Những đầu đề xung quanh câu chuyện về cuộc tấn công của Stuxnet vào cơ sở hạt nhân của Iran đã quen thuộc: “Cuộc tấn công mới bằng phần mềm độc hại”. An ninh số đe dọa và đôi khi bị thổi phồng xung quanh chúng đã trở thành phổ biến trong thế giới kết nối mạng và phụ thuộc vào IT của chúng ta. Tuy nhiên, đây từng là một cuộc tấn công không bình thường. Có lẽ phần mềm độc hại đã được giới thiệu trong mạng cục bộ của các cơ sở hạt nhân của Iran. Nó đã đi vào giữa Internet và mạng nội bộ. Khả năng khác từng là một người trong cuộc đáng tin cậy mà từng là một tác nhân của tổ chức mà đã triển khai cuộc tấn công.
Như các nhà nghiên cứu sau này đã phát hiện, cuộc tấn công đã sử dụng 4 khai thác ngày số 0 khác nhau trong các nền tảng Windows. Bổ sung vào các cuộc tấn công lỗi ngày số 0, “tải trọng” đã đưa vào một chứng thực điện tử bị ăn cắp mà đã được phát hành bởi Verisign. Virus tự phát tán và lan truyền tới nhiều máy. Nhiệm vụ của virus này là tự động phát tán điên cuồng (đã không có kênh phản hồi cho một máy chủ ra lệnh và kiểm soát vì đây từng là một mạng được cô lập). Nó sau đó đã định vị và hoạt động như một chiếc van hoặc module kiểm soát mà từng là một phần sống còn của hạ tầng cơ sở hạt nhân, với dự định làm vô hiệu hóa hoặc gây tổn hại cho cơ sở này. Nói một cách khác: hành động như một vũ khí. Đây là một bước đáng kể trong sự phát triển phần mềm độc hại.
Tiếp cận truyền thống, độc hại nhằm gây hại cho cơ sở có thể là sử dụng vũ khí truyền thống (như bom). Sự khác biệt đáng ngạc nhiên là việc phần mềm độc hại này đã có ý định gây hại một cách cơ khí cho cơ sở đó mà không đưa ra lực lượng cơ học phá hoại nào vào trong bản thân nó. Nói cách khác: Đây là phần mềm độc hại được thiết kế đặc biệt để hoàn thành một công việc của một vũ khí. Nó vì thế đã xứng đáng được phân loại rõ ràng như là “phần mềm độc hại được vũ khí hóa”.
Phần mềm độc hại đặc biệt này được đánh giá đã mất 10 người – năm nỗ lực để phát triển. Nó rất phức tạp. Các công cụ được sử dụng để phát triển, khung thời gian trong các tệp nhị phân và số lượng các module với các kiểu lập trình khác nhau gợi ý có nhiều đội phát triển. Gốc gác của phần mềm độc hại đã không được kiểm chứng mà hầu hết lý thuyết phổ biến nhất là việc thứ này đã được phát triển bởi một hoặc vài quốc gia có mong muốn phá hủy chương trình hạt nhân của Iran.
Iran có số phần trăm các vụ việc được biết về virus Stuxnet lớn nhất. Tuy nhiên, nó cũng được thấy trong những hệ thống tại nhiều quốc gia khác. Các chuyên gia dự báo rằng vô số những sự việc không được dò tìm ra vẫn sẽ còn đang hoạt động.
Đây là một thực tế được thiết lập tốt rằng nhiều vũ khí được phát triển bởi những chương trình quân sự quốc gia đã trở nên sẵn sàng đối với các thực thể Nhà nước phi quốc gia, như những kẻ khủng bố, những Nhà nước quốc gia xấu xa và những tổ chức tội phạm. Chỉ còn là vấn đề thời gian. Nhưng ví dụ là: các kính nhìn đêm, các hệ thống định vị toàn cầu GPS, máy bay không người lái, súng trường tự động hoàn toàn, các tên lửa vác vai, một vài thứ như vậy.
Các câu hỏi là: Khi nào những phần mềm độc hại được vũ khí hóa này và những biến thể của nó sẽ được sử dụng để phá hoại, vô hiệu hóa hoặc ăn cắp những tài sản và thông tin có giá trị từ các quốc gia, tiện ích, ngân hàng hoặc các công ty truyền thông khác? Chúng ta có thể làm gì được đối với chúng?
Phần mềm độc hại được vũ khí hóa Stuxnet đã sử dụng các chỗ bị tổn thương ngày số 0 để gây lây nhiễm và đã sử dụng một chứng thực số được kí để tự xác thực trong môi trường. Chứng thực đó đã cho phép phần mềm độc hại hành động như một ứng dụng tin cậy và giao tiếp với những thiết bị khác. Đây là sự việc đầu tiên được báo cáo đối với việc sử dụng một chứng thực số ở dạng này của cuộc tấn công và là một sự phát triển rất đáng lo ngại và báo điềm gở.
Mức độ đe dọa đã chuyển ra khỏi thời gian làm tê liệt hệ thống và uy tín bị tổn thương vì chứng thực của bạn đã hết hạn đối với sự gây hại vật lý đối với bạn và các nhân viên của bạn nếu virus thành công trong việc làm cho một quy trình sản xuất hoặc sử dụng thành sống còn.
Sử dụng 4 chỗ bị tổn thương và một chứng thực số bị ăn cắp báo hiệu sự bắt đầu của một kỷ nguyên mới về chiến tranh không gian mạng và tội phạm không gian mạng. Những ảnh hưởng là khổng lồ. Đây không phải là sự việc đầu tiên đối với loại này. Virus Aurora từng là một biến thể được sinh ra đầu tiên và Stuxnet thể hiện một bước nhảy tiến bộ đáng kể trong sự tinh vi và phức tạp. Bổ sung thêm, chi phí tiềm tàng đối với tổ chức đích trong sự kiện cuộc tấn công thành công là có hơn so với từ trước tới nay.
Những chỗ bị tổn thương ngày số 0 là, bằng định nghĩa, không thể bảo vệ chống lại. Sử dụng những chứng thực số không được phép của phần mềm độc hại được vũ khí hóa trong một môi trường kết nối mạng là một vấn đề khác. Có những bước mà các tổ chức có thể nắm lấy đề giảm thiểu đáng kể rủi ro của một cuộc tấn công thành công.
Sự quan tâm đầu tiên là tri thức của các chứng thực số mà là tích cực trong một mạng. Hầu hết các tổ chức không biết chúng có bao nhiêu, chúng được cài đặt ở đâu, ai đã cài đặt chúng, tính hợp lệ và ngày hết hạn của các chứng chỉ số trong mạng. Đây là một sự tương đồng song song trong một thế giới an ninh vật lý. Điều này chính xác y hệt như việc không biết người nào trong một tòa nhà an ninh và không được phép hiện diện trong những cơ ngơi đó và ai là những người không được phép. Hãy tưởng tượng một ngân hàng nơi mà không ai biết những người nào trong tòa nhà là không được phép ở trong đó hay không. Đây không là một sự cường điệu. Đây là một tình huống không thể chấp nhận được đối với mọi người mà cho an ninh là nghiêm túc. Đây là một rủi ro không lượng hóa được. Thực tế chấp nhận được duy nhất là phát hiện tiếp tục và tích cực những chứng thực trên mạng.
Bổ sung thêm, những chứng thực đó phải được kiểm chứng rằng chúng đang hoạt động như mong đợi và rằng chúng được giám sát thông qua vòng đời sao cho chúng có thể hết hạn và được thay thế như được chỉ định bởi các chính sách về an ninh của tổ chức. Hầu hết các tổ chức là thiếu hụt về điều này. Đây là một rủi ra không quản lý được và có thể dễ dàng được quản lý dưới mức cần thiết. Không quản lý được đạng rủi ro này sẽ làm gia tăng đối với các tổ chức những chỗ bị tổn thương như cuộc tấn công của Stuxnet. Đây không phải là việc phao tin đồn nhảm – đây là một mối đe dọa thực sự mà sẽ ảnh hưởng tới một tổ chức lúc nào đó sớm.
Vì sao các tổ chức tự bộc lộ mình cho sự rủi ro không lượng hóa được và không quản lý được này? Lý do đủ đơn giản để hiểu. Trước Stuxnet, tri thức và sự quản lý yếu đuối các chứng thực số đã được xem là chấp nhận được. Hơn nữa, nhiều lãnh đạo mức cao không quen với các chứng thực số, cách mà chúng làm việc, vai trò trong an ninh, và các thực tiễn và các chính sách quản lý của chúng. Điều này phải thay đổi. Không có lãnh đạo cấp cao nào mà hiểu sai hoặc đánh giá không đúng mức tầm quan trọng của việc đảm bảo rằng chỉ những cá nhân được phép có thể vào được một tòa nhà an ninh. Cũng những lãnh đạo này lại ngây thơ cho phép những chứng thực không được phép và không biết vào được, hoạt động được trong các mạng của họ.
Để tổng kết, có rủi ro không lượng hóa được và không quản lý được mà nó cho phép Stuxnet nhân giống và hoạt động trong một mạng. Điều này đại diện cho một thực tế quản lí tồi của một phần sống còn của một mô hình an ninh được đặt ra. Các chứng thực số được sử dụng rộng rãi để nhận dạng và xác thực cho những thực thể trong một mạng. Những thực tế quản lí tồi trả về những chứng thực số không có hiệu quả đối với mục đích có dự định của họ. Trong thực tế, sự quản lí tồi trong một số trường hợp sẽ tạo ra một cơ hội khái thác.
Phần mềm độc hại được vũ khí hóa Stuxnet là một lời cảnh tỉnh rất mạnh mẽ khi nó đã khai thác những thực tế quản lí tồi của các chứng thực số mà đang tồn tại trong nhiều hãng ngày nay. Việc triển khai những thực tế và chính sách cho sự quản lý các chứng thực số là một thành phần quan trọng và cần thiết của một chiến lược an ninh bao quát và rộng rãi. Đây là một chiến lược mà có thể dò tìm ra được sự xuất hiện của phần mềm độc hại mà nó sử dụng các chứng thực số để xác thực. Các phần mềm độc hại được vũ khí hóa đã hoặc sẽ nhắm tới mọi công ty trong Global 2000. Trách nhiệm là phải hành động trước khi vũ khí đó tấn công.
Dịch tài liệu: Lê Trung Nghĩa<letrungnghia.foss@gmail.com>
Theo: http://www.ctoedge.com/content/weaponized-malware-how-criminals-are-using-digital-certificates
Bài được đưa lên Internet ngày: 10/01/2011