Tội phạm KGM tuần này: Chevron bị Stuxnet đánh, SEC lúng túng vì lỗ thủng an ninh

Thứ tư - 14/11/2012 04:36
ThisWeek in Cybercrime: Chevron Bitten by Stuxnet, SEC Embarrassed bySecurity Breach

POSTED BY: Robert N.C-harette / Th 6, tháng mười một 09, 2012

Theo:http://spectrum.ieee.org/riskfactor/telecom/security/this-week-in-cybercrime-chevron-admits-being-bit-by-stuxnet-sec-embarrassed-by-security-breach

Bài được đưa lênInternet ngày: 09/11/2012

Lờingười dịch: Bài viết nêu những sự kiện mất an ninhhệ thống thông tin trong vòng 1 tuần, có nhắc tới việc(1) công ty năng lượng Chevron thừa nhận bị lây nhiễmStuxnet vào tháng 07/2010; (2) Đã 2 năm trôi qua kể từkhi phần mềm SCADA của Siemens bị Stuxnet khai thác các lỗiđể tấn công Iran, đội nghiên cứu về an ninh của Nga“đã thấy nhiều hơn 50 chỗ bị tổn thương trongphiên bản mới nhất của WinCC, vì thế nhiều thứ màSiemens đã khắc phục một lộ trình dài để vátất cả chúng... Hầu hết là những vấn đề có thểcho phép một kẻ tấn công chiếm hệ thống WinCC từ xa”;(3) Các nhân viên tại Ủy ban Chứng khoán An ninh Mỹ(SEC) “đã không mã hóa một số máy tính của họ cóchứa các thông tin nhạy cảm cao độ từ các thị trườngchứng khoán, để lại các dữ liệu có khả năng bị tổnthương đối với các cuộc tấn công KGM”. Sự mỉamai là việc các nhân viên đó là một phần của Bộ phậnThương mại và Thị trường của SEC, có trách nhiệm, nhưReuters nói, “để đảm bảo chắc chắn là các thịtrường chứng khoán tuân theo những chỉ dẫn để bảovệ các thị trường khỏi những mối đe dọa và các vấnđề hệ thống tiềm tàng”....

Là một tuần khá yênả trong thế giới tội phạm KGM. Chúng tôi bắt đầu ràsoát lại của tuần này bằng sự thừa nhận của Chevronngày hôm qua rằng các hệ thống CNTT của hãng đã bịlây nhiễm phần mềm độc hại Stuxnet vào tháng 07/2010.Đây là lần đầu tiên một công ty Mỹ đã thừa nhậnbị lây nhiễm bởi phần mềm độc hại mà Mỹ và Israelđã tạo ra và đã sử dụng để nhằm vào chương trìnhlàm giàu uranium của Iran.

Mark Koelmel, tổng giámđốc phòng các khoa học trái đất tại Chevron, đã nóicho tạp chí Phố Uôn rằng, “Tôi không nghĩ chính phủMỹ thậm chí nhận thức được Stuxnet đã lan truyền xatới cỡ nào. Tôi nghĩ mặt trái của những gì họ đãlàm là tệ hơn nhiều so với những gì họ thực sự hoànthành”. Sự thừa nhận của Chevron không nghi ngờ gì sẽlàm dấy lên tranh luận về việc liệu Stuxnet có thoát rangoài thế giới hoang dã hay chưa, hay liệu Chevron bảnthân hãng từng bị nhắm đích liệu có thể là bị nhắmđích cố tình hay không.

Chevron đã nói cho tạpchí Phố Uôn rằng hãng không bị lây nhiễm có hại vìStuxnet, nhưng tôi nghĩ rằng tất cả phụ thuộc vào việclàm thế nào bạn xác định được “bị lây nhiễm vôhại”.

Mộtsự trùng khớp, một câu chuyện trên ComputerWorld ngày hômqua đã nói rằng một đội các nhà nghiên cứu về anninh của Nga đã thấy rằng Siemens đã cập nhật phầnmềm WinCC SCADA (Kiểm soát giám sát và thu thập dữ liệu)mà đã từng bị Stuxnet nhắm đích vẫn còn đầy các lỗhổng về an ninh. Câu chuyện nói rằng đội nghiên cứu“đã thấy nhiều hơn 50 chỗ bị tổn thương trong phiênbản mới nhất của WinCC, vì thế nhiều thứ mà Siemensđã khắc phục một lộ trình dài để vá tất cảchúng... Hầu hết là những vấn đề có thể cho phép mộtkẻ tấn công chiếm hệ thống WinCC từ xa”.

Giốngnhư việc Siemens có nhiều việc hơn để làm.

Trongmột trường hợp hãy làm như tôi nói, nhưng đừng làmnhư tôi làm, Reuters đã bình luận ngày hôm qua rằng cácnhân viên tại Ủy ban Chứng khoán An ninh Mỹ (SEC) “đãkhông mã hóa một số máy tính của họ có chứa cácthông tin nhạy cảm cao độ từ các thị trường chứngkhoán, để lại các dữ liệu có khả năng bị tổnthương đối với các cuộc tấn công KGM”. Sự mỉa mailà việc các nhân viên đó là một phần của Bộ phậnThương mại và Thị trường của SEC, có trách nhiệm, nhưReuters nói, “để đảm bảo chắc chắn là các thịtrường chứng khoán tuân theo những chỉ dẫn để bảovệ các thị trường khỏi những mối đe dọa và các vấnđề hệ thống tiềm tàng”.

It’sbeen a relatively quiet week in the world of cybercrime. We start offthis week’s review with Chevron’sadmission yesterday that its IT systems were infected with theStuxnetmalware back in July 2010.This is the first time a U.S. company has acknowledged being infectedby the malware which the U.S.and Israel cre-ated and used to target Iran’s uranium enrichmentprogram.

MarkKoelmel, general manager of the earth sciences department at Chevron,toldtheWall Street Journalthat, “I don’t think the U.S. government even realized how far it[Stuxnet] had spread. I think the downside of what they did is goingto be far worse than what they actually accomplished.”

Chevron’sadmission will no doubt fan the debateover whether Stuxnet escaped into the wild or not, or whetherChevron was itself targeted may have been deliberately targeted.

Chevrontold the WSJthat it was not adversely affected by Stuxnet, but I think that alldepends on how you define “adversely affected.”

Coincidentally,a storyat ComputerWorld yesterday reported that a team of Russiansecurity researchers have found that the Siemensup-dated WinCC SCADA (Supervisory Control And Data Acquisition)software which was targeted by Stuxnet is still full of securityholes.  Thestory says that the research team “found more than 50vulnerabilities in WinCC’s latest version, so many that Siemens hasworked out a roadmap to patch them all… Most are problems thatwould allow an attacker to take over a WinCC system remotely.”

Lookslike Siemens has more work to do.

Ina case of do-as-I-say, but-not-as-I-do, Reutersreported yesterday that staffersat the U.S. Security Exchange Commission “failed to encrypt some oftheir computers containing highly sensitive information f-rom stockexchanges, leavingthe data vulnerable to cyber attacks.” The irony is that thestaffers were part of the SEC's Trading and Markets Division, whichis responsible, Reuterssays, “for making sure exchanges follow certain guidelines toprotect the markets f-rom potential cyber threats and systemsproblems.”

Lỗhổng về an ninh đã gây ra cho SEC phải tốn hơn 200.000USD để tiến hành một kiểm kê an ninh và đảm bảo rằngkhông thông tin nào bị tổn thương. SEC cũng đã phải lưuý tất cả các thị trường chứng khoán về lỗ hổngđó, mà đã không làm cho ai rất hạnh phúc cả (dù cảmgiác sung sướng trên đau khổ của kẻ khác có vẻ nhưbuốt lạnh), đặc biệt khi SEC đã và đang thúc đẩy cáccông ty nhà nước cật lực để hé lộ rủi ro các vụviệc trong KGM.

SECđã không binh luận gì về câu chuyện của Reuters. Có khảnăng nó sẽ bị ép phải dừng sự im lặng của mình vàgiải thích cho Quốc hội làm thế nào lỗ hổng đã đượcphép tồn tại, dù, sẽ có một báo cáo được xuất ảnvề vụ việc này trong tương lai gần của Tổng Thanh traLâm thời của SEC.

Cũngđã có một câu chuyện gây lo lắng trong tuần này trêntờ Minneapolis Star Tribune về cựu cảnh sát đã thu đượchơn 1 triệu USD cho tới này từ các vụ kiện được đệtrình chống lại một số thành phố của bang Minnesota vìcác nhân viên cảnh sát đã truy cập bất hợp pháp thôngtin giấy phép lái xe của bà từ cơ sở dữ liệu phươngtiện xe máy của bang. Theo một câu chuyện trên CityPages,thông tin của bà từng bị “truy cập 425 lần từ 104cảnh sát trong khoảng thời gian các năm 2007-2011.. và thêm174 lần trong năm 2006”.

Câu chuyện trên StarTribune đã lưu ý rằng các nhân viên cảnh sát đã truycập giấy phép của người phụ nữ đó “vì bà ta rấthấp dẫn và vì thế họ có thể xem thấy bà ta đã thayđổi và bà ta có vẻ nhìn khác”.

Sự truy cập thườngxuyên và không được phép vào cơ sở dữ liệu lái xecủa Minnesota của cảnh sát từng bị đưa ra tòa, thứ gìđó mà các phòng cảnh sát của thành phố có liên quanluôn từ chối. Tuy nhiên, các chính quyền thành phố khắpMinnesota hình như đã tiến hành các bước để thắt chặtsự truy cập của cảnh sát tới thông tin giấy phép láixe cũng như gia tăng mức phạt vì truy cập trái phép đốivới các vụ kiện. Cho tới nay, dù, không có nhân vieennnào được xác định có tham gia mà bị trừng phạt cả.

Cuối cùng, trong mộttrường hợp khóa cửa nhà kho sau khi tất cả các con ngựađã thoát ra, bang Nam Carolina đã công bố rằng nó sẽ bỏra 3 tháng sắp tới để mã hóa các dữ liệu phòng doanhsố của mình. Như tôi đã lưu ý tuần trước, khoảng3.6 triệu số An sinh Xã hội của những người đóng thuếkhông được mã hóa, 387.000 thẻ ghi nợ và tín dụng, vàthông tin về hơn 657.000 doanh nghiệp của Nam Carolina đãbị bọn tội phạm đánh cắp vào tháng trước từ PhòngDoanh thu của Nam Carolina. Thống đốc bang Nikki Haley gầnđây đã nói rằng các dữ liệu của những người đóngthuế của Phòng Doanh thu đã không được mã hóa trướcđó vì làm như vậy từng “nặng nề” và hơn nữa, mãhóa dữ liệu không phải là một thực tiễn tốt nhấtcủa nền công nghiệp an ninh CNTT. Tôi đoán bà ta đã nghĩlại.

Được ước tínhrằng bang Nam Carolina sẽ chi vượt mức 30 triệu USD chỉđể cung cấp các dịch vụ bảo vệ làm giả cho nhữngngười đóng thuế bị ảnh hưởng cho năm sau.

Thesecurity breach caused the SEC to spend over $200 000 to conduct asecurity audit to ensure that no information was compromised. The SEC also had to notify all the stock exchanges of the breach,which made none of them very happy (although the schadenfreude feltwas likely acute), especially since the SEChas been pushing public companies hard to disclose the risk of cyberincidents.

TheSEC had no comment on the Reutersstory. It likely will be forced to break its silence and explain toCongress how the breach was allowed to exist, however, once a reportis published on the incident in the near future by the SEC InterimInspector General.

Therewas also a disturbing storythis week in the MinneapolisStar Tribune abouta former policewomanwho has collected more than $1 million so far f-rom lawsuitsfiled against a number of Minnesota citiesbecause police officers illegally accessed her driver's licenseinformation f-rom the state’s motor vehicle database. According to astoryat CityPages,her information had been “accessed 425 times by 104 officersbetween 2007 and 2011… and additional 174 times in 2006.”

TheStar Tribunestory noted that police officers accessed the woman’s license“because she was very attractive and so they could see that 'she'schanged and she's got a new look.’ ”

Theroutine and unauthorized access of the Minnesota's driver licensedatabase by police has been alleged in the suit, something that thecity police departments involved deny. However, city 7

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập32
  • Máy chủ tìm kiếm2
  • Khách viếng thăm30
  • Hôm nay1,209
  • Tháng hiện tại200,530
  • Tổng lượt truy cập14,879,952
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây