Chủ Nhật, 8 tháng 1, 2012

An Ninh Máy Vi Tính và Những Cách Sử Dụng An Toàn (Best Practices)

BBT No Firewall xin gửi đến các bạn trình bày của kỹ sư Nguyễn Ngọc Bảo trong buổi hướng dẫn về an ninh điện tử, được tổ chức trên Paltalk ngày 29/12 vừa qua.  Kỹ sư Nguyễn Ngọc Bảo trách nhiệm về an ninh thông tin tại một công ty chuyên về quốc phòng tại Pháp. Ông thường xuyên cố vấn cho blog No Firewall.


Một vài con số liên quan đến máy vi tính

Máy vi tính hiện nay trở thành rất thông dụng trong hơn 1/3 số gia đình trên khắp thế giới và trở thành dụng cụ phổ thông rất hữu ích cho việc trao đổi thông tin qua điện thư (email), tải xuống các tài liệu, thu thập thông tin về chính trị, kinh tế, xã hội, mua bán, làm việc với nhau qua việc truy cập vào mạng toàn cầu Internet. Việc trao đổi dữ kiện, thông tin, còn trở thành một nhu cầu quan trọng hơn trong một xã hội độc tài trong đó mọi luồng thông tin độc lập dều phải chịu một sự kiểm duyệt gắt gao.

Hiện nay có khoảng từ 1,8 tỷ đến 2 tỷ máy vi tính trên khắp thế giới, so với hơn 2 tỷ người xử dụng mạng Internet. Năm 2010, số bán máy vi tính là 350 triệu, tăng 3,8% so với 2009, con số bán ước lượng cho 2012 là 400 triệu máy. Nếu tính đổ đồng, cứ 3 năm mới thay một máy vi tính, thì số máy vi tính tối thiểu hiện nay là 1,4 tỷ máy. Khoảng 1.000.000 máy  điện toán bị mất cắp mỗi năm. Số lượng máy vi tính cá nhân bị tấn công và trở thành một phần tử của một mạng botnet lên đến cả trăm triệu máy. Hầu như 100% các dữ kiện cá nhân, số ID, mật khẩu, trương mục ngân hàng, đều được chứa trong các máy vi tính dù tại nơi làm việc hay tại nhà riêng.
 
Do đó, việc tấn công bằng malware để chiếm các máy vi tính, lấy cắp các máy vi tính để khai thác dữ kiện, sử dụng các máy bị chiếm để tấn công các máy khác, trở thành rất thông dụng.

Trong Phần 2 về An Ninh máy Vi Tính và Những Cách Sử Dụng An Toàn (Best Practices)

Chúng ta sẽ cần nhận diện ra:
  • Những rủi ro lớn nhất khi sử dụng máy vi tính để biết cách phòng chống, kế tiếp là 
  • Những cách sử dụng (behavior) an toàn thông dụng trong nhiều tình huống sử dụng máy khác nhau, và sau cùng là
  • Một số hướng dẫn về những biện pháp an ninh điện toán kỹ thuật cần thiết qua nhiều tầng an ninh từ thấp đến cao và bổ túc cho nhau.


Nhận diện những rủi ro (risks) khi sử dụng máy vi tính

Rủi ro là một tổng hợp nhân của các thành tố (component) sau đây:

Risks = Threats X Vulnerabilities X Impact X Frequency
Threats = Đe Dọa
Vulnerabilities = Yếu Kém
Impact = Hậu quả
Frequency = Nhịp Độ

Thí dụ qua 4 trường hợp khác nhau:

• Nếu threats cao, nhưng vulnerabilities rất thấp, thì dù impact cao và nhịp độ xảy ra thường xuyên, Risks cũng chỉ ở mức trung bình
• Nếu threats trung bình, vulnerabilities trung bình, nhưng impact cao và nhịp độ trung bình thì risks cũng ở mức độ cao
• Nếu threats cao, vulnerabilities cũng cao, nhưng nếu impact rất thấp, thì dù frequency có cao, thì risks cũng chỉ ở trung bình
• Nếu threats cao, vulnerabilities trung bình, impact trung bình, nhưng frequency rất thấp, thì risks cũng chỉ mức trung bình

Sau đây là những rủi ro chính liên quan đến việc sử dụng máy vi tính, dựa trên tiêu chuẩn AICP (Availability, Integrity, Confidentiality, Proof): 



Mất máy, máy bị ăn cắp 

Hậu quả: dữ liệu riêng tư cá nhân bị lấy cắp, sử dụng cho các hoạt động phi pháp. Đối với các thành phần hoạt động dân chủ, hoạt động của chính mình bị bại lộ và ảnh hưởng đến an ninh cá nhân của những người cùng hoạt động và có liên lạc với mình.


Máy bị tấn công và bị gài spyware 

Hậu quả: dữ liệu lưu trữ trong máy bị spyware thu thập và gởi ra bên ngoài, liên quan đến các tài liệu cá nhân riêng tư (trương mục ngân hàng, mật khẩu, giấy tờ cá nhân bị lấy cắp), các dữ kiện về hoạt động liên quan đến các thành phần dân chủ khác, những người quen biết. Thí dụ như các dữ kiện truy cập vào các trương mục, nằm trong máy bị lấy trộm nhằm xâm nhập vào các webmail để lấy các tài liệu riêng tư, truy tìm ra những người liên lạc với người chủ của máy.


Máy bị tấn công, xâm chiếm và biến thành một phần tử của một mạng lưới botnet để tấn công từ chối dịch vụ (DOS) hay gởi thư rác spam.

Hậu quả: cùng hậu quả như trên, ngoài ra địa chỉ IP của máy bị liệt kê vào loại máy xấu và có thể bị ngăn chặn (block)

Do đó, các cách sử dụng an toàn và biện pháp an ninh điện toán thiết trí trên máy nhằm
• để làm giảm thiểu rủi ro dữ kiện riêng tư bị lộ ra bên ngoài do bị malware xâm nhập hay máy bị mất,
• để tránh gây hại đến chính người sử dụng và những người quen biết, cùng hoạt động.


Những cách thức sử dụng an toàn (Best Practices)

Như trình bày trong Phần 1 Malware Rủi Ro, Nhận Diện và Cách Phòng Chống, cách thức sử dụng (behavior) an toàn đóng góp 10% vào phần bảo đảm mức an ninh nói chung.

Sau đây là một số tình huống điển hình mà chúng ta cần quan tâm đến sự an toàn của máy vi tính.

Tại những nơi công cộng, tại cyber café, tại nhà ga, trên xe lửa, phi trường, trên phi cơ, khách sạn, tại nơi làm việc.

  • Không nối vào các nơi làm việc, hoạt động với các dữ kiện hệ trọng, nếu đường liên lạc không được mã hóa (bằng VPN Virtual Priate Network hay bằng SSL với giao thức HPPS)
  • Khi cần truy cập vào mạng Internet, cần tránh truy cập vào các web site “lạ” tại các nơi trên.
  • Khi nối bằng Wifi, mức độ mã hoá phải tối thiểu WPA hay tốt hơn là WPA2 (128 bits) nhằm phòng chống lại kẻ ở giữa nghe lén (Man In The Middle)
  • Không mở các hồ sơ quan trọng trong máy ở nơi công cộng có nhiều người có thể nhìn thấy được. Cần tìm một nơi khuất, lưng phải tựa vào tường, để tránh có kẻ nhìn trộm đằng sau lưng.
  • Luôn luôn mang máy vi tính trong hành lý mang tay và đem lên phi cơ, không bao giờ gởi hành lý có máy vi tính, không rời xa hành lý có máy vi tính, luôn mang theo nếu dời xa chỗ ngồi trên phi cơ, trên xe lửa hay trong khách sạn.
  • Không bao giờ cho người khác mượn máy vi tính, khi không sử dụng nữa nên tắt hẳn máy 
  • Nên mang theo một thẻ nhớ USB có mã hóa chứa các hồ sơ quan trọng, các hồ sơ này không sao chép trong máy vi tính để phòng hờ trường hợp máy bị quan thuế tịch thu.

Khi nhận hay chuyển hay lưu trữ tài liệu, dữ kiện với thẻ nhớ USB

  • Cần khoá (block khả năng autorun từ thẻ nhớ USB) trên máy vi tính
  • Nên dùng thẻ nhớ của chính mình để chuyển hay nhận hồ sơ cho an toàn hơn. Cần giải mã trước tập hay directory đã được mã hoá để tránh tạo sự tò mò
  • Khi nhận hồ sơ nên quét thẻ nhớ USB ngay, trước khi chép vào đĩa cứng trong máy vi tính
  • Các nhu liệu mã hoá miễn phí có thể dùng : TrueCrypt (đĩa cứng), FlexCrypt (www.flexcrypt.com) , Zed (www.primx.eu) , PGP (http://www.pgpi.org/products/pgp/versions/freeware/winxp/8.0) , GnuPG (http://gpg4win.org/)

Khi đưa máy đi sửa hay thay máy


  • Nên nhờ một người quen thân tín, đi mua dùm máy, hơn là tự mình đi mua, nếu không muốn bị nhận diện
  • Trước khi mang máy đi sửa, nên cố gắng nhờ những người quen biết về điện toán xem dùm máy. Nên chép hết các hồ sơ quan trọng ra thẻ nhớ bên ngoài và mã hoá. Secured deletion các hồ sơ quan trọng trong máy (CCleaner), để tránh không còn dấu vết các hồ sơ đã xóa
  • Sau khi nhờ người quen mang máy sửa xong về, kiểm lại tất cả các functions xem có gì thay đổi hay không. Quét (scan ngay) với anti virus cập nhật. Tải xuống một anti virus thứ nhì để quét xem có gì thay đổi khả nghi hay không?

Cần tránh cho người khác, dù là quen biết sử dụng máy

  • Nếu không tránh được, nêu tạo ra một account khách mời (invite)
  • Yêu cầu không được tải xuống bất cứ chương trình software nào. Tốt nhất là nêu activate account control (cần đánh vào mật khẩu administrator nếu muốn thiết trí một nhu liệu mới)
  • Khi bắt buộc phải cho sử dụng máy của mình, nên có mặt tại chỗ, đứng đằng sau lưng để xem xét
  • Sau khi cho sử dụng xong, nên cho quét máy ngay (scan anti virus, anti spyware)

Chuẩn bị cho tình huống máy bị tịch thu 

  • Cần quét thường xuyên (scan với Ccleaner) để xoá an toàn các hồ sơ không sử dụng nữa trong máy, ngay sau khi mỗi khi mở, làm việc trên các hồ sơ quan trọng.
  • Cần sao chép các hồ sơ quan trọng ra bên ngoài và lưu giữ trên một thẻ nhớ USB hay removable disk có mã hoá, để tránh trường hợp mất hết hồ sơ khi máy bị tịch thu.
  • Không giữ mật khẩu trong máy trừ khi mã hóa hồ sơ này. Luôn luôn xoá (clear) cache PGP hay của một chương trình mã hóa khác, để tránh pass phrase (mật khẩu) dùng cho mã hóa bị lộ
  • Cương quyết từ chối không cung cấp mật khẩu mã hóa.

Khi không sử dụng hoặc đi vắng khỏi nhà không lâu  


  • Máy nên tắt và nên lấy đĩa cứng ra bên ngoài. Cất dấu ở nơi kín đáo. Nếu vắng nhà lâu nên mang theo máy vi tính.
  • Trong trường hợp có hồ sơ quan trọng, nên sao chép vào trong một thẻ nhớ USB có mã hoá (PGP, TrueCrypt) và xoá an toàn (secured deletion) trong máy với CCleaner. 
  • Máy cần có khoá tự động (lock). Nếu không có mặt trước máy, nên tắt đường liên lạc (wifi hay rút dây network RJ45 ra khỏi máy)


Những Biện Pháp An Ninh Điện Toán Kỹ Thuật 


Đối với những rủi ro gây ra bởi malware, mỗi rủi ro đều cần có biện pháp phòng chống nhiều tầng (multi layer defense)

Các mức độ an ninh của máy vi tính được chia thành 4 mức độ từ thấp đến cao như sau :

Mức độ 1: Mức an ninh đạt 80% (70% kỹ  thuật + 10% cách sử dụng) liên hệ đến 99% người sử dụng Internet (ước lượng 1.980.000.000)

Mức độ 2: Mức an ninh đạt 95% (85% kỹ  thuật  + 10% cách sứ dụng) liên hệ đến 0,95%  người sử dụng Internet (ước lượng khoảng 19.000.000) 
Mức độ 3: Mức an ninh đạt 99%, (89% kỹ  thuật  + 10% cách sử dụng) liên hệ đến 0,049%  người sử dụng Internet (ước lượng khoảng 1.980.000)

Mức độ 4: Mức an ninh đạt 99%+  liên hệ đến 0,001% --->   20.000


Mức độ 1 


Các biện pháp kỹ thuật cần thiết cho mức độ 1
  • Anti virus, cập nhật, quét thường xuyên  (để khám phá và diệt trừ, cô lập các malware)
  • Anti spyware, cập nhật, quét thường xuyên
  • Cập nhật thường xuyên về an ninh để vá các lỗ hổng an ninh (patch security update).

Đặc điểm: 

Những điểm cần quan tâm: 

  • Cần liệt kê ra những nhu liệu đang sử dụng để activate cách cập nhật các vá (Patch). Ngoài các vá của Mirosoft hay Mac, cần tải xuống các vá của Adobe Reader, Flash Player, Itunes (Mac).
  • Cho hệ thống điều hành Windows và Mac, nên activate (bật) khả năng cập nhật các vá (patch) một cách tự động (ngay cho cả các chương trình ứng dụng như Microsoft Office, Adobe Reader, …)
  • Cần lấy option cập nhật hàng ngày và quét thường xuyên toàn bộ các điã cứng vào ban đêm, ít nhất 2 lần một tuần và tiêu diệt tự động mọi malware khám phá ra được (lúc đó, tắt Wifi hay rút giây network ra khỏi máy)
  • Cần xem xét nhu liệu có chạy thường xuyên trên máy (check icône trên task bar và process trên bảng CRTL+ALT+SUP)
  • Cần tham khảo thường xuyên kết quả các đợt quét xem có gì đáng quan tâm hay không.


Mức độ 2

Các biện pháp an ninh của mức độ 1

  • Anti rootkit, (nhằm phá vỡ việc che dấu malware)
  • Firewall để ngăn chặn các liên lạc không được cho phép ra bên ngoài.
  • Mã hóa một phần (partition) đĩa cứng, mã hoá các hồ sơ lưu trữ, gởi đi

Đặc điểm: 

  • Ở tầng 2 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 95% (trừ rủi ro đến từ các malware loại “0 day “, có nghĩa là chưa có ấn dấu)
  • Rủi ro cao nhất vẫn đến từ malware qua điện thư (email), tải xuống hồ sơ, truy cập vào web site bị nhiễm malware. ở tầng này, việc mã hoá các hồ sơ, quan trọng sẽ giúp chống lại việc tài liệu bị lọt ra ngoài, khi máy bị mất hay bị ăn cắp hay bị malware loại trojan.
  • Danh sách các nhu liệu anti rootkit, firewall cá nhân và mã hóa miễn phí 
  • Anti rootkit
    • Firewall
      • PC Tools Firewall Plus Free Firewall
      • Privatefirewall
      • Zone Alarm Free Firewall 2012
    • Mã hóa
      • PGP
      • TrueCrypt
      • FlexCrypt
      • Zed
    • Nên sử dụng 2 loại anti rootkit khác nhau để đối chiếu các kết quả tìm thấy
    • Nếu lưu giữ loại hồ sơ quan trọng, nên mã hóa ở mức hồ sơ (PGP) và toàn bộ đĩa cứng (TrueCrypt)
    • Định nghĩa rootkit : cụm từ đến từ hệ thống điều hành UNIX nay cũng hiện hữu trong hệ thống điều hành Windows. Một hệ thống bao gồm một số mệnh lệnh và function với mục tiêu tạo ra một context quản trị viên (administrator) để che dấu hoạt động của các malware.

Những điểm cần quan tâm:

  • Cần lấy option của Firewall : “tất cả những liên lạc ra bên ngoài, cần phải được sự chấp thuận (click vào OK)”, để khám phá và ngăn chặn những liên lạc bí mật ra bên ngoài, chỉ dấu của máy bị nhiễm malware loại trojan (có function key logger : thu lại những chữ đánh trên bàn phím như mật khẩu đề gởi lén ra ngoài)
  • Nên khởi động (launch) nhu liệu anti rootkit chuyên biệt, phụ thêm vào nhu liệu anti virus, anti spyware đã có ở mức độ 1, ít nhất 1 tuần 1 lần. Nhất là sau khi truy cập vào các web site không quen thuộc. Hiện nay, ước lượng khoảng vài triệu web site (trên tổng số hơn 500 triệu) bị nhiễm malware và trở thành máy chủ (server) để phân phối malware.
  • Cần thận khi phân tích kết quả tìm kiếm của nhu liệu anti rootkit (AVG, Sophos, …) vì có thể liệt kê ra những loại hồ sơ không phải là root kit. Cần xác định bằng cách chuyển lên web site www.virustotal.com hay www.threatexpert.com để kiểm chứng có đúng là malware loại rootkit không.
  • Cần sử dụng loại nhu liệu rà soát các process thông dụng như sysinternals (http://technet.microsoft.com/fr-fr/sysinternals) để kiểm soát xem có những process khả nghi (suspicious) nào đang chạy trong máy hay không (process explorer V11.02).



Mức độ 3

Các biện pháp kỹ thuật cần thiết cho mức độ 3
  • Mức độ 1 + 2
  • Thẩm định rõ rệt mức độ các rủi ro (Risks Analysis)
  • Quan tâm đến các cảnh báo (security alert) để phòng chống
  • Phòng chống malware “0 day “, khi chưa tìm ra được dấu ấn của malware. Stormshield
  • Kiểm soát registry

Đặc điểm: 
  • Ở tầng 3 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 99% (trừ rủi ro đến từ các malware loại “0 day “đặc biệt, có nghĩa là chưa có dấu ấn và nhằm vào một số mục tiêu nhất định). Ờ mức này, với sự hiểu biết các rủi ro trên mạng và về an ninh máy vi tính, xác xuất bị xâm nhập rất thấp.
  • Nếu máy được sử dụng vào một số lưu trữ dữ kiện quan trọng, đặc biệt, cần tiến hành một thẩm định mức độ rủi ro (risks analysis, method EBIOS, MEHARI, MARION, SANS (www.sans.org), Risk Management Guide của NIST http://csrc.nist.gov/publications/nistpubs/800-30/sp800-30.pdf , để lượng định những rủi ro cao nhất cần phòng chống và mức độ an ninh và các biện pháp kỹ thuật cần thiết.
  • Cần ghi danh và thu nhận những cảnh báo đến từ những cơ quan an ninh thông tin quốc gia (National CERT Computer Emergency Response Team, CERT-US, ANSSI (Pháp), BSSI (Đức), ENISA (Liên Âu)), và từ các phòng thí nghiệm về an ninh thông tin (security labs) của các công ty lớn về an ninh thông tin (McAfee, Sophos, Symantec, …). Nhận những cảnh báo này giúp cho chúng ta biết trước một số rủi ro (risks), đe dọa (threats) hay yếu kém (vulnerabilities) đang xảy ra trên mạng và có một số biện pháp phòng chống tối thiểu cần làm ngay.

Những điểm cần quan tâm: 
  • Cần lấy algorithm mã hóa symetric một chìa khóa AES (Advanced Encryption Standard với độ dài (key length) 128 bits thay thế DES hay 3DES), hay algorithm mã hóa asymetric RSA 2048 bits 2 chìa khóa để có một mức độ an ninh vừa phải chống lại khả năng giải mã (decryption) trong một tương lai nhìn thấy được.http://www.cryptovision.com/fileadmin/media/documents/Whitepaper_Produkte/Modern_Cryptography.pdf
  • Khi nhận được security alert, cần xem xét ngay cảnh báo có liên quan trực tiếp đến việc sử dụng máy vi tính, điện thư, skype, nhu liệu mã hóa, Adobe Reader, Microsoft Office hay không. Nếu có cần áp dụng ngay những khuyến cáo.
  • Cần tải xuống và thiết trí Stormshield Personal Edition (http://spe.skyrecon.com/update/setup.exe), nhu liệu miễn phí cho máy vi tính, có khả năng chống lại các yếu kém vulnerabilities “ 0 day “, và chống lại các key logger một cách tự động. Stormshield không diệt malware, nhưng có khả năng ngăn chặn (block) hoạt động khả nghi (suspicious) của malware (thí dụ như nâng cấp quyền hạn thành administrator, mở ra cổng (port) mới để liên lạc ra bên ngoài, sửa đổi registry để bám vào máy, …)
  • Sử dụng Ccleaner hay một nhu liệu khác chuyên duyệt xét registry như PCTools Registry Mechanic để xoá thường xuyên và rà lại registry.
  • Quan tâm đến thời hạn hết chu kỳ bảo trì các phiên bản hệ thống điều hành, các chương trình ứng dụng (application), để chuyển sang (migration) sang phiên bản mới hơn.


Mức độ 4

Các biện pháp kỹ thuật cần thiết cho mức độ 4
  • Mức độ 1 + 2 +3
  • Xây dựng khả năng điều tra, truy tìm malware (forensic)
  • Xây dựng khả năng phân tích mã lệnh của malware để tìm ra mục tiêu, cách thức hoạt động, nguồn gốc của người chế tạo ra malware (reverse engineering)

Đặc điểm : 
  • Ở tầng 4 về an ninh, khi áp dụng triệt để các biện pháp phòng chống, mức độ an ninh tổng quát đạt khoảng 99%+ (trừ rủi ro đến từ các malware loại “0 day “đặc biệt, có nghĩa là chưa có dấu ấn và nhằm vào một số mục tiêu nhất định). Ờ mức này, với sự hiểu biết các rủi ro trên mạng và về an ninh máy vi tính, xác xuất bị xâm nhập rất thấp.
  • Đây là tầng duy nhất có đề cập đến khả năng truy tìm nguồn gốc, những đặc điểm của malware và nếu cần phản công trên mặt pháp lý và kỹ thuật.
  • Cần xây dựng khả năng điều tra và truy tìm malware (forensic) của các chuyên viên điện toán về an ninh điện tử qua các khoá thực tập https://www.sans.org/security-training/advanced-computer-forensic-analysis-incident-response-98-midhttp://www.digitalintelligence.com/forensictraining.php , http://hsc-formation.fr/formations/forensic.html.fr

Những điểm cần quan tâm:
  • Cần quan tâm đến việc bảo quản tất cả những dữ liệu được sử dụng để điều tra, không được thay đổi (no write).
  • Tìm ra trong khối lượng dữ kiện của image memory và image disk, địa chỉ IP, dấu ấn (signature) của người chế tạo ra malware, qua việc phân tích mã lệnh (code analysis), tìm ra các cách thức xâm nhập, tự tồn tại trong máy, tự che dấu, cách thức thu thập dự kiện, thay đổi dự kiện và gởi về người chủ malware.
  • Tìm kiểm dấu vết xác định malware có thuộc một botnet như Zeus, TLD4, Mariposa, … http://www.damballa.com/downloads/r_pubs/WP_Malware_Samples_Botnet_Detection.pdf , để block bằng firewall.
  • Lập hồ sơ với đầy đủ dữ kiện để gởi cho ISP, cơ quan cung cấp dịch vụ mạng và cơ quan an ninh mạng sở tại để có một số biện pháp (active) cần thiết.


Reference:
ANSSI  www.ssi.gouv.fr (Pháp)
ENISA www.enisa.europa.eu (Liên Âu) European Networks and Information Security Agency
SANS www.sans.org
NIST www.nist.org
CERT-US www.us-cert.gov
AUSCERT (Autralian Computer Emergency Response Team)
CERT-A www.certa.ssi.gouv.fr


Download tài liệu qua dạng PDF.
Kỹ sư Nguyễn Ngọc Bảo

Không có nhận xét nào:

Đăng nhận xét