CHƢƠNG 1 : LÝ LUẬN CƠ BẢN VỀ GIÁN ĐIỆP MẠNG SỬ DỤNG MÃ ĐỘC
3.1. Một số nguyên nhân và bài học từ các cuộc khủng hoảng
Có rất nhiều nguyên nhân gây ra những cuộc khủng hoảng an ninh mạng nêu trên, tuy nhiên có thể gộp lại thành 3 nhóm ngun nhân chính nhƣ sau:
- Một là, cơ sở hạ tầng: thiếu các giải pháp, thiết bị an ninh mạng để phát hiện, ngăn chặn các cuộc tấn cơng;
-Hai là, quy trình quản trị mạng: thiếu hoặc khơng tn thủ các quy trình quản trị;
-Ba là, yếu tố con ngƣời: thiếu ý thức, kỹ năng của ngƣời sử dụng, trình độ chun mơn sâu về bảo mật chƣa tốt của quản trị viên hệ thống mạng.
3.1.1. Về cơ sở hạ tầng mạng
Một hệ thống thông tin phải đƣợc trang bị các giải pháp bảo vệ an ninh bảo mật toàn diện từ hạ tầng tới ứng dụng, từ vùng mạng bên ngoài cho tới mạng nội bộ bên trong. Những thiếu sót về giải pháp, cơng nghệ trong các cuộc khủng hoảng điển hình ở trên gồm:
-Thiếu thiết bị an ninh mạng cơ bản nhƣ Firewall: việc thiếu hệ thống Firewall làm cho tồn bộ mạng máy tính có thể bị dị qt và khai thác lỗ hổng khi kết nối internet. Các thiết bị Firewall cần thiết để bảo vệ các cổng kết nối mạng, phải đƣợc cập nhật, nâng cấp và cấu hình phù hợp để phát huy hết tính năng. Trong các vụ việc vừa qua, có đơn vị đã trang bị hệ thống Firewall, nhƣng khơng đƣợc cấu hình phù hợp, dẫn tới bị vơ hiệu hóa tồn bộ các chức năng bảo vệ của hệ thống. Nguy hại hơn, các Firewall này cịn tạo ra tâm lý “chủ quan” vì tƣởng rằng đã có Firewall bảo vệ. Bên cạnh đó, việc sử dụng thiết bị của các nhà cung cấp uy tín cũng đóng vai trị quan trọng đối với an ninh quốc gia. Do vậy, cần kiểm tra mã độc trƣớc khi đƣa các thiết bị mạng vào triển khai. Tháng 1/2016, một lỗ hổng quan trọng trong hệ điều hành FortiOS của thiết bị Firewall hãng Fortinet đƣợc phát hiện (đƣợc sử dụng khá phổ biến ở Việt Nam), có chứa một backdoor SSH có thể đƣợc dùng để truy cập thiết bị từ xa. Trong vụ tấn công hai sân bay, khi tiến hành điều tra sự cố, các chuyên gia cũng thực sự “ngạc nhiên” vì tồn bộ các thiết bị của hệ thống thông tin ở 2 sân
bay (hệ thống server hiển thị thông tin chuyến bay và hệ thống phát thanh bị xâm nhập chiếm quyền kiểm sốt), hồn tồn thiếu các hệ thống Firewall bảo vệ vịng ngồi cũng nhƣ phân tách các vùng mạng trong và mạng ngoài. Trong khi đây là các yêu cầu tối thiểu của việc bảo mật cho một hệ thống công nghệ thông tin.
- Thiếu hệ thống phát hiện xâm nhập (IPS/IDS): các hệ thống IPS/IDS có tác dụng phát hiện các bất thƣờng trong hệ thống mạng từ đó phát hiện nguy cơ tấn cơng vào hệ thống. Trong các cuộc khủng hoảng ở trên, mã độc đã đƣợc cài cắm vào hệ thống từ nhiều năm trƣớc và khơng bị phát hiện, cho đến khi có các dấu hiệu tấn cơng rõ ràng. Việc khơng có các hệ thống phát hiện tấn công sớm, tạo điều kiện cho hacker quét lỗ hổng bảo mật, tìm điểm yếu và tìm các phƣơng thức tấn công hiệu quả vào hệ thống, xâm nhập và nâng dần quyền truy cập mà không bị phát hiện. Trong các vụ việc kể trên, hầu hết các đơn vị đều khơng có giải pháp, thiết bị phát hiện xâm nhập tấn công hiệu quả. Kết quả điều tra ở VietNam Airlines cho thấy, hacker đã chuẩn bị và xâm nhập vào hệ thống trƣớc đó 2 năm mà quản trị không biết (tên miền của máy chủ điều khiển dcsvn.org đƣợc đăng ký vào năm 2014). Việc phát hiện các cuộc tấn công APT nhƣ tấn công vào Vietnam Airlines khơng thể nhận biết bằng “mắt thƣờng” mà phải có những cơng cụ giám sát và phát hiện, cảnh báo tự động, từ đó ngăn chặn sớm việc lây lan sâu/rộng vào trong hệ thống.
-Hệ thống mã hóa tạo kênh riêng ảo khi truy cập từ xa (VPN) và xác thực an toàn: ở các vụ việc trên, hacker thƣờng tấn cơng vào máy tính của quản trị viên, từ đó tấn cơng xâm nhập
sâu hơn vào hệ thống server từ các máy của quản trị viên. Việc thiếu các biện pháp mã hóa kênh truyền và xác thực mạnh tạo cơ hội cho hacker khi đã có tài khoản vào các server, có thể dễ dàng truy cập từ xa vào bất kỳ thời điểm nào mà không bị cảnh báo. Trong vụ tấn công vào VC Corp, hacker đã xâm nhập vào hàng trăm server để xóa dữ liệu, sau khi đã xâm nhập đƣợc vào máy tính của quản trị viên và dùng danh sách tài khoản/mật khẩu để xâm nhập vào vài trăm server khác từ những thơng tin lấy đƣợc trong máy tính của quản trị viên. Điều này đƣợc thực hiện một cách khá dễ dàng vì sau khi kiểm sốt máy tính của quản trị viên, hacker đã sử dụng sniffer thu thập dữ liệu trong mạng LAN một thời gian dài và lấy đƣợc thông tin truy cập (ID và mật khẩu truy cập) vào các server trong hệ thống.
Nhƣ vậy, từ những điểm yếu trong hệ thống thông tin đã bị khai thác cho thấy, việc đầu tƣ, nâng cấp thƣờng xuyên hạ tầng mạng với đầy đủ các giải pháp, thiết bị để phát hiện, cảnh báo và ngăn chặn kịp thời các cuộc tấn công là rất cần thiết, tránh việc mua vừa thừa những thiết bị không cần thiết, nhƣng thiếu những thiết bị cốt lõi. Thực tế trung bình cần đầu tƣ từ 5- 10% tổng mức đầu tƣ hệ thống thông tin cho an ninh mạng là có thể giảm thiểu tối đa các nguy cơ tấn công vào hệ thống.
3.1.2. Về qui trình quản trị mạng
Quy trình quản lý an ninh thơng tin, quy trình quản trị là một yếu tố quan trọng trong đảm bảo an ninh thông tin. Việc thiếu hoặc thực hiện khơng đầy đủ các quy trình sẽ tạo ra các rủi ro vô cùng lớn đối với hệ thống. Trong các cuộc tấn công trên, hacker đều lợi dụng các lỗ hổng của những phần mềm phổ biến, đã có bản vá an ninh đƣợc cơng bố, nhƣng do các phần mềm này trên các máy tính của quản trị viên không đƣợc cập nhật, dẫn tới hacker dễ dàng khai thác các lỗ hổng này để xâm nhập, kiểm sốt máy tính, từ đó tấn cơng sâu hơn vào hệ thống mạng của tổ chức.
Bên cạnh đó, việc cài đặt các phần mềm khơng có bản quyền, từ các nguồn khơng tin cậy cũng là nguyên nhân bị lây nhiễm mã độc, phần mềm gián điệp. Trong các cuộc khủng hoảng nêu trên, đã có trƣờng hợp phát hiện quản trị mạng bị lây nhiễm phần mềm gián điệp từ một phần mềm quản trị mạng khơng có bản quyền, bẻ khóa.
Theo một nghiên cứu của Bkav, số đƣờng link cho phép tải về những phần mềm phổ biến miễn phí, nhƣng có chứa mã độc nhƣ Unikey, IDM (hỗ trợ download…) nhiều hơn số link “sạch”.
Việc khơng kiểm sốt hoặc kiểm sốt khơng chặt chẽ những phần mềm đƣợc phép cài đặt trên máy tính của từng nhân viên là một trong các nguyên nhân chính tạo ra lỗ hổng bảo mật trong hệ thống, tạo điều kiện cho hacker tấn cơng có chủ đích, tấn cơng sử dụng phần mềm gián điệp thành công.
Vụ tấn cơng mạng tại VCCorp là một điển hình của việc thiếu quản lý trong cài đặt phần mềm. Quản trị viên hệ thống đã tự ý tải và cài đặt một phần mềm hỗ trợ quản trị mạng mà không biết rằng phần mềm đó đã đƣợc gắn kèm phần mềm gián điệp để theo dõi máy tính của quản trị, từ đó lấy cắp thơng tin để hacker xâm nhập sâu vào hệ thống.
Bên cạnh đó, việc có nhƣng khơng tn thủ các quy định cũng là nguyên nhân gây mất an ninh mạng. Qua điều tra vụ VCCorp, ban đầu để truy cập vào hệ thống server, một hệ thống xác thực qua SMS sử dụng mật khẩu một lần (OTP – One Time Passsord) đƣợc sử dụng. Khi ngƣời quản trị cần truy cập tới một server, một mã SMS (có hiệu lực trong 1 thời gian nhất định), đƣợc gửi tới số điện thoại đã đăng ký trƣớc của quản trị viên và phải nhập mã OTP để truy cập vào server. Tuy nhiên, ở thời điểm xảy ra vụ tấn công, hệ thống xác thực qua SMS này đã bị lỗi và không đƣợc sử dụng, việc truy cập vào server đơn giản chỉ cần mật khẩu cố định và đây là ngun nhân chính cho phép hacker có thể kiểm sốt đƣợc hàng trăm server, sau khi xâm nhập thành công và lấy cắp dữ liệu từ máy quản trị viên.
Ởvụ tấn công Vietnam Airlines, vào thời điểm xảy ra sự cố, khơng có các quy trình vận hành hệ thống, quy trình ứng phó rủi ro khủng hoảng. Đối với một tổ chức lớn và nhạy cảm nhƣ Vietnam Airlines, việc thiếu quy trình quản trị an ninh mạng nhƣ vậy là một vấn đề rất đáng báo động.
Nhƣ vậy, bài học đƣợc rút ra là cần phải xây dựng và thực thi nghiêm túc, đầy đủ các quy định, quy trình quản lý mạng, quản lý an ninh thơng tin. Việc áp dụng hệ thống quản lý an ninh thông tin theo chuẩn quốc tế ISO 27001 sẽ giúp bảo vệ hiệu quả hệ thống mạng thơng qua việc xây dựng các chính sách, quy định, quy trình vận hành an ninh cũng nhƣ cơ chế đo lƣờng, đánh giá hiệu quả của các biện pháp kiểm soát.
3.1.3. Về con người: quản trị mạng và người dùng
Con ngƣời là yếu tố quan trọng nhất trong việc đảm bảo an ninh thông tin, cho dù hệ thống mạng có đầy đủ trang thiết bị, giải pháp cơng nghệ tốt nhất, có các quy trình đƣợc thực thi nghiêm ngặt, nhƣng quản trị hệ thống và ngƣời sử dụng khơng đƣợc đào tạo có đủ kiến thức vẫn có thể gây nguy cơ mất an ninh.
Trong một cuộc khủng hoảng đề cập ở trên, nguyên nhân gây mất an ninh hệ thống là do quản trị hệ thống đã cấu hình hệ thống “đi tắt” khơng qua Firewall, để hệ thống có thể chạy mà khơng phải cấu hình Firewall. Đây là một hành đơng thiếu hiểu biết và tác trách của ngƣời quản trị hệ thống.
Trong vụ tấn công mạo danh Thủ tƣớng gửi email cho phóng viên, có thể thấy ý thức của ngƣời sử dụng đóng vai trị rất quan trọng, nếu “chủ quan” mở file đính kèm có gắn mã độc, sẽ bị phần mềm gián điệp xâm nhập vào máy. Loại mã độc dạng này thƣờng sử dụng các lỗ hổng chƣa có bản vá – lỗ hổng Zero day để tấn công, nên khả năng xâm nhập khi mở file đính kèm email rất cao.
Bên cạnh đó, cách lây nhiễm mã độc diện rộng là phát tán mã độc đính kèm các ứng dụng đƣợc tải về nhiều trên internet nhƣ Adobe Flash Player, Unikey, các phần mềm diệt virus... Hacker tấn công xâm nhập vào server hosting các đƣờng link của các phần mềm tiện ích phổ biến, xóa bỏ các phần mềm này và thay bằng phần mềm tƣơng tự, nhƣng đã đính kèm mã độc, để lừa ngƣời dùng tải về. Những phần mềm này vẫn chạy đƣợc ứng dụng, nhƣng cũng đã vơ tình cài đặt mã độc trên máy tính của mình. Trong vụ tấn cơng vào báo điện tử Vietnamnet năm 2010, hacker đã xâm nhập vào website của cơng ty 3C có đƣờng link cho phép tải ứng dụng Unikey, xóa và thay bản Unikey đã bị cài mã độc, từ đó lây nhiễm vào các máy tính của nạn nhân.
Nhƣ vậy, có thể thấy trình độ chun mơn, ý thức của ngƣời dùng cũng nhƣ quản trị viên là yếu tố rất quan trọng để đảm bảo an ninh cho toàn bộ hệ thống. Ngƣời dùng
mạng cần đƣợc tham gia các khóa đào tạo về bảo đảm an ninh mạng và quản trị viên cần đƣợc trang bị các kiến thức chuyên sâu, kỹ năng quản trị mạng an toàn, phân tích, điều tra, xử lý các sự cố để kịp thời phát hiện, khắc phục một cách nhanh nhất.