Bài giảng Tổng quan tình hình an toàn an ninh thông tin

Các tấn công mà cơ quan/tổ chức của quý vị gặp phải kể từ Sự xâm nhập hệ thống từ những người bên ngoài nhưng nắm rõ bên trong ví dụ: do nhân viên cũ còn giữ mật khẩu, … Xâm nhập hệ

An toàn Hệ thống Thông tin

Tổng quan tình hình an toàn an ninh thông tin

Mất ATTT là gì ?

• Thông tin bị những người không có quyền biết được

(wikileak…,thông tin, hình ảnh bị người khác bắt và sử dụng cho báo của họ, email, phone N# bị sử dụng cho

Bùng phát các hình thức lừa đảo mới qua nhiều phương thức

như tin nhắn SMS, email, yahoo chat, website…

Các hãng bảo mật của Việt Nam đồng loạt tung ra các giải pháp, phần mềm bảo vệ cho Mobile

Một số tờ báo điện tử lớn của VN bị tấn công trong thời gian dài

Hàng loạt các website, diễn đàn lớn của VN bị tấn công bằngnhiều phương thức khác nhau như DDOS và lấy cắp tên miền

Việt Nam đang trở thành địa bàn hoạt động của tội phạm côngnghệ cao từ nước ngoài, tội phạm CNC tăng theo cấp số nhân

Mất ATTT ngành ngân hàng tăng: các vụ việc cán bộ lợi dụng kẽ

hở trong ATTT để đánh cắp tiền; ATM skimming rất phổ biến, …

Nguy cơ lây nhiễm virus, mã độc hại, lừa đảo trực tuyến qua mạng xã hội đang ngày càng cao tại Việt Nam

Sự kiện (tiếp)

•MẤT AN NINH THÔNG TIN DO ĐÂU ?

Hệ thống của quý vị đã từng bị tấn công mạng

(Cyber Attack) hay không (tính từ 1/2011)?

• Báo cáo 2010: Tỷ lệ tuyên bố không gặp phải tấn công nào tăng mạnh

rõ số lần

Có bị tấn công

và được theo dõi đầy đủ

2011 2012

Tự tin hơn trong nhận biết tấn công Tuy nhiên khả năng nhận biết IP vẫn yếu, như vậy là các công cụ

monitoring mạnh chưa được thực thi

Các tấn công mà cơ quan/tổ chức của quý vị gặp phải kể từ

Sự xâm nhập hệ thống từ những người bên ngoài nhưng nắm

rõ bên trong (ví dụ: do nhân viên

cũ còn giữ mật khẩu,

…)

Xâm nhập

hệ thống bởi người trong

tổ chức (ví dụ: từ máy

để bàn bên trong mạng xâm nhập trái phép vào máy chủ, …)

Hệ thống nhiễm phải trojan hay rootkit (những mã độc hại - malware không tự lây lan được)

Hệ thống nhiễm phải virus hay worm (những mã độc hại - malware tự lây lan)

Các kiểu tấn công làm suy giảm hiệu năng mạng (ví dụ:

dò quét (scan) mạng với cường

độ cao gây quá tải)

Tấn công từ chối dịch vụ (DOS)

Thay đổi diện mạo, nội dung website (trang chủ)

Phá hoại dữ liệu hay hệ thống (ví dụ:

cố tình xóa

dữ liệu quan trọng, …)

Không gặp phải tấn công nào

Theo quý vị những động cơ nào được nghi ngờ là nguyên nhân

gây ra những hành động trên?

47% 12%

Không có động cơ rõ ràng (ví dụ: kẻ tấn công tình

cờ tìm thấy điểm yếu và khai thác nó)

Nhằm chiếm dụng tài nguyên hệ thống để dẫn tới

những cuộc tấn công nặc danh

Nhằm thể hiện kĩ năng tấn công Phá hoại hệ thống có chủ đích

Thù hằn cá nhân (ví dụ: nhân viên hoặc người

ngoài có thù hằn cá nhân)

Nhằm tạo lợi thế cạnh tranh thương mại (ví dụ:

tình báo công nghiệp)

Chiếm đoạt tài nguyên hệ thống của cơ quan để

sử dụng cho mục đích cá nhân Tạo nguồn thu tài chính bất hợp pháp

Không rõ động cơ

2010 2011

Tổ chức của quý vị có ước lượng được tương đối tổn thất tài chính khi bị tấn công không?

1 Khả năng đánh giá tổn thất tài chính nhìn chung vẫn ở mức thấp, không thay đổi nhiều

so với năm ngoái (chưa thực thi Đánh gía rủi ro)

2 Khi đi vào các tấn công cụ thể thì các tấn công bên ngoài như DOS, tấn công Web được

cho là hay gây tổn thất, trong khi các tấn công bên trong bị coi nhẹ (Đặc điểm tâm lý 2011?)

Tóm lại …

http://www.securityawareness.com/secnews.htm

Bằng cách nào chúng ta bị hacked?

• Để một máy tính (hay thiết bị tính toán có lập trình) bị

hacked, phải có một một ứng dụng nội gián

Là ứng dụng của ta có sơ hở và bị trở thành nội gián

không phụ thuộc vào chúng ta.

Là ứng dụng do kẻ xấu cài đặt vào máy của ta với sự giúp sức của ta.

Nếu máy tính của ta không bị đổi => chỉ có thể

lừa (phishing) để chúng ta cung cấp thông tin,

hoặc nghe thông tin trên đường truyền

=> Chúng ta có thể “sống” trong môi trường

Internet hóa với “dày đặc” tin tặc như hiện nay

(click vào link của kẻ xấu, cài phần mềm xấu)

• Lừa (phishing) => nhận biết (bằng công cụ, hiểu biết, thuê diệt web giả…) website giả

• Nghe lén thông tin trên đường truyền

=> Mã hóa dữ liệu.

Môi trường làm việc freelance

• Môi trường làm việc di động

• Sử dụng nhiều thiết bị khác nhau

• Kết quả 100% dạng số => dễ mất hết

Rủi Ro Môi Trường Wifi

Hacker

Người dùng

Trạm truy cập không dây (Access Point –

AP)

Người dùng

Người dùng

VÍ DỤ CÁC TẤN CÔNG WIFI

 Trạm truy cập AP giả mạo

Ad Hoc

Từ chối dịch vụ DoS

AP Giả

Cấu hình sai AP

Kết nối bất hợp pháp Nhầm AP  Cấu hình sai AP

 Tấn công từ chối dịch vụ

• Người dùng bất hợp pháp

• Máy trạm gia nhập nhầm AP!

• Kết nối ngang hàng wifi

Tấn công giả mạo AP

Hacker

Khai thác Thông tin từ Mạng Xã Hội

• Ngày 1/7/2012 , Mạng Xã Hội Bai du Trung Quốc đã âm thầm triển khai tại Việt Nam

• Có khả năng thu thập thông tin người dùng tại Việt Nam

• Có thể sử dụng thông tin người dùng để sử dụng cho mục đích

xấu

• Theo báo người lao động ngày 1/7/2012

•

http://nld.com.vn/20120701102825994p0c1002/baidu-tra-da-quan-bi-phan-ung-du-doi.htm

Trộm ôtô bằng máy tính xách tay

 Texas Instruments, nhà sản xuất chip RFID, bỏ qua

lời cảnh báo của nhóm nghiên cứu

Tấn công iPhone



 2007, các nhà nghiên cứu của Independent Security

Evaluators phát hiện một lỗ hổng tạo điều kiện cho kể đột nhập kiểm soát iPhone

Trình duyệt Safari của iPhone chạy với đặc quyền

admin -> phần mềm độc hại chạy với đặc quyền

500 000 trang Web bị tấn công

 2008, hơn nửa triệu Web, trong đó có

cả các trang của Liên Hợp Quốc bị tấn công

Đột nhập hộp thư Gmail



 2008, tại hội nghị Defcon hacker một nhà

nghiên cứu demo một công cụ cho phép đột

nhập vào hộp thư Gmail, ngay cả khi các phiên truy nhập hộp thư được mã hóa (https:// thay

Tin tặc đoạt quyền kiểm soát Máy chủ của IMF

2011, chiến dịch tấn công vào Máy chủ IMF

email, tài liệu một số thông tin tối mật

World Bank phải quyết định ngắt kết nối với IMF

Một số trích dẫn đáng lưu ý

- Barack Obama, 29/05/2009: “Sự thịnh

Mỹ trong thế kỷ 21 sẽ phụ thuộc vào an

gian mạng, việc đảm bảo an ninh cho

vượng về kinh tế của nước ninh có hiệu quả của không không gian mạng là xương sống

quân

ngày

mà nó làm nền vững chắc cho một nền kinh tế thịnh vượng, một đội và một chính phủ mở, mạnh và hiệu quả” “Trong thế giới nay, các hành động khủng bố có thể tới không chỉ từ một ít

sát, mà còn từ một vài cái gõ bàn

những kẻ cực đoan đánh bom tự

phím trên máy tính – một vũ khí huỷ diệt hàng loạt”.

Văn bản gốc tiếng Anh Video.

- TrendMacro: Nền công nghiệp chống virus đã lừa dối người sử

số

dụng 20 năm nay Khả năng chống virus hầu như là không thể với

lượng khổng lồ các virus hiện nay;

- McAfee: 80%

động lực là tài chính , 20% các cuộc tấn công còn lại có các mục tất cả các cuộc tấn công bằng phần mềm độc hại có đích liên quan tới tôn giáo, gián điệp, khủng bố hoặc chính trị.

cuộc chiến tranh thông thường Nếu bạn muốn đánh

cách khốc liệt thì bạn hãy đánh vào cung cấp điện

Công nghệ không gian mạng có thể làm điều này mà không cần phải

- Phyllis Schneck của McAfee: “Công nghệ mới bây giờ được tập trung

bên dưới các hệ điều hành Nó giao tiếp trực tiếp với phần cứng máy

minh để không cho phép hành vi độc hại đó Giao tiếp với phần cứng

là Hoàng Hậu trên bàn cờ - nó có thể dừng kẻ địch hầu như ngay lập tức hoặc kiểm soát được cuộc chơi dài hơn Cách nào thì chúng ta

Thông điệp : An ninh hệ thống thông tin phụ thuộc trước hết vào kiến trúc của hệ thống thông tin đó, cả phần cứng lẫn phần mềm!

Lý do và mục đích tấn công

Về chính trị: không chỉ gián điệp thông tin, mà còn phá hoại cơ sở hạ tầng

- Xung đột giữa các nước: Israel <> Syria, Palestine; Mỹ - Liên quân <> Iraq;Nga

Vào

Vào

<> Estonia, Georgia; Mỹ - Hàn <> Bắc Triều Tiên; Mỹ - Israel <> Iran

hệ thống các lực lượng vũ trang: CIA, MI6, FBI, NATO, Hải quân Ấn các hệ thống an ninh nhất thế giới: LHQ, các bộ của nhiều nước

-Stuxnet ra đời giữa năm 2010 sớm hơn dự báo

Tấn công vào các hệ thống cơ sở hạ tầng điện, nước, đường sắt, dầu khí Tại Mỹ năm 2009 có 9 vụ → 198 vụ, có 17 vụ nghiêm trọng

Stuxnet, Duqu, Flame: vũ khí KGM không thể kiểm soát, nhà nước bảo trợ WikiLeaks phơi các tài liệu mật của nhiều quốc gia

Chạy đua vũ trang trong KGM

-Về kinh tế: ăn cắp thông tin sở hữu trí tuệ, ăn cắp tiền, tống tiền

- Các tập đoàn lớn bị tấn công: Sony, Honda, Lockheed Martin, Mitsubishi

Vụ Aurora với hơn 30 công ty Mỹ như Google, Adobe, …

- Gauss, có liên quan với Stuxnet-Duqu-Flame, chuyên giám sát các giao dịch, gián điệp, ăn cắp ủy quyền và dữ liệu các ngân hàng trực tuyến

vực tài chính, ngân hàng: CitiBank, NASDAQ, Global Payments

cơ quan chứng thực số CA: Codomo, Diginotar, GlobalSign, StartSSL công ty tư vấn an ninh: Startfor, Kaspersky, Symantec

dạng lừa đảo ăn cắp và tống tiền

Một vài hình ảnh minh họa

tăng

5

đe vọt lần trong

2008,

năm bằng năm đó

với 5

trước

cộng lại.

Một vài hình ảnh minh họa

Số lượng các

các Mỹ

vụ tấn công

của càng

vào nước mạng ngày

mặt tăng chóng

Các cuộc tấn công không gian mạng của Trung Quốc vào các quốc gia trên thế giới cho tới năm 2009.

An ninh không gian mạng năm 2009 qua các con số Báo cáo của Symantec tại Ngày An toàn Thông tin VN

2010 tại Hà Nội, 23/11/2010

Số lượng các virus mới liên tục tăng thêm hơn 1 triệu loại sau mỗi 6 tháng, trong đó 99.4% - 99.8% là cho Windows ( G-Data)

Σ: 1.017.208

W: 1.011.285 W: 99.4%

Σ: 1.076.236

W: 1.071.779 W: 99.5%

Σ: 1.245.403

W: 1.239.874 W: 99.5%

Σ: 1.330.146

W: 1.324.703 W: 99.6%

Σ: 1.381.967

W: 1.378.761 W: 99.8%

Σ: Tổng số

W: Windows

Năm 2010, mỗi giây có 2 phần mềm độc hại được sinh ra Nhanh nhất phải 3 giờ đồng hồ mới có được 1 bản vá Báo cáo của TrendMacro ngày 06/04/2011 tại Hà Nội Hội thảo và triển lãm quốc gia về an ninh bảo mật

Ngày 13/07/2010 dạng phần mềm độc hại độc nhất vô nhị đã định

chiếm quyền kiểm soát hạ tầng công nghiệp Báo cáo của Symantec ngày

nguyên của Stuxnet, sử dụng 4 lỗi

Siemens để đánh què chương trình

nhân của Iran

- Không chỉ là gián điệp thông tin mà

là phá hoại các cơ sở hạ tầng sống còncòn

của mọi quốc gia như dầu/ khí/ điện/ hóa/

dược/ nguyên tử/giao thông

- Lần lượt Stuxnet;Trojan Duqu (9/2011);

Flame (5/2012); Gauss (8/2012); Narilam

(11/2012) Các phần mềm diệt virus chịu!

- Đánh cơ sở hạ tầng: trước 2010 có 9 vụ;tới 2011 có 198 vụ, 17 vụ nghiêm trọng

- WikiLeaks!

- Hàng loạt các cơ quan chứng thực (CA)

bị tấn công, DigiNotar phá sản

Báo cáo của CheckPoint ngày 23/11/2012 tại Hà Nội.

- 600%: số lượng phần mềm độc hại tăng

từ 2007-2011; 82% doanh nghiệp lớn bịbotnet

- Các cuộc tấn công bất tận vào mọi quốcgia năm 2011: Mỹ, Anh, Trung Quốc, Ấn

Độ, Nhật, Hà Lan

Một số hình ảnh về Việt Nam

Số 1 thế giới về tỷ lệ địa chỉ

nhiễm5%

IP quốc gia bịConficker

(Shadowserver

làFoundation)

Tháng ↑

11/2009

Tháng 06/2011 ↑Tháng 04/2012 →

Một số hình ảnh về Việt Nam (tiếp)

V iệt đứng số 1 Nam thế giới ở 4/5 trong tổng số

10 botnet lớn nhất thế giới năm 2009.

Một số hình ảnh về Việt Nam (tiếp)

V iệt các sinh

Nam đã có botnet được

ra từ bộ công

cụ phần mềm tạo botnet số 1 thế giới - Zeus.

Một số hình ảnh về Việt Nam (tiếp)

Botnet:

Mua vào: 5USD/1000 ch Bán ra: 25USD/1000 chiếc

Intelligence" số 2 năm 2009 Báo cáo của Finjan " Cybercrime

Cuộc chiến hacker TQ-VN lần

02-07/06/2011

thứ nhất

1 Hàng trăm (ngàn) website của 2 bên bịtấn công bôi xấu mặt, trong đó có cả cácsite của Chính phủ

2 Cuộc chiến của cộng đồng tự phát?

còn xung đột Biển Đông, chừng đó còn Chừng nào

chiến tranh không gian mạng ở VN!

Lịch sử và hiện tại Việt Nam đứng thứ 2/103 quốc gia bị tấn công với 130/1295 máy

bị tấn công trên toàn thế giới Vụ GhostNet 05/2007 - 03/2009.

Tuyên bố của Bộ TTTT: Vẫn chưa tìm ra thủ phạm tấn công Vietnamnet!

22/11/2010 - 22/11/2011

Một số hình ảnh về Việt Nam (tiếp)

BKAV BỊ TẤN CÔNG, THÁNG 02/2012

Một số hình ảnh về Việt Nam (tiếp)

V iệt Nam đứng số

thư

5 thế giới về rác độc hại vào

với tháng 09/2012

tỷ lệ là 5.95%.

Một số hình ảnh về Việt Nam (tiếp)

- Việt Nam đứng số 1 thế giới về lây nhiễm virus Enfal, với 394/874 (45%) hệ thống bị lây nhiễm tại

33 nước.

- Enfal có thể kiểm soát hoàn toàn hệ thống bị lây nhiễm.

- Một hệ thống bị tổn thương có thể kết nối tới hơn 1 máy chủ.

- Trend Macro, tháng 09/2012.

Cảnh giác với tấn công dạng Stuxnet ở Việt Nam!

* SCADA: Supervisory Control And Data Acquisition

Công cụ được sử dụng để tấn công

Phần cứng và thiết bị

- Chip, BIOS, RAM, USB & bàn phím: Cấy mã độc và BIOS - Stoned Bootkit,

vào USB, nạo vét RAM - Cold Boot,

Thiết bị viễn thông: Lo ngại của Mỹ,

Hệ thống nhúng: máy in, photocopy

nghe bàn phím (KeyLogger)

Anh, Ấn về Hoa Vĩ (Huwei) và ZTE

đa năng của Canon, Ricoh, Xerox, HP

hại gia tăng nhanh

Công cụ được sử dụng để tấn công

Phần mềm (tiếp)

- Cửa hậu gài trong Windows, các OS thương mại khác; và cả Lotus Notes

- Sử dụng các lỗi của phần mềm để tấn công: Windows, Exchange Server,

MS SQL Server, MS Office, IE, Wordpad, Windows Update Adobe Reader Flash, QuickTime, Firefox, AutoCAD FaceBook, Twitter SCADA– ICS

-Tạo ra các botnet từ vài trăm tới hàng chục triệu máy bị lây nhiễm

Mua bán các máy tính bị lây nhiễm theo vùng địa lý

Sử dụng không đúng dẫn tới mất an ninh: Sidekick

-Tần suất cực lớn, phạm vi rộng khắp, mọi lĩnh vực, mọi tổ chức

Stuxnet – Duqu – Flame – Gauss

trình hạt nhân của Iran 2 năm; Mỹ mất

Virus

Thiệt ngày càng tinh vi phức tạp hơn:hại lớn: Stuxnet đẩy lùi chương

hàng Terabyte dữ liệu; chỉ trong 6 tháng Conficker gây hại tới 9.1 tỷ USD,

Barack Obama: 2008-2009 riêng Mỹ thiệt hại do tội phạm KGM là 8 tỷ USD

Tóm lược

• Thực hiện vá (patch) kịp thời và đầy đủ (tự động ???)

• Cân nhắc kỹ trước khi click vào link hoặc cài đặt phần mềm mới Dùng PMMNM để thay thế.

• Mã hoá thông tin mỗi khi có thể: mã hóa tập tin, mã hoá thiết bị lưu trữ, xác thực khi sử dụng thiết bị, mã hoá đường truyền Sử dụng 2 phương thức kết hợp để xác thực (token+mật khẩu)

• Triển khai xóa dữ liệu từ xa đề phòng mất thiết bị.