Các chiến binh KGM ở mặt trận phía đông: các cơn lũ đánh tơi tả (1)

Cyberwarriorson the Eastern Front: In the line of fire packetfloods

Former senior Estoniandefence official talks cyberwar with El Reg

By JohnLeyden • Getmore f-rom this author

Posted in EnterpriseSecurity, 25thApril 2011 09:00 GMT

Freewhitepaper – Google innovates on the idea of an upgrade

Theo:http://www.theregister.co.uk/2011/04/25/estonia_cyberwar_interview/

Bài được đưa lênInternet ngày: 25/04/2011

Lờingười dịch: Vào tháng 04/2007, Estonia đã bị tấn côngkhông gian mạng trong 3 tuần vào các website của cả khuvực nhà nước và tư nhân và các site phương tiện truyềnthông, làm tê liệt đất nước này. Các cuộc tấn côngtừ chối dịch vụ được thực hiện bằng các botnet từhơn 100 quốc gia, trong đó có cả tòa thành Vatican. Vìcông việc thường ngày, theo thói quen của đa số ngườiEstonia, là dựa vào mạng, nên nó từng là tồi tệ đốivới họ.

Phỏng vấn các bộtrưởng và các quan chức chính phủ sâu trong trong khủnghoảng về những náo loạn trên đường phố vào tháng04/2007 từng bắt đầu bối rối khi một quan chức báochí của chính phủ đã ngừng giữa chừng để nói rằngông đã không thể đưa lên một thông cáo báo chí.

Phản ứng ban đầulà “vì sao bạn làm phiền chúng tôi về điều này”Lauri Almann, thứ trưởng thường trực Bộ Quốc phòngEstonia đã giải thích trong khi nói chuyện với El Reg. “Chỉkhi ông ta nói 'Không bạn không hiểu, tôi nghĩ chúng tôiđang ở trong một cuộc tấn công', mà bất kỳ ai cũngnhận thấy”, Almann giải thích.

Estonia, một đấtnước nhỏ khoảng 1.3 triệu dân giáp với Nga và BiểnBaltic, đã chuyển nhanh chóng kể từ sự độc lập vàonăm 1991 để phát triển một hạ tầng mạng tiên tiếnđể phân phối các dịch vụ chính phủ và tài chính. Đấtnước này hoàn toàn bỏ qua pha ngân hàng có liên quan tớiséc, ví dụ thế, nên đa số lớn các công dân của nướcnày sử dụng ngân hàng trực tuyến để thanh toán hóađơn và triển khai các tác vụ thường ngày khác. Sự pháhoại khi những cơ sở này bất ngờ dừng làm việc vàvì thế tất cả còn nghiêm trọng hơn.

Các hệ thống củacả khu vực nhà nước và tư nhân tại Estonia đã bị tấncông dữ dội vào tháng 04/2007. Điều này đã trùng vớinhững náo loạn mức đường phố mà đi cùng với việcđặt lại vị trí tượng đài (thời Xô viết) của chiếntranh thế giới II. Những náo loạn là do những ngườithiểu số gốc Nga tại quốc gia này chống lại nhữngngười gốc Estonia và cảnh sát.

InterviewEstonian government ministers and officials deep in a crisis meetingabout riots on the street in April 2007 were initially nonplussedwhen a government press officer interrupted a briefing to say that hewas unable to post a press release.

Theinitial reaction was "why are you bothering us with this"explained Lauri Almann, permanent undersecretary at the EstonianMinistry of Defence at the time told ElReg. "It was onlywhen he said 'No you don't understand, I think we are undercyberattack' that anybody took notice," Almann explained.

Estonia,a small country of around 1.3 million people bordering Russia and theBaltic Sea, has moved swiftly since independence in 1991 to developan advanced network infrastructure for the delivery of bothgovernment and financial services. The country completely skipped thephase of banking involving cheques, for example, so that the vastmajority of its citizens use online banking to pay bills and carryout other day-to-day tasks. The disruption when these facilitiesabruptly ceased to work was therefore all the more severe.

Cyberblitz

Bothgovernment and private sector systems in Estonia came under fiercecyberassault in April 2007. This coincided with street-level riotsthat accompanied the relocation of World War II (Soviet era)memorials. The riots pitted ethnic Russians in the country againstethnic Estonians and the police.

Các cuộc tấn côngtừ chối dịch vụ mà chúng đã đánh trong khoảng 2 ngàysau khi những cuộc phản đối trên đường phố đã bắtđầu làm cho các website quan trọng của chính phủ, ngânhàng và các phương tiện truyền tin không còn sẵn sàngđược. Tính không sẵn sàng của các website của chínhphủ và phương tiện thông tin từng là quan trọng vì nóngăn cản chính phủ đưa được thông tin ra vào lúc xảyra khủng hoảng. Estonia không có các văn phòng của BBC vàCNN và văn hóa sử dụng radio để có thông tin, nếu tấtcả những thứ khác bị sập, thì có thể sẽ không làgì tại Anh, ví dụ thế. Nhiều người Estonia dựa vàoweb để có thông tin nên các cuộc tấn công làm cho họkhông có thông tin cập nhật.

Làn sóng các cuộctấn công như bão lũ các gói của “kẻ vũ phu” đãđược đi kèm theo nhiều hơn nữa các cuộc tấn côngtinh vi phức tạp, bao gồm cả việc làm mất mặt cácwebsite, và chiếm site. Ví dụ, sự cáo lỗi giả về sựdi chuyển tượng đài đã được đưa lên website của mộtđảng chính trị.

Tổng cộng các cuộctấn công đã kéo dài khoảng 3 tuần. “Nó có thể còntồi tệ hơn”, Almann đã nói. “Chúng tôi nghĩ họ cólẽ tiếp tục tới 3 tháng. Về mặt kỹ thuật các cuộctấn công mà chúng tôi đã đối mặt không có gì là đặcbiệt”, ông bổ sung.

Trêntuyến lửa

Estonia đã đáp trảcác cuộc tấn công không gian mạng, một phần, bằng việcgia tăng băng thông rộng và tổ chức sao lưu các websitehosting cho chính phủ. Quá trình nhân bản nội dung ở giữacuộc tấn công đang diễn ra từng khó khăn một cáchkhông ngạc nhiên. “Nhiều quốc gia đã từ chối nắmlấy các site của chúng tôi vì họ nói rằng có thể làmcho họ cũng nằm trong tuyến lửa”, Almann nói.

Giả thiết kể từcác cuộc tấn công, một sự kiện giới hạn trong an ninhmáy tính, gợi ý họ đã gây men trong “không gian blog củaNga” và có thể đã có liên quan tới các tin tặc tộiphạm đã biến thành những người yêu nước.

Một số người đãgợi ý rằng chính phủ Nga có thể đã đóng một vai tròtrong việc khuyến khích những cuộc tấn công này, mộtcáo buộc bị từ chối từ Kremlin. Bộ trưởng Ngoạigiao Estonia Urmas Paet, ví dụ, đã chỉ tay tố cáo các cuộctấn công một cách trực tiếp vào Kremlin.

Thedenial of service attacks that kicked in around two days after thestreet protests began left important government, banking and newsmedia websites unavailable. The unavailability of government and newsmedia websites was important because it prevented the governmentgetting information out at a time of crisis. Estonia does not haveBBC and CNN bureaus and the culture of using the radio to get news,if all else fails, isn't as ingrained there as it would be in the UK,for example. More Estonians rely on the web for news so the attacksleft them deprived of up-dates.

Thefirst wave of "brute force" packet flooding assaults wasfollowed by more sophisticated attacks, including website defacement,and site takeovers. For example, a fake apology over the relocationof the monuments was posted on the website of one political party.

Intotal the attacks lasted around three weeks. "It could have beenmuch worse," Almann explained. "We thought they might go onfor up to three months. Technically the attacks we faced were nothingspecial," he added.

Inthe line of fire

Estoniaresponded to the cyberattacks, in part, by increasing bandwidth andorganising backup hosting for government websites. The process ofreplicating content in the midst of the ongoing attack wasunsurprisingly difficult. "Many countries refused to take oursites because they said that would put them in the line of fire,"Almann said.

Speculationsince the attacks, a landmark event in computer security, suggestthey were fermented in the "Russian blogosphere" and mayhave involved criminal hackers turned patriots.

Somehave suggested that the Russian government may have played a role inencouraging these attacks, a c-harge dismissed by the Kremlin.Estonian Foreign Minister Urmas Paet, for example, pointed the fingerof blame for the attacks directly at the Kremlin.

Mộtcâu hỏi suy luận

Almann đã thận trọnghơn. Được đánh giá có từ 1-2 triệu máy tính bị tổnthương tại 100 quốc gia khác nhau, bao gồm cả Vatican, đãđược sử dụng trong các cuộc tấn công không gian mạngchống lại Estonia. Sử dụng các botnet, mà có thể đượcthuê và trả tiền một cách nặc danh trong thế giới sốngầm, làm cho việc theo dõi nguồn thực sự của các cuộctấn công khó khăn, nếu không nói là không thể.

Thay vì dựa vào thuầntúy sự quy kết kỹ thuật để tìm ra một sự qui kếtchính trị và pháp lý “khói súng” cũng đã đóng mộtvai trò.

Almann nói rằng nhiềuquốc gia đã giúp Estonia vào thời gian của các cuộc tấncông với một ngoại lệ quan trọng - Nga. “Nga đã khônggiúp đẩy lùi các cuộc tấn công. Những yêu cầu đượclặp đi lặp lại về sự trợ giúp đã bị từ chối,đôi lúc vì những lý do pháp lý mù mờ”, ông đã nóivới El Reg.

Ví dụ, Estonia và Ngađã có một thỏa thuận đề cập tới việc thanh tra tộiphạm xuyên biên giới mà đề cập tới sự trao đổithông tin cũng như dẫn độ những kẻ bị tình nghi mà cóthể quyết định vượt qua biên giới để tránh phápluật. “Hiệp định yêu cầu thông tin vào thời điểmcủa cuộc tấn công đã bị từ chối một cách lặp đilặp lại hoặc không hành động. Sự từ chối hợp tácnày đưa ra sự qui cho các cuộc tấn công về chính trị”,Almann nói.

Aquestion of attribution

Almannwas more circumspect. An estimated 1 to 2 million compromisedmachines in 100 different jurisdictions, including the Vatican, wereused in the cyberattacks against Estonia. The use of botnets, whichcan be rented and paid for anonymously on the digital underground,makes tracing the real source of attacks difficult if not impossible.

Insteadof relying on purely technical attribution to find a "smokinggun" political and legal attribution also has a role to play.

Almannsaid that many countries helped Estonia at the time of the attackswith one important exception – Russia. "Russia failed to helpput out the attacks. Repeated requests for assistance were denied,sometimes for obscure legal reasons," he told ElReg.

Forexample, Estonia and Russia have an agreement covering theinvestigation of cross-border crime which covers the exchange of infoas well as the extradition of suspects who might decide to skip overthe border to avoid justice. "Treaty requests for information atthe time of the cyberattack were repeatedly refused or not actedupon. This refusal to co-operate provides political attribution forthe attacks," Almann said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com