nêu và phân tích 5 xu hướng bảo mật 2011 mà symantec cảnh báo

Phân quyền người sử dụng 1.Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống theo những yêu cầu khác nhau nhằm đảm bảo được s

MỤC LỤC

ĐẶT VẤN ĐỀ……… 3

A.CƠ SỞ LÝ THUYẾT………4

I.Tấn công dữ liệu và các hình thức tấn công dữ liệu trong TMĐT……… 4

I.1 Khái niệm……… 4

I.2 Các hình thức tấn công dữ liệu trong TMĐT……… 4

I.2.1 Tấn công thụ động……… 4

I.2.2 Tấn công chủ động……… 5

I.2.3 Một số kiểu tấn công phổ biến trên thực tế……….6

I.2.4 Tin tặc Virus máy tính và các biến thể của nó………6

II.Các phương pháp phòng tránh và khắc phục hậu quả……… 7

II.1 Phân quyền người sử dụng……… 7

II.2 Bảo mật kênh truyền dữ liệu………8

II.3 Khắc phục sự cố………10

III.Mã hóa………10

III.1.Khái niệm……… 10

III.2 Phương pháp mã hóa đối xứng……….10

III.3 Phương pháp mã hóa công khai……… 11

B NÊU, PHÂN TÍCH VÀ ĐƯA RA CÁC GIẢI PHÁP NGĂN CHẶN VỀ 5 XU HƯỚNG BẢO MẬT INTERNET CỦA NĂM 2011 MÀ SYMANTEC CẢNH BÁO………13

I.Hacker sẽ tấn công các hạ tầng quan trọng……… 13

I.1.Thực trạng các cuộc tấn công vào cơ sở hạ tầng……….13

I.2.Tìm hiểu ví dụ điển hình về sâu Stuxnet……….14

I.2.1 Stuxnet là gì? 14

I.2.2.Hiểm họa Stuxnet ……… 16

I.2.3.Giải pháp ngăn chặn hiểm họa sâu Stuxnet………18

I.3.Các biện pháp ngăn chặn các cuộc tấn công vào cơ sở hạ tầng…… 19

II Lỗ hổng zero-day sẽ thông dụng hơn……….20

II.1 Zero-day là gì? 20

II.2.Một số hướng tấn công zero-day nhắm đến……… 21

II.2.1.Tấn công IE……… 21

II.2.2.Tấn công Office……….21

II.2.3.Nhắm vào Word………22

II.3 Biện pháp ngăn chặn……….24

III.Nguy cơ từ smartphone và máy tính bảng gia tăng………27

III.1.Sơ lược về smartphone và máy tính bảng……….27

III.2.Hacker tấn công mạnh “VIP” dùng Tablet, smartphone………… 28

III.3.Các biện pháp ngăn chặn……… 30

IV Triển khai các công nghệ mã hóa 35

IV.1.Công nghệ mã hóa là gì? 35

IV.2 Tại sao phảỉ sử dụng công nghệ mã hóa? 35

IV.3.Thực trạng đối với các dữ liệu lưu trong điện thoại di động hiện nay……….36IV.4 Các biện pháp ngăn chặn……….37

V Sẽ xuất hiện những cuộc tấn công mang động cơ chính trị………42

V.1 Hiện trạng những cuộc tấn công mang động cơ chính trị………….42V.2 Các biện pháp ngăn chặn……… 45KẾT LUẬN……….47

ĐẶT VẤN ĐỀ

Trong hoạt động thương mại, thông tin có vai trò rất quan trọng Việc cập nhật thông tin và đảm bảo tính an toàn cho thông tin trong suốt quá trình vận động của chúng là một vấn đề mang tính sống còn của tổ chức kinh doanh Công nghệ thông tin(CNTT) và đăc biệt là Internet, con người đã có một môitrường thuận lợi để có thể nắm bắt và trai đổi thông tin tiết kiệm thời gian chiphí Tuy nhiên trong môi trường đó ẩn chứa rất nhiều rủi ro, những mối hiểmhọa cho tổ chức, cá nhân Đó chính là sự tấn công vào chính hệ thống thông tin qua mạng Internet với những mục đích không tốt đẹp gây mất an toàn thông tin Những thiệt hại về thông tin như rò rỉ thông tin ra bên ngoài sẽ không chỉ ảnh hưởng đến từng con người hay mỗi ứng dụng tiêng rẽ mà nó

sẽ gây ảnh hưởng đến toàn bộ hoạt động của tổ chức, có thể gây tổn hại đến những lợi ích về kinh tế cũng như uy tín của tổ chức

Nhận biết được tầm quan trọng của vấn đề bảo mật thông tin rất nhiều hãng bảo mật trên thế giới ra đời và vấn đề bảo mật ngày càng được chú trọng Hiện tại ta có thể thấy các vụ tấn công mạng đang ngày càng gia tăng và mức

độ nguy hiểm hơn Do vậy việc phân tích và đưa ra biện pháp ngăn chặn các cuộc tấn công đang có xu hướng trong năm 2011 là một vấn đề cấp thiết

Với đề tài “ Nêu, phân tích và đưa ra các giải pháp ngăn chặn về 05 xu hướngbảo mật Internet của năm 2011 mà Symantec cảnh báo “ nhóm chúng tôi sẽ

đi tìm hiểu thực trạng (nêu và phân tích) sau đó đưa giải pháp với mỗi xu hướng đó

A CƠ SỞ LÝ THUYẾT

I.Tấn công dữ liệu và các hình thức tấn công dữ liệu trong TMĐT.

I.1 Khái niệm

Tấn công dữ liệu trong TMĐT là hình thức ăn cắp hoặc phá hoại dữ liệu một cách trái phép Nó cũng giống như các hình thức tấn công thông thường, chỉ khác là đối tượng tấn công ở đây là các loại dữ liệu có giá trị Từ khi có sự phổ biến của Internet, các hình thức tấn công dữ liệu ngày càng tăng nhanh cả về số lượng lẫn mức độ nguy hiểm

I.2 Các hình thức tấn công dữ liệu trong TMĐT.

Rất nguy hiểm và ngày càng phát triển

Cần các biện pháp phòng tránh trước khi tấn công xảy ra

*Nghe trộm đường truyền

Kẻ nghe lén sẽ bằng một cách nào đó sen ngang được quá trình truyền thông điệp giữa máy gửi và máy nhận, qua đó có thể rút ra được những thông tin quan trọng

- Một số phương pháp

Bắt gói tin trong mạng Wifi

Bắt thông điệp trong mạng quảng bá

Dựa vào sự thay đổi của lưu lượng của luồng thông tin truyền trên mạng nhằm xác định được một số thông tin có ích.

Rất hay dùng trong do thám

Sử dụng khi dữ liệu đã bị mã hóa mà không giải mã được

-Ngăn chặn

Độn thêm dữ liệu thừa

Lưu lượng thông tin không bị thay đổi-> không thể phán đoán được

Có khả năng chặn các gói tin trên đường truyền

Dữ liệu từ nguồn đến đích bị thay đổi

Nguy hiểm nhung dế phát hiện

b Các loại hình tấn công chủ động

- Giả mạo người gửi

Lấy cắp pasword, tài khoản, phá hủy dữ liệu

- Thay đổi nội dung thông điệp

Không lấy cắp hoàn toàn chỉ thay đổi nội dung

 Đảm bảo tính toàn vẹn cho thông điệp

Dữ liệu được mã hóa bằng một khóa K => Đến nơi nhận=> Giải mã và so sánh

để phát hiện xem dữ liệu có bị sửa đổi hay không?

I.2.3 Một số kiểu tấn công phổ biến trên thực tế.

a Tấn công tràn bộ đệm

Lỗi tràn bộ đệm là lỗ hổng phổ biến và dễ khai thác nhất trong những chương trình ứng dụng Đây là một lỗi lập trình có thể gây ra hiện tượng truy nhập vào phần bộ nhớ máy tính mà không được sự cho phép của hệ điều hành Lỗi này có thể xảy ra khi người lập trình không kiểm soát được hết mã lệnh của chương trình Vì vậy, những kẻ cố ý phá hoại có thể lợi dụng lỗi này để phá vỡ an ninh

hệ thống

b XSS (Cross-site scripting)

XSS là một trong những lỗ hổng bảo mật được khai thác nhiều nhất trong thời gian gần đây Nó lợi dụng một lỗi của các trình duyệt Internet trong việc thực thicác đoạn Script để chèn thêm những đoạn mã Script nguy hiểm vào các trang web động

c Phishing.

Phishing hay còn gọi là “tấn công nhử môi” là hành vi đánh cắp những “thông tin nhạy cảm” như mật khẩu, chi tiết thẻ tín dụng, bằng cách giả mạo như một người tin cậy hoặc doanh nghiệp với nhu cầu thực sự cần thiết về thông tin Hình thức tấn công này thường thực hiện thông qua các loại thư hoặc thông báo điện tử Lợi dụng sự tin tưởng của người sử dụng, kẻ tấn công có thể khiến họ nhấn chuột vào những đường link nguy hiểm hoặc gửi đi những thông tin quan trọng

d Pharming.

Một dạng tội phạm kỹ thuật số bắt đầu bùng phát mang tên ‘’ Pharming” Nó có tác dụng chuyển hướng người đang tìm kiếm những trang web dạng.com đến các trang web độc hại do kẻ tấn công điều khiển

e Gian lận nhấp chuột.

Gian lận nhấp chuột (Click Fraud) là thuật ngữ để chỉ hành động dùng phần mềm chuyên dụng hoặc thuê nhân công giá rẻ để click liên tục vào một (hoặc nhiều) Banner (hay Logo, Link, quảng cáo tìm kiếm quảng bá trên ,mạng nhằm tạo ra sự thành công giả tạo của một chiến dích quảng cáo Ở Việt Nam, Click Fraud cũng đang là lo ngại lớn nhất đối với các doanh nghiệp có nhu cầu quảng cáo trực tuyến, khiến học cân nhắc rất nhiều (thậm chí từ chối thẳng thừng) mỗi khi nhận được lời mời quảng cáo trực tuyến

I.2.4 Tin tặc Virus máy tính và các biến thể của nó

1 Tin tặc.

Tin tặc (hay tội phạm máy tính – hacker) là thuật ngữ dùng để chỉ những người truy nhập trái phép vào một Website hay hệ thống máy tính Bên cạnh những têntội phạm máy tính nguy hiểm cũng có nhiều “Hacker tốt bụng” Bằng việc xâm nhập qua hàng rào an toàn của các hệ thống máy tính , những người này giúp phát hiện và sửa chữa những điểm yếu, những kẽ hở trong hệ thống Tất nhiên, các tin tặc loại này không bị truy tố vì những thiện chí của họ

Trong khoa học máy tính, Virus máy tính (thường được người sử dụng gọi tắt là Virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (các file, ổ đĩa, máy tính,…)

b Một số biến thể hiện nay của Virus

- Sâu máy tính (Worm): là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử) Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính củaWorm là phá các mạng (Network) thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các mạng này Nhiều nhà phân tích cho rằng Worm khác với Virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây Worm được cho

là một loại virus đặc biệt

- Trojan Horse: đây là loại chương trình cũng có thể tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra Như thế cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại này người chủ máy chỉ cần tìm ra tập tin Trojan Horse rồi xóa nó đi là xong Thuy nhiên, không có nghĩa là không thể có

2 con Trojan Horse trên cùng một hệ thống Chính kẻ tạo ra các phần mềm này

sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán chúng lên mạng Đây cũng là loại Virus cực kỳ nguy hiểm nó còn có thể hủy ổ cứng, hủy dữ liệu

- Phần mềm gián điệp(Spyware): Đây là loại Virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại “di chứng” Thường một số chương trình diệt virus có kèm trình diệt spyware nhưng diệt khá kém với các đợt dịch

- Phần mềm quảng cáo.(Adware): Loại phần mềm quảng các, rất hay có ở trong các chương trình cài đặt tải từ trên mạng Một số phần mềm vô hại, nhưng một

số có khả năng hiển thị thông tin lịt màn hình, cưỡng chế người sử dụng

II.Các phương pháp phòng tránh và khắc phục hậu quả.

II.1 Phân quyền người sử dụng

1.Phân quyền người dùng là những biện pháp giúp phân chia rõ ràng quyền hạn, cách thức thao tác đối với hệ thống theo những yêu cầu khác nhau nhằm đảm bảo được sự an toàn của hệ thống cũng như đảm bảo tính riêng tư của mỗi

- Người dùng toàn cục: là những người dùng được tạo ra trên mottj máy chủ và thông tin về tài khoản của người này do Server quản lý

- Tài khoản người dùng tạo sẵn: là những người dùng được tạo ra sau khi chúng

ta tiến hành cài đặt hệ điều hành, với những người dùng chúng ta không thể xóa

Có hai loại người dùng được tạo sẵn là Administrator và Guest

b Các quyền của người dùng.

- Quyền quản trị

- Quyền sao lưu và khôi phục

- Quyền thêm người dùng

- Người dùng

- Khách

- Quyền nhân bản

c Bảo mật đối với các cơ chế phân quyền người dùng

Một cơ chế quản lý người dùng tốt cần đảm bảo

- Đảm bảo những người dùng của hệ thống được phép khai thác tối đa những gì đã được cấp

- Đảm bảo mọi người được sử dụng một cách nhanh và dễ dàng nhất nhữngtài nguyên của hệ thống nếu không làm ảnh hưởng đến sự ổn định của hệ thống

Để cho hoạt động của hệ thống được hiệu quả và tránh những sự lợi dụng một tài khoản nào đó để đăng nhập bất hợp pháp vào hệ thống thì chúng ta cần chú ý khi tạo ra các tài khoản cho người dùng

- Luôn gán mật khẩu cho tất cả các tài khoản, đặc biệt là với các tài khoản Administrator

- Nên đặt mật khẩu khó đoán, tránh tình trạng đặt mật khẩu liên quan đến một thông tin đặc biệt nào đó vì như vậy bạn sẽ dễ bị lộ mật khẩu

- Nên chọn mật khẩu là sự tổng hợp của chữ hoa , chữ thường, các ký tự số

II.2 Bảo mật kênh truyền dữ liệu

1 Bảo mật kênh truyền dữ liệu là việc bảo mật các dữ liệu khi chúng được truyền trên kênh truyền thông

2 Một số giao thức bảo mật kênh truyền dữ liệu

- Giao thức SSL

Được phát triển bởi Netscape, ngày nay giao thức Secure Socket Layer (SSL)

đã được sử dụng rộng rãi trên World Wide Web trong việc xác thực và mã hoá thông tin giữa client và server Tổ chức IETF (Internet Engineering Task Force ) đã chuẩn hoá SSL và đặt lại tên là TLS (Transport Layer Security) Mặc dù là có sự thay đổi về tên nhưng TSL chỉ là một phiên bản mới của SSL Phiên bản TSL 1.0 tương đương với phiên bản SSL 3.1 Tuy nhiên SSL

là thuật ngữ được sử dụng rộng rãi hơn

dưới các giao thức ứng dụng tầng cao hơn như là HTTP (Hyper Text

Transport Protocol), IMAP ( Internet Messaging Access Protocol) và FTP (File Transport Protocol) Trong khi SSL có thể sử dụng để hỗ trợ các giao dịch an toàn cho rất nhiều ứng dụng khác nhau trên Internet, thì hiện nay SSLđược sử dụng chính cho các giao dịch trên Web

SSL không phải là một giao thức đơn lẻ, mà là một tập các thủ tục đã được chuẩn hoá để thực hiện các nhiệm vụ bảo mật sau:

*

Xác thực server: Cho phép người sử dụng xác thực được server muốn kết nối Lúc này, phía browser sử dụng các kỹ thuật mã hoá công khai để chắc chắn rằng certificate và public ID của server là có giá trị và được cấp phát bởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của client Điều này rất quan trọng đối với người dùng Ví dụ như khi gửi mã số credit card qua mạng thì người dùng thực sự muốn kiểm tra liệu server sẽ nhận thông tin này có đúng là server mà họ định gửi đến không

*

Xác thực Client: Cho phép phía server xác thực được người sử dụng muốn kết nối Phía server cũng sử dụng các kỹ thuật mã hoá công khai để kiểm tra xem certificate và public ID của server có giá trị hay không và được cấp phátbởi một CA (certificate authority) trong danh sách các CA đáng tin cậy của server không Điều này rất quan trọng đối với các nhà cung cấp Ví dụ như khi một ngân hàng định gửi các thông tin tài chính mang tính bảo mật tới khách hàng thì họ rất muốn kiểm tra định danh của người nhận

*

Mã hoá kết nối: Tất cả các thông tin trao đổi giữa client và server được mã hoá trên đường truyền nhằm nâng cao khả năng bảo mật Điều này rất quan trọng đối với cả hai bên khi có các giao dịch mang tính riêng tư Ngoài ra, tất

cả các dữ liệu được gửi đi trên một kết nối SSL đã được mã hoá còn được bảo vệ nhờ cơ chế tự động phát hiện các xáo trộn, thay đổi trong dữ liệu ( đó

là các thuật toán băm – hash algorithm)

Giao thức SSL bao gồm 2 giao thức con: giao thức SSL record và giao thức SSL handshake Giao thức SSL record xác định các định dạng dùng để

truyền dữ liệu Giao thức SSL handshake (gọi là giao thức bắt tay) sẽ sử dụngSSL record protocol để trao đổi một số thông tin giữa server và client vào lấnđầu tiên thiết lập kết nối SSL

- Giao thức SET

Việc bảo mật trong khi thanh toán qua mạng là vấn đề chiến lược và là trọng tâm hàng đầu trong TMĐT Hiện nay, trong việc thanh toán qua mạng, các tổ chức tín dụng và các nhà cung cấp dịch vụ xử lý thanh toán thẻ tín dụng trên thế

giới áp dụng công nghệ bảo mật cao cấp là SET.

- SET là viết tắt của các từ Secure Electronic Transaction, là một nghi thức tập hợp những kỹ thuật mã hoá và bảo mật nhằm mục đích đảm bảo an toàn cho các giao dịch mua bán trên mạng

Đây là một kỹ thuật bảo mật, mã hóa được phát triển bởi VISA, MASTER CARD và các tổ chức khác trên thế giới Mục địch của SET là bảo vệ hệ thống thẻ tín dụng, tạo cho khách hàng, doanh nghiệp, ngân hàng, các tổ chức tài chính sự tin cậy trong khi giao dịch mua bán trên Internet

Những tiêu chuẩn và công nghệ SET được áp dụng và thể hiện nhất quán trong các doanh nghiệp, các ngân hàng/công ty cấp thẻ, tổ chức tín dụng và trung tâm

xử lý thẻ tín dụng qua mạng

Ngoài ra, SET thiết lập một phơng thức hoạt động phối hợp tương hỗ (method ofinteroperability) nhằm bảo mật các dịch vụ qua mạng trên các phần cứng và phần mềm khác nhau

Tóm lại SET được thiết lập để bảo mật những thông tin về cá nhân cũng như thông tin về tài chính trong quá trình mua bán và giao dịch trên mạng

- Tường lửa

Tường lửa (Fire wall) là một thiết bị (cả phần cứng và mềm) nhằm thực thi tráchnhiệm chống sự gây mất an toàn trong quá trình truyền tin, tuy nhiên không phảo là tất cả.l Tường lửa cho phép người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác, nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng máy tính của tổ chức

II.3 Khắc phục sự cố.

- Khôi phục dữ liệu bị xóa

- Đảm bảo an toàn dữ liệu nhờ sao lưu

III.2 Phương pháp mã hóa đối xứng.

1 Khái niệm

Hệ thống mã hóa mà bên gửi và bên nhận tin cùng sử dụng chung một khóa Mã hóa và giải thích mã đều dùng một khóa chung Kỹ thuật mã hóa duy nhất trước

1970 và hiện rất phổ biến Còn gọi là mã hóa khóa riêng, khóa bí mật

2 Ưu và nhược điểm

• Ưu điểm.

- Mô hình khá đơn giản

- Dễ dàng tạo ra thuật toán mã hóa đối xứng cho cá nhân

Được sử dụng khá phổ biến nhiều hiện nay

• Nhược điểm

- Dùng chung khóa nên nhiều nguy cơ mất an toàn

- Khóa dùng chung tất dễ bị hóa giải Do cũng phảo truyền trên kênh truyềntin đến bên nhận

- Việc gửi thông tin cùng khóa cho số lượng lớn và khó khăn

3 Các hệ mã hóa đối xứng cổ điển

- Mã hóa với thế đồng âm

4 Các hệ mã hóa đối xuengs hiện nay

Có 3 hệ mã hóa hiện nay được dùng phổ biến là

DES, 3 DES, AES

III.3 Phương pháp mã hóa công khai

1 Khái niệm

Mã hóa trong đó sử dụng một cặp khóa, một khóa công khai và một khóa bí mật

Khóa công khai

Khóa công khai ai cũng có thể biết

Dùng để mã hóa thông điệp và để thẩm tra chữ ký

Khóa bí mật

Chỉ nơi giữ được biết

Để giải mã thông điệp và tạo chữ ký

2 Ưu, nhược điểm của mã hóa công khai

• Ưu điểm

- Đơn giản trong việc lưu chuyển khóa

- Mỗi người chỉ cần một cặp khóa công khai-khóa bí mật là có thể trao đổi thông tin với tất cả mọi người

- Là tiền đề cho sự ra đời của chữ ký điện tử và các phương pháp chứng thực điện tử

• Nhược điểm

- Về tốc độ xử lý: Chậm hơn nhiều so với các giải thuật mã hóa đối xứng, không thích hợp cho những trường hợp mã hóa thông thường

- Tính xác thực của khóa công khai: bất cứ ai cũng có thể tạo ra một khóa

và công bố đó là của một người khác, chùng nào việc giả mại chưa bị pháthiện thì đều có thể đọc được nội dung và thông báo gửi cho người kia, cần

có cơ chế đảm bảo những người đăng ky khóa là đáng tin

3 Hệ mã hóa RSA

Hệ mã hóa RSA là hệ mã hóa đầu tiên mã hóa khóa công khai được đề xuất bởi Ron Rivest, Adi Shamir và len Adlenman (MIT) vào năm 1997 Đây là

hệ mã hóa khóa công khai phổ dụng nhất hiện nay và được áp dụng vào hầu hết các ứng dụng thực tế

B NÊU, PHÂN TÍCH VÀ ĐƯA RA CÁC GIẢI PHÁP NGĂN CHẶN VỀ 5 XU HƯỚNG BẢO MẬT INTERNET CỦA NĂM 2011 MÀ SYMANTEC CẢNH BÁO.

Symantec là nhà sản xuất lớn nhất của phần mềm bảo mật cho máy tính Công ty có trụ sở tại Mountain View, California

Symantec đã đưa ra cảnh báo về 5 xu hướng bảo mật Internet của năm 2011 như sau.

I.Hacker sẽ tấn công các hạ tầng quan trọng.

I.1.Thực trạng các cuộc tấn công vào cơ sở hạ tầng

Các cuộc tấn công mạng ngày càng rầm rộ với mức độ nguy hiểm gia tăng Đặc biệt là khi mục tiêu các hacker hướng tới không chỉ là email hay trang web…mà

là cơ sở hạ tầng và mức độ hết sức tinh vi Nó là những cuộc chiến ảo nhưng thiệt hại thì không kém những cuộc chiến thật Chúng ta có thể nhận thấy rất rõ

sự gia tăng của xu hướng tấn công này qua những con số và thông tin sau:

- Khảo sát của Symantec trong năm 2010 cũng cho thấy xu hướng đó khi 48% doanh nghiệp được hỏi cho rằng họ có thể là nạn nhân của kiểu tấn công này trong năm tới; và 80% tin rằng tần suất những vụ tấn công kiểu đó đang tăng lên

- Một cuộc khảo sát năm 2011 của 200 giám đốc điều hành bảo mật IT từ các doanh nghiệp cơ sở hạ tầng quan trọng điện lực tại 14 nước cho thấy 40% các giám đốc điều hành tin rằng ngành công nghiệp dễ bị tổn thương của họ đã gia tăng Gần 30% tin rằng công ty của họ đã không được chuẩn bị sẵn sàng cho cuộc tấn công này và hơn 40% đoán trước về một cuộc tấn công lớn trong năm tiếp theo

- Trong khi đó không nhiều người quan tâm đến vấn đề bảo mật thông tin Họ coi đó là bước cuối cùng họ phải kiểm tra

Như vậy tấn công vào các hạ tầng quan trọng đang có xu hướng phát triển khi các hacker ngày càng mở rộng sân chơi của mình và đòi hỏi sự đáp trả của người bị tấn công nếu không muốn bị hủy hoại hoàn toàn

I.2.Tìm hiểu ví dụ điển hình về sâu Stuxnet.

Thực tế đã xảy ra với sự xuất hiện của sâu Stuxnet Stuxnet là ví dụ điển hình nhất của dạng virus máy tính được thiết kế cho mục đích sửa đổi hành vi của các

hệ thống phần cứng nhằm gây ra những thiệt hại vật lý trong thế giới thực

Có vẻ như những kẻ tấn công đang theo dõi tác động của sâu Stuxnet đối vớinhững ngành công nghiệp có sử dụng hệ thống kiểm soát ngành và rút ra nhữngbài học kinh nghiệm từ cuộc tấn công này Symantec cho rằng những kinh

nghiệm đó sẽ giúp tin tặc triển khai thêm các cuộc tấn công vào nhiều hạ tầngquan trọng trong năm 2011.

Đó là thực tế đã xảy ra Vậy nó là gì? Chúng ta phải làm gì khi dường như một cuộc chiến tranh mạng đang thực sự được khởi xướng?

I.2.1 Stuxnet là gì?

a Stuxnet (tên đầy đủ là Worm.Win32.Stuxnet) là một loại sâu máy tính có khả

năng gây nên một cuộc chiến tranh mạng trên thế giới, đã từng khiến hàng ngàn máy làm giàu uranium của Iran đột nhiên bị ngừng hoạt động Nó đã khiến cho chương trình hạt nhân của Iran bị đẩy lùi hai năm theo một cách kỳ lạ và đang là

sự quan tâm của thế giới.Hoạt động đã lâu nhưng sâu Stuxnet chỉ mới bị

VirusBlokAda, một công ty an ninh máy tính có trụ sở ở Belarus, phát hiện hồi tháng 6-2010 Tuy nhiên nó có thể hoạt động từ hơn 1 năm trở về trước (cuối

2008 đến đầu 2009) vì có một số thành phần được biên dịch từ tháng 1 năm

2009 Đây là một con sâu của thế giới ảo cực kỳ thông minh và nguy hiểm vì lầnđầu tiên nó có khả năng đe dọa thế giới vật chất Cho đến nay cha đẻ của

Stuxnet là ai vẫn là một điều bí ẩn và nhiều nghi ngờ đã được đặt ra

b Đặc điểm:

+ Các chuyên gia bảo mật cho rằng nó được tạo ra với mục đích tấn công các cơ

sở hạ tầng quan trọng và mạng máy tính Nó được tạo ra để hủy diệt một mục tiêu cụ thể như nhà máy điện, nhà máy lọc dầu hoặc nhà máy hạt nhân sau khi bímật xâm nhập hệ thống điều khiển quy trình công nghiệp, viết lại chương trình điều khiển này theo hướng tự hủy hoại Cách tấn công của nó là cách tấn công chủ động

+ Nó sống trong môi trường Windows, khai thác triệt để những lỗ hổng (Ngoài việc khai thác lỗ hổng bảo mật khi xử lý các tập tin LNK và PIF, Stuxnet còn sử dụng thêm 4 lỗ hổng khác nữa của Windows Một trong 4 lỗ hổng này từng được sâu Conficker khai thác hồi đầu năm 2009) để phá hoại một mục tiêu vật chất cụ thể

+ Xét về độ phức tạp, sâu Stuxnet có nhiều điểm khó hiểu Nó cho thấy người tạo ra nó có hiểu biết sâu sắc về các quy trình công nghiệp, về những lỗ hổng của Windows và có chủ ý tấn công vào cơ sở hạ tầng công nghiệp Nó được viết bằng nhiều ngôn ngữ lập trình khác nhau (bao gồm cả C và C++)

+ Về mức độ nguy hiểm, Stuxnet làm các chuyên gia về sâu máy tính ngỡ

ngàng Nó quá phức tạp, chứa quá nhiều mã, kích thước quá lớn để có thể hiểu hết “ruột gan” của nó trong thời gian ngắn

Theo Công ty Microsoft, hiện có khoảng 45.000 máy tính trên thế giới của 9 nước bị nhiễm sâu Stuxnet nhưng số hệ thống kiểm soát công nghiệp bị nhiễm không nhiều, chủ yếu ở Iran

+ Thông minh, tinh vi : Stephane Tanase, một trong những chuyên viên an ninh hàng đầu của công ty Nga Kaspersky, đã chỉ ra những điểm khác biệt của sâu Stuxnet so với sâu máy tính cổ điển làm các chuyên gia bảo mật cừ khôi nhất phải giật mình.“Nó tấn công một mục tiêu rất cụ thể là hệ thống Scada tự động hóa việc kiểm soát cơ sở hạ tầng công nghiệp của tập đoàn Đức Siemens được

sử dụng nhiều ở Iran” Tanase cho biết thêm: “Nhưng không phải bất kỳ hệ thống Scada nào mà là hệ thống dùng để kiểm soát các máy ly tâm Ngay cả tínhnăng của máy ly tâm này cũng rất cụ thể: dùng để làm giàu uranium”

c Cách thức hoạt động:

Phần quan trọng nhất của Stuxnet, là những gói thông tin nó tạo ra Nếu Stuxnet nhận ra hệ thống có cài đặt Step7, nó sẽ giải mã và load một file DLL, là thư viện những chức năng vào máy đó File này đóng giả một file DLL hợp pháp là s7otbxdx.dll, phục vụ như một vùng nhớ chung cho những chức năng của Step 7

Step 7

Step 7 có một giao diện đẹp dựa trên Windows, nó điều khiển một thứ gọi là Thiết bị điều khiển Logic có thể được lập trình (Programmable Logic

Controller) Những PLC này giống như những máy tính cỡ nhỏ, bằng chiếc bánh

mỳ nhưng điều khiển tất cả, từ động cơ của những dây chuyền lắp ráp ô tô, cho đến những chiếc van trong hệ thống dẫn khí Để kết nối và làm việc với những PLC này, người công nhân phải đưa máy tính có cài đặt Step 7 vào hệ thống, gửinhững lệnh tới PLC và nhận báo cáo từ chúng

Đó là nơi file DLL của Stuxnet thâm nhập, Falliere khám phá ra rằng nó chặn những lệnh từ Step 7 và thay thế bằng những lệnh độc hại

Cùng thời điểm đó một phần khác của Stuxnet ngăn tất cả những cảnh báo tới hệthống rằng có những lệnh độc hại đang được thực thi Ngoài ra nó còn chặn những tín hiệu trạng thái từ PLC gửi tới hệ thống Như vậy công nhân chỉ có thể thấy những dòng lệnh hợp lệ, giống như trong một bộ phim của Hollywood,

những kẻ ăn trộm đã chèn những đoạn video được lặp lại vào camera giám sát

để những người bảo vệ không thể trông thấy chúng hành động

Sự thật là Stuxnet đang phá hủy những dòng lệnh tới PLC và giả mạo vô hại nhưthiết kế của nó, mà ai cũng nghĩ là chỉ để bí mật làm gián điệp, chứ không phải

là những tấn công mang tính vật lý như vậy Những nhà nghiên cứu hết sức bất ngờ Lần đầu tiên người ta có thể thấy những dòng mã độc hại lại có thể phá hủymột thứ ở thế giới thực

Điều thú vị nhất, đó là cách mà những mã độc này che giấu chức năng của mình.Thông thường, chức năng của Windows là nạp những thành phần cần thiết từ những file thư viện động (DLL) trên ổ cứng Những mã độc hại khác cũng làm vậy, tuy nhiên điều này khiến chúng có thể bị phát hiện bởi những chương trình chống virus Thay vào đó, Stuxnet cất giữ những files thư viện đã được mã hóa của mình vào trong những files vớ vẩn vô hại ấy

Sau đó nó lập trình lại Windows API, một giao diện trung gian giữa hệ điều hành và những chương trình chạy trên nó, như vậy mỗi khi một chương trình cố gắng nạp chức năng từ một thư viện có tên trên thì nó sẽ kích hoạt Stuxnet từ bộ nhớ của những file thư viện đó Stuxnet đã sử dụng một phương pháp hiệu quả đến mức, nó không hiện diện một cách chính thức trong ổ cứng, và gần như không thể tìm thấy

Mỗi khi Stuxnet xâm nhập vào một hệ thống, nó lại gọi về “nhà” – một trong 2 tên miền www.mypremierfutbol.com và www.todaysfutbol.com có máy chủ tại Malaysia và Đan Mạch, để báo cáo thông tin về chiếc máy tính nó đã thâm nhập.Thông tin bao gồm địa chỉa IP nội, và ngoại, tên, hệ điều hành, phiên bản, và phần mềm Siemens Simatic WinCC Step7 nếu có được cài đặt trên máy tính Từmáy chủ, những kẻ tấn công ra lệnh cập nhật thông tin cho Stuxnet với những chức năng mới hoặc cài đặt thêm những files khác trong hệ thống

I.2.2.Hiểm họa Stuxnet

Nói chung, với mức độ phức tạp và tinh tế trong việc chọn mục tiêu tấn công, nhiều chuyên gia bảo mật xác định rằng Stuxnet chính là siêu vũ khí mới của chiến tranh mạng

a Phá hoại máy li tâm ở cơ sở làm giàu hạt nhân Natans.

Trong một báo cáo, ba chuyên gia hàng đầu của Viện Khoa học và An ninh quốc

tế (Institute for Science and International Security – ISIS) là David Albright, Paul Brannan và Christina Walrond cho rằng virus “Stuxnet” đã phá hoại hoạt động của hàng nghìn máy li tâm ở cơ sở làm giàu hạt nhân Natans, cách thủ đô Teheran 300 km về phía Nam

Theo báo cáo trên, mặc dù “không phá hoại được tất cả” các máy ly tâm ở cơ sở làm giàu hạt nhân Natans, nhưng virus “Stuxnet” đã phá hoại “một số lượng nhất định” máy ly tâm và “không bị phát hiện trong một thời gian khá dài”.

Cho đến nay, người ta phát hiện ra rằng virus “Stuxnet” đã thao túng tần số vòngquay của các máy ly tâm: thay vì có tần số 1.064 Hertz, các máy này chạy với tần số không ổn định (bị đẩy lên 1.410 Hertz rồi sau đó từ từ hạ xuống 1.062 Hertz và quá trình này được lặp đi, lặp lại nhiều lần trong vòng gần một tháng) Khi bị đẩy lên tần số trần 1.410 Hertz, số máy ly tâm nói trên có nguy cơ bị vỡ tung Điều nguy hại là quá trình thao túng tần số của “Stuxnet” lại được ngụy trang rất khéo léo vì “mỗi lần thao túng đều đi kèm với một cuộc tấn công vô hiệu hóa các thiết bị cảnh báo và an ninh”, che mắt các nhân viên điều hành máy

ly tâm Chỉ có điều, virus “Stuxnet” đã không đạt được mục tiêu đề ra là đẩy tần

số vòng quay của các máy ly tâm lên mức trần 1.410 Hertz trong chu kỳ tác hại kéo dài 15 phút, mà chỉ tác hại đáng kể đến hoạt động và tuổi thọ của số máy ly tâm nói trên

Một tác hại nhãn tiền là việc Iran đã phải tiêu tốn nguyên liệu uranhexafluorid nhiều hơn, trong khi lại sản xuất được lượng uranium đã được làm giàu ít hơn Theo ba nhà khoa học nói trên của ISIS, nhiều máy ly tâm của cơ sở làm giàu uranium ở Natans đã hoạt động kém hiệu quả và lãng phí một khối lượng lớn uranhexafluorid trong một thời gian khá dài

Có một điều rõ ràng là để tác hại đến chương trình hạt nhân của Iran trong một thời gian dài như vậy, các nhà lập trình và cài cấy virus “Stuxnet” phải có thông tin chính xác về tần số hoạt động của các máy ly tâm ở Natans, điều mà bản thân

Cơ quan Năng lượng Hạt nhân Quốc tế (IAEA) cũng không được biết Chính vì vậy mà báo cáo nói trên của ISIS không loại trừ khả năng virus “Stuxnet” chính

là một trong những “sản phẩm” của các cơ quan tình báo phương Tây nhằm phá hoại chương trình làm giàu uranium đầy tham vọng của Iran

b Mối đe dọa nền công nghiệp toàn cầu.

Không giống như bom tấn, tên lửa hay súng ống, vũ khí chiến tranh mạng có thể

bị sao chép, việc phổ biến “siêu vũ khí” mạng như Stuxnet rất khó ngăn chặn và không thể kiểm soát Ông Langner lo rằng công nghệ sản xuất sâu máy tính tương tự như Stuxnet có thể rơi vào tay các nước thù địch của Mỹ và phương Tây, các tổ chức khủng bố hay các tổ chức tội phạm kiểu mafia

Stuxnet rất khác vũ khí thông thường Người ta có thể biết một quả bom hạt nhân được chế tạo như thế nào nhưng không phải ai cũng có khả năng chế tạo hay sở hữu bom hạt nhân Vũ khí chiến tranh mạng rất khác Nó có thể bị sao chép, tái sử dụng và rao bán trên mạng với giá không đắt lắm Thậm chí trong một số trường hợp nó còn được biếu không

Sâu Stuxnet hiện có được tạo ra để phá hoại một mục tiêu cụ thể với độ chính xác cao Những con Stuxnet trong tương lai, theo ông Langner, trong tay những

kẻ xấu có thể giống như “bom bẩn”, nghĩa là ngu hơn con Stuxnet do bị giảm chức năng (Stuxnet có đến 5.0000 chức năng), gây ra những thiệt hại nhỏ hơn nhưng mức độ nguy hiểm có thể cao hơn Chẳng hạn, trong một cuộc tấn công, sâu Stuxnet chỉ “đánh sập” một nhà máy điện cụ thể trong khi đó sâu máy tính thuộc dạng “bom bẩn” có thể làm cả chục nhà máy điện hoạt động chập chờn, hậu quả nghiêm trọng hơn nhiều

I.2.3.Giải pháp ngăn chặn hiểm họa sâu Stuxnet.

Dưới đầu đề “Sâu Stuxnet đánh động cả thế giới”, nhật báo kinh tế Anh

Financial Times cho biết sau một năm tìm cách giải mã và tìm hiểu sâu Stuxnet, các chuyên gia an ninh mạng phương Tây tỏ ra hết sức lo lắng Họ chỉ mới biết mục tiêu của sâu Stuxnet ở Iran là tấn công dàn máy ly tâm làm giàu uranium của các cơ sở hạt nhân Iran Họ vẫn chưa biết mục tiêu của nó ở Indonesia, Ấn

Độ và Pakistan là những nơi cũng có những hệ thống máy tính công nghiệp bị nhiễm sâu Stuxnet Hiện tại Mỹ và một số nước châu Âu đang đầu tư mạnh vào

“mạng lưới thông minh” trong các lĩnh vực điện nước, GTVT… Nhưng công tácbảo mật các mạng lưới này chưa thể ứng phó với sâu Stuxnet, ít nhất trong lúc này

Các chuyên gia suy đoán, Stuxnet có thể là hành động khủng bố mạng ở cấp quốc gia và là loại vi-rút máy tính đầu tiên có thể làm thay đổi hiện trạng vật lý trong thế giới thực Stuxnet có khả năng tái lập trình các phần mềm khác để buộc một máy tính thực hiện các lệnh khác nhau Nó có thể lây lan từ máy này qua máy khác bằng con đường là các ổ USB Vì vậy, nhiều máy tính không kết nối internet để bảo mật nhưng vẫn có thể bị nhiễm Stuxnet Nên các doanh nghiệp phải sử dụng chương trình chống virus, phải quét sạch usb, ổ cứng di động… khi kết nối với máy tính

Theo báo Telegraph, loại vi-rút này là một sự kết hợp giữa các dòng mã lệnh rất phức tạp cùng với kỹ thuật tấn công máy tính mà hacker từng sử dụng Vì vậy, chúng lây lan rất nhanh chóng nhưng lại khó tiêu diệt hơn Nó cũng khai thác triệt để các máy tính dùng hệ điều hành Windows nhưng chưa cập nhật các bản

vá lỗi mới nhất Do đó để phòng chống Stuxnet, bản thân các doanh nghiệp cần cập nhật các bản vá lỗi windows

Stuxnet đã dựa vào những khai thác mạng và tự nó trốn trong các tệp dự án của WinCC để đảm bảo nó có thể được chạy ở những lúc được chỉ định Dạng nảy

nở này đòi hỏi truyền thông điểm - điểm giữa các máy tính trạm.Bạn có thể ngănngừa dạng nảy nở này bằng việc sử dụng các tường lửa cho các máy chủ host để lọc ra giao thông tiềm tàng nguy hiểm, như các dịch vụ cho phép một PC giao tiếp trực tiếp với PC khác Stuxnet đã sử dụng một khai thác để gửi đi một thôngđiệp RPC giả mạo từ máy trạm A sang máy trạm B và đã làm cho nó chạy mã tải về phần mềm độc hại Nếu máy trạm B đã có một tường lửa được bật thì đã ngăn ngừa được các kết nối đi vào, thì khai thác có thể sẽ thất bại

I.3.Các biện pháp ngăn chặn các cuộc tấn công vào cơ sở hạ tầng.

- Cập nhật các bản vá lỗi liên tục và sử dụng các hệ thống tường lửa, diệt virus,

…

- Diễn tập chống tấn công hạ tầng mạng trọng yếu

Theo kịch bản, các công ty hạ tầng trọng yếu của một nền kinh tế là đích nhắmcủa nhóm tội phạm Nhân viên tại những công ty này nhận được email lừa đảo

và tin nhắnSMS chứa đường link dẫn đến các website có chứa mã độc

Khi đã được kích hoạt, các mã độc sẽ trở thành một phần của mạng botnet, sửdụng kênh chat IRC và mạng xã hội để kết nối với server điều khiển (C&CServer) Mạng botnet sẽ làm tê liệt nền kinh tế bằng cách yêu cầu các bot tìmkiếm, xâm nhập và gây hỏng hóc các thiết bị hạ tầng trọng yếu như: hệ thốngđiện, hệ thống điều khiển giao thông…

Kịch bản trên được xây dựng xuất phát từ vụ việc nghiêm trọng đã xảy ra trongthực tế vào đầu năm 2010, virus Stuxnet được sử dụng để tấn công vào hàng loạt

hệ thống điều khiển mạng công nghiệp của nhiều quốc gia trên thế giới Stuxnetcũng chính là thủ phạm phá hoại hệ thống cơ sở hạt nhân của Iran khi xuất hiệntràn lan trong các cơ sở công nghiệp của nước này

Ông Roy Ko, Chủ tịch APCERT, cho biết, các cuộc tấn công mạng thường khởinguồn từ nhiều địa điểm phân tán, do đó để lần ra dấu vết và dập tắt những cuộctấn công này đòi hỏi sự hợp tác giữa các tổ chức an ninh mạng từ các nền kinh tếkhác nhau Nhiệm vụ quan trọng của chúng tôi là xây dựng khả năng phát hiện

và phòng vệ khi một cộng đồng lớn bị tấn công và hoạt động của nền kinh tế bịcản trở

- Mỹ lên kế hoạch chống các vụ tấn công vào cơ sở hạ tầng từ xa

Chính phủ Mỹ vừa phát động chương trình có tên gọi “Công dân hoàn hảo” nhằm ngăn chặn các vụ tấn công từ xa vào các công ty tư nhân, các cơ quan

chính phủ điểu hành hệ thống cơ sở hạ tầng quan trọng của quốc gia – Nhật báo Phố Wall cho biết Việc giám sát sẽ được tiến hành bởi Cơ quan An ninh quốc gia, dựa trên các cảm biến cài đặt trong mạng máy tính của các hệ thống cơ sở

hạ tầng quan trọng như lưới điện hay các nhà máy điện hạt nhân – những hệ thống có thể bị đe dọa bởi hiểm họa từ những cuộc tấn công được điều khiển từ

xa – nguồn tin giấu tên tiết lộ với phóng viên

II Lỗ hổng zero-day sẽ thông dụng hơn.

II.1 Zero-day là gì?

Zero-day ( zero-hour hoặc day zero ) là thuật ngữ chỉ sự tấn công hay các mối đedọa khai thác lỗ hổng của ứng dụng trong máy tính cái mà chưa được công bố

và chưa được sửa chữa

Bọn tội phạm sẽ sử dụng hoặc chia sẻ để cùng khai thác lỗ hổng này trước khi các nhà phát triển phần mềm kịp thời vá nó

Khi nhà phát triển phần mềm biết đến lỗ hổng này, sẽ hình thành một cuộc đua giữa việc vá lỗ hổng với việc bọn tội phạm tranh thủ khai thác và đưa thông tin

ra công cộng

Hiểm hoạ này lần đầu tiên được công ty bảo mật Sunbelt Software thông báo, công ty này phát hiện ra nó trên một website Nga cung cấp hình ảnh không văn hóa Lỗ hổng này nguy hiểm vì chỉ cần bạn duyệt qua website có chứa hình

“bẫy” thì máy tính của bạn có thể bị dính tải về ngầm Bọn tội phạm cơ hội còn biết cách làm tình hình tồi tệ thêm

Ví dụ : Năm 2010, sâu Trojan.Hydraq (còn gọi là “Aurona”) là ví dụ điển hìnhcho việc đe dọa tấn công vào các mục tiêu xác định Các mục tiêu này có thể lànhững tổ chức hoặc một hệ thống máy tính cụ thể nào đó thông qua những lỗhổng phần mềm chưa được biết tới

Sâu Trojan.Hydraq được sử dụng để khai thác lỗi hổng zero-day trên trình duyệtInternet Explorer Về cơ bản thì loại sâu này rất giống với những loại sâu Trojantấn công cửa hậu (backdoor) thông thường và thực sự nó không phức tạp đếnvậy khi so sánh với những loại phần mềm độc hại khác đang được phát tán trênmạng

Dựa trên tính năng của loại sâu này, có thể phỏng đoán một cách chính xác rằngmục đích của nó là để mở một cửa hậu trên máy tính đã bị lây nhiễm và cho

một máy bị lây nhiễm mà trên cả hạ tầng công nghệ thông tin mà máy tính đóđược kết nối.

Theo Symantec, tin tặc đã lợi dụng những lỗ hổng bảo mật như vậy trong nhiềunăm qua, thế nhưng những mối đe dọa mang tính mục tiêu cao như vậy sẽ tăngmạnh trong năm 2011 Trong vòng 12 tháng tới, chúng ta sẽ chứng kiến những

lỗ hổng zero-day ngày càng tăng nhanh với số lượng cao hơn bất kỳ năm nàotrước đây

II.2.Một số hướng tấn công zero-day nhắm đến.

II.2.1.Tấn công IE

McAfee Labs vừa xác định một lỗi trong trình duyệt của Microsoft, được sử dụng như điểm khởi đầu cho kiểu tấn công “Operation Aurora” từng xảy ra với Google và ít nhất 30 công ty khác

Operation Aurora là kiểu tấn công phối hợp, trong đó hacker dùng một đoạn mã máy tính để khai thác lỗ hổng trong Internet Explorer (IE) nhằm chiếm quyền truy cập hệ thống máy tính Khi khai thác thành công, đoạn mã này sẽ được mở rộng để tải về và kích hoạt các phần mềm độc hại trong hệ thống Sau đó máy của nạn nhân sẽ bị kiểm soát bởi một máy chủ từ xa

Các cuộc tấn công được khởi xướng một cách bí mật khi người dùng truy cập vào những trang web chứa mã độc, trong khi lại tưởng rằng đó là các website uytín

Đoạn mã máy tính dùng để khai thác lỗi IE đang được phát tán khá rộng rãi trên mạng Microsoft cũng công bố các phiên bản trình duyệt bị ảnh hưởng như IE 6,

IE 7, IE 8 được hỗ trợ trong các phiên bản Windows XP, Windows Server 2003,Windows Vista, Windows Server 2008, Windows 7 và Windows Server 2008 R2

II.2.2.Tấn công Office

Không giống các mối đe doạ zero-day nhắm đến IE, những cuộc tấn công nhắm đến Word và các ứng dụng Office khác không thể thực hiện việc tải về ngầm Thay vì vậy, chúng thường “dụ” nạn nhân nhấn đúp lên file đính kèm email - và khi chúng được kết hợp với các cuộc tấn công phối hợp chống lại một công ty

cụ thể thì ngay cả người dùng cẩn thận cũng có thể mắc bẫy

Bằng cách gửi cho các nhân viên của công ty mục tiêu một email giả xuất xứ từ

một đồng nghiệp hay nguồn khác trong công ty, tin tặc có nhiều khả năng thuyếtphục người nhận mở tài liệu Word đính kèm hơn là nếu email có xuất xứ từ người lạ.

Giữa tháng 12 năm rồi, Microsoft đã thừa nhận Word có 2 lỗ hổng như vậy bị hacker khai thác để phát động “những cuộc tấn công có chủ đích”, sau các lỗ hổng tương tự trong Excel và PowerPoint Công ty khuyến cáo người dùng thận trọng không chỉ với file đính kèm email gửi từ người lạ, mà cả các file đính kèmkhông yêu cầu gửi từ người quen

II.2.3.Nhắm vào Word

Ngày 21/5/2006, các cuộc tấn công có chủ đích được kích hoạt từ Đài Loan và Trung Quốc, khai thác một lỗ hổng trong Microsoft Word (một trong nhiều lỗ hổng zero-day của Office được thông báo trong năm 2006) để tấn công một công ty Theo Internet Storm Center, các cuộc tấn công này giả email trong nội

bộ công ty để nhân viên không nghi ngờ mở file đính kèm có chứa mã độc

Các sản phẩm Microsoft có thể là những mục tiêu tấn công zero-day phổ biến nhất, nhưng phần mềm thông dụng khác cũng có nguy cơ tương tự Trong tháng

1, một nhà nghiên cứu đã công bố phát hiện một lỗ hổng trong phần kiểm phát video của QuickTime cho phép tin tặc kiểm soát máy tính nạn nhân Cuối tháng 11/2006, một lỗ hổng zero-day trong điều khiển trình duyệt ActiveX Adobe tạo

ra nguy cơ tương tự

Sự gia tăng các sự cố zero-day tương ứng với sự gia tăng số lỗ hổng phần mềm được thông báo hàng năm Trong năm 2006 các nhà nghiên cứu và sản xuất phần mềm đã ghi nhận khoảng 7247 lỗ hổng; tăng 39% so với năm 2005, theo Internet Security Systems Xforce

Tuy vậy, hầu hết các lỗi này không dẫn đến việc khai thác zero-day Các công typhần mềm thường nhận các báo cáo về các lỗi và hỏng hóc từ người dùng của mình, dẫn đến việc phát hiện các lỗ hổng bảo mật và vá trước khi có kẻ lợi dụng.Khi các nhà nghiên cứu bảo mật bên ngoài phát hiện lỗi, đa phần họ tôn trọng quy ước “tiết lộ đúng quy cách”, được thiết kế đặc biệt để tránh các cuộc tấn công zero-day

Theo quy ước này, các nhà nghiên cứu trước hết liên hệ hãng cung cấp phần mềm để thông báo lỗi Hãng này không công bố lỗi cho đến khi có bản vá, khi

đó hãng sẽ công khai nhìn nhận nhà nghiên cứu phát hiện đầu tiên

Nhưng đôi khi các nhà nghiên cứu mất kiên nhẫn với tiến độ thực hiện chậm

hãng phần mềm đưa ra bản vá; những người khác chỉ trích đó là hành vi không tôn trọng nguyên tắc.

Những người ủng hộ việc công khai cho rằng nếu một nhà nghiên cứu biết về lỗithì bọn tội phạm cũng có thể biết và bọn tội phạm ma mãnh sẽ thực hiện tấn công trên quy mô nhỏ và có mục tiêu cụ thể để tránh đánh động hãng phần mềm biết và sửa Không may, việc tiết lộ rộng rãi về lỗ hổng có thể gây nên các cuộc tấn công zero-day rộng khắp

Một cách thức khác gây tranh cãi là treo thưởng Một số tổ chức, gồm iDefense

và Zero Day Initiative của 3Com, trả tiền cho nhà nghiên cứu thông báo cho họ

về kẽ hở zero-day Ví dụ, iDefense đưa ra mức thưởng 8.000USD cho thông tin

về các lỗ hổng trong IE 7 và Vista Sau đó, công ty bảo mật thông báo phát hiện (được giữ kín) đến hãng phần mềm Dù không phải ai cũng ủng hộ nhưng cách thức này đem lại thù lao cho các nhà nghiên cứu - một kết quả hợp lý mà nhiều người thích hơn là lời khen công khai giản đơn từ hãng phần mềm

Có lẽ quan trọng hơn, tiền thưởng của các công ty bảo mật cạnh tranh với thị trường đen đang phát triển nhắm vào kẽ hở zero-day Các báo cáo từ

eWeek.com và các công ty bảo mật cho thấy các cuộc tấn công Windows

Metafile bắt đầu ngay sau vụ mua bán thông tin chi tiết về lỗi này với số tiền khá bộn – 4.000USD

Để tìm các lỗ hỗng “có giá”, các nhà nghiêu cứu và bọn tội phạm sử dụng nhữngcông cụ gọi là fuzzer để dò tìm tự động những nơi chương trình nhận thông tin vào, sau đó cung cấp một cách hệ thống các tổ hợp dữ liệu lạ Thường thì phép thử này sẽ làm lộ lỗ hổng có thể khai thác, được biết đến với cái tên “tràn bộ đệm”

Các hãng phần mềm, trong đó có Microsoft, thường sử dụng các công cụ này để tìm trước lỗi trong sản phẩm của mình Và bọn tội phạm cũng làm như vậy: nhiều chuyên gia cho biết bọn tội phạm có tổ chức ở Đông Âu, Trung Quốc cũng dùng fuzzer để tìm các kẽ hở zero-day đáng giá Người phát hiện có thể sử dụng kẽ hở này để tự tấn công, như trong trường hợp kẽ hở WMF, hay có thể bán nó trên thị trường đen

Khi nhà sản xuất phần mềm có thể vá một lỗ hổng bảo mật trước khi có bất kỳ cuộc tấn công nào xảy ra, thì bộ phận IT của công ty và người dùng gia đình có thời gian để cập nhật phần mềm và tránh được hiểm hoạ Nhưng khi có một cuộc tấn công zero-day khởi động, thời gian được tính bằng giờ hay phút và bản

vá đôi khi đến chậm

Theo báo cáo tháng 9/2006 về các mối đe dọa bảo mật trên Internet của