Thứ Năm, 16 tháng 6, 2011

Từ Stuxnet ở Iran tưởng tượng về một kịch bản có thể ở Việt Nam

Câu chuyện sâu Windows Stuxnet đẩy lùi tham vọng hạt nhân của Iran từng bị phát hiện ra một năm về trước ngày càng làm cho các chuyên gia an ninh không gian mạng trên thế giới quan tâm hơn vì sự tồn tại của nó đồng nghĩa với việc thế giới này sẽ mãi mãi trở nên rủi ro hơn, mà hầu như không có cách nào khắc phục được. Những phát hiện mới trong vài tháng gần đây của các nhà nghiên cứu an ninh không gian mạng chỉ ra rằng những rủi ro đó không chỉ dành riêng cho hệ thống hạ tầng điện hạt nhân, mà còn cho cả các hệ thống hạ tầng khác, làm bật dậy một cuộc chạy đua vũ trang để sở hữu những vũ khí không gian mạng tương tự với các cuộc tấn công tương tự trong tương lai.

Trên thực tế, hãng quản lý an ninh ứng dụng Idappcom đã phát hiện được 52 mối đe dọa mới chỉ riêng trong tháng 03/2011 nhằm vào các hệ thống SCADA giống như những gì sâu Windows Stuxnet đã từng làm tại Iran, nhất là khi nhiều hệ thống SCADA có các kết nối tới hệ điều hành cũ kỹ Windows 95 mà nay không còn dịch vụ cập nhật tự động về an ninh nào nữa.

Hãng tư vấn về an ninh Byres có trụ sở ở Mỹ đã cảnh báo về một cuộc chạy đua vũ trang không gian mạng khi các quốc gia như Trung Quốc kêu Mỹ đứng đằng sau cuộc tấn công vào Iran và người Trung Quốc nói cũng cần có một vũ khí tương tự như vậy. Hãng này còn cho rằng, dù không có bất kỳ kết nối nào với Internet, như sự việc đã xảy ra với các cơ sở hạt nhân tại Iran, thì vẫn còn có 17 con đường để Stuxnet có thể gây lây nhiễm cho các hệ thống SCADA, bao gồm cả qua các đầu USB và/hoặc đĩa CD cập nhật phần mềm.

Trong khi vài tháng qua, ngoài các lỗi trong hệ thống SCADA của Siemens ra, các chuyên gia cũng đã phát hiện được nhiều hệ thống SCADA có lỗicó thể bị tổn thương như: (1) Tecnomatix FactoryLink của Siemens; (2) Genesis32 và Genesis64 từ Iconics; (3) nhà phát triển các tiện ích tự động hóa 7-Technologies; (4) RealFlex của nhà phát triển phần mềm cho dầu khí/tiện ích/giao thông Datac; hoặc (5) KingView của Trung Quốc, được sử dụng rộng rãi trong các hạ tầng công nghiệp sống còn, kể cả trong công nghiệp vũ trụ và quốc phòng của Trung Quốc.

Các chuyên gia khẳng định rằng tại thời điểm này, các chuẩn công nghiệp ISA99 cho các kiểm soát, thiết bị và mạng công nghiệp có chứng chỉ an ninh một cách toàn diện là không tồn tại. Lý do đơn giản là các tiêu chuẩn để đáp ứng được các yêu cầu ngặt nghèo về an ninh mà Stuxnet đặt ra hiện không có. Điều này có nghĩa là chưa có biện pháp hữu hiệu nào để có thể loại bỏ được một cách hoàn toàn mối hiểm họa Stuxnet, mà chúng sẽ chỉ có thể có được trong tương lai, chính xác là bao giờ thì chưa có ai nói ra được.

Phòng ngừa bị tấn công dạng Stuxnet

Trong khi chờ đợi, một số biện pháp phòng ngừa có thể được tiến hành để giảm bớt nỗi sợ hãi về mối đe dọa này có thể là như:

  1. Khuyến cáo của Viện Tuân thủ An ninh Công nghiệp ISA (ISCI - Industrial Security Compliance Institute): Đóng si bất kỳ công cụ truy cập không được phép nào tới mạng: cài đặt các tường lửa – kể cả cho các máy tính cá nhân PC, chỉ định và tăng cường các mật khẩu, loại bỏ hoặc khóa các bàn phím, vô hiệu hóa các kết nối bằng USB, vứt đi các đĩa hoặc băng từ lỗi thời và những thứ tương tự;

  2. Khuyến cáo của nhóm các tổ chức về an ninh gồm Tofino Security, Abterra Technologies và ScadaHacker.com, sau khi mô phỏng lại cuộc tấn công của Stuxnet với tất cả những biện pháp công nghệ tiên tiến nhất cho tới thời điểm đầu năm 2010 về an ninh, đã đưa ra kết luận rằng: “Không, bạn hiện không thể thực sự ngăn cản được dạng tấn công này”.

    1. Có một chính sách rõ ràng, chỉ định rõ các thiết bị có thể tháo lắp được sẽ được sử dụng trên máy tính cụ thể nào và ai được phép sử dụng chúng. Thông thường, các thiết bị tháo lắp đó không được sử dụng, chúng bao gồm: các đầu USB, các đĩa CDs/DVDs, các ổ cứng ngoài, các máy chơi nhạc số và những thiết bị tháo lắp được khác.

    2. Sử dụng các tường lửa, kể cả cho các máy tính cá nhân PC.

    3. Sự dụng các công cụ dạng như của các công ty như Tripwire để có thể phát hiện được các trình điều khiển bị nghi ngờ sẽ gây tai họa được cài lén lút vào máy tính Windows, đặc biệt khi mà chúng sử dụng các chứng thực số hợp pháp đã bị đánh cắp để lừa người sử dụng. Cho dù điều này thực sự là khó đối với một người sử dụng thông thường.

Tưởng tượng một kịch bản dạng Stuxnet có thể xảy ra tại Việt Nam

Mối hiểm họa này trở thành hiện thực được với sự tham gia của các phần mềm theo công thức cơ bản sau: (1) Hệ điều hành Windows của Microsoft + (2) Hệ thống SCADA của Siemens + (3) sâu Windows Stuxnet [của Mỹ và Israel với sự trợ giúp của chính Siemens???].

Nhưng cuộc chạy đua vũ trang không gian mạng đang đưa ra một công thức mở rộng hơn, bao gồm: (1) Hệ điều hành Microsoft Windows + (2) Phần mềm kiểm soát giám sát và thu thập dữ liệu SCADA của các công ty và/hoặc các quốc gia khác nhau trên thế giới + (3) Stuxnet và các biến thể của nó từ các quốc gia có tiềm lực công nghệ thông tin và phần mềm trên thế giới.

Với 17 cách có thể lây nhiễm Stuxnet và các biến thể của nó cho các mạng công nghiệp như ở trên, điều gì sẽ xảy ra, khi mà:

  1. Windows là hệ điều hành mà hầu hết mọi người sử dụng máy tính ở Việt Nam đều đã quen sử dụng và không muốn từ bỏ nó dù bất kể nó có lắm virus tới cỡ nào.

  2. Không ai rõ được có bao nhiêu phần mềm SCADA và chúng là những loại nào đang được vận hành trong các hạ tầng sống còn của nền kinh tế Việt Nam như dầu/khí/điện/hóa/dược/nguyên tử/giao thông..., trong đó rất có thể có những phần mềm SCADA với các lỗi như của Siemens, của các công ty khác như được nêu ở trên và/hoặc như của KingView của Trung Quốc.

  3. Biến thể Stuxnet được sinh ra từ cuộc chạy đua vũ trang để tạo ra các vũ khí không gian mạng, ví dụ như một biến thể Stuxnet của Trung Quốc chẳng hạn, mà đã được các nhà nghiên cứu an ninh thế giới tiên đoán chắc chắn sẽ có và chỉ còn là vấn đề của thời gian.

Có lẽ sẽ có nhiều khả năng tại Việt Nam trong một tương lai rất gần, công thức ở trên sẽ trở thành:

(1) Microsoft Windows + (2) KingView SCADA made in China + (3) Stuxnet made in China.

Hy vọng các cơ quan, tổ chức và cá nhân có trách nhiệm về an ninh an toàn thông tin sẽ triển khai các biện pháp tích cực và hữu hiệu giúp thoát ra khỏi chiếc thòng lọng được làm toàn bằng các phần mềm và hầu như đang ngày càng thít lại chặt hơn này.

Trần Lê

Bài được đăng trên tạp chí Tin học & Đời sống, số tháng 06/2011, trang 76-77.

1 nhận xét:

  1. Thưa chú, cháu xin phép được đăng lại một số bài đã đăng trên blog này trên blog của cháu. :D
    Cháu xin chân thành cảm ơn.

    Trả lờiXóa

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.