Các tin tặc đã điều khiển các máy tính của đường sắt, TSA nói

Hackers manipulated railway computers, TSA memo says

By Aliya Sternstein 01/23/2012

Theo: http://www.nextgov.com/nextgov/ng_20120123_3491.php

Bài được đưa lên Internet ngày: 23/01/2012

Lenny Ignelzi/AP File

Lời người dịch: Sau cuộc tấn công của sâu Windows Stuxnet vào các nhà máy hạt nhân của Iran, thế giới đã vĩnh viễn không còn được an ninh như trước đó nhất là đối với các hệ thống sống còn của bất kỳ quốc gia nào được nữa. Đã từng có những vụ việc bị nghi ngờ có tấn công không gian mạng vào các lưới điện, các hệ thống cấp thoát nước, và nay là các máy tính trong các hệ thống đường sắt tại Mỹ vào đầu tháng 12/2011 vừa qua. Bạn hãy đọc kỹ bài viết, kết luận có tin hay không nằm trong suy nghĩ của bạn, dù bạn là người dân thường, người làm việc trong các công ty hay trong các cơ quan chính phủ.

Các tin tặc, có thể từ nước ngoài, đã tiến hành tấn công vào các máy tính của một công ty đường sắt ở Tây Bắc và đã phá hỏng các tín hiệu đường sắt trong 2 ngày trong tháng 12, theo một bản ghi nhớ của chính phủ về lắp thêm thiết bị an ninh với được xa hơn với khu vực giao thông trong trường hợp khẩn cấp.

Vào ngày 01/12, dịch vụ đường sắt trên một tuyến đường sắt không được nêu tên “đã bị chậm lại một lúc” và các lịch trình xe lửa đã bị chậm lại khoảng 15 phút sau sự can thiệp đó, được nêu trong toàm tắt của Cơ quan An ninh Giao thông trong cuộc họp ngày 20/12 về sự việc có trên Nextgov. Ngày hôm sau, ngay trước giờ cao điểm, một “sự kiện thứ 2 đã xảy ra” mà đã không ảnh hưởng tới lịch trình, các quan chức của TSA nói. Cơ quan này có trách nhiệm bảo vệ tất cả các hệ thống giao thông của Mỹ, không chỉ các sân bay.

“Các chuyến tàu Amtrak và chở hàng cần phải có ngữ cảnh về đối với các trung tâm kỹ thuật thông tin”, bản ghi nhớ nói. “Các cuộc tấn công không gian mạng từng không phải là mối lo chính cho hầu hết những người vận hành đường sắt” vào lúc này, bổ sung, “kết luận rằng đường sắt đã bị ảnh hưởng vì một cuộc tấn công là rất nghiêm trọng”.

Trong khi chính phủ và các khu vực công nghiệp sống còn đã tiến những bước dài trong việc chia sẻ tình báo về các mối đe dọa, thì ít sự chú ý được nêu cho việc hiểu được những phân tích đó trong thông tin sử dụng được cho mọi người trong các đường ray, những người đang chạy trong các tàu điện ngầm, các đường cao tốc và các hệ thống quá cảnh khác, một số cựu quan chức liên bang nói. Sự với xa hơn của TSA gần đây là độc nhất trong đó các quan chức đã nói các nhà vận hành cách mà những lỗ hổng đã làm ngắt quãng các hoạt động thông thường của đường sắt, Steve Carver, một nhà quản lý an ninh thông tin của Cơ quan Hàng không Liên bang đã nghỉ hưu, bây giờ là một nhà tư vấn công nghiệp hàng không, người đã rà soát lại bản ghi nhớ, nói.

Hackers, possibly from abroad, executed an attack on a Northwest rail company's computers that disrupted railway signals for two days in December, according to a government memo recapping outreach with the transportation sector during the emergency.

On Dec. 1, train service on the unnamed railroad "was slowed for a short while" and rail schedules were delayed about 15 minutes after the interference, stated a Transportation Security Administration summary of a Dec. 20 meeting about the episode obtained by Nextgov. The following day, shortly before rush hour, a "second event occurred" that did not affect schedules, TSA officials added. The agency is responsible for protecting all U.S. transportation systems, not just airports.

"Amtrak and the freight rails needed to have context regarding their information technical centers," the memo stated. "Cyberattacks were not a major concern to most rail operators" at the time, adding, "the conclusion that rail was affect [sic] by a cyberattack is very serious."

While government and critical industry sectors have made strides in sharing threat intelligence, less attention has been paid to translating those analyses into usable information for the people in the trenches, who are running the subways, highways and other transit systems, some former federal officials say. The recent TSA outreach was unique in that officials told operators how the breach interrupted the railway's normal activities, said Steve Carver, a retired Federal Aviation Administration information security manager, now an aviation industry consultant, who reviewed the memo.

“Chương trình TSA là một sự khởi đầu để mang lại, ở mức cao hơn, một sự hiểu biết về tác động quốc gia tới các cuộc tấn công không gian mạng”, Carver nói. Đội Sẵn sàng Khẩn cấp về Máy tính của Mỹ (US CERT) và Cơ quan An ninh Quốc gia của Lầu 5 góc “đã đưa ra thông tin lớn về mối đe dọa đặc biệt này. Họ không nói cách mà nó đã tác động tới những người khác. TSA nói cho bạn cách mà nó đã tác động tới những người khác”.

Tóm tắt của sự việc này đã khen ngợi vài người của TSA vì giải thíc được tình huống được đưa ra theo ngữ cảnh. Khi các nhà điều tra của TSA đã bắt đầu nghi ngờ sự khai thác là một hành động có chủ tâm hơn là một sự cố, thì họ đã hành động theo giả thiết nó có thể đưa ra một sự nguy hiểm rộng lớn hơn cho hệ thống giao thông của Mỹ, theo bản ghi nhớ.

“Một số nguyên nhân có khả năng dẫn tới việc xem xét một cuộc tấn công từ bên ngoài vào”, báo cáo nói. Các nhà điều tra đã phát hiện được 2 địa điểm truy cập Internet, hoặc các địa chỉ IP, đối với những kẻ thâm nhập trái phép hôm 01/12 và 03/12, tài liệu viết, nhưng không nói chúng thuộc về quốc gia nào.

“Thông tin nói các vụ việc là một cuộc tấn công có đích ngắm đã không được gửi đi” cho tới giữa ngày thứ hai, 05/12, theo bản ghi nhớ. Các dữ liệu mà các nhà vận hành đường sắt cần để phổ biến tình hình đã được làm sẵn sàng cho họ, các quan chức viết. Những cảnh báo liệt kê 3 địa chỉ IP đã đi ra tới vài trăm hãng đường sắt và các cơ quan giao thông công cộng, cũng như các đối tác tại Canada.

“Các quá trình được thiết lập ngay cho chính phủ để làm việc với giới công nghiệp trong các giao tiếp truyền thông thời gian thực về một sự kiện không gian mạng được sắp hàng ưu tiên cao”, báo cáo nói.

Những người tham gia cuộc họp hôm 20/12 bao gồm các đại diện từ hãng công nghệ thông tin Indus Corp., Liên đoàn Đường sắt Mỹ, và hãng Boing Co., cũng như các quan chức chính phủ từ TSA, các đơn vị an ninh không gian mạng của Bộ An ninh Nội địa, Bộ Giao thông và Cảnh sát Bờ biển Mỹ.

"This TSA program is a start to bring, at a higher level, an understanding of the national impact to cyberattacks," Carver said. The U.S. Computer Emergency Readiness Team and the Pentagon's National Security Agency "have provided great information on the particular threat. They don't say how it has affected others. TSA tells you how it affected others."

The incident summary praised several TSA personnel for explaining the unfolding situation in context. When TSA investigators began to suspect the exploit was an intentional act rather than a glitch, they acted under the assumption it could present a broader danger to the U.S. transportation system, according to the memo.

"Some of the possible causes lead to consideration of an overseas cyberattack," the write-up stated. Investigators discovered two Internet access locations, or IP addresses, for the intruders on Dec. 1 and a third on Dec. 2, the document noted, but it does not say in which country they were located.

"Information stating the incidents were a targeted attack was not sent out" until midday on Monday, Dec. 5, according to the memo. The data that train operators needed to diffuse the situation was made available to them, officials wrote. Alerts listing the three IP addresses went out to several hundred railroad firms and public transportation agencies, as well as to partners in Canada.

"The processes set in place for government to work with the industry in real-time communications regarding a cyber event aligned superbly," the recap stated.

Participants in the Dec. 20 meeting included representatives from information technology firm Indus Corp., the Association of American Railroads, and Boeing Co., as well as government officials from TSA, the Homeland Security Department's cybersecurity divisions, the Transportation Department, and the U.S. Coast Guard.

Nhưng, vào ngày thứ 2, các quan chức tại Bộ An ninh Nội địa, bộ giám sát TSA, nói sau phân tích sâu bổ sung, dường như là sự thâm nhập đường sắt có thể không phải là một cuộc tấn công có chủ đích. “Hôm 01/12, một cơ quan giao thông của Pacific Northwest đã báo cáo rằng một vụ việc tiềm tàng trong không gian mạng có thể tác động tới dịch vụ đường sắt”, người phát ngôn của DHS Peter Boogaard nói. “Bộ An ninh Nội địa, FBI và các đối tác của liên bang vẫn giữ truyền thông với các đại diện từ cơ quan giao thông đó để hỗ trợ các hoạt động giảm nhẹ của họ và với các quan chức chính quyền địa phương để gửi đi các cảnh báo nhắc nhở cộng đồng giao thông về hoạt động không bình thường như nó đã xảy ra”.

Dựa vào bản ghi nhớ, còn chưa rõ liệu các công ty đường sắt khác có các kinh nghiệm về các vụ việc mạng tương tự hay không. Các công ty thường miễn cưỡng thảo luận về các lỗ thủng máy tính một cách công khai vì sợ làm kinh hãi các khách hàng. Và, đôi khi, các doanh nghiệp không bao giờ dò tìm được các vụ thâm nhập trái phép, họ bổ sung.

Đối với chính phủ để cải thiện sự đáp trả khẩn cấp về không gian mạng, thì “thứ lớn nhất là bắt đầu với các nhân viên truyền thông”, Carver khuyến cáo. “Có các nhu cầu có một người biên dịch có thể đưa thông tin ra khỏi US CERT, nắm lấy nó, trích nó ra, và xác định được nó có nghĩa gì cho các hoạt động”.

Các đại diện công nghiệp đường sắt nói họ không có sự tự do để thảo luận về các nội dung của bản ghi nhớ của chính phủ.

But, on Monday, officials at the Homeland Security Department, which oversees TSA, said following additional in-depth analysis, it appears that the rail infiltration may not have been a targeted attack.

"On December 1, a Pacific Northwest transportation entity reported that a potential cyber incident could affect train service," DHS spokesman Peter Boogaard said. "The Department of Homeland Security, the FBI and our federal partners remained in communication with representatives from the transportation entity in support of their mitigation activities and with state and local government officials to send alerts to notify the transportation community of the anomalous activity as it was occurring."

Based on the memo, it is unclear if other railway companies have experienced similar network incidents. Companies often are reluctant to discuss computer breaches openly for fear of scaring off customers. And, sometimes, businesses never detect the intrusions, they add.

For government to improve cyber emergency response, "the biggest thing is to start with the communications staff," Carver recommends. "There needs to be an interpreter who can take the information coming out of the U.S. CERT, take that, extract that out, and determine what it means for operations."

Rail industry representatives said they were not at liberty to discuss the contents of the government memo.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com