Tấn công thành công hạ tầng quốc gia là 'bao giờ', không 'nếu'

Successfulattack on nation's infrastructure is 'when,' not 'if'

By Jill R. Aitoro08/06/2010

Theo:http://www.nextgov.com/nextgov/ng_20100806_9847.php?oref=topstory

Bài được đưa lênInternet ngày: 06/08/2010

Lờingười dịch: Cuộc phỏng vấn giữa Nextgov và MarcMaiffret, một cựu tin tặc nổi tiếng của Mỹ, người màkhoảng một thập kỷ trước đã nổi tiếng như là“Chameleon”, “Rhino9” và “sn1per”, các bí danh mà ôngđã sử dụng khi thâm nhập vào một số mạng máy tínhquốc gia (Mỹ). Ông cho rằng “Bây giờ không phải làvấn đề 'có thể' xảy ra một cuộc tấn công vào hạtầng sống còn hay không, mà là 'khi nào'. Đây là mộtcuộc chạy đua tới đích... Trong vòng 2 năm tới, chúngta có thể thấy những thứ nghiêm trọng hơn sẽ xảy raliên quan tới hạ tầng sống còn của chúng ta”. Và đâylà lời khuyên của ông đối với chính phủ: “Mộttrong những thứ lớn nhất mà chính phủ có thể làm đểcải thiện an ninh là sử dụng sức mạnh mua sắm củamình. Vào cuối mỗi ngày, an ninh là một ý nghĩ nảy raquá muộn đối với các nhà cung cấp vì đó không phảilà thứ gì đó mà có thể làm cho các công ty có tiền.Nhưng khi mà bạn nhờ chính phủ nói rằng để chiếnthắng một hợp đồng, thì bạn cần phải đáp ứng đượccác mức độ an ninh nào đó, thì cũng chính những côngty y chang đó thấy các dấu USD mà họ có thể đánh mất”.

Cựu tin tặc cao thủMarc Maiffret nói chính phủ liên bang nên sử dụng sứcmạnh mua sắm của mình để cải thiện an ninh.

Marc Maiffret bây giờlà đồng sáng lập và giám đốc công nghệ tại eEyeDigital Security, nhưng khoảng một thập kỷ trước ông đãnổi tiếng như là “Chameleon”, “Rhino9” và “sn1per”,các bí danh mà ông đã sử dụng khi thâm nhập vào mộtsố mạng máy tính quốc gia. Ông thậm chí đã xuất hiệntrên một loạt chương trình True Life của MTV: Tôi là Tintặc.

Một tin tặc nổitiếng đã trở thành một giám đốc một công ty phầnmềm có uy tín về việc phát hiện sâu máy tính củaMicrosoft Code Red, và có ảnh trên các bìa tạp chí Details,Entrepreneur and Inc., cũng như những trang nhất của tờThời báo Los Angeles và Nước Mỹ ngày nay. Ông cũng đãlàm chứng trước Quốc hội về cách mà các mạng nhạycảm nhất của quốc gia có thể bị thâm nhập dễ dàngnhư thế nào.

Ông phải nói gì hômnay nhỉ? Maiffret cảnh báo không phải là nếu các mạngvận hành hạ tầng sống còn của quốc gia sẽ bị tấncông, mà là khi nào. Như là bằng chứng, ông nhắc cáchchỉ trong 2 giờ đồng hồ ông đã thâm nhập được vàomột hệ thống mà đã kiểm soát hệ thống cấp nướccho một thành phố lớn ở California và đã có khả năngđiều khiển các hoạt động chính như cách mà nhiềuchất Chlorine hơn được đưa vào.

Nhưng Maiffret nóinhững mối đe dọa khác lờ mờ hiện ra đối với cáchệ thống của chính phủ: tội phạm và gián điệp khônggian mạng. “Sự để lộ ra nhiều vô số các thông tinnhạy cảm bởi WikiLeaks chỉ ra rằng thật quá dễ dàngđể ăn cắp các thông tin nhạy cảm bây giờ hơn trongthời kỳ Chiến tranh Lạnh, khi bạn đã cần tới nhữngngười được cấy một cách vật lý vào đất liền”,ông nói.

Maiffret đã nói hômthứ sáu với phóng viên kỳ cựu Jill R. Aitoro của Nextgovvề những mối đe dọa không gian mạng ngày nay và cái gìchính phủ nên quan tâm nhất. Sau đây là một trích đoạntừ cuộc phỏng vấn này.

Formerhacker Marc Maiffret says the federal government should use itsbuying power to improve security.

MarcMaiffret now is the co-founder and chief technology officer at eEyeDigital Security, but about a decade ago he was better known as"Chameleon," "Rhino9" and "sn1per,"pseudonyms he used while breaking into some of the nation's computernetworks. He even appeared in MTV's series True Life: I'm a Hacker.

Thecelebrity-hacker-turned-software-company executive is credited fordiscovering the first Microsoft computer worm Code Red, and gracedthe covers of Details, Entrepreneur and Inc. magazines, as well asthe front pages of The Los Angeles Times and USA Today. He alsotestified before Congress about how easily the nation's mostsensitive networks could be penetrated.

Whatdoes he have to say today? Maiffret warns it's not if networksoperating the nation's critical infrastructure will be attacked, butwhen. As evidence, he mentions how in only two hours he broke into asystem that controlled the water supply for a large city inCalifornia and was able to manipulate major operations such as howmuch chlorine was added.

ButMaiffret says other threats loom for government systems: cybercrimeand espionage. "The [massive exposure of sensitive information]by WikiLeaks shows that it's so much easier to steal sensitiveinformation now than [during] the Cold War, when you needed peoplephysically planted on the ground," he said.

Maiffretspoke on Friday with Nextgov Senior Reporter Jill R. Aitoro abouttoday's cyberthreats and what should most concern government. Thefollowing is an excerpt f-rom the interview.

Nextgov: Hội nghị cáctin tặc mũ đen vừa mới kết thúc. Liệu có thảo luậnsâu sắc nào đáng chia sẻ?

Maiffret: Nổi lên làviệc thâm nhập các máy ATM, khi ai đó đã bắn vào từxa tới máy ATM làm tất cả tiền của nó rơi xuống đất.

Một thứ mà tôi đãthấy thú vị hơn so với các phiên khác là các cuộc hộithoại bên lề ở quán cà phê hoặc quầy bar, nơi mà bạncó thể nghe thấy các nhà nghiên cứu nói về số lượngcác chỗ bị tổn thương ngày số 0 còn chưa được sửamà họ đi qua mà chó thể bị khai thác trước khi các lậptrình viên phần mềm thậm chí biết là chúng có tồntại. Nó giống như là có một thời hoàng kim vậy.

Nextgov: Chính phủ cótruy cập tới dạng thông tin này không?

Maiffret: Thường làMicrosoft có thể được nói về một chỗ bị tổn thươngvà đưa một bản vá lên trực tuyến. Bây giờ, các nhànghiên cứu đang xem xét đòi bồi thường cho công việcmà họ đang làm, nên các nhà cung cấp phần mềm, các nhàthầu và chính phủ trả cho họ để tìm kiếm các chỗbị tổn thương ngày số 0 và hiểu cách mà chúng làmviệc từ cả quan điểm phòng thủ và tấn công.

Nextgov: Liệu dạngthử thâm nhập đó có được sử dụng để cải thiệnan ninh của ác mạng liên bang đối với việc thâm nhậpvào chính chúng, mà nó đối nghịch với cách mà một kẻtấn công sẽ làm sau một tổ chức bằng việc nghĩ nhiềuhơn ra bên ngoài. Vấn đề là mọi người từ các giớicông nghiệp an ninh và nghiên cứu mà được mời đểđộng não với chính phủ đã làm việc trong và ngoàiD.C. 10 năm và chỉ theo cách quan liêu thực hiện côngviệc.

Dù là vài ngườitrong số đó đang thay đổi. Tin tặc nổi tiếng “Mudge”[Peiter C. Zatko] bây giờ có trách nhiệm về các chươngtrình tại Cơ quan Nghiên cứu các Dự án Tiên tiến Quốcphòng, làm việc từ trong ra ngoài để hàng ngày tạo cầunối giữa chính phủ và từng cộng đồng tin tặc.

Nextgov:The Black Hat conference just wrapped up. Any insightful discussionsworth sharing?

Maiffret:A standout was the ATM hacking, in which someone made an ATM machineremotely spit all of its money onto the floor.

Onething I found more interesting [than the sessions] was the sideconversations at the coffee shop or lobby bar, whe-re you'd hearresearchers talk about the number of undisclosed zero-dayvulnerabilities they've come across [that can be exploited beforesoftware developers even know they exist]. It sounds like there's aheyday going on.

Nextgov:Does government have access to that kind of information?

Maiffret:It used to be that Microsoft would [be told about a vulnerability]and post a patch online. Now, researchers are looking to get recoupedfor the work they're doing, so software vendors, contractors andgovernment pay them to find the zero-day vulnerabilities andunderstand how they work f-rom both the offensive and defensiveperspectives.

Nextgov:Is that kind of penetration testing used to enhance the security offederal networks and systems?

Maiffret:There's a good level of testing, but the government has a veryrepetitive, formulaic process for hacking into themselves, which runscontrary to how an attacker will go after an organization by thinkingmore outside the box. The problem is the people f-rom the security andresearch industries who are invited to brainstorm [with thegovernment] have worked on and off in D.C. for 10-plus years and arejust as [entrenched in the bureaucratic way of doing things].

Someof that is changing though. The famous hacker "Mudge"[Peiter C. Zatko] is now in c-harge of programs at [the DefenseAdvanced Research Projects Agency], working f-rom the inside out tocre-ate a bridge between government and the everyday hackingcommunity.

Nextgov: Làm thế nàomà sự chuyển dịch từ một tin tặc nổi tiếng sang mộtnhân viên chính phủ đã xảy ra?

Maiffret: Hầu hếtchúng tôi, những người đã trải qua từ một nền tảngtin tặc sang như ngày nay và có tiếng nói trong chính phủđã không thật can trường, mà phải đi rất nhiều. Quayvề năm 2003 đại loại thế khi tôi lần đầu làm chứngtrước Quốc hội về những mối đe dọa hướng vào hạtầng sống còn, tôi đã muốn đưa ra một cái cờ đỏ.

Nextgov: Các cuộc tấncông không gian mạng chống lại hạ tầng sống còn vẫnlà mối lo lớn.

Maiffret:Bây giờ không phải là vấn đề 'có thể' xảy ra mộtcuộc tấn công vào hạ tầng sống còn hay không, mà là'khi nào'. Đây là một cuộc chạy đua tới đích. Chỉmột vài tuần trước chúng ta đã thấy một chỗ bị tổnthương ngày số 0 của Microsoft nhằm vào các hệ thốngSCADA, [các hệ thống Kiểm soát Giám sát và Thu thập Dữliệu, mà chúng thường kiểm soát các hạ tầng sống còncủa Mỹ như là các công nghiệp giao thông và tiện ích],để lấy các thông tin và truy cập. Microsoft đã phản ứngđối với chỗ bị tổn thương này, nhưng đối với tôi,cuộc đánh thử này đã chỉ kiểm thử với hệ thốngnước theo đúng y như cách mà Code Red đã làm nhiều nămtrước. Sâu đó từng được viết không phải là tốtnhất, mà nó từng là một sự kiện thăm dò – để xemmột sâu máy tính có thể làm được gì. Trong vòng 2 nămtới, chúng ta có thể thấy những thứ nghiêm trọng hơnsẽ xảy ra liên quan tới hạ tầng sống còn của chúngta.

Nextgov: Chúng ta nghequá thường xuyên cách mà các hệ thống SCADA đã khôngđược thiết kế để làm việc trong một môi trườngmạng. Liệu đó có phải là vấn đề hay không?

Maiffret: Tôi đã thửthâm nhập như một nhà tư vấn cho một thành phố lớn ởCalifornia, và trong vòng 2 giờ đồng hồ, tôi đã có khảnăng truy cập được vào các hệ thống mà được kiểmsoát bộ lọc của việc cung cấp nước cho thành phốkhông chỉ để giám sát, mà còn để điều khiển: rò rỉlượng Chlorine thừa, ví dụ thế.

Điều đã làm mở tomắt là hầu hết những yếu kém mà tôi đã khai thácđược đều đã được biết đối với những kỹ sưlàm việc cho thành phố đó. Họ tới từ một nơi bịhỏng, vì hầu hết các nhà cung cấp mà làm các hệ thốngkiểm soát này không cho phép cập nhật vì sợ họ sẽgây ra thứ gì đó chạy sai. Đối với tôi, đó là mộtvấn đề nực cười, biết về những yếu kém mà khôngthể làm bất kỳ điều gì về chúng vì những bắt buộctừ các nhà cung cấp về cách mà cách hệ thống phảichạy.

Nextgov:How does that transition f-rom celebrity hacker to government employeehappen?

Maiffret:Most of us who have crossed over f-rom a hacking background to apresence and voice in government were not so much plucked out, butput in the legwork. Back in 2003 or so when I first testified beforeCongress about threats [targeting] the critical infrastructure, Iwanted to raise a red flag.

Nextgov:Cyberattacks against the critical infrastructure remain a bigconcern.

Maiffret:Now it's not a matter of 'can' [an attack] on the criticalinfrastructure happen, but 'when.' It's a race to the finish. Only afew weeks ago we saw a Microsoft zero-day vulnerability targetingSCADA systems, [Supervisory Control and Data Acquisition systems,which usually control critical U.S. infrastructures such as thetransportation and utility industries], to get information andaccess. Microsoft responded to the vulnerability, but to me, theprobe was just testing the waters [in the same way that] Code Red didyears ago. That worm was not the best written, but it was anexploratory event -- to see what a computer worm could do. In thenext two years, we could see more serious things happen [involvingour critical infrastructure].

Nextgov:We hear so often how SCADA systems were not designed to work in anetworked environment. Is that the problem?

Maiffret:I did a penetration test as a consultant for a large city inCalifornia, and within two hours, I was able to get access to thesystems that controlled filtration of the city's water supply to notonly monitor, but to manipulate: leak in extra chlorine, for example.

Whatwas so eye-opening was that most of the weaknesses that I [exploited]were already known to the engineers working for the city. They'recoming f-rom a place of frustration, because most of the vendors thatmake the control systems don't allow up-dates for fear they'll causesomething to go wrong. To me, that's a ridiculous problem, knowingabout weaknesses but being unable to do anything about them becauseof mandates f-rom vendors on how these systems have to run.

Nextgov: Có nhiều độngcơ cho các cuộc tấn công. Động cơ nào chính phủ lonhất?

Maiffret: 2 mối đe dọahàng đầu là tội phạm và gián điệp không gian mạng.

Tội phạm không gianmạng đã trở thành quá nhiều, mà chúng ta có một thờikhó khăn theo dõi và mang lại sự công bằng cho mọi ngườiđứng đằng sau các cuộc tấn công. Không thiếu nhữngngười tốt ở FBI và những nơi khác đang cố gắng,nhưng quan hệ của chúng ta với các quốc gia khác vàthiện chí của họ để cho chúng ta sự truy cập và thôngtin để điều tra.

Đối với gián điệp,sự để lộ các thông tin nhạy cảm của WikiLeaks chỉrằng quá dễ dàng để ăn cắp các thông tin nhạy cảmbây giờ hơn thời kỳ Chiến tranh Lạnh, khi mà bạn cầnnhững người cài cắm một cách vật lý vào đất liền.Mọi thứ nằm trên trực tuyến cho bất kỳ ai truy cậptừ bất cứ đâu trên thế giới. Điều đó làm giảmđột ngột sự ngăn trở của những gì được yêu cầuđể nhảy vào cuộc chơi.

Nextgov: WikiLeaks chỉrằng mối đe dọa từ bên trong cũng lớn như từ bênngoài.

Maiffret: Có quá nhiềucách để lấy được các dữ liệu từ một tổ chức,thậm chí khi các mạng của tổ chức đó không đượckết nối tới Internet. Nói như vậy, tôi muốn nói chắcchắn đã có một sai sót về an ninh. Bộ Quốc phòng đãbỏ qua sự canh phòng cần thiết, nhiều như thể chắcchắn sự canh phòng đã không được tuân thủ, mà đãtạo ra một cửa sổ các cơ hội. Đây từng là một sựthất bại về qui trình, chứ không phải là một kịchbản của James Bond. Đó là một phần đáng sợ.

Nextgov: Ông đã theodõi các cuộc tấn công không gian mạng lâu nay. Chúng cógì thay đổi không?

Maiffret: Chúng tôikhông làm việc với các tin tặc thiếu niên cố gắng ăncắp số lượng nhỏ các thông tin về thẻ tín dụng. Cónhững doanh nghiệp cỡ lớn, được hỗ trợ bởi cácnhóm tội phạm có tổ chức mà chúng có thể lấp đầykhổng trống, nơi mà sự tận cùng của các kỹ năng tintặc để tối đa hóa những số lượng dữ liệu khổnglồ bị ăn cắp. Sự kết hợp đó giải thích vì saochúng ta đã thấy được một số lượng khổng lồ cácdữ liệu bị ăn cắp. Nó được kết hợp bởi thực tếlà các cuộc tấn công bây giờ có thể được nhúng vàomọi website, làm khó để giải thích cho người dùng thôngthường cách để di chuyển trên Internet theo một cách antoàn được. Chúng ta đang làm việc với một sân chơimở.

Mộttrong những thứ lớn nhất mà chính phủ có thể làm đểcải thiện an ninh là sử dụng sức mạnh mua sắm củamình. Vào cuối mỗi ngày, an ninh là một ý nghĩ nảy raquá muộn đối với các nhà cung cấp vì đó không phảilà thứ gì đó mà có thể làm cho các công ty có tiền.Nhưng khi mà bạn nhờ chính phủ nói rằng để chiếnthắng một hợp đồng, thì bạn cần phải đáp ứng đượccác mức độ an ninh nào đó, thì cũng chính những côngty y chang đó thấy các dấu USD mà họ có thể đánh mất.

Nextgov:There are a lot of motivations for cyberattacks. Which should concerngovernment most?

Maiffret:The two top threats are cybercrime and espionage.

Cybercrimehas become so prolific, but we have a difficult time tracking downand bringing to justice the people behind the attacks. It's not alack of good folks at the FBI and elsewhe-re trying, but rather ourrelationships with other countries and their unwillingness to give usaccess and information to work leads.

Asfor espionage, the [exposure of sensitive information] by WikiLeaksshows that it's so much easier to steal sensitive information nowthan [during] the Cold War, when you needed people physically plantedon the ground. Everything sits online for anyone to access f-romanywhe-re in the world. That dramatically lowers the bar of what'srequired to get into the game.

Nextgov:WikiLeaks shows that the threat f-rom inside is just as great f-rom theoutside.

Maiffret:There are so many ways to get data out of an organization, even whenthat organization's networks are not connected to the Internet. Thatbeing said, I'd say there was definitely a lapse of security. [TheDefense Department] wasn't necessarily missing a safeguard, as muchas a certain safeguard was not followed, which cre-ated a window ofopportunity. This was a process failure, not a James Bond [scenario].That's the scary part.

Nextgov:You've tracked cyberattacks for a long time. How have they changed?

Maiffret:We're not dealing with teenage hackers attempting to steal smallamounts of credit card information. These are full-scale businesses,backed by organized crime groups that can bridge the gap whe-re hackerskills end to maximize the massive amounts of data being stolen. Thatmarriage is why we've seen a dramatic spike in data theft. It'scompounded by the fact attacks can now be embedded in every website,making it hard to explain to the average consumer how to navigate theInternet in a safe way. We're dealing with an open playground.

Oneof the greatest things the federal government can do to improvesecurity is use its buying power. At the end of the day, security isan afterthought for vendors because it's not something that can makecompanies money. But when you have government saying that to win acontract, you need to meet certain levels of security, those samecompanies see the dollar signs they may miss out on.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com