Bài học từ 7 biến cố an ninh mạng 2016

Tấn công DDoS bởi botnet IoT, Yahoo rò rỉ thông tin 1 tỷ tài khoản người dùng, ransomware trỗi dậy mạnh mẽ… những biến cố an ninh mạng trong năm qua đem đến nhiều bài học kinh nghiệm cho mọi tổ chức, cá nhân người dùng.

Năm 2016 liên tục ghi nhận những tin tức xấu về sự cố an ninh mạng, từ những cáo buộc hacker Nga đột nhập máy tính đánh cắp email của Ủy ban quốc gia đảng Dân chủ Mỹ (DNC) cho tới camera IP và DVR bị huy động vào mạng botnet lớn tấn công DDoS. Đó là những lời cảnh báo đáng sợ về một thế giới dễ bị tổn thương ra sao với mạng Internet phát triển nhanh, bao trùm mọi ngóc ngách của cuộc sống ngày nay.

Những biến cố an ninh mạng năm qua đã bộc lộ nhiều khiếm khuyết kỹ thuật mà đáng ra có thể xử lý trước được, cũng đồng thời cho thấy những qui trình kỹ thuật tốt nhất chưa được áp dụng để có thể giúp ngăn chặn nhiều sự cố. Bài học kinh nghiệm quan trọng nhất rút ra chính là cuộc chiến chống hacker trên mặt trận an ninh mạng diễn ra trường kỳ, chẳng khác gì cuộc chạy đua vũ trang mà không bên nào chiếm được ưu thế lâu dài. Bên tấn công liên tục nâng cấp “vũ khí” còn bên phòng thủ thì sau mỗi sự cố xảy ra lại phải đưa ra những biện pháp mới để giữ an toàn, an ninh thông tin.

Dưới đây là 7 sự cố lớn về an ninh mạng của năm qua và những bài học kinh nghiệm rút ra từ đấy .

Hệ thống email của DNC bị hack

Sau thất bại của ứng cử viên Hillary Clinton trong cuộc chạy đua vào Nhà trắng, chính quyền Mỹ lên tiếng cáo buộc hacker Nga lén truy cập hệ thống email của DNC làm rò rỉ thông tin ảnh hưởng kết quả bầu cử, đem lại lợi thế cho ông Donald Trump của đảng Cộng hòa.

Phát biểu trong cuộc họp báo cuối năm vào hôm 16/12, Tổng thống Barack Obama công khai chỉ trích người đồng cấp Putin của Nga đã dính líu đến chiến dịch tấn công mạng này. John Brennan,  giám đốc Cục tình báo trung ương Mỹ (CIA), cũng tuyên bố ông đã trao đổi với giám đốc Cục điều tra liên bang Mỹ (FBI) James Comey và giám đốc tình báo quốc gia Mỹ James Clapper, họ đồng thuận trong đánh giá về quy mô, tính chất, dự định của Nga can thiệp vào bầu cử tổng thống.

Những tuyên bố ồn ào này cho thấy rất khó để đưa ra bằng chứng cáo buộc ai đó là thủ phạm của một cuộc tấn công mạng, nhất là bằng chứng không thể chối cãi. Tất cả chỉ nằm trong vòng nghi vấn, dù có thể có những dấu hiệu hướng tới đâu đó. Trong vụ này, các chuyên gia bảo mật ngờ vực các nhóm hacker người Nga Cozy Bear và Fancy Bear dựa vào phương thức và mánh khóe tấn công, nhưng điều đó không chứng tỏ được có sự liên quan của chính phủ Nga.

Vụ việc này cho thấy những cuộc tấn công mạng vì động cơ chính trị có thể đạt hiệu quả và hành động không để lại dấu vết như khói súng.

Cáo buộc của Mỹ về cuộc tấn công mạng vừa qua cũng cho thấy kết quả bầu cử của một nước có thể bị ảnh hưởng bởi các cuộc tấn công mạng từ một quốc gia khác. Và cho dù thủ phạm là ai đi nữa thì các ứng viên, đảng phái cần chú trọng hơn về an ninh mạng để tránh những cuộc tấn công tương tự.

Dyn bị tấn công DDoS từ botnet IoT

Đợt tấn công DDoS cực lớn vào Dyn, nhà cung cấp dịch vụ phân giải tên miền (DNS) của Mỹ, đã gây hậu quả nghiêm trọng, vượt mong đợi của những kẻ tấn công. Điều đặc biệt là hàng trăm ngàn thiết bị Internet of Things (IoT) đã bị huy động, kết nối vào mạng botnet tạo nên ba đợt tấn công từ chối dịch vụ khủng khiếp với lưu lượng truy vấn cực lớn đổ về các trung tâm dữ liệu khác nhau của Dyn vào ngày 21/10. 

Vì Dyn phục vụ nhiều khách hàng lớn, như Amazon, Etsy, GitHub, Shopify, Twitter, do vậy khi các máy chủ của công ty không thể phân giải tên miền cho các khách hàng của mình khiến rất nhiều người không truy cập được vào các trang này, tạo ra cảm tưởng mạng Internet bị đánh sập. 

Tấn công DDoS và botnet không phải là mới, nhưng xu hướng huy động các thiết bị IoT bị nhiễm mã độc do dùng mật khẩu yếu hoặc để mặc định hết sức nguy hiểm. Chẳng hạn trong tháng 9 một cuộc tấn công như vậy nhắm vào công ty cung cấp dịch vụ hosting OVH của Pháp với lưu lượng kỷ lục lên tới 1 Terabit/giây. 

Bài học ở đây đối với các doanh nghiệp là cần có phương án dự phòng đối với dịch vụ DNS, như vậy chẳng may một nhà cung cấp dịch vụ DNS “thất thủ” thì chuyển ngay sang nhà cung cấp dịch vụ DNS khác. Các thiết lập cũng phải đảm bảo sao cho giảm thiểu tối đa thời gian chuyển đổi để chuyển hướng lưu lượng nhanh hơn sang các nhà cung cấp dịch vụ DNS dự phòng.

“Hồ sơ Panama” rò rỉ 2,6 TB dữ liệu

Những kẻ tấn công đã đánh cắp 2,6 terabyte dữ liệu từ hãng luật Mossack Fonseca có trụ sở tại Panama, gây nên vụ vi phạm dữ liệu lớn chưa từng thấy. Mức độ nghiêm trọng của vụ việc không chỉ với khối lượng thông tin khổng lồ bị rò rỉ mà còn bởi để lộ ra những góc khuất về hành vi rửa tiền, trốn thuế của nhiều nhân vật là chính trị gia quyền lực, người nổi tiếng hay thuộc giới giàu có trên thế giới. 

Mossack Fonseca bị phát hiện chuyên tạo ra các công ty tư nhân tại “thiên đường thuế” Panama để làm vỏ bọc cho các giao dịch kinh doanh, thực chất là chuyển thu nhập bất hợp pháp sang tài khoản nước ngoài, cho khách hàng của họ từ ở khắp nơi.

Vụ bê bối “Hồ sơ Panama” nổ ra đã gây chấn động địa cầu. Thủ tướng Iceland buộc phải từ chức sau khi lộ thông tin có tên trong bảng “phong thần”. Trong khi đó các quan chức của nhiều nước như Anh, Pháp,  Áo, Hàn Quốc, Pakistan… phải đối mặt với sự dận dữ của công chúng.

Thủ phạm vẫn còn trong bóng tối, nhưng theo các chuyên gia an ninh mạng thì hệ thống thông tin của hãng luật Panama bao gồm nhiều ứng dụng và plugin không được cập nhật và chứa nhiều lỗ hổng bảo mật. Phát ngôn viên của Mossack Fonseca cho biết đây là một cuộc tấn công đột nhập từ bên ngoài vào thông qua email chứa mã độc khai thác lỗ hổng bảo mật. 

Lượng dữ liệu bị thất thoát lớn như vậy mà công ty không hề phát hiện ra cho thấy có sự lơ là trong việc bảo vệ an toàn an ninh dữ liệu, và đó là mối nguy hại mà bất cứ tổ chức, doanh nghiệp nào cũng có thể phải đối mặt. Nguy hiểm hơn nữa, lỗ hổng nâng cấp đặc quyền có thể bị hacker lợi dụng để chiếm quyền điều khiển hệ thống sau khi xâm nhập.

Yahoo bị hack 1 tỷ tài khoản

Vào ngày 22/9 khi Yahoo công bố đã bị hack 500 triệu tài khoản người dùng, thì đây là vụ hack lớn chưa từng thấy cho đến thời điểm đó. Sau đó, vụ hack được biết là đã xảy ra từ năm 2014, khiến nhiều người ngạc nhiên về việc thông tin bị bưng bít lâu như vậy. Thế nhưng tháng cuối năm Yahoo còn đẩy sự kinh ngạc của cộng đồng mạng lên cao khi công bố hơn 1 tỷ tài khoản người dùng Yahoo đã bị hack vào năm 2013, gấp đôi vụ rò rỉ trong năm 2014.

Giá trị của Yahoo sụt giảm ngay và có tin đồn Verizon muốn giảm 1 tỷ USD so với giá đề xuất 4,8 tỷ USD mua lại Yahoo trước đây.

Các chuyên gia bảo mật vẫn thường cảnh báo hệ thống bảo mật nào cũng khó có thể đứng vững trước các cuộc tấn công mạng có chủ đích ngày nay, nhưng sự cố liên tục với mức độ dữ liệu rò rỉ lớn như với Yahoo là hồi chuông cảnh báo cho bất cứ tổ chức, doanh nghiệp nào. Bài học rút ra cho những nạn nhân tương lai là có thể ngày nào đó họ sẽ phải thông báo về việc bị xâm phạm, sẽ phải cân nhắc những thông tin nào công khai và sự cố đã xảy ra thế nào, xử lý ra sao. Thêm điều khó khăn nữa là phải tăng cường giải pháp phát hiện sớm sự cố sau khi bị tấn công để giảm thiểu thiệt hại.

Đây cũng là bài học kinh nghiệm cho người tiêu dùng với bất cứ dịch vụ nào cũng phải sử dụng mật khẩu mạnh và thường xuyên thay đổi, kết hợp xác thực nhiều lớp.

Rao bán công cụ hack của NSA

Nhóm hacker Shadow Brokers rao bán những công cụ hack được cho là đánh cắp từ một tổ chức hết sức bí ẩn mang tên Equation Group. Điều nghiêm trọng là Equation Group có thể có mối liên hệ với Cơ quan an ninh quốc gia Mỹ (NSA), còn Shadow Brokers thì dường như liên quan đến chính quyền Nga. 

Có giả thuyết cho rằng người Nga để lộ “vũ khí” của NSA nhằm gây rắc rối cho cơ quan an ninh Mỹ và đáp trả vụ Mỹ cáo buộc Nga hack hệ thống email của DNC làm sai lệch kết quả bầu cử Tổng thống Mỹ. 

Các công cụ hack được rao bán có thể đã lỗi thời, nhưng hành động này dường như nhằm gây sự chú ý trong âm mưu tìm cách công kích NSA. Quan trọng hơn, qua đây còn ngụ ý hacker Nga đã xâm nhập được vào máy chủ của NSA. Đó có thể là do sự vận hành bất cẩn của cơ quan an ninh Mỹ. 

65 triệu USD “bốc hơi” khỏi sàn giao dịch bitcoin Bitfinex

Sàn giao dịch Bitfinex hôm 2/8 đã bị hack mất gần 120.000 bitcoin, giá trị tương đương 65 triệu USD tính theo tỷ giá tại thời điểm đó. Đây là vụ đánh cắp bitcoin lớn thứ ba, nhưng Bitfinex là nền tảng chuyển đổi bitcoin ra đô la Mỹ lớn nhất do vậy đã gây tiếng vang lớn. Bitfinex loan báo mỗi tài khoản khách hàng bị thiệt hại khoảng 36% giá trị. 

Nền tảng giao dịch bitcoin tại Hồng Kông này được công ty vận hành cho là bất khả xâm phạm. Sàn giao dịch sử dụng phương thức xác thực hai yếu tố, một do Bitfinex đảm nhiệm và yếu tố còn lại thuộc trách nhiệm của đối tác bảo mật BitGo. Bitfinex tự tin sàn giao dịch có độ an toàn cao, vì kẻ cắp muốn đột nhập thành công phải gây tổn hại được cả hai công ty. Thế nhưng trong vụ này BitGo nói hệ thống của họ không hề bị tổn thương.

Bài học là thậm chí sàn giao dịch bitcoin được xây dựng cực kỳ phức tạp thì vẫn có nguy cơ bị hack và các tổ chức, cá nhân tham gia vào đấy nên thận trọng để khỏi ôm hận. 

Ransomware tấn công cả bệnh nhân

Năm qua chứng kiến hiện tượng ransomware trỗi dậy với mẫu mã độc mới xuất hiện hàng tuần. Thậm chí tại những nước phát triển như Mỹ, người bệnh cũng trở thành nạn nhân của những kẻ tống tiền ransomware bất nhân. 

Nhiều nhà cung cấp hệ thống chăm sóc sức khỏe bị ransomware tống tiền do không có hệ thống sao lưu dữ liệu dự phòng, hoặc giải pháp phục hồi dữ liệu quá chậm khiến họ phải chấp nhận trả tiền chuộc để tránh thiệt hại lớn hơn. Đáng tiếc là cho dù tốn tiền chuộc thì nguy cơ bị kẻ tấn công tống tiền trở lại rất cao, và thực tế điều đó đã xảy ra không ít lần.

Các hệ thống quản lý tiền ảo dù được xây dựng rất phức tạp vẫn không phải là bất khả xâm phạm.

Nạn ransomware chắc chắn sẽ không giảm mà tiếp tục gia tăng vì những kẻ bất lương kiếm tiền quá dễ. Trong thế giới ngầm thậm chí đã xuất hiện thị trường dịch vụ ransomware chi phí rẻ mà ai cũng có thể tiếp cận dễ dàng. Đó là mối đe dọa đáng sợ cho bất kỳ cá nhân, tổ chức nào dù lớn đến đâu.

Sự phổ biến của kiểu tấn công này là lời cảnh báo cho các doanh nghiệp trong mọi lĩnh vực cần có giải pháp sao lưu dữ liệu an toàn, tin cậy dùng để phục hồi trong trường hợp bị ransomware tấn công mã hóa dữ liệu đòi tiền chuộc. Chẳng những thế, họ còn cần trang bị hệ thống phát hiện sớm các mối đe dọa lây nhiễm mã độc để cô lập nhằm giảm thiểu thiệt hại mà chúng có thể gây ra. 

PC World VN 01/2017

Từ khóa: An ninh mạng, DDoS, IoT, mã độc, Ransomware, Yahoo