Các chuyên gia cho rằng, Việt Nam đang là một “địa chỉ nguy hiểm” về an ninh mạng với hàng triệu máy tính “góp sức” vào mạng máy tính ma quốc tế. Trong khi đó, chúng ta chưa phòng chống mã độc một cách hiệu quả cũng như các đơn vị còn rời rạc trong việc phối hợp ứng cứu sự cố.
“Ổ” máy tính ma
Tại Hội thảo “Xây dựng cơ chế phối hợp trong nước, ngoài nước trong các hoạt động ứng cứu khẩn cấp” do Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) phối hợp cùng Ban quản lý dự án phát triển công nghệ thông tin và truyền thông tổ chức ngày 30/10, các chuyên gia đưa ra nhận định, đang có một mạng lưới phần mềm độc hại nhắm tới Việt Nam.
Tiến sĩ Vũ Quốc Khánh, Giám đốc VNCERT, trong vòng 9 tháng đầu năm 2013, VNCERT đã ghi nhận số vụ việc mất an toàn thông tin với 1.428 trường hợp dùng mã độc tấn công.
“Con số này đã vượt qua tất cả số liệu của năm 2012. Trong khi đó, số liệu của năm 2012 gấp ba lần so với 2011,” ông Khánh nói.
Điểm qua mạng máy tính ma (botnet) tại không gian mạng Việt Nam, ông Khánh cho hay VNCERT đã ghi nhận mạng lưới Zeus Botnet có 14.075 địa chỉ IP; mạng lưới botnet Sality, Downadup, Trafficconverter có 113.273 địa chỉ IP.
Trong khi đó, một địa chỉ IP rất có thể không phải chỉ là một máy tính mà có thể là một cụm máy tính. Bởi vậy, khi hacker phát động tấn công từ chối dịch vụ (DDoS) hoặc phát tán thư rác sẽ có một mạng máy tính khá lớn ở Việt Nam tham gia.
Cũng theo vị chuyên gia này, ở Việt Nam còn ghi nhận một số loại hình tấn công botnet mới. Ví dụ như mạng botnet bRobot được cho là điều hành bởi nhóm tin tặc Iran, tấn công các trang web trên thế giới và cài đặt mã độc, biến các trang web này thành máy tính ma. Tại Việt Nam, đã có 2.309 website bị tấn công với lượng mã độc được cài trên 6.978 trang. Sau nhiều nỗ lực của các đơn vị liên quan, hiện vẫn còn 793 trang bị lây nhiễm...
Viện dẫn số liệu phát tán tin nhắn rác và phát tán mã độc qua thư điện tử của hãng bảo mật Kaspersky, ông Khánh cho biết các máy tính ở Việt Nam đang phát tán hơn 3,33 tỷ tin nhắn rác/ngày. Có ít nhất khoảng 500.000-1.000.000 máy tính đang bị lây nhiễm mã độc nằm trong các mạng botnet.
Ông Dong Yan, giám đốc bộ phận virus của Kaspersky Lab (khu vực châu Á-Thái Bình Dương) thì nhận định an toàn thông tin như một… chiến trường. Thống kê của Kaspersky Lab cho thấy, rủi ro lây nhiễm trên mạng là rất cao. Hiện, Việt Nam là quốc gia đứng thứ 6 trên thế giới phát tán thư rác và nhận thư rác.
Chuyên gia đến từ Kaspersky cũng chỉ ra một số mã độc nguy hiểm là Worm.Win21.Derbis.a lây nhiễm 142.128 máy tính (Việt Nam là quốc gia đứng thứ 2 thế giới với 17% máy tính bị nhiễm) và Virus.Win32.Nimnul.a lây nhiễm 119.439 máy tính (đứng thứ 1 thế giới, với 25% máy tính bị nhiễm).
Dùng công nghệ “diệt” công nghệ
Thực tế, để hình thành mạng botnet, hacker đã tìm cách phát tán mã độc bằng cách chèn chúng vào các trang web download, đánh cắp email hoặc giả mạo email và gửi tài liệu, đường link có chứa mã độc.
Ngoài ra, nếu như trước đây, mã độc thường ẩn vào những tập tin có đuôi .exe, .dat và không đạt được hiệu quả thì nay hacker đã đưa mã độc vào các tập tin như .doc, .ppt, .xls, .pdf… để tạo độ tin cậy cho người dùng.
Mã độc sẽ xâm nhập vào máy tính khi người dùng mở các file đính kèm (nếu người dùng USB để copy dữ liệu thì USB cũng là một công cụ phát tán). Các mã độc này sẽ được kết nối đến máy chủ điều khiển để nhận lệnh. Ngoài ra, các máy tính bị tổn thương sẽ tiếp tục dò quét mạng nội bộ để tiếp tục lây nhiễm. Sau đó, hacker sẽ sử dụng mạng botnet này để làm công cụ tấn công, phát tán thư rác.
Nhiều chuyên gia cho rằng, với việc hacker dùng đủ thủ đoạn tinh vi để “cấy” mã độc vào máy tính người dùng thì người sử dụng phải dùng công nghệ để loại bỏ các botnet từ trong trứng nước.
Ông Vũ Ngọc Sơn ông, Phó Chủ tịch phụ trách Nghiên cứu Phát triển của Bkav tại Hội thảo hacker mũ trắng diễn ra hôm qua (29/10) khuyến cáo người dùng sử dụng một loạt các biện pháp tổng thể, nhiều tầng lớp bảo vệ để ngăn chặn hacker. Đó chính là việc phải sử dụng các phần mềm chống virus có chức năng chạy tất cả các tập tin trong môi trường an toàn; phát hiện các phần mềm gián điệp thông qua hành vi và phát hiện các tập tin khai thác lỗ hổng…
Ở quy mô các tổ chức, tiến sĩ Vũ Quốc Khánh cho rằng chúng ta mới có khả năng sử dụng cách thức phát hiện và cảnh báo botnet dựa trên các báo cáo thu được ở giai đoạn hacker tìm kiếm khách hàng để bán (botnet) và phát động tấn công.
Tuy nhiên, phương pháp này bộc lộ rất nhiều nhược điểm bởi khi mạng botnet bắt đầu thực hiện tấn công thì đối tượng bị tấn công mới thu được thông tin. Ngoài ra, việc ngăn chặn chỉ hiệu quả khi có sự phối hợp chặt chẽ và kịp thời của nhiều đơn vị.
Bên cạnh đó, có ít các đơn vị khi xảy ra sự cố lập tức liên hệ với VNCERT và thu thập đầy đủ thông tin gửi về tổ chức này. Nhiều đơn vị cho rằng chỉ khi không chống đỡ được thì mới liên lạc với VNCERT.
“Đây là cách hiểu sai, việc liên hệ với VNCERT sẽ giúp các đơn vị nhận được sự hỗ trợ đồng bộ của nhiều tổ chức liên quan tới an toàn thông tin,” ông Khánh khẳng định.
Ngoài ra, trong đợt hacker tấn công các báo điện tử hồi tháng 7 vừa qua, sự phối hợp ứng cứu trong nước còn khá rời rạc. Thậm chí, có doanh nghiệp cung cấp nội dung còn đợi qua ngày nghỉ cuối tuần mới tổ chức ứng cứu.
Người đứng đầu VNCERT cũng đề xuất dự kiến hàng năm, tại Việt Nam sẽ có diễn tập mạng lưới (cấp Quốc gia, Bộ, ngành, tỉnh, thành) về an toàn thông tin. Trong đó, phòng chống botnet, mã độc là 1 trong những nội dung trọng tâm. Mặt khác, cần có chế tài mạnh và thanh kiểm tra việc thực thi nếu đối tượng nhận cảnh báo không làm đúng hạn sẽ bị ngăn chặn./.
Đặt “bẫy” botnet Chia sẻ kinh nghiệm từ việc gỡ bỏ botnet tại Nhật Bản, bà Kaori Umemura (Trung tâm ứng cứu máy tính Nhật Bản-JPCERT) cho biết, từ năm 2005, JPCERT đã đặt “bẫy” botnet tại tất cả hệ thống của các nhà cung cấp dịch vụ Internet để thu thập mẫu. Từ mẫu mã độc thu được, đơn vị này nghiên cứu ra công cụ rồi phối hợp cùng nhà cung cấp dịch vụ thông báo qua email tới người dùng, cung cấp miễn phí cho người dùng phần mềm gỡ bỏ botnet. Kết quả, phương pháp này của JPCERT đã nâng cao được nhận thức của người dùng và số máy tính nhiễm độc đã giảm đáng kể (từ 450.000 máy năm 2005 còn 190.000 máy bị nhiễm độc năm 2010). Đây là một trong những phương pháp được đánh giá là hữu dụng, giúp người dùng chủ động trong việc ngăn chặn máy tính của mình trở thành một máy tính ma. |