-
09/04/2020
-
93
-
600 bài viết
Inside Cyber Warfare - Chương X: Vũ khí hóa mã độc (Phần 3)
Chắc hẳn anh em khi đọc hết Phần 2 đều ngóng ra Phần 3 để theo dõi tiếp câu chuyện. Vậy thì mời anh em cùng "thẩm" phía dưới...
Năm 2009, Jonas đã viết một bài blog có tiêu đề “Channel Consolidation” (Tập hợp nguồn tin). Theo đó, ông đưa ra một trường hợp mà việc tập hợp nguồn tin là yếu tố cần thiết để cải thiện độ chính xác trong dự đoán (ví dụ: khi một trang du lịch trực tuyến đưa ra những gợi ý dựa trên các chuyến đi trước đây của bạn).
Jeff chỉ ra rằng việc tách biệt các nguồn thông tin là những gì chúng ta biết đến trong toàn bộ cuộc đời mình. Kể cả khi các hành động của chúng ta được ghi lại trong mỗi lần mua hàng bằng thẻ tín dụng và cuộc gọi qua điện thoại di động, nhân viên ngân hàng không biết được chúng ta ở đâu vào lúc 11h sáng ngày hôm qua, còn bác sỹ thì không được thông báo về nội dung trong hộp thư của bạn.
Tuy nhiên, việc tập hợp nguồn tin, là những gì chúng ta đang hướng tới. Theo luận điểm của Jonas, nó là một yếu tố cần thiết trong việc đưa ra các dự đoán chính xác xem bạn muốn đọc cuốn sách nào hay muốn trả tiền xem bộ phim nào. Người tiêu dùng ưa thích sự tiện lợi, còn doanh nghiệp lại thích sự hiệu quả. Các dịch vụ tình báo và thực thi pháp luật thích điều này vì những lý do bảo mật riêng.
Trong bài blog về chủ đề này, Jeff chỉ ra Facebook là một ví dụ về việc tập hợp nguồn tin sẽ được thực hiện như thế nào:
Facebook là một ví dụ tuyệt vời về việc thu thập thông tin. Tất cả thư điện tử, tin nhắn tức thời, dòng cập nhật trạng thái, các chuyến du lịch đã/đang/và sẽ diễn ra, các bức ảnh có chú thích, vòng tròn kết nối xã hội, tư cách thành viên, sở thích thể hiện bản thân và hơn thế nữa … tất cả đều được gói gọn trong một gói tin và được định danh bằng tài khoản người dùng. Theo truyền thống, các chi tiết nhỏ nhặt của cuộc sống như vậy được thể hiện trên nhiều nguồn khác nhau - không thể quan sát được với bất kỳ thực thể đơn lẻ nào. Giờ thì không còn nữa. Facebook với cái nhìn bao quát đối với người dùng của mình, giờ đây dường như về cơ bản có một bức tranh toàn cảnh về một người hơn hầu hết bất kỳ thực thể đơn lẻ nào khác.
Điều này có tác động đến mức nào? Và đây là một ví dụ: nếu bạn là một người dùng Facebook, có lẽ bạn nhận ra các quảng cáo ngày càng có liên quan đến nhau (một kiểu thông minh ma quái). Tôi đã gặp phải những quảng cáo kiểu như: “Bạn 44 tuổi, vận động viên 3 môn phối hợp (chạy bộ, bơi và đua xe đạp) và muốn có cơ bụng như thế này?” Hay như một quảng cáo đúng vào thời điểm mùa hè khi tôi đang ở Nam California có nội dung: “Bạn đang tìm kiếm một huấn luyện viên ba môn phối hợp tại quận Cam”? Nó liên quan với nhau đến mức tôi thấy khó mà không click vào quảng cáo! (Hãy yên tâm tôi sẽ kiên định).
Facebook càng có khả năng phán đoán với người dùng, dịch vụ lại càng tốt hơn, càng nhiều người thấy Facebook không thể thay thế, càng nhiều người dùng đổ xô vào nền tảng này và cuối cùng nhưng không kém phần quan trọng, càng nhiều nhà quảng cáo sẵn sàng trả tiền. Ai cũng có vẻ là người chiến thắng.
Nitesh Dhanjani, một chuyên gia bảo mật máy tính cho ngành tài chính, tin rằng vấn đề sẽ trở nên tồi tệ hơn và rằng sự riêng tư, danh tiếng, danh tính của chúng ta đang bị đe dọa.
Nitesh lấy LinkedIn là một ví dụ. Hãy tưởng tượng bạn là một nhà tư vấn có hồ sơ trên LinkedIn. Danh sách liên hệ của bạn đại diện cho tài sản trí tuệ của mình và bạn muốn bảo vệ nó khỏi những con mắt tò mò của đối thủ cạnh tranh. Đồng thời, bạn có thể chia sẻ tài sản đó theo cách đôi bên cùng có lợi. Điều này đòi hỏi cách xác thực danh tính cho mỗi thành viên, thứ vẫn chưa tồn tại trên bất kỳ mạng xã hội nào, bao gồm cả LinkedIn.
Từ quan điểm đối đầu, làm cách nào để tận dụng được tình huống này? Vì LinkedIn xây dựng cấu trúc quản lý danh tính dựa trên địa chỉ email, một cuộc tấn công phi kỹ thuật có lẽ sẽ lợi dụng được điều đó. Rất dễ giả mạo được địa chỉ email, vì vậy tất cả những gì cần làm để truy cập được vào danh bạ mục tiêu là khiến mục tiêu kết nối với một tài khoản LinkedIn giả mạo. Dưới đây là quá trình mà Nitesh đã hình dung ra:
Không dễ để tìm ra giải pháp cho tính huống khó xử này vì mạng xã hội dựa vào việc các thành viên chia sẻ thông tin với nhau và quả thực mọi người muốn chia sẻ thông tin. Cái hay của kiểu tấn công này ở chỗ nó hoạt động trên một hành vi hoàn toàn tự nhiên và được chấp nhận.
Có thể một vài cá nhân đảm nhiệm những vị trí quan trọng sẽ bị cấm tham gia những mạng lưới như vậy. Bởi ít ra, nó sẽ gây hại cho những người hay nghi ngờ về các mối quan hệ trên mạng của mình. Tốt nhất, nên đưa vào sử dụng một hệ thống xác thực an toàn hơn.
Theo hai nhà nghiên cứu Anibal Sacco và Alfredo Ortega, máy tính bị nhiễm có thể tiếp tục tấn công các máy khác mà không sử dụng bộ nhớ hoặc ổ cứng của máy chủ. Ngoài ra, vì nó chạy trước khi bất kỳ mã code nào khác chạy trên hệ thống, nó có thể cho phép kẻ tấn công hủy kích hoạt phần mềm diệt virus.
Phòng thủ trước cách thức khai thác này là công việc khó nhằn nhất. Những kẻ nghĩ ra cách thức này nói rằng lựa chọn tốt nhất để ngăn chặn ghi lên BIOS là bật tính năng bảo vệ việc “ghi” trên bo mạch chủ hoặc triển khai các BIOS đã được ký số.
Điều khiến vụ việc này trở thành độc nhất vô nhị đó là cách thực hiện: tin tặc đã sử dụng một loại mã độc của Trung Quốc cho phép chủ thuê bao dùng các botnet hàng tháng, với chi phí dao động rất ít từ 20 USD/1 tháng cho một mạng lưới rất nhỏ khoảng 10 bot đến 100 USD/1 tháng để kiểm soát 1.000 bot.
Theo một bài báo trên trang Harretz.com, ứng dụng này - chính là một loại dịch vụ cho thuê mã độc cung cấp giao diện thân thiện với người dùng, cho phép kẻ vận hành lựa chọn loại hình tấn công, tốc độ tấn công và số lượng các máy tính ma (bot).
Vào thời điểm viết cuốn sách này, bộ đếm chữ ký phần mềm độc hại trên toàn thế giới Triumfant đang hiển thị 3.704.642 chữ ký mã độc mà các phần mềm AV cần được cập nhật. Khi viết xong phần này, con số đã tăng lên 5 triệu.
Khi cuốn sách này được tái bản lần thứ 2, con số đã tăng 400% lên đến 13.930.460.
Nói một cách đơn giản, các nhà cung cấp phần mềm an ninh mạng không thể theo kịp tốc độ này. Quan trọng hơn, các bản cập nhật đến với máy tính khách hàng không đủ nhanh để đảm bảo việc phòng ngừa. Cuối cùng, cần phải ghi nhớ không có phần mềm AV nào có thể bảo vệ bạn khỏi một vụ tấn công zero-day, chẳng hạn một mẫu virus quá mới thì chưa có chữ ký AV được tạo kịp.
Điều này khiến các hoạt động Phòng thủ mạng máy tính là vấn đề cần ưu tiên trong bất kỳ chiến lược chiến tranh không gian mạng nào. Nó cũng đòi hỏi phải chấp nhận một thực tế khắc nghiệt, đó là NSA (Cơ quan An ninh Quốc Gia Mỹ) và DHS (Bộ An ninh nội địa Mỹ) không có khả năng bảo vệ cho mọi cơ quan và doanh nghiệp. Thay vào đó, những cơ quan này cần phải quyết định các mục tiêu có mức độ ưu tiên cao trong cả hai lĩnh vực quân sự và dân sự, từ đó tập trung vào việc gia cố các hệ thống này, trong khi yêu cầu giám sát 24/7 các mạng lưới riêng lẻ.
Tập hợp nguồn tin
Jeff Jonas đáng được tuyên dương khi chứng minh cách các tổ chức lớn có thể sắp xếp hàng núi dữ liệu đang tăng lên hằng ngày như thế nào và tạo ra các kết nối quan trọng, dù mục đích có là an ninh quốc gia hay duy trì khả năng sinh lời đi chăng nữa.Năm 2009, Jonas đã viết một bài blog có tiêu đề “Channel Consolidation” (Tập hợp nguồn tin). Theo đó, ông đưa ra một trường hợp mà việc tập hợp nguồn tin là yếu tố cần thiết để cải thiện độ chính xác trong dự đoán (ví dụ: khi một trang du lịch trực tuyến đưa ra những gợi ý dựa trên các chuyến đi trước đây của bạn).
Jeff chỉ ra rằng việc tách biệt các nguồn thông tin là những gì chúng ta biết đến trong toàn bộ cuộc đời mình. Kể cả khi các hành động của chúng ta được ghi lại trong mỗi lần mua hàng bằng thẻ tín dụng và cuộc gọi qua điện thoại di động, nhân viên ngân hàng không biết được chúng ta ở đâu vào lúc 11h sáng ngày hôm qua, còn bác sỹ thì không được thông báo về nội dung trong hộp thư của bạn.
Tuy nhiên, việc tập hợp nguồn tin, là những gì chúng ta đang hướng tới. Theo luận điểm của Jonas, nó là một yếu tố cần thiết trong việc đưa ra các dự đoán chính xác xem bạn muốn đọc cuốn sách nào hay muốn trả tiền xem bộ phim nào. Người tiêu dùng ưa thích sự tiện lợi, còn doanh nghiệp lại thích sự hiệu quả. Các dịch vụ tình báo và thực thi pháp luật thích điều này vì những lý do bảo mật riêng.
Trong bài blog về chủ đề này, Jeff chỉ ra Facebook là một ví dụ về việc tập hợp nguồn tin sẽ được thực hiện như thế nào:
Facebook là một ví dụ tuyệt vời về việc thu thập thông tin. Tất cả thư điện tử, tin nhắn tức thời, dòng cập nhật trạng thái, các chuyến du lịch đã/đang/và sẽ diễn ra, các bức ảnh có chú thích, vòng tròn kết nối xã hội, tư cách thành viên, sở thích thể hiện bản thân và hơn thế nữa … tất cả đều được gói gọn trong một gói tin và được định danh bằng tài khoản người dùng. Theo truyền thống, các chi tiết nhỏ nhặt của cuộc sống như vậy được thể hiện trên nhiều nguồn khác nhau - không thể quan sát được với bất kỳ thực thể đơn lẻ nào. Giờ thì không còn nữa. Facebook với cái nhìn bao quát đối với người dùng của mình, giờ đây dường như về cơ bản có một bức tranh toàn cảnh về một người hơn hầu hết bất kỳ thực thể đơn lẻ nào khác.
Điều này có tác động đến mức nào? Và đây là một ví dụ: nếu bạn là một người dùng Facebook, có lẽ bạn nhận ra các quảng cáo ngày càng có liên quan đến nhau (một kiểu thông minh ma quái). Tôi đã gặp phải những quảng cáo kiểu như: “Bạn 44 tuổi, vận động viên 3 môn phối hợp (chạy bộ, bơi và đua xe đạp) và muốn có cơ bụng như thế này?” Hay như một quảng cáo đúng vào thời điểm mùa hè khi tôi đang ở Nam California có nội dung: “Bạn đang tìm kiếm một huấn luyện viên ba môn phối hợp tại quận Cam”? Nó liên quan với nhau đến mức tôi thấy khó mà không click vào quảng cáo! (Hãy yên tâm tôi sẽ kiên định).
Facebook càng có khả năng phán đoán với người dùng, dịch vụ lại càng tốt hơn, càng nhiều người thấy Facebook không thể thay thế, càng nhiều người dùng đổ xô vào nền tảng này và cuối cùng nhưng không kém phần quan trọng, càng nhiều nhà quảng cáo sẵn sàng trả tiền. Ai cũng có vẻ là người chiến thắng.
Sự nhòm ngó của đối thủ vào LinkedIn
LinkedIn và các trang mạng xã hội khác về cơ bản là đáng tin cậy, nhưng lại không nhiều cách để xác thực điều này. Do đó, câu hỏi hiển nhiên là - Xác thực độ tin cậy này như thế nào? - vẫn là một câu hỏi khó có lời đáp.Nitesh Dhanjani, một chuyên gia bảo mật máy tính cho ngành tài chính, tin rằng vấn đề sẽ trở nên tồi tệ hơn và rằng sự riêng tư, danh tiếng, danh tính của chúng ta đang bị đe dọa.
Nitesh lấy LinkedIn là một ví dụ. Hãy tưởng tượng bạn là một nhà tư vấn có hồ sơ trên LinkedIn. Danh sách liên hệ của bạn đại diện cho tài sản trí tuệ của mình và bạn muốn bảo vệ nó khỏi những con mắt tò mò của đối thủ cạnh tranh. Đồng thời, bạn có thể chia sẻ tài sản đó theo cách đôi bên cùng có lợi. Điều này đòi hỏi cách xác thực danh tính cho mỗi thành viên, thứ vẫn chưa tồn tại trên bất kỳ mạng xã hội nào, bao gồm cả LinkedIn.
Từ quan điểm đối đầu, làm cách nào để tận dụng được tình huống này? Vì LinkedIn xây dựng cấu trúc quản lý danh tính dựa trên địa chỉ email, một cuộc tấn công phi kỹ thuật có lẽ sẽ lợi dụng được điều đó. Rất dễ giả mạo được địa chỉ email, vì vậy tất cả những gì cần làm để truy cập được vào danh bạ mục tiêu là khiến mục tiêu kết nối với một tài khoản LinkedIn giả mạo. Dưới đây là quá trình mà Nitesh đã hình dung ra:
- Tìm một cá nhân mà thành viên mục tiêu trên LinkedIn có thể quen biết nhưng vẫn chưa có tài khoản trên đó.
- Tạo một địa chỉ email với tên của cá nhân này, chẳng hạn như [email protected] (tên.họ@yahoo.com hoặc tên.họ@gmail.com). Bạn có thể cầu kỳ hơn bằng cách tạo một tên miền có vẻ giống với tên công ty mà cá nhân này đang làm việc (ví dụ: @applee.com, @apple.com, …)
- Tạo một hồ sơ trên LinkedIn với tên và địa chỉ email của cá nhân đó.
- Gửi lời mời đến mục tiêu bằng tài khoản LinkedIn mới tạo và đợi mục tiêu chấp nhận.
- Phần thưởng: những tài khoản LinkedIn khác có kết nối đến tài khoản mục tiêu sẽ nhận được thông báo rằng người này vừa thêm một bạn mới. Nếu cá nhân đó có bạn chung với những người này, họ sẽ có thể kết nối đến hồ sơ LinkedIn mới của bạn, thậm chí cung cấp cho bạn nhiều thông tin hơn về mạng lưới của mục tiêu.
- Một khi có kết nối, vòng tròn tin cậy sẽ được thiết lập và các nguồn tin bắt đầu được trao đổi qua lại, một phần là nhờ giao diện người dùng của LinkedIn và phần khác là sự nhiệt tình của các thành viên. Vì hồ sơ lừa đảo của kẻ xấu có càng nhiều kết nối thì càng đảm bảo độ tin cậy và tin tưởng, kẻ này có thể tỏ ra mình là một thành viên LinkedIn “chuẩn không chỉnh”: hướng ngoại, hòa đồng, hay giúp đỡ, nhiều thông tin, sẵn lòng cung cấp các danh sách liên hệ và giới thiệu thêm…
Không dễ để tìm ra giải pháp cho tính huống khó xử này vì mạng xã hội dựa vào việc các thành viên chia sẻ thông tin với nhau và quả thực mọi người muốn chia sẻ thông tin. Cái hay của kiểu tấn công này ở chỗ nó hoạt động trên một hành vi hoàn toàn tự nhiên và được chấp nhận.
Có thể một vài cá nhân đảm nhiệm những vị trí quan trọng sẽ bị cấm tham gia những mạng lưới như vậy. Bởi ít ra, nó sẽ gây hại cho những người hay nghi ngờ về các mối quan hệ trên mạng của mình. Tốt nhất, nên đưa vào sử dụng một hệ thống xác thực an toàn hơn.
Các cuộc tấn công bằng rootkit dựa trên BIOS
Đây là một cách khai thác mới do hai nhà nghiên cứu làm việc cho Core Security Technologies tìm ra. Mặc dù các cuộc tấn công dựa trên BIOS không còn mới, nhưng cách thức này lại “né” được phần mềm diệt virus và việc khởi động lại (reboot) máy tính bị nhiễm không loại bỏ được vấn đề.Theo hai nhà nghiên cứu Anibal Sacco và Alfredo Ortega, máy tính bị nhiễm có thể tiếp tục tấn công các máy khác mà không sử dụng bộ nhớ hoặc ổ cứng của máy chủ. Ngoài ra, vì nó chạy trước khi bất kỳ mã code nào khác chạy trên hệ thống, nó có thể cho phép kẻ tấn công hủy kích hoạt phần mềm diệt virus.
Phòng thủ trước cách thức khai thác này là công việc khó nhằn nhất. Những kẻ nghĩ ra cách thức này nói rằng lựa chọn tốt nhất để ngăn chặn ghi lên BIOS là bật tính năng bảo vệ việc “ghi” trên bo mạch chủ hoặc triển khai các BIOS đã được ký số.
Dịch vụ cho thuê mã độc
Tháng 03/2009, một số ít nhân viên của Applicure, một công ty an ninh mạng của Israel, đã phát động một cuộc tấn công tiêm nhiễm SQL nhằm vào website của Hezbollah (một tổ chức chính trị - vũ trang theo đạo Hồi của người Libanon), khiến trang này tạm thời rơi vào trạng thái ngoại tuyến.Điều khiến vụ việc này trở thành độc nhất vô nhị đó là cách thực hiện: tin tặc đã sử dụng một loại mã độc của Trung Quốc cho phép chủ thuê bao dùng các botnet hàng tháng, với chi phí dao động rất ít từ 20 USD/1 tháng cho một mạng lưới rất nhỏ khoảng 10 bot đến 100 USD/1 tháng để kiểm soát 1.000 bot.
Theo một bài báo trên trang Harretz.com, ứng dụng này - chính là một loại dịch vụ cho thuê mã độc cung cấp giao diện thân thiện với người dùng, cho phép kẻ vận hành lựa chọn loại hình tấn công, tốc độ tấn công và số lượng các máy tính ma (bot).
Phần mềm diệt virus không thể bảo vệ bạn
Tất cả các phần mềm diệt virus (AV) đều nhận diện mã độc hại dựa trên chữ ký. Nghĩa là các công ty AV như McAfee, Symantec và Kaspersky có thuật toán băm (chữ ký) để nhận diện mã độc. Vào năm 2008, có quá nhiều mẫu virus được tạo ra đến nỗi mà cứ sau mỗi 20 giây Symantec cần phải cập nhật chữ ký virus mới. Vào năm 2009, họ đã rút ngắn còn sau mỗi 8 giây.Vào thời điểm viết cuốn sách này, bộ đếm chữ ký phần mềm độc hại trên toàn thế giới Triumfant đang hiển thị 3.704.642 chữ ký mã độc mà các phần mềm AV cần được cập nhật. Khi viết xong phần này, con số đã tăng lên 5 triệu.
Khi cuốn sách này được tái bản lần thứ 2, con số đã tăng 400% lên đến 13.930.460.
Nói một cách đơn giản, các nhà cung cấp phần mềm an ninh mạng không thể theo kịp tốc độ này. Quan trọng hơn, các bản cập nhật đến với máy tính khách hàng không đủ nhanh để đảm bảo việc phòng ngừa. Cuối cùng, cần phải ghi nhớ không có phần mềm AV nào có thể bảo vệ bạn khỏi một vụ tấn công zero-day, chẳng hạn một mẫu virus quá mới thì chưa có chữ ký AV được tạo kịp.
Điều này khiến các hoạt động Phòng thủ mạng máy tính là vấn đề cần ưu tiên trong bất kỳ chiến lược chiến tranh không gian mạng nào. Nó cũng đòi hỏi phải chấp nhận một thực tế khắc nghiệt, đó là NSA (Cơ quan An ninh Quốc Gia Mỹ) và DHS (Bộ An ninh nội địa Mỹ) không có khả năng bảo vệ cho mọi cơ quan và doanh nghiệp. Thay vào đó, những cơ quan này cần phải quyết định các mục tiêu có mức độ ưu tiên cao trong cả hai lĩnh vực quân sự và dân sự, từ đó tập trung vào việc gia cố các hệ thống này, trong khi yêu cầu giám sát 24/7 các mạng lưới riêng lẻ.
Nguồn: Inside Cyber Warfare
Tác giả: Jeffrey Carr
Tác giả: Jeffrey Carr
Chỉnh sửa lần cuối: