Phần mềm độc hại do nhà nước bảo trợ như Stuxnet sẽ đánh mạnh các doanh nghiệp tư nhân trong năm 2013

State-sponsored malware like Stuxnet will hit private enterprise hard in 2013

21 December 2012

Theo: http://www.infosecurity-magazine.com/view/29965/statesponsored-malware-like-stuxnet-will-hit-private-enterprise-hard-in-2013/

Bài được đưa lên Internet ngày: 21/12/2012

Lời người dịch: Những dự đoán không tích cực về bức tranh an ninh 2013 của hãng chuyên quản lý khóa và chứng chỉ số Venafi. Một số trích đoạn: ““Tuy nhiên, quan điểm của chúng tôi là các công ty nên có quan tâm, khi mà những công cụ và kỹ thuật được sử dụng để thực hiện các dạng tấn công đó (như của Stuxnet), tiếc thay, bây giờ đang năm trong tay của bọn tội phạm chung và các thực thể xấu xa. Trong năm tới, những cuộc tấn công như vậy có lẽ sẽ gia tăng, đặc biệt chống lại các doanh nghiệp lớn, và có khả năng gây ra những lỗ hổng dữ liệu lớn, gây mất điện bất thường và những đổ vỡ đáng kể cho các doanh nghiệp”... Như một sự nhắc lại, MD5 là thuật toán ký chứng chỉ số què quặt do Microsoft sử dụng đã cho phép các tin tặc vượt qua được an ninh của Microsoft và gây lây nhiễm hàng ngàn các máy tính với phần mềm độc hại Flame. Một khi xảy ra, Flame có khả năng thu thập các thông tin nhạy cảm từ các thiết bị bị nhắm đích. “Với gần như 1 trong số 5 chứng chỉ được triển khai khắp Global 2000 vẫn còn đang sử dụng MD5, khả năng cao là những lỗ hổng có liên quan sẽ tiếp tục”... Với những thay đổi đó, rõ ràng là trong năm 2013 các nhà điều chỉnh pháp luật toàn cầu sẽ thực hiện hành động chống lại các tổ chức không bảo vệ được dữ liệu trong đám mây”.

Gọi nó là thiệt hại phụ: Bọn tội phạm và tin tặc có tổ chức sẽ thúc đẩy các cuộc tấn công dựa vào chứng chỉ số để gây lây nhiễm cho các hệ thống CNTT các doanh nghiệp lớn bằng các phần mềm độc hại do nhà nước phát triển như Flame và Stuxnet - với kết quả hung ác làm ảnh hưởng tới hoạt động của các doanh nghiệp trên toàn thế giới, và mở cửa cho một cơn lũ các lỗ hổng dữ liệu và thiệt hại về thương hiệu vượt xa các mục tiêu của chiến tranh không gian mạng mà các phần mềm độc hại đó đã được tạo ra để làm như vậy.

Đó là dự đoán hàng đầu cho năm 2013 từ nhà cung cấp quản lý khóa và chứng chỉ Venafi. “Nhiều học giả, các đài phát thanh hàng đầu và thậm chí một số chuyên gia an ninh đang báo cáo rằng các doanh nghiệp lớn không cần có quan tâm quá mức về Flame và các phần mềm độc hại dạng Stuxnet, trích dẫn thực tế là chúng đã được các nhóm tình báo và quân sự của chính phủ được cấp vốn tốt thực hiện, các mục tiêu của chúng là các nhà nước quốc gia thù địch và không phải là các doanh nghiệp”, CEO Jeff Hudson của Venafi, nói. “Tuy nhiên, quan điểm của chúng tôi là các công ty nên có quan tâm, khi mà những công cụ và kỹ thuật được sử dụng để thực hiện các dạng tấn công đó, tiếc thay, bây giờ đang năm trong tay của bọn tội phạm chung và các thực thể xấu xa. Trong năm tới, những cuộc tấn công như vậy có lẽ sẽ gia tăng, đặc biệt chống lại các doanh nghiệp lớn, và có khả năng gây ra những lỗ hổng dữ liệu lớn, gây mất điện bất thường và những đổ vỡ đáng kể cho các doanh nghiệp”. “Các tổ chức mà không có sự quản lý và kiểm soát hiệu quả cho BYOD và các mạng Wifi và VPN có liên quan sẽ tự thấy họ xoắn theo một ác mộng an ninh và tuân thủ mà sẽ gây ra những lỗ hổng, các khoản tiền phạt và thiệt hại về thương hiệu... ”

Venafi nói rằng dựa vào dự báo của mình về những ví dụ thế giới thực các dạng “mục tiêu đổ máu” này đang xảy ra rồi. Đầu năm nay, người khổng lồ dầu khí Chevron (Đứng số 3 theo xếp hạng Fortune 500) được cho là đã thấy phần mềm độc hại Stuxnet trong các hệ thống của mình. Chevron khi đó đã nói rằng hãng không tin chính phủ Mỹ nhận thức được phần mềm độc hại đó đã lan truyền xa và rộng tới cỡ nào, Hudson lưu ý. Sự lây nhiễm đó từng xảy ra trước khi nó gây thiệt hại, nhưng bài học về mục tiêu đó vẫn còn.

Call it collateral damage: Organized cybercriminals and hackers will leverage digital certificate-based attacks to infect enterprise IT systems with state-developed malware such as Flame and Stuxnet – with the nefarious result of impacting business operations worldwide, and opening the door to a flood of data breaches and brand damage reaching far beyond the cyber-war targets the malware was created for.

That’s the top prediction for 2013 from key and certificate management vendor Venafi. "Many pundits, leading media outlets and even some security experts are reporting that enterprises needn't be overly concerned about Flame and Stuxnet-style malware, citing the fact that they were executed by well-funded government intelligence and military groups whose targets were hostile nation-states and not businesses," said Venafi CEO Jeff Hudson. "However, our view is that companies should be concerned, as the tools and techniques used to execute these types of attacks are, unfortunately, now in the hands of common criminals and rogue entities. In the coming year, such attacks are likely to increase, especially against enterprises, and are likely to result in major data breaches, unplanned outages and significant disruptions to businesses."

Venafi said that it is basing its prediction on real-world examples of this kind of “target bleed” already happening. Earlier in the year, oil giant Chevron (No. 3 in the Fortune 500 rankings) said that it found the Stuxnet malware in its systems. Chevron has since publicly stated that it does not believe the US government realizes how far and wide the malware has spread, Hudson noted. That infection was contained before it resulted in damage, but the object lesson remains.

In addition to predicting increased trends in enterprise attacks, Venafi has also researched the overall enterprise security landscape and developed a number of other predictions, including the theory that 4G-driven mobility and bring-your-own–device (BYOD) compliance will cause security and audit nightmares.

“The availability of near-desktop speed on laptops, tablets and smartphones will lead to a larger number of mobile BYOD users accessing sensitive and regulated corporate data,” said Venafi. “Organizations that do not have effective management and controls in place for BYOD and related Wi-Fi networks and VPNs will find themselves spiraling into a security and compliance nightmare that will result in breaches, fines and brand damage.”

Bổ sung thêm vào việc dự đoán các xu thế gia tăng trong các cuộc tấn công các doanh nghiệp, Venafi cũng đã nghiên cứu toàn bộ bức tranh an ninh doanh nghiệp và đã đưa ra một số dự báo khác, bao gồm lý thuyết di động do 4G dẫn dắt và sự tuân thủ mang thiết bị của riêng bạn - BYOD (Bring - Your - Own – Device) sẽ gây ra những ác mộng về kiểm toán và an ninh.

“Tính sẵn sàng về tốc độ gần với máy để bàn trên các máy tính xách tay, các máy tính bảng và điện thoại thông minh sẽ dẫn tới số lượng lớn hơn những người sử dụng BYOD di động truy cập các dữ liệu nhạy cảm và được điều chỉnh của các công ty”, Venafi nói. “Các tổ chức mà không có sự quản lý và kiểm soát hiệu quả cho BYOD và các mạng Wifi và VPN có liên quan sẽ tự thấy họ xoắn theo một ác mộng an ninh và tuân thủ mà sẽ gây ra những lỗ hổng, các khoản tiền phạt và thiệt hại về thương hiệu”.

Một vấn đề khác cho năm tới là những lỗ hổng do sử dụng các thuật toán mã hóa MD5 hoặc yếu khác. Venafi nói rằng nghiên cứu thống kê đã phát hiện rằng hầu hết toàn boọ 2000 tổ chức toàn cầu đã phát triển các chứng chỉ số được ký theo MD5, yếu và dễ dàng bị tấn công trong các môi trường của họ.

Như một sự nhắc lại, MD5 là thuật toán ký chứng chỉ số què quặt do Microsoft sử dụng đã cho phép các tin tặc vượt qua được an ninh của Microsoft và gây lây nhiễm hàng ngàn các máy tính với phần mềm độc hại Flame. Một khi xảy ra, Flame có khả năng thu thập các thông tin nhạy cảm từ các thiết bị bị nhắm đích. “Với gần như 1 trong số 5 chứng chỉ được triển khai khắp Global 2000 vẫn còn đang sử dụng MD5, khả năng cao là những lỗ hổng có liên quan sẽ tiếp tục”, hãng này nói.

Hãng này còn dự báo - không ngạc nhiên - rằng đám mây sẽ là mục tiêu của bọn tội phạm không gian mạng nhằm vào các doanh nghiệp và các chính phủ. Và rằng, tới lượt nó, sẽ dẫn dắt các hành động điều chỉnh pháp luật.

Câu chuyện đó đang bắt đầu rồi: Tại Anh, Văn phòng Ủy ban Thông tin (ICO) đã phác thảo một kế hoạch để bảo vệ các dữ liệu đám mây trong khi tuân thủ với các chỉ thị Bảo vệ Dữ liệu của châu Âu và nước Anh. ICO có thể phạt các tổ chức £500,000 cho mỗi vi phạm và nói rằng “quản lý khóa mạnh khỏe” và mã hóa là những yêu cầu tuân thủ.

“Với những thay đổi đó, rõ ràng là trong năm 2013 các nhà điều chỉnh pháp luật toàn cầu sẽ thực hiện hành động chống lại các tổ chức không bảo vệ được dữ liệu trong đám mây”. Venafi nói.

Và, cuối cùng, khi bức tranh về các mối đe dọa gia tăng, ngân sách cho an ninh sẽ tăng. “Mọi dấu hiệu chỉ ra rằng hầu hết ngân sách an ninh CNTT sẽ tăng trong năm 2013 vì sự chú ý gia tăng đối với các lỗ hổng và các đội an ninh đang làm tốt hơn công việc của mình bằng việc khớp nối cả giá trị rủi ro và nghiệp vụ”, hãng này nói. “Các dự án về an ninh có thể giúp tăng tốc các dự án chiến lược và làm giảm công việc ở những nơi khác và nhất định có những cơ hội đầu tư tốt nhất trong năm 2013”.

Another issue for the coming year is breaches caused by the use of MD5 and other weak encryption algorithms. Venafi said that statistical research has revealed that almost all Global 2000 organizations have deployed weak, easily hacked, MD5-signed certificates in their environments.

As a refresher, MD5 is the broken certificate-signing algorithm used by Microsoft that allowed hackers to bypass Microsoft security and infect thousands of computers with Flame malware. Once in place, Flame was able to gather sensitive information from the targeted devices. “With nearly one out of five certificates deployed across the Global 2000 still using MD5, it is highly probable that related breaches will continue,” the firm said.
The company also predicts – to no surprise – that the cloud will be the target of cybercriminals taking aim at businesses and governments. And that, in turn, will drive regulatory action.

That groundswell is already starting: In the UK, the Information Commissioner's Office (ICO) outlined a plan for protecting cloud data while complying with UK and European Data Protection directives. The ICO can fine organizations £500,000 per violation and states that encryption and "robust key management" are requirements for compliance.

“With these changes, it is clear that in 2013 regulators globally will take action against organizations that fail to protect data in the cloud,” Venafi said.

And, finally, amid the rising threatscape, security budgets will rise. “All signs indicate that most IT security budgets will grow in 2013 due to the increased attention to breaches and to security teams doing a better job articulating both risk and business value,” the firm said. “Security projects that can help accelerate strategic projects and reduce work elsewhere are certain to have the best chances of funding in 2013.”

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com