Người phụ nữ trung niên gia nhập nhóm tin tặc Trickbot khi mới học lập trình được 6 năm.
Alla Witte, người phụ nữ Latvia bị cáo buộc là nhân vật chủ chốt trong tổ chức tội phạm mạng có tên Trickbot. Trước khi tham gia nhóm tin tặc vào tháng 10/2018, Witte chỉ là lập trình viên nghiệp dư, mới vào nghề được 6 năm.
Lấy biệt danh là “Max”, cáo trạng cho biết Witte đã tham gia viết mã độc tống tiền (ransomware) cho Trickbot. Đầu năm nay, Witte bị bắt giữ tại Miami (Mỹ) nhưng được chuyển đến Cleveland cùng 6 thành viên trong nhóm Trickbot, chuyên thực hiện các vụ lừa đảo, đánh cắp dữ liệu và lây nhiễm ransomware từ Nga, Ukraine và Belarus.
Ngày 4/6, Witte xuất hiện trước thẩm phán để nghe cáo trạng nhưng không đưa ra biện hộ. Alex Holden, nhà sáng lập công ty điều tra an ninh mạng Hold Security cho rằng nếu Witte hợp tác, thông tin từ người phụ nữ 55 tuổi có thể hỗ trợ lực lượng đặc nhiệm của Bộ Tư pháp Mỹ, tập trung vào ransomware và hoạt động tội phạm mạng.
Nữ hacker 55 tuổi bị bắt do tham gia nhóm tội phạm mạng Trickbot. Ảnh: The Hacker News.
Dựa vào thông tin trên mạng xã hội VK tại Nga, Witte lớn lên ở thành phố Rostov-on-Don của Nga. Bà tốt nghiệp Đại học Latvia, sau đó làm quản lý bán hàng và giáo viên vào những năm 1980. Đến cuối thập niên 1990, Witte dành sự quan tâm cho công nghệ.
Sau khi kết hôn năm 2007, gia đình Witte chuyển từ Hà Lan đến Suriname. Năm 2013, Bà tham gia khóa học chuyên ngành lập trình web. Đến tháng 10/2018, người phụ nữ này gia nhập nhóm tin tặc Trickbot.
Trong tuần đầu làm cho Trickbot, Witte đã viết mã để theo dõi hàng trăm người từ xa. Sau vài tháng, bà đăng tải video hướng dẫn cách sử dụng phần mềm theo dõi. Một năm sau khi gia nhập nhóm tin tặc, Witte đã viết mã cho trang điều khiển Trickbot, dùng để theo dõi quá trình lây nhiễm từng mã độc.
Witte tiếp tục viết mã điều khiển sự lây nhiễm của ransomware Trickbot, bao gồm thông báo cho nạn nhân rằng máy tính của họ đã bị mã hóa.
Khi mới gia nhập Trickbot, Witte không có biểu hiện hoặc hành động bất thường. Bạn bè vẫn gửi ảnh mèo nhân dịp Giáng sinh và rủ chơi game, theo tin nhắn được thu thập trên VK.
Trong khi đa số tin tặc là nam, Holden không tin khi biết Witte là phụ nữ. “Bà ta đã kết hợp niềm đam mê công nghệ tuổi xế chiều với cuộc sống của một tội phạm mạng, kẻ viết ra phần mềm độc hại và ransomware ảnh hưởng đến nhiều người”, Holden cho biết.
Trickbot là tên nhóm tin tặc, mã độc và botnet độc hại. Ảnh: CIO Mexico.
Trickbot là tên nhóm tin tặc, mã độc và botnet – thuật ngữ dành cho mạng lưới máy tính bị chi phối và điều khiển bởi máy tính khác. Theo Malwarebytes, nhóm tin tặc này chịu trách nhiệm quản lý botnet, bán mã độc cho các bên để tấn công mục tiêu.
Sau khi bị tấn công, máy tính trở thành một phần của botnet Trickbot, được hacker sử dụng để lây nhiễm hoặc đánh cắp dữ liệu. Theo công ty an ninh mạng Eclypsium, botnet của Trickbot là một trong những nguồn khai thác phổ biến nhất cho các cuộc tấn công ransomware hiện nay.
Từ khi bị phát hiện vào năm 2016, các bên kiểm soát Trickbot đã đánh cắp hàng chục đến hàng trăm triệu USD từ các ngân hàng, trường đại học và chính quyền tại Mỹ.
Theo Bloomberg, các nạn nhân của Trickbot đã phản ánh vụ việc lên chính quyền địa phương trong suốt 5 năm. Bộ Tư pháp Mỹ từ chối tiết lộ chi tiết tình huống bắt giữ Witte, chỉ nói rằng bà đang sống với gia đình tại Suriname, bị cảnh sát bắt khi đặt chân đến Miami.
Nhận định tội phạm mạng đang không ngừng nâng cấp chiến thuật, kỹ thuật cũng như công cụ, phương thức tấn công, chuyên gia Viettel Cyber Security cho rằng, trong cuộc chiến này, con người, “vũ trang” và thông tin là 3 yếu tố quyết định.
Nhận định trên vừa được ông Lê Quang Hà, Giám đốc sản phẩm, chuyên gia an toàn thông tin của Công ty An ninh mạng Viettel (Viettel Cyber Security) chia sẻ tại phiên chuyên đề về “Các khía cạnh pháp lý trong phòng chống tội phạm mạng” của hội thảo diễn đàn khu vực ASEAN (ARF) về chống việc sử dụng CNTT-TT vào mục đích tội phạm.
An ninh mạng được ưu tiên hàng đầu
Diễn ra dưới hình thức trực tuyến trong các ngày từ 23 – 26/4, hội thảo ARF về chống việc sử dụng CNTT-TT vào mục đích tội phạm do Việt Nam, Nga và Trung Quốc đồng chủ trì. Đây là dịp để giới thiệu về những thành quả, kinh nghiệm của Việt Nam trong lĩnh vực an ninh mạng; đồng thời tranh thủ thông tin và thực tiễn hợp tác của các nước bạn, cũng như tìm kiếm cơ hội, khả năng hợp tác.
Gồm 4 phiên tập trung vào những chủ đề “Hình sự hóa và phòng chống tội phạm”, “Các khía cạnh pháp lý trong phòng chống tội phạm mạng”, “Hợp tác quốc tế trong phòng chống tội phạm mạng” và “Thực tiễn điều tra quốc gia và xuyên biên giới”, hội thảo có sự tham gia của đại diện các bộ ngành liên quan, các công ty CNTT, nhiều chuyên gia, học giả.Ông Lê Quang Hà, Giám đốc sản phẩm, chuyên gia an toàn thông tin của Viettel Cyber Security trình bày tham luận tại phiên 2 của hội thảo vào ngày 26/4.
Góp mặt tại phiên 2 của hội thảo, đại diện cho phía doanh nghiệp công nghệ từ Việt Nam, Công ty An ninh mạng Viettel (Viettel Cyber Security) là Giám đốc sản phẩm Lê Quang Hà đã có tham luận về những giải pháp công nghệ chống lại tội phạm mạng và giữ vững an ninh thông tin không chỉ cho quốc gia mà còn vươn tầm bảo vệ khu vực và quốc tế.
Ông Lê Quang Hà cho hay, công cuộc chuyển đổi số quốc gia cùng sự phát triển nhanh chóng của công nghệ đột phá đã và đang mang lại lợi ích to lớn cho đời sống kinh tế, xã hội. Tuy nhiên, công nghệ cao khi rơi vào tay kẻ xấu lại trở thành công cụ hữu hiệu cho hành vi phạm tội. Tại Việt Nam, tình hình an ninh mạng trở nên phức tạp, là một trong những vấn đề được ưu tiên hàng đầu. Có thể kể đến một số hình thức tấn công mạng chủ yếu tại Việt Nam như tấn công Phishing (tấn công lừa đảo), tấn công web, tấn công từ chối dịch vụ (DDoS).
Trong bối cảnh đó, Viettel Cyber Security và các tổ chức, doanh nghiệp an toàn thông tin khác đã phát triển nhiều giải pháp phù hợp để ngăn chặn và xử lý các vấn đề tương ứng. Tiêu biểu như giải pháp SOC(Security Operation Center) với 3 mức độ đảm bảo an toàn: Mức độ 1 – Phòng chống chuyên sâu; Mức độ 2 – Phân tích nâng cao; Mức độ 3 – Vận hành và quản lý. SOC là sự kết hợp của con người, quá trình và công nghệ lõi đột phá để tối ưu hóa hiệu quả đảm bảo an toàn thông tin cho cơ quan và tổ chức.
Phòng chống tội phạm mạng cần sự hợp tác, kết nối toàn cầu
Trong tham luận tại hội nghị, chuyên gia Lê Quang Hà nhận xét rằng cùng với sự phát triển chung của ngành ICT thế giới, tội phạm mạng không ngừng thay đổi, nâng cấp trong chiến thuật, kỹ thuật cũng như công cụ, phương thức tấn công ngày một tinh vi.
Nếu như trước đây, các hình thức tấn công Phishing vào tổ chức tài chính ngân hàng thường gửi link website giả mạo đến người dùng qua tin nhắn với đầu số lạ thì hiện tại tin tặc đã nâng cấp sử dụng cả những thiết bị chuyên dụng như BTS giả để giả mạo đầu số từ ngân hàng. Từ đó, tăng tỷ lệ lừa đảo thành công.
Trên thế giới, không ít trường hợp tội phạm mạng đã sử dụng cả công nghệ đột phá như AI, Machine Learning và cả Deep Learning phục vụ các chiến dịch tấn công lớn.
Đơn cử như, trong một cuộc tấn công vào 1 công ty năng lượng có trụ sở ở Anh, nhóm tin tặc đã sử dụng AI giả mạo giọng nói của lãnh đạo để gọi điện cho CEO yêu cầu chuyển tiền, gây thiệt hại khoảng 250.000 USD.
“Đây là thách thức lớn cho những người làm an toàn thông tin và các tổ chức doanh nghiệp trong tiến trình chuyển đổi số”, ông Lê Quang Hà nhấn mạnh.Quảng cáo
Theo các chuyên gia, con người, đội ngũ chuyên gia giỏi là một trong ba yếu tố có ý nghĩa quyết định trong cuộc chiến với tội phạm mạng.
Vị chuyên gia của Viettel Cyber Security chia sẻ thêm, trong cuộc chiến với tội phạm mạng, 3 yếu tố quyết định là con người, “vũ trang” và thông tin.
Theo đó, đội ngũ chuyên gia cần giỏi kỹ năng, kiến thức, tư duy. “Vũ trang” là công cụ, công nghệ đủ mạnh để phát hiện, ngăn chặn những hành vi xâm nhập trái phép. Thông tin cần đủ nhanh, chính xác và phù hợp hay chính là “Threat Intelligence” (thông tin về các nhóm APT mới, kỹ thuật, công cụ mới…) để kịp thời phòng chống. Cuối cùng là sự hợp tác giữa các đơn vị trong việc chia sẻ thông tin, điều tra truy vết, gỡ bỏ các hạ tầng tấn công và cùng tuyên truyền lên án, nâng cao ý thức đẩy lùi tội phạm mạng trên phạm vi toàn cầu.
“Đảm bảo an toàn thông tin và phòng chống tội phạm mạng không phải công việc của riêng từng quốc gia, khu vực mà thật sự cần hợp tác, kết nối toàn cầu. Bởi vậy, các doanh nghiệp an toàn thông tin nội địa cũng phải vận động, nâng cấp bản thân, tăng tính cạnh tranh và năng lực xứng tầm quốc tế”, chuyên gia Viettel Cyber Security nêu quan điểm.
Trước đó, bàn về yếu tố công nghệ, trao đổi với ICTnews, đại diện Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC) cho rằng, tội phạm mạng sử dụng AI là xu hướng thì lực lượng làm an toàn thông tin cũng phải sử dụng AI để phát triển những hệ miễn dịch, các hệ thống tự phản ứng, tự phòng vệ.
“Đây là một cuộc đối đầu, chạy đua về mặt công nghệ, kỹ thuật không có hồi kết. Thay vì việc bị động phòng thủ thì có thể xác định tâm thế chủ động ứng phó với mục tiêu phát hiện và đối phó sớm nhất với các vụ tấn công mạng. Thậm chí, đặt mình vào góc nhìn của một hacker để xem xu hướng tấn công, công cụ, chiến thuật nhằm phát triển cho phù hợp và kịp thời”, đại diện NCSC chia sẻ.
Bất kể vụ tấn công nhắm vào Công ty giải pháp công nghệ SolarWinds (Texas) có phải do Nga đứng sau như cáo buộc của Washington hay không thì chiến dịch này được chính các chuyên gia công nghệ Mỹ thừa nhận là quá thần sầu và người ngoại đạo cũng có thể theo dõi như một bộ phim ly kỳ.
Hackers lurking in the internet
Nửa đầu năm 2020, khách hàng sử dụng phần mềm Orion, một công cụ quản trị hệ thống mạng rất phổ biến tại Mỹ do SolarWinds phát triển, nhận được thông báo cập nhật định kỳ.
Ở thời “Internet vạn vật”, khi lò vi sóng cũng cần được cập nhật phần mềm, đây là chuyện quá sức bình thường. Vì thế mà gần 20.000 người dùng Orion khi đó đã click “Đồng ý cập nhật” không cần nghĩ.
Chính họ, giới công nghệ và cả chính quyền Washington, không ngờ bản cập nhật gần như mang tính thủ tục này lại là khởi đầu cho một vụ tấn công tin tặc có độ tinh vi và phức tạp ở quy mô mà người Mỹ chưa từng chứng kiến, và cũng không tài nào lường trước được.
Con ngựa thành Troy
Một nhóm tin tặc mà Mỹ cáo buộc nhận chỉ đạo từ cơ quan tình báo Nga (Matxcơva dĩ nhiên chối phăng) đã lợi dụng bản cập nhật để đưa mã độc vào phần mềm Orion và sau đó sử dụng đoạn mã gián điệp này để tiến hành một cuộc tấn công mạng quy mô lớn nhắm vào các mục tiêu trọng yếu.
“Chúng tôi ước tính khoảng 18.000 (khách hàng) đã tải bản cập nhập có chứa đoạn mã này từ tháng 3 đến tháng 6-2020” – Sudhakar Ramakrishna, chủ tịch kiêm CEO SolarWinds, thừa nhận với Đài NPR.
Tuy nhiên, Ramakrishna cho rằng nhóm tin tặc chỉ mới xâm nhập thành công vào hệ thống của khoảng… 100 công ty và tầm chục cơ quan chính phủ có sử dụng phần mềm Orion. Danh sách bao gồm các tên tuổi như Microsoft, Intel, Cisco, Bộ Tài chính, Bộ Tư pháp và năng lượng, và Lầu Năm Góc.
Đến cả Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa, đơn vị có nhiệm vụ bảo vệ các hệ thống mạng máy tính liên bang khỏi các cuộc tấn công mạng, cũng trở thành nạn nhân trong vụ hack lịch sử.
Để hình dung mức độ ảnh hưởng của vụ tấn công, cần hiểu Orion là phần mềm cho phép bộ phận IT của một cơ quan, đơn vị giám sát toàn bộ hệ thống mạng – từ máy chủ, tường lửa cho đến các thiết bị ngoại vi như máy in – từ một khu vực điều khiển trung tâm. Nói cách khác, Orion lúc này chẳng khác gì một chú ngựa thành Troy mang địch quân vào thẳng cơ quan đầu não của phe ta.
Đài NPR, sau nhiều tháng trời ngâm cứu hồ sơ vụ tấn công và phỏng vấn hàng chục nhân vật có liên quan, rút ra kết luận không thể khác được rằng đây là “một cuộc tấn công không giống bất kỳ cuộc tấn công nào khác, được tung ra bởi một kẻ thù tinh vi nhắm vào điểm yếu chí tử của cuộc sống số: bản cập nhật phần mềm định kỳ”.
Ông Adam Meyers, phó chủ tịch Công ty an ninh mạng CrowdStrike và là người đứng đầu nhóm chuyên gia Mỹ phụ trách điều tra vụ tấn công, cũng phải thốt lên rằng “tuyệt kỹ” mà nhóm tin tặc sử dụng là “phi thường” và là “thứ điên rồ nhất mà tôi từng chứng kiến”.
Đây là nhận xét có trọng lượng, đến từ người đã điều tra nhiều vụ hack đình đám khác như vụ đột nhập máy chủ Hãng phim Sony Pictures năm 2014 hay sự cố rò rỉ email của Đảng Dân chủ trước thềm cuộc bầu cử tổng thống Mỹ năm 2016.
Ảnh: Getty Images
Nghệ thuật xâm nhập
Chiến dịch tấn công nhắm vào SolarWinds bắt đầu với một đoạn mã cực kỳ đơn giản mà nhóm của Meyers phát hiện đã tồn tại trong phần mềm Orion từ tận tháng 9-2019. Đoạn mã này không có tác dụng gì khác ngoại trừ kiểm tra xem máy tính của nạn nhân đang sử dụng bộ xử lý 32-bit hay 64-bit rồi trả về số 0 hoặc 1 tương ứng. Đoạn mã thực chất chỉ làm phép thử mà nhóm hacker dùng để kiểm chứng liệu mã nguồn đã bị can thiệp có thể đến tay người dùng cuối được hay không. Và thực tế là có.
Sau khi chứng minh khả năng tấn công là có, nhóm tin tặc này không vội ra tay ngay; trái lại, họ không có động thái gì thêm trong suốt 5 tháng tiếp theo. Sự kiên nhẫn và thận trọng này được cho là hiếm thấy với tội phạm công nghệ cao.
Khi trở lại vào tháng 2-2020, những kẻ tấn công đã mở một “cửa hậu” (backdoor) – phương thức giúp chúng đột nhập và cài cắm vào phần mềm đoạn mã độc ngay trước khi nó được “đóng gói” và gửi đến người dùng dưới dạng bản cập nhật.
Nghe có vẻ đơn giản, nhưng thực tế để làm được chuyện này đòi hỏi lắm công phu. Vì lý do bảo mật, phần mềm thành phẩm ngày nay được “niêm phong” bằng con dấu kỹ thuật số trước khi đến tay khách hàng. Nếu niêm phong này có dấu hiệu bị phá hoại, đó là cơ sở đầu tiên cảnh báo cho người dùng rằng nội dung bên trong có thể đã bị thay đổi. Chỗ này cũng giống giao hàng ngoài đời, thấy gói hàng không “nguyên seal” thì phải nghi ngờ ngay.
Nhóm hacker đã khai thác một lỗ hổng trong quy trình bảo mật này bằng cách thay thế file gốc của phần mềm bằng file chứa mã độc ngay trước bước đóng gói cuối cùng – tức là sau khi những thay đổi trong mã nguồn đã được kiểm tra và phê duyệt. Bằng cách này, hệ thống hoàn toàn bị đánh lừa rằng file giả mạo kia là hàng thật, và cũng không còn ai kiểm tra lại lần nữa trước khi phần mềm chứa mã độc xuất xưởng. Vỏ hoàn hảo, nhưng ruột đã bị tráo từ lúc nào.
Theo Meyers, thủ thuật này gợi nhắc ông đến lời cha mẹ ở Mỹ thường dặn con mình khi đi xin bánh kẹo dịp Halloween phải kiểm tra thật kỹ bao bì bất cứ thứ gì trước khi bỏ vô miệng, đề phòng kẻ xấu giấu lưỡi lam bên trong những cái bánh kẹo ngon lành.
“Hãy tưởng tượng những cái bánh đang trên dây chuyền đóng gói, và trong tích tắc trước khi máy bắt đầu đóng hộp và niêm phong sản phẩm, thứ gì đó xuất hiện và đẩy lưỡi dao lam vào trong chiếc bánh” – Meyers nói. Thay vì lưỡi dao, hacker đổi file. Và dù là đóng gói bánh quy bơ đậu phộng hay bản cập nhật phần mềm thì cũng thế: sản phẩm được đóng gói, niêm phong đúng quy trình, dù nội dung đã khác.
Đây là một trong những chiến dịch gián điệp mạng hiệu quả nhất mọi thời đại. [Các hacker] không chỉ thể hiện sự nhạy bén về kỹ thuật, mà cách họ tiến hành vụ tấn công chứng tỏ rằng họ hiểu cách các công ty công nghệ và công ty phần mềm vận hành. – Alex Stamos (cựu giám đốc an ninh của Facebook)
Đánh nhanh, rút gọn
Điều khiến nhiều người ngạc nhiên là không một biện pháp phòng vệ tấn công tin tặc nào của Mỹ, dù là tư nhân hay chính phủ, đã phát hiện sớm để ngăn chặn đợt tấn công lần này.
Ông Christopher Krebs, người từng phụ trách CISA dưới thời cựu Tổng thống Donald Trump, nói với NPR rằng hệ thống hiện tại của Bộ An ninh nội địa Mỹ chỉ phát hiện được các mối đe dọa đã biết, trong khi kỹ thuật được áp dụng trong vụ tấn công SolarWinds đơn giản là “quá mới”.
Cơ quan an ninh quốc gia và Bộ chỉ huy mạng của quân đội Mỹ cũng hoàn toàn bị bất ngờ. Thông thường, những cơ quan này theo dõi các hệ thống mạng nước ngoài để tìm kiếm dấu hiệu của một cuộc tấn công trước khi nó xảy ra, tương tự như cơ chế cảnh báo nếu hình ảnh vệ tinh cho thấy một lượng lớn khí tài tập trung sát biên giới.
Nhóm hacker đã “di chuyển như những bóng ma” và qua mặt các biện pháp cảnh giới này bằng cách thuê máy chủ đặt tại Mỹ – thông qua các nhà cung cấp phổ thông như AWS hay GoDaddy – để làm điểm trung chuyển rồi từ đó mới phát động cuộc tấn công nhằm xóa hoàn toàn dấu vết yếu tố nước ngoài.
“Đánh nhanh” là một chuyện, “rút gọn” lại là một nghệ thuật khác mà các chuyên viên điều tra Mỹ cũng phải ngả mũ thán phục trước những kẻ tấn công SolarWinds. Như thám tử tìm kiếm dấu vân tay để lại hiện trường nhằm xác định kẻ thủ ác, để xác định danh tính hacker đứng sau một vụ tấn công, các chuyên gia giám định Mỹ phải để mắt đến những “dấu chỉ văn hóa” cực nhỏ, ví dụ như ký tự nước ngoài hoặc lỗi chính tả còn sót lại trong những đoạn mã độc.
Nhóm của Meyers đã hi vọng đoạn mã sẽ có một vài chỗ viết bằng chữ không phải tiếng Latin để cung cấp manh mối cho các điều tra viên xác định ai là người viết ra những dòng code đó. Nhưng đoạn mã là một hiện trường sạch sẽ. “Họ đã xóa sạch toàn bộ dấu vết của con người và công cụ hỗ trợ. Thật đáng kinh ngạc là [các hacker] có khả năng che giấu mọi thứ mà một người bình thường đã có thể vô thức để lại làm manh mối” – Meyers nhận xét.
3.500 dòng code và 90 triệu USD
Dù dấu hiệu bất thường đầu tiên liên quan đến Orion được một công ty an ninh mạng ở Washington DC ghi nhận trên máy tính khách hàng từ tháng 7-2020, phải đến cuối năm ngoái Cục Điều tra liên bang (FBI) mới nhận được báo cáo đầu tiên liên quan đến vụ việc từ Công ty an ninh mạng FireEye.
Đến giữa tháng 1-2021, nhóm của Meyers đã tìm được đến “trái tim” của cuộc tấn công: một đoạn code súc tích chỉ vỏn vẹn 3.500 dòng. Đây là con số khá nhỏ so với thiệt hại mà nó gây ra. Các đơn vị bảo hiểm mạng có thể sẽ phải chi trả đến 90 triệu USD để thanh toán phí điều tra và khắc phục sự cố cho các nạn nhân của vụ tấn công liên quan đến SolarWinds, trang CRN dẫn lời một chuyên gia trong ngành ước tính.
Những mục tiêu lớn hơn
Nhiều chuyên gia lo ngại đòn đánh vào SolarWinds chỉ là mưa rào so với một cơn bão dữ dội hơn sắp đổ bộ. Meyes cũng cho rằng nỗi lo nhất sau tất cả là đoạn mã của các hacker không chỉ được thiết kế dành riêng cho SolarWinds, mà có thể được tùy biến để tấn công bất kỳ sản phẩm phần mềm của công ty nào khác sử dụng cùng một trình biên dịch.
Trong vụ hack Ukraine năm 2017, tin tặc đã rải ransomware (mã độc đòi tiền chuộc) làm tê liệt hoạt động các công ty đa quốc gia và khóa vĩnh viễn hàng chục ngàn máy tính. Đây được coi là cuộc tấn công mạng có tính hủy diệt và tốn kém nhất trong lịch sử.
Trong vụ SolarWinds, các tin tặc đã có thời gian để gây thiệt hại còn nhiều hơn thế khi lang thang khắp các hệ thống mạng máy tính cơ yếu của Mỹ trong suốt 9 tháng mà không bị phát hiện. Thiệt hại hữu hình thì chưa ghi nhận, nhưng thứ không thấy mới đáng ngại hơn: liệu nhóm hacker này có thật sự chỉ đọc lén email và làm những việc mà gián điệp thường làm, hay liệu họ đã âm thầm cài cắm thứ gì đó có khả năng phá hoại khủng khiếp hơn để sử dụng trong tương lai?
Khi đã truy cập được vào hệ thống mạng của chính phủ, tin tặc có thể “phá hủy hay thay đổi dữ liệu và mạo danh người khác” – Tom Bossert, cố vấn an ninh nội địa dưới thời ông Trump, viết trên The New York Times.
Kevin Mandia – CEO Công ty an ninh mạng FireEye, đơn vị đầu tiên phát hiện và phát đi cảnh báo về vụ tấn công SolarWinds – cho rằng các dịch vụ công và y tế công cộng có thể nằm trong danh sách tiếp theo bị tấn công, nếu một đợt tấn công nữa xảy ra.
Alex Stamos, cựu giám đốc an ninh của Facebook, nhận xét rằng nghệ thuật lên kế hoạch và tấn công của các hacker trong vụ SolarWinds “chắc chắn sẽ thay đổi cách nghĩ của các doanh nghiệp lớn về phần mềm mà họ cài đặt cũng như cách họ xử lý các bản cập nhật”.
Meyers gọi chiến dịch tin tặc nhằm vào SolarWinds là “một hoạt động tình báo nhằm đánh cắp thông tin”, và cảnh báo đây sẽ không phải là lần cuối cùng một vụ tấn công như vậy xảy ra. “Nó sẽ là chuyện cơm bữa… Và tôi nghĩ tất cả chúng ta sẽ có nhiều việc phải làm để cùng nhau ngăn chặn một tương lai như vậy” – ông nói.
Ngày 15-4, chính quyền Tổng thống Mỹ Joe Biden công bố một loạt các biện pháp trừng phạt cứng rắn nhắm vào Nga, như một cách phản ứng trước sự vụ SolarWinds, dù Matxcơva vẫn một mực khẳng định không liên can.
Nhà Trắng cũng đang tiếp tục soạn thảo một loạt sắc lệnh hành pháp buộc các công ty cung cấp phần mềm cho cơ quan chính phủ phải đạt những tiêu chuẩn an toàn thông tin nhất định, cũng như yêu cầu các cơ quan liên bang thực hiện nghiêm các biện pháp phòng vệ cơ bản như mã hóa dữ liệu trong hệ thống.
Những công ty phần mềm như SolarWinds có thể sẽ được yêu cầu xây dựng hệ thống đóng gói phần mềm trong môi trường không có kết nối Internet để đảm bảo an ninh, theo thông tin của NPR.
An ninh mạng (cybersecurity), an ninh máy tính (computer security), bảo mật công nghệ thông tin (IT security) là việc bảo vệ hệ thống mạng máy tính khỏi các hành vi trộm cắp hoặc làm tổn hại đến phần cứng, phần mềm và các dữ liệu, cũng như các nguyên nhân dẫn đến sự gián đoạn, chuyển lệch hướng của các dịch vụ hiện đang được được cung cấp.[1]
An ninh mạng là thực tiễn của việc bảo vệ các hệ thống điện tử, mạng lưới, máy tính, thiết bị di động, chương trình và dữ liệu khỏi những cuộc tấn công kỹ thuật số độc hại có chủ đích. Tội phạm mạng có thể triển khai một loạt các cuộc tấn công chống lại các nạn nhân hoặc doanh nghiệp đơn lẻ; có thể kể đến như truy cập, làm thay đổi hoặc xóa bỏ dữ liệu nhạy cảm; tống tiền; can thiệp vào các quy trình kinh doanh.
An ninh mạng máy tính bao gồm việc kiểm soát truy cập vật lý đến phần cứng, cũng như bảo vệ chống lại tác hại có thể xảy ra qua truy cập mạng máy tính, cơ sở dữ liệu (SQL injection) và việc lợi dụng lỗ hổng phần mềm (code injection).[2] Do sai lầm của những người điều hành, dù cố ý hoặc do bất cẩn, an ninh công nghệ thông tin có thể bị lừa đảo phi kỹ thuật để vượt qua các thủ tục an toàn thông qua các phương pháp khác nhau.[3]
An ninh mạng hoạt động thông qua một cơ sở hạ tầng chặt chẽ, được chia thành ba phần chính: bảo mật công nghệ thông tin, an ninh mạng và an ninh máy tính.
Bảo mật công nghệ thông tin (với cách gọi khác là bảo mật thông tin điện tử): Bảo vệ dữ liệu ở nơi chúng được lưu trữ và cả khi các dữ liệu này di chuyển trên các mạng lưới thông tin. Trong khi an ninh mạng chỉ bảo vệ dữ liệu số, bảo mật công nghệ thông tin nắm trong tay trọng trách bảo vệ cả dữ liệu kỹ thuật số lẫn dữ liệu vật lý khỏi những kẻ xâm nhập trái phép.
An ninh mạng: Là một tập hợp con của bảo mật công nghệ thông tin. An ninh mạng thực hiện nhiệm vụ đảm bảo dữ liệu kỹ thuật số trên các mạng lưới, máy tính và thiết bị cá nhân nằm ngoài sự truy cập, tấn công và phá hủy bất hợp pháp.
An ninh máy tính: Là một tập hợp con của an ninh mạng. Loại bảo mật này sử dụng phần cứng và phần mềm để bảo vệ bất kỳ dữ liệu nào được gửi từ máy tính cá nhân hoặc các thiết bị khác đến hệ thống mạng lưới thông tin. An ninh máy tính thực hiện chức năng bảo vệ cơ sở hạ tầng công nghệ thông tin và chống lại các dữ liệu bị chặn, bị thay đổi hoặc đánh cắp bởi tội phạm mạng.
Lĩnh vực này dần trở nên quan trọng do sự phụ thuộc ngày càng nhiều vào các hệ thống máy tính và Internet tại các quốc gia,[4] cũng như sự phụ thuộc vào hệ thống mạng không dây như Bluetooth, Wi-Fi, cùng với sự phát triển của các thiết bị “thông minh”, bao gồm điện thoại thông minh, TV và các thiết bị khác kết nối vào hệ thống Internet of Things.
Nhân sự làm việc trong mảng an ninh mạng có thể được chia thành 3 dạng sau:
Hacker mũ trắng (White-hat hacker) [5] – cũng còn gọi là “ethical hacker” (hacker có nguyên tắc/đạo đức) hay penetration tester (người xâm nhập thử ngiệm vào hệ thống). Hacker mũ trắng là những chuyên gia công nghệ làm nhiệm vụ xâm nhập thử nghiệm vào hệ thống công nghệ thông tin để tìm ra lỗ hổng, từ đó yêu cầu người chủ hệ thống phải vá lỗi hệ thống để phòng ngừa các xâm nhập khác sau này với ý đồ xấu (thường là của các hacker mũ đen).[6]
Hacker mũ đen (Black-hat hacker): là các chuyên gia công nghệ xâm nhập vào hệ thống với mục đích xấu như đánh cắp thông tin, phá hủy hệ thống, làm lây nhiễm các phần mềm độc hại cũng như các hành vị phá hoại mạng máy tính vi phạm pháp luật khác.[7]
Hacker mũ xám (Grey-hat hacker): là các chuyên gia công nghệ có thể vừa làm công nghệ của cả hacker mũ trắng và mũ xám.[8]
Chúng ta thường sẽ cho rằng máy tính phải được phát minh trước khi khái niệm virus máy tính có thể tồn tại, nhưng theo một nghĩa nào đó, điều này chưa hẳn là chính xác. Nhà toán học John von Neumann (1903-1957) là người đầu tiên khái niệm hóa ý tưởng “virus máy tính” bằng bài báo của mình phát hành năm 1949, trong đó, ông đã phát triển nền tảng lý thuyết về một thực thể tự nhân bản tự động, làm việc trong máy tính.
Mãi đến năm 1971, thế giới mới lần đầu tiên được nhìn thấy virus máy tính ở thế giới thực. Trong thời đại ARPANET (khởi nguyên của Internet), các máy tính DEC PDP-10 hoạt động trên hệ điều hành TENEX bất ngờ hiển thị dòng thông báo với nội dung “Tôi là Creeper. Hãy bắt tôi nếu bạn có thể!”. Mặc dù virus Creeper được thiết kế như một thí nghiệm vô hại, chỉ để chứng minh liệu khái niệm này có khả thi hay không, nhưng điều đó đã đặt nền tảng cho những phát minh về virus máy tính khác xuất hiện sau này.
1983 – Bằng sáng chế đầu tiên trong lĩnh vực an ninh mạng tại Hoa Kỳ
Vào thời điểm khi máy tính bắt đầu phát triển, các nhà phát minh và chuyên gia công nghệ trên khắp thế giới trở nên gấp rút với mong muốn ghi dấu vào lịch sử và yêu cầu bằng sáng chế cho các hệ thống máy tính mới. Bằng sáng chế đầu tiên của Hoa Kỳ về an ninh mạng được công bố vào tháng 9 năm 1983, khi viện Công nghệ Massachusetts (MIT) được cấp bằng sáng chế 4.405.829 cho một “hệ thống và phương thức truyền thông mật mã”. Bằng sáng chế đã giới thiệu thuật toán RSA (Rivest-Shamir-Adeld), đây là một trong những hệ thống mật mã khóa công khai đầu tiên trên thế giới. Mật mã học là nền tảng của an ninh mạng hiện đại ngày nay.
1993 – Hội nghị DEF CON đầu tiên
DEF CON là một trong những hội nghị kỹ thuật an ninh mạng nổi tiếng nhất thế giới. Diễn ra lần đầu tiên vào tháng 6 năm 1993 bởi Jeff Moss, được tổ chức tại Las Vegas, số lượng tham gia chỉ với 100 người. Ngày nay, hội nghị thường niên này thu hút sự tham gia của hơn 20.000 chuyên gia an ninh mạng, hacker mũ trắng, nhà báo trong lĩnh vực công nghệ, chuyên gia IT từ khắp nơi trên thế giới.
1995 – Sự ra đời của Security Sockets Layer (SSL) 2.0
Đây là một tiêu chuẩn an ninh công nghệ toàn cầu tạo ra liên kết giữa máy chủ web (web server) và trình duyệt. Liên kết này đảm bảo cho việc tất cả các dữ liệu trao đổi giữa máy chủ web và trình duyệt luôn được bảo mật và an toàn, mang tính riêng tư, tách rời. SSL là một chuẩn công nghệ được sử dụng bởi hàng triệu trang web trong việc bảo vệ các giao dịch trực tuyến với khách hàng của họ.
Sau khi trình duyệt web đầu tiên trên thế giới được phát hành, công ty Netscape bắt đầu tập trung thời gian, công sức để phát triển giao thức SSL. Vào tháng 2 năm 1995, Netscape đã ra mắt SSL 2.0 – HTTPS (viết tắt của Hypertext Transfer Protocol Secure) – mà sau này đã trở thành ngôn ngữ chính để sử dụng Internet một cách an toàn, hiệu quả.
Giao thức này có thể nói là biện pháp an ninh mạng quan trọng bậc nhất. Ngày nay, khi nhìn thấy “HTTPS” trong một địa chỉ website, điều này chứng tỏ tất cả các thông tin liên lạc đều được mã hóa an toàn, nghĩa là, ngay cả khi có ai đó đã đột nhập vào kết nối, họ sẽ không thể giải mã bất kỳ dữ liệu nào đi qua giữa chủ sở hữu thông tin và website đó.
“Anonymous” là nhóm hacker nổi tiếng toàn cầu đầu tiên được biết đến. Đây là một tổ chức không có lãnh đạo, thay vào đó, đại diện cho nhiều người dùng cộng đồng trực tuyến (online) và ngoại tuyến (offline). Được biết đến với việc đấu tranh cho tự do ngôn luận và tự do Internet bằng cách xuống đường biểu tình hay thực hiện tấn công từ chối dịch vụ (DDoS) vào website của các chính quyền, tôn giáo, và công ty quốc tế. Đeo lên chiếc mặt nạ Guy Fawkes – tổ chức này thu hút sự chú ý tầm cỡ quốc gia khi tấn công website của nhà thờ giáo phái Khoa luận giáo (Scientology).
Vào nửa cuối năm 2009, hãng Google tại Trung Quốc công bố đã dính hàng loạt vụ tấn công mạng mang tên “Chiến dịch ánh ban mai” (Operation Aurora). Google ban đầu cho rằng mục tiêu của kẻ tấn công là cố gắng truy cập vào tài khoản Gmail của các nhà hoạt động nhân quyền Trung Quốc. Tuy nhiên, các nhà phân tích sau đó đã phát hiện ra ý định thực sự đằng sau chiến dịch này là để tìm kiếm, xác định danh tính các nhà hoạt động tình báo Trung Quốc tại Hoa Kỳ – những đối tượng có thể nằm trong danh sách theo dõi của các cơ quan thực thi pháp luật ở xứ sở Cờ Hoa. Chiến dịch này cũng tấn công hơn 50 công ty trong lĩnh vực Internet, tài chính, công nghệ, truyền thông và hóa học. Theo ước tính của hãng Cyber Diligence, chiến dịch này gây thiệt hại cho mỗi công ty nạn nhân tầm khoảng 100 triệu USD.
Ngày nay – An ninh mạng trở nên quan trọng hơn bao giờ hết
Không gian mạng ngày nay đã trở thành một chiến trường kỹ thuật số bao gồm các quốc gia và những kẻ tấn công mạng. Để theo kịp xu hướng toàn cầu, ngành công nghiệp an ninh mạng phải không ngừng cải tiến, đổi mới và sử dụng các phương pháp tiếp cận dựa trên “máy học nâng cao” (Advanced Machine Learning) và AI tiên tiến, với mục tiêu phân tích các hành vi mạng và ngăn chặn sự tấn công của bọn tội phạm.
Ở thời điểm hiện tại, việc thực hiện nghiêm túc các vấn đề về đảm bảo an ninh mạng trở nên quan trọng hơn bao giờ hết đối với các doanh nghiệp và tổ chức. Với việc phát triển công nghệ thông tin ngày càng mạnh mẽ, các tổ chức có đầy đủ tiềm lực cần thiết để hỗ trợ thực thi mọi thứ, từ tối ưu hóa công cụ tìm kiếm (SEO) cho đến quản lý ngân sách chung cũng như nhu cầu chi tiêu riêng lẻ của công ty, doanh nghiệp.
Mục tiêu của an ninh mạng
Mục tiêu của an ninh mạng là bảo vệ thông tin khỏi bị đánh cắp, xâm phạm hoặc bị tấn công. Độ bảo mật an ninh mạng có thể được đo lường bằng ít nhất một trong ba mục tiêu sau:
Thúc đẩy sự sẵn có của dữ liệu cho người dùng được ủy quyền.
Những mục tiêu này tạo thành bộ ba “Bảo mật – Toàn vẹn – Sẵn có” (Confidentiality – Integrity – Availability), đây là cơ sở cốt lõi của tất cả các chương trình bảo mật thông tin. Tam giác CIA là một mô hình bảo mật được thiết kế để hướng dẫn thực thi các chính sách bảo mật thông tin trong khuôn khổ nội bộ một tổ chức hoặc một công ty. Mô hình này cũng được gọi là AIC để tránh sự nhầm lẫn với Cơ quan Tình báo Trung ương Hoa Kỳ (CIA – Central Intelligence Agency).
Tiêu chí của CIA được hầu hết các tổ chức và công ty sử dụng khi họ bắt tay vào cài đặt một ứng dụng mới, tạo lập cơ sở dữ liệu hoặc khi muốn đảm bảo quyền truy cập vào một số dữ liệu nói chung. Để dữ liệu được bảo mật hoàn toàn, tất cả các tiêu chí này phải có hiệu lực, đây là những chính sách bảo mật mà mọi thành phần cấu tạo nên nó đều phải cùng nhau hoạt động, và do đó, có thể sẽ xảy ra sai sót khi bỏ quên một trong những thành phần của CIA.
Các yếu tố của tam giác CIA được coi là ba yếu tố quan trọng nhất của bảo mật thông tin.
Tính bảo mật (Confidentiality)
Bảo mật gần tương đương với quyền riêng tư và việc tránh tiết lộ thông tin trái phép. Liên quan đến việc bảo vệ dữ liệu, bảo mật cung cấp quyền truy cập cho những người được phép và ngăn chặn người khác tiếp xúc với bất kỳ thông tin nào về nội dung của chủ sở hữu. Yếu tố này ngăn chặn thông tin cá nhân tiếp cận sai người trong khi đảm bảo rằng người dùng mục tiêu có thể thu thập được thông tin cần thiết. Mã hóa dữ liệu là một ví dụ điển hình để đảm bảo tính bảo mật.
Các công cụ chính phục vụ cho tiêu chí “bảo mật”:
Mã hóa (Encryption): Mã hóa là một phương pháp chuyển đổi thông tin khiến dữ liệu trở nên không thể đọc được đối với người dùng trái phép bằng cách sử dụng thuật toán. Sử dụng khóa bí mật (khóa mã hóa) để dữ liệu được chuyển đổi, chỉ có thể được đọc bằng cách sử dụng một khóa bí mật khác (khóa giải mã). Công cụ này nhằm bảo vệ những dữ liệu nhạy cảm như số thẻ tín dụng, bằng cách mã hóa và chuyển đổi dữ liệu thành một văn bản mật mã không thể đọc được, dữ liệu này chỉ có thể được đọc một khi đã giải mã nó. Khóa bất đối xứng (asymmetric-key) và khóa đối xứng (symmetric-key) là hai loại mã hóa chính phổ biến nhất.
Kiểm soát quyền truy cập (Access Control): Đây là công cụ xác định các quy tắc và chính sách để giới hạn quyền truy cập vào hệ thống hoặc các tài nguyên, dữ liệu ảo/vật lý. Kiểm soát quyền truy cập bao gồm quá trình người dùng được cấp quyền truy cập và một số đặc quyền nhất định đối với hệ thống, tài nguyên hoặc thông tin. Trong các hệ thống kiểm soát quyền truy cập, người dùng cần xuất trình thông tin đăng nhập trước khi có thể được cấp phép tiếp cận thông tin, có thể kể đến như danh tính, số sê-ri của máy chủ. Trong các hệ thống vận hành vật lý, các thông tin đăng nhập này có thể tồn tại dưới nhiều dạng, nhưng với các thông tin không thể được chuyển giao sẽ cung cấp tính bảo mật cao nhất.
Xác thực (Authentication): Xác thực là một quá trình đảm bảo và xác nhận danh tính hoặc vai trò của người dùng. Công cụ này có thể được thực hiện theo một số cách khác nhau, nhưng đa số thường dựa trên sự kết hợp với: một thứ gì đó mà cá nhân sở hữu (như thẻ thông minh hoặc khóa radio để lưu trữ các khóa bí mật), một thứ gì đó mà cá nhân biết (như mật khẩu) hoặc một thứ gì đó dùng để nhận dạng cá nhân (như dấu vân tay). Xác thực đóng vai trò cấp thiết đối với mọi tổ chức, vì công cụ này cho phép họ giữ an toàn cho mạng lưới thông tin của mình bằng cách chỉ cho phép người dùng được xác thực truy cập vào các tài nguyên dưới sự bảo vệ, giám sát của nó. Những tài nguyên này có thể bao gồm các hệ thống máy tính, mạng, cơ sở dữ liệu, website và các ứng dụng hoặc dịch vụ dựa trên mạng lưới khác.
Ủy quyền (Authorization): Đây là một cơ chế bảo mật được sử dụng để xác định danh tính một người hoặc hệ thống được phép truy cập vào dữ liệu, dựa trên chính sách kiểm soát quyền truy cập, bao gồm các chương trình máy tính, tệp tin, dịch vụ, dữ liệu và tính năng ứng dụng. Ủy quyền thường được đi trước xác thực để xác minh danh tính người dùng. Quản trị viên hệ thống thường là người chỉ định cấp phép hoặc từ chối quyền truy cập đối với cá nhân khi muốn tiếp cận thông tin dữ liệu và đăng nhập vào hệ thống.
Bảo mật vậy lý (Physical Security): Đây là các biện pháp được thiết kế để ngăn chặn sự truy cập trái phép vào các tài sản công nghệ thông tin như cơ sở vật chất, thiết bị, nhân sự, tài nguyên và các loại tài sản khác nhằm tránh bị hư hại. Công cụ này bảo vệ các tài sản nêu trên khỏi các mối đe dọa vật lý như: trộm cắp, phá hoại, hỏa hoạn và thiên tai.
Tính toàn vẹn (Integrity)
Tính toàn vẹn đề cập đến các phương pháp nhằm đảm bảo nguồn dữ liệu là thật, chính xác và được bảo vệ khỏi sự sửa đổi trái phép của người dùng.
Các công cụ chính phục vụ cho tiêu chí “toàn vẹn”:
Sao lưu (Backups): Sao lưu là lưu trữ dữ liệu định kỳ. Đây là một quá trình tạo lập các bản sao của dữ liệu hoặc tệp dữ liệu để sử dụng trong trường hợp khi dữ liệu gốc hoặc tệp dữ liệu bị mất hoặc bị hủy. Sao lưu cũng được sử dụng để tạo các bản sao phục vụ cho các mục đích lưu lại lịch sử dữ liệu, chẳng hạn như các nghiên cứu dài hạn, thống kê hoặc cho các ghi chép, hoặc đơn giản chỉ để đáp ứng các yêu cầu của chính sách lưu trữ dữ liệu.
Tổng kiểm tra (Checksums): Tổng kiểm tra là một giá trị số được sử dụng để xác minh tính toàn vẹn của tệp hoặc dữ liệu được truyền đi. Nói cách khác, đó là sự tính toán của một hàm phản ánh nội dung của tệp thành một giá trị số. Chúng thường được sử dụng để so sánh hai bộ dữ liệu, nhằm đảm bảo rằng chúng giống hệt nhau. Hàm tổng kiểm tra phụ thuộc vào toàn bộ nội dung của tệp, nó được thiết kế theo cách mà ngay cả một thay đổi nhỏ đối với tệp đầu vào (chẳng hạn như lệch một bit) có thể dẫn đến giá trị đầu ra khác nhau.
Mã chỉnh dữ liệu (Data Correcting Codes): Đây là một phương pháp để lưu trữ dữ liệu theo cách mà những thay đổi nhỏ nhất cũng có thể dễ dàng được phát hiện và tự động điều chỉnh.
Tính sẵn có (Availability)
Mọi hệ thống thông tin đều phục vụ cho mục đích riêng của nó và thông tin phải luôn luôn sẵn sàng khi cần thiết. Hệ thống có tính sẵn sàng cao hướng đến sự sẵn có, khả dụng ở mọi thời điểm, tránh được rủi ro, đảm bảo thông tin có thể được truy cập và sửa đổi kịp thời bởi những người được ủy quyền.
Các công cụ chính phục vụ cho tiêu chí “sẵn có”:
Bảo vệ vật lý (Physical Protections): Có nghĩa là giữ thông tin có sẵn ngay cả trong trường hợp phải đối mặt với thách thức về vật chất. Đảm bảo các thông tin nhạy cảm và công nghệ thông tin quan trọng được lưu trữ trong các khu vực an toàn.
Tính toán dự phòng (Computational Redundancies): Được áp dụng nhằm bảo vệ máy tính và các thiết bị được lưu trữ, đóng vai trò dự phòng trong trường hợp xảy ra hỏng hóc.
Tấn công mạng
Tấn công mạng là tất cả các hình thức xâm nhập trái phép vào một hệ thống máy tính, website, cơ sở dữ liệu, hạ tầng mạng, thiết bị của một cá nhân hoặc tổ chức thông qua mạng Internet với những mục đích bất hợp pháp.
Nạn nhân của tấn công mạng
Tấn công mạng không mục tiêu: Ở các cuộc tấn công không mục tiêu, đối tượng mà bọn tội phạm mạng và hacker nhắm đến là càng nhiều thiết bị, dịch vụ hoặc người dùng bị ảnh hưởng càng tốt. Chúng không quan tâm ai là nạn nhân vì luôn có một số lượng lớn máy móc hoặc dịch vụ tồn tại lỗ hổng. Để thực hiện các cuộc tấn công này, chúng sử dụng những loại kỹ thuật mà có thể tận dụng được sự công khai, rộng rãi của Internet.
Tấn công mạng có mục tiêu: Đối với cuộc tấn công có mục tiêu, một tổ chức sẽ dễ dàng rơi vào tình trạng bị kìm kẹp. Lý giải cho những nguyên do đằng sau cuộc tấn công này, bọn tội phạm, một là có mối quan tâm cụ thể với chủ đích rõ ràng đến tổ chức; hai là được trả tiền đến nhắm đến mục tiêu là thực hiện tấn công vào tổ chức đó. Nền tảng xây dựng chiến lược cho một cuộc tấn công mạng với mục tiêu xác định có thể mất nhiều tháng để tìm ra con đường tốt nhất tác động đến doanh nghiệp (hoặc người dùng). Tấn công có mục tiêu thường gây ra tổn hại nặng nề hơn so với một cuộc tấn công không nhắm mục tiêu, bởi vì nó được thiết kế riêng để tấn công vào các hệ thống, quy trình hoặc nhân sự của doanh nghiệp.[11]
Nhìn chung, nạn nhân của tấn công mạng có thể là một cá nhân, doanh nghiệp, các tổ chức chính phủ hoặc phi chính phủ, cơ quan nhà nước, thậm chí, đối tượng có thể là cả một quốc gia. Tuy nhiên, đối tượng phổ biến nhất của các cuộc tấn công mạng là các doanh nghiệp.
Mục đích tấn công mạng
Bên cạnh những mục đích phổ biến như trục lợi phi pháp, tống tiền doanh nghiệp, hiển thị quảng cáo kiếm tiền, thì còn tồn tại một số mục đích khác phức tạp và nguy hiểm hơn: cạnh tranh không lành mạnh giữa các doanh nghiệp, tấn công an ninh hoặc kinh tế của một quốc gia, tấn công đánh sập một tổ chức tôn giáo, v.v. Ngoài ra, một số hacker tấn công mạng chỉ để mua vui, thử sức, hoặc tò mò muốn khám phá các vấn đề về an ninh mạng.
Lỗ hổng bảo mật và các loại tấn công phổ biến
Lỗ hổng bảo mật là một điểm yếu của hệ thống trong quá trình thiết kế, thi công và quản trị. Phần lớn các lỗ hổng bảo mật được đã phát hiện ngày nay đều được ghi lại trong cơ sở dữ liệu Common Vulnerabilities and Exposures (CVE). Một lỗ hổng bị khai thác là một lỗ hổng mà đã bị lợi dụng để thực hiện hoạt động tấn công ít nhất một lần hoặc đã bị khai thác (exploit).[12]
Để đảm bảo một hệ thống máy tính, điều quan trọng là phải hiểu các cuộc tấn công có thể được thực hiện chống lại nó, và các mối đe dọa thường được xếp vào một trong các mục dưới đây:
Malware là phần mềm độc hại, được kết hợp giữa hai từ “malicious” và “software”. Đây là một trong những hình thức đe dọa mạng phổ biến nhất. Tội phạm mạng và các hacker tạo ra malware với mục đích làm phá vỡ hoặc hư hỏng máy tính của người dùng hợp pháp. Thông thường, hacker sẽ tấn công người dùng thông qua các lỗ hổng bảo mật, dụ dỗ người dùng click vào một đường link đính kèm trong thư rác hoặc tải các tệp tin được ngụy trang hợp-pháp để phần mềm độc hại tự động cài đặt vào máy tính. Malware thường được sử dụng nhằm phục vụ cho mục đích kiếm tiền hoặc tham gia vào các cuộc tấn công mạng có động cơ chính trị.
Có vô số loại phần mềm độc hại khác nhau, điển hình như:
Virus: Là những đoạn mã chương trình tự sao chép, tức tự nhân bản, đính kèm vào các tệp tin sạch, được thiết kế để xâm nhập, lây lan khắp hệ thống máy tính nhằm thực thi một số tác vụ nào đó với nhiều mức độ phá hủy khác nhau.
Trojan Horse: Khác với virus, phần mềm này không có chức năng tự sao chép nhưng lại sở hữu sức công phá tương đương. Trojan Horse sẽ được ngụy trang thành các phần mềm hợp pháp, vô hại, tiếp sau đó, bọn tội phạm mạng lừa người dùng cài đặt Trojan Horse vào máy tính của họ, nơi chúng có thể gây thiệt hại đến máy chủ hoặc thu thập các dữ liệu cá nhân.
Phần mềm gián điệp (Spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại “di chứng”, bí mật lưu lại những gì người dùng làm, dựa vào đó, tội phạm mạng có thể sử dụng các thông tin này để đem đến bất lợi cho chủ sở hữu chúng.
Phần mềm tống tiền (Ransomware): Ngăn cản người dùng truy cập vào một file hoặc folder quan trọng, chỉ khôi phục với mức tiền chuộc tương ứng.
Phần mềm quảng cáo (Adware): Có thể được sử dụng để phát tán, cài đặt các phần mềm độc hại khác.
Botnets: Mạng lưới các máy tính bị nhiễm phần mềm độc hại được bọn tội phạm mạng sử dụng để thực hiện các tác vụ trực tuyến mà không có sự cho phép của người dùng.
Tấn công giả mạo (Phishing Attack)
Phishing là hình thức giả mạo thành một đơn vị/cá nhân uy tín để chiếm lấy lòng tin của người dùng, với mục tiêu nhắm đến việc đánh cắp dữ liệu cá nhân nhạy cảm như thông tin thẻ tín dụng, mật khẩu, tài khoản đăng nhập hoặc cài đặt các phần mềm độc hại vào máy tính nạn nhân. Phishing thường được thực hiện bằng cách sử dụng thư điện tử (email) hoặc tin nhắn.
Tấn công trung gian (MitM), hay còn gọi là tấn công nghe lén, xảy ra khi kẻ tấn công mạng xâm nhập vào một giao dịch đang diễn ra giữa 2 đối tượng, một khi đã xen vào thành công, chúng có thể chắt lọc và đánh cắp dữ liệu. Một số biến thể của tấn công trung gian có thể kể đến như đánh cắp mật khẩu, chuyển tiếp các thông tin không xác thực. Thông thường, khi sử dụng Wi-Fi công cộng thiếu bảo mật, kẻ tấn công có thể tự “chen” vào giữa thiết bị của người truy cập và mạng Wi-Fi đó, tất cả dữ liệu cá nhân mà nạn nhân gửi đi sẽ rơi vào tay bọn tội phạm mà không hề hay biết. Trong một số trường hợp, kẻ tấn công còn cài đặt các ứng dụng khác nhằm thu thập thông tin về nạn nhân thông qua phần mềm độc hại (malware).
Các cuộc tấn công từ chối dịch vụ (DoS) được thiết kế để làm cho tài nguyên mạng hoặc máy không sẵn sàng để phục vụ cho người dùng dự định của nó. [5] Kẻ tấn công có thể từ chối dịch vụ cho từng nạn nhân, chẳng hạn như cố tình nhập sai mật khẩu đủ lần liên tục để khiến tài khoản nạn nhân bị khóa hoặc chúng có thể làm quá tải khả năng của máy hoặc mạng và chặn tất cả người dùng cùng một lúc. Mặc dù một cuộc tấn công mạng từ một địa chỉ IP duy nhất có thể bị chặn bằng cách thêm quy tắc tường lửa mới, nhiều hình thức tấn công từ chối dịch vụ phân tán (DDoS) là có thể, trong đó cuộc tấn công đến từ một số lượng lớn mấy tính – và việc bảo vệ khó khăn hơn nhiều. Các cuộc tấn công như vậy có thể bắt nguồn từ các máy tính zombie của botnet, nhưng một loạt các kỹ thuật khác có thể bao gồm các cuộc tấn công phản xạ và khuếch đại, trong đó các hệ thống vô tội bị lừa gửi dữ liệu đến máy nạn nhân.
Tấn công cơ sở dữ liệu (SQL Injection Attack)
Hacker chèn một đoạn code độc hại vào server sử dụng ngôn ngữ truy vấn có cấu trúc (SQL), mục đích là để khiến máy chủ trả về những thông tin quan trọng mà lẽ ra không được tiết lộ. Các cuộc tấn công SQL Injection xuất phát từ lỗ hổng của website, hacker có thể tấn công đơn giản bằng cách chèn một đoạn mã độc vào thanh công cụ “Tìm kiếm” là đã có thể dễ dàng tấn công những website với mức bảo mật yếu.
Tấn công “cửa hậu” (Backdoor Attack)
Trong một hệ thống máy tính, Backdoor (“cửa hậu”) là một phương pháp bí mật vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường. Chúng tồn tại vì một số lý do, bao gồm từ thiết kế ban đầu hoặc từ cấu hình kém. Chúng có thể đã được thêm vào bởi một nhóm có thẩm quyền để cho phép một số truy cập hợp pháp, hoặc bởi những kẻ tấn công vì lý do độc hại; nhưng bất kể động cơ đưa tới sự tồn tại của chúng, chúng tạo ra một lỗ hổng.
Khai thác lỗ hổng (Zero-day Exploits)
Lỗ hổng Zero-day (hay còn gọi là 0-day) là thuật ngữ để chỉ những lỗ hổng phần mềm hoặc phần cứng chưa được biết đến và chưa được khắc phục. Các hacker có thể tận dụng lỗ hổng này để tấn công xâm nhập vào hệ thống máy tính của doanh nghiệp, tổ chức nhằm đánh cắp hoặc thay đổi dữ liệu.[13]
Một cuộc tấn công mạng thành công có thể gây ra thiệt hại lớn cho doanh nghiệp. Nó có thể ảnh hưởng đến lợi nhuận cũng như niềm tin khách hàng và vị thế của doanh nghiệp.
Tác động của những vi phạm về an ninh mạng có thể được chia thành ba loại: tài chính, danh tiếng và pháp lý.
Tài chính
Các cuộc tấn công mạng thường dẫn đến những tổn thất lớn về tài chính, phát sinh từ việc:
Đánh cắp thông tin của công ty.
Đánh cắp thông tin tài chính (ví dụ: chi tiết ngân hàng hoặc chi tiết thẻ thanh toán)
Trộm cắp tiền của.
Gián đoạn giao dịch (ví dụ: không có khả năng thực hiện giao dịch trực tuyến)
Mất các hợp đồng và hoạt động với đối tác.
Các doanh nghiệp bị ảnh hưởng bởi vi phạm không gian mạng nói chung, sẽ phải chịu các chi phí liên quan đến việc sửa chữa hệ thống, mạng và những thiết bị liên quan.
Danh tiếng
Niềm tin, sự tin tưởng là một trong những yếu tố thiết yếu khi xây dựng mối quan hệ với khách hàng. Các cuộc tấn công mạng có thể làm tổn hại danh tiếng của doanh nghiệp, đánh mất niềm tin của khách hàng dành cho chính doanh nghiệp đó. Sự việc này nếu liên tục tiếp diễn, kéo dài có khả năng dẫn đến:
Mất khách hàng.
Mất doanh số.
Giảm lợi nhuận.
Tác động về thiệt hại danh tiếng thậm chí có thể ảnh hưởng đến chuỗi các nhà cung ứng của doanh nghiệp, hoặc tác động đến các mối quan hệ mà doanh nghiệp có thể có với các đối tác, nhà đầu tư và các bên thứ ba khác.
Pháp lý
Các luật lệ về bảo vệ dữ liệu và quyền riêng tư yêu cầu doanh nghiệp quản lý, bảo mật tất cả những dữ liệu cá nhân hiện đang được nắm giữ, dù cho là nhân viên, đối tác hay khách hàng của doanh nghiệp. Nếu dữ liệu vô tình hoặc cố ý bị xâm phạm, điều này chứng tỏ doanh nghiệp đã không triển khai các biện pháp bảo mật thích hợp và có thể phải đối mặt với các khoản phí và những biện pháp trừng phạt tương ứng theo quy định của pháp luật.
Tác động của tấn công mạng vào các ngành công nghiệp khác nhau[15]
Lĩnh vực y tế, chăm sóc sức khoẻ
Ngành công nghiệp chăm sóc sức khỏe vô cùng rộng lớn và phức tạp, với lượng dữ liệu bệnh nhân khổng lồ nhưng thường không được trang bị đầy đủ các biện pháp bảo mật để đảm bảo an toàn thông tin.
Lĩnh vực chăm sóc sức khỏe ngày nay đã chuyển đổi với việc áp dụng công nghệ mới, như “hồ sơ sức khỏe điện tử” (Electronic Health Record) đã mang lại hiệu quả rất lớn và nâng cao chất lượng chăm sóc bệnh nhân, tuy nhiên, các công nghệ tương tự rất dễ trong việc tiếp cận tấn công của bọn tội phạm mạng.
Những đảm bảo an ninh, chống vi phạm tấn công dữ liệu y tế khó có làm ngơ vì ở lĩnh vực này, theo thông kê của trung tâm ITRC (Identity Theft Resource Center), tiếp xúc với số an sinh xã hội (social security number) nhiều hơn bất kỳ ngành nào khác trong năm 2016.
Các hoạt động quản trị tuân thủ bảo mật rất tốn kém để thực thi, và mặc dù được đề xuất, có thể không hoàn toàn thay đổi được nguy cơ cao khả năng hồ sơ bệnh nhân bị đánh cắp hoặc việc chăm sóc bệnh nhân bị gián đoạn bởi các vụ tấn công làm trì trệ, gián đoạn hệ thống gây ra bởi botnets hoặc virus độc hại. Nhưng mọi thứ không đơn giản chỉ xoay quanh dữ liệu và dịch vụ y tế có nguy cơ bị tấn công mạng – mà còn là cuộc sống của con người. Bất kỳ thiết bị y tế nào được kết nối với mạng đều có nguy cơ bị hacker chiếm giữ và khai thác, từ máy chụp MRI cho đến xe lăn điện v.v.
Lĩnh vực tài chính
Dữ liệu tài chính là một trong những mục tiêu hấp dẫn nhất đối với hacker, do đó, các tổ chức hoạt động chủ yếu trong lĩnh vực này càng cần phải thận trọng hơn trong việc bảo đảm an ninh mạng.
Ngành tài chính đã có nguy cơ bị tấn công mạng kể từ khi Internet ra đời. Quyền riêng tư và bảo mật dữ liệu là ưu tiên hàng đầu với các tổ chức, doanh nghiệp hoạt động trong lĩnh vực này. Rủi ro bị tấn công ngày càng gia tăng khi trong vài năm trở lại đây, cùng với sự đổi mới công nghệm, khả năng tấn công mạng của các hacker cũng trở nên khó lường hơn bao giờ hết.
Với phần lớn nguy cơ bị đe dọa tấn công mạng, các ngân hàng và công ty dịch vụ tài chính là những tổ chức đi đầu về việc xây dựng một hệ thống bảo mật toàn diện, tinh vi nhất.
Lĩnh vực hoạt động sản xuất
Các nhà sản xuất ngày nay trở thành mục tiêu của không chỉ các tác nhân độc hại truyền thống như hacker hoặc tội phạm mạng, mà còn bị đe dọa bởi những công ty, quốc gia cạnh tranh tham gia vào hoạt động theo dõi, gián điệp doanh nghiệp. Động cơ đằng sau có thể kể đến như: tiền tài, của cải hoặc ăn miếng trả miếng, giành giật lợi thế cạnh tranh và gây gián đoạn chiến lược.
Công nghệ thông tin có thể không phải là một năng lực cốt lõi của nhiều doanh nghiệp sản xuất – ngay cả ở những doanh nghiệp lớn. Hầu hết với các công ty sản xuất có quy mô, độ phân tán cơ sở dữ liệu cao và thường thì mạng lưới rất hỗn loạn. Bên cạnh đó, tài nguyên và nguồn lực nhân sự hạn chế cũng là một bất lợi đối với các doanh nghiệp hoạt động trong lĩnh vực sản xuất.
Lĩnh vực truyền thông và viễn thông
Trên phạm vi toàn cầu, các công ty giải trí và truyền thông đang ngày càng trở thành món mồi béo bở cho các cuộc tấn công mạng khi bọn tội phạm tìm ra những cách thức mới và sáng tạo để đánh bại các biện pháp kiểm soát an ninh mạng.
Các công ty viễn thông luôn là một mục tiêu lớn vì họ xây dựng, kiểm soát và vận hành một trong những cơ sở hạ tầng quan trọng, được sử dụng rộng rãi để liên lạc và lưu trữ số lượng lớn dữ liệu riêng tư, nhạy cảm.
Các cơ quan chính phủ bí mật tấn công cơ sở hạ tầng của những tổ chức hoạt động trong lĩnh vực viễn thông và thiết lập hệ thống theo dõi, giám sát thông qua các ứng dụng. Các kênh truyền nằm trong tầm ngắm của việc giám sát bí mật bao gồm mọi thứ, từ đường dây điện thoại và trò chuyện trực tuyến đến dữ liệu điện thoại di động.
Dữ liệu khách hàng là một mục tiêu với mức tác động cao phổ biến khác. Các tổ chức viễn thông thường lưu trữ thông tin cá nhân – như tên, địa chỉ và dữ liệu tài chính – về tất cả các khách hàng của họ. Dữ liệu cá nhân nhạy cảm này có thể được sử dụng để tống tiền khách hàng, thực hiện hành vi trộm cắp danh tính, tiền của hoặc tiến hành các cuộc tấn công khác.
Ngành Truyền thông & Giải trí cũng là một mục tiêu hấp dẫn cho các cuộc tấn công mạng. Tác động của các cuộc tấn công vào lĩnh vực này có thể khiến các chương trình hoặc tập phim bị rò rỉ trước khi một hãng phim, nhà sản xuất chính thức phát hành chúng, làm lộ thông tin cá nhân và tài chính, tệ hơn, có thể khiến doanh nghiệp ngừng hoạt động.
Cái giá phải trả thường cao ngất ngưỡng, cả về tài chính lẫn nghệ thuật, và có thể rất khó khăn để trở lại khuôn khổ, hoạt động bình thường sau một cuộc tấn công nghiêm trọng.
Lĩnh vực bảo hiểm
Các cuộc tấn công mạng trong lĩnh vực bảo hiểm đang gia tăng theo cấp số nhân khi các công ty bảo hiểm chuyển sang hoạt động trên các kênh kỹ thuật số, nhằm nỗ lực tạo lập mối quan hệ khách hàng chặt chẽ hơn, cung cấp sản phẩm mới và mở rộng thị phần khách hàng. Mặc dù khoản đầu tư kỹ thuật số này cung cấp vô số khả năng chiến lược mới, nhưng chúng cũng mang theo các rủi ro không gian mạng và các vectơ tấn công mới cho các tổ chức thiếu kinh nghiệm trong việc xử lý các thách thức của môi trường bán hàng đa kênh (omni channel).
Các công ty bảo hiểm sở hữu một số lượng lớn thông tin cá nhân về khách hàng của họ, điều này rất hấp dẫn đối với những kẻ trộm danh tính và bọn lừa đảo. Các công ty bảo hiểm cũng sở hữu số lượng đáng kể thẻ tín dụng khách hàng cũng như dữ liệu thanh toán.
Vì hoạt động kinh doanh bảo hiểm xoay quanh việc xây dựng niềm tin, một sai lầm lớn có thể có tác động nặng nề đến thương hiệu và giá trị thị trường của công ty bảo hiểm.
An toàn thông tin là hành động ngăn cản, phòng ngừa sự sử dụng, truy cập, tiết lộ, chia sẻ, phát tán, ghi lại hoặc phá hủy thông tin chưa có sự cho phép. Ngày nay vấn đề an toàn thông tin được xem là một trong những quan tâm hàng đầu của xã hội, có ảnh hưởng rất nhiều đến hầu hết các ngành khoa học tự nhiên, kỹ thuật, khoa học xã hội và kinh tế.
Định nghĩa
Định nghĩa của an toàn thông tin được nêu ra từ nhiều nguồn khác nhau[1], chúng ta có thể hiểu theo nhiều cách sau: “Là sự bảo toàn của việc bảo mật, toàn vẹn và tính sẵn có của thông tin: Chú ý: Những đặc tính khác như: xác thực, sự tự chịu trách nhiệm với thông tin, không thể chối cãi và độ tin cậy cũng có thể liên quan tới định nghĩa” (ISO/IEC 27000:2009)[2].
Tiêu chuẩn
Trên trường quốc tế Tiêu chuẩn Anh BS 7799 “Hướng dẫn về quản lý an toàn thông tin”, được công bố lần đầu tiên vào năm 1995, đã được chấp nhận. Xuất phát từ phần 1 của Tiêu chuẩn Anh BS 77999 là tiêu chuẩn ISO/IEC 17799:2000 mà hiện nay tồn tại dưới phiên bản được sửa đổi ISO/IEC 17799:2005.
Nội dung ISO/IEC 17799:2005 bao gồm 134 biện pháp cho an toàn thông tin và được chia thành 12 nhóm:
Chính sách an toàn thông tin (Information security policy): chỉ thị và hướng dẫn về an toàn thông tin
Tổ chức an toàn thông tin (Organization of information security): tổ chức biện pháp an toàn và quy trình quản lý.
Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin
An toàn tài nguyên con người (Human resource security): bảo đảm an toàn
An toàn vật lý và môi trường (Physical and environmental security)
Quản lý vận hành và trao đổi thông tin (Communications and operations management)
Kiểm soát truy cập (Access control)
Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)
Quản lý sự cố mất an toàn thông tin (Information security incident management)
Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management)
Tiêu chuẩn ISO/IEC 27001:2005 phát triển từ phần 2 của BS 7799. Tiêu chuẩn này quy định các yêu cầu đối với một hệ thống quản lý an toàn thông tin và tương tự như ISO 9001 là một tiêu chuẩn về quản lý có thể được cấp giấy chứng nhận.
^ Cherdantseva Y. and Hilton J.: “Information Security and Information Assurance. The Discussion about the Meaning, Scope and Goals”. In: Organizational, Legal, and Technological Dimensions of Information System Administrator. Almeida F., Portela, I. (eds.). IGI Global Publishing. (2013)
^ ISO/IEC 27000:2009 (E). (2009). Information technology – Security techniques – Information security management systems – Overview and vocabulary. ISO/IEC.
An ninh Internet là một phần của an ninh máy tính, đặc biệt liên quan đến Internet, thường liên quan đến bảo mật trình duyệt mạng nhưng cũng về an ninh mạng máy tính ở mức chung chung hơn là khi áp dụng cho các ứng dụng hoặc hệ điều hành khác. Mục tiêu của nó là thiết lập các quy tắc và biện pháp để sử dụng chống lại các cuộc tấn công trên Internet.[1] Internet tiêu biểu cho một kênh không an toàn để trao đổi thông tin dẫn tới nguy cơ bị xâm nhập hoặc bị gian lận cao, chẳng hạn như tấn công giả mạo (phishing).[2] Các phương pháp khác nhau đã được sử dụng để bảo vệ việc truyền dữ liệu, bao gồm mã hóa và các kỹ thuật cơ bản.[3]
Đe dọa
Phần mềm độc hại
Một người dùng máy tính có thể bị lừa hoặc buộc phải tải phần mềm có ý định độc hại xuống máy tính. Phần mềm như vậy có nhiều dạng, chẳng hạn như virus, Trojan, Phần mềm gián điệp (spyware) và sâu máy tính.
Phần mềm độc hại (malware) là bất kỳ phần mềm nào được sử dụng để phá hoại hoạt động của máy tính, thu thập thông tin nhạy cảm hoặc truy cập vào các hệ thống máy tính cá nhân. Phần mềm độc hại được xác định bởi ý định độc hại của nó, hoạt động theo ý muốn của người dùng máy tính và không bao gồm phần mềm gây ra thiệt hại không chủ ý do thiếu sót. Thuật ngữ badware đôi khi được sử dụng và áp dụng cho cả phần mềm độc hại thực và phần mềm độc hại không chủ ý.
Một botnet là một mạng lưới các máy tính ma được điều khiển bởi một robot hoặc một bot thực hiện các hành vi độc hại quy mô lớn cho người tạo ra botnet.
Virus máy tính là các chương trình có thể tái tạo các cấu trúc hoặc các hiệu ứng của chúng bằng cách lây nhiễm vào các tệp hoặc cấu trúc khác trên máy tính. Ứng dụng thường có của virus là để chiếm một máy tính để ăn cắp dữ liệu.
Sâu máy tính là các chương trình có thể tự nhân bản khắp mọi nơi trong mạng máy tính, thực hiện các tác vụ độc hại.
Mã độc tống tiền (Ransomware) là một loại phần mềm độc hại hạn chế việc truy cập vào hệ thống máy tính mà nó lây nhiễm và yêu cầu một khoản tiền chuộc trả cho người tạo ra phần mềm độc hại để loại bỏ việc hạn chế.
Scareware là phần mềm lừa đảo, thường có lợi ích hạn chế hoặc không có, bán cho người tiêu dùng thông qua các hoạt động tiếp thị phi đạo đức nhất định. Cách tiếp cận bán hàng sử dụng lừa đảo phi kỹ thuật để gây sốc, lo lắng, hoặc nhận thức về một mối đe dọa, thường hướng vào một người dùng không nghi ngờ.
Phần mềm gián điệp đề cập đến các chương trình giám sát lén lút hoạt động trên hệ thống máy tính và báo cáo thông tin đó cho người khác mà không có sự đồng ý của người dùng.
Trojan horse, thường được gọi là Trojan, là thuật ngữ chung cho phần mềm độc hại giả vờ là vô hại, do đó người dùng sẵn sàng cho phép nó được tải xuống máy tính.
Tham khảo
^ Gralla, Preston (2007). How the Internet Works. Indianapolis: Que Pub. ISBN0-7897-2132-5.
^ Rhee, M. Y. (2003). Internet Security: Cryptographic Principles,Algorithms and Protocols. Chichester: Wiley. ISBN0-470-85285-2.
^ An example of a completely re-engineered computer is the Librem laptop which uses components certified by web-security experts. It was launched after a crowd funding campaign in 2015.
Chiến tranh mạng (tiếng Anh: Cyberwarfare) hay còn gọi là Chiến tranh thông tin là việc áp dụng công nghệ thông tin ở mức độ cao trong các mặt hoạt động chỉ huy – quản lý, tình báo, điều khiển, chiến tranh điện tử, kinh tế, tâm lý, xã hội,…; là một loại hình tác chiến phổ biến trong chiến tranh hiện đại; đó là tổng hợp những hoạt động và biện pháp nhằm tung tin gây rối loạn, tác động vào các cơ cấu ra quyết định; nhằm làm cho đối phương có các hành động sai lầm hay có các quyết định vô hại có lợi cho ta, đồng thời ngăn cản hoạt động thu thập, xử lý thông tin của đối phương.
Mục đích của chiến tranh mạng là kiểm soát, điều khiển, tác động lên các quyết định và làm suy giảm hoặc phá huỷ các hệ thống mạng-viễn thông của đối phương trong khi bảo vệ các hệ thống của mình và đồng minh chống lại những hành động như vậy.
Mục tiêu tấn công của chiến tranh mạng là các cơ sở hạ tầng thông tin (quân sự, tài chính, ngân hàng, mạng máy tính quốc gia,…). Virus máy tính có thể làm cho hệ thống vũ khí của đối phương bị mất điều khiển, và cũng có thể phá hoại cơ sở hạ tầng kinh tế của quốc gia, làm cho nền kinh tế rối loạn, hay làm tắc nghẽn mạng thông tin. Hacker được đánh giá là thành phần cốt lõi cũng như là nguy hiểm nhất trong chiến tranh mạng. Hacker tập trung vào việc đánh cắp các bí mật quân sự; sử dụng virus tấn công các hệ thống máy tính làm cho hệ thống này bị tê liệt không thể đưa ra các quyết định đúng.[1]
Các hình thức của chiến tranh mạng
Chiến tranh trong chỉ huy và điều khiển (command and control warfare C2W);
Chiến tranh tình báo (information-based warfare – IBW);
Chiến tranh điện tử (electronic warfare – EW);
Chiến tranh tâm lý (psychological warfare – PSYW);
Chiến tranh tin tặc hacker (hacker warfare);
Chiến tranh thông tin kinh tế (economic information warfare – EIW);
Theo các thống kê nhiều năm liên tiếp,Trung Quốc luôn là một trong 10 quốc gia khởi phát tấn công mạng hàng đầu trên giới.[3] Nhiều nhóm hacker tại Trung Quốc thường xuyên thưc hiện các vụ tấn công mạng táo tợn đe dọa đến hệ thống hạ tầng-an ninh mạng tại nhiều quốc gia cũng như tiến hành các hoat động đánh cắp thông tin thẻ tín dụng, phát tán mã độc.[4] Năm 2016, nhóm hacker 1937CN của Trung Quốc đã tiến hành tấn công mạng các sân bay tại Việt Nam, đánh cắp thông tin của hơn 400.000 khách hàng.[5] Trung Quốc cũng là quốc gia có nhiều sĩ quan nằm trong danh sách truy nã tội phạm mạng đặc biệt của FBI.[6][7] Từ năm 2016, các cơ quan tình báo và chiến tranh mạng chủ yếu của quân đội Trung Quốc đã được biên chế vào lực lượng chi viện chiến lược mới thành lập. Quân đội Trung Quốc hiện nay cũng đang thúc đẩy tiến trình nhất thể hóa chiến tranh điện tử – mạng internet và có thể quản lý tốt hơn việc sử dụng vệ tinh (cho hoạt động thu thập, giám sát và trinh sát tình báo).[8]
Một số cuộc chiến tranh mạng tiêu biểu
“Chiến tranh thông tin của Mỹ – từ Kosovo đến Nam Ossetia”: trong cuộc chiến ở Nam Ossetia xảy ra năm 2008, ngoài cuộc đọ súng trên chiến trường, thế giới được chứng kiến một cuộc chiến tranh khác có phần còn quyết liệt hơn, gay cấn hơn giữa các bên – đó là cuộc “chiến tranh thông tin” giữa Mỹ và các nước phương Tây với Nga, mà ưu thế vượt trội không thuộc về Nga.[2]
Trong văn hóa đại chúng
Khi mạng Internet bắt đầu được sử dụng phổ biến, nhiều tác phẩm văn hóa đại chúng như phim ảnh, tiểu thuyết viễn tưởng,… đã ra đời để khắc họa bối cảnh chiến tranh mạng trong thế giới hiện đại. Yếu tố chiến tranh mạng trở thành vấn đề không thể thiếu trong phần lớn các bộ phim hành động, gián điệp, âm mưu chính trị. Một số tác phẩm tiêu biểu của điện ảnh Hollywood về chiến tranh mạng được nhiều khán giả đánh giá cao là:
^ Nguuyễn Lãm (25/08/2009). “Chiến tranh thông tin”. Tạp chí Thế giới Vi Tính – PC World VN. Bản gốc lưu trữ 25/08/2009. Truy cập 26/11/2010. Kiểm tra giá trị ngày tháng trong: |archivedate=, |date=, |accessdate= (trợ giúp)
Thời đại của Internet of Thing – vạn vật kết nối – đồng nghĩa với việc các hacker có thể kiểm soát bất kỳ thứ gì có kết nối, từ thiết bị y tế cho đến các máy móc công nghiệp. Sẽ có nhiều tình huống trớ trêu xảy ra nếu đồ chơi tình dục bị hacker tấn công.
Đồ chơi tình dục thông minh càng mất an toàn
Phần lớn những người sử dụng máy tính và điện thoại di động đều ít nhiều từng biết đến một số khái niệm về an ninh mạng, chẳng hạn như hacker – những kẻ chuyên bẻ khóa để xâm nhập và khai thác các hệ thống mạng. Trong thời đại ngày nay, khi ngày càng có nhiều thiết bị kết nối với mạng Internet, không chỉ có máy tính và điện thoại thông minh mới là đối tượng dễ bị tấn công. Đồ chơi tình dục có thể là một trong các đích ngắm hấp dẫn.
Hacker – tệ nạn ngày càng trở nên tai hại trong kỷ nguyên IoT. Ảnh: INT
Trong một buổi họp báo gần đây tại Hội chợ công nghệ CeBIT, hãng phần mềm Trend Micro đã trình diễn cách thức xâm nhập từ xa để khởi động một chiếc máy rung lớn màu hồng chỉ bằng một vài dòng mã hóa. Không ít khách hàng phải cười ngượng khi chứng kiến buổi biểu diễn của Trend Micro. Viễn cảnh “món đồ” của mình bị người khác bí mật chiếm đoạt và điều khiển đương nhiên có thể tạo ra một hoàn cảnh vừa trớ trêu vừa đáng sợ.
Thế nhưng với đồ chơi tình dục thông minh, câu chuyện sẽ không chỉ đơn giản như một chiếc máy rung. “Nếu tôi truy cập được vào công nghệ nền, tôi hoàn toàn có thể tống tiền nhà sản xuất” – Raimund Genes, Giám đốc công nghệ của Trend Micro tuyên bố.
Joe Bursell – đại diện công ty kiểm tra an ninh Pen Test, đơn vị đã tiến hành nghiên cứu thị trường đồ chơi tình dục thông minh trong năm 2015 – nhận định: “Bước phát triển lớn tiếp theo của đồ chơi tình dục sẽ là các thiết bị cho phép quan hệ tình dục từ xa (cyberdildonics), giúp con người chia sẻ cảm giác như thật thông qua môi trường Internet”. Nếu kẻ xấu can thiệp được vào quá trình trao đổi thông tin của thiết bị, họ hoàn toàn có thể quay phim và dễ dàng truy nhập vào các đoạn phim được quay.
Món đồ chơi mà Trend Micro dùng trong buổi trình diễn thuộc về hãng Lovense, có khả năng thực hiện các hoạt động thoại từ xa có hình ảnh (videoconferencing). Đương nhiên, Lovense cũng nhanh chóng có phản ứng. Thế nhưng giải thích là một chuyện, còn khiến người dùng an tâm hay không lại là một câu chuyện khác.
Mối đe dọa cho cả nền kinh tế thế giới
Thời đại của vạn vật kết nối đồng nghĩa với việc các hacker có thể kiểm soát bất kỳ thứ gì có khả năng nối mạng Internet, từ thiết bị y tế đến máy móc công nghiệp. Đức – nước chủ nhà của Hội chợ CeBIT và cũng là quốc gia có nhà sản xuất đoạt giải thưởng cao nhất – là nơi chứng kiến các “mỏ vàng” dành cho hacker.
Theo Báo cáo an ninh công nghệ thông tin mới nhất của Chính phủ Đức, tình trạng tấn công các trang web sản xuất công nghiệp đang tăng lên. Chẳng hạn, trong năm 2014, một nhà máy thép của Đức đã chịu những “thiệt hại quy mô lớn” do một cuộc tấn công vào hệ thống mạng của nhà máy.
Mấy tuần gần đây, một số bệnh viện của Đức cũng đã hứng chịu các cuộc tấn công từ Ransomware – một phần mềm virus có khả năng mã hóa dữ liệu của các máy móc bị xâm nhiễm và yêu cầu người dùng trả tiền để được nhận một mã điện tử giúp mở khóa thiết bị của mình.
Năm 2015, Chính phủ Đức cũng bị “dằn mặt” khi hacker tấn công hệ thống mạng của hạ viện. Cuộc tấn công khiến hệ thống mạng này phải đóng cửa trong vài ngày và làm mất một lượng dữ liệu lớn.
Để đối phó với mối nguy ngày càng tăng, tháng 7/2015, Đức thông qua đạo luật về an ninh công nghệ thông tin. Luật này yêu cầu 2.000 nhà cung cấp cơ sở vật chất thiết yếu phải thực hiện các quy chuẩn tối thiểu về an ninh và báo cáo các vi phạm nghiêm trọng. Nếu không thực hiện, nhà cung cấp dịch vụ sẽ bị trừng phạt.
Theo tập đoàn vận động chính sách công nghệ thông tin Bitkom, trong 2 năm trở lại đây đã có tới 51% số công ty Đức trở thành nạn nhân của gián điệp số, nạn ăn cắp dữ liệu hoặc phá hoại ngầm. Nguy cơ được xem là cấp thiết hơn đối với các nhà sản xuất cỡ vừa và nhỏ, còn gọi là nhóm Mittelstand. Hai phần ba trong số các hãng này đã có báo cáo về những cuộc tấn công.
Theo Báo cáo an ninh mạng của hãng Deutsche Telekom, khi các công ty chuyển sang kết nối máy móc của mình với mạng Internet để thực hiện hoạt động thu thập và trao đổi dữ liệu và điều khiển máy móc của mình từ xa, 84% số nhà quản lý nhận định rằng rủi ro sẽ tăng cao.
Bắt nguồn từ ký ức về hoạt động gián điệp thông tin của chính phủ do lực lượng cảnh sát mật Stasi dưới thời Đông Đức và lực lượng Gestapo dưới thời Đức quốc xã, người Đức luôn tỏ ra thận trọng trong việc bảo vệ dữ liệu. Tuy nhiên theo Dirl Arendt – Giám đốc quan hệ công chúng tại hãng an ninh mạng Israel Check Point Software Technologies, cần quan tâm hơn nữa đến vấn đề an ninh dữ liệu.
Nhân viên trong các công ty cần có ý thức về các mối nguy hiểm xảy ra khi mở các tệp tin đáng ngờ, không khác gì chuyện khi lái xe phải chú ý đến các biển báo tốc độ ven đường.
“Chúng ta thường chỉ bừng tỉnh khi thiệt hại trở thành sự đã rồi. Chúng ta đã có đủ ví dụ về thiệt hại. Các bước tiếp theo giờ sẽ là hành động để trở lại trạng thái an toàn” – Aremdt tuyên bố.
Thông qua kỹ thuật này, hacker có thể ăn trộm dữ liệu với tốc độ khoảng 100 bit mỗi giây từ các hệ thốngg máy tính cô lập.
Nhà nghiên cứu bảo mật Mordechai Guri, người đứng đầu bộ phận R&D của trường Đại học Ben-Gurion, Israel, nổi tiếng với hàng loạt nghiên cứu về các kỹ thuật ăn trộm dữ liệu theo những cách không ai ngờ tới. Mới đây nhất Guri cùng nhóm của mình đã cho thấy khả năng ăn trộm dữ liệu nhạy cảm trong một máy tính cô lập, không có kết nối mạng mà cũng không có khe cắm thẻ Wifi.
Được các nhà nghiên cứu đặt tên là Air-Fi, kỹ thuật này sẽ biến thanh RAM thành một bộ phát dữ liệu không dây và truyền dữ liệu trong máy tính ra bên ngoài. Kỹ thuật này có thể không mấy đáng ngại đối với người dùng thông thường, nhưng có thể là mối đe dọa nguy hiểm đối với nhà quản trị của những hệ thống cô lập.
Các hệ thống cô lập này thường là những máy tính nằm trong mạng nội bộ, mà không có truy cập internet từ bên ngoài. Các hệ thống này thường được sử dụng trong các mạng lưới của chính phủ, doanh nghiệp lớn hoặc trong giới quân sự để lưu trữ các dữ liệu nhạy cảm hoặc các tài sản trí tuệ.
Kỹ thuật tấn công Air-Fi
Kỹ thuật tấn công này xoay quanh một nguyên lý cơ bản là bất kỳ thiết bị điện tử nào cũng phát ra sóng điện từ khi có dòng điện chạy qua chúng.
Trong khi đó, Wifi cũng là một dạng sóng radio hay về bản chất, cũng là sóng điện từ. Do vậy, Guri cho rằng, những kẻ tấn công có thể cài một đoạn mã độc vào các máy tính cô lập để từ đó thao túng dòng điện trong thanh RAM máy tính, buộc nó phát ra các sóng điện từ với tần số tương tự như băng tần tín hiệu của Wifi thông thường (2.400 GHz).
Thông qua Air-Fi, kẻ tấn công có thể bắt một máy tính cô lập kết nối vớig thiết bị bên ngoài và làm rò rỉ dữ liệu
Trong nghiên cứu của mình với tựa đề Air-Fi: Generating Convert Wifi Signals from Air-Gapped Computers (Air-Fi: Tạo ra tín hiệu Wifi từ các máy tính cô lập), Guri đã chứng minh rằng, việc căn chỉnh thời điểm đọc ghi một cách hoàn hảo trên thanh RAM máy tính có thể làm bộ nhớ máy tính phát ra tần số điện từ tương đương với tín hiệu Wifi tương đối yếu.
Tín hiệu này sẽ làm các hệ thống cô lập kết nối với bất kỳ thiết bị nào có ăng ten Wifi, bao gồm smartphone, laptop, thiết bị IoT, smartwatch và nhiều thiết bị khác nữa. Điều đó làm mất đi tính cô lập của các hệ thống này, khiến nó có thể truyền những dữ liệu nhạy cảm ra các thiết bị bên ngoài.
Trong bài thử nghiệm của mình, Guri và nhóm nghiên cứu có thể buộc các dàn máy tính cô lập truyền dữ liệu với tốc độ 100 bit/s tới các thiết bị cách đó vài mét. Cho dù tốc độ này khá chậm so với các Wifi thông thường (có thể lên tới 100 Mbps, gấp 1 triệu lần so với tốc độ kể trên), nhưng nếu kẻ tấn công có đủ thời gian mình cần, lượng dữ liệu bị rò rỉ có thể vô cùng tai hại.
Cách thức tấn công của kỹ thuật này không chỉ hiếm có ai biết tới, mà ông Guri còn cho biết, kỹ thuật tấn công này là một trong những cách thức dễ thực hiện nhất khi kẻ tấn công không cần phải chiếm quyền admin trong hệ thống để cài đặt mã độc thao túng dòng điện qua thanh RAM.
00:01:15
Kỹ thuật ăn trộm dữ liệu bằng cách biến thanh RAM thành bộ phát Wifi
Hơn nữa, kỹ thuật tấn công này còn có thể áp dụng trên bất kỳ hệ điều hành nào, ngay cả trên các máy ảo.
Trong khi hầu hết các thanh RAM ngày nay có thể phát ra tín hiệu ở tần số 2.400 GHz, còn đối với các thanh RAM cũ hơn, kẻ tấn công sẽ cần ép xung để nó có thể đạt tới tần số mong muốn nhằm truyền dữ liệu ra bên ngoài.
Chính vì vậy, trong tài liệu của Guri, ông cũng đề cập đến nhiều phương pháp nhằm bảo vệ các hệ thống cô lập khỏi cuộc tấn công này. Một trong các biện pháp đó là lắp đặt thiết bị để chặn bất kỳ tín hiệu Wifi nào trong khu vực đặt các hệ thống cô lập.
Bên cạnh Air-Fi, Guri và nhóm của ông đã tìm ra hàng loạt kỹ thuật trích xuất dữ liệu từ những điều chẳng ai ngờ tới, ví dụ, ăn trộm dữ liệu từ hoạt động của đèn LED trên ổ HDD, từ tín hiệu điện từ không dây phát ra từ GPU, từ âm thanh do quạt tản nhiệt của GPU phát ra, từ sóng âm do hoạt động đọc ghi của ổ HDD phát ra, thậm chí cả từ luồng nhiệt phát ra từ các máy tính không có kết nối mạng …
Một chiến dịch hack thuê đã bị phát hiện đang sử dụng một loại mã độc chưa từng biết đến trước đây và tấn công vào các tổ chức tài chính ở khu vực Nam Á cùng các công ty giải trí trên toàn cầu.
Chiến dịch này được các nhà nghiên cứu Blackberry đặt tên là “CostaRicto“. Nó nhiều khả năng được điều khiển bởi các nhóm tin tặc APT thuê ngoài có sở hữu công cụ mã độc riêng biệt, VPN proxy phức tạp cùng khả năng SSH tunneling.
“Các mục tiêu của CostaRicto nằm rải rác trên khắp các quốc gia khác nhau từ châu Âu, châu Mỹ cho đến châu Á, châu Úc và châu Phi, nhưng phần lớn nạn nhân tập trung ở Nam Á (đặc biệt là Ấn Độ, Bangladesh, Singapore, và Trung Quốc). Điều này cho thấy tin tặc có thể đang sinh sống tại khu vực Nam Á, nhưng đang làm nhiệm vụ cho khách hàng từ khắp mọi nơi trên thế giới,” nhóm nhà nghiên cứu cho biết.
Bản thân cách thức hoạt động của chiến dịch tấn công này khá đơn giản. Trước khi bước đầu xâm nhập vào môi trường của mục tiêu thông qua các thông tin đăng nhập đánh cắp được, kẻ tấn công đã tiến hành thiết lập một SSH tunnel để tải xuống một backdoor và một trình tải payload có tên là CostaBricks. Trình tải này sau đó sẽ thực hiện một cơ chế máy ảo C ++ để giải mã và đưa bytecode payload vào bộ nhớ.
Bên cạnh việc quản lý các máy chủ C2 thông qua DNS tunneling, backdoor được phân phối bởi các trình tải nói trên còn là một tệp thực thi được biên dịch bằng C ++, và có tên là SombRAT. Nó được đặt theo tên của Sombra – một nhân vật hacker hư cấu trong trò chơi điện tử Overwatch.
Backdoor này được trang bị 50 lệnh khác nhau để thực hiện các tác vụ cụ thể (có thể được phân loại trong các chức năng lõi, tác vụ, cấu hình, chức năng lưu trữ, debug và chức năng mạng). Các tác vụ bao gồm từ việc đưa các DLLs độc hại vào bộ nhớ để liệt kê các file trong bộ nhớ cho đến việc trích xuất dữ liệu đã thu thập được về máy chủ do kẻ tấn công kiểm soát.
Có tổng cộng sáu phiên bản của SombRAT đã được phát hiện. Phiên bản đầu tiên bị phát hiện từ tháng 10 năm 2019, còn biến thể mới nhất thì được xác định vào đầu tháng 8 vừa qua. Điều này cho thấy backdoor đang đươc tích cực phát triển và cải tiến để mở rộng phạm vi tấn công và tránh bị phát hiện.
Mặc dù danh tính của những kẻ tấn công đứng sau chiến dịch vẫn chưa được xác định, nhưng các nhà nghiên cứu đã phát hiện ra một trong những địa chỉ IP mà các tên miền backdoor đăng ký có liên kết chặt chẽ với một chiến dịch phishing trước đó của nhóm tin tặc Nga APT28. Do đó, nhiều khả năng các chiến dịch lừa đảo phishing đã thuê ngoài các hacker nhằm thế thân cho kẻ tấn công thực sự.
Đây là chiến dịch hack thuê thứ hai được Blackberry phát hiện. Ở lần đầu tiên, công ty đã lần ra dấu vết của loạt hoạt động tấn công của một nhóm tin tặc có tên là Bahamut. Chúng bị phát hiện đang khai thác các lỗ hổng zero-day, mã độc, và thực hiện loạt chiến dịch lan truyền thông tin sai lệch để theo dõi các mục tiêu ở Trung Đông và Nam Á.
“Với thành công của mô hình ransomware-as-a-service gần đây, không có gì ngạc nhiên khi thị trường tội phạm mạng cung cấp thêm các chiến dịch gián điệp và lừa đảo phishing vào danh sách dịch vụ của mình,” các nhà nghiên cứu của Blackberry cho biết.
“Việc thuê ngoài các hacker để triển khai tấn công hoặc một số phần nhất định trong chuỗi tấn công giúp kẻ tấn công đứng sau có được một số lợi ích nhất định. Đầu tiên, việc hack thuê giúp tiết kiệm thời gian và tài nguyên của kẻ tấn công cũng như làm đơn giản hóa quá trình tấn công, và quan trọng nhất nó giúp tăng thêm một lớp bảo vệ giúp đánh lạc hướng cơ quan chức năng, và bảo toàn được danh tính thực của kẻ tấn công đứng sau.”
Tâm sự của hacker vừa ra tù sau 12 năm: ‘Tôi hỏi con gái Hashtag là gì. Nó đáp lại: Bố không phải hacker hay cái gì đó tương tự à?’
Sau 10 năm cô lập, Jesse McGraw – người từng sáng lập kiêm lãnh đạo nhóm tin tặc Electronik Tribulation Army (ETA) – cho biết bản thân có cảm giác như bước ra từ cỗ máy thời gian sau khi chứng kiến thế giới công nghệ đã phát triển đến mức nào.
“Thế giới không giống như cách tôi nhớ nó, và chắc chắn không phải là thứ mà tôi đã bỏ lại khi bị bắt năm 2009 vì tội cài đặt botnet và các chương trình truy cập từ xa nhạy cảm trên một loạt hệ thống phòng khám”, Jesse McGraw (hay còn gọi là GhostExodus) nhớ lại.
Khi đó, anh mới 26 tuổi và thừa nhận đã hack hệ thống máy tính tại bệnh viện nơi mình làm việc, rồi bị kết án 110 tháng tù. McGraw cũng trở thành hacker đầu tiên trong lịch sử nước Mỹ bị kết án vì tấn công và làm hỏng một hệ thống mạng. 12 năm dài đã trôi qua, nhưng trong tâm trí của McGraw, anh chỉ cảm thấy như mới ngày hôm qua.
“Bạn phải hiểu ý nghĩa của việc trở thành tù nhân ở Mỹ. Hiện tại có khoảng 2,3 triệu người bị giam giữ ở ‘Vùng đất Tự do’ và truy cập Internet không phải là một tiện nghi được cung cấp bởi Cục Nhà tù”,McGraw tâm sự
Nơi thông tin là một món quà xa xỉ
Truy cập vào hệ thống thông tin, hay nói đơn giản là nắm bắt được chuyện gì đang xảy ra bên ngoài bức tường dây thép gai, lâu nay vẫn bị hạn chế bởi chính các tờ báo, tạp chí và chương trình truyền hình được ban quản lý nhà tù phê duyệt. Hầu hết các tù nhân tại Mỹ đều có quyền truy cập máy tính, nhưng nó sử dụng chương trình kiểm soát truy cập chuyên biệt cho phép người dùng chỉ được gửi email cho các liên hệ được chấp thuận, với giá 0,05 xu một phút. Tuy nhiên, với việc vào tù vì tội làm hacker, đây cũng không phải đặc quyền mà McGraw được sở hữu.
Vào mùa hè năm 2011, anh đã kháng án. Nhưng McGraw khi đó không có cách nào hợp lý để liên hệ với luật sư của mình. Vì vậy, anh đã thỏa thuận với một tù nhân khác để sử dụng máy tính của anh ta, để có thể gửi và nhận email.
Nhưng mọi thứ không qua mắt được Dịch vụ Điều tra Đặc biệt (SIS) của các nhà tù. Và tréo ngoe hơn khi đúng lúc này, người bạn tù quay trở lại phản bội anh, nói rằng không biết McGraw sử dụng tài khoản của mình. SIS ngay lập tức chắc chắn rằng anh đã hack nó.
“Sau đó, tôi đã bị giam giữ 13 tháng trong một đơn vị riêng với các biện pháp an ninh tối đa mà không có thủ tục tố tụng, trong khi vụ việc được chuyển đến Cục Điều tra Liên bang. Nơi đây các tù nhân bị cắt luôn việc tiếp cận các phương tiện truyền thông, khách thăm và luật sư”, McGraw nhớ lại.
Với McGraw, ký ức về nơi đó của anh là ba cơn mưa một tuần, một phòng giam không điều hòa, quạt hoặc hệ thống thông gió đầy đủ. Mùa hè năm đó, nhiệt độ trong phòng giam của anh lên tới 125 độ F (khoảng 50 độ C).
“Bạn có thể tưởng tượng ở thời điểm bây giờ, không có quyền truy cập vào các thông tin hiện tại trong hơn một năm? Đó sẽ là vấn đề mà bạn ít lo lắng và quan tâm nhất, nếu đang bị giam cầm ở cái nơi mà tôi từng ở”, anh tâm sự.
Một hacker không còn khả năng kiểm soát máy tính
“Sau khi chấp hành án tù dài, tôi đã chứng kiến tận mắt công nghệ đã phát triển đến mức nào và cảm giác như bước ra khỏi cỗ máy thời gian”, anh chia sẻ.
Trong quá khứ, McGraw được biết tới như một hacker tên tuổi, người sáng lập và lãnh đạo của nhóm tin tặc được gọi là Electronik Tribulation Army. Điều đó đồng nghĩa với việc anh từng song hành với các tiện ích, khả năng khai thác và các xu hướng công nghệ mới nhất trong xã hội. Anh cũng là người có khả năng đảo ngược các phần mềm độc hại, thực hiện các tình huống phản ứng trước sự cố và hack hầu hết mọi thứ không được giám sát. Nhưng hiện tại, mọi thứ hoàn toàn trái ngược.
“Tôi đã đọc về những tiến bộ công nghệ trên báo và tạp chí khi tôi thụ án, nhưng khi nói về nó, tôi bây giờ như là một người nước ngoài, một người ngoài cuộc đối với chính những điều tôi từng nắm vững. Nếu nói rằng giáo viên bây giờ đã trở thành học sinh thì vẫn còn chưa miêu tả nó đầy đủ”, anh viết.
Gần đây nhất, McGraw đã được tặng một máy tính xách tay hiệu Dell Inspiron mới cóng. Khi mở nó ra khỏi bao bì, anh cảm thấy nó trông giống như một người bạn vô cùng quen thuộc trong quá khứ. Nhưng ngay khi khởi động xong, thứ chào đón anh lại là Windows 10, một thứ vô cùng lạ lẫm. Bởi ngày hôm qua, với anh, bản Windows 7 beta vừa được phát hành.
“Windows 10 là khó hiểu và kỳ lạ với tôi. Nó có một hệ thống tập tin mới và tôi thậm chí không tò mò một chút nào về cách thức hoạt động của nó. Tôi chỉ muốn Windows XP của tôi quay trở lại với tùy chọn khởi động kép Ubuntu Linux và Backtrack 3”, cựu hacker này than thở.
Giải pháp duy nhất sau đó khiến anh có thể vui vẻ trở lại dường như việc tải xuống Ubuntu, gắn nó vào ổ USB và cài đặt nó. Nhưng cái kết không giống như McGraw mong đợi. Windows 10 không sử dụng BIOS, bởi đã thay thế nó bằng UEFI (Giao diện firmware mở rộng hợp nhất), một tùy chọn khởi động an toàn để xác thực các chương trình trước khi cho phép chúng chạy. Và đó là lý do anh bỏ cuộc bởi không muốn lãng phí thêm hai ngày nữa của cuộc đời để cố gắng cài đặt lại hệ điều hành yêu thích của mình.
“Windows đã nắm quyền kiểm soát tất cả. Tôi không còn kiểm soát máy tính được nữa và tôi ghét điều đó. Tôi có thể dành hàng giờ trên Google để khắc phục sự cố khố xử này, nhưng nó chẳng đi tới đấu. Mỗi lần thử là một lần tôi bị đánh bại”,anh nói.
Những tiêu chuẩn mới
Những điều tương tự khác cũng đã thay đổi kể từ khi tôi bị giam giữ. Tôi đã phải hỏi cô con gái mười hai tuổi của mình rằng: Hashtag (#) là gì. Điều đó khá xấu hổ.
“Bạn không phải là một hacker hay cái gì đó tương tự sao?”, nó hỏi lại tôi. Đó là một đòn cuối cùng, giáng vào cái tôi đang hấp hối của chính tôi.
Rất nhiều thứ đã thay đổi kể từ khi tôi thoát khỏi “cỗ máy thời gian”. Ví dụ, thời của tôi, thuê một hacker được coi là điều cấm kỵ. Đó là “vùng nguy hiểm”. Bây giờ có vẻ như mọi hacker đều có thể được thuê, đến mức trở thành một hacker đã trở thành một loại chuẩn mực, tốt và xấu. Tiền thưởng cho việc tìm lỗi đã trở thành một nguồn thu nhập hợp pháp cho nhiều người, khi các công ty cấp phép cho tin tặc kiểm tra tính toàn vẹn trong hệ thống mạng của họ để nhận được một khoản tiền lớn.
Tin tặc thậm chí còn được tôn vinh một cách hùng hồn trong các bộ phim, sách và trò chơi điện tử. Nhiều tin tặc như Mr.Robot trên phim truyền hình thậm chí còn được miêu tả là anh hùng thay vì nhân vật phản diện. Các chính phủ trên toàn cầu đang tự vũ trang với những đội quân kỹ thuật số, binh lính trên mạng và cả những nhóm phá hoại.
Sự gia tăng của các cuộc tấn công mạng phá hoại đã trở nên phổ biến. Nó trở thành cách thức mới của mọi thứ. Khi tôi thăm dò trên web và quan sát thế hệ tin tặc mới này, tôi thấy các cá nhân đã mất liên lạc với “tinh thần hack” thực sự. Giờ họ được thúc đẩy bởi lòng tham, sự trả thù và sự tức giận. Sự tò mò vô hại, bản chất của một hacker, đã trở thành quá khứ.
‘Một thế giới tôi không còn cảm thấy kết nối’
Trong khi McGraw đang luyến tiếc về những điều quen thuộc của quá khứ, thế giới vẫn tiến về phía trước bằng những bước nhảy vọt. Dưới đây là một số điều mà anh đã quan sát được từ góc nhìn bên ngoài của thế giới mới đầy thú vị này:
Bitcoin, tiền điện tử đầu tiên đã được giới thiệu ra thế giới. Trong khi tôi vẫn không chắc chắn làm thế nào để có được Bitcoin hoặc cách sử dụng chúng.
Điện thoại thông minh xuất hiện vào năm 2007 nhưng bắt đầu thay thế điện thoại nắp gập vào năm 2009. Tôi khá hiểu biết về chiếc Samsung Galaxy A10e của mình. Tuy nhiên, tôi không thể tìm ra cách root nó. Tôi nhớ lần đầu tiên thấy một chiếc điện thoại thông minh được quảng cáo trên truyền hình. Đây là điều ngu ngốc nhất! Khi đó tôi đã hét vào TV rằng: “Ai muốn đặt những ngón tay dính đầy dầu mỡ của mình trên một màn hình như vậy?” Rõ ràng là bây giờ mọi người đều muốn. Bao gồm cả tôi.
Truyền thông mã hóa đầu cuối đã phổ biến khi nhận thức xã hội bắt đầu phát triển theo hướng sử dụng các công cụ như Tor và các nền tảng truyền thông được mã hóa để duy trì khả năng ẩn danh của mình trên Internet.
Trang web mạng xã hội Myspace đã rơi xuống vực thẳm. Chủ nghĩa thực dụng dường như là mặc định ở mọi nơi trong xã hội hiện nay.
Trojan trong ngân hàng trở thành một dịch bệnh. ZeuS, SpyEye, BlackHole và BackSwap là những cái tên đầy mới lạ. Tính khả dụng của các địa chỉ IPv4 nhanh chóng cạn kiệt khi có nhiều thiết bị kết nối với Internet. Đó là ngày tận thế như chúng ta đã biết.
Một tướng quân Iraq đã bị tấn công bởi một máy bay không người lái điều khiển từ xa bằng phần mềm. Phong trào WikiLeaks bùng nổ..
Edward Snowden, người đã sao chép và rò rỉ thông tin tối mật từ Cơ quan An ninh Quốc gia (NSA), đã rò rỉ từ 9.000 đến 10.000 tài liệu tuyệt mật cho các nhà báo, phơi bày một chương trình gián điệp khổng lồ có tên Prism.
Stuxnet – virus máy tính đáng sợ và nguy hiểm nhất từ trước tới nay đã xuất hiện. Nó làm tê liệt máy ly tâm hạt nhân của Iran, sau đó bắt đầu lan rộng ra nơi khác.
Các nhà quảng cáo lớn đang sử dụng siêu dữ liệu để thu thập và ánh xạ mọi hành vi trên Internet của người dùng cụ thể, để cho các mục đích tiếp thị nội dung. Tôi cảm giác nó giống như việc mình từng làm, đánh cắp dữ liệu của mọi người. Nhưng đó lại là một tội ác khi tôi làm điều đó.
Facebook và Google đã ăn sâu vào các hoạt động hàng ngày của người dùng web đến nỗi các ứng dụng và dịch vụ không liên quan đến họ giờ đây có các tùy chọn để đăng nhập hoặc đăng ký bằng thông tin đăng nhập Google hoặc Facebook.
Smarthome và xe thông minh đang trở nên phổ biến. Với tất cả các thiết bị được kết nối không dây thông qua một thiết bị chỉ huy và điều khiển duy nhất, chắc chắn đó là tương lai của tin tặc. Đồng hồ thông minh và nhẫn thông minh? Tôi không biết nói gì nữa.
Hacker ngày nay đã không còn hoạt động giống như nhiều năm về trước.
Thực tế ảo trở thành thứ có giá cả phải chăng cho người tiêu dùng hàng ngày, ai cũng giao tiếp thuận tiện với điện thoại thông minh và máy chơi game video.
Trợ lý ảo Alexa của Amazon có thể là nhân chứng của một vụ giết người. Một thẩm phán đã ra lệnh cho Amazon bàn giao các bản ghi âm. Vâng, nó luôn luôn lắng nghe. Luôn luôn ghi âm.
Máy bay không người lái trở nên rất phổ biến. Từ đồ chơi cho tới sản phẩm thương mại, rồi thiết bị hỗ trợ của cảnh sát.
Ransomware được hồi sinh từ quá khứ. Các tin tặc bắt đầu xâm chiếm máy tính của người dùng với hành vi tống tiền và làm hỏng dữ liệu cá nhân để làm giàu một cách nhanh chóng.
Trí tuệ nhân tạo đã tạo ra một bước nhảy vọt. Tôi đã xem một video trên Youtube có nội dung là Will Smith nói chuyện với một robot có tên Sophia.
Các chính phủ bắt đầu cho công khai các hội nghị hacker hàng năm như Black Hat và DefCon trong nỗ lực tuyển mộ tin tặc để bảo vệ không gian mạng.
Và vào một thời điểm nào đó, những thay đổi quan trọng với HTML5 đã xảy ra.
“Hình ba chiều. Nhà thông minh. Xe tự lái. Máy bay không người lái. Tiền điện tử. Metadata. Vũ khí ảo….. Tôi bước chân ra khỏi cỗ máy thời gian của mình và tiến vào một thế giới mà tôi không còn cảm thấy được kết nối”, McGraw chia sẻ.
Một tương lai không chắc chắn
Đối với McGraw, đây là một tương lai không chắc chắn. Anh cho biết mình không thực sự thấy được sự tương tác có ý nghĩa giữa con người với nhau nữa. Với anh, giờ chỉ còn một xã hội bị phân cách một cách khó tin bởi những người thích selfie, bởi điện thoại thông minh và các công nghệ tương tự. Và anh thường cảm thấy bực bội khi cố gắng tìm ra vị trí của mình ở giữa thế giới đầy các kết nối mới này, đơn giản chỉ vì không cảm thấy tự nhiên khi tham gia vào sự phát triển và tiến hóa trong đó.
“Tôi cảm thấy mình đang ở phía bên kia của tấm gương, chờ đợi được thả ra xã hội một lần nữa, chỉ vì tôi không còn hiểu thế giới mới này”, anh nói.
