An toàn thông tin 8 tháng năm 2014

10:16 | 05/01/2015

Đến tháng 8/2014 đã xảy ra nhiều vụ tấn công vào các hệ thống công nghệ thông tin của các cơ quan chính phủ, các tổ chức và doanh nghiệp trên khắp thế giới, trong đó có Việt Nam. Các tấn công này sử dụng thủ đoạn và phương thức ngày một tinh vi, phức tạp nhắm tới các mục tiêu cả về kinh tế và chính trị.

Tình hình ATTT trên thế giới
Các chuyên gia về ATTT trên thế giới đã theo dõi và ghi nhận những phương thức tấn công chủ yếu được hacker sử dụng như: tấn công từ chối dịch vụ DDoS, phát tán mã độc, khai thác lỗ hổng “zero day”,…. Các phương thức tấn công này đã xuất hiện khá lâu, tuy nhiên cho đến nay, các hãng bảo mật vẫn chưa có biện pháp nào để ngăn chặn triệt để, do đó tình trạng này vẫn kéo dài đến hiện tại và cả trong thời gian tới.

Tấn công từ chối dịch vụ - DDoS
Tháng 2/2014, ghi nhận đợt tấn công DDoS lớn chưa từng có xảy ra ở Châu Âu, nhằm vào công ty Cloudfare - một công ty an ninh mạng nổi tiếng với giải pháp chống DDoS cho các trang web. Đại diện công ty Cloudfare cho biết, các tin tặc đã lợi dụng một lỗ hổng trong giao thức NTP (Network Time Protocol – Giao thức dùng để đồng bộ thời gian giữa các máy tính) để tấn công. Có thời điểm, quy mô của cuộc tấn công này lên tới 400 Gbps, cao hơn so với mức DDoS kỷ lục trước đó là 100 Gbps. 

Điều đáng nói là, ngay trước khi bị tấn công, CloudFlare đã xuất bản một bài viết trên blog với các mô tả chi tiết hình thức tấn công NTP Reflection, cũng như lời khuyên để phòng tránh. Tuy nhiên, chính CloudFlare cũng không thể tránh nổi kiểu tấn công này.

NTP chỉ là một trong một vài giao thức và có thể bị lạm dụng để khuếch đại các cuộc tấn công DDoS. Hai phương thức khác cũng hay được sử dụng là DNS (Domain Name System) và SNMP (Simple Network Management Protocol). Điểm chung của các giao thức này là sử dụng một truy vấn nhỏ để tạo ra một lượng phản hồi lớn. Kẻ tấn công có thể sử dụng botnet để gửi các truy vấn giả mạo với một danh sách các DNS mở hoặc các máy chủ NTP. Những truy vấn có thể tạo ra dữ liệu giả mạo đến từ địa chỉ IP của nạn nhân và gây ra hàng loạt phản ứng từ máy chủ và khiến các máy chủ sinh ra lượng phản hồi lớn đến địa chỉ nạn nhân. Trong trường hợp này, tỉ lệ khuếch đại là 8x, có nghĩa là kẻ tấn công có thể tạo ra lưu lượng lớn hơn 8 lần so với mạng botnet bình thường có thể tạo ra. Tuy nhiên, trong trường hợp của NTP và SNMP con số này có thể lớn hơn lên đến 200x và 650x. Những vụ tấn công sử dụng phương thức NTP reflection này không còn hiếm và đang được những kẻ tấn công sử dụng ngày càng nhiều.

Bên cạnh đó, một xu hướng tấn công DDoS mới xuất hiện trong thời gian gần đây sử dụng giao thức SSDP (Simple Service Discovery Protocol). SSDP được sử dụng để phát hiện ra các thiết bị Plug & Play thông qua cổng 1900 và hiện đang được sử dụng bởi các bộ định tuyến và các thiết bị mạng. Trong quý 2, chỉ có 3 cuộc tấn công SSDP reflection được ghi nhận. Tuy nhiên, chỉ sau 3 tháng con số này đã tăng lên 29.506 cuộc.

Trong báo cáo tháng 12/2013, Symantec cho biết, họ đã quan sát được một loạt các vụ tấn công sử dụng phương thức NTP. Theo thông tin từ PCWorld, số lượng các cuộc tấn công DDoS trên toàn cầu năm 2014 đã giảm 15% so với năm 2013. Nhưng quy mô của các cuộc tấn công lại lớn hơn, ngoài đợt tấn công vào Cloudfare nói trên còn có hơn 100 cuộc tấn công đạt trên 100Gbps đã được ghi nhận.

Phát tán mã độc - malware
Mã độc là công cụ tấn công không thể thiếu của tin tặc. Theo Microsoft, cứ mỗi giây lại có 12 người dùng trở thành nạn nhân của mã độc và mạng botnet, tức là hơn 1 triệu nạn nhân mỗi ngày và gần 400 triệu nạn nhân mỗi năm. Không chỉ người dùng PC mới gặp nguy cơ bị tấn công bằng mã độc, tin tặc đang hướng đến lĩnh vực thiết bị di động để phát tán phần mềm độc hại. 

Trong 8 tháng của năm 2014, đã phát hiện nhiều virus phát tán bằng cách lợi dụng sự chủ quan của người dùng, sự lỏng lẻo của các “chợ phần mềm” cho điện thoại di dộng, máy tính bảng. Một phần mềm với tên gọi Kaspersky Antivirus đã được đưa lên chợ ứng dụng dành cho Windows Phone, trong khi đó Kaspersky Lab khẳng định họ chưa phát triển ứng dụng bảo vệ các thiết bị sử dụng Windows Phone. Mặc dù sau đó đã được gỡ bỏ nhưng cũng đã có hơn 10.000 lượt tải ứng dụng giả mạo này về máy. Một số ứng dụng có chứa mã độc khác cũng đã được Google gỡ bỏ khỏi Google Play. 

Đặc biệt, hãng điện thoại Xiaomi của Trung Quốc có cài “cổng hậu” trên các thiết bị của hãng. Một số dòng điện thoại của hãng này đã bị phát hiện gửi dữ liệu tin nhắn, cuộc gọi của người sử dụng về máy chủ đặt tại Trung Quốc trong một thời gian dài mà khách hàng không hề hay biết.

Ngoài ra, phải kể đến các mã độc được cho là do một số chính phủ phát triển có mục đích. Các mã độc này hầu hết đều có các tính năng thu thập thông tin tình báo và phá hoại mạng lưới CNTT của đối phương, chẳng hạn như: sâu máy tính Stuxnet do Hàn Quốc phát triển, nhằm mục đính tấn công các cơ sở hạt nhân của Triều Tiên. Trước đó, người ta tin rằng virus này được Mỹ và Israel xây dựng nhằm tấn công các nhà máy làm giàu nhiên liệu hạt nhân của Iran. Một biến thể của sâu Stuxnet có tên Havex được phát hiện tấn công vào các tổ chức năng lượng của Châu Âu….

Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) cũng bị cáo buộc cài đặt phần mềm gián điệp trên các thiết bị phần cứng do Mỹ sản xuất. Cụ thể, bộ định tuyến, máy chủ, các thiết bị mạng của các hãng lớn của Mỹ đều được cài phần mềm gián điệp, spyware, backdoor trước khi xuất khẩu ra nước ngoài. Trong chiều ngược lại, Mỹ đã từng tố cáo Trung Quốc cài mã độc lên các thiết bị viễn thông của hãng Huawei để thu thập thông tin.

Tấn công khai thác lỗ hổng “zero day”
Trong những tháng đầu năm, lỗ hổng “Heartbleed” (Trái tim rỉ máu) được công bố đã gây rúng động thế giới công nghệ. Lỗ hổng này nằm trong một tính năng an toàn quan trọng trong trình duyệt web – liên quan đến dữ liệu email, thông tin giao dịch ngân hàng, mua sắm trực tuyến, mật khẩu và các thông tin liên lạc cá nhân. Lỗ hổng này ảnh hưởng đến hầu hết các các máy chủ Linux chạy Apache, Nginx. Các chuyên gia bảo mật đánh giá, đây là lỗ hổng nguy hiểm nhất trên Internet từ trước tới nay.

Tháng 4/2014, hãng bảo mật FireEye phát hiện lỗ hổng “zero day” trong trình duyệt Internet Explorer của Microsoft. Lỗ hổng này cho phép kẻ tấn công âm thầm cài đặt phần mềm độc hại vào máy tính nạn nhân. Các phiên bản IE 9, 10, 11 đều bị ảnh hưởng bởi lỗ hổng này. Đến tháng 9/2014, một lỗ hổng nguy hiểm tương đương với “Heartbleed” đã được các chuyên gia bảo mật phát hiện. Mã của lỗ hổng này là CVE-2014-6271 với tên gọi là “Shellshock”. Lỗ hổng này ảnh hưởng đến tất cả các máy Linux và Unix, có tầm ảnh hưởng lớn và dễ dàng bị khai thác. Đáng chú ý, những lỗ hổng này đã tồn tại nhiều năm nay mà không có bản vá lỗi, trước khi nó được giới chuyên gia công bố rộng rãi với công chúng.

Nhiều người nhận định rằng, những cơ quan như NSA của Mỹ có cơ sở dữ liệu về hàng nghìn lỗ hổng tương tự như vậy nhưng họ giữ bí mật. Tuy nhiên, cơ quan này đã phủ nhận thông tin trên.

Tình hình chiến tranh không gian mạng
Chiến tranh không gian mạng giờ đây không còn là khái niệm mơ hồ với người dùng, nó đã xảy ra thường xuyên hơn giữa hacker của các nước khác nhau, giữa các tổ chức, doanh nghiệp là đối thủ của nhau. Trong thời gian qua, đã xảy ra những cuộc chiến tranh trên mạng như: 

- Quân đội điện tử Syria (SEA) tấn công Forbes, đánh cắp hơn 1 triệu tài khoản người dùng. Nhóm này đã lên tiếng nhận trách nhiệm về cuộc tấn công này. Ngoài Forbes, trước đó SEA cũng đã tấn công vào Skype, CNN và cả Facebook để đánh cắp thông tin tài khoản khách hàng, phục vụ cho những mục đích khác nhau.

- Bộ Quốc phòng Trung Quốc thông báo với báo giới rằng, chính phủ Trung Quốc sẽ tăng cường các biện pháp an ninh mạng nhằm chống lại các chiến dịch tấn công nhằm vào nước này từ Mỹ. Trên thực tế, nhiều năm qua Mỹ và Trung Quốc luôn trong tình trạng chiến tranh mạng, cả hai bên đều cố gắng thâm nhập vào hệ thống thông tin của các tổ chức thuộc bên kia nhằm đánh cắp, thu thập thông tin tình báo.

Chính phủ Ấn Độ cũng đã quyết định mở cuộc điều tra trên diện rộng, sau khi truyền thông nước này đưa tin tập đoàn Huawei của Trung Quốc xâm nhập vào bộ điều khiển trạm gốc của nhà mạng quốc gia BSNL.

Có thể nói, chiến tranh mạng đang là thứ vũ khí lợi hại để các quốc gia tận dụng khai thác thông tin có lợi từ các đối thủ cạnh tranh, cả về chính trị, kinh tế và an ninh quốc phòng. Theo các chuyên gia an ninh mạng, nếu chiến tranh mạng xảy ra trên diện rộng thì hậu quả của nó rất khó lường, và tác hại không kém hậu quả các cuộc chiến tranh truyền thống đã xảy ra trong quá khứ.

Tình hình ATTT tại Việt Nam
Theo thống kê trên Zone-h.org, 8 tháng của năm 2014 đã có hàng trăm trang web có tên miền .gov.vn bị tin tặc tấn công. Phần lớn trong đó là website của các sở, ban, ngành, các tỉnh, thành phố trong cả nước. Một số vụ tấn công tiêu biểu:Website của Sở Nông nghiệp tỉnh Hậu Giang bị chèn đường dẫn giả mạo, đường dẫn đến các trang web có nội dung đồi trụy; Nhân sự kiện giàn khoan HD-981, nhóm tin tặc 1937cn của Trung Quốc đã mở chiến dịch tấn công nhiều trang web của Việt Nam. Có hàng trăm website của Việt Nam bị tin tặc Trung Quốc tấn công, chiếm quyền điều khiển, thay đổi giao diện.

Bên cạnh đó, tình hình mã độc lây lan rộng cũng là điều đáng ngại, theo thống kê của Microsoft, Việt Nam có tỷ lệ lây nhiễm mã độc lên tới 50% số lượng máy sử dụng hệ điều hành Windows, cao thứ 5 trên thế giới. Nạn sử dụng phần mềm lậu là nguyên nhân chính của tình trạng mã độc lây nhiễm phổ biến trong các hệ thống CNTT của Việt Nam. Đáng chú ý, tháng 6/2014, BKAV phát hiện “Virus Biển Đông” do các tin tặc Trung Quốc viết ra, lợi dụng tình hình phức tạp trên Biển Đông nhằm lây lan và đánh cắp dữ liệu nhạy cảm.

Xu hướng an ninh mạng trong thời gian tới
Theo các chuyên gia ATTT, nguyên nhân dẫn đến tình trạng mất ATTT hiện nay hầu hết là do người dùng chưa ý thức được hết sự nguy hiểm của các vụ tấn công mạng, chưa có ý thức tự bảo vệ. Các cơ quan, đơn vị cũng chưa quan tâm đúng mức đến công tác đảm bảo ATTT cho hệ thống CNTT của mình. Bên cạnh đó, nguyên nhân mang tính chính trị cũng là động cơ của nhiều cuộc tấn công.

Tại Việt Nam, các website thường bị tấn công vào các lỗ hổng cơ bản như: SQL injection, tấn công tràn bộ đệm, dò quét mật khẩu yếu,… bởi người dùng hầu hết sử dụng các hệ điều hành, phần mềm không có bản quyền, phần mềm bẻ khóa, sử dụng các hệ điều hành lỗi thời. Các phần mềm này là nơi các hacker thường lợi dụng nhiều nhất để tấn công, khai thác lỗ hổng.

Theo đánh giá, xu hướng an ninh mạng trong thời gian tới là lợi dụng các dịch vụ điện toán đám mây để tấn công tập trung vào một số hướng sau: Các dịch vụ lưu trữ online như Dropbox, Google Disk, SkyDrive,… có thể sẽ là mục tiêu mới của hacker. Nếu hacker chiếm được quyền điều khiển một thiết bị của nạn nhân hoặc chiếm được mật khẩu của dịch vụ lưu trữ, thì chúng sẽ lợi dụng tính năng đồng bộ từ đám mây xuống máy trạm để phát tán mã độc đến tất cả các thiết bị khác của nạn nhân và những người sử dụng chung tài khoản.

- Ngoài ra, các trang mạng xã hội lớn như Facebook, Twitter, Zingme,… cũng là mục tiêu tấn công và bị lợi dụng thành công cụ phát tán mã độc máy tính nhanh chóng, spam e-mail cũng là phương pháp phổ biến.

- Tấn công có chủ đích nhằm khai thác thông tin nhạy cảm của các cơ quan Đảng, Nhà nước, Chính phủ và các doanh nghiệp cũng là xu hướng trong thời gian tới. Các cuộc tấn công này rất khó đề phòng do đã được tính toán kỹ lưỡng về kỹ thuật, chiến thuật. Đặc biệt, tấn công và khai thác các thông tin cũng như dữ liệu từ các thiết bị di động sẽ là một vấn đề nổi cộm và sẽ tiếp tục có xu hướng gia tăng.

Nhằm phòng chống, khắc phục các nguy cơ về ATTT nói trên, các tổ chức nhà nước, doanh nghiệp cần nâng cao ý thức cảnh giác đối với việc đảm bảo an toàn, an ninh mạng, đầu tư các giải pháp bảo mật phù hợp, sử dụng các phần mềm bản quyền và cập nhật các bản vá thường xuyên và chú trọng đào tạo, xây dựng đội ngũ cán bộ làm công tác an toàn, an ninh thông tin.