Tình hình an toàn thông tin quý II năm 2015

10:04 | 01/09/2015

Trong quý II/ 2015, tình hình An toàn thông tin diễn ra qua các sự kiện tiêu biểu ở cả trong nước và nước ngoài. Cùng với đó là sự phát triển của các phần mềm độc hại, các cuộc tấn công mạng.

AN TOÀN THÔNG TIN TRONG NƯỚC

Sự kiện An toàn thông tin

Việt Nam tham dự Hội nghị toàn cầu về không gian mạng. Ngày 17/4/2015, Hội nghị toàn cầu về không gian mạng (Global Conference on CyberSpace 2015) đã diễn ra tại Hà Lan với sự tham gia của các đại biểu đến từ hơn 120 quốc gia, vùng lãnh thổ và các tổ chức quốc tế. Đoàn công tác của Việt Nam do Thứ trưởng Bộ TT&TT Nguyễn Minh Hồng làm Trưởng đoàn. Hội nghị năm nay nhằm thúc đẩy việc hợp tác, tăng cường xây dựng năng lực bảo đảm an toàn, an ninh thông tin và thảo luận về trách nhiệm của mỗi quốc gia, tổ chức trong không gian mạng. Cũng tại Hội nghị, Diễn đàn toàn cầu các chuyên gia không gian mạng (Global Forum on Cyber Expertise - GFCE) do Hà Lan đề xuất đã được thành lập. Diễn đàn GFCE nhằm tạo động lực cho việc xây dựng chính sách về ATTT; thúc đẩy các sáng kiến và cung cấp kiến thức, kinh nghiệm cho các nước thành viên; tạo nền tảng trao đổi ở cấp độ cao trong việc thảo luận xây dựng chính sách. Việt Nam là một trong 42 quốc gia, vùng lãnh thổ và tổ chức quốc tế là thành viên sáng lập của GFCE.

Việt Nam tham gia diễn tập an ninh mạng ASEAN – Nhật Bản. Ngày 20/5/2015, chương trình diễn tập an toàn thông tin ASEAN - Nhật Bản năm 2015 với chủ đề “Tấn công vào các hệ thống thông tin trọng yếu” đã được tổ chức với sự tham dự của các chuyên gia an toàn mạng đến từ 10 nước khu vực Đông Nam Á và Nhật Bản. Đây là hoạt động được tổ chức thường niên, với mục đích giúp các nước trong khu vực Đông Nam Á xây dựng phương án để ứng phó với các tình huống tấn công vào hạ tầng thông tin quốc gia, tăng cường năng lực phòng chống các cuộc tấn công an toàn mạng quy mô lớn. Tại Việt Nam, cuộc diễn tập có sự tham gia của hơn 30 chuyên gia an toàn mạng đến từ 13 cơ quan, đơn vị trong lĩnh vực CNTT.

Ủy ban Thường vụ Quốc hội thảo luận về Luật An toàn thông tin. Ngày 12/8/2015, Ủy ban Thường vụ Quốc hội đã thảo luận, cho ý kiến về dự án Luật An toàn thông tin. Các đại biểu Quốc hội đã cho ý kiến vào 6 vấn đề: Tên luật và phạm vi điều chỉnh của dự thảo Luật; bảo vệ thông tin cá nhân trên mạng; mật mã dân sự; kinh doanh ATTT; tiêu chuẩn, quy chuẩn kỹ thuật về ATTT và trách nhiệm quản lý nhà nước về ATTT. Theo đa số ý kiến đại biểu Quốc hội tại Kỳ họp thứ 9, Thường trực UBKHCN&MT đã thống nhất với Ban soạn thảo điều chỉnh tên Luật thành “Luật An toàn thông tin mạng” để phù hợp với nội dung dự thảo Luật. Phạm vi điều chỉnh của dự thảo Luật sẽ không điều chỉnh về nội dung thông tin, mà chỉ tập trung vào những vấn đề như ATTT trên mạng, kỹ thuật nhằm bảo đảm an toàn các nội dung thông tin trong quá trình truyền tải. 

Về mật mã dân sự, các ý kiến đề nghị giữ nguyên như dự thảo Chính phủ trình Quốc hội, giao cho Cơ quan mật mã quốc gia là Ban Cơ yếu Chính phủ chịu trách nhiệm giúp Bộ trưởng Bộ Quốc phòng thực hiện quản lý nhà nước về mật mã dân sự để đảm bảo sự thống nhất của hệ thống pháp luật và đảm bảo an ninh quốc gia.

Hội thảo về “Giám sát An toàn thông tin trên mạng CNTT của các cơ quan nhà nước” đã diễn ra ngày 22/4/2015, tại Hà Nội, do Ban Cơ yếu Chính phủ tổ chức. Các đại biểu tham dự Hội thảo đã tập trung vào phân tích hiện trạng hệ thống bảo đảm ATTT của các CQNN và các giải pháp tổng thể bảo đảm ATTT, trong đó hoạt động giám sát ATTT cho hệ thống CNTT của các cơ quan, tổ chức được đặc biệt quan tâm. Hiện nay, Ban Cơ yếu Chính phủ đang triển khai đồng bộ các giải pháp kỹ thuật tổng thể nhằm đảm ATTT cho hệ thống CNTT của các CQNN.

Hội nghị Sơ kết 5 năm triển khai thực hiện về Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020 đã diễn ra ngày 29/5/2015 tại Hà Nội, do Bộ TT&TT tổ chức. Hội nghị đã đánh giá, sau 5 năm triển khai thực hiện Quy hoạch, công tác đảm bảo ATTT đã có nhiều chuyển biến tích cực: Dự thảo luật An toàn thông tin đang được Quốc hội bàn bạc xem xét; Thành lập một số cơ quan, đơn vị chuyên trách về ATTT; Vấn đề đào tạo chuyên ngành ATTT bậc đại học và sau đại học đã được đẩy mạnh cùng với tăng cường đầu tư hệ thống hạ tầng kỹ thuật phục vụ đảm bảo ATTT; Đẩy mạnh việc tuyên truyền nâng cao nhận thức đảm bảo ATTT; Tích cực tham gia nhiều hoạt động hợp tác quốc tế song phương, đa phương trên phạm vi khu vực và toàn cầu. Tuy nhiên, sau 5 năm triển khai Quy hoạch, hầu hết các mục tiêu phát triển đặt ra đến năm 2015 vẫn chưa được thực hiện một cách trọn vẹn, còn bị động....

Tấn công mạng

Nhiều website Việt Nam đã bị tấn công, trong đó một có tên miền .gov.vn, thuộc các cơ quan, tổ chức nhà nước. Các dạng tấn công điển hình được ghi nhận gồm: tấn công thay đổi giao diện, tấn công chèn mã độc, tấn công chèn mã giả mạo, sử dụng botnet,….

Các cuộc tấn công của tin tặc Trung Quốc. Dấu hiệu về cuộc tấn công đầu tiên đã được hãng bảo mật Kaspersky phát hiện. Một nhóm tin tặc có tên Naikon được cho là của Trung Quốc đã tham gia hoạt động gián điệp mạng với mục tiêu là các quốc gia ở vùng biển Đông như Philippines, Malaysia, Campuchia, Indonesia, Việt Nam, Myanmar, Singapore và Nepal. Nhóm tin tặc đã sử dụng hình thức tấn công bằng cách gửi email đến nạn nhân có đính kèm tập tin độc hại. Cuộc tấn công thứ hai do hãng bảo mật FireEye phát hiện. Nhóm tin tặc APT30 bắt đầu mua những tên miền để phục vụ cho hoạt động tấn công mạng của mình từ ngày 14/3/2004. Sau đó một tháng, các tên miền này bắt đầu hoạt động, với các loại mã độc được đính kèm. Mục tiêu chính của những loại mã độc này là lấy cắp một cách có hệ thống các “thông tin nhạy cảm” từ các chính phủ, các tập đoàn và các nhà báo có liên quan đến chính phủ Trung Quốc, thuộc khu vực Đông Nam Á và Ấn Độ, trong đó có cả Việt Nam. 

Bắt giữ nhóm tin tặc chuyên đánh cắp tài khoản thẻ tín dụng. Ngày 14/5/2015, Phòng Cảnh sát Phòng chống tội phạm sử dụng công nghệ cao (PC50) Công an Hà Nội đã tạm giữ ba đối tượng về hành vi sử dụng mạng máy tính, mạng viễn thông, mạng Internet và các thiết bị số nhằm thực hiện hành vi chiếm đoạt tài sản. Các đối tượng này đều có kiến thức về an toàn mạng, thực hiện tấn công vào hệ thống quản trị mạng của điểm truy cập game, những trang web bán hàng trực tuyến… để lấy cắp thông tin tài khoản thẻ tín dụng của khách hàng. 

AN TOÀN THÔNG TIN TRÊN THẾ GIỚI

Sự kiện An toàn thông tin

Nga và Trung Quốc ký thoả thuận không tấn công mạng lẫn nhau. Theo thông báo trên website của chính phủ Nga, ngày 8/5/2015, hai nước đã ký thỏa thuận về an toàn mạng, đồng ý không triển khai các cuộc tấn công mạng nhằm vào đối tác cũng như hợp tác chống lại công nghệ có khả năng “gây bất ổn chính trị, kinh tế - xã hội nội bộ”, “gây rối trật tự công cộng” hay “can thiệp vào công việc nội bộ của mỗi quốc gia”. Bên cạnh đó, hai quốc gia này cũng đồng ý hợp tác trao đổi thông tin giữa các cơ quan thực thi pháp luật và công nghệ nhằm bảo đảm an toàn cơ sở hạ tầng thông tin.

Hội nghị EUROCRYPT’ 2015 lần thứ 34 đã được Viện Toán học và Tin học của Bulgaria và SANS (SysAdmin, Audit, Network and Security) tổ chức từ ngày 26-30/4/2015 tại Sofia, Bulgaria. Eurocrypt’ 2015 là Hội nghị quốc tế thường niên về lý thuyết và ứng dụng của kỹ thuật mật mã. Đây là một trong ba hội nghị hàng đầu của Hiệp hội Quốc tế về Nghiên cứu mật mã (IACR). Các chủ đề đã được thảo luận gồm: Bộ tạo số ngẫu nhiên, Sàng trường số, Thuật toán phân tích mã....

Hội nghị RSA USA 2015 diễn ra từ ngày 20 - 24/4/2015 tại San Francisco, Mỹ. Hội nghị là diễn đàn để các nhà mật mã thu thập và chia sẻ những kiến thức mới nhất và tiến bộ trong nghiên cứu an toàn mạng, được tổ chức thường niên từ năm 1991. Hội nghị đã có 37 báo cáo về các lĩnh vực như: phân tích điều tra số, bảo mật ứng dụng, nhà lãnh đạo bảo mật, bảo mật đám mây, ảo hoá, mật mã, bảo mật dữ liệu, luật pháp ATTT, bảo mật di động.... Bên lề Hội nghị là các khoá đào tạo của (ISC)², SANS.

Hội thảo Hack in the box security và Hack Miami diễn ra vào tháng 5/2015 đã thu hút các đối tượng tham dự là các nhà nghiên cứu về giải pháp bảo mật, kiểm thử xâm nhập... Nội dung Hội thảo đề cập tới vấn đề về an toàn thông tin, khai thác các lỗ hổng, nghiên cứu mã độc… và chia sẻ các cơ hội làm việc trong lĩnh vực An toàn thông tin.

Lỗ hổng An toàn thông tin

Sau những lỗ hổng nghiêm trọng HeartBleed, POODLE và FREAK, trong quý II năm 2015 nhiều lỗ hổng với mức độ nguy hiểm khác nhau cũng đã bị phát hiện, đó là:

Lỗ hổng VENOM đe dọa nhiều nền tảng máy ảo. Lỗ hổng bảo mật VENOM (Virtual Environment Neglected Operations Manipulation) với mã định danh CVE-2015-3456 được đánh giá là vô cùng nguy hiểm, ảnh hưởng đến chương trình điều khiển đĩa mềm trong QEMU (một bộ giả lập máy tính mã nguồn mở được sử dụng để quản lý máy ảo). Lỗ hổng này cho phép tin tặc gửi lệnh và những thông số dữ liệu đặc biệt từ hệ thống người dùng đến FDC, gây tràn bộ đệm và thực thi mã tùy ý trong tiến trình hypervisor của thiết bị đầu cuối qua một số lệnh. Nhiều nền tảng ảo hóa hiện đại bao gồm XEN, KVM và QEMU đều tồn tại lỗ hổng VENOM. Tuy nhiên, VMware, Microsoft Hyper-V và Bochs hypervisors không bị ảnh hưởng bởi lỗ hổng này.

Lỗ hổng Logjam đe doạ người dùng Internet. Lỗ hổng này là mối đe dọa cho hàng ngàn website sử dụng giao thức HTTPS, các máy chủ email và nhiều dịch vụ khác đang được sử dụng rộng rãi trên Internet, cho phép những kẻ tấn công có thể đọc và chỉnh sửa thông tin cá nhân. Lỗ hổng Logjam cho phép tin tặc thực hiện một cuộc tấn công “người đứng giữa” (MitM) để can thiệp vào các kết nối đã được mã hóa giữa người dùng với một dịch vụ web hay email sử dụng khóa 512 bit.

Lỗ hổng nguy hiểm CVE-2015-2348 trên website PHP. Lỗ hổng rất nghiêm trọng này ảnh hưởng đến các phiên bản PHP trước 5.4.39; 5.5.x tới 5.5.23; 5.6.x tới 5.6.7, cho phép tin tặc tải các tệp tin PHP lên máy chủ thông qua việc áp dụng một kỹ thuật vượt qua lớp bảo mật (bypass) cổ điển là thêm ký tự nullbyte (\x00) vào tên tệp tin, đổi tên của tệp tin .php thành .php\x00.jpg và sau đó tải lên máy chủ, lỗi trong hàm move_uploaded_file sẽ cho phép tin tặc khai thác thành công lỗ hổng này. Tệp tin tải lên có thể chiếm hoàn toàn quyền điều khiển máy chủ hoặc tấn công và kiểm soát tất cả các website khác trên máy chủ nếu máy chủ đó phân quyền không chặt chẽ.

Tấn công mạng

Nhóm tin tặc APT17 của Trung Quốc lợi dụng trang Technet của Microsoft: Công ty bảo mật FireEye đã phát hiện ra nhóm tin tặc APT17 của Trung Quốc sử dụng máy chủ điều khiển C&C dưới một danh nghĩa liên quan đến tài nguyên trực tuyến TechNet của Microsoft. Nhóm tin tặc này đã tạo ra tài khoản giả mạo trên diễn đàn của Microsoft và gắn thông tin mã hóa C&C sử dụng bởi một biến thể Trojan BlackCoffee truy cập từ xa. Các nhà nghiên cứu của RSA giải thích rằng mã độc được đính kèm vào một kết nối đã được mã hóa dẫn đến một trang web vể hồ sơ tài khoản TechNet.

Tấn công nhằm vào các cơ quan truyền thông. Kênh truyền hình TV5 Monde của Pháp đã bị một nhóm tin tặc được cho là của tổ chức “Nhà nước Hồi giáo (IS) tự xưng” tấn công vào ngày 8/4/2015. Tất cả các kênh của TV5 Monde đều không thể nhận được tín hiệu, thay vào đó, màn hình chỉ xuất hiện một màu đen không có âm thanh. Website và các tài khoản của TV5 Monde trên các trang mạng xã hội đều bị mất quyền kiểm soát và trên màn hình xuất hiện những hình ảnh liên quan tới IS. Các chuyên gia đã phải mất nhiều thời gian để giành lại quyền kiểm soát các trang web và kênh truyền hình, gỡ bỏ những thông báo của nhóm tin tặc. 

Vào ngày 12/4/2015, tin tặc đã tấn công trang mạng của tòa soạn báo hàng đầu Le Soir (Bỉ), chỉ vài ngày sau khi các tin tặc Hồi giáo “Fallaga” của Tunisia chiếm quyền kiểm soát cổng thông tin của chính quyền vùng Wallonie ở quốc gia này nhằm phản đối các hoạt động chống khủng bố.