• Thứ Hai, 01/07/2013 15:36 (GMT+7)

    Lần theo dấu vết hacker

    Chí Thịnh
    Truy tìm – ngăn chặn hacker tấn công các website/hệ thống mạng là công việc thường nhật của các nhân viên an ninh mạng, cảnh sát điều tra tội phạm công nghệ cao. Để hoàn thành công việc của mính, bên cạnh chuyên môn sâu về hệ thống mạng – máy tính, nhân viên an ninh mạng còn cần đến cả những biện pháp nghiệp vụ chống tội phạm.

    Mò kim đáy bể…
    Theo ông Võ Thái Lâm, Công ty CP Tin học Lạc Tiên, giới hacker giờ đây đã tinh vi hơn trong việc xoá dấu vết trong các đợt tấn công nên cũng không phải dễ dàng phát hiện thủ phạm. Thông thường, bên cạnh các kỹ thuật dò tìm dấu vết còn phải kết hợp với nghiệp vụ điều tra của ngành công an mới có thể xác định thủ phạm.

    Đội an ninh mạng của Lạc Tiên khi thực hiện đánh giá khả năng phòng thủ hệ thống mạng (Pen-test) của doanh nghiệp thường nhấn mạnh đến công cụ lưu vết. Dựa trên hệ thống phòng ngừa và ngăn chặn xâm nhập, các dấu vết tấn công được ghi nhận lại và cảnh báo cho quản trị hệ thống.

    Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo An ninh và Quản trị mạng Athena cũng khẳng định nếu hệ thống mạng hoặc trang web không có cơ chế bảo mật – phòng chống tấn công thì cơ hội dò tìm hacker tấn công sẽ khó khăn. Chỉ khi nào doanh nghiệp trang bị một “hàng rào” bảo mật mới có khả năng ghi nhận dấu vết của hacker sau khi bị tấn công.

    Khi bắt tay tiếp nhận một trường hợp tấn công trên Internet, đầu tiên đơn vị an ninh mạng phải tiến hành rà soát “hàng rào” phòng thủ, tăng cường cơ chế bảo mật. Sau đó, mới tiến hành điều tra hành vi tấn công – thu thập chứng cứ để dò tìm thủ phạm.

    Nhóm điều tra phải xem lại lịch sử truy cập, phân tích các hoạt động truy cập… rồi từ đó mới có thể dò tìm dấu hiệu khả nghi. Có trường hợp phải liên tục theo dõi hệ thống một thời gian dài để ghi nhận bằng chứng. Đối với các hệ thống mạng/website đã thiết lập cơ chế bảo mật thì thời gian phát hiện – ghi nhận dấu vết tấn công sẽ nhanh hơn.

    Xâm nhập vào thiết bị di động
    Hiện nay, ngoài việc trojan tấn công lấy dữ liệu trên máy tính, hacker còn chế tạo ra các trojan cài vào các thiết bị di động để nghe lén cuộc gọi, lấy cắp dữ liệu như danh sách liên lạc, tin nhắn….
    Việc phát tán các loại trojan này thường qua các phần mềm ứng dụng miễn phí dành cho hệ điều hành phổ biến là Anrdoid. Vì thế, để hạn chế tối đa việc thiết bị di động bị kiểm soát từ xa do bị nhiễm trojan, người dùng nên hạn chế cài đặt các ứng dụng không rõ nguồn gốc tải về trên mạng.

    Truy tìm xuyên quốc gia

    Một số nhóm hacker thường để lại “dấu hiệu” quen thuộc sau khi tiến hành tấn công. Bên cạnh địa chỉ IP thì “dấu hiệu” này sẽ giúp cho đơn vị an ninh mạng rút ngắn thời gian điều tra. Dựa vào một số dấu hiệu quen thuộc, có thể lần ra nhóm hacker nào đã thực hiện cuộc tấn công.

    Tuy nhiên, từ khi phát hiện đến lúc thu thập chứng cứ xác thực là một khoảng thời gian dài. Có những trường hợp truy tìm các địa chỉ IP xuất phát từ hệ thống server nước ngoài thì khó lòng truy ra thủ phạm đích thực. Các nhà cung cấp dịch vụ nước ngoài thường ít khi hợp tác để điều tra các vụ tấn công của hacker.

    Xâm nhập vào thiết bị di động
    Hiện nay, ngoài việc trojan tấn công lấy dữ liệu trên máy tính, hacker còn chế tạo ra các trojan cài vào các thiết bị di động để nghe lén cuộc gọi, lấy cắp dữ liệu như danh sách liên lạc, tin nhắn….
    Việc phát tán các loại trojan này thường qua các phần mềm ứng dụng miễn phí dành cho hệ điều hành phổ biến là Anrdoid. Vì thế, để hạn chế tối đa việc thiết bị di động bị kiểm soát từ xa do bị nhiễm trojan, người dùng nên hạn chế cài đặt các ứng dụng không rõ nguồn gốc tải về trên mạng.
    Thủ đoạn tấn công của hacker
    Các nhóm hacker thường sử dụng các thủ đoạn như tấn công DDOS, nhúng virus do thám (spyware) vào phần mềm, cài virus “nghe trộm” ký tự bàn phím (keylogger), tạo địa chỉ giả mạo (fake email), nhắn tin lừa đảo qua Internet (Fake SMS)… Ngoài ra, còn có các hình thức lừa đảo thông qua Internet như nhắn tin giả mạo báo trúng thưởng, thông báo nhận quà tặng từ nước ngoài và người nhận phải trả phí… Thậm chí, các nhóm hacker còn tấn công hệ thống máy chủ của doanh nghiệp, “bắt cóc” dữ liệu kinh doanh và đòi trả tiền chuộc mới cung cấp mật khẩu để mở lại dữ liệu bình thường.

    Có những lúc đã phát hiện tên miền giả mạo XYZ.com được cung cấp bởi một nhà cung cấp dịch vụ ở nước ngoài nhưng các đơn vị an ninh mạng không thể lấy được tên khách hàng đăng ký tên miền này. Các nhà cung cấp dịch vụ thường viện dẫn nhiều lý do riêng tư để từ chối việc cung cấp thông tin.

    Do đó, các công ty an ninh mạng sau khi dò tìm – ghi nhận các chứng cứ ban đầu sẽ chuyển sang kết hợp với đơn vị quản lý nhà nước về an ninh thông tin khi điều tra các vụ tấn công trên Internet. Chỉ có các đơn vị quản lý nhà nước như Sở Thông tin – Truyền thông, Cục Phòng chống tội phạm sử dụng công nghệ cao… mới có quyền hạn yêu cầu các nhà cung cấp dịch vụ Internet.

    Theo các đơn vị an ninh mạng, mỗi khi cần xác định địa chỉ thật của người sử dụng/đăng ký địa chỉ mạng (IP), chỉ có các đơn vị kể trên mới được quyền yêu cầu các ISP (nhà cung cấp dịch vụ Internet) trong nước cung cấp thông tin khách hàng.

    Ví dụ trong quá trình điều tra một vụ tấn công của hacker, các chuyên gia an ninh mạng Athena chỉ có thể khoanh vùng địa chỉ IP dùng để tấn công thuộc phạm vi tỉnh Y. Sau đó, cần phải có sự tham gia của cơ quan điều tra mới có thể xác định địa chỉ của người sử dụng IP này vào thời điểm đó.

    Cuối năm 2011, Công ty CP dịch vụ CNTT ITAS đã từng phối hợp điều tra cùng Công an TP.HCM để phá vụ án đánh cắp mật khẩu truy cập email. Nhóm hacker này đã tạo ra một trang web giả mạo để lừa đảo mọi người đăng nhập vào và thừa cơ đánh cắp tên người dùng và mật khẩu email.

    Trong một số trường hợp, các cơ quan điều tra đã phải phối hợp với lực lượng cảnh sát quốc tế và một số quốc gia khác để truy tìm dấu vết hacker. Cục Phòng chống Tội phạm sử dụng công nghệ cao (thuộc Tổng cục Cảnh sát) đã từng phối hợp với các cơ quan cảnh sát Anh Quốc, Úc… để phá các vụ án hacker Việt Nam ăn trộm tài khoản thẻ tín dụng từ nước ngoài.

    Doanh nghiệp cần sử dụng hệ thống tường lửa ngăn chặn xâm nhập để hạn chế hacker tấn công
    Ma cao một trượng!

    Ông Võ Đỗ Thắng cho biết thêm, nếu trong doanh nghiệp có nội gián thì việc truy tìm thủ phạm tấn công hệ thống sẽ trở nên khó khăn hơn. Với lợi thế sử dụng máy tính trong mạng nội bộ, thủ phạm có thể lấy trộm mật khẩu của người quản trị hệ thống để phát động tấn công với quyền quản trị toàn bộ hệ thống.

    Tại Việt Nam đã có nhiều cuộc tấn công hệ thống mạng/website doanh nghiệp có phát hiện dấu hiệu sử dụng nội gián. Hacker sẽ có được mật khẩu quản trị để truy cập vào hệ thống mạng nội bộ thông qua nội gián này.

    Các doanh nghiệp nếu sử dụng hệ thống ngăn chặn xâm nhập IPS (Intrusion Prevention System), hay còn gọi là tường lửa (fire wall), sẽ hạn chế được việc sử dụng quyền quản trị hệ thống để tấn công. Hệ thống này sẽ chặn toàn bộ quyền truy cập từ các địa chỉ IP không nằm trong danh sách cho phép – cho dù sử dụng quyền quản trị hệ thống. Chỉ có những máy tính có serial number, IP hợp lệ mới được truy cập với quyền quản trị hệ thống.

    Dò tìm dấu vết trên Internet
    Ông Võ Đỗ Thắng, Giám đốc Trung tâm Đào tạo An ninh và Quản trị mạng Athena cho biết, các hành động gửi email hăm doạ, tống tiền… trên mạng vẫn có thể bị phát hiện qua kỹ thuật dò tìm của các chuyên gia an ninh mạng.
    Mọi thao tác gửi email, truy cập website… đều có liên quan đến địa chỉ IP (Internet Protocol Address). Các kết nối vào mạng máy tính nội bộ hoặc môi trường Internet đều có liên quan đến IP. Lần theo địa chỉ IP sẽ phát hiện ra người gửi thông tin cho dù họ sử dụng email nặc danh.
    Tuy nhiên, không phải lúc nào cũng có thể dò tìm ra địa chỉ IP một cách dễ dàng như vậy. Có những lúc, do người dùng “cao tay ấn” – họ có thể kết nối Internet thông qua một Proxy (máy chủ trung gian) nhằm che giấu địa chỉ IP thật. Họ cũng có thể dùng đến các phần mềm Hide IP hoặc Fake IP để “ẩn danh” khi lướt web/gửi email…

    Thời gian gần đây, trong một số vụ tấn công hacker đã chuyển qua sử dụng laptop/điện thoại kết nối mạng 3G thay vì dùng máy tính kết nối Internet cố định. Sau khi sử dụng xong, hacker bỏ sim 3G và chuyển qua dùng sim mới. Trước đó, hacker thường sử dụng Internet ở các quán cafe có Wi-Fi hoặc điểm truy cập Wi-Fi công cộng…

    Việc khó dò tìm hacker tấn công các trang web bằng điện thoại 3G chẳng qua do vẫn còn thiếu cơ chế kiểm soát thuê bao trả trước. Đơn vị điều tra sẽ khó lòng xác định địa chỉ IP xuất phát từ điện thoại 3G do không thể xác định tên thuê bao sử dụng địa chỉ IP đó vào thời điểm đó.

    Hiện nay, theo đánh giá của một số công ty an ninh mạng thì nguy hiễm nhất vẫn là thủ đoạn cài malware vào máy tính để đánh cắp thông tin, điều khiển máy tính từ xa… Kể cả các vị trí cao trong cơ quan nhà nước cũng có thể bị cài đặt malware nhằm đánh cắp tài khoản hoặc thông tin cá nhân. Có một số trường hợp cài đặt malware nhắm thiết lập mạng máy tính ma (botnet) để phát động các cuộc tấn công DDOS.

    Từ khóa: hacker
    ID: A1305_1