Tại sao không thể chống đỡ trước các cuộc tấn công mạng (P2)?

Ước tính, thiệt hại do mã độc gây ra tại Châu Á – Thái Bình Dương trong năm 2014 là 230 tỷ USD.

2. Kỹ thuật cao

Nói về kỹ thuật cao của mã độc, tôi chỉ xin điểm qua các kỹ thuật sau: khả năng tự che dấu, tồn tại dai dẳng và mã hóa.

Đầu tiên có lẽ nên nói để khả năng tự che dấu của mã độc. Việc phát hiện ra một tập tin là mã độc dạng nguy hiểm không phải đơn giản. Với những mã độc thông thường, cứ bật máy lên là mã độc đấy hoạt động và nhân viên ATTT có thể thấy ngay sự có mặt của một tiến trình lạ. Tuy nhiên, đấy chỉ là những loại mã độc phổ thông như đã đề cập ở trên.

Mã độc nguy hiểm không hoạt động liên tục mà chỉ kích hoạt khi có lệnh hoặc vào thời điểm ngẫu nhiên nào đấy. Và việc trùng hợp thời điểm ngẫu nhiên ấy với lúc có nhân viên ATTT dò quét máy là sự trùng hợp hiếm gặp. Tôi lấy ví dụ về sự phát hiện ra mã độc Flame, con mã độc nổi đình nổi đám mấy năm trước. Việc phát hiện ra Flame là do nó dùng chung một mô đun với mã độc Stuxnet đã biết trước đó. Việc phát hiện ra Stuxnet là do nó nhiễm vào máy của một kỹ sư và máy đó đang bị trục trặc. Việc máy bị trục trặc khiến kỹ sư này liên hệ với hãng anti-virus mà ông ta đang sử dụng để tiến hành tìm nguyên nhân thì phát hiện ra stuxnet. Như thế, nếu máy của ngài kỹ sư này không bị trục trặc thì sẽ không phát hiện stuxnet và từ đây cũng chẳng có Flame.

Do đó, chúng ta có thể kết luận rằng, việc tìm ra Flame cũng như nguyên nhân các máy li tâm trong nhà máy điện hạt nhân của Iran bị hư là do tình cờ chứ không phải do kế hoạch rà quét an toàn thông tin nào (Flame tăng tốc máy li tâm làm chúng quá tải và hỏng). Chưa dừng ở đó, mã độc Gauss (một biến thể của flame) cũng đã tự biến mất khi các chuyên gia đang bao vây ở bên ngoài để tìm hiểu về nó. Mọi người vẫn chưa hiểu tại sao Gauss lại biết mình bị theo dõi để tự biến mất nhưng tôi thì lại đoán, Gauss có mắt (là webcam), có tai (là mic) thì nó hoàn toàn có thể nghe và thấy người ta đang bao vây nó như thế nào mặc dù không can thiệp vào máy tính bị nhiễm.

Sau khi các biến thể này bị phát hiện và quét sạch năm 2012, tôi nghĩ đội ngũ viết nên những mã độc này không về hưu. Họ sẽ viết tiếp các mã độc khác tinh vi hơn nhiều. Và từ năm 2012 đến nay, do chưa có sự tình cờ nào nên chúng ta chưa biết gì về những phiên bản tiếp theo của Flame, Stuxnet...

Tiếp theo sau việc khó phát hiện, tôi sẽ đề cập đến việc mã độc tồn tại dai dẳng như thế nào. Năm 2013, tôi phát hiện một mã độc cổ mà theo báo cáo tôi tìm được, lần đầu tiên nó bị phát hiện ở Tây Ba Nha năm 1997. Như vậy là đoạn mã độc này vẫn vô tư di chuyển trong thế giới số 16 năm và cũng chẳng biết bao giờ sẽ ngừng lại. Tuy nhiên, đấy chưa phải là những gì ghê gớm. Theo một báo cáo mà tôi đọc trên internet, người ta đã phát hiện ra mã độc có thể lây nhiễm vào Firmware (phần mềm điều khiển phần cứng được ghi trong bản mạch) của 10 loại đĩa cứng. Khi đã có mặt ở đây, chúng sẽ ngăn chặn việc xóa mã độc trên đĩa cứng hoặc tự động tái tạo lại khi việc xóa nó diễn ra thành công. Như vậy, nếu nhiễm mã độc này, ta gần như chỉ có thể thoát khỏi nó khi vứt bỏ chiếc ổ cứng này. Nhìn lại thực tế, có bao giờ chúng ta kiểm tra đến Firmware khi tìm kiếm virus hay không. Và thậm chí, các phần mềm tương tự như thế này hoàn toàn có thể do nhà sản xuất máy tính tự cài vào trước khi xuất xưởng. Như vậy, mã độc sẽ là một phần của máy tính mà người dùng không thể loại bỏ.

Không dừng ở việc khó phát hiện mà mã độc còn có khả năng trở thành không thể phát hiện khi sử dụng các thuật toán mã hóa tốt, không sơ hở khi tiến hành mã hóa và giải mã. Tôi lấy ví dụ: mã độc sẽ bao gồm 3 tập tin. Tập tin 1 không tiến hành phá hoại hay làm gì mà chỉ đọc lệnh trên internet, khi nhận được chỉ thị, nó sẽ download về đoạn mã và đặt nó thành một tập tin có tên ngẫu nhiên theo đặc điểm của máy tính.

Tập tin này chỉ như một tập tin rác trong vô số tập tin lộn xộn mà máy download về từ internet. Mô đun thứ 2 phát hiện có tập tin chỉ thị, sẽ trích xuất từ đây ra chìa khóa và giải mã mô đun thứ 3 vào thời điểm cần tấn công và kích hoạt cho nó. Như vậy, nếu phát hiện 3 tập tin này thì ta sẽ chẳng thấy gì liên quan đến nhau. Tập tin 1 chỉ mang về một đoạn dữ liệu đã mã hóa mà ta không đọc được. Tập tin thứ 2 thì lại tìm một thứ trên đĩa cứng mà ta không thấy khi thời điểm tấn công chưa đến. Còn tập tin thứ 3 thì bị mã hóa và ta không hiểu nó sẽ làm gì. Và chỉ khi nó hoạt động xong có lẽ chúng ta mới biết được.

Như đã phân tích ở mục này, các loại mã độc thực sự nguy hiểm ẩn mình sâu bằng các kỹ thuật cao nên rất khó phát hiện. Nó hoạt động âm thầm chứ không gõ trống khua chiêng như những con đã tấn công vào hệ thống của Vietnam Airlines mà ta đã thấy. Nó có thể âm thầm chuyển tài liệu đi, chờ đợi thời cơ để phá hủy cả hệ thống hay làm những gì mà có lẽ trí tưởng tượng phong phú của tôi cũng không thể nghĩ ra.

3. Tấn công có chiến thuật

Không dừng lại ở kỹ thuật, tin tặc hiện nay tấn công người dùng có chiến thuật rất bài bản. Tôi sẽ phân tích một vài chiến thuật để mọi người hình dung ra quy mô của việc tấn công như thế nào. Tấn công APT là kỹ thuật tấn công được nói đến gần đây rất nhiều. Với kỹ thuật này, tin tặc nghiên cứu rất kỹ đối tượng muốn tấn công và dùng các thông tin có được để lừa đối tượng mục tiêu.

Ví dụ muốn tấn công vào máy văn thư của một tổ chức, họ đợi gần đến thời hạn tăng lương của tổ chức đó rồi mạo danh giám đốc nhân sự gửi cho cô văn thư một tập tin word nội dung “danh sách tăng lương đợt 1 năm 20xx”. Là người làm công, ai chẳng mong đợi mình được tăng lương, mà lại là giám đốc nhân sự gửi riêng cho mình vào đúng thời điểm sắp công bố danh sách thì tại sao lại không mở ra đọc. Và khi mở tập tin ra, máy ngay lập tức bị nhiễm mã độc. Nếu mã độc này là viết riêng cho tổ chức này, tập tin word kia khai thác lỗ hổng chưa được công bố (zero day, mua được với giá từ 50-200.000USD) thì chẳng có một anti-virus nào có thể bắt được. Và khi đã chiếm được máy của văn thư, mọi thông tin đến và đi, tin tặc sẽ kiểm soát được. Như vậy chúng ta thấy, chỉ cần nghiên cứu đối tượng và đầu tư tiền, tin tặc hoàn toàn có thể thâm nhập được vào một tổ chức một cách dễ dàng.

Không dừng ở APT, tôi có cảm giác chúng ta bị bao vây ở mọi ngóc ngách . Chỉ tính riêng vấn đề bẻ khóa bản quyền bằng các phần mềm crack, nguy cơ mã độc là khó có thể tránh khỏi. Theo thống kê năm 2014 của bộ Thông tin và Truyền thông, 82% máy tính ở Việt Nam là vi phạm bản quyền. Cũng theo một nghiên cứu trước đó của Microsoft, 92% máy tính của Việt Nam không có bản quyền bị nhiễm mã độc từ khi xuất xưởng. Nếu nhân hai con số này lại với nhau, ta thấy 74% máy tính đã có mã độc từ khi xuất xưởng. Vậy 26% máy còn lại cũng chỉ sạch trong giai đoạn mới xuất xưởng mà thôi. Giả sử tin tặc tấn công và thay đổi tập tin update được lưu tạm trên máy của nhà mạng (cache server) thì chính những máy có bản quyền và tải update cũng bị nhiễm mã độc như thường. Như vậy con số 74% kia cũng chỉ là con số mơ ước mà thôi.

Một chuyên gia ATTT khác phản bác lại con số 74% máy nhiễm mã độc thì tin tặc không thể đọc hết dữ liệu mà mã độc gởi về, từ đó cũng sẽ bớt nguy hiểm cho những loại thông tin nhạy cảm. Tôi thì không cho điều này đúng. Mã độc chỉ lấy nhân thân của người dùng máy. Khi xác định máy đó quan trọng, tin tặc mới bắt đầu lấy dữ liệu từ máy này. Từ đó cho thấy, cứ có mã độc là nguy hiểm chứ không thể chủ quan.

Để tổng kết phần này, tôi xin tóm tắt tình hình an ninh của một số quốc gia mà chúng ta vẫn biết. Mỹ - một quốc gia đi đầu về công nghệ thông tin luôn tố cáo Trung Quốc xâm nhập hệ thống để đánh cắp thông tin. Như vậy có thể kết luận, kỹ thuật Trung quốc có thể xâm nhập vào hệ thống của Mỹ nhưng không thể che dấu hành tung của mình. Tiếp đến là Israel, quốc gia này khá nổi tiếng về an toàn thông tin với những bộ óc được cho là ưu việt nhất của nhân loại. Tuy nhiên, khi "Người thổi còi" Snowden công bố việc Mỹ biết Israel ám sát người của Iran như thế nào thì tôi kết luận, Israel cũng chẳng an toàn trước Mỹ và Mỹ có khả năng che dấu hành tung của mình rất tốt. Rồi đến ngay cả Mỹ cũng bị chính nhân viên mình phản bội khi ôm tất cả dữ liệu công bố cho cả thế giới. Điều này chứng tỏ dù có kỹ thuật tốt đến đâu thì anh cũng bị phạm vào khâu nhân sự chưa tốt.

Tất cả những phân tích ở trên mới chỉ là một phần rất nhỏ trong 40 trang yêu cầu về các biện pháp để đảm bảo an toàn thông tin cho một đơn vị. Ví dụ như mã độc thì tôi cũng chỉ đề cập đến exe, còn vô số các loại tập tin khác có thể tấn công. Về khu vực thì tôi cũng chỉ nói đến máy tính, chưa nói đến server, bảo vệ vật lý, an toàn về mặt người dung...

Tóm lại, một điều nhỏ của tiêu chuẩn mà đã khó như vậy mới thấy an toàn thông tin là một việc vô cùng khó trong thời điểm hiện tại. Và khi chỉ dùng mã độc, cuộc chiến này như tôi đánh giá ở đầu bài, chỉ mới là bắt đầu. Còn vô số thủ đoạn khác mà kỹ thuật hiện nay gần như bó tay.

Nguyễn Hồng Văn

Ủy viên Ban chấp hành hiệp hội an toàn thông tin Việt Nam – chi nhánh phía nam (Vnisa)