Bảo vệ biên giới trong không gian mạng

Thứ hai - 11/05/2009 06:50
Projecting Borders into Cyberspace

Jeffrey Carr, 2009-04-28

Theo: http://www.securityfocus.com/columnists/500

Bài được đưa lên Internet ngày: 28/04/2009

Các cuộc tấn công không gian mạng gần đây như vụ mạng gián điệp GhostNet đã đặt các quốc gia trước việc có đưa không gian mạng thành một phần chủ quyền của một quốc gia hay không, giống hệt như không phận và hải phận vậy, để từng quốc gia có trách nhiệm bảo vệ chủ quyền của mình và khi có vấn đề có thể qui trách nhiệm cho ai đó được.

Hai câu chuyện gần đây về các cuộc tấn công không gian mạng đáng kể đều dẫn gần tới việc đổ lỗi cho những người Trung Quốc về truy cập bất hợp pháp nhưng đã sớm dừng ở đó.

“Bằng việc yêu cầu một quốc gia cảnh sát không gian mạng của riêng họ, chúng ta thiết lập một tiền lệ cho việc giữ cho các chính phủ có trách nhiệm về các chính sách của họ về Internet, bao gồm cả các học thuyết quân sự của riêng họ đối với cuộc chiến tranh thông tin”.

Trong một cuộc xâm nhập bất hợp pháp không gian mạng thành công, những tin tặc đã làm tổn thương nhiều hệ thống có liên quan với Văn phòng Phật giáo của Dalai Lama, Ngân hàng Phát triển châu Á và Tổ chức các Quốc gia Đông Nam Á (ASEAN). Trong vụ thứ 2, sự xúc động mạnh mẽ được thông báo bởi Tạp chí phố Uôn, những kẻ xâm nhập bất hợp pháp một cách trực tuyến đã cài đặt các phần mềm độc hại lên các máy tính có liên quan tới mạng lưới điện của Mỹ. Trong cả 2 trường hợp, sự nghi ngờ có thể nhất là chính phủ Trung Quốc. Vâng, trng mỗi trường hợp, các nhà nghiên cứu và các nguồn đã sớm dừng ở việc đổ lỗi cho những người Trung Quốc.

Các vấn đề với việc qui cho các cuộc tấn công không gian mạng là nổi tiếng. Trong khi chúng ta có thể giả thiết một cách an toàn rằng một vài cuộc tấn công thành công lên hạ tầng sống còn của chúng ta là do những yếu tố bên ngoài hơn là bên trong, thì việc xác định nguồn của các cuộc tấn công này – đã dẫn tới qua một loạt các cơ chế uỷ quyền, bao gồm cả các máy chủ được thiết đặt bên trong quốc gia của chúng ta – là một câu hỏi khó. Đa số các cuộc tấn công có thể chỉ là những người cơ hội dân tộc chủ nghĩa, nhưng chắc chắn một số đang hoạt động dưới sự chỉ đạo của một ngoại quốc.

Vâng, khi nước Mỹ hình thành một chính sách quốc gia về không gian mạng, thì vấn đề quyền lực hiện ra lớn như một trở ngại đáng kể cho sự ngăn trở các cuộc tấn công không gian mạng. Các nhà nghiên cứu đã tham gia vào việc viết tài liệu về các cuộc tấn caông vào Dalai Lama và các tổ chức khác được chứng minh là điểm.

Two recent stories of significant cyber attacks come close to blaming the Chinese for the intrusions but stop short.

“ By requiring each nation police their own cyberspace, we set a precedent for holding governments responsible for their policies on the Internet, including their own military doctrines regarding information warfare. ”

In a highly successful cyber intrusion, hackers compromised numerous systems associated with the Office of His Holiness the Dalai Lama, the Asian Development Bank and the Association of Southeast Asian Nations (ASEAN). In a second incident, sensationally reported by the Wall Street Journal, online intruders had installed malicious software on computers associated with the U.S. electrical grid. In both cases, the most likely suspect is the Chinese government. Yet, in each case, researchers and sources stopped short of blaming the Chinese.

The problems with attributing cyber attacks are well known. While we can safely assume that some of the successful attacks on our critical infrastructure are due to external actors rather than insiders, identifying the source of those attacks — routed through numerous proxies, including servers hosted within our own nation — is a difficult puzzle. The majority of attackers are likely just nationalistic opportunists, but certainly some are operating under the direction of a foreign nation.

Yet, as the United States forms a national cyber policy, the issue of attribution looms large as a significant impediment to deterrence of cyber attacks. The researchers involved in documenting the attacks on the Dalai Lama and other organizations prove the point.

Tổ chức Giám sát Chiến tranh Thông tin (Information Warfare Monitor), mà có liên quan với Đại học Toronto, đã đưa ra một báo cảo chi tiết đáng kinh ngạc và được xuất bản một cách rộng rãi về những gì mà các nhà phân tích đã gọi là Mạng Ma (GhostNet), trong khi các nhà nghiên cứu từ Đại học Cambridge, những người đã truy cập tới bằng chứng cũng nguồn gốc này, đã đưa ra một báo cáo riêng rẽ khác. Cả 2 đội đã đều có khả năng theo dõi vài địa chỉ IP bị tấn công ngược về hòn đảo Hainan, nhà của Lingshui là dấu hiệu phương tiện tình báo và Phòng Kỹ thuật thứ Ba của Quân đội Giải phóng Nhân dân (PLA), vâng chỉ các nhà nghiên cứu Cambridge cảm thấy thuận tiện qui vào ngưỡng cửa của nước Cộng hoà Nhân dân Trung Hoa (PRC). Báo cáo của Cơ quan Giám sát Chiến tranh Thông tin (IWM) đã thừa nhận bằng chứng có sự liên quan của PLA, nhưng cũng đã trình bày một số kịch bản khác mà có thể tính tới cho bằng chứng này bao gồm (1) vụ việc xảy ra ngẫu nhiên, (2) một doanh nghiệp tội phạm phi lợi nhuận, (3) những tin tặc không do nhà nước quản lý hoạt động không có sự đồng ý của PRC, và (4) một quốc gia khác với Trung Quốc muốn ám chỉ PRC – thường được biết tới như một hoạt động “cờ giả”.

Trong khi mỗi lựa chọn này là một giải pháp có thể, thì chúng có thể được xếp hạng theo tính có vẻ hợp lý bằng việc đưa ra các câu hỏi về động cơ và phương tiện.

Những kẻ tấn công thường tự xác định chúng bằng sự lựa chọn một nạn nhân của chúng. Những áp lực hiện nay nếu không hoàn toàn thù địch giữa Trung Quốc và Tây Tạng từng được viết thành sách qua nhiều năm. Bằng chứng chi tiết như vậy có thể chắc gợi ý rằng Trung Quốc đã có một vai trò trong GhostNet.

Một báo cáo vào tháng 01/2009 bởi Nhóm Cymru về hệ thống Kiểm soát Giám sát và Giành Dữ liệu (SCADA) – những người đã sử dụng và điều khiển các thiết bị cài cắm để kiểm soát và giám sát các hệ thống phức tạp – đã xác định Trung Quốc như một nguồn chủ chốt khổng lồ các cuộc quét tìm các cổng dễ bị tổn thương trong một mạng SCADA. Một lần nữa, sự qui kết trực tiếp cho chính phủ Trung Quốc đã là không thể vì kịch bản cách thức và có lẽ rằng nguồn của những thăm dò là những máy tính bị tổn thương như một phần của một botnet và được sử dụng để tấn công Mỹ. Kẻ kiểm soát botnets này có thể nằm ở bất kỳ vị trí nào trên thế giới.

The Information Warfare Monitor, which is associated with the University of Toronto, issued a widely publicized and incredibly detailed report on what its analysts dubbed GhostNet, while researchers f-rom the University of Cambridge, who had access to the same source evidence, issued a separate report. Both teams were able to trace several of the attacking IP addresses back to Hainan Island, home of the Lingshui signals intelligence facility and the Third Technical Department of the People’s Liberation Army (PLA), yet only the Cambridge investigators felt comfortable laying attribution at the doorstep of the People's Republic of China. The IWM report acknowledged the evidence supporting PLA involvement, but also presented some al-ternative scenarios that could account for the evidence, including (1) a random occurrence, (2) a criminal for-profit enterprise, (3) non-state hackers operating without the consent of the PRC, and (4) a nation other than China attempting to implicate the PRC — typically known as a "false flag" operation.

While each of these options is a possible al-ternative, they may be ranked in terms of plausibility by asking questions of means and motive.

Attackers often identify themselves by their se-lection of a victim. Ongoing tensions if not outright hostilities between China and Tibet have been well-documented over the years. Such circumstantial evidence would certainly suggest that China had a role in GhostNet.

A January 2009 report by Team Cymru on Supervisory Control and Data Acquisition (SCADA) systems — those used by utilities and manufacturing plants to control and monitor complex systems — identified China as the source of the vast majority of scans looking for vulnerable ports into a SCADA network. Again, direct attribution to the Chinese government was not possible because of the al-ternative and very likely scenario that the source of the probes were computers compromised as part of a botnet and used to attack the U.S. The botnet's controller could be located anywhe-re in the world.

Mỗi cơ quan có trách nhiệm đồng ý rằng những xâm nhập này phải được phòng thủ chống lại, tuy nhiên nếu một quốc gia muốn khả năng tiến hành những hoạt động tấn công chống lại nhóm hoặc quốc gia tấn công, thì nó phải có khả năng chứng minh được sự qui ra này. Sự ngăn chặn, một chiến lược ban đầu trong thời chiến tranh lạnh, đòi hỏi sự qui ra tất cả sẽ phải là có hiệu quả.

Vẫn còn, tiêu chuẩn để chứng minh rằng phải áp dụng tong các trường hợp xuyên biên giới này là gì? Hiện không có những thoả ước quốc tế nào mà điều chỉnh lĩnh vực này, mà nó bổ sung cho sự phức tạp của câu hỏi của sự qui ra này.

Một cách để cải thiện khả năng của chúng ta để qui các cuộc tấn công là yêu cầu các nhà cung cấp dịch vụ Internet và các quốc gia tiến hành kiểm soát lớn hơn. Một cuộc trao đổi trong bữa sáng gần đây với một đồng nghiệp về chủ đề này dẫn tới kết quả là những gì tôi nghĩ là một cách tốt để chỉ định sự qui ra: Cấu trúc không gian mạng như không phận hoặc hải phận với những vùng định rõ thuộc trách nhiệm của quốc gia. Nói cách khác, mỗi quốc gia kiểm soát và có trách nhiệm về không gian mạng của riêng quốc gia đó.

Trong trường hợp không phận và hải phận, sự tăng cường là bằng thoả thuận quốc tế. Có thể một giải pháp là để bổ sung không gian mạng vào phần nội dung của luật này như một môi trường thứ 4 sau không, đất và biển. Sẽ có những cơ chế phạt vì việc vi phạm một không phận của một quốc gia. Dường như logic để áp dụng các cơ chế phạt đó cho cả không gian mạng nữa.

Nếu được ban hành, điều này có thể sẽ đặt trách nhiệm lên các công ty hosting được cấp phép để kinh doanh trong các quốc gia tương ứng của họ để tăng cường mạnh mẽ hơn nữa luật về chống vi phạm bản quyền phần mềm, đòi hỏi những người đăng ký hoạt động bên trong các biên giới của họ để thực hiện một nỗ lực tốt hơn trong việc kiểm tra tính hợp lệ các dữ liệu Ai là Ai, và yêu cầu các công ty hosting sẽ phải quan tâm hơn nữa tới những vi phạm lớn bởi các khách hàng của họ hoặc bị kết án phạt dân sự và hình sự.

Điều này bao gồm cả các công ty đóng tại Mỹ như The Planet và SoftLayer Technologies, những công ty tham gia vào 8 công ty Trung Quốc nằm trong danh sách 10 công ty hàng đầu về khối mạng tồi tệ như đã được thu thập bởi StopBadware.org.

Bằng việc yêu cầu mỗi quốc gia kiểm soát không gian mạng của riêng họ, chúng ta sẽ thiết lập được một tiền lệ cho việc giữ cho các chính phủ có trách nhiệm về các chính sách của họ về Internet, bao gồm cả những học thuết quân sự của riêng họ có liên quan tới chiến tranh thông tin. Cho tới khi các chính phủ có thiện chí để giả thiết trách nhiệm y như vậy đối với không gian mạng như họ làm với không phậm và hải phận của họ, thì họ phải không ngạc nhiên cũng không bị xúc phạm bởi những mưu toan của những chuyên gia an ninh và tình báo để xác định ai có trách nhiệm bởi các phương tiện khác.

Every responsible authority agrees that these penetrations must be defended against, however if a nation wants the capability to conduct offensive operations against the attacking group or state, it must be able to prove attribution. Deterrence, a prime strategy during the Cold War, requires attribution to be at all effective.

Still, what is the standard of proof that should apply in these cross-border cases? There are currently no international treaties that govern this area, which adds to the complexity of the attribution question.

One way to improve our ability to attribute attacks is to require that ISPs and nations exercise greater control. A recent breakfast conversation with a colleague on this topic resulted in what I think is a great way to assign attribution: Structure cyberspace like airspace or territorial waters with designated areas of state responsibility. In other words, each nation controls and is responsible for its own cyberspace.

In the case of airspace and territorial waters, enforcement is by international treaty. Perhaps one solution is to add cyberspace to this body of law as a fourth environment after air, land, and sea. There are penalties for violating a nation’s airspace. It seems logical to apply those penalties to cyberspace as well.

If enacted, this would put the onus on hosting companies licensed to do business in their respective countries to more vigorously enforce anti-piracy software laws, require registrars operating within their borders to make a better effort at validating WHOIS data, and require hosting companies to be more attentive to gross violations by their customers or be subject to civil and criminal penalties. This includes companies based in the U.S. like The Planet and SoftLayer Technologies, who join eight Chinese companies in a top ten list of bad network blocks as assessed by StopBadware.org.

By requiring each nation police their own cyberspace, we set a precedent for holding governments responsible for their policies on the Internet, including their own military doctrines regarding information warfare. Until governments are willing to assume the same responsibility for cyberspace that they do for their airspace and territorial waters, they should not be surprised nor outraged by the attempts of security and intelligence professionals to identify who's responsible by other means.

Về tác giả:

Jeffrey Carr, một nhà tư vấn hàng đầu tại GreyLogic, là một chuyên gia tình báo không gian mạng mà viết blog IntelFusion và chuyên trong nghiên cứu về các cuộc tấn công không gian mạng chống lại các chính phủ và các hạ tầng của các tin tặc do và không do chính phủ quản lý. Cuốn sách của ông, Bên trong Cuộc chiến tranh Không gian mạng, sẽ được xuất bản bởi O'Reilly Media vào cuối năm 2009.

Jeffrey Carr, a principal consultant at GreyLogic, is a cyber intelligence expert who writes the IntelFusion blog and specializes in the investigation of cyber attacks against governments and infrastructures by state and nonstate hackers. His book, Inside Cyber Warfare, will be published by O'Reilly Media in late 2009.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập147
  • Máy chủ tìm kiếm3
  • Khách viếng thăm144
  • Hôm nay16,157
  • Tháng hiện tại613,644
  • Tổng lượt truy cập37,415,218
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây