Category Archives: Security News

Real-time Big Data Use case: Security Analytics

eBay vừa mới thông báo họ bị tấn công và 145 triệu tài khoản của người dùng đã đánh cắp (theo Reuters). Trước đó là Adobe, Evernote, Sony… bị mất vài chục cho đến vài trăm nghìn tài khoản.

attacked

Nguồn: informationisbeautiful.net

Trong cuộc tấn công vào eBay, ngoài con số thiệt hại 145 triệu tài khoản được chú ý, chúng ta còn thấy có 2  yếu tố quan trọng nữa mà ít người đý hơn. 

  • eBay biết họ bị tấn công sau bao nhiêu lâu ?
  • eBay bị tấn công như thế nào ?

Một thực tế khá tđó là cuộc tấn công vào eBay diễn ra từ cuối tháng 2/2014, vậy mà mãi tới tháng 5 họ mới phát hiện ra. Nhưng eBay không phải là kẻ cô độc, hầu hết các cuộc tấn công trên đều xảy ra trong tình trạng tương tự. Nạn nhân không hề biết mình đã bđánh cắp dữ liệu trong một khoảng thời gian dài.

Kẻ tấn công cũng không hề nhắm trực tiếp vào máy chủ của eBay, nơi sẽ khó khăn hơn để tìm lỗ hổng và có thể có nhiều tầng lớp bảo vệ. Cũng giống nhiều cuộc tấn công gần đây, con đường mà kẻ tấn công khai thác lại chính là máy tính của những nhân viên trong hệ thống. Những máy tính này ít nhiều được cấp quyền để truy nhập vào các hệ thống máy chủ quan trọng hơn. Hãy xem eBay tự nói gì về vụ này: “Cyberattackers compromised a small number of employee log-in credentials, allowing unauthorized access to eBay’s corporate network“.

Nhưng chẳng nhẽ, eBay và các hãng khác không trang bị các giải pháp phòng chống mã độc, phát hiện xâm nhập, tường lửa… ? Tôi tin chắc chắn rằng họ đã có cả tá những giải pháp được coi là tốt nhất. Vậy mà các mã độc vẫn phát tán được vào các máy tính bên trong hệ thống, các dữ liệu được lấy trộm và gửi ra bên ngoài một cách trót lọt, trước sự kiểm soát của tường lửa.

Vậy thì các giải pháp security hiện nay đã thất bại ? Vâng, hơi buồn nhưng có thể nói là như vậy.

Đã đến lúc cần có sự xuất hiện của “Next-generation Security System ?

Vì các tường lửa thì hoạt động theo “rules”, IDS/IPS thì hoạt động theo “signatures”, các AV thì theo “samples”. Một vài tính năng “thông minh” thực tế cũng không giải quyết được vấn đề. Đơn giản vì chúng hiện nay, chưa đủ khả năng để phát hiện ra một sự “bất thường” xảy ra trong hệ thống.

Vậy một cuộc tấn công thì có những “bất thường” gì ? Trong cả một vài tháng, các tên miền được truy cập của một mạng khá ổn định, vậy mà một hôm đẹp trời, giữa đêm khuya thanh vắng, xuất hiện vài tên miền loằng ngoằng, IP lạ hoắc lại được một vài máy tính trong mạng kết nối đến. Đó là ví dụ của sự bất thường. Máy tính A trong cả 1 tháng, lưu lượng mạng trung bình một ngày là 400MB, tự nhiên chủ nhật lại tăng lên 4GB. Đó cũng là 1 ví dụ của sự bất thường.

Như vậy thì có nhiều thể loại bất thường: bất thường về băng thông, bất thường về các kết nối, bất thường về các tên miền/địa chỉ IP, bất thường trong các giao thức, bất thường trong các payload…

Về cơ bản các hệ thống hiện nay không giải quyết được do hạn chế về khả năng tính toán. Nó đòi hỏi phải có tính real-time cao, lượng dữ liệu xử lý  cực lớn cả hiện tại và quá khứ, các thuật toán phức tạp trong việc phát hiện sự bất thường…

Hey, big data có thđáp ứng được những đòi hỏi trên đấy ;). Vậy thì đã đến lúc xuất hiện “Next-generatoin Security System” rồi.

Các vụ tấn công nhằm vào Bitcoin

Cách đây khoảng 2 tuần, tôi có 1 buổi trao đổi với các bạn đồng nghiệp về ứng dụng của “large scale system”. Khi đến chủ để độ máy để đào Bitcoin, tôi có đùa với mọi người rằng là thay vì mua máy về để đào, người ta có thể huy động botnet để làm việc này.

Không ngờ, câu nói đùa đó lại trở thành sự thật nhanh như vậy. Cách đây khoảng vài ngày một mạng botnet kiểu này đã được công bố. Thông tin có thể đọc thêm tại đây: http://news.cnet.com/8301-1009_3-57616958-83/yahoo-malware-turned-pcs-into-bitcoin-miners

Trước đó 2 ngày, mã độc đánh cắp Bitcoin, phát tán qua email đã được cảnh báo. Thông tin về chiến dịch này có thể đọc ở đây: http://blog.logrhythm.com/uncategorized/emerging-bitcoin-theft-campaign-uncovered/

Như vậy có thể thấy, chỉ trong vòng 1 tuần, 2 cuộc tấn công của tội phạm mạng liên quan điến Bitcoin đã xảy ra. Chắc chắn đây sẽ không phải là những cuộc tấn công cuối cùng. Chúng ta tin rằng, các cuộc tấn công trong thời gian tới sẽ còn tinh vi và nguy hiểm hơn rất nhiều.

Dự đoán trong thời gian tới sẽ có những botnet tương tự bị phát hiện. Ngoài ra, không chỉ các máy tính cá nhân được huy động vào việc này, hacker sẽ tấn công cả các máy chủ và sử dụng các máy chủ  này cho việc đào bitcoin. Bên cạnh các vụ lừa đảo, ăn trộm bitcoin thường xuyên xảy ra, bản thân tính an toàn của “ví bitcoin” cũng có thể sẽ gặp vài lỗ hổng mà hacker phát hiện ra.

Một khi Bitcoin đã là tiền và tiền này không nằm trong ví của bạn mà nằm trên máy tính của bạn –> Giới tội phạm mạng sẽ không ngồi yên cho việc đó.

Bitcoin là gì ?

Đã có khá nhiều bài viết về chủ đề này rồi, nên chúng ta có thể tìm hiểu nó qua mạng.

Con đường phát triển của Bitcoin

Các bạn có thể xem thêm biểu đồ sau đây (cập nhật đến tháng 10/2013), để hiểu rõ hơn về Bitcoin.

Bitcoin(Ảnh: Internet)

NSA bỏ 10M $ để cài backdoor vào thuật toán mã hóa của RSA. Còn chuyện gì không thể xảy ra ?

Năm 2006, RSA, 1 công ty hàng đầu thế giới về các sản phẩm/thuật toán mã hóa, đã “được” NSA thỏa thuận để cài đặt 1 lỗ hổng trong thuật toán Dual Elliptic Curve Deterministic Random Bit Generator (Dual EC DRBG). Để từ đó, NSA có thể tấn công vào các hệ thống sử dụng thuật toán này để đánh cắp và giải mã thông tin.

Hợp đồng này có giá 10M $. Không là gì so với cái giá 2.1B $ mà EMC đã bỏ ra để mua RSA cùng thời gian đó.

Tháng 9/2013, RSA đã có thông báo rộng rãi rằng thuật toán trên của họ không còn an toàn. Tuy nhiên từng đó năm (2006-2013), là quá đủ để NSA sử dụng 😀

Mọi người tham khảo report của BBC ở đây: http://www.reuters.com/article/2013/12/21/us-usa-security-rsa-idUSBRE9BJ1C220131221

Thêm 1 số link khác:

Cảnh báo nạn lừa đảo qua Facebook Messenger

Hiện tượng

Câu chuyện này không mới, thậm chí là cũ. Tuy nhiên vẫn còn khá nhiều người bị lừa do nhẹ dạ khi chat với “bạn” qua Facebook.

Một người bạn của tôi và nhiều bạn bè của cô ấy vừa thông báo bị 1 tài khoản Facebook tên là KD lừa lấy tiền, mỗi người bị mất khoảng vài triệu. Tài khoản KD thực tế cũng là một người bạn của họ, nhưng cô này đã bị lừa lấy mật khẩu. Do tin tưởng nhau, nên khi thấy KD hỏi vay gấp một khoản tiền thì các nạn nhân đã nhanh chóng chuyển tiền cho bạn mà không nghĩ rằng mình bị lừa.

LuaDao

Từ tài khoản KD lấy được, kẻ gian giả danh KD để đi lừa mọi người trong danh sách bạn bè.

Tại thời điểm viết bài, kẻ gian vẫn đang tiếp tục lợi dụng tài khoản KD để đi lừa những người khác.

Mục đích của lừa đảo

Chúng ta thấy rõ có 2 kiểu lừa đảo

–       Lừa lấy tiền của chúng ta

–       Lừa lấy mật khẩu Facebook của chúng ta. Sau đó lợi dụng tài khoản của chúng ta để đi lừa lấy tiền hoặc mật khẩu của người khác

Tại sao chúng ta bị lừa

Cả 2 kiểu lừa Lấy tiền và Lấy mật khẩu, đều thực hiện được là do chúng ta nhẹ dạ, tin tưởng vào bạn bè khi giao tiếp trên mạng xã hội.

Trong câu chuyện ở trên, tài khoản KD bị mất mật khẩu là như sau. Một ông bạn của KD đang công tác ở Brunei nhắn cho KD là ông ta sắp về Việt Nam chơi. Đồng thời gửi một link trên site Flickr để KD xem ảnh. Tài khoản của ông này thực tế cũng đã bị mất mật khẩu rồi và kẻ xấu đang dùng tài khoản đó để lừa KD. Do KD không để ý, thấy bạn gửi link ảnh thì bấm vào xem trên Flickr. Thực tế đây là 1 trang web giả mảo Flickr và có yêu cầu đăng nhập vào bằng tài khoản Facebook để xem ảnh. Kết quả là KD đã bị lừa.

Khi lấy được tài khoản KD, kẻ gian đã vào đọc toàn bộ lịch sử chat của KD với những người khác để nắm được các mối quan hệ. Qua tìm hiểu, kẻ gian cũng biết dịp cuối tuần, KD ít online và không trả lời điện thoại di động do bận việc gia đình. Hắn đã tranh thủ thời điểm đó để đi lừa những người bạn của KD để lấy tiền.

Trong các trường hợp khác, kẻ gian sẽ sử dụng nhiều chiêu trò khác nhau để lừa nạn nhân.

Sau đây là một ví dụ mà tài khoản KD bị lợi dụng để đi lừa.

1

2

Giải pháp

Cho dù người thân đến mấy khi họ nhờ 1 trong 2 việc sau đây, các bạn cần phải lưu ý:

–       Nhờ chuyển tiền (lừa lấy tiền)

–       Gửi cho 1 đường link hoặc gửi cho 1 file (lừa lấy mật khẩu bằng 1 trang lừa đảo hoặc cài đặt mã độc)

Tốt nhất các bạn nên gọi điện cho người thân đó để xác nhận lại một lần nữa, chỉ khi nào gọi điện được và xác nhận xong thì chúng ta mới nên tin tưởng.

Ngoài ra, trong trường hợp ta cẩn thận đến mấy thì vẫn có thể bạn bị mất mật khẩu. Vì vậy chúng ta phải lưu ý ngay các vấn đề sau

  1. Ngay bây giờ

–       Đặt một mật khẩu mạnh: Ít nhất 8 ký tự, bao gồm chữ thường, chữ hoa, con số và các ký tự đặc biệt (ví dụ #, $)

–       Đảm bảo email của bạn cũng có mật khẩu mạnh

–       Thoát ngay khỏi Facebook khi bạn dùng chung máy với người khác

–       Sử dụng phần mềm diệt virus

–       Dùng thêm tính năng đăng nhập nâng cao của Facebook (Login Approvals): Ngoài mật khẩu, bạn sẽ còn phải nhập một đoạn mã mà bạn nhận được từ Facebook gửi vào điện thoại di động. Bạn vào đây để tìm hiểu thêm về tính năng này: https://www.facebook.com/help/www/413023562082171

  1. Sau khi bị cướp tài khoản

–       Bạn truy cập vào đây để được trợ giúp: https://www.facebook.com/help/www/131719720300233/