Cách các phần mềm gián điệp kiểm soát hệ thống thông tin của Vietnam Airlines

13:37, Thứ Hai, 01/08/2016 (GMT+7)
Theo anh Nguyễn Thành Đạt, Giám đốc kỹ thuật của Công ty Cổ phần Công nghệ An ninh không gian mạng Việt Nam (VNCS): Nếu các công ty có thể xây dựng một trung tâm giám sát bảo mật nhỏ thì chúng ta có thể hạn chế tối đa kịch bản đã xảy ra với Vietnam Airlines.
 
Nhận định về sự cố xảy ra với hệ thống thông tin của Vietnam Airlines vào chiều ngày 29/7, chia sẻ trên tờ ICTNews ông Ngô Tuấn Anh, Phó chủ tịch phụ trách an ninh mạng Bkav cho biết: “Việc website bị thay đổi giao diện (deface) và hệ thống âm thanh, màn hình thông báo tại nhà ga bị chiếm quyền cho thấy hacker đã xâm nhập được sâu vào hệ thống. Khả năng lớn là máy quản trị viên đã bị kiểm soát, theo dõi bởi phần mềm gián điệp (spyware). Đây là cách thức tấn công không mới, thông thường các phần mềm gián điệp này lợi dụng lỗ hổng an ninh trong file văn bản (Word, Excel, Power Point) để phát tán. Các phần mềm gián điệp này không phải là những virus lây nhiễm một cách ngẫu nhiên vào hệ thống mà được phát tán một cách có chủ đích”.
Nhân viên sân bay phải làm thủ tục check-in cho hành khách bằng tay sau sự cố
Nhân viên sân bay phải làm thủ tục check-in cho hành khách bằng tay sau sự cố
Tấn công "deface" là loại tấn công mà hacker làm thay đổi nội dung trên giao diện của website của nạn nhân. Hacker có thể thực hiện tấn công deface theo 2 cách, thứ nhất là thay đổi dữ liệu, nội dung thông tin trên giao diện website trực tiếp trên server chạy website đó; và cách thứ hai  là chuyển hướng tên miền của website  sang một địa điểm, một trang web khác chứa nội dung sai lệch.
 
Trong vụ hacker tấn công vào hệ thống thông  tin của Vietnam Airlines vừa qua, trang web của hãng đã bị trỏ tên miền website vietnamairlines.com về một trang web nằm trên máy chủ của  hacker đặt tại nước ngoài. “Việc quản trị tên miền phải thực hiện thông qua tài khoản quản trị tên miền đó. Mà thông thường tài khoản quản trị tên miền là do quản trị viên của hệ thống nắm. Từ sự việc này, chúng tôi mới đưa ra nhận định về khả năng quản trị viên hệ thống Vietnam Airlines đã mất tài khoản quản trị tên miền, máy của quản trị viên hệ thống có vấn đề”, ông Tuấn Anh giải thích.
Một kịch bản tấn công đơn giản thường được những kẻ xấu sử dụng để phát tán phần mềm gián điệp là gửi email đính kèm các file văn bản với nội dung là một văn bản có thật của nơi bị tấn công, địa chỉ email là có thật, mở file ra thì đúng là có nội dung có thật nhưng đồng thời file này sẽ có chứa sẵn virus, phần mềm gián điệp để xâm nhập vào máy của người tải về.
 
Khi các file văn bản này được mở ra, phần mềm gián điệp sẽ xâm nhập, kiểm soát máy tính. Chúng ẩn náu bằng cách giả dạng các phần mềm phổ biến như Windows Update, Adobe Flash, Bộ gõ Unikey, Từ điển… Chúng chỉ hoạt động khi có lệnh của những kẻ điều khiển từ xa nên rất khó phát hiện. Các mã độc này âm thầm đánh cắp thông tin… gửi về máy chủ điều khiển, đồng thời thông qua máy chủ điều khiển, chúng nhận lệnh để thực hiện các hành vi phá hoại khác.
 
Theo anh Nguyễn Thành Đạt, Giám đốc kỹ thuật của Công ty Cổ phần Công nghệ An ninh không gian mạng Việt Nam (VNCS), một người thường xuyên trăn trở về những lỗ hổng trong việc đảm bảo an toàn thông tin tại Việt Nam. Anh cho biết: Nếu các công ty có thể xây dựng một trung tâm giám sát bảo mật nhỏ (trang bị một số hệ thống cảnh báo sớm và vài cán bộ có kỹ năng thường xuyên giám sát) thì chúng ta có thể hạn chế tối đa kịch bản đã xảy ra với Vietnam Airlines.
 
"Thực tế có hệ thống nào online mà không bị tấn công không ? Không. Vấn đề là chúng ta cần phát hiện sớm, phân loại và tiếp tục theo dõi xem cuộc tấn công nào là nguy hiểm để kịp thời ngăn chặn, xử lý ....chứ không phải để tin tặc nằm sâu trong hệ thống từ bao giờ, thích làm gì thì làm mà chúng ta không hề hay biết. Nếu nhóm hacker Trung Quốc, không tiến hành thay đổi giao diện website, không thay đổi màn hình mà cứ âm thầm để kiểm soát hệ thống khác và thu thập thông tin thì sao ???". Anh Đạt cho biết không hề phủ nhận vai trò của các giải pháp phòng chống thâm nhập, chống mã độc... Nhưng thực tế đã chứng minh kể cả khi trang bị những hệ thống đó, hệ thống thông tin của một công ty vẫn có thể bị tấn công. Vấn đề ở đây là cần đầu tư con người (chỉ cần vài người là đủ) để sử dụng hệ thống giám sát nhằm phát hiện tấn công, con người có thể phân tích, xử lý tấn công chứ không phải đầu tư một cái máy mà có thể chặn tất cả các loại tấn công. Máy móc thiếu sự linh hoạt trong tư duy của con người.
 
Trong một bài phân tích khác của Ban Quản trị cộng đồng NukeViet thì đối với sự cố nghiêm trọng vừa qua, kỹ thuật viên của Vietnam Airlines quá "non tay" trong xử lý sự cố thông tin. Cụ thể, các chuyên gia của cộng đồng NukeViet đưa ra 2 phân tích sau:
 
Thứ nhất, Không biết hệ thống của Vietnam Airlines đã kịp vá lỗ hổng bảo mật và quét sạch hệ thống chưa mà đã mở lại hệ thống đăng nhập cho người dùng? Giả sử tôi là hacker, tôi sẽ để lại một mớ backdoor, shell, bao gồm cả vài đoạn mã đánh cắp mật khẩu của người dùng và người quản trị "Ngay khi họ đăng nhập lại vào hệ thống" (rất nhiều trường hợp tôi hỗ trợ người dùng NukeViet bị rơi vào trường hợp này).
 
Bởi vì mật khẩu mà hacker có được khi hack CSDL người dùng là CSDL đã được mã hoá (các CMS tiêu chuẩn đều áp dụng việc này), thậm chí là mã hoá vài lần kèm theo khoá mã riêng cho từng site (như trường hợp của NukeViet và Wordpress) cho nên dù có bị hack mất thì giá trị sử dụng của chúng rất thấp. Cho nên lúc Vietnam Airlines hớ hênh mở lại hệ thống mới là lúc hacker có được mật khẩu thật sự của người dùng.
 
Thông báo của Vietnam Airlines cộng với sự giúp đỡ của truyền thông sẽ khiến hàng loạt khách hàng nhảy vào đổi mật khẩu, vô tình giúp hacker nhanh chóng có được toàn bộ mật khẩu thật sự của khách hàng. Mà mật khẩu thật sự của khách hàng chắc sẽ làm được nhiều thứ. Có khi đấy chính là mật khẩu login email, mật khẩu dùng chung của vô số dịch vụ khác.
 
Thứ hai, nếu trường hợp CSDL người dùng mà hacker đã có được là dạng plaintext (không bị mã hoá - điều này thường khó xảy ra), thì việc Vietnamairlines mở lại hệ thống giúp cho không chỉ hacker mà... tất cả những ai có được CSDL đó có thể login vào hệ thống. Nói thẳng ra, dữ liệu này từ mấy ông Spammer cho đến dân bán hàng đều quá thèm thuồng vì giới đi Vietnam Airlines toàn khách VIP, trong khi dữ liệu lại quá chính xác từ họ tên, email, nơi ở, ngày sinh, điện thoại, giới tính...
 
Tất cả những phân tích từ các chuyên gia thuộc các tổ chức khác nhau ở trên có lẽ đã phần nào giúp bạn đọc hiểu được cách mà các phần mềm gián điệp (spyware) kiểm soát hệ thống thông tin của Vietnam Airlines vừa qua. Hy vọng, trong thời gian các cơ quan, tổ chức, doanh nghiệp sẽ có những biện pháp tích cực hơn trong việc triển khai hệ thống đảm bảo an ninh thông tin cho các khách hàng của mình. 
 
H.A (tổng hợp)
.
.
.

.
.
.