Trước năm 2015, khi nhắc đến đe doạ an ninh mạng, chúng ta thường tập trung nhiều về tội phạm công nghệ (criminal hacker), những kẻ đánh cắp thông tin thẻ tín dụng và mật khẩu ngân hàng hoặc những hacker hoạt động phong trào hay hacker mũ trắng, những người sử dụng khả năng công nghệ vì lợi ích của người dùng internet.
Nhưng nay, mọi sự tiên đoán đều là không đầy đủ nếu không kể ra những mối nguy tiềm ẩn đặt ra từ những cuộc tấn công mang tầm quốc gia, ví dụ như những vụ việc do Edward Snowden nêu ra. Khi một cơ quan tình báo như NSA thâm nhập ngầm vào một hệ thống để phục vụ mục đích của họ, thì hệ thống đó cũng có thể bị xâm nhập tấn công từ những tổ chức khác theo cách tương tự. Chúng ta cần xác định rõ tư tưởng này, trước khi bàn về những mối đe doạ an ninh của năm nay.
Những cuộc tấn công trên tầm quốc gia.
Năm 2014 khép lại với những hé lộ mới về một trong những vụ xâm nhập nghiêm trọng nhất do NSA và các cơ quan gián điệp đối tác tiến hành. Vụ xâm nhập có liên quan đến hãng viễn thông Belgacom, do chính phủ sở hữu một phần. Khi vụ Belgacom được phanh phui lần đầu vào mùa hè năm 2013, nó nhanh chóng rơi vào im lặng.
Chúng ta biết rằng, các cơ quan gián điệp thường nhắm vào các quản trị viên hệ thống làm việc cho các hãng viễn thông để chiếm quyền truy cập vào các thiết bị định tuyến đặc biệt mà hãng đó sử dụng để quản lý luồng truy cập của khách hàng. Hé lộ gần đây về loại phần mềm độc hại tên Regin được sử dụng trong vụ tấn công lại cho thấy cách mà các kẻ tấn công ngắm đến toàn bộ hệ thống viễn thông bên ngoài nước Bỉ, để chiếm quyền điều khiển các trạm thu phát sóng, giám sát người dùng và nghe lén thông tin liên lạc. Regin chỉ là một trong nhiều công cụ được các cơ quan gián điệp sử dụng để thâm nhập ngầm vào mạng riêng của doanh nghiệp.
Những nỗ lực để xâm nhập hệ thống của NSA nhằm vượt qua mã hoá bảo mật và cài chương trình backdoors lên hệ thống nói chung, là những mối nguy hiểm an ninh lớn nhất mà người dùng máy tính phải đương đầu.
Tấn công tống tiền hoặc để moi thông tin
Tranh luận vẫn đang nổ ra xung quanh vụ tấn công vào hãng Sony và động cơ cho lỗ hổng đó. Bất chấp hacker thâm nhập vào hệ thống Sony để tống tiền hoặc ngăn chặn bộ phim The Interview ra mắt, thì việc này cũng đã tạo ra một tiền lệ cho những lần tấn công tiếp theo. Đây không phải là vụ tấn công đầu tiên mà chúng ta được chứng kiến. Tuy nhiên, trước đây đó chỉ là những vụ tấn công trên bình diện nhỏ, sử dụng một chương trình được gọi là ransomware, với cơ chế mã hoá ổ cứng hoặc khoá người dùng hoặc doanh nghiệp truy cập vào dữ liệu và hệ thống để đòi tiền chuộc.
Vụ tấn công thâm nhập hệ thống Sony, lại khác, có thể đến từ mục tiêu chính trị do bất bình trong quan điểm, hoặc đến từ các hacker được một số chính quyền hậu thuẫn, theo một số giả thuyết được đưa ra, là một cuộc tấn công tống tiền ở mức độ cao, liên quan đến nguy cơ rò rỉ dữ liệu.
Các vụ tấn công kiểu này đòi hỏi kỹ năng cao hơn nhiều so với tấn công cấp thấp bằng ransomware. Nó sẽ trở thành vấn đề lớn khi tấn công xảy ra cho những mục tiêu cao hơn bởi vì Sony sẽ thiệt hại nhiều một khi dữ liệu của họ bị rò rỉ.
Dữ liệu bị huỷ hoại
Vụ tấn công vào hãng Sony cho thấy một mối nguy hại khác, hiển hiện rõ nhất tại Mỹ: đó là nguy cơ dữ liệu bị huỷ hoại. Vấn đề này sẽ trở nên rõ ràng hơn trong năm 2015. Những kẻ tấn công vào lỗ hổng bảo mật của Sony Pictures Entertainment không chỉ ăn cắp dữ liệu của công ty mà còn xoá luôn dữ liệu đó. Đây là thủ đoạn thường dùng trước đó để tấn công vào các máy tính ngân hàng và công ty truyền thông tại Nam Hàn, vào máy tính của cơ quan chính quyền và công ty liên quan đến ngành dầu khí tại Ả Rập Sau-Đi và I-ran. Phần mềm độc hại tấn công xoá sạch dữ liệu và MBR (master boot records) và khiến hệ thống tê liệt.
Việc sao lưu dữ liệu cẩn trọng sẽ ngăn chặn những vụ tấn công tương tự đưa đến những thảm hoạ. Nhưng việc xây dựng những hệ thống như vậy đòi hỏi tiêu tốn nhiều thời gian và chi phí, đồng thời dữ liệu phục hồi đảm bảo phải hoàn toàn “sạch”, để hệ thống không tiếp tục bị tấn công.
Lỗ hỗng về thẻ ngân hàng lại tiếp tục
Trong thập kỷ vừa qua, vô số những lỗ hổng nghiêm trọng dẫn đến việc đánh cắp dữ liệu của hàng triệu thẻ ngân hàng của TJX và Barnes and Noble, Target và Home Depot. Một trong số chúng là các vụ tấn công vào hệ thống quản lý bán lẻ (point-of-sale) để đánh cắp thông tin thẻ thông qua mạng lưới các nhà bán lẻ, riêng vụ tấn công của Barnes and Noble lại liên quan đến thiết bị đọc dò trên đầu đọc thẻ.
Các công ty phát hành thẻ và nhà bán lẻ do đó đã chuyển sang sử dụng thẻ và đầu đọc an toàn EMV hoặc chip-‘n’-PIN. Loại thẻ này sử dụng một vi chip sinh, mã giao dịch một lần đối với các giao dịch trong cửa hàng, kết hợp với mã số PIN do khách hàng nhập vào để hạn chế nạn ăn cắp thông tin thẻ. Nhờ đó, lỗ hổng bảo mật liên quan tới thẻ hứa hẹn sẽ giảm xuống, tuy nhiên, cần có thời gian để hệ thống chip-‘n’-PIN được triển khai rộng khắp.
Mặc dù, các nhà phát hành thẻ đang thay thế chậm chạp các loại thẻ cũ bằng thẻ EMV mới, các nhà bán lẻ phải đợi đến tháng 10 năm 2015 để bắt đầu tiến hành lắp các máy đọc thẻ loại mới. Các nhà bán lẻ chắc chắn sẽ sử dụng công nghệ mới, và các thẻ DNV cũ sẽ vẫn có thể tiếp tục là mục tiêu cho những lỗ hổng bảo mật.
Kinh nghiệm qua những vụ tấn công gần đây của Home Depot cho thấy, hacker vẫn có thể lợi dụng sự triển khai chậm chạp của hệ thống xử lý chip-‘n’-PIN. Hơn nữa, khi các nhà phát hành chuyển sang thẻ EMV thì hacker cũng sẽ tập trung sang loại thẻ mới này. Thay vì đi sau các nhà bán lẻ để đánh cắp dữ liệu thẻ, họ sẽ chỉ đơn giản nhắm vào các bộ xử lý đảm nhiệm các tài khoản thanh toán. Những vụ tấn công gần đây gây thiệt hại số tiền tới 9 triệu và 45 triệu Mỹ Kim, hacker thâm nhập vào hệ thống các công ty chịu trách nhiệm xử lý tài khoản thanh toán trả trước.
Lỗ hỗng bảo mật bên thứ ba
Những năm gần đây, chúng ta chứng kiến tình trạng gọi là tấn công và lỗ hỗng bảo mật bên thứ ba, tập trung vào những công ty hoặc dịch vụ chuyên thu thập thông tin hoặc truy cập cho những mục đích khác.
Trong trường hợp vụ tấn công của Target, khi hacker thâm nhập vào mạng lưới các nhà bán lẻ thông qua công ty đối tác điều hoà nhiệt độ, chịu trách nhiệm về hệ thống này của Target.
Tuy nhiên, những vụ như thế này chỉ là tấn công ở tầm thấp nếu so với những lỗ hỗng bảo mật bên thứ ba nghiêm trọng tấn công vào những tổ chức cung cấp chứng nhận và dịch vụ cơ bản khác. Lỗ hổng bảo mật của hãng RSA Security vào năm 2011 tạo ra mục tiêu để hacker thâm nhập vào các khoá bảo mật của RSA được các doanh nghiệp và cơ quan chính quyền sử dụng, đơn cử như vụ tấn công liên quan đến cơ quan cấp chứng chỉ Hungary vào năm 2011, khiến các hacker có thể tạo ra những chứng chỉ gần giống như chứng chỉ hợp pháp để chèn phần mềm độc hại và khiến phần mềm này trông giống những chương trình hợp pháp.
Cũng vậy, một vụ tấn công vào hãng Adobe vào năm 2012, dẫn lối cho hacker xâm nhập vào máy chủ chứa mã chữ ký của hãng, và cài phần mềm độc hại vào chứng chỉ của Adobe. Những lỗ hổng bên thứ ba như vậy là một dấu hiệu cho thấy những lỗ hổng an ninh đang tăng lên. Hacker sẽ tìm cách ăn cắp chứng chỉ bảo mật, bởi vì hệ điều hành (như Windows chẳng hạn) đòi hỏi phần mềm phải được cấp chứng chỉ hợp pháp thì mới được cài vào hệ điều hành. Những lỗ hỗng này được xem là rất nghiêm trọng, bởi vì chúng đánh vào niềm tin cơ bản của người dùng trong hạ tầng internet.
Nguy cơ về cơ sở hạ tầng
Cho đến nay, lỗ hỗng nghiêm trọng nhất của hệ thống cơ sở hạ tầng là vụ việc xảy ra tại I-ran, khi Stuxnet được sử dụng để phá huỷ chương trình làm giàu uranium của quốc gia này. Cho đến khi nguy cơ cơ sở hạ tầng tại Mỹ vẫn chưa hiển hiện, thì nguy cơ đó cũng đã và đang ở rất gần.
Một dấu hiệu hacker đang nhắm vào hệ thống ngành công nghiệp điều khiển ở Mỹ, đó là lỗ hổng bảo mật xảy ra tại Telvent, hãng sản xuất phần mềm cho hệ thống điều khiển điện lưới thông minh cho mạng điện lưới Hoa Kỳ, cũng như trong một số hệ thống điều khiển đường ống cung cấp dầu và khí đốt.
Hacker thâm nhập trước tiên vào project file của hệ thống SCADA của hãng. Những nhà cung cấp như Telvent sử dụng project file để lập trình hệ thống điều khiển công nghiệp của khách hàng và có quyền chỉnh sửa đầy đủ mọi thứ trên hệ thống của khách hàng thông qua những file này. Những project file bị nhiễm độc là cách mà Stuxnet dùng để thâm nhập vào hệ thống làm giàu uranium của I-ran. Hacker có thể sử dụng project file để lây nhiễm vào máy khách hàng hoặc truy cập vào những công ty là khách hàng của Telvent và nghiên cứu cách vận hành cũng như cách tấn công vào hệ thống điều khiển từ xa của họ.
Cũng như cách mà hacker dùng để xâm nhập vào hệ thống bên thứ ba để truy cập vào Target, việc tấn công vào hệ thống điều khiển chỉ là vấn đề thời gian. Hacker do vậy sẽ tiếp tục thâm nhập vào hệ thống điều khiển công nghiệp, nếu họ muốn.