Chủ Nhật, 30 tháng 1, 2011

25 năm virus máy tính cá nhân và bảo vệ sao chép

25 years of PC viruses and copy protection

21 January 2011, 16:05

Theo: http://www.h-online.com/security/news/item/25-years-of-PC-viruses-and-copy-protection-1173393.html

Bài được đưa lên Internet ngày: 21/01/2011

Lời người dịch: Tổng kết 25 năm lịch sử virus máy tính, kể từ lần đầu tiên phát hiện ra virus máy tính vào tháng 01/1986. “Gần 20 năm sau, người khổng lồ về đa phương tiện Sony BMG đã triển khai một cơ chế bảo vệ chống sao chép mà bí mật nhúng bản thân nó vào trong từng hệ thống mà đã chơi một CD chống sao chép. Nó đã sử dụng các kỹ thuật rootkit để tránh bị phát hiện bởi hệ thống hoặc người sử dụng. Một loạt những người hay bắt chước sau đó đã sử dụng kỹ thuật ngụy trang này, ví dụ, để ẩn dấu các phần mềm chống virus. Ngày nay, cơ chế bảo vệ chống sao chụp bản thân nó được phân loại như một phần mềm độc hại và thường được tham chiếu tới như là “rootkit của Sony”... Một ngoại lệ là các chương trình phần mềm gián điệp mà chúng nhằm tới những thông tin hoặc người sử dụng đặc biệt. Những phần mềm độc hại như vậy được chỉnh sửa đối với nền tảng theo yêu cầu, mà cũng có thể cho cả Linux hoặc Mac OS X. Trường hợp đặc biệt là các chương trình phá hoại như Stuxnet”.

Vào tháng 01/1986, virus đầu tiên mà đã lây nhiễm các máy tính cá nhaanh PC tương thích với IBM đã được phát hiện. Theo Wikipedia, trích từ một cuộc phỏng vấn trên tạp chí Time, virus Brain đã được viết bởi 2 anh em tại Pakistan để bảo hệ phần mềm y tế của họ khỏi bị ăn cắp.

Gần 20 năm sau, người khổng lồ về đa phương tiện Sony BMG đã triển khai một cơ chế bảo vệ chống sao chép mà bí mật nhúng bản thân nó vào trong từng hệ thống mà đã chơi một CD chống sao chép. Nó đã sử dụng các kỹ thuật rootkit để tránh bị phát hiện bởi hệ thống hoặc người sử dụng. Một loạt những người hay bắt chước sau đó đã sử dụng kỹ thuật ngụy trang này, ví dụ, để ẩn dấu các phần mềm chống virus. Ngày nay, cơ chế bảo vệ chống sao chụp bản thân nó được phân loại như một phần mềm độc hại và thường được tham chiếu tới như là “rootkit của Sony”.

Tuy nhiên, Brain đã không phải là virus máy tính đầu tiên. Vinh hạnh đáng ngờ này thường được trao cho virus Elk Cloner, mà nó đã gây lây nhiễm cho phần khởi động (boot sector) của các hệ thống Quả táo 2 (Apple II). Hầu như tất cả các phần mềm độc hại đương thời chuyên trên nền tảng Windows. Các mục đích chính của nó là lừa gạt ngân hàng trực tuyến và tạo ra những botnet cho các cuộc tấn công đánh spam và từ chối dịch vụ (DDoS). Trong khi những phần mềm độc hại như vậy không còn liên quan tới các virus kinh điển mà chúng đã lan truyền bằng việc gây lây nhiễm các tệp hoặc các phương tiện lưu trữ, cái tên virus, cùng với thời gian, đã trở thành một khái niệm chung phổ biến cho tất cả các dạng phần mềm độc hại máy tính.

Một ngoại lệ là các chương trình phần mềm gián điệp mà chúng nhằm tới những thông tin hoặc người sử dụng đặc biệt. Những phần mềm độc hại như vậy được chỉnh sửa đối với nền tảng theo yêu cầu, mà cũng có thể cho cả Linux hoặc Mac OS X. Trường hợp đặc biệt là các chương trình phá hoại như Stuxnet.

In January 1986, the first virus that infected IBM-compatible PCs was discovered. "Brain" immortalised itself in the boot sector of floppy disks in DOS format. According to Wikipedia, quoting an interview in Time magazine, the Brain virus was written by two brothers in Pakistan to protect their medical software from piracy.

Almost 20 years later, media giant Sony BMG deployed a copy protection mechanism that secretly embedded itself in every system which played a copy-protected CD. It used rootkit techniques to avoid being discovered by the system or user. Various copycats subsequently used this camouflage technique, for instance, to hide from anti-virus software. Today, the copy protection mechanism is itself classified as malware and commonly referred to as "the Sony rootkit".

However, Brain wasn't the first computer virus. This dubious honour is generally awarded to the Elk Cloner virus, which infected the boot sector of Apple II systems. Almost all contemporary malware specialises on the Windows platform. Its main purposes are online banking fraud and the creation of botnets for spamming and distributed denial-of-service (DDoS) attacks. While such malware no longer involves classic viruses which spread by infecting files or storage media, the name virus has, over the years, become a commonplace generic term for all kinds of computer malware.

An exception are spyware programs which target specific information or users. Such malware is tailored to the required platform, which may also be Linux or Mac OS X. Another special case are sabotage programs such as Stuxnet.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Bọn bẻ khóa chào truy cập có phí tới các máy chủ của chính phủ

Cracker offers access to government servers for a fee

24 January 2011, 16:24

Theo: http://www.h-online.com/security/news/item/Cracker-offers-access-to-government-servers-for-a-fee-1175885.html

Bài được đưa lên Internet ngày: 24/01/2011

Lời người dịch: An ninh không gian mạng hay là chuyện đùa? Chúng ta từng biết hiện nay bất kỳ ai cũng có thể thuê dịch vụ tấn công từ chối dịch vụ (DDoS) vào bất kỳ websiter nào nếu có chút tiền trả cho nhà cung cấp dịch vụ đó từ Trung Quốc. Còn bây giờ nếu muốn truy cập tới các máy chủ của quân đội Mỹ, bất kỳ ai cũng có thể làm được nếu trả một số tiền là 499 USD, còn để truy cập vào một website thông thường thì chỉ mất có 9.99 USD. Không biết có giá để truy cập các máy chủ ở Việt Nam đáng giá bao nhiêu nhỉ?

Theo blogger Brian Krebs thì bất kỳ ai muốn có được quyền root đối với các máy chủ R&D của quân đội hình như có thể mua sự truy cập chỉ với 499 USD. Krebs và nhà cung cấp an nninh Imperva nói rằng một kẻ bẻ khóa không rõ tên tuổi có một webiste bán các quyền truy cập root tới một loạt các máy chủ web được sử dụng bởi các cơ quan quân sự tại một số quốc gia. Website này đưa ra một danh sách các máy chủ riêng rẽ với một chỉ số mức độ kiểm soát mà bạn sẽ có, cùng với giá thành.

Truy cập tới một máy chủ được sử dụng bởi quân đội Mỹ (được cho là có chứa các dữ liệu “đáng giá”) có giá thành là 499 USD - được trả tiền thông qua Dịch vụ Tự do (Liberty Service). Hoặc bạn có thể có được sự truy cập tới một máy chủ Phòng vệ Quốc gia Mỹ tại Nam Carolina với cùng giá đó. Truy cập qua SSH cũng có sẵn cho một máy chủ được sử dụng bởi Chỉ huy Điện tử Truyền thông Quân đội Mỹ (Cecom), mà nó nói nó phát triển, có được, cung cấp và duy trì “cấp thế giới ... các hệ thống và các khả năng Chỉ huy Chiến trận đối với liên quân” (C4ISR). Cecom và Phòng vệ Quốc gia tại Nam Carolina đã loại các máy chủ này ra khỏi Internet.

Tên bẻ khóa cũng đưa ra để bán sự truy cập đối với những máy chủ khác được sử dụng bởi các nhà chức trách Mỹ để bổ sung cho các dịch vụ chung. Ví dụ, bạn có thể trả tiền để có một website thông thường được bẻ khóa với 9.99 USD, dù các website nổi tiếng có giá cao hơn.

According to blogger Brian Krebs anyone seeking root rights to military R&D servers can apparently purchase access for only $499. Krebs and security provider Imperva report that an unknown cracker has a web site selling root access to various web servers used by military authorities in a number of countries. The web site offers a list of individual servers with an indication of the degree of control you get, along with the price.

Access to a server used by the Albanian army (allegedly containing "valuable" data) costs $499 – payable via Liberty Service. Or you can have access to a US National Guard server in South Carolina for the same price. Access via SSH is also available for a server used by US Army Communications-Electronics Command (Cecom), which says it develops, acquires, provides and sustains “world-class… systems and Battle Command capabilities for the joint warfighter” (C4ISR). Cecom and the National Guard of South Carolina have already taken these servers off the internet.

The cracker also offers for sale access to other servers used by US authorities in addition to general services. For instance, you can pay to have a normal web site hacked for $9.99, though prominent web sites cost extra.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Năm, 27 tháng 1, 2011

OSI và FSF yêu cầu Bộ Tư pháp Mỹ can thiệp về các bằng sáng chế của Novell

OSI and FSF ask US DoJ to intervene over Novell patents

20 January 2011, 11:25

Theo: http://www.h-online.com/open/news/item/OSI-and-FSF-ask-US-DoJ-to-intervene-over-Novell-patents-1172473.html

Bài được đưa lên Internet ngày: 20/01/2011

Lời người dịch: Đây là lần 882 đầu tiên cả OSI và FSF, 2 tổ chức hàng đầu thế giới về phần mềm tự do nguồn mở đã cùng tham gia đệ trình đề xuất lên Bộ Tư pháp Mỹ nhằm chống lại việc nhóm CPTN mua 882 bằng sáng chế phần mềm có liên quan tới nguồn mở. Nhóm này có Microsoft, Oracle, EMC và Apple. Thế mới biết, nếu không cạnh tranh được bằng việc đổi mới sáng tạo cho các tính năng của phần mềm, thì có thể cạnh tranh bằng các vụ kiện cáo liên quan tới sở hữu bằng sáng chế phần mềm. Đúng như quan điểm của OSI và FSF, bằng sáng chế phần mềm không khuyến khích đổi mới sáng tạo, mà ngược lại, chống lại sự đổi mới sáng tạo trong phần mềm, đưa các lập trình viên, các công ty phần mềm vào sự kiểm soát của không phải những người làm về phần mềm, mà vào sự kiểm soát của các luật sư, các băng nhóm Troll chuyên buôn bán các bằng sáng chế phần mềm để kinh doanh trong các vụ kiện ở tòa. Những Troll này hoàn toàn có thể là những tổ chức không hề viết ra 1 dòng mã lệnh phần mềm nào. OSI và FSF đều đấu tranh để chấm dứt các bằng sáng chế về phần mềm qua phong trào Chấm dứt Bằng sáng chế Phần mềm End Software Patent.

Tổ chức Sáng kiến Nguồn Mở (OSI) đã tuyên bố rằng trong sự hợp tác với Quỹ Phần mềm Tự do (FSF) nó đã đệ trình một yêu cầu tới Bộ Tư pháp (DoJ) Mỹ yêu cầu DoJ can thiệp vào việc bán được đề nghị đối với các bằng sáng chế của Novell cho nhóm CPTN Holdings. Nhóm CPTN được tạo thành từ Microsoft, Oracle, EMC và Apple và đệ trình của OSI/FSF đấu tranh trong tuyên bố quan điểm của mình rằng những thỏa thuận thương mại ngầm đang diễn ra giữa Novell, Attachmate và CPTN có thể “được sử dụng để dấu đi những dự định bất chính”. OSI/FSF nói rằng Microsoft và Oracle cả 2 được cho là nhận thức được nguồn mở như một lực lượng cạnh tranh, vì họ chỉ định nó như vậy trong những lưu trữ 10K của họ tới SEC. Như họ có thể sử dụng một cách tiềm tàng những bằng sáng chế này để chống lại những đối thủ cạnh tranh, có một khả năng rằng các bằng sáng chế có thể được sử dụng để chống lại các dự án nguồn mở.

The Open Source Initiative (OSI) has announced that in collaboration with the Free Software Foundation (FSF) it has submitted a request to the US Department of Justice which asks the DoJ to intervene in the proposed sale of Novell's patents to the CPTN Holdings consortium. The CPTN consortium is made up of Microsoft, Oracle, EMC and Apple and the OSI / FSF submission contends in it's position statement that the commercially confidential negotiations taking place between Novell, Attachmate and CPTN could "be used to hide nefarious intentions". The OSI / FSF say that Microsoft and Oracle are both on record as recognising open source as a competitive force, since they specify it as such in their 10K filings to the SEC. As they could potentially use the patents against competitors, there is a possibility that the patents could be used against open source projects.

Sự hợp tác giữa OSI và FSF, được mô tả như là “chưa từng có” của thành viên ban quản trị OSI Simon Phipps, là lần đầu tiên 2 tổ chức tự do về phần mềm này đã làm việc cùng nhau trong một ngữ cảnh pháp lý. 882 bằng sáng chế được yêu cầu được mua bởi Novell qua lịch sử dài lâu của nó và bao trùm một phổ công nghệ rộng lớn, bao gồm cả các dịch vụ thư mục, an ninh và kết nối mạng. Vụ làm ăn giữa Novell và Attachmate kêu gọi các bằng sáng chế này sẽ được bán cho nhóm CPTN Holdings như một phần của giao dịch.

Đệ trình của OSI/FSF tới DoJ Mỹ về cơ bản là một sự cập nhật cho yêu cầu đã được đệ trình với Văn phòng Cartel Liên bang Đức. Đã có những sự lộn xộn gần đây về tình trạng của việc đệ trình của CPTN Holdings với Văn phòng Cartel Liên bang Đức; đệ trình đó đã được thực hiện và sau đó rút bỏ, dù điều này được nói chỉ là một bước thủ tục để cho phép sự mua của Attachmate đối với Novell tiến lên được. Những động thái khác sẽ làm nổi lên sự chú ý đối với sự mua của CPTN đã đưa vào những câu hỏi đang được hỏi trong Nghị viện châu Âu, các nhà hoạt động xã hội về bằng sáng chế, Florian Mueller, đã lưu ý trên blog của mình rằng phó chủ tịch Ủy ban châu Âu và ủy viên hội đồng cạnh tranh Joaquín Alumnia đã trả lời cho một câu hỏi từ một nghị sỹ nghị viện châu Âu người Anh về việc mua sắm bằng sáng chế của CPTN. Ủy viện hội đồng này nói hình như là “giao dịch được đề xuất đòi hỏi sự thông báo cho Ủy ban theo Qui định Merger” và nó cũng hình như là “chỉ là sự mua sắm bằng sáng chế” có thể vi phạm các qui định về cạnh tranh của châu Âu.

The collaboration between the OSI and FSF, described as "unprecedented" by OSI board member Simon Phipps, is the first time the two software freedom organisations have worked together in a legal context. The 882 patents in question have been acquired by Novell over its long history and cover a wide spectrum of technology, including directory services, security and networking. The deal between Novell and Attachmate calls for these patents to be sold to the CPTN Holdings consortium as part of the transaction.

The OSI / FSF submission to the US DoJ is essentially an update of the request filed with the Federal Cartel Office (The Bundeskartellamt). There was confusion recently over the status of the CPTN Holdings filing with the Federal Cartel Office; the filing was made and then withdrawn, although this was said to be only a procedural step to allow the Attachmate acquisition of Novell to move forward. Other moves to raise attention to the CPTN acquisition have included questions being asked in the European Parliament. Patent activist, Florian Mueller, noted in his blog that the European Commission vice president and competition commissioner Joaquín Alumnia had responded to a question from a UK MEP about the CPTN patent acquisition. The commissioner said it was unlikely that the "proposed transaction requires a notification to the Commission under the Merger Regulation" and it was also unlikely that "the mere acquisition of patents" would infringe EU competition rules.

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com


Tây Ban Nha: Chính quyền Basque sẽ làm cho các cơ quan khác có lợi từ kinh nghiệm thành công về nguồn mở của mình

ES: Basque Government will make other institutions benefit from its successful Open Source experience

by OSOR Editorial Team — published on Jan 25, 2011

filed under: [T] General Topic, [T] Policies and Announcements, [GL] Spain

Theo: http://www.osor.eu/news/es-basque-government-will-make-other-institutions-benefit-from-its-successful-open-source-experience

Bài được đưa lên Internet ngày: 25/01/2011

Vào 17/12/2010, người phát ngôn của Chính quyền xứ Basque và ủy viên hội đồng về Tư pháp và Hành chính Nhà nước của cộng đọng tự trị này, bà Idoia Mendia, đã công bố rằng chính quyền vùng dự kiến chia sẻ với những nhà chức trách khác của xứ Basque những kết quả tích cực mà nó đã đạt được trong lĩnh vực phần mềm tự do.

Chính quyền vùng này đã đạt được những kết quả như vậy trong quá trình triển khai Kế hoạch Đổi mới sáng tạo Nhà nước (Plan de Innovación Pública - PIP, in Spanish).

Bà Mendia đã tham gia vào một hội nghị tại thành phố Bilbao có đầu đề 'Chính phủ mở: tự do, chia sẻ, hợp tác' ('Gobierno abierto: libera, comparte, colabora', in Spanish) hôm 17/12/2010. Nhân sự kiện này bà đã công bố đường hướng chiến lược mà chính quyền vùng xứ Basque sẽ đi theo trong lĩnh vực phần mềm tự do.

Ủy viên hội đồng này đã giải thích rằng chiến lược của xứ Basque - mà là một trong những lãnh đạo của CENATIC, Trung tâm năng lực quốc gia về nguồn mở của Tây Ban Nha - có 3 trục:

  • Trục 1 thể hiện sáng kiến

  • Trục 2 thiết lập một chương trình nghị sự mà sẽ đưa vào các dự án như Irekia, cổng chính phủ mở của Chính quyền Basque hoặc Euskadi.net, cổng của các chính quyền nhà nước của xứ Basque.

  • Trục 3 cấu tạo từ sự tạo ra 'cộng đồng tích cực' xung quanh dự án này, “sao cho các nhà cung cấp phần mềm khác nhau có thể hợp tác, cộng tác và cạnh tranh theo một cách thức hợp lý và có lợi hơn cho xã hội của xứ Basque”.

Bà Mendia nói rằng trong lĩnh vực phần mềm tự do, Chính quyền của bà “tìm kiếm để đóng góp và chia sẻ các kết quả” với môi trường của họ, “bắt đầu với phần còn lại của các nền hành chính xứ Basque, đặc biệt là cho những phát triển mà có thể nằm trong sự quan tâm của nhà nước”.

On 17 December 2010, the spokeswoman of the Government of the Basque Country and Councillor for Justice and Public Administration of the autonomous community, Ms. Idoia Mendia, announced that the regional government intends to share with the other public authorities of the Basque Country the positive results it reached in the field of free software.

The regional government reached such results during the implementation of the Public Innovation Plan (Plan de Innovación Pública - PIP, in Spanish).

Ms. Mendia participated in the city of Bilbao in a conference entitled 'Open Government: free, share, collaborate' ('Gobierno abierto: libera, comparte, colabora', in Spanish) on 17 December 2010. On this occasion she announced the lines of the strategy that the regional government of the Basque Country will follow in the field of free software.

The councillor explained that the strategy of the Basque Country - which is one of the employers of CENATIC, Spain's national competence centre on open source - has three axes:

  • Axis 1 presents the initiative;

  • Axis 2 sets a agenda that will include projects such as Irekia, the open government portal of the Basque Government or Euskadi.net, the portal of the public administrations of the Basque Country;

  • Axis 3 consists of the creation of an 'active community' around the project, "so that the different software providers can cooperate, collaborate and compete in a more rational and beneficial way for the Basque society."

Ms. Mendia said that in the field of free software, her Government "seeks to contribute and share results" with their environment, "starting with the rest of the Basque administrations, in particular for developments that may be in the public interest."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Tư, 26 tháng 1, 2011

Trojan ngân hàng trực tuyến phát triển nhanh

Online banking trojan developing fast

20 January 2011, 11:56

Theo: http://www.h-online.com/security/news/item/Online-banking-trojan-developing-fast-1172452.html

Bài được đưa lên Internet ngày: 20/01/2011

Lời người dịch: Chúng ta đã biết tới bộ công cụ xây dựng phần mềm độc hại ZeuS từng được cho là vua của các bộ công cụ tạo phần mềm độc hại nhằm tới các dịch vụ ngân hàng trực tuyến. Tuy nhiên, trong thời gian vài tháng trở lại đây, đã xuất hiện một bộ công cụ khác, được cho là sẽ canh tranh được với ZeuS, đó là Carberp. “Trong khi các phiên bản đầu tiên của Carberp từng rất đơn giản trong xây dựng của nó, thì những phiên bản mới hơn lại được trang bị với một danh sách các tính năng khá ấn tượng. Nó bây giờ chạy trên tất cả các phiên bản Windows, bao gồm cả Windows 7, nơi mà, theo TrustDefender, là có khả năng làm công việc của nó mà không cần các quyền ưu tiên của người quản trị. Về mặt kỹ thuật thì điều này không đáng đánh dấu là đặc biệt gì - các quyền ưu tiên của người sử dụng là, ví dụ, đủ để đăng ký như một mở rộng của trình duyệt. Điều này có thể cho phép một Trojan đọc và sửa thậm chí các giao thông ngân hàng trực tuyến được mã hóa bằng những phương tiện của một cuộc tấn công 'người trong trình duyệt'”.

Bộ xây dựng Trojan Carberp, mà lần đầu tiên nổi lên vào mùa thu, dường như đang nhanh chóng được phát triển, theo các báo cáo từ các nguồn, kể cả từ nhà cung cấp dịch vụ an ninh Seculert, nhà phân tích Toni Koivunen của F-Secure đã gọi nó là ngôi sao đang lên trong thế giới Trojan cho ngân hàng.

Trong khi các phiên bản đầu tiên của Carberp từng rất đơn giản trong xây dựng của nó, thì những phiên bản mới hơn lại được trang bị với một danh sách các tính năng khá ấn tượng. Nó bây giờ chạy trên tất cả các phiên bản Windows, bao gồm cả Windows 7, nơi mà, theo TrustDefender, là có khả năng làm công việc của nó mà không cần các quyền ưu tiên của người quản trị. Về mặt kỹ thuật thì điều này không đáng đánh dấu là đặc biệt gì - các quyền ưu tiên của người sử dụng là, ví dụ, đủ để đăng ký như một mở rộng của trình duyệt. Điều này có thể cho phép một Trojan đọc và sửa thậm chí các giao thông ngân hàng trực tuyến được mã hóa bằng những phương tiện của một cuộc tấn công 'người trong trình duyệt'.

Carberp bây giờ cũng có thể làm sạch các hệ thống bị lây nhiễm để thắng trong bất kỳ sự cạnh tranh nào. Phiên bản mới nhất ăn cắp các dữ liệu trước cả việc truyền có sử dụng một khóa ngẫu nhiên, mà khách hàng đăng ký với máy chủ kiểm soát. Cho tới bây giờ, các bots đã sử dụng các khóa tĩnh được mã hóa trong bản thân chương trình - mà, tất nhiên, đã làm cho cuộc sống dễ dàng hơn nhiều đối với các chuyên gia chống virus.

Khía cạnh thú vị nhất là việc những chức năng này đã được bổ sung vào Carberp trong một thời gian chỉ vài tháng. Một cuộc chiến tranh thành công đối với nền tảng những người dùng của ZeuS hiện đang nổi lên trong lĩnh vực lừa đảo ngân hàng trực tuyến, khi mà công việc phát triển trên ZeuS dường như đã dừng. Carberp và SpyEye là trong số những kẻ dẫn đầu, nhưng khó có thể đoán trước được kết quả cuối cùng. Tuy nhiên, ngày một trở nên rõ ràng hơn rằng trận chiến một phần được đánh nhau bằng những phương tiện đối với các tính năng và vì thế các phiên bản Trojan phức tạp hơn bao giờ hết sẽ được mong đợi.

Trojan construction kit Carberp, which first emerged in the autumn, appears to be undergoing rapid development, according to reports from sources that include security services provider Seculert. F-Secure analyst Toni Koivunen is already calling it the rising star of the banking trojan world.

Where the first versions of Carberp were very simple in their construction, newer versions are equipped with a pretty impressive list of features. It now runs on all versions of Windows, including Windows 7, where, according to TrustDefender, it is able to do its work without requiring administrator privileges. Technically, this is not particularly remarkable – user privileges are, for example, sufficient for it to register as a browser extension. This would allow a trojan to read and modify even encrypted online banking traffic by means of a 'man-in-the-browser' attack.

Carberp can also now clean up infected systems to get shot of any competition. The latest version encrypts stolen data prior to transfer using a random key, which the client registers with the control server. Until now, bots have used static keys encoded into the program itself – which, of course, made life a lot easier for anti-virus specialists.

The most interesting aspect is that these functions have been added to Carberp over a period of just a few months. A war of succession for ZeuS' customer base is currently raging in the online banking fraud sector, since development work on ZeuS appears to have stopped. Carberp and SpyEye are among the frontrunners, but it is difficult to predict the eventual outcome. It is, however, becoming increasingly clear that the battle will in part be fought by means of features and therefore ever more sophisticated trojan versions are to be expected.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Trojan vượt qua được chống virus dựa vào đám mây

Trojan bypasses cloud-based anti-virus

21 January 2011, 16:31

Theo: http://www.h-online.com/security/news/item/Trojan-bypasses-cloud-based-anti-virus-1173385.html

Bài được đưa lên Internet ngày: 21/01/2011

Lời người dịch: Bohu, một phần mềm độc hại chỉ chạy được với Windows thông qua giao thức Winsock SPI, hiện chủ yếu có tại Trung Quốc, được cho là có khả năng vượt qua được các giải pháp chống virus và gây rủi ro cho các tệp thông qua việc đưa yêu cầu tới máy chủ trong đám mây. Còn chưa rõ nó có khả năng khóa không cho truy cập vào đám mây hay không.

Trung tâm Bảo vệ chống Phần mềm độc hại của Microsoft đang nói rằng Bohu, một Trojan chủ yếu có ở Trung Quốc, có khả năng vượt qua được các giải pháp chống virus mà chúng ước tính rủi ro cho các tệp bằng việc đưa yêu cầu tới một máy chủ trong đám mây. Bohu sử dụng một số kỹ thuật để tránh sự dò tìm ra.

Theo báo cáo, Bohu nối thêm vào một cách ngẫu nhiên các dữ liệu tới các tệp riêng của nó để phá ngang sự dò tìm ra dựa vào hàm băm. Các trình quét đám mây gửi một hàm băm tệp tới máy chủ của đám mây để xác định liệu thông tin có sẵn sàng cho một tệp nào đó được đưa ra hay không. Dữ liệu ngẫu nhiên này tạo ra một hàm băm mới được hình thành mà máy chủ không nhận biết được.

Bohu cũng dự định khóa các giao thông của các dữ liệu giữa phần mềm chống virus và đám mây. Nó làm vậy bằng việc cài đặt một bộ lọc thông qua Giao diện Nhà cung cấp Dịch vụ của Windows Sockets (Winsock SPI) và một trình điều khiển của NDIS mà, theo Microsoft, sẽ khóa giao thông mạng và các yêu cầu HTTP có chứa các từ khóa đặc biệt và các địa chỉ của máy chủ không cho tải lên được máy chủ.

Hiện hành, Bohu hình như chỉ cố gắng khóa các kết nối tới các giải pháp đám mây từ các nhà cung cấp của Trung Quốc như Kingsoft, Rising và Qihoo. Bohu gây lây nhiễm cho các máy tính bằng việc tự nó ẩn mình như một video codec khi nó cài đặt các tệp bổ sung vào đó. Còn chưa rõ báo cáo của Microsoft và mô tả của nó về phần mềm độc hại này có khóa không cho truy cập vào đám mây hay không. Bohu thực sự, ví dụ, ăn cắp các dữ liệu hoặc thực hiện một số chức năng bất chính khác.

Microsoft's Malware Protection Center is reporting that Bohu, a trojan largely confined to China, is able to bypass anti-virus solutions which assess the risk posed by files by querying a server in the cloud. Bohu uses a number of techniques to avoid detection.

According to the report, Bohu appends random data to its own files in order to thwart hash-based detection. Cloud scanners send a file's hash to the cloud server to determine whether information is available for a given file. The random data results in a new hash being generated which the server does not recognise.

Bohu also attempts to block data traffic between anti-virus software and the cloud. It does so by installing a filter via the Windows Sockets Service Provider Interface (Winsock SPI) and an NDIS driver which, according to Microsoft, blocks network traffic and HTTP requests containing specific keywords and server addresses from being uploaded to the server.

Currently, Bohu apparently only tries to block connections to cloud solutions from popular Chinese vendors Kingsoft, Rising and Qihoo. Bohu infects computers by disguising itself as a video codec and once there installs additional files. It's not clear from Microsoft's report and its description of the malware what, apart from blocking cloud access, Bohu actually does, whether, for example, it steals data or performs some other nefarious function.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Ba, 25 tháng 1, 2011

LibreOffice 3.3 bản cuối cùng đã được tung ra

LibreOffice 3.3 final released

25 January 2011, 12:03

Theo: http://www.h-online.com/open/news/item/LibreOffice-3-3-final-released-1176425.html

Bài được đưa lên Internet ngày: 25/01/2011

Lời người dịch: Sau một thời gian 4 tháng kể từ khi rẽ nhánh khỏi OpenOffice của Oracle, ngày 25/01/2011, Quỹ Tài liệu đã tung ra bản rẽ nhánh ổn định đầu tiên LibreOffice 3.3, chấm dứt những đoán già đoán non về số phận của bản rẽ nhánh liệu có tồn tại hay không. Thực tế đã trả lời là CÓ. Và đây chính là ưu thế của phần mềm tự do nguồn mở. Nó có thể vẫn cứ sống, kể cả công ty đằng sau nó bị chết, kể cả công ty đằng sau nó bị mua. Có thể tải về LibreOffice 3.3 ở đây.

Quỹ Tài liệu đã công bố tung ra phiên bản cuối cùng của LibreOffice 3.3 (LO v3.3), sau 4 tháng phát triển, một đội phát triển mà đã mở rộng hơn 100 người và 4 phiên bản ứng viên. LO đã được tạo ra vào tháng 11 năm ngoái sau sự thất vọng với các kế hoạch và sự phát triển OpenOffice của Oracle. Kể từ khi tách khỏi Oracle, số lượng gia tăng các lập trình viên và mô hình phát triển thân thiện với nguồn mở hơn đã cho phép Quỹ này đưa ra trước “lịch trình tích cực”, và để đưa ra một số lượng các tính năng mới và gốc mà nó khác biệt với OpenOffice 3.3.

Caolan McNamara của Red Hat, một trong những lãnh đạo cộng đồng phát triển, nói rằng các lập trình viên đã phấn khích vì đây là phiên bản ổn định đầu tiên và họ đã nóng lòng có được sự phản hồi của những người sử dụng. McNamara đã lưu ý rằng từ tháng 3, sự phát triển có thể chuyển sang nhiều hơn về một “lịch trình dựa vào thời gian thực tế, có thể đoán trước được, minh bạch và tung ra công khai”. Các chi tiết về điều này trên trang Wiki của dự án bao gồm các kế hoạch cho các phiên bản 3.3.1 và 3.3.2 vào tháng 2 và tháng 3, và nhìn trước phiên bản 3.4.0 vào tháng 5.

Một số tính năng trong phiên bản 3.3 giải quyết các nhu cầu của các lập trình viên, như một trình cài đặt cửa sổ mới; điều này tích hợp tất cả các phiên bản ngôn ngữ vào một bộ xây dựng của LO, giảm thiểu dung lượng của nó trên các máy chủ từ 75MB xuống còn 11MB. Các lập trình viên cũng đang tích cực làm sạch một cách nhanh chóng mã nguồn để giúp chuẩn bị cho các phiên bản trong tương lai.

Quỹ này nhấn mạnh một số các tính năng duy nhất đối với LO, như khả năng nhập vào các tệp SVG, dễ dàng sử dụng định dạng trang tiêu đề trong Writer, những cải tiến đối với các công cụ dịch chuyển trong Writer, quản lý bảng tính và ô tính tốt hơn trong Calc và nhập vào sự hỗ trợ cho các tài liệu của Microsoft Works và Lotus Word Pro. LO cũng có hàng đống các mở rộng cho việc nhập PDF, một bàn điều khiển cho trình trình diễn các bài trình bày và trình xây dựng báo cáo được cải thiện.

The Document Foundation has announced the release of the final version of LibreOffice 3.3, after four months of development, a development team that has expanded to over one hundred people and four release candidates. LibreOffice was created last September after frustration with Oracle's OpenOffice plans and development. Since breaking away from Oracle, the increased number of developers and a more open source friendly development model has allowed the Foundation to release ahead of its "aggressive schedule", and to offer a number of new and original features which distinguish it from Oracle's OpenOffice 3.3.

RedHat's Caolan McNamara, one of the development community leaders, said that the developers were excited as this was the first stable release and they were eager to get user feedback. McNamara noted that from March, the development would move to more of a "real time-based, predictable, transparent and public release schedule". Details of this on the project's Wiki include plans for 3.3.1 and 3.3.2 releases in February and March, and foresee a 3.4.0 release in May.

Some of the features in version 3.3 address needs of the developers, such as a new Windows installer; this integrates all language versions into one build of LibreOffice, reducing its footprint on servers from 75 to 11 GB. The developers are also progressing a rapid clean up of the code to help prepare for future versions.

The Foundation highlights a number of features unique to LibreOffice, such as the ability to import SVG files, easy to use title page formatting in Writer, improvements to Writer's navigation tools, better sheet and cell management in Calc and import support for Microsoft Works and Lotus Word Pro documents. LibreOffice also bundles extensions for PDF import, a slideshow presenter console and an improved report builder.


LO v3.3 cũng đưa vào tất cả những cải tiến của OpenOffice 3.3: điều khiển các thuộc tính tùy biến, các phông chữ PDF tiêu chuẩn có khả năng nhúng được trong các tài liệu PDF, một phông chữ mới Liberation (tự do), bảo vệ tốt hơn các tài liệu trong Calc và Writer, hỗ trợ 1 triệu hàng trong Calc, và hơn thế nữa. Quỹ Tài liệu lưu ý rằng một vài tính năng này thực sự đã được đóng góp bởi các thành viên của đội LO trước khi tạo ra Quỹ Tài liệu. Tất cả những tính năng mới của LO được chi tiết hóa trên trang “Các tính năng mới” (New Features) và LO có thể tải về được từ website của LO ở đây. LO v3.3 được cấp phép theo GNU LGPL v3 và có sẵn cho Windows, Mac OS X (Intel và PPC), và Linux (32 bit và 64 bit trong các gói rpm và deb).

Xem thêm:

LibreOffice 3.3 also includes all the enhancements of OpenOffice 3.3: custom properties handling, embeddable standard PDF fonts in PDF documents, a new Liberation Narrow font, better document protection in Calc and Writer, support of a million rows in calc, and more. The Document Foundation notes that several of these features were actually contributed by LibreOffice team members before the creation of the Document Foundation. All the new LibreOffice features are detailed on a "New Features" page and LibreOffice can be downloaded from the LibreOffice website. LibreOffice 3.3 is licensed under the GNU LGPL version 3 and is available for Windows, Mac OS X (Intel and PPC), and Linux (32-bit and 64-bit in rpm and deb packages).

See also:

(djwm)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Latvia: Bắt buộc áp dụng ODF

Latvia: ODF acceptance mandatory

21 January 2011, 15:14

Theo: http://www.h-online.com/open/news/item/Latvia-ODF-acceptance-mandatory-1173340.html

Bài được đưa lên Internet ngày: 21/01/2011

Lời người dịch: “Từ nay trở đi, tất cả các cơ quan chính phủ tại Latvia phải áp dụng các tài liệu ở định dạng ODF. Như các con số được khẳng định bởi OSEPA (sử dụng phần mềm nguồn mở trong các nền hành chính nhà nước châu Âu), ....động thái này không bị hạn chế đối với nhà nước nhỏ bé ở Baltic này, mà rằng nó là một phần của một sự phát triển trong tiến bộ lớn hơn giữa các nền hành chính nhà nước khắp châu Âu: không ai muốn thúc ép các công dân sử dụng một gói phần mềm văn phòng thương mại khi giao tiếp với các cơ quan nhà nước của họ”.

Thứ tư tuần trước, Simon Phipps, nhà cựu truyền bá về nguồn mở của Sun, đã nói trên blog của mình, về một bài trình bày mà ông đã đưa ra tại một hội nghị ở Latvia có liên quan tới Định dạng Tài liệu Mở (ODF). Trước bài trình bày của ông, một quan chức chính phủ Latvia đã thông báo rằng, từ nay trở đi, tất cả các cơ quan chính phủ tại Latvia phải áp dụng các tài liệu ở định dạng ODF. Như các con số được khẳng định bởi OSEPA (sử dụng phần mềm nguồn mở trong các nền hành chính nhà nước châu Âu), Phipps nói rằng động thái này không bị hạn chế đối với nhà nước nhỏ bé ở Baltic này, mà rằng nó là một phần của một sự phát triển trong tiến bộ lớn hơn giữa các nền hành chính nhà nước khắp châu Âu: không ai muốn thúc ép các công dân sử dụng một gói phần mềm văn phòng thương mại khi giao tiếp với các cơ quan nhà nước của họ.

Rẽ nhánh LibreOffice của OpenOffice của Quỹ Tài liệu hình như đã trở nên rất phổ biến, nhưng Phipps nói rằng “nhiều công dân sẽ muốn sử dụng phần mềm khác LibreOffice để soạn thảo các tài liệu ODF”. Ông nói rằng ông ngạc nhiên về sự hỗ trợ không đầy đủ đối với ODF của Apple và Google Docs. “Điều mỉa mai là sự hỗ trợ ODF sở hữu độc quyền tốt nhất ngay bây giờ là từ Microsoft”, ông kết luận.

Last Wednesday, Simon Phipps, former open source evangelist at Sun, reported on his blog, on a presentation he had given at a conference in Latvia concerning the Open Document Format (ODF). Speaking before him, a Latvian government official had made the announcement that, from now on, all government departments in Latvia must accept documents in ODF. As confirmed by OSEPA (Open Source software usage by European Public Administrations) figures, Phipps said that the move isn't limited to this small Baltic state, but that it is part of a larger development in progress among public administrations across Europe: nobody wants to force citizens to use a commercial office package when communicating with their public authorities.

The Document Foundation's LibreOffice fork of OpenOffice has apparently become very popular, but Phipps stated that "many citizens will want to use software other than LibreOffice to edit ODF documents". He said that he is surprised about the incomplete support for ODF provided by Apple and Google Docs. "It's ironic that the best proprietary ODF support right now is from Microsoft", he concluded.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Hai, 24 tháng 1, 2011

Vì sao sâu Stuxnet có thể là người anh em của Conficker

Why the Stuxnet worm could be Conficker's cousin

Jan 19, 2011

By Byron Acohido, USA TODAY

Theo: http://content.usatoday.com/communities/technologylive/post/2011/01/why-the-stuxnet-worm-could-be-confickers-cousin-/1

Bài được đưa lên Internet ngày: 19/01/2011

Lời người dịch: Hãng phần mềm chống virus F-Secure của Phần Lan đã đưa ra những phân tích có sức thuyết phục và làm mê hoặc về mối liên quan giữa Stuxnet và Conficker và cho rằng đây là những vũ khí của liên danh Mỹ - Israel không chỉ nhằm vào việc phá hoại chương trình hạt nhân của Iran, mà còn cả của Bắc Triều tiên nữa, về kết luận rằng: “Chúng ta phải giả thiết rằng bây giờ bất kỳ quốc gia phát triển nào cũng đang phát triển các cuộc tấn công không gian mạng mang tính tấn công của riêng họ”. Lưu ý là Việt Nam từng được đánh giá là quốc gia đứng số 1 thế giới về tỷ lệ lây nhiễm Conficker và cũng đã có sự xuất hiện của Stuxnet. Liệu Việt Nam hiện nay có đang là một nơi lý tưởng để thử các loại vũ khí không gian mạng hay không nhỉ???

Hãng phần mềm chống virus F-Secure của Phần Lan đã đóng góp cho sự đánh thủng về mặt kỹ thuật một cách có sức thuyết phục và làm mê hoặc đối với sâu Windows Stuxnet. Điều này đi theo báo cáo gần đây của tờ Thời báo New York nói rằng Stuxnet có thể là một phần của một nỗ lực liên danh Mỹ - Israel để làm xói mòn khát vọng về vũ khí hạt nhân của Iran.

Giám đốc Nghiên cứu Mikko Hypponen của F-Secure nói Stuxnet:

  • Rõ ràng được nhà nước quốc gia bảo trợ.

  • Có lẽ cũng được nhằm tới việc làm xói mòn các sáng kiến về vũ khí hạt nhân còn trong trứng nước của Bắc Triều tiên.

  • Rất tốt có thể được biến thể từ sâu Confiker từng chiếm ngự trên các tiêu đề báo chí.

Conficker, bạn có thể còn nhớ, từng ồn ào, đã nhằm vào một cách ngẫu nhiên các máy tính cá nhân PC ở nhà và ở các công ty, và đã chiếm các đầu đề trong các phương tiện thông tin đại chúng lớn, bao gồm cả chương trình 60 Minutes.

Ngược lại, Stuxnet là lén lút vụng trộm, nhằm vào trước hết các hệ thống nhà máy lớn, và hầu như chỉ được viết trong các phương tiện thông tin thương mại. Conficker, dường như, có lẽ chỉ có thể là phiên bản beta của Stuxnet. Về suy luận rằng Stuxnet có thể là người anh em đối với Conficker, Hypponen quan sát thấy:

Vùng thời gian có lẽ là trùng khớp. Các biến thể mới nhất của Conficker đã được thấy sớm hơn một chút so với những biến thể đầu tiên của Stuxnet. Cả 2 phần mềm độc hại này từng là tiên tiến một cách không bình thường. Chúng chia sẻ một khai thác, dù mã nguồn là khác nhau. Có thể Conficker đã được sử dụng để ánh xạ các dải mạng mà chúng có thể sau đó được sử dụng trong cuộc tấn công của Stuxnet chăng? Chúng ta không biết.

Stuxnet có thể là bằng chứng mới nhất, trực giác nhất về sự leo thang đều đều của chiến tranh không gian mạng của các nhà nước - quốc gia. “Chúng ta đang thấy những bước đầu tiên của một dạng chạy đua vũ trang mới”, Hypponen nói. “Chúng ta phải giả thiết rằng bây giờ bất kỳ quốc gia phát triển nào cũng đang phát triển các cuộc tấn công không gian mạng mang tính tấn công của riêng họ”.

Finnish antivirus firm F-Secure has contributed this cogent and riveting technical breakdown of the Windows Stuxnet worm. This follows the New York Times recent report making the case that Stuxnet may be part of a joint U.S. – Israeli effort to undermine Iran's nuclear weapons aspirations.

F-Secure's Chief Research Officer Mikko Hypponen says Stuxnet:

  • Clearly appears to be nation-state sponsored.

  • Probably is aimed at undermining North Korea's fledgling nuclear weapons initiatives, as well.

  • Very well could be derived from the headline-grabbing Conficker worm.

Conficker, you may recall, was noisy, focused randomly on home and corporate desktop PCs, and grabbed headlines in big media, including coverage by 60 Minutes.

By contrast, Stuxnet is stealthy, aimed primarily at large factory systems, and has mostly been written about in trade media. Conficker, it seems, could possibly even have been the beta-version of Stuxnet. Regarding deduction that Stuxnet could be a cousin to Conficker, Hypponen observes:

The timezone would fit. The last variants of Conficker were found a bit before first variants of Stuxnet. Both malware were unusually advanced. They share one exploit, although the code is different. Maybe Conficker was used to map network ranges that could then be used in Stuxnet attack? We don't know.

Stuxnet may be the latest, most visible evidence of the steady escalation of nation-state cyberwarfare. "We are seeing the very first steps of a new kind of arms race," says Hypponen. "We have to assume that by now any developed nations are developing their own offensive cyber attacks."

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Stuxnet: Câu chuyện trinh thám số

Stuxnet: A digital detective story

Saturday 22 January 2011

Theo: http://www.telegraph.co.uk/technology/8274052/Stuxnet-A-digital-detective-story.html

Bài được đưa lên Internet ngày: 22/01/2011

Lời người dịch: Stuxnet “đã thôi miên toàn thế giới các nhà nghiên cứu an ninh và tình báo”, khi nó được cho là được tạo ra để phá vỡ chương trình hạt nhân của Iran. Một loạt các sự việc được tiết lộ kể từ tháng 06/2010 đến tháng 01/2011 đã được ghi nhận lại, trong đó có sự thừa nhận của một số công ty, tổ chức có liên quan như Microsoft, Siemens, Viện An ninh Khoa học và Quốc tế, các nhà nghiên cứu của Đức ... và đặc biệt nhất là sự thừa nhận của Thổng thông Iran Mahmoud Ahmadinejad khẳng định Stuxnet đã có ảnh hưởng tại Natanz, cơ sở hạt nhân của Iran. “Họ đã thành công trong việc tạo ra những vấn đề đối với một số lượng hạn chế các máy ly tâm của chúng ta bằng phần mềm mà họ đã cài đặt vào các phần điện tử”.

Stuxnet, một virus máy tính được tin tưởng đã được tạo ra để phá vỡ chương trình hạt nhân của Iran, đã thôi miên toàn thế giới các nhà nghiên cứu an ninh và tình báo.

Stuxnet, a computer virus believed to have been created to disrupt the Iranian nuclear programme, has fascinated security and intelligence researchers worldwide.

Iranian President Mahmoud Ahmadinejad visits the Natanz Uranium Enrichment Facility

Ảnh của AP: Tổng thông Iran Mahmoud Ahmadinejad thăm Cơ sở làm giàu Uranium tại Natanz.

Iranian President Mahmoud Ahmadinejad visits the Natanz Uranium Enrichment Facility Photo: AP

Được đặt tên sau khi các chữ ký được vùi vào trong mã nguồn của nó, có một số chỗ gián đoạn lớn nhất của chúng trong sự việc Stuxnet.

2008 và 2009: Các hãng an ninh máy tính dò tìm ra trên Internet những gì sau này hóa ra ra các thành phần của toàn bộ virus Stuxnet gây choáng người.

Tháng 06/2010: Một hãng an ninh vô danh của Belaruss báo cáo trông thấy lần đầu tiên Stuxnet trong các máy tính của một khách hàng Iran.

Tháng 07/2010: Microsoft cảnh báo các khách hàng rằng Stuxnet có khả năng khai thác các chỗ bị tổn thương về an ninh trong Windows.

Tháng 07/2010: Siemens, một nhà sản xuất các hệ thống kiểm soát công nghiệp trong các nhà máy xí nghiệp, trong khi đó nói các khách hàng của hãng một khi ở trong một hệ thống Windows, thì virus sẽ nắm lấy quyền kiểm soát thiết bị, và đưa ra một công cụ để loại bỏ nó.

Tháng 09/2010: Các nhà nghiên cứu Đức lần đầu tiên gợi ý cuộc tấn công nhằm đặc biệt vào chương trình làm giàu hạt nhân của Iran.

Tháng 09/2010: Microsoft đưa ra một bản vá phần mềm Windows để sửa chỗ bị tổn thương bị Stuxnet khai thác.

Tháng 11/2010: Tổng thống Mahmoud Ahmadinejad khẳng định Stuxnet đã có ảnh hưởng tại Natanz, cơ sở hạt nhân của Iran. “Họ đã thành công trong việc tạo ra những vấn đề đối với một số lượng hạn chế các máy ly tâm của chúng ta bằng phần mềm mà họ đã cài đặt vào các phần điện tử”, ông nói.

Tháng 12/2010: Viện An ninh Khoa học và Quốc tế khẳng định rằng Stuxnet làm việc bằng việc tạo ra sự điều chỉnh huyền ảo tinh vi, nhưng gây hại cho tốc độ trong việc quay của các máy ly tâm uranium và gợi ý nó có thể phá hủy tới 1.000 máy ly tâm tại Natanz.

Tháng 01/2011: Tờ Thời báo New York đưa tin các nguồn tin tình báo không nêu tên nói Stuxnet từng là một chiến dịch liên danh của Mỹ và Israel.

Named after signatures buried in its code, here are some of their biggest breaks on the Stuxnet case.

2008 and 2009: Computer security firms detect on the internet what later turn out to be components of the full blown Stuxnet virus.

June 2010: A little-known Belarussian security firm reports the first sighting of Stuxnet on the computers of an Iranian customer.

July 2010: Microsoft warns customers of that Stuxnet is able to exploit security vulnerabilities in Windows.

July 2010: Siemens, a maker of industrial control systems in utility plants and factories, meanwhile tells its customers that once inside a Windows system, the virus takes contols of equipment, and issues a tool to remove it.

September 2010: German researchers are first to suggest the attack is specifically targeted at Iran's nuclear enrichment programme.

September 2010: Microsoft releases a Windows software patch to fix the vulnerability exploited by Stuxnet.

November 2010: President Mahmoud Ahmadinejad confirms Stuxnet had an impact at Natanz, Iran nuclear enrichment site. "They succeeded in creating problems for a limited number of our centrifuges with the software they had installed in electronic parts," he said.

December 2010: The Institute for Science and International Security confirms that Stuxnet works by making subtle, but damaging adjustments to the speed at which uranium centrifuges spin and suggests it may have destroyed up to 1,000 at Natanz.

January 2011: The New York Times reports unnamed intelligence sources claiming Stuxnet was a joint American-Israeli operation.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Chủ Nhật, 23 tháng 1, 2011

Kiểm soát công nghiệp: khai thác làm thức tỉnh con rồng Trung Quốc

Industrial control: exploit to wake the sleeping Chinese dragon

11 January 2011, 15:53

Theo: http://www.h-online.com/security/news/item/Industrial-control-exploit-to-wake-the-sleeping-Chinese-dragon-1167614.html

Bài được đưa lên Internet ngày: 11/01/2011

Lời người dịch: Không phải chỉ có phần mềm SCADA của Siemens cùng với 4 lỗi ngày số 0 trong Windows bị Stuxnet khai thác để đẩy lùi tham vọng hạt nhân của Iran, mà bây giờ các chuyên gia an ninh còn phát hiện “KingView, một ứng dụng cho việc ảo hóa xử lý dữ liệu trong các hệ thống kiểm soát công nghiệp mà nó được cho là sẽ được sử dụng rộng rãi tại Trung Quốc, có một chỗ bị tổn thương sống còn” tương tự như trong vụ Stuxnet; Được biết “KingView thậm chí được sử dụng trong các nền công nghiệp vũ trụ và quốc phòng của Trung Quốc”. Một chuyên gia an ninh nói rằng “cơ quan ứng cứu máy tính khẩn cấp của Trung Quốc CN-CERT cũng đã không phản ứng kịp, bất chấp cũng đã được thông báo về chỗ bị tổn thương này. Người nhận bức thư của ông thậm chí còn không hiểu nó là gì”. Không rõ ở Việt Nam thì có KingView trong các nhà máy công nghiệp hay không nhỉ???

KingView, một ứng dụng cho việc ảo hóa xử lý dữ liệu trong các hệ thống kiểm soát công nghiệp mà nó được cho là sẽ được sử dụng rộng rãi tại Trung Quốc, có một chỗ bị tổn thương sống còn; điều này có thể bị sử dụng để làm tổn thương từ sa một hệ thống và một khai thác bây giờ đã được công bố. Chỗ bị tổn thương này có những sự tương tự như Stuxnet, mà nó cũng đã khai thác những chỗ bị tổn thương để thâm nhập vào các hệ thống SCADA.

Theo Dilon Beresford, một chuyên gia an ninh tại Phòng thí nghiệm NSS, Wellin Tech, công ty đứng đằng sau KingView, được thông tin về vấn đề này vào tháng 09, nhưng đã chưa có trả lời. Phần mềm bị tổn thương này vẫn có sẵn sàng để tải về (tải về trực tiếp). Các nhà cung cấp không có trách nhiệm là không phải không phổ biến, nhưng Beresford thể hiện sự ngạc nhiên đặc biệt rằng cơ quan ứng cứu máy tính khẩn cấp của Trung Quốc CN-CERT cũng đã không phản ứng kịp, bất chấp cũng đã được thông báo về chỗ bị tổn thương này. Người nhận bức thư của ông thậm chí còn không hiểu nó là gì.

Beresford nói rằng CN-CERT cũng không phản ứng về gì khi được liên hệ với cơ quan tương tự của Mỹ US-CERT. Theo thông tin được cung cấp bởi các nhà phân phối, KingView thậm chí được sử dụng trong các nền công nghiệp vũ trụ và quốc phòng của Trung Quốc. Trên blog của mình, Beresford ngạc nhiên về những gì CN-CERN làm việc trong những ngày này. Để cố gắng đánh thức con rồng đang ngủ, ông đã quyết định xuất bản một khai thác đối với chỗ bị tổn thương này. Mã nguồn, được viết bằng ngôn ngữ Python, kích hoạt một đống tràn bộ nhớ và sử dụng mã nguồn vỏ được châm để mở một vỏ trên cổng 4444.

KingView, an application for visualising process data in industrial control systems which is reported to be in widespread use in China, contains a critical vulnerability; this can be used to remotely compromise a system and an exploit has now been published. The vulnerability has similarities to Stuxnet, which also exploited vulnerabilities to penetrate SCADA systems.

According to Dillon Beresford, a security specialist at NSS Labs, WellinTech, the company behind KingView, was informed of the problem in September, but has yet to respond. The vulnerable software is still available to download (direct download). Unresponsive vendors are not uncommon, but Beresford expresses particular surprise that Chinese CERT (CN-CERT) has also failed to react, despite having also been informed of the vulnerability. Receipt of his email has not even been acknowledged.

Beresford reports that CN-CERT also failed to react on being contacted by US-CERT. According to information provided by distributors, KingView is even used in the Chinese aerospace and national defence industries. On his blog, Beresford wonders aloud what CN-CERT does with its days. To try to wake the sleeping dragon, he elected to publish an exploit for the vulnerability. The code, written in Python, triggers a heap overflow and uses injected shell code to open a shell on port 4444.

(crve)

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

An ninh không chỉ là rào cản duy nhất cho điện toán đám mây

Security isn't the only barrier to cloud computing

By Katherine McIntire Peters 01/13/2011

Theo: http://www.nextgov.com/nextgov/ng_20110113_1851.php

Bài được đưa lên Internet ngày: 13/01/2011

Lời người dịch: Khi chuyển sang sử dụng điện toán đám mây, không chỉ có lo lắng về vấn đề an ninh, mà còn cả tính tương hợp, tính khả chuyển và việc cấp phép nữa. Việc cấp phép mà các nhà cung cấp dịch vụ yêu cầu khách hàng cùng với việc cấp phép mà khách hàng hiện đang chịu. Đó là hiện trạng sử dụng điện toán đám mây tại các cơ quan nhà nước tại Mỹ hiện nay.

Trong khi Nhà Trắng đang thúc đẩy các cơ quan chuyển nhiều hơn các hoạt động công nghệ thông tin sang các hệ thống dựa trên đám mây, thì các quan chức cao cấp của liên bang lại nói họ đối mặt với một số thách thức ngoài an ninh ra. Dawn Leaf, giám đốc cao cấp về điện toán đám mây tại Viện Tiêu chuẩn và Công nghệ Quốc gia, mà đang phát triển các tiêu chuẩn cho các mạng dựa trên Internet, nói: “Một trong những thứ mà chúng tôi thấy có tính chiến lược đối với không chỉ những người sử dụng của chính phủ mà còn đối với tất cả những người áp dụng đám mây là tính tương hợp và tính khả chuyển. Chúng ta nói quá nhiều về an ninh mà chúng ta đôi khi quên 2 điều này”.

Leaf nói với các lãnh đạo khác trong một phiên hội thảo nhóm được tài trợ bởi Hiệp hội Truyền thông và Điện tử của Lực lượng Vũ trang tại Bethesda, Md., hôm thứ năm. Trọng tâm của cả 2 thách thức này là việc cấp phép phần mềm. Vì điện toán đám mây cung cấp cho một nhóm lớn những người sử dụng với sự truy cập mạng theo yêu cầu đối với một kho được chia sẻ các ứng dụng và các nguồn tài nguyên công nghệ khác, nên các thỏa thuận cấp phép phần mềm truyền thống sẽ là vấn đề.

Tôi không muốn mua các giấy phép hơn nữa”, Alfred Rivera, giám đốc của các dịch vụ điện toán tại Cơ quan các Hệ thống Thông tin Quốc phòng, nói. “Phần mềm là động lực chi phí lớn thứ 2, và nhiều trong số đó là việc cấp phép. Tôi muốn có quyền sử dụng nó khi tôi cần nó”.

Điện toán đám mây thay đổi mô hình mua sắm đối với các dịch vụ công nghệ, Margie Graves, phó giám đốc thông tin tại Bộ An ninh Quốc nội nói. “Tôi lo lắng về các vấn đề cấp phép”, bà nói. “Chúng ta chắc chắn có những thỏa thuận cấp phép tổng thể với toàn bộ DHS. Và khi chúng ta đặt ra những yêu cầu của các trung tâm dữ liệu của chúng ta và mọi người đang chuyển sang đó, thì họ đang nói, 'Liệu chúng ta có sử dụng các đó như một bó từ trung tâm dữ liệu và nhà cung cấp dịch vụ của trung tâm dữ liệu sử dụng thỏa thuận cấp phép của họ với nhà cung cấp phần mềm hoặc chúng ta có sử dụng được việc cấp phép của DHS nữa hay không' Sự pha trộn 2 thứ này sẽ là như thế nào?“

Chúng tôi không muốn có nhiều hơn các giấy phép so với chúng tôi cần”, Graves nói. “Điều đòi hỏi là mọi người hợp sức từ một khả năng về phần cứng, phần mềm và dịch vụ để đưa ra một lời chào đám mây”.

Bộ Ngoại giao gần đây đã thiết lập một văn phòng để xem xét việc cấp phép tổng thể, Cindy Cassil, giám đốc tích hợp hệ thống tại Văn phòng giám đốc thông tin, nói.

the White House is pushing agencies to move more information technology operations to cloud-based systems, senior federal officials said they face a number of challenges beyond security.

Dawn Leaf, senior executive for cloud computing at the National Institute of Standards and Technology, which is developing standards for Internet-based networks, said: "One of the things we see strategically for not only government users but for all cloud adopters is the interoperability and portability piece. We talk so much about security we sometimes forget those two."

Leaf spoke with other executives during a panel discussion sponsored by the Armed Forces Communications and Electronics Association in Bethesda, Md., on Thursday. Central to both of those challenges is software licensing. Because cloud computing provides a large group of users with on-demand network access to a shared pool of applications and other technology resources, conventional software licensing agreements are problematic.

"I don't want to buy licenses anymore," said Alfred Rivera, director of computing services at the Defense Information Systems Agency. "Software is the second largest cost driver, and a lot of that is the licensing. I want the right to use it when I need it."

Cloud computing changes the purchasing model for technology services, said Margie Graves, deputy chief information officer at the Homeland Security Department. "I'm worried about the licensing issues," she said. "We have certain enterprise licensing agreements for DHS as a whole. And when we stand up our [new] data center requirements and people are moving in, they're saying, 'Do we use that as a bundle from the data center and the service provider of the data center uses their licensing agreement with the software provider, or do we use DHS licensing?' What's the mixture of the two?"

"We don't want to have more licenses than we need," Graves said. "It's going to require that people team from a hardware, software and service capability to offer a cloud offering."

The State Department recently established an office to consider enterprise licensing, said Cindy Cassil, director of systems integration in the Office of the Chief Information Officer.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Thứ Năm, 20 tháng 1, 2011

Vũ khí hóa phần mềm độc hại: Tội phạm sử dụng chứng thực số như thế nào

Weaponized Malware: How Criminals are Using Digital Certificates

Security | Guest Opinion | Jeff Hudson, Monday, January 10, 2011

Theo: http://www.ctoedge.com/content/weaponized-malware-how-criminals-are-using-digital-certificates

Bài được đưa lên Internet ngày: 10/01/2011

Lời người dịch: Stuxnet từng sử dụng 4 lỗi ngày số 0 trong Windows và những chứng thực số bị ăn cắp để đẩy lùi tham vọng hạt nhân của Iran. “Phần mềm độc hại được vũ khí hóa Stuxnet là một lời cảnh tỉnh rất mạnh mẽ khi nó đã khai thác những thực tế quản lý tồi của các chứng thực số mà đang tồn tại trong nhiều hãng ngày nay. Việc triển khai những thực tế và chính sách cho sự quản lý các chứng thực số là một thành phần quan trọng và cần thiết của một chiến lược an ninh bao quát và rộng rãi. Đây là một chiến lược mà có thể dò tìm ra được sự xuất hiện của phần mềm độc hại mà nó sử dụng các chứng thực số để xác thực. Các phần mềm độc hại được vũ khí hóa đã hoặc sẽ nhắm tới mọi công ty trong Global 2000. Trách nhiệm là phải hành động trước khi vũ khí đó tấn công”. Quản lý chứng thực số yếu kém sẽ tạo ra những rủi ro không thể lượng hóa và không thể quản lý được và là miếng mồi cho các phần mềm độc hại được vũ khí hóa như Stuxnet. Đó là thông điệp của bài viết này.

Cuộc tấn công không gian mạng gần đây vào cơ sở hạt nhân của Iran có sử dụng virus Stuxnet gây lo lắng cho tất cả chúng ta - không chỉ cho những người gần lân cận mà họ đang nằm trong sự nguy hiểm bị đánh trong thế giới tiếp theo những hành động của một virus máy tính.

Những đầu đề xung quanh câu chuyện về cuộc tấn công của Stuxnet vào cơ sở hạt nhân của Iran đã quen thuộc: “Cuộc tấn công mới bằng phần mềm độc hại”. An ninh số đe dọa và đôi khi bị thổi phồng xung quanh chúng đã trở thành phổ biến trong thế giới kết nối mạng và phụ thuộc vào IT của chúng ta. Tuy nhiên, đây từng là một cuộc tấn công không bình thường. Có lẽ phần mềm độc hại đã được giới thiệu trong mạng cục bộ của các cơ sở hạt nhân của Iran. Nó đã đi vào giữa Internet và mạng nội bộ. Khả năng khác từng là một người trong cuộc đáng tin cậy mà từng là một tác nhân của tổ chức mà đã triển khai cuộc tấn công.

Như các nhà nghiên cứu sau này đã phát hiện, cuộc tấn công đã sử dụng 4 khai thác ngày số 0 khác nhau trong các nền tảng Windows. Bổ sung vào các cuộc tấn công lỗi ngày số 0, “tải trọng” đã đưa vào một chứng thực điện tử bị ăn cắp mà đã được phát hành bởi Verisign. Virus tự phát tán và lan truyền tới nhiều máy. Nhiệm vụ của virus này là tự động phát tán điên cuồng (đã không có kênh phản hồi cho một máy chủ ra lệnh và kiểm soát vì đây từng là một mạng được cô lập). Nó sau đó đã định vị và hoạt động như một chiếc van hoặc module kiểm soát mà từng là một phần sống còn của hạ tầng cơ sở hạt nhân, với dự định làm vô hiệu hóa hoặc gây tổn hại cho cơ sở này. Nói một cách khác: hành động như một vũ khí. Đây là một bước đáng kể trong sự phát triển phần mềm độc hại.

The recent cyber attack on an Iranian nuclear facility using the Stuxnet virus should worry all of us - not just those in close proximity who were in danger of being blown into the next world by the actions of a computer virus.

The headlines around the story of the Stuxnet attack on an Iranian nuclear facility were familiar: “New Malware Attack." Digital security threats and sometimes the hype surrounding them have become commonplace in our interconnected and IT-dependent world. However, this was no ordinary attack. Apparently malware was introduced into the Iranian nuclear facilities local area network. It entered between the Internet and the internal network. The other possibility was a trusted insider who was an agent of the organization that carried out the attack.

As researchers later discovered, the attack used four different zero-day exploits on Windows platforms. In addition to the zero-day attacks, the "payload" included a stolen digital certificate that was issued by Verisign. The virus was self-propagating and spread to numerous machines. The mission of this virus was to auto-propagate in the wild (there was no back channel to a command and control host as this was an isolated network). It was then to locate and operate a valve or control module that was a critical part of the nuclear facility’s infrastructure, with the intent of disabling or damaging the facility. In other words: to act as a weapon. This is a significant step forward in the development of malware.

Tiếp cận truyền thống, độc hại nhằm gây hại cho cơ sở có thể là sử dụng vũ khí truyền thống (như bom). Sự khác biệt đáng ngạc nhiên là việc phần mềm độc hại này đã có ý định gây hại một cách cơ khí cho cơ sở đó mà không đưa ra lực lượng cơ học phá hoại nào vào trong bản thân nó. Nói cách khác: Đây là phần mềm độc hại được thiết kế đặc biệt để hoàn thành một công việc của một vũ khí. Nó vì thế đã xứng đáng được phân loại rõ ràng như là “phần mềm độc hại được vũ khí hóa”.

Phần mềm độc hại đặc biệt này được đánh giá đã mất 10 người - năm nỗ lực để phát triển. Nó là phức tạp. Các công cụ được sử dụng để phát triển, khung thời gian trong các tệp nhị phân và số lượng các module với các kiểu lập trình khác nhau gợi ý có nhiều đội phát triển. Gốc gác của phần mềm độc hại đã không được kiểm chứng mà hầu hết lý thuyết phổ biến nhất là việc thứ này đã được phát triển bởi một hoặc vài quốc gia có mong muốn phá hủy chương trình hạt nhân của Iran.

Iran có số phần trăm các vụ việc được biết về virus Stuxnet lớn nhất. Tuy nhiên, nó cũng được thấy trong những hệ thống tại nhiều quốc gia khác. Các chuyên gia dự báo rằng vô số những sự việc không được dò tìm ra vẫn sẽ còn đang hoạt động.

Đây là một thực tế được thiết lập tốt rằng nhiều vũ khí được phát triển bởi những chương trình quân sự quốc gia đã trở nên sẵn sàng đối với các thực thể nhà nước phi quốc gia, như những kẻ khủng bố, những nhà nước quốc gia xấu xa và những tổ chức tội phạm. Chỉ còn là vấn đề thời gian. Nhưng ví dụ là: các kính nhìn đêm, các hệ thống định vị toàn cầu GPS, máy bay không người lái, súng trường tự động hoàn toàn, các tên lửa vác vai, một vài thứ như vậy.

The traditional, malicious approach to damaging the facility would have been to use a conventional weapon (i.e. a bomb). The astonishing difference is that this malware was attempting to do mechanical damage to the facility without supplying the destructive mechanical force on its own. In other words: This was malware designed specifically to accomplish the work of a weapon. It has therefore earned the dubious classification as "weaponized malware."

This particular malware is estimated to have taken 10 man-years of effort to develop. It is sophisticated. The tools used in development, the timestamps on the binaries and the number of modules with different coding styles suggest multiple development teams. The origin of the malware has not been verified but the most popular theory is that it was developed by a nation state or states that were attempting to disrupt the Iranian nuclear program.

Iran has the largest percentage of known instances of the Stuxnet virus. However, it has also been found on systems in many other countries. Experts predict that numerous, undetected instances are still active.

It is a well-established fact that many weapons developed by national military programs become available to non-nation state entities, such as terrorists, rogue nation states and criminal organizations. It is just a matter of time. Examples are: night-vision goggles, GPS systems, airborne drones, fully automatic rifles, Kevlar body armor and shoulder launched missiles, to name just a few.

Các câu hỏi là: Khi nào những phần mềm độc hại được vũ khí hóa này và những biến thể của nó sẽ được sử dụng để phá hoại, vô hiệu hóa hoặc ăn cắp những tài sản và thông tin có giá trị từ các quốc gia, tiện ích, ngân hàng hoặc các công ty truyền thông khác? Chúng ta có thể làm gì được đối với chúng?

Phần mềm độc hại được vũ khí hóa Stuxnet đã sử dụng các chỗ bị tổn thương ngày số 0 để gây lây nhiễm, và đã sử dụng một chứng thực số được ký để tự xác thực trong môi trường. Chứng thực đó đã cho phép phần mềm độc hại hành động như một ứng dụng tin cậy và giao tiếp với những thiết bị khác. Đây là sự việc đầu tiên được báo cáo đối với việc sử dụng một chứng thực số ở dạng này của cuộc tấn công, và là một sự phát triển rất đáng lo ngại và báo điềm gở.

Mức độ đe dọa đã chuyển ra khỏi thời gian làm tê liệt hệ thống và uy tín bị tổn thương vì chứng thực của bạn đã hết hạn đối với sự gây hại vật lý đối với bạn và các nhân viên của bạn nếu virus thành công trong việc làm cho một quy trình sản xuất hoặc sử dụng thành sống còn.

Sử dụng 4 chỗ bị tổn thương và một chứng thực số bị ăn cắp báo hiệu sự bắt đầu của một kỷ nguyên mới về chiến tranh không gian mạng và tội phạm không gian mạng. Những ảnh hưởng là khổng lồ. Đây không phải là sự việc đầu tiên đối với loại này. Virus Aurora từng là một biến thể được sinh ra đầu tiên và Stuxnet thể hiện một bước nhảy tiến bộ đáng kể trong sự tinh vi và phức tạp. Bổ sung thêm, chi phí tiềm tàng đối với tổ chức đích trong sự kiện cuộc tấn công thành công là có hơn so với từ trước tới nay.

The questions are: When will weaponized malware and its derivatives be used to destroy, disable or steal valuable assets and information from other nations, utilities, banks or telecommunication companies? What can we do about it?

The Stuxnet weaponized malware used multiple zero-day vulnerabilities to infect, and employed a signed digital certificate to authenticate itself in the environment. The certificate allowed the malware to act as a trusted application and communicate with other devices. This is the first reported incident of the use of a digital certificate in this type of attack, and is a very ominous and worrying development. The level of threat has moved from downtime and a damaged reputation because your certificate has expired to physical damage to you and your employees if the virus successfully makes a manufacturing or utility process go critical.

The use of four zero-day vulnerabilities and a stolen digital certificate signals the beginning of a new era of cyber warfare and cybercrime. The implications are enormous. This is not the first occurrence of this species. The Aurora virus was a first-generation variant and Stuxnet represents a significant evolutionary leap in complexity and sophistication. Additionally, the potential costs to the targeted organization in the event of a successful attack are higher than ever.

Những chỗ bị tổn thương ngày số 0 là, bằng định nghĩa, không thể bảo vệ chống lại. Sử dụng những chứng thực số không được phép của phần mềm độc hại được vũ khí hóa trong một môi trường kết nối mạng là một vấn đề khác. Có những bước mà các tổ chức có thể nắm lấy đề giảm thiểu đáng kể rủi ro của một cuộc tấn công thành công.

Sự quan tâm đầu tiên là tri thức của các chứng thực số mà là tích cực trong một mạng. Hầu hết các tổ chức không biết chúng có bao nhiêu, chúng được cài đặt ở đâu, ai đã cài đặt chúng, tính hợp lệ và ngày hết hạn của các chứng chỉ số trong mạng. Đây là một sự tương đồng song song trong một thế giới an ninh vật lý. Điều này chính xác y hệt như việc không biết người nào trong một tòa nhà an ninh và không được phép hiện diện trong những cơ ngơi đó và ai là những người không được phép. Hãy tưởng tượng một ngân hàng nơi mà không ai biết những người nào trong tòa nhà là không được phép ở trong đó hay không. Đây không là một sự cường điệu. Đây là một tình huống không thể chấp nhận được đối với mọi người mà cho an ninh là nghiêm túc. Đây là một rủi ro không lượng hóa được. Thực tế chấp nhận được duy nhất là phát hiện tiếp tục và tích cực những chứng thực trên mạng.

Bổ sung thêm, những chứng thực đó phải được kiểm chứng rằng chúng đang hoạt động như mong đợi và rằng chúng được giám sát thông qua vòng đời sao cho chúng có thể hết hạn và được thay thế như được chỉ định bởi các chính sách về an ninh của tổ chức. Hầu hết các tổ chức là thiếu hụt về điều này. Đây là một rủi ra không quản lý được và có thể dễ dàng được quản lý dưới mức cần thiết. Không quản lý được đạng rủi ro này sẽ làm gia tăng đối với các tổ chức những chỗ bị tổn thương như cuộc tấn công của Stuxnet. Đây không phải là việc phao tin đồn nhảm - đây là một mối đe dọa thực sự mà sẽ ảnh hưởng tới một tổ chức lúc nào đó sớm.

Zero-day vulnerabilities are, by definition, impossible to defend against. The use of unauthorized digital certificates by weaponized malware in a networked environment is another matter. There are steps organizations can take to significantly reduce the risk of a successful attack.

The first consideration is the knowledge of digital certificates that are active in a network. Most organizations do not know how many they have, where they are installed, who installed them, their validity and the expiration date of the digital certificates in their network. Here’s a parallel analogy in the world of physical security. This is exactly the same as not knowing which people in a secure building are authorized to be on the premises and which ones are unauthorized. Imagine a bank where no one knew which people in the building were authorized to be there or not. This is not an exaggeration. This is an unacceptable situation to anyone who takes security seriously. This is an unquantified risk. The only acceptable practice is to continually and actively discover certificates on the network.

Additionally, those certificates must be validated that they are functioning as intended and that they are monitored throughout their lifecycle so that they can be expired and replaced as dictated by the security policies of the organization. Most organizations are deficient in this regard. This is an unmanaged risk and can be easily brought under management. A failure to manage this kind of risk exposes organizations to increased vulnerabilities like the Stuxnet attack. This is not scaremongering – it is a real threat that will affect an organization sometime soon.

Vì sao các tổ chức tự bộc lộ mình cho sự rủi ro không lượng hóa được và không quản lý được này? Lý do đủ đơn giản để hiểu. Trước Stuxnet, tri thức và sự quản lý yếu đuối các chứng thực số đã được xem là chấp nhận được. Hơn nữa, nhiều lãnh đạo mức cao không quen với các chứng thực số, cách mà chúng làm việc, vai trò trong an ninh, và các thực tiễn và các chính sách quản lý của chúng. Điều này phải thay đổi. Không có lãnh đạo cấp cao nào mà hiểu sai hoặc đánh giá không đúng mức tầm quan trọng của việc đảm bảo rằng chỉ những cá nhân được phép có thể vào được một tòa nhà an ninh. Cũng những lãnh đạo này lại ngây thơ cho phép những chứng thực không được phép và không biết vào được và hoạt động được trong các mạng của họ.

Để tổng kết, có rủi ro không lượng hóa được và không quản lý được mà nó cho phép Stuxnet nhân giống và hoạt động trong một mạng. Điều này đại diện cho một thực tế quản lý tồi của một phần sống còn của một mô hình an ninh được đặt ra. Các chứng thực số được sử dụng rộng rãi để nhận dạng và xác thực cho những thực thể trong một mạng. Những thực tế quản lý tồi trả về những chứng thực số không có hiệu quả đối với mục đích có dự định của họ. Trong thực tế, sự quản lý tồi trong một số trường hợp sẽ tạo ra một cơ hội khái thác.

Phần mềm độc hại được vũ khí hóa Stuxnet là một lời cảnh tỉnh rất mạnh mẽ khi nó đã khai thác những thực tế quản lý tồi của các chứng thực số mà đang tồn tại trong nhiều hãng ngày nay. Việc triển khai những thực tế và chính sách cho sự quản lý các chứng thực số là một thành phần quan trọng và cần thiết của một chiến lược an ninh bao quát và rộng rãi. Đây là một chiến lược mà có thể dò tìm ra được sự xuất hiện của phần mềm độc hại mà nó sử dụng các chứng thực số để xác thực. Các phần mềm độc hại được vũ khí hóa đã hoặc sẽ nhắm tới mọi công ty trong Global 2000. Trách nhiệm là phải hành động trước khi vũ khí đó tấn công.

Why are organizations exposing themselves to this unquantified and unmanaged risk? The reason is simple enough to understand. Before Stuxnet, the lackadaisical knowledge and management of digital certificates was viewed as acceptable. Additionally, many board-level executives are not familiar with digital certificates, how they work, their role in security, and the management practices and policies. This has to change. There is not one board-level executive who misunderstands or underestimates the importance of ensuring that only authorized individuals can enter a secure building. Those same executives naively allow unauthorized or unknown certificates to enter and operate on their networks.

In summary, there is unquantified and unmanaged risk that allows Stuxnet to propagate and operate on a network. This represents bad management practice of a critical part of a layered security model. Digital certificates are widely used to authenticate and identify entities in a network. Poor management practices render digital certificates ineffective for their intended purpose. In fact, poor management in some cases creates an exploitation opportunity.

The Stuxnet weaponized malware is a very loud wakeup call as it has exploited the poor management practices of digital certificates that exist in many firms today. Implementing practices and policies for the management of digital certificates is an important and necessary component of a broad and wide security strategy. It is the one strategy that can detect the appearance of malware that utilizes digital certificates for authentication. Weaponized malware has already been or will be aimed at every company in the Global 2000. The responsibility is to act before the weapon strikes.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com