Người trình bày: Lê Trung Nghĩa

Bàitrình bày tại khóa bồi dưỡng nâng cao cho các CIO, được tổ chức bởi BộThông tin và Truyền thông và Ngân hàng Thế giới từ 14-18/12/2009 tạiHội An, Quảng Nam.

B. An ninh không gian mạng

1. Tổng quan về an ninh không gian mạng

1. Barack Obama, ngày 29/05/2009: “Sựthịnh vượng về kinh tế của nước Mỹ trong thế kỷ 21 sẽ phụ thuộc vào anninh có hiệu quả của không gian mạng, việc đảm bảo an ninh cho khônggian mạng là xương sống mà nó làm nền vững chắc cho một nền kinh tếthịnh vượng, một quân đội và một chính phủ mở, mạnh và hiệu quả”. “Trongthế giới ngày nay, các hành động khủng bố có thể tới không chỉ từ mộtít những kẻ cực đoan đánh bom tự sát, mà còn từ một vài cái gõ bàn phímtrên máy tính – một vũ khí huỷ diệt hàng loạt”. Văn bản gốc tiếng Anh. Video.

2. Trend Macro: Số lượng máy tính bị lây nhiễm phần mềm độc hại cực lớn.Năm 2008: 253 triệu máy. Dự kiến năm 2009 là 491 triệu máy. Tỷ lệ cácmẫu phần mềm độc hại mới được tạo ra là hơn 1 triệu mẫu trong 1 tháng.Các botnet với hàng triệu máy bị lây nhiễm lâu dài bởi nhiều loại virus, sâu, phần mềm độc hại. Nền công nghiệp chống virus đã lừa dối người sử dụng 20 năm nay. Khả năng chống virus hầu như là không thể với số lượng khổng lồ các virus hiện nay;

3. McAfee: số lượng các cuộc tấn công bằng phần mềm độc hại để thâm nhập hoặc gây hại cho một hệ thống máy tính tăng 500% trong năm 2008– tương đương với tổng cộng của 5 năm trước đó cộng lại. Trong đó 80%tất cả các cuộc tấn công bằng phần mềm độc hại có động lực là tàichính, với những kẻ tấn công cố ăn cắp thông tin dữ liệu cá nhân vì lợinhuận; 20% các cuộc tấn công còn lại có các mục đích liên quan tới tôngiáo, gián điệp, khủng bố hoặc chính trị. Mỗi tháng có 1,5 triệu sitebị nhiễm phần mềm độc hại sẽ được tạo ra và gây lây nhiễm cho các máytính của những người viếng thăm.

Một vài hình ảnh:

Số lượng các mối đe dọa theo năm. Năm 2008 tăng vọt và hơn cả tổng số các đợt tấn công của 5 năm trước cộng lại; từ 1 máy lây nhiễm cho nhiều máy khác qua thư điện tử - spam để tạo nên các botnet khổng lồ; Tấn công gián điệp thông tin qua thư điện tử tăng chưa từng có:trung bình từ 2 vụ trong 1 tuần năm 2005 tăng lên tới 60 vụ trong 1ngày năm 2009 và gần đây có những thời điểm đạt 2005 vụ trong 1 ngày;tấn công vào khắp các lĩnh vực công nghiệp, nhất là khu vực nhà nước và tài chính; đặc biệt hay tấn công vào các máy chủ thư điện tử.

Một vài tư liệu video:

1. Về vụ mạng GhostNet: Video của Symantec; Cyberspies China GhostNet Exposed III; Global Computer Espionage Network Uncovered; China Cyberspy GhostNet targets governments;

2. Tấn công lưới điện của Mỹ - China & Russia Infiltrate US Power Grid-Cyber Spies Hack The Grid;

3. Tấn công mạng của Lầu 5 góc - Chinese Military Hacks Pentagon's computer system; Chinese hackers: No site is safe;

4. Tấn công vào các mạng truyền thông, ngân hàng, điện... của Mỹ - China Cyber Attack on America;

5. Tấn công vào các mạng của cả Obama và McCain trong thời kỳ tranh cử năm 2008 - Chinese Cyber Attacks Target White House, Presidential Candidates;

2. Lý do và mục đích tấn công

1. Về chính trị:

   1. Mục tiêu: các website và các mạng thông tin của chính phủ.

   2. Xung đột giữa các quốc gia: Israel – Syria, Israel – Palestine, Nga – Estonia, Nga – Georgia, Mỹ cùng liên quân – Iraq, Mỹ cùng Hàn Quốc - Bắc Triều Tiên.

   3. Bất đồng về chính trị, tôn giáo: Bầu cử ở Iran.

   4. TQ và các quốc gia khác - 09/10/2009: hàng chục vụ, ở nhiều quốc gia, tần suất gia tăng.

   5. Các vụ liên quan tới Việt Nam: Màn hình đen (Tại Mỹ, WGA [Windows Genuine Advantage] bị đưa ra tòa vì bị coi như một phần mềm gián điệp); Conficker (Việt Nam đứng số 1 thế giới với 13% số máy bị lây nhiễm theo OpenDNS); Nháy chuột giả mạo - số 1 thế giới; GhostNet (số 2/103 nước trên thế giới, chỉ sau Đài Loan, trên cả Mỹ và Ấn Độ), với 130/1295 máy tính chạy Windows bị lây nhiễm (Symantec làm video mô phỏng lại cuộc tấn công), mục đích gián điệp thông tin chống lại các chính phủ,những gì liên quan tới vụ này???, Hiện nay ra sao???; Các báo cáo từhội thảo quốc gia an ninh bảo mật tháng 24-25/3/2009.

2. Về kinh tế:

   1. Mục tiêu: Các site chứng khoán, ngân hàng, các tổ chức tín dụng.

   2. Ăn cắp tiền từ các tài khoản ngân hàng của các doanh nghiệp vừa và nhỏ 40 triệu USD đến tháng 9/2009, 100 triệu USD đến tháng 10/2009, bùng nổ từ giữa năm 2008 trở lại đây, trong các trò chơi trực tuyến ở Trung Quốc. Không chừa ai, kể cả giám đốc FBI.

   3. Lừa đảo để bán phần mềm an ninh giả mạo

3. Mục đích tấn công: Gián điệp thông tin, có thể sớm trở thành phá hoại

   1. Vụ mạng gián điệp lớn nhất thế giới từ trước tới nay GhostNet

   2. Giánđiệp thông tin, vào được hầu như mọi nơi được coi là bí mật và an ninhnhất, kể cả các mạng các bộ quốc phòng, ngoại giao, thương mại, nănglượng, hàng không vũ trụ, thậm chí mạng dành riêng cho 2 cuộc chiến tranh mà Mỹ hiện đang tham chiến.

   3. Cảnh báo phá hoại hệ thống lưới điện ở Úc, lưới điện, giao thông, ngân hàng ở Mỹ, lưới điện Brazil, y tế ở Anh...

   4. Tạo ra hàng loạt các botnet với các kích cỡ từ khổng lồ tới nhỏ với hàng chục triệu hoặc hàng trăm máy tính bị lây nhiễm để chuẩn bị cho các cuộc tấn công qui mô lớn sau này.

   5. Dự đoán thời gian để chuyển từ gián điệp thông tin sang phá hoại: từ 3-8 năm.

3. Công cụ sử dụng để tấn công

1. Phần cứng và thiết bị:

   1. Chip máy tính, cấy phần mềm độc hại hoặc phần mềm gián điệp vào Bios máy tính (Stoned Boot - tất cả các phiên bản Windows từ XP tới 7, Microsoft làm việc với các OEM để đưa ACPI [Advanced Configuration and Power Interface]vào các máy tính - có thể bị lợi dụng để cấy Trojan vào ngay cả khi đĩacứng hoàn toàn được mã hóa - bootkit sẽ khởi động trước và tự nó ẩnmình - chiếm quyền kiểm soát toàn bộ máy tính - phải có truy cập vật lýtới máy tính), lấy dữ liệu khóa an ninh từ DRAM (Cold Boot).

   2. Thiết bị viễn thông: vụ thầu thiết bị viễn thông ở Anh.

2. Phần mềm

   1. Xácxuất lỗi được tính theo: (1) Hệ điều hành, (2) Phần mềm trung gian(Middleware), (3) Giải pháp; (4) Phần mềm ứng dụng. Ví dụ, trong phầnmềm nguồn mở thì lỗi ở hệ điều hành là ít nhất và tăng dần theo các consố ở trên (với RHEL4.0 và 5.0 thì lỗi mang tính sống còn là bằng 0),còn lượng người sử dụng ở hệ điều hành là lớn nhất rồi giảm dần theocác con số ở trên. (Xem bài “Hỗ trợ nguồn mở” trên tạp chí Tin học và Đời sống, số tháng 11/2009). Nhân của hệ điều hành nguồn mở GNU/Linux được cải tiến, sáng tạo liên tục với tốc độ không thể tưởng tượng được cũng là một điểm rất quan trọng.

Lớp ứng dụng

Lực lượng người sử dụng và độ trưởng thành

Xác suất lỗi

1. Cửa hậu được gài trong Windows và một số hệ điều hành thương mại khác và/hoặc trong phần mềm thư điện tử Lotus Notes.

2. Tin tặc tận dụng khiếm khuyết của các phần mềm của Microsoft để tấn công các hệ thống mạng trên khắp thế giới – Windows, Exchange Server, Office, Wordpad, Internet Explorer... Các phần mềm khác cũng bị lợi dụng để tấn công,phổ biến là của Adobe Acrobat Reader, Adobe Flash, Quicktime, Firefoxtrên Windows...., các mạng xã hội như Facebook, Twitter...

1. Lạm dụng công nghệ:

   1. Vụ WGA bị đưa ra tòa ở Mỹ như một phần mềm gián điệp.

   2. Mất dữ liệu với máy tính đám mây: vụ Sidekick.

2. Mua bán công cụ

   1. Mua bán mã nguồn để tấn công, công cụ tạo mã độc hại, phần mềm an ninh giả mạo; phần mềm dọa nạt (phishing) đưa người sử dụng vào bẫy để mua phần mềm chống virus giả mạo;

   2. Mua bán máy tính bị lây nhiễm trong các botnet theo vùng địa lývới các thông tin bị ăn cắp đi kèm, giá mua vào từ 5-100 USD/1000 máybị lây nhiễm cùng dữ liệu bị ăn cắp, giá bán ra từ 25-100 USD. Việt Namcó giá mua vào 5 USD/1000 máy, bán ra 25 USD/1000 máy.

3. Pháp nhân tiến hành tấn công: cá nhân, nhóm, tổ chức do chính phủ hỗ trợ???

4. Tần suất và phạm vi tấn công

1. Tần suất lớn khổng lồ

   1. Mỹ bị tin tặc lấy đi hàng terabyte dữ liệutừ hệ thống mạng của các Bộ Quốc phòng, Ngoại giao, Thương mại, Nănglượng và Cơ quan Hàng không Vũ trụ NASA. Mạng quân đội Mỹ bị quét hàng ngàn lần mỗi ngày.

   2. Tháng 03/2009, có 128 "hành động xâm lược không gian mạng" trong 1 phút vào các hệ thống mạng của nước Mỹ.

2. Phạm vi rộng khắp

   1. Vụ GhostNet tấn công vào 103 quốc gia, 1295 máy tính bị lây nhiễm. Tài liệu 53 trang, video mô tả lại cuộc tấn công.

   2. Các quốc gia mạnh về CNTT cũng bị tấn công: Mỹ, Anh, Pháp, Đức, Hàn Quốc...

   3. Khắp các lĩnh vực như vũ trụ, hàng không, quân sự, tài chính, ngoại giao, ...

3. Số lượng các máy tính bị lây nhiễm trong các vụ tấn công cực lớn: Các botnet hàng triệu máy tính Windows bị lây nhiễm.

4. Nhiều loại sâu, bọ, virus, phần mềm độc hại tham gia các botnet. Có loại chuyên ăn cắp tiền (Clampi), có loại tinh vi phức tạp (Conficker), có loại đã tồn tại từ nhiều năm trước nay hoạt động trở lại dù có hàng chục bản vá lỗi của Windows (MyDoom).

5. Thiệt hại cực lớn: Conficker - ước tính 9.1 tỷ USD chỉ trong nửa năm (tới tháng 6/2009).

5. Đối phó của các quốc gia

1. Về đường lối chính sách: Học thuyết chiến tranh thông tin, cả phòng thủ lẫn tấn công, bất kỳ vũ khí gì, kể cả hạt nhân ; Kế hoạch phản ứng (Mỹ).  Anh,Nga, Pháp, Trung Quốc... đi theo?

2. Về tổ chức: Củng cố và xây dựng lực lượng chuyên môn (Mỹ, Anh, Hàn Quốc, Singapore), tăng cường nhân lực và đầu tư cho các cơ quan chuyên môn (Bộ An ninh Quốc nội - DHS, Cục Tình báo Trung ương - CIA,Cục Tình báo Liên bang - FBI, Cơ quan An ninh Quốc gia - NSA, Bộ Quốcphòng, Cơ quan Hàng không Vũ trụ – NASA, Bộ Năng lượng Mỹ...).

3. Về nhân lực: Huy động thanh niên, học sinh, sinh viên. Mỹ tổ chức thi để lấy 10,000 nhân tài, Anh cũng bước theo, Bộ An ninh Quốc nội Mỹ tuyển 1,000 nhân viên làm về an ninh không gian mạng. Thanh niên Trung Quốc, phong trào thanh niên Nga... Bọn khủng bố cũng tuyển người cho chiến trang không gian mạng.

4. Về công nghệ kỹ thuật: Phương châm “Nguồn mở an ninh hơn nguồn đóng”. Dự án sản xuất Chip (Trung Quốc, Ấn Độ), Dự án OS tăng cường an ninh (Mỹ, Trung Quốc, châu Âu), Xây dựng OS riêng cho quốc gia mình (Ấn Độ, Nga, Brazil, Venezuela, Cuba ...). Tất cả các OS đều dựa trên GNU/Linux/Unix.

5. Sản xuất các vũ khí mới cho chiến tranh không gian mạng:Nhiều quốc gia, bao gồm cả Mỹ, đang phát triển các vũ khí để sử dụngtrên các mạng máy tính mà chúng tích hợp vào các hoạt động của mọi thứtừ các ngân hàng tới các hệ thống cung cấp điện cho tới các văn phòngcủa chính phủ. Họ đưa vào các “bom logic” mà chúng có thể được ẩn dấutrong các máy tính để làm treo các máy tính đó tại những thời điểm sốngcòn hoặc mạch điện bị hư hỏng; “các botnet” mà chúng có thể vô hiệu hóahoặc gián điệp trên các website và mạng, hoặc các thiết bị sóng cựcngắn mà chúng có thể đốt cháy các mạng máy tính từ cách xa nhiều dặm...

6. Về thực tiễn triển khai khu vực dân sự để đảm bảo an ninh cao

   1. Chuyển sang sử dụng các hệ thống dựa trên GNU/Linux (Thị trường chứng khoán ở New York, Tokyo, Luân Đôn, …)

   2. Không sử dụng Windows khi thực hiện các giao dịch ngân hàng trực tuyến (khuyến cáo của Viện Công nghệ SAN, chính quyền New South Wale – Úc, chuyên gia an ninh mạng của tờ The Washington Post).v.v.

6. Bài học cho Việt Nam

1. Tuânthủ kiến trúc phân vùng mạng, tuân thủ kiểm soát truy cập các vùngmạng, tuân thủ các yêu cầu cơ bản đảm bảo an ninh mạng.

2. Chúngta đang bị phụ thuộc vào phần cứng, hệ điều hành, phần mềm ứng dụng, cóthể sẽ phụ thuộc nốt cả dữ liệu. Hiện vẫn còn cơ hội, dù rất nhỏ, đểthoát???

   1. Trước mắt: Chuẩn mở và hệ điều hành nguồn mở là mục tiêu số 1?. Cách chống virus tốt nhất là sử dụng hệ điều hành GNU/Linux. Hiện tại các doanh nghiệp Việt Nam đứng thứ 75/75 về các hoạt động liên quan tới nguồn mở theo nghiên cứu của RedHat-Georgia tháng 04/2009.

   2. Tương lai: Hệ điều hành, chip, các thiết bị viễn thông... Cần làm chủ được CNTT.

3. Về chính sách, chiến lược:

   1. Chính sách quốc gia về an ninh không gian mạng, coi không gian mạng như một đường biên giới mới, đặc biệt (do con người tạo ra) bên cạnh địa phận, không phận, hải phận và vũ trụ;

   2. Ràsoát lại chính sách về các chuẩn sử dụng trong các hệ thống thông tinnhà nước, kiên quyết hướng tới việc sử dụng các chuẩn mở và hệ điềuhành nguồn mở cộng đồng.

   3. Ràsoát lại chính sách mua sắm công nghệ thông tin của chính phủ, ưu tiêncác công nghệ mở, chuẩn mở, phần mềm tự do nguồn mở.

   4. Hoàn thiện chính sách về triển khai ứng dụng phần mềm tự do nguồn mở.

4. Về tổ chức và xây dựng lực lượng:

   1. Xâydựng và củng cố các tổ chức có chức năng phù hợp để đối phó với an ninhkhông gian mạng. Học tập các kinh nghiệm phòng chống chiến tranh khônggian mạng của các nước tiên tiến trong bối cảnh thực tế của Việt Nam.

   2. Đầutư mạnh mẽ cho giáo dục để chuẩn bị nhân lực cho tương lai từ học sinh- sinh viên, với các kỹ năng mới dựa trên công nghệ mở, phần mềm tự donguồn mở.

5. Về công nghệ - kỹ thuật

   1. Hướng theo xu thế mở của thế giới, trước mắt hướng vào chuẩn mở và hệ điều hành nguồn mở cộng đồng.

   2. Lâudài: xây dựng hệ điều hành, chip, một số phần quan trọng trong cácthiết bị viễn thông... thông qua các dự án quốc gia.

6. Phòng ngừa cho bản thân, đặc biệt với các máy tính xách tay, kể cả khi mã hóa cả ổ cứng.

7. Nâng cao nhận thức cho toàn xã hội, cuộc chiến của toàn dân, các CIO phải đi đầu làm gương.

Ghi chú: Một số thông tin tham khảo khác về an ninh có thể xem ở đây, ở đây hoặc ở đây.

Xem phần 1: Tổng quan về an ninh thông tin và chuẩn hóa