhân viên chính phủ đã xảy ra?

Maiffret: Hầu hết chúng tôi, những người đã trải qua từ một nền tảng tin tặc sang như ngày nay và có tiếng nói trong chính phủ đã không thật can trường, mà phải đi rất nhiều. Quay về năm 2003 đại loại thế khi tôi lần đầu làm chứng trước Quốc hội về những mối đe dọa hướng vào hạ tầng sống còn, tôi đã muốn đưa ra một cái cờ đỏ.

Nextgov: Các cuộc tấn công không gian mạng chống lại hạ tầng sống còn vẫn là mối lo lớn.

Maiffret: Bây giờ không phải là vấn đề 'có thể' xảy ra một cuộc tấn công vào hạ tầng sống còn hay không, mà là 'khi nào'. Đây là một cuộc chạy đua tới đích. Chỉ một vài tuần trước chúng ta đã thấy một chỗ bị tổn thương ngày số 0 của Microsoft nhằm vào các hệ thống SCADA, [các hệ thống Kiểm soát Giám sát và Thu thập Dữ liệu, mà chúng thường kiểm soát các hạ tầng sống còn của Mỹ như là các công nghiệp giao thông và tiện ích], để lấy các thông tin và truy cập. Microsoft đã phản ứng đối với chỗ bị tổn thương này, nhưng đối với tôi, cuộc đánh thử này đã chỉ kiểm thử với hệ thống nước theo đúng y như cách mà Code Red đã làm nhiều năm trước. Sâu đó từng được viết không phải là tốt nhất, mà nó từng là một sự kiện thăm dò – để xem một sâu máy tính có thể làm được gì. Trong vòng 2 năm tới, chúng ta có thể thấy những thứ nghiêm trọng hơn sẽ xảy ra liên quan tới hạ tầng sống còn của chúng ta.

Nextgov: Chúng ta nghe quá thường xuyên cách mà các hệ thống SCADA đã không được thiết kế để làm việc trong một môi trường mạng. Liệu đó có phải là vấn đề hay không?

Maiffret: Tôi đã thử thâm nhập như một nhà tư vấn cho một thành phố lớn ở California, và trong vòng 2 giờ đồng hồ, tôi đã có khả năng truy cập được vào các hệ thống mà được kiểm soát bộ lọc của việc cung cấp nước cho thành phố không chỉ để giám sát, mà còn để điều khiển: rò rỉ lượng Chlorine thừa, ví dụ thế.

Điều đã làm mở to mắt là hầu hết những yếu kém mà tôi đã khai thác được đều đã được biết đối với những kỹ sư làm việc cho thành phố đó. Họ tới từ một nơi bị hỏng, vì hầu hết các nhà cung cấp mà làm các hệ thống kiểm soát này không cho phép cập nhật vì sợ họ sẽ gây ra thứ gì đó chạy sai. Đối với tôi, đó là một vấn đề nực cười, biết về những yếu kém mà không thể làm bất kỳ điều gì về chúng vì những bắt buộc từ các nhà cung cấp về cách mà cách hệ thống phải chạy.

Nextgov: How does that transition from celebrity hacker to government employee happen?

Maiffret: Most of us who have crossed over from a hacking background to a presence and voice in government were not so much plucked out, but put in the legwork. Back in 2003 or so when I first testified before Congress about threats [targeting] the critical infrastructure, I wanted to raise a red flag.

Nextgov: Cyberattacks against the critical infrastructure remain a big concern.

Maiffret: Now it's not a matter of 'can' [an attack] on the critical infrastructure happen, but 'when.' It's a race to the finish. Only a few weeks ago we saw a Microsoft zero-day vulnerability targeting SCADA systems, [Supervisory Control and Data Acquisition systems, which usually control critical U.S. infrastructures such as the transportation and utility industries], to get information and access. Microsoft responded to the vulnerability, but to me, the probe was just testing the waters [in the same way that] Code Red did years ago. That worm was not the best written, but it was an exploratory event -- to see what a computer worm could do. In the next two years, we could see more serious things happen [involving our critical infrastructure].

Nextgov: We hear so often how SCADA systems were not designed to work in a networked environment. Is that the problem?

Maiffret: I did a penetration test as a consultant for a large city in California, and within two hours, I was able to get access to the systems that controlled filtration of the city's water supply to not only monitor, but to manipulate: leak in extra chlorine, for example.

What was so eye-opening was that most of the weaknesses that I [exploited] were already known to the engineers working for the city. They're coming from a place of frustration, because most of the vendors that make the control systems don't allow updates for fear they'll cause something to go wrong. To me, that's a ridiculous problem, knowing about weaknesses but being unable to do anything about them because of mandates from vendors on how these systems have to run.

Nextgov: Có nhiều động cơ cho các cuộc tấn công. Động cơ nào chính phủ lo nhất?

Maiffret: 2 mối đe dọa hàng đầu là tội phạm và gián điệp không gian mạng.

Tội phạm không gian mạng đã trở thành quá nhiều, mà chúng ta có một thời khó khăn theo dõi và mang lại sự công bằng cho mọi người đứng đằng sau các cuộc tấn công. Không thiếu những người tốt ở FBI và những nơi khác đang cố gắng, nhưng quan hệ của chúng ta với các quốc gia khác và thiện chí của họ để cho chúng ta sự truy cập và thông tin để điều tra.

Đối với gián điệp, sự để lộ các thông tin nhạy cảm của WikiLeaks chỉ rằng quá dễ dàng để ăn cắp các thông tin nhạy cảm bây giờ hơn thời kỳ Chiến tranh Lạnh, khi mà bạn cần những người cài cắm một cách vật lý vào đất liền. Mọi thứ nằm trên trực tuyến cho bất kỳ ai truy cập từ bất cứ đâu trên thế giới. Điều đó làm giảm đột ngột sự ngăn trở của những gì được yêu cầu để nhảy vào cuộc chơi.

Nextgov: WikiLeaks chỉ rằng mối đe dọa từ bên trong cũng lớn như từ bên ngoài.

Maiffret: Có quá nhiều cách để lấy được các dữ liệu từ một tổ chức, thậm chí khi các mạng của tổ chức đó không được kết nối tới Internet. Nói như vậy, tôi muốn nói chắc chắn đã có một sai sót về an ninh. Bộ Quốc phòng đã bỏ qua sự canh phòng cần thiết, nhiều như thể chắc chắn sự canh phòng đã không được tuân thủ, mà đã tạo ra một cửa sổ các cơ hội. Đây từng là một sự thất bại về qui trình, chứ không phải là một kịch bản của James Bond. Đó là một phần đáng sợ.

Nextgov: Ông đã theo dõi các cuộc tấn công không gian mạng lâu nay. Chúng có gì thay đổi không?

Maiffret: Chúng tôi không làm việc với các tin tặc thiếu niên cố gắng ăn cắp số lượng nhỏ các thông tin về thẻ tín dụng. Có những doanh nghiệp cỡ lớn, được hỗ trợ bởi các nhóm tội phạm có tổ chức mà chúng có thể lấp đầy khổng trống, nơi mà sự tận cùng của các kỹ năng tin tặc để tối đa hóa những số lượng dữ liệu khổng lồ bị ăn cắp. Sự kết hợp đó giải thích vì sao chúng ta đã thấy được một số lượng khổng lồ các dữ liệu bị ăn cắp. Nó được kết hợp bởi thực tế là các cuộc tấn công bây giờ có thể được nhúng vào mọi website, làm khó để giải thích cho người dùng thông thường cách để di chuyển trên Internet theo một cách an toàn được. Chúng ta đang làm việc với một sân chơi mở.

Một trong những thứ lớn nhất mà chính phủ có thể làm để cải thiện an ninh là sử dụng sức mạnh mua sắm của mình. Vào cuối mỗi ngày, an ninh là một ý nghĩ nảy ra quá muộn đối với các nhà cung cấp vì đó không phải là thứ gì đó mà có thể làm cho các công ty có tiền. Nhưng khi mà bạn nhờ chính phủ nói rằng để chiến thắng một hợp đồng, thì bạn cần phải đáp ứng được các mức độ an ninh nào đó, thì cũng chính những công ty y chang đó thấy các dấu USD mà họ có thể đánh mất.

Nextgov: There are a lot of motivations for cyberattacks. Which should concern government most?

Maiffret: The two top threats are cybercrime and espionage.

Cybercrime has become so prolific, but we have a difficult time tracking down and bringing to justice the people behind the attacks. It's not a lack of good folks at the FBI and elsewhere trying, but rather our relationships with other countries and their unwillingness to give us access and information to work leads.

As for espionage, the [exposure of sensitive information] by WikiLeaks shows that it's so much easier to steal sensitive information now than [during] the Cold War, when you needed people physically planted on the ground. Everything sits online for anyone to access from anywhere in the world. That dramatically lowers the bar of what's required to get into the game.

Nextgov: WikiLeaks shows that the threat from inside is just as great from the outside.

Maiffret: There are so many ways to get data out of an organization, even when that organization's networks are not connected to the Internet. That being said, I'd say there was definitely a lapse of security. [The Defense Department] wasn't necessarily missing a safeguard, as much as a certain safeguard was not followed, which created a window of opportunity. This was a process failure, not a James Bond [scenario]. That's the scary part.

Nextgov: You've tracked cyberattacks for a long time. How have they changed?

Maiffret: We're not dealing with teenage hackers attempting to steal small amounts of credit card information. These are full-scale businesses, backed by organized crime groups that can bridge the gap where hacker skills end to maximize the massive amounts of data being stolen. That marriage is why we've seen a dramatic spike in data theft. It's compounded by the fact attacks can now be embedded in every website, making it hard to explain to the average consumer how to navigate the Internet in a safe way. We're dealing with an open playground.

One of the greatest things the federal government can do to improve security is use its buying power. At the end of the day, security is an afterthought for vendors because it's not something that can make companies money. But when you have government saying that to win a contract, you need to meet certain levels of security, those same companies see the dollar signs they may miss out on.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.