Việc truy cập đến các trang web trở thành một hoạt động không thể thiếu của người dùng khi truy cập trên Internet hiện nay. Tuy nhiên, quá trình này phải đối mặt với những mối nguy hiểm không ngừng gia tăng từ những cuộc tấn công mạng. Nguyên nhân là do các giao diện lập trình JavaScript, Java, ActiveX, Flash... cho phép truy cập vào máy tính của người dùng, bao gồm hệ thống tệp và hệ điều hành. Cụ thể, mã chương trình của bên thứ ba có thể chạy trực tiếp trên máy tính, giữa hệ điều hành và cơ sở hạ tầng dữ liệu của chính nó. Do đó, các phần mềm độc hại có thể được thực thi khi trang web có chứa nội dung động được mở mà không có bất kỳ tương tác người dùng nào. Điều này có nghĩa chỉ cần truy cập đến các trang web, người dùng có nguy cơ bị nhiễm phần mềm độc hại.
Đối với việc sử dụng Internet cụ thể trong từng cơ quan/doanh nghiệp, có thể hạn chế các mối đe dọa bằng các giải pháp như sau:
Chỉ sử dụng máy tính chuyên dụng để truy cập Internet. Các máy tính này không được kết nối với mạng nội bộ và được tách biệt khỏi hệ thống mạng. Tuy nhiên, Internet hiện nay là một phần không thể thiếu trong công việc hàng ngày dẫn đến đây không phải là phương pháp khả thi.
Truy cập Internet với chức năng giới hạn. Điều này có nghĩa là vô hiệu hóa các nội dung động (dynamic content). Tuy nhiên, hạn chế của giải pháp này là phần lớn các trang web không thể duyệt nội dung.
Thực thi trình duyệt web trên một máy chủ đầu cuối. Có nghĩa, truy cập trên máy tính thông qua Desktop Viewer. Nhược điểm của giải pháp này nằm ở chỗ việc khôi phục phức tạp của máy chủ bị ảnh hưởng sau khi bị nhiễm phần mềm độc hại. Không phải lúc nào cũng xác định được trạng thái máy chủ đầu cuối thực sự cần được khôi phục. Ngoài ra, việc sử dụng nhiều băng thông mạng có sẵn cũng là một yếu tố tác động bất lợi đến việc mở rộng quy mô với số lượng lớn người dùng.
Bảo vệ Internet bằng một máy chủ proxy/tường lửa trong khu vực DMZ của công ty. Tính hiệu quả của giải pháp bảo vệ này phụ thuộc vào khả năng phát hiện phần mềm độc hại của proxy/tường lửa. Nó chỉ hiệu quả đối với phần mềm độc hại đã được biết đến nhưng hạn chế đối với các mối nguy hiểm mới. Việc lọc nội dung động phải cân bằng giữa khả năng sử dụng và tính an toàn.
Tất cả các giải pháp này đều có giá trị riêng, nhưng hạn chế khả năng truy cập các nội dung động của người dùng. Hơn nữa, những cách tiếp cận này không cung cấp một giải pháp cho vấn đề cơ bản của bảo vệ chống lại các cuộc tấn công chưa biết. Điểm mấu chốt là cần có một cơ sở mới đảm bảo an toàn mạng một cách phù hợp.
Phương pháp tiếp cận "an toàn bởi thiết kế" được triển khai trong Brower in the Box (BitBox) đã giải quyết được vấn đề trên. Nguyên tắc cơ bản ở đây là hệ điều hành và trình duyệt hoàn toàn tách biệt với nhau. Trình duyệt được gói gọn trong một máy ảo. Điều này làm cho phần mềm độc hại tách biệt máy tính, cấu trúc dữ liệu của người dùng và mạng lưới công ty. Không giống như hộp cát (sandbox) hay các giải pháp khác, BitBox không có vùng bộ nhớ hay các lệnh trong nhân được chia sẻ. Do đó, tất cả các khía cạnh của một trang web, bao gồm hình ảnh, biểu ngữ quảng cáo, văn bản và video, được chạy trong một môi trường biệt lập mà không làm suy yếu hệ điều hành hoặc các tệp tin.
Bảo vệ chủ động: Trojan, Ransomware, các tấn công APT và khai thác lỗ hổng zero-day sẽ không còn hiệu quả với giải pháp hai trình duyệt. Nhờ công nghệ ảo hóa, ngay cả trong trường hợp trình duyệt bị nhiễm phần mềm độc hại, các khu vực quan trọng của hệ thống như tệp người dùng hoặc cơ sở hạ tầng của công ty cũng không thể bị xâm phạm.
Cài đặt và quản trị đơn giản: Hệ thống quản trị riêng, trình quản lý đối tượng tin cậy R&S cho phép quản trị tập trung trong kiến trúc công nghệ có sẵn. Nó có thể liên kết với dịch vụ Windows Active Directory và qua đó đến người dùng trong mạng. Điều đó cho phép triển khai BitBox trên các máy tính của nhân viên và cho toàn bộ các nhóm người dùng, cũng như cấp phát các quyền riêng lẻ.
Phân tách mạng nội bộ/Internet ở cấp độ mạng: Với mạng riêng ảo (Virtual Private Network - VPN) tin cậy và cổng Web an toàn của hãng R&S, Internet và mạng nội bộ được cách ly lẫn nhau không chỉ ở cấp độ máy tính mà còn ở cấp độ mạng.
An toàn lướt mạng trên các hotspot và trên các WLAN khi làm việc tại nhà: Với BitBox có kích hoạt chế độ hotspot trong các quyền, máy tính được bảo vệ hiệu quả trước các tấn công xen giữa trên các mạng WLAN công cộng. Người dùng cũng có thể lướt web an toàn trên các mạng WLAN riêng khi làm việc tại nhà.
Thực hiện thống nhất các lệnh phù hợp: Với BitBox, việc lọc truy vấn bằng giải pháp tường lửa kết hợp máy chủ proxy không còn cần thiết. Bởi nó đảm bảo an toàn với tất cả các dạng lưu lượng truy cập Internet cá nhân.
Thuận tiện hơn cho người sử dụng: BitBox cho phép plugin, in dấu trang, tải xuống hoặc tải lên các tệp, cấu hình trình duyệt (dấu trang, plugin, cài đặt proxy,...) được lưu trong không gian người dùng và không được thiết lập lại khi khởi động lại.
Khái niệm an toàn của BitBox bao gồm ba lớp tách biệt: Lớp đầu tiên là Linux được gia cố với danh sách trắng AppArmor; Lớp thứ hai là thành phần ảo hóa hoàn toàn với phần mềm mã nguồn mở VirtualBox; Lớp thứ ba là không gian người dùng Windows, không gian này được giới hạn, không tương tác và riêng biệt.
Hình 1. Cách ly ở cấp độ máy tính
Hệ điều hành Linux được gia cố là một hệ điều hành đã tối giản trong đó chỉ có trình duyệt mà không có ứng dụng nào khác. Nhân hệ điều hành được gia cố với danh sách trắng AppArmor. Ở cấp độ tiến trình, AppArmor được sử dụng để xác định các truy cập được cho phép bên trong hệ điều hành Linux ảo. Nếu một ứng dụng trong trình duyệt thực thi một tác vụ không được phép, ví dụ như ứng dụng này đã bị kẻ tấn công thay đổi, tiến trình sẽ từ chối truy cập đến tác vụ này. Khác với các giải pháp khác, bộ nhớ và nhân sử dụng bởi BitBox không được chia sẻ với hệ thống chủ Windows. Việc sử dụng Linux càng làm cho việc tấn công khó hơn do tấn công phải được thiết kế nhắm mục tiêu đến cả Linux và Windows. Điều đó làm tăng đáng kể nỗ lực của những kẻ tấn công, do đó làm giảm khả năng bị tấn công.
Như đã đề cập trước đây, phân tách và đưa vào danh sách trắng như các chiến lược bảo mật chủ động có lợi ích rất rõ ràng với BitBox nhờ các lớp cách ly khác nhau. Thay vì dùng một máy tính khác để vào mạng Internet, một máy ảo sẽ được tạo ra trên máy tính thông thường. Các ứng dụng của người dùng chạy trực tiếp trên hệ điều hành, trong khi trình duyệt chạy trên một máy ảo trong môi trường Linux đã gia cố. Các thành phần này không truy cập được vào phần cứng hay hệ điều hành chủ Windows, mà chỉ vào phần cứng ảo hoạt động như là một tường lửa. Phần mềm độc hại từ các trang web không an toàn sẽ chỉ ở trong môi trường này và không thể lây lan sang máy tính cũng như mạng LAN nội bộ.
Trong bước đầu tiên, ảo hóa phân tách trình duyệt khỏi phần còn lại của máy tính. Nếu yêu cầu mức độ bảo mật cao hơn, các tổ chức/doanh nghiệp có thể sử dụng BitBox để phân tách Internet khỏi mạng nội bộ của công ty. Với thành phần bảo mật được bổ sung này, phần mềm độc hại tiềm năng sẽ được cách ly với mạng và hạ tầng bên trong.
Hình 2. Cách ly ở cấp độ mạng
Việc tách biệt này được thực hiện thông qua một máy ảo với Linux được gia cố đối với các trình khách VPN và thực hiện một đường hầm VPN qua mạng nội bộ bằng giao thức IPsec đến cổng Web. Cổng Web sau đó chuyển các yêu cầu đã được giải mã đến Internet. Tất cả dữ liệu truyền từ Internet đến trình duyệt cũng đi theo cùng cách thức như trên.
Điều này có nghĩa việc tấn công lên các bộ định tuyến và bộ chuyển mạch của mạng nội bộ sẽ là không thể, vì tất cả các dữ liệu được tạo ra bởi trình duyệt trong mạng đã được đóng gói và mã hóa trong các gói VPN để ngăn chặn việc bị phân tích nội dung. Điều này giúp tách biệt hiệu quả trình duyệt với máy tính và mạng nội bộ với Internet.
Tầng ảo hóa có thể theo dõi tất cả các phần cứng ảo, cho phép ghi nhật ký và xác định trạng thái của máy ảo (ổ cứng và nội dung bộ nhớ). Cơ chế “snapshot” này có thể được sử dụng để xác định trạng thái khởi động rõ ràng cho trình duyệt. Nếu trình duyệt bị nhiễm phần mềm độc hại trong phiên kết nối Internet, nó có thể được thiết lập lại về trạng thái bắt đầu. Điều này có thể được thực hiện dễ dàng bằng cách khởi động lại trình duyệt. Việc khôi phục hoàn toàn một máy tính hay máy chủ đầu cuối được thay thế bằng một khởi động lại đơn giản của trình duyệt ảo hóa.
Tất cả các tiến trình làm việc trên Windows đều hoạt động như bình thường và các ứng dụng như Word hoặc Excel có thể được sử dụng theo cách quen thuộc. Nhấp vào biểu tượng BitBox trên máy tính để bàn sẽ khởi chạy trình duyệt Web dưới hình thức một máy tính ảo độc lập.
Kịch bản thử nghiệm được thiết lập dựa trên việc lừa người dùng cài đặt tiện ích mở rộng Firefox giả mạo qua Internet để có thể thiết lập một phiên trên máy tính người dùng. Đầu tiên, khởi tạo tệp .xpi dưới dạng tiện ích mở rộng của Firefox bằng môđun Metasploit firefox xpi bootstrapping_addon và được hiển thị khi truy cập một trang web với liên kết độc hại. Khi người dùng truy cập trang, trình duyệt Firefox của nạn nhân sẽ hỏi liệu nạn nhân có tin tưởng và muốn cài đặt tiện ích mở rộng không. Nếu người dùng nhấp vào “cài đặt”, mã khai thác trong tiện ích mở rộng độc hại sẽ được thực thi với sự cho phép của người dùng.
Hệ thống thử nghiệm gồm 3 máy tính như Hình 3: máy tấn công (KaliLinux, IP: 192.168.0.108), máy nạn nhân 1 (Win 7 64 bit, IP: 192.168.0.101, Firefox 52.3.0 32bit) và máy nạn nhân 2 (Win 10 64 bit, IP: 192.168.0.105, Firefox 52.3.0 (32 bit) chạy trên Bitbox) (tải về tại đường dẫn https://ftp. mozilla.org/pub/firefox/releases/52.3.0esr/, phiên bản Firefox 52.3.0 esr).
Hình 3. Mô hình thử nghiệm sử dụng BitBox
Tại máy nạn nhân 1, khi người dùng sử dụng trình duyệt web truy cập vào đường dẫn chứa mã độc (http://192.168.0.108/fakeEx), một yêu cầu cài đặt tiện ích mở rộng xuất hiện, nếu người dùng bấm nút chọn "Cài đặt ngay" (Hình 4), addon.xpi sẽ được cài đặt và phiên khai thác trái phép sẽ được khởi tạo.
Hình 4. Yêu cài cài đặt tiện ích mở rộng trên máy nạn nhân 1
Tại máy nạn nhân 2, nếu người dùng chọn "Cài đặt ngay" tiện ích mở rộng addon.xpi khi truy cập vào đường dẫn chứa mã độc, phiên khai thác sẽ được khởi tạo. Khi đó, trên máy tấn công hiển thị thông tin về việc hai phiên khai thác đã được khởi tạo (Hình 5).
Hình 5. Phiên khai thác được khởi tạo
Lúc này, kẻ tấn công có thể thực hiện truy cập phiên và truy xuất, sao chép, xem tệp “vn.txt” trong thư mục người dùng (C:\Users\vn.txt) trên máy nạn nhân 1 (Hình 6).
Hình 6. Truy xuất thư mục người dùng trên máy nạn nhân 1
Tuy nhiên, đối với máy nạn nhân 2 sử dụng Bitbox, kẻ tấn công chỉ có thể kết nối phiên và truy xuất thông tin của máy ảo chứa trình duyệt (Hình 7).
Hình 7. Truy xuất vào máy nạn nhân 2 sử dụng BitBox
Kết luận
Giải pháp Brower in the Box của hãng R&S được thiết kế dựa trên nguyên tắc “an toàn nhờ thiết kế”. BitBox đã được triển khai trong một số cơ quan thuộc chính phủ Đức, trong đó có lực lượng cảnh sát của bang Baden-Wurttemberg, theo đó các nhân viên trong các đồn cảnh sát sử dụng BitBox điều tra, tra cứu thông tin trên Internet mà trong đó có thể có các trang web không đáng tin cậy. Điều này có nghĩa là họ có thể sử dụng Internet mà không phải lo lắng.
Trần Nhật Long, Phạm Văn Lực (Viện Khoa học - Công nghệ mật mã)
09:00 | 24/08/2018
08:00 | 03/09/2019
08:00 | 02/01/2020
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
13:00 | 26/02/2024
Operation Triangulation là một chiến dịch phức tạp nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Tạp chí An toàn thông tin đã từng cung cấp một số bài viết liên quan đến chiến dịch này, như giải mã tính năng che giấu của phần mềm độc hại TriangleDB, những cuộc tấn công zero-day trên thiết bị iOS hay giới thiệu cách sử dụng công cụ bảo mật phát hiện tấn công zero-click. Tiếp nối chuỗi bài viết về chiến dịch Operation Triangulation, bài viết sẽ phân tích các phương thức khai thác, tấn công chính của tin tặc trong chuỗi tấn công này, dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 15/09/2023
Thư rác hay email spam là một vấn nạn lớn hiện nay, chúng đã xuất hiện từ rất lâu cùng với sự phát triển của Internet và không chỉ gây phiền nhiễu, tốn thời gian mà còn có thể chứa một số nội dung nguy hiểm. Ước tính có tới 94% phần mềm độc hại được phân phối dưới dạng email spam, một số nguy cơ tiềm ẩn khác bao gồm phần mềm gián điệp, lừa đảo và mã độc tống tiền. Trong bài viết này sẽ thông tin đến bạn đọc cách nhận biết thư rác và ngăn chặn thư rác không mong muốn.
10:00 | 25/04/2023
HTTP và HTTPS là những giao thức ứng dụng có lịch sử lâu đời của bộ giao thức TCP/IP, thực hiện truyền tải siêu văn bản, được sử dụng chính trên nền tảng mạng lưới toàn cầu (World Wide Web) của Internet. Những năm gần đây, Google đã nghiên cứu thử nghiệm một giao thức mạng mới trong giao thức HTTP phiên bản 3 đặt tên là QUIC, với mục tiêu sẽ dần thay thế TCP và TLS trên web. Bài báo này giới thiệu về giao thức QUIC với các cải tiến trong thiết kế để tăng tốc lưu lượng cũng như làm cho giao thức HTTP có độ bảo mật tốt hơn.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Có một số phương pháp để xác định mức độ an toàn của các hệ mật sử dụng độ dài khóa mã (key length) tham chiếu làm thông số để đo độ mật trong cả hệ mật đối xứng và bất đối xứng. Trong bài báo này, nhóm tác giả tổng hợp một số phương pháp xác định độ an toàn của hệ mật khóa công khai RSA, dựa trên cơ sở các thuật toán thực thi phân tích thừa số của số nguyên modulo N liên quan đến sức mạnh tính toán (mật độ tích hợp Transistor theo luật Moore và năng lực tính toán lượng tử) cần thiết để phá vỡ một bản mã (các số nguyên lớn) được mã hóa bởi khóa riêng có độ dài bit cho trước. Mối quan hệ này giúp ước lượng độ an toàn của hệ mật RSA theo độ dài khóa mã trước các viễn cảnh tấn công khác nhau.
08:00 | 04/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
19:00 | 30/04/2024
