WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
444 bài viết
Inside Cyber Warfare - Chương XIII: Kiến nghị cho các nhà hoạch định chính sách trên mạng (Phần 2)
Hoa Kỳ nên sử dụng phòng vệ chủ động để bảo vệ các hệ thống thông tin trọng yếu của mình
Thiếu tá Hải quân Matthew J. Sklerov
Quan điểm được trình bày dưới đây là của tác giả không phải của Bộ quốc phòng Mỹ.Không gian mạng là một mặt trận đang nổi lên trong chiến tranh của thế kỷ 21. Ngày nay, các quốc gia dựa vào Internet như là một nền tảng của thương mại, thông tin liên lạc, dịch vụ khẩn cấp, sản xuất và phân phối năng lượng, vận tải công cộng, quốc phòng quân sự và vô số các lĩnh vực quan trọng khác của nhà nước. Trên thực tế, Internet đã trở thành một hệ thần kinh của xã hội hiện đại. Thật không may, việc phụ thuộc vào Internet là một con dao hai lưỡi. Mặc dù mang lại lợi ích to lớn cho các quốc gia, nó cũng khiến họ đứng trước nguy cơ tấn công từ các chủ thể nhà nước và phi nhà nước. Thật dễ khi bất kỳ ai cũng có thể thu mua các công cụ cần thiết để thực hiện một cuộc tấn công mạng ẩn danh và từ xa. Các cuộc tấn công mạng cung cấp cho kẻ địch của một quốc gia công cụ lý tưởng để tiến hành chiến tranh bất đối xứng nhắm vào chính quốc gia đó. Vì vậy, không có gì ngạc nhiên khi các quốc gia và những kẻ khủng bố đang dần chuyển sang tấn công mạng để phát động chiến tranh chống lại kẻ thù của mình.
Ngày nay, Hoa Kỳ xem các cuộc tấn công mạng là một vấn đề tội phạm và đã từ bỏ việc sử dụng các biện pháp phòng vệ chủ động để bảo vệ các hệ thống thông tin trọng yếu của mình. Đó là một sai lầm. Chính phủ cần phải hiện đại hóa cách tiếp cận đối với các cuộc tấn công mạng nhằm bảo vệ tương xứng các hệ thống thông tin trọng yếu của Mỹ. Trừ khi các nhà hoạch định chính sách thay đổi đường lối, còn không Mỹ sẽ tiếp tục đứng trước nguy cơ cao bị tấn công mạng thảm khốc hơn trên thực tế.
Hiện đại hóa cách tiếp cận của Mỹ đối với các cuộc tấn công mạng đòi hỏi những thay đổi cơ bản so với đường lối chính phủ liên bang đang làm hiện nay.
Trước hết, Hoa Kỳ phải bắt đầu sử dụng các biện pháp phòng thủ chủ động để bảo vệ các hệ thống thông tin trọng yếu của chính mình. Điều này sẽ bảo vệ các hệ thống tốt hơn, đóng vai trò ngăn chặn những kẻ tấn công và thúc đẩy các quốc gia khác trấn áp tin tặc của nước mình.
Thứ hai, Hoa Kỳ cần phải đầu tư nhiều nguồn lực và nhân lực đặc biệt cho lực lượng tác chiến mạng của mình. Thành lập lực lượng chiến tranh mạng ưu việt là một yêu cầu bắt buộc để bảo vệ cơ sở hạ tầng trọng yếu trước các cuộc tấn công mạng và ngăn Internet trở thành một gót chân Asin của Hoa Kỳ trong thế kỷ 21.
Hơn nữa, một lực lượng tác chiến mạng được huấn luyện bài bản phải là điều kiện tiên quyết để phòng thủ chủ động thực sự, vì sử dụng phương pháp này trên quy mô quốc gia mà không có nhân lực được huấn luyện chuyên sâu sẽ dẫn đến tổn thất không đáng có nhằm vào những mục tiêu bất hợp pháp.
Quyết định sử dụng phòng vệ chủ động, chắc chắn sẽ tạo ra nhiều tranh cãi, cũng như bất kỳ sự thay đổi lớn nào khác đối với thực tiễn quốc gia. Tuy nhiên, có cơ sở pháp lý hợp lệ để sử dụng chúng, miễn là việc sử dụng chỉ giới hạn cho các cuộc tấn công bắt nguồn từ các “quốc gia chứa chấp”, như đề cập trong Chương IV. Việc hạn chế này cũng khiến các quốc gia bị tổn thương trước các cuộc tấn công mạng từ các phần tử bất hảo của các quốc gia hợp tác, nhưng thay đổi này đối với thực tiễn quốc gia lại cải thiện đáng kể khả năng phòng thủ mạng của Hoa Kỳ mà không vi phạm luật pháp quốc tế.
Hơn nữa, theo mô hình mà các biện pháp phòng vệ chủ động được phép chống lại các quốc gia chứa chấp, Hoa Kỳ có thể yên tâm khi biết rằng hoặc các cuộc tấn công mạng sẽ bị ngăn chặn bởi các biện pháp phòng thủ máy tính tốt nhất hiện có, hoặc là khi các biện pháp phòng thủ máy tính chỉ hạn chế ở phòng thủ thụ động, quốc gia khởi phát tấn công có thể hoàn toàn hợp tác để săn lùng và truy tố những kẻ thực hiện.
Khi chấp nhận cách tiếp cận này, Hoa Kỳ cần sử dụng tầm ảnh hưởng về mặt ngoại giao của mình để nhấn mạnh nghĩa vụ của các quốc gia nhằm ngăn chặn các cuộc tấn công mạng, được quy định qua luật hình sự chặt chẽ, thực hiện các cuộc điều tra thực thi pháp luật quyết liệt, truy tố kẻ tấn công và trong suốt quá trình điều tra – phối hợp với các quốc gia nạn nhân của các cuộc tấn công mạng. Sử dụng ảnh hưởng của Hoa Kỳ để nêu rõ nhiệm vụ này, kết hợp với lời đe dọa rằng Hoa Kỳ sẽ đáp trả các cuộc tấn công mạng bằng biện pháp phòng vệ chủ động nếu các quốc gia vi phạm, sẽ buộc các quốc gia chứa chấp phải hành động chống lại tin tặc. Đây là một bước cần thiết để hướng đến văn hóa an ninh mạng toàn cầu và cả giảm thiểu các mối đe dọa tấn công mạng từ các chủ thể phi nhà nước.
Phải thừa nhận rằng, quyết định sử dụng biện pháp phòng vệ chủ động hết sức phức tạp. Những hạn chế về mặt công nghệ sẽ vẫn gây khó khăn cho việc phát hiện, truy cập và truy vết các cuộc tấn công mạng. Do đó, các lực lượng tuyến đầu sẽ gặp trở ngại khi cố gắng đánh giá đúng bản chất các cuộc tấn công và với tốc độ thực hiện các cuộc tấn công mạng, thì sẽ thường xuyên bị buộc phải đưa ra quyết định dù thiếu thông tin (đề cập chi tiết tại Chương 4). Vì vậy, Hoa Kỳ nhất định phải đầu tư nguồn vốn cần thiết để đảm bảo lực lượng tác chiến mạng có thể vượt qua khó khăn này. Mặt khác, những quyết định sai lầm có thể được đưa ra và việc phòng vệ chủ động có thể vô tình hướng đến các quốc gia đồng minh hoặc được áp dụng trước khi các ngưỡng pháp lý bị vượt qua.
Vào thời điểm khi các cuộc tấn công mạng đe dọa an ninh toàn cầu và các quốc gia đang cố gắng tìm cách cải thiện khả năng phòng thủ của mình, không có lý do gì để bảo vệ các quốc gia chứa chấp khỏi các biện pháp phòng vệ chủ động hợp pháp và có mọi lý do để tăng cường khả năng phòng thủ của Hoa Kỳ trước các cuộc tấn công mạng bằng các biện pháp này. Nhắm mục tiêu có chọn lọc vào các quốc gia chứa chấp bằng phòng vệ chủ động sẽ không những bảo vệ Hoa Kỳ tốt hơn trước các cuộc tấn công mạng mà còn thúc đẩy các quốc gia khác nghiêm túc coi các cuộc tấn công mạng là vấn đề tội phạm bởi không quốc gia nào muốn quốc gia khác hành động trong vùng lãnh thổ của mình, kể cả là tấn công điện tử.
Dùng vũ lực nhằm vào các quốc gia khác có vẻ như là một biện pháp hà khắc, nhưng các quốc gia có thể làm điều đó nếu muốn tránh trở thành mục tiêu của các biện pháp phòng vệ chủ động, tất cả những gì họ cần làm là hoàn thành nghĩa vụ ngăn chặn các cuộc tấn công mạng.
Kịch bản và phương án ứng phó tấn công mạng
Sau đây là các kịch bản tưởng tượng mà nhiều tổ chức chính phủ và tư nhân gặp phải khi chưa có pháp luật và khung pháp lý hướng dẫn họ đưa ra quyết định ứng phó tương xứng trước các cuộc tấn công mạng. Với những kịch bản dưới đây, tôi đã cung cấp một danh sách các phương án ứng phó, nhằm hỗ trợ ban hành quy định pháp luật trong tương lai khi điều chỉnh các phản ứng đó. Tại thời điểm viết bài, một số phương án ở đây hoặc là chưa hợp pháp, hoặc có thể có vấn đề về mặt pháp lý.Kịch bản số 1
TeraBank, một tổ chức tài chính với 5.000 nhân viên, đã nhận được một email phishing từ 10 khách hàng chuyển tiếp. Đó là một cuộc tấn công lừa người dùng nhấp vào một đường dẫn cung cấp thông tin đăng nhập ngân hàng trực tuyến và xác thực tài khoản của họ.Phương án 1
TeraBank liên hệ với nhà cung cấp lưu trữ Internet của trang web lừa đảo được đính kèm trong email và yêu cầu gỡ trang này xuống. Nhà cung cấp dịch vụ lưu trữ thường sẽ gỡ bỏ các website lừa đảo nhưng vào thời điểm điều đó xảy ra, những kẻ lừa đảo có thể đã lấy được hàng trăm thông tin đăng nhập tài khoản ngân hàng của các khách hàng TeraBank.
Phương án 2
TeraBank chuyển tiếp email này đến các tổ chức khác, chẳng hạn như cơ quan thực thi pháp luật. Cơ quan này sẽ nhận được nhiều email phishing kiểu như vậy nhưng vì họ bị ràng buộc bởi biên giới quốc gia nên rất có thể họ không làm gì cả. Một vài tổ chức, như các nhà cung cấp dịch vụ Internet, có thể ứng phó với các cuộc tấn công phising bằng cách chặn khách hàng của mình truy cập đến các trang giả mạo.
Phương án 3
TeraBank, sử dụng một chương trình máy tính tự động, nhập thông tin hàng trăm nghìn tài khoản ngân hàng giả trên website lừa đảo. Dù gặp các vấn đề pháp lý, cách tiếp cận này sẽ gây hại cho nhóm thông tin đăng nhập ngân hàng hợp lệ mà những kẻ gửi email lừa đảo sở hữu. Có thể sau khi cố gắng sử dụng thông tin đăng nhập ngân hàng đã thu thập được mà không thành công, kẻ tấn công sẽ chuyển sang phát động chiến dịch email lừa đảo nhắm vào các ngân hàng khác.
Phương án 4
TeraBank thuê một hacker ngoài và trả tiền để tên này phát động một cuộc tấn công từ chối dịch vụ phân tán (DDoS) nhắm vào các website lừa đảo, khiến nó không thể truy cập. Phát động các cuộc tấn công DDoS thường là bất hợp pháp ở nhiều quốc gia. Trong khi TeraBank đang tài trợ cho một hành vi trái phép, cuộc tấn công DDoS này có thể ảnh hưởng đến việc kinh doanh của các bên vô tội, đặc biệt nếu hoạt động kinh doanh của họ được lưu trữ trên cùng một website với trang lừa đảo.
Kịch bản số 2
Nhà nghiên cứu Fred Blinks phát hiện website http://www.secshare.com, đã bị tấn công và đang lưu trữ phần mềm độc hại hay mã độc được tải xuống tự động (drive-by-download) mà người dùng không hề biết, đồng nghĩa với việc bất kỳ khách truy cập nào vào trang có thể bị nhiễm mã độc trên máy tính của họ.Phương án 1
Fred Blinks liên hệ quản trị viên của trang http://www.secshare.com, khuyến cáo về việc mã độc được lưu trữ trên web của họ và sự thật là website của họ đã bị tấn công.
Phương án 2
Fred Blinks điều tra sâu hơn về mã độc được lưu trữ trên http://www.secshare.com và phát hiện ra nó có kết nối đến trang http://mybotnethome.cn. Fred cũng nhận thấy rằng trang này gửi các số liệu thống kê về cho bot herder (kẻ ra lệnh và điều khiển các con bot từ xa), chẳng hạn người dùng bị lây nhiễm từ đâu. Biết được điều này, Fred cố tình để thiết bị của mình bị nhiễm mã độc và chèn vào đó một đoạn mã lập trình trong vùng mà mã độc sử dụng để bot herder biết người dùng bị nhiễm mã độc từ trang nào (về mặt kỹ thuật, đây được gọi là HTTP referrer – trường giúp xác định địa chỉ của trang web chuyển hướng tới). Đoạn mã này sẽ khiến trình duyệt Internet của bot herder kết nối đến thiết bị của Fred khi kẻ này xem số liệu thống kê về các con bot của mình, từ đó cung cấp cho Fred địa chỉ IP của bot herder đó.
Kịch bản số 3
Quan chức thực thi pháp luật John Smith phát hiện ra một diễn đàn công khai về hack trực tuyến và thẻ tín dụng có địa chỉ http://www.ccmarket.ws đã bị xâm nhập và tin tặc đã quảng cáo bí danh của mình trên đó cho thấy trang chủ của diễn đàn đã bị tấn công.Phương án
Biết rằng việc có được một bản sao của cơ sở dữ liệu của diễn đàn ccmarket sẽ cung cấp một lượng thông tin khổng lồ, John Smith, lấy bí danh “da_ma”, liên hệ với thủ phạm xâm nhập www.ccmarket.ws, hỏi xem chúng có bằng lòng để bán cho anh ta một bản sao cơ sở dữ liệu của ccmarket không. Cơ sở dữ liệu này sẽ bao gồm các thông tin như tin nhắn riêng tư, địa chỉ email và địa chỉ IP. Trường hợp này, John đang tài trợ cho kẻ có hành vi phạm pháp.
Kịch bản số 4
Quan chức thực thi pháp luật Michael McDonald đã điều tra một nhóm hoạt động trực tuyến tham gia vào việc chia sẻ nội dung lạm dụng trẻ em trên mạng. Michael tin rằng mình đã xác định được bí danh của kẻ cầm đầu băng đảng nhưng không chắc kẻ đó đang sinh sống ở đâu. Ông biết rằng kẻ này sử dụng các proxy ẩn danh để che giấu địa chỉ IP khi truy cập Internet và nó hợp lý về mặt kỹ thuật. Michael cũng biết rằng kẻ này có biểu hiện xâm hại tình dục trẻ em khi đăng tải các hình ảnh tội ác của hắn lên mạng.Phương án
Michael, sau khi tham vấn đội ngũ kỹ thuật của mình, quyết định rằng cách duy nhất để tìm ra kẻ cầm đầu băng nhóm xâm hại trẻ em trực tuyến là phải xâm nhập vào máy tính của hắn ta. Các chuyên gia kỹ thuật của Michael có thể xâm nhập thành công vào máy tính của kẻ cầm đầu, cung cấp cho họ thông tin có thể xác định chính xác kẻ đó và nơi hắn ở. Michael, hiện sinh sống tại Mỹ, giờ biết rằng kẻ cầm đầu cư trú ở Belarus và nhóm kỹ thuật của hắn ta đã thực hiện các hành vi phạm pháp ở đó.
Kết luận
Các nhà hoạch định chính sách nên xem xét kỹ lưỡng những kịch bản này vì nó mô tả thực tế về các sự kiện có thể và đã xảy ra ở nhiều quốc gia dân tộc. Câu hỏi duy nhất đó là phương án nào tốt nhất cho lợi ích của quốc gia và công dân của họ. Và câu trả lời cho câu hỏi này nằm ngoài phạm vi của bản kiến nghị này.Nguồn: Inside Cyber Warfare
Tác giả: Jeffrey Carr
Tác giả: Jeffrey Carr