This
Week in Cybercrime: Chevron Bitten by Stuxnet, SEC Embarrassed by
Security Breach
POSTED BY: Robert N.
Charette / Th 6, tháng mười một 09, 2012
Bài được đưa lên
Internet ngày: 09/11/2012
Lời
người dịch: Bài viết nêu những sự kiện mất an ninh
hệ thống thông tin trong vòng 1 tuần, có nhắc tới việc
(1) công ty năng lượng Chevron thừa nhận bị lây nhiễm
Stuxnet vào tháng 07/2010; (2) Đã 2 năm trôi qua kể từ
khi phần mềm SCADA của Siemens bị Stuxnet khai thác các lỗi
để tấn công Iran, đội nghiên cứu về an ninh của Nga
“đã thấy nhiều hơn 50 chỗ bị tổn thương trong
phiên bản mới nhất của WinCC, vì thế nhiều thứ mà
Siemens đã khắc phục một lộ trình dài để vá
tất cả chúng... Hầu hết là những vấn đề có thể
cho phép một kẻ tấn công chiếm hệ thống WinCC từ xa”;
(3) Các nhân viên tại Ủy ban Chứng khoán An ninh Mỹ
(SEC) “đã không mã hóa một số máy tính của họ có
chứa các thông tin nhạy cảm cao độ từ các thị trường
chứng khoán, để lại các dữ liệu có khả năng bị tổn
thương đối với các cuộc tấn công KGM”. Sự mỉa
mai là việc các nhân viên đó là một phần của Bộ phận
Thương mại và Thị trường của SEC, có trách nhiệm, như
Reuters nói, “để đảm bảo chắc chắn là các thị
trường chứng khoán tuân theo những chỉ dẫn để bảo
vệ các thị trường khỏi những mối đe dọa và các vấn
đề hệ thống tiềm tàng”....
Là một tuần khá yên
ả trong thế giới tội phạm KGM. Chúng tôi bắt đầu rà
soát lại của tuần này bằng sự thừa nhận của Chevron
ngày hôm qua rằng các hệ thống CNTT của hãng đã bị
lây nhiễm phần mềm độc hại Stuxnet vào tháng 07/2010.
Đây là lần đầu tiên một công ty Mỹ đã thừa nhận
bị lây nhiễm bởi phần mềm độc hại mà Mỹ và Israel
đã tạo ra và đã sử dụng để nhằm vào chương trình
làm giàu uranium của Iran.
Mark Koelmel, tổng giám
đốc phòng các khoa học trái đất tại Chevron, đã nói
cho tạp chí Phố Uôn rằng, “Tôi không nghĩ chính phủ
Mỹ thậm chí nhận thức được Stuxnet đã lan truyền xa
tới cỡ nào. Tôi nghĩ mặt trái của những gì họ đã
làm là tệ hơn nhiều so với những gì họ thực sự hoàn
thành”. Sự thừa nhận của Chevron không nghi ngờ gì sẽ
làm dấy lên tranh luận về việc liệu Stuxnet có thoát ra
ngoài thế giới hoang dã hay chưa, hay liệu Chevron bản
thân hãng từng bị nhắm đích liệu có thể là bị nhắm
đích cố tình hay không.
Chevron đã nói cho tạp
chí Phố Uôn rằng hãng không bị lây nhiễm có hại vì
Stuxnet, nhưng tôi nghĩ rằng tất cả phụ thuộc vào việc
làm thế nào bạn xác định được “bị lây nhiễm vô
hại”.
Một
sự trùng khớp, một câu chuyện trên ComputerWorld ngày hôm
qua đã nói rằng một đội các nhà nghiên cứu về an
ninh của Nga đã thấy rằng Siemens đã cập nhật phần
mềm WinCC SCADA (Kiểm soát giám sát và thu thập dữ liệu)
mà đã từng bị Stuxnet nhắm đích vẫn còn đầy các lỗ
hổng về an ninh. Câu chuyện nói rằng đội nghiên cứu
“đã thấy nhiều hơn 50 chỗ bị tổn thương trong phiên
bản mới nhất của WinCC, vì thế nhiều thứ mà Siemens
đã khắc phục một lộ trình dài để vá tất cả
chúng... Hầu hết là những vấn đề có thể cho phép một
kẻ tấn công chiếm hệ thống WinCC từ xa”.
Giống
như việc Siemens có nhiều việc hơn để làm.
Trong
một trường hợp hãy làm như tôi nói, nhưng đừng làm
như tôi làm, Reuters đã bình luận ngày hôm qua rằng các
nhân viên tại Ủy ban Chứng khoán An ninh Mỹ (SEC) “đã
không mã hóa một số máy tính của họ có chứa các
thông tin nhạy cảm cao độ từ các thị trường chứng
khoán, để lại các dữ liệu có khả năng bị tổn
thương đối với các cuộc tấn công KGM”. Sự mỉa mai
là việc các nhân viên đó là một phần của Bộ phận
Thương mại và Thị trường của SEC, có trách nhiệm, như
Reuters nói, “để đảm bảo chắc chắn là các thị
trường chứng khoán tuân theo những chỉ dẫn để bảo
vệ các thị trường khỏi những mối đe dọa và các vấn
đề hệ thống tiềm tàng”.
It’s
been a relatively quiet week in the world of cybercrime. We start off
this week’s review with Chevron’s
admission yesterday that its IT systems were infected with the
Stuxnet
malware back in July 2010.
This is the first time a U.S. company has acknowledged being infected
by the malware which the U.S.
and Israel created and used to target Iran’s uranium enrichment
program.
Mark
Koelmel, general manager of the earth sciences department at Chevron,
told
the
Wall Street Journal
that, “I don’t think the U.S. government even realized how far it
[Stuxnet] had spread. I think the downside of what they did is going
to be far worse than what they actually accomplished.”
Chevron’s
admission will no doubt fan the debate
over whether Stuxnet escaped into the wild or not, or whether
Chevron was itself targeted may have been deliberately targeted.
Chevron
told the WSJ
that it was not adversely affected by Stuxnet, but I think that all
depends on how you define “adversely affected.”
Coincidentally,
a story
at ComputerWorld yesterday reported that a team of Russian
security researchers have found that the Siemens
updated WinCC SCADA (Supervisory Control And Data Acquisition)
software which was targeted by Stuxnet is still full of security
holes. The
story says that the research team “found more than 50
vulnerabilities in WinCC’s latest version, so many that Siemens has
worked out a roadmap to patch them all… Most are problems that
would allow an attacker to take over a WinCC system remotely.”
Looks
like Siemens has more work to do.
In
a case of do-as-I-say, but-not-as-I-do, Reuters
reported yesterday that staffers
at the U.S. Security Exchange Commission “failed to encrypt some of
their computers containing highly sensitive information from stock
exchanges, leaving
the data vulnerable to cyber attacks.” The irony is that the
staffers were part of the SEC's Trading and Markets Division, which
is responsible, Reuters
says, “for making sure exchanges follow certain guidelines to
protect the markets from potential cyber threats and systems
problems.”
Lỗ
hổng về an ninh đã gây ra cho SEC phải tốn hơn 200.000
USD để tiến hành một kiểm kê an ninh và đảm bảo rằng
không thông tin nào bị tổn thương. SEC cũng đã phải lưu
ý tất cả các thị trường chứng khoán về lỗ hổng
đó, mà đã không làm cho ai rất hạnh phúc cả (dù cảm
giác sung sướng trên đau khổ của kẻ khác có vẻ như
buốt lạnh), đặc biệt khi SEC đã và đang thúc đẩy các
công ty nhà nước cật lực để hé lộ rủi ro các vụ
việc trong KGM.
SEC
đã không binh luận gì về câu chuyện của Reuters. Có khả
năng nó sẽ bị ép phải dừng sự im lặng của mình và
giải thích cho Quốc hội làm thế nào lỗ hổng đã được
phép tồn tại, dù, sẽ có một báo cáo được xuất ản
về vụ việc này trong tương lai gần của Tổng Thanh tra
Lâm thời của SEC.
Cũng
đã có một câu chuyện gây lo lắng trong tuần này trên
tờ Minneapolis Star Tribune về cựu cảnh sát đã thu được
hơn 1 triệu USD cho tới này từ các vụ kiện được đệ
trình chống lại một số thành phố của bang Minnesota vì
các nhân viên cảnh sát đã truy cập bất hợp pháp thông
tin giấy phép lái xe của bà từ cơ sở dữ liệu phương
tiện xe máy của bang. Theo một câu chuyện trên CityPages,
thông tin của bà từng bị “truy cập 425 lần từ 104
cảnh sát trong khoảng thời gian các năm 2007-2011.. và thêm
174 lần trong năm 2006”.
Câu chuyện trên Star
Tribune đã lưu ý rằng các nhân viên cảnh sát đã truy
cập giấy phép của người phụ nữ đó “vì bà ta rất
hấp dẫn và vì thế họ có thể xem thấy bà ta đã thay
đổi và bà ta có vẻ nhìn khác”.
Sự truy cập thường
xuyên và không được phép vào cơ sở dữ liệu lái xe
của Minnesota của cảnh sát từng bị đưa ra tòa, thứ gì
đó mà các phòng cảnh sát của thành phố có liên quan
luôn từ chối. Tuy nhiên, các chính quyền thành phố khắp
Minnesota hình như đã tiến hành các bước để thắt chặt
sự truy cập của cảnh sát tới thông tin giấy phép lái
xe cũng như gia tăng mức phạt vì truy cập trái phép đối
với các vụ kiện. Cho tới nay, dù, không có nhân vieenn
nào được xác định có tham gia mà bị trừng phạt cả.
Cuối cùng, trong một
trường hợp khóa cửa nhà kho sau khi tất cả các con ngựa
đã thoát ra, bang Nam Carolina đã công bố rằng nó sẽ bỏ
ra 3 tháng sắp tới để mã hóa các dữ liệu phòng doanh
số của mình. Như tôi đã lưu ý tuần trước, khoảng
3.6 triệu số An sinh Xã hội của những người đóng thuế
không được mã hóa, 387.000 thẻ ghi nợ và tín dụng, và
thông tin về hơn 657.000 doanh nghiệp của Nam Carolina đã
bị bọn tội phạm đánh cắp vào tháng trước từ Phòng
Doanh thu của Nam Carolina. Thống đốc bang Nikki Haley gần
đây đã nói rằng các dữ liệu của những người đóng
thuế của Phòng Doanh thu đã không được mã hóa trước
đó vì làm như vậy từng “nặng nề” và hơn nữa, mã
hóa dữ liệu không phải là một thực tiễn tốt nhất
của nền công nghiệp an ninh CNTT. Tôi đoán bà ta đã nghĩ
lại.
Được ước tính
rằng bang Nam Carolina sẽ chi vượt mức 30 triệu USD chỉ
để cung cấp các dịch vụ bảo vệ làm giả cho những
người đóng thuế bị ảnh hưởng cho năm sau.
The
security breach caused the SEC to spend over $200 000 to conduct a
security audit to ensure that no information was compromised.
The SEC also had to notify all the stock exchanges of the breach,
which made none of them very happy (although the schadenfreude felt
was likely acute), especially since the SEC
has been pushing public companies hard to disclose the risk of cyber
incidents.
The
SEC had no comment on the Reuters
story. It likely will be forced to break its silence and explain to
Congress how the breach was allowed to exist, however, once a report
is published on the incident in the near future by the SEC Interim
Inspector General.
There
was also a disturbing story
this week in the Minneapolis
Star Tribune about
a former policewoman
who has collected more than $1 million so far from lawsuits
filed against a number of Minnesota cities
because police officers illegally accessed her driver's license
information from the state’s motor vehicle database. According to a
story
at CityPages,
her information had been “accessed 425 times by 104 officers
between 2007 and 2011… and additional 174 times in 2006.”
The
Star Tribune
story noted that police officers accessed the woman’s license
“because she was very attractive and so they could see that 'she's
changed and she's got a new look.’ ”
The
routine and unauthorized access of the Minnesota's driver license
database by police has been alleged in the suit, something that the
city police departments involved deny. However, city 7
Dịch: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.