Thứ Sáu, 24 tháng 9, 2010

Các cuộc tấn công không gian mạng và một số khái niệm thực tiễn cơ bản

Ngày 15/07/2010, Cơ quan Kiểm toán Liên bang Mỹ đã đưa ra báo cáo dài 38 trang: “Bảo vệ hạ tầng sống còn, những kỳ vọng chủ chốt về không gian mạng đối với nhà nước và tư nhân cần phải được giải quyết một cách kiên định”. Một trong những nội dung của báo cáo đưa ra những nguồn của các mối đe dọa an ninh không gian mạng và các dạng khai thác có liên quan tới an ninh không gian mạng. Cho dù những sự việc này xảy ra trong thực tiễn tại Mỹ, thì cũng có thể xảy ra tại các quốc gia khác, như Việt Nam chẳng hạn. Vì vậy, bài viết này đề cập tới những thông tin như vậy với mong muốn để chúng ta hiểu được những khái niệm thực tiễn cơ bản có liên quan tới an ninh không gian mạng ngày nay.

Các mối đe dọa và sự cố về không gian mạng ảnh hưởng bất lợi tới hạ tầng sống còn của quốc gia

Các dạng khác nhau của những mối đe dọa từ nhiều nguồn có thể ảnh hưởng bất lợi cho các máy tính, phần mềm, mạng, các hoạt động của một cơ quan, một nền công nghiệp, hoặc bản thân Internet. Các mối đe dọa không gian mạng có thể là vô tình hoặc cố ý. Các mối đe dọa do vô tình có thể gây ra bằng việc nâng cấp phần mềm hoặc duy trì các thủ tục mà chúng gây ngắt quãng một cách vô tình cho các hệ thống. Các mối đe dọa cố ý gồm cả các cuộc tấn công có chủ đích và không có chủ đích. Các cuộc tấn công có thể tới từ một loạt các nguồn, bao gồm các nhóm tội phạm, các tin tặc, và các tên khủng bố. Bảng 1 liệt kê các nguồn của các mối đe dọa đã được cộng đồng tình báo Mỹ và các cộng đồng khác xác định.

Bảng 1: Các nguồn của các mối đe dọa về an ninh không gian mạng

Mối đe dọa

Mô tả

Những người vận hành các botnet

Những người vận hành các botnet sử dụng một mạng – botnet của các máy tính bị tổn thương, bị kiểm soát từ xa để phân phối các cuộc tấn công theo kế hoạch bằng phishing, spam, và phần mềm độc hại. Các dịch vụ của các mạng này đôi khi được làm sẵn trên các thị trường ngầm (như, việc mua sắm một cuộc tấn công từ chối dịch vụ hoặc các máy chủ để sắp đặt các cuộc tấn công bằng spam hoặc phishing).

Các nhóm tội phạm

Các nhóm tội phạm tìm các hệ thống để tấn công và lấy tiền. Đặc biệt, các nhóm tội phạm có tổ chức sử dụng spam, phishing, và phần mềm gián điệp/phần mềm độc hại để phạm tội ăn trộm nhận dạng và giả mạo trực tuyến. Bọn gián điệp của các tổ chức quốc tế và các tổ chức tội phạm có tổ chức cũng đặt ra mối đe dọa cho quốc gia thông qua khả năng của chúng tiến hành gián điệp công nghiệp và phạm tội ăn trộm ở phạm vi lớn và thuê hoặc phát triển các tài năng tin tặc.

Các tin tặc


Các tin tặc đột nhập vào các mạng với mục đích như làm rung động thách thức, khoe khoang các quyền trong cộng đồng tin tặc, trả thù, lén săn đuổi những người khác, lấy tiền và những lý do khác. Trong khi để giành được sự truy cập không được phép từng đòi hỏi một số lượng khá các kỹ năng hoặc tri thức về máy tính, thì các tin tặc bây giờ tải các script và các giao thức tấn công về từ Internet và tung chúng ra chống lại các site nạn nhân. Vì thế, khi các công cụ tấn công đã trở nên tinh vi phức tạp hơn, thì chúng cũng trở nên dễ dàng sử dụng hơn. Theo Cục Tình báo Trung ương Mỹ – CIA, đa số lớn các tin tặc không có được sự tinh thông cần thiết để đe dọa các mục tiêu khó khăn như các mạng sống còn của quốc gia. Tuy nhiên, số lượng các tin tặc trên thế giới đặt ra một mối đe dọa khá cao đối với một sự đổ vỡ ngắn hạn và bị cách ly gây ra tổn thất nghiêm trọng.

Người bên trong

Người bên trong tổ chức bất mãn là một nguồn cơ bản của tội phạm máy tính. Những người bên trong có thể không cần nhiều hiểu biết về những thâm nhập trái phép của máy tính vì hiểu biết của họ về một hệ thống đích thường cho phép họ giành được sự truy cập không giới hạn để gây thiệt hại cho hệ thống hoặc ăn cắp các dữ liệu hệ thống. Mối đe dọa của người bên trong cũng bao gồm các nhà thầu được tổ chức thuê, cũng như các nhân viên mà ngẫu nhiên đưa phần mềm độc hại vào trong hệ thống.

Các quốc gia

Các quốc gia sử dụng các công cụ không gian mạng như một phần của các hoạt động thu thập và gián điệp thông tin của họ. Hơn nữa, một số quốc gia đang làm việc tích cực để phát triển học thuyết, các chương trình và các khả năng của chiến tranh thông tin. Những khả năng như vậy cho phép một thực thể đơn nhất có được tác động đáng kể và nghiêm túc bằng việc phá hoại các hạ tầng cung ứng, truyền thông và kinh tế mà chúng hỗ trợ cho sức mạnh quân sự – những tác động mà có thể ảnh hưởng cho những cuộc sống hàng ngày của các công dân trên khắp đất nước.

Những người đánh phishing

Các cá nhân, hoặc các nhóm nhỏ, thực hiện các kế hoạch phishing với mong muốn ăn cắp các nhận dạng hoặc thông tin để lấy tiền. Những người đánh phishing cũng có thể sử dụng spam và các phần mềm gián điệp/phần mềm độc hại để hoàn thành các mục tiêu của họ.

Những người đánh spam


Các cá nhân hoặc các tổ chức phân phối thư điện tử không theo yêu cầu với những thông tin ẩn hoặc sai để bán các sản phẩm, tiến hành các kế hoạch phishing, phân phối các phần mềm gián điệp/phần mềm độc hại, hoặc tấn công các tổ chức (như, tấn công từ chối dịch vụ).

Các tác giả của phần mềm gián điệp/phần mềm độc hại

Các cá nhân hoặc tổ chức với dự định độc hại triển khai các cuộc tấn công chống lại những người sử dụng bằng việc sản xuất và phân phối các phần mềm gián điệp và phần mềm độc hại. Một số virus và sâu máy tính có tính phá hoại đã làm hỏng các tệp và các ổ đĩa cứng, bao gồm cả Melissa Macro Virus, sâu Explore.Zip, CIH (Chernobyl) Virus, Nimda, Code Red, Slammer, và Blaster.

Những kẻ khủng bố

Những kẻ khủng bố tìm để phá hủy, vô hiệu hóa, hoặc khai thác các hạ tầng sống còn để đe dọa an ninh quốc gia, gây ra những thiệt hại hàng loạt, làm yếu đi nền kinh tế, và gây thiệt hại về đạo đức và sự tin cậy vào nhà nước. Những kẻ khủng bố có thể sử dụng các kế hoạch phishing hoặc phần mềm gián điệp/phần mềm độc hại để làm tiền hoặc thu thập những thông tin nhạy cảm.

Các nguồn: Các phân tích của Văn phòng Kiểm toán Liên bang Mỹ (GAO) trên các dữ liệu từ Giám đốc Tình báo Quốc gia, Bộ Tư pháp, Văn phòng Điều tra Liên bang Mỹ FBI, Cơ quan Tình báo Trung ương Mỹ CIA, và Trung tâm Điều phối CERT của Viện Kỹ thuật Phần mềm.

Các dạng khác nhau về các mối đe dọa không gian mạng có thể sử dụng một loạt các khai thác không gian mạng mà có thể ảnh hưởng bất lợi cho các máy tính, phần mềm, mạng, các hoạt động của cơ quan, của nền công nghiệp, hoặc của bản thân Internet (xem Bảng 2). Các nhóm hoặc các cá nhân có thể triển khai một cách có chủ ý những khai thác không gian mạng nhằm vào một tài sản không gian mạng cụ thể nào đó hoặc tấn công thông qua Internet có sử dụng virus, sâu, hoặc phần mềm độc hại mà không có mục tiêu cụ thể nào.

Bảng 2: Các dạng khai thác không gian mạng

Dạng khai thác

Mô tả

Từ chối dịch vụ

Một phương pháp tấn công từ một nguồn đơn nhất mà từ chối sự truy cập hệ thống đối với những người sử dụng hợp pháp bằng việc gây tràn ngập máy tính đích với các thông điệp và cản trở giao thông hợp pháp. Nó có thể ngăn cản một hệ thống để nó không có khả năng trao đổi các dữ liệu với các hệ thống khác hoặc sử dụng Internet.

Từ chối dịch vụ phân tán

Một biến thể của tấn công từ chối dịch vụ có sử dụng một cuộc tấn công được phối hợp từ một hệ thống các máy tính phân tán hơn là từ một nguồn đơn nhất. Nó thường sử dụng các sâu để lan truyền ra nhiều máy tính để các máy tính này sau đó tấn công mục tiêu.

Công cụ khai thác

Các công cụ có sẵn một cách công khai và tinh vi phức tạp mà những kẻ thâm nhập trái phép với các mức độ về kỹ năng khác nhau có thể sử dụng để xác định những chỗ bị tổn thương và thâm nhập vào các hệ thống mục tiêu.

Bom Logic

Một dạng phá hoại trong đó một lập trình viên chèn mã và mã này làm cho chương trình thực thi một hành động phá hoại khi một số sự kiện kích hoạt xảy ra, như việc kết thúc việc làm của lập trình viên.

Phishing

Việc tạo và sử dụng các thư điện tử và các website – được thiết kế để trông giống như các doanh nghiệp, các cơ quan tài chính và các cơ quan chính phủ hợp pháp nổi tiếng – để lừa dối những người sử dụng Internet phơi các dữ liệu cá nhân của họ ra, như các thông tin và các mật khẩu tài khoản tài chính và ngân hàng. Những kẻ đánh phishing sau đó sử dụng các thông tin này cho những mục đích tội phạm, như ăn trộm và lừa gạt.

Kẻ hít gói (Sniffer)

Đồng nghĩa với kẻ hít các gói. Một chương trình chặn các dữ liệu được định tuyến và kiểm tra từng gói để tìm các thông tin đặc biệt, như các mật khẩu được truyền ở dạng các văn bản rõ ràng.

Ngựa Trojan

Một chương trình máy tính giấu mã độc hại. Một ngựa Trojan thường ngụy trang như một chương trình hữu dụng mà người sử dụng có thể mong muốn để chạy.

Virus

Một chương trình lây nhiễm cho các tệp máy tính, thường là các chương trình có thể chạy được, bằng việc chèn một bản sao của chính nó vào tệp đó. Các bản sao thường chạy được khi tệp bị lây nhiễm được tải vào bộ nhớ, cho phép virus lây nhiễm các tệp khác. Không giống như một sâu máy tính, một virus đòi hỏi sự liên quan của con người (thường không có chủ tâm) để nhân giống.

Vishing

Phương pháp của phishing dựa trên công nghệ của giao thức tiếng nói qua Internet (VoIP) và phần mềm của trung tâm gọi nguồn mở mà đã làm cho nó thành không đắt giá cho những kẻ mưu đồ bất lương để thiết lập các trung tâm gọi điện thoại và bọn tội phạm gửi đi các thông điệp thư điện tử và văn bản tới các nạn nhân tiềm năng, nói đã có một vấn đề về an ninh, và họ cần gọi cho ngân hàng của họ để kích hoạt lại một thẻ tín dụng hoặc thẻ nợ, hoặc gửi các thông điệp văn bản tới các máy tính cầm tay, ra lệnh cho những nạn nhân tiềm năng để liên hệ với các ngân hàng trực tuyến giả mạo để thay mới lại các tài khoản của họ.

Lái chiến tranh (War driving)

Phương pháp thâm nhập vào các mạng máy tính không dây bằng việc sử dụng một máy tính xách tay, ăng ten, và bộ adapter của mạng không dây liên quan tới việc tuần tra các vị trí để giành được sự thâm nhập trái phép.

Sâu (Worm)

Một chương trình máy tính độc lập mà nó tái sinh bằng việc tự sao chép nó từ hệ thống này sang hệ thống khác qua mạng. Không giống như những virus máy tính, các sâu không đòi hỏi sự liên quan của con người để nhân giống.

Khai thác ngày số 0

(Zero-day)

Mối đe dọa không gian mạng tận dụng một chỗ bị tổn thương về an ninh trong cùng ngày mà chỗ bị tổn thương đó được biết đối với công chúng nói chung và đối với nó thì còn chưa có bản sửa lỗi nào có sẵn.

Các nguồn: Các phân tích dữ liệu của Văn phòng Kiểm toán Liên bang Mỹ (GAO) và từ các báo cáo của giới công nghiệp.

Các báo cáo gần đây về các cuộc tấn công không gian mạng minh họa rằng các cuộc tấn công như vậy có thể có một ảnh hưởng gây suy nhược lên an ninh quốc gia và nền kinh tế và lên y tế và an toàn của nhà nước.

  • Tháng 05/2007, Estonia đã từng là mục tiêu được cho là của một cuộc tấn công từ chối dịch vụ qua không gian mạng với các hậu quả mang tính quốc gia. Cuộc tấn công được phối hợp đã tạo ra sự ngưng trệ của vô số các site web thương mại và của chính phủ của Estonia (theo Đội Cứu hộ Khẩn cấp về Máy tính – CERT của Estonia, “Các cuộc tấn công độc hại trên không gian mạng chống lại Estonia từ nước ngoài”, ngày 29/04/2007 và Những lưu ý của Bộ trưởng Bộ An ninh Quốc nội Mỹ Michael Chertoff tại Hội nghị RSA năm 2008, ngày 08/04/2008).

  • Tháng 03/2008, Bộ Quốc phòng (DOD) đã báo cáo rằng, trong năm 2007, các mạng máy tính được vận hành bởi bộ này, các cơ quan liên bang khác, và các cơ sở nghiên cứu có liên quan tới quốc phòng và các nhà thầu đã từng là các mục tiêu của sự thâm nhập trái phép mạng máy tính. Mặc dù những người có trách nhiệm đã không được nhận diện một cách rõ ràng, thì những kẻ tấn công dường như được khởi phát tại Trung Quốc. (theo Văn phòng Bộ trưởng Bộ Quốc phòng Mỹ, Báo cáo thường niên cho Quốc hội: Sức mạnh quân sự của Cộng hòa Nhân dân Trung hoa, 2008).

  • Tháng 01/2010, được báo cáo rằng ít nhất 30 công ty công nghệ – hầu hết tại Silicon Valley, California – đã là những nạn nhân của những truy cập trái phép. Những kẻ tấn công không gian mạng đã giành được sự truy cập không được phép tới các hồ sơ có thể đã đưa vào các hệ thống an ninh máy tính của các công ty, các dữ liệu sống còn của các công ty, và mã nguồn của các phần mềm. (theo Thời báo New York, Google, Trích dẫn về cuộc tấn công, đe dọa rời khỏi Trung Quốc, ngày 13/01/2010).

  • Tháng 01/2010, một công ty có trụ sở tại California đã đệ trình một vụ kiện khẳng định rằng 2 công ty của Trung Quốc đã ăn cắp mã nguồn phần mềm và sau đó phân phối nó cho hàng chục triệu người sử dụng đầu cuối như một phần của phần mềm lọc được chính phủ Trung Quốc tài trợ. Công ty này đang yêu cầu hơn 2.2 tỷ USD. Các nhà nghiên cứu hàn lâm thấy rằng nhiều phần mã nguồn phần mềm của công ty này đã bị sao chép và sử dụng trong những phiên bản ban đầu của phần mềm Trung Quốc. (theo Thời báo New York, vụ kiện nói 2 công ty của Trung Quốc đã ăn cắp mã nguồn để khóa Web, ngày 07/01/2010).

  • Dựa vào một vụ điều tra trong vòng 8 tháng, các nhà nghiên cứu đã báo cáo rằng các hệ thống máy tính tại Ấn Độ đã bị tấn công. Những kẻ tấn công bị nghi ngờ đã từ xa kết nối với các máy tính của Ấn Độ bằng cách sử dụng các mạng xã hội để cài đặt các botnet mà chúng đã thâm nhập và gây lây nhiễm các phần mềm độc hại cho các máy tính của Ấn Độ. Những vụ việc này đã được cho là đã dò ngược lại được tới một tổ chức gián điệp ngầm mà đã có khả năng ăn cắp các thông tin nhạy cảm về an ninh và quốc phòng quốc gia. (theo Thời báo New York, gián điệp không gian mạng của Trung Quốc nhằm vào Ấn Độ, Dalai Lama: Báo cáo ngày 06/04/2010).

Trần Lê

Nguồn: Critical Infrastructure Protection, Key Private and Public Cyber Expectations Need to Be Consistently Addressed, United States Government Accountability Office, July 2010.

Bài được đăng trên tạp chí Tin học và Đời sống, số tháng 09/2010, trang 24-25.

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.