Thứ Ba, 13 tháng 11, 2012

Tội phạm KGM tuần này: Chevron bị Stuxnet đánh, SEC lúng túng vì lỗ thủng an ninh


This Week in Cybercrime: Chevron Bitten by Stuxnet, SEC Embarrassed by Security Breach
POSTED BY: Robert N. Charette / Th 6, tháng mười một 09, 2012
Bài được đưa lên Internet ngày: 09/11/2012
Lời người dịch: Bài viết nêu những sự kiện mất an ninh hệ thống thông tin trong vòng 1 tuần, có nhắc tới việc (1) công ty năng lượng Chevron thừa nhận bị lây nhiễm Stuxnet vào tháng 07/2010; (2) Đã 2 năm trôi qua kể từ khi phần mềm SCADA của Siemens bị Stuxnet khai thác các lỗi để tấn công Iran, đội nghiên cứu về an ninh của Nga “đã thấy nhiều hơn 50 chỗ bị tổn thương trong phiên bản mới nhất của WinCC, vì thế nhiều thứ mà Siemens đã khắc phục một lộ trình dài để vá tất cả chúng... Hầu hết là những vấn đề có thể cho phép một kẻ tấn công chiếm hệ thống WinCC từ xa”; (3) Các nhân viên tại Ủy ban Chứng khoán An ninh Mỹ (SEC) “đã không mã hóa một số máy tính của họ có chứa các thông tin nhạy cảm cao độ từ các thị trường chứng khoán, để lại các dữ liệu có khả năng bị tổn thương đối với các cuộc tấn công KGM”. Sự mỉa mai là việc các nhân viên đó là một phần của Bộ phận Thương mại và Thị trường của SEC, có trách nhiệm, như Reuters nói, “để đảm bảo chắc chắn là các thị trường chứng khoán tuân theo những chỉ dẫn để bảo vệ các thị trường khỏi những mối đe dọa và các vấn đề hệ thống tiềm tàng”....
Là một tuần khá yên ả trong thế giới tội phạm KGM. Chúng tôi bắt đầu rà soát lại của tuần này bằng sự thừa nhận của Chevron ngày hôm qua rằng các hệ thống CNTT của hãng đã bị lây nhiễm phần mềm độc hại Stuxnet vào tháng 07/2010. Đây là lần đầu tiên một công ty Mỹ đã thừa nhận bị lây nhiễm bởi phần mềm độc hại mà Mỹ và Israel đã tạo ra và đã sử dụng để nhằm vào chương trình làm giàu uranium của Iran.
Mark Koelmel, tổng giám đốc phòng các khoa học trái đất tại Chevron, đã nói cho tạp chí Phố Uôn rằng, “Tôi không nghĩ chính phủ Mỹ thậm chí nhận thức được Stuxnet đã lan truyền xa tới cỡ nào. Tôi nghĩ mặt trái của những gì họ đã làm là tệ hơn nhiều so với những gì họ thực sự hoàn thành”. Sự thừa nhận của Chevron không nghi ngờ gì sẽ làm dấy lên tranh luận về việc liệu Stuxnet có thoát ra ngoài thế giới hoang dã hay chưa, hay liệu Chevron bản thân hãng từng bị nhắm đích liệu có thể là bị nhắm đích cố tình hay không.
Chevron đã nói cho tạp chí Phố Uôn rằng hãng không bị lây nhiễm có hại vì Stuxnet, nhưng tôi nghĩ rằng tất cả phụ thuộc vào việc làm thế nào bạn xác định được “bị lây nhiễm vô hại”.
Một sự trùng khớp, một câu chuyện trên ComputerWorld ngày hôm qua đã nói rằng một đội các nhà nghiên cứu về an ninh của Nga đã thấy rằng Siemens đã cập nhật phần mềm WinCC SCADA (Kiểm soát giám sát và thu thập dữ liệu) mà đã từng bị Stuxnet nhắm đích vẫn còn đầy các lỗ hổng về an ninh. Câu chuyện nói rằng đội nghiên cứu “đã thấy nhiều hơn 50 chỗ bị tổn thương trong phiên bản mới nhất của WinCC, vì thế nhiều thứ mà Siemens đã khắc phục một lộ trình dài để vá tất cả chúng... Hầu hết là những vấn đề có thể cho phép một kẻ tấn công chiếm hệ thống WinCC từ xa”.
Giống như việc Siemens có nhiều việc hơn để làm.
Trong một trường hợp hãy làm như tôi nói, nhưng đừng làm như tôi làm, Reuters đã bình luận ngày hôm qua rằng các nhân viên tại Ủy ban Chứng khoán An ninh Mỹ (SEC) “đã không mã hóa một số máy tính của họ có chứa các thông tin nhạy cảm cao độ từ các thị trường chứng khoán, để lại các dữ liệu có khả năng bị tổn thương đối với các cuộc tấn công KGM”. Sự mỉa mai là việc các nhân viên đó là một phần của Bộ phận Thương mại và Thị trường của SEC, có trách nhiệm, như Reuters nói, “để đảm bảo chắc chắn là các thị trường chứng khoán tuân theo những chỉ dẫn để bảo vệ các thị trường khỏi những mối đe dọa và các vấn đề hệ thống tiềm tàng”.
It’s been a relatively quiet week in the world of cybercrime. We start off this week’s review with Chevron’s admission yesterday that its IT systems were infected with the Stuxnet malware back in July 2010. This is the first time a U.S. company has acknowledged being infected by the malware which the U.S. and Israel created and used to target Iran’s uranium enrichment program.
Mark Koelmel, general manager of the earth sciences department at Chevron, told the Wall Street Journal that, “I don’t think the U.S. government even realized how far it [Stuxnet] had spread. I think the downside of what they did is going to be far worse than what they actually accomplished.”
Chevron’s admission will no doubt fan the debate over whether Stuxnet escaped into the wild or not, or whether Chevron was itself targeted may have been deliberately targeted.
Chevron told the WSJ that it was not adversely affected by Stuxnet, but I think that all depends on how you define “adversely affected.”
Coincidentally, a story at ComputerWorld yesterday reported that a team of Russian security researchers have found that the Siemens updated WinCC SCADA (Supervisory Control And Data Acquisition) software which was targeted by Stuxnet is still full of security holes.  The story says that the research team “found more than 50 vulnerabilities in WinCC’s latest version, so many that Siemens has worked out a roadmap to patch them all… Most are problems that would allow an attacker to take over a WinCC system remotely.”
Looks like Siemens has more work to do.
In a case of do-as-I-say, but-not-as-I-do, Reuters reported yesterday that staffers at the U.S. Security Exchange Commission “failed to encrypt some of their computers containing highly sensitive information from stock exchanges, leaving the data vulnerable to cyber attacks.” The irony is that the staffers were part of the SEC's Trading and Markets Division, which is responsible, Reuters says, “for making sure exchanges follow certain guidelines to protect the markets from potential cyber threats and systems problems.”
Lỗ hổng về an ninh đã gây ra cho SEC phải tốn hơn 200.000 USD để tiến hành một kiểm kê an ninh và đảm bảo rằng không thông tin nào bị tổn thương. SEC cũng đã phải lưu ý tất cả các thị trường chứng khoán về lỗ hổng đó, mà đã không làm cho ai rất hạnh phúc cả (dù cảm giác sung sướng trên đau khổ của kẻ khác có vẻ như buốt lạnh), đặc biệt khi SEC đã và đang thúc đẩy các công ty nhà nước cật lực để hé lộ rủi ro các vụ việc trong KGM.
SEC đã không binh luận gì về câu chuyện của Reuters. Có khả năng nó sẽ bị ép phải dừng sự im lặng của mình và giải thích cho Quốc hội làm thế nào lỗ hổng đã được phép tồn tại, dù, sẽ có một báo cáo được xuất ản về vụ việc này trong tương lai gần của Tổng Thanh tra Lâm thời của SEC.
Cũng đã có một câu chuyện gây lo lắng trong tuần này trên tờ Minneapolis Star Tribune về cựu cảnh sát đã thu được hơn 1 triệu USD cho tới này từ các vụ kiện được đệ trình chống lại một số thành phố của bang Minnesota vì các nhân viên cảnh sát đã truy cập bất hợp pháp thông tin giấy phép lái xe của bà từ cơ sở dữ liệu phương tiện xe máy của bang. Theo một câu chuyện trên CityPages, thông tin của bà từng bị “truy cập 425 lần từ 104 cảnh sát trong khoảng thời gian các năm 2007-2011.. và thêm 174 lần trong năm 2006”.
Câu chuyện trên Star Tribune đã lưu ý rằng các nhân viên cảnh sát đã truy cập giấy phép của người phụ nữ đó “vì bà ta rất hấp dẫn và vì thế họ có thể xem thấy bà ta đã thay đổi và bà ta có vẻ nhìn khác”.
Sự truy cập thường xuyên và không được phép vào cơ sở dữ liệu lái xe của Minnesota của cảnh sát từng bị đưa ra tòa, thứ gì đó mà các phòng cảnh sát của thành phố có liên quan luôn từ chối. Tuy nhiên, các chính quyền thành phố khắp Minnesota hình như đã tiến hành các bước để thắt chặt sự truy cập của cảnh sát tới thông tin giấy phép lái xe cũng như gia tăng mức phạt vì truy cập trái phép đối với các vụ kiện. Cho tới nay, dù, không có nhân vieenn nào được xác định có tham gia mà bị trừng phạt cả.
Cuối cùng, trong một trường hợp khóa cửa nhà kho sau khi tất cả các con ngựa đã thoát ra, bang Nam Carolina đã công bố rằng nó sẽ bỏ ra 3 tháng sắp tới để mã hóa các dữ liệu phòng doanh số của mình. Như tôi đã lưu ý tuần trước, khoảng 3.6 triệu số An sinh Xã hội của những người đóng thuế không được mã hóa, 387.000 thẻ ghi nợ và tín dụng, và thông tin về hơn 657.000 doanh nghiệp của Nam Carolina đã bị bọn tội phạm đánh cắp vào tháng trước từ Phòng Doanh thu của Nam Carolina. Thống đốc bang Nikki Haley gần đây đã nói rằng các dữ liệu của những người đóng thuế của Phòng Doanh thu đã không được mã hóa trước đó vì làm như vậy từng “nặng nề” và hơn nữa, mã hóa dữ liệu không phải là một thực tiễn tốt nhất của nền công nghiệp an ninh CNTT. Tôi đoán bà ta đã nghĩ lại.
Được ước tính rằng bang Nam Carolina sẽ chi vượt mức 30 triệu USD chỉ để cung cấp các dịch vụ bảo vệ làm giả cho những người đóng thuế bị ảnh hưởng cho năm sau.
The security breach caused the SEC to spend over $200 000 to conduct a security audit to ensure that no information was compromised.  The SEC also had to notify all the stock exchanges of the breach, which made none of them very happy (although the schadenfreude felt was likely acute), especially since the SEC has been pushing public companies hard to disclose the risk of cyber incidents.
The SEC had no comment on the Reuters story. It likely will be forced to break its silence and explain to Congress how the breach was allowed to exist, however, once a report is published on the incident in the near future by the SEC Interim Inspector General.
There was also a disturbing story this week in the Minneapolis Star Tribune about a former policewoman who has collected more than $1 million so far from lawsuits filed against a number of Minnesota cities because police officers illegally accessed her driver's license information from the state’s motor vehicle database. According to a story at CityPages, her information had been “accessed 425 times by 104 officers between 2007 and 2011… and additional 174 times in 2006.”
The Star Tribune story noted that police officers accessed the woman’s license “because she was very attractive and so they could see that 'she's changed and she's got a new look.’ ”
The routine and unauthorized access of the Minnesota's driver license database by police has been alleged in the suit, something that the city police departments involved deny. However, city 7
Dịch: Lê Trung Nghĩa

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.