[VFOSSA] Phần mềm PHẢN QUỐC (aka - Re: [ict_vn: 912] Advanced Persistent Threat (APT))

Nguyen Hong Quang nguyen.hong.quang at auf.org
Wed Jun 12 16:44:23 ICT 2013 

Xin chuyển cho cả nhà cùng đọc để xả xì-choét một trao đổi từ "nhà 
truyền giáo FOSS" của chúng ta trên diễn đàn ICT-VN.
Rất có thể đây lại là "tuyên bố ICT ấn tượng năm 2013" (3.1 và 3.2) :-D

Quang

-------- Message original --------
Sujet: 	Re: [ict_vn: 912] Advanced Persistent Threat (APT)
Date : 	Wed, 12 Jun 2013 16:27:08 +0700
De : 	Nghĩa Lê Trung <letrungnghia.foss at gmail.com>
Répondre à : 	ict_vn at googlegroups.com
Pour : 	ict_vn at googlegroups.com



Chào anh Lợi và cả nhà,
Nhân chuyện anh Lợi nói về APT, tôi nghĩ có vài điều muốn chia sẻ:
1. Tiếc là vừa qua tôi chưa có thời gian để dịch cuốn: 'APT1 Exposing 
One of China’s Cyber Espionage Units' để cả nhà cùng xem cho vui. Có thể 
xem đoạn video có liên quan tại: http://www.youtube.com/watch?v=6p7FqSav6Ho
2. Một bạn chuyên nghiên cứu về an ninh thông tin vừa share cho tôi một 
đoạn tin sau đây, điều vừa xảy ra mới trong tháng 6 này với Việt Nam 
chúng ta, có liên quan tới một lỗi trong M$ Word mà với nó thì các tài 
liệu Word bất kỳ lúc nào cũng có thể bị lợi dụng. Đường link đó ở: 
https://community.rapid7.com/community/infosec/blog/2013/06/07/keyboy-targeted-attacks-against-vietnam-and-india
3. Vì những lý do này, và vì những gì tôi đã trình bày trong bài: 'Cơ 
hội chuyển đổi phần mềm đóng - mở, 6 năm qua và 1 năm còn lại' đăng trên 
blog của tôi tại: 
http://vnfoss.blogspot.com/2013/04/co-hoi-chuyen-oi-phan-mem-ong-mo-6-nam.html, 
tôi nghĩ có lẽ Bộ TTTT nên có một quyết định, ví dụ như:
3.1. Đổi tên Hệ điều hành Windows XP SP 3 thành 'hệ điều hành PHẢN QUỐC'
3.2. Đổi tên bộ phần mềm văn phòng M$ Office 2003 thành 'bộ phần mềm văn 
phòng PHẢN QUỐC'
Rồi đưa vào một chỉ thị của thủ tướng chính phủ để truyền tới tất cả các 
cơ quan nhà nước và tất cả các cơ sở giáo dục công lập ở tất cả các cấp học.
Bằng cách này, hy vọng sẽ tránh được 1001 lý do lách luật để sử dụng các 
sản phẩm 'PHẢN QUỐC' nêu trên.
nghialt


2013/6/12 Le Van Loi <levanloi at itb.com.vn <mailto:levanloi at itb.com.vn>>

    Dear các anh/chị

    Hôm nay tôi đi nghe hơi nồi chõ ở một hội thảo về chủ đề anh ninh -
    an toàn thông tin có tên là Advanced Persistent Threat (APT). Tôi cứ
    dịch nôm là "mối đe dọa tiềm tàng không gian mạng" :-) Dịch là diệt
    mà - mong các anh/chị thứ lỗi!

    1./ Gần đây chúng ta được nghe các vụ Stuxnet tấn công hệ thống hạt
    nhân của I-ran, tin tặc tấn công các hệ thống ngân hàng của Hàn Quốc
    hồi tháng 3 năm nay, rồi hacker TQ ăn cắp thông tin bên Australia,
    ăn cắp thông tin bên Mỹ, ... Và ngay cả trong chương trình nghị sự
    Obama gặp Tập Cận Bình cũng có đề cập đến an ninh không gian mạng.
    Rất tò mò.

    2./ Tôi được giải thích là các hacker đầu tiên sẽ tìm cách mò đến và
    trú ẩn ở máy của nạn nhân. Sau đó khi gặp thời cơ thuận lợi - hoặc
    tại một thời điểm đã lên kế hoạch từ trước - sẽ đồng loạt lấy cắp
    thông tin và "callback" - nghĩa là sẽ lấy thông tin ở máy của nạn
    nhân và gửi về "đại bản doanh". Hoặc tệ hại hơn sẽ cấu kết với 1 lực
    lượng botnet và đồng thời tấn công làm tê liệt một hệ thống đã định
    trước sử dụng kỹ thuật DDOS!

    3./ Công nghệ lấy cắp thông tin ở máy nạn nhân và gửi về đại bản
    doanh khá đơn giản - hiểu theo nghĩa bộ giao thức TCP/IP. Máy nạn
    nhân có 1 địa chỉ IP1 và "đại bản doanh" có 1 địa chỉ IP2 khác. Việc
    gửi thông tin chỉ cần dựa trên tầng TCP/UDP - gửi thông tin từ IP1
    về IP2 - trên nền UDP sẽ nhanh hơn. Thế là xong!

    4./ Ví dụ về tấn công DDOS: tại máy của nạn nhân (IP1) phần mềm
    malware (độc hại) sẽ PING liên tục đến 1 địa chỉ IP3 nào đó làm cho
    IP3 đó tê liệt. Nếu IP3 là một máy dịch vụ ngân hàng thì dịch vụ đó
    sẽ tê liệt.

    5./ Câu hỏi đặt ra là làm thế nào để hacker đưa phần mềm malware đến
    máy của nạn nhân được? Có một vài cách dễ hiểu. Hacker gửi đến chúng
    ta 1 email, đại loại mời hợp tác, trong đó gắn 1 file. Khi chúng ta
    mở file đó ra là phần mềm malware sẽ nhảy vào trú ẩn ở trong máy.
    Điểm nguy hiểm là phần mềm này nó chưa làm gì ngay - nó chờ thời :-)
    Trong thuật ngữ tôi được dạy: dormant (nó ngủ :-)).

    6./ Thế các phần mềm phòng chống vi-rút đâu mà không chặn lại? Vấn
    đề là "tên gián điệp này lần đầu tiên xuất hiện". Trong thuật ngữ
    chuyên môn tôi được dạy là "signature-less".

    7./ Liệu có chống được không? Câu trả lời là *Có*. May quá :-) Thủ
    thuật: có rất nhiều máy tính đóng vai là người dùng ảo - các máy
    tính đó sẽ "mở" file như một người dùng thông thường (cái này người
    ta ví là thái giám ăn thử đồ ăn trước khi vua ăn). Nếu có phần mềm
    malware thì các máy ảo đó sẽ phát hiện ra và "tóm gọn" :-) Tôi được
    dạy thuật ngữ này là "Virtualized". Tôi nghĩ đi hội thảo là phải ghi
    các từ kiểu thời thượng thế này để nói lại với người khác cho "oách"!

    8./ Trong trường hợp gián điệp nằm sẵn trước khi các máy ảo được cài
    thì có cách gì chống các hành vi độc hại không? Có. Lại máy quá :-).
    Người ta sẽ chặn các "callback". Nghĩa là tên gián điệp không đưa
    thông tin được ra ngoài.

    Tôi biết trên diễn đàn có các "đại cao thủ" về an ninh - an toàn
    thông tin. Tôi chỉ múa rìu qua mắt thợ thôi - mong các đại ca đại xá
    cho :-)

    Các anh/chị nào không quantâm vuilòng bỏqua - xin cảmơn.

    Trântrọng

    levanloi

-------------- next part --------------
An HTML attachment was scrubbed...
URL: http://lists.vfossa.vn/pipermail/members/attachments/20130612/5cef805b/attachment.html

More information about the Members mailing list