Hackers
manipulated railway computers, TSA memo says
Bài được đưa lên
Internet ngày: 23/01/2012
Lenny Ignelzi/AP File
Lời
người dịch: Sau cuộc
tấn công của sâu Windows Stuxnet vào các nhà máy hạt
nhân của Iran, thế giới đã vĩnh viễn không còn được
an ninh như trước đó nhất là đối với các hệ thống
sống còn của bất kỳ quốc gia nào được nữa. Đã
từng có những vụ việc bị nghi ngờ có tấn công không
gian mạng vào các lưới
điện, các hệ
thống cấp thoát nước, và nay là các máy tính trong
các hệ thống đường sắt tại Mỹ vào đầu tháng
12/2011 vừa qua. Bạn hãy đọc kỹ bài viết, kết luận
có tin hay không nằm trong suy nghĩ của bạn, dù bạn là
người dân thường, người làm việc trong các công ty hay
trong các cơ quan chính phủ.
Các tin tặc, có thể
từ nước ngoài, đã tiến hành tấn công vào các máy
tính của một công ty đường sắt ở Tây Bắc và đã
phá hỏng các tín hiệu đường sắt trong 2 ngày trong
tháng 12, theo một bản ghi nhớ của chính phủ về lắp
thêm thiết bị an ninh với được xa hơn với khu vực
giao thông trong trường hợp khẩn cấp.
Vào ngày 01/12, dịch
vụ đường sắt trên một tuyến đường sắt không được
nêu tên “đã bị chậm lại một lúc” và các lịch
trình xe lửa đã bị chậm lại khoảng 15 phút sau sự can
thiệp đó, được nêu trong toàm tắt của Cơ quan An ninh
Giao thông trong cuộc họp ngày 20/12 về sự việc có trên
Nextgov. Ngày hôm sau, ngay trước giờ cao điểm, một “sự
kiện thứ 2 đã xảy ra” mà đã không ảnh hưởng tới
lịch trình, các quan chức của TSA nói. Cơ quan này có
trách nhiệm bảo vệ tất cả các hệ thống giao thông
của Mỹ, không chỉ các sân bay.
“Các chuyến tàu
Amtrak và chở hàng cần phải có ngữ cảnh về đối với
các trung tâm kỹ thuật thông tin”, bản ghi nhớ nói.
“Các cuộc tấn công không gian mạng
từng không phải là mối lo chính cho hầu hết những
người vận hành đường sắt” vào lúc này, bổ sung,
“kết luận rằng đường sắt đã bị ảnh hưởng vì
một cuộc tấn công là rất nghiêm trọng”.
Trong khi chính phủ và
các khu vực công nghiệp sống còn đã tiến những bước
dài trong việc chia sẻ tình báo về các mối đe dọa, thì
ít sự chú ý được nêu cho việc hiểu được những
phân tích đó trong thông tin sử dụng được cho mọi
người trong các đường ray, những người đang chạy
trong các tàu điện ngầm, các đường cao tốc và các hệ
thống quá cảnh khác, một số cựu quan chức liên bang
nói. Sự với xa hơn của TSA gần đây là độc nhất
trong đó các quan chức đã nói các nhà vận hành cách mà
những lỗ hổng đã làm ngắt quãng các hoạt động thông
thường của đường sắt, Steve Carver, một nhà quản lý
an ninh thông tin của Cơ quan Hàng không Liên bang đã nghỉ
hưu, bây giờ là một nhà tư vấn công nghiệp hàng không,
người đã rà soát lại bản ghi nhớ, nói.
Hackers,
possibly from abroad, executed an attack on a Northwest rail
company's computers that disrupted railway signals for two days in
December, according to a government memo recapping outreach with the
transportation sector during the emergency.
On
Dec. 1, train service on the unnamed railroad "was slowed for a
short while" and rail schedules were delayed about 15 minutes
after the interference, stated a Transportation Security
Administration summary of a Dec. 20 meeting about the episode
obtained by Nextgov. The following day, shortly before rush
hour, a "second event occurred" that did not affect
schedules, TSA officials added. The agency is responsible for
protecting all U.S. transportation systems, not just airports.
"Amtrak
and the freight rails needed to have context regarding their
information technical centers," the memo stated. "Cyberattacks
were not a major concern to most rail operators" at the time,
adding, "the conclusion that rail was affect [sic] by a
cyberattack is very serious."
While
government and critical industry sectors have made strides in sharing
threat intelligence, less attention has been paid to translating
those analyses into usable information for the people in the
trenches, who are running the subways, highways and other transit
systems, some former federal officials say. The recent TSA outreach
was unique in that officials told operators how the breach
interrupted the railway's normal activities, said Steve Carver, a
retired Federal Aviation Administration information security manager,
now an aviation industry consultant, who reviewed the memo.
“Chương trình TSA là
một sự khởi đầu để mang lại, ở mức cao hơn, một
sự hiểu biết về tác động quốc gia tới các cuộc tấn
công không gian mạng”, Carver nói. Đội
Sẵn sàng Khẩn cấp về Máy tính của Mỹ (US CERT) và Cơ
quan An ninh Quốc gia của Lầu 5 góc “đã đưa ra thông
tin lớn về mối đe dọa đặc biệt này. Họ không nói
cách mà nó đã tác động tới những người khác. TSA nói
cho bạn cách mà nó đã tác động tới những người
khác”.
Tóm tắt của sự
việc này đã khen ngợi vài người của TSA vì giải thíc
được tình huống được đưa ra theo ngữ cảnh. Khi các
nhà điều tra của TSA đã bắt đầu nghi ngờ sự khai
thác là một hành động có chủ tâm hơn là một sự cố,
thì họ đã hành động theo giả thiết nó có thể đưa
ra một sự nguy hiểm rộng lớn hơn cho hệ thống giao
thông của Mỹ, theo bản ghi nhớ.
“Một
số nguyên nhân có khả năng dẫn tới việc xem xét một
cuộc tấn công từ bên ngoài vào”, báo cáo nói. Các nhà
điều tra đã phát hiện được 2 địa điểm truy cập
Internet, hoặc các địa chỉ IP, đối với những kẻ thâm
nhập trái phép hôm 01/12 và 03/12, tài liệu viết, nhưng
không nói chúng thuộc về quốc gia nào.
“Thông
tin nói các vụ việc là một cuộc tấn công có đích
ngắm đã không được gửi đi” cho tới giữa ngày thứ
hai, 05/12, theo bản ghi nhớ. Các dữ liệu mà các nhà vận
hành đường sắt cần để phổ biến tình hình đã được
làm sẵn sàng cho họ, các quan chức viết. Những cảnh
báo liệt kê 3 địa chỉ IP đã đi ra tới vài trăm hãng
đường sắt và các cơ quan giao thông công cộng, cũng như
các đối tác tại Canada.
“Các quá trình được
thiết lập ngay cho chính phủ để làm việc với giới
công nghiệp trong các giao tiếp truyền thông thời gian
thực về một sự kiện không gian mạng được sắp hàng
ưu tiên cao”, báo cáo nói.
Những
người tham gia cuộc họp hôm 20/12 bao gồm các đại diện
từ hãng công nghệ thông tin Indus Corp., Liên đoàn Đường
sắt Mỹ, và hãng Boing Co., cũng như các quan chức chính
phủ từ TSA, các đơn vị an ninh không gian mạng của Bộ
An ninh Nội địa, Bộ Giao thông và Cảnh sát Bờ biển
Mỹ.
"This
TSA program is a start to bring, at a higher level, an understanding
of the national impact to cyberattacks," Carver said. The U.S.
Computer Emergency Readiness Team and the Pentagon's National
Security Agency "have provided great information on the
particular threat. They don't say how it has affected others. TSA
tells you how it affected others."
The
incident summary praised several TSA personnel for explaining the
unfolding situation in context. When TSA investigators began to
suspect the exploit was an intentional act rather than a glitch, they
acted under the assumption it could present a broader danger to the
U.S. transportation system, according to the memo.
"Some
of the possible causes lead to consideration of an overseas
cyberattack," the write-up stated. Investigators discovered two
Internet access locations, or IP addresses, for the intruders on Dec.
1 and a third on Dec. 2, the document noted, but it does not say in
which country they were located.
"Information
stating the incidents were a targeted attack was not sent out"
until midday on Monday, Dec. 5, according to the memo. The data that
train operators needed to diffuse the situation was made available to
them, officials wrote. Alerts listing the three IP addresses went out
to several hundred railroad firms and public transportation agencies,
as well as to partners in Canada.
"The
processes set in place for government to work with the industry in
real-time communications regarding a cyber event aligned superbly,"
the recap stated.
Participants
in the Dec. 20 meeting included representatives from information
technology firm Indus Corp., the Association of American Railroads,
and Boeing Co., as well as government officials from TSA, the
Homeland
Security
Department's cybersecurity
divisions, the Transportation Department, and the U.S. Coast Guard.
Nhưng, vào ngày thứ
2, các quan chức tại Bộ An ninh Nội địa, bộ giám sát
TSA, nói sau phân tích sâu bổ sung, dường như là sự thâm
nhập đường sắt có thể không phải là một cuộc tấn
công có chủ đích. “Hôm 01/12, một cơ quan giao thông của
Pacific Northwest đã báo cáo rằng một vụ việc tiềm tàng
trong không gian mạng có thể tác động tới dịch vụ
đường sắt”, người phát ngôn của DHS Peter Boogaard
nói. “Bộ An ninh Nội địa, FBI và các đối tác của
liên bang vẫn giữ truyền thông với các đại diện từ
cơ quan giao thông đó để hỗ trợ các hoạt động giảm
nhẹ của họ và với các quan chức chính quyền địa
phương để gửi đi các cảnh báo nhắc nhở cộng đồng
giao thông về hoạt động không bình thường như nó đã
xảy ra”.
Dựa
vào bản ghi nhớ, còn chưa rõ liệu các công ty đường
sắt khác có các kinh nghiệm về các vụ việc mạng tương
tự hay không. Các công ty thường miễn cưỡng thảo luận
về các lỗ thủng máy tính một cách công khai vì sợ làm
kinh hãi các khách hàng. Và, đôi khi, các doanh nghiệp
không bao giờ dò tìm được các vụ thâm nhập trái phép,
họ bổ sung.
Đối với chính phủ
để cải thiện sự đáp trả khẩn cấp về không gian
mạng, thì “thứ lớn nhất là bắt đầu với các nhân
viên truyền thông”, Carver khuyến cáo. “Có các nhu cầu
có một người biên dịch có thể đưa thông tin ra khỏi
US CERT, nắm lấy nó, trích nó ra, và xác định được nó
có nghĩa gì cho các hoạt động”.
Các đại diện công
nghiệp đường sắt nói họ không có sự tự do để thảo
luận về các nội dung của bản ghi nhớ của chính phủ.
But,
on Monday, officials at the Homeland
Security Department,
which oversees TSA, said following additional in-depth analysis, it
appears that the rail infiltration may not have been a targeted
attack.
"On
December 1, a Pacific Northwest transportation entity reported that a
potential cyber incident could affect train service," DHS
spokesman Peter Boogaard said. "The Department
of Homeland Security,
the FBI and our federal partners remained in communication with
representatives from the transportation entity in support of their
mitigation activities and with state and local government officials
to send alerts to notify the transportation community of the
anomalous activity as it was occurring."
Based
on the memo, it is unclear if other railway companies have
experienced similar network incidents. Companies often are reluctant
to discuss computer breaches openly for fear of scaring off
customers. And, sometimes, businesses never detect the intrusions,
they add.
For
government to improve cyber emergency response, "the biggest
thing is to start with the communications staff," Carver
recommends. "There needs to be an interpreter who can take the
information coming out of the U.S. CERT, take that, extract that out,
and determine what it means for operations."
Rail
industry representatives said they were not at liberty to discuss the
contents of the government memo.
Dịch tài liệu: Lê
Trung Nghĩa