=
MỤC LỤC
ĐẶT VẤN ĐỀ………………………………………………………………… 3
A.CƠ SỞ LÝ THUYẾT…………………………………………………………4
I.Tấn công dữ liệu và các hình thức tấn công dữ liệu trong TMĐT…………… 4
I.1. Khái niệm…………………………………………………………… 4
I.2. Các hình thức tấn công dữ liệu trong TMĐT……………………… 4
I.2.1. Tấn công thụ động………………………………………… 4
I.2.2. Tấn công chủ động………………………………………… 5
I.2.3. Một số kiểu tấn công phổ biến trên thực tế………………….6
I.2.4. Tin tặc. Virus máy tính và các biến thể của nó………………6
II.Các phương pháp phòng tránh và khắc phục hậu quả……………………… 7
II.1. Phân quyền người sử dụng………………………………………… 7
II.2. Bảo mật kênh truyền dữ liệu…………………………………………8
II.3. Khắc phục sự cố……………………………………………………10
III.Mã hóa………………………………………………………………………10
III.1.Khái niệm………………………………………………………… 10
III.2. Phương pháp mã hóa đối xứng…………………………………….10
III.3. Phương pháp mã hóa công khai………………………………… 11
B. NÊU, PHÂN TÍCH VÀ ĐƯA RA CÁC GIẢI PHÁP NGĂN CHẶN VỀ 5
XU HƯỚNG BẢO MẬT INTERNET CỦA NĂM 2011 MÀ SYMANTEC
CẢNH BÁO……………………………………………………………………13
I.Hacker sẽ tấn công các hạ tầng quan trọng………………………………… 13
I.1.Thực trạng các cuộc tấn công vào cơ sở hạ tầng…………………….13
I.2.Tìm hiểu ví dụ điển hình về sâu Stuxnet…………………………….14
I.2.1. Stuxnet là gì? 14
I.2.2.Hiểm họa Stuxnet ………………………………………… 16
I.2.3.Giải pháp ngăn chặn hiểm họa sâu
Stuxnet……………………………………………………………18
I.3.Các biện pháp ngăn chặn các cuộc tấn công vào cơ sở hạ tầng…… 19
II. Lỗ hổng zero-day sẽ thông dụng hơn……………………………………….20
II.1. Zero-day là gì? 20
II.2.Một số hướng tấn công zero-day nhắm đến……………………… 21
II.2.1.Tấn công IE……………………………………………… 21
II.2.2.Tấn công Office…………………………………………….21
II.2.3.Nhắm vào Word……………………………………………22
II.3. Biện pháp ngăn chặn……………………………………………….24
III.Nguy cơ từ smartphone và máy tính bảng gia tăng…………………………27
III.1.Sơ lược về smartphone và máy tính bảng………………………….27
III.2.Hacker tấn công mạnh “VIP” dùng Tablet, smartphone………… 28
III.3.Các biện pháp ngăn chặn………………………………………… 30
IV. Triển khai các công nghệ mã hóa 35
IV.1.Công nghệ mã hóa là gì? 35
IV.2. Tại sao phảỉ sử dụng công nghệ mã hóa? 35
=
1
=
IV.3.Thực trạng đối với các dữ liệu lưu trong điện thoại di động hiện
nay……………………………………………………………………….36
IV.4. Các biện pháp ngăn chặn………………………………………….37
V. Sẽ xuất hiện những cuộc tấn công mang động cơ chính trị…………………42
V.1. Hiện trạng những cuộc tấn công mang động cơ chính trị………….42
V.2. Các biện pháp ngăn chặn………………………………………… 45
KẾT LUẬN…………………………………………………………………….47
=
2
=
ĐẶT VẤN ĐỀ
Trong hoạt động thương mại, thông tin có vai trò rất quan trọng. Việc cập
nhật thông tin và đảm bảo tính an toàn cho thông tin trong suốt quá trình vận
động của chúng là một vấn đề mang tính sống còn của tổ chức kinh doanh.
Công nghệ thông tin(CNTT) và đăc biệt là Internet, con người đã có một môi
trường thuận lợi để có thể nắm bắt và trai đổi thông tin tiết kiệm thời gian chi
phí. Tuy nhiên trong môi trường đó ẩn chứa rất nhiều rủi ro, những mối hiểm
họa cho tổ chức, cá nhân. Đó chính là sự tấn công vào chính hệ thống thông
tin qua mạng Internet với những mục đích không tốt đẹp gây mất an toàn
thông tin. Những thiệt hại về thông tin như rò rỉ thông tin ra bên ngoài sẽ
không chỉ ảnh hưởng đến từng con người hay mỗi ứng dụng tiêng rẽ mà nó
sẽ gây ảnh hưởng đến toàn bộ hoạt động của tổ chức, có thể gây tổn hại đến
những lợi ích về kinh tế cũng như uy tín của tổ chức.
Nhận biết được tầm quan trọng của vấn đề bảo mật thông tin rất nhiều hãng
bảo mật trên thế giới ra đời và vấn đề bảo mật ngày càng được chú trọng.
Hiện tại ta có thể thấy các vụ tấn công mạng đang ngày càng gia tăng và mức
độ nguy hiểm hơn. Do vậy việc phân tích và đưa ra biện pháp ngăn chặn các
cuộc tấn công đang có xu hướng trong năm 2011 là một vấn đề cấp thiết.
Với đề tài “ Nêu, phân tích và đưa ra các giải pháp ngăn chặn về 05 xu hướng
bảo mật Internet của năm 2011 mà Symantec cảnh báo “ nhóm chúng tôi sẽ
đi tìm hiểu thực trạng (nêu và phân tích) sau đó đưa giải pháp với mỗi xu
hướng đó.
=
3
=
A. CƠ SỞ LÝ THUYẾT
I.Tấn công dữ liệu và các hình thức tấn công dữ liệu trong TMĐT.
I.1. Khái niệm
Tấn công dữ liệu trong TMĐT là hình thức ăn cắp hoặc phá hoại dữ liệu một
cách trái phép. Nó cũng giống như các hình thức tấn công thông thường, chỉ
khác là đối tượng tấn công ở đây là các loại dữ liệu có giá trị. Từ khi có sự phổ
biến của Internet, các hình thức tấn công dữ liệu ngày càng tăng nhanh cả về số
lượng lẫn mức độ nguy hiểm.
I.2. Các hình thức tấn công dữ liệu trong TMĐT.
I.2.1. Tấn công thụ động
a. Khái niệm
Kẻ tấn công lấy được thông tin trên đường truyền mà không gây ảnh hưởng gì
đến thông tin được truyền từ nguồn đến đích.
• Đặc điểm
Khó phát hiện, khó phòng tránh
Rất nguy hiểm và ngày càng phát triển.
Cần các biện pháp phòng tránh trước khi tấn công xảy ra.
b. Phương thức thực hiện.
Bằng thiết bị phần cứng:
Các thiết bị bắt sóng wifi để tóm những gói tin được truyền trong vùng phủ
sóng.
Các chương trình phần mềm.
Chương trình packer sniff nhằm bắt các gói tin được truyền qua lại trong mạng
LAN.
c. Các kiểu tấn công thụ động
*Nghe trộm đường truyền
Kẻ nghe lén sẽ bằng một cách nào đó sen ngang được quá trình truyền thông
điệp giữa máy gửi và máy nhận, qua đó có thể rút ra được những thông tin quan
trọng.
- Một số phương pháp
Bắt gói tin trong mạng Wifi
Bắt thông điệp trong mạng quảng bá
Đánh cắp password
Xem lén thư điện tử
- Biện pháp phòng chống?
Bảo mật đương truyền:
Sử dụng các giao thức:SSL,SET,WEP,…
Mã hóa dữ liệu
Sử dụng các phương pháp mã hóa
Cơ chế dùng chữ ký điện tử
* Phân tích lưu lượng
=
4
=
Dựa vào sự thay đổi của lưu lượng của luồng thông tin truyền trên mạng nhằm
xác định được một số thông tin có ích.
Rất hay dùng trong do thám
Sử dụng khi dữ liệu đã bị mã hóa mà không giải mã được.
-Ngăn chặn
Độn thêm dữ liệu thừa
Lưu lượng thông tin không bị thay đổi-> không thể phán đoán được.
Trên thực tế
Các hacker có thể phá vỡ hệ thống bảo vệ của một mạng WLAN(sử dụng mô
hình bảo mật WEP) để lấy cắp dữ liệu đơn giản
Nhiều phần mềm nghe trộm như Packet sniff có thể bắt được toàn bộ các gói tin
trong một mạng LAN khi truyền quảng bá.
I.2.2. Tấn công chủ động
a. Khái niệm
Tấn công chủ động là hình thức tấn công có sự can thiệp vào dữ liệu nhằm sửa
đổi, thay thế, làm lệch đường đi của dữ liệu
Đặc điểm
Có khả năng chặn các gói tin trên đường truyền
Dữ liệu từ nguồn đến đích bị thay đổi
Nguy hiểm nhung dế phát hiện
b. Các loại hình tấn công chủ động
- Giả mạo người gửi
Lấy cắp pasword, tài khoản, phá hủy dữ liệu
- Thay đổi nội dung thông điệp
Không lấy cắp hoàn toàn chỉ thay đổi nội dung
- Tấn công lặp lại
Bắt thông điệp,chờ thời gian và gửi tiếp
- Tấn công từ chối dịch vụ
Tấn công làm cho hệ thống truyền tin quá tải gây sập hệ thống
c.Ngăn chặn?
- Sử dụng những phương pháp để xác thực cả 2 bên gửi và nhận
Hệ thống xác thực
Nguyên tắc bắt tay
- Mã hóa dữ liệu trước khi gửi
- Sử dụng chữ kí điện tử
Đảm bảo tính toàn vẹn cho thông điệp
Dữ liệu được mã hóa bằng một khóa K => Đến nơi nhận=> Giải mã và so sánh
để phát hiện xem dữ liệu có bị sửa đổi hay không?
=
5
=
I.2.3. Một số kiểu tấn công phổ biến trên thực tế.
a. Tấn công tràn bộ đệm
Lỗi tràn bộ đệm là lỗ hổng phổ biến và dễ khai thác nhất trong những chương
trình ứng dụng. Đây là một lỗi lập trình có thể gây ra hiện tượng truy nhập vào
phần bộ nhớ máy tính mà không được sự cho phép của hệ điều hành. Lỗi này có
thể xảy ra khi người lập trình không kiểm soát được hết mã lệnh của chương
trình. Vì vậy, những kẻ cố ý phá hoại có thể lợi dụng lỗi này để phá vỡ an ninh
hệ thống.
b. XSS (Cross-site scripting)
XSS là một trong những lỗ hổng bảo mật được khai thác nhiều nhất trong thời
gian gần đây. Nó lợi dụng một lỗi của các trình duyệt Internet trong việc thực thi
các đoạn Script để chèn thêm những đoạn mã Script nguy hiểm vào các trang
web động.
c. Phishing.
Phishing hay còn gọi là “tấn công nhử môi” là hành vi đánh cắp những “thông
tin nhạy cảm” như mật khẩu, chi tiết thẻ tín dụng, bằng cách giả mạo như một
người tin cậy hoặc doanh nghiệp với nhu cầu thực sự cần thiết về thông tin.
Hình thức tấn công này thường thực hiện thông qua các loại thư hoặc thông báo
điện tử. Lợi dụng sự tin tưởng của người sử dụng, kẻ tấn công có thể khiến họ
nhấn chuột vào những đường link nguy hiểm hoặc gửi đi những thông tin quan
trọng.
d. Pharming.
Một dạng tội phạm kỹ thuật số bắt đầu bùng phát mang tên ‘’ Pharming”. Nó có
tác dụng chuyển hướng người đang tìm kiếm những trang web dạng.com đến
các trang web độc hại do kẻ tấn công điều khiển.
e. Gian lận nhấp chuột.
Gian lận nhấp chuột (Click Fraud) là thuật ngữ để chỉ hành động dùng phần
mềm chuyên dụng hoặc thuê nhân công giá rẻ để click liên tục vào một (hoặc
nhiều) Banner (hay Logo, Link, quảng cáo tìm kiếm quảng bá trên ,mạng nhằm
tạo ra sự thành công giả tạo của một chiến dích quảng cáo. Ở Việt Nam, Click
Fraud cũng đang là lo ngại lớn nhất đối với các doanh nghiệp có nhu cầu quảng
cáo trực tuyến, khiến học cân nhắc rất nhiều (thậm chí từ chối thẳng thừng) mỗi
khi nhận được lời mời quảng cáo trực tuyến.
I.2.4. Tin tặc. Virus máy tính và các biến thể của nó.
1. Tin tặc.
Tin tặc (hay tội phạm máy tính – hacker) là thuật ngữ dùng để chỉ những người
truy nhập trái phép vào một Website hay hệ thống máy tính. Bên cạnh những tên
tội phạm máy tính nguy hiểm cũng có nhiều “Hacker tốt bụng”. Bằng việc xâm
nhập qua hàng rào an toàn của các hệ thống máy tính , những người này giúp
phát hiện và sửa chữa những điểm yếu, những kẽ hở trong hệ thống. Tất nhiên,
các tin tặc loại này không bị truy tố vì những thiện chí của họ.
2. Virus máy tính và các biến thể của nó.
a. Virus
=
6
=
Trong khoa học máy tính, Virus máy tính (thường được người sử dụng gọi tắt là
Virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao
chép chính nó vào các đối tượng lây nhiễm khác (các file, ổ đĩa, máy tính,…)
b. Một số biến thể hiện nay của Virus.
- Sâu máy tính (Worm): là các chương trình cũng có khả năng tự nhân bản tự
tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử).
Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của
Worm là phá các mạng (Network) thông tin, làm giảm khả năng hoạt động hay
ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng Worm khác với
Virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây Worm được cho
là một loại virus đặc biệt.
- Trojan Horse: đây là loại chương trình cũng có thể tác hại tương tự như virus
chỉ khác là nó không tự nhân bản ra. Như thế cách lan truyền duy nhất là thông
qua các thư dây chuyền. Để trừ loại này người chủ máy chỉ cần tìm ra tập tin
Trojan Horse rồi xóa nó đi là xong. Thuy nhiên, không có nghĩa là không thể có
2 con Trojan Horse trên cùng một hệ thống. Chính kẻ tạo ra các phần mềm này
sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát
tán chúng lên mạng. Đây cũng là loại Virus cực kỳ nguy hiểm. nó còn có thể
hủy ổ cứng, hủy dữ liệu.
- Phần mềm gián điệp(Spyware): Đây là loại Virus có khả năng thâm nhập trực
tiếp vào hệ điều hành mà không để lại “di chứng”. Thường một số chương trình
diệt virus có kèm trình diệt spyware nhưng diệt khá kém với các đợt dịch.
- Phần mềm quảng cáo.(Adware): Loại phần mềm quảng các, rất hay có ở trong
các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một
số có khả năng hiển thị thông tin lịt màn hình, cưỡng chế người sử dụng.
II.Các phương pháp phòng tránh và khắc phục hậu quả.
II.1. Phân quyền người sử dụng
1.Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền hạn,
cách thức thao tác đối với hệ thống theo những yêu cầu khác nhau nhằm đảm
bảo được sự an toàn của hệ thống cũng như đảm bảo tính riêng tư của mỗi
người.
2. Cơ chế quyền người sử dụng.
a. Các loại người dùng
- Người dùng cục bộ: là những người dùng của chính bản thân một máy tính,
được tạo một tài khoản tại máy cục bộ. Những người này dùng máy tính như
một máy tính tiêng rẽ.
- Người dùng toàn cục: là những người dùng được tạo ra trên mottj máy chủ và
thông tin về tài khoản của người này do Server quản lý.
- Tài khoản người dùng tạo sẵn: là những người dùng được tạo ra sau khi chúng
ta tiến hành cài đặt hệ điều hành, với những người dùng chúng ta không thể xóa.
Có hai loại người dùng được tạo sẵn là Administrator và Guest.
b. Các quyền của người dùng.
- Quyền quản trị
=
7
=
- Quyền sao lưu và khôi phục
- Quyền thêm người dùng
- Người dùng
- Khách
- Quyền nhân bản.
c. Bảo mật đối với các cơ chế phân quyền người dùng.
Một cơ chế quản lý người dùng tốt cần đảm bảo.
- Đảm bảo những người dùng của hệ thống được phép khai thác tối đa
những gì đã được cấp.
- Đảm bảo mọi người được sử dụng một cách nhanh và dễ dàng nhất những
tài nguyên của hệ thống nếu không làm ảnh hưởng đến sự ổn định của hệ
thống.
Để cho hoạt động của hệ thống được hiệu quả và tránh những sự lợi dụng một
tài khoản nào đó để đăng nhập bất hợp pháp vào hệ thống thì chúng ta cần chú ý
khi tạo ra các tài khoản cho người dùng
- Luôn gán mật khẩu cho tất cả các tài khoản, đặc biệt là với các tài khoản
Administrator.
- Nên đặt mật khẩu khó đoán, tránh tình trạng đặt mật khẩu liên quan đến
một thông tin đặc biệt nào đó vì như vậy bạn sẽ dễ bị lộ mật khẩu.
- Nên chọn mật khẩu là sự tổng hợp của chữ hoa , chữ thường, các ký tự số
và ký tự điều khiển
- Nên thường xuyên thay đổi mật khẩu, thông thường là nên thay mật khẩu
sau 3 tháng sử dụng.
Đối với người quản trị mạng thì cần theo dõi thời gian đăng nhập của mỗi người
dùng và những công việc mà họ thường làm để có thể sớm phát hiện ra những
bất thường có thể xảy ra.
II.2. Bảo mật kênh truyền dữ liệu
1. Bảo mật kênh truyền dữ liệu là việc bảo mật các dữ liệu khi chúng được
truyền trên kênh truyền thông.
2. Một số giao thức bảo mật kênh truyền dữ liệu
- Giao thức SSL
Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL)
đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã
hoá thông tin giữa client và server. Tổ chức IETF (Internet Engineering Task
Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security).
Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của
SSL. Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1. Tuy nhiên SSL
là thuật ngữ được sử dụng rộng rãi hơn.
SSL được thiết kế như là một giao thức riêng cho vấn đề bảo mật có thể hỗ
trợ cho rất nhiều ứng dụng. Giao thức SSL hoạt động bên trên TCP/IP và bên
=
8
=
dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text
Transport Protocol), IMAP ( Internet Messaging Access Protocol) và FTP
(File Transport Protocol). Trong khi SSL có thể sử dụng để hỗ trợ các giao
dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSL
được sử dụng chính cho các giao dịch trên Web.
SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được
chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:
*
Xác thực server: Cho phép người sử dụng xác thực được server muốn kết
nối. Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc
chắn rằng certificate và public ID của server là có giá trị và được cấp phát
bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của
client. Điều này rất quan trọng đối với người dùng. Ví dụ như khi gửi mã số
credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ
nhận thông tin này có đúng là server mà họ định gửi đến không.
*
Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn
kết nối. Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra
xem certificate và public ID của server có giá trị hay không và được cấp phát
bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của
server không. Điều này rất quan trọng đối với các nhà cung cấp. Ví dụ như
khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới
khách hàng thì họ rất muốn kiểm tra định danh của người nhận.
*
Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã
hoá trên đường truyền nhằm nâng cao khả năng bảo mật. Điều này rất quan
trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư. Ngoài ra, tất
cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được
bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu. ( đó
là các thuật toán băm – hash algorithm).
Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức
SSL handshake. Giao thức SSL record xác định các định dạng dùng để
truyền dữ liệu. Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụng
SSL record protocol để trao đổi một số thông tin giữa server và client vào lấn
đầu tiên thiết lập kết nối SSL.
- Giao thức SET
Việc bảo mật trong khi thanh toán qua mạng là vấn đề chiến lược và là trọng
tâm hàng đầu trong TMĐT. Hiện nay, trong việc thanh toán qua mạng, các tổ
chức tín dụng và các nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế
=
9
=
giới áp dụng công nghệ bảo mật cao cấp là SET.
- SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập
hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các
giao dịch mua bán trên mạng.
Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER
CARD và các tổ chức khác trên thế giới. Mục địch của SET là bảo vệ hệ thống
thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài
chính sự tin cậy trong khi giao dịch mua bán trên Internet.
Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong
các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm
xử lý thẻ tín dụng qua mạng.
Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ (method of
interoperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và
phần mềm khác nhau.
Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như
thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng
- Tường lửa
Tường lửa (Fire wall) là một thiết bị (cả phần cứng và mềm) nhằm thực thi trách
nhiệm chống sự gây mất an toàn trong quá trình truyền tin, tuy nhiên không
phảo là tất cả.l Tường lửa cho phép người sử dụng mạng máy tính của một tổ
chức có thể truy cập tài nguyên của các mạng khác, nhưng đồng thời ngăn cấm
những người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng
máy tính của tổ chức.
II.3. Khắc phục sự cố.
- Khôi phục dữ liệu bị xóa.
- Đảm bảo an toàn dữ liệu nhờ sao lưu.
-
III.Mã hóa.
III.1.Khái niệm
Mã hóa là phương thức biến đổi thông tin từ định dạng thông thường thành một
dạng khác (mã hóa) không giống ban đầu nhưng có thể khôi phục lại được (giải
mã).
III.2. Phương pháp mã hóa đối xứng.
1. Khái niệm
Hệ thống mã hóa mà bên gửi và bên nhận tin cùng sử dụng chung một khóa. Mã
hóa và giải thích mã đều dùng một khóa chung. Kỹ thuật mã hóa duy nhất trước
1970 và hiện rất phổ biến. Còn gọi là mã hóa khóa riêng, khóa bí mật.
2. Ưu và nhược điểm
• Ưu điểm.
- Mô hình khá đơn giản
- Dễ dàng tạo ra thuật toán mã hóa đối xứng cho cá nhân.
- Dễ cài đặt và hoạt động hiệu quả
- Hoạt động nhanh và hiệu quả do tốc độ mã hóa và giải mã cao
=
10
=
Được sử dụng khá phổ biến nhiều hiện nay
• Nhược điểm
- Dùng chung khóa nên nhiều nguy cơ mất an toàn
- Khóa dùng chung tất dễ bị hóa giải. Do cũng phảo truyền trên kênh truyền
tin đến bên nhận.
- Việc gửi thông tin cùng khóa cho số lượng lớn và khó khăn.
3. Các hệ mã hóa đối xứng cổ điển
- Monophabectic ciphers
- Mã hóa cộng tính
- Mã hóa nhân tính
- Hệ mã hóa Vigenere
- Hệ mã hóa khóa tự động
- Mã hóa hoán vị cổ điển
- Mã hóa tích hợp
- Mã hóa khối
- Mã hóa với thế đồng âm
4. Các hệ mã hóa đối xuengs hiện nay
Có 3 hệ mã hóa hiện nay được dùng phổ biến là
DES, 3 DES, AES.
III.3. Phương pháp mã hóa công khai
1. Khái niệm
Mã hóa trong đó sử dụng một cặp khóa, một khóa công khai và một khóa bí
mật
Khóa công khai
Khóa công khai ai cũng có thể biết
Dùng để mã hóa thông điệp và để thẩm tra chữ ký
Khóa bí mật
Chỉ nơi giữ được biết
Để giải mã thông điệp và tạo chữ ký
2. Ưu, nhược điểm của mã hóa công khai.
• Ưu điểm
- Đơn giản trong việc lưu chuyển khóa
- Mỗi người chỉ cần một cặp khóa công khai-khóa bí mật là có thể trao đổi
thông tin với tất cả mọi người.
- Là tiền đề cho sự ra đời của chữ ký điện tử và các phương pháp chứng
thực điện tử.
• Nhược điểm
- Về tốc độ xử lý: Chậm hơn nhiều so với các giải thuật mã hóa đối xứng,
không thích hợp cho những trường hợp mã hóa thông thường.
- Tính xác thực của khóa công khai: bất cứ ai cũng có thể tạo ra một khóa
và công bố đó là của một người khác, chùng nào việc giả mại chưa bị phát
hiện thì đều có thể đọc được nội dung và thông báo gửi cho người kia, cần
có cơ chế đảm bảo những người đăng ky khóa là đáng tin.
3. Hệ mã hóa RSA
=
11
=
Hệ mã hóa RSA là hệ mã hóa đầu tiên mã hóa khóa công khai được đề xuất
bởi Ron Rivest, Adi Shamir và len Adlenman (MIT) vào năm 1997. Đây là
hệ mã hóa khóa công khai phổ dụng nhất hiện nay và được áp dụng vào hầu
hết các ứng dụng thực tế.
=
12
=
B. NÊU, PHÂN TÍCH VÀ ĐƯA RA CÁC GIẢI PHÁP
NGĂN CHẶN VỀ 5 XU HƯỚNG BẢO MẬT INTERNET
CỦA NĂM 2011 MÀ SYMANTEC CẢNH BÁO.
Symantec là nhà sản xuất lớn nhất của phần mềm bảo mật cho máy tính.
Công ty có trụ sở tại Mountain View, California.
Symantec đã đưa ra cảnh báo về 5 xu hướng bảo mật Internet của năm 2011
như sau.
I.Hacker sẽ tấn công các hạ tầng quan trọng.
I.1.Thực trạng các cuộc tấn công vào cơ sở hạ tầng
Các cuộc tấn công mạng ngày càng rầm rộ với mức độ nguy hiểm gia tăng. Đặc
biệt là khi mục tiêu các hacker hướng tới không chỉ là email hay trang web…mà
là cơ sở hạ tầng và mức độ hết sức tinh vi. Nó là những cuộc chiến ảo nhưng
thiệt hại thì không kém những cuộc chiến thật. Chúng ta có thể nhận thấy rất rõ
sự gia tăng của xu hướng tấn công này qua những con số và thông tin sau:
- Khảo sát của Symantec trong năm 2010 cũng cho thấy xu hướng đó khi 48%
doanh nghiệp được hỏi cho rằng họ có thể là nạn nhân của kiểu tấn công này
trong năm tới; và 80% tin rằng tần suất những vụ tấn công kiểu đó đang tăng lên
- Một cuộc khảo sát năm 2011 của 200 giám đốc điều hành bảo mật IT từ các
doanh nghiệp cơ sở hạ tầng quan trọng điện lực tại 14 nước cho thấy 40% các
giám đốc điều hành tin rằng ngành công nghiệp dễ bị tổn thương của họ đã gia
tăng. Gần 30% tin rằng công ty của họ đã không được chuẩn bị sẵn sàng cho
cuộc tấn công này và hơn 40% đoán trước về một cuộc tấn công lớn trong năm
tiếp theo.
- Trong khi đó không nhiều người quan tâm đến vấn đề bảo mật thông tin. Họ
coi đó là bước cuối cùng họ phải kiểm tra.
Như vậy tấn công vào các hạ tầng quan trọng đang có xu hướng phát triển khi
các hacker ngày càng mở rộng sân chơi của mình và đòi hỏi sự đáp trả của
người bị tấn công nếu không muốn bị hủy hoại hoàn toàn.
I.2.Tìm hiểu ví dụ điển hình về sâu Stuxnet.
Thực tế đã xảy ra với sự xuất hiện của sâu Stuxnet. Stuxnet là ví dụ điển hình
nhất của dạng virus máy tính được thiết kế cho mục đích sửa đổi hành vi của các
hệ thống phần cứng nhằm gây ra những thiệt hại vật lý trong thế giới thực.
Có vẻ như những kẻ tấn công đang theo dõi tác động của sâu Stuxnet đối với
những ngành công nghiệp có sử dụng hệ thống kiểm soát ngành và rút ra những
bài học kinh nghiệm từ cuộc tấn công này. Symantec cho rằng những kinh
=
13
=
nghiệm đó sẽ giúp tin tặc triển khai thêm các cuộc tấn công vào nhiều hạ tầng
quan trọng trong năm 2011.
Đó là thực tế đã xảy ra. Vậy nó là gì? Chúng ta phải làm gì khi dường như một
cuộc chiến tranh mạng đang thực sự được khởi xướng?
I.2.1. Stuxnet là gì?
a. Stuxnet (tên đầy đủ là Worm.Win32.Stuxnet) là một loại sâu máy tính có khả
năng gây nên một cuộc chiến tranh mạng trên thế giới, đã từng khiến hàng ngàn
máy làm giàu uranium của Iran đột nhiên bị ngừng hoạt động. Nó đã khiến cho
chương trình hạt nhân của Iran bị đẩy lùi hai năm theo một cách kỳ lạ và đang là
sự quan tâm của thế giới.Hoạt động đã lâu nhưng sâu Stuxnet chỉ mới bị
VirusBlokAda, một công ty an ninh máy tính có trụ sở ở Belarus, phát hiện hồi
tháng 6-2010. Tuy nhiên nó có thể hoạt động từ hơn 1 năm trở về trước (cuối
2008 đến đầu 2009) vì có một số thành phần được biên dịch từ tháng 1 năm
2009. Đây là một con sâu của thế giới ảo cực kỳ thông minh và nguy hiểm vì lần
đầu tiên nó có khả năng đe dọa thế giới vật chất. Cho đến nay cha đẻ của
Stuxnet là ai vẫn là một điều bí ẩn và nhiều nghi ngờ đã được đặt ra.
b. Đặc điểm:
+ Các chuyên gia bảo mật cho rằng nó được tạo ra với mục đích tấn công các cơ
sở hạ tầng quan trọng và mạng máy tính. Nó được tạo ra để hủy diệt một mục
tiêu cụ thể như nhà máy điện, nhà máy lọc dầu hoặc nhà máy hạt nhân sau khi bí
mật xâm nhập hệ thống điều khiển quy trình công nghiệp, viết lại chương trình
điều khiển này theo hướng tự hủy hoại. Cách tấn công của nó là cách tấn công
chủ động
+ Nó sống trong môi trường Windows, khai thác triệt để những lỗ hổng (Ngoài
việc khai thác lỗ hổng bảo mật khi xử lý các tập tin LNK và PIF, Stuxnet còn sử
dụng thêm 4 lỗ hổng khác nữa của Windows. Một trong 4 lỗ hổng này từng
được sâu Conficker khai thác hồi đầu năm 2009) để phá hoại một mục tiêu vật
chất cụ thể.
+ Xét về độ phức tạp, sâu Stuxnet có nhiều điểm khó hiểu. Nó cho thấy người
tạo ra nó có hiểu biết sâu sắc về các quy trình công nghiệp, về những lỗ hổng
của Windows và có chủ ý tấn công vào cơ sở hạ tầng công nghiệp. Nó được viết
bằng nhiều ngôn ngữ lập trình khác nhau (bao gồm cả C và C++) .
+ Về mức độ nguy hiểm, Stuxnet làm các chuyên gia về sâu máy tính ngỡ
ngàng. Nó quá phức tạp, chứa quá nhiều mã, kích thước quá lớn để có thể hiểu
hết “ruột gan” của nó trong thời gian ngắn.
Theo Công ty Microsoft, hiện có khoảng 45.000 máy tính trên thế giới của 9
nước bị nhiễm sâu Stuxnet nhưng số hệ thống kiểm soát công nghiệp bị nhiễm
không nhiều, chủ yếu ở Iran.
=
14
=
+ Thông minh, tinh vi : Stephane Tanase, một trong những chuyên viên an ninh
hàng đầu của công ty Nga Kaspersky, đã chỉ ra những điểm khác biệt của sâu
Stuxnet so với sâu máy tính cổ điển làm các chuyên gia bảo mật cừ khôi nhất
phải giật mình.“Nó tấn công một mục tiêu rất cụ thể là hệ thống Scada tự động
hóa việc kiểm soát cơ sở hạ tầng công nghiệp của tập đoàn Đức Siemens được
sử dụng nhiều ở Iran”. Tanase cho biết thêm: “Nhưng không phải bất kỳ hệ
thống Scada nào mà là hệ thống dùng để kiểm soát các máy ly tâm. Ngay cả tính
năng của máy ly tâm này cũng rất cụ thể: dùng để làm giàu uranium”.
c. Cách thức hoạt động:
Phần quan trọng nhất của Stuxnet, là những gói thông tin nó tạo ra. Nếu Stuxnet
nhận ra hệ thống có cài đặt Step7, nó sẽ giải mã và load một file DLL, là thư
viện những chức năng vào máy đó. File này đóng giả một file DLL hợp pháp là
s7otbxdx.dll, phục vụ như một vùng nhớ chung cho những chức năng của Step
7.
Step 7
Step 7 có một giao diện đẹp dựa trên Windows, nó điều khiển một thứ gọi là
Thiết bị điều khiển Logic có thể được lập trình (Programmable Logic
Controller). Những PLC này giống như những máy tính cỡ nhỏ, bằng chiếc bánh
mỳ nhưng điều khiển tất cả, từ động cơ của những dây chuyền lắp ráp ô tô, cho
đến những chiếc van trong hệ thống dẫn khí. Để kết nối và làm việc với những
PLC này, người công nhân phải đưa máy tính có cài đặt Step 7 vào hệ thống, gửi
những lệnh tới PLC và nhận báo cáo từ chúng.
Đó là nơi file DLL của Stuxnet thâm nhập, Falliere khám phá ra rằng nó chặn
những lệnh từ Step 7 và thay thế bằng những lệnh độc hại.
Cùng thời điểm đó một phần khác của Stuxnet ngăn tất cả những cảnh báo tới hệ
thống rằng có những lệnh độc hại đang được thực thi. Ngoài ra nó còn chặn
những tín hiệu trạng thái từ PLC gửi tới hệ thống. Như vậy công nhân chỉ có thể
thấy những dòng lệnh hợp lệ, giống như trong một bộ phim của Hollywood,
=
15
=
những kẻ ăn trộm đã chèn những đoạn video được lặp lại vào camera giám sát
để những người bảo vệ không thể trông thấy chúng hành động.
Sự thật là Stuxnet đang phá hủy những dòng lệnh tới PLC và giả mạo vô hại như
thiết kế của nó, mà ai cũng nghĩ là chỉ để bí mật làm gián điệp, chứ không phải
là những tấn công mang tính vật lý như vậy. Những nhà nghiên cứu hết sức bất
ngờ. Lần đầu tiên người ta có thể thấy những dòng mã độc hại lại có thể phá hủy
một thứ ở thế giới thực.
Điều thú vị nhất, đó là cách mà những mã độc này che giấu chức năng của mình.
Thông thường, chức năng của Windows là nạp những thành phần cần thiết từ
những file thư viện động (DLL) trên ổ cứng. Những mã độc hại khác cũng làm
vậy, tuy nhiên điều này khiến chúng có thể bị phát hiện bởi những chương trình
chống virus. Thay vào đó, Stuxnet cất giữ những files thư viện đã được mã hóa
của mình vào trong những files vớ vẩn vô hại ấy.
Sau đó nó lập trình lại Windows API, một giao diện trung gian giữa hệ điều
hành và những chương trình chạy trên nó, như vậy mỗi khi một chương trình cố
gắng nạp chức năng từ một thư viện có tên trên thì nó sẽ kích hoạt Stuxnet từ bộ
nhớ của những file thư viện đó. Stuxnet đã sử dụng một phương pháp hiệu quả
đến mức, nó không hiện diện một cách chính thức trong ổ cứng, và gần như
không thể tìm thấy.
Mỗi khi Stuxnet xâm nhập vào một hệ thống, nó lại gọi về “nhà” – một trong 2
tên miền www.mypremierfutbol.com và www.todaysfutbol.com có máy chủ tại
Malaysia và Đan Mạch, để báo cáo thông tin về chiếc máy tính nó đã thâm nhập.
Thông tin bao gồm địa chỉa IP nội, và ngoại, tên, hệ điều hành, phiên bản, và
phần mềm Siemens Simatic WinCC Step7 nếu có được cài đặt trên máy tính. Từ
máy chủ, những kẻ tấn công ra lệnh cập nhật thông tin cho Stuxnet với những
chức năng mới hoặc cài đặt thêm những files khác trong hệ thống.
I.2.2.Hiểm họa Stuxnet
Nói chung, với mức độ phức tạp và tinh tế trong việc chọn mục tiêu tấn công,
nhiều chuyên gia bảo mật xác định rằng Stuxnet chính là siêu vũ khí mới của
chiến tranh mạng.
a. Phá hoại máy li tâm ở cơ sở làm giàu hạt nhân Natans.
Trong một báo cáo, ba chuyên gia hàng đầu của Viện Khoa học và An ninh quốc
tế (Institute for Science and International Security – ISIS) là David Albright,
Paul Brannan và Christina Walrond cho rằng virus “Stuxnet” đã phá hoại hoạt
động của hàng nghìn máy li tâm ở cơ sở làm giàu hạt nhân Natans, cách thủ đô
Teheran 300 km về phía Nam.
=
16
=
Theo báo cáo trên, mặc dù “không phá hoại được tất cả” các máy ly tâm ở cơ sở
làm giàu hạt nhân Natans, nhưng virus “Stuxnet” đã phá hoại “một số lượng
nhất định” máy ly tâm và “không bị phát hiện trong một thời gian khá dài”.
Cho đến nay, người ta phát hiện ra rằng virus “Stuxnet” đã thao túng tần số vòng
quay của các máy ly tâm: thay vì có tần số 1.064 Hertz, các máy này chạy với
tần số không ổn định (bị đẩy lên 1.410 Hertz rồi sau đó từ từ hạ xuống 1.062
Hertz và quá trình này được lặp đi, lặp lại nhiều lần trong vòng gần một tháng).
Khi bị đẩy lên tần số trần 1.410 Hertz, số máy ly tâm nói trên có nguy cơ bị vỡ
tung. Điều nguy hại là quá trình thao túng tần số của “Stuxnet” lại được ngụy
trang rất khéo léo vì “mỗi lần thao túng đều đi kèm với một cuộc tấn công vô
hiệu hóa các thiết bị cảnh báo và an ninh”, che mắt các nhân viên điều hành máy
ly tâm. Chỉ có điều, virus “Stuxnet” đã không đạt được mục tiêu đề ra là đẩy tần
số vòng quay của các máy ly tâm lên mức trần 1.410 Hertz trong chu kỳ tác hại
kéo dài 15 phút, mà chỉ tác hại đáng kể đến hoạt động và tuổi thọ của số máy ly
tâm nói trên.
Một tác hại nhãn tiền là việc Iran đã phải tiêu tốn nguyên liệu uranhexafluorid
nhiều hơn, trong khi lại sản xuất được lượng uranium đã được làm giàu ít hơn.
Theo ba nhà khoa học nói trên của ISIS, nhiều máy ly tâm của cơ sở làm giàu
uranium ở Natans đã hoạt động kém hiệu quả và lãng phí một khối lượng lớn
uranhexafluorid trong một thời gian khá dài.
Có một điều rõ ràng là để tác hại đến chương trình hạt nhân của Iran trong một
thời gian dài như vậy, các nhà lập trình và cài cấy virus “Stuxnet” phải có thông
tin chính xác về tần số hoạt động của các máy ly tâm ở Natans, điều mà bản thân
Cơ quan Năng lượng Hạt nhân Quốc tế (IAEA) cũng không được biết. Chính vì
vậy mà báo cáo nói trên của ISIS không loại trừ khả năng virus “Stuxnet” chính
là một trong những “sản phẩm” của các cơ quan tình báo phương Tây nhằm phá
hoại chương trình làm giàu uranium đầy tham vọng của Iran
b. Mối đe dọa nền công nghiệp toàn cầu.
Không giống như bom tấn, tên lửa hay súng ống, vũ khí chiến tranh mạng có thể
bị sao chép, việc phổ biến “siêu vũ khí” mạng như Stuxnet rất khó ngăn chặn và
không thể kiểm soát. Ông Langner lo rằng công nghệ sản xuất sâu máy tính
tương tự như Stuxnet có thể rơi vào tay các nước thù địch của Mỹ và phương
Tây, các tổ chức khủng bố hay các tổ chức tội phạm kiểu mafia.
Stuxnet rất khác vũ khí thông thường. Người ta có thể biết một quả bom hạt
nhân được chế tạo như thế nào nhưng không phải ai cũng có khả năng chế tạo
hay sở hữu bom hạt nhân. Vũ khí chiến tranh mạng rất khác. Nó có thể bị sao
chép, tái sử dụng và rao bán trên mạng với giá không đắt lắm. Thậm chí trong
một số trường hợp nó còn được biếu không.
=
17
=
Sâu Stuxnet hiện có được tạo ra để phá hoại một mục tiêu cụ thể với độ chính
xác cao. Những con Stuxnet trong tương lai, theo ông Langner, trong tay những
kẻ xấu có thể giống như “bom bẩn”, nghĩa là ngu hơn con Stuxnet do bị giảm
chức năng (Stuxnet có đến 5.0000 chức năng), gây ra những thiệt hại nhỏ hơn
nhưng mức độ nguy hiểm có thể cao hơn. Chẳng hạn, trong một cuộc tấn công,
sâu Stuxnet chỉ “đánh sập” một nhà máy điện cụ thể trong khi đó sâu máy tính
thuộc dạng “bom bẩn” có thể làm cả chục nhà máy điện hoạt động chập chờn,
hậu quả nghiêm trọng hơn nhiều.
I.2.3.Giải pháp ngăn chặn hiểm họa sâu Stuxnet.
Dưới đầu đề “Sâu Stuxnet đánh động cả thế giới”, nhật báo kinh tế Anh
Financial Times cho biết sau một năm tìm cách giải mã và tìm hiểu sâu Stuxnet,
các chuyên gia an ninh mạng phương Tây tỏ ra hết sức lo lắng. Họ chỉ mới biết
mục tiêu của sâu Stuxnet ở Iran là tấn công dàn máy ly tâm làm giàu uranium
của các cơ sở hạt nhân Iran. Họ vẫn chưa biết mục tiêu của nó ở Indonesia, Ấn
Độ và Pakistan là những nơi cũng có những hệ thống máy tính công nghiệp bị
nhiễm sâu Stuxnet. Hiện tại Mỹ và một số nước châu Âu đang đầu tư mạnh vào
“mạng lưới thông minh” trong các lĩnh vực điện nước, GTVT… Nhưng công tác
bảo mật các mạng lưới này chưa thể ứng phó với sâu Stuxnet, ít nhất trong lúc
này.
Các chuyên gia suy đoán, Stuxnet có thể là hành động khủng bố mạng ở cấp
quốc gia và là loại vi-rút máy tính đầu tiên có thể làm thay đổi hiện trạng vật lý
trong thế giới thực. Stuxnet có khả năng tái lập trình các phần mềm khác để
buộc một máy tính thực hiện các lệnh khác nhau. Nó có thể lây lan từ máy này
qua máy khác bằng con đường là các ổ USB. Vì vậy, nhiều máy tính không kết
nối internet để bảo mật nhưng vẫn có thể bị nhiễm Stuxnet. Nên các doanh
nghiệp phải sử dụng chương trình chống virus, phải quét sạch usb, ổ cứng di
động… khi kết nối với máy tính.
Theo báo Telegraph, loại vi-rút này là một sự kết hợp giữa các dòng mã lệnh rất
phức tạp cùng với kỹ thuật tấn công máy tính mà hacker từng sử dụng. Vì vậy,
chúng lây lan rất nhanh chóng nhưng lại khó tiêu diệt hơn. Nó cũng khai thác
triệt để các máy tính dùng hệ điều hành Windows nhưng chưa cập nhật các bản
vá lỗi mới nhất. Do đó để phòng chống Stuxnet, bản thân các doanh nghiệp cần
cập nhật các bản vá lỗi windows.
=
18
=
Stuxnet đã dựa vào những khai thác mạng và tự nó trốn trong các tệp dự án của
WinCC để đảm bảo nó có thể được chạy ở những lúc được chỉ định. Dạng nảy
nở này đòi hỏi truyền thông điểm - điểm giữa các máy tính trạm.Bạn có thể ngăn
ngừa dạng nảy nở này bằng việc sử dụng các tường lửa cho các máy chủ host để
lọc ra giao thông tiềm tàng nguy hiểm, như các dịch vụ cho phép một PC giao
tiếp trực tiếp với PC khác. Stuxnet đã sử dụng một khai thác để gửi đi một thông
điệp RPC giả mạo từ máy trạm A sang máy trạm B và đã làm cho nó chạy mã
tải về phần mềm độc hại. Nếu máy trạm B đã có một tường lửa được bật thì đã
ngăn ngừa được các kết nối đi vào, thì khai thác có thể sẽ thất bại.
I.3.Các biện pháp ngăn chặn các cuộc tấn công vào cơ sở hạ tầng.
- Cập nhật các bản vá lỗi liên tục và sử dụng các hệ thống tường lửa, diệt virus,
…
- Diễn tập chống tấn công hạ tầng mạng trọng yếu
Theo kịch bản, các công ty hạ tầng trọng yếu của một nền kinh tế là đích nhắm
của nhóm tội phạm. Nhân viên tại những công ty này nhận được email lừa đảo
và tin nhắnSMS chứa đường link dẫn đến các website có chứa mã độc.
Khi đã được kích hoạt, các mã độc sẽ trở thành một phần của mạng botnet, sử
dụng kênh chat IRC và mạng xã hội để kết nối với server điều khiển (C&C
Server). Mạng botnet sẽ làm tê liệt nền kinh tế bằng cách yêu cầu các bot tìm
kiếm, xâm nhập và gây hỏng hóc các thiết bị hạ tầng trọng yếu như: hệ thống
điện, hệ thống điều khiển giao thông…
Kịch bản trên được xây dựng xuất phát từ vụ việc nghiêm trọng đã xảy ra trong
thực tế vào đầu năm 2010, virus Stuxnet được sử dụng để tấn công vào hàng loạt
hệ thống điều khiển mạng công nghiệp của nhiều quốc gia trên thế giới. Stuxnet
cũng chính là thủ phạm phá hoại hệ thống cơ sở hạt nhân của Iran khi xuất hiện
tràn lan trong các cơ sở công nghiệp của nước này.
Ông Roy Ko, Chủ tịch APCERT, cho biết, các cuộc tấn công mạng thường khởi
nguồn từ nhiều địa điểm phân tán, do đó để lần ra dấu vết và dập tắt những cuộc
tấn công này đòi hỏi sự hợp tác giữa các tổ chức an ninh mạng từ các nền kinh tế
khác nhau. Nhiệm vụ quan trọng của chúng tôi là xây dựng khả năng phát hiện
và phòng vệ khi một cộng đồng lớn bị tấn công và hoạt động của nền kinh tế bị
cản trở.
- Mỹ lên kế hoạch chống các vụ tấn công vào cơ sở hạ tầng từ xa
Chính phủ Mỹ vừa phát động chương trình có tên gọi “Công dân hoàn hảo”
nhằm ngăn chặn các vụ tấn công từ xa vào các công ty tư nhân, các cơ quan
=
19
=
chính phủ điểu hành hệ thống cơ sở hạ tầng quan trọng của quốc gia – Nhật báo
Phố Wall cho biết. Việc giám sát sẽ được tiến hành bởi Cơ quan An ninh quốc
gia, dựa trên các cảm biến cài đặt trong mạng máy tính của các hệ thống cơ sở
hạ tầng quan trọng như lưới điện hay các nhà máy điện hạt nhân – những hệ
thống có thể bị đe dọa bởi hiểm họa từ những cuộc tấn công được điều khiển từ
xa – nguồn tin giấu tên tiết lộ với phóng viên.
II. Lỗ hổng zero-day sẽ thông dụng hơn.
II.1. Zero-day là gì?
Zero-day ( zero-hour hoặc day zero ) là thuật ngữ chỉ sự tấn công hay các mối đe
dọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố
và chưa được sửa chữa.
Bọn tội phạm sẽ sử dụng hoặc chia sẻ để cùng khai thác lỗ hổng này trước khi
các nhà phát triển phần mềm kịp thời vá nó.
Khi nhà phát triển phần mềm biết đến lỗ hổng này, sẽ hình thành một cuộc đua
giữa việc vá lỗ hổng với việc bọn tội phạm tranh thủ khai thác và đưa thông tin
ra công cộng.
Hiểm hoạ này lần đầu tiên được công ty bảo mật Sunbelt Software thông báo,
công ty này phát hiện ra nó trên một website Nga cung cấp hình ảnh không văn
hóa. Lỗ hổng này nguy hiểm vì chỉ cần bạn duyệt qua website có chứa hình
“bẫy” thì máy tính của bạn có thể bị dính tải về ngầm. Bọn tội phạm cơ hội còn
biết cách làm tình hình tồi tệ thêm.
Ví dụ : Năm 2010, sâu Trojan.Hydraq (còn gọi là “Aurona”) là ví dụ điển hình
cho việc đe dọa tấn công vào các mục tiêu xác định. Các mục tiêu này có thể là
những tổ chức hoặc một hệ thống máy tính cụ thể nào đó thông qua những lỗ
hổng phần mềm chưa được biết tới.
Sâu Trojan.Hydraq được sử dụng để khai thác lỗi hổng zero-day trên trình duyệt
Internet Explorer. Về cơ bản thì loại sâu này rất giống với những loại sâu Trojan
tấn công cửa hậu (backdoor) thông thường và thực sự nó không phức tạp đến
vậy khi so sánh với những loại phần mềm độc hại khác đang được phát tán trên
mạng.
Dựa trên tính năng của loại sâu này, có thể phỏng đoán một cách chính xác rằng
mục đích của nó là để mở một cửa hậu trên máy tính đã bị lây nhiễm và cho
phép kẻ tấn công từ xa kiểm soát hoạt động và lấy cắp thông tin từ không chỉ
=
20
=
một máy bị lây nhiễm mà trên cả hạ tầng công nghệ thông tin mà máy tính đó
được kết nối.
Theo Symantec, tin tặc đã lợi dụng những lỗ hổng bảo mật như vậy trong nhiều
năm qua, thế nhưng những mối đe dọa mang tính mục tiêu cao như vậy sẽ tăng
mạnh trong năm 2011. Trong vòng 12 tháng tới, chúng ta sẽ chứng kiến những
lỗ hổng zero-day ngày càng tăng nhanh với số lượng cao hơn bất kỳ năm nào
trước đây.
II.2.Một số hướng tấn công zero-day nhắm đến.
II.2.1.Tấn công IE
McAfee Labs vừa xác định một lỗi trong trình duyệt của Microsoft, được sử
dụng như điểm khởi đầu cho kiểu tấn công “Operation Aurora” từng xảy ra với
Google và ít nhất 30 công ty khác.
Operation Aurora là kiểu tấn công phối hợp, trong đó hacker dùng một đoạn mã
máy tính để khai thác lỗ hổng trong Internet Explorer (IE) nhằm chiếm quyền
truy cập hệ thống máy tính. Khi khai thác thành công, đoạn mã này sẽ được mở
rộng để tải về và kích hoạt các phần mềm độc hại trong hệ thống. Sau đó máy
của nạn nhân sẽ bị kiểm soát bởi một máy chủ từ xa.
Các cuộc tấn công được khởi xướng một cách bí mật khi người dùng truy cập
vào những trang web chứa mã độc, trong khi lại tưởng rằng đó là các website uy
tín.
Đoạn mã máy tính dùng để khai thác lỗi IE đang được phát tán khá rộng rãi trên
mạng. Microsoft cũng công bố các phiên bản trình duyệt bị ảnh hưởng như IE 6,
IE 7, IE 8 được hỗ trợ trong các phiên bản Windows XP, Windows Server 2003,
Windows Vista, Windows Server 2008, Windows 7 và Windows Server 2008
R2.
II.2.2.Tấn công Office
Không giống các mối đe doạ zero-day nhắm đến IE, những cuộc tấn công nhắm
đến Word và các ứng dụng Office khác không thể thực hiện việc tải về ngầm.
Thay vì vậy, chúng thường “dụ” nạn nhân nhấn đúp lên file đính kèm email - và
khi chúng được kết hợp với các cuộc tấn công phối hợp chống lại một công ty
cụ thể thì ngay cả người dùng cẩn thận cũng có thể mắc bẫy.
Bằng cách gửi cho các nhân viên của công ty mục tiêu một email giả xuất xứ từ
=
21
=
một đồng nghiệp hay nguồn khác trong công ty, tin tặc có nhiều khả năng thuyết
phục người nhận mở tài liệu Word đính kèm hơn là nếu email có xuất xứ từ
người lạ.
Giữa tháng 12 năm rồi, Microsoft đã thừa nhận Word có 2 lỗ hổng như vậy bị
hacker khai thác để phát động “những cuộc tấn công có chủ đích”, sau các lỗ
hổng tương tự trong Excel và PowerPoint. Công ty khuyến cáo người dùng thận
trọng không chỉ với file đính kèm email gửi từ người lạ, mà cả các file đính kèm
không yêu cầu gửi từ người quen.
II.2.3.Nhắm vào Word
Ngày 21/5/2006, các cuộc tấn công có chủ đích được kích hoạt từ Đài Loan và
Trung Quốc, khai thác một lỗ hổng trong Microsoft Word (một trong nhiều lỗ
hổng zero-day của Office được thông báo trong năm 2006) để tấn công một
công ty. Theo Internet Storm Center, các cuộc tấn công này giả email trong nội
bộ công ty để nhân viên không nghi ngờ mở file đính kèm có chứa mã độc.
Các sản phẩm Microsoft có thể là những mục tiêu tấn công zero-day phổ biến
nhất, nhưng phần mềm thông dụng khác cũng có nguy cơ tương tự. Trong tháng
1, một nhà nghiên cứu đã công bố phát hiện một lỗ hổng trong phần kiểm phát
video của QuickTime cho phép tin tặc kiểm soát máy tính nạn nhân. Cuối tháng
11/2006, một lỗ hổng zero-day trong điều khiển trình duyệt ActiveX Adobe tạo
ra nguy cơ tương tự.
Sự gia tăng các sự cố zero-day tương ứng với sự gia tăng số lỗ hổng phần mềm
được thông báo hàng năm. Trong năm 2006 các nhà nghiên cứu và sản xuất
phần mềm đã ghi nhận khoảng 7247 lỗ hổng; tăng 39% so với năm 2005, theo
Internet Security Systems Xforce.
Tuy vậy, hầu hết các lỗi này không dẫn đến việc khai thác zero-day. Các công ty
phần mềm thường nhận các báo cáo về các lỗi và hỏng hóc từ người dùng của
mình, dẫn đến việc phát hiện các lỗ hổng bảo mật và vá trước khi có kẻ lợi dụng.
Khi các nhà nghiên cứu bảo mật bên ngoài phát hiện lỗi, đa phần họ tôn trọng
quy ước “tiết lộ đúng quy cách”, được thiết kế đặc biệt để tránh các cuộc tấn
công zero-day.
Theo quy ước này, các nhà nghiên cứu trước hết liên hệ hãng cung cấp phần
mềm để thông báo lỗi. Hãng này không công bố lỗi cho đến khi có bản vá, khi
đó hãng sẽ công khai nhìn nhận nhà nghiên cứu phát hiện đầu tiên.
Nhưng đôi khi các nhà nghiên cứu mất kiên nhẫn với tiến độ thực hiện chậm
chạp của nhà sản xuất phần mềm đã công khai các chi tiết về lỗ hổng khi nó còn
chưa được vá. Một số chuyên gia xem đây là việc chẳng đặng đừng để buộc các
=
22
=
hãng phần mềm đưa ra bản vá; những người khác chỉ trích đó là hành vi không
tôn trọng nguyên tắc.
Những người ủng hộ việc công khai cho rằng nếu một nhà nghiên cứu biết về lỗi
thì bọn tội phạm cũng có thể biết và bọn tội phạm ma mãnh sẽ thực hiện tấn
công trên quy mô nhỏ và có mục tiêu cụ thể để tránh đánh động hãng phần mềm
biết và sửa. Không may, việc tiết lộ rộng rãi về lỗ hổng có thể gây nên các cuộc
tấn công zero-day rộng khắp.
Một cách thức khác gây tranh cãi là treo thưởng. Một số tổ chức, gồm iDefense
và Zero Day Initiative của 3Com, trả tiền cho nhà nghiên cứu thông báo cho họ
về kẽ hở zero-day. Ví dụ, iDefense đưa ra mức thưởng 8.000USD cho thông tin
về các lỗ hổng trong IE 7 và Vista. Sau đó, công ty bảo mật thông báo phát hiện
(được giữ kín) đến hãng phần mềm. Dù không phải ai cũng ủng hộ nhưng cách
thức này đem lại thù lao cho các nhà nghiên cứu - một kết quả hợp lý mà nhiều
người thích hơn là lời khen công khai giản đơn từ hãng phần mềm.
Có lẽ quan trọng hơn, tiền thưởng của các công ty bảo mật cạnh tranh với thị
trường đen đang phát triển nhắm vào kẽ hở zero-day. Các báo cáo từ
eWeek.com và các công ty bảo mật cho thấy các cuộc tấn công Windows
Metafile bắt đầu ngay sau vụ mua bán thông tin chi tiết về lỗi này với số tiền
khá bộn – 4.000USD.
Để tìm các lỗ hỗng “có giá”, các nhà nghiêu cứu và bọn tội phạm sử dụng những
công cụ gọi là fuzzer để dò tìm tự động những nơi chương trình nhận thông tin
vào, sau đó cung cấp một cách hệ thống các tổ hợp dữ liệu lạ. Thường thì phép
thử này sẽ làm lộ lỗ hổng có thể khai thác, được biết đến với cái tên “tràn bộ
đệm”.
Các hãng phần mềm, trong đó có Microsoft, thường sử dụng các công cụ này để
tìm trước lỗi trong sản phẩm của mình. Và bọn tội phạm cũng làm như vậy:
nhiều chuyên gia cho biết bọn tội phạm có tổ chức ở Đông Âu, Trung Quốc
cũng dùng fuzzer để tìm các kẽ hở zero-day đáng giá. Người phát hiện có thể sử
dụng kẽ hở này để tự tấn công, như trong trường hợp kẽ hở WMF, hay có thể
bán nó trên thị trường đen.
Khi nhà sản xuất phần mềm có thể vá một lỗ hổng bảo mật trước khi có bất kỳ
cuộc tấn công nào xảy ra, thì bộ phận IT của công ty và người dùng gia đình có
thời gian để cập nhật phần mềm và tránh được hiểm hoạ. Nhưng khi có một
cuộc tấn công zero-day khởi động, thời gian được tính bằng giờ hay phút và bản
vá đôi khi đến chậm.
Theo báo cáo tháng 9/2006 về các mối đe dọa bảo mật trên Internet của
=
23
=
Symantec trong nửa đầu năm 2006, Microsoft ngang với Red Hat Linux về thời
gian phát triển bản vá nhanh nhất cho các HĐH thương mại: trung bình 13 ngày.
II.3. Biện pháp ngăn chặn
a. Cập nhật liên tục các bản vá
b. Sử dụng các phần mềm
Do bản chất giấu kín và phát tán chậm của những đe dọa mang tính mục tiêu
như vậy đã làm giảm khả năng phòng bị của các nhà cung cấp giải pháp bảo
mật. Họ khó có thể đưa ra các biện pháp bảo vệ truyền thống để chống lại tất cả
các đe dọa kiểu này.
- Tuy nhiên, những công nghệ đặc thù kiểu như SONAR của Symantec lại có
khả năng phát hiện đe dọa dựa trên hành vi của chúng, hay như công nghệ bảo
mật dựa trên danh tiếng, có khả năng xác định đe dọa dựa vào ngữ cảnh hơn là
nội dung của chúng. Những công nghệ kiểu đó giúp phát hiện được những đặc
điểm mang tính hành vi và bản chất phát tán chậm của những đe dọa như vậy.
- Có một dòng sản phẩm bảo mật khác chống lại các mối đe doạ mới bằng cách
thay đổi môi trường điện toán của người dùng để hạn chế tác hại từ một cuộc
xâm nhập thành công. Một số (như GreenBorder Pro) tạo ra một “hộp kín”, hay
môi trường hầu như cách ly, cho những chương trình thường bị tấn công như
trình duyệt web hay trình email. Ví dụ, một cuộc tấn công có thể xuyên thủng
IE nhưng bất kỳ cố gắng nào nhằm cài đặt spyware hay những thay đổi hệ
thống có hại đều bị giới hạn trong “hộp kín”.
- Các chương trình khác, thay vì tạo môi trường ảo, điều chỉnh quyền của người
dùng để trừ khử khả năng mã độc thực hiện các thay đổi hệ thống. Trong số này
có DropMyRights miễn phí của Microsoft.
- Còn có các dạng chương trình khác, như VMWare Player miễn phí, cài đặt
một HĐH kín có sẵn trình duyệt riêng. Trình duyệt hoàn toàn cách ly môi
trường điện toán thông thường của bạn. Xem “Giải trừ các mối hiểm họa từ
Net” của Erik Larkin (find.pcworld.com/56458) để biết thêm thông tin về tất cả
các dạng chương trình bảo mật ngăn ngừa thảm họa.
- Windows Vista có cải tiến bảo mật làm việc với một số loại phần mềm trên.
Nhưng không ai nghĩ các lỗ hổng phần mềm hay những kẽ hở zero-day rồi sẽ
biến mất. Thị trường đen đã hình thành cho việc mua bán dữ liệu đánh cắp và
bọn tội phạm sẽ tiếp tục tìm cách thu lợi nhuận từ malware.Những tính năng
bảo mật mới trong Windows Vista có khả năng chống đỡ kiểu tấn công zero-
day tốt hơn bạn nghĩ.
Tính năng mới quan trọng là User Account Control, tính năng này thay đổi các
=
24
=
quyền của tài khoản người dùng trong Vista. Do nhiều tác vụ hệ thống thông
thường yêu cầu quyền quản trị nên để tiện lợi hầu hết người dùng gia đình đều
chạy Windows XP với quyền này. Việc này có thể bị tin tặc lợi dụng để chỉnh
sửa hệ thống hay cài đặt malware.
Ngược lại, tài khoản người dùng Vista mặc định nằm ở khoảng giữa tài khoản
quản trị toàn quyền và tài khoản khách bị kiểm soát chặt chẽ. Microsoft cố gắng
để thay đổi này dễ được chấp nhận hơn bằng cách
Các tính năng bảo mật mới của Vista, như Protected Mode của IE, cung cấp
thêm lớp bảo vệ và nhiều hộp thoại pop-up, cấp quyền cho những người có tài
khoản thường thực hiện một số tác vụ hệ thống thông thường như cài đặt trình
điều khiển máy in, nhưng người dùng cấp cao hơn (Power) than phiền về việc
phải nhấn qua quá nhiều hộp thoại yêu cầu mật khẩu quản trị của User Account
Control.
Tương tự, IE mặc định chạy trong chế độ bảo vệ với khả năng tối thiểu. Thiết
lập này hạn chế sự phá hoại của việc khai thác zero-day thông qua IE (như khai
thác WMF hay VML) có thể trút lên PC của bạn.
Cuối cùng, Vista có kèm Windows Defender, công cụ này có thể ngăn chặn
malware thực hiện hành vi nguy hiểm (ví dụ thêm chương trình phá hoại vào
folder Startup để khởi chạy cùng với Windows), phòng chống spyware cơ bản.
HĐH này cũng xáo trộn các vị trí nạp trong bộ nhớ của các thư viện và chương
trình để gây khó khăn cho malware tấn công những tiến trình quan trọng của hệ
thống.
c. Bảo vệ PC khi chưa có bản vá.
- Từ bỏ Internet Explorer 6. Một trong những hành động tốt nhất mà
bạn có thể làm để cải thiện độ an toàn khi lướt web là tống khứ trình
duyệt đầy lỗi tai tiếng của Microsoft. Dĩ nhiên, không có chương trình
nào tuyệt đối an toàn; nhưng IE 6 dễ bị tấn công hoặc vì bản thân nó
vốn "ốm yếu", hoặc vì có số lượng người dùng đông đảo nên trở thành
mục tiêu hấp dẫn. Hãy nâng cấp lên IE 7 hay dùng trình duyệt khác
thay thế như Firefox hay Opera.
=
25