Tin tức
Sự cố an ninh mạng của VietNam Airline dưới góc nhìn của chuyên gia bảo mật hệ thống- Học viện CNTT Bách Khoa- BKACAD
Sự cố an ninh mạng của VietNam Airline dưới góc nhìn của chuyên gia bảo mật hệ thống- Học viện CNTT Bách Khoa- BKACAD
01/08/2016 15:18
Chiều ngày 29/7 vừa qua đã xảy ra vụ tấn công làm thay đổi giao diện website và các hệ thống thông tin thuộc sự quản lý của Tổng Công ty Hàng không Việt Nam (Vietnam Airlines), vào khoảng 16:00 ngày 29/7/2016, trang mạng chính thức của hãng đã bị chiếm quyền kiểm soát và bị chuyển sang trang mạng xấu ở nước ngoài, Vietnam Airlines cũng đã xác nhận dữ liệu của một số hội viên khách hàng thường xuyên của hãng đã bị công bố.
Thông tin về vụ tấn công được các cộng đồng ICT, trang mạng xã hội và báo chí đưa tin rầm rộ. Có thể nói sự cố an ninh mạng xảy ra với hệ thống thông tin của Vietnam Airlines là một “Hồi chuông cảnh tỉnh” cho các cơ quan, đơn vị, doanh nghiệp cần đặc biệt quan tâm đến đến công tác an toàn thông tin cho hệ thống cơ quan, tổ chức của mình.
Hãy cùng chuyên gia bảo mật hệ thống của Học viện CNTT Bách Khoa (BKACAD) Trịnh Ngọc Hưng, chia sẻ một góc nhìn từ sự cố an ninh mạng của VietNam Airline
Sự cố an ninh mạng của VietNam Airline dưới góc nhìn của chuyên gia bảo mật hệ thống- Học viện CNTT Bách Khoa- BKACAD
Về phương diện kỹ thuật:
Chúng ta thấy hệ quả của cuộc tấn công này là Hacker đã thay đổi thông tin hiển thị trên màn hình và nội dung trên hệ thống loa phát thanh thông báo, kèm theo một file Excel dung lượng gần 100MB chứa danh sách khoảng 400.000 thông tin của khách hàng. Theo tôi đây là kiểu tấn công deface, với kiểu tấn công này thì các Hacker có thể sử dụng bằng nhiều phương pháp khác nhau.
Ví dụ như: Hacker có thể thực hiện bước Footprinting (kỹ thuật do thám) để tìm ra địa chỉ Email dùng để đăng ký tên miền. Sau đó, thực hiện chiếm quyền email này và thay đổi lại các bản ghi tên miền của website trỏ về địa chỉ IP khác mà trên IP đó Hacker đã dựng sẵn các website với nội dung mà Hacker muốn. Vì vậy mà người dùng truy cập vào website sẽ bị chuyển hướng sang IP khác và nội dung hiển thị sẽ là nội dung của website khác.
Hoặc là với một kịch bản khác: Các Hacker dùng phần mềm mã độc đẩy vào hệ thống bằng nhiều cách để thực hiện giám sát ngầm trong hệ thống và từ đó Hacker có thể lấy được rất nhiều thông tin, các tài khoản quan trọng như tài khoản quản trị viên web, mail. Từ đó Hacker sẽ chiếm quyền kiểm soát website và thay đổi nội dung theo Hacker muốn. Có thể các phần mềm mã độc đã được đẩy vào hệ thống từ lâu rồi mà không bị phát hiện. Các Hacker có thể đẩy vào bằng phương pháp social engineering (pp đánh lừa), thông qua một email giả mạo của một người có quyền hạn cao trong tập đoàn hay trong hệ thống, Hacker sẽ phát tán mã độc đính kèm vào một văn bản hay công văn làm cho máy tính những người nhận được email này sẽ bị nhiễm mã độc và những máy đó sẽ bị giám sát và chiếm quyền điều khiển (trong đó rất có thể có cả máy của quản trị viên hệ thống). Cũng có thể Hacker sẽ gán phần mềm mã độc dưới dạng một pop-up và phát tán vào hệ thống. Hay dùng một reverse shell (Backdoor) chiếm quyền một máy trong hệ thống rồi từ đó chiếm toàn hệ thống.
Hay bằng cách nữa là Hacker thực hiện chủ động hay trực tiếp lấy tài khoản quản trị website thông qua PP brute force và từ đó chiếm quyền website. Nhược điểm của phương pháp này là rất khó vì dựa vào yếu tố may rủi và mất rất nhiều thời gian. Nhưng với các công nghệ và các công cụ tinh vi các Hacker TQ hoàn toàn có thể thực hiện được.
Trên đây là những phương pháp mà nhóm Hacker có thể dùng để Hack vào hệ thống của VietNam Airline.
Theo nhận định của tôi thì rất có thể các Hacker dùng phương pháp sử dụng phần mềm mã độc giám sát và chiếm quyền hệ thống từ bên trong, bởi vì ngoài việc website của Vietnam bị thay đổi nội dung thì dữ liệu cũng bị mất (danh sách khách hàng). Sau khi lấy được danh sách khách hàng, Hacker đã public danh sách này, nên tôi đặc biệt cảnh báo với các bạn không nên download về và mở ra vì có thể trong danh sách đó chứa mã độc và Hacker gán vào.
Tôi cũng có khuyến cáo cho các tổ chức mà đã bị Hack là nên rà soát lại tất cả các dữ liệu, kiểm tra trực tiếp lại tất cả các máy trong hệ thống xem có spyware không, sử dụng các phần mềm antivirus mạnh và update thường xuyên. Các Hacker chuyên nghiệp họ sẽ có những phương pháp để Bypass AntiVirus rất tinh vi mà các phần mềm antivirus không thể phát hiện nên chỉ có thể dò tìm mã độc một cách thủ công. Các tài khoản trong hệ thống phải đổi lại mật khẩu và phải đặt ra chính sách mật khẩu mạnh như: mật khẩu phải chứa tối thiểu 8 ký tự, mật khẩu chứa cả chữ hoa, chữ thường, số và ký tự đặc biệt. Đối với những tài khoản quản trị phải thiết lập chế độ xác thực nhiều lớp. Kiểm tra lại xem có nội gián không? Yêu cầu, cảnh báo tới khách hàng thay đổi lại những thông tin khi bị mất.
Đối với các doanh nghiệp, để tránh tình trạng bị hack, các doanh nghiệp cần phải tuân thủ theo các chính sách bảo mật theo chiều sâu, nhiều lớp bao gồm: lớp vật lý, lớp mạng (Firewall mạnh, policy chặt chẽ), các kết nối từ xa phải đặt ở chế độ xác thực cấp cao(SSL, TLS…) và phải được kiểm tra đủ an toàn mới cho phép kết nối để đảm bảo không mang theo mã độc vào hệ thống, lớp máy tính (tài khoản và mật khẩu đủ mạnh để xác thực), lớp ứng dụng (thường xuyên update ứng dụng, xác thực trên ứng dụng cũng phải đủ mạnh, sử dụng các chương trình antiVirus mạnh và update thường xuyên), lớp dữ liệu (cấp phép chặt chẽ và mã hóa những dữ liệu quan trọng). Đặc biệt, nhân viên quản trị phải update thường xuyên về kiến thức bảo mật vì Hacker ngày càng nhiều, công nghệ càng tinh vi. Các nhân viên thường cũng phải được trainning về kiến thức bảo mật tổng quan.
Vụ việc này của Vietnam Airlines là vụ việc điển hình và là bài học đắt giá cho những người làm quản trị mạng, quản trị web, các nhà lập trình và cả các lãnh đạo CNTT.
