Năm 2011 kết thúc với nhiều bất ngờ và thú vị trong lĩnh vực Bảo mật IT. Ông Costin Raiu, Giám đốc nhóm nghiên cứu và phân tích toàn cầu của Kaspersky Lab đã nêu ra những điểm chung nhất, những xu hướng chính và các nguy cơ đặc biệt nhất có thể ảnh hưởng đến nền khoa học về bảo mật của chúng ta, từ đó có thể phần nào dự đoán được những gì sẽ xảy ra trong năm 2012.
1. Sự nổi lên của “Hacktivism”
Hacktivism là một thuật ngữ diễn tả hành động tấn công, đột nhập vào một hệ thống máy tính nhằm mục đích chính trị hoặc xã hội. Trên thế giới hiện nay, những nhóm hacktivism nổi tiếng có thể kể đến Anonymous, LulzSec, hay TeaMp0isoN. Suốt năm 2011 qua, các nhóm hacktivism đã tiến hành nhiều hoạt động khác nhau chống lại các cơ quan luật pháp, ngân hàng, chính phủ, các công ty bảo mật và những nhà cung cấp phần mềm như tấn công lỗ thủng an ninh các hệ thống của Tổ chức Liên hiệp quốc (UN), cơ quan tình báo bảo mật Straffor, CIA… Đáng lưu ý hơn nữa, trong số những sự việc này, như cuộc tấn công Straffor, đã tiết lộ những lỗ hổng về mặt an ninh như việc lưu trữ các số CVV dưới hình thức chưa được mã hóa, hay những mật khẩu vô cùng thiếu an toàn được các nhà quản lý sử dụng.
Nhìn tổng thể, đây là một trong những xu hướng chính của năm 2011 và sẽ còn tiếp tục trong năm 2012.
2. Công ty cung cấp giải pháp bảo mật cho chính phủ Hoa Kì HBGary bị tấn công
Vào tháng 1/2011, những hacker từ nhóm hacker Anonymous đã đột nhập máy chủ web của HBGary Federal – hbgaryfederal.com – thông qua việc sử dụng những đoạn mã SQL bất hợp pháp nhằm khai thác một lỗ hổng bảo mật tồn tại trong cơ sở dữ liệu của một ứng dụng. Chúng có thể trích xuất mã MD5 cho các mật khẩu thuộc sở hữu của CEO, Aaron Barr, và COO, Ted Vera. Cả hai đều dùng mật khẩu rất đơn giản: 6 kí tự thường và 2 con số.
Những mật khẩu như thế này cho phép những kẻ tấn công tiếp cận vào những tài liệu nghiên cứu của công ty và hàng chục ngàn mail được lưu trữ trong Google Apps. Như vậy, việc sử dụng những mật khẩu thiếu an toàn cho hệ thống phần mềm cũ cộng với việc sử dụng đám mây đã gây ra cơn ác mộng đối với an ninh bảo mật.
3. Những mối đe dọa trực tuyến bởi các chính phủ
Những cuộc tấn công được tiến hành và hỗ trợ bởi các cơ quan chính phủ trong năm 2011 cho thấy công tác tình báo trực tuyến đang trở thành những công cụ chính trị quan trọng của các cường quốc.
Mặc dù rất nhiều chuyên gia bảo mật xem thường việc này nhưng nó vẫn vô cùng phổ biến trên các phương tiện truyền thông đại chúng và tiếp tục lan tỏa với tốc độ cực nhanh, như lỗ thủng bảo mật RSA hay những vấn đề xảy ra với Night Dragon, Lurid và Shady Rat. Những điểm đáng chú ý trong các cuộc tấn công này là đều nhắm đến nước Mỹ, đặc biệt là các công ty đang làm việc với quân đội và chính phủ Mỹ. Những cuộc tấn công này xác nhận sự xuất hiện của những cường quốc với việc sử dụng tình báo làm công cụ chính trị quan trọng. Thêm vào đó, nhiều cuộc tấn công dường như được liên kết chặt chẽ với nhau và có tác động lớn trên toàn cầu.
 |
4. Những cuộc tấn công nhằm vào Comodo và DigiNotar
Vào ngày 15/32011 một trong những chi nhánh của Comodo, một công ty nổi tiếng về phần mềm bảo mật và chứng nhận SSL kĩ thuật số, đã bị tấn công. Kẻ tấn công đã nhanh chóng sử dụng cơ sở hạ tầng đang tồn tại để tạo ra 9 chứng nhận kĩ thuật số giả tạo cho các trang web như ail.google.com, login.yahoo.com, addons.mozilla.com và login.skype.com.
Trong suốt quá trình quá trình phân tích sự việc, Comodo có thể nhận dạng những kẻ tấn công khi hoạt động từ địa chỉ IP 212.95.136.18 - ở Teran, Iran. Nhưng xét về quy mô, nó cũng không so sánh được với lỗ thủng DigiNotar. Cuộc tấn công chống lại Comodo và DigiNotar đã làm mất lòng tin của người dân trong việc sử dụng các ủy quyền chứng nhận (CA). Trong tương lai, phương thức bảo mật CA đang trở thành đối tượng tấn công, trong tương lai gần các lổ hổng bảo mật CA có thể sẽ lan rộng hơn nữa với các malware dựa trên nền chữ kí số.
5. Duqu
Vào tháng 6-2010, nhà nghiên cứu Sergey Ulasen đến từ công ty Belarusian, VirusBlokada, đã phát hiện một phần phần mềm độc hại dưới cái tên Stuxnet, một dạng sâu máy tính chứa đựng một trọng tải rất đặc biệt được trực tiếp chỉ ra tại chương trình hạt nhân của Iran. Được tạo ra bởi người chịu trách nhiệm cho Stuxnet, Duqu được khám phá vào tháng 8-2011 bởi phòng nghiên cứu Hungary CrySyS. Mục đích của Duqu khá khác so với Stuxnet. Trojan này là một bộ công cụ tấn công thật sự rất phức tạp, có thể được sử dụng để tham nhập hệ thống và sau đó dùng siphon hút dữ liệu.
Duqu và Stunext đại diện cho công nghệ tối tân của chiến tranh công nghệ và chúng ta đang bước vào kỷ nguyên chiên tranh lạnh trong công nghệ, trong đó siêu năng lượng chống lại nhau mà không bị giới hạn bởi sự hạn chế của chiến tranh thật.
6. Hack mạng Sony Playstation
Vào ngày 19/4/2011, Sony đã nhận thấy rằng mạng Play Station (PSN) của họ đã bị hack. Lúc đầu, Sony đã miễn cưỡng giải thích những gì xảy ra và khẳng định rằng dịch vụ được ngưng tạm thời vào ngày 20/4, và sẽ được đưa vào hoạt động trở lại trong vài ngày tiếp theo. Mãi cho đến ngày 26/4, công ty mới thừa nhận rằng thông tin cá nhân đã bị đánh cắp, mà trong đó bao gồm số thẻ tín dụng. Ba ngày sau, các báo cáo chỉ ra rằng 2,2 triệu số thẻ tín dụng đang được rao bán trên các diễn đàn hacker.
Vào ngày 1/5, PSN vẫn không hoạt động, điều đó có nghĩa là rất nhiều người dùng không những bị mất thẻ tín dụng mà còn nản chí vì không thể chơi các trò chơi game mà họ đã mua. Sau đó vào tháng 10/2011, PSN đã công bố rằng 93.000 tài khoản đã được Sony khóa lại để ngăn chặn các nguy cơ tiềm ẩn sau này.
Công cuộc hack PSN của Sony là một câu chuyện lớn trong 2011 vì nó cho thấy rằng, giữa những thứ khác, trong kỷ nguyên đám mây, thông tin cá nhân có thể được dùng trong một chỗ rất thuận tiện, chỉ cần truy cập vào các liên kết internet, nhưng cũng dễ bị đánh cắp trong các trường hợp thiết lập cấu hình kém hoặc do lỗi an ninh. Trong 2011, 77 triệu tài khoản và 2,2 triệu thẻ tín dụng có thể được xem như “chiến lợi phẩm” thông thường trong kỷ nguyên đám mây.
 |
7. Cuộc đấu tranh chống lại các tên tội phạm máy tính và sự đánh sập Botnet
Khi những kẻ tấn công trong vụ việc PSN vẫn chưa bị phát hiện, 2011 chắc chắn là một năm tồi tệ với nhiều tên tội phạm bị bắt và phát hiện bởi các chuyên gia lập pháp trên thế giới. Một trường hợp đặc biệt là vụ đánh sập Kelihos, được thực hiện bởi Kaspersky Lab với sự hợp tác của Microsoft’s Digital Crimes Unit. Chiến dịch đánh sập botnet của Kaspersky Lab đã ghi nhận được hàng chục ngàn người dùng bị nhiễm mỗi ngày.
Và đây là nơi mà cuộc tranh luận lớn bắt đầu: biết về quá trình cập nhật của botnet, Kaspersky Lab hoặc một cơ quan lập pháp có thể tung ra một chương trình tới tất cả các người dùng bị nhiễm, từ đó cảnh báo cho họ về quá trình, hoặc thậm chí tự động làm sạch máy của họ. Trong một cuộc thăm dò dư luận trên trang web Securelist, 83% số người được khảo sát đã bầu chọn rằng Kaspersky Lab nên đưa ra một chương trình dọn dẹp máy mà có thể loại bỏ những mối nguy, dù điều này là bất hợp pháp ở hầu hết các quốc gia.
Đây là lời thách thức đối với tội phạm mạng rằng những mánh lới của chúng không còn bất khả xâm phạm. Cuộc chiến chống tội phạm mạng cũng làm lộ những bất cập trong hệ thống pháp luật đương đại trong việc đương đầu hiệu quả với giới tội phạm mạng.
8. Sự nổi lên của phần mềm độc hại dành cho Android
Vào tháng 8/2010, Trojan đầu tiên trên nền tảng Android được nhận diện – Trojan-SS.AndroidOS.FakePlayer.a, mà nó giả dạng như một ứng dụng trình phát nhạc. Trong khoảng 1 năm, phần mềm độc hại Android nhanh chóng bùng nổ và trở thành một trong những phần mềm độc hại trên điện thoại di động phổ biến nhất. Xu hướng này đã trở nên rõ ràng trong quý 3/2011, các chuyên gia Kaspersky đã khám phá hơn 40% phần mềm độc hại trên điện thoại di động đã được phát hiện trong suốt năm 2011.
Sự phổ biến rộng lớn của phần mềm độc hại Android có thể do nhiều nguyên nhân. Đáng chú ý nhất là sự phát triển dữ dội của chính Android. Thứ hai, sự cung cấp tài liệu miễn phí sẵn có dựa trên nền tảng Android đã khiến cho việc tạo ra phần mềm độc hại trên Andoird khá dễ dàng. Cuối cùng, có nhiều người đã phàn nàn Google Market vì quá trình sàng lọc yếu kém, đã tạo điều kiện dễ dàng cho các tên tội phạm máy tính tải lên các chương trình độc hại. Trong khi chỉ có 2 chương trình được khám phá trên iPhone, các chuyên gia Kaspersky Lab đã tìm được 2000 Trojans trên Andoird.
9. Sự kiện CarrierIQ
CarrierIQ là một công ty tư nhân nhỏ, được thành lập năm 2005, và hoạt động tại Mountain View, California. Trên trang web của họ, phần mềm CarrierIQ được triển khai trên hơn 140 triệu thiết bị khắp thế giới. Dù mục đích của CarrierIQ khi tuyên bố với dư luận là thu thập thông tin “chẩn đoán” từ các thiết bị di động, nhà nghiên cứu an ninh Trevor Eckhart đã chứng minh phạm vi thông tin mà CarrierIQ thu thập đã đi quá xa như thế nào so với mục đích tuyên bố “chẩn đoán” ban đầu, bao gồm những thứ như keylogging và giám sát URL được mở trên thiết bị di động.
Sự kiện CarrierIQ cho thấy rằng chúng ta hoàn toàn không nhận thức được chính xác những gì đang hoạt động trên các thiết bị di động của chúng ta, hoặc mức điều khiển mà các nhà mạng điện thoại truy cập trên phần cứng của bạn.
10. Phần mềm độc hại trên MacOS
Nhà sản xuất MacDefender, MacSecurity, MacProtector hay MacGuard đưa ra sản phẩm rogue AV dành cho MacOS, xuất hiện vào tháng 5/2011 và nhanh chóng trở nên phổ biến. Được phân phối thông qua công nghệ mũ đen SEO trong công cụ tìm kiếm Google, những chương trình này dựa trên công nghệ xã hội để người dùng có thể tải về, cài đặt, và sau đó trả phí cho phiên bản “đầy đủ”.
Hầu hết những người quyết định trả $40 cho phiên bản đầy đủ sau đó đã phát hiện rằng họ thực sự trả $140, và thỉnh thoảng họ phải trả nhiều hơn nữa. Ngoài MacOS rogue AV, dòng họ DNSChanger của Trojan cũng xứng đáng được đề cập đặc biệt như trên. Theo dữ liệu của FBI, trong vòng 4 năm, chúng đã gây nhiễm hơn 4 triệu máy tính trong hơn 100 quốc gia và đạt được lợi nhuận bất hợp pháp khoảng $14 triệu.
Những sự việc này cho thấy rằng phần mềm độc hại trên MacOS cũng nguy hiểm như máy tính, và thậm chí các biện pháp an ninh hiện đại cũng bị thất bại trong việc chống lại các công nghệ trên nền tảng xã hội được dựng lên một cách cẩn thận. Chắc chắn rằng chúng ta sẽ thấy cả 2 nền tảng sẽ tiếp tục bị lạm dụng trong tương lai.
