Tin không lề: An ninh mạng

‘VN phải trở thành cường quốc về an ninh mạng’


Bộ trưởng Nguyễn Mạnh Hùng phát biểu chỉ đạo Hội nghị của Bộ TT&TT

Bản quyền hình ảnhMIC.GOV.VN
Image captionBộ trưởng Nguyễn Mạnh Hùng phát biểu chỉ đạo Hội nghị của Bộ TT&TT
Việt Nam muốn 50% người dùng truyền thông xã hội sử dụng mạng xã hội trong nước vào năm 2020 và có kế hoạch ngăn chặn "thông tin xấu độc" trên Facebook và Google, Bộ Thông tin và Truyền thông cho biết hôm thứ Năm.
"Bộ TT&TT cũng đã hoàn thiện dự thảo Bộ quy tắc ứng xử cho các nhà cung cấp dịch vụ và người sử dụng mạng xã hội tại Việt Nam, hướng tới xây dựng môi trường mạng lành mạnh, an toàn tại Việt Nam;
"Kế hoạch đấu tranh ngăn chặn việc phát tán, lan truyền thông tin xấu, độc trên Internet, mạng xã hội. Nghiên cứu, đề xuất, xây dựng phương án đấu tranh, ngăn chặn thông tin xấu độc trên 2 mạng xã hội nước ngoài là Facebook và Google," thông báo nói trên trang web của bộ này viết.
Mặc dù có những cải cách kinh tế sâu rộng và ngày càng cởi mở trước những thay đổi xã hội, Đảng Cộng sản Việt Nam không mấy khoan dung cho tiếng nói bất đồng và thực hiện kiểm soát chặt chẽ đối với truyền thông, Reuters nhận định.
Tuần trước, chính phủ đã ban hành dự thảo nghị định về hướng dẫn thực hiện luật an ninh mạng mà các công ty công nghệ toàn cầu và các nhóm nhân quyền nói có thể làm ảnh huởng tiêu cực tới sự phát triển cũng như cản trở sức sáng tạo.
Luật An ninh mạng có ảnh hưởng nhiều đến 'quyền kinh tế, chính trị' của công dân?Bản quyền hình ảnhGETTY IMAGES
Image captionLuật An ninh mạng có ảnh hưởng nhiều đến 'quyền kinh tế, chính trị' của công dân?
Facebook và Google, hiện được sử dụng rộng rãi ở Việt Nam, và là nơi được các nhà bất đồng chính kiến sử dụng nhiều để bày tỏ quan điểm, đều không có văn phòng hoặc cơ sở lưu trữ dữ liệu tại Việt Nam và họ đã phản đối các yêu cầu nội địa hóa của luật.
Vào tháng Chín, Bộ trưởng Bộ Thông tin Truyền thông Nguyễn Mạnh Hùng cho biết Việt Nam nên tự phát triển mạng truyền thông xã hội để cạnh tranh với các dịch vụ như của Facebook và nắm thị phần nhiều hơn.
"Mục tiêu của Bộ TT&TT là đến năm 2020, thuê bao mạng xã hội Việt Nam chiếm 50% tổng số thuê bao mạng xã hội. Nhiệm vụ này được Bộ tập trung giao cho 3 đơn vị chính là Zalo (VNG), VCCorp và Mocha (Viettel.
"Tiếp tục phối hợp với Tập đoàn Viettel để hoàn thiện hệ thống lưu chiểu điện tử và giám sát truyền thông, trong đó có hệ thống đo lường số lượng tin xấu, tin tốt," thông báo nói trên trang web của bộ này viết.
Những bài đăng, video, hình ảnh nhạy cảm về chính trị giờ có thể khiến nhiều người rơi vào vòng lao lý?Bản quyền hình ảnhHOANG DINH NAM/GETTY IMAGES
Image captionNhững bài đăng, video, hình ảnh nhạy cảm về chính trị giờ có thể khiến nhiều người rơi vào vòng lao lý?
Zalo là dịch vụ nhắn tin hàng đầu của Việt Nam, với hơn 100 triệu người dùng, nhưng Mocha và VCCorp gặp nhiều thách thức trước sự áp đảo của YouTube và Facebook của Google.
Đầu tuần này Bộ TT&TT tổ chức Hội nghị giao ban quản lý Nhà nước với sự có mặt của Bộ trưởng Nguyễn Mạnh Hùng.
Bộ trưởng Nguyễn Mạnh Hùng được dẫn lời phát biểu kết luận Hội nghị này rằng Việt Nam cần tập trung nguồn lực để hướng tới mục tiêu mà ông gọi là "trở thành cường quốc về an ninh mạng".
Hội nghị này cũng bàn về việc xử lý "vấn nạn SIM rác" trong khi đợi "giải pháp căn cơ" là xây dựng cơ sở dữ liệu căn cước công dân.
Được biết theo yêu cầu của Ban Tuyên giáo Trung ương, bộ này tạm dừng xem xét, thỏa thuận cấp mới giấy phép trong hoạt động báo chí mà chỉ cấp các loại giấy phép như giấy xuất bản bản tin và xuất bản đặc san.
BBC.

Nóng: Hàng triệu tài khoản khách hàng của Thế Giới Di Động bị hacker chiếm giữ


Thông tin của hơn 31.000 giao dịch thẻ ngân hàng và hơn 5 triệu email được cho là của khách hàng Thế Giới Di Động bị chia sẻ trên Internet.

Hôm qua (6/11), trên diễn đàn RaidForums, một thành viên đã chia sẻ tập tin chứa 5,4 triệu địa chỉ email được cho là của khách hàng Thế Giới Di Động. Một file khác xuất hiện ngay sau đó có hơn 61.000 email được cho là của nhân viên công ty này, với định dạng Tên người dùng @thegioididong.com.



Thành viên này sáng nay đã tung lên diễn đàn các dữ liệu khác và tuyên bố là thông tin của khách hàng hệ thống Thế Giới Di Động. File excel này chứa hơn 31.000 bản ghi, liệt kê số thẻ ngân hàng, ngày giờ giao dịch, số tiền giao dịch cùng một số thông tin khác. Tập tin cũng liệt kê điểm thực hiện giao dịch chi tiết tới chi nhánh nào của Thế Giới Di Động hay Điện Máy Xanh.

Dữ liệu thẻ ngân hàng bị lộ bao gồm sáu chữ số đầu và bốn chữ số cuối, trong khi sáu chữ số ở giữa được che đi. Các giao dịch được cho là thực hiện từ ngày 29/6 đến 18/7/2016.

Trả lời VnExpress, đại diện truyền thông của Thế Giới Di Động cho biết đã kiểm tra và cho hay các thông tin lan truyền nói trên không phải của hệ thống siêu thị này. "Hệ thống của chúng tôi vẫn an toàn, hoạt động bình thường và không hề bị ảnh hưởng", đại diện công ty nói.

Kiểm tra trong file kể trên, hai người tại TP HCM cho biết họ tìm thấy thông tin thẻ của mình trong dữ liệu được tung lên Internet, đồng thời nói rằng họ có giao dịch với Thế Giới Di Động trong hai năm gần đây. Trong khi đó, hàng chục người tìm thấy địa chỉ email của mình trong file có chứa hơn 5 triệu tài khoản.

"Tôi khá bất ngờ khi thấy số thẻ của mình trong danh sách dữ liệu xuất hiện trên Internet", một khách hàng của Thế Giới Di Động nói. "Mặc dù số thẻ trên đã được che đi một phần nhưng cũng không thể chắc rằng toàn bộ thông tin ngân hàng của tôi có bị lộ hay không". Người này cho biết đã liên hệ với ngân hàng để tạm khóa thẻ nhằm tự bảo vệ mình.

"Không loại trừ khả năng hacker có đầy đủ thông tin thẻ của người dùng và bản tung lên Internet đã được che đi", một chuyên gia bảo mật tại TP HCM đánh giá. "Thậm chí kẻ tấn công có thể nắm được nhiều thông tin hơn và dù các giao dịch từ 2016 nhưng thẻ ngân hàng hoàn toàn có thể vẫn đang được sử dụng bình thường".

Ông Võ Đỗ Thắng, Giám đốc trung tâm an ninh mạng Athena, cho rằng hacker có thể từng bước tung ra các dữ liệu mà nhóm này lấy được. "Số thẻ ngân hàng là dữ liệu đặc biệt nhạy cảm, liên quan đến vấn đề tài chính nên người dùng cần tự kiểm tra và bảo vệ tài sản của mình", ông nói.

Thế Giới Di Động cho biết sẽ phối hợp với khách hàng để xác minh, hỗ trợ nếu họ phát hiện số thẻ của mình có trong các dữ liệu trên.

RaidForums là diễn đàn với hơn 90.000 thành viên, chuyên đăng tải, mua bán thông tin và dữ liệu rò rỉ. Hiện trang này có hàng chục nghìn người dùng mỗi ngày. Trước Thế Giới Di Động, dữ liệu của 160 triệu tài khoản Zing ID cũng bị chia sẻ trên forum này.

VNE.

Microsoft thử mua 10 chiếc máy tính ở VN, tất cả đều có mã độc


Theo Microsoft, Hàn Quốc, Malaysia, Thái Lan, Việt Nam là 4 nước có tỷ lệ PC nhiễm malware cao nhất với 100%. Máy bán ra ở các nhà bán lẻ đều "có vấn đề" khi cài phần mềm lậu.

Ngày 30/10, Microsoft Asia tổ chức sự kiện "Gây dựng niềm tin thời đại số" thu hút sự tham gia của báo giới châu Á. Sự kiện cung cấp số liệu từ các nghiên cứu về ảnh hưởng của việc sử dụng phần mềm lậu đối với nền tảng an ninh mạng của nhiều quốc gia châu Á, đặc biệt là Việt Nam.

"Công nghệ càng phát triển dẫn đến nhiều mối nguy hại tiềm tàng, điển hình là những mối đe dọa an ninh mạng. Microsoft mong muốn đưa đến những giải pháp tối ưu, bảo vệ người dùng", Sumrita Chander, Giám đốc truyền thông Microsoft Asia, nói.

Tại sự kiện, Microsoft giới thiệu nghiên cứu "Khảo sát tình hình PC tại thị trường châu Á" được tiến hành từ tháng 5-7/ 2018. Khảo sát được thực hiện bởi đội ngũ nghiên cứu sinh tại Đại học Quốc gia Singapore.

Cụ thể, Microsoft tiến hành mua 166 máy tính từ 9 thị trường khác nhau. Tuy nhiên, những loại thiết bị này đến từ các cơ sở bán lẻ, không có sự đảm bảo thương hiệu từ Microsoft. Khảo sát cho thấy tỷ lệ nhiễm malware tại thị trường châu Á là 83%, cao hơn hẳn khu vực châu Âu.

Việt Nam nằm trong top 4 có tỷ lệ nhiễm malware cao nhất.

Đặc biệt, Hàn Quốc, Malaysia, Thái Lan, Việt Nam là 4 nước có tỷ lệ PC nhiễm malware cao nhất với 100%. Tại Việt Nam, Microsoft đã thử mua 10 chiếc máy tính, tất cả đều bị dính mã độc. Mary Jo Schrade, Giám đốc bộ phận phòng chống tội phạm mạng (DCU) thuộc Microsoft, nhận định Việt Nam hiện nằm trong "vùng trũng" an ninh mạng khu vực châu Á.

"Các nhà bán lẻ chuyên phân phối máy tính chứa phần mềm lậu không chỉ là tác nhân chính đe dọa tình hình an ninh mạng khu vực. Họ vô tình dẫn dụ hacker tấn công thông tin cá nhân người dùng", Mary Jo Schrade nói.

Để lý giải nguyên nhân trên, Microsoft khẳng định các nhà bán lẻ kiếm lời bằng cách cài đặt phần mềm lậu lên chính sản phẩm của mình. Windows Defender phải bị vô hiệu hóa, tạo điều kiện cho sự xâm nhập của malware và trojan. Nguy hiểm hơn, người dùng không hề nhận biết bản thân đã mua phải thiết bị dính mã độc.

"Đa số những thiết bị kiểu này có giá mềm và hầu như không phải bỏ thêm chi phí duy trì, người dùng dễ dàng bị mối lợi trước mắt dụ dỗ", giáo sư Biplab Sikdar, thuộc chuyên ngành khoa học máy tính Đại học Quốc gia Singapore chia sẻ.

Đồng thời, chuyên gia này cũng cảnh báo người dùng hãy tỉnh táo, đừng vì mối lợi trước mắt mà bỏ qua mối nguy lâu dài. Người dùng có thể phải bỏ ra số tiền lớn hơn dự định để giải quyết hậu quả đánh cắp thông tin cá nhân.

Jared Ragland, Phó giám đốc mảng chính sách đối ngoại thuộc tổ chức BSA, chia sẻ về những giải pháp bảo mật doanh nghiệp . 


Bên cạnh đó, Hiệp hội bảo mật doanh nghiệp (BSA), khách mời của Micrsoft giới thiệu nghiên cứu "Thay thế PC cũ" cho thấy sử dụng máy tính cũ trên 4 năm không hề tiết kiệm. Nghiên cứu được thực hiện với hơn 2.000 doanh nghiệp khu vực châu Á - Thái Bình Dương.

Cụ thể, những chiếc máy có tuổi thọ trên 4 năm tuổi cần được sửa chữa nhiều hơn 2,7 lần. Vì thế, số tiền cần để duy trì thiết bị vào khoảng trên 2.000 USD/năm, bằng với khoảng ngân sách bỏ ra để mua 2 chiếc PC mới.

Tuy nhiên, khu vực châu Á - Thái Bình Dương có đến 85% các doanh nghiệp cỡ vừa, với hơn 500 nhân viên hiện sử dụng các thiết bị trên 4 năm tuổi. Trong năm ngoái, tỷ lệ các doanh nghiệp vừa và nhỏ gặp phải các vấn đề an ninh và đánh cắp dữ liệu là 67%, nhưng chỉ 15% trong số họ báo cáo những tấn công này.

Theo tổ chức BSA, Việt Nam đứng thứ hai trong top 9 quốc gia châu Á sử dụng phần mềm lậu nhiều nhất, sau Trung Quốc. Biểu đồ do BSA cung cấp khảo sát từ năm 2003 - 2017. Việt Nam có tỷ lệ dùng phần mềm độc hại là 90% ở năm 2013, giảm dần đến 70% trong năm 2017. Đây cũng là một tín hiệu đáng mừng cho thấy Việt Nam đang có sự cải thiện, dù vẫn trong nhóm báo động.
Hà Nội và TP.HCM đang dẫn đầu về số lượng lây nhiễm mã độc cả nước, theo số liệu từ Microsoft.


Trả lời Zing.vn, giáo sư Biplab Sikdar cho rằng tình hình bảo mật an ninh mạng ở các cơ quan công quyền khu vực châu Á chỉ ở mức chấp nhận được. Số lượng cơ quan sử dụng phần mềm bản quyền và thường xuyên cập nhật các bản vá lỗi Windows 10 hầu như không cao. 

"Chính phủ các nước châu Á cần nhận biết được tầm quan trọng của vấn đề. Bộ phận IT tại các cơ quan công quyền cần phải được huấn luyện về các tình huống tấn công mạng", giáo sư Biplab Sikdar nói.

Zing.

YouTube toàn cầu gặp sự cố kết nối


Vào khoảng 7 giờ 30 sáng theo múi giờ Việt Nam, người dùng gặp vấn đề khi truy cập vào trang chủ website YouTube.

Cụ thể, khi truy cập vào trang chủ YouTube trên trình duyệt, người dùng sẽ chỉ thấy logo YouTube, khung tìm kiếm và 1 số biểu tượng khác nhưng không nhấp chuột vào được.

Giao diện Youtube gặp lỗi kết nối trên browser Chrome.

Trên thiết bị di động, màn hình hiển thị lỗi 503.

Lỗi kết nối hiển thị trên ứng dụng YouTube di động.

Trên một số diễn đàn phổ biến như Reddit, các thành viên đã bắt đầu thông báo tình trạng lỗi kết nối với YouTube. 



Thông báo tình trạng YouTube không truy cập được trên diễn đàn Reddit.

Hiện tại, tạm thời có thể nói người dùng trên toàn cầu chưa thể sử dụng dịch vụ trên YouTube vào thời điểm này.

Trên Twitter, sau nhiều báo cáo của người dùng, đại diện YouTube cho biết họ đang khắc phục vấn đề và xin lỗi vì sự cố này.
Thông báo đang xử lí sự cố từ YouTube.

TTO.

Nóng: Website ngân hàng Hợp tác xã Việt Nam bị tấn công đòi tiền chuộc


Hacker để lại thông tin trên trang web của ngân hàng, đòi 100.000 USD để đổi lấy dữ liệu của hơn 275.000 người dùng.

Tối 13/10, một địa chỉ thuộc website của ngân hàng Hợp tác xã Việt Nam (Co-op Bank) hiển thị thông tin bằng tiếng Anh với nội dung: "Đã bị hack bởi Sogo Nakamoto". Tin tặc còn tuyên bố nắm trong tay toàn bộ cơ sở dữ liệu người dùng ngân hàng trực tuyến cũng như trình quản lý máy chủ web (WHM - Web Host Manager).

Thông báo mà hacker để lại trên trang ngách của Co-op Bank.

Cụ thể, hacker ra yêu sách 100.000 USD (khoảng 2,3 tỷ đồng) để đổi lấy toàn bộ database của hơn 275.000 người dùng kèm WHM. Hoặc 10.000 USD (khoảng 233 triệu đồng) cho 10.000 tài khoản ngân hàng trực tuyến sử dụng ACH transfer (ngân hàng hối đoái tự động). Việc thanh toán được thực hiện thông qua Bitcoin hoặc Bitcoin Cash.

"Thông tin mà hacker để lại cho thấy website của Co-op Bank đã bị tấn công, tuy nhiên mức độ ảnh hưởng thì tùy thuộc vào hệ thống bảo mật của ngân hàng", ông Trần Đình Quốc, một chuyên gia bảo mật tại Hà Nội, nhận định. "Nhiều ngân hàng có website hiển thị tin tức hoạt động độc lập với các dịch vụ tài chính, do đó chưa thể xác định được dữ liệu người dùng mà hacker nhắc đến bao gồm những gì, có thực sự bị đánh cắp hay không".

Theo chuyên gia này, trang chủ ngân hàng Hợp tác xã Việt Nam sử dụng WordPress, một hệ thống xuất bản nội dung mã nguồn mở, miễn phí, phổ biến trên thế giới. Tuy nhiên, hệ thống này tồn tại nhiều vấn đề liên quan đến bảo mật. Lỗ hổng được khai thác trên trang của Co-op Bank có thể là "xmlrpc.php" vốn đã được cảnh báo từ nhiều năm qua, trong khi phiên bản WordPress của ngân hàng không phải mới nhất.

Theo một chuyên gia bảo mật khác tại TP HCM, "website của một ngân hàng mà dùng WordPress là chưa chuyên nghiệp. Còn việc hacker đòi tiền chuộc thông qua Bitcoin hay Bitcoin Cash là bởi các đồng tiện điện tử này có tính ẩn danh, người chuyển tiền sẽ không biết được người nhận là ai, tương tự mã độc WannaCry trước đây".

Trả lời VnExpress, ông Nguyễn Thạc Tâm, Phó tổng Giám đốc Co-op Bank cho hay, "hacker chỉ tấn công được trang ngách của ngân hàng và website này cũng chỉ là cổng thông tin, không có bất kỳ dữ liệu nào của khách hàng. Các hệ thống thông tin quan trọng của ngân hàng đều được lưu trữ trên hệ thống độc lập khác và hiện nay chúng tôi cũng chưa triển khai dịch vụ Internet Banking".

Sáng nay (14/10), website ngân hàng Hợp tác xã Việt Nam tại tên miền http://co-opbank.vn/ vẫn hoạt động bình thường và thông báo của hacker đã bị xoá bỏ. Tuy nhiên từ khoảng 14h hôm nay, người dùng không thể truy cập được địa chỉ trên mà chỉ nhận được thông báo "mất quá nhiều thời gian để phản hồi" từ trình duyệt.

Ông Tâm cho hay ngân hàng đang tạm dừng hệ thống để xử lý và sẽ có thông báo tới khách hàng sau.

VNE.

Nhà mạng phải cung cấp "quan điểm chính trị", "niềm tin triết lý" khi Cục An Ninh Mạng yêu cầu


Luật An Ninh mạng yêu cầu lưu trữ cả..sở thích, sở trường, quan điểm chính trị, nguồn gốc dân tộc, chủng tộc, niềm tin triết lý của công dân.

Bản dự thảo hơn 40 trang v/v Qui định chi tiết một số điều của Luật An ninh mạng vừa được chính phủ ông Nguyễn Xuân Phúc gửi đi lấy ý kiến các bộ, ngành.

Một luật sư đã tóm tắt giúp vài điểm mấu chốt cần lưu ý !

1/ Toàn bộ các thông tin sau phải được lưu trữ tại Việt Nam và phải được cung cấp khi có yêu cầu của Cục trưởng Cục ANM:

– Thông tin cá nhân: họ tên, ngày tháng năm sinh, nơi sinh, quốc tịch, nghề nghiệp, chức danh, nơi cư trú, địa chỉ liên hệ, địa chỉ thư điện tử, số điện thoại, số chứng minh nhân dân, mã số định danh cá nhân, số căn cước công dân, số hộ chiếu, số thẻ bảo hiểm xã hội, số thẻ tín dụng, tình trạng sức khoẻ, hồ sơ y tế, hồ sơ tài chính, sở thích, sở trường, quan điểm chính trị, nguồn gốc dân tộc, chủng tộc, niềm tin triết lý, vị trí trong xã hội, sinh trắc học.

– Dữ liệu do cá nhân tạo ra: nội dung tương tác, tính năng sử dụng, hành động thực hiện, thời gian, tần suất hoạt động, thông tin chọn tải lên, đồng bộ thiết bị.

– Dữ liệu về mối quan hệ của cá nhân: bạn bè, trang, tài khoản, từ khoá, nhóm mà người sử dụng kết nối hoặc tương tác.

– Thông tin khởi tạo tài khoản người dùng.

– Dữ liệu phát sinh trong quá trình sử dụng dịch vụ, bao gồm: nhật ký truy cập, thông tin thanh toán dịch vụ, địa chỉ IP truy cập dịch vụ, thói quen tìm kiếm, log chat, thời gian giao dịch.

2/ Doanh nghiệp cung cấp các dịch vụ sau, mà có người dùng tại Việt Nam thì phải lưu trữ dữ liệu và đặt trụ sở, chi nhánh, văn phòng đại diện tại Việt Nam và được sự đồng ý của Cục ANM khi triển khai dịch vụ:

– Dịch vụ viễn thông các loại.

– Dịch vụ internet các loại: gồm cả dịch vụ lưu trữ, mạng xã hội, thương mại điện tử, tài chính ngân hàng, cung cấp hoặc vận hành các thông tin khác dưới dạng tin nhắn, cuộc gọi thoại, cuộc gọi video, thư điện tử, trò chuyện trực tuyến, công cụ tìm kiếm, truyền thông xã hội, mạng xã hội, thông tin kỹ thuật số ở dạng văn bản, âm thanh, hình ảnh, hoạt ảnh, nhạc, video, phim, trò chơi bằng phương tiện phát trực tuyến hoặc tải về.

– Dịch vụ gia tăng trên mạng (thư điện tử, thư thoại…)

————-

Cục An ninh mạng (A68) vừa sáp nhập với Cục Cảnh sát phòng chống tội phạm sử dụng công nghệ cao (C50). Luật ANM tại Việt Nam sẽ có hiệu lực từ 1.1.2019 –


Trung Quốc đã hack Apple, Amazon bằng 1 con chip nhỏ hơn hạt gạo



Bài này là điều tra của Bloomberg thu thập thông tin từ nhiều công ty như Amazon, Apple, CIA, các quan chức Mỹ... để phơi bày việc mainboard dùng trong máy chủ của nhiều hãng lớn và cả Bộ quốc phòng Mỹ bị cài lén một con chip nhỏ xíu bắt nguồn từ Trung Quốc. Bài hơi dài, nhưng anh em nên đọc hết, đảm bảo hấp dẫn và anh em sẽ thấy được những cách hack mới lạ hoàn toàn, và cực kì nguy hiểm cho tất cả chúng ta.

Năm 2015, Amazon bắt đầu âm thầm đánh giá một startup tên là Elemental Technologies. Công ty này cung cấp giải pháp stream video và công nghệ của họ đã được sử dụng để phát sóng Olympic, truyền thông tin với Trạm không gian quốc tế, thậm chí là stream video từ drone cho CIA. Nhưng các hợp đồng béo bở của Elemental không phải là lý do chính Amazon muốn mua lại Elemental, thay vào đó Amazon muốn sở hữu công nghệ phía sau để phục vụ ngược lại cho các mảng như Amazon Prime Video, và đặc biệt hơn là dùng cho các dự án cloud Amazon Web Services (AWS) mà Amazon đang làm cho CIA.


Điều tra

Trong quá trình thẩm tra doanh nghiệp trước khi quyết định đầu tư (gọi là due diligence - dd), AWS đã thuê một bên thứ ba kiểm tra tính bảo mật hệ thống của Elemental. Trong quá trình này, họ có điều tra các server mà khách hàng của Elemental lắp đặt trong hệ thống của mình để thực hiện việc nén video. Những server đó được lắp ráp cho Elemental bởi Super Micro Computer Inc (còn được gọi là Supermicro), một hãng khá nổi tiếng trong giới làm bo mạch máy chủ và có trụ sở tại San Jose.

Độ cuối năm 2015, Elemental đóng gói một số server và gửi chúng tới Ontario, Canada để bên thứ ba nói trên thử nghiệm. Và thật bất ngờ, cơ quan kiểm tra này phát hiện trên bo mạch chủ của các server có một con chip nhỏ xíu bằng hạt gạo, và đáng lưu ý là con chip này không nằm trong thiết kế ban đầu của bo mạch. Có ai đó đã gắn chúng vào. Amazon báo cáo vụ việc này cho chính quyền Mỹ, lan truyền thông tin cho cộng đồng tình báo. Đây là một chuyện cực kì nguy hiểm bởi các server của Elemental đang được dùng trong data center của Bộ quốc phòng Mỹ, trong tổng hành dinh phục vụ việc điều khiển drone của CIA, trên cả những tàu chiến của Hải quân Mỹ. Và Elemental chỉ là một trong số hàng trăm khách hàng của Supermicro mà thôi.

Cuộc điều tra kéo dài trong 3 năm và vẫn còn đang được tiếp tục, các nhà điều tra đã phát hiện ra rằng con chip này cho phép hacker tạo ra một cách cửa sau (backdoor) để truy cập vào bất kì hệ thống mạng nào có lắp đặt những server nói trên. Nhiều người ẩn danh nói với Bloomberg rằng các nhà điều tra đã truy được nguồn gốc của những con chip nói trên: chúng xuất phát từ các nhà máy gia công ở Trung Quốc!

Việc dùng chip để tấn công nghiêm trọng hơn nhiều so với những cuộc tấn công bằng phần mềm mà chúng ta thường thấy và đang dần quen thuộc. Việc gắn chip là cực kì khó, nhưng khi bị tấn công bằng phần cứng, gần như không gì có thể cản được nữa. Nó cũng cho thấy nhiều cơ quan tình báo sẵn sàng chi nhiều triệu đô la để nghiên cứu, tìm cách lấy trộm thông tin cũng như dành nhiều năm để thực hiện ý đồ của mình.

Các nhà điều tra tiếp tục nghiên cứu thì thấy rằng chip đã được gắn vào trong quá trình sản xuất bởi các đặc vụ thuộc quân đội Trung Quốc. Trung Quốc đã tìm thấy Supermicro, cánh cửa để họ truy cập được rất nhiều thông tin tình báo của Mỹ thông qua chuỗi cung ứng này.

Một quan chức giấu tên cho hay cuộc điều tra đã xác định gần 30 công ty bị ảnh hưởng, trong đó có nhiều ngân hàng, các nhà thầu quân sự, thậm chí cả Apple. Apple là khách hàng quan trọng của Supermicro, họ mới vừa đặt hàng hơn 30.000 server trong vòng 2 năm để chuẩn bị mở rộng mạng lưới data center toàn cầu. 3 nhân viên cao cấp làm cho Apple cũng nói rằng Apple đã phát hiện thấy những con chip độc hại này trên bo mạch của Supermicro vào mùa hè năm 2015.

Trong thông cáo chính thức, Amazon, Apple và cả Supermicro đều từ chối xác nhận vấn đề. AWS nói họ không biết về việc chip có gắn trên bo mạch khi mua lại Elemental. Apple thì "chưa bao giờ tìm thấy chip độc hại, can thiệp phần cứng hay các lỗ hổng được cấy vào server một cách chủ đích". Apple cũng đã ngừng mối quan hệ với Supermicro nhưng họ thông báo điều này là do những lý do không liên quan tới sự cố mà chúng ta đang nói tới trong bài này. Supermicro thì nói họ "không biết về những cuộc điều tra đó".

Về phía chính phủ Trung Quốc, họ nói rằng "sự an toàn trong chuỗi cung ứng là một nỗi lo chung, và Trung Quốc cũng là nạn nhận". FBI, CIA và NSA từ chối bình luận về vấn đề này.

Phát ngôn từ chối nói trên đã bị phản bác bởi 6 người hiện đang là quan chức bảo mật, những người đã tham gia vào quá trình điều tra, phát hiện các con chip cũng như cuộc điều tra của chính phủ Mỹ. Trong số những người nào có 2 người đến từ AWS. Có thêm 3 nhân viên của Apple và 4 quan chức khác xác nhận thông tin Apple là nạn nhân. Tổng cộng có 17 người xác nhận việc phần cứng của Supermicro bị can thiệp. Vì lý do gì đó mà tất cả công ty và chính phủ đều phải lắc đầu khi được hỏi một cách công khai, có lẽ vì thông tin này là thông tin thuộc diện bảo mật cao theo luật Mỹ.

Một trong số các nguồn tin cho rằng mục tiêu dài hạn của Trung Quốc là truy cập và đánh cắp các bí mật kinh doanh có giá trị cao của doanh nghiệp Mỹ cũng như tài liệu, mạng lưới bí mật của chính phủ. Trung Quốc (tạm thời) chưa quan tâm tới việc lấy trộm dữ liệu người dùng.

Mới đây chính quyền của tổng thống Trump có áp thuế lên các linh kiện máy tính và mạng nhập khẩu từ Trung Quốc như một phần của lệnh trừng phạt. Cộng với thông tin mà các bạn đã đọc ở trên, các công ty Mỹ có thể sẽ đẩy nhanh việc dời dây chuyển sản xuất sang các quốc gia khác.

Vì sao lại là Supermicro?


Supermicro đóng đô tại phía bắc sân bay San Jose, công ty được sáng lập bởi Charles Liang, một kĩ sư Đài Loan từng học tại Texas và sau đó lập ra Supermicro cùng với vợ mình hồi năm 1993. Khi đó các công ty ở Thung lũng Silicon rất thích outsource các sản phẩm IT để giảm chi phí và rút ngắn thời gian phát triển. Họ thích chọn các công ty Đài Loan và sau đó là Trung Quốc. Mặc dù đa số linh kiện của Supermicro được sản xuất ở nước ngoài nhưng nó vẫn được ráp ở Mỹ.

Ngày nay, Supermicro bán nhiều bo mạch server hơn bất kì công ty nào khác trong cùng lĩnh vực. Supermicro gần như độc chiếm thị trường trị giá 1 tỉ USD này, và họ không sợ đụng hàng vì mainboard của hãng được dùng trong các hệ thống máy tính đặc biệt, không phải máy tính cá nhân: máy quét MRI trong bệnh viện, các server đặc thù cho ngân hàng, cho những quỹ đầu tư tài chính, các công ty cung cấp dịch vụ cloud, và cả hệ thống vũ khí nữa. Supermicro có một nhà máy lắp ráp ở California, Hà Lan và Đài Loan nhưng bo mạch chủ - sản phẩm chủ lực - thì được làm bởi các nhà thầu Trung Quốc.


Supermicro nói với khách hàng rằng họ có thể tùy biến rất nhiều về bo mạch, họ có đội ngũ hàng trăm kĩ sư và một bộ sưu tập trên 600 thiết kế bo mạch. Đa số lực lượng lao động của công ty ở San Jose là người Đài Loan và Trung Quốc, họ sử dụng tiếng Trung phổ thông (Mandarin) làm ngôn ngữ chính. Nhiều thứ ở công ty cũng được viết bằng tiếng Trung. Có lẽ vì thế mà chính phủ Trung Quốc mới dễ hiểu được cách vận hành của Supermicro và tìm ra chỗ sơ hở để cài chip vào. Các quan chức Mỹ hiện vẫn đang điều tra xem liệu có gián điệp nào được cài vào Supermicro hay không.

Supermicro có hơn 900 khách hàng ở 100 quốc gia, và con số này chỉ mới tính tới năm 2015 mà thôi. Supermicro giống như là Microsoft trong thế giới phần cứng server. Tấn công vào Supermicro là bạn đang tấn công vào Windows, tức là đang tấn công cả thế giới".

Khi truy ngược lại một số nhà máy mà Supermicro có hợp đồng sản xuất tại Trung Quốc, các nhà điều tra phát hiện thấy rằng trong một số thời điểm đơn hàng lên cao quá, các nhà thầu này lại đi kiếm thêm thầu phụ, và nhà máy của những nhà thầu phụ này chính là nơi mà chip được cài vào. Dường như mỗi nhà thầu được cung cấp một lô chip khác nhau nên kích thước của chính hay khác nhau một chút, việc này đã diễn ra trong ít nhất 2 năm.

Để có thể gắn được chip, Trung Quốc được cho là đã mua chuộc quản lý của các nhà máy này để họ thay đổi thiết kế gốc từ Supermicro và nhúng con chip mã độc vô. Nếu mua chuộc không được, họ chuyển sang đe dọa đóng cửa nhà máy của các nhà thầu, thế nên họ đành ngoan ngoãn nghe theo. Việc này được tiến hành bởi một nhóm của Quân đội Trung Quốc chuyên về tấn công phần cứng.

Việc truy ngược phần cứng khá dễ dàng chứ không như việc truy nguồn gốc của hack phần mềm. Mọi bo mạch đều có số series, các số này lại được lưu trong hệ thống sản xuất của Supermicro và các nhà thầu nên dễ truy nguồn hơn.

Khi hỏi chính phủ Trung Quốc, tất nhiên họ phủ nhận và nói mình không làm điều đó.

Cách con chip hoạt động


Các con chip này quá nhỏ, nhìn qua có thể nhầm lẫn với con tụ và nhiều linh kiện khác trên bo mạch chủ. Trong một số bo mạch, nó nhỏ tới mức có thể nhét giữa lớp chân chip để mắt thường không thể nhìn thấy.

Các nhà điều tra cho hay con chip này sẽ can thiệp vào đường đi của dữ liệu khi nó di chuyển giữa các phần khác nhau của bo mạch. Sẽ có một phần của hệ điều hành được đưa vào CPU xử lý, và con chip của Trung Quốc sẽ chỉnh sửa luồng thông tin này, chèn code của nó vào để chỉnh sửa thứ tự các lệnh mà CPU sẽ thực hiện. Chỉ một số thay đổi nhỏ thôi nhưng vẫn có thể gây ra hậu quả khủng khiếp.


Bởi vì các con chip được cấy vào bo mạch rất nhỏ nên code của chúng cũng nhỏ, nhưng nó làm được 2 chuyện quan trọng:

Cho phép server được truy cập từ một máy tính nào đó trên Internet, sau đó máy tính này sẽ load các đoạn code phức tạp hơn để trích xuất, lấy cắp thông tin
Chip cũng sẽ chuẩn bị và đảm bảo hệ điều hành của server chấp thuận đoạn code mớiChip làm được điều này nhờ nó được kết nối thẳng vào bộ điều khiển bộ nhớ của bo mạch. Đây cũng là cách mà các vị admin thường dùng để log in từ xa vào các server gặp sự cố.

Lấy một ví dụ thế này cho cụ thể: ở đâu đó trong Linux (là OS được dùng chủ yếu trên server) có các đoạn code xác thực người dùng bằng cách xác minh xem password nhập vào có khớp với password được mã hóa và đã lưu trữ từ trước hay không. Con chip của Trung Quốc có thể chỉnh sửa lệnh của CPU để bỏ qua bước kiểm tra password, và xin chúc mừng, bạn đã vào tới nơi rồi đấy!

Chip cũng có thể đánh cắp khóa bảo mật của các kết nối Internet, chặn các bản update có thể vô hiệu hóa lỗ hổng bảo mật, và mở cửa cho người khác truy cập vào server.

Tấn công vào Apple, Amazon


Năm 2014, Apple dự tính đặt hơn 6000 server của Supermicro để dùng cho 17 data center tại Amsterdam, Chicago, Hong Kong, Los Angeles, New York, San Jose, Singapore, Tokyo, cộng thêm 4000 server nữa cho các data center hiện có ở North Carolina và Oregon (Mỹ). Supermicro bị cài chip mã độc cũng vào khoảng thời gian gần gần đó.

Apple lắp được 7000 server thì phát hiện thấy vấn đề hiệu năng, ngoài nhóm bảo mật của Apple cũng tìm thấy các con chip trộm thông tin nói trên. Apple không cho phép các nhà điều tra truy cập vào cơ sở của mình hay xem các phần cứng bị can thiệp nên các nhà điều tra không thể làm gì thêm.

Nhưng ở phía Apple, gần như 7000 server này đã bị gỡ bỏ khỏi hạ tầng Apple trong chỉ vài tuần và thay bằng hãng khác ngay. Năm 2016, Apple chính thức chấm dứt với Supermicro.



Đối với AWS, họ sử dụng các server được thiết kế và sản xuất riêng nên không gặp sự cố về chip bị nhúng vào, trừ các data center dùng cho khách hàng AWS Trung Quốc. Data center của AWS tại Trung Quốc toàn sử dụng server Supermicro. Khi phát hiện ra vấn đề lúc mua lại Elemental, nhóm bảo mật của AWS cũng lôi phần cứng tại Trung Quốc và ra xem và phát hiện vấn đề tương tự, thậm chí một số server còn bị cài chip phức tạp hơn so với cái từng bị phát hiện trước đó. Một số chip nhỏ hơn đầu bút chì đã được chuốc!

Tháng 8 năm 2016, CEO Supermicro nói rằng công ty bị mất đi 2 khách hàng lớn, dù không nói tên nhưng mọi người đều biết đó là Apple. Ông nói rằng Supermicro đã không cạnh tranh lại về giá so với các đối thủ, nhưng thực chất phía sau còn có nhiều thứ phức tạp hơn đang diễn ra.

Chốt lại: rủi ro bị trộm thông tin bởi các lỗ hổng trong chuỗi cung ứng ngày càng rõ rệt hơn, và nay chúng ta đã có bằng chứng rõ ràng về chuyện này. Đây là điều cực kì nguy hiểm bởi Trung Quốc đang là nơi sản xuất phần lớn thiết bị điện tử trên thế giới, cả các đồ dùng cho người dùng phổ thông lẫn máy tính chuyên nghiệp. Và đây sẽ là nguy cơ cực lớn đến từ Trung Quốc trong việc rò rỉ bí mật kinh doanh, thông tin quốc phòng, và biết đâu ngày nào đó sẽ là dữ liệu cá nhân của bạn?

Nguồn: Bloomberg

Theo Tinh Tế.


Hệ thống VNG, Zalo, Báo mới sập hàng loạt vì lý do không thể vô lý hơn


Không chỉ nhiều trang tin và báo điện tử gặp vấn đề, điều tương tự cũng xảy ra với ứng dụng nhắn tin Zalo khiến người dùng cảm thấy bất tiện.

Sáng 23/9, nhiều người dùng Facebook cho biết họ không thể truy cập bất cứ trang web, dịch vụ hay ứng dụng nào của do tập đoàn VNG cung cấp. Trong số này, có cả những dịch vụ trực tuyến, ứng dụng có rất đông người sử dụng tại Việt Nam như cổng 360game, dịch vụ nghe nhạc trực tuyến Zing MP3, Zing TV, ứng dụng nhắn tin Zalo, cổng thanh toán trực tuyến Zalo Pay, Báo mới... 

Hàng loạt các dịch vụ do VNG cung cấp đồng loạt gặp vấn đề. 


Không chỉ có các ứng dụng, hàng chục tờ báo điện tử hợp tác vận hành kỹ thuật với Epi cũng đã gặp sự cố không thể truy cập dịch vụ. Trong đó có rất nhiều báo lớn như Thanh niên, Tiền phong, Pháp luật TP.HCM, VOV, An ninh thủ đô…
Sự cố với VNG khiến rất nhiều báo điện tử tại Việt Nam không thể truy cập được. 


Theo đại diện tập đoàn VNG, hệ thống của đơn vị này gặp sự cố về điện trong thời điểm ngắt điện tại Công viên phần mềm Quang Trung.

Trong thông cáo gửi bao chí, EVN cho biết phía công viên phần mềm Quang Trung đã báo lịch cắt điện tới các doanh nghiệp đang hoạt động trong khu công viên phần mềm, nhưng hệ thống datacenter của VNG không có backup điện cho điều hòa chuẩn nên mất điều hòa. Máy chủ quá nóng nên bị sập là lý do chính gây ảnh hưởng đến các sản phẩm và dịch vụ của VNG.

Đại diện VNG cho biết, hệ thống của đơn vị này sẽ khôi phục trong 1 giờ và có phương án xử lý riêng theo đặc thù cung cấp dịch vụ.

Trao đổi với Pv. VietNamNet về điều này, chuyên gia hệ thống Nguyễn Đoàn Trọng Hiếu cho biết, về mặt lý thuyết, sự cố với datacenter diễn ra trong vòng 1 phút là bình thường, 5 phút là sự cố lớn, 15 phút là không thể nào chấp nhận được.

Sự cố này ảnh hưởng trực tiếp đến rất nhiều người sử dụng các dịch vụ của VNG. Một trong số đó là website nghe nhạc trực tuyến Zing MP3 và ứng dụng nhắn tin Zalo với hàng triệu người sử dụng. 

“Sự cố xảy ra với VNG suốt mấy tiếng đồng hồ qua rất có thể là do sự chủ quan, tắc trách của người điều hành trong khâu backup dự phòng cho hệ thống. Thông thường, một hệ thống lớn như VNG không thể để datacenter theo kiểu “trứng cùng một giỏ” như vậy được. Kiến trúc hệ thống máy chủ này có vấn đề”, anh Nguyễn Đoàn Trọng Hiếu chia sẻ.

Đến thời điểm 3h chiều ngày 23/9, việc truy cập vào Zalo, Zing MP3 cùng các báo điện tử Thanhnien, Zing News,... vẫn chưa thể trở lại như bình thường. Khi truy cập vào các báo điện tử, thông tin trả về cho biết “Hệ thống đang nâng cấp & bảo trì. Quý khách vui lòng trở lại sau ít phút nữa”.

VNN.

Facebook bắt đầu đánh giá độ tin cậy của người dùng



Facebook cho biết đã phát triển quy trình để nhận diện những người dùng sử dụng báo cáo tin giả một cách cẩu thả, làm nhiễu loạn hệ thống.

Trong một nỗ lực mới nhất nhằm nâng cao hiệu quả của các chiến dịch đẩy lùi nạn tung tin sai sự thật (fake news), ngày 21/8, mạng xã hội Facebook thông báo đã phát triển các công cụ để nhận diện người dùng gắn mác tin giả mạo một cách "cẩu thả".Ảnh: TTXVN phát
Trong một nỗ lực mới nhất nhằm nâng cao hiệu quả của các chiến dịch đẩy lùi nạn tung tin sai sự thật (fake news), ngày 21/8, mạng xã hội Facebook thông báo đã phát triển các công cụ để nhận diện người dùng gắn mác tin giả mạo một cách "cẩu thả".
Facebook cho biết đã phát triển quy trình để nhận diện những người dùng sử dụng báo cáo tin giả một cách cẩu thả, làm nhiễu loạn hệ thống. Tuy nhiên quy trình này còn phụ thuộc vào tần suất một người dùng phát giác tin giả.
Theo đó, người dùng khi muốn báo cáo tin có vấn đề sẽ được chấm điểm độ đáng tin cậy theo một thang điểm từ 0-1.
Như vậy với quy trình đánh giá mới, một người dùng sẽ nhận thang điểm đánh giá thấp nhất nếu liên tục báo cáo nhầm tin giả mạo. Thang đánh giá này sẽ được đội kiểm tra của Facebook coi như một trong những cơ sở để xem xét khi xử lý thông tin báo cáo từ người dùng.
Trong suốt hơn một năm qua Facebook và nhiều nền tảng trực tuyến khác đã nỗ lực nhằm đẩy lùi tình trạng tung tin giả, thao túng những nền tảng này để phục vụ những mục đích không trong sáng.
Nhưng một trong những khó khăn nảy sinh trong quá trình này là nhiều người dùng báo cáo tin giả mạo chỉ đơn giản vì họ không đồng ý với câu chuyện đó hoặc chỉ đơn giản là báo cáo nhầm, gây nhiễu loạn. Đây chính là lý do khiến Facebook sáng tạo ra những công cụ nhằm giảm thiểu những báo cáo không đúng.
Cùng ngày, mạng xã hội này cũng thông báo xóa khoảng 5.000 hạng mục có thể bị sử dụng để đăng những quảng cáo mang tính phân biệt chủng tộc hay tôn giáo...
Động thái mới của Facebook diễn ra sau khi hồi tuần trước Bộ Nhà ở và phát triển đô thị Mỹ nộp kiến nghị lên tòa án về việc mạng xã hội vi phạm luật nhà ở khi cho phép đăng những quảng cáo nhà đất có tính phân biệt.
Facebook khẳng định mỗi lựa chọn mà mạng xã hội này cung cấp đều nhằm phục vụ lợi ích cộng đồng và hợp pháp nhưng cân nhắc những nguy cơ có thể bị lạm dụng nền tảng trực tuyến này đã quyết định dỡ bỏ hơn 5.000 lựa chọn.
Trong vài tuần tới, Facebook cũng sẽ bắt đầu quy trình cấp giấy phép cho các nhà quảng cáo Mỹ nhằm hạn chế khả năng các nhà quảng cáo đưa ra những thông tin mang tính phân biệt tín ngưỡng hay sắc tộc.
Hồi tháng 4, Facebook cũng đã phải loại bỏ các công cụ giúp các nhà quảng cáo nhắm tới nhóm những người dùng trọng tâm dựa trên các tiêu chí liên quan tới giới tính, sắc tộc hay tôn giáo./.

Việt Nam mất 500 triệu đô la Mỹ do mã độc


Các hệ thống máy tính tại Việt Nam bị mã độc tấn công rất nhiều.

Việt Nam bị thiệt hại 542 triệu tám trăm ngàn đô la Mỹ, tương đương 12 300 tỉ đồng vào năm ngoái vì các cuộc tấn công máy tính bằng mã độc.

Thông tin này được các chuyên gia đưa ra tại một hội thảo ở Hà Nội hôm 31/7 vừa qua do hiệp hội này phối hợp với Đại sứ quán Israel tổ chức.

Tại hội thảo, ông Vũ Quốc Khánh, Ủy viên Ban chấp hành Hiệp hội an toàn thông tin Việt Nam cho biết có đến 50% các cơ quan và tổ chức ở Việt Nam không thể phát hiện kịp thời khi hệ thống máy tính của mình bị tấn công. Các tay tin tặc xâm nhập những hệ thống máy tính để đánh cấp thông tin, bí mật của nhà nước, bí mật kinh doanh, thông tin cá nhân, chiếm quyền kiểm soát hệ thống máy tính…

Điều rất đáng lo, theo ông Khánh là các phương tiện mà bọ tin tặc sử dụng là rất hiện đại.

Theo thông tin của Báo Người lao động tại Việt Nam, trích dẫn nguồn từ một công ty an ninh mạng thì chỉ trong sáu tháng đầu năm 2018, đã có hơ 1 tỉ file, email, các đường dẫn web site bị nhiễm mã độc được phát hiện ở Việt Nam. Con số này được cho biết là cao nhất Đông Nam Á.

Trong bối cảnh Việt Nam vừa thông qua luật An ninh mạng vào tháng 6 vừa qua, người đại diện Hiệp hội an toàn thông tin Việt Nam cho rằng công tác đảm bảo an toàn thông tin mạng tại Việt Nam đang đặt ra những yêu cầu và nhiệm vụ mới.

Theo ông Vũ Quốc Khánh, các cơ quan doanh nghiệp Việt Nam cần phải nỗ lực đầu tư về nhân sự trong ngành công nghệ thông tin, phối hợp làm việc giữa các doanh nghiệp và hiệp hội.

Luật an ninh mạng mới của Việt Nam dù được chính phủ nói là để đảm bảo an toàn mạng cho người dùng nhưng lại bị giới chỉ trích cho rằng được đặt ra để bóp nghẹt tự do internet, khi yêu cầu các nhà cung cấp dịch vụ mạng trao cho cơ quan an ninh thông tin người sử dụng mà không cần lệnh tòa án.

Luật này là một trong những lý do làm bùng nổ những cuộc biểu tình lớn vào ngày 10/6 vừa qua.

RFA.

Facebook lấy thông tin của người Việt quá dễ dàng


Đó là nhận định của bà Võ Dương Tú Diễm, đại diện Hãng bảo mật Kaspersky Việt Nam, trước việc hơn 425.000 người dùng Việt Nam bị lộ, lọt thông tin trong vụ bê bối của Facebook.

Ông chủ Facebook, Mark Zuckerberg - Ảnh: Reuters

Trong bài viết ngày 4-4, giám đốc công nghệ Facebook Mike Schroepfer tiết lộ Việt Nam xếp thứ 9 trong 10 nước có lượng người dùng Facebook bị lộ thông tin nhiều nhất, với 427.446 tài khoản bị lộ.

Điều này tiếp tục làm dấy lên sự lo ngại của đông đảo người dùng Facebook tại Việt Nam.

Cái gì cũng... công khai


Trao đổi với Tuổi Trẻ ngày 6-4, bà Võ Dương Tú Diễm cho rằng hơn 425.000 người dùng Việt Nam bị lộ những thông tin cá nhân mà chính họ đã đồng ý chia sẻ khi sử dụng ứng dụng của Công ty Cambridge Analytica cũng như những thông tin phía Facebook cung cấp cho công ty này.

Đó có thể là những thông tin công khai trên Facebook cá nhân, quốc tịch, sở thích, nơi sinh, độ tuổi, các lĩnh vực quan tâm...

"Điều đáng nói là mục đích sử dụng những dữ liệu người dùng thu thập được của Cambridge Analytica chủ yếu là ở nước Mỹ. Do đó có thể phỏng đoán rằng số lượng người Việt bị sập bẫy của Cambridge Analytica nêu trên có thể là do vô tình (chẳng hạn do thiết lập quốc tịch Mỹ hay nơi ở là Mỹ...).

Nếu Cambridge Analytica có chủ đích khai thác người dùng Việt Nam, tôi tin họ có thể thu thập đến hàng chục triệu người dùng rất dễ dàng, bởi đông đảo người dùng Việt rất chủ quan khi dùng Facebook, chứ không chỉ vài trăm nghìn như công bố của Facebook" - bà Diễm phân tích.

Như Tuổi Trẻ từng giới thiệu, các chuyên gia an ninh mạng đã tổng hợp thành 4 nguy cơ làm mất tài khoản, lộ dữ liệu riêng tư của người dùng Việt khi tham gia Facebook.


425.000 người dùng Việt Nam bị lộ những thông tin cá nhân mà chính họ đã đồng ý chia sẻ

Thứ nhất là những thông tin riêng tư được người dùng đưa lên mạng xã hội, như số điện thoại, CMND, hộ chiếu, địa chỉ nhà, hình ảnh, video cá nhân...

Thứ hai là các ứng dụng chiếm quyền điều khiển điện thoại và ăn cắp mật khẩu tài khoản Facebook của người dùng.

Thứ ba là những trò lừa đảo kiểu tin nhắn thông báo người dùng trúng thưởng một phần quà giá trị và yêu cầu vào trang web nhập thông tin tài khoản Facebook và tài khoản ngân hàng.

Và thứ tư là mã độc lây lan qua mạng.

Cẩn thận khi kết bạn


Từ những nguy cơ trên, ông Nguyễn Minh Đức, giám đốc Công ty an ninh mạng CyRadar, cho rằng việc hạn chế khả năng bị lộ thông tin cá nhân chủ yếu là do chính quyết định của người sử dụng.

"Nếu người sử dụng không muốn bị lộ quá nhiều thông tin thì họ có thể lựa chọn đóng chế độ công khai, chỉ để bạn bè của mình xem. Họ cũng có thể hạn chế cung cấp thông tin về địa điểm, thời gian, thói quen của mình...

Người dùng cũng không nên dễ dài cài đặt các ứng dụng mới theo phong trào, không cài đặt ứng dụng không rõ nguồn gốc và đặc biệt nên kiểm tra kỹ quyền truy cập vào thông tin cá nhân của các ứng dụng trước khi cài đặt.


Người dùng cũng không nên dễ dài cài đặt các ứng dụng mới theo phong trào

Đồng thời, người dùng cũng không nên làm bạn và đồng ý với tất cả các yêu cầu kết bạn và tin nhắn mời chào từ người lạ qua Facebook và Facebook Messenger. Hãy luôn đặt nghi vấn khi bạn chat của mình đưa ra những yêu cầu đáng ngờ..." - ông Đức khuyến cáo.

Bên cạnh đó, người dùng cũng cần phải biết một số cải tiến về chính sách bảo mật vừa mới được Facebook công bố để chủ động sửa đổi các quyền sử dụng dữ liệu cá nhân của mình.

Trong đó, hệ thống phím tắt quyền riêng tư mới có những giải thích rõ ràng hơn về cách của Facebook điều khiển các hoạt động, cho phép người dùng có thể kiểm soát dữ liệu của mình dễ dàng và chi tiết hơn.

Để không bị lộ thông tin cá nhân, người dùng Facebook có thể sử dụng tính năng Truy cập thông tin của bạn (Access Your Information), xóa bất cứ điều gì họ muốn trên dòng thời gian hoặc hồ sơ cá nhân trên Facebook.

Người dùng cũng có thể tải xuống những điều họ đã chia sẻ trên Facebook và chuyển nó sang một dịch vụ khác nếu muốn.

Theo TTO.

Hacker Trung Quốc tấn công ‘chiến lược’ vào tranh chấp Biển Đông


Hàng không mẫu hạm USS Ronald Reagan từng là mục tiêu của tin tặc Trung Quốc khi tàu này đến khu vực tranh chấp ở Biển Đông năm 2016.

Chiến thuật của nhóm tin tặc Trung Quốc nhắm vào thông tin liên quan đến tranh chấp Biển Đông “có tính chiến lược hơn” so với trước, một chuyên gia của FireEye nói với VOA sau khi công ty an ninh mạng hàng đầu của Mỹ công bố báo cáo về các cuộc tấn công của nhóm TEMP.Periscope vào các nhà thầu và tổ chức của Mỹ gần đây.

Theo báo cáo này, nhóm tin tặc Trung Quốc có tên TEMP.Periscope lại xuất hiện hồi gần đây sau một thời gian dài vắng bóng. Chuyên gia Fred Plan, một nhà phân tích cấp cao của FireEye ở Los Angeles, nói với VOA-Việt ngữ:

“Nhóm [hacker] bị phát hiện, TEMP.Periscope, đã im tiếng khá lâu và bây giờ mới xuất hiện trở lại. Sau thỏa thuận giữa Tổng thống Barack Obama mà Chủ tịch Tập Cận Bình vào cuối năm 2016, nhiều nhóm hacker Trung Quốc không còn xuất hiện. Nhóm TEMP.Periscope tái xuất vào mùa hè năm ngoái. Và kể từ đó, chúng hoạt động rất tích cực. Nhóm này chuyên tấn công vào các hoạt động hàng hải. Chúng tấn công vào các tổ chức, các công ty kỹ thuật, cơ sở nghiên cứu… có liên quan đến hàng hải, và đặc biệt đến tranh chấp Biển Đông”.

Theo chuyên gia Fred Plan, những công ty, tổ chức Mỹ bị tấn công trong đợt này đều có liên hệ trực tiếp đến lĩnh vực quân sự, quốc phòng hoặc công nghệ đang được phát triển để ứng dụng trong quốc phòng hoặc với các chính phủ trong khu vực.

“Chúng tôi đã từng phát hiện nhiều nhóm tin tặc Trung Quốc tấn công vào các quốc gia xung quanh Biển Đông, nhưng điều khác biệt của nhóm TEMP.Periscope là chúng có vẻ như chỉ tập trung vào thông tin về kỹ thuật. Chúng tôi cho rằng loại thông tin này có tính chiến lược hơn so với các hoạt động khác trước đây”, ông Fred Plan cho biết thêm.

Dữ liệu mà nhóm TEMP.Periscope nhắm tới chủ yếu là các thông tin kỹ thuật, như dữ liệu về radar và công nghệ năng lượng mặt trời do các công ty Mỹ phát triển.

Theo chuyên gia của FireEye, các thông tin kỹ thuật này sẽ rất hữu ích trong việc định hình hay đưa ra các quyết định chiến lược liên quan đến tranh chấp Biển Đông và những hoạt động trong khu vực. Chẳng hạn, thông tin kỹ thuật từ các công ty, các Viện nghiên cứu về khu vực có thể giúp tìm ra những khu vực nào chịu ảnh hưởng của hệ thống radar hàng hải, hoặc nguyên tắc phát hiện các hoạt động ở Biển Đông của một hệ thống mới đang được phát triển v.v…

Theo ông Fred Plan, mặc dù FireEye chưa tìm ra chứng cứ cụ thể về mối liên hệ giữa nhóm tin tặc này với chính quyền Trung Quốc như trong những đợt trước, nhưng những thông tin về kỹ thuật mà nhóm hacker nhắm tới “rất có lợi” cho chính quyền ở Bắc Kinh khi cung cấp một cái nhìn “từ bên trong rất giá trị”.

Công ty chuyên cung cấp dịch vụ thông tin về an ninh, tình báo từng nhiều lần phát hiện các đợt tấn công của tin tặc Trung Quốc nhắm vào các nước xung quanh khu vực Biển Đông.

Các báo cáo trước đây của FireEye cho thấy các cuộc tấn công tập trung vào những thời điểm có biến động hay căng thẳng chính trị ở Biển Đông. Chẳng hạn, chỉ một ngày trước khi Tòa án Trọng tài quốc tế ở La Haye bác bỏ yêu sách chủ quyền của Bắc Kinh ở Biển Đông, tin tặc Trung Quốc đã tấn công vào hàng không mẫu hạm Hoa Kỳ USS Ronald Reagan khi tàu này đang di chuyển trong khu vực vào ngày 11/7/2016.

Tuy nhiên theo ông Fred Plan, loạt tấn công lần này lại theo hướng ngược lại, “tranh thủ” vào thời điểm thế giới ít chú ý đến vấn đề Biển Đông. Ông nói:

“Tiến triển của hoạt động gián điệp Trung Quốc ở Biển Đông đã không được chú ý mấy trên truyền thông, mà lẽ ra cần phải được chú ý. Có lẽ do có quá nhiều vấn đề xảy ra trên thế giới, nên tranh chấp Biển Đông đã bị gạt ra khỏi tâm điểm chú ý của thế giới. Điều này khiến cho Trung Quốc dễ dàng tiến hành các hoạt động như vừa kể mà không bị soi mói hoặc bị thế giới gâp áp lực”.

Ngoài các mục tiêu chính bị tấn công là các nhà thầu, tổ chức của Mỹ, tin tặc Trung Quốc còn nhắm tới một số tổ chức ở châu Âu và Hồng Kông.

Mặc dù hiệp định về an ninh mạng giữa Hoa Kỳ và Trung Quốc năm 2015 khẳng định Trung Quốc và Hoa Kỳ sẽ không tiến hành hay hỗ trợ các hoạt động đánh cắp thông tin trên mạng, nhưng các chuyên gia cho rằng vẫn tồn tại lỗ hổng đối với các mục tiêu gián điệp bình thường, như các doanh nghiệp có liên quan tới an ninh quốc gia, hoặc các mối quan hệ của chính phủ.

Trả lời tại cuộc họp báo ngay sau khi FireEye công bố báo cáo, phát ngôn viên Bộ Ngoại Giao Trung Quốc Lục Khảng chỉ nói nước ông phản đối tất cả các vụ tấn công trên mạng và “sẽ tiếp tục thực thi thỏa thuận quan trọng về an ninh mạng đã đạt được vào năm 2015”.

Theo VOA.

Câu chuyện về mã độc Stuxnet – vũ khí nguy hiểm trong thế giới mạng

iran-stuxnet
Được nhận diện là một nguy cơ bảo mật bùng nổ vào tháng 6 năm 2010, sâu máy tính/mã độc Stuxnet đã lây nhiễm vào ít nhất 14 cơ sở công nghiệp của Iran, trong đó có cả một nhà máy làm giàu uranium. Mã độc Stuxnet đã gây nên một mối lo ngại rất lớn đó là sâu máy tính giờ đây có thể được sử dụng để phá hoại sản xuất chứ không chỉ dùng cho mục đích thăm dò hay đánh cắp thông tin nữa. Điều đáng chú ý là Stuxnet có cơ chế hoạt động cực kì phức tạp, kèm theo đó là một số đặc tính rất riêng, rất nguy hiểm, thậm chí nó đã khai thác thành công một số lỗi mà người ta chưa hề biết đến để thực hiện mục đích của mình.

Cách hoạt động của mã độc Stuxnet

Sâu máy tính (worm) và virus đều được thiết kế nhằm mục đích phá hoại dữ liệu hoặc các hệ thống máy tính. Tuy nhiên, worm nguy hiểm hơn bởi nó có khả năng tự sao chép và tự lan truyền giữa các máy tính với, thường là sẽ thông qua một mạng máy tính. Stuxnet chính là một con worm và nó hoạt động theo 3 giai đoạn. Đầu tiên, nó sẽ nhắm đến các máy tính sử dụng Windows để lây nhiễm và tiếp tục lan truyền qua mạng bằng biện pháp tự sao chép. Sau đó, Stuxnet sẽ nhắm vào Step7, một phần mềm chạy trên Windows do Siemens phát triển để kiểm soát các thiết bị công nghiệp, ví dụ như van, lò nung… Cuối cùng, sâu này sẽ tìm cách phá hỏng các bộ lập trình logic (programmable logic controller – PLC, dùng để kiểm soát các hệ thống, máy móc và công cụ dùng trong công nghiệp). Quy trình chi tiết thì như sau:
Stuxnet_cach_hoat_dong
Cách thức hoạt động của mã độc Stuxnet​

Cũng vì khả năng của mình mà chủ nhân của Stuxnet có thể bí mật trinh thám xem những hệ thống công nghiệp nào được sử dụng ở cơ sở sản xuất của nạn nhân. Chúng thậm chí còn có thể làm cho các máy li tâm quay nhanh đến nỗi hỏng trục mà người vận hành không hề hay biết. (Tính đến ngày hôm nay Iran cũng chưa xác nhận một bài báo nói rằng Stuxnet đã làm hỏng một số máy li tâm của họ).

Nguy hiểm hơn, Stuxnet bao gồm nhiều thành phần và được phân tán nhiều nơi để có thể được cập nhật khi cần. Nó cũng có cơ chế giả dạng tập tin thư viện liên kết động (DLL) rất tinh vi nên có thể đánh lừa việc truy cập file DLL của phần mềm Step7. Theo giải thích của Symantec, Step 7 sử dụng một thư viện tên là S7otbxdx.dll để truy cập vào các bộ PLC. Stuxnet sẽ thay thế tập tin này bằng phiên bản riêng của nó, nhờ vậy mà sâu có thể can thiệp vào quá trình đọc, ghi dữ liệu từ máy tính đến PLC.

Stuxnet được lập trình để có thể bí mật lây từ máy Windows này sang máy Windows khác. Ngay cả khi máy không được kết nối Internet thì Stuxnet vẫn có thể tự sao chép mình thông qua các ổ đĩa USB. Chính vì đặc biệt tính này mà các chuyên gia bảo mật khi đó đã lo lắng rằng Stuxnet sẽ nhanh chóng lây lan ra thế giới bên ngoài. Thực chất thì vào tháng 10 năm ngoái, Thư kí bộ quốc phòng Leon Panetta của Mỹ đã từng lên tiếng rằng nước này đang có nguy cơ bị tấn công bởi một trận “Trân Châu Cảng trong không gian số”. Một đợt tấn công như vậy có thể làm xe lửa trật đường ray, nguồn nước bị nhiễm độc cũng như đánh sập cả hệ thống lưới điện quốc gia. Ngay sau đó một tháng, tập đoàn năng lượng Chevron (trụ sở chính tại Mỹ) thừa nhận họ chính là công ty Hoa Kì đầu tiên bị nhiễm Stuxnet.

Quay trở lại con sâu Stuxnet, cho đến nay người chịu trách nhiệm sáng tạo ra nó vẫn chưa hề bị chính thức phát hiện. Tuy nhiên, kích thước và mức độ nghiêm trọng của nó đã khiến các chuyên gia tin rằng Stuxnet đã được tạo nên nhờ có sự hậu thuẫn của một quốc gia nào đó. Hai “kẻ tình nghi” hàng đầu được giới bảo mật đưa ra là Mỹ và Israel bởi họ có mối quan hệ không tốt với Iran. Ngoài ra, Mỹ cũng đang có rất nhiều nỗ lực để ngăn chặn chương trình hạt nhân của Iran này nên không loại trừ khả năng họ tạo ra một sâu máy tính để phá hoại đối thủ của mình.

Với một cú đánh mạnh do Stuxnet gây ra, kịch bản về một ngày tận thế trong đó mọi thứ điều khiển bằng máy tính đều bị tê liệt đã bắt đầu dần dần trở thành hiện thực. Những gì diễn ra trong phim Live Free or Die Hard 4 có thể sẽ được áp dụng và nhà nghiên cứu Schouwenberg nói rằng khi đó, “khoa học viễn tưởng bổng nhiên trở thành sự thật”. Nhưng ai sẽ là người cứu thế giới? Đó sẽ không phải là Bruce Willis, một chàng trai có 27 tuổi có tóc đuôi ngựa như trong phim, mà chính các chuyên gia và kĩ sư bảo mật sẽ lật ngược thế cờ.

10 năm sau đó, Schouwenberg đã chứng kiến sự thay đổi rất lớn trong lĩnh vực của mình. Cách phát hiện virus thủ công ngày nào đã được thay thế bằng hệ thống tự động với năng suất phát hiện lên đến 250.000 malware mới mỗi ngày. Lúc đó, ngân hàng mới là những đối tượng chịu nguy hiểm, còn việc các quốc gia đối đầu nhau trên không gian số vẫn còn là chuyện xa vời lắm.
Bấm để mở rộng…

Quá trình mã độc Stuxnet xuất hiện

Đi ngược dòng lịch sử, chúng ta hãy cùng xem Stuxnet được người ta tìm ra như thế nào. Mọi chuyện bắt đầu vào tháng 6 năm 2010 khi công ty bảo mật VirusBlokAda (trụ sở tại Belarus) nhận được email than phiền của một khách hàng ở Iran rằng máy tính của anh này cứ bị khởi động lại mãi. Mặc dù đã tìm nhiều cách can thiệp nhưng tình trạng này vẫn tiếp diễn. VirusBlokAda tin rằng chiếc máy này đã bị nhiễm phần mềm mã độc và họ phát hiện ra là malware đã khai thác một lỗi zero day ở các tập tin LNK dùng để tạo shortcut trên Windows (zero day là thuật ngữ được sử dụng để chỉ các lỗ hổng bảo mật mà người ta chưa từng biết đến).

Khi các file LNK này được chép vào ổ USB, lúc cắm sang máy khác, Windows Explorer sẽ tự quét nội dung chứa trên ổ nhờ tập tin autorun.inf và điều này đã tạo điều kiện cho malware được kích hoạt. Khi chạy lên, nó sẽ âm thầm lặng lẽ cài vào máy tính một file lớn hơn, sau đó tự chia nhỏ rồi ẩn vào nhiều nơi khác nhau. VirusBlokAda đã thông báo mối nguy hiểm này cho Microsoft vào ngày 12/7/2010. Hãng làm Windows đã quyết định đặt cái tên Stuxnet cho con sâu máy tính và cái tên này được lấy từ những tập tin .stub, MrxNet.sys nằm trong mã nguồn của worm.

Mối nguy hiểm chưa từng thấy

Trong thời gian sau đó, Stuxnet ngày càng được biết đến nhiều hơn, người ta cố gắng tìm kiếm các mẫu (sample) của nó để phân tích. Nhiều người khám phá ra rằng thực chất Stuxnet đã được phát tán từ hồi tháng 6/2009, tức một năm trước đó. Ngoài ra, người tác giả viết nên Stuxnet cũng đã từng 3 lần cập nhật sản phẩm của mình.

Lúc đầu, các nhà nghiên cứu chỉ nghĩ đơn giản rằng Stuxnet là một công cụ để cạnh tranh không lành mạnh trong kinh doanh. Tuy nhiên, họ phát hiện ra rằng con sâu này đã dùng chứng thực số (digital certificate) lấy từ hai hãng sản xuất Đài Loan nổi tiếng là Realtek và JMicro để làm cho hệ thống bảo mật tin rằng Stuxnet chỉ là một phần vô hại. Nguy hiểm hơn, cách thức giả mạo này cực kì nguy hiểm và đây là lần đầu tiên người ta thấy nó.

Nó nguy hiểm đến độ các nhà chuyên gia bảo mật phải chia sẻ thông tin và nghiên cứu của mình qua email hoặc qua các diễn đàn riêng tư trên mạng. Đây là một điều cực kì bất bình thường bởi các công ty bảo mật đều muốn giữ riêng cho mình thông tin về loại malware mới để tạo lợi thế cạnh tranh cũng như uy tín. Theo như Giám đốc nghiên cứu trưởng Mikko H. Hypponen của F-Secure, sự việc này chỉ có thể được xếp vào loại “cực kì bất bình thường”. Ông nói thêm như sau: “Tôi chưa nghĩ ra được lĩnh vực IT nào khác mà có được sự hợp tác tích cực giữa các đối thủ với nhau”.

Truy tìm và phân tích dấu vết

Để tìm hiểu hoạt động của Stuxnet, các nhà nghiên cứu tại Kaspersky cũng như nhiều hãng bảo mật khác phải thực hiện dịch ngược mã (reverse engineering) để biết sâu này chạy như thế nào. Càng đào sâu, họ càng phát hiện ra được nhiều thứ, chẳng hạn như số lượng máy bị nhiễm, bao nhiêu % máy bị nhiễm là ở Iran, thông tin về hệ thống phần mềm của Siemens… ​
malware-3
Trong quá trình dịch ngược, Schouwenberg thật sự bị bất ngờ khi Stuxnet không chỉ khai thác 1 mà đến 4 lỗ hổng zero day trong Windows. “Nó không chỉ là con số gây chấn động mà mỗi một lỗ hỗng đều bổ sung một cách hoàn hảo và đẹp mắt cho các lỗ hổng còn lại”. Ngoài lỗ hổng nằm trong tập tin LNK và Windows Explorer mà chúng ta đã nói đến ở trên, Stuxnet còn tận dụng thêm lỗ hổng khi các máy tính chia sẻ máy in trong cùng một mạng. Hai lỗi còn lại liên quan đến quyền thực thi trong hệ thống. Stuxnet được thiết kế để có được quyền ở cấp hệ thống, tức là một trong những quyền cao nhất, ngay cả khi máy tính đã được thiết lập một cách kĩ càng. Schouwenberg nhận xét đây là một cách thực thi mà chỉ có từ “thông minh” là thích hợp để diễn tả.
Schouwenberg và các đồng nghiệp của mình tại Kaspersky sớm đi đến kết luận rằng mã nguồn của Stuxnet quá phức tạp, do đó một nhóm nhỏ khoảng 10 hacker không thể nào tạo ra được một phần mềm như thế. Nếu có, họ sẽ mất từ hai đến ba năm để hoàn thiện. Ngoài ra, Stuxnet có dung lượng đến 500KB, gấp nhiều lần so với mức 10-50KB của các malware thông thường. Chính vì thế mà họ mới nghi ngờ rằng có bàn tay của chính phủ một nước nào đó can thiệp và tài trợ cho dự án malware kinh khủng này.
Trong khi đó, ở công ty bảo mật Symantec, kĩ sư Liam O Murchu cùng các đồng nghiệp và đội thợ săn malware của hãng này đã phát hiện ra rằng khi Stuxnet đột nhập vào một máy tính nào đó, nó sẽ liên lạc với hai tên miền http://www.mypremierfutbol.com và http://www.todaysfutbol.com để báo cáo thông tin về các máy mới bị nhiễm. Nơi host máy chủ của hai tên miền này đặt tại Malaysia và Đan Mạch. Những thông tin được Stuxnet chuyển về cho hacker bao gồm địa chỉ IP, hệ điều hành và phiên bản tương ứng, máy có cài ứng dụng Step7 hay không.
Những máy chủ dạng như thế này được giới bảo mật gọi là Command & Control Server (C&C Server – máy chủ ra lệnh và điều khiển). Lợi dụng việc Stuxnet gửi ngược thông tin như đã nói ở trên, Symantec thiết lập nên biện pháp để mỗi khi Stuxnet cố gắng liên lạc với máy chủ của nó, nó sẽ bị đánh lừa và chuyển hướng sang server của Symantec. Kĩ thuật này gọi là “sink hole” và người ta cũng hay xài nó để hạn chế hoạt động của botnet.
Kết hợp dữ liệu thu được từ biện pháp sink hole, cộng với việc phân tích mã nguồn cũng như các báo cáo tại hiện trường, các chuyên gia đã có thể chắc chắn rằng Stuxnet được thiết kế riêng để nhắm vào các hệ thống của Siemens vốn đang được dùng để vận hành các máy li tâm dùng trong chương trình làm giàu hạt nhân của Iran. Kaspersky cũng biết được là mục tiêu tài chính không phải là thứ mà Stuxnet muốn đạt được, và họ có thể kết luận rằng con sâu này được sự hậu thuẫn của một nước nào đó. Các chuyên gia bảo mật trên khắp toàn cầu cũng hết sức ngạc nhiên vì đây là lần đầu tiên họ chứng kiến một nguy cơ bảo mật máy tính có ảnh hưởng đến chính trị trong thế giới thực.

Biến thể của mã độc Stuxnet

1. Duqu
Vào tháng 9/2011, một sâu máy tính mang tên Duqu được phát hiện bởi Phòng thí nghiệm CrySyS Lab ở Đại học Kinh tế và Kĩ thuật Budapest thuộc Hungary. Cái tên này được lấy từ tiền tố “~DQ” của các file mà con sâu này tạo ra. Duqu được cho là có cách hoạt động y như Stuxnet, tuy nhiên mục đích của nó thì khác hẳn. Symantec tin rằng Duqu được tạo ra bởi chính tác giả của Stuxnet hoặc do một ai đó có quyền truy cập vào mã nguồn Stuxnet. Chú sâu này cũng có chữ kí số hợp pháp đánh cắp từ hãng C-Media (Đài Loan) và nó sẽ thu thập thông tin để chuẩn bị cho các đợt tấn công trong tương lai.
2. Flame
Đến tháng 5/2012, Kaspersky Lab được Ủy ban Truyền thông Quốc tế (ITU) yêu cầu nghiên cứu một mẫu malware vốn bị nghi ngờ là đã phá hoại tập tin của một công ty dầu mỏ Iran. Trong quá trình làm việc theo yêu cầu của ITU, hệ thống tự động do Kaspersky xây dựng phát hiện thêm một biến thể khác của Stuxnet. Lúc đầu, Schouwenberg và đồng nghiệp tưởng rằng hệ thống đã mắc phải một lỗi nào đó bởi malware mới không có sự tương đồng rõ ràng nào với Stuxnet cả. Thế nhưng sau khi nghiên cứu kĩ mã nguồn của malware mới, họ tìm thấy một tập tin tên là Flame, vốn từng có mặt trong những bản Stuxnet đầu tiên. Trước đây người ta nghĩ Stuxnet và Flame hoàn toàn không có can hệ gì nhưng bây giờ thì các nhà khoa học đã nhận ra rằng Flame thực chất chính là người tiền nhiệm của Stuxnet nhưng vì một cách nào đó mà người ta không tìm thấy nó trước Stuxnet.
Về kích thước, Flame nặng đến 20MB, gấp 40 lần so với Stuxnet, và một lần nữa, các nhà nghiên cứu, trong đó có Schouwenberg, nghi ngờ rằng lại có bàn tay của chính phủ một nước nào đó can thiệp vào. Để phân tích Flame, Kaspersky cũng xài kĩ thuật sinkhole giống như lúc Symantec nghiên cứu Stuxnet. Khi Flame liên lạc với các server của nó, dữ liệu đã được chuyển về máy chủ do Kaspersky quản lí và tại đây, các thông tin về thẻ tín dụng cũng như cổng proxy bị đánh cắp đã lộ diện. Việc xác định chủ sở hữu các server của Flame được Schouwenberg nhận xét là rất khó khăn.
Nói đến tính chất, nếu như Stuxnet được tạo ra để phá hủy mọi thứ thì Flame chỉ đơn giản đóng vai trò gián điệp. Flame lây lan qua USB và có thể nhiễm vào các máy tin được chia sẻ trên cùng một mạng. Khi Flame đã xâm nhập thành công vào máy tính, nó sẽ tìm kiếm những từ khóa trong các tập tin PDF tuyệt mật, sau đó tạo và gửi một bản tóm tắt của tài liệu này về hacker. Mọi hoạt động của Flame đều không dễ dàng bị phát hiện bởi tập tin gửi về máy chủ C&C bị chia nhỏ thành nhiều gói, chính vì thế mà nhà quản trị mạng sẽ không thấy đột biến bất thường nào trong việc sử dụng dung lượng mạng.
CCServer
 ​Mô hình minh hoa cho việc gửi dữ liệu về C&C Server​

Ấn tượng hơn, Flame còn có thể trao đổi dữ liệu với bất kì thiết bị Bluetooth nào. Thực chất, kẻ tấn công có thể đánh cắp thông tin hoặc cài một malware khác vào các thiết bị Bluetooth và nếu nó được kết hợp với “Bluetooth rifle” – một ăng-ten định hướng dùng cho máy tính có trang bị Bluetooth – tầm hoạt động của Flame có thể lên đến 2 kilomet.
Tuy nhiên, điều đáng quan tâm nhất ở Flame đó là cách mà nó thâm nhập vào máy tính: thông qua một bản cập nhật cho Windows 7. Người dùng vẫn nghĩ rằng mình đang tải về một bản update chính chủ của Microsoft nhưng thực chất nó chính là Flame và việc này nguy hiểm hơn nhiều so với chỉnh bản thân chú sâu này. Schouwenberg ước tính rằng chỉ có khoảng 10 lập trình viên trên thế giới có đủ khả năng viết ra tính năng này. Hypponen của F-Secure thì nhận xét rằng Flame đã phá vỡ được hệ thống bảo mật tầm cỡ quốc tế mà đáng ra chỉ có thể làm bởi một siêu máy tính và rất nhiều nhà khoa học.
Nếu thật sự chính phủ Mỹ đứng đằng sau Flame, chắc chắn mối quan hệ giữa Microsoft và một trong những đối tác lớn nhất của hãng là chính phủ Mỹ sẽ trở nên rất căng thẳng. Hypponen nói: “Tôi đang đoán là Microsoft đã từng có một cuộc điện thoại với Bill Gates, Steve Ballmer cũng như Barack Obama. Tôi rất muốn nghe nội dung cuộc điện thoại đó”.
3. Guass
Trong lúc dịch ngược Flame, Schouwenberg và đội của mình phát hiện thêm một biến thể nữa, đó chính là Gauss. Mục đích của nó gần giống Flame, đó là giám sát âm thầm các máy tính bị lây nhiễm. Gauss bị phát hiện bởi hệ thống các thuật toán để tìm ra điểm tương đương do Kaspersky làm ra. Chú sâu mới này sẽ ẩn mình trên các USB và có nhiệm vụ lấy trộm các tập tin và mật khẩu của các ngân hàng Li Băng, còn động cơ vì sao thì chưa rõ. Dữ liệu sau khi lấy được sẽ chứa trên chính chiếc USB này. Khi cắm nó vào một máy tính khác có kết nối mạng và đã bị nhiễm Gauss, Gauss sẽ thu thập thông tin và gửi nó về máy chủ C&C.

Lần này, khi đang truy dấu vết, các server C&C của Gauss bỗng nhiên biến mất, và đây là động thái cho thấy tác giả của malware này đang có ý che đậy thật nhanh hoạt động của mình. May mắn là Kaspersky đã thu thập đủ thông tin cần thiết để bảo vệ các khách hàng của hãng khởi Gauss, tuy nhiên Kaspersky đang không biết rằng việc làm nào của hãng khiến hacker biết mình đang bị theo dõi.

Kết thúc

Jeffrey Carr, CEO của hãng bảo mật Taia Global cho biết rằng mã độc Stuxnet, Gauss hay Flame quả thật nguy hiểm, tuy nhiên chúng đều đã bị phơi bày ra ánh sáng. “Những ai bỏ hàng triệu đô la vào các con sâu này thì tất cả số tiền của họ đều đã trở nên lãng phí”. Stuxnet cũng chỉ làm chậm quá trình làm giàu uranium của Iran được chút ít mà thôi. Mối nguy hiểm thật sự ở đây nằm ở các hệ thống máy công nghiệp đang được kết nối và vận hành qua Internet. Chỉ cần tìm kiếm trên Google đúng cách, hacker có thể biết được cách truy cập vào một hệ thống nước của Mỹ. Và thường thì các nhà quản lí sẽ không đổi mật khẩu mặc định, do đó hacker hoàn toàn có thể kiểm soát những hệ thống đó.

Ngoài ra, các công ty cũng thường chậm chạp trong việc cập nhật giải pháp kiểm soát công nghiệp. Kaspersky biết được rằng hiện tại có rất nhiều công ty cung cấp dịch vụ, hạ tầng quan trọng mà lại đang sử dụng các OS có tuổi đời lên tới 30. Tại Washinton, các chính trị gia đã yêu cầu thông qua luật buộc những hãng như thế phải tăng tính bảo mật của mình.

Trong lúc chờ đợi, các thợ săn virus tại Kaspersky, Symantec, F-Secure cũng như khắp các hãng bảo mật khác sẽ tiếp tục cuộc chiến của mình. Schouwenberg nhận xét rằng ngày càng có nhiều bên tham gia hơn và anh rất tò mò để xem trong 10 hay 20 năm tới, mọi chuyện sẽ diễn biến như thế nào.

Theo securitydaily.net
Designed byTin không lề |