Đang tải... (xem toàn văn)
AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ THÔNG TIN Giới thiệu sâu máy tính chiến tranh mạng Stuxnet. Một loại virút máy tính có tên gọi là Stuxnet được phát hiện ẩn náu trong ngân hàng dữ liệu của các nhà máy năng lượng, hệ thống kiểm soát giao thông và các nhà máy trên khắp thế giới.
TRƯỜNG ĐẠI HỌC BÁCH KHOA HÀ NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG * BÀI TIỂU LUẬN IT6071- AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn: PGS. TS. Trần Đức Khánh Học viên thực hiện: 1. Nguyễn Thanh Tùng 2. Nguyễn Thị Hồng 3. Đỗ Thị Thanh Loan Lớp: Cao học 2012A – Hưng Yên Năm 2013 MỤC LỤC MỤC LỤC 2 DANH MỤC HÌNH ẢNH 4 LỜI MỞ ĐẦU 5 NỘI DUNG 6 1. Giới thiệu sâu máy tính chiến tranh mạng Stuxnet 6 Hình 1. Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet 6 Hình 2. out of control: flame, stuxnet, and the cyber-security Landscape 7 2. Bí mật về siêu sâu Stuxnet 8 Hình 3. Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang tên Flame 19 Hình 4. Một phần đoạn mã nguồn của siêu sâu Stuxnet 19 3. Hiểm họa vi-rút Stuxnet 20 4. Stuxnet với Microsoft 23 Hình 5: Tập tin Stuxnet 24 Hình 6: Cấu hình Autoruns 25 Hình 7: File stuxnet 25 Hình 8: Lsass 26 Hình 9: LSA Verify 27 Hai tiến trình Lsass thêm rõ ràng là có một số mục đích nghịch ngợm, nhưng thực thi chính và các dòng lệnh không tiết lộ bất kỳ manh mối. Tuy nhiên, bên cạnh việc chạy như con của services.exe, một đặc điểm đáng ngờ của hai quá trình không cần thiết là một thực tế rằng họ có rất ít DLL được nạp, như xem Process Explorer DLL: 27 Hình 10: DLL explorer 27 Hình 11: Kích thước Lsass 28 5. Thực tại Stuxnet 45 Ngày nay để ngăn chặn một phần nào đó Stuxnet bạn có thể sử dụng phần mềm Stuxnet Removal Tool 51 TÀI LIỆU THAM KHẢO 52 DANH MỤC HÌNH ẢNH Hình 1. Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet 6 Hình 2. out of control: flame, stuxnet, and the cyber-security Landscape 7 Hình 3. Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang tên Flame 19 Hình 4. Một phần đoạn mã nguồn của siêu sâu Stuxnet 19 Hình 5: Tập tin Stuxnet 24 Hình 6: Cấu hình Autoruns 25 Hình 7: File stuxnet 25 Hình 8: Lsass 26 Hình 9: LSA Verify 27 Hai tiến trình Lsass thêm rõ ràng là có một số mục đích nghịch ngợm, nhưng thực thi chính và các dòng lệnh không tiết lộ bất kỳ manh mối. Tuy nhiên, bên cạnh việc chạy như con của services.exe, một đặc điểm đáng ngờ của hai quá trình không cần thiết là một thực tế rằng họ có rất ít DLL được nạp, như xem Process Explorer DLL: 27 Hình 10: DLL explorer 27 Hình 11: Kích thước Lsass 28 LỜI MỞ ĐẦU Một loại vi-rút máy tính có tên gọi là Stuxnet được phát hiện ẩn náu trong ngân hàng dữ liệu của các nhà máy năng lượng, hệ thống kiểm soát giao thông và các nhà máy trên khắp thế giới. Máy tính điện tử đã được phát minh vào cuối Thế chiến thứ Hai và vi-rút máy tính đã xuất hiện từ năm 1971. Năm 2009, một người nào đó (hiện vẫn chưa xác định được danh tính) đã tung ra một loại vi-rút máy tính rất thông minh được gọi là Stuxnet. Loại vi- rút này đã tấn công vào các cơ sở hạt nhân tại Iran. Một điều đáng ngạc nhiên về Stuxnet là phần mềm này sử dụng một lỗ hổng bảo mật ('zero-day vulnerability' – một lỗ hổng an ninh trong phần mềm mà người ngoài có thể xâm nhập). Đây là lỗi bảo mật mà cả nhà sản xuất phần mềm lẫn người sáng chế ra vi- rút không biết rằng nó tồn tại. Chỉ người phát hiện ra lỗ hổng này mới biết đến nó. Chính vì vậy, lỗ hổng bảo mật có sức tàn phá rất mạnh. Mới xuất hiện được 2 năm, Stuxnet đã chứng tỏ mình là một vũ khí chiến lược trong môi trường tác chiến không gian mạng. Thậm chí, nó đã có "truyền nhân" là Duqu với khả năng tấn công rộng hơn tới các mục tiêu công nghiệp. NỘI DUNG 1. Giới thiệu sâu máy tính chiến tranh mạng Stuxnet Một loại sâu máy tính có khả năng gây nên một cuộc chiến tranh mạng trên thế giới, đã từng khiến hàng ngàn máy làm giàu uranium của Iran đột nhiên bị ngừng hoạt động. Nó đã khiến cho chương trình hạt nhân của Iran bị đẩy lùi hai năm theo một cách kỳ lạ và đang là sự quan tâm của thế giới. Như quyền năng của nó, gốc gác cũng như bản chất của sâu máy tính Stuxnet là cực kỳ bí ẩn. Nó không chỉ hủy diệt những vật thể mà nó len lỏi vào mà còn có thể hủy diệt cả những ý tưởng. Hình 1. Biểu tượng hình ảnh mô tả các virus máy tính Stuxnet Nguồn gốc của Stuxnet? Cho đến nay, người ta vẫn chưa biết được nó ra đời từ đâu. Chỉ biết rằng, nó là một siêu vũ khí chuyên để chiến tranh mạng, là mối lo ngại thực sự cho mọi quốc gia. Nếu rơi vào tay bọn khủng bố, chẳng biết là nó sẽ gây nguy hiểm như thế nào nữa. Nó được tạo ra để hủy diệt một mục tiêu cụ thể như nhà máy điện, nhà máy lọc dầu hoặc nhà máy hạt nhân sau khi bí mật xâm nhập hệ thống điều khiển quy trình công nghiệp, viết lại chương trình điều khiển này theo hướng tự hủy hoại. Nó sống trong môi trường Windows, khai thác triệt để những lỗ hổng để phá hoại một mục tiêu vật chất cụ thể, được phát hiện hồi tháng 6-2010 bởi một công ty máy tính tại Belarus. Xét về độ phức tạp, sâu Stuxnet có nhiều điểm khó hiểu. Nó cho thấy người tạo ra nó có hiểu biết sâu sắc về các quy trình công nghiệp, về những lỗ hổng của Windows và có chủ ý tấn công vào cơ sở hạ tầng công nghiệp. Việc nó được viết bằng nhiều ngôn ngữ lập trình khác nhau (bao gồm cả C và C++) cũng là một chuyện không bình thường. Stuxnet nhiều khả năng là sản phẩm của một tập thể Về độ nguy hiểm của nó, chẳng ai có thể lường hết bởi những cấu trúc cực kỳ phức tạp. Trên thế giới hiện nay, có khoảng 45.000 máy tính của 9 quốc gia bị nhiễm Stuxnet nhưng số hệ thống kiểm soát công nghiệp bị nhiễm không nhiều, chủ yếu ở Iran. Đây là quốc gia tỏ ra khá cứng rắn trong vấn đề làm giàu uranium trong vấn đề hạt nhân. Người tạo ra Stuxnet là ai? Hình 2. out of control: flame, stuxnet, and the cyber-security Landscape Chưa ai đứng ra lãnh trách nhiệm khi thiết kế nên sâu máy tính này. Từ đó, câu chuyện đi tìm người sáng chế ra nó cũng có nhiều giả thiết, nhiều câu chuyện hư hư, thực thực. Theo nhiều báo, đài lớn của Anh, Mỹ như The Guardian, BBC và The New York Times thì chẳng một cá nhân nào có thể làm nổi điều này. Đó là một công trình tập thể bao gồm 5 đến 10 người, phải mất ít nhất 6 tháng, thậm chí cả năm và hao tốn cả chục triệu USD mới có thể tạo ra sâu Stuxnet. Trong điều kiện đó, chỉ có thể là một quốc gia mới có đủ khả năng thuê mướn một nhóm như vậy để làm chuyện mờ ám. Quốc gia bị đặt trong vòng nghi ngờ đầu tiên là Israel – quốc gia của những người Do Thái vốn nổi tiếng thông minh. Cũng có những tin đồn NATO, Mỹ và một số nước phương Tây khác dính líu vào cuộc chiến này. Tuần rồi, tuần báo Pháp Le Canard Enchainé, dẫn nguồn tin tình báo Pháp, cho biết các cơ quan tình báo Mỹ, Anh và Israel đã hợp đồng tác chiến phá hoại chương trình hạt nhân của Iran sau khi Israel đồng ý từ bỏ kế hoạch tấn công quân sự những cơ sở hạt nhân của Iran. Từ những câu chuyện trên, có thể thấy sâu Stuxnet thực sự là một vũ khí nguy hiểm. Cầu mong là nó đừng rơi vào tay khủng bố, nếu không thì cả thế giới nguy ngập mất. Với lại, đã phát minh ra được ắt cũng có cách chống, vấn đề là thời gian mà thôi. Không tin là không có cách trị loại sâu máy tính này! 2. Bí mật về siêu sâu Stuxnet Trong năm qua, đã có rất nhiều cuộc thảo luận và mưu đồ xung quanh Stuxnet sâu một virus máy tính mất khả năng đã quét sạch gần 60% mạng máy tính của Iran. Cuộc tấn công của Stuxnet có an ninh mạng và tác động chính sách ảnh hưởng sâu rộng, vì nó chứng minh rằng quốc gia dễ bị hành động mạng làm tê liệt từ các quốc gia tiểu bang hoặc các tổ chức tư nhân. Cộng đồng quốc tế vẫn còn không chắc chắn về nguồn gốc và mục đích chính xác của virus, nhưng đã trở thành nhận thức dễ bị tổn thương đáng kể của mình như là một kết quả của cuộc tấn công. Có rất nhiều bài học có giá trị mà các nhà lãnh đạo chính sách có thể thu lượm được từ việc phát triển và triển khai sâu Stuxnet. Để bắt đầu một cuộc đối thoại về những gì virus có nghĩa là ở một mức độ chính sách quốc gia và giảm thiểu rủi ro của một loại virus tương tự tấn công cơ sở hạ tầng khác, các nhà hoạch định chính sách phải công nhận rằng các biện pháp an ninh hiện tại có thể không đủ để bảo vệ chống lại một cuộc tấn công không gian mạng tinh vi của loại này . Chi tiết thông tin về sâu Stuxnet ngày càng trở thành công khai, và có khả năng là ít nhất một số nước và / hoặc các tổ chức sẽ cố gắng sao chép thành công của Stuxnet. Làm sáng tỏ các mã: những bí ẩn của các mục tiêu và nguồn gốc Có ba cách cơ bản mà ta có thể cố gắng để phân biệt nguồn gốc của một cuộc tấn công không gian mạng. Đầu tiên là để tập trung vào các đặc tính kỹ thuật của các phần mềm độc hại. Trong khi kỹ thuật này không thường làm việc tốt chống lại kẻ thù tinh vi, nó thường có thể mang lại lợi ích. Ví dụ, nó là đôi khi có thể xác định các đoạn mã được biết đến hoặc để nhận ra thực hành mã hóa được sử dụng bởi các đương sự cụ thể. Ngoài ra, tác giả phần mềm độc hại đôi khi làm cho những sai lầm mà cho phép các hậu vệ để truy nguyên nguồn gốc của mã này ngay cả khi thủ phạm thực hiện các bước để ẩn dấu vết của chúng. Một cách tiếp cận thứ hai là để tập trung vào chiến thuật, kỹ thuật của đối thủ, và thủ tục (ttps). Đây là một cách tiếp cận hoạt động hơn là tập trung trực tiếp vào các mã, thay vào đó, tập trung vào các quá trình được sử dụng bởi các đối thủ. Ví dụ, không một đối thủ nào có xu hướng sử dụng một loại hình cụ thể của thư điện tử cho các cuộc tấn công lừa đảo giáo? Họ có xu hướng để nhắm mục tiêu một số loại tổ chức không? Là có một chu kỳ với các mẫu tấn công của họ? Bằng cách nhìn vào các loại câu hỏi, hậu vệ có thể có thể xác định nguồn gốc của một phần nhất định của phần mềm độc hại mà không cần ghi kỹ thuật trực tiếp. Cuối cùng, hậu vệ có thể cố gắng, cho rằng một sự cố mạng bằng cách nhìn vào bối cảnh chiến lược xung quanh sự kiện này. Ví dụ, xác định mục tiêu và những tác động dự kiến của cuộc tấn công của Stuxnet có thể giúp đỡ để tiếp xúc với các bên hoặc các bên có trách nhiệm. Hơn nữa, các nhà phân tích có thể là có thể thu hẹp lĩnh vực nguyên nhân có thể có bằng cách yêu cầu những người có khả năng và nguồn lực để khởi động một cuộc tấn công như vậy, và những người có thể được hưởng lợi từ những hậu quả của nó. Xác định thủ phạm Biến thể đầu tiên của Stuxnet xuất hiện vào tháng 6 năm 2009 và các phiên bản cao cấp hơn xuất hiện vào mùa xuân năm 2010. Trong năm can thiệp, hàng chục công ty và có lẽ hàng trăm người đã kiểm tra mã Stuxnet và các chi tiết của vụ việc, và có là chưa được dứt khoát xác định nguồn gốc của virus. Ngoài ra, vẫn còn có những câu chưa trả lời về các mục tiêu cụ thể của sâu và hiệu quả như dự kiến. Một trong những thú vị đầu mối được xác định bằng cách phân tích của Symantec của mã là Stuxnet sẽ không lây nhiễm sang một máy tính nếu số "19790509" trong khóa registry của máy. Khi nó quay ra, một doanh nhân người Do Thái nổi tiếng Iran và nhà từ thiện, Habib Elghanian, được thực hiện tại Tehran vào ngày 09 Tháng Năm 1979. Một số người tin rằng điều này phần của các điểm thông tin Y-sơ-ra-ên như là nguồn của sâu. Điều này chắc chắn là không đủ thông tin để chắc chắn xác định vị trí một nguồn, tuy nhiên, như là số "19790509" có thể chỉ là một cách dễ dàng tham khảo hầu như bất cứ điều gì khác, bao gồm cả sinh nhật của một ai đó hoặc ngày rằng một sinh viên đại học đã bị thương bởi Unabomber. Ngoài ra, người ta phải xem xét khả năng rằng những người sáng tạo của sâu Stuxnet có thể trồng "manh mối" trong một nỗ lực để cố tình đánh lừa các nhà phân tích, những người sẽ cố gắng, cho rằng các cuộc tấn công. Như ghi chú Symantec, "kẻ tấn công sẽ có mong muốn tự nhiên để ám chỉ một bên khác." Một quan sát thú vị của một vài nhà phân tích rằng có xuất hiện một sự khác biệt trong phong cách mã hóa được sử dụng cho các phần mềm mà ban đầu lây nhiễm các tổ chức có mục tiêu (s) và phần mềm trong các "tải trọng" mà triển khai một lần các phần mềm độc hại đã xâm nhập các tổ chức của phòng thủ. Điều này đã khiến một số người tin rằng Stuxnet là một nỗ lực hợp tác giữa hai nhà phát triển phổ biến nhất giả định là Hoa Kỳ và Israel. Giống như hầu hết các cuộc thảo luận về nguồn gốc của Stuxnet, tuy nhiên, lý thuyết này có những người hoài nghi của nó, bao gồm cả Rafal Rohozinski và Jeffrey Carr. Chìa khóa để thành lập nguồn của Stuxnet là xác định những người có khả năng kỹ thuật để khởi động các cuộc tấn công. Stuxnet là một cuộc tấn công tinh vi, và nhiều chuyên gia cảm thấy rằng chỉ có một quốc gia có thể tạo ra và tung ra. Tuy nhiên, ngay cả kết luận này không được chấp nhận rộng rãi. Rafal Rohozinski, Giám đốc của Tập đoàn Nghiên cứu mạng tiên tiến, quốc phòng và tư vấn James farwell đã suy đoán rằng "một cơ thể đáng kể bằng chứng gián tiếp mảnh vỡ của mã, mối quan hệ giữa các cá nhân, và mối tương quan trong không gian mạng cho thấy một liên kết giữa các mã được sử dụng bởi sâu và đang phát triển của Nga ngoài khơi lập trình cộng đồng. "Nói cách khác, họ cho rằng bọn tội phạm mạng đã viết code Stuxnet. [...]... tấn công máy tính mà hacker từng sử dụng Vì vậy, chúng lây lan rất nhanh chóng nhưng lại khó tiêu diệt hơn Nó cũng khai thác triệt để các máy tính dùng hệ điều hành Windows nhưng chưa cập nhật các bản vá lỗi mới nhất Siêu virus Stuxnet đe dọa công nghiệp toàn cầu - Không chỉ tấn công vào công nghiệp hạt nhân của Iran, hiện tại siêu virus Stuxnet đang gây ra làn sóng hoang mang cho nhiều ngành công. .. tấn công các cơ sở hạ tầng quan trọng và mạng máy tính Ví dụ như hệ thống vệ sinh công cộng, mạng lưới phân phối thực phẩm… Người ta cũng từng nghi ngờ rằng Stuxnet đã được dùng để tấn công vào nhà máy điện của Iran Tuy nhiên giới chức chính quyền phủ nhận bản tin của hãng Sky News, theo họ thì không có bằng chứng là phần mềm độc hại này đã lọt vào tay bọn tội phạm mạng Trong khi đó, một chuyên gia bảo. .. động một cuộc tấn công không gian mạng chống lại Iran Trong việc phân tích Stuxnet, mục đích của cuộc tấn công cũng là một nguồn vô cùng quan trọng của thông tin trong việc tìm kiếm thủ phạm Có vẻ như là Stuxnet được tạo ra để triển khai phần mềm sẽ phá vỡ mà không phá hủy các máy ly tâm được sử dụng để làm giàu uranium Điều này dẫn đến một kẻ tấn công có kiến thức chi tiết về hành vi máy ly tâm Nó cũng... Stuxnet là sự khởi đầu thời đại mới của chiến tranh không gian mạng Cho đến nay, Iran là nơi bị lây nhiễm sâu Stuxnet nặng nề nhất, chiếm 60% toàn cầu với trên 30.000 địa chỉ IP bị lây nhiễm Việc lây nhiễm Stuxnet đã khiến nhà máy hạt nhân của Iran ở Bushehr phải hoãn ngày khởi động Trong một số báo hồi tháng 9, tờ Guardian của Anh nhận định rất có thể cha đẻ của Stuxnet là chính phủ Israel, nước luôn... công nghệ thông tin liên bang vẫn còn dễ bị tổn thương các mối đe dọa mạng như Stuxnet: "số lượng ngày càng tăng các mối đe dọa và các sự cố được báo cáo ngày càng tăng làm nổi bật sự cần thiết cho các chính sách an ninh thông tin hiệu quả và thực tiễn Tuy nhiên, nghiêm trọng và phổ biến rộng rãi thông tin thiếu kiểm soát an ninh tiếp tục đặt tài sản rủi ro liên bang tại " Có lẽ nhiều hơn liên quan... mạng ở cấp quốc gia và là loại vi-rút máy tính đầu tiên có thể làm thay đổi hiện trạng vật lý trong thế giới thực Stuxnet có khả năng tái lập trình các phần mềm khác để buộc một máy tính thực hiện các lệnh khác nhau Nó có thể lây lan từ máy này qua máy khác bằng con đường là các ổ USB Vì vậy, nhiều máy tính không kết nối internet để bảo mật nhưng vẫn có thể bị nhiễm Stuxnet Theo báo Telegraph, loại vi-rút... quan đến đường xu hướng: các tin tặc đang tăng nhanh hơn hậu vệ của chính phủ Theo Alan Paller, Giám đốc nghiên cứu tại Viện SANS: " trong khi chính phủ liên bang đã tăng mức phòng thủ của nó, những kẻ xấu tiếp tục vượt qua tỷ lệ cải tiến tổng thể những kẻ tấn công đang nhận được tốt hơn, nhanh hơn so với chính phủ liên bang đang được cải thiện " Trong ngắn hạn, những kẻ tấn công có thể không cần phải... không nằm trong chiến dịch "Thế vận hội Olympic" của ông George W.Bush hay ông Obama Hình 3 Vì chuyên đánh cắp những thông tin về dầu mỏ nên loại mã độc này được mang tên Flame Khác với Stuxnet, Flame không phá hoại mà hoạt động như một điệp viên công nghệ cao, đánh cắp những thông tin giá trị liên quan đến tình hình dầu mỏ và chính trị Hiện tại, Iran đã khắc chế được virus này Hãng bảo mật Bit Defender... nhìn thấy trong ảnh chụp màn hình): Bây giờ chỉ có 133 sự kiện và nháy mắt một cách nhanh chóng thông qua họ xác nhận rằng tất cả họ đều có thể liên quan đến Stuxnet Đó là thời gian để bắt đầu giải mã chúng Hệ thống sửa đổi Stuxnet Sự kiện đầu tiên trong danh sách còn lại cho thấy Stuxnet, hoạt động trong bối cảnh của Explorer, dường như ghi đè lên 4K đầu tiên của một trong hai tập tin tạm thời ban đầu... rằng những đòn tấn công nguy hiểm nhất không chỉ đơn thuần là vô hiệu hoá một hệ thống, mà sẽ chiếm quyền điều khiển và sử dụng nó để gây ra những hậu quả còn nghiêm trọng hơn gấp nhiều lần Stuxnet – Nguy cơ chiến tranh ảo Bị phát hiện lần đầu tiên bởi VirusBlokAda, một công ty an ninh mạng ít tên tuổi có trụ sở tại Belarus vào tháng 6-2010, sâu Stuxnet ngay lập tức khiến giới an ninh mạng lo ngại vì . tấn công rộng hơn tới các mục tiêu công nghiệp. NỘI DUNG 1. Giới thiệu sâu máy tính chiến tranh mạng Stuxnet Một loại sâu máy tính có khả năng gây nên một cuộc chiến tranh mạng trên thế giới, . NỘI VIỆN CÔNG NGHỆ THÔNG TIN VÀ TRUYỀN THÔNG * BÀI TIỂU LUẬN IT6071- AN TOÀN BẢO MẬT TRONG CÔNG NGHỆ THÔNG TIN Giảng viên hướng dẫn: PGS. TS. Trần Đức Khánh Học viên thực hiện: 1. Nguyễn Thanh. Hồng 3. Đỗ Thị Thanh Loan Lớp: Cao học 2012A – Hưng Yên Năm 2013 MỤC LỤC MỤC LỤC 2 DANH MỤC HÌNH ẢNH 4 LỜI MỞ ĐẦU 5 NỘI DUNG 6 1. Giới thiệu sâu máy tính chiến tranh mạng Stuxnet 6 Hình