Lại thêm 1 chiến dịch lừa đảo mạo danh Google

Một email với tiêu đề Google Account security information đang được gửi tới người sử dụng Gmail. Đính kèm trong mail này là một file .pdf với tên là confirm.

1Kiểm tra file .pdf này không có exploit code nào nhằm vào Adobe cả. Thực tế đây là một file sạch.

Mở File pdf ta có:

2

Nội dung file chủ yếu là dọa dẫm người sử dụng cần phải update tài khoản nếu muốn tiếp tục dùng. Và người gửi cũng không yêu yêu cầu người nhận cần phải update bằng cách bấm vào đường link.

Khi bấm vào link, một trang web có giao diện giống hệt phần đăng nhập của Gmail xuất hiện

3Nếu không để ý tới phần thanh địa chỉ ở trình duyệt, nạn nhân có thể vô tư nhập username và password vào. Thông tin này sẽ được gửi lên server của hacker.

Phân tích thêm về nguồn gốc của email phishing này, có thể thấy, nó được xuất phát từ một máy chủ ở Phần Lan:

4

Technical Analysis of NTP Amplification DDoS attacks

Từ cuối 2013 cho đến nay, tấn công DDoS sử dụng NTP đang là 1 xu hướng mới. Cuộc tấn công lớn nhất ghi nhận được nhằm vào CloudFlare là 400Gbps, thật khủng khiếp.

Cách đây khoảng một tháng, chúng tôi nhận được đề nghị hỗ trợ từ System Admin của 1 công ty tại Seoul. Hiện tượng anh ta gặp phải là hệ thống mạng tại data center của công ty bị ngập lụt bởi hàng chục GB các gói tin UDP, có source port là 123. Thông tin quan trọng sau bước đầu phân tích, đó là không phải nguồn tấn công bên ngoài làm tê liệt hệ thống, mà chính là từ 4 máy chủ của công ty anh ta đang làm tràn ngập mạng.

Hacker từ xa, đã gửi tới các máy chủ này 1 lượng request NTP độc hại, kết quả là các máy chủ này sinh ra 1 lượng NTP response lớn gấp hàng trăm lần lượng request. Và các response này được phi thẳng tới webiste của các công ty khác, làm tê liệt các website đó. Thực tế, đồng thời cũng làm tê liệt data center chứa 4 máy chủ NTP này luôn, do gateway bị nghẽn.

Vậy tại sao 4 máy chủ NTP lại có thể sinh ra 1 lượng dữ liệu làm ngập lụt hệ thống mạng ? Tại sao lại gọi là khuếch đại các gói tin NTP ?  Lỗ hổng của NTP là như thế nào… ?

NTP là gì ?

Là Network Time Protocol. Theo wiki, là giao thức đồng bộ thời gian mạng. Mục đích của NTP là giúp cho các máy tính kết nối mạng luôn đồng bộ được giờ một cách chính xác. Các client gửi request đồng bộ giờ lên máy chủ, các máy chủ có thể có nhiều cấp sẽ cập nhật với nhau để đồng bộ chính xác giờ nhất cho client. Lớp cao nhất của hệ thống NTP là Stratum 0, thực chất là các đồng hồ nguyên tử có độ chính xác cực cao. Stratum 0 được kết nối bới các máy chủ Stratum 1. Các máy ở mức 1 sẽ tiếp tục cập nhật cho các máy mức 2 etc.

3Mô hình NTP theo Wiki

2Mọi máy tính có thể được đồng bộ giờ một cách chính xác nhất nhờ NTP

Lỗ hổng nằm ở đâu ?

Lỗ hổng này được ghi nhận có mã là CVE-2013-5211 hoặc VU#348126, hay còn gọi là Amplification Attack using ntpdc monlist command.

NTP là 1 giao thức thuộc loại lâu đời nhất trên thế giới cho đến nay vẫn hoạt động (từ 1982). Lỗ hổng lần này thực chất không hẳn là lỗ hổng mà là một “tính năng” của NTP. Tuy nhiên khi “tính năng” có phần hơi “cởi mở” này bị lợi dụng thì lại gây là hậu quả lớn.

Đó là tính năng Monlist của NTP server, là 1 danh sách các máy tính đã kết nối tới NTP server. Khi nhận được một request yêu cầu cung cấp monlist, NTP server sẽ “vui vẻ” cung cấp danh sách các máy tính đã kết nối tới NTP server này mà không cần quan tâm xem ai là người đã request. Cứ có hỏi là “vui vẻ” trả lời.

Ở đây chúng ta thấy ngay 1 vấn đề mà kẻ xấu đã lợi dụng để “khuếch đại”. Đó là 1 request nhỏ được gửi đi, server sẽ sinh ra 1 danh sách với kích thước lớn hơn rất nhiều so với request. Các request được gửi đi từ máy của hacker, nhưng đã làm giả source IP. Source IP sẽ bị sửa để trỏ đến địa chỉ IP của nạn nhân. Thế là các NTP server cứ thế trả các response về cho nạn nhân, trong khi máy này không hề gửi đi bất kỳ request nào. Đây giống một kiểu “ném đá giấu tay” kết hợp với “mượn gió bẻ măng”

4Khuếch đại

Hacker có thể khuếch đại lên bao nhiêu ?

Đầu tiên ta sẽ tiến hành thử nghiệm tính năng monlist để xem, khi 1 request được gửi tới 1 NTP server thì response trả về là như thế nào.

1Nhìn kết quả thì với 1 câu lệnh gửi đi là ntpdc – c monlist NTP_IP_Address mà list trả về quả là dài.

Trên thực tế thì các NTP server khác nhau sẽ có độ dài monlist khác nhau. Do số lượng máy tính kết nối với 1 NTP server ở mỗi thời điểm là khác nhau. Ở server trong ví dụ trên là 48 địa chỉ.

848 địa chỉ này được tạo thành 7 gói tin trả về. Capture bằng wireshark ta thấy, 1 gói tin NTP request có kích thước 234B, các gói tin trả về trung bình ~400. Như vậy là tổng dữ liệu trả về là 7*400/234 ~12, gấp gần 12 lần so với gói tin gửi đi.

Vậy thì chính xác theo giao thức của NTP, một monlist có thể chưa tối đa bao nhiêu địa chỉ ? Hãy cùng nhảy vào code của NTP một tí cho vui:

5Các developer của NTP gọi tên list này là MRU (most-recently-used) list. Phân tích code của NTP ta sẽ thấy, độ dài tối đa của list này sẽ là 600 địa chỉ, được trả về thành 100 response. Với mỗi 1 request có kích thước 50 byte, ta sẽ có tối đa 100 response với kích thước khoảng 500 byte. Như vậy tối đa độ khuếch đại có thể lên tới tối đa 1000 lần. Điều này có nghĩa là Nếu bạn ném đi một viên sỏi, bạn sẽ nhận về được cả một bức tường :(

Các công cụ tấn công DDoS sử dụng khuếch đại NTP

Như mọi người đã thấy nguyên lý khai thác lỗ hổng này, thực chất, hacker chỉ cần gửi hàng loạt các ntp monlist request (có fake địa chỉ IP) tới các NTP Server. Vì vậy các đoạn code để “khai thác lỗ hổng” không hề phức tạp như các exploit khác. Hãy cùng xem 1 đoạn code thuộc loại đơn giản nhất

10Đã có khá nhiều các phiên bản khác nhau, có thể viết bằng Perl, Python. Để nghiên cứu bạn có thể dễ dàng tìm các đoạn code này trên Pastepin

Có bao nhiêu NTP server trên thế giới ?

Các NTP server mở cổng 123, giao thức UDP. Ta có thể scan các bằng nmap để tìm ra danh sách các NTP server này. Tuy nhiên, có một cách thức khác nhanh chóng và tiện lợi hơn, đó là sử dụng Shodan.

Không thể tin được khi biết rằng, có tới hơn 2 triệu NTP server đang hoạt động ở khắp nơi trên thế giới.

6Mỹ, Hàn, Nhật, Nga và Trung Quốc là những quốc gia sở hữu nhiều NTP server nhất. Như vậy 4 server NTP ở Seoul bị lợi dụng mà chúng ta phân tích ở trên, cũng là điều dễ hiểu.

7Việt Nam cũng có nhiều NTP Server phết :)

Vá lỗ hổng

Nếu bạn là nạn nhân của các cuộc tấn công DDoS sử dụng NTP, có lẽ không dễ để các bạn ngăn chặn được các cuộc tấn công này. Chúng ta chỉ còn cách chặn hết các gói tin UDP có cổng nguồn là 123 phi đến hệ thống của chúng ta.

Còn đối với các công ty quản lý các NTP server, hãy cập nhật NTP phiên bản mới nhất (bản 4.2.7p26 hoặc mới hơn). Ngoài ra, chúng ta cũng có thể cấu hình firewall để chặn hết các monlist request từ các địa chỉ IP bên ngoài mạng, để tránh bị lợi dụng.

Thực tế thì Network Time Foudation cũng không mất nhiều công lắm để vá lỗ hổng này. Ta thử xem qua sự khác nhau giữa 2 phiên bản:

9

Hacking Flappy Bird for fun

Bạn muốn được bao nhiêu điểm ?

Trên iOS, Flappy Bird được cài ra 1 thư mục có cấu trúc như sau

2

Trong đó, ta lưu ý trong thư mục Documents, có 1 file mà ta rất dễ đoán được ý nghĩa có nó, đó là file score.dat. Đây là file dùng để lưu điểm mà người chơi đạt được.

Hãy cùng khám phá file score.dat này.

3

Hơi buồn 1 chút là tác giả không để định dạng text mà là 1 dạng binary. Không vấn đề gì, ta sẽ view file dưới dạng mã Hex (16)

4

Qua một vài lần chơi và kiểm tra lại file score.dat, ta sẽ đoán được 4 bytes đầu là dành để lưu điểm số, 4 byte tiếp theo là dành để ghi lại số lần từng chơi. Ví dụ trong hình trên, số điểm là 0A hệ số 16, tức là 10 điểm hệ thập phân, số lần chơi là DF lần, tức là 223 lần chơi (chơi từng đấy lần mà được có 10 điểm, quá kém nhỉ).

Bây giờ muốn điểm chơi thành bao nhiêu thì ta sẽ sửa 4 bytes đầu ở score.dat. Ví dụ tôi muốn sửa điểm chơi thành 898 điểm. Chuyển sang hệ số 16, 898 sẽ là 0382. Vì máy của chúng ta lưu trữ dữ liệu theo kiểu “little edian” nên ta sẽ ghi vào file score.dat như hình dưới

5

Và điểm chơi của bạn trên game sẽ như thế này

6

Game Atlas – Độ chim theo cách của bạn

Toàn bộ đồ họa của game nằm trong file Atlas.png

atlas

Như vậy ta thấy sẽ có 3 loại chym, 2 loại ống khói và 2 hình backgroud hiện ngày và đêm. Mỗi 1 lần chơi thì game sẽ random với chym, ống khói và backgroud.

Để load được các đối tượng từ Atlas.png, tác giả có tạo ra 1 file Atlas.txt đi kèm. File .txt sẽ chỉ rõ từng đối tượng trong file .png ở tọa độ nào

8

Trong hình dưới đây là đoạn code của Flappy Bird viết cho phiên bản android để load các đối tượng vào game

7

Vì vậy, nếu muốn thay đổi đồ họa của game, bạn có thể edit file Atlas.png. Ví dụ bạn có thể “độ” chym 1 chút để tạo ra 1 phiên bản Flappy Bird with sunglasses.

Giờ để ý thêm trong file Atlas.txt. Bạn sẽ thấy có đoạn định nghĩa về các ống nước.

9

Ta sẽ thử tạo ra 1 phiên bản game mới, “dễ chơi” hơn bằng cách làm hẹp các ống nước lại, để chym lọt qua dễ hơn.

11

 

Dù sao cũng nên cẩn thận với các game tải từ nguồn không chính thống

Hiện Flappy Bird không còn ở trên Google Play hoặc AppStore nữa, nên nếu như bạn chưa từng tải Flappy Bird từ những nguồn này thì bạn buộc phải tìm  game ở các nguồn không chính thống.

Chính vì vậy có nhiều kẻ sẽ tìm cách trục lợi bằng cách đưa lên các store những phiên bản Flappy Bird đã bị chèn thêm những đoạn mã không mong muốn đối với chúng ta.

Chẳng hạn đã từng xuất hiện các bản fake Flappy Bird có âm thầm gửi SMS tới các đầu số 87xx, để trừ tiền trong tài khoản của người dùng

10

(Nguồn Trend Micro)

Hoặc kẻ xấu có thể sử dụng 1 chiêu này mà hầu như chúng ta không thể phát hiện ra.

1

Đây là 1 đoạn code trong Flappy Bird phiên bản Android. Nếu để ý bạn sẽ thấy đối tượng thuộc lớp AdView được tạo ra dùng để hiển thị quảng cáo. Trong đó có 1 tham số là AdUnitID. Mỗi 1 ứng dụng sẽ có 1 AdUnitID riêng và ta tạm hiểu là 1 banner quảng cáo được hiện thị lên ứng với AdUnitID nào thì sẽ được tính tiền cho người sở hữu cái AdUnitID đó. Chính vì vậy, kẻ xấu có thể sẽ thay AdUnitID của Flappy Bird thành AdUnitID của 1 ứng dụng khác của hắn. Thế là từ đây, mỗi khi chúng ta sử dụng fake Flappy Bird đó mà quảng cáo được hiển thị, thì tiền có thể không nhảy vào túi Hà Đông, mà nhảy vào túi người khác.

Using Graph Database for Network Monitoring

Graph Database là gì và tại sao lại là Graph Database ?

Bạn sẽ làm gì nếu muốn xây dựng 1 hệ thống có khả năng tìm kiếm như sau: Danh sách bạn bè của tôi thích tennis và hay chơi ở sân Cầu Giấy thứ 7 hàng tuần ? (Facebook gần làm được như thế rồi đấy :D)

Nếu sử dụng hệ quản trị cơ sở dữ liệu quan hệ RDBM (MySQL, Oracle…) thì chúng ta sẽ phải tạo nhiều bảng và nhiều liên kết phức tạp: Con người, Quan hệ bạn bè, Môn thể thao, Địa điểm, Thời gian… Chưa kể câu truy vấn SQL của bạn phải khá lằng nhằng với UNION, GROUP BY, INNER JOIN…

Vậy nếu chúng ta tạm quên đi các table, column, row, key… thì liệu có 1 dạng biểu diễn nào phù hợp cho kiểu dữ liệu mà có nhiều mối liên kết hay không ? Câu trả lời là có.  Đó là Graph Database

7

Hình trên là một ví dụ của Graph Database, dữ liệu được biểu diễn dạng đồ thị thông qua các node, các relation và property (của cả node và relation). Với những nơi có dữ liệu liên kết nhiều: ví dụ của mạng xã hội, thì Graph Database sẽ là 1 lựa chọn tốt hơn nhiều so với RDBM. Facebook cũng mới ra tính năng Graph Search sử dụng Graph Database.

Ngoài mạng xã hội ra, Graph Database còn được ứng dụng ở đâu nữa hay không ? Theo tôi thì chúng ta có thể áp dụng nó trong các giải pháp về security và network monitoring. Đơn giản vì các ứng dụng đó cần phân tích nhiều các kết nối từ nơi này sang nơi khác.

Graph Database trong các Hệ thống Network Monitoring

Thực tế thì các dữ liệu trong 1 hệ thống mạng là dữ liệu có nhiều kết nối. Ví dụ: Máy A truy vấn DNS tới server B để vào website C download file D…

Chính vì vậy, nếu xây dựng database của Hệ thống Network Monitoring sử dụng RDBM chắc chắn sẽ rất phức tạp. Trong tình huống này nếu ứng dụng Graph Databse thì sẽ đơn giản hơn, ví dụ các máy tính là 1 loại node, các truy vấn sẽ là relation, máy chủ hoặc thiết bị mạng có thể được xếp thêm vào 1 loại node khác.

Giả sử 1 tình huống như sau: Một số máy tính trong hệ thống mạng có phần mềm quản lý nhân sự bị xung đột bí hiểm với 1 vài phần mềm nào đó. Trong khi, các máy tính còn lại không bị xung đột. Dựa vào Graph Database ta sẽ nhanh chóng tìm ra các phần mềm trùng nhau trên các máy tính có bị xung đột. Để từ đó khoanh vùng được nguyên nhân.

6

Máy 1 và Máy 4 có phần mềm HRM bị xung đột với phần mềm nào đó, trong khi Máy 5 phần mềm HRM chạy vẫn bình thường. Ta sẽ nhanh chóng tìm ra, ngoài HRM, MSWord và Java là 2 phần mềm Máy 1 và Máy 4 cùng có, trong khi máy 5 không có. Sau khi khoanh vùng còn 2 phần mềm nghi ngờ, ta sẽ đơn giản hơn để xác định được nguyên nhân của sự xung đột.

5

4

Graph Database & Security Solution

Các giải pháp bảo mật thực sự phù hợp nếu dùng Graph Database. Chẳng hạn như FW hoặc IDS/IPS (phát hiện và ngăn chặn xâm nhập, tấn công), các hệ thống cảnh báo…

Hầu hết các giải pháp trên đều dựa vào việc phát hiện sự bất thường: trên một máy tính, trên 1 hệ thống mạng… và Graph Database phù hợp với nhu cầu đó.

Đôi khi không cần phải “visualize” như đống dữ liệu từ RDBM, vì bản chất của Graph đã là “visual” rồi.

8

Các máy tính kết nối tới 1 tên miền bất thường ? Ta sẽ thấy ngay đang có 1 chiến dịch tấn công mới trong hệ thống mạng và máy nào đang bị ảnh hưởng.

Một chiến dịch HTML Phishing mạo danh Paypal

HTML Phishing là 1 chiêu nhằm vượt qua cơ chế kiểm duyệt của các anti-virus hoặc các anti-spam. Trong đó các email lừa đảo không chưa bất kỳ một mã độc nào cũng như các link độc nào cả. Đơn giản là các email này chỉ đính kèm 1 file htm tưởng như vô hại.

Dưới đây là 1 chiến dịch mạo danh Paypal, trong đó kẻ tấn công đã sử dụng file htm đính kèm

1

Theo nguyên tắc thông thường thì file Attachment.htm này thực sự là “sạch”. Không chứa bất kỳ đoạn mã khai thác nào đáng nghi ngờ đối với Norton cả.

Thử kiểm tra với các phần mềm AV khác thì ta có thể thấy tỉ lệ phát hiện đây là mã độc rất thấp, chỉ có 7/50 phần mềm cảnh báo đây là mã độc

1a

Khi mở file htm ra nạn nhân sẽ thấy 1 giao diện rất “gần gũi” với nội dung email, là cảnh báo về vấn đề mất an toàn và đề nghị cập nhật lại thông tin account.

3

Những thông tin nếu submit, tất nhiên sẽ không được gửi đến server của Paypal, mà được gửi đến máy chủ của hacker. Các thông tin về thẻ tín dụng của nạn nhân sẽ được hacker lưu lại và tìm cách chiếm đoạt tiền trong tài khoản của nạn nhân.

4

Máy tính phát tán mail phishing này có vẻ như nằm tại Hong Kong. Đây có thể là máy của hacker nhưng cũng có thể là máy của 1 nạn nhân nào đó bị hacker lợi dụng.

5

Sử dụng công cụ đặt lịch để phát tán thư rác

Các hãng như Google hay Yahoo hiện nay có cung cấp dịch vụ Calendar (calendar.yahoo.com hoặc google.com/calendar). Khi 1 người đặt lịch làm việc với một số người khác, theo nguyên tắc, 1 email thông báo sẽ được gửi tới những người nằm trong danh sách được mời họp. Lợi dụng đặc điểm của tính năng calendar này, nhiều kẻ đã tiến hành “đặt lịch” với cuộc họp có nội dung là spam hoặc phishing để gửi tới các nạn nhân, là những người “được” mời họp.

1Một email lừa đảo lợi dụng Calendar

Vì có định dạng calendar, nên các email này có thể thoát được cơ chế chặn spam của các nhà cung cấp dịch vụ email. Thậm chí hacker còn có thể đặt “lịch họp” định kỳ, điều này khiến cho các thư spam được gửi liên tiếp tới nạn nhân, ví dụ như 1 tuần 2 lần, gây khó chịu cho họ.

2Một spam hàng tuần gửi cho nạn nhân

Phân tích thêm 1 chút từ 1 thư “mời họp”

3

Thực tế thì chiêu này không mới, có thể 1 số hãng cung cấp email đã lọc được các thư kiểu này và cho vào thùng rác, tuy nhiên vẫn có nhiều mail bị lọt. Nếu không để ý thì vẫn có thể bị lợi dụng vì nội dung lừa đảo trong các mail rất đa dạng.

Big Data & DDoS Analysis

Lý do có bài viết này: Đang làm về Big Data, lại nhân việc hỗ trợ 1 công ty bị tấn công DDoS.

Phân tích DDoS

Khi hệ thống bị tấn công DDoS với hàng ngàn truy vấn độc hại trong 1 giây, sinh ra vài chục GB log, việc bạn mở các file log này ra để phân tích là điều không đơn giản. Nguyên nhân là do server của bạn đang bị nghẽn, đến remote vào server chưa chắc đã được chứ đừng nói là bạn vào server để mở file log hay kể cả là chia nhỏ file, nén và tải về máy khác.

Chính vì vậy, Big Data có thể hỗ trợ bạn trong việc xử lý, phân tích các file log lớn.

Hệ thống Big Data phục vụ phân tích DDoS

Đầu tiên chúng ta phải xây dựng 1  hệ thống xử lý Big Data dựa trên nền Hadoop.

3Mô hình Big Data sử dụng để phân tích DDoS

Như hình tôi vẽ ở trên thì bạn sẽ thấy, quá trình phân tích DDoS có thể chia làm 3 giai đoạn

1. Thu thập dữ liệu

4Log của một website đang bị tấn công tại Việt Nam

Ta sử dụng Flume để đón dữ liệu từ các file logs kiểu như hình ở trên vào các channel. Sau đó, Flume sẽ sink dữ liệu thành file lưu ở HDFS

1

Flume đang chạy để đón dữ liệu ghi vào HDFS

2. Xử lý dữ liệu

Khi file đã được lưu sang HDFS, ta có thể dùng Hcatalog để định nghĩa 1 table theo định dạng ta mong muốn. Cụ thể ở đây ta sẽ chuyển 1 file log với nhiều trường thành 1 bảng gồm một số trường đơn giản hơn như: IP, Status, Time, Country. Dựa vào đó ta có thể dùng PIG hoặc Hive để xử lý.

 5Sử dụng HCatalog để tạo bảng

3. Visualization

Biến đống thông tin từ text chuyển sang các sơ đồ bảng biểu để dễ nhìn và dễ phân tích. Ta có thể viết các script cho PIG để phục vụ việc xuất dữ liệu sang các công cụ BI (Business Intelligence).

2Botnet này gồm nhiều máy tính ở Châu Âu

Hoặc ta có thể lấy ra danh sách các địa chỉ IP đang tấn công để đưa vào blacklist của Firewall.

6

Danh sách các IP của bot

Tất cả các công đoạn này có thể xử lý nhanh chóng và tức thì nếu hệ thống Big Data của bạn đủ mạnh.

Các vụ tấn công nhằm vào Bitcoin

Cách đây khoảng 2 tuần, tôi có 1 buổi trao đổi với các bạn đồng nghiệp về ứng dụng của “large scale system”. Khi đến chủ để độ máy để đào Bitcoin, tôi có đùa với mọi người rằng là thay vì mua máy về để đào, người ta có thể huy động botnet để làm việc này.

Không ngờ, câu nói đùa đó lại trở thành sự thật nhanh như vậy. Cách đây khoảng vài ngày một mạng botnet kiểu này đã được công bố. Thông tin có thể đọc thêm tại đây: http://news.cnet.com/8301-1009_3-57616958-83/yahoo-malware-turned-pcs-into-bitcoin-miners

Trước đó 2 ngày, mã độc đánh cắp Bitcoin, phát tán qua email đã được cảnh báo. Thông tin về chiến dịch này có thể đọc ở đây: http://blog.logrhythm.com/uncategorized/emerging-bitcoin-theft-campaign-uncovered/

Như vậy có thể thấy, chỉ trong vòng 1 tuần, 2 cuộc tấn công của tội phạm mạng liên quan điến Bitcoin đã xảy ra. Chắc chắn đây sẽ không phải là những cuộc tấn công cuối cùng. Chúng ta tin rằng, các cuộc tấn công trong thời gian tới sẽ còn tinh vi và nguy hiểm hơn rất nhiều.

Dự đoán trong thời gian tới sẽ có những botnet tương tự bị phát hiện. Ngoài ra, không chỉ các máy tính cá nhân được huy động vào việc này, hacker sẽ tấn công cả các máy chủ và sử dụng các máy chủ  này cho việc đào bitcoin. Bên cạnh các vụ lừa đảo, ăn trộm bitcoin thường xuyên xảy ra, bản thân tính an toàn của “ví bitcoin” cũng có thể sẽ gặp vài lỗ hổng mà hacker phát hiện ra.

Một khi Bitcoin đã là tiền và tiền này không nằm trong ví của bạn mà nằm trên máy tính của bạn –> Giới tội phạm mạng sẽ không ngồi yên cho việc đó.

Bitcoin là gì ?

Đã có khá nhiều bài viết về chủ đề này rồi, nên chúng ta có thể tìm hiểu nó qua mạng.

Con đường phát triển của Bitcoin

Các bạn có thể xem thêm biểu đồ sau đây (cập nhật đến tháng 10/2013), để hiểu rõ hơn về Bitcoin.

Bitcoin(Ảnh: Internet)

Tìm hiểu về PRISM, hệ thống BigData của NSA

NSA là gì ?

Trước khi tìm hiểu, ta cần biết qua về NSA. Đây là viết tắt của National Security Agency, cơ quan an ninh quốc gia của Mỹ.

Nghề của NSA là thu thập giải mã và phân tích thông tin tình báo từ các nước để phục vụ cho CP Mỹ. Như vậy có thể nói NSA là nơi có nhiều dự án và các cao thủ về 3 món: thu thập, giải mã và phân tích thông tin.

PRISM là gì ?

Là dự án Big Data của NSA, với mục tiêu phát hiện khủng bố và khai thác các mô hình/khuôn mẫu khác được sự cho phép của thẩm phán liên bang làm việc theo Luật giám sát tình báo nước ngoài. PRISM có nghĩa là Lăng kính, lấy ý tưởng từ việc lăng kính được dùng trong các sợi cáp quang để truyền thông tin.

PRISM hoạt động như thế nào ?

Bằng việc thu thập tất cả các nguồn dữ liệu có thể có: nội dung điện thoại, nội dung email, các truy cập web, video, hình ảnh, các status trên Facebook, Twitter, địa chỉ IP, địa chỉ email, số điện thoại…. PRISM sẽ phân tích và đưa ra các cảnh báo cho CP Mỹ về các dấu hiệu khủng bố có thể có. Để từ đó họ sẽ khoanh vùng, ngăn chặn các vụ khủng bố. Hoặc khi họ cần thông tin về 1 cá nhân/tổ chức nào đó, chỉ cần gõ số điện thoại/email, tên… PRISM sẽ trả về tất cả các thông tin mà nó thu thập và tổng hợp được từ nhiều nguồn.

Về cơ bản, chúng ta sẽ không biết nhiều về PRISM nếu không có Edward Snowden và các tài liệu do anh ta cung cấp. Hãy cùng tìm hiểu sơ bộ về PRISM qua một số tài liệu này.

1

Hình 1

Theo hình trên thì ta thấy, họ có 2 nguồn để thu thập thông tin đó là: Upstream và PRISM. Như vậy có thể thấy PRISM không phải là 1 dự án duy nhất. Nếu như Upstream tập trung vào việc thu thập tất cả các dữ liệu từ hạ tầng từ các nhà mạng thì PRISM là thu thập trực tiếp từ máy chủ của các nhà cung cấp dịch vụ tại Mỹ. Tạm hiểu Upstream là chuyện hớt cá giữa dòng nước, còn PRISM thì mang cả sọt đến tận hang cá để tóm.

2

Hình 2

Hình 2 cho thấy, PRISM thu thập được 11 loại dữ liệu khác nhau bao gồm: E-mails, instant messages, videos, photos, stored data (kiểu Google Drive  hay MS SkyDrive chăng ?), voice chats, file transfers, video conferences, log-in times, social network profile details và loại cuối cùng là “Special Request”

Những dữ liệu này lấy được từ  9 công ty lớn bao gồm có: Microsoft, Google, Yahoo, Facebook… tham gia vào việc cung cấp dữ liệu cho PRISM (Provider). Bạn có dùng dịch vụ của các hãng trên không 😀

Hình 3 cho thấy thời điểm mà các Provider tham gia vào PRISM cho đến cuối năm 2012. Microsoft là hãng đầu tiên, tham gia ngày 11/9/2007 và Apple là hãng cuối cùng tham gia tháng 10/2012. Chưa rõ khi Microsoft tham gia PRISM thì có xem ngày hay không mà khéo thật.

3

Hình 3

Tùy từng Provider, NSA có thể sẽ nhận được 1 thông báo ngay lập tức khi có sự kiện log in hoặc gửi mail của đối tượng (Hình 4)

4

Hình 4

5

Hình 5

 Theo  hình 5 thì tại thời điểm ngày 5 tháng 4, 2013 có 117,675 mục tiêu theo dõi nằm trong CSDL chống khủng bố của PRISM

6

Hình 6

Hình 6 một lần nữa mô tả tổng quan về các nguồn dữ liệu mà NSA đã thu thập.

PRISM xử lý bao nhiêu dữ liệu ?

Chưa thấy thông tin chính thức từ NSA, nhưng cứ hình dung riêng Facebook hoặc Google phải xử lý đống data của họ đã đủ mệt rồi, đằng này PRISM xử lý của cả Facebook, Google, MS…. cộng lại.

Theo một nghiên cứu đăng tại HighScability thì tác giả dự tính số lượng dữ liệu mà PRISM xử lý là như sau:

Facebook: 500 TB/ngày* 30 = 1.5 PT/tháng (source)

Twitter: 8 TB/ngày* 30 = 240 TB/tháng (source)

Email/Other info: 193PT/tháng (source)

Mobile traffic/machine­to­machine exchanges/vehicles etc:  117 PB/tháng (source)

Như vậy tổng dữ liệu xử lý là gần 312PB/tháng

Công nghệ, thành phần của PRISM ?

7

Hình 7

 Theo  Hình 7, chúng ta có thể thấy 1 số các hệ thống sau nằm trong PRISM

  • PRINTAURA automates the traffic flow
  • SCISSORS and Protocol Exploitation sort data types for analysis
  • NUCLEON (voice)
  • PINWALE (video): http://en.wikipedia.org/wiki/Pinwale
  • MAINWAY (call records)
  • MARINA (Internet records)
  • FALLOUT ?
  • CONVEYANCE ?

Ngoài ra, trong các tài liệu khác còn có xuất hiện 1 số các hệ thống khác như

  • Accumulo (http://en.wikipedia.org/wiki/Apache_Accumulo): 1 dạng NoSQL (NSA đóng góp ngược lại cho cộng đồng nguồn mở Apache và có cả 1 công ty thương mại  hóa thành Sqrrl http://sqrrl.com/, công ty này cũng do cựu nhân viên của NSA thành lập
  • NSA Graph search
  • Xstroke (http://en.wikipedia.org/wiki/XKeyscore): Theo wiki thì là  a system “for searching and analyzing Internet data about foreign nationals across the world”
  •  Boundless Informant: Công cụ để phân loại, quản lý, phân tích các đối tượng trên toàn cầu

Những hệ thống này nếu tìm hiểu thêm sẽ có khá nhiều thông tin thú vị phục vụ cho xây dựng Big Data.

PRISM có từ khi nào ?

Theo tài liệu của NSA thì PRISM được phát triển từ năm 2007. Như vậy đây là 1 dự án Big Data có ít nhất 6 năm tuổi.

Phản ứng của các “ông lớn” trước thông tin họ nằm trong PRISM

Về cơ bản thì 100% người sử dụng trên toàn thế giới có dùng dịch vụ của ít nhất 1 trong 9 công ty kia. Điều đó có nghĩa là các hãng này ít nhiều bị ảnh hưởng tới uy tín khi thông tin PRISM bị lộ lọt. Hãy xem phản ứng của các hãng trước việc này ra sao.

Larry Page, CEO của Google có viết 1 bài với tiêu đề “What the…” phủ nhận hoàn toàn việc tham gia vào PRISM và việc NSA không  thể có quyền truy cập trực tiếp vào các server  cũng như có backdoor để truy cập vào các dữ liệu của Google. (http://googleblog.blogspot.com/2013/06/what.html)

Đại diện về luật pháp của Yahoo cũng viết trên blog , “Quan điểm cho rằng Yahoo! cung cấp cho bất kỳ cơ quan liên bang nào truy cập tự do vào hồ sơ của người sử dụng là sai” (http://yahoo.tumblr.com/post/52491403007/setting-the-record-straight)

CEO của Facebook, Mark Zuckerberg đăng 1 status về vấn đề này “Facebook không và chưa bao giờ là 1 bộ phận của bất kỳ chương trình nào cho phép CP Mỹ hoặc các quốc gia khác, truy cập trực tiếp vào server của chúng tôi.” (https://www.facebook.com/zuck/posts/10100828955847631)

Phát ngôn viên của Apple cũng trả lời rằng, “Chúng tôi chưa bao giờ nghe đến PRISM”

Thực tế thì chúng ta thấy rất dễ, là các hãng này đều nói họ không cho phép “truy cập trực tiếp” vào  máy chủ. Nhưng không thấy họ nói đến “truy cập gián tiếp” :D. 

Chi phí cho PRISM

Theo thông tin từ NSA ở Hình 3 thì PRISM tiêu tốn khoảng 20 triệu USD/năm.

Trong khi đó, có 1 nghiên cứu khác cho rằng PRISM tốn khoảng 180 triệu USD/năm mà vẫn còn khen là chi phí thấp (http://highscalability.com/blog/2013/7/1/prism-the-amazingly-low-cost-of-using-bigdata-to-know-more-a.html).

Điều này chứng tỏ NSA rất biết tiêu tiền 1 cách hiệu quả.

Hạ tầng cho PRISM ?

Hiện, dữ liệu của PRISM được cho là lưu trữ tại trung tâm dữ liệu Utah.

NSA Phone Records

Hình 8

Kết luận

Kết luận lại, theo phỏng đoán thì PRISM sẽ có 1 cấu trúc tương tự như hình sau đây:

9 Hình 9

Không bàn đến vấn đề mục đích sử dụng của PRISM, tuy nhiên rõ ràng việc tìm  hiểu hệ thống Big Data của NSA này cũng sẽ giúp chúng ta có được 1 case study về hệ thống lớn, để áp dụng vào các dự án Big Data khác.

Tài liệu tham khảo

Dự đoán các xu hướng tấn công mạng năm 2014 tại Việt Nam

1. Tấn công mạng xã hội gia tăng

Facebook đang là một mảnh đất màu mỡ đối với tội phạm mạng. Đã có nhiều cuộc tấn công người sử dụng FB tại Việt Nam trong 2013 (xem thêm tại đây về 1 chiến dịch lừa đảo trên FB) và chắc chắn 2014 chúng sẽ tiếp tục gia tăng với các mức độ tinh vi hơn. Các cuộc tấn công sẽ tập trung vào đánh cắp tài khoản Facebook, mạo danh người thân để lừa lấy tiền và các chiêu lừa đảo để câu like. Con đường tấn công không mới là Facebook Messenger, các link độc hại mạo danh các app hoặc video… Chủ yếu nạn nhân của những cuộc tấn công này là những người nhẹ dạ, không đề phòng các thủ đoạn lừa đảo của tội phạm. Để hạn chế tối đa các nguy cơ bị lừa đảo trên FB, các bạn có thể xem thêm phần tư vấn tại đây.

2. Các dịch vụ thanh toán trực tuyến của Ngân hàng sẽ là đích ngắm trong năm 2014

Các bạn có thể đã nghe đến một số vụ tấn công lợi dụng kẽ hở của phương pháp xác thực OTP của ngân hàng (link) hoặc cướp SIM để chiếm đoạt tiền (link). Đây chỉ là 2 trong số nhiều cuộc tấn công vào ngân hàng ở Việt Nam được công bố. Mục đích của những cuộc tấn công này chúng ta có thể thấy rõ đó là: Tiền, và những kẻ tấn công vào đây là những kẻ chuyên nghiệp. Có 2 đối tượng là mục tiêu của những cuộc tấn công đó là hệ thống giao dịch của ngân hàng và những khách hàng của các ngân hàng này. Chúng ta có thể sẽ phải chứng kiến trong năm 2014 một số cuộc tấn công lớn, trực diện và hệ thống giao dịch trực tuyến của ngân hàng và/hoặc xuất hiện một botnet nhằm vào người sử dụng có tài khoản trực tuyến của các ngân hàng.

3. Mã độc trên Android trở thành vấn đề thật sự.

Đã có nhiều mã độc trên Android xuất hiện, ví dụ như con Obad được công bố cuối năm 2013. Nhưng có vẻ như người sử dụng Việt Nam chưa có nhiều cơ hội để tiếp xúc với những thành phần này. 2014 sẽ xuất hiện 1 hoặc 1 vài chiến dịch tấn công sử dụng mã độc nhằm vào cộng đồng người sử dụng Android tại Việt Nam.

4. OTT – Hồ cá mới cho các chiến dịch phishing

 Tại thời điểm này, các tin nhắn qua OTT có nhiều ưu điểm:

  • Miễn phí
  • Tin nhắn có độ dài lớn
  • Chèn link và hình ảnh dễ dàng vào nội dung tin nhắn.

Những ưu điểm này có lợi cho người sử dụng chúng ta bao nhiêu thì cũng có lợi cho những kẻ lửa đảo bấy nhiêu. Năm 2014 nạn spam và lừa đảo qua các mạng OTT sẽ trở thành vấn đề nhức nhối, gây nhiều phiền toái cho người sử dụng. Các nhà cung cấp dịch vụ và các hãng security chuẩn bị tinh thần cho các giải pháp an toàn cho OTT là vừa.