Phần mềm độc hại do nhà nước bảo trợ như Stuxnet sẽ đánh mạnh các doanh nghiệp tư nhân trong năm 2013

Thứ tư - 02/01/2013 05:12
State-sponsoredmalware like Stuxnet will hit private enterprise hard in 2013

21 December 2012

Theo:http://www.infosecurity-magazine.com/view/29965/statesponsored-malware-like-stuxnet-will-hit-private-enterprise-hard-in-2013/

Bài được đưa lênInternet ngày: 21/12/2012

Lờingười dịch: Những dự đoán không tích cực về bứctranh an ninh 2013 của hãng chuyên quản lý khóa và chứngchỉ số Venafi. Một số trích đoạn: ““Tuy nhiên, quanđiểm của chúng tôi là các công ty nên có quan tâm,khi mà những công cụ và kỹ thuật được sử dụng đểthực hiện các dạng tấn công đó (như của Stuxnet), tiếcthay, bây giờ đang năm trong tay của bọn tội phạm chungvà các thực thể xấu xa. Trong năm tới, những cuộctấn công như vậy có lẽ sẽ gia tăng, đặc biệt chốnglại các doanh nghiệp lớn, và có khả năng gây ra nhữnglỗ hổng dữ liệu lớn, gây mất điện bất thường vànhững đổ vỡ đáng kể cho các doanh nghiệp”... Nhưmột sự nhắc lại, MD5 là thuật toán ký chứng chỉsố què quặt do Microsoft sử dụng đã cho phép các tin tặcvượt qua được an ninh của Microsoft và gây lây nhiễmhàng ngàn các máy tính với phần mềm độc hại Flame.Một khi xảy ra, Flame có khả năng thu thập các thông tinnhạy cảm từ các thiết bị bị nhắm đích. “Vớigần như 1 trong số 5 chứng chỉ được triển khai khắpGlobal 2000 vẫn còn đang sử dụng MD5, khả năng cao lànhững lỗ hổng có liên quan sẽ tiếp tục”... Vớinhững thay đổi đó, rõ ràng là trong năm 2013 các nhàđiều chỉnh pháp luật toàn cầu sẽ thực hiện hànhđộng chống lại các tổ chức không bảo vệ được dữliệu trong đám mây”.

Gọi nó là thiệt hạiphụ: Bọn tội phạm và tin tặc có tổ chức sẽ thúcđẩy các cuộc tấn công dựa vào chứng chỉ số đểgây lây nhiễm cho các hệ thống CNTT các doanh nghiệp lớnbằng các phần mềm độc hại do nhà nước phát triểnnhư Flame và Stuxnet - với kết quả hung ác làm ảnh hưởngtới hoạt động của các doanh nghiệp trên toàn thếgiới, và mở cửa cho một cơn lũ các lỗ hổng dữ liệuvà thiệt hại về thương hiệu vượt xa các mục tiêucủa chiến tranh không gian mạng mà các phần mềm độchại đó đã được tạo ra để làm như vậy.

Đó là dự đoán hàngđầu cho năm 2013 từ nhà cung cấp quản lý khóa và chứngchỉ Venafi. “Nhiều học giả, các đàiphát thanh hàng đầu và thậm chí một số chuyên gia anninh đang báo cáo rằng các doanh nghiệp lớn không cần cóquan tâm quá mức về Flame và các phần mềm độc hạidạng Stuxnet, trích dẫn thực tế là chúng đã được cácnhóm tình báo và quân sự của chính phủ được cấp vốntốt thực hiện, các mục tiêu của chúng là các nhà nướcquốc gia thù địch và không phải là các doanh nghiệp”,CEO Jeff Hudson của Venafi, nói. “Tuy nhiên, quan điểm củachúng tôi là các công ty nên có quan tâm, khi mà nhữngcông cụ và kỹ thuật được sử dụng để thực hiệncác dạng tấn công đó, tiếc thay, bây giờ đang nămtrong tay của bọn tội phạm chung và các thực thể xấuxa. Trong năm tới, những cuộc tấn công như vậy có lẽsẽ gia tăng, đặc biệt chống lại các doanh nghiệp lớn,và có khả năng gây ra những lỗ hổng dữ liệu lớn,gây mất điện bất thường và những đổ vỡ đáng kểcho các doanh nghiệp”. “Các tổ chức mà không có sựquản lý và kiểm soát hiệu quả cho BYOD và các mạngWifi và VPN có liên quan sẽ tự thấy họ xoắn theo mộtác mộng an ninh và tuân thủ mà sẽ gây ra những lỗhổng, các khoản tiền phạt và thiệt hại về thươnghiệu... ”

Venafi nói rằng dựavào dự báo của mình về những ví dụ thế giới thựccác dạng “mục tiêu đổ máu” này đang xảy ra rồi.Đầu năm nay, người khổng lồ dầu khí Chevron (Đứng số3 theo xếp hạng Fortune 500) được cho là đã thấy phầnmềm độc hại Stuxnet trong các hệ thống của mình.Chevron khi đó đã nói rằng hãng không tin chính phủ Mỹnhận thức được phần mềm độc hại đó đã lan truyềnxa và rộng tới cỡ nào, Hudson lưu ý. Sự lây nhiễm đótừng xảy ra trước khi nó gây thiệt hại, nhưng bài họcvề mục tiêu đó vẫn còn.

Callit collateral damage: Organized cybercriminals and hackers willleverage digital certificate-based attacks to infect enterprise ITsystems with state-developed malware such as Flame and Stuxnet –with the nefarious result of impacting business operations worldwide,and opening the door to a flood of data breaches and brand damagereaching far beyond the cyber-war targets the malware was cre-atedfor.

That’sthe top prediction for 2013 f-rom key and certificate managementvendor Venafi."Many pundits, leading media outlets and even some securityexperts are reporting that enterprises needn't be overly concernedabout Flame and Stuxnet-style malware, citing the fact that they wereexecuted by well-funded government intelligence and military groupswhose targets were hostile nation-states and not businesses,"said Venafi CEO Jeff Hudson. "However, our view is thatcompanies should be concerned, as the tools and techniques used toexecute these types of attacks are, unfortunately, now in the handsof common criminals and rogue entities. In the coming year, suchattacks are likely to increase, especially against enterprises, andare likely to result in major data breaches, unplanned outages andsignificant disruptions to businesses."

Venafisaid that it is basing its prediction on real-world examples of thiskind of “target bleed” already happening. Earlier in the year,oil giant Chevron (No. 3 in the Fortune 500 rankings) said that itfound the Stuxnetmalware in its systems. Chevron has since publicly stated that itdoes not believe the US government realizes how far and wide themalware has spread, Hudson noted. That infection was contained beforeit resulted in damage, but the object lesson remains.

Inaddition to predicting increased trends in enterprise attacks, Venafihas also researched the overall enterprise security landscape anddeveloped a number of other predictions, including the theory that4G-driven mobility and bring-your-own–device (BYOD) compliance willcause security and audit nightmares.

“Theavailability of near-desktop speed on laptops, tablets andsmartphones will lead to a larger number of mobile BYOD usersaccessing sensitive and regulated corporate data,” said Venafi.“Organizations that do not have effective management and controlsin place for BYOD and related Wi-Fi networks and VPNs will findthemselves spiraling into a security and compliance nightmare thatwill result in breaches, fines and brand damage.”

Bổ sung thêm vào việcdự đoán các xu thế gia tăng trong các cuộc tấn công cácdoanh nghiệp, Venafi cũng đã nghiên cứu toàn bộ bứctranh an ninh doanh nghiệp và đã đưa ra một số dự báokhác, bao gồm lý thuyết di động do 4G dẫn dắt và sựtuân thủ mang thiết bị của riêng bạn - BYOD (Bring - Your- Own – Device) sẽ gây ra những ác mộng về kiểm toánvà an ninh.

“Tínhsẵn sàng về tốc độ gần với máy để bàn trên cácmáy tính xách tay, các máy tính bảng và điện thoạithông minh sẽ dẫn tới số lượng lớn hơn những ngườisử dụng BYOD di động truy cập các dữ liệu nhạy cảmvà được điều chỉnh của các công ty”, Venafi nói.“Các tổ chức mà không có sự quản lý và kiểm soáthiệu quả cho BYOD và các mạng Wifi và VPN có liên quan sẽtự thấy họ xoắn theo một ác mộng an ninh và tuân thủmà sẽ gây ra những lỗ hổng, các khoản tiền phạt vàthiệt hại về thương hiệu”.

Một vấn đề kháccho năm tới là những lỗ hổng do sử dụng các thuậttoán mã hóa MD5 hoặc yếu khác. Venafi nói rằng nghiên cứuthống kê đã phát hiện rằng hầu hết toàn boọ 2000 tổchức toàn cầu đã phát triển các chứng chỉ số đượcký theo MD5, yếu và dễ dàng bị tấn công trong các môitrường của họ.

Nhưmột sự nhắc lại, MD5 là thuật toán ký chứng chỉ sốquè quặt do Microsoft sử dụng đã cho phép các tin tặcvượt qua được an ninh của Microsoft và gây lây nhiễmhàng ngàn các máy tính với phần mềm độc hại Flame.Một khi xảy ra, Flame có khả năng thu thập các thông tinnhạy cảm từ các thiết bị bị nhắm đích. “Với gầnnhư 1 trong số 5 chứng chỉ được triển khai khắp Global2000 vẫn còn đang sử dụng MD5, khả năng cao là những lỗhổng có liên quan sẽ tiếp tục”, hãng này nói.

Hãng này còn dự báo- không ngạc nhiên - rằng đám mây sẽ là mục tiêu củabọn tội phạm không gian mạng nhằm vào các doanh nghiệpvà các chính phủ. Và rằng, tới lượt nó, sẽ dẫn dắtcác hành động điều chỉnh pháp luật.

Câuchuyện đó đang bắt đầu rồi: Tại Anh, Văn phòng Ủyban Thông tin (ICO) đã phác thảo một kế hoạch để bảovệ các dữ liệu đám mây trong khi tuân thủ với các chỉthị Bảo vệ Dữ liệu của châu Âu và nước Anh. ICO cóthể phạt các tổ chức £500,000 cho mỗi vi phạm và nóirằng “quản lý khóa mạnh khỏe” và mã hóa là nhữngyêu cầu tuân thủ.

“Vớinhững thay đổi đó, rõ ràng là trong năm 2013 các nhàđiều chỉnh pháp luật toàn cầu sẽ thực hiện hànhđộng chống lại các tổ chức không bảo vệ được dữliệu trong đám mây”. Venafi nói.

Và, cuối cùng, khibức tranh về các mối đe dọa gia tăng, ngân sách cho anninh sẽ tăng. “Mọi dấu hiệu chỉ ra rằng hầu hếtngân sách an ninh CNTT sẽ tăng trong năm 2013 vì sự chú ýgia tăng đối với các lỗ hổng và các đội an ninh đanglàm tốt hơn công việc của mình bằng việc khớp nốicả giá trị rủi ro và nghiệp vụ”, hãng này nói. “Cácdự án về an ninh có thể giúp tăng tốc các dự án chiếnlược và làm giảm công việc ở những nơi khác và nhấtđịnh có những cơ hội đầu tư tốt nhất trong năm2013”.

Anotherissue for the coming year is breaches caused by the use of MD5 andother weak encryption algorithms. Venafi said that statisticalresearch has revealed that almost all Global 2000 organizations havedeployed weak, easily hacked, MD5-signed certificates in theirenvironments.

Asa refresher, MD5 is the broken certificate-signing algorithm used byMicrosoft that allowed hackers to bypass Microsoft security andinfect thousands of computers withFlame malware. Once in place, Flame was able to gather sensitiveinformation f-rom the targeted devices. “With nearly one out of fivecertificates deployed across the Global 2000 still using MD5, it ishighly probable that related breaches will continue,” the firmsaid.
The company also predicts – to no surprise – thatthe cloud will be the target of cybercriminals taking aim atbusinesses and governments. And that, in turn, will drive regulatoryaction.

Thatgroundswell is already starting: In the UK, the InformationCommissioner's Office (ICO) outlined a plan for protecting cloud datawhile complying with UK and European Data Protection directives. TheICO can fine organizations £500,000 per violation and states thatencryption and "robust key management" are requirements forcompliance.

“Withthese changes, it is clear that in 2013 regulators globally will takeaction against organizations that fail to protect data in the cloud,”Venafi said.

And,finally, amid the rising threatscape, security budgets will rise.“All signs indicate that most IT security budgets will grow in 2013due to the increased attention to breaches and to security teamsdoing a better job articulating both risk and business value,” thefirm said. “Security projects that can help accelerate strategicprojects and reduce work elsewhe-re are certain to have the bestchances of funding in 2013.”

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập194
  • Máy chủ tìm kiếm6
  • Khách viếng thăm188
  • Hôm nay45,670
  • Tháng hiện tại448,174
  • Tổng lượt truy cập36,506,767
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây