Chuyên mục
Lỗ Hổng Bảo Mật

Thông tin của hàng chục nghìn nhân viên Facebook bị đánh cắp

Thông tin của hàng chục nghìn nhân viên đang làm việc tại Facebook ở Mỹ đã bị đánh cắp vào tháng 11/2019. Điều bất ngờ, nguyên nhân của việc này là do kẻ trộm đã lẻn vào ô tô của nhân viên facebook và lấy đi một số ổ cứng chứa dữ liệu.

Thông tin của hàng chục nghìn nhân viên Facebook bị đánh cắp

Các ổ cứng bị đánh cắp hầu hết đều không được mã hóa, các thông tin bị rò rỉ gồm: bảng lương, tên tuổi, số tài khoản ngân hàng, số an sinh xã hội….

Theo một phát ngôn viên xác nhận, có tổng cộng 29.000 nhân viên Facebook đang làm việc tại Mỹ bị lộ thông tin cá nhân sau vụ việc này. Trong những năm gần đây, Facebook thường xuyên đối mặt với những chỉ trích vì bị cho là để lộ thông tin cá nhân của người dùng. Tuy nhiên, các ổ cứng và dữ liệu bị đánh cắp trong vụ việc lần này không liên quan gì đến dữ liệu người dùng Facebook.

“Chúng tôi đã làm việc với cơ quan chức năng để tìm ra thủ phạm đã đánh cắp các ổ cứng. Sau vụ việc, chúng tôi không thấy có bất cứ dấu hiệu nào về việc lạm dụng các thông tin bị đánh cắp. Nhiều khả năng vụ đánh cắp này nhằm mục đích phá hoại hơn là một chủ đích đánh cắp thông tin”, người phát ngôn của Facebook chia sẻ.

Facebook đã thông báo và gửi cảnh báo tới các nhân viên bị lấy cắp thông tin. Được biết nhân viên bị tên trộm đánh cắp các ổ cứng nói trên là một nhân viên trong bộ phận trả lương của công ty. Theo quy định, nhân viên này không được phép mang những ổ cứng chứa thông tin nhân viên ra bên ngoài văn phòng. Sau vụ việc, nhân viên này đã bị ban lãnh đạo Facebook kỷ luật.

Facebook vẫn đang làm việc với các cơ quan chức năng để có thể khôi phục lại những thông tin bị đánh cắp. Trong một email, Facebook đã khuyến khích các nhân viên thông báo vụ việc cho các ngân hàng mà họ sử dụng để  thực hiện các biện pháp bảo mật cho tài khoản.

An Toàn Thông Tin VN

Chuyên mục
Lỗ Hổng Bảo Mật

Thiết bị bảo mật Cisco bị khai thác thông qua lỗ hổng cũ

Một lỗ hổng nghiêm trọng (đã được phát hiện và vá thành công vào giữa năm 2018) đã xuất hiện trở lại trên các thiết bị Adaptive Security (ASA) và Firepower của Cisco, tạo điều kiện cho tin tặc triển khai các cuộc tấn công DoS.

Lỗ hổng bảo mật này có định danh CVE-2018-0296, có thể bị lạm dụng bởi kẻ tấn công từ xa và không xác thực, khiến thiết bị liên tục phải tải lại bằng cách gửi yêu cầu HTTP được tạo thủ công.

Ngoài ra, kẻ tấn công cũng có thể khai thác lỗ hổng để truy cập vào thông tin nhạy cảm trên hệ thống mà không cần xác thực. Điều này có thể đạt được thông qua các kỹ thuật truyền tải đường dẫn trên thiết bị bị ảnh hưởng. Cisco hiện đã phát đi cảnh báo và có các khuyến nghị bảo mật nhằm hạn chế tối đa rủi ro từ lỗ hổng cho khách hàng.

Thiết bị bảo mật Cisco bị khai thác thông qua lỗ hổng cũ

Lỗ hổng này trên thực tế đã được vá từ năm 2018, nhưng đột ngột quay trở lại trong tháng 12/2019 với số lượng các trường hợp báo cáo tăng đột biến, nghiêm trọng đến mức Cisco phải đưa ra thông báo đề nghị người dùng ASA và Firepower kiểm tra cũng như nâng cấp, cập nhật phần mềm để bảo đảm an toàn.

Nếu muốn xác định xem các thiết bị mà mình quản lý có bị ảnh hưởng bởi CVE-2018-0296 hay không, người dùng có thể thực hiện lệnh sau:

show asp table socket | include SSL|DTLS

Sự tồn tại của lỗ hổng sẽ được hiển thị theo trạng thái của các socket. Để tìm ra trạng thái ảnh hưởng của lỗ hổng đối với thiết bị, sử dụng lệnh sau:

show processes | include Unicorn

Tiến trình này sẽ hoạt động đối với các thiết bị có nguy cơ cao bị ảnh hưởng bởi lỗ hổng.

Trong trường hợp trên, để xác định chính xác có rủi ro tiềm ẩn hay không, người dùng nên kiểm tra xem phiên bản phần mềm đang chạy trên thiết bị của mình có nằm trong danh sách các phiên bản bị ảnh hưởng bởi lỗ hổng hay không.

Lý do nên kiểm tra trước khi quyết định cập nhật lên phiên bản mới hơn là do lỗ hổng nằm trong khung web của các sản phẩm ASA và Firepower, vì vậy không phải tất cả các thiết bị đều bị ảnh hưởng.

Theo An Toàn Thông Tin Việt Nam

Chuyên mục
Lỗ Hổng Bảo Mật

Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

Mới đây, một nhà nghiên cứu bảo mật của công ty bảo mật Nyotron (Israel) đã cảnh báo về một kỹ thuật tấn công mới được phát hiện. Kỹ thuật này cho phép mã độc tống tiền mã hóa các tệp trên hệ thống Windows mà không bị phát hiện bởi các sản phẩm phòng chống mã độc hiện có.

Phát hiện kỹ thuật lẩn tránh mới của mã độc tống tiền

Kỹ thuật này được đặt tên là RIPlace, cho phép phần mềm độc hại vượt qua hệ thống phòng thủ bằng cách sử dụng hoạt động “Đổi tên” hợp pháp của hệ thống tệp. Các nhà nghiên cứu bảo mật cho biết, nó hoạt động ngay cả với các hệ thống được vá đầy đủ và thực thi các giải pháp phòng chống mã độc (antivirus) hiện đại.

Theo các nhà nghiên cứu, RIPlace có thể được sử dụng để sửa đổi các tệp trên bất kỳ máy tính nào sử dụng hệ điều hành Windows XP hoặc các phiên bản mới hơn của hệ điều hành Microsoft.

Trong báo cáo chi tiết, các nhà nghiên cứu lưu ý rằng, hầu hết các mã độc tống tiền hoạt động bằng cách mở và đọc tệp gốc, mã hóa nội dung trong bộ nhớ và sau đó hủy tệp gốc bằng cách ghi nội dung được mã hóa như: lưu tệp mã hóa, xóa bản gốc, hoặc lưu tệp được mã hóa và dùng thao tác “Đổi tên” để thay thế nó.

Khi một yêu cầu “Đổi tên” được gọi IRP_MJ_SET_INFORMATION với FileInformationClass được đặt thành FileRenameInformation, trình xử lý phụ (filter driver) sẽ được gọi lại.

Các nhà nghiên cứu phát hiện ra rằng, nếu DefineDosDevice (một chức năng kế thừa tạo ra một liên kết tượng trưng (symlink)) được gọi trước khi thực hiện “Đổi tên”, thì có thể thay đổi thành một tên tùy ý như tên thiết bị, cùng với đường dẫn tệp gốc là mục tiêu để trỏ tới.

Vấn đề nằm ở chức năng gọi lại của filter driver không thể phân tích đường dẫn đích khi sử dụng thủ tục FltGetDestinationFileNameInformation. Mặc dù một lỗi được trả về khi gửi đường dẫn DosDevice, thì lệnh “Đổi tên” vẫn thành công.

Sử dụng kỹ thuật này, mã độc có thể mã hóa các tệp và vượt qua các giải pháp antivirus không xử lý lệnh gọi lại IRP_MJ_SET_INFORMATION đúng cách. Các nhà nghiên cứu tin rằng, tin tặc có thể sử dụng kỹ thuật này để vượt qua các sản phẩm bảo mật dựa trên thủ tục FltGetDestination, FileNameInformation, cũng như tránh được mọi hoạt động ghi nhật ký, giám sát hệ thống của các giải pháp phòng chống mã độc.

Các nhà nghiên cứu đã phát hiện ra kỹ thuật này vào quý 1/2019 và đã liên hệ với Microsoft, các nhà cung cấp giải pháp bảo mật, các cơ quan thực thi pháp luật và các cơ quan chức năng. Tuy nhiên, họ cho biết, chỉ một số ít các nhà cung cấp sản phẩm bảo mật đã thừa nhận lỗ hổng này và sửa chữa, mặc dù rất nhiều sản phẩm đã bị ảnh hưởng.

Công ty Nyotron đã xuất bản 2 video minh họa cách thức RIPlace có thể vượt qua các giải pháp bảo mật (bao gồm: Symantec Endpoint Protection và Microsoft Defender Antivirus), cũng như phát hành một công cụ miễn phí cho phép mọi người thử nghiệm các sản phẩm bảo mật và sản phẩm hệ thống của họ chống lại kỹ thuật RIPlace.

Nguồn An Toàn Thông Tin VN

Chuyên mục
Lỗ Hổng Bảo Mật

Mã độc tống tiền và phương pháp bảo vệ khỏi chúng

Khi tổ chức bị tấn công bởi mã độc tống tiền (ransomware), để có thể ngăn chặn thì tổ chức cần phải trả lời được các câu hỏi sau: Mã độc tống tiền là gì? Những thiết bị nào bị lây nhiễm? Nguyên nhân gốc rễ nằm ở đâu? Kế hoạch khôi phục là gì? Làm cách nào để ngăn chặn những sự cố tương tự xảy ra trong tương lai?

Mã độc tống tiền và phương pháp bảo vệ khỏi chúng

Đây là những câu hỏi đã được các chuyên gia an toàn thông tin đặt ra khi mã độc tống tiền WannaCry hoành hành vào tháng 5/2017. Nếu tổ chức có khả năng quản lý điểm cuối tốt, đồng thời vá lỗ hổng và cập nhật các hệ thống thì WannaCry thực sự không đáng ngại. Tuy nhiên, nếu các thiết bị không được cập nhật và vá các lỗ hổng bảo mật, thì những câu hỏi trên sẽ trở thành vô cùng quan trọng khi có một cuộc tấn công xảy ra trên phạm vi toàn cầu và gây thiệt hại lớn cho các tổ chức.

Theo nghiên cứu của hãng bảo mật Trend Micro, trong năm 2017 phạm vi ảnh hưởng của các ứng dụng có gắn mã độc tống tiền tăng cao. Nổi bật nhất năm 2017 là vụ tấn công thông qua mã độc tống tiền WannaCry diễn ra trên quy mô toàn cầu, gây ảnh hưởng lớn các tổ chức, cá nhân và đã được Cục An toàn thông tin cảnh báo và khuyến nghị. Vào cuối tháng 9/2018, xuất hiện mã độc XBash vừa có khả năng tống tiền, đào tiền ảo (coin mining) vừa có thể hoạt động như botnet và sâu (worm) tự lan truyền, nhắm tới các hệ thống Windows và Linux; đặc biệt, nạn nhân sẽ không thể khôi phục dữ liệu kể cả khi đã trả tiền chuộc cho kẻ tấn công. Theo “Báo cáo điều tra vi phạm dữ liệu năm 2018” của công ty viễn thông Verizon (Mỹ), các cuộc tấn công mã độc tống tiền chính là hình thức tấn công mạng phổ biến nhất trong năm 2017. Hãng bảo mật Malwarebytes (Mỹ) theo dõi và chỉ ra, các cuộc tấn công mã độc tống tiền phát hiện được đã tăng 90% với đối tượng doanh nghiệp trong năm 2017. Rõ ràng, đã đến lúc các doanh nghiệp cần nhận thức được nguy cơ sẽ bị mã độc tống tiền tấn công và phải có sự chuẩn bị cho điều này.

Mã độc tống tiền là gì?

Mã độc tống tiền là một loại phần mềm độc hại (malware), không cho phép người dùng truy cập dữ liệu bằng cách mã hóa dữ liệu trên máy tính của người dùng. Người dùng chỉ có quyền truy cập tới các dữ liệu này khi chấp thuận trả “tiền chuộc” cho kẻ tấn công. Phương thức xâm nhập vào hệ thống của loại mã độc này thường qua thư điện tử lừa đảo, website bị nhiễm độc và khai thác lỗ hổng bảo mật hiện có tại điểm cuối. Ví dụ: WannaCry là một dạng mã độc tống tiền theo phương thức mã hóa dữ liệu trên máy tính của người dùng khiến người dùng không thể truy cập các dữ liệu đó được nữa. Nó yêu cầu người dùng phải trả tiền chuộc bằng tiền ảo Bitcoin để có thể truy cập trở lại các dữ liệu đã bị mã hóa. WannaCry có khả năng xâm nhập vào toàn bộ các máy tính trong cùng hệ thống mạng thông qua một lỗ hổng gọi là Eternal Blue, vì thế người dùng không cần nhấp chuột vào đường dẫn hay đính kèm cũng bị nhiễm mã độc.

Mã độc tống tiền thiết lập một vị trí vững chắc trong hệ thống, rồi tiến hành lây lan ra các điểm cuối khác và di chuyển trong mạng nhằm tìm kiếm, thu thập, tổ chức hoạt động và mã hóa dữ liệu mục tiêu. Khi đã gây ra thiệt hại, nó che giấu dấu vết và trích xuất dữ liệu, từ đó sử dụng hoặc bán trên web đen (dark web). Mã độc tống tiền là loại mã độc đặc biệt vì một khi hoạt động trong hệ thống, có rất ít biện pháp để xử lý. Mọi biện pháp đều tốn kém và sự ngưng trệ công việc là điều không thể tránh khỏi.

Phương thức bảo vệ tổ chức khỏi mã độc tống tiền

Rất nhiều lỗ hổng mà mã độc tống tiền khai thác đều là các lỗ hổng đã biết trước, nghĩa là các tổ chức có thể ngăn chặn hầu hết các mã độc tống tiền trước khi có tấn công. Việc chuẩn bị cơ chế phòng vệ để ứng phó nhanh chóng và hiệu quả khi bị mã độc tống tiền tấn công, cũng như khắc phục và khôi phục sau khi bị tấn công đều có ý nghĩa quan trọng. Giải pháp đầu tiên và tiết kiệm chi phí nhất chính là phòng chống.

Trước khi bị tấn công

Phòng chống có hiệu quả hơn nhiều so với xử lý sau khi bị tấn công. Các tổ chức cần xây dựng một kế hoạch ứng phó sự cố và thực hành triển khai. Thay vì đợi tấn công xảy ra, tổ chức nên chủ động hướng dẫn nhân viên nhận thức các mối đe dọa đến từ mã độc tống tiền và các hướng tấn công đa dạng của chúng, bao gồm thư điện tử, macro và website bị xâm phạm.

Từ góc nhìn quản lý, tổ chức phải luôn kiểm soát được những thiết bị có trên mạng và lập một bản kiểm kê cập nhật thường xuyên về chúng. Điều này cho phép tổ chức biết được các lỗ hổng nằm ở đâu và mức độ rủi ro, cũng như giúp cơ cấu hợp lý việc khắc phục sự cố khi biết thiết bị nào cần được xử lý trước.

Để giảm thiểu các hướng tấn công từ những lỗ hổng đã biết, tổ chức có thể thiết lập một chính sách cứng rắn, cập nhật về quản lý bản vá các điểm cuối, hệ điều hành và ứng dụng. Cân nhắc sử dụng công cụ quản lý bản vá tự động để giảm số lần vá từ hàng tuần, hàng ngày xuống vài giờ hoặc vài phút, đồng thời cải thiện năng suất và giải phóng tài nguyên để giải quyết các vấn đề an toàn khác.

Thêm vào đó, tổ chức nên thiết lập, duy trì một tiêu chuẩn an toàn tối thiểu. Cần kết hợp các giải pháp bảo mật tốt nhất trên các điểm cuối và đảm bảo luôn có một bản sao lưu cố định gắn bó với chính sách an toàn của tổ chức. Áp dụng các biện pháp kiểm soát cấu hình và tiêu chuẩn an toàn đối với tất cả các điểm cuối sẽ giúp loại bỏ tình trạng cấu hình sai và không đáp ứng tiêu chuẩn bảo vệ tối thiểu trên các thiết bị.

Tiếp theo, đảm bảo rằng các biện pháp kiểm soát mong muốn luôn ở trạng thái sẵn sàng thực hiện. Sử dụng các chương trình diệt virus, các nền tảng bảo vệ điểm cuối (endpoint protection platform – EPP), công cụ phát hiện và ứng phó điểm cuối (endpoint detection and response – EDR) để tăng cường bảo mật và tự động khởi động lại nếu dịch vụ bị ngắt vì bất kì lý do gì. Hạn chế thực thi các chương trình từ thư mục tạm thời và đảm bảo chỉ những tiến trình được cho quyền mới được thực thi trên thiết bị. Xem xét ngăn chặn những đính kèm có thể thực thi từ thư điện tử để hạn chế các tác nhân tấn công tiềm tàng. Đồng thời, nên triển khai phương thức áp dụng đặc quyền tối thiểu, chỉ cho phép những tài khoản và ứng dụng cần thiết mới được hoạt động đúng với chức năng của chúng. Điều này sẽ giúp giảm thiểu hậu quả mà tấn công mã độc tống tiền có thể gây ra cho những tài khoản và ứng dụng khác.

Cuối cùng, giới hạn các hướng tấn công phổ biến bằng cách vô hiệu hóa Flash và Windows Script Host. Càng chuẩn bị kỹ thì càng có nhiều cơ hội tránh được tấn công mã độc tống tiền.

Trong khi bị tấn công

Trong trường hợp mã độc tống tiền đã xâm nhập được vào hệ thống của tổ chức, việc có kế hoạch ứng phó và các công cụ thích hợp sẵn sàng là tối quan trọng để hạn chế những thiệt hại tiềm tàng. Các tổ chức phải có khả năng xác định phạm vi tấn công, kiểm soát sự việc một cách nhanh chóng, bảo vệ các thiết bị chưa bị lây nhiễm và cách ly các thiết bị đã bị nhiễm, khôi phục dữ liệu đã sao lưu vào nơi thích hợp, cập nhật và vá những thiết bị dễ bị tấn công.

Tổ chức cần bắt đầu bằng việc nhận diện tấn công mã độc tống tiền. Tìm kiếm các thông điệp yêu cầu tiền chuộc. Quan sát xem người dùng đang cố gắng truy cập dữ liệu trong mạng hay tại thiết bị nội bộ và tìm hiểu nó đã bị mã hóa hay chưa. Sau đó, xác định xem có điểm cuối nào đang thiết lập kết nối bất thường hay không.

Nếu tổ chức đang bị tấn công, cần triển khai kế hoạch ứng phó đã đề ra và quyết định có thể khôi phục bằng dữ liệu sao lưu hay nộp tiền chuộc. Tổ chức cần đảm bảo tuân thủ luật pháp, trong đó có việc chú ý những khuyến cáo của FBI về vấn đề nộp tiền chuộc. Dù sao, không có đảm bảo rằng việc trả tiền chuộc sẽ khôi phục được dữ liệu. Có thể chụp thông điệp tống tiền và cung cấp cho cơ quan chức năng.

Tiếp theo, cần nhận diện chủng loại mã độc tống tiền. Đôi khi, có thể biết thông qua thông điệp tống tiền; hoặc nếu không, có thể đưa thông điệp tống tiền và/hoặc dữ liệu bị mã hóa cho chuyên gia về mã độc tống tiền để nhận điện thông qua các cuộc tấn công trước đó và đặc tính, hành vi của nó. Biết được chủng loại mã độc tống tiền sẽ giúp xác định được lựa chọn khôi phục tối ưu nhất.

Để hạn chế thiệt hại, cần tắt tất cả các điểm cuối có khả năng bị lây nhiễm và ngắt kết nối của chúng với mạng. Đồng thời, tắt tất cả các thiết bị khác (kể cả bộ nhớ ngoài) khi bị tấn công, đến khi chắc chắn chúng đã hoàn toàn được quét sạch mã độc. Thêm vào đó, cần làm việc ngoại tuyến trong khi kiểm tra/quét sạch các thiết bị; ngắt kết nối đến mạng nội bộ và các dịch vụ đồng bộ tệp tin để tránh lây nhiễm mã độc tống tiền cho các thiết bị khác.

Nhiều loại mã độc tống tiền mã hóa có quá trình hoạt động là sao chép các tệp tin, mã hóa tệp sao chép và xóa tệp tin gốc. Tổ chức nên thử khôi phục các tệp tin bị mất hoặc làm hư hại bằng các công cụ khôi phục dữ liệu. Nếu không được, có thể tiếp tục kế hoạch khôi phục đã được đề ra trước khi bị tấn công để xem liệu có thể khôi phục từ dữ liệu sao lưu hay không. Trước đó, nên kiểm tra để đảm bảo quá trình sao lưu không dính mã độc tống tiền và dữ liệu sao lưu chưa bị mã hóa.

Tiếp theo, loại bỏ mã độc tống tiền khỏi các thiết bị bị lây nhiễm. Sử dụng chương trình diệt virus, mã độc để quét sạch các thiết bị này, tuy nhiên cần lưu ý rằng chỉ loại bỏ mã độc tống tiền thì chưa giải mã được các tệp tin, thậm chí có thể ảnh hưởng tới khả năng khôi phục tệp tin khi quyết định nộp tiền chuộc. Đồng thời có thể cân nhắc dọn dẹp toàn bộ ổ cứng và cài đặt lại hệ điều hành và các ứng dụng.

Sau khi bị tấn công

Để tránh bị lây nhiễm lại, cần cập nhật ngay các bản vá quan trọng cho hệ điều hành và các ứng dụng. Bắt đầu bằng việc vá lỗ hổng vừa bị khai thác và xác nhận mã độc đã được loại bỏ hoàn toàn.

Cuối cùng, cần biên soạn một bản báo cáo cho cảnh sát. Đây là bước quan trọng, cần thiết khi hoàn thiện yêu cầu bảo hiểm hoặc tiến hành tố tụng liên quan đến vụ tấn công. Điều này cũng giúp cơ quan thực thi pháp luật theo dõi được hành vi, sự phát triển cũng như các xu hướng khác của mã độc tống tiền.

Cách ly mã độc tống tiền khỏi mạng lưới của tổ chức

Các cuộc tấn công mã độc tống tiền thành công nhất thường xâm nhập vào môi trường của tổ chức thông qua một lỗ hổng đã biết trên một điểm cuối bị xâm phạm. Cách phòng tránh tốt nhất chính là áp dụng các biện pháp ngăn chặn mã độc tống tiền tại các điểm cuối. Tại những thiết bị này, cần bảo đảm các bản vá được cập nhật và các ứng dụng đang ở phiên bản an toàn nhất. Cần có tầm nhìn quan sát những gì xảy ra tại các điểm cuối và mạng để xử lý các cuộc tấn công một cách nhanh chóng.

Sử dụng giải pháp quản lý điểm cuối sẽ cung cấp khả năng quan sát theo thời gian thực và kiểm soát khả năng phòng vệ. Giải pháp này cần đáp ứng yêu cầu phát hiện, vá và báo cáo tại tất cả các điểm cuối mà không phụ thuộc vào địa điểm, kết nối hay băng thông. Nền tảng đó cũng cần phải cung cấp danh sách các phần mềm và tài nguyên cho phép xem tất cả các bản vá, phiên bản phần mềm và cấu hình tại các điểm cuối một cách nhanh chóng, không phụ thuộc vào hệ điều hành hay kết nối mạng. Giải pháp quản lý cần được triển khai an toàn, hạn chế thay đổi cấu hình tường lửa và đảm bảo kiến trúc vững chắc.

Tổ chức cũng nên xem xét các biện pháp tích hợp với những ứng dụng an toàn quan trọng khác mà tổ chức sử dụng, như quản lý thông tin và sự kiện an toàn (security information and event management – SIEM), ứng phó sự cố (incident response – IR), EDR, kiểm soát truy cập mạng (network access control – NAC) và các biện pháp quản lý lỗ hổng. Điều này sẽ giúp cải thiện hơn nữa phương pháp đảm bảo an toàn tổng thể, đồng thời tối ưu hóa đầu tư về cả thời gian và tài nguyên. Quan trọng hơn cả, luôn lưu ý rằng cách tốt nhất để chống lại mã độc tống tiền chính là cách ly chúng khỏi mạng lưới.

Nguồn An Toàn Thông Tin VN


Khi tổ chức, cá nhân gặp sự cố về an toàn thông tin, cần thực hiện các biện pháp ứng cứu và báo cáo sự cố cho các đơn vị khắc phục, ứng cứu sự cố trong nước như: – Trung tâm Công nghệ thông tin và Giám sát an ninh mạng, Ban Cơ yếu Chính phủ. – Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT), Bộ Thông tin và Truyền thông. – Cục An toàn thông tin, Bộ Thông tin và Truyền thông. – Cục An ninh mạng, Bộ Công an. – Bộ Tư lệnh Tác chiến không gian mạng, Bộ Quốc phòng.
Chuyên mục
Lỗ Hổng Bảo Mật

Nguy cơ tấn công bầu cử thông qua backdoor mã hóa

Theo một khảo sát mới đây, các chuyên gia cho rằng, các backdoor mã hóa do chính phủ yêu cầu cài đặt trong các hệ thống công nghệ thông tin – viễn thông (CNTT-VT) sẽ khiến các quốc gia có nguy cơ bị tấn công vào quá trình bầu cử nhiều hơn.

Nguy cơ tấn công bầu cử thông qua backdoor mã hóa

Khảo sát này được thực hiện bởi Công ty Venafi, với hơn 380 chuyên gia an toàn thông tin (ATTT) trong Hội thảo Black Hat 2019 diễn ra tại Las Vegas, Mỹ vào đầu tháng 8/2019.

Vào tháng 7/2019, Bộ trưởng Tư pháp Mỹ William Barr cho rằng, các sản phẩm công nghệ có chức năng mã hóa dữ liệu mạnh đang tạo ra một vùng không được pháp luật kiểm soát. Những sản phẩm này được kẻ khủng bố và tội phạm khai thác vì nó làm suy giảm nghiêm trọng khả năng các nhà thực thi pháp luật phát hiện và ngăn chặn tội phạm. Nhận định này cũng gần giống với những người tiền nhiệm trước đây.

Cũng giống như nhiều chuyên gia trong lĩnh vực ATTT, Bộ trưởng Tư pháp Mỹ khẳng định rằng, việc truy cập thông qua backdoor do chính phủ yêu cầu đặt trong các hệ thống CNTT-VT là khả thi và phải được thực hiện. Ông cho rằng, nếu các công ty công nghệ thực sự nỗ lực, họ có thể tìm ra giải pháp cho phép truy cập dữ liệu hợp pháp mà không nguy hại đến sự an toàn dữ liệu của người dùng.

Khẳng định này đã bị các hãng công nghệ và các chuyên gia mật mã nổi tiếng trên thế giới bác bỏ. Năm 2018, cộng đồng đã ủng hộ việc Thượng nghị sĩ Ron Wyden yêu cầu FBI giải thích cơ sở kỹ thuật cho các tuyên bố của tổ chức này, rằng có thể xây dựng các backdoor mã hóa mà không ảnh hưởng đến ATTT của người dùng.

Hiện nay, các ý kiến của cộng đồng ATTT khẳng định, các backdoor của hệ thống CNTT-VT cũng sẽ khiến các quốc gia gặp nguy cơ bị tấn công mạng vào cơ sở hạ tầng bầu cử. Đây là vấn đề quan trọng vì cuộc bầu cử Tổng thống Mỹ năm 2020 sắp diễn ra.

Số liệu khảo sát cho biết, trong khi 80% cộng đồng nhất trí với nhận định này, thì 74% cho rằng các quốc gia có backdoor mã hóa do chính phủ yêu cầu sẽ dễ bị tấn công quốc gia hơn; 72% tin rằng điều này sẽ không làm giảm mối đe dọa khủng bố; 70% cho rằng điều này sẽ đưa các quốc gia vào tình trạng bất lợi về kinh tế.

Tháng 7/2019, một báo cáo của Thượng viện Mỹ cho hay, cơ sở hạ tầng bỏ phiếu ở tất cả 50 bang của nước này rất có thể đã bị xâm phạm bởi tin tặc Nga trước cuộc bầu cử năm 2016. Báo cáo cảnh báo rằng, nếu ứng cử viên được Nga ủng hộ không giành được chiến thắng vào năm 2020, họ sẽ có thể tìm cách sử dụng cách truy cập này để bác bỏ tính hợp pháp của kết quả.

Ông Kevin Bocek, Phó Giám đốc Chiến lược an toàn và Thông tin mối đe dọa của công ty Venafi cho biết, các backdoor mã hóa làm gia tăng đáng kể rủi ro về an toàn đối với mọi loại dữ liệu nhạy cảm, bao gồm các dữ liệu ảnh hưởng đến an ninh quốc gia.

Đối với người dùng, họ muốn một công nghệ đặt cao vấn đề về an toàn và quyền riêng tư của dữ liệu cá nhân. Lòng tin của người dùng đối với sản phẩm công nghệ là điều không thể định giá. Backdoor mã hóa sẽ không chỉ làm giảm tính an toàn đối với quốc gia, mà rõ ràng chúng còn có khả năng gây ra thiệt hại đáng kể về kinh tế và ảnh hưởng khá nghiêm trọng trong lĩnh vực chính trị.

Nguồn An Toàn Thông Tin VN

Chuyên mục
Lỗ Hổng Bảo Mật

Thiết bị bảo mật Cisco bị khai thác thông qua lỗ hổng cũ

Chuyên mục
Lỗ Hổng Bảo Mật

Cách kiểm tra phần mềm Unikey để tránh bị tấn công

Mới đây, Công ty an ninh mạng CMC Cyber Security đã cảnh báo về chiến dịch tấn công có quy mô lớn thông qua phần mềm gõ tiếng Việt Unikey giả mạo.

Cách kiểm tra phần mềm Unikey để tránh bị tấn công

Unikey là bộ gõ tiếng Việt quen thuộc đối với người dùng tại Việt Nam, chính vì sự phổ biến này mà phần mềm Unikey luôn là mục tiêu tấn công của tội phạm mạng. Mới đây, hệ thống giám sát của CMC đã phát hiện ra mẫu mã độc lợi dụng phần mềm Unikey để tấn công người dùng Việt Nam.

Khi người dùng sử dụng bàn phím US trên Unikey, phần mềm sẽ tự động tải thư viện Kbdus.dll trước tiên, vì nó nằm cùng thư mục với UnikeyNT.exe. Lợi dụng đặc tính này, tin tặc đã thay thế file Kbdus.dll gốc bằng file được chỉnh sửa có chèn mã độc.

Cách kiểm tra phần mềm Unikey để tránh bị tấn công

Theo các chuyên gia CMC, đây là chiến dịch tấn công được đầu tư khá kỹ lưỡng, khó bị phát hiện. Vì phần mềm này phổ biến trên máy tính nên những kẻ tấn công chỉ cần dụ người dùng tải về file kbdus.dll vào thư mục chứa Unikey là có thể khai thác được máy của nạn nhân.

Để hạn chế bị tấn công, người dùng nên xóa thư mục chứa phần mềm Unikey cũ, sau đó truy cập vào địa chỉ unikey.org để tải về phiên bản chính thức. Đồng thời, không mở các tập tin lạ và thường xuyên cập nhật hệ điều hành Windows phiên bản mới nhất.

Nguồn An Toàn Thông Tin VN

Chuyên mục
Lỗ Hổng Bảo Mật

54 lỗ hổng của Siemens cho phép tin tặc kiểm soát nhà máy điện

Các hệ thống điều khiển công nghiệp của Tập đoàn công nghệ điện và điện tử toàn cầu Siemens được thiết kế dành riêng cho thiết bị của nhà máy điện, bị phát hiện có rất nhiều lỗ hổng bảo mật. Tuy nhiên, các lỗ hổng này khó có thể bị khai thác từ bên ngoài.

54 lỗ hổng của Siemens cho phép tin tặc kiểm soát nhà máy điện

Các nhóm nghiên cứu tại các hãng bảo mật Positive Technologies, Kaspersky Lab và Biznet Bilisim đã phát hiện và báo cáo 54 lỗ hổng trong máy chủ ứng dụng SPPA-T3000, đảm nhận việc quản lý các hệ thống điều khiển của nhà máy điện.

Theo Siemens, hệ thống điều khiển chủ yếu được sử dụng trong các nhà máy điện tái tạo và hóa thạch quy mô lớn. Các thành phần dễ bị tấn công thường được bảo vệ bởi tường lửa, nghĩa là tin tặc phải thâm nhập được vào mạng nội bộ để khai thác các lỗ hổng. Điều quan trọng là tin tặc cần quyền truy cập vào một thành phần được gọi là đường cao tốc (highway) phía sau tường lửa trước khi chúng có thể tấn công máy chủ ứng dụng.

“Việc khai thác các lỗ hổng được mô tả trong tư vấn bảo mật đòi hỏi phải có quyền truy cập vào highway hoặc tự động hoá (Automation)”, Siemens giải thích. Cả hai thành phần này được coi là đã được bảo vệ nếu môi trường đã được thiết lập theo cấu hình được đề xuất trong hướng dẫn bảo mật Siemens SPPA-T3000. Tuy nhiên, việc Bộ An ninh Nội địa Hoa Kỳ cáo buộc các tin tặc của chính phủ Nga thâm nhập hệ thống hạ tầng trọng yếu của Hoa Kỳ hồi năm 2018 cho thấy, tin tặc có thể làm được điều đó.

Trong số các lỗ hổng, nghiêm trọng nhất là CVE-2019-18283 và CVE-2019-18284. Đây là các lỗ hổng không yêu cầu bất kỳ xác thực nào để có thể khai thác. Siemens miêu tả về những lỗ hổng này: “AdminService có thể sử dụng mà không cần xác thực trên máy chủ ứng dụng. Kẻ tấn công có thể lấy được quyền thực thi mã từ xa bằng cách gửi các đối tượng tự tạo đến một trong các chức năng của nó.”

Các lỗ hổng khác bao gồm hai lỗ hổng từ chối dịch vụ CVE-2018-4832, CVE-2019-18289 và lỗ hổng thực thi mã CVE-2019-18288 liên quan đến việc xử lý không an toàn tập tin tải lên.

“Bằng cách khai thác các lỗ hổng này, tin tặc có thể thực thi mã tùy ý trên máy chủ ứng dụng – một trong những thành phần chính của hệ thống điều khiển phân tán SPPA-T3000”, Vladimir Nazarov – người đứng đầu bộ phận Hệ thống điều khiển công nghiệp (ICS) của Positive Technologies, nơi phát hiện và báo cáo 17 lỗ hổng nhận định.

Theo ông, tin tặc có thể kiểm soát và làm gián đoạn các hoạt động. Điều này có thể ngăn chặn việc phát điện và gây ra sự cố tại các nhà máy điện, nơi lắp đặt các hệ thống dễ bị tấn công.

Cho đến nay, Siemens cho biết họ chỉ có thể vá ba trong số các lỗ hổng đã bị phát hiện. Siemens khuyến nghị các quản trị viên khóa máy chủ và từ chối mọi truy cập mạng bên ngoài.

Nguồn An Toàn Thông Tin VN

Chuyên mục
Lỗ Hổng Bảo Mật

Hello world!

Welcome to WordPress. This is your first post. Edit or delete it, then start writing!

Chuyên mục
Lỗ Hổng Bảo Mật

Israel ném bom tiêu diệt cả hang ổ của hacker Hamas

Đây là lần đầu tiên Israel đáp trả những hacker của nhóm lực lượng Hồi giáo Hamas bằng máy bay không kích.
Lực lượng phòng vệ Israel (IDF) vừa công bố họ đã ngăn chặn một nỗ lực tấn công mạng của lực lượng Hồi giáo Hamas bằng cách không kích trực tiếp vào trụ sở của nhóm hacker ở dải Gaza. Đây là lần đầu tiên một hành động quân sự được thực hiện để nhắm vào những nhóm chiến binh mạng.
Bạo lực tiếp tục nổ ra cuối tuần qua tại dải Gaza. Hamas đã bắn hơn 600 tên lửa về phía Israel, trong khi IDF cũng đáp trả bằng cách tấn công hàng trăm mục tiêu quân sự. Ít nhất 27 người Palestine và 4 người Israel đã thiệt mạng và hàng trăm người khác bị thương.

Israel nem bom tieu diet ca hang o cua hacker Hamas hinh anh 1
Hình ảnh do IDF công bố về nơi mà họ cho là trụ sở của nhóm hacker Hamas. Ảnh: IDF.

Vào ngày 4/5, IDF đã phát hiện một nỗ lực tấn công mạng từ phía Hamas. IDF không nói rõ mục tiêu tấn công, nhưng cho biết đây là nỗ lực để “phá hoại cuộc sống của công dân Israel”. Họ cũng cho biết cuộc tấn công không phức tạp và sớm bị ngăn chặn.
Sau khi không kích, IDF đã đăng tải video về nơi họ cho là trụ sở của nhóm hacker, cho biết “Hamas không còn khả năng tấn công mạng sau cuộc không kích”.
Theo ZDNet, đây là cuộc tấn công quân sự trực tiếp đầu tiên về phía một nhóm hacker. Năm 2015, Mỹ từng tấn công một thành viên IS sau khi người này công bố thông tin quân nhân trên mạng, nhưng cuộc tấn công không diễn ra ngay lập tức.
“Cuộc tấn công của Israel là lần đầu tiên một quốc gia phản ứng ngay lập tức bằng hành động quân sự trước những nỗ lực tấn công mạng trong giao tranh”, phóng viên Catalin Cimpanu của ZDNet nhận định.
“Công bố chính thức của phía Israel cho thấy họ có thể đã dập tắt cuộc tấn công bằng các biện pháp kỹ thuật. Điều đó sẽ khiến cho những nhà phân tích đặt ra câu hỏi mục đích và lý lẽ của việc tấn công quân sự”, tiến sĩ Lukasz Olejnik tại đại học Oxford phân tích.

Israel nem bom tieu diet ca hang o cua hacker Hamas hinh anh 2
Những hacker của Hamas từng chiếm được quyền điều khiển các máy bay không người lái của IDF. Ảnh: AFP.

“Tuy nhiên chúng ta đang nhắc đến một sự việc xảy ra giữa giao tranh quân sự, nên sẽ rất khác với một tình huống khi không có giao tranh về quân sự. Những hành động đáp trả cần phải tính đến nhiều yếu tố phức tạp như mức độ giao tranh, sự nguy hiểm của vụ tấn công và hành động thực tế”, ông Olejnik nói.
Theo ZDNet, những hacker Hamas đã từng thành công trong việc chiếm quyền điều khiển máy bay không người lái của IDF trong quá khứ.

THN / ZING