WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
An ninh mạng năm 2016 trên WhiteHat.vn – Một năm nhìn lại
Năm 2016 đã đi qua với nhiều sự cố an ninh mạng nghiêm trọng như hơn 1 tỷ tài khoản Yahoo bị rò rỉ thông tin, tấn công DDoS với lưu lượng kỷ lục lên tới 1,1 Tbps, Vietnam Airlines bị tấn công… Hãy cùng WhiteHat.vn nhìn lại 7 điểm nhấn an ninh mạng đáng chú ý nhất trong năm vừa qua trên WhiteHat.vn do BQT lựa chọn, tổng hợp, phân tích và đánh giá.
1. Hàng loạt mạng xã hội lớn bị rò rỉ thông tin người dùng
2016 là năm gắn liền với nhiều “tai tiếng” về vấn đề an ninh của các mạng xã hội lớn. Hàng tỷ dữ liệu người dùng bị đánh cắp và rao bán trên Internet, gióng lên hồi chuông cảnh báo về sự cấp thiết của việc nâng cao đảm bảo an toàn dữ liệu cá nhân. Với lượng người dùng khổng lồ, mạng xã hội đang là tâm điểm của những cuộc tấn công lấy cắp dữ liệu.
Trước hết, phải kể đến vụ mất cắp dữ liệu lớn nhất xảy ra ở Mỹ, liên quan đến "ông lớn" Yahoo. Hơn 1,5 tỷ người dùng bị đánh cắp tài khoản trong 2 vụ lộ lọt dữ liệu được công bố hồi tháng 9 và tháng 12/2016. Yahoo vẫn chưa thể xác định nguồn gốc vụ tấn công.
Đến lượt MySpace với hơn 427 triệu mật khẩu và 360 triệu địa chỉ email của khách hàng bị tin tặc thu thập và công bố trên Internet. Hacker đã lợi dụng lỗ hổng trong các thuật toán SHA-1 (tính năng mã hóa) để chiếm quyền điều khiển tài khoản của người dùng.
117 triệu người dùng mạng xã hội LinkedIn hoang mang khi thông tin của họ bị rao bán trên web đen. 100 triệu người dùng mạng xã hội Rambler (Nga) bị đánh cắp thông tin. VK.com có 100 triệu tài khoản bị rao bán với mật khẩu người dùng đều ở dạng plain-text. Tumblr cũng là một nạn nhân với 65,4 triệu người dùng bị ảnh hưởng. Nhiều tên tuổi lớn như Gmail hay Twitter không tránh khỏi “thảm hoạ” này, tuy số lượng “không đáng kể”.
Thông tin cho thấy hầu hết các vụ lộ lọt đều xảy ra từ năm 2012, 2013. Như vậy, vấn đề an ninh đã tồn tại từ trước. Hacker đã âm thầm đánh cắp tài khoản người dùng trong khoảng thời gian dài mà các nhà phát triển mạng xã hội không hề hay biết. Để khắc phục tình trạng này, các nhà phát triển cần chú trọng hơn đến việc đảm bảo an toàn thông tin khách hàng, thường xuyên kiểm thử và giám sát an ninh hệ thống, có những chính sách chặt chẽ về đảm bảo an ninh thông tin người dùng.
Những vụ lộ lọt tài khoản mạng xã hội cũng cho thấy hiện trạng thiếu an ninh ở phía người dùng. Rất nhiều người đang sử dụng mật khẩu đơn giản, thiếu an toàn như "123456", "qwerty", "password1"... Đây vốn là những mật khẩu yếu, hacker có thể dễ dàng đoán được hoặc thăm dò để chiếm tài khoản của nạn nhân.
Để tự bảo vệ mình, người dùng cần cảnh giác với những hành vi lừa đảo nhằm chiếm đoạt tài khoản trên mạng xã hội như không click vào các link lạ, không đăng nhập trên các trang không an toàn, chỉ đăng nhập trên trang chính thống của mạng xã hội… Ngoài ra, người dùng cũng cần nâng cao an ninh cho tài khoản của mình như đặt mật khẩu mạnh, thiết lập xác thực 2 bước (nếu có), không lưu trữ thông tin quan trọng như tài khoản ngân hàng, mật khẩu hay thực hiện giao dịch quan trọng trên mạng xã hội.
2. Tấn công DDoS sử dụng mã độc Mirai trên các thiết bị IoT
Năm 2016 chứng kiến sự bùng nổ của các cuộc tấn công DoS/DDoS cả về quy mô và sức mạnh. Theo ghi nhận của mạng lưới phân bố nội dung khổng lồ Akamai, số lượng các cuộc tấn công DoS/DDoS trong quý 3/2016 tăng 71% so với cùng kỳ năm trước, tăng 8% so với quý 2/2016.
2016 cũng được xem là năm phát triển mạnh mẽ của nghành công nghiệp IoT. Tuy nhiên, vấn đề an ninh trong lĩnh vực này chưa theo kịp tốc độ phát triển và mở rộng của thiết bị. Các nhà sản suất sản phẩm IoT chưa quan tâm đúng mức tới vấn đề an ninh.
Tháng 9/2016, website của hãng an ninh mạng KrebsOnSecurity bị tấn công và tê liệt trong vòng 24h, lưu lượng lên đến trên 620 Gbps. Vài ngày sau, xuất hiện cuộc tấn công lên tới 1,1 Tbps vào nhà cung cấp dịch vụ của Pháp. Làm cách nào tin tặc có thể tạo ra cuộc tấn công với những con số ấn tượng như vậy? Các cuộc tấn công lớn trước đây sử dụng kỹ thuật “DNS reflection”, lợi dụng các máy chủ DNS không được quản lý tốt để khuếch đại cuộc tấn công. Tuy nhiên, các cuộc tấn công vừa qua đều đến từ các kết nối hợp lệ giữa client và server dịch vụ web, cho thấy có một mạng lưới botnet khổng lồ đang tồn tại trong mạng Internet.
Ngay sau đó, kẻ đứng sau các vụ tấn công kỷ lục này lộ diện. Toàn bộ mã nguồn của mã độc được biết đến với tên gọi “Mirai” được công bố trên diễn đàn Hackforums. Mã độc này nhắm mục tiêu vào các thiết bị IoT “yếu” để lây lan và mở rộng mạng lưới botnet của mình. Phương thức lây lan thực sự rất đơn giản: Mirai liên tục quét mạng Internet để tìm các thiết bị IoT như camera, DVR, router… Lợi dụng việc các nhà sản xuất thiết bị IoT thường để mật khẩu quản trị mặc định cho sản phẩm của mình, Mirai sử dụng một bộ từ điển tài khoản/mật khẩu mặc định để xâm nhập vào các hệ thống, thiết bị IoT. Sau đó “gieo rắc” các thành phần độc hại vào thiết bị, biến nó trở thành một công cụ tấn công.
Việc công bố rộng rãi mã nguồn của Mirai tạo ra một cuộc đua trong việc kiểm soát các mạng botnet dựa trên thiết bị IoT vì ai cũng có thể xây dựng botnet riêng dựa trên đó. Biến thể của Mirai sẽ nhanh chóng xuất hiện và khai thác các điểm yếu khác trong sản phẩm IoT. Điều này khiến việc xác định kẻ chủ mưu trong các vụ tấn công trở nên khó khăn hơn, khi tác giả ban đầu không phải là kẻ duy nhất nắm giữ mã nguồn của mã độc.
Mirai không phải là mã độc đầu tiên hay cuối cùng, nhưng khả năng phát triển và mở rộng của mạng lưới botnet dựa trên các hệ thống IoT là điều có thể dự đoán. Tốc độ phát triển nhanh chóng của công nghiệp IoT, với 20,8 tỷ thiết bị vào năm 2020 (theo Gartner Inc) mang đến thách thức to lớn cho các ISP, các chuyên gia an ninh mạng và các nhà sản xuất thiết bị IoT trong việc phát triển giải pháp an ninh cho các sản phẩm IoT.
3. Một năm bùng nổ của mã độc mã hoá dữ liệu tống tiền
Đúng như dự báo trong tổng kết cuối năm 2015 của các chuyên gia Bkav, năm 2016 đã ghi nhận sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware. Thống kê từ hệ thống giám sát virus của Bkav cho thấy, có tới 16% lượng email lưu chuyển trong năm 2016 là email phát tán ransomware, nhiều gấp 20 lần năm 2015. Như vậy cứ trung bình 10 email nhận được trong năm 2016 thì người sử dụng sẽ gặp 1,6 email chứa ransomware, một con số rất đáng báo động.
Ransomware chuyên mã hóa các file dữ liệu trên máy tính, khiến người sử dụng không thể mở file nếu không trả tiền chuộc cho hacker. Đa số các loại ransomware đều yêu cầu nạn nhân trả từ 0,5 đến 1 Bitcoin (tương đương 500 đến 1.000 USD) để lấy lại các dữ liệu bị mã hóa. Số tiền chuộc khổng lồ mà hacker kiếm được chính là nguyên nhân dẫn tới sự bùng nổ của loại mã độc nguy hiểm này. Đặc biệt, mã độc Popcorn Time xuất hiện trong thời gian gần đây cho phép người dùng giải mã miễn phí các tập tin của mình nếu làm theo hướng dẫn để lây nhiễm cho hai người khác.
Hình thức phát tán chủ yếu của ransomware trong năm 2016 là thông qua file đính kèm từ các email spam. Khi người dùng mở trực tiếp file đính kèm, mã độc sẽ chạy trực tiếp hoặc được file đính kèm tải về từ máy chủ C&C của hacker. Một số hình thức phát tán khác mà ransomware sử dụng là khai thác lỗ hổng, giả mạo trang web, giả mạo các chương trình thông dụng…
Locky là dòng ransomware lây lan rộng nhất trong năm qua với những chiến dịch email spam số lượng rất lớn nhắm vào người dùng. Email phát tán Locky thường chứa các file tài liệu dạng .doc, .xls hoặc script như .js hay .wsf. Tập tin bị mã hóa từng thời điểm sẽ có đuôi khác nhau như *.aesir hay *.odin… Mã độc tống tiền Cerber cũng là một hiện tượng không thể bỏ qua trong năm vừa rồi. Khi máy tính bị nhiễm Cerber, các tập tin dữ liệu sẽ bị mã hóa và đổi đuôi thành *.cerber, *.cerber2, *.cerber3. Các phiên bản Cerber 4 và Cerber 5 cũng đã xuất hiện vào cuối năm 2016.
Đặc biệt, ransomware không chỉ nhắm đến người dùng Windows mà còn mở rộng sang các hệ điều hành khác như Linux hay Mac OS, thậm chí cả thiết bị di động chạy Android và smart TV.
Để phòng tránh, người dùng nên trang bị phần mềm diệt virus để được bảo vệ tự động, luôn mở file tải về từ email trong môi trường cách ly an toàn Safe Run. Người dùng cũng nên tải và sử dụng các phần mềm có nguồn gốc rõ ràng, đảm bảo các phần mềm trong máy tính luôn được cập nhật phiên bản mới nhất và thường xuyên sao lưu dữ liệu.
4. Nền tảng Linux đang trở thành mục tiêu màu mỡ của tin tặc
Hiện nay, các hệ điều hành dựa trên nhân Linux đã trở nên phổ biến, được sử dụng ngày càng nhiều trên các hệ thống máy chủ, các thiết bị IoT và trong hầu hết các loại điện thoại thông minh. Song song với xu hướng đó, các hệ điều hành này đang dần trở thành mục tiêu của hacker cũng như các nhà nghiên cứu an ninh mạng.
Theo thống kê của “cvedetails.com”, từ 1999 tới nay có 1.555 lỗ hổng đã được công bố trên Linux. Riêng năm 2016 ghi nhận 218 trường hợp, nhiều nhất trong những năm qua.
Cụ thể, năm 2016, các nhà quản trị không thể nào quên Dirty COW - một lỗ hổng cho phép leo thang đặc quyền, đã có mặt trong nhân Linux suốt 9 năm. Các phiên bản Linux từ 2.6.22 trở lên đều bị ảnh hưởng. Theo thống kê của Bkav, vào thời điểm phát hiện, Dirty COW ảnh hưởng tới hơn 5.000 hệ thống tại Việt Nam, bao gồm các dịch vụ quan trọng như Webserver và FTP Server... Trong thực tế, Dirty COW có thể được kết hợp với một số dạng lỗ hổng phổ biến như SQL injection, Buffer Overflow… để kiểm soát toàn bộ hệ thống nạn nhân với quyền cao nhất. Một tháng sau, một lỗ hổng khác với 5 năm tuổi đời trong nhân Linux được công bố. Lỗ hổng này khai thác lỗi race condition trong thành phần “net/packet/af_packet.c” của nhân Linux, cho phép hacker thực thi mã tùy ý với quyền cao nhất.
Những vấn đề an ninh kém “nổi tiếng” hơn trên nền Linux cũng không ít. Có thể kể đến lỗ hổng ảnh hưởng tới khoảng 80% thiết bị Android, lỗi cho phép tấn công kết nối web, lỗ hổng tràn bộ đệm trong thư viện GNU C…
Năm 2016 cũng ghi nhận sự xuất hiện của các dòng ransomware chạy trên nền Linux như Linux Encoder.1, Ransom32 hay gần đây là KillDisk. Điều này cho thấy hacker đã bắt đầu hướng tới Linux như một mảnh đất màu mỡ. Các cuộc tấn công trên nền tảng này sẽ ngày càng phổ biến với độ phức tạp tăng dần theo thời gian.
5. An ninh ngành ngân hàng bị đe doạ nghiêm trọng
Trong thời đại công nghệ số, việc dùng súng để cướp nhà băng xem ra đã “lỗi thời”. Thay vào đó, các nhóm tội phạm có thể “cướp” ngân hàng bằng một chiếc máy tính. Hacker dễ dàng lấy được tiền trong túi người dùng chỉ qua một lỗ hổng. Và năm 2016 ghi nhận những vụ cướp “không tưởng” trong lĩnh vực tài chính, gây thiệt hại lớn cho nạn nhân.
Trước hết là loạt vụ “cướp” ngân hàng liên quan đến hệ thống chuyển tiền quốc tế SWIFT. Các nạn nhân gồm Ngân hàng Trung ương Bangladesh, một ngân hàng của Ecuador, một ngân hàng của Philippines và ngân hàng TPBank của Việt Nam. Hacker đã dễ dàng đánh cắp 81 triệu USD từ tài khoản New York Fed của Ngân hàng Trung ương Bangladesh do ngân hàng này không có tường lửa và dùng loại switch cũ, rẻ tiền. Ngân hàng TPBank cũng từng bị tấn công bằng các điện SWIFT giả, yêu cầu chuyển đi số tiền hơn 1 triệu Euro. Nhờ phát hiện kịp thời, TPBank đã tránh được thiệt hại.
Không liên quan đến SWIFT, an ninh của ngành ngân hàng Việt Nam cũng đang bị đe dọa khi liên tiếp xảy ra các vụ mất tiền trong năm 2016. Điển hình là vụ việc một chủ tài khoản Vietcombank bị mất 500 triệu đồng trong tài khoản chỉ sau một đêm. Không lâu sau đó, thêm hai chủ tài khoản Vietcombank cũng báo mình bị mất tiền một cách khó hiểu. Không chỉ Vietcombank, khách hàng của hàng loạt ngân hàng khác như ANZ, VIB cũng lên tiếng về việc bị mất tiền trong tài khoản.
Theo đánh giá của các chuyên gia Bkav, do đặc thù lĩnh vực kinh doanh, các ngân hàng luôn được đầu tư tốt nhất về an toàn bảo mật so với các lĩnh vực khác. Tuy nhiên, hệ thống giao dịch của ngân hàng cũng giống như các hệ thống công nghệ thông tin khác, về nguyên tắc đều có nguy cơ tồn tại lỗ hổng. Do vậy, các ngân hàng cần định kỳ rà soát để phát hiện sớm các rủi ro, vá các lỗ hổng, trang bị thêm các biện pháp để bảo vệ chính mình và bảo vệ khách hàng. Về phía người dùng, ngoài việc chờ đợi vào sự an toàn của ngân hàng, cần chủ động bảo vệ túi tiền của mình bằng việc tìm hiểu và tuân thủ các nguyên tắc về an toàn bảo mật khi tham gia vào môi trường mạng, đặc biệt là khi thực hiện các giao dịch tài chính.
6. Tấn công có chủ đích APT - quả bom hẹn giờ
Vụ việc Vietnam Airlines bị tấn công ngày 29/07/2016 là cảnh báo mạnh mẽ về nguy cơ các cuộc tấn công có chủ đích APT tại Việt Nam sẽ còn tiếp tục trong thời gian tới.
Chiều 29/07, website của Vietnam Airlines bị deface với hình ảnh nhóm hacker 1937cn, đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng bị rò rỉ lên mạng. Chưa dừng lại, hệ thống âm thanh và thông báo tại cảng hàng không Tân Sơn Nhất và Nội Bài bị can thiệp, sửa đổi hiển thị hình ảnh và âm thanh xuyên tạc về vấn đề Biển Đông. Để thực hiện được cuộc tấn công này hacker đã xâm nhập sâu vào hệ thống bằng cách sử dụng phần mềm gián điệp (spyware) theo dõi, kiểm soát máy của quản trị viên. Phần mềm này có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm soát, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại như xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Kết quả phân tích của Bkav còn cho thấy, mã độc tấn công Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp bao gồm cả các cơ quan Chính phủ, các tập đoàn, ngân hàng, viện nghiên cứu, trường đại học.
Kịch bản tấn công có chủ đích APT thường được hacker sử dụng là gửi email đính kèm file văn bản chứa mã độc. Với tâm lý cho rằng file văn bản thì an toàn, rất nhiều người sử dụng đã mắc lừa và mở file đính kèm, sau đó máy tính đã bị nhiễm mã độc. Theo thống kê năm 2016 của Bkav, có tới hơn 50% người dùng cho biết vẫn giữ thói quen mở ngay các file được đính kèm trong email, không giảm so với năm 2015.
Để phòng ngừa nguy cơ tấn công APT, người sử dụng nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Bên cạnh việc dùng các biện pháp phòng tránh bằng công nghệ, người dùng phải nâng cao nhận thức về an ninh mạng, không mở các tập tin/liên kết của người lạ gửi tới. Các doanh nghiệp cần thực hiện những biện pháp rà soát bảo vệ trước những cuộc tấn công có thể xảy ra. Bên cạnh việc trang bị thiết bị an toàn, an ninh tốt, thì cần nâng cao chất lượng nguồn nhân lực CNTT. Các doanh nghiệp cũng cần áp dụng quy trình kiểm tra hệ thống thường xuyên, trang bị giải pháp cảnh báo về những mối nguy tiềm ẩn nhằm đảm bảo hoạt động thông suốt của hệ thống.
7. Lĩnh vực an ninh mạng của Việt Nam vẫn có nhiều điểm sáng
Có thể nói, 2016 là một năm u ám về tình hình an ninh mạng. Tuy nhiên, những bước tiến gần đây trong lĩnh vực an ninh mạng của Việt Nam phần nào giảm bớt gam màu “ảm đạm” cho bức tranh đó. Cuộc thi an ninh mạng toàn cầu WhiteHat Grand Prix lần thứ hai được tổ chức thành công và các đội thi Việt Nam đã giành được thứ hạng cao. Việc điều phối ứng phó an ninh mạng trong nước cũng được chú trọng và triển khai thường xuyên.
Cuộc thi an ninh mạng toàn cầu WhiteHat Grand Prix 2016 chứng kiến sự tranh tài của hơn 500 đội thi đến từ 52 quốc gia trên thế giới, với 111 đội Việt Nam. Để thu hút được số lượng lớn các đội quốc tế tham dự, phải là các cuộc thi có tầm vóc, thường được tổ chức bởi các quốc gia có trình độ khoa học công nghệ hàng đầu thế giới. Việc Việt Nam có thể tổ chức một cuộc thi an ninh mạng ở quy mô toàn cầu như WhiteHat Grand Prix được đánh giá là một điều đặc biệt.
Top 10 chung cuộc WhiteHat Grand Prix 2016 có sự góp mặt của 5 đội thi Việt Nam
Tại cuộc thi này, cạnh tranh với những tên tuổi lớn trên bảng xếp hạng các cuộc thi an ninh mạng toàn cầu CTFtime như dcua, Dragon Sector, p4, 217… các đội Việt Nam đã thi đấu không kém cạnh. Top 10 chung cuộc có sự góp mặt của 5 đội thi Việt Nam, trong đó CLGTftMeePwn và BabyPhD xếp vị trí thứ Hai và Ba. Thứ hạng cao của các đội thi một lần nữa khẳng định năng lực trong lĩnh vực an ninh mạng của Việt Nam.
Trong bối cảnh an ninh mạng đang trở thành vấn đề nóng của toàn thế giới, bên cạnh sự chuẩn bị tốt về nhân lực, trang thiết bị, việc điều phối ứng phó an ninh mạng cũng là điều cực kỳ quan trọng. Năm vừa qua, các cuộc diễn tập với kịch bản cụ thể về phương án ứng cứu sự cố an ninh mạng dành cho các cơ quan, tổ chức, doanh nghiệp được tổ chức thường xuyên. Có thể kể đến một số cuộc diễn tập nổi bật như Diễn tập An ninh mạng hồi tháng 5 với chủ đề “Điều tra và xử lý website bị tấn công” đã thu hút sự tham gia của nhiều cơ quan nhà nước, sở TT&TT tỉnh và thành phố, doanh nghiệp tài chính ngân hàng, trường đại học hay Diễn tập An ninh mạng tháng 8 dành riêng cho các sở TT&TT trên toàn quốc… Việc này giúp hình thành mạng lưới chia sẻ thông tin, hỗ trợ lẫn nhau hiệu quả giữa các cơ quan, tổ chức, doanh nghiệp khi ứng phó với sự cố an ninh mạng diễn ra trong thực tế, từ đó đảm bảo an toàn an ninh thông tin quốc gia.
Lực lượng tham gia Diễn tập an ninh mạng của Sở TT&TT Thái Nguyên
1. Hàng loạt mạng xã hội lớn bị rò rỉ thông tin người dùng
2016 là năm gắn liền với nhiều “tai tiếng” về vấn đề an ninh của các mạng xã hội lớn. Hàng tỷ dữ liệu người dùng bị đánh cắp và rao bán trên Internet, gióng lên hồi chuông cảnh báo về sự cấp thiết của việc nâng cao đảm bảo an toàn dữ liệu cá nhân. Với lượng người dùng khổng lồ, mạng xã hội đang là tâm điểm của những cuộc tấn công lấy cắp dữ liệu.
Trước hết, phải kể đến vụ mất cắp dữ liệu lớn nhất xảy ra ở Mỹ, liên quan đến "ông lớn" Yahoo. Hơn 1,5 tỷ người dùng bị đánh cắp tài khoản trong 2 vụ lộ lọt dữ liệu được công bố hồi tháng 9 và tháng 12/2016. Yahoo vẫn chưa thể xác định nguồn gốc vụ tấn công.
Đến lượt MySpace với hơn 427 triệu mật khẩu và 360 triệu địa chỉ email của khách hàng bị tin tặc thu thập và công bố trên Internet. Hacker đã lợi dụng lỗ hổng trong các thuật toán SHA-1 (tính năng mã hóa) để chiếm quyền điều khiển tài khoản của người dùng.
117 triệu người dùng mạng xã hội LinkedIn hoang mang khi thông tin của họ bị rao bán trên web đen. 100 triệu người dùng mạng xã hội Rambler (Nga) bị đánh cắp thông tin. VK.com có 100 triệu tài khoản bị rao bán với mật khẩu người dùng đều ở dạng plain-text. Tumblr cũng là một nạn nhân với 65,4 triệu người dùng bị ảnh hưởng. Nhiều tên tuổi lớn như Gmail hay Twitter không tránh khỏi “thảm hoạ” này, tuy số lượng “không đáng kể”.
Thông tin cho thấy hầu hết các vụ lộ lọt đều xảy ra từ năm 2012, 2013. Như vậy, vấn đề an ninh đã tồn tại từ trước. Hacker đã âm thầm đánh cắp tài khoản người dùng trong khoảng thời gian dài mà các nhà phát triển mạng xã hội không hề hay biết. Để khắc phục tình trạng này, các nhà phát triển cần chú trọng hơn đến việc đảm bảo an toàn thông tin khách hàng, thường xuyên kiểm thử và giám sát an ninh hệ thống, có những chính sách chặt chẽ về đảm bảo an ninh thông tin người dùng.
Những vụ lộ lọt tài khoản mạng xã hội cũng cho thấy hiện trạng thiếu an ninh ở phía người dùng. Rất nhiều người đang sử dụng mật khẩu đơn giản, thiếu an toàn như "123456", "qwerty", "password1"... Đây vốn là những mật khẩu yếu, hacker có thể dễ dàng đoán được hoặc thăm dò để chiếm tài khoản của nạn nhân.
Để tự bảo vệ mình, người dùng cần cảnh giác với những hành vi lừa đảo nhằm chiếm đoạt tài khoản trên mạng xã hội như không click vào các link lạ, không đăng nhập trên các trang không an toàn, chỉ đăng nhập trên trang chính thống của mạng xã hội… Ngoài ra, người dùng cũng cần nâng cao an ninh cho tài khoản của mình như đặt mật khẩu mạnh, thiết lập xác thực 2 bước (nếu có), không lưu trữ thông tin quan trọng như tài khoản ngân hàng, mật khẩu hay thực hiện giao dịch quan trọng trên mạng xã hội.
2. Tấn công DDoS sử dụng mã độc Mirai trên các thiết bị IoT
Năm 2016 chứng kiến sự bùng nổ của các cuộc tấn công DoS/DDoS cả về quy mô và sức mạnh. Theo ghi nhận của mạng lưới phân bố nội dung khổng lồ Akamai, số lượng các cuộc tấn công DoS/DDoS trong quý 3/2016 tăng 71% so với cùng kỳ năm trước, tăng 8% so với quý 2/2016.
2016 cũng được xem là năm phát triển mạnh mẽ của nghành công nghiệp IoT. Tuy nhiên, vấn đề an ninh trong lĩnh vực này chưa theo kịp tốc độ phát triển và mở rộng của thiết bị. Các nhà sản suất sản phẩm IoT chưa quan tâm đúng mức tới vấn đề an ninh.
Tháng 9/2016, website của hãng an ninh mạng KrebsOnSecurity bị tấn công và tê liệt trong vòng 24h, lưu lượng lên đến trên 620 Gbps. Vài ngày sau, xuất hiện cuộc tấn công lên tới 1,1 Tbps vào nhà cung cấp dịch vụ của Pháp. Làm cách nào tin tặc có thể tạo ra cuộc tấn công với những con số ấn tượng như vậy? Các cuộc tấn công lớn trước đây sử dụng kỹ thuật “DNS reflection”, lợi dụng các máy chủ DNS không được quản lý tốt để khuếch đại cuộc tấn công. Tuy nhiên, các cuộc tấn công vừa qua đều đến từ các kết nối hợp lệ giữa client và server dịch vụ web, cho thấy có một mạng lưới botnet khổng lồ đang tồn tại trong mạng Internet.
Ngay sau đó, kẻ đứng sau các vụ tấn công kỷ lục này lộ diện. Toàn bộ mã nguồn của mã độc được biết đến với tên gọi “Mirai” được công bố trên diễn đàn Hackforums. Mã độc này nhắm mục tiêu vào các thiết bị IoT “yếu” để lây lan và mở rộng mạng lưới botnet của mình. Phương thức lây lan thực sự rất đơn giản: Mirai liên tục quét mạng Internet để tìm các thiết bị IoT như camera, DVR, router… Lợi dụng việc các nhà sản xuất thiết bị IoT thường để mật khẩu quản trị mặc định cho sản phẩm của mình, Mirai sử dụng một bộ từ điển tài khoản/mật khẩu mặc định để xâm nhập vào các hệ thống, thiết bị IoT. Sau đó “gieo rắc” các thành phần độc hại vào thiết bị, biến nó trở thành một công cụ tấn công.
Việc công bố rộng rãi mã nguồn của Mirai tạo ra một cuộc đua trong việc kiểm soát các mạng botnet dựa trên thiết bị IoT vì ai cũng có thể xây dựng botnet riêng dựa trên đó. Biến thể của Mirai sẽ nhanh chóng xuất hiện và khai thác các điểm yếu khác trong sản phẩm IoT. Điều này khiến việc xác định kẻ chủ mưu trong các vụ tấn công trở nên khó khăn hơn, khi tác giả ban đầu không phải là kẻ duy nhất nắm giữ mã nguồn của mã độc.
Mirai không phải là mã độc đầu tiên hay cuối cùng, nhưng khả năng phát triển và mở rộng của mạng lưới botnet dựa trên các hệ thống IoT là điều có thể dự đoán. Tốc độ phát triển nhanh chóng của công nghiệp IoT, với 20,8 tỷ thiết bị vào năm 2020 (theo Gartner Inc) mang đến thách thức to lớn cho các ISP, các chuyên gia an ninh mạng và các nhà sản xuất thiết bị IoT trong việc phát triển giải pháp an ninh cho các sản phẩm IoT.
3. Một năm bùng nổ của mã độc mã hoá dữ liệu tống tiền
Đúng như dự báo trong tổng kết cuối năm 2015 của các chuyên gia Bkav, năm 2016 đã ghi nhận sự bùng nổ của mã độc mã hóa dữ liệu tống tiền ransomware. Thống kê từ hệ thống giám sát virus của Bkav cho thấy, có tới 16% lượng email lưu chuyển trong năm 2016 là email phát tán ransomware, nhiều gấp 20 lần năm 2015. Như vậy cứ trung bình 10 email nhận được trong năm 2016 thì người sử dụng sẽ gặp 1,6 email chứa ransomware, một con số rất đáng báo động.
Ransomware chuyên mã hóa các file dữ liệu trên máy tính, khiến người sử dụng không thể mở file nếu không trả tiền chuộc cho hacker. Đa số các loại ransomware đều yêu cầu nạn nhân trả từ 0,5 đến 1 Bitcoin (tương đương 500 đến 1.000 USD) để lấy lại các dữ liệu bị mã hóa. Số tiền chuộc khổng lồ mà hacker kiếm được chính là nguyên nhân dẫn tới sự bùng nổ của loại mã độc nguy hiểm này. Đặc biệt, mã độc Popcorn Time xuất hiện trong thời gian gần đây cho phép người dùng giải mã miễn phí các tập tin của mình nếu làm theo hướng dẫn để lây nhiễm cho hai người khác.
Hình thức phát tán chủ yếu của ransomware trong năm 2016 là thông qua file đính kèm từ các email spam. Khi người dùng mở trực tiếp file đính kèm, mã độc sẽ chạy trực tiếp hoặc được file đính kèm tải về từ máy chủ C&C của hacker. Một số hình thức phát tán khác mà ransomware sử dụng là khai thác lỗ hổng, giả mạo trang web, giả mạo các chương trình thông dụng…
Locky là dòng ransomware lây lan rộng nhất trong năm qua với những chiến dịch email spam số lượng rất lớn nhắm vào người dùng. Email phát tán Locky thường chứa các file tài liệu dạng .doc, .xls hoặc script như .js hay .wsf. Tập tin bị mã hóa từng thời điểm sẽ có đuôi khác nhau như *.aesir hay *.odin… Mã độc tống tiền Cerber cũng là một hiện tượng không thể bỏ qua trong năm vừa rồi. Khi máy tính bị nhiễm Cerber, các tập tin dữ liệu sẽ bị mã hóa và đổi đuôi thành *.cerber, *.cerber2, *.cerber3. Các phiên bản Cerber 4 và Cerber 5 cũng đã xuất hiện vào cuối năm 2016.
Đặc biệt, ransomware không chỉ nhắm đến người dùng Windows mà còn mở rộng sang các hệ điều hành khác như Linux hay Mac OS, thậm chí cả thiết bị di động chạy Android và smart TV.
Để phòng tránh, người dùng nên trang bị phần mềm diệt virus để được bảo vệ tự động, luôn mở file tải về từ email trong môi trường cách ly an toàn Safe Run. Người dùng cũng nên tải và sử dụng các phần mềm có nguồn gốc rõ ràng, đảm bảo các phần mềm trong máy tính luôn được cập nhật phiên bản mới nhất và thường xuyên sao lưu dữ liệu.
4. Nền tảng Linux đang trở thành mục tiêu màu mỡ của tin tặc
Hiện nay, các hệ điều hành dựa trên nhân Linux đã trở nên phổ biến, được sử dụng ngày càng nhiều trên các hệ thống máy chủ, các thiết bị IoT và trong hầu hết các loại điện thoại thông minh. Song song với xu hướng đó, các hệ điều hành này đang dần trở thành mục tiêu của hacker cũng như các nhà nghiên cứu an ninh mạng.
Theo thống kê của “cvedetails.com”, từ 1999 tới nay có 1.555 lỗ hổng đã được công bố trên Linux. Riêng năm 2016 ghi nhận 218 trường hợp, nhiều nhất trong những năm qua.
Cụ thể, năm 2016, các nhà quản trị không thể nào quên Dirty COW - một lỗ hổng cho phép leo thang đặc quyền, đã có mặt trong nhân Linux suốt 9 năm. Các phiên bản Linux từ 2.6.22 trở lên đều bị ảnh hưởng. Theo thống kê của Bkav, vào thời điểm phát hiện, Dirty COW ảnh hưởng tới hơn 5.000 hệ thống tại Việt Nam, bao gồm các dịch vụ quan trọng như Webserver và FTP Server... Trong thực tế, Dirty COW có thể được kết hợp với một số dạng lỗ hổng phổ biến như SQL injection, Buffer Overflow… để kiểm soát toàn bộ hệ thống nạn nhân với quyền cao nhất. Một tháng sau, một lỗ hổng khác với 5 năm tuổi đời trong nhân Linux được công bố. Lỗ hổng này khai thác lỗi race condition trong thành phần “net/packet/af_packet.c” của nhân Linux, cho phép hacker thực thi mã tùy ý với quyền cao nhất.
Những vấn đề an ninh kém “nổi tiếng” hơn trên nền Linux cũng không ít. Có thể kể đến lỗ hổng ảnh hưởng tới khoảng 80% thiết bị Android, lỗi cho phép tấn công kết nối web, lỗ hổng tràn bộ đệm trong thư viện GNU C…
Năm 2016 cũng ghi nhận sự xuất hiện của các dòng ransomware chạy trên nền Linux như Linux Encoder.1, Ransom32 hay gần đây là KillDisk. Điều này cho thấy hacker đã bắt đầu hướng tới Linux như một mảnh đất màu mỡ. Các cuộc tấn công trên nền tảng này sẽ ngày càng phổ biến với độ phức tạp tăng dần theo thời gian.
5. An ninh ngành ngân hàng bị đe doạ nghiêm trọng
Trong thời đại công nghệ số, việc dùng súng để cướp nhà băng xem ra đã “lỗi thời”. Thay vào đó, các nhóm tội phạm có thể “cướp” ngân hàng bằng một chiếc máy tính. Hacker dễ dàng lấy được tiền trong túi người dùng chỉ qua một lỗ hổng. Và năm 2016 ghi nhận những vụ cướp “không tưởng” trong lĩnh vực tài chính, gây thiệt hại lớn cho nạn nhân.
Trước hết là loạt vụ “cướp” ngân hàng liên quan đến hệ thống chuyển tiền quốc tế SWIFT. Các nạn nhân gồm Ngân hàng Trung ương Bangladesh, một ngân hàng của Ecuador, một ngân hàng của Philippines và ngân hàng TPBank của Việt Nam. Hacker đã dễ dàng đánh cắp 81 triệu USD từ tài khoản New York Fed của Ngân hàng Trung ương Bangladesh do ngân hàng này không có tường lửa và dùng loại switch cũ, rẻ tiền. Ngân hàng TPBank cũng từng bị tấn công bằng các điện SWIFT giả, yêu cầu chuyển đi số tiền hơn 1 triệu Euro. Nhờ phát hiện kịp thời, TPBank đã tránh được thiệt hại.
Không liên quan đến SWIFT, an ninh của ngành ngân hàng Việt Nam cũng đang bị đe dọa khi liên tiếp xảy ra các vụ mất tiền trong năm 2016. Điển hình là vụ việc một chủ tài khoản Vietcombank bị mất 500 triệu đồng trong tài khoản chỉ sau một đêm. Không lâu sau đó, thêm hai chủ tài khoản Vietcombank cũng báo mình bị mất tiền một cách khó hiểu. Không chỉ Vietcombank, khách hàng của hàng loạt ngân hàng khác như ANZ, VIB cũng lên tiếng về việc bị mất tiền trong tài khoản.
Theo đánh giá của các chuyên gia Bkav, do đặc thù lĩnh vực kinh doanh, các ngân hàng luôn được đầu tư tốt nhất về an toàn bảo mật so với các lĩnh vực khác. Tuy nhiên, hệ thống giao dịch của ngân hàng cũng giống như các hệ thống công nghệ thông tin khác, về nguyên tắc đều có nguy cơ tồn tại lỗ hổng. Do vậy, các ngân hàng cần định kỳ rà soát để phát hiện sớm các rủi ro, vá các lỗ hổng, trang bị thêm các biện pháp để bảo vệ chính mình và bảo vệ khách hàng. Về phía người dùng, ngoài việc chờ đợi vào sự an toàn của ngân hàng, cần chủ động bảo vệ túi tiền của mình bằng việc tìm hiểu và tuân thủ các nguyên tắc về an toàn bảo mật khi tham gia vào môi trường mạng, đặc biệt là khi thực hiện các giao dịch tài chính.
6. Tấn công có chủ đích APT - quả bom hẹn giờ
Vụ việc Vietnam Airlines bị tấn công ngày 29/07/2016 là cảnh báo mạnh mẽ về nguy cơ các cuộc tấn công có chủ đích APT tại Việt Nam sẽ còn tiếp tục trong thời gian tới.
Chiều 29/07, website của Vietnam Airlines bị deface với hình ảnh nhóm hacker 1937cn, đồng thời dữ liệu của hơn 400.000 khách hàng Bông Sen Vàng bị rò rỉ lên mạng. Chưa dừng lại, hệ thống âm thanh và thông báo tại cảng hàng không Tân Sơn Nhất và Nội Bài bị can thiệp, sửa đổi hiển thị hình ảnh và âm thanh xuyên tạc về vấn đề Biển Đông. Để thực hiện được cuộc tấn công này hacker đã xâm nhập sâu vào hệ thống bằng cách sử dụng phần mềm gián điệp (spyware) theo dõi, kiểm soát máy của quản trị viên. Phần mềm này có chức năng thu thập tài khoản mật khẩu, nhận lệnh cho phép hacker kiểm soát, điều khiển máy tính nạn nhân từ xa, thực hiện các hành vi phá hoại như xóa dấu vết, thay đổi âm thanh, hiển thị hình ảnh, mã hóa dữ liệu… Kết quả phân tích của Bkav còn cho thấy, mã độc tấn công Vietnam Airlines cũng xuất hiện tại nhiều cơ quan, doanh nghiệp bao gồm cả các cơ quan Chính phủ, các tập đoàn, ngân hàng, viện nghiên cứu, trường đại học.
Kịch bản tấn công có chủ đích APT thường được hacker sử dụng là gửi email đính kèm file văn bản chứa mã độc. Với tâm lý cho rằng file văn bản thì an toàn, rất nhiều người sử dụng đã mắc lừa và mở file đính kèm, sau đó máy tính đã bị nhiễm mã độc. Theo thống kê năm 2016 của Bkav, có tới hơn 50% người dùng cho biết vẫn giữ thói quen mở ngay các file được đính kèm trong email, không giảm so với năm 2015.
Để phòng ngừa nguy cơ tấn công APT, người sử dụng nên mở các file văn bản nhận từ Internet trong môi trường cách ly Safe Run và cài phần mềm diệt virus thường trực trên máy tính để được bảo vệ tự động. Bên cạnh việc dùng các biện pháp phòng tránh bằng công nghệ, người dùng phải nâng cao nhận thức về an ninh mạng, không mở các tập tin/liên kết của người lạ gửi tới. Các doanh nghiệp cần thực hiện những biện pháp rà soát bảo vệ trước những cuộc tấn công có thể xảy ra. Bên cạnh việc trang bị thiết bị an toàn, an ninh tốt, thì cần nâng cao chất lượng nguồn nhân lực CNTT. Các doanh nghiệp cũng cần áp dụng quy trình kiểm tra hệ thống thường xuyên, trang bị giải pháp cảnh báo về những mối nguy tiềm ẩn nhằm đảm bảo hoạt động thông suốt của hệ thống.
7. Lĩnh vực an ninh mạng của Việt Nam vẫn có nhiều điểm sáng
Có thể nói, 2016 là một năm u ám về tình hình an ninh mạng. Tuy nhiên, những bước tiến gần đây trong lĩnh vực an ninh mạng của Việt Nam phần nào giảm bớt gam màu “ảm đạm” cho bức tranh đó. Cuộc thi an ninh mạng toàn cầu WhiteHat Grand Prix lần thứ hai được tổ chức thành công và các đội thi Việt Nam đã giành được thứ hạng cao. Việc điều phối ứng phó an ninh mạng trong nước cũng được chú trọng và triển khai thường xuyên.
Cuộc thi an ninh mạng toàn cầu WhiteHat Grand Prix 2016 chứng kiến sự tranh tài của hơn 500 đội thi đến từ 52 quốc gia trên thế giới, với 111 đội Việt Nam. Để thu hút được số lượng lớn các đội quốc tế tham dự, phải là các cuộc thi có tầm vóc, thường được tổ chức bởi các quốc gia có trình độ khoa học công nghệ hàng đầu thế giới. Việc Việt Nam có thể tổ chức một cuộc thi an ninh mạng ở quy mô toàn cầu như WhiteHat Grand Prix được đánh giá là một điều đặc biệt.
Top 10 chung cuộc WhiteHat Grand Prix 2016 có sự góp mặt của 5 đội thi Việt Nam
Tại cuộc thi này, cạnh tranh với những tên tuổi lớn trên bảng xếp hạng các cuộc thi an ninh mạng toàn cầu CTFtime như dcua, Dragon Sector, p4, 217… các đội Việt Nam đã thi đấu không kém cạnh. Top 10 chung cuộc có sự góp mặt của 5 đội thi Việt Nam, trong đó CLGTftMeePwn và BabyPhD xếp vị trí thứ Hai và Ba. Thứ hạng cao của các đội thi một lần nữa khẳng định năng lực trong lĩnh vực an ninh mạng của Việt Nam.
Trong bối cảnh an ninh mạng đang trở thành vấn đề nóng của toàn thế giới, bên cạnh sự chuẩn bị tốt về nhân lực, trang thiết bị, việc điều phối ứng phó an ninh mạng cũng là điều cực kỳ quan trọng. Năm vừa qua, các cuộc diễn tập với kịch bản cụ thể về phương án ứng cứu sự cố an ninh mạng dành cho các cơ quan, tổ chức, doanh nghiệp được tổ chức thường xuyên. Có thể kể đến một số cuộc diễn tập nổi bật như Diễn tập An ninh mạng hồi tháng 5 với chủ đề “Điều tra và xử lý website bị tấn công” đã thu hút sự tham gia của nhiều cơ quan nhà nước, sở TT&TT tỉnh và thành phố, doanh nghiệp tài chính ngân hàng, trường đại học hay Diễn tập An ninh mạng tháng 8 dành riêng cho các sở TT&TT trên toàn quốc… Việc này giúp hình thành mạng lưới chia sẻ thông tin, hỗ trợ lẫn nhau hiệu quả giữa các cơ quan, tổ chức, doanh nghiệp khi ứng phó với sự cố an ninh mạng diễn ra trong thực tế, từ đó đảm bảo an toàn an ninh thông tin quốc gia.
Lực lượng tham gia Diễn tập an ninh mạng của Sở TT&TT Thái Nguyên
WhiteHat.vn
Chỉnh sửa lần cuối bởi người điều hành: