[Hack SolarWinds] Một vụ hack sững sờ và run rẩy


Bất kể vụ tấn công nhắm vào Công ty giải pháp công nghệ SolarWinds (Texas) có phải do Nga đứng sau như cáo buộc của Washington hay không thì chiến dịch này được chính các chuyên gia công nghệ Mỹ thừa nhận là quá thần sầu và người ngoại đạo cũng có thể theo dõi như một bộ phim ly kỳ.

 Hackers lurking in the internet

Nửa đầu năm 2020, khách hàng sử dụng phần mềm Orion, một công cụ quản trị hệ thống mạng rất phổ biến tại Mỹ do SolarWinds phát triển, nhận được thông báo cập nhật định kỳ.

Ở thời “Internet vạn vật”, khi lò vi sóng cũng cần được cập nhật phần mềm, đây là chuyện quá sức bình thường. Vì thế mà gần 20.000 người dùng Orion khi đó đã click “Đồng ý cập nhật” không cần nghĩ. 

Chính họ, giới công nghệ và cả chính quyền Washington, không ngờ bản cập nhật gần như mang tính thủ tục này lại là khởi đầu cho một vụ tấn công tin tặc có độ tinh vi và phức tạp ở quy mô mà người Mỹ chưa từng chứng kiến, và cũng không tài nào lường trước được.

Con ngựa thành Troy

Một nhóm tin tặc mà Mỹ cáo buộc nhận chỉ đạo từ cơ quan tình báo Nga (Matxcơva dĩ nhiên chối phăng) đã lợi dụng bản cập nhật để đưa mã độc vào phần mềm Orion và sau đó sử dụng đoạn mã gián điệp này để tiến hành một cuộc tấn công mạng quy mô lớn nhắm vào các mục tiêu trọng yếu.

“Chúng tôi ước tính khoảng 18.000 (khách hàng) đã tải bản cập nhập có chứa đoạn mã này từ tháng 3 đến tháng 6-2020” – Sudhakar Ramakrishna, chủ tịch kiêm CEO SolarWinds, thừa nhận với Đài NPR.

Tuy nhiên, Ramakrishna cho rằng nhóm tin tặc chỉ mới xâm nhập thành công vào hệ thống của khoảng… 100 công ty và tầm chục cơ quan chính phủ có sử dụng phần mềm Orion. Danh sách bao gồm các tên tuổi như Microsoft, Intel, Cisco, Bộ Tài chính, Bộ Tư pháp và năng lượng, và Lầu Năm Góc. 

Đến cả Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) thuộc Bộ An ninh nội địa, đơn vị có nhiệm vụ bảo vệ các hệ thống mạng máy tính liên bang khỏi các cuộc tấn công mạng, cũng trở thành nạn nhân trong vụ hack lịch sử.

Để hình dung mức độ ảnh hưởng của vụ tấn công, cần hiểu Orion là phần mềm cho phép bộ phận IT của một cơ quan, đơn vị giám sát toàn bộ hệ thống mạng – từ máy chủ, tường lửa cho đến các thiết bị ngoại vi như máy in – từ một khu vực điều khiển trung tâm. Nói cách khác, Orion lúc này chẳng khác gì một chú ngựa thành Troy mang địch quân vào thẳng cơ quan đầu não của phe ta.

Đài NPR, sau nhiều tháng trời ngâm cứu hồ sơ vụ tấn công và phỏng vấn hàng chục nhân vật có liên quan, rút ra kết luận không thể khác được rằng đây là “một cuộc tấn công không giống bất kỳ cuộc tấn công nào khác, được tung ra bởi một kẻ thù tinh vi nhắm vào điểm yếu chí tử của cuộc sống số: bản cập nhật phần mềm định kỳ”.

Ông Adam Meyers, phó chủ tịch Công ty an ninh mạng CrowdStrike và là người đứng đầu nhóm chuyên gia Mỹ phụ trách điều tra vụ tấn công, cũng phải thốt lên rằng “tuyệt kỹ” mà nhóm tin tặc sử dụng là “phi thường” và là “thứ điên rồ nhất mà tôi từng chứng kiến”.

Đây là nhận xét có trọng lượng, đến từ người đã điều tra nhiều vụ hack đình đám khác như vụ đột nhập máy chủ Hãng phim Sony Pictures năm 2014 hay sự cố rò rỉ email của Đảng Dân chủ trước thềm cuộc bầu cử tổng thống Mỹ năm 2016.

 Ảnh: Getty Images

Nghệ thuật xâm nhập

Chiến dịch tấn công nhắm vào SolarWinds bắt đầu với một đoạn mã cực kỳ đơn giản mà nhóm của Meyers phát hiện đã tồn tại trong phần mềm Orion từ tận tháng 9-2019. Đoạn mã này không có tác dụng gì khác ngoại trừ kiểm tra xem máy tính của nạn nhân đang sử dụng bộ xử lý 32-bit hay 64-bit rồi trả về số 0 hoặc 1 tương ứng. Đoạn mã thực chất chỉ làm phép thử mà nhóm hacker dùng để kiểm chứng liệu mã nguồn đã bị can thiệp có thể đến tay người dùng cuối được hay không. Và thực tế là có.

Sau khi chứng minh khả năng tấn công là có, nhóm tin tặc này không vội ra tay ngay; trái lại, họ không có động thái gì thêm trong suốt 5 tháng tiếp theo. Sự kiên nhẫn và thận trọng này được cho là hiếm thấy với tội phạm công nghệ cao.

Khi trở lại vào tháng 2-2020, những kẻ tấn công đã mở một “cửa hậu” (backdoor) – phương thức giúp chúng đột nhập và cài cắm vào phần mềm đoạn mã độc ngay trước khi nó được “đóng gói” và gửi đến người dùng dưới dạng bản cập nhật.

Nghe có vẻ đơn giản, nhưng thực tế để làm được chuyện này đòi hỏi lắm công phu. Vì lý do bảo mật, phần mềm thành phẩm ngày nay được “niêm phong” bằng con dấu kỹ thuật số trước khi đến tay khách hàng. Nếu niêm phong này có dấu hiệu bị phá hoại, đó là cơ sở đầu tiên cảnh báo cho người dùng rằng nội dung bên trong có thể đã bị thay đổi. Chỗ này cũng giống giao hàng ngoài đời, thấy gói hàng không “nguyên seal” thì phải nghi ngờ ngay.

Nhóm hacker đã khai thác một lỗ hổng trong quy trình bảo mật này bằng cách thay thế file gốc của phần mềm bằng file chứa mã độc ngay trước bước đóng gói cuối cùng – tức là sau khi những thay đổi trong mã nguồn đã được kiểm tra và phê duyệt. Bằng cách này, hệ thống hoàn toàn bị đánh lừa rằng file giả mạo kia là hàng thật, và cũng không còn ai kiểm tra lại lần nữa trước khi phần mềm chứa mã độc xuất xưởng. Vỏ hoàn hảo, nhưng ruột đã bị tráo từ lúc nào.

Theo Meyers, thủ thuật này gợi nhắc ông đến lời cha mẹ ở Mỹ thường dặn con mình khi đi xin bánh kẹo dịp Halloween phải kiểm tra thật kỹ bao bì bất cứ thứ gì trước khi bỏ vô miệng, đề phòng kẻ xấu giấu lưỡi lam bên trong những cái bánh kẹo ngon lành.

“Hãy tưởng tượng những cái bánh đang trên dây chuyền đóng gói, và trong tích tắc trước khi máy bắt đầu đóng hộp và niêm phong sản phẩm, thứ gì đó xuất hiện và đẩy lưỡi dao lam vào trong chiếc bánh” – Meyers nói. Thay vì lưỡi dao, hacker đổi file. Và dù là đóng gói bánh quy bơ đậu phộng hay bản cập nhật phần mềm thì cũng thế: sản phẩm được đóng gói, niêm phong đúng quy trình, dù nội dung đã khác.

Đây là một trong những chiến dịch gián điệp mạng hiệu quả nhất mọi thời đại. [Các hacker] không chỉ thể hiện sự nhạy bén về kỹ thuật, mà cách họ tiến hành vụ tấn công chứng tỏ rằng họ hiểu cách các công ty công nghệ và công ty phần mềm vận hành. – Alex Stamos (cựu giám đốc an ninh của Facebook)

Đánh nhanh, rút gọn

Điều khiến nhiều người ngạc nhiên là không một biện pháp phòng vệ tấn công tin tặc nào của Mỹ, dù là tư nhân hay chính phủ, đã phát hiện sớm để ngăn chặn đợt tấn công lần này.

Ông Christopher Krebs, người từng phụ trách CISA dưới thời cựu Tổng thống Donald Trump, nói với NPR rằng hệ thống hiện tại của Bộ An ninh nội địa Mỹ chỉ phát hiện được các mối đe dọa đã biết, trong khi kỹ thuật được áp dụng trong vụ tấn công SolarWinds đơn giản là “quá mới”.

Cơ quan an ninh quốc gia và Bộ chỉ huy mạng của quân đội Mỹ cũng hoàn toàn bị bất ngờ. Thông thường, những cơ quan này theo dõi các hệ thống mạng nước ngoài để tìm kiếm dấu hiệu của một cuộc tấn công trước khi nó xảy ra, tương tự như cơ chế cảnh báo nếu hình ảnh vệ tinh cho thấy một lượng lớn khí tài tập trung sát biên giới.

Nhóm hacker đã “di chuyển như những bóng ma” và qua mặt các biện pháp cảnh giới này bằng cách thuê máy chủ đặt tại Mỹ – thông qua các nhà cung cấp phổ thông như AWS hay GoDaddy – để làm điểm trung chuyển rồi từ đó mới phát động cuộc tấn công nhằm xóa hoàn toàn dấu vết yếu tố nước ngoài.

“Đánh nhanh” là một chuyện, “rút gọn” lại là một nghệ thuật khác mà các chuyên viên điều tra Mỹ cũng phải ngả mũ thán phục trước những kẻ tấn công SolarWinds. Như thám tử tìm kiếm dấu vân tay để lại hiện trường nhằm xác định kẻ thủ ác, để xác định danh tính hacker đứng sau một vụ tấn công, các chuyên gia giám định Mỹ phải để mắt đến những “dấu chỉ văn hóa” cực nhỏ, ví dụ như ký tự nước ngoài hoặc lỗi chính tả còn sót lại trong những đoạn mã độc.

Nhóm của Meyers đã hi vọng đoạn mã sẽ có một vài chỗ viết bằng chữ không phải tiếng Latin để cung cấp manh mối cho các điều tra viên xác định ai là người viết ra những dòng code đó. Nhưng đoạn mã là một hiện trường sạch sẽ. “Họ đã xóa sạch toàn bộ dấu vết của con người và công cụ hỗ trợ. Thật đáng kinh ngạc là [các hacker] có khả năng che giấu mọi thứ mà một người bình thường đã có thể vô thức để lại làm manh mối” – Meyers nhận xét.

3.500 dòng code và 90 triệu USD

Dù dấu hiệu bất thường đầu tiên liên quan đến Orion được một công ty an ninh mạng ở Washington DC ghi nhận trên máy tính khách hàng từ tháng 7-2020, phải đến cuối năm ngoái Cục Điều tra liên bang (FBI) mới nhận được báo cáo đầu tiên liên quan đến vụ việc từ Công ty an ninh mạng FireEye.

Đến giữa tháng 1-2021, nhóm của Meyers đã tìm được đến “trái tim” của cuộc tấn công: một đoạn code súc tích chỉ vỏn vẹn 3.500 dòng. Đây là con số khá nhỏ so với thiệt hại mà nó gây ra. Các đơn vị bảo hiểm mạng có thể sẽ phải chi trả đến 90 triệu USD để thanh toán phí điều tra và khắc phục sự cố cho các nạn nhân của vụ tấn công liên quan đến SolarWinds, trang CRN dẫn lời một chuyên gia trong ngành ước tính.

Những mục tiêu lớn hơn

Nhiều chuyên gia lo ngại đòn đánh vào SolarWinds chỉ là mưa rào so với một cơn bão dữ dội hơn sắp đổ bộ. Meyes cũng cho rằng nỗi lo nhất sau tất cả là đoạn mã của các hacker không chỉ được thiết kế dành riêng cho SolarWinds, mà có thể được tùy biến để tấn công bất kỳ sản phẩm phần mềm của công ty nào khác sử dụng cùng một trình biên dịch.

Trong vụ hack Ukraine năm 2017, tin tặc đã rải ransomware (mã độc đòi tiền chuộc) làm tê liệt hoạt động các công ty đa quốc gia và khóa vĩnh viễn hàng chục ngàn máy tính. Đây được coi là cuộc tấn công mạng có tính hủy diệt và tốn kém nhất trong lịch sử.

Trong vụ SolarWinds, các tin tặc đã có thời gian để gây thiệt hại còn nhiều hơn thế khi lang thang khắp các hệ thống mạng máy tính cơ yếu của Mỹ trong suốt 9 tháng mà không bị phát hiện. Thiệt hại hữu hình thì chưa ghi nhận, nhưng thứ không thấy mới đáng ngại hơn: liệu nhóm hacker này có thật sự chỉ đọc lén email và làm những việc mà gián điệp thường làm, hay liệu họ đã âm thầm cài cắm thứ gì đó có khả năng phá hoại khủng khiếp hơn để sử dụng trong tương lai?

Khi đã truy cập được vào hệ thống mạng của chính phủ, tin tặc có thể “phá hủy hay thay đổi dữ liệu và mạo danh người khác” – Tom Bossert, cố vấn an ninh nội địa dưới thời ông Trump, viết trên The New York Times.

Kevin Mandia – CEO Công ty an ninh mạng FireEye, đơn vị đầu tiên phát hiện và phát đi cảnh báo về vụ tấn công SolarWinds – cho rằng các dịch vụ công và y tế công cộng có thể nằm trong danh sách tiếp theo bị tấn công, nếu một đợt tấn công nữa xảy ra.

Alex Stamos, cựu giám đốc an ninh của Facebook, nhận xét rằng nghệ thuật lên kế hoạch và tấn công của các hacker trong vụ SolarWinds “chắc chắn sẽ thay đổi cách nghĩ của các doanh nghiệp lớn về phần mềm mà họ cài đặt cũng như cách họ xử lý các bản cập nhật”.

Meyers gọi chiến dịch tin tặc nhằm vào SolarWinds là “một hoạt động tình báo nhằm đánh cắp thông tin”, và cảnh báo đây sẽ không phải là lần cuối cùng một vụ tấn công như vậy xảy ra. “Nó sẽ là chuyện cơm bữa… Và tôi nghĩ tất cả chúng ta sẽ có nhiều việc phải làm để cùng nhau ngăn chặn một tương lai như vậy” – ông nói.

Ngày 15-4, chính quyền Tổng thống Mỹ Joe Biden công bố một loạt các biện pháp trừng phạt cứng rắn nhắm vào Nga, như một cách phản ứng trước sự vụ SolarWinds, dù Matxcơva vẫn một mực khẳng định không liên can.

Nhà Trắng cũng đang tiếp tục soạn thảo một loạt sắc lệnh hành pháp buộc các công ty cung cấp phần mềm cho cơ quan chính phủ phải đạt những tiêu chuẩn an toàn thông tin nhất định, cũng như yêu cầu các cơ quan liên bang thực hiện nghiêm các biện pháp phòng vệ cơ bản như mã hóa dữ liệu trong hệ thống.

Những công ty phần mềm như SolarWinds có thể sẽ được yêu cầu xây dựng hệ thống đóng gói phần mềm trong môi trường không có kết nối Internet để đảm bảo an ninh, theo thông tin của NPR.

Hoa Kim / TTCT

Đồ chơi tình dục có thể bị hacker tấn công


Thời đại của Internet of Thing – vạn vật kết nối – đồng nghĩa với việc các hacker có thể kiểm soát bất kỳ thứ gì có kết nối, từ thiết bị y tế cho đến các máy móc công nghiệp. Sẽ có nhiều tình huống trớ trêu xảy ra nếu đồ chơi tình dục bị hacker tấn công.

Đồ chơi tình dục thông minh càng mất an toàn

Phần lớn những người sử dụng máy tính và điện thoại di động đều ít nhiều từng biết đến một số khái niệm về an ninh mạng, chẳng hạn như hacker – những kẻ chuyên bẻ khóa để xâm nhập và khai thác các hệ thống mạng. Trong thời đại ngày nay, khi ngày càng có nhiều thiết bị kết nối với mạng Internet, không chỉ có máy tính và điện thoại thông minh mới là đối tượng dễ bị tấn công. Đồ chơi tình dục có thể là một trong các đích ngắm hấp dẫn.

Hacker - tệ nạn ngày càng trở nên tai hại trong kỷ nguyên IoT. Ảnh: INT
Hacker – tệ nạn ngày càng trở nên tai hại trong kỷ nguyên IoT. Ảnh: INT

Trong một buổi họp báo gần đây tại Hội chợ công nghệ CeBIT, hãng phần mềm Trend Micro đã trình diễn cách thức xâm nhập từ xa để khởi động một chiếc máy rung lớn màu hồng chỉ bằng một vài dòng mã hóa. Không ít khách hàng phải cười ngượng khi chứng kiến buổi biểu diễn của Trend Micro. Viễn cảnh “món đồ” của mình bị người khác bí mật chiếm đoạt và điều khiển đương nhiên có thể tạo ra một hoàn cảnh vừa trớ trêu vừa đáng sợ.

Thế nhưng với đồ chơi tình dục thông minh, câu chuyện sẽ không chỉ đơn giản như một chiếc máy rung. “Nếu tôi truy cập được vào công nghệ nền, tôi hoàn toàn có thể tống tiền nhà sản xuất” – Raimund Genes, Giám đốc công nghệ của Trend Micro tuyên bố.

Joe Bursell – đại diện công ty kiểm tra an ninh Pen Test, đơn vị đã tiến hành nghiên cứu thị trường đồ chơi tình dục thông minh trong năm 2015 – nhận định: “Bước phát triển lớn tiếp theo của đồ chơi tình dục sẽ là các thiết bị cho phép quan hệ tình dục từ xa (cyberdildonics), giúp con người chia sẻ cảm giác như thật thông qua môi trường Internet”. Nếu kẻ xấu can thiệp được vào quá trình trao đổi thông tin của thiết bị, họ hoàn toàn có thể quay phim và dễ dàng truy nhập vào các đoạn phim được quay.

Món đồ chơi mà Trend Micro dùng trong buổi trình diễn thuộc về hãng Lovense, có khả năng thực hiện các hoạt động thoại từ xa có hình ảnh (videoconferencing). Đương nhiên, Lovense cũng nhanh chóng có phản ứng. Thế nhưng giải thích là một chuyện, còn khiến người dùng an tâm hay không lại là một câu chuyện khác.

Mối đe dọa cho cả nền kinh tế thế giới

Thời đại của vạn vật kết nối đồng nghĩa với việc các hacker có thể kiểm soát bất kỳ thứ gì có khả năng nối mạng Internet, từ thiết bị y tế đến máy móc công nghiệp. Đức – nước chủ nhà của Hội chợ CeBIT và cũng là quốc gia có nhà sản xuất đoạt giải thưởng cao nhất – là nơi chứng kiến các “mỏ vàng” dành cho hacker.

Theo Báo cáo an ninh công nghệ thông tin mới nhất của Chính phủ Đức, tình trạng tấn công các trang web sản xuất công nghiệp đang tăng lên. Chẳng hạn, trong năm 2014, một nhà máy thép của Đức đã chịu những “thiệt hại quy mô lớn” do một cuộc tấn công vào hệ thống mạng của nhà máy.

Mấy tuần gần đây, một số bệnh viện của Đức cũng đã hứng chịu các cuộc tấn công từ Ransomware – một phần mềm virus có khả năng mã hóa dữ liệu của các máy móc bị xâm nhiễm và yêu cầu người dùng trả tiền để được nhận một mã điện tử giúp mở khóa thiết bị của mình.

Năm 2015, Chính phủ Đức cũng bị “dằn mặt” khi hacker tấn công hệ thống mạng của hạ viện. Cuộc tấn công khiến hệ thống mạng này phải đóng cửa trong vài ngày và làm mất một lượng dữ liệu lớn.

Để đối phó với mối nguy ngày càng tăng, tháng 7/2015, Đức thông qua đạo luật về an ninh công nghệ thông tin. Luật này yêu cầu 2.000 nhà cung cấp cơ sở vật chất thiết yếu phải thực hiện các quy chuẩn tối thiểu về an ninh và báo cáo các vi phạm nghiêm trọng. Nếu không thực hiện, nhà cung cấp dịch vụ sẽ bị trừng phạt.

Theo tập đoàn vận động chính sách công nghệ thông tin Bitkom, trong 2 năm trở lại đây đã có tới 51% số công ty Đức trở thành nạn nhân của gián điệp số, nạn ăn cắp dữ liệu hoặc phá hoại ngầm. Nguy cơ được xem là cấp thiết hơn đối với các nhà sản xuất cỡ vừa và nhỏ, còn gọi là nhóm Mittelstand. Hai phần ba trong số các hãng này đã có báo cáo về những cuộc tấn công.

Theo Báo cáo an ninh mạng của hãng Deutsche Telekom, khi các công ty chuyển sang kết nối máy móc của mình với mạng Internet để thực hiện hoạt động thu thập và trao đổi dữ liệu và điều khiển máy móc của mình từ xa, 84% số nhà quản lý nhận định rằng rủi ro sẽ tăng cao.

Bắt nguồn từ ký ức về hoạt động gián điệp thông tin của chính phủ do lực lượng cảnh sát mật Stasi dưới thời Đông Đức và lực lượng Gestapo dưới thời Đức quốc xã, người Đức luôn tỏ ra thận trọng trong việc bảo vệ dữ liệu. Tuy nhiên theo Dirl Arendt – Giám đốc quan hệ công chúng tại hãng an ninh mạng Israel Check Point Software Technologies, cần quan tâm hơn nữa đến vấn đề an ninh dữ liệu.

Nhân viên trong các công ty cần có ý thức về các mối nguy hiểm xảy ra khi mở các tệp tin đáng ngờ, không khác gì chuyện khi lái xe phải chú ý đến các biển báo tốc độ ven đường.

“Chúng ta thường chỉ bừng tỉnh khi thiệt hại trở thành sự đã rồi. Chúng ta đã có đủ ví dụ về thiệt hại. Các bước tiếp theo giờ sẽ là hành động để trở lại trạng thái an toàn” – Aremdt tuyên bố.

Lê Ngọc (Theo Nytimes) / Khoahocphattrien

Ứng dụng Honeypot trong bảo mật thiết bị IoT


Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Vấn đề bảo mật đối với thiết bị IoT

Kể từ năm 2018, số lượng các vụ tấn công mạng nhằm vào thiết bị IoT không ngừng gia tăng. Tin tặc sử dụng malware để lây nhiễm, biến các thiết bị IoT trở thành thành viên của mạng lưới botnet cho các cuộc tấn công vào hệ thống thông tin quan trọng với quy mô lớn. Thực tế đã có nhiều cuộc tấn công do thiết bị lây nhiễm malware như Hydra, Psybot, Mirai,…

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 1.
Hình 1. Các cuộc tấn công IoT phổ biến (Nguồn:Kaspersky)

Trên thế giới hiện nay đang tồn tại khoảng hơn 6 tỉ thiết bị IoT, và nếu giả sử toàn bộ các thiết bị này bị chiếm quyền điều khiển bởi tin tặc, mạng lưới botnet cho các cuộc tấn công DDoS thật sự khó kiểm soát. Tháng 5 năm 2017, qua khảo sát, hãng bảo mật Kaspersky đã xác định được hơn 7000 mẫu malware tồn tại trên thiết bị IoT.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 2.
Hình 2. Thống kê malware tồn tại trên thiết bịIoT qua các năm (Nguồn: Kaspersky lab)

Tuy nhiên, để ngăn chặn vấn đề này, biện pháp xử lý không chỉ đơn giản là cài đặt một phần mềm bảo mật trên thiết bị IoT, bởi nguyên nhân khiến thiết bị lây nhiễm malware là đa dạng và rất khó kiểm soát. Do đó việc theo dõi thường xuyên hoặc dựng các hệ thống giả lập chứa các lỗ hổng bảo mật để thu hút tin tặc, từ đó đưa ra các phương án phòng thủ hợp lý được xem là biện pháp hữu hiệu. Các hệ thống giả lập này được gọi là honeypot.

Hệ thống honeypot cho thiết bị IoT

Honeypot là một hệ thống tài nguyên thông tin được xây dựng với mục đích giả dạng đánh lừa những kẻ sử dụng và xâm nhập không hợp pháp, thu hút sự chúý của chúng, ngăn không cho chúng tiếp xúc với hệ thống thật.

Honeypot có thể giả dạng bất cứ loại máy chủ tài nguyên nào như là Mail Server, Domain Name Server, Web Server… Honeypot sẽ trực tiếp tương tác với tin tặc và tìm cách khai thác thông tin về tin tặc như hình thức tấn công, công cụ tấn công hay cách thức tiến hành thay vìbị tấn công.

Honeypot gồm hai loại chính là tương tác thấp và tương tác cao

+ Tương tác thấp (low interaction): Mô phỏng giả các dịch vụ, ứng dụng và hệ điều hành. Mức độ rủi ro thấp, dễtriển khai và bảo dưỡng nhưng bị giới hạn về dịch vụ.

+ Tương tác cao (high interaction): Là các dịch vụ, ứng dụng và hệ điều hành thực. Mức độ thông tin thu thập được cao. Nhưng rủi ro cao và tốn thời gian để vận hành và bảo dưỡng.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 3.
Hình 3. Honeypot cho thiết bịIoT

Tuy nhiên, trong thực tế, việc triển khai các honeypot cho thiết bị IoT không thể xây dựng theo hướng tiếp cận như quá trình xây dựng honeypot cho các hệ thống IT thông thường.

Do đó cần phải xây dựng honeypot theo kiểu mới, gọi là tương tác thông minh (Intelligent Interaction). Kiến trúc cơ bản của hệ thống này như Hình 4.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 4.
Hình 4. Kiến trúc hệ thống Intelligent Interaction honeypot

Hệ thống gồm có 4 thành phần chính chạy riêng biệt nhưng chia sẻ dữ liệu cho nhau trong quá trình học. IoT-Oracle là cơ sở dữ liệu trung tâm lưu trữ mọi thông tin thu được liên quan đến các thiết bị IoT. Mô-đun honeypot chứa các phiên bản honeypot đã triển khai trên Amazon AWS và Digital Ocean. Mục đích của chúng là nhận lưu lượng truy cập và tương tác với những kẻ tấn công để dụ chúng thực hiện việc khai thác thực sự. Tiếp theo sẽ đồng bộ hóa định kỳ với IoT-Oracle để đẩy yêu cầu mới nhận được sang các bảng và truy xuất bảng dữ liệu IoT để có kiến thức cập nhật về hành vi tấn công trên các thiết bị IoT.

Mô-đun IoTScanner tận dụng các yêu cầu của cuộc tấn công đã nắm bắt và rà quét để tìm bất kỳ thiết bị IoT nào có thể phản hồi các yêu cầu này. Các câu trả lời được tổng hợp sẽ được lưu trữ trong bảng phản hồi để phân tích thêm. Mô-đun IoTLearner sử dụng thuật toán học máy để tạo ra mô hình dựa trên phản hồi từ những kẻ tấn công với phản hồi nhất định. Sau nhiều lần lặp lại, honeypot có thể tối ưu hóa một mô hình để trả lời cho tin tặc, khiến tin tặc khó nhận biết được đây là hệ thống bẫy honeypot.

Vào thời điểm đầu tiên, hệ thống tương tác thông minh hoạt động giống hệt như honeypot tương tác thấp vìhầu như chưa có nhận định gìvề các thiết bị IoT và hành vi của chúng. Tuy nhiên, sau một khoảng thời gian rất ngắn, honeypot có thể nhận biết và thu thập thông tin của rất nhiều thiết bị IoT khác nhau.

Thu thập và phân tích dữ liệu qua kết quả từ honeypot

Qua triển khai hàng loạt các honeypot tại nhiều quốc gia trên thế giới, các chuyên gia bảo mật đã thu thập được một số thông tin liên quan đến hành vi của hacker (Hình 5).

Trong khi các tấn công liên quan đến dò quét brute force mật khẩu truy cập từ xa qua giao thức telnet xuất phát với tỉ lệ cao từ các IP của Brazil năm 2018, với 28%, thìsang năm 2019, địa chỉ IP tin tặc sử dụng xuất phát từ Trung Quốc, với 30%.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 5.
Hình 5. Khảo sát nguồn gốc các IP sử dụng tấn công dò quét mật khẩu

Ngoài Brazil và Trung Quốc, địa chỉ IP tin tặc sử dụng còn xuất phát từ các quốc gia khác là Ai Cập và Nga với tỉ lệ cũng khá cao.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 6.
Hình 6. Thống kê vịtrí địa lý các địa chỉ IP tin tặc sử dụng để tấn công vào các hệ thống honeypot (Nguồn: Securelist)

Theo thống kê trong các năm 2018 và 2019, Mirai là mã độc được sử dụng phổ biến cho tấn công IoT, với phương thức tạo backdoor để tin tặc xâm nhập vào.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 7.
Hình 7. Thống kê loại malware được sử dụng cho tấn công thiết bịIoT

Đối với thiết bị IoT, telnet, ssh hay web service là các dịch vụ được sử dụng phổ biến. Đây cũng là các dịch vụ được tin tặc khai thác nhiều nhất để chiếm quyền điều khiển thiết bị. Tuy nhiên có một điểm đáng lưu ý là quá trình scan mật khẩu truy cập vào các thiết bị IoT này mất rất ít thời gian, do một số thiết bị không thay đổi mật khẩu mặc định từ nhà sản xuất, dẫn đến dễdàng bị dò quét thành công.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 8.
Hình 8. Thống kê user/pass các thiết bịIoT theo số lần dò quét được

Ngoài telnet, ssh hay web là các giao thức được nhắm đến trong mục đích tấn công của tin tặc, vnc, remote desktop hay VoIP cũng là các cổng dịch vụ được quan tâm. Tỉ lệ các cuộc tấn công liên quan đến các cổng dịch vụ này được sắp xếp theo thứ tự như Hình 9.

Ứng dụng Honeypot trong bảo mật thiết bị IoT  - Ảnh 9.
Hình 9. Thống kê tỉ lệ các cuộc tấn công theo giao thức

Kết luận

Qua các phân tích ở trên, có thể thấy được rằng, nguồn gốc tấn công hay phương thức tấn công mà tin tặc sử dụng để chiếm quyền điều khiển các thiết bị IoT là vô cùng phong phúvà đa dạng. Do đó, ngoài các biện pháp đã áp dụng như thường xuyên cập nhật firmware cho thiết bị, thay đổi mật khẩu mặc định trên thiết bị hay thiết lập policy trên tường lửa để chỉ cho phép các truy cập có kiểm duyệt, việc xây dựng hệ thống honeypot để điều tra hành vi của attacker, qua đó đánh giá và đề xuất phương án phòng thủ cho mạng lưới IoT cũng là điều cần thiết.

Tài liệu tham khảo

1. https://securelist.com/iot-a-malware-story/94451/

2.https://www.blackhat.com/docs/us-17/thursday/us-17-Luo-Iotcandyjar-Towards-An-Intelligent-Interaction-Honeypot-For-IoT-Devices-wp.pdf

(Bài đăng trên tạp chí in số 10+11 tháng 9/2020)

Võ Văn Đông / ICTVietNam

Kiểm soát con robot khổng lồ internet


Với Internet của vạn vật, chúng ta đang tạo ra một con robot có kích cỡ bằng cả thế giới. Nhưng làm sao để có thể kiểm soát nó?


Ransomware – một phần mềm độc hại được các hacker cài vào máy tính của nạn nhân, mã hóa dữ liệu của họ để tống tiền.

Ngày 21/10/2016 có ai đó sử dụng đầu ghi hình kĩ thuật số (DVR) của bạn, hoặc ít nhất là một DVR giống của bạn cùng hàng triệu webcam, bộ định tuyến (router) và những thiết bị nối mạng ít bảo mật khác, phát động cuộc tấn công tạo ra phản ứng dây chuyền, khiến cả Twitter, Reddit, Netflix và rất nhiều trang mạng khác bị đánh sập. Hẳn là bạn không bao giờ nghĩ chiếc DVR của mình lại có sức mạnh đáng sợ đến vậy, nhưng đó là sự thực

Sự trỗi dậy của con robot khổng lồ

Ngày nay, con người đã không còn sở hữu các đồ vật tích hợp máy tính, mà ngược lại chúng ta đang có những chiếc máy tính có những đồ vật gắn theo nó. Chiếc máy ATM thực chất là một chiếc máy tính có chứa tiền ở trong đó. Chiếc xe ô tô của bạn không còn là một thiết bị cơ khí với vài chiếc máy tính đặt ở trong mà nó là một chiếc máy tính với bốn bánh xe và một động cơ. Chính xác hơn, nó là một hệ thống được tạo nên bởi 100 chiếc máy tính cùng với bốn bánh xe và một động cơ. Và, đương nhiên, chiếc điện thoại của bạn đã hoàn toàn trở thành một chiếc máy tính thông dụng vào năm 2007, khi Iphone ra mắt lần đầu tiên. Mạng internet cũng không đơn thuần chỉ là các trang web mà chúng ta truy cập, mà đó là toàn bộ thế giới chúng ta sống được vi tính hóa, hòa mạng, liên kết nối. Đó chính là tương lai mà chúng ta vẫn hay gọi bằng cái tên Internet của vạn vật (Internet of Things – IoT).   

Nói một cách khái quát, IoT có ba phần: Thứ nhất là các cảm biến thu thập dữ liệu về chúng ta và môi trường mà chúng ta đang sống như: nhiệt kế thông minh, cảm biến gắn trên đường xá và cao tốc, những chiếc smartphone thông dụng với cảm biến chuyển động và định vị GPS; Thứ hai là “những thứ thông minh” giúp chúng ta phân tích ý nghĩa của những dữ liệu này và cho biết nên làm gì với chúng, như bộ vi xử lý máy tính của các thiết bị và trên các đám mây điện toán hay các bộ nhớ lưu trữ tất cả các thông tin; và Thứ ba là các bộ phận chấp hành – trực tiếp ảnh hưởng lên môi trường của chúng ta. Mục đích của nhiệt kế thông minh không phải là để ghi lại nhiệt độ mà là để điều khiển lò sưởi hay điều hòa nhiệt độ. Những chiếc xe tự lái thu thập thông tin về đường xá và môi trường để có thể đi đến đích an toàn.    

Hãy nghĩ những cảm biến giống như mắt và tai của internet, các bộ phận chấp hành là tay và chân, còn những những thứ trung gian như bộ xử lý thì đóng vai trò não bộ. Như vậy, chúng ta đang xây dựng một mạng internet có thể nhận biết, suy nghĩ và hành động – chính là định nghĩa kinh điển về robot. Nói cách khác, chúng ta đang tạo ra một con robot có kích cỡ bằng cả thế giới mà không hề biết.

Cụm từ Internet vạn vật cũng chưa đủ để mô tả con robot này. Nó là sự kết hợp của nhiều xu thế máy tính có tuổi đời vài thập kỉ qua: điện toán di động, điện toán đám mây, máy tính có năng lượng vĩnh cửu, dữ liệu thông tin cá nhân khổng lồ. IoT – hay chính xác hơn các hệ thống vật lý – số, tự động hóa và trí tuệ nhân tạo. Mặc dù vẫn chưa được thông minh lắm, nhưng IoT đang tiến hóa từng ngày để trở nên mạnh mẽ với nhiều khả năng hơn, thông qua những kết nối mà chúng ta đang xây dựng. Nó cũng đang trở nên cực kì nguy hiểm.

Yêu cầu về bảo mật luôn là vấn đề song hành kể từ khi máy tính xuất hiện. Và mặc dù bí mật không nằm trong thiết kế ban đầu của internet, song lại là điều mà chúng ta luôn cố gắng để đạt tới.

Bảo mật điện toán truyền thống thường được phân chia theo ba thuộc tính quan trọng sau đây: tính bí mật, tính toàn vẹn và sẵn sàng của dữ liệu. Hiện nay, phần lớn các mối quan ngại thường tập trung vào tính bảo mật. Chúng ta thường lo lắng về dữ liệu của mình và ai có quyền truy cập vào đó – đó là thế giới của sự riêng tư và sự giám sát, của ăn cắp và lạm dụng dữ liệu. Tuy nhiên, còn rất nhiều mối đe dọa dưới các hình thức khác. Như những nguy cơ về tính sẵn sàng: virus máy tính xóa bỏ dữ liệu, hay các ransomware mã hóa dữ liệu rồi yêu cầu chúng ta thanh toán bằng tài khoản ngân hàng. Hay các mối đe dọa về tính toàn vẹn như việc hacker thao túng danh mục nhập liệu của chúng ta cho những mục đích khác, từ thay đổi điểm số trên lớp đến số dư tài khoản ngân hàng. Rất nhiều trong số các mối đe dọa này là có hại. Chẳng hạn, nhiều bệnh viện đã phải chịu phí tổn hàng chục ngàn USD vì tội phạm mạng sử dụng ransomware mã hóa những tệp tin y tế quan trọng; hay như JPMorgan Chase phải chi nửa tỷ USD mỗi năm cho an ninh mạng.

Hiện nay, những đe dọa liên quan đến tính toàn vẹn và tính sẵn sàng đang trở nên ngày càng phong phú và nghiêm trọng hơn so với những nguy cơ về tính bí mật. Một khi máy tính bắt đầu có ảnh hưởng trực tiếp về mặt vật chất đối với thế giới, nó thực sự kéo theo những rủi ro liên quan đến đời sống lẫn tài sản của chúng ta. Có sự khác biệt căn bản giữa sự cố máy tính khiến bạn làm mất dữ liệu thống kê với trục trặc của thiết bị điều hòa nhịp tim khiến bạn đánh đổi bằng cả mạng sống. Điều này hoàn toàn không hề bị cường điệu hóa khi gần đây, các nhà nghiên cứu bảo mật phát hiện thấy những lỗ hổng nghiêm trọng trong thiết bị cấy ghép tim tại Bệnh viện St Jude Medical. Nếu chúng ta cho Internet tay và chân thì nó sẽ có khả năng đấm đá.

Không có cách nào vá lỗi

Do đó, có rất nhiều yêu cầu khác nhau liên quan đến bảo mật, và hậu quả của những sai sót có thể dừng lại ở hoạt động giám sát trái phép, cho tới hành vi tống tiền bằng các ransomware, cho đến sự chết chóc hàng loạt.

Cho đến nay, các máy tính và điện thoại thông minh của chúng ta phần nào vẫn duy trì được sự an toàn là do các công ty như Microsoft, AppleGoogle đã đầu tư rất nhiều thời gian và nguồn lực cho việc kiểm thử các đoạn mã trước khi phát hành sản phẩm và kịp thời vá lỗi khi có lỗ hổng được phát hiện. Những công ty như vậy có khả năng hỗ trợ cho một đội ngũ lớn và chuyên tâm như vậy nhờ khoản lợi nhuận khổng lồ kiếm được từ hoạt động kinh doanh, và một phần là để sản phẩm của họ trở nên cạnh tranh về độ an toàn. Không may, mô thức này đã không thể đúng với các hệ thống nhúng như máy camera DVR hay bộ router trong gia đình, vì chúng thường được bán với mức lợi nhuận thấp hơn nhiều và do bên thứ ba gia công xây dựng – những công ty này, đơn giản là không đủ chuyên môn để làm cho chúng an toàn.

Tại một Hội nghị gần đây của các hacker, một chuyên gia an ninh mạng đã phân tích lỗ hổng trên 30 loại router gia đình và có thể xâm nhập tới một nửa trong số đó, bao gồm cả những thương hiệu nổi tiếng, phổ biến nhất. Hay những vụ tấn công từ chối dịch vụ (DdoS) đã khiến cho nhiều trang web nổi tiếng như RedditTwitter bị gián đoạn truy cập hồi tháng 10/2016, vốn được kích hoạt bởi các lỗ hổng trên webcam và máy quay DVR. Trong tháng 8/2017, hai chuyên gia bảo mật cũng đã trình diễn phương pháp tấn công ransomware vào một nhiệt kế thông minh.

Điều tồi tệ hơn là hầu hết các thiết bị này đều không có cách nào để vá lỗi. Những công ty như Microsoft và Apple liên tục phát hành các bản vá bảo mật cho máy tính cá nhân của bạn, hay việc vá lỗi một số router gia đình cũng là điều khả thi về mặt kỹ thuật, nhưng lại theo những cách phức tạp mà chỉ các chuyên gia mới thực hiện nổi. Và nhiều khi, cách duy nhất để cập nhật phần sụn (giao thoa giữa phần cứng và phần mềm) trong các máy quay DVR bị hack, đó là hãy vứt bỏ và mua một cái mới.

Chúng ta không thể trao quyền cho những lập trình viên và các công ty thuê họ có quyền viết nên không gian mạng theo cách họ muốn. Những quyết định mang tính đạo đức, chính trị theo một cách nào đó, cần phải được đưa ra bởi tất cả mọi người.


Thị trường không thể sửa những lỗi này bởi thực sự cả người mua lẫn người bán đều không quan tâm. Người sở hữu webcam hay DVR thường chẳng mấy quan tâm khi họ bị lợi dụng cho các cuộc tấn công từ chối dịch vụ (DDoS). Các thiết bị tương đối rẻ tiền, vẫn hoạt động tốt, và họ cũng chẳng biết ai là nạn nhân của những vụ tấn công đó. Người bán càng không bận tâm, đơn giản họ chỉ muốn bán các phiên bản mới hơn, tốt hơn, còn người mua chỉ cần hỏi giá cả và tính năng. Thị trường không thể tự giải quyết được điều này, sự mất an toàn thông tin này được các nhà kinh tế gọi là ảnh hưởng ngoại lai: quyết định mua hoặc bán của một người sẽ tạo ra hiệu ứng ảnh hưởng đến những người khác. Nó giống như một kiểu ô nhiễm vô hình.      

Ba giải pháp chính sách

Trong khi những chi tiết về bất cứ hệ thống an ninh máy tính nào đều mang tính kĩ thuật, thì mang công nghệ ứng dụng rộng rãi vào thực tế lại là vấn đề của luật pháp, kinh tế, tâm lý học và xã hội học. Xây dựng các chính sách đúng đắn cũng quan trọng không kém gì xây dựng công nghệ chính xác bởi vì, để đảm bảo an ninh mạng, luật pháp và công nghệ phải liên kết chặt chẽ với nhau. Đó có lẽ là bài học quan trọng nhất mà vụ phanh phui NSA của Edward Snowden đem lại. Chúng ta từng biết rằng công nghệ có thể hạ bệ luật pháp. Còn Snowden thì chứng minh rằng luật pháp có thể khiến công nghệ làm tay sai cho mình.

Bất kì sự thay đổi chính sách nào để đảm bảo an ninh cho con robot có kích cỡ cả trái đất này đều đồng nghĩa với sự kiểm soát khá lớn của chính phủ. Tôi biết đó là một hình dung tội lỗi trong thế giới ngày nay nhưng tôi không thể tìm thấy một phương án nào khả dĩ hơn. Đó sẽ là một thách thức to lớn đối với internet, khi bản chất tự do là một trong những điều tuyệt vời nhất của nó, là nhân tố thúc đẩy những đổi mới sáng tạo mang tầm ảnh hưởng toàn cầu của nó. Nhưng tôi không biết câu chuyện này liệu còn tiếp diễn khi internet có thể tác động đến thế giới một cách trực tiếp, bằng vũ lực.

Tôi không nghĩ rằng bất cứ ai trong chúng ta có thể dự đoán được một chính sách toàn diện để đảm bảo an toàn cho thế giới, nhưng đây là một vài cách. Chúng ta cần chính phủ đảm bảo rằng các doanh nghiệp phải tuân thủ những thực hành về an ninh: từ kiểm thử, vá lỗi, các mặc định về an ninh – và cần phải có chế tài nếu như những công ty này không làm được những điều đó. Chúng ta cần chính phủ đưa ra những chính sách bảo vệ dữ liệu cá nhân chặt chẽ và giới hạn việc thu thập và sử dụng dữ liệu. Chúng ta cần bảo đảm rằng những nghiên cứu có trách nhiệm về bảo mật là hợp pháp và được đầu tư đúng đắn. Chúng ta cần thi hành sự minh bạch trong thiết kế, ký thác code các chương trình của công ty cho chính phủ khi nó phá sản và sự tương hợp giữa các thiết bị của những hãng sản xuất khác nhau, để đảo ngược hiệu ứng độc quyền trong những công nghệ liên kết nối. Mọi cá nhân đều có quyền giữ dữ liệu của riêng mình. Và mọi thiết bị có khả năng kết nối internet vẫn còn giữ lại được một số chức năng tối thiểu khi bị ngắt kết nối mạng.


“Chúng ta đang xây dựng một con robot có kích cỡ bằng cả thế giới, biết cảm nhận, suy nghĩ và hành động” – Bruce Schneier.

Dĩ nhiên sẽ có những vấn đề: Thiếu chuyên gia về những vấn đề này trong chính phủ, Thiếu ý chí trong cơ quan nhà nước để làm những công việc hành chính nặng nhọc. Còn giới công nghiệp đang lo lắng về bất cứ sự quan liêu nào phát sinh thêm. Nhưng chính phủ là một thực thể mà chúng ta trông đợi phải giải quyết vấn đề như thế này. Chính phủ có sự bao quát, có thể điều phối trên quy mô rộng và có thể cân bằng lợi ích giữa các bên để xác định và giải quyết vấn đề. Trong mọi trường hợp, Chính phủ phải có trách nhiệm tham dự. Chúng ta phải đối mặt với rủi ro quá lớn và cái giá phải trả cũng quá cao. Bản thân chính phủ hiện cũng đã kiểm soát các hệ thống vật lý ẩn chứa nhiều rủi ro như xe hơi và các thiết bị y tế.

Chúng ta cũng nên bắt đầu ngắt kết nối các hệ thống. Nếu chúng ta không thể đảm bảo cho những hệ thống phức tạp đạt mức an ninh cần thiết để nó có thể vận hành tốt trên thực tế, thì chúng ta không nên xây dựng một thế giới mà mọi thứ đều được vi tính hóa và liên kết.

Đây là những mô hình khác của internet. Chúng ta chỉ khuyến khích việc giao tiếp trong phạm vi địa phương. Chúng ta có thể đưa ra những giới hạn về thu thập và lưu trữ dữ liệu. Chúng ta có thể chủ động khóa các thiết bị, đảo ngược xu hướng biến tất cả mọi thứ thành một chiếc máy tính đa dụng. Và, điều quan trọng nhất, chúng ta có thể hướng tới những hệ thống ít tập trung hơn và phân tán hơn, giống như cách chúng ta hình dung ban đầu về internet.

Tôi đoán rằng chúng ta sẽ sớm đạt tới đỉnh điểm của sự vi tính hóa và kết nối, và rốt cục chúng ta sẽ phải đưa ra những quyết định nghiêm túc về việc chúng ta kết nối mọi thứ vì cái gì và như thế nào. Nhưng giờ đây, chúng ta vẫn còn đang ở trong giai đoạn trăng mật. Chính phủ và các tập đoàn vẫn đang chìm trong cơn say của dữ liệu, và cuộc chạy đua kết nối mọi thứ được khởi sinh từ khao khát quyền lực và thị phần. Một tài liệu được tung ra bởi Edward Snowden có chứa khẩu hiệu của NSA: “Thu thập tất cả”. Một khẩu hiệu tương tự để mô tả internet ngày nay có lẽ là: “Kết nối tất cả”.

Nó sẽ là những quyết định chính sách chủ đích đặt sự an toàn và lợi ích của xã hội lên trên lợi ích của các tập đoàn và khối công nghiệp; ưu tiên an ninh hệ thống của chúng ta lên trên những đòi hỏi của các đơn vị tình báo. Đó là một chính sách khó nuốt với nhiều người nhưng sự an toàn của chúng ta phụ thuộc vào nó.

Đề xuất cuối cùng của tôi: Chúng ta cần nhiều hơn những chuyên gia công nghệ hoạt động vì cộng đồng. Thực hành an ninh IoT đúng đắn phụ thuộc vào sự kết hợp của khu vực công nghệ và khu vực nhà nước, và quan trọng hơn, mỗi bên cần có những chuyên gia từng làm việc cho cả hai phía. Chúng ta cần những nhà công nghệ tham gia vào việc xây dựng chính sách và cần những nhà làm chính sách quan tâm đến công nghệ; Cần tạo ra những cơ hội nghề nghiệp cho những nhà công nghệ vì cộng đồng tương tự như cơ chế sẵn có đang được áp dụng để tạo ra những luật sư công ích; Cũng cần các khóa học, cần các chương trình cấp bằng ở đại học, cho những người hứng thú với những nghề nghiệp trong lĩnh vực công nghệ phục vụ cộng đồng, và cần những học bổng trong những tổ chức cần họ. Những công ty công nghệ cần cho phép nhân viên của mình làm những việc như vậy. Chúng ta cần một hệ sinh thái hỗ trợ những con người là cầu nối giữa công nghệ và luật pháp.

Cho đến bây giờ, chúng ta vẫn để internet tự thân vận động. Nhưng bây giờ, điều đó đã thay đổi, chúng ta không thể trao quyền cho những lập trình viên và các công ty thuê họ có quyền viết nên không gian mạng theo cách họ muốn. Những quyết định mang tính đạo đức, chính trị theo một cách nào đó, cần phải được đưa ra bởi tất cả mọi người. Chúng ta cần nhiệt thành kết nối mọi người, chúng ta đang hăng say kết nối máy móc. “Kết nối tất cả” phải được thay chuyển thành “kết nối con người”.

Hải Đăng – Hảo Linh lược dịch, Tiasang.com.vn
——–
* Bruce Schneier là chuyên gia công nghệ, hiện giữ cương vị CTO tại IBM, thành viên tại Trung tâm Beckman của Đại học Harvard và Hội đồng Tổ chức Electronic Frontier Foundation (EFF)


https://www.schneier.com/essays/archives/2017/01/click_here_to_kill_e.html
** Tít bài do tòa soạn đặt.

Intel® Secure Device Onboard (Intel® SDO) Scales Devices to IoT Platforms


Intel® Secure Device Onboard (Intel® SDO) Scales Devices to IoT Platforms
— Read on acordocoletivo.org/2019/09/21/intel-secure-device-onboard-intel-sdo-scales-devices-to-iot-platforms/

Build an IoT analytics solution with big data tools


The Internet of things seems futuristic, but real systems are delivering real analytics value today. Here’s some real-world IoT advice from the field

Build an IoT analytics solution with big data tools
Credit: Thinkstock

With all the hype around the Internet of things, you have a right to be skeptical that the reality could ever match the promise. I would feel that way myself — if it weren’t for some recent firsthand experience.

I recently had the opportunity to work on a project that involved applying IoT technologies to medical devices and pharmaceuticals in a way that could have a profound impact on health care. Seeing the possibilities afforded by “predictive health care” opened my eyes to the value of IoT more than any other project I’ve been associated with.

Of course, the primary value in an IoT system is in the ability to perform analytics on the acquired data and extract useful insights, though make no mistake — building a pipeline for performing scalable analytics with the volume and velocity of data associated with IoT systems is no walk in the park. To help you avoid some of the difficulties we encountered, allow me to share a few observations on how to develop an ideal IoT analytics stack.

Acquiring and storing your data

Myriad protocols enable the receipt of events from IoT devices, especially at the lower levels of the stack. For our purposes, it doesn’t matter whether your device connects to the network using Bluetooth, cellular, Wi-Fi, or a hardware connection, only that it can send a message to a broker of some sort using a defined protocol.

One of the most popular protocols and widely supported protocols for IoT applications isMQTT (Message Queue Telemetry Transport). Plenty of alternatives exist as well, including Constrained Application Protocol, XMPP, and others.

Given its ubiquity and wide support, along with the availability of numerous open source client and broker applications, I tend to recommend starting with MQTT, unless you have compelling reasons to choose otherwise. Mosquitto is one of the best-known and widely used open source MQTT brokers, and it’s a solid choice for your applications. The fact that it’s open source is especially valuable if you’re building a proof of concept on a small budget and want to avoid the expense of proprietary systems.

Regardless of which protocol you choose, you will eventually have messages in hand, representing events or observations from your connected devices. Once a message is received by a broker such as Mosquitto, you can hand that message to the analytics system. A best practice is to store the original source data before performing any transformations or munging. This becomes very valuable when debugging issues in the transform step itself — or if you need to replay a sequence of messages for end-to-end testing or historical analysis.

For storing IoT data, you have several options. In some projects I’ve used Hadoop and Hive, but lately I’ve been working with NoSQL document databases like Couchbase with great success. Couchbase offers a nice combination of high-throughput, low-latency characteristics. It’s also a schema-less document database that supports high data volume along with the flexibility to add new event types easily. Writing data directly to HDFS is a viable option, too, particularly if you intend to use Hadoop and batch-oriented analysis as part of your analytics workflow.

For writing source data to a persistent store, you can either attach custom code directly to the message broker at the IoT protocol level (for example, the Mosquitto broker if using MQTT) or push messages to an intermediate messaging broker such as Apache Kafka — and use different Kafka consumers for moving messages to different parts of your system. One proven pattern is to push messages to Kafka and two consumer groups on the topic, where one has consumers that write the raw data to your persistence store, while the other moves the data into a real-time stream processing engine like Apache Storm.

If you aren’t using Kafka and are using Storm, you can also simply wire a bolt into your topology that does nothing but write messages out to the persistent store. If you are using MQTT and Mosquitto, a convenient way to tie things together is to have your message delivered directly to an Apache Storm topology via the MQTT spout.

Preprocessing and transformations

Data from devices in their raw form are not necessarily suited for analytics. Data may be missing, requiring an enrichment step, or representations of values may need transformation (often true for date and timestamp fields).

This means you’ll frequently need a preprocessing step to manage enrichments and transformations. Again, there are multiple ways to structure this, but another best practice I’ve observed is the need to store the transformed data alongside the raw source data.

Now, you might think: “Why do that when I can always just transform it again if I need to replay something?” As it turns out, transformations and enrichments can be expensive operations and may add significant latency to the overall workflow. It’s best to avoid the need to rerun the transformations if you rerun a sequence of events.

Transformations can be handled several ways. If you are focused on batch mode analysis and are writing data to HDFS as your primary workflow, then Pig — possibly using custom user-defined functions — works well for this purpose. Be aware, however, that while Pig does the job, it’s not exactly designed to have low-latency characteristics. Running multiple Pig jobs in sequence will add a lot of latency to the workflow. A better option, even if you aren’t looking for “real-time analysis” per se, might be using Storm for only the preprocessing phase of the workflow.

Analytics for business insights

Once your data has been transformed into a suitable state and stored for future use, you can start dealing with analytics.

Apache Storm is explicitly designed for handling continuous streams of data in a scalable fashion, which is exactly what IoT systems tend to deliver. Storm excels at managing high-volume streams and performing operations over them, like event correlation, rolling metric calculations, and aggregate statistics. Of course, Storm also leaves the door open for you to implement any algorithm that may be required.

Our experience to date has been that Storm is an extremely good fit for working with streaming IoT data. Let’s look at how it can work as a key element of your analytics pipeline.

In Storm, by default “topologies” run forever, performing any calculation that you can code over a boundless stream of messages. Topologies can consist of any number of processing steps, aka bolts, which distribute over nodes in a cluster; Storm manages the message distribution for you. Bolts can maintain state as needed to perform “sliding window” calculations and other kinds of rolling metrics. A given bolt can also be stateless if it needs to look at only one event at a time (for example, a threshold trigger).

The calculated metrics in your Storm topology can then be used to suit your business requirements as you see fit. Some values may trigger a real-time notification using email or XMPP or update a real-time dashboard. Other values may be discarded immediately, while some may need to be stored in a persistent store. Depending on your application, you may actually find it makes sense to keep more than you throw away, even for “intermediate” values.

Why? Simply put, you have to “reap” data from any stateful bolts in a Storm topology eventually, unless you have infinite RAM and/or swap space available. You may eventually need to perform a “meta analysis” on those calculated, intermediate values. If you store them, you can achieve this without the need to replay the entire time window from the original source events.

How should you store the results of Storm calculations? To start with, understand that you can do anything in your bolts, including writing to a database. Defining a Storm topology that writes calculated metrics to a persistent store is as simple as adding code to the various bolts that connect to your database and pushing the resulting values to the store. Actually, to follow the separation-of-concerns principle, it would be better to add a new bolt to the topology downstream of the bolt that performs the calculations and give it sole responsibility for managing persistence.

IoT analytics pipeline

Storm topologies are extremely flexible, giving you the ability to have any bolt send its output to any number of subsequent bolts. If you want to store the source data coming into the topology, this is as easy as wiring a persistence bolt directly to the spout (or spouts) in question. Since spouts can send data to multiple bolts, you can both store the source events and forward them to any number of subsequent processing steps.

For storing these results, you can use any database, but as noted above, we’ve found that Couchbase works well in these applications. The key point to choosing a database: You want to complement Storm — which has no native query/search facility and can store a limited amount of data in RAM — with a system that provides strong query and retrieval capabilities. Whatever database you choose, once your calculated metrics are stored, it should be straightforward to use the native query facilities in the database for generating reports. From here, you want the ability to utilize Tableau, BIRT, Pentaho, JasperReports, or similar tools to create any required reports or visualizations.

Storing data in this way also opens up the possibility of performing additional analytics at a later time using the tool of your choice. If one of your bolts pushes data into HDFS, you open up the possibility of employing entire swath of Hadoop-based tools for subsequent processing and analysis.

Building analytics solutions that can handle the scale of IoT systems isn’t easy, but the right technology stack makes the challenge less daunting. Choose wisely and you’ll be on your way to developing an analytics system that delivers valuable business insights from data generated by a swarm of IoT devices.

 

By: Infoworld.com

http://www.infoworld.com/article/2876247/application-development/building-an-iot-analytics-solution-with-big-data-tools.html

 

Best Corporate Security Blog


refer: http://www.securitybloggersnetwork.com

security1

Other nominees:

McAfee Blog: click here

CloudFlare Blog: click here

SecureWorks Blog: click here

Solutionary Minds Blog: click here

Kaspersky Lab Securelist Blog: click here

Veracode Blog: click here

Trend Micro Blog: click here

AND THE WINNER IS:

Naked Security Blog: click here

Best Security Podcast

Other nominees:

Liquidmatrix Security Digest: click here

EuroTrashSecurity: click here

SANS Internet Storm Center: click here

Southern Fried Security: click here

Risky Business: click here

Sophos Security Chet Chat: click here

And the winner is:

Paul Dotcom: click here

The Most Educational Security Blog

Other nominees:

BH Consulting’s Security Watch Blog: click here

Security Uncorked Blog: click here

Dr. Kees Leune’s Blog: click here

Securosis Blog: click here

Social-Engineer.org Blog: click here

Critical Watch Blog: click here

The Security Skeptic Blog: click here

The New School of Information Security Blog: click here

And the winner is:

Krebs On Security: click here

The Most Entertaining Security Blog

Other nominees:

Packet Pushers Blog: click here

Securosis Blog: click here

Errata Security Blog: click here

Naked Security Blog: click here

Uncommon Sense Security Blog: click here

PSilvas Blog: click here

And the winner is:

J4VV4D’s Blog: click here

The Blog That Best Represents The Security Industry

Other nominees:

SpiderLabs Anterior Blog: click here

1 Raindrop Blog: click here

Naked Security Blog: click here

The Firewall (Forbes) Blog: click here

Threat Level (Wired) Blog: click here

Securosis Blog: click here

Michael Peters Blog: click here

And the winner is:

Krebs On Security Blog: click here

The Single Best Blog Post or Podcast Of The Year

Other nominees:

The Epic Hacking of Mat Honan and Our Identity Challenge: click here

Application Security Debt and Application Interest Rates: click here

Why XSS is serious business (and why Tesco needs to pay attention): click here

Levelling up in the real world: click here

Secure Business Growth, Corporate Responsibility with Ben Tomhave: click here

And the winner is:

Meet The Hackers Who Sell Spies The Tools To Crack Your PC (And Get Paid Six-Figure Fees): click here

The Security Bloggers Hall Of Fame

The other nominees are:

Richard Bejtlich

Gunnar Peterson

Naked Security Blog

Wendy Nather

And the winner is:

Jack Daniel

%d bloggers like this: