Thứ Ba, 7 tháng 12, 2010

WikiLeaks và Stuxnet - Lời cảnh tỉnh cho các mạng thông minh

WikiLeaks and Stuxnet - Smart Grid Wakeup Calls

By Jon Arnold (ICP), December 02, 2010

Theo: http://smart-grid.tmcnet.com/topics/smart-grid-fa/articles/122803-wikileaks-stuxnet-smart-grid-wakeup-calls.htm

Bài được đưa lên Internet ngày: 02/12/2010

Lời người dịch: Với StuxnetWikeLeaks, hầu như mọi người bỗng nhiên đã nhận ra rằng thế giới ngày nay quả là mong manh dễ vỡ làm sao, các mạng lưới cơ sở hạ tầng như cấp thoát nước, điện ... từng chưa bao giờ có ai nghĩ sẽ phải được bảo vệ, được thiết kế một cách dư thừa để chống lại một thảm họa hạt nhân như với mạng Arpanet, mạng từng được thiết kế trong thời kỳ chiến tranh lạnh những năm 60 của thế kỷ trước, tiền thân của Internet ngày nay, lại dễ bị tổn thương đến thế. Chúng hoàn toàn có thể trở thành những mục tiêu tấn công của cái ác, và nếu xảy ra, thì sức tàn phá của nó là khổng lồ, vượt ra khỏi mọi suy tính của con người.

Vài tuần trước từng khá là mấu chốt cho bất kỳ ai có quan tâm về tình trạng an ninh của Internet và bức tranh lớn hơn như việc chúng ta có thể làm được nhiều cỡ nào để tin tưởng vào Web. Có 2 từ lạ lẫm - WikiLeaks và Stuxnet - bỗng nhiên chen vào đám từ vựng của chúng ta và có nhiều thứ phải quan tâm về chúng trong thế giới các mạng lưới thông minh.

WikiLeaks đã tập hợp được còn hơn cả sự chú ý chỉ đơn giản vì phạm vi và độ rộng bao trùm của nó. Bằng việc để lộ ra những sự việc thực tế không bị bay hơi của nền chính trị toàn cầu có sử dụng rất nhiều công cụ mà những nhà ngoại giao đã giả thiết có thể bảo vệ được chúng, làm cho các vấn đề an ninh xung quanh các site mạng xã hội như Facebook dường như là tầm thường. Số phận của thế giới tự do nằm trong tay của một vài rất ít, và với một vài cái gõ bàn phím, WikiLeaks đã đặt ra cho loài người sự trần trụi bản năng để từng người nhìn thấy được. Những ảnh hưởng được mong đợi đã đạt được, không chỉ bằng sự lúng túng mà những người cao hơn về quyền lực, mà bằng việc chỉ ra Web có thể bị tổn thương như thế nào.

Mặc dù vậy, tôi không có cách gì để cố gắng làm giảm thiểu các vấn đề về tính riêng tư xung quanh Facebook. Chúng đang gây lo lắng một cách ngang bằng khi đưa ra cách mà các site này là phổ biến, và trong khi các máy chủ Facebook còn ít hơn nhiều các mục tiêu quý phái, thì chúng cũng chỉ ra cách mà sự tin cậy và tính riêng tư dễ vỡ thực sự là trong thế giới Internet. WikiLeaks có những hậu quả còn sâu sắc hơn nhiều, nhưng hoặc những tay chơi có đang nhíu lông mày hay cụp mắt xuống, thì vô số các hoạt động hợp tác có thể sẽ không thể bỏ dở được một cách nhanh chóng bởi một nhúm những người thông minh và được xác định.

Stuxnet còn gở hơn nhiều, mà biết rằng hình hài cụ thể công khai nhất của nó, những đường biên giữa cái tốt và cái xấu là ít rõ ràng hơn nhiều. Khá nhiều mỗi người cả trong thế giới Phương Tây và Ả Rập muốn dừng sức mạnh hạt nhân mà Iran muốn có. Không quốc gia nào có nhiều thứ để mất hơn Israel, và tất cả các tay chơi đều biết rằng Iran không thể về mặt thực tế bị dừng lại từ bên ngoài vào. Những dự định đối với việc ném bom một cách vật lý vào những lò phản ứng này như Irael đã từng làm vào năm 1981 bây giờ có lẽ là ngu xuẩn, khi mà Iran đã học được bài học của mình từ Osirak. Không có bước ngoặt thay đổi trong một sự tường thuật về địa chính trị, tôi sẽ chỉ nói rằng một cách thông minh hơn để đi là từ bên trong ra, và đó là nơi mà Stuxnet đã làm. Nó quá xuất sắc, thực sự, và quay lại cuộc tranh luận giữa cái thiện và cái ác, những kết quả mong muốn có thể đạt được bằng cách này mà không có tổn thất về sinh mạng hoặc hủy diệt hàng loạt một cách bừa bãi.

The past couple of weeks have been pretty seminal for anyone concerned about the state of Internet security and the bigger picture as to how much we could – do – and should – trust the Web. These two strange words – WikiLeaks and Stuxnet – have suddenly entered our lexicon and there is a lot to be concerned about in the world of smart grid.

WikiLeaks has garnered more attention simply due to its scale and breadth of coverage. By exposing the unvarnished realities of global politics using the very tools that diplomats assumed would protect them, they make the security issues around social networking sites like Facebook (News - Alert) seem trivial. The very fate of the free world rests in the hands of a few, and with some simple keystrokes, WikiLeaks has laid human nature bare for everyone to see. The intended effects have been achieved, not just by embarrassing the upper echelons of power, but by showing how vulnerable the Web can be.

By the way, I am in no way trying to minimize the privacy issues around Facebook. They are equally troubling giving how popular these sites are, and while Facebook serves far less noble purposes, they also show how fragile trust and privacy really are in the Internet world. WikiLeaks has far deeper consequences, but whether the players are highbrow or lowbrow, a great deal of collaborative activity can be quickly undone by a handful of clever and determined people.

Stuxnet is far more sinister, but given its most public incarnation, the lines between good and evil are less clear. Pretty much everyone in both the West and Arab world wants to stop Iran from acquiring nuclear power. No country has more to lose than Israel, and all the players know that Iran cannot practically be stopped from outside-in. Attempts to physically bomb these reactors as the Israelis bravely did in 1981 would be folly now, as Iran has learned its lesson from Osirak. Without veering into a geopolitical narrative, I’ll just say that the smarter way to go is from the inside-out, and that’s where Stuxnet comes in. It’s quite brilliant, really, and coming back to the good versus evil debate, the desired results can be achieved this way without loss of life or messy mass destruction.

Trong trạng thái tự nhiên ban đầu của nó, công nghệ tất nhiên là phi luân thường đạo lý, và đơn giản tuân theo những mệnh lệnh. Stuxnet và WikiLeaks là những ví dụ khổng lồ về điều này, và phục vụ đúng lúc cho các đám cháy đối với mạng lưới thông minh. Liệu những ý định thiện hay ác, chúng có chỉ ra tình trạng dễ vỡ của an ninh Internet và phần mềm. Quá nhiều khía cạnh của cuộc sống chúng ta phụ thuộc vào những yếu tố này, và cho tới khi một lỗ hổng chủ chốt xảy tới, thì chúng ta không nhận thức được chúng ta đã làm được bao nhiêu, ví dụ thế. Theo một vài cách thức, chúng như là cơ sở đối với những thứ thiết yếu đơn giản của cuộc sống hiện đại như nước, và hãy xem thật dễ dàng làm sao nó làm tổn thương việc cung cấp nước của chúng ta. Nếu bạn thích một cuộc chiến tranh hóa học hay sinh học hơn, thì nước là một mục tiêu rất dễ nhằm tới, và có thể nhanh chóng mang cả thế giới của chunags ta tới một sự ngưng trệ trong một kịch bản tồi tệ nhất. Sự phá hoại của phần mềm hoặc Internet là không khác gì - luôn có ai đó ở ngoài đó đủ thông minh và/hoặc đủ ác độc/cáu giận để sử dụng những phương tiện này để đạt được một kết quả mong muốn.

Điều này dẫn tôi tới mạng lưới thông minh. Sau nước và ôxy, năng lượng là sức mạnh quan trọng nhất của cuộc sống cho một thế giới hiện đại, và khi mạng lưới thông minh tiến hóa, phần mềm và Web sẽ đóng một vài trong trung tâm ngày một gia tăng. Cũng giống như chúng ta không xây dựng các hàng rào khổng lồ xung quanh mỗi nguồn nước, chúng ta không nghĩ một cách bình thường về các trạm nước lại như là những mục tiêu để tấn công. Tất nhiên, suy nghĩ này là thịnh hành trong thế giới truyền thông, nhưng khi mà tiếng nói chuyển sâu hơn vào giao thúc Internet IP, thì tất cả mọi dạng các chỗ có thể bị tổn thương mới sẽ gia tăng. Mạng lưới thông minh cũng vậy, và khi chúng ta vừa thấy bây giờ với Stuxnet và WikiLeaks, các mối đe dọa có thể tới từ một vài nơi rất không chắc chắn.

In its native state, technology of course is amoral, and simply follows instructions. Stuxnet and WikiLeaks are great examples of this, and serve as timely flashpoints for smart grid. Whether good or evil intentions, they show the fragile state of Internet and software security. So many aspects of our lives depend on these elements, and until a major breach happens, we don’t realize how much we take these things for granted. In some ways, they are as basic to modern life as simple necessities like water, and look how easy it is to compromise our water supply. If you favor chemical or biological warfare, water is a very easy target, and could quickly bring our world to a standstill in a worst-case scenario. Software or Internet sabotage is no different – there is always someone out there smart enough and/or evil/angry enough to use these as vehicles to achieve a desired outcome.

This brings me to smart grid. After water and oxygen, energy is the most important life force for the modern world, and as smart grid evolves, software and the Web will play an increasingly central role. Just like we don’t build huge fences around every source of water, we don’t normally think of power stations as targets for attack. Of course, this thinking is prevalent in the telecom world, but as voice moves deeper into IP, all kinds of new vulnerabilities arise. Smart grid is on the same path, and as we’ve seen now with Stuxnet and WikiLeaks, threats can come from some very unlikely places.

Về mặt lịch sử, những người sản xuất điện đã không có nhiều việc để lo, như hầu hết thế hệ năng lượng từng là ở địa phương. Những nỗ lực để làm mất ổn định hoặc vô hiệu hóa điện thường là trên một phạm vi nhỏ, và thường không tạo ra nhiều đòn bẩy cho ai đó tìm kiếm để có được thứ gì đó. Tuy nhiên, mạng lưới điện, thiết lập nền tảng cho thứ gì đó còn lớn hơn, đặc biệt nếu tầm nhìn của một mạng lưới điện quốc gia của Mỹ là đạt được. Rõ ràng, mạng lưới này càng trở nên tập trung bao nhiêu, thì nó càng hấp dẫn như một mục tiêu bấy nhiêu. Mạng lưới điện không thể được làm dư thừa theo tinh thần của Arpanet, mà đã được thiết kế cho mục đích tối thượng này (để sống sót trước một thảm họa hạt nhân).

Tôi không phải là một chuyên gia về an ninh, nhưng sự tương đồng của 2 sự kiện này - Stuxnet và WikiLeaks - sẽ làm cho những lo lắng trở thành một vấn đề cấp bách đối với các tiện ích. Để bắt đầu, an ninh không thể được giảm tối thiểu hoặc giả thiết, và để bảo vệ bản thân bạn khỏi những thứ ác độc, thì bạn phải nghĩ một cách ác độc và mong đợi rằng những lực lượng đó là có ở ngoài đó. Chờ đợi để phát triển sự canh gác an ninh chỉ sau một sự kiện độc hại đưa ra sự đảo lộn lớn cho những tiện ích, còn có nhiều rủi ro mới, và để làm giảm nhẹ bớt những thứ mà họ sẽ phát hiện Stuxnet và WikiLeaks đối với những bài học học được mà họ có thể.

Historically, power producers haven’t had much to worry about, as most energy generation has been local. Efforts to destabilize or incapacitate electricity would typically be on a small scale, and that doesn’t provide much leverage for someone looking to gain something. Smart grid, however, sets the stage for something grander, especially if the vision of a U.S. national grid is achieved. Clearly, the more centralized the grid becomes, the more attractive it is as a target. The power grid cannot be made redundant in the spirit of Arpanet, which was designed for this very purpose (to survive a nuclear holocaust).

I’m not a security expert, but the proximity of these two recent events – Stuxnet and WikiLeaks – should make these concerns a pressing issue for utilities. For starters, security cannot be minimized or assumed, and to protect yourself from the malicious doings, you have to think maliciously and expect that these forces are out there. Waiting to develop security safeguards only after a malicious event is not a winning strategy, especially for such costly infrastructure as smart grid. While smart grid offers great upside for utilities, there is a lot of new risk as well, and to mitigate that they should be probing Stuxnet and WikiLeaks for lessons learned any way they can.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.