Tại sao không thể chống đỡ trước các cuộc tấn công mạng (P1)?

Dưới đây là bài viết rất chi tiết của của ông Nguyễn Hồng Văn, Ủy viên Ban chấp hành hiệp hội an toàn thông tin Việt Nam – chi nhánh phía nam (Vnisa) về thực trạng bảo mật thông tin trong thời kì mới.

Hiện nay, đã có một vài tiêu chuẩn cho an toàn thông tin, ví dụ như Iso 27.001. Tuy nhiên, các tiêu chuẩn này chỉ góp phần nâng cao an toàn thông tin chứ không thể đảm bảo an toàn tuyệt đối. Và với bài viết này, tôi sẽ phân tích một khía cạnh rất nhỏ trong bộ tiêu chuẩn để thấy, việc đảm bảo an toàn tuyệt đối là gần như bất khả thi nếu chỉ trông chờ vào kỹ thuật.

Bộ Iso 27.001 dài 8 chương và 2 phụ lục bao gồm các điều cần phải làm để có một hệ thống an toàn. Các điều cần phải làm này trải dài từ nhận thức lãnh đạo, chính sách của tổ chức đến tuyển dụng nhận sự, đào tạo nhân viên tự phòng ngừa các hiểm họa và cuối cùng là các biện pháp kỹ thuật nhằm nâng cao an toàn.

Trong các biện pháp kỹ thuật thì lại bao gồm bảo vệ vật lý (nôm na như là chống kẻ trộm vào ôm cả cái máy tính chứa dữ liệu đi mất), an toàn cho thiết bị mạng, an toàn cho mã nguồn của chương trình... Trong mớ bòng bong 40 trang giấy A4 đó thì đoạn nói về phòng chống mã độc chỉ vỏn vẹn có 39 từ, đó là “các biện pháp quản lý trong việc phát hiện, ngăn chặn và phục hồi nhằm chống lại các đoạn mã độc và các thủ tục tuyên truyền nâng cao nhận thức của người sử dụng phải được thực hiện”. Trong phạm vi bài này, tôi sẽ đề cập các khó khăn trong việc thực hiện 39 từ này. Từ đây bạn đọc có thể tự suy ra thực hiện đủ 40 trang sẽ khó như thế nào.

Tại sao tôi nói “cuộc chiến an toàn thông tin hiện nay chỉ ở giai đoạn bắt đầu”? đó là vì đa phần tin tặc chỉ dùng mã độc. Tuy nhiên, chỉ với mã độc thì cuộc chiến đã gần như chẳng hề cân sức giữa bên phòng thủ và bên tấn công. Lợi thế của bên tấn công gần như là tuyệt đối nếu có thể dùng tất cả các chiến thuật mà tôi sẽ liệt kê dưới đây. Và cũng xin lưu ý với các bạn, sự liệt kê của tôi cũng chỉ hữu hạn trong những gì tôi biết và được nói. Những thứ đó cũng chỉ như phần nổi của một tảng băng mà thôi. Theo nhận định chủ quan của tôi, cuộc chiến chống mã độc hiện nay có 3 cái khó, đó là số lượng mã độc cực lớn, kỹ thuật cao và địch tấn công có chiến thuật.

1. Chiến thuật “biển mã độc”

Theo công bố chính thức của một hãng anti-virus nổi tiếng, năm 2014, họ đã có bộ sưu tập hơn 100 triệu mẫu mã độc. Và mỗi năm, bộ sưu tập này lại được bổ sung nhiều triệu mẫu. Mã độc sẽ xuất hiện ở đâu? Ở đâu cũng có mã độc, ví như USB, ổ cứng máy tính, ổ cứng mạng, email, website... Thậm chí với các thiết bị mạng như switch, router cũng có thể tiềm ẩn mã độc vì nó chính là một chiếc máy tính làm việc truyền tin. Tóm lại, ở đâu có dữ liệu, có chương trình, ở đó có khả năng có mã độc.

Mã độc trực tiếp tấn công người dùng thường là các tập tin dạng exe. Dạng này rất dễ bị phát hiện với người có chuyên môn nhưng lại dễ dàng qua mặt người dùng bình thường. Sau một thời gian bị lộ, hiện nay, các tập tin exe này ẩn mình dưới cái tên chấm doc giả và cũng mang biểu tượng của word nên lừa được rất nhiều người, thậm chí cả chuyên gia nếu sơ hở. Và các tập tin này chứa đầy trong các USB, ổ đĩa mạng, ổ đĩa người dùng... Tiến thêm một bước, mã độc này hiện nay đã ngăn chặn hệ điều hành hiển thị phần mở rộng của tập tin khiến người dùng bình thường không có cơ sở để phân biệt đâu là mã độc, đâu là tập tin thật. Đây là một chiến thuật rất đơn giản nhưng lại tỏ ra rất hiệu quả của mã độc.

Chẳng cần cài mã độc, tin tặc chỉ cần làm một trang web gần giống với trang web mà người dùng hay sử dụng (hiện nay phổ biến là trang nhập mật khẩu của facebook) và yêu cầu người dùng nhập tên tài khoản và mật khẩu. Và khi nhập xong, trang web đó tự động chuyển dữ liệu này về cho tin tặc. Người dùng chỉ cần sơ xẩy một tí do không chú ý tên trang web (hoặc cũng không biết gì để chú ý) là có thể bị mất mật khẩu.

Ngoài những việc vô ý bị lừa, tôi còn có cảm giác tin tặc bảo gì, người dùng cũng ngoan ngoãn nghe theo. Mấy năm trước, có một dạo, Facebook tràn ngập việc chia sẻ trang vẽ chibi. Tin tặc không cần gieo mã độc mà yêu cầu người dùng copy một đoạn mã của tin tặc và cho vào trình duyệt của người dùng. Kỹ thuật khá khó nhưng do muốn có một hình chibi của riêng mình, ai cũng cố gắng thực hiện. Trong số bạn bè tôi bị lừa, có cả một thạc sĩ đang công tác tại phòng thí nghiệm trọng điểm quốc gia về an toàn thông tin. Vậy mới thấy rằng, các chuyên gia cũng có thể là nạn nhân chứ không chỉ người thường.

Làm sao để những loại mã độc này lan tràn khắp nơi? Trên các trang web riêng của giới hacker, tin tặc cho không các loại mã độc này. Một đứa trẻ biết dùng máy tính có thể download về và sửa lại một tí để có riêng cho mình một con mã độc. Các bạn lưu ý, việc chỉnh sửa này, tin tặc cũng đầu tư làm giao diện rất dễ sử dụng. Do đó, chỉ cần tìm hiểu một chút là các em có ngay một con mã độc cho riêng mình để tấn công những người xung quanh, thu thập bí mật đời tư của bạn bè, hàng xóm, người yêu... và cũng có thể kiếm tiền.

Việc ai cũng có thể tạo ra một biến thể mã độc và lây lan cho các đối tượng quanh mình làm cho số lượng mã độc phát triển với tốc độ chóng mặt. Việc này làm tiêu tốn nguồn lực lớn của các hãng bảo mật nhưng vẫn không thể ngăn chặn hết mã độc. Tiếp theo sau đó, các máy tính cài phần mềm anti virus lại chạy ì ạch vì phải kiểm tra quá nhiều vấn đề trước khi cho một tiến trình được chạy. Đều này dẫn đến tâm lý của người dùng là dùng phần mềm anti virus chỉ làm chậm máy mà không giải quyết được vấn đề gì.

Vậy sự lan tràn của mã độc sẽ giúp gì cho tin tặc? Theo tôi, nó có nhiều tác dụng. Thứ nhất: tiêu hao nguồn lực của đối phương trong cuộc chiến an toàn thông tin. Thứ 2: che đậy các loại mã độc thực sự nguy hiểm. Thứ 3: làm nản lòng người dùng và quay sang chấp nhận “sống chung với lũ” vì có cài anti-virus cũng vậy mà thôi. Tư tưởng này tôi đã thấy xuất hiện ở nhiều nơi, kể cả với chuyên gia làm về an toàn thông tin. Một khi tư tưởng này trở thành phổ biến thì tin tặc đã chiến thắng bước đầu trong việc loại bỏ anti virus ra khỏi hệ thống.

Còn nữa

Nguyễn Hồng Văn

Ủy viên Ban chấp hành hiệp hội an toàn thông tin Việt Nam – chi nhánh phía nam (Vnisa)