Việc truy cập đến các trang web trở thành một hoạt động không thể thiếu của người dùng khi truy cập trên Internet hiện nay. Tuy nhiên, quá trình này phải đối mặt với những mối nguy hiểm không ngừng gia tăng từ những cuộc tấn công mạng. Nguyên nhân là do các giao diện lập trình JavaScript, Java, ActiveX, Flash... cho phép truy cập vào máy tính của người dùng, bao gồm hệ thống tệp và hệ điều hành. Cụ thể, mã chương trình của bên thứ ba có thể chạy trực tiếp trên máy tính, giữa hệ điều hành và cơ sở hạ tầng dữ liệu của chính nó. Do đó, các phần mềm độc hại có thể được thực thi khi trang web có chứa nội dung động được mở mà không có bất kỳ tương tác người dùng nào. Điều này có nghĩa chỉ cần truy cập đến các trang web, người dùng có nguy cơ bị nhiễm phần mềm độc hại.
Đối với việc sử dụng Internet cụ thể trong từng cơ quan/doanh nghiệp, có thể hạn chế các mối đe dọa bằng các giải pháp như sau:
Chỉ sử dụng máy tính chuyên dụng để truy cập Internet. Các máy tính này không được kết nối với mạng nội bộ và được tách biệt khỏi hệ thống mạng. Tuy nhiên, Internet hiện nay là một phần không thể thiếu trong công việc hàng ngày dẫn đến đây không phải là phương pháp khả thi.
Truy cập Internet với chức năng giới hạn. Điều này có nghĩa là vô hiệu hóa các nội dung động (dynamic content). Tuy nhiên, hạn chế của giải pháp này là phần lớn các trang web không thể duyệt nội dung.
Thực thi trình duyệt web trên một máy chủ đầu cuối. Có nghĩa, truy cập trên máy tính thông qua Desktop Viewer. Nhược điểm của giải pháp này nằm ở chỗ việc khôi phục phức tạp của máy chủ bị ảnh hưởng sau khi bị nhiễm phần mềm độc hại. Không phải lúc nào cũng xác định được trạng thái máy chủ đầu cuối thực sự cần được khôi phục. Ngoài ra, việc sử dụng nhiều băng thông mạng có sẵn cũng là một yếu tố tác động bất lợi đến việc mở rộng quy mô với số lượng lớn người dùng.
Bảo vệ Internet bằng một máy chủ proxy/tường lửa trong khu vực DMZ của công ty. Tính hiệu quả của giải pháp bảo vệ này phụ thuộc vào khả năng phát hiện phần mềm độc hại của proxy/tường lửa. Nó chỉ hiệu quả đối với phần mềm độc hại đã được biết đến nhưng hạn chế đối với các mối nguy hiểm mới. Việc lọc nội dung động phải cân bằng giữa khả năng sử dụng và tính an toàn.
Tất cả các giải pháp này đều có giá trị riêng, nhưng hạn chế khả năng truy cập các nội dung động của người dùng. Hơn nữa, những cách tiếp cận này không cung cấp một giải pháp cho vấn đề cơ bản của bảo vệ chống lại các cuộc tấn công chưa biết. Điểm mấu chốt là cần có một cơ sở mới đảm bảo an toàn mạng một cách phù hợp.
Phương pháp tiếp cận "an toàn bởi thiết kế" được triển khai trong Brower in the Box (BitBox) đã giải quyết được vấn đề trên. Nguyên tắc cơ bản ở đây là hệ điều hành và trình duyệt hoàn toàn tách biệt với nhau. Trình duyệt được gói gọn trong một máy ảo. Điều này làm cho phần mềm độc hại tách biệt máy tính, cấu trúc dữ liệu của người dùng và mạng lưới công ty. Không giống như hộp cát (sandbox) hay các giải pháp khác, BitBox không có vùng bộ nhớ hay các lệnh trong nhân được chia sẻ. Do đó, tất cả các khía cạnh của một trang web, bao gồm hình ảnh, biểu ngữ quảng cáo, văn bản và video, được chạy trong một môi trường biệt lập mà không làm suy yếu hệ điều hành hoặc các tệp tin.
Bảo vệ chủ động: Trojan, Ransomware, các tấn công APT và khai thác lỗ hổng zero-day sẽ không còn hiệu quả với giải pháp hai trình duyệt. Nhờ công nghệ ảo hóa, ngay cả trong trường hợp trình duyệt bị nhiễm phần mềm độc hại, các khu vực quan trọng của hệ thống như tệp người dùng hoặc cơ sở hạ tầng của công ty cũng không thể bị xâm phạm.
Cài đặt và quản trị đơn giản: Hệ thống quản trị riêng, trình quản lý đối tượng tin cậy R&S cho phép quản trị tập trung trong kiến trúc công nghệ có sẵn. Nó có thể liên kết với dịch vụ Windows Active Directory và qua đó đến người dùng trong mạng. Điều đó cho phép triển khai BitBox trên các máy tính của nhân viên và cho toàn bộ các nhóm người dùng, cũng như cấp phát các quyền riêng lẻ.
Phân tách mạng nội bộ/Internet ở cấp độ mạng: Với mạng riêng ảo (Virtual Private Network - VPN) tin cậy và cổng Web an toàn của hãng R&S, Internet và mạng nội bộ được cách ly lẫn nhau không chỉ ở cấp độ máy tính mà còn ở cấp độ mạng.
An toàn lướt mạng trên các hotspot và trên các WLAN khi làm việc tại nhà: Với BitBox có kích hoạt chế độ hotspot trong các quyền, máy tính được bảo vệ hiệu quả trước các tấn công xen giữa trên các mạng WLAN công cộng. Người dùng cũng có thể lướt web an toàn trên các mạng WLAN riêng khi làm việc tại nhà.
Thực hiện thống nhất các lệnh phù hợp: Với BitBox, việc lọc truy vấn bằng giải pháp tường lửa kết hợp máy chủ proxy không còn cần thiết. Bởi nó đảm bảo an toàn với tất cả các dạng lưu lượng truy cập Internet cá nhân.
Thuận tiện hơn cho người sử dụng: BitBox cho phép plugin, in dấu trang, tải xuống hoặc tải lên các tệp, cấu hình trình duyệt (dấu trang, plugin, cài đặt proxy,...) được lưu trong không gian người dùng và không được thiết lập lại khi khởi động lại.
Khái niệm an toàn của BitBox bao gồm ba lớp tách biệt: Lớp đầu tiên là Linux được gia cố với danh sách trắng AppArmor; Lớp thứ hai là thành phần ảo hóa hoàn toàn với phần mềm mã nguồn mở VirtualBox; Lớp thứ ba là không gian người dùng Windows, không gian này được giới hạn, không tương tác và riêng biệt.
Hình 1. Cách ly ở cấp độ máy tính
Hệ điều hành Linux được gia cố là một hệ điều hành đã tối giản trong đó chỉ có trình duyệt mà không có ứng dụng nào khác. Nhân hệ điều hành được gia cố với danh sách trắng AppArmor. Ở cấp độ tiến trình, AppArmor được sử dụng để xác định các truy cập được cho phép bên trong hệ điều hành Linux ảo. Nếu một ứng dụng trong trình duyệt thực thi một tác vụ không được phép, ví dụ như ứng dụng này đã bị kẻ tấn công thay đổi, tiến trình sẽ từ chối truy cập đến tác vụ này. Khác với các giải pháp khác, bộ nhớ và nhân sử dụng bởi BitBox không được chia sẻ với hệ thống chủ Windows. Việc sử dụng Linux càng làm cho việc tấn công khó hơn do tấn công phải được thiết kế nhắm mục tiêu đến cả Linux và Windows. Điều đó làm tăng đáng kể nỗ lực của những kẻ tấn công, do đó làm giảm khả năng bị tấn công.
Như đã đề cập trước đây, phân tách và đưa vào danh sách trắng như các chiến lược bảo mật chủ động có lợi ích rất rõ ràng với BitBox nhờ các lớp cách ly khác nhau. Thay vì dùng một máy tính khác để vào mạng Internet, một máy ảo sẽ được tạo ra trên máy tính thông thường. Các ứng dụng của người dùng chạy trực tiếp trên hệ điều hành, trong khi trình duyệt chạy trên một máy ảo trong môi trường Linux đã gia cố. Các thành phần này không truy cập được vào phần cứng hay hệ điều hành chủ Windows, mà chỉ vào phần cứng ảo hoạt động như là một tường lửa. Phần mềm độc hại từ các trang web không an toàn sẽ chỉ ở trong môi trường này và không thể lây lan sang máy tính cũng như mạng LAN nội bộ.
Trong bước đầu tiên, ảo hóa phân tách trình duyệt khỏi phần còn lại của máy tính. Nếu yêu cầu mức độ bảo mật cao hơn, các tổ chức/doanh nghiệp có thể sử dụng BitBox để phân tách Internet khỏi mạng nội bộ của công ty. Với thành phần bảo mật được bổ sung này, phần mềm độc hại tiềm năng sẽ được cách ly với mạng và hạ tầng bên trong.
Hình 2. Cách ly ở cấp độ mạng
Việc tách biệt này được thực hiện thông qua một máy ảo với Linux được gia cố đối với các trình khách VPN và thực hiện một đường hầm VPN qua mạng nội bộ bằng giao thức IPsec đến cổng Web. Cổng Web sau đó chuyển các yêu cầu đã được giải mã đến Internet. Tất cả dữ liệu truyền từ Internet đến trình duyệt cũng đi theo cùng cách thức như trên.
Điều này có nghĩa việc tấn công lên các bộ định tuyến và bộ chuyển mạch của mạng nội bộ sẽ là không thể, vì tất cả các dữ liệu được tạo ra bởi trình duyệt trong mạng đã được đóng gói và mã hóa trong các gói VPN để ngăn chặn việc bị phân tích nội dung. Điều này giúp tách biệt hiệu quả trình duyệt với máy tính và mạng nội bộ với Internet.
Tầng ảo hóa có thể theo dõi tất cả các phần cứng ảo, cho phép ghi nhật ký và xác định trạng thái của máy ảo (ổ cứng và nội dung bộ nhớ). Cơ chế “snapshot” này có thể được sử dụng để xác định trạng thái khởi động rõ ràng cho trình duyệt. Nếu trình duyệt bị nhiễm phần mềm độc hại trong phiên kết nối Internet, nó có thể được thiết lập lại về trạng thái bắt đầu. Điều này có thể được thực hiện dễ dàng bằng cách khởi động lại trình duyệt. Việc khôi phục hoàn toàn một máy tính hay máy chủ đầu cuối được thay thế bằng một khởi động lại đơn giản của trình duyệt ảo hóa.
Tất cả các tiến trình làm việc trên Windows đều hoạt động như bình thường và các ứng dụng như Word hoặc Excel có thể được sử dụng theo cách quen thuộc. Nhấp vào biểu tượng BitBox trên máy tính để bàn sẽ khởi chạy trình duyệt Web dưới hình thức một máy tính ảo độc lập.
Kịch bản thử nghiệm được thiết lập dựa trên việc lừa người dùng cài đặt tiện ích mở rộng Firefox giả mạo qua Internet để có thể thiết lập một phiên trên máy tính người dùng. Đầu tiên, khởi tạo tệp .xpi dưới dạng tiện ích mở rộng của Firefox bằng môđun Metasploit firefox xpi bootstrapping_addon và được hiển thị khi truy cập một trang web với liên kết độc hại. Khi người dùng truy cập trang, trình duyệt Firefox của nạn nhân sẽ hỏi liệu nạn nhân có tin tưởng và muốn cài đặt tiện ích mở rộng không. Nếu người dùng nhấp vào “cài đặt”, mã khai thác trong tiện ích mở rộng độc hại sẽ được thực thi với sự cho phép của người dùng.
Hệ thống thử nghiệm gồm 3 máy tính như Hình 3: máy tấn công (KaliLinux, IP: 192.168.0.108), máy nạn nhân 1 (Win 7 64 bit, IP: 192.168.0.101, Firefox 52.3.0 32bit) và máy nạn nhân 2 (Win 10 64 bit, IP: 192.168.0.105, Firefox 52.3.0 (32 bit) chạy trên Bitbox) (tải về tại đường dẫn //ftp. mozilla.org/pub/firefox/releases/52.3.0esr/, phiên bản Firefox 52.3.0 esr).
Hình 3. Mô hình thử nghiệm sử dụng BitBox
Tại máy nạn nhân 1, khi người dùng sử dụng trình duyệt web truy cập vào đường dẫn chứa mã độc (//192.168.0.108/fakeEx), một yêu cầu cài đặt tiện ích mở rộng xuất hiện, nếu người dùng bấm nút chọn "Cài đặt ngay" (Hình 4), addon.xpi sẽ được cài đặt và phiên khai thác trái phép sẽ được khởi tạo.
Hình 4. Yêu cài cài đặt tiện ích mở rộng trên máy nạn nhân 1
Tại máy nạn nhân 2, nếu người dùng chọn "Cài đặt ngay" tiện ích mở rộng addon.xpi khi truy cập vào đường dẫn chứa mã độc, phiên khai thác sẽ được khởi tạo. Khi đó, trên máy tấn công hiển thị thông tin về việc hai phiên khai thác đã được khởi tạo (Hình 5).
Hình 5. Phiên khai thác được khởi tạo
Lúc này, kẻ tấn công có thể thực hiện truy cập phiên và truy xuất, sao chép, xem tệp “vn.txt” trong thư mục người dùng (C:\Users\vn.txt) trên máy nạn nhân 1 (Hình 6).
Hình 6. Truy xuất thư mục người dùng trên máy nạn nhân 1
Tuy nhiên, đối với máy nạn nhân 2 sử dụng Bitbox, kẻ tấn công chỉ có thể kết nối phiên và truy xuất thông tin của máy ảo chứa trình duyệt (Hình 7).
Hình 7. Truy xuất vào máy nạn nhân 2 sử dụng BitBox
Kết luận
Giải pháp Brower in the Box của hãng R&S được thiết kế dựa trên nguyên tắc “an toàn nhờ thiết kế”. BitBox đã được triển khai trong một số cơ quan thuộc chính phủ Đức, trong đó có lực lượng cảnh sát của bang Baden-Wurttemberg, theo đó các nhân viên trong các đồn cảnh sát sử dụng BitBox điều tra, tra cứu thông tin trên Internet mà trong đó có thể có các trang web không đáng tin cậy. Điều này có nghĩa là họ có thể sử dụng Internet mà không phải lo lắng.
Trần Nhật Long, Phạm Văn Lực (Viện Khoa học - Công nghệ mật mã)
09:00 | 24/08/2018
08:00 | 03/09/2019
08:00 | 02/01/2020
13:00 | 19/03/2024
Hiện nay, khi mức độ phổ biến của Hệ thống tệp liên mạng (Interplanetary File System - IPFS) ngày càng phát triển thì cũng kéo theo những rủi ro và mối đe dọa bởi tội phạm mạng nhanh chóng phát triển các kỹ thuật tấn công và lợi dụng công nghệ IPFS để mở rộng hoạt động phạm tội của chúng. Các cuộc tấn công này thậm chí còn trở nên nguy hiểm hơn khi nhiều dịch vụ lưu trữ tệp, lưu trữ web và đám mây hiện đang sử dụng IPFS. Xu hướng gần đây cho thấy sự gia tăng đáng lo ngại về các cuộc tấn công lừa đảo tận dụng IPFS, trong đó kẻ tấn công lạm dụng tính chất phi tập trung của công nghệ này để lưu trữ và phân phối nội dung độc hại. Bài báo trình bày tổng quan và thực trạng tấn công lừa đảo IPFS, từ đó đưa ra phương pháp phù hợp để phòng tránh trước các cuộc tấn công lừa đảo IPFS.
08:00 | 12/03/2024
Lộ thông tin thẻ tín dụng gây ra nhiều hệ lụy nghiêm trọng, nguy cơ mất tiền là rất cao. Bài báo giới thiệu một số cách thức giúp người dùng giảm nguy cơ khi phát hiện thông tin thẻ tín dụng bị lộ.
14:00 | 04/03/2024
Ngày nay, tất cả các lĩnh vực trong đời sống xã hội đều có xu hướng tích hợp và tự động hóa, trong đó các giao dịch số là yêu cầu bắt buộc. Do vậy, các tấn công lên thiết bị phần cứng, đặc biệt là các thiết bị bảo mật có thể kéo theo những tổn thất to lớn như: lộ thông tin cá nhân, bị truy cập trái phép hoặc đánh cắp tài khoản ngân hàng,… So với các loại tấn công khác, tấn công kênh kề hiện đang có nhiều khả năng vượt trội. Trong bài báo này, nhóm tác giả sẽ trình bày sơ lược về kết quả thực hành tấn công kênh kề lên mã khối Kalyna trên hệ thống Analyzr của Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công thành công và khôi phục đúng 15 byte khóa trên tổng số 16 byte khóa của thuật toán Kalyna cài đặt trên bo mạch Nucleo 64.
10:00 | 31/01/2024
Các nhà nghiên cứu tại hãng bảo mật Kaspersky đã phát triển một kỹ thuật mới có tên là iShutdown để có thể phát hiện và xác định các dấu hiệu của một số phần mềm gián điệp trên thiết bị iOS, bao gồm các mối đe dọa tinh vi như Pegasus, Reign và Predator. Bài viết sẽ cùng khám phát kỹ thuật iShutdown dựa trên báo cáo của Kaspersky.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Với sự phát triển mạnh mẽ của công nghệ số, số lượng các phần mềm chương trình được công bố ngày càng lớn. Song hành với đó là việc tin tặc luôn tìm cách phân tích, dịch ngược các chương trình nhằm lấy cắp ý tưởng, bẻ khóa phần mềm thương mại gây tổn hại tới các tổ chức, cá nhân phát triển phần mềm. Đặc biệt, trong ngành Cơ yếu có những chương trình có tích hợp các thuật toán mật mã ở mức mật và tối mật thì việc chống phân tích, dịch ngược có vai trò hết sức quan trọng. Do đó, việc phát triển một giải pháp bảo vệ các chương trình phần mềm chống lại nguy cơ phân tích, dịch ngược là rất cấp thiết.
16:00 | 04/08/2024
Có rất nhiều khái niệm về Zero Trust nhưng bạn đã thực sự hiểu về nó? Bài báo này sẽ đưa ra khái niệm dễ hiểu sự hình thành của thuật ngữ Zero Trust, các tác nhân, khu vực cần triển khai Zero Trust...
13:00 | 13/08/2024
