Việc truy cập đến các trang web trở thành một hoạt động không thể thiếu của người dùng khi truy cập trên Internet hiện nay. Tuy nhiên, quá trình này phải đối mặt với những mối nguy hiểm không ngừng gia tăng từ những cuộc tấn công mạng. Nguyên nhân là do các giao diện lập trình JavaScript, Java, ActiveX, Flash... cho phép truy cập vào máy tính của người dùng, bao gồm hệ thống tệp và hệ điều hành. Cụ thể, mã chương trình của bên thứ ba có thể chạy trực tiếp trên máy tính, giữa hệ điều hành và cơ sở hạ tầng dữ liệu của chính nó. Do đó, các phần mềm độc hại có thể được thực thi khi trang web có chứa nội dung động được mở mà không có bất kỳ tương tác người dùng nào. Điều này có nghĩa chỉ cần truy cập đến các trang web, người dùng có nguy cơ bị nhiễm phần mềm độc hại.
Đối với việc sử dụng Internet cụ thể trong từng cơ quan/doanh nghiệp, có thể hạn chế các mối đe dọa bằng các giải pháp như sau:
Chỉ sử dụng máy tính chuyên dụng để truy cập Internet. Các máy tính này không được kết nối với mạng nội bộ và được tách biệt khỏi hệ thống mạng. Tuy nhiên, Internet hiện nay là một phần không thể thiếu trong công việc hàng ngày dẫn đến đây không phải là phương pháp khả thi.
Truy cập Internet với chức năng giới hạn. Điều này có nghĩa là vô hiệu hóa các nội dung động (dynamic content). Tuy nhiên, hạn chế của giải pháp này là phần lớn các trang web không thể duyệt nội dung.
Thực thi trình duyệt web trên một máy chủ đầu cuối. Có nghĩa, truy cập trên máy tính thông qua Desktop Viewer. Nhược điểm của giải pháp này nằm ở chỗ việc khôi phục phức tạp của máy chủ bị ảnh hưởng sau khi bị nhiễm phần mềm độc hại. Không phải lúc nào cũng xác định được trạng thái máy chủ đầu cuối thực sự cần được khôi phục. Ngoài ra, việc sử dụng nhiều băng thông mạng có sẵn cũng là một yếu tố tác động bất lợi đến việc mở rộng quy mô với số lượng lớn người dùng.
Bảo vệ Internet bằng một máy chủ proxy/tường lửa trong khu vực DMZ của công ty. Tính hiệu quả của giải pháp bảo vệ này phụ thuộc vào khả năng phát hiện phần mềm độc hại của proxy/tường lửa. Nó chỉ hiệu quả đối với phần mềm độc hại đã được biết đến nhưng hạn chế đối với các mối nguy hiểm mới. Việc lọc nội dung động phải cân bằng giữa khả năng sử dụng và tính an toàn.
Tất cả các giải pháp này đều có giá trị riêng, nhưng hạn chế khả năng truy cập các nội dung động của người dùng. Hơn nữa, những cách tiếp cận này không cung cấp một giải pháp cho vấn đề cơ bản của bảo vệ chống lại các cuộc tấn công chưa biết. Điểm mấu chốt là cần có một cơ sở mới đảm bảo an toàn mạng một cách phù hợp.
Phương pháp tiếp cận "an toàn bởi thiết kế" được triển khai trong Brower in the Box (BitBox) đã giải quyết được vấn đề trên. Nguyên tắc cơ bản ở đây là hệ điều hành và trình duyệt hoàn toàn tách biệt với nhau. Trình duyệt được gói gọn trong một máy ảo. Điều này làm cho phần mềm độc hại tách biệt máy tính, cấu trúc dữ liệu của người dùng và mạng lưới công ty. Không giống như hộp cát (sandbox) hay các giải pháp khác, BitBox không có vùng bộ nhớ hay các lệnh trong nhân được chia sẻ. Do đó, tất cả các khía cạnh của một trang web, bao gồm hình ảnh, biểu ngữ quảng cáo, văn bản và video, được chạy trong một môi trường biệt lập mà không làm suy yếu hệ điều hành hoặc các tệp tin.
Bảo vệ chủ động: Trojan, Ransomware, các tấn công APT và khai thác lỗ hổng zero-day sẽ không còn hiệu quả với giải pháp hai trình duyệt. Nhờ công nghệ ảo hóa, ngay cả trong trường hợp trình duyệt bị nhiễm phần mềm độc hại, các khu vực quan trọng của hệ thống như tệp người dùng hoặc cơ sở hạ tầng của công ty cũng không thể bị xâm phạm.
Cài đặt và quản trị đơn giản: Hệ thống quản trị riêng, trình quản lý đối tượng tin cậy R&S cho phép quản trị tập trung trong kiến trúc công nghệ có sẵn. Nó có thể liên kết với dịch vụ Windows Active Directory và qua đó đến người dùng trong mạng. Điều đó cho phép triển khai BitBox trên các máy tính của nhân viên và cho toàn bộ các nhóm người dùng, cũng như cấp phát các quyền riêng lẻ.
Phân tách mạng nội bộ/Internet ở cấp độ mạng: Với mạng riêng ảo (Virtual Private Network - VPN) tin cậy và cổng Web an toàn của hãng R&S, Internet và mạng nội bộ được cách ly lẫn nhau không chỉ ở cấp độ máy tính mà còn ở cấp độ mạng.
An toàn lướt mạng trên các hotspot và trên các WLAN khi làm việc tại nhà: Với BitBox có kích hoạt chế độ hotspot trong các quyền, máy tính được bảo vệ hiệu quả trước các tấn công xen giữa trên các mạng WLAN công cộng. Người dùng cũng có thể lướt web an toàn trên các mạng WLAN riêng khi làm việc tại nhà.
Thực hiện thống nhất các lệnh phù hợp: Với BitBox, việc lọc truy vấn bằng giải pháp tường lửa kết hợp máy chủ proxy không còn cần thiết. Bởi nó đảm bảo an toàn với tất cả các dạng lưu lượng truy cập Internet cá nhân.
Thuận tiện hơn cho người sử dụng: BitBox cho phép plugin, in dấu trang, tải xuống hoặc tải lên các tệp, cấu hình trình duyệt (dấu trang, plugin, cài đặt proxy,...) được lưu trong không gian người dùng và không được thiết lập lại khi khởi động lại.
Khái niệm an toàn của BitBox bao gồm ba lớp tách biệt: Lớp đầu tiên là Linux được gia cố với danh sách trắng AppArmor; Lớp thứ hai là thành phần ảo hóa hoàn toàn với phần mềm mã nguồn mở VirtualBox; Lớp thứ ba là không gian người dùng Windows, không gian này được giới hạn, không tương tác và riêng biệt.
Hình 1. Cách ly ở cấp độ máy tính
Hệ điều hành Linux được gia cố là một hệ điều hành đã tối giản trong đó chỉ có trình duyệt mà không có ứng dụng nào khác. Nhân hệ điều hành được gia cố với danh sách trắng AppArmor. Ở cấp độ tiến trình, AppArmor được sử dụng để xác định các truy cập được cho phép bên trong hệ điều hành Linux ảo. Nếu một ứng dụng trong trình duyệt thực thi một tác vụ không được phép, ví dụ như ứng dụng này đã bị kẻ tấn công thay đổi, tiến trình sẽ từ chối truy cập đến tác vụ này. Khác với các giải pháp khác, bộ nhớ và nhân sử dụng bởi BitBox không được chia sẻ với hệ thống chủ Windows. Việc sử dụng Linux càng làm cho việc tấn công khó hơn do tấn công phải được thiết kế nhắm mục tiêu đến cả Linux và Windows. Điều đó làm tăng đáng kể nỗ lực của những kẻ tấn công, do đó làm giảm khả năng bị tấn công.
Như đã đề cập trước đây, phân tách và đưa vào danh sách trắng như các chiến lược bảo mật chủ động có lợi ích rất rõ ràng với BitBox nhờ các lớp cách ly khác nhau. Thay vì dùng một máy tính khác để vào mạng Internet, một máy ảo sẽ được tạo ra trên máy tính thông thường. Các ứng dụng của người dùng chạy trực tiếp trên hệ điều hành, trong khi trình duyệt chạy trên một máy ảo trong môi trường Linux đã gia cố. Các thành phần này không truy cập được vào phần cứng hay hệ điều hành chủ Windows, mà chỉ vào phần cứng ảo hoạt động như là một tường lửa. Phần mềm độc hại từ các trang web không an toàn sẽ chỉ ở trong môi trường này và không thể lây lan sang máy tính cũng như mạng LAN nội bộ.
Trong bước đầu tiên, ảo hóa phân tách trình duyệt khỏi phần còn lại của máy tính. Nếu yêu cầu mức độ bảo mật cao hơn, các tổ chức/doanh nghiệp có thể sử dụng BitBox để phân tách Internet khỏi mạng nội bộ của công ty. Với thành phần bảo mật được bổ sung này, phần mềm độc hại tiềm năng sẽ được cách ly với mạng và hạ tầng bên trong.
Hình 2. Cách ly ở cấp độ mạng
Việc tách biệt này được thực hiện thông qua một máy ảo với Linux được gia cố đối với các trình khách VPN và thực hiện một đường hầm VPN qua mạng nội bộ bằng giao thức IPsec đến cổng Web. Cổng Web sau đó chuyển các yêu cầu đã được giải mã đến Internet. Tất cả dữ liệu truyền từ Internet đến trình duyệt cũng đi theo cùng cách thức như trên.
Điều này có nghĩa việc tấn công lên các bộ định tuyến và bộ chuyển mạch của mạng nội bộ sẽ là không thể, vì tất cả các dữ liệu được tạo ra bởi trình duyệt trong mạng đã được đóng gói và mã hóa trong các gói VPN để ngăn chặn việc bị phân tích nội dung. Điều này giúp tách biệt hiệu quả trình duyệt với máy tính và mạng nội bộ với Internet.
Tầng ảo hóa có thể theo dõi tất cả các phần cứng ảo, cho phép ghi nhật ký và xác định trạng thái của máy ảo (ổ cứng và nội dung bộ nhớ). Cơ chế “snapshot” này có thể được sử dụng để xác định trạng thái khởi động rõ ràng cho trình duyệt. Nếu trình duyệt bị nhiễm phần mềm độc hại trong phiên kết nối Internet, nó có thể được thiết lập lại về trạng thái bắt đầu. Điều này có thể được thực hiện dễ dàng bằng cách khởi động lại trình duyệt. Việc khôi phục hoàn toàn một máy tính hay máy chủ đầu cuối được thay thế bằng một khởi động lại đơn giản của trình duyệt ảo hóa.
Tất cả các tiến trình làm việc trên Windows đều hoạt động như bình thường và các ứng dụng như Word hoặc Excel có thể được sử dụng theo cách quen thuộc. Nhấp vào biểu tượng BitBox trên máy tính để bàn sẽ khởi chạy trình duyệt Web dưới hình thức một máy tính ảo độc lập.
Kịch bản thử nghiệm được thiết lập dựa trên việc lừa người dùng cài đặt tiện ích mở rộng Firefox giả mạo qua Internet để có thể thiết lập một phiên trên máy tính người dùng. Đầu tiên, khởi tạo tệp .xpi dưới dạng tiện ích mở rộng của Firefox bằng môđun Metasploit firefox xpi bootstrapping_addon và được hiển thị khi truy cập một trang web với liên kết độc hại. Khi người dùng truy cập trang, trình duyệt Firefox của nạn nhân sẽ hỏi liệu nạn nhân có tin tưởng và muốn cài đặt tiện ích mở rộng không. Nếu người dùng nhấp vào “cài đặt”, mã khai thác trong tiện ích mở rộng độc hại sẽ được thực thi với sự cho phép của người dùng.
Hệ thống thử nghiệm gồm 3 máy tính như Hình 3: máy tấn công (KaliLinux, IP: 192.168.0.108), máy nạn nhân 1 (Win 7 64 bit, IP: 192.168.0.101, Firefox 52.3.0 32bit) và máy nạn nhân 2 (Win 10 64 bit, IP: 192.168.0.105, Firefox 52.3.0 (32 bit) chạy trên Bitbox) (tải về tại đường dẫn https://ftp. mozilla.org/pub/firefox/releases/52.3.0esr/, phiên bản Firefox 52.3.0 esr).
Hình 3. Mô hình thử nghiệm sử dụng BitBox
Tại máy nạn nhân 1, khi người dùng sử dụng trình duyệt web truy cập vào đường dẫn chứa mã độc (http://192.168.0.108/fakeEx), một yêu cầu cài đặt tiện ích mở rộng xuất hiện, nếu người dùng bấm nút chọn "Cài đặt ngay" (Hình 4), addon.xpi sẽ được cài đặt và phiên khai thác trái phép sẽ được khởi tạo.
Hình 4. Yêu cài cài đặt tiện ích mở rộng trên máy nạn nhân 1
Tại máy nạn nhân 2, nếu người dùng chọn "Cài đặt ngay" tiện ích mở rộng addon.xpi khi truy cập vào đường dẫn chứa mã độc, phiên khai thác sẽ được khởi tạo. Khi đó, trên máy tấn công hiển thị thông tin về việc hai phiên khai thác đã được khởi tạo (Hình 5).
Hình 5. Phiên khai thác được khởi tạo
Lúc này, kẻ tấn công có thể thực hiện truy cập phiên và truy xuất, sao chép, xem tệp “vn.txt” trong thư mục người dùng (C:\Users\vn.txt) trên máy nạn nhân 1 (Hình 6).
Hình 6. Truy xuất thư mục người dùng trên máy nạn nhân 1
Tuy nhiên, đối với máy nạn nhân 2 sử dụng Bitbox, kẻ tấn công chỉ có thể kết nối phiên và truy xuất thông tin của máy ảo chứa trình duyệt (Hình 7).
Hình 7. Truy xuất vào máy nạn nhân 2 sử dụng BitBox
Kết luận
Giải pháp Brower in the Box của hãng R&S được thiết kế dựa trên nguyên tắc “an toàn nhờ thiết kế”. BitBox đã được triển khai trong một số cơ quan thuộc chính phủ Đức, trong đó có lực lượng cảnh sát của bang Baden-Wurttemberg, theo đó các nhân viên trong các đồn cảnh sát sử dụng BitBox điều tra, tra cứu thông tin trên Internet mà trong đó có thể có các trang web không đáng tin cậy. Điều này có nghĩa là họ có thể sử dụng Internet mà không phải lo lắng.
Trần Nhật Long, Phạm Văn Lực (Viện Khoa học - Công nghệ mật mã)
09:00 | 24/08/2018
08:00 | 03/09/2019
08:00 | 02/01/2020
18:00 | 22/09/2023
Do lưu giữ những thông tin quan trọng nên cơ sở dữ liệu thường nằm trong tầm ngắm của nhiều tin tặc. Ngày nay, các cuộc tấn công liên quan đến cơ sở dữ liệu để đánh cắp hay sửa đổi thông tin càng trở nên khó lường và tinh vi hơn, vì vậy việc quản lý cơ sở dữ liệu đặt ra những yêu cầu mới với các tổ chức, doanh nghiệp. Trong hệ thống phân tán, khi dữ liệu được phân mảnh và phân phối trên các vị trí khác nhau có thể dẫn đến khả năng mất toàn vẹn của dữ liệu. Thông qua sử dụng cây Merkle và công nghệ Blockchain ta có thể xác minh tính toàn vẹn của dữ liệu. Trong bài viết này, nhóm tác giả sẽ trình bày các nghiên cứu về ứng dụng cây Merkle và công nghệ Blockchain để bảo đảm tính toàn vẹn dữ liệu cho cơ sở dữ liệu phân tán, đồng thời đảm bảo hiệu năng của hệ thống.
14:00 | 14/08/2023
Xu hướng số hóa đã mang lại nhiều lợi ích cho ngành công nghiệp sản xuất, nhưng nó cũng bộc lộ những lỗ hổng trong hệ thống công nghệ vận hành (Operational Technology - OT) được sử dụng trong những môi trường này. Khi ngày càng có nhiều hệ thống điều khiển công nghiệp (Industrial Control System - ICS) được kết nối với Internet, nguy cơ tấn công mạng nhằm vào các hệ thống này sẽ càng tăng lên. Nếu các hệ thống này bị xâm phạm, nó có thể dẫn đến những hậu quả nghiêm trọng, chẳng hạn như ảnh hưởng sản xuất, bị mất cắp dữ liệu, hư hỏng vật chất đối với thiết bị, nguy hiểm cho môi trường làm việc và thậm chí gây hại đến tính mạng con người. Chính vì vậy, việc đưa ra các lưu ý giúp tăng cường bảo mật OT trong môi trường công nghiệp sản xuất trở nên vô cùng quan trọng.
09:00 | 05/06/2023
Tấn công tiêm lỗi (Fault Injection Attack - FIA) là loại tấn công chủ động, giúp tin tặc xâm nhập vào các thiết bị điện tử, mạch tích hợp cũng như các thiết bị mật mã nhằm thu được khóa bí mật và đánh cắp thông tin. Tiêm lỗi có thể được thực hiện trong cả phần cứng và phần mềm. Bài báo này nhóm tác giả sẽ trình bày về các kỹ thuật, công cụ được thực hiện trong FIA.
10:00 | 15/02/2023
Phần mềm diệt virus (antivirus) là một trong những giải pháp bảo mật được sử dụng phổ biến, nhằm ngăn chặn tin tặc xâm nhập vào hệ thống. Tuy nhiên, hiện nay tin tặc đã phát triển các kỹ thuật để qua mặt các giải pháp antivirus và giành quyền truy cập vào các hệ thống được bảo vệ. Những kỹ thuật này được sử dụng trong các công cụ lẩn tránh giải pháp antivirus sẵn có dưới dạng công cụ mã nguồn mở mà tin tặc có thể dễ dàng sở hữu và sử dụng để xâm nhập hệ thống máy tính có trang bị chương trình antivirus.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Bằng chứng không tiết lộ tri thức (Zero-Knowledge Proofs - ZKP) là một dạng kỹ thuật mật mã được công bố từ thập niên 90 của thế kỷ trước, công nghệ mật mã này cho phép xác minh tính xác thực của một phần thông tin mà không tiết lộ chính thông tin đó. Tuy nhiên, trong những năm gần đây ZKP mới được đưa vào ứng dụng nhiều trong hệ thống công nghệ thông tin. Bài viết này sẽ trình bày chi tiết về khái niệm, tính chất, cách thức phân loại và một số ứng dụng phổ biến của ZKP trong an toàn thông tin.
09:00 | 24/11/2023
Dựa trên công bố của công ty quản lý định danh và truy cập Okta (Mỹ) vào ngày 20/10/2023 liên quan đến một vi phạm bảo mật gần đây, các nhà nghiên cứu đã xác định rằng các tác nhân đe dọa đã giành được quyền truy cập thành công vào hệ thống hỗ trợ khách hàng của Okta, kẻ tấn công có thể xem các tệp tải lên (upload) liên quan đến các trường hợp hỗ trợ mới bằng mã thông báo phiên hợp lệ, các tác nhân đe dọa sau đó đã có được quyền truy cập vào hệ thống của khách hàng. Trong bài viết này sẽ mô tả tác động của các hành vi vi phạm của nhà cung cấp danh tính (IdP) và cách các tổ chức có thể tự chủ động bảo vệ mình trước các cuộc tấn công này.
16:00 | 14/11/2023
