Việc truy cập đến các trang web trở thành một hoạt động không thể thiếu của người dùng khi truy cập trên Internet hiện nay. Tuy nhiên, quá trình này phải đối mặt với những mối nguy hiểm không ngừng gia tăng từ những cuộc tấn công mạng. Nguyên nhân là do các giao diện lập trình JavaScript, Java, ActiveX, Flash... cho phép truy cập vào máy tính của người dùng, bao gồm hệ thống tệp và hệ điều hành. Cụ thể, mã chương trình của bên thứ ba có thể chạy trực tiếp trên máy tính, giữa hệ điều hành và cơ sở hạ tầng dữ liệu của chính nó. Do đó, các phần mềm độc hại có thể được thực thi khi trang web có chứa nội dung động được mở mà không có bất kỳ tương tác người dùng nào. Điều này có nghĩa chỉ cần truy cập đến các trang web, người dùng có nguy cơ bị nhiễm phần mềm độc hại.
Đối với việc sử dụng Internet cụ thể trong từng cơ quan/doanh nghiệp, có thể hạn chế các mối đe dọa bằng các giải pháp như sau:
Chỉ sử dụng máy tính chuyên dụng để truy cập Internet. Các máy tính này không được kết nối với mạng nội bộ và được tách biệt khỏi hệ thống mạng. Tuy nhiên, Internet hiện nay là một phần không thể thiếu trong công việc hàng ngày dẫn đến đây không phải là phương pháp khả thi.
Truy cập Internet với chức năng giới hạn. Điều này có nghĩa là vô hiệu hóa các nội dung động (dynamic content). Tuy nhiên, hạn chế của giải pháp này là phần lớn các trang web không thể duyệt nội dung.
Thực thi trình duyệt web trên một máy chủ đầu cuối. Có nghĩa, truy cập trên máy tính thông qua Desktop Viewer. Nhược điểm của giải pháp này nằm ở chỗ việc khôi phục phức tạp của máy chủ bị ảnh hưởng sau khi bị nhiễm phần mềm độc hại. Không phải lúc nào cũng xác định được trạng thái máy chủ đầu cuối thực sự cần được khôi phục. Ngoài ra, việc sử dụng nhiều băng thông mạng có sẵn cũng là một yếu tố tác động bất lợi đến việc mở rộng quy mô với số lượng lớn người dùng.
Bảo vệ Internet bằng một máy chủ proxy/tường lửa trong khu vực DMZ của công ty. Tính hiệu quả của giải pháp bảo vệ này phụ thuộc vào khả năng phát hiện phần mềm độc hại của proxy/tường lửa. Nó chỉ hiệu quả đối với phần mềm độc hại đã được biết đến nhưng hạn chế đối với các mối nguy hiểm mới. Việc lọc nội dung động phải cân bằng giữa khả năng sử dụng và tính an toàn.
Tất cả các giải pháp này đều có giá trị riêng, nhưng hạn chế khả năng truy cập các nội dung động của người dùng. Hơn nữa, những cách tiếp cận này không cung cấp một giải pháp cho vấn đề cơ bản của bảo vệ chống lại các cuộc tấn công chưa biết. Điểm mấu chốt là cần có một cơ sở mới đảm bảo an toàn mạng một cách phù hợp.
Phương pháp tiếp cận "an toàn bởi thiết kế" được triển khai trong Brower in the Box (BitBox) đã giải quyết được vấn đề trên. Nguyên tắc cơ bản ở đây là hệ điều hành và trình duyệt hoàn toàn tách biệt với nhau. Trình duyệt được gói gọn trong một máy ảo. Điều này làm cho phần mềm độc hại tách biệt máy tính, cấu trúc dữ liệu của người dùng và mạng lưới công ty. Không giống như hộp cát (sandbox) hay các giải pháp khác, BitBox không có vùng bộ nhớ hay các lệnh trong nhân được chia sẻ. Do đó, tất cả các khía cạnh của một trang web, bao gồm hình ảnh, biểu ngữ quảng cáo, văn bản và video, được chạy trong một môi trường biệt lập mà không làm suy yếu hệ điều hành hoặc các tệp tin.
Bảo vệ chủ động: Trojan, Ransomware, các tấn công APT và khai thác lỗ hổng zero-day sẽ không còn hiệu quả với giải pháp hai trình duyệt. Nhờ công nghệ ảo hóa, ngay cả trong trường hợp trình duyệt bị nhiễm phần mềm độc hại, các khu vực quan trọng của hệ thống như tệp người dùng hoặc cơ sở hạ tầng của công ty cũng không thể bị xâm phạm.
Cài đặt và quản trị đơn giản: Hệ thống quản trị riêng, trình quản lý đối tượng tin cậy R&S cho phép quản trị tập trung trong kiến trúc công nghệ có sẵn. Nó có thể liên kết với dịch vụ Windows Active Directory và qua đó đến người dùng trong mạng. Điều đó cho phép triển khai BitBox trên các máy tính của nhân viên và cho toàn bộ các nhóm người dùng, cũng như cấp phát các quyền riêng lẻ.
Phân tách mạng nội bộ/Internet ở cấp độ mạng: Với mạng riêng ảo (Virtual Private Network - VPN) tin cậy và cổng Web an toàn của hãng R&S, Internet và mạng nội bộ được cách ly lẫn nhau không chỉ ở cấp độ máy tính mà còn ở cấp độ mạng.
An toàn lướt mạng trên các hotspot và trên các WLAN khi làm việc tại nhà: Với BitBox có kích hoạt chế độ hotspot trong các quyền, máy tính được bảo vệ hiệu quả trước các tấn công xen giữa trên các mạng WLAN công cộng. Người dùng cũng có thể lướt web an toàn trên các mạng WLAN riêng khi làm việc tại nhà.
Thực hiện thống nhất các lệnh phù hợp: Với BitBox, việc lọc truy vấn bằng giải pháp tường lửa kết hợp máy chủ proxy không còn cần thiết. Bởi nó đảm bảo an toàn với tất cả các dạng lưu lượng truy cập Internet cá nhân.
Thuận tiện hơn cho người sử dụng: BitBox cho phép plugin, in dấu trang, tải xuống hoặc tải lên các tệp, cấu hình trình duyệt (dấu trang, plugin, cài đặt proxy,...) được lưu trong không gian người dùng và không được thiết lập lại khi khởi động lại.
Khái niệm an toàn của BitBox bao gồm ba lớp tách biệt: Lớp đầu tiên là Linux được gia cố với danh sách trắng AppArmor; Lớp thứ hai là thành phần ảo hóa hoàn toàn với phần mềm mã nguồn mở VirtualBox; Lớp thứ ba là không gian người dùng Windows, không gian này được giới hạn, không tương tác và riêng biệt.
Hình 1. Cách ly ở cấp độ máy tính
Hệ điều hành Linux được gia cố là một hệ điều hành đã tối giản trong đó chỉ có trình duyệt mà không có ứng dụng nào khác. Nhân hệ điều hành được gia cố với danh sách trắng AppArmor. Ở cấp độ tiến trình, AppArmor được sử dụng để xác định các truy cập được cho phép bên trong hệ điều hành Linux ảo. Nếu một ứng dụng trong trình duyệt thực thi một tác vụ không được phép, ví dụ như ứng dụng này đã bị kẻ tấn công thay đổi, tiến trình sẽ từ chối truy cập đến tác vụ này. Khác với các giải pháp khác, bộ nhớ và nhân sử dụng bởi BitBox không được chia sẻ với hệ thống chủ Windows. Việc sử dụng Linux càng làm cho việc tấn công khó hơn do tấn công phải được thiết kế nhắm mục tiêu đến cả Linux và Windows. Điều đó làm tăng đáng kể nỗ lực của những kẻ tấn công, do đó làm giảm khả năng bị tấn công.
Như đã đề cập trước đây, phân tách và đưa vào danh sách trắng như các chiến lược bảo mật chủ động có lợi ích rất rõ ràng với BitBox nhờ các lớp cách ly khác nhau. Thay vì dùng một máy tính khác để vào mạng Internet, một máy ảo sẽ được tạo ra trên máy tính thông thường. Các ứng dụng của người dùng chạy trực tiếp trên hệ điều hành, trong khi trình duyệt chạy trên một máy ảo trong môi trường Linux đã gia cố. Các thành phần này không truy cập được vào phần cứng hay hệ điều hành chủ Windows, mà chỉ vào phần cứng ảo hoạt động như là một tường lửa. Phần mềm độc hại từ các trang web không an toàn sẽ chỉ ở trong môi trường này và không thể lây lan sang máy tính cũng như mạng LAN nội bộ.
Trong bước đầu tiên, ảo hóa phân tách trình duyệt khỏi phần còn lại của máy tính. Nếu yêu cầu mức độ bảo mật cao hơn, các tổ chức/doanh nghiệp có thể sử dụng BitBox để phân tách Internet khỏi mạng nội bộ của công ty. Với thành phần bảo mật được bổ sung này, phần mềm độc hại tiềm năng sẽ được cách ly với mạng và hạ tầng bên trong.
Hình 2. Cách ly ở cấp độ mạng
Việc tách biệt này được thực hiện thông qua một máy ảo với Linux được gia cố đối với các trình khách VPN và thực hiện một đường hầm VPN qua mạng nội bộ bằng giao thức IPsec đến cổng Web. Cổng Web sau đó chuyển các yêu cầu đã được giải mã đến Internet. Tất cả dữ liệu truyền từ Internet đến trình duyệt cũng đi theo cùng cách thức như trên.
Điều này có nghĩa việc tấn công lên các bộ định tuyến và bộ chuyển mạch của mạng nội bộ sẽ là không thể, vì tất cả các dữ liệu được tạo ra bởi trình duyệt trong mạng đã được đóng gói và mã hóa trong các gói VPN để ngăn chặn việc bị phân tích nội dung. Điều này giúp tách biệt hiệu quả trình duyệt với máy tính và mạng nội bộ với Internet.
Tầng ảo hóa có thể theo dõi tất cả các phần cứng ảo, cho phép ghi nhật ký và xác định trạng thái của máy ảo (ổ cứng và nội dung bộ nhớ). Cơ chế “snapshot” này có thể được sử dụng để xác định trạng thái khởi động rõ ràng cho trình duyệt. Nếu trình duyệt bị nhiễm phần mềm độc hại trong phiên kết nối Internet, nó có thể được thiết lập lại về trạng thái bắt đầu. Điều này có thể được thực hiện dễ dàng bằng cách khởi động lại trình duyệt. Việc khôi phục hoàn toàn một máy tính hay máy chủ đầu cuối được thay thế bằng một khởi động lại đơn giản của trình duyệt ảo hóa.
Tất cả các tiến trình làm việc trên Windows đều hoạt động như bình thường và các ứng dụng như Word hoặc Excel có thể được sử dụng theo cách quen thuộc. Nhấp vào biểu tượng BitBox trên máy tính để bàn sẽ khởi chạy trình duyệt Web dưới hình thức một máy tính ảo độc lập.
Kịch bản thử nghiệm được thiết lập dựa trên việc lừa người dùng cài đặt tiện ích mở rộng Firefox giả mạo qua Internet để có thể thiết lập một phiên trên máy tính người dùng. Đầu tiên, khởi tạo tệp .xpi dưới dạng tiện ích mở rộng của Firefox bằng môđun Metasploit firefox xpi bootstrapping_addon và được hiển thị khi truy cập một trang web với liên kết độc hại. Khi người dùng truy cập trang, trình duyệt Firefox của nạn nhân sẽ hỏi liệu nạn nhân có tin tưởng và muốn cài đặt tiện ích mở rộng không. Nếu người dùng nhấp vào “cài đặt”, mã khai thác trong tiện ích mở rộng độc hại sẽ được thực thi với sự cho phép của người dùng.
Hệ thống thử nghiệm gồm 3 máy tính như Hình 3: máy tấn công (KaliLinux, IP: 192.168.0.108), máy nạn nhân 1 (Win 7 64 bit, IP: 192.168.0.101, Firefox 52.3.0 32bit) và máy nạn nhân 2 (Win 10 64 bit, IP: 192.168.0.105, Firefox 52.3.0 (32 bit) chạy trên Bitbox) (tải về tại đường dẫn https://ftp. mozilla.org/pub/firefox/releases/52.3.0esr/, phiên bản Firefox 52.3.0 esr).
Hình 3. Mô hình thử nghiệm sử dụng BitBox
Tại máy nạn nhân 1, khi người dùng sử dụng trình duyệt web truy cập vào đường dẫn chứa mã độc (http://192.168.0.108/fakeEx), một yêu cầu cài đặt tiện ích mở rộng xuất hiện, nếu người dùng bấm nút chọn "Cài đặt ngay" (Hình 4), addon.xpi sẽ được cài đặt và phiên khai thác trái phép sẽ được khởi tạo.
Hình 4. Yêu cài cài đặt tiện ích mở rộng trên máy nạn nhân 1
Tại máy nạn nhân 2, nếu người dùng chọn "Cài đặt ngay" tiện ích mở rộng addon.xpi khi truy cập vào đường dẫn chứa mã độc, phiên khai thác sẽ được khởi tạo. Khi đó, trên máy tấn công hiển thị thông tin về việc hai phiên khai thác đã được khởi tạo (Hình 5).
Hình 5. Phiên khai thác được khởi tạo
Lúc này, kẻ tấn công có thể thực hiện truy cập phiên và truy xuất, sao chép, xem tệp “vn.txt” trong thư mục người dùng (C:\Users\vn.txt) trên máy nạn nhân 1 (Hình 6).
Hình 6. Truy xuất thư mục người dùng trên máy nạn nhân 1
Tuy nhiên, đối với máy nạn nhân 2 sử dụng Bitbox, kẻ tấn công chỉ có thể kết nối phiên và truy xuất thông tin của máy ảo chứa trình duyệt (Hình 7).
Hình 7. Truy xuất vào máy nạn nhân 2 sử dụng BitBox
Kết luận
Giải pháp Brower in the Box của hãng R&S được thiết kế dựa trên nguyên tắc “an toàn nhờ thiết kế”. BitBox đã được triển khai trong một số cơ quan thuộc chính phủ Đức, trong đó có lực lượng cảnh sát của bang Baden-Wurttemberg, theo đó các nhân viên trong các đồn cảnh sát sử dụng BitBox điều tra, tra cứu thông tin trên Internet mà trong đó có thể có các trang web không đáng tin cậy. Điều này có nghĩa là họ có thể sử dụng Internet mà không phải lo lắng.
Trần Nhật Long, Phạm Văn Lực (Viện Khoa học - Công nghệ mật mã)
09:00 | 24/08/2018
08:00 | 03/09/2019
08:00 | 02/01/2020
13:00 | 30/07/2024
Trong thế giới số hiện nay, việc nhận thức về cách các công ty thu thập và sử dụng dữ liệu của người dùng trở nên quan trọng hơn bao giờ hết. Nếu dữ liệu cá nhân rơi vào tay kẻ xấu, người dùng có thể trở thành nạn nhân của việc gian lận và bị đánh cắp danh tính. Dưới đây là năm lời khuyên để bảo vệ quyền riêng tư dữ liệu cho người dùng.
13:00 | 17/06/2024
Để tăng cường tính bảo mật và khắc phục các lỗ hổng, Microsoft thường phát hành định kỳ những bản cập nhật dành cho Windows, trong đó có các bản vá Patch Tuesday hàng tháng. Việc nắm bắt các bản vá này rất quan trọng để chủ động phòng tránh trước các mối đe dọa mạng. Bài viết này đưa ra quy trình cập nhật bản vá bảo mật Windows trên các máy trạm dành cho người dùng cuối, việc thực hiện cập nhật trên máy chủ Windows Server thực hiện tương tự.
19:00 | 30/04/2024
Theo báo cáo năm 2022 về những mối đe doạ mạng của SonicWall, trong năm 2021, thế giới có tổng cộng 623,3 triệu cuộc tấn công ransomware, tương đương với trung bình có 19 cuộc tấn công mỗi giây. Điều này cho thấy một nhu cầu cấp thiết là các tổ chức cần tăng cường khả năng an ninh mạng của mình. Như việc gần đây, các cuộc tấn công mã độc tống tiền (ransomware) liên tục xảy ra. Do đó, các tổ chức, doanh nghiệp cần quan tâm hơn đến phương án khôi phục sau khi bị tấn công.
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Trí tuệ nhân tạo (AI) đang ngày càng phát triển và được áp dụng trong nhiều lĩnh vực của đời sống. Thậm chí đối với những lĩnh vực đòi hỏi trình độ cao của con người như lập trình hay bảo mật, AI cũng đang chứng minh khả năng vượt trội của mình. Với sự trợ giúp của AI, Google đã phát hiện một lỗ hổng bảo mật tồn tại hơn 20 năm trong dự án phần mềm mã nguồn mở được sử dụng rộng rãi.
13:00 | 02/12/2024