Ngày 23/11/2010, tại Hà Nội đã diễn ra Ngày An toàn Thông tin Việt Nam 2010. Tại đây, Thứ trưởng Bộ TTTT Nguyễn Minh Hồng đã công bố Thông điệp về An toàn Thông tin (ATTT). Nội dung của thông điệp như sau: “Hãy chung tay xây dựng một thế giới số an toàn, hãy cùng nhau bảo vệ tài nguyên thông tin hôm nay vì ngày mai phát triển, cùng thực hiện thành công Quy hoạch an toàn thông tin số quốc gia đến năm 2020, góp phần thiết thực vào việc thực hiện thành công Đề án đưa Việt Nam sớm trở thành nước mạnh về CNTT”.
Mở đầu cho Ngày An toàn Thông tin Việt Nam 2010 tại Hà Nội, Chủ tịch Hiệp hội An toàn Thông tin Việt Nam đã thông báo về sự kiện ngày 22/11/2010, trang thông tin điện tử Vietnamnet đã bị đánh sập, như một lời cảnh báo về thực tế không mấy lạc quan của an ninh không gian mạng hiện nay tại Việt Nam.
Cũng tại đây, báo cáo tổng quan An toàn Thông tin Việt Nam 2010 của Hiệp hội An toàn Thông tin Việt Nam cũng đã đưa ra 10 sự kiện nổi bật về ATTT tại Việt Nam năm 2010, trong đó có cả những mặt tích cực và tiêu cực có liên quan tới ATTT tại Việt Nam trong năm qua. Trong số đó, có sự kiện “Việt Nam liên tục có tên trong nhiều danh sách quốc tế về các vấn đề liên quan đến ATTT”, một vấn đề cũng đã được Tin học và Đời sống nhắc tới liên tục trên các số báo của mình trong thời gian gần đây.
Một nội dung cũng rất đáng chú ý tại đây, là ngoài một trang Slide trong báo cáo của Giám đốc kỹ thuật khu vực của Symantec, một hãng chuyên nghiệp về an ninh về những con số khổng lồ hàng tỷ các cuộc tấn công không gian mạng trong năm 2009, còn có một trang Slide khác có nhắc tới một sự kiện gây chấn động thế giới hiện nay: “Vào ngày 13/07/2010, một dạng phần mềm độc hại độc nhất vô nhị đã được phát hiện mà nó đã có ý định chiếm quyền kiểm soát đối với hạ tầng công nghiệp trên thế giới”.
Sâu Stuxnet độc nhất vô nhị phát động cuộc chiến tranh không gian mạng thực sự!
Stuxnet là một sâu máy tính đặc chủng cho hệ điều hành Microsoft Windows lần đầu tiên được phát hiện vào tháng 06/2010 bởi VirusBlokAda, một hãng an ninh tại Belarus. Đây là sâu đầu tiên được phát hiện gián điệp trên các hệ thống công nghiệp có khả năng lập trình lại được, lần đầu tiên đưa vào một rootkit của bộ kiểm soát logic có thể lập trình lại được PLC (Programmable Logic Controller) và lần đầu tiên nhằm vào hạ tầng công nghiệp mang tính sống còn. Vâng, rất nhiều thứ là “đầu tiên!”.
Mục tiêu ban đầu của Stuxnet được cho là nhằm vào các hạ tầng có giá trị cao tại Iran có sử dụng các hệ thống kiểm soát SCADA (viết tắt chữ tiếng Anh: Supervisory Control And Data Acquisition hiểu theo nghĩa truyền thống là một hệ thống điều khiển giám sát và thu thập dữ liệu nhằm hỗ trợ con người trong quá trình giám sát và điều khiển từ xa) của Siemens và có thể đã gây thiệt hại cho các trang thiết bị hạt nhân của Iran tại 2 nhà máy Natanz và Bushehr.
Kaspersky, một hãng an ninh khác thì kết luận rằng các cuộc tấn công này chỉ có thể thực hiện được “với sự hỗ trợ của một nhà nước”, biến Iran trở thành mục tiêu đầu tiên của một cuộc chiến tranh không gian mạng thực sự.
Lịch sử và hoạt động Stuxnet
Sâu Stuxnet lần đầu tiên được nói tới bởi hãng VirusBlokAda vào giữa tháng 06/2010, và nguồn gốc của nó đã được theo dõi bắt đầu từ tháng 06/2009. Nó có chứa một thành phần với dấu thời gian được xây dựng từ ngày 03/02/2010.
Ban đầu, Stuxnet được thiết kế để nhằm vào chương trình làm giàu uranium tại Natanz và nhà máy điện hạt nhân tại Bushehr của Iran, với các máy tính chạy hệ điều hành Microsoft Windows bằng việc sử dụng các cuộc tấn công dựa vào 4 lỗi “ngày số 0”, những lỗi mới được phát hiện và chưa từng có một bản vá nào trước đó, (cộng với chỗ bị tổn thương của CPLINK và một chỗ bị tổn thương được sâu Conficker sử dụng) và tập trung vào các hệ thống có sử dụng phần mềm WinCC/PCS7 SCADA của hãng Siemens. Stuxnet lan truyền qua những ổ USB bị lây nhiễm và sau đó sử dụng các mật khẩu mặc định để ra lệnh cho phần mềm.
Tính tinh vi phức tạp của Stuxnet là rất không bình thường đối với phần mềm độc hại. Cuộc tấn công đòi hỏi có kiến thức về các qui trình công nghiệp và sự quan tâm trong việc tấn công vào hạ tầng công nghiệp. Số lượng những khai thác các lỗi “ngày số 0” của Windows cũng không bình thường, khi mà những khai thác lỗi “ngày số 0” của Windows được đánh giá, và các tin tặc đã không để phí khi sử dụng cả 4 lỗi khác nhau vào cùng trong một sâu Stuxnet này. Kích thước của sâu Stuxnet cũng lớn một cách không bình thường, cỡ 1,5MB và được viết bằng các ngôn ngữ lập trình khác nhau, bao gồm cả C và C++, điều cũng là không bình thường đối với các phần mềm độc hại. Nó được ký điện tử với 2 chứng chỉ xác thực mà những chứng chỉ này đã bị ăn cắp từ 2 nhà cung cấp chứng chỉ là Jmicron và Realtek, điều này đã giúp cho Stuxnet không bị dò tìm ra trong một khoảng thời gian khá dài. Nó cũng có khả năng cập nhật thông qua cơ chế ngang hàng điểm – điểm, cho phép nó được cập nhật sau khi máy chủ chỉ huy và kiểm soát ban đầu đã bị vô hiệu hóa. Những khả năng này có thể đã đòi hỏi phải có một đội những người lập trình, cũng như kiểm tra sao cho phần mềm độc hại này có thể không phá huỷ PLC. Các chuyên gia cho rằng để viết được mã nguồn của Stuxnet có thể phải cần tới nhiều người trong vài tháng, nếu không muốn nói là vài năm. Vâng, rất nhiều điều “không bình thường” đối với Stuxnet. Và điều không bình thường lớn nhất, là vào những ngày cuối cùng của tháng 11/2010, tổng thống Iran đã phải thừa nhận là Stuxnet đã làm ảnh hưởng tới các máy li tâm nói riêng, chương trình hạt nhân đầy tham vọng của Iran nói chung.
Sự lan truyền lây nhiễm của Stuxnet cũng rất nhanh. Cho tới đầu tháng 08/2010, Stuxnet đã được phát hiện tại 115 Quốc gia. Trong tháng 09/2010 thì Stuxnet đứng thứ 4 trong số các virus lây nhiễm nhiều nhất tại Việt Nam. Một số quốc gia bị lây nhiễm Stuxnet với số lượng lớn như Iran, Indonesia, Ấn Độ, Azerbaizan, Pakistan, Malaysia, Mỹ, Uzbekistan, Nga, Anh, Phần Lan, Đức ... và số lượng vẫn tiếp tục gia tăng trong thời gian tới.
Một số chuyên gia an ninh hàng đầu ví Stuxnet như chiếc phản lực F-35 bỗng dưng xuất hiện trong các trận chiến của cuộc Chiến tranh Thế giới lần thứ nhất, hoặc như quả tên lửa tìm đường của chiến tranh không gian mạng đã nhằm bắn vào chương trình hạt nhân đầy tham vọng của Iran để phát động một cuộc chiến tranh mới, cuộc chiến tranh không gian mạng. Họ lo ngại rằng đâu đó, kể cả trên thị trường chợ đen thế giới, có thể đã và đang xuất hiện những biến thể của sâu Stuxnet và việc những nhóm tội ác và bọn khủng bố có được những mã nguồn để tấn công các hệ thống hạ tầng trên thế giới chỉ còn là vấn đề thời gian.
Có những nguồn tin còn cho rằng sâu Stuxnet - lần đầu tiên đã được sử dụng để gây hại cho các mục tiêu trong thế giới thực - có thể được sử dụng để tấn công bất kỳ mục tiêu vật lý nào mà dựa vào các máy tính chạy trên hệ điều hành Microsoft Windows. Danh sách các lĩnh vực có thể bị tổn thương là hầu như bất tận - chúng có thể là các trạm điện, các mạng phân phối thực phẩm, các bệnh viện, các đèn giao thông và thậm chí cả các đập nước. Stuxnet có thể đánh sập hệ thống cảnh sát, đánh sập các hệ thống và trang thiết bị y tế, đánh sập các trạm điện, đánh sập mạng giao thông, đánh sập bất kỳ thứ gì ở khắp mọi nơi.
Loại bỏ Stuxnet
Hãng Siemens đã tung ra một công cụ dò tìm và loại bỏ Stuxnet. Siemens khuyến cáo liên hệ với bộ phận hỗ trợ khách hàng nếu sự lây nhiễm được dò tìm ra và khuyến cáo cài đặt bản vá của Microsoft đối với những chỗ bị tổn thương và cấm sử dụng các ổ USB của bên thứ 3 vì nó là phương tiện rất dễ để lan truyền lây nhiễm Stuxnet qua các hệ thống mạng cục bộ LAN.
Khả năng của Stuxnet lập trình lại các bộ kiểm soát logic có thể lập trình được (PLC) từ bên ngoài có thể làm phức tạp hóa thêm cho thủ tục loại bỏ Stuxnet. Hãng Symantec thì cảnh báo rằng việc sửa các lỗi hệ điều hành Windows có thể vẫn không hoàn toàn loại bỏ được sự lây nhiễm, mà một sự kiểm tra kỹ lưỡng các PLC phải được khuyến cáo thực hiện. Hơn nữa, được ước đoán rằng việc loại bỏ Stuxnet không đúng cách có thể gây ra thiệt hại lớn đáng kể.
Tính tới ngày 22/11/2010, chỉ 3 trong số 4 lỗi "ngày số 0" của Windows đã được Microsoft vá xong, và vì vậy những khai thác của tin tặc vẫn đang tiếp tục diễn ra trên Internet. Biết rằng, Stuxnet ảnh hưởng tới Windows 7, 2K, XP, 2003, Vista, Server 2008 và Server 2008 R2, cả các phiên bản 32 bit và 64 bit và bản vá thường xuyên hàng tháng tiếp sau của Microsoft Tuesday Patch là 14/12/2010.
Phòng ngừa Stuxnet
Phòng ngừa các sự cố về an ninh các hệ thống kiểm soát từ những lây nhiễm chết người như Stuxnet là một chủ đề đang được đề cập tới cả trong khu vực nhà nước và tư nhân. Đơn vị về An ninh Không gian mạng Quốc gia trực thuộc Bộ An ninh Quốc nội Mỹ (DHS) đang vận hành Chương trình An ninh Hệ thống Kiểm soát CSSP (Control System Security Program). Chương trình này điều phối Đội Phản ứng Khẩn cấp về Máy tính (ICS - CERT), tiến hành hội nghị một năm 2 lần, đưa ra sự huấn luyện, xuất bản các tài liệu về thực tế được khuyến cáo, và đưa ra một công cụ tự đánh giá. Một vài tổ chức công nghiệp và xã hội nghề nghiệp đã xuất bản các tiêu chuẩn và những chỉ dẫn thực tế tốt nhất để chỉ dẫn và định hướng cho những người sử dụng đầu cuối các hệ thống kiểm soát về cách để thiết lập một chương trình quản lý An ninh Hệ thống Kiểm soát. Sự chia sẻ những tài liệu nêu trên chỉ ra rằng sự phòng ngừa đòi hỏi một tiếp cận nhiều lớp, thường được tham chiếu tới như là “phòng thủ theo chiều sâu”. Các lớp này bao gồm cả các chính sách và các thủ tục, nhận thức và huấn luyện, phân tách mạng, các biện pháp kiểm soát truy cập, các biện pháp an ninh vật lý, việc tăng cường hệ thống, như quản lý các bản vá, và giám sát hệ thống, như chống virus, hệ thống chống xâm nhập trái phép IDS. Các tiêu chuẩn và những thực tế tốt nhất tất cả cũng khuyến cáo bắt đầu với một đánh giá phân tích rủi ro và an ninh hệ thống kiểm soát. Mục tiêu là để đánh giá mức độ hiện hành các rủi ro và kích cỡ những lỗ hổng giữa rủi ro và những gì có thể chỉnh sửa được. Một mục tiêu khác của sự đánh giá này là để xác định những chỗ bị tổn thương và phát triển một chương trình được ưu tiên để hạn chế hoặc giảm thiểu chúng.
Để đáp ứng với những mong đợi này, các chương trình về tiêu chuẩn và chứng chỉ an ninh không gian mạng như ISA 99 và SASecure đã và đang được phát triển để đánh giá và chứng thực về an ninh đối với các sản phẩm tự động hóa công nghiệp.
Nguồn: http://www.upi.com/enl-win/b00bf188f7671cf2f939d18b1453852f/
Những người phát triển các Hệ thống Tự động hóa, SCADA và Hệ thống kiểm soát thường sử dụng các giao thức và phần mềm, thiết bị đặc chủng, tích hợp và thiết lập cấu hình cho chúng theo các cách thức khác biệt đối với một loạt các ứng dụng. Tiếp cận 'thông dụng' này có thể là dễ dàng hơn cho các phần mềm độc hại đánh sập một số hệ thống có khả năng bị tổn thương.
Tuy nhiên, những người phát triển các Hệ thống Tự động hóa, SCADA và Hệ thống Kiểm soát, đang có khả năng cung cấp một giải pháp hoàn toàn 'theo đặt hàng', có sử dụng những giao thức và các giải pháp phần cứng/phần mềm/phần dẻo (Firmware) mà vẫn còn chưa được biết đối với các lập trình viên phần mềm độc hại.
Vâng, đây lại chính là chủ để “Phần mềm nguồn đóng với các tiêu chuẩn đóng và Phần mềm nguồn mở với các chuẩn mở, cái gì là an ninh hơn?”, trong khi thực tế rõ ràng là Stuxnet chỉ tồn tại được trên các máy tính chạy hệ điều hành nguồn đóng sở hữu độc quyền Microsoft Windows! và có lẽ Stuxnet đã không thể có đất để ẩn náu lâu được như vậy mà không bị phát hiện nếu hệ điều hành được sử dụng ở đây là một phần mềm tự do nguồn mở GNU/Linux.
Đơn giản là không thể tin tưởng được vào một hệ điều hành nguồn đóng với những mã nguồn mà chỉ có 1 công ty duy nhất quản lý, 1 công ty duy nhất có thể hiểu được mã nguồn, 1 công ty duy nhất có thể sửa được các lỗi khi bị phát hiện, và biết đâu đấy, 1 công ty duy nhất biết được việc những lỗi “ngày số 0” chết người kia được để lại trong hệ điều hành đó là vô tình hay cố ý.
Nếu một hệ thống an ninh thông tin được xây dựng trên một hệ điều hành nguồn đóng, phụ thuộc hoàn toàn vào chỉ 1 công ty, thì đó chỉ có thể là một hệ thống an ninh ảo tưởng.
Nếu một hệ thống thông tin của chính phủ, như hệ thống thông tin chính phủ điện tử, được xây dựng trên một hệ điều hành nguồn đóng, thì hệ thống thông tin đó phụ thuộc hoàn toàn vào 1 công ty duy nhất và sẽ là con tin của chính công ty đó. An toàn an ninh thông tin của hệ thống thông tin chính phủ lúc này chỉ còn là an toàn an ninh ảo tưởng.
Lời kết
Thông điệp về An toàn Thông tin (ATTT) của Việt Nam đã được đưa ra. Quy hoạch an toàn thông tin số quốc gia đến năm 2020 cũng đã có. Tuy nhiên, cùng với việc “Việt Nam liên tục có tên trong nhiều danh sách quốc tế về các vấn đề liên quan đến ATTT” và đặc biệt với sự xuất hiện của vũ khí huỷ diệt hàng loạt Stuxnet chạy trên hệ điều hành nguồn đóng, sở hữu độc quyền Microsoft Windows với vô số các bản vá lỗi bất tận không bao giờ hết, thì vẫn còn chưa rõ, tại Việt Nam liệu có một chiến dịch hoạt động nào đi theo tiếp cận “phòng thủ theo chiều sâu” được phát động và triển khai thực sự có hiệu quả trong thời gian tới hay không?
Hy vọng là sẽ không có một hệ thống cơ sở hạ tầng nào của Việt Nam bị đánh sập trong thời gian tới vì Stuxnet và/hoặc những biến thể của nó, để không có một Vinashin trong không gian mạng nào đáng tiếc xảy ra như với một Vinashin thật mà cho tới nay vẫn còn không rõ có bất kỳ ai phải chịu trách nhiệm cá nhân về sự sụp đổ của nó như tất cả những gì chúng ta đã được chứng kiến qua các cuộc chất vấn tại kỳ họp của Quốc hội vừa qua.
Chỉ còn là vấn đề của thời gian, khi mà mã nguồn của Stuxnet và những biến thể của nó không chỉ nằm trong tay các chính phủ quốc gia có khả năng công nghệ cao, mà còn nằm trong tay những kẻ khủng bố và các băng nhóm tội phạm không gian mạng, thì không một ai có thể lường trước được sức tàn phá của chiến tranh không gian mạng mà chúng có thể gây ra, nhưng chắc là sẽ lớn hơn vô cùng nhiều, nhiều lần so với sự sụp đổ của Vinashin thật.
Còn hy vọng, vụ Stuxnet đã dạy cho chúng ta một bài học so sánh đáng nhớ về an ninh không gian mạng ngày nay với các hệ điều hành, các hệ thống mã nguồn đóng và mã nguồn mở.
Stuxnet: thông điệp kinh hoàng về chiến tranh không gian mạng đã được gửi tới toàn thế giới!
Trần Lê
PS: Bài được đăng trên tạp chí Tin học và Đời sống, số tháng 12/2010, trang 72-75.
Ý kiến bạn đọc
Những tin mới hơn
Những tin cũ hơn
Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...