- Dùng nguồn độc lập hay qua cổng USB
Hầu hết các sản phẩm trên thị trường hiện nay đáp ứng một số các tính năng cơ bản. Tuy nhiên, trong phạm vi dự án này nên lựa chọn sản phẩm có một số đặc điểm sau:
- Gửi ở tốc độ cao, có thể lên đến trên 1000 tin nhắn/giờ trên mỗi SIM trong điều kiện hoàn hảo.
- Giao tiếp với máy tính chỉ qua 1 cổng USB hoặc giao tiếp Ethernet. - Có nguồn cấp điện riêng.
- Có khả năng thay thế, kéo dái ăng-ten để tăng khả năng bắt sóng - Thực thi tác vụ ổn định và đều đặn, không bị treo do quá nóng. - Sử dụng ở nhiều bang tần (850, 900, 1800 & 1900 MHz )
- Có khe để nhận SIM nguyên chiếc, không phải bẻ ra để tái sử dụng SIM về sau. - Gửi các loại tin nhắn gồm Text Message, tin WapPush, tin Flash.
- Gửi với số lượng lớn đến hàng chục ngàn tin nhắn mỗi lần. - 16, 32 hoặc 64 cổng SIM.
- Có phần mềm hỗ trợ.
V.2. Phân hệ phát hiện, thu thập, cảnh báo và hỗ trợ ngăn chặn thư điện tử rác
Thư điện tử rác đang là vấn đề nhức nhối hiện nay, Việt Nam hiện nay đang là một trong 10 nước gửi thư rác nhiều nhất trên thế giới( theo thống kê của 1 số tổ chức
chống thư rác như Kaspersky Labs, Uceprotect, Spamhaus, Spamcop..). Thống kê cũng cho thấy 95% lưu lượng email là thư spam và 80% là từ mạng lưới máy tính bị nhiễm mã độc. Với tình trạng thư rác phức tạp như vậy để giải quyết vấn đề cần phải có sự kết hợp từ nhiều thành phần khác nhau như pháp lý, nhận thức người dùng, phối hợp giữa các tổ chức, các kỹ thuật ngăn chặn...
Với mục tiêu xây dựng một hệ thống điều phối hoạt động chống thư rác thì cần có các chức năng chính là thu thập dữ liệu thư rác từ các nguồn, tổng hợp số liệu để đưa ra cái nhìn chính xác và nhanh chóng nhất để sau đó tiến hành điều phối kết hợp giữa các bên liên quan tham gia xử lý các nguồn phát tán, có biện pháp kết hợp với các đơn vị chống thư rác chuyên nghiệp để nhận dạng nhiều mẫu thư rác hơn, kết hợp với các trung tâm phân tích mã độc để nhanh chóng nhận dạng mã độc và tiêu diệt nguồn phát tán.
V.2.1. Hệ thống phát hiện và thu thập thư điện tử rác
Việc phát hiện và thu thập các thư điện tử rác tại Việt Nam có thể áp dụng các biện pháp như đặt thiết bị phát hiện hành vi gửi thư rác tại đường kết nối ra Internet của các ISP, thiết lập các đầu mối nhận thư điện tử để bẫy thư rác, thu thập thư rác từ
V.2.1.1. Thu thập thư điện tử rác tại các ISP.
Cổng kết nối ra Internet của các ISP là nơi tốt nhất cho việc phát hiện thư rác. Tuy thực hiện việc giám sát tại các ISP là việc khó khăn nhưng nguồn thông tin thu thập được là rất hữu ích cho việc giám sát tình trạng thư rác toàn Việt Nam. Các thông tin thu thập được đánh giá chính xác hiện trạng thư rác ở Việt Nam, ngoài ra nó còn giúp phát hiện mạng lưới máy tính bị nhiễm phần mềm độc hại trên toàn Việt Nam. Các máy tính bị nhiễm mã độc trở thành máy tính ma(botnet) sẽ liên tục gửi thư spam theo lệnh và khi bị phát hiện sẽ được liệt vào danh sách đen. Khi tổ chức hay người dùng kiểm tra địa chỉ IP của mình với danh sách đen có thể phát hiện trường hợp hệ thống mạng nội bộ bị nhiễm mã độc phát tán thư rác.
Giải pháp phát hiện thư điện tử rác tại các ISP cần đáp ứng được các yêu cầu sau: - Do có lưu lượng traffic lớn nên phải sử dụng những biện pháp phát hiện thư rác đơn giản, linh hoạt. Điều này đảm bảo chất lượng dịch vụ cho các ISP.
- Cổng kết nối ra Internet tại các ISP có rất nhiều thông tin cá nhân do đó việc phát hiện thư điện tử rác phải đảm bảo không xâm phạm tính riêng tư của người dùng như việc đọc và lưu trữ nội dung thư điện tử.
- Việc cài đặt và vận hành hệ thống phải đảm bảo tính ổn định, sẵn sàng không gây ảnh hưởng làm gián đoạn dịch vụ.
Từ các yêu cầu trên và nghiên cứu các hệ thống thực tế trên thế giới, VNCERT xin đề xuất phương án là sao chép luồng dữ liệu ra Internet của ISP, sau đó đưa vào thiết bị giám sát. Thiết bị giám sát chỉ phân tích 3 gói tin đầu tiên của mỗi session để lấy các thông tin về câu chào mở đầu, xác nhận đây là thư điện tử từ các máy chủ thư hay từ người dùng đến máy chủ thư của mình, tên miền bị spam và tên miền gửi spam.
Việc sao chép dữ liệu phải được thực hiện bằng thiết bị chuyên dụng để chích rút dữ liệu, thiết bị này phải đảm bảo các tính năng sau:
- Có khả năng tổng hợp dữ liệu từ nhiều đường kết nối để chuyển tới thiết bị giám sát.
- Thiết bị sao chép dữ liệu phải có khả năng sao chép các luồng dữ liệu lên tới 10Gbps và có khả năng xử lý lên tới 54Gbps để đảm bảo không làm chậm tốc độ truyền dữ liệu của ISP.
- Thiết bị sao chép dữ liệu phải có khả năng lọc dữ liệu SMTP( tức dữ liệu chuyền email) đưa vào thiết bị giám sát trong trường hợp ISP không hỗ trợ lọc riêng giao thức SMTP để đẩy vào thiết bị sao chép dữ liệu.
- Thiết bị sao chép dữ liệu phải đảm bảo hoạt động liên tục và ổn định, phải có các nguồn dự phòng( ít nhất là 2 nguồn điện).
- Sử dụng các phương pháp phát hiện thư điện tử rác chủ yếu dựa trên hành vi của địa chỉ IP( IP rate).
- Thực hiện các biện pháp đơn giản để phát hiện thư rác như kiểm tra cú pháp câu mở đầu ( EHLO..), kiểm tra bản ghi PTR, MX, SPF với các địa chỉ IP nghi ngờ.
- Không đọc và lưu trữ nội dung thư điện tử.
- Truyền dữ liệu về trung tâm các nội dung thu thập được.
Với các yêu cầu trên thì các sản phẩm đang được cung cấp trên thị trường có thể đáp ứng như nTAPs, Director.. Thiết bị nTAPs cho phép giám sát dữ liệu lên tới 40Gbps và có 24 cổng giám sát. Tuy nhiên thiết bị này không có khả năng lọc dữ liệu SMTP do đó không thể sử dụng được trong trường hợp ISP không thể hỗ trợ trích xuất dữ liệu. Thiết bị Director đảm bảo các yêu cầu trên nên có thể sử dụng vào hệ thống.
Hiện nay có một số sản phẩm phát hiện thư điện tử rác tại ISP như VadeRetro,
PineApp... Sản phẩm của VadeRetro sử dụng các tính năng chính là sử dụng một MTA
làm proxy, bộ lọc spam tốc độ cao, dịch vụ unsubcribe cho người dùng. Tuy nhiên giải
pháp này chỉ phù hợp với các ISP có lượng khách hàng nhỏ. Đối với các ISP tại Việt
Nam với dải IP của mỗi ISP lên đến hàng triệu IP và băng thông hàng chục Gbps thì
giải pháp này không thể thực hiện được.
Trong khi đó sản phẩm của PineApp lại cho phép lọc thư rác tốc độ lên tới 40 triệu phiên thư điện tử một ngày. Ngoài ra tính năng quan trọng trong sản phẩm của PineApp là nó phát hiện thư rác dựa trên hành vi bất thường của các nguồn gửi thư điện tử rác như các botnet. Sản phẩm OSG sensor của PineApp là phù hợp nhất với mô hình thực tế và yêu cầu của dự án.
V.2.1.2. Thu thập thư điện tử rác bằng Spampots.
Spampot là công nghệ thu thập thư rác với mục đích tương tự như honeypot. Honeypot sinh ra để tìm hiểu các phương thức tấn công mới hoặc tự động trên mạng. Là những máy chủ được dùng với mục đích thu hút sự chú ý của tin tặc tấn công vào bản thân để phát hiện được nguồn gốc tấn công và kỹ thuật của tin tặc.
Spampot cũng tương tự như vậy, bản thân spampot chỉ là những ứng dụng có khả năng nhận thư điện tử ở cổng 25. Các máy chủ này chứa những tên miền và người dùng không sử dụng vào công việc mà chỉ phục vụ mục đích nhận thư rác của kẻ phát tán thư rác. Những địa chỉ này được công bố trên các trang web một cách tự nhiên và không đăng ký tham gia dịch vụ hoặc nhận thư điện tử từ bất cứ tổ chức nào. Những kẻ thu thập địa chỉ thư điện tử trên mạng sử dụng những công cụ tự động quét nội dung của các trang web và cập nhật vào cơ sở dữ liệu những dòng chữ có cấu trúc của một thư điện tử. Các địa chỉ này sẽ được rao bán hoặc dùng trực tiếp bởi kẻ thu thập vào mục đích gửi thư quảng cáo, lừa gạt hoặc phát tán mã độc... Khi địa chỉ thư điện tử của spampot lọt vào danh sách gửi thư của những kẻ phát tán thư rác thì những thư rác này sẽ được gửi đến spampots tự động.
Khi nhận được thư điện tử tại các spampot thì chắc chắn đó là thư điện tử rác bởi vì những địa chỉ này không được dùng trong công việc cũng như đăng ký nhận thư điện tử. Khi đó hệ thống chỉ việc tải về, phân tích thông tin những thư điện tử rác này và cập nhật vào cơ sở dữ liệu để xử lý.
Về mặt công nghệ thiết kế của spampot rất đơn giản. Hệ thống chỉ cần có các ứng dụng nhận thư điện tử (MTA) được thiết lập các địa chỉ nhận thư điện tử rác. Có rất nhiều ứng dụng MTA được phát triển gồm cả phần mềm mã nguồn đóng và mã nguồn mở. Một số phần mềm MTA mã nguồn mở nổi tiếng như sendmail, postfix, qmail... Hoặc được đóng gói gồm nhiều thành phần kết hợp lại thành một ứng dụng thư điện tử hoàn chỉnh như Zimbra, iRedmail...
Vì mục đích thu thập được càng nhiều thư điện tử rác càng tốt nên hệ thống cần sử dụng nhiều tên miền, nhiều địa chỉ email khác nhau để thu hút kẻ phát tán. Với một hệ thống spampots lớn cần đến hàng chục máy chủ spamtrap, hàng chục tên miền khác nhau. Tuy nhiên vì kinh phí hạn chế nên hệ thống chỉ cần 5 máy chủ spamtrap, một số miền chính và hàng chục tên miền con được đặt tên theo các lĩnh vực cơ quan nhà nước, ngân hàng, bảo hiểm, chứng khoán, đào tạo, xây dựng... càng đa dạng càng tốt. Vì số lượng tên miền và tài khoản rất lớn lại cài trên nhiều máy chủ khác nhau nên cần phải có một phần mềm quản lý tập trung tất cả các tài khoản này và tổng hợp các email từ các tài khoản này để gửi đến hệ thống xử lý trung tâm.
Vì phần mềm theo yêu cầu của hệ thống không có sản phẩm có sẵn trên thị trường nên VNCERT phải tự xây dựng để phù hợp với yêu cầu và tình hình thực tế.
Một trong những nguồn thu thập thư rác quan trọng là phản hồi từ người sử dụng dịch vụ thư điện tử. Khi gặp một thư điện tử với nội dung lừa đảo, xuyên tạc hay thư rác người dùng có thể hỗ trợ cho tổ chức phát hiện thư rác bằng cách chuyển tiếp thư đó dưới dạng tệp tin đính kèm tới địa chỉ tiếp nhận. Khi người dùng thực hiện thao tác này có thể mất một chút thời gian nhưng sau một thời gian khi cơ sở dữ liệu thư rác cập nhật những thư này thì việc những thư này lọt vào hòm thư của người dùng sẽ giảm đi rõ rệt.
Để thuận tiện cho người dùng trong việc phản hồi thư rác, hệ thống cần thiết kế một plugins hỗ trợ người dùng phản hồi nhanh chóng và đơn giản. Plugins này sẽ có nhiệm vụ gửi tới địa chỉ tiếp nhận một thư điện tử theo mẫu và đính kèm là email rác đã được người dùng lựa chọn. Plugins này tuy tính năng đơn giản nhưng phải đảm bảo hoạt động trên nhiều hệ điều hành, nhiều ứng dụng duyệt mail và trình duyệt để đảm bảo ai cũng có thể sử dụng plugins để phản hồi thư rác.
Các bộ lọc thư rác trên các máy chủ thư điện tử hàng ngày lọc được đến 60% thư điện tử gửi đến máy chủ thư đó. Nguồn thư rác bị lọc này nếu được thống kê thì sẽ là một nguồn dữ liệu thư rác rất lớn. Mỗi máy chủ thư điện tử sẽ giống như một thiết bị sensor đặt trong nước. Chỉ cần hàng nghìn máy chủ thư điện tử của các tổ chức trong nước gửi nguồn dữ liệu này tới trung tâm phân tích của VNCERT thì đã có một cơ sở dữ liệu thư rác khổng lồ.
Các tổ chức chống thư rác thường xuyên chia sẻ thông tin thư điện tử rác để cập nhật nhanh chóng mẫu mã và nguồn phát tán thư rác. Hiện nay tổ chức chống thư rác spamcop đang chia sẻ với VNCERT nguồn dữ liệu rất lớn về các thư rác được gửi đi từ các địa chi IP mà spamcop thu thập được. Nguồn dữ liệu này mỗi ngày lên đến hàng nghìn thư rác. Việc tổng hợp thông tin từ spamcop và các tổ chức khác là một phần rất quan trọng trong việc thu thập thông tin thư rác.
Để nhận được dữ liệu gửi về từ các nguồn thông tin trên hệ thống máy chủ thư điện tử tiếp nhận phải có hiệu năng cao để đảm bảo liên tục cập nhật các thông tin về thư rác được gửi đến. Hệ thống máy chủ thư điện tử tiếp nhận phải được thiết kế cân bằng tải để đảm bảo liên tục nhận đầy đủ dữ liệu gửi đến mà không bị gián đoạn. Ứng dụng sử dụng cho hệ thống thư điện tử có thể sử dụng các ứng dụng mã nguồn mở như Zimbra, iRedmail... Hiện nay hệ thống thư điện tử tại Việt Nam đều sử dụng Zimbra vì các tính năng hỗ trợ cũng như bảo mật của nó rất tốt, để thuận tiện trong quản lý thì tất cả ứng dụng thư điện tử trong hệ thống sẽ sử dụng Zimbra.
V.2.2. Hệ thống xử lý và lưu trữ thông tin thư điện tử rác
V.2.2.1. Hệ thống xử lý thông tin thư điện tử rác.
Sau khi thu thập được khối lượng lớn các thư điện tử rác từ các nguồn spampots, người dùng, bộ lọc thư rác và các tổ chức chống thư rác thì cần phải có các phương pháp phân tích thông tin, kiểm tra lại bằng phần mềm phát hiện thư rác và phát hiện mã độc. Thư rác từ nguồn spampots sau khi được lấy về hệ thống sẽ được tiến hành kiểm tra bằng phần mềm phát hiện thư rác và mã độc.
Thư rác từ nguồn người dùng phản hồi và từ các bộ lọc thư rác sẽ được lọc nội dung phản hồi, tách phần đính kèm(là thư rác) đưa vào kiểm tra bằng phần mềm phát hiện thư rác và mã độc.
Sau đó tiến thành lấy các thông tin cần thiết như: - Nguồn thông tin phát hiện thư rác
- Tên người phán tán và bị phát tán thư rác.
- Thông tin chi tiết về thư rác do ứng dụng phát hiện thư rác và mã độc sinh ra.
- Các thông tin khác liên quan đến thời gian và nguồn phát hiện thư rác Cập nhật vào cơ sở dữ liệu.
Vì mô hình đặc thù của hệ thống, hiện nay không có sản phẩm thương mại nào đáp ứng các yêu cầu trên nên VNCERT sẽ tự xây dựng phần mềm xử lý thông tin này.
V.2.2.2. Hệ thống lưu trữ thông tin thư điện tử rác.
Hệ thống lưu trữ thông tin thư điện tử rác là hệ thống lưu trữ thông tin tổng hợp về thư điện tử rác từ tất cả các nguồn trong đó có thông tin trực tiếp từ các sensor tại ISP và các thông tin sau khi xử lý tại hệ thống xử lý thông tin. Hệ thống bao gồm các tính
