Các tin tặc đã điều khiển các máy tính của đường sắt, TSA nói

Hackersmanipulated railway computers, TSA memo says

By AliyaSternstein 01/23/2012

Theo:http://www.nextgov.com/nextgov/ng_20120123_3491.php

Bài được đưa lênInternet ngày: 23/01/2012

Lờingười dịch: Sau cuộctấn công của sâu Windows Stuxnet vào các nhà máy hạtnhân của Iran, thế giới đã vĩnh viễn không còn đượcan ninh như trước đó nhất là đối với các hệ thốngsống còn của bất kỳ quốc gia nào được nữa. Đãtừng có những vụ việc bị nghi ngờ có tấn công khônggian mạng vào các lướiđiện, các hệthống cấp thoát nước, và nay là các máy tính trongcác hệ thống đường sắt tại Mỹ vào đầu tháng12/2011 vừa qua. Bạn hãy đọc kỹ bài viết, kết luậncó tin hay không nằm trong suy nghĩ của bạn, dù bạn làngười dân thường, người làm việc trong các công ty haytrong các cơ quan chính phủ.

Các tin tặc, có thểtừ nước ngoài, đã tiến hành tấn công vào các máytính của một công ty đường sắt ở Tây Bắc và đãphá hỏng các tín hiệu đường sắt trong 2 ngày trongtháng 12, theo một bản ghi nhớ của chính phủ về lắpthêm thiết bị an ninh với được xa hơn với khu vựcgiao thông trong trường hợp khẩn cấp.

Vào ngày 01/12, dịchvụ đường sắt trên một tuyến đường sắt không đượcnêu tên “đã bị chậm lại một lúc” và các lịchtrình xe lửa đã bị chậm lại khoảng 15 phút sau sự canthiệp đó, được nêu trong toàm tắt của Cơ quan An ninhGiao thông trong cuộc họp ngày 20/12 về sự việc có trênNextgov. Ngày hôm sau, ngay trước giờ cao điểm, một “sựkiện thứ 2 đã xảy ra” mà đã không ảnh hưởng tớilịch trình, các quan chức của TSA nói. Cơ quan này cótrách nhiệm bảo vệ tất cả các hệ thống giao thôngcủa Mỹ, không chỉ các sân bay.

“Các chuyến tàuAmtrak và chở hàng cần phải có ngữ cảnh về đối vớicác trung tâm kỹ thuật thông tin”, bản ghi nhớ nói.“Các cuộc tấn công không gian mạngtừng không phải là mối lo chính cho hầu hết nhữngngười vận hành đường sắt” vào lúc này, bổ sung,“kết luận rằng đường sắt đã bị ảnh hưởng vìmột cuộc tấn công là rất nghiêm trọng”.

Trong khi chính phủ vàcác khu vực công nghiệp sống còn đã tiến những bướcdài trong việc chia sẻ tình báo về các mối đe dọa, thìít sự chú ý được nêu cho việc hiểu được nhữngphân tích đó trong thông tin sử dụng được cho mọingười trong các đường ray, những người đang chạytrong các tàu điện ngầm, các đường cao tốc và các hệthống quá cảnh khác, một số cựu quan chức liên bangnói. Sự với xa hơn của TSA gần đây là độc nhấttrong đó các quan chức đã nói các nhà vận hành cách mànhững lỗ hổng đã làm ngắt quãng các hoạt động thôngthường của đường sắt, Steve Carver, một nhà quản lýan ninh thông tin của Cơ quan Hàng không Liên bang đã nghỉhưu, bây giờ là một nhà tư vấn công nghiệp hàng không,người đã rà soát lại bản ghi nhớ, nói.

Hackers,possibly f-rom abroad, executed an attack on a Northwest railcompany's computers that disrupted railway signals for two days inDecember, according to a government memo recapping outreach with thetransportation sector during the emergency.

OnDec. 1, train service on the unnamed railroad "was slowed for ashort while" and rail schedules were delayed about 15 minutesafter the interference, stated a Transportation SecurityAdministration summary of a Dec. 20 meeting about the episodeobtained by Nextgov. The following day, shortly before rushhour, a "second event occurred" that did not affectschedules, TSA officials added. The agency is responsible forprotecting all U.S. transportation systems, not just airports.

"Amtrakand the freight rails needed to have context regarding theirinformation technical centers," the memo stated. "Cyberattackswere not a major concern to most rail operators" at the time,adding, "the conclusion that rail was affect [sic] by acyberattack is very serious."

Whilegovernment and critical industry sectors have made strides in sharingthreat intelligence, less attention has been paid to translatingthose analyses into usable information for the people in thetrenches, who are running the subways, highways and other transitsystems, some former federal officials say. The recent TSA outreachwas unique in that officials told operators how the breachinterrupted the railway's normal activities, said Steve Carver, aretired Federal Aviation Administration information security manager,now an aviation industry consultant, who reviewed the memo.

“Chương trình TSA làmột sự khởi đầu để mang lại, ở mức cao hơn, mộtsự hiểu biết về tác động quốc gia tới các cuộc tấncông không gian mạng”, Carver nói. ĐộiSẵn sàng Khẩn cấp về Máy tính của Mỹ (US CERT) và Cơquan An ninh Quốc gia của Lầu 5 góc “đã đưa ra thôngtin lớn về mối đe dọa đặc biệt này. Họ không nóicách mà nó đã tác động tới những người khác. TSA nóicho bạn cách mà nó đã tác động tới những ngườikhác”.

Tóm tắt của sựviệc này đã khen ngợi vài người của TSA vì giải thícđược tình huống được đưa ra theo ngữ cảnh. Khi cácnhà điều tra của TSA đã bắt đầu nghi ngờ sự khaithác là một hành động có chủ tâm hơn là một sự cố,thì họ đã hành động theo giả thiết nó có thể đưara một sự nguy hiểm rộng lớn hơn cho hệ thống giaothông của Mỹ, theo bản ghi nhớ.

“Mộtsố nguyên nhân có khả năng dẫn tới việc xem xét mộtcuộc tấn công từ bên ngoài vào”, báo cáo nói. Các nhàđiều tra đã phát hiện được 2 địa điểm truy cậpInternet, hoặc các địa chỉ IP, đối với những kẻ thâmnhập trái phép hôm 01/12 và 03/12, tài liệu viết, nhưngkhông nói chúng thuộc về quốc gia nào.

“Thôngtin nói các vụ việc là một cuộc tấn công có đíchngắm đã không được gửi đi” cho tới giữa ngày thứhai, 05/12, theo bản ghi nhớ. Các dữ liệu mà các nhà vậnhành đường sắt cần để phổ biến tình hình đã đượclàm sẵn sàng cho họ, các quan chức viết. Những cảnhbáo liệt kê 3 địa chỉ IP đã đi ra tới vài trăm hãngđường sắt và các cơ quan giao thông công cộng, cũng nhưcác đối tác tại Canada.

“Các quá trình đượcthiết lập ngay cho chính phủ để làm việc với giớicông nghiệp trong các giao tiếp truyền thông thời gianthực về một sự kiện không gian mạng được sắp hàngưu tiên cao”, báo cáo nói.

Nhữngngười tham gia cuộc họp hôm 20/12 bao gồm các đại diệntừ hãng công nghệ thông tin Indus Corp., Liên đoàn Đườngsắt Mỹ, và hãng Boing Co., cũng như các quan chức chínhphủ từ TSA, các đơn vị an ninh không gian mạng của BộAn ninh Nội địa, Bộ Giao thông và Cảnh sát Bờ biểnMỹ.

"ThisTSA program is a start to bring, at a higher level, an understandingof the national impact to cyberattacks," Carver said. The U.S.Computer Emergency Readiness Team and the Pentagon's NationalSecurity Agency "have provided great information on theparticular threat. They don't say how it has affected others. TSAtells you how it affected others."

Theincident summary praised several TSA personnel for explaining theunfolding situation in context. When TSA investigators began tosuspect the exploit was an intentional act rather than a glitch, theyacted under the assumption it could present a broader danger to theU.S. transportation system, according to the memo.

"Someof the possible causes lead to consideration of an overseascyberattack," the write-up stated. Investigators discovered twoInternet access locations, or IP addresses, for the intruders on Dec.1 and a third on Dec. 2, the document noted, but it does not say inwhich country they were located.

"Informationstating the incidents were a targeted attack was not sent out"until midday on Monday, Dec. 5, according to the memo. The data thattrain operators needed to diffuse the situation was made available tothem, officials wrote. Alerts listing the three IP addresses went outto several hundred railroad firms and public transportation agencies,as well as to partners in Canada.

"Theprocesses set in place for government to work with the industry inreal-time communications regarding a cyber event aligned superbly,"the recap stated.

Participantsin the Dec. 20 meeting included representatives f-rom informationtechnology firm Indus Corp., the Association of American Railroads,and Boeing Co., as well as government officials f-rom TSA, theHomelandSecurityDepartment's cybersecuritydivisions, the Transportation Department, and the U.S. Coast Guard.

Nhưng, vào ngày thứ2, các quan chức tại Bộ An ninh Nội địa, bộ giám sátTSA, nói sau phân tích sâu bổ sung, dường như là sự thâmnhập đường sắt có thể không phải là một cuộc tấncông có chủ đích. “Hôm 01/12, một cơ quan giao thông củaPacific Northwest đã báo cáo rằng một vụ việc tiềm tàngtrong không gian mạng có thể tác động tới dịch vụđường sắt”, người phát ngôn của DHS Peter Boogaardnói. “Bộ An ninh Nội địa, FBI và các đối tác củaliên bang vẫn giữ truyền thông với các đại diện từcơ quan giao thông đó để hỗ trợ các hoạt động giảmnhẹ của họ và với các quan chức chính quyền địaphương để gửi đi các cảnh báo nhắc nhở cộng đồnggiao thông về hoạt động không bình thường như nó đãxảy ra”.

Dựavào bản ghi nhớ, còn chưa rõ liệu các công ty đườngsắt khác có các kinh nghiệm về các vụ việc mạng tươngtự hay không. Các công ty thường miễn cưỡng thảo luậnvề các lỗ thủng máy tính một cách công khai vì sợ làmkinh hãi các khách hàng. Và, đôi khi, các doanh nghiệpkhông bao giờ dò tìm được các vụ thâm nhập trái phép,họ bổ sung.

Đối với chính phủđể cải thiện sự đáp trả khẩn cấp về không gianmạng, thì “thứ lớn nhất là bắt đầu với các nhânviên truyền thông”, Carver khuyến cáo. “Có các nhu cầucó một người biên dịch có thể đưa thông tin ra khỏiUS CERT, nắm lấy nó, trích nó ra, và xác định được nócó nghĩa gì cho các hoạt động”.

Các đại diện côngnghiệp đường sắt nói họ không có sự tự do để thảoluận về các nội dung của bản ghi nhớ của chính phủ.

But,on Monday, officials at the HomelandSecurity Department,which oversees TSA, said following additional in-depth analysis, itappears that the rail infiltration may not have been a targetedattack.

"OnDecember 1, a Pacific Northwest transportation entity reported that apotential cyber incident could affect train service," DHSspokesman Peter Boogaard said. "The Departmentof Homeland Security,the FBI and our federal partners remained in communication withrepresentatives f-rom the transportation entity in support of theirmitigation activities and with state and local government officialsto send alerts to notify the transportation community of theanomalous activity as it was occurring."

Basedon the memo, it is unclear if other railway companies haveexperienced similar network incidents. Companies often are reluctantto discuss computer breaches openly for fear of scaring offcustomers. And, sometimes, businesses never detect the intrusions,they add.

Forgovernment to improve cyber emergency response, "the biggestthing is to start with the communications staff," Carverrecommends. "There needs to be an interpreter who can take theinformation coming out of the U.S. CERT, take that, extract that out,and determine what it means for operations."

Railindustry representatives said they were not at liberty to discuss thecontents of the government memo.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com