Việc truy cập đến các trang web trở thành một hoạt động không thể thiếu của người dùng khi truy cập trên Internet hiện nay. Tuy nhiên, quá trình này phải đối mặt với những mối nguy hiểm không ngừng gia tăng từ những cuộc tấn công mạng. Nguyên nhân là do các giao diện lập trình JavaScript, Java, ActiveX, Flash... cho phép truy cập vào máy tính của người dùng, bao gồm hệ thống tệp và hệ điều hành. Cụ thể, mã chương trình của bên thứ ba có thể chạy trực tiếp trên máy tính, giữa hệ điều hành và cơ sở hạ tầng dữ liệu của chính nó. Do đó, các phần mềm độc hại có thể được thực thi khi trang web có chứa nội dung động được mở mà không có bất kỳ tương tác người dùng nào. Điều này có nghĩa chỉ cần truy cập đến các trang web, người dùng có nguy cơ bị nhiễm phần mềm độc hại.
Đối với việc sử dụng Internet cụ thể trong từng cơ quan/doanh nghiệp, có thể hạn chế các mối đe dọa bằng các giải pháp như sau:
Chỉ sử dụng máy tính chuyên dụng để truy cập Internet. Các máy tính này không được kết nối với mạng nội bộ và được tách biệt khỏi hệ thống mạng. Tuy nhiên, Internet hiện nay là một phần không thể thiếu trong công việc hàng ngày dẫn đến đây không phải là phương pháp khả thi.
Truy cập Internet với chức năng giới hạn. Điều này có nghĩa là vô hiệu hóa các nội dung động (dynamic content). Tuy nhiên, hạn chế của giải pháp này là phần lớn các trang web không thể duyệt nội dung.
Thực thi trình duyệt web trên một máy chủ đầu cuối. Có nghĩa, truy cập trên máy tính thông qua Desktop Viewer. Nhược điểm của giải pháp này nằm ở chỗ việc khôi phục phức tạp của máy chủ bị ảnh hưởng sau khi bị nhiễm phần mềm độc hại. Không phải lúc nào cũng xác định được trạng thái máy chủ đầu cuối thực sự cần được khôi phục. Ngoài ra, việc sử dụng nhiều băng thông mạng có sẵn cũng là một yếu tố tác động bất lợi đến việc mở rộng quy mô với số lượng lớn người dùng.
Bảo vệ Internet bằng một máy chủ proxy/tường lửa trong khu vực DMZ của công ty. Tính hiệu quả của giải pháp bảo vệ này phụ thuộc vào khả năng phát hiện phần mềm độc hại của proxy/tường lửa. Nó chỉ hiệu quả đối với phần mềm độc hại đã được biết đến nhưng hạn chế đối với các mối nguy hiểm mới. Việc lọc nội dung động phải cân bằng giữa khả năng sử dụng và tính an toàn.
Tất cả các giải pháp này đều có giá trị riêng, nhưng hạn chế khả năng truy cập các nội dung động của người dùng. Hơn nữa, những cách tiếp cận này không cung cấp một giải pháp cho vấn đề cơ bản của bảo vệ chống lại các cuộc tấn công chưa biết. Điểm mấu chốt là cần có một cơ sở mới đảm bảo an toàn mạng một cách phù hợp.
Phương pháp tiếp cận "an toàn bởi thiết kế" được triển khai trong Brower in the Box (BitBox) đã giải quyết được vấn đề trên. Nguyên tắc cơ bản ở đây là hệ điều hành và trình duyệt hoàn toàn tách biệt với nhau. Trình duyệt được gói gọn trong một máy ảo. Điều này làm cho phần mềm độc hại tách biệt máy tính, cấu trúc dữ liệu của người dùng và mạng lưới công ty. Không giống như hộp cát (sandbox) hay các giải pháp khác, BitBox không có vùng bộ nhớ hay các lệnh trong nhân được chia sẻ. Do đó, tất cả các khía cạnh của một trang web, bao gồm hình ảnh, biểu ngữ quảng cáo, văn bản và video, được chạy trong một môi trường biệt lập mà không làm suy yếu hệ điều hành hoặc các tệp tin.
Bảo vệ chủ động: Trojan, Ransomware, các tấn công APT và khai thác lỗ hổng zero-day sẽ không còn hiệu quả với giải pháp hai trình duyệt. Nhờ công nghệ ảo hóa, ngay cả trong trường hợp trình duyệt bị nhiễm phần mềm độc hại, các khu vực quan trọng của hệ thống như tệp người dùng hoặc cơ sở hạ tầng của công ty cũng không thể bị xâm phạm.
Cài đặt và quản trị đơn giản: Hệ thống quản trị riêng, trình quản lý đối tượng tin cậy R&S cho phép quản trị tập trung trong kiến trúc công nghệ có sẵn. Nó có thể liên kết với dịch vụ Windows Active Directory và qua đó đến người dùng trong mạng. Điều đó cho phép triển khai BitBox trên các máy tính của nhân viên và cho toàn bộ các nhóm người dùng, cũng như cấp phát các quyền riêng lẻ.
Phân tách mạng nội bộ/Internet ở cấp độ mạng: Với mạng riêng ảo (Virtual Private Network - VPN) tin cậy và cổng Web an toàn của hãng R&S, Internet và mạng nội bộ được cách ly lẫn nhau không chỉ ở cấp độ máy tính mà còn ở cấp độ mạng.
An toàn lướt mạng trên các hotspot và trên các WLAN khi làm việc tại nhà: Với BitBox có kích hoạt chế độ hotspot trong các quyền, máy tính được bảo vệ hiệu quả trước các tấn công xen giữa trên các mạng WLAN công cộng. Người dùng cũng có thể lướt web an toàn trên các mạng WLAN riêng khi làm việc tại nhà.
Thực hiện thống nhất các lệnh phù hợp: Với BitBox, việc lọc truy vấn bằng giải pháp tường lửa kết hợp máy chủ proxy không còn cần thiết. Bởi nó đảm bảo an toàn với tất cả các dạng lưu lượng truy cập Internet cá nhân.
Thuận tiện hơn cho người sử dụng: BitBox cho phép plugin, in dấu trang, tải xuống hoặc tải lên các tệp, cấu hình trình duyệt (dấu trang, plugin, cài đặt proxy,...) được lưu trong không gian người dùng và không được thiết lập lại khi khởi động lại.
Khái niệm an toàn của BitBox bao gồm ba lớp tách biệt: Lớp đầu tiên là Linux được gia cố với danh sách trắng AppArmor; Lớp thứ hai là thành phần ảo hóa hoàn toàn với phần mềm mã nguồn mở VirtualBox; Lớp thứ ba là không gian người dùng Windows, không gian này được giới hạn, không tương tác và riêng biệt.
Hình 1. Cách ly ở cấp độ máy tính
Hệ điều hành Linux được gia cố là một hệ điều hành đã tối giản trong đó chỉ có trình duyệt mà không có ứng dụng nào khác. Nhân hệ điều hành được gia cố với danh sách trắng AppArmor. Ở cấp độ tiến trình, AppArmor được sử dụng để xác định các truy cập được cho phép bên trong hệ điều hành Linux ảo. Nếu một ứng dụng trong trình duyệt thực thi một tác vụ không được phép, ví dụ như ứng dụng này đã bị kẻ tấn công thay đổi, tiến trình sẽ từ chối truy cập đến tác vụ này. Khác với các giải pháp khác, bộ nhớ và nhân sử dụng bởi BitBox không được chia sẻ với hệ thống chủ Windows. Việc sử dụng Linux càng làm cho việc tấn công khó hơn do tấn công phải được thiết kế nhắm mục tiêu đến cả Linux và Windows. Điều đó làm tăng đáng kể nỗ lực của những kẻ tấn công, do đó làm giảm khả năng bị tấn công.
Như đã đề cập trước đây, phân tách và đưa vào danh sách trắng như các chiến lược bảo mật chủ động có lợi ích rất rõ ràng với BitBox nhờ các lớp cách ly khác nhau. Thay vì dùng một máy tính khác để vào mạng Internet, một máy ảo sẽ được tạo ra trên máy tính thông thường. Các ứng dụng của người dùng chạy trực tiếp trên hệ điều hành, trong khi trình duyệt chạy trên một máy ảo trong môi trường Linux đã gia cố. Các thành phần này không truy cập được vào phần cứng hay hệ điều hành chủ Windows, mà chỉ vào phần cứng ảo hoạt động như là một tường lửa. Phần mềm độc hại từ các trang web không an toàn sẽ chỉ ở trong môi trường này và không thể lây lan sang máy tính cũng như mạng LAN nội bộ.
Trong bước đầu tiên, ảo hóa phân tách trình duyệt khỏi phần còn lại của máy tính. Nếu yêu cầu mức độ bảo mật cao hơn, các tổ chức/doanh nghiệp có thể sử dụng BitBox để phân tách Internet khỏi mạng nội bộ của công ty. Với thành phần bảo mật được bổ sung này, phần mềm độc hại tiềm năng sẽ được cách ly với mạng và hạ tầng bên trong.
Hình 2. Cách ly ở cấp độ mạng
Việc tách biệt này được thực hiện thông qua một máy ảo với Linux được gia cố đối với các trình khách VPN và thực hiện một đường hầm VPN qua mạng nội bộ bằng giao thức IPsec đến cổng Web. Cổng Web sau đó chuyển các yêu cầu đã được giải mã đến Internet. Tất cả dữ liệu truyền từ Internet đến trình duyệt cũng đi theo cùng cách thức như trên.
Điều này có nghĩa việc tấn công lên các bộ định tuyến và bộ chuyển mạch của mạng nội bộ sẽ là không thể, vì tất cả các dữ liệu được tạo ra bởi trình duyệt trong mạng đã được đóng gói và mã hóa trong các gói VPN để ngăn chặn việc bị phân tích nội dung. Điều này giúp tách biệt hiệu quả trình duyệt với máy tính và mạng nội bộ với Internet.
Tầng ảo hóa có thể theo dõi tất cả các phần cứng ảo, cho phép ghi nhật ký và xác định trạng thái của máy ảo (ổ cứng và nội dung bộ nhớ). Cơ chế “snapshot” này có thể được sử dụng để xác định trạng thái khởi động rõ ràng cho trình duyệt. Nếu trình duyệt bị nhiễm phần mềm độc hại trong phiên kết nối Internet, nó có thể được thiết lập lại về trạng thái bắt đầu. Điều này có thể được thực hiện dễ dàng bằng cách khởi động lại trình duyệt. Việc khôi phục hoàn toàn một máy tính hay máy chủ đầu cuối được thay thế bằng một khởi động lại đơn giản của trình duyệt ảo hóa.
Tất cả các tiến trình làm việc trên Windows đều hoạt động như bình thường và các ứng dụng như Word hoặc Excel có thể được sử dụng theo cách quen thuộc. Nhấp vào biểu tượng BitBox trên máy tính để bàn sẽ khởi chạy trình duyệt Web dưới hình thức một máy tính ảo độc lập.
Kịch bản thử nghiệm được thiết lập dựa trên việc lừa người dùng cài đặt tiện ích mở rộng Firefox giả mạo qua Internet để có thể thiết lập một phiên trên máy tính người dùng. Đầu tiên, khởi tạo tệp .xpi dưới dạng tiện ích mở rộng của Firefox bằng môđun Metasploit firefox xpi bootstrapping_addon và được hiển thị khi truy cập một trang web với liên kết độc hại. Khi người dùng truy cập trang, trình duyệt Firefox của nạn nhân sẽ hỏi liệu nạn nhân có tin tưởng và muốn cài đặt tiện ích mở rộng không. Nếu người dùng nhấp vào “cài đặt”, mã khai thác trong tiện ích mở rộng độc hại sẽ được thực thi với sự cho phép của người dùng.
Hệ thống thử nghiệm gồm 3 máy tính như Hình 3: máy tấn công (KaliLinux, IP: 192.168.0.108), máy nạn nhân 1 (Win 7 64 bit, IP: 192.168.0.101, Firefox 52.3.0 32bit) và máy nạn nhân 2 (Win 10 64 bit, IP: 192.168.0.105, Firefox 52.3.0 (32 bit) chạy trên Bitbox) (tải về tại đường dẫn https://ftp. mozilla.org/pub/firefox/releases/52.3.0esr/, phiên bản Firefox 52.3.0 esr).
Hình 3. Mô hình thử nghiệm sử dụng BitBox
Tại máy nạn nhân 1, khi người dùng sử dụng trình duyệt web truy cập vào đường dẫn chứa mã độc (http://192.168.0.108/fakeEx), một yêu cầu cài đặt tiện ích mở rộng xuất hiện, nếu người dùng bấm nút chọn "Cài đặt ngay" (Hình 4), addon.xpi sẽ được cài đặt và phiên khai thác trái phép sẽ được khởi tạo.
Hình 4. Yêu cài cài đặt tiện ích mở rộng trên máy nạn nhân 1
Tại máy nạn nhân 2, nếu người dùng chọn "Cài đặt ngay" tiện ích mở rộng addon.xpi khi truy cập vào đường dẫn chứa mã độc, phiên khai thác sẽ được khởi tạo. Khi đó, trên máy tấn công hiển thị thông tin về việc hai phiên khai thác đã được khởi tạo (Hình 5).
Hình 5. Phiên khai thác được khởi tạo
Lúc này, kẻ tấn công có thể thực hiện truy cập phiên và truy xuất, sao chép, xem tệp “vn.txt” trong thư mục người dùng (C:\Users\vn.txt) trên máy nạn nhân 1 (Hình 6).
Hình 6. Truy xuất thư mục người dùng trên máy nạn nhân 1
Tuy nhiên, đối với máy nạn nhân 2 sử dụng Bitbox, kẻ tấn công chỉ có thể kết nối phiên và truy xuất thông tin của máy ảo chứa trình duyệt (Hình 7).
Hình 7. Truy xuất vào máy nạn nhân 2 sử dụng BitBox
Kết luận
Giải pháp Brower in the Box của hãng R&S được thiết kế dựa trên nguyên tắc “an toàn nhờ thiết kế”. BitBox đã được triển khai trong một số cơ quan thuộc chính phủ Đức, trong đó có lực lượng cảnh sát của bang Baden-Wurttemberg, theo đó các nhân viên trong các đồn cảnh sát sử dụng BitBox điều tra, tra cứu thông tin trên Internet mà trong đó có thể có các trang web không đáng tin cậy. Điều này có nghĩa là họ có thể sử dụng Internet mà không phải lo lắng.
Trần Nhật Long, Phạm Văn Lực (Viện Khoa học - Công nghệ mật mã)
09:00 | 24/08/2018
08:00 | 03/09/2019
08:00 | 02/01/2020
09:00 | 01/04/2024
Trong thời đại số ngày nay, việc quản lý truy cập và chia sẻ thông tin cá nhân trên các thiết bị di động thông minh đã trở thành vấn đề đáng quan tâm đối với mọi người dùng. Việc không kiểm soát quyền truy cập và sự phổ biến của dữ liệu cá nhân có thể gây ra các rủi ro về quyền riêng tư và lạm dụng thông tin. Bài viết này sẽ giới thiệu đến độc giả về Safety Check - một tính năng mới trên iOS 16 cho phép người dùng quản lý, kiểm tra và cập nhật các quyền và thông tin được chia sẻ với người và ứng dụng khác ngay trên điện thoại của chính mình, giúp đảm bảo an toàn và bảo mật khi sử dụng ứng dụng và truy cập dữ liệu cá nhân.
10:00 | 03/10/2023
Với sự gia tăng nhanh chóng của các mối đe dọa mạng tinh vi, các tổ chức ngày nay đang phải đối mặt với những thách thức lớn trong việc ngăn chặn và giảm thiểu các cuộc tấn công mạng. Để chống lại điều này, việc chia sẻ và phân tích thông tin tình báo về mối đe dọa vì thế càng trở nên mang tính cấp thiết và quan trọng. Nền tảng chia sẻ thông tin phần mềm độc hại (MISP) chính là một khuôn khổ nổi bật nhằm tạo điều kiện trao đổi thông tin tình báo về mối đe dọa giữa các tổ chức và cộng đồng an ninh mạng. Bài viết này cung cấp đánh giá cơ bản về nền tảng MISP, thảo luận về kiến trúc, các tính năng chia sẻ mối đe dọa cũng như những triển vọng của nó trong việc thúc đẩy phòng thủ an ninh mạng chủ động.
15:00 | 04/08/2023
Trong bối cảnh sự phát triển mạnh mẽ của các công nghệ ngày càng được ứng dụng trong hoạt động sản xuất, cùng với ngành công nghiệp dần được chuyển sang tự động hóa, công nghệ thông tin (Information Technology - IT) và công nghệ vận hành (Operational Technology - OT) đang có những bước chuyển mình tích cực. Tuy nhiên, dường như các doanh nghiệp mới chỉ tập trung phát triển một trong hai nền tảng trên, mà chưa chú trọng đến kết hợp, hội tụ cùng một môi trường sản xuất công nghiệp hiện đại. Bài báo sẽ đưa ra các lợi ích của sự hội tụ của hai hệ thống IT và OT.
10:00 | 10/07/2023
Khi mạng viễn thông triển khai 5G trên toàn cầu, các nhà khai thác mạng di động ảo, nhà cung cấp dịch vụ truyền thông và các nhà cung cấp hạ tầng mạng đều đóng vai trò quan trọng trong việc thiết kế, triển khai và duy trì mạng 5G. Không giống như các thế hệ trước, nơi các nhà khai thác di động có quyền truy cập và kiểm soát trực tiếp các thành phần hệ thống, các nhà khai thác di động 5G đang dần mất toàn quyền quản lý bảo mật và quyền riêng tư.
Lược đồ chữ ký số dựa trên hàm băm là một trong những lược đồ chữ ký số kháng lượng tử đã được Viện Tiêu chuẩn và Công nghệ Quốc gia Mỹ (NIST) chuẩn hóa trong tiêu chuẩn đề cử FIPS 205 (Stateless Hash Based Digital Signature Standard) vào tháng 8/2023. Bài báo này sẽ trình bày tổng quan về sự phát triển của của lược đồ chữ ký số dựa trên hàm băm thông qua việc phân tích đặc trưng của các phiên bản điển hình của dòng lược đồ chữ ký số này.
09:00 | 01/04/2024
Hiện nay, số lượng các cuộc tấn công mạng nhắm đến hệ điều hành Linux đang ngày càng gia tăng cả về số lượng lẫn mức độ tinh vi, đặc biệt là các sự cố liên quan đến việc lộ lọt mật khẩu. Thông thường, khi tạo tài khoản mới trên Linux, người dùng có thể sử dụng những mật khẩu tùy ý, kể cả những mật khẩu yếu, điều này có thể gây ra nhiều rủi ro bảo mật tiềm ẩn trong hệ thống mạng, các tác nhân đe dọa sẽ dễ dàng tấn công và xâm phạm tài khoản hơn. Do đó, cần phải thực thi các chính sách sử dụng mật khẩu đủ mạnh để bảo vệ tài khoản người dùng tránh bị tấn công. Trong bài viết này sẽ gửi đến độc giả hướng dẫn thiết lập cấu hình mật khẩu an toàn trên Linux với nền tảng Centos 7.
10:00 | 10/04/2024