Sau đây là sườn chính của các dạng tấn công hiện đang xảy ra:

1. Bị các lỗi bảo mật thông thường do không cập nhật bản vá.
2. Bị SQL injection do lập trình không chú trọng bảo mật.
3. Bị Cross site scripting từ những tiện ích javascript và do không kiểm soát nhập / xuất.
4. Bị đánh cắp tên miền.
5. Bị tấn công từ chối dịch vụ.


1. Bị các lỗi bảo mật thông thường do không cập nhật bản vá.

cập nhật bản vá.

Rà xuyên qua một số trang web đã bị TQ tấn công, tôi nhận thấy đa số là những trang web chạy trên hệ thống quá cũ và không được cập nhật những bản vá cần thiết. Những hệ thống như thế này cực kỳ dễ bị tấn công bởi vì các phương pháp tấn công, thậm chí những công cụ tấn công đã được công bố rộng rãi trên mạng. Tin tặc chỉ cần dùng công cụ như nmap để rà và nắm bắt được footprint (phiên bản của hệ điều hành và dịch vụ) và họ sẽ dễ dàng thực hiện biện pháp tấn công đã có sẵn. Đây chính là lý do hàng loạt các trang web của VN bị ngã gục một cách nhanh chóng và dễ dàng.

Biện pháp kiện toàn:

1. Cập nhật ngay các bản vá trên hệ điều hành.

- Nếu máy chủ được thuê từ nhà cung cấp, yêu cầu họ giúp đỡ việc cập nhật hệ điều hành trên máy chủ. Nếu họ không làm việc này (hầu hết các máy chủ thuê từ nhà cung cấp dịch vụ đều có cùng một bản chung và họ thường không hỗ trợ việc cập nhật hệ điều hành theo định kỳ), thuê ngay máy chủ mới có hệ điều hành phiên bản mới và tiến hành di chuyển trang web + csdl sang các máy chủ mới.

- Nếu máy chủ do tự mình quản lý và thuộc hệ thống mạng riêng của cơ quan, nên tiến hành cập nhật trọn bộ những bản vá cần thiết cho hệ điều hành và tất cả các dịch vụ đang hoạt động (web, mail,....). Quản lý hệ thống nhưng bê trễ chuyện cập nhật bản vá là chuyện không thể chấp nhận được.

2. Áp dụng ngay một hệ thống cản lọc.

- Nếu là một doanh nghiệp có kinh phí, nên sử dụng ngay một hệ thống "application firewall" (dạng appliance hoặc software) tuỳ nhu cầu. Nên liên lạc với nhóm tư vấn bảo mật có uy tín để họ giúp ý kiến. Web applications không nên để trần ra ngoài Internet mà không có một cơ chế bảo vệ nào.

- Nếu là một máy chủ thuê ở dịch vụ, nên hỏi xem họ có chọn lựa hoặc dịch vụ cản lọc nào không. Nếu không có, hãy tự xây dựng một hàng rào cản lọc như mod_security (chạy trên apache như một reverse proxy nhằm bảo vệ dịch vụ web bên trong.

Không có hệ thống cản lọc và không cập nhật các bản vá cần thiết thì việc bị tấn công và bị kiểm soát là chuyện không thể tránh khỏi được.


2. Bị SQL injection do lập trình không chú trọng bảo mật.

SQL injection

Đây là lỗi thường thấy nhiều đến nỗi hầu như các trang web ở VN đều bị dính. Các lập trình viên nếu tự code cũng không mấy quan tâm đến cơ chế kiểm soát truy vấn hoặc tệ hơn, code được lấy từ nhiều nơi khác nhau rồi xào nấu miễn sao chạy được là tung lên và đưa vào hoạt động. Chẳng những vậy, hầu hết các trang web lớn nhỏ ở VN bị thiếu hẳn bộ cản lọc đứng trước dịch vụ web để bảo vệ cho nên những dạng SQL injection xuyên qua các permutation sử dụng nhiều dạng encoding (urlencoding, unicodeencoding, hexencoding....) đều có thể qua mặt dễ dàng. Điều tệ hại nhất là hàng loạt các website có dịch vụ mysql hoặc mssql chường ra Internet mà không có gì bảo vệ cả. Từ chỗ thực hiện sql injection, tin tặc có thể dễ dàng khống chế cả CSDL và việc deface hoặc xoá trọn bộ thông tin trên CSDL là việc không mấy khó khăn.


Biện pháp kiện toàn:

1. Đề nghị nhà cung cấp dịch vụ bịt kín cổng dịch vụ đến CSDL. Họ phải có trách nhiệm với việc này vì khách hàng bình thường hoàn toàn không có quyền can thiệp. Nếu dịch vụ CSDL thuộc hệ thống do mình tự quản lý, tìm cách đưa CSDL vào bên trong và bảo vệ nó bằng firewall hoặc những biện pháp cản lọc cần thiết khác (ví dụ chỉ cho phép một số IP bên trong được truy vấn trực tiếp đến CSDL..).

2. Rà soát kỹ lưỡng code của ứng dụng web và kiện toàn trên tầng coding. Đây là việc làm khó khăn và tốn thời gian nhưng không làm thì không có cách gì bảo mật hết. Ít nhất cũng nên áp dụng một tầng "application firewall" như mod_security và ấn định bộ luật chống SQL injection. Bộ luật ấy có thể cản lọc ít nhất 90% những dạng tấn công SQL injection thông thường và làm cản trở không ít những permutation cao cấp hơn. Nếu không nắm vững SQL injection là gì thì nên tìm một số thông tin về SQL injection để nghiên cứu và làm quen. Một lập trình viên giỏi là một lập trình viên không những code gọn gàng mà còn có thể tạo ứng dụng hiệu suất và bảo mật.

3. Đối với các doanh nghiêp và các công sở, nên có các kế hoạch rà soát theo định kỳ, cập nhật bản vá và trước khi đưa ra bản cập nhật mới của ứng dụng web, cần phải thử nghiệm thật kỹ lưỡng (nên tạo ra một bản test plan cẩn thận và chi tiết để thực hiện).

Nên nhớ, bảo mật luôn luôn mất thời gian và tốn kém nhưng nếu không kiện toàn bảo mật thì độ thiệt hại còn tốn kém hơn rất nhiều. Nếu hình thành trang web nhưng không có nhu cầu cấp thiết hoặc không có kinh phí để bảo vệ và kiện toàn nó thì không nên tạo ra trang web vì đó là sự lãng phí vô ích.


3. Bị Cross site scripting từ những tiện ích javascript và do không kiểm soát nhập / xuất. 

Cross site scripting

 

Cross site scripting (XSS) là dạng thâm nhập phổ biến nhất trên web. Bất cứ các biến cố (event) nào đươc javascript tạo ra (ví dụ như onClick, onMouseOut, onLoad....) đều có thể dùng để phát động một hàm của javascript nhằm đánh cắp xuất truy cập hoặc thậm chí trọn bộ HTTP header. Từ những thông tin này, tin tặc có thể truy cập vào mục tiêu với chủ quyền của người bị đánh cắp xuất truy cập và từ đó có thể mở rộng biên độ tấn công.

Rất nhiều người xem nhẹ dạng tấn công này do không hiểu rõ tính chất của nó hoặc do cố tình làm ngơ. Tương tự như SQL Injection, dạng tấn công XSS này nằm trên tầng web và các permutation đều xoay quanh phương thức encoding URL cho các đường dẫn (href link). Quản lý trang web nên xét kỹ và kiện toàn những điểm sau:

1. Trên dịch vụ web, cookie cho session nên dược set ở dạng httpOnly. Hầu hết các ngôn ngữ lập trình web đều có hàm riêng biệt để set response hoặc set Cookie và bằng phương tiện này, httpOnly được ấn định. Ngày nay, đa số các trình duyệt đều hỗ trợ "httpOnly" và đây là biện pháp hữu hiệu để ngăn cản tình trạng đánh cắp cookie và session. Lập trình viên cũng cần chú ý chuyển đổi trọn bộ HTML thành "html entities" thay vì để nguyên các HTML tag như <>. Đặc biệt chú ý những khu vực "href" nhằm phòng chống tình trạng XSS. Nếu không nắm vững nguyên tắc, nên tìm vài tài liệu đặc thù về vấn đề này để tham khảo. OWASP www.owasp.org) là trang web có đầy đủ các thông tin về khía cạnh này.

Nếu người dùng có cơ hội nhập dữ liệu (ví dụ như diễn đàn cho phép thành viên gởi bài hoặc blog cho phép comment) thì ngay nơi nhập dữ liệu (đường vào) phải được kiểm soát chặt chẽ để chuyển hoá trọn bộ thông tin thành "html entities" trước khi nhập vào CSDL.

2. Trên trình duyệt, người dùng nên cài những tiện ích như "NoScript" nhằm cản lọc và giới hạn các javascript được thực thi ngầm. Người dùng cũng có thể sử dụng 2 trình duyệt song song với nhau. Một trình duyệt dùng để đăng nhập hẳn hòi, một trình duyệt hoàn toàn không đăng nhập. Tất cả các đường dẫn nên copy và dán vào trình duyệt không đăng nhập để xem. Bằng cách này sẽ giảm thiểu tình trạng bị XSS.

Người dùng cũng nên tập thói quen xác định đường dẫn có chứa gì khả nghi hay không. Nếu đường dẫn trỏ đến một trang web khác (không phải trang web mình tin cậy và thường duyệt), nên cẩn thận xem xét trước khi bấm. Có những đường dẫn được encoded theo dạng base64 hoặc vài combination nào đó nhằm che giấu nội dung mờ ám, nên tránh xa những đường dẫn ấy bởi vì các trang web hợp lệ và thông thường không sử dụng những thủ thuât ấy. Đặc biệt đối với những người làm công tác quản lý, tuyệt đối không nên đăng nhập vào một account quan trọng và tiếp tục duyệt web. Chỉ nên đăng nhập vào account quan trọng, hoàn tất công việc và thoát ra.


Cách an toàn nhất có lẽ là tạo một máy ảo (vmware player hoặc virtualbox) và cài một hệ điều hành hoàn toàn sạch có cài antivirus và các ứng dụng chống malware. Trên máy ảo này chỉ dùng để đăng nhập vào những account quản lý quan trọng. Thực hiện xong là thoát ra ngay. Tuyệt đối không dùng máy ảo ấy để duyệt web đại trà.


4. Bị đánh cắp tên miền.

đánh cắp tên miền.

Đánh cắp tên miền cũng là phương pháp tấn công, đặc biệt cho mục đích defacing. Tính bảo mật của tên miền phụ thuộc vào nhiều yếu tố như sự bảo mật của registrar, sự bảo mật của hòm thư đăng ký tên miền.... Nếu hòm thư đăng ký tên miền bị mất cắp thì cơ hội tên miền ấy dễ dàng bị mất cắp rất cao. Tên miền bị mất cắp phần lớn do thủ thuật phishing, xss... chủ yếu là tổ hợp tấn công vào người dùng nhẹ dạ hoặc gần đây, phương thức cài trojans và keyloggers để đánh cắp password cũng là phương thức bắt đầu phổ biến. Nếu tên miền bị mất thì cơ hội bị deface sẽ lâu dài (ít ra cho đến khi nào tên miền được phục hồi).

Để kiện toàn bảo mật tên miền, nên chú trọng các điểm sau:

1. Chọn một registrar có uy tín (về vấn đề bảo mật và xử lý hành chính). Một registrar càng lớn, có công cụ quản lý trên web càng phức tạp thì cơ hội bị lỗ hổng bảo mật càng nhiều. Nếu tên miền có giá trị quan trọng đến doanh nghiệp, nên sử dụng chọn lựa quản lý trực tiếp mặt đối mặt (in person) thay vì xuyên qua web. Tất cả mọi thay đổi trên tên miền chỉ nên được thực thi khi có giấy tờ chứng minh chủ quyền (bằng lái, biên nhận mua tên miền....v...v...). Tên miền nên luôn luôn áp dụng tình trạng "Registrar Lock". Không nên để ở trạng thái "OK".

2. Tuyệt đối không bao giờ dùng hòm thư miễn phí (như yahoo, gmail...) để đăng ký tên miền. Nếu không có chọn lựa nào khác, nên dùng gmail và sử dụng tính năng 2 factors verification của gmail để bảo vệ hòm thư của mình. In ra các giao dịch đăng ký tên miền hoặc tải về và lưu trong một USB nào đó để cất kỹ rồi xoá hết trọn bộ các thông tin liên quan đến việc đăng ký tên miền trong hòm thư gmail.

3. Cũng như phần XSS, nên sử dụng một máy ảo để thao tác việc đăng nhập vào hòm thư quan trọng dùng để đăng ký tên miền cũng như control panel của tên miền. Thao tác xong là thoát ngay và tuyệt đối tránh duyệt web đại trà trên máy ảo ấy.

4. Theo dõi thường xuyên tình trạng của tên miền xuyên qua tiện ích whois. Việc này có thể làm bằng tay hàng ngày hoặc tự động bằng cách viết một script tự động để thực thi "whois" trên command line. Nếu tình trạng tên miền bị thay đổi (ví dụ như từ "Registrar Lock" chuyển sang "OK", hoặc email dùng để đăng ký tên miền bị thay đổi) thì cảnh báo ngay xuyên qua email hoặc SMS, tuỳ cách ứng dụng. Thông thường, việc chuyển tên miền từ một registrar này sang một registrar khác cần thời gian và cần sự xác nhận. Bởi vậy, ngay khi tình trạng của tên miền bị thay đổi, phải liên hệ ngay với registrar bằng mọi cách (kể cả gọi điện trực tiếp) để ngăn chặn tình trạng tên miền bị chuyển đi nơi khác.


5. Bị tấn công từ chối dịch vụ.

DDoS

Đây là dạng tấn công trở nên cực kỳ phổ biến trong những năm gần đây. Các mục tiêu bị tấn công từ chối dịch vụ thường là những mục tiêu không thể thâm nhập, deface, xoá dữ liệu.. một cách nhanh chóng và dễ dàng. Bởi vậy, nếu không bị những dạng tấn công như đã nêu ở trên thì cơ hội bị tấn công từ chối dịch rất cao. Với tình trạng "botnet for sale" lan tràn, hiểm hoạ DDoS chắc chắn sẽ không dừng lại mà sẽ tiếp tục lan rộng với cường độ càng lúc càng lớn. Đứng trước vấn nạn DDoS, đây là những việc nên làm để giảm thiểu dung hại (bởi vì không có cách nào khắc chế DDoS 100% được).

1. Gia tăng băng thông và tài nguyên trên hệ thống là điều đầu tiên cần làm bởi vì DDoS nhắm vào hai trọng điểm: a) làm cạn kiệt tài nguyên của nạn nhân (trên 1 hoặc nhiều máy chủ) và b) làm bão hoà đường truyền. Nếu có thể, nên tạo hệ thống cân bằng tải trên nhiều network khác nhau và cách đơn giản nhất là tạo reverse proxy trên nhiều server. Mỗi proxy ấy nằm trên một network (của data center) khác nhau. Sử dụng DNS round robin để buộc các requests đi từ zombies sẽ xoay vòng đến các IP khác nhau của những reverse proxy mà mình đã thiết lập. Đây là cách gia tăng băng thông hữu hiệu nhất bởi vì nó không làm nặng nề một network nào cả. Tất nhiên, biện pháp này sẽ tốn kém hơn là chỉ cung cấp dịch vụ trong một data center.

2. Nhận diện dạng DDoS. Đây là chìa khoá quan trọng cho việc hình thành biện pháp khắc phục tình trạng trì trệ do DDoS tạo ra và tạo điều kiện cho người dùng thực sự có cơ hội sử dụng dịch vụ. Mỗi dạng DDoS có dấu hiệu và đặc tính khác nhau cho nên việc nhận diện DDoS là điều quan trọng đứng sau việc gia tăng băng thông và tài nguyên. Băng thông và tài nguyên luôn luôn có giới hạn nhất định cho nên việc nhận diện dạng DDoS giúp cản lọc và tách rời chúng một cách hữu hiệu. Cách tổng quát để nhận diện dạng DDoS là sử dụng packet sniffer (như tcpdump trên *nix hoặc Wireshark trên hầu hết các hệ điều hành) để nắm bắt các gói tin đi vào hệ thống. Sau đó phân tích đặc tính của chúng (kích thước gói tin, biên độ tấn công, cường độ tấn công tính theo khoảng thời gian nhất định và nếu DDoS là dạng tấn trên web thì cần nắm bắt URL nào [hoặc biến thái của chúng] được sử dụng để tấn công).

3. Sử dụng mọi phương tiện cản lọc từ tầng IP lên đến tầng application. Không có một luật nhất định nào cho việc cản lọc này hết mà phải tuỳ hoàn cảnh, tuỳ dạng DDoS mà hình thành biện pháp cản lọc trên các tầng giao thức.

- Nếu bị tấn công với lượng traffic quá lớn, bạn cần sự trợ giúp của nhà cung cấp dịch vụ để hỗ trợ cản lọc ở tầng định tuyến bìa (border router). Ở tầng này, có nhiều phương pháp cản lọc khác nhau tuỳ loại thiết bị và tuỳ ứng dụng công nghệ của từng data center. Cách thông thường nhất là cho vào "lỗ đen" những gói tin đi từ một IP đổ vào dồn dập. Thậm chí có những data center cản hoàn toàn traffic đi đến một mục tiêu (nạn nhân) nào đó thuộc network của họ đã giảm thiểu ảnh hưởng đến những hệ thống khác.

- Trên tầng IP có thể cản hẳn IP hoặc hẳn network mà bạn không muốn họ truy cập (vì hầu hết những IP ấy chỉ dùng để tấn công), trên tầng IP cũng có thể cản lọc dựa trên tầng số tấn công (bao nhiêu gói tin trong 1 đơn vị thời gian nào đó). Trên tầng IP của chính các hệ thống do mình quản lý, cản lọc có thể đi từ chỗ giới hạn số lượng SYN đi vào (trong một khoảng đơn vị thời gian nào đó) cho đến việc cản lọc hoàn toàn các IP đi quá giới hạn thông thường (vì không có người dùng nào đọc nhanh và liên tục đến độ phải request liên tục). Sự cản lọc có hệ thống và có logic trên tầng IP giúp bảo tồn tài nguyên của hệ thống ngay cả đã áp dụng phương pháp load balancing như đã nêu ở trên.

- Nếu bị tấn công cụ thể ở dịch vụ web (rất thường thấy) thì ngoài việc cản lọc trên tầng IP, việc cản lọc cụ thể trên tầng 7 (của mô hình OSI) là việc quan trọng và cần thiết để giảm thiểu tình trạng tạo load trên hệ thống máy chủ. Tấn công DDoS trên web rất đa dạng. Nó có thể trải dài từ dạng DDoS dồn dập vào index.html hoặc "/" (trang bìa của website) cho đến những dạng biến thiên ngẫu nhiên như /?a=123, /?a=345.... nhằm qua mặt hệ thống phòng thủ. Ngoài ra, để góp phần qua mặt hệ thống phòng thủ, các hệ thống botnet ngày nay còn tinh xảo đến mức có khả năng tạo "User-Agent" ngẫu nhiên và hoàn toàn hợp lệ. Dù gì đi chăng nữa, nguyên tắc "số lần truy cập trong 1 đơn vị thời gian" vẫn được áp dụng ở biên độ này. Một lần nữa, "application firewall" như mod_security có thể giúp bạn việc này. Thậm chí nó có thể "báo" với hệ thống tường lửa những IP vi phạm nguyên tắc (màu đỏ) trên và cản lọc chúng trong một khoảng thời gian nào đó.

Ngoài nguyên tắc (màu đỏ) ở trên, lắm khi cũng có những dạng DDoS có dấu hiệu rất đặc thù trong HTTP header và dấu hiệu ấy có thể được mod_security nhận diện và xử lý một cách gọn nhẹ.

Ngăn chặn và giảm thiểu DDoS là việc rất khó khăn bởi vì không có một thiết bị hoặc một giải pháp đơn giản và dễ dàng nào có thể thực hiện được. Bởi vậy, nếu bị tấn công và nhắm thấy không đủ khả năng tự bảo vệ, nên liên hệ với các nhóm tư vấn bảo mật đáng tin cậy để họ giúp đỡ.
Giúp giảm thiểu hiểm hoạ tấn công từ chối dịch vụ.

Botnet sẽ không có tác dụng nếu như không có zombies. Chính bản thân người dùng phần lớn không hề biết máy của mình bị biến thành zombie, đặc biệt đối với những người có giới hạn kiến thức máy tính và mạng. Đây là tóm lược những dấu hiệu máy tính bị biến thành zombie:

1. Máy khởi động chậm hơn bình thường.
2. Thao tác trở nên ì ạch và có những dấu hiệu bất thường (như các chương trình bị treo bất chợt).
3. Truy cập net chậm.
4. Không duyệt web nhưng khi thực thi lệnh: netstat -na thì thấy liệt kê ra hàng loạt các network connections đến một (hoặc nhiều IP) khác nhau.
5. Không thể cập nhật chương trình chống virus hoặc không thể thực thi công tác rà quét virus.

Có những dạng DDoS không trực tiếp biến máy tính thành zombies bằng cách cài mã độc lên máy nhằm "sai khiến". Dạng x-flash trước đây (đã từng tấn công HVA trong thời gian dài) là một điển hình "mượn tay" người dùng để tấn công các nạn nhân khác mà không biến máy của họ thành zombie xuyên qua việc cài mã độc. Ở dạng này, một số trang web đông người viếng bị cài x-flash và khi người dùng viếng trang web ấy, trình duyệt của người dùng sẽ liên tục gởi "requests" đến nạn nhân (được ấn định trong x-flash hoặc nhận chỉ thị từ nơi khác xuyên qua x-flash). Trong trường hợp này, vận tốc lướt web luôn luôn chậm hơn bình thường, thậm chí rất trì trệ. Nếu quan sát kỹ thì sẽ thấy thanh "status bar" liên tục hiển thị trình duyệt đang request đến một trang nào đó chớ không phải trang mình đang viếng.

Đối với network administrators, nếu theo dõi băng thông và lưu lượng sử dụng Internet thường xuyên, network administrators sẽ nhận thấy gia tăng đột biến. Trong trường hợp này, Wireshark là công cụ thích hợp dùng để sniff traffic lên switch level để xác định những IP nào trong nội mạng có dấu hiệu hoạt động như một zombie. Những máy ấy cần tách rời và xử lý ngay.

Đối với người dùng bình thường, nên tránh:

- Viếng các trang web không trong sáng (có liên quan đến những hoạt động mang tính bất hợp pháp hoặc có biểu hiện tương tự). Những trang web đã bị defaced hoặc chứa thông tin mang tính "nóng sốt" để câu khách.

- Không cài và sử dụng các software đã được cracked vì không có gì bảo đảm không có mã độc bị nén chung.

- Không mở các tập tin đính kèm từ email nếu không xác định được người gởi có đáng tin hay không. Ngay cả người gởi là bạn bè hoặc gia đình đi chăng nữa, cũng nên cẩn thận khi tải tập tin đính kèm và mở nó ra vì đây là phương tiện phát tán mã độc phổ biến nhất.

- Không tải và sử dụng các công cụ "vạn năng" nào đó để làm những việc mờ ám (như hack game, hack máy tính....) bởi vì chẳng có công cụ nào có những khả năng như vậy.

Nói cho cùng, chính người dùng bị thiệt hại trước khi nạn nhân nào đó bị thiệt hại do DDoS bởi vì một khi đã trở thành zombie thì cơ hội bị dính trong tình trạng zombie trong một thời gian dài (cho đến khi được phát hiện và sửa chữa hoặc cài lại máy).     

nguồn : conmale ; Từ :http://www.hvaonline.net/hvaonline/posts/list/39049.hva

Năm 2010 được coi là năm đánh dấu sự quay trở lại của virus phá hủy dữ liệu và dự báo sẽ trở thành mối đe dọa lớn đối với dữ liệu của người dùng, cũng như doanh nghiệp trong thời gian tới. Đây sẽ trở thành nỗi ám ảnh với các doanh nghiệp trong việc bảo vệ dữ liệu kinh doanh.

Sự biến hóa của virus

Không giống như 10 năm về trước, virus được tạo ra chủ yếu với mục đích gây sự chú ý hoặc tạo những trò đùa chơi. Ngày nay virus đã phát triển muôn hình muôn vẻ với nhiều mục đích tấn công khác nhau như đánh cắp thông tin cá nhân để kiếm lời, bôi xấu danh tính nạn nhân và thậm chí còn hủy hoại dữ liệu, tấn công với mục đích chính trị,…

Năm 2010, đã có gần 60 triệu máy tính bị nhiễm virus tại Việt Nam. Đã có hơn 57.000 dòng virus mới xuất hiện. Trong đó, virus lây lan nhiều nhất là Conficker với 6,5 triệu lượt máy tính bị nhiễm. Có hơn 1,4 triệu lượt máy tính bị nhiễm dòng virus giả mạo thư mục, giả mạo file ảnh, file MS Word, Excel...

Điều này đã được Tiến sĩ Nguyễn Viết Thế, Cục trưởng Cục Tin học nghiệp vụ (Tổng cục Hậu cần – Kỹ thuật, Bộ Công an) khái quát tại Hội thảo, triển lãm quốc gia về An ninh bảo mật 2011 diễn ra ngày hôm nay (5/4). Theo Tiến sĩ Thế, năm 2010 đã đánh dấu sự quay trở lại của virus phá hủy dữ liệu. Cụ thể, trong năm 2010 đã phát hiện những đợt virus phá hủy dữ liệu với các hình thức tấn công đơn giản như xóa, ghi đè dữ liệu. Trong đó bài học đắt giá nhất phải kể đến vụ trang báo điện tử VietNam bị tấn công kéo dài. Chúng đã phá hủy hầu như gần hết CSDL đã lưu trữ 10 năm của trang báo này.

Tuy nhiên, xu hướng tấn công phá hủy dữ liệu được dự báo sẽ tiếp tục trở thành mối đe dọa lớn đối với người dùng trong thời gian tới. Các dòng virus phá hủy dữ liệu mới được trang bị các kỹ thuật lây lan nhanh qua Internet, nên tốc độ phát tán nhanh hơn những virus phá hủy dữ liệu trước đây, điển hình hai loại virus phá hoại mới W32.Delfile.Worm và W32.FakeStuxer. Do vậy, mức độ nguy hiểm sẽ cao hơn rất nhiều.

Mặt khác, tốc độ lây lan rất nhanh, sự phá hoại của virus giờ đây không đơn giản chỉ là phá hoại máy tính và đánh cắp thông tin cá nhân hay thẻ tín dụng của người dùng, mà nghiêm trọng hơn đã chuyển hướng sang các hạ tầng công nghiệp của các quốc gia, điều này thực sự nghiêm trọng và đáng báo động. Điển hình như vụ Virus Stuxnet tấn công nhà máy hạt nhân của Iran.

Trước tình hình thực trạng bảo mật hiện nay, ông Thế nhận định, năm 2011 sẽ tiếp tục là năm nóng về an ninh mạng, trong khi đó mạng Internet Việt Nam vẫn còn tiềm ẩn rất nhiều nguy cơ về mặt an toàn thông tin.

Giải pháp ngăn chặn

Nguyên nhân gây ra mất an toàn thông tin ở Việt Nam được nhận định là do thói quen người Việt thường sử dụng các phần mềm không có bản quyền, dùng tùy tiện phần mềm bẻ khóa. Trong khi đó, các phần mềm đó thường  tiềm ẩn rất nhiều lỗ hổng, các backdoor (mở cửa cho tội phạm mạng xâm nhập vào).

Hơn nữa, các doanh nghiệp chưa thực sự thấy được hiệu quả đầu tư vào vấn đề bảo mật nên thường không chú trọng đầu tư nhiều. Vì vậy, các giải pháp an toàn thông tin vẫn còn thấp, chưa toàn diện. Hơn nữa, ông Thế cũng khẳng định cần phải có một người quản trị CSO trong các tổ chức. Tuy nhiên, hiện nay các tổ chưc nhỏ thường bỏ qua đội ngũ này và phó mặc cho các nhà cung cấp dịch vụ.

Trong khi đó, ông Stefan Tanase, nghiên cứu an ninh cấp cao của hãng bảo mật Kaspersky cho rằng, ý thức của nhân viên về bảo mật thông tin cho đơn vị của mình chính là lỗ hổng để các tin tặc tấn công vào doanh nghiệp.

Vì vậy, để đảm bảo an toàn thông tin thì cần xây dựng các giải pháp đảm bảo an toàn thông tin tổng thể cho các hệ thống thông tin, xác định “phòng ngừa” các nguy cơ gây mất ATTT là chính và phải có các biện pháp đối phó khi có các nguy cơ xảy ra, đồng thời phải nâng cao nhận thức về an toàn thông tin cho người dùng. Hơn nữa, trong các cơ quan chức năng cần phối hợp chặt chẽ với nhau khi sự cố xảy ra để tìm ra nguyên nhân và đưa ra giải pháp khắc phục, ông Thế chia sẻ.

Theo ông Tadashi Nagamiya, Tổng thư ký Hiệp hội Kiểm toán An toàn thông tin Nhật Bản, cần phải xây dựng một văn hóa ANTT để mỗi cá nhân đều nhận thức được trách nhiệm về bảo đảm ANTT. Điều này đã được Nhật Bản xây dựng từ cách đây hơn 10 năm và đã được đánh giá quốc gia ít rủi ro ANTT nhất trên thế giới. Cụ thể, Nhật Bản đã có tổ chức kiểm toán an toàn thông tin Nhật Bản từ năm 2003. Tổ chức này vận hành hệ thống kiểm toán toàn bộ ANTT của các cá nhân, doanh nghiệp ở Nhật Bản.

Do đó ông Nagamiya cho rằng cần có quy trình kiểm toán thông tin nội bộ để buộc các tổ chức phải tính tới văn hóa ANTT và trách nhiệm để tự bảo đảm ANTT. Điều này không chỉ có lợi cho mỗi cá nhân, doanh nghiệp mà khi xây dựng được văn hóa ANTT quốc gia sẽ tạo lợi thế cạnh tranh cho đất nước và thu hút đầu tư nước ngoài nhiều hơn nữa.

Tuệ Minh

Xu hướng bảo mật cho 2011 và những năm tới

Quản trị hệ thống IT cần lưu ý: Đã bắt đầu tới thời kỳ thống trị của ứng dụng Web, các thiết bị di động thiếu an ninh, đăng nhập một lần cho nhiều dịch vụ...

Quản Trị Mạng - Con tàu Titanic nổi tiếng đã có thể không bị đắm, một chứng cứ về sự thành thạo trong kỹ thuật đã chỉ ra điều này và sự thật là con tàu sang trọng này khó có khả năng va chạm với tảng băng khổng lồ.

Trong thế giới doanh nghiệp hiện đại, cũng có một nhận thức tương tự về tính không thể bị tấn công. Đúng vậy, đối với các tổ chức lớn đã có nhiều năm hoạt động mà không xảy ra bất cứ một rủi ro nào, có rất nhiều câu chuyện xung quanh việc đột nhập nguy hiểm, các vấn đề liên quan tới Wi-Fi và các vấn đề xảy ra khi các hành động nhắm tới Bluetooth được sử dụng nhằm đánh cắp các bí mật của công ty.

Dưới đây là 6 lỗ hổng bảo mật thường được mở rộng, ngay cả các công ty luôn tự hào về khả năng đề phòng bảo mật của mình cũng có. Chúng tôi đã kiểm tra cùng với các chuyên gia tư vấn bảo mật để có thể tìm ra phương pháp đối phó với những lỗ hổng này, trước khi con tàu doanh nghiệp của bạn có thể đâm vào bức tường băng.

1. Điện thoại thông minh truy cập trái phép mạng Wi-Fi

Điện thoại thông minh đã tạo ra một trong những nguy hiểm lớn nhất đối với bảo mật doanh nghiệp, phần lớn là bởi chúng quá phổ biến và bởi một số nhân viên không thể không sử dụng các thiết bị cá nhân ở nơi làm việc – ngay cả khi cấp trên của họ có những biện pháp được thiết lập hoàn hảo nhằm ngăn cấm họ sử dụng những thiết bị này.

Chuyên gia bảo mật Robert Hansen, CEO của công ty tư vấn bảo mật Internet SecTheory nói: “Sự nguy hiểm nằm ở chỗ điện thoại di động là “nhà” của 3 thiết bị – Bluetooth, Wi-Fi và GSM. Nhân viên sử dụng các loại điện thoại thông minh cá nhân này tại nơi làm việc có thể sẽ trở thành đường dẫn “giới thiệu” cho các vụ tấn công”.

Nếu bạn sử dụng một thiết bị điện thoại thông minh có thể mở rộng mạng không dây, thì theo Hansen: “Ai đó tại một điểm đỗ xe nào đó có thể sử dụng thiết bị “bắn tỉa” Bluethooth nhằm đọc Bluetooth trong khoảng cách một dặm, kết nối với một chiếc điện thoại thông minh và cuối cùng là kết nối với mạng không dây của một doanh nghiệp”. Bluetooth là một cổng mở cho phép hacker có thể truy cập mạng Wi-Fi rồi truy cập mạng của doanh nghiệp.

Hacker ẩn náu tại một điểm nào đó có thể sử dụng thiết bị 
“bắn tỉa” Bluetooth, để có thể đọc Bluetooth từ khoảng cách 
một dặm và kết nối trái phép vào mạng không dây của một doanh nghiệp

Hansen cho rằng các điều luật chỉ đơn giản cấm không cho phép sử dụng điện thoại thông minh ở nơi làm việc không đủ hiệu quả – nhân viên sẽ trở nên háo hức hơn để có thể sử dụng thiết bị của mình tại nơi làm việc, ngay cả khi họ bị cấm. Thay vào đó, nhân viên công nghệ nên cho phép một vài thiết bị đã được kiểm duyệt mới được truy cập mạng của doanh nghiệp. Và truy cập này sẽ dựa trên các địa chỉ MAC, là những mã độc nhất được gán cho một số thiết bị – khiến chúng trở nên dễ dàng theo dõi hơn.

Một phương pháp khác là sử dụng kiểm soát truy cập mạng để có thể biết được ai đang kết nối và ai là người đang truy cập bất hợp pháp. Trong một thế giới lý tưởng, các công ty cũng nên tách biệt các truy cập khách vào mạng Wi-Fi khỏi mạng quan trọng của doanh nghiệp, ngay cả khi có 2 mạng LAN không dây cũng chỉ là một sự thừa thãi, cũng như công việc quản lý sẽ tăng lên.

Một cách khác: Đưa ra phê chuẩn điện thoại thông minh tự động của công ty trên một số nền tảng điện thoại, ví như Android của Google, và từ đó có thể ngăn chặn nhân viên sử dụng các thiết bị không được hỗ trợ. Bằng cách khuyến khích nhân viên sử dụng các thiết bị điện thoại đã được phê chuẩn, nhân viên công nghệ có thể tập trung vào ngăn ngừa bảo mật cho một tập hợp các thiết bị, thay vì phải “căng sức” ra đối mặt với rất nhiều thương hiệu và nền tảng.

2. Các cổng mở trên một mạng máy in

Máy in là một thiết bị dường như vô hại khác có khả năng bị tấn công, cho dù hầu hết các công ty đều lãng quên tới nguy hiểm này. Máy in đã được kết nối với mạng Wi-Fi trong một vài năm gần đây và thậm chí còn có thể truy cập mạng 3G hay đường kết nối điện thoại đối với fax. Một số mẫu máy in đã ngăn chặn truy cập tới một số cổng trên máy in, nhưng, như Hansen nói, nếu có 200 cổng dành cho máy in của một công ty lớn bị chặn, cũng sẽ có 1000 cổng khác được mở rộng. Hacker có thể đột nhập vào mạng doanh nghiệp thông qua những cổng này. Một thủ đoạn xấu xa khác là chúng có thể ăn trộm tất cả những văn bản được in ra như một cách đánh cắp thông tin kinh doanh quan trọng.

Jay Valentine, một chuyên gia bảo mật cho rằng: “Một trong những lý do bạn chưa nghe về việc này là bởi vẫn chưa có cách hiệu quả nào có thể ngăn chặn chúng”.

Cách tốt nhất có thể sử dụng để đối mặt với vấn đề này là tắt lựa chọn mạng không dây trên các máy in. Nếu không thể thực hiện được điều này, nhân viên công nghệ nên chắc chắn tất cả các cổng đều được chặn đối với bất kì một truy cập trái phép nào. Ngoài ra, cũng rất quan trọng trong việc sử dụng các công cụ quản lý bảo mật nhằm theo dõi và báo cáo trên các cổng in mở. Một công cụ có thể sử dụng là Active Monitor của ActiveXperts Software.

3. Các ứng dụng web được phát triển với code tồi

Do các chuyên gia bảo mật của các doanh nghiệp sống trong mối lo ngại về các lỗ hổng được tạo ra bởi thói quen lập trình ẩu. Điều này có thể xảy ra với phần mềm được phát triển theo ý thích cùng với các phần mềm thương mại và phần mềm mã mở. Hansen cho biết, một mánh khóe hay được sử dụng là lợi dụng xp_cmdshell trên một máy chủ, điều mà một lập trình có kinh nghiệm hoặc quản trị hệ thống có thể để lại lỗ hổng lớn dành cho các cuộc tấn công. Hacker có thể giành được quyền truy cập đầy đủ vào cơ sở dữ liệu, cung cấp một lối truy cập vào dữ liệu cùng với một lối thoát nhanh chóng.

Hansen tiết lộ thêm rằng mã PHP Routine trên một trang web cũng có thể bị lợi dụng để tấn công. Các lỗi code nhỏ, ví như bảo mật không tương thích khi gọi file từ một ứng dụng, cung cấp một cách cho các hacker để gán thêm mã độc của chúng vào. Điều này có thể xảy ra khi một lập trình viên không hạn chế cẩn thận loại file nào có thể được gọi dựa trên mẫu nhập của người dùng, hoặc trang blog của một công ty sử dụng tính năng Trackback để có thể báo cáo về các đường link quay trở lại các bài đăng tải của họ, mà không có công tác “làm sạch” các địa chỉ URL được lưu nhằm ngăn chặn các truy vấn cơ sở dữ liệu bất hợp pháp.

Cách duy nhất có thể áp dụng để giải quyết vấn đề này là tránh một số phần mềm, ví như PHP scripts, add-on dành cho blog và các Code khác thuộc diện nghi vấn. Trong trường hợp cần phải sử dụng những phần mềm này, người dùng cũng nên sử dụng kèm theo các công cụ theo dõi an ninh, giúp phát hiện các lỗ hổng, ngay cả trong PHP scripts nhỏ.

4. Lừa đảo trên các trang mạng trực tuyến

Người dùng Facebook và Twitter có thể bị lừa tiết lộ thông tin quan trọng. Thông thường, những kiểu tấn công như này rất ít và không cần phải chú ý nhiều.

Hansen đã nói: “Những người đang tìm kiếm một công việc luôn sẵn sàng tiết lộ thông tin (cá nhân). Ông còn cho biết thêm thông tin về một trong những khách hàng của mình khi người này kể về cách hacker có thể sử dụng một địa chỉ email giả từ trang web tìm kiếm công việc nhằm giả danh là một nhà tuyển dụng." Ông đã đã từ chối tiết lộ thêm chi tiết nhằm bảo vệ khách hàng trong ví dụ của mình, nhưng đó là một ví dụ mà theo cách ông gọi là “người nhầm lẫn” kịch bản, nơi ai đó có thể khẳng định nhà tuyển dụng đến từ một công ty nào đó và đang liên hệ với ứng cử viên. Và ứng cử viên đang muốn tìm việc làm này là nhân viên tuyển dụng của công ty đó và họ cũng không hỏi bất cứ một thông tin xác thực nào. Hansen cho rằng việc này cũng giống như khi chúng ta nhận được một phong bì thư – do trên phong bì này có ghi địa chỉ trả lại, nó không có nghĩa rằng nội dung bên trong thực chất được xuất phát từ người gửi được ghi trên phong bì đó.

Các công ty nên sử dụng hệ thống xác nhận email, giúp xác nhận danh tính của người gửi. Những xác nhận này sẽ gửi một email quay trở lại địa chỉ ban đầu nhằm xác nhận chứng thực của người gửi. Một số nơi, ví như bang Texas ở Mỹ, việc mạo danh ai đó bằng email được cho là phạm pháp

5. Nhân viên download các bộ phim và nhạc không hợp pháp

Mạng P2P – mạng đồng đẳng – đã không biến mất. Trong một công ty lớn, sẽ không có gì là bất thường khi tìm một nhân viên sử dụng hệ thống mạng đồng đẳng để download các sản phẩm bất hợp pháp hoặc cài đặt riêng cho mình một máy chủ nhằm phân phát phần mềm.

Winn Schwartau, CEO của công ty Security Awareness Company đã nói: “Mạng đồng đẳng nên bị chặn hoàn toàn trong các doanh nghiệp. Các cổng P2P cần được đóng hoàn toàn và lý tưởng nhất vẫn là ở các điểm cuối của công ty. Phần mềm P2P có thể chặn được bằng cách sử dụng danh sách đen/ trắng và bộ lọc trên máy chủ của các doanh nghiệp”.

Schwartau đã kể một câu chuyện về hãng dịch vụ tài chính ở New York. Hãng này có một cổng P2P hoạt động cả ngày, ngay cả những ngày được nghỉ. Rốt cuộc, nó đã bị khám phá và tìm thấy file đồi trụy trên máy chủ. Schwartau gọi điều này là một kiểu “hack tội phạm”, có nghĩa rằng kẻ trộm thường xuyên bắt đầu các hoạt động bất chính, vì thế nên một trong những điểm đến “yêu thích” của chúng là máy chủ P2P hay bất kì một lỗ hổng bảo mật “có tiềm năng” nào khác.

Schwartau nói thêm: “Việc lây nhiễm mã độc vào các file P2P không hề khó khăn chút nào và có thể tạo ra một vị trí đầu cầu bên trong một tổ chức, dựa theo thiết kế code”. Ông còn gợi ý về một kỹ thuật có tên “cô lập nguồn”, có khả năng kiểm soát các ứng dụng người dùng nào được phép truy cập dựa theo các quyền đặc biệt. Các hệ điều hành khác nhau sẽ thực hiện theo các cách khác nhau, nhưng nó đáng để theo đuổi một tình trạng rằng chính sách của một doanh nghiệp đang thiếu điều khoản hoặc không ai thực hiện theo những điều khoản trong đó.

Schwartau khuyến khích các công ty công nghệ nên tiến hành quét thường xuyên tất cả các mạng trong công ty cũng như các máy chủ nhằm tìm kiếm dấu hiệu của hoạt động mạng P2P cũng như thận trọng trong việc ngăn chặn các hành động này.

6. Tin nhắn SMS lừa đảo và lây nhiễm mã độc

Một hướng khác có thể được hacker sử dụng để tấn công: gửi tin nhắn tới điện thoại thông minh. Hacker có thể sử dụng tin nhắn SMS nhằm liên lạc với nhân viên trong công ty với mục đích lừa lấy được các thông tin quan trọng như nhãn quyền đăng nhập vào mạng và các tài sản trí tuệ khác của doanh nghiệp. Không chỉ vậy, chúng còn có khả năng sử dụng tin nhắn để cài đặt malware trên điện thoại của nhân viên trong công ty.

Schwartau nói: “Trong công việc hàng ngày, chúng tôi đã chứng tỏ cách một con rootkit có thể bật một microphone của một chiếc điện thoại mà người dùng không hề biết. Một kẻ tấn công có thể gửi các tin nhắn ẩn tới điện thoại bị lây nhiễm, bắt điện thoại phải thực hiện một cuộc gọi và bật microphone”. Đây có thể là một kế hoạch hiệu quả nếu, ví dụ, chủ sở hữu của chiếc điện thoại bị tấn công này đang ở trong một cuộc họp và kẻ tấn công có ý định muốn nghe lén.

Schwartau tiết lộ thêm rằng có rất nhiều cách để lọc các hoạt động SMS, nhưng nó lại được thực hiện ở bên phía nhà cung cấp mạng không dây, bởi SMS không có địa chỉ IP thế nên những người quản lý công nghệ của công ty không thể kiểm soát chúng. Lựa chọn tốt nhất nhằm ngăn chặn những vụ tấn công này là làm việc với nhà mạng để có thể chắc chắn rằng họ vẫn đang sử dụng phần mềm chặn malware, lọc SMS và chuyển hướng những kiểu tấn công này.

Và một lần nữa, tạo ra các điều khoản sử dụng điện thoại thông minh nhằm khuyến khích hoặc yêu cầu nhân viên thực hiện các điều khoản hoặc sử dụng điện thoại đã được công ty phê chuẩn sử dụng và các dịch vụ nằm trong dịch vụ cho phép có thể giảm các nguy cơ tấn công.

Tất nhiên, các công ty không thể ngăn chặn tất cả các vụ tấn công bảo mật với các công nghệ hiện tại và các hacker luôn thường xuyên đổi mới cách thức với các thủ đoạn ngày càng tinh vi hơn. Chính vì vậy, bạn nên thử lấp ngay 6 lỗ hổng bảo mật này nhằm chắc chắn rằng chúng luôn đóng. Tuy nhiên, bạn cũng nên để ý tới các dạng mới của các hoạt động của mã độc.

Attack Surface Analyzer là công cụ vừa được Microsoft phát hành cho phép người dùng có thể dễ dàng phát hiện những thay đổi bảo mật nhạy cảm của hệ điều hành Windows.

Attack Surface Analyzer như người vệ sĩ bảo vệ hệ thống.

Cụ thể hơn, Attack Surface Analyzer cho phép hiển thị bất kỳ tập tin thêm vào, các khóa registry, các trình điều khiển ActiveX và chỉ ra các cổng mở (open port) của máy chủ khi người dùng cảm thấy lo lắng sự bảo mật bên trong hệ thống mình, nhất là sau khi cài đặt một phần mềm nào đó. Ngoài ra, nó cũng có nhiệm vụ đánh giá các đặc quyền truy cập cấu hình cho các tập tin được thêm vào.

Tạo các file ảnh hệ thống để so sánh

Người dùng truy cập vào đây tải phiên bản cài đặt của Attack Surface Analyzer beta 5.1.3 phù hợp với hệ thống của mình. Phiên bản này tương thích với Windows Vista/7 và yêu cầu hệ thống cài đặt sẵn môi trường .NET Framework 3.5 trở lên.

Về cơ bản, Attack Surface Analyzer sẽ trải qua 2 bước thực hiện chụp ảnh của hệ thống, một là file ảnh trước khi cài đặt một phần mềm và một là file ảnh chụp sau khi cài đặt. Dựa trên hai bức ảnh chụp này, người dùng có thể xác định được các thay đổi, từ đó giúp yên tâm rằng hệ thống mình có bị xâm phạm hay không. Chương trình lưu trữ các báo cáo trong một tập tin nén dạng *.cab.

Sau khi khởi động phần mềm, người dùng hãy tiến hành tạo một tập tin *.cab chụp ảnh hệ thống trước khi tiến hành cài đặt một phần mềm nào đó. Để thực hiện điều này hãy nhấp vào trước lựa chọn Run new scan trong mục Please select an action cũng như khai báo nơi chứa tập tin *.cab sao lưu ảnh hệ thống bằng cách nhấp vào nút Browse của trường Name of CAB file to generate trong mục Select options. Xong hãy nhấp vào nút Run Scan ở phía dưới để chương trình tiến hành quét hệ thống.

Tiến hành tạo bản sao lưu hệ thống trước khi tiến hành cài đặt phần mềm mới

Sau khi thực hiện chụp ảnh hệ thống trước khi cài đặt phần mềm nào đó, người dùng tiến hành tạo ra một điểm sao lưu mới sau khi đã cài đặt một phần mềm vào hệ thống của mình cũng dưới dạng tập tin *.cab.

Tiến trình quét tất cả thông tin hệ thống đưa vào tập tin *.cab để so sánh

Thực hiện so sánh

Bây giờ, để so sánh giữa hai điểm hệ thống trước và sau khi cài đặt phần mềm, người dùng hãy nhấp vào trước lựa chọn Generate Attack Surface Report trong mục Please select an action. Lúc này, ở mục Select options, người dùng hãy nhấp vào nút Browse của trường Baseline Cab để chỉ đến tập tin *.cab chứa hình ảnh hệ thống khi hoạt động ổn định. Sau đó nhấp vào nút Browse ở trường Product Cab để chỉ đến tập tin *.cab chứa hình ảnh của hệ thống sau khi cài đặt phần mềm.

Khai báo các tập tin *.cab muốn so sánh với Attack Surface Analyzer

Khai báo xong xuôi, người dùng hãy nhấp vào nút Generate để tiến hành cho chương trình kiểm tra, các thông tin này sẽ được xuất dưới định dạng tập tin *.mht để xem bằng trình duyệt web, thông tin đường dẫn sẽ được lưu trong trường Report Filename, người dùng có thể thay đổi đường dẫn này bằng cách nhấp vào nút Browse.

Sau khi tiến trình dò quét hoàn tất, người dùng hãy mở tập tin *.mht tạo ra để xem các so sánh. Có 3 cột thông tin hiện ra để người dùng quan sát.

- Report Summary: cung cấp thông tin về 2 tập tin *.cab mà người dùng đem ra so sánh, cùng với đó là thông tin về cấu hình của hệ thống.

Báo cáo thông tin thay đổi giữa hai tập tin ảnh hệ thống trước và sau khi cài đặt phần mềm

- Security Issues: cung cấp thông tin liên quan đến các vấn đề an ninh của hệ thống, người dùng có thể dựa vào đó để biết được hệ thống mình có thể đối diện với nguy hiểm bảo mật, các rủi ro hay không.

- Attack Surface: nơi báo cáo các thay đổi liên quan đến bề mặt hệ thống, rất hữu ích cho các nhà phát triển thay đổi các ảnh hưởng của ứng dụng đến bề mặt nền tảng hệ điều hành Windows.

Lưu ý: Để xem được các báo cáo, người dùng cần phải chấp nhân kích hoạt khả năng đọc tập tin ActiveX cho trình duyệt web của mình.

Nhìn chung, Attack Surface Analyzer là một ứng dụng rất hữu ích cho những ai lo lắng đến vấn đề bảo mật. Phiên bản beta của ứng dụng có phần hạn chế là tập tin thông báo có phần không được ấn tượng, trình bày chỉ ở mức sơ lược mà thôi.

Theo Tuổi trẻ

Theo Tiến sĩ Vũ Quốc Khánh, Giám đốc Trung tâm Ứng cứu khẩn cấp máy tính VNCERT - thuộc Bộ Thông tin và Truyền thông, 2010 là năm “nóng” của an ninh mạng Việt Nam. Song đó cũng là những cảnh báo giúp chúng ta quan tâm hơn tới công tác an toàn an ninh thông tin với nhiều chính sách mới được đưa ra trong năm 2011 này.

TS. Vũ Quốc Khánh.

Năm 2010 được các chuyên gia đánh giá là năm nóng bỏng của vấn đề an ninh mạng. Với vai trò là cơ quan quản lý nhà nước trong lĩnh vực này, Bộ Thông tin và Truyền thông mà cụ thể là VNCERT có đồng ý với quan điểm này không?

Năm vừa qua đã có bước ngoặt trong việc phát triển an toàn an ninh thông tin của Việt Nam. Về mặt quản lý nhà nước, ngoài việc tham gia xây dựng bổ sung cho Luật Hình sự xử lý các tồn tại về an toàn an ninh thông tin, Thủ tướng Chính phủ cũng đã ban hành quyết định phê duyệt Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020. Đây là một chương trình toàn diện và dài hơi, nhằm nâng cao năng lực, là cơ sở để đảm bảo an toàn an ninh thông tin cho Việt Nam, cơ sở để phát triển CNTT nhanh chóng hơn, toàn diện hơn, đưa Việt Nam sớm trở thành nước mạnh về CNTT và truyền thông.

Trong năm 2010, đã xuất hiện xu hướng các tội phạm và sự cố về an ninh mạng, tấn công trên mạng ngày càng trở nên tinh vi, phát triển có tổ chức, có quy mô, có các sự phối hợp trong và ngoài nước, có các định hướng về mặt tấn công thu lợi tài chính hoặc tấn công, phá hoại các dịch vụ. Đó là hiện trạng đã xảy ra trong năm qua.

Cũng không ít các mã độc thế giới, các loại hình tấn công mới nhất của thế giới nhanh chóng được lan truyền đến Việt Nam. Tất cả những xu hướng đó đã được giới công nghệ cảnh báo trước. Các cơ quan chức năng cũng lường trước sự phát triển này nên đã đề ra những kế hoạch, chính sách khắc phục hiện trạng đó và nâng cao hơn nữa năng lực đấu tranh với tội phạm mạng và sự cố về an toàn thông tin.

Vậy còn năm 2011 thì sao, thưa ông?

Trong năm 2011, năm đầu tiên các cơ quan nhà nước, Bộ, Ngành, địa phương và các tổ chức nhà nước cũng như các tổ chức doanh nghiệp ngoài nhà nước tham gia triển khai thực hiện các ý tưởng, kế hoạch chương trình nằm trong Đề án phát triển an toàn thông tin số quốc gia. Đặc biệt là những vấn đề liên quan đến đầu tư, nâng cao năng lực về an toàn thông tin như đào tạo nhân lực, con người về an toàn thông tin, đầu tư xây dựng các quy trình quản lý, quy trình về ứng cứu sự cố, đánh giá an toàn thông tin cho lĩnh vực này.

Sẽ bắt đầu triển khai một quá trình rộng khắp trên cả nước về công tác đảm bảo an toàn an ninh thông tin. Hoạt động này được gắn chặt với kế hoạch ứng dụng phát triển CNTT và truyền thông nói chung.

Trong kế hoạch năm nay, về mặt quản lý nhà nước cũng sẽ chú trọng vào vấn đề hoàn thiện mô hình pháp lý, nghiên cứu khả năng để ban hành các văn bản quy phạm pháp luật khác nhau, tăng cường xây dựng các tiêu chuẩn Việt Nam tương thích với các tiêu chuẩn quốc tế về an toàn thông tin.

Chúng ta cũng nghiên cứu để xây dựng các chương trình đào tạo nghiệp vụ về an toàn thông tin để bổ túc kiến thức, kỹ thuật cho các đội ngũ cán bộ làm về đảm bảo an toàn thông tin và những người có liên quan. Cũng sẽ triển khai một số dự án trọng điểm như xây dựng trung tâm kỹ thuật an toàn mạng quốc gia. Đây là trung tâm có hệ thống sớm phát hiện các dấu hiệu tấn công cũng như các mã độc hại cũng như các thông tin hỗ trợ, cảnh bảo sớm và ngăn chặn các sự cố trên mạng.

Trong năm nay, cũng là năm dự kiến có sự tăng cường nâng cao nhận thức về truyền thông, về an toàn thông tin. Sẽ có nhiều sự kiện mang tầm quốc gia về an toàn thông tin hơn so với mọi năm ví dụ như sự kiện về thế giới bảo mật, sự kiện hội thảo quốc gia về các vấn đề quản lý nhà nước về an toàn thông tin, sự kiện ngày an toàn thông tin, sự kiện bình chọn và tôn vinh các nhà lãnh đạo trong lĩnh vực an toàn thông tin…

Trong năm 2010, sự kiện báo điện tử Vietnamnet bị tấn công được cho là một cảnh báo về nguy cơ, rủi ro bị tấn công trên mạng đối với hệ thống các báo điện tử của Việt Nam. Bên cạnh đó còn có nhiều vấn đề khác của an ninh mạng. Những vấn đề này liệu có nói lên hiện trạng bảo đảm an toàn an ninh thông tin của Việt Nam vẫn còn yếu?

Trước tiên phải thấy rằng việc tấn công như vậy cũng là một cảnh báo cho chúng ta thấy quy mô, mức độ của các sự cố an ninh mạng có thể lớn như thế nào. Và thời gian thực hiện cũng như thiệt hại có thể xảy ra sẽ lớn ra sao. Điều này chứng tỏ khi các ứng dụng CNTT càng phát triển càng được ứng dụng rãi bao nhiêu thì thách thức lại càng lớn bấy nhiêu. Quy mô của mỗi thách thức, mức độ, thời gian thực hiện các cuộc tấn công cũng như thời gian khắc phục sự cố đó ngày càng trở nên lớn hơn, mức độ ngày càng tinh vi hơn, khâu tổ chức ngày càng mang tính toàn cầu hoá hơn. Tất cả những điều này làm trầm trọng hơn các nguy cơ vốn sẵn có.

Việc ngăn chặn những cuộc tấn công như vậy rất cần thiết. Trên cơ sở ngăn chặn những cuộc tấn công như vậy từ các cơ quan quản lý nhà nước đến cơ quan bảo vệ pháp luật, các doanh nghiệp cung cấp dịch vụ về Internet cũng như các đơn vị tương tự hoạt động trong lĩnh vực CNTT học tập được nhiều kinh nghiệm để chúng ta chuẩn bị trước, xây dựng những hệ thống cảnh bảo sớm, phát hiện nguy cơ này. Chúng ta có thể xây dựng các hệ thống sớm một cách hữu hiệu hơn, xây dựng trước những quy trình quản lý nhanh… Bất kỳ một sự việc nào cũng có hai mặt của nói. Bên cạnh những mặt không tốt, nó cũng là những tiền đề để chúng ta làm tốt hơn những công việc sắp tới.

Theo ông, từ vụ việc của Vietnamnet, các cơ quan truyền thông báo chí cần quan tâm như thế nào tới vấn đề đảm bảo an toàn an ninh thông tin của mình?

Đối với các cơ quan truyền thông báo chí, vấn đề an toàn an ninh thông tin còn chưa được quan tâm hoặc chưa được đầu tư đúng mức với tiềm lực hiện có. Trong việc này, bản thân các cơ truyền thông báo chí tuyên truyền rất nhiều về vấn đề này song không phải đơn vị nào cũng có thể đầu tư được đúng mức. Có nhiều nguyên nhân chủ quan và khách quan lý giải cho thực tế này. Việc nâng cao năng lực và các chế tài cho vấn đề này là rất cần thiết. Tôi cho rằng các báo ứng dụng CNTT đều phải tăng cường về mặt tổ chức, công nghệ và con người để đảm bảo an toàn an ninh thông tin cho mình trong thời gian sắp tới.

Xin cảm ơn ông!

Theo Vnmedia

Dịch vụ miễn phí Norton DNS của Symantec là 1 chương trình kiểm soát, với cơ chế hoạt động bằng cách sử dụng hệ thống server đặc biệt để phát hiện, ngăn chặn malware và các trang web giả mạo, lừa đảo (phising). Hiện tại, dự án đang đi vào giai đoạn beta, nhưng người dùng đã có thể kiểm tra, đánh giá công cụ này. Để sử dụng, người dùng cần thay đổi thông số DNS hiện tại thành địa chỉ Norton DNS IP (198.153.192.1 và 198.153.194.1).

Đối với người dùng Windows và Mac OS X, hướng dẫn thay đổi và sử dụng đã được đăng tải đầy đủ và chi tiết trên trang chủ. Norton DNS sẽ tự động ngăn chặn tất cả các hành vi, phần mềm hoặc truy cập từ phía người dùng đến các domain, được đánh giá nguy hiểm trong cơ sở dữ liệu phân tích từ bộ phận thử nghiệm của Symantec. Đồng thời, Symantec sẽ so sánh, thu thập thông tin, đường dẫn từ dịch vụ trực tuyến Norton SafeWeb. Nếu người dùng cố gắng truy cập vào 1 trang web đáng nghi nào đó, hệ thống name server sẽ tự động chuyển hướng đến 1 trang cảnh báo. Ngược lại với các bộ lọc phishing của hầu hết các trình duyệt, Norton DNS không bao gồm lựa chọn cho người dùng truy cập vào trang web đó bằng bất cứ giá nào. Theo Symantec, hãng đang cân nhắc về dự định thay thế trang cảnh báo có bao gồm cho phép truy cập, bất chấp lựa chọn cảnh báo, ở một thời điểm nào đó trong tương lai.

Theo Dan Nadir – người quản lý Symantec cho biết, dịch vụ này sẽ vẫn miễn phí sau khi giai đoạn beta kết thúc, đồng thời dịch vụ cũng không thu thập hoặc lưu trữ bất cứ thông tin nào đã qua phân tích. Và trong tương lai, dịch vụ này sẽ có thêm bổ sung về các bộ lọc đối với những trang web có chứa nội dung không phù hợp với trẻ em.

Dịch vụ DNS này được cung cấp và chạy trên toàn bộ 12 hệ thống dữ liệu trên khắp thế giới, do vậy không làm ảnh hưởng nhiều đến thời gian và tốc độ truy cập web của người dùng. Và hệ thống máy chủ này có thể đáp ứng được lượng truy vấn lên đến 5 triệu lượt cùng 1 thời điểm. Nếu dịch vụ này thành công và chứng minh được tính khả thi, Symantec sẽ ngay lập tức triển khai và mở rộng mạng lưới trên toàn cầu. Và đi kèm với NortonDNS, 1 dịch vụ khác cũng có khả năng thành công rất cao là DNSSEC.

Những lời khuyên giúp bạn tránh khỏi các cuộc tấn công tương tự như vụ chiếm quyền kiểm soát hệ thống mạng máy tính tại San Francisco.

Tháng 7 năm 2008, một quản trị mạng bất mãn tên là Terry Childs đã giành quyền kiểm soát hệ thống mạng máy tính tại San Francisco, ngăn cản không cho các quản trị mạng khác truy cập hệ thống.


Chi tiết về cách thức Childs sử dụng để thực hiện vụ việc trên hiện vẫn đang được điều tra. Tuy nhiên, có vẻ như Childs đã thay đổi hàng loạt mật khẩu của các router và switch, sau đó gỡ bỏ quyền truy cập của tất cả nhân viên thuộc Bộ Thông tin và Truyền thông San Francisco, chỉ còn mình hắn kiểm soát toàn bộ hệ thống.

Tại sao một cá nhân lại có đặc quyền quản trị toàn bộ hệ thống? Làm thế nào một hành động ngông cuồng như việc thay đổi hàng loạt mật khẩu lại có thể được thực hiện mà không vấp phải bất cứ trở ngại gì? Và cuối cùng, câu hỏi quan trọng nhất: Bạn rút được những gì từ vụ tấn công trên và làm cách nào để bảo vệ công việc của bạn trước nguy hiểm tồn tại ngay bên trong?

Các chuyên gia bảo mật dùng cụm từ “mối đe doạ” để chỉ những thứ có khả năng gây tổn hại cho hệ thống của bạn. Một trong những mối đe doạ nguy hiểm nhất là kẻ phá hoại nội bộ với hiểu biết sâu sắc về hệ thống.

Fred Pinkett, Phó chủ tịch Core Security Technologies - công ty bảo mật có trụ sở tại Boston và Buenos Aires - đã đưa ra vài lời khuyên để xây dựng tầng bảo mật chiến lược giúp hạn chế khả năng phá hoại từ kẻ xấu nội bộ.

1. Phân chia chặt chẽ vai trò và phận sự.

Không một cá nhân nào được quyền truy cập mọi thứ. Nếu bạn có nhiều nhân viên quản trị, hãy phân chia công việc riêng từng người, đừng để một cá nhân hoặc một nhóm có toàn quyền truy cập tất cả mạng máy tính. Điều này sẽ đảm bảo rằng không có cá nhân đơn lẻ nào đủ khả năng đánh sập toàn bộ hệ thống.

2. Cân nhắc kỹ lưỡng nếu quản lý dữ liệu nhạy cảm.

Nếu bạn có ngân sách khiêm tốn, không có khả năng tuyển mộ đầy đủ nhân viên cho các vị trí IT, hãy lùi lại một bước và xem xét tầm quan trọng của vấn đề bảo mật đối với công việc của bạn. Nếu bạn quản lý những thông tin về thẻ tín dụng hoặc các dữ liệu nhạy cảm khác, bạn nên cân nhắc việc chuyển giao bộ phận IT cho một công ty có khả năng tài chính để tuyển dụng đầy đủ vị trí cần thiết nhằm vận hành hệ thống an toàn. Nếu không, với một hệ thống sơ hở như vậy, tốt nhất là bạn đừng quản lý dữ liệu nhạy cảm nữa.

3. Đặc biệt lưu tâm đến chiến lược dự phòng.

Bộ phận chịu trách nhiệm sao lưu và lưu trữ dữ liệu cần tách riêng với những quản trị mạng và quản trị hệ thống. Nếu không các bản sao lưu dự phòng sẽ rất dễ bị tổn hại trong cuộc tấn công.

4. Đầu tư hệ thống bảo mật vững chắc.

Xây dựng hệ thống phòng thủ nhiều tầng, sử dụng tường lửa kết hợp với duy trì theo dõi những động thái khả nghi là chìa khoá để có một hệ thống bảo mật vững chắc.

5. Cài đặt hệ thống phát hiện xâm nhập (IDS).

Trong vụ việc tại San Francisco, hệ thống IDS có thể phát hiện quá trình thay đổi mật khẩu hàng loạt và đưa ra báo động kịp thời. Hãy nhớ rằng một vụ tấn công nổi loạn có thể bắt đầu từ chính bên trong, thế nên nếu tập trung toàn bộ hoả lực ở bên ngoài, bạn sẽ gặp tổn thất nặng nề.

6. Mã hoá, mã hoá và mã hoá.

Tất cả dữ liệu nhạy cảm cần phải được mã hoá trong bất cứ trường hợp nào. Thử tưởng tượng nếu những dữ liệu của bạn đặt trong các gói hàng, khi chiếc xe chở hàng gặp nạn, các gói hàng sẽ văng đi tứ tung, những thông tin về thẻ tín dụng của khách hàng sẽ bay về đâu? Bởi vậy, tốt nhất là hãy mã hoá dữ liệu.

7. Bảo mật là một quá trình thường xuyên và liên tục.

Khi bạn đã thực hiện đầy đủ những chiến lược trên, hãy nhớ rằng bảo mật là một quá trình thường xuyên và liên tục. Việc theo dõi, kiểm tra tình hình hiện tại cần thực hiện đều đặn. Thử bắt đầu từ bên ngoài, tiến vào hệ thống phòng thủ của bạn và tự hỏi: Nếu hacker xâm hại tầng bảo mật này, hắn sẽ làm thế nào? Câu trả lời có thể làm bạn bất ngờ.

Vấn đề mấu chốt không phải ở kiến trúc chuyên môn: con người và cách thức xử lý mới là yếu tố quan trọng. Nếu bạn có thể làm chủ cả 3 yếu tố trên, bạn đủ khả năng chống lại những vụ tấn công tương tự như vụ việc tại San Francisco.

Linh V. (Theo PCMag.com)

Bảo vệ hệ thống khi tin tặc là... “người nhà” Có thể hệ thống mạng máy tính của cơ quan bạn đã được bảo vệ rất tốt từ các nguy cơ xâm nhập bên ngoài, nhưng đã bao giờ bạn nghĩ đến khả năng bị đột nhập từ bên trong hay chưa?

Khi đó, kẻ xâm nhập có thể là chính nhân viên trong công ty, những người vì một lý do nào đó, hay cũng có thể là do bất mãn, đã thực hiện điều này.

Theo báo cáo mới nhất của Viện bảo mật máy tính, những đe dọa nội bộ trong năm qua đã tăng 17%, và hầu hết các trường hợp xâm nhập đều để lại những hậu quả nghiêm trọng.

Các doanh nghiệp phải chi ra một khoản tiền rất lớn để khắc phục hậu quả, cũng như chịu thiệt hại về sản xuất, và quan trọng hơn là hình ảnh công ty bị ảnh hưởng.

Sau đây là 5 phương pháp thông dụng mà một hacker “tay trong” có thể truy cập trái phép tới tài nguyên mạng, và một số biện pháp đơn giản có thể áp dụng để ngăn chặn các nguy cơ này.

Lợi dụng Modem

Việc thiếu một mô hình quản lý tập trung kết hợp với việc đặt mật khẩu đơn giản rất dễ khiến cho modem trở thành điểm bắt đầu lý tưởng cho những “tay trong” (có hiểu biết về mạng) tiến hành công đoạn đột nhập vào mạng.

Rất nhiều doanh nghiệp đã đối phó với vấn đề này bằng cách ngắt modem khi không sử dụng.

Tuy nhiên, việc ngắt modem như vậy cũng khiến cho họ không thể sử dụng được mạng trong những trường hợp cần kíp như khôi phục hệ thống từ xa khi xảy ra thảm họa. Nếu coi modem là một điểm quan trọng thì doanh nghiệp cần phải áp dụng những biện pháp bảo mật và xác thực như những thiết bị mạng từ xa quan trọng khác.

Việc triển khai các biện pháp xác thực hai nhân tố đối với modem hoặc thay thế modem bằng những model mới hơn và an toàn hơn sẽ mang lại giải pháp bảo vệ thích hợp hơn và tiết kiệm chi phí hơn.

Truyền file mở

Hầu hết các doanh nghiệp đều sử dụng hình thức truyền file mở để sửa chữa hạ tầng mạng. Tuy nhiên, phương pháp này thường được sử dụng một cách rất không an toàn.

 Việc truy cập đều được mở một cách không hạn chế để sửa chữacài đặt bản sửa lỗi và khắc phục các vấn đề phát sinh.

Tuy nhiên, cũng có thể lợi dụng khả năng này để thay đổi tệp tin, loại bỏ các thành phần quan trọng hoặc làm hỏng hóc hệ thống, khiến cho hệ thống không thể hoạt động được, hoặc có thể xóa nội dung website, đánh cắp dữ liệu hoặc thực hiện các hành vi phá hoại khác.

Một nhân viên cũ hoặc bất mãn có kiến thức hoàn toàn có thể thực hiện những hành vi nguy hiểm này.

Doanh nghiệp có thể kiểm soát những hành vi trên bằng cách cho phép hoặc không cho phép người nào đó có thể tải file lên (upload) và tải xuống (download); và có thể ghi lại tất cả những thay đổi đã diễn ra trong hệ thống, cũng như ai là người đã thực hiện sự thay đổi đó.

Mở cổng telnet và SSH

Nếu do đặc thù công việc mà doanh nghiệp cho phép bên thứ ba truy cập từ xa để sửa chữa hệ thống thì cần phải có những biện pháp bảo vệ thích hợp, chẳng hạn như đóng các cổng telnet và SSH.

Còn nếu không, thì một chuyên viên kỹ thuật có thể “chu du” khắp mạng mà bạn không thể kiểm soát được.

Doanh nghiệp cần phải hạn chế bên thứ ba truy cập vào hệ thống thông qua cổng telnet hoặc SSH trừ khi phiên làm việc đó được ghi lại, hoặc do một nhân viên chuyên trách theo dõi.

Ngoài ra, cũng có thể sử dụng các hệ thống trung gian để tạo lập một proxy cho các phiên làm việc này, để bổ sung thêm một cơ chế kiểm soát và theo dõi.

Lợi dụng cổng máy chủ

Các chuyên viên kỹ thuật thường kết nối tới các cổng serial trên router hoặc trên các máy chủ Linux/Unix. Để kết nối rộng hơn, các công ty thường sử dụng máy chủ “terminal” để kết nối tới nhiều cổng serial. Tuy nhiên, theo mặc định, các máy chủ terminal thường không an toàn.

Chỉ cần tiếp cận được một máy chủ terminal thì nhân viên có thể truy xuất và vô hiệu hóa hàng nghìn hệ thống. Chính vì thế, các công ty phải thường xuyên đánh giá lại khả năng bảo mật của máy chủ terminal, và cài đặt các thiết bị bảo mật cho những hệ thống chứa thông tin nhạy cảm như bản ghi tài chính, dữ liệu khách hàng, và thông tin về nhân sự.

Lợi dụng mạng extranet không an toàn

Mạng extranet mang lại rất nhiều tiện dụng cho những doanh nghiệp, chẳng hạn như cho phép đối tác, khách hàng, và nhà cung cấp có thể kết nối với mạng của mình để nhận được sự hỗ trợ theo thời gian thực.

Mạng extranet (chẳng hạn như IPSec, SSL, remote desktop) chỉ hợp lý khi số lượng hệ thống cần chia sẻ với bên ngoài nhỏ và mức độ cấp phép cho những hệ thống này có thể được kiểm soát chặt chẽ.

Tuy nhiên, những mạng extranet điển hình thường liên quan tới nhiều hệ thống và mức độ cấp phép phải rất chặt chẽ, và đây chính là cốt lõi của vấn đề.

Thường thì việc cấp phép cho quá nhiều truy cập sẽ khiến cho công tác theo dõi và kiểm soát hệ thống không được thực hiện sát sao.

 Khi khách hàng có quyền truy cập và kiểm soát hệ thống thì hạ tầng mạng của doanh nghiệp cần phải tăng cường thêm lớp bảo vệ để tránh sự phá hoại và đánh cắp dữ liệu.

Đối với “người nhà” thì nguy cơ lạm dụng, sử dụng sai, hoặc đánh cắp dữ liệu vẫn rất cao. Doanh nghiệp cần nâng cao cảnh giác, kết hợp với một số biện pháp bảo vệ là có thể giảm thiểu được nguy cơ.  

Summ (theo TienPhong)