========== Z0rr0 Website ==========

Xuất phát từ khởi điểm của mạng dịch vụ APARNET của Bộ Quốc Phòng Mỹ, các hệ thống mạng liên kết máy tính dần lan truyền phổ biến khắp toàn thế giới và những lợi ích con ngừơi thu được rất lớn từ những dịch vụ trực tuyến. Tuy nhiên, song song với những lợi ích thu được thì các cá nhân, doanh nghiệp và tổ chức dần phải đối mặt với một hình thức tôi phạm mới có cách thức hoạt động khác biệt, gây nên những thiệt hại đáng kể và cách phòng chống cũng đặc biệt so với hình thức tội phạm thông thường. Những sản phẩm trí tuệ bị xâm hại, thất thoát, các hệ thống máy tính bị vô hiệu hóa, virus máy tính lan truyền từ máy tính sang máy tính, mạng này sang mạng khác .. dẫn đến sự hoạt động của cả một hệ thống kinh tế, văn hóa xã hội bị ảnh hưởng nghiêm trọng. Để bảo vệ sản phẩm dịch vụ của mình, các doanh nghiệp, tổ chức tự tạo nên các hệ thống phòng thủ của riêng mình (intrusion detection) để kiểm soát những hành động xâm hại từ bên ngoài và từ đó đưa ra những giải pháp phòng, chống và khắc phục khi sự cố xảy ra. Tuy nhiên vì nhiều lý do khách quan lẫn chủ quan, tính hiệu quả của các hệ thống như vậy thường rất hạn chế và hầu hết đáp ứng chậm so với thực tế.

Tháng 12/1988 sau khi một sự cố một sâu (worm) máy tính đựơc phát tán và lây lan khoảng 10% số lượng máy tính kết nối vào Internet, văn phòng DARPA (The Defense Applied Research Projects Agency – thuộc BQP Mỹ) đã quyết định thành lập Trung tâm Phản ứng nhanh Sự cố Máy tính, viết tắt là CERT® Coordination Center. Trung tâm nghiên cứu của CERT trực thuộc Học Viện Công Nghệ Phần Mềm (SEI - www.sei.cmu.edu) toạ lạc tại trường DH Carnegie Mellon, thành phố Pittsburgh, bang Pennsylvania, Mỹ. Các chương trình hoạt động của CERT Coordination Center (CERT/CC) là một phần trong chương trình an toàn mạng máy tính Networked Systems Survivability (NSS), mục đích của chương trình này nhằm đảm bảo những công nghệ tương thích và các kinh nghiệm thực tế trong quản lý hệ thống thông tin được áp dụng hợp lý để hạn chế những cuộc tấn công trên mạng, giảm thiểu tổn thất và đồng thời đảm bảo sự hoạt động thông suốt liên tục của các hệ thống bất chấp mức độ xâm hại của những cuộc tấn công.

2. Dịch vụ của CERT trên thế giới:

· Hỗ trợ, tư vấn giải pháp kĩ thuật cho các đơn vị, trang web gặp sự cố trên mạng.

· Phân tích những điểm yếu của các phần mềm, hệ thống liên kết trên mạng máy tính.

· Phân tích xu hướng phát triển của các sự cố máy tính và phương thức thực hiện của các cuộc xâm hại.

· Hỗ trợ cho các nhà quản trị hệ thống mạng nhằm tăng mức độ an toàn cho hệ thống của họ thông qua việc nêu ra những điểm yếu, sơ hở cập nhật mới nhất trên trang web của CERT. Tuy nhiên cần đảm bảo mức độ an toàn thông tin nhằm hạn chế sự lợi dụng vào mục đích xấu.

· Hỗ trợ thành lập các đội phòng chống tội phạm trên mạng cho các doanh nghiệp, tổ chức.

· Phối hợp hoạt động của nhiều đội an ninh mạng, các chuyên gia nhằm đối phó lại sự cố có phạm vi lớn.

· Cung cấp những tài liệu, những khóa đào tạo chuyên nghiệp cho các nhà quản trị hệ thống thông tin và an ninh mạng. Đồng thời phổ biến kiến thức cho cộng đồng những người sử dụng mạng nhằm tăng mức độ quan tâm của mọi người về vấn đề bảo mật mạng máy tính.

· Nghiên cứu những nguyên nhân của lỗ hổng bảo mật, phương thức phòng chống, phương thức tăng cường khả năng bảo mật và đảm bảo hoạt động thông suốt của các hệ thống mạng phạm vi lớn, nhỏ.

Như vậy mục đích chính CERT là tập trung vào khía cạnh kĩ thuật của bảo mật máy tính trên Internet, CERT không nên tập trung vào những vấn đề như:

· Phân tích, tìm hiểu về những chi tiết cá nhân của kẻ xâm hại

· Phân tích vị trí địa lý của kẻ xâm hại

· Động cơ của hành vi xâm hại

Tức là tập trung vào nghiên cứu “cái gì xảy ra” (what) và “làm thế nào” (how), không tập trung vào “ai thực hiện” (who) và “tại sao” (why).

3. Mô hình hoạt động chi tiết

3.1. Phạm vi và phương thức hoạt động:

Hai mô hình bên dưới tham khảo mô hình CERT®/CC tại www.cert.org

Mô hình hoạt động của CERT biểu hiện qua chu trình trên bao gồm 3 bộ phận chính: Vulnerability Handling (Xử lý các điểm yếu bảo mật), Artifact Analysis (Phân tích các yếu tố liên quan) và Incident Handling (Xử lý sự cố)

3.1.1. Bộ phận xử lý điểm yếu bảo mật (Vulnerability Handling):

Quá trình này chủ yếu tập trung phân tích những yếu điểm, sơ hở của các hệ thống Internet, bao gồm:

· Tiếp nhận những thông báo về lỗi bảo mật: nhận trực tiếp từ người dùng Internet hoặc có đội ngũ theo dõi và thu thập các thông tin liên quan đến các vấn đề bảo mật từ các nguồn tin trực tuyến như các dịch vụ mail công cộng mailing list, các trang web, các hệ thống theo dõi, firewall…

· Xác nhận và phân tích các thông báo lỗi nhằm phân định rõ mức độ đúng đắn của chúng: có thật sự là lỗi bảo mật không; mức độ ảnh hưởng và tác hại của nó; những hệ thống nào bị ảnh hưởng, có bao nhiêu loại hệ thống bị ảnh hưởng; những chương trình/mã nguồn khai thác có đựơc công bố rộng khắp không và lỗi có đang được khai thác trên mạng chưa…

· Liên hệ với tác giả thông báo lỗi, chủ nhân hệ thống bị lỗi và các chuyên gia khác để tìm hiểu sâu hơn về lỗi bảo mật đó, xây dựng các giải pháp phòng chống và sửa lỗi.

· Công bố rộng rãi những thông tin liên quan đến lỗi mới phát hiện và cách khắc phục. Đồng thời, những thông tin này kèm với các kết quả nghiên cứu, biện pháp khắc phục cũng được cập nhật vào cơ sở dữ liệu lỗi bảo mật của CERT.

3.1.2. Bộ phận phân tích thông tin (Artifact Analysis):

Quá trình này tập trung phân tích mã nguồn của các chương trình mà kẻ tấn công tạo ra với mục đích khai thác những sơ hở, bao gồm:

· Mã nguồn của các chương trình dùng để khai thác có thể là mã nguồn của các virus máy tính, Trojan, script viết bằng các ngôn ngữ web thông dụng.

· Phân tích mã nguồn từ đó tìm hiểu các thông tin như: mục đích của đoạn mã, chúng khai thác lỗi bảo mật nào, làm sao để khắc phục hoặc chống lại, đối tượng bị khai thác là ai, hệ thống nào…

· Xây dựng danh mục các lỗi tìm được và thông tin phân tích chi tiết của chúng

· Xây dựng các bảng đánh giá và dự đoán trước xu hướng phát triển, tính năng của các loại mã nguy hiểm.

3.1.3. Bộ phận xử lý sự cố (Incident Handling):

Quá trình này bao gồm việc đo lường mức độ xâm hại, trợ giúp khắc phục các điểm yếu và thiệt hại, bao gồm:

· Tiếp nhận các thông báo, báo cáo liên quan đến bảo mật máy tính từ các site trên Internet, gồm những thông tin như:

§ Số lượng các lần tấn công, dò tìm, duyệt cổng

§ Số lượng các lần tấn công thành công: đoạt được quyền điều khiển hệ thống, tấn công từ chối dịch vụ và các kiểu khác

§ Các loại công cụ mới, các kiểu tấn công mới

§ Theo dõi và thu thập các thông tin liên quan đến các vấn đề bảo mật từ các nguồn tin trực tuyến như các dịch vụ mail công cộng mailing list, các trang web, các hệ thống theo dõi, firewall…

· Sẵn sàng hỗ trợ liên tục trực tuyến 24/24 đối với các trường hợp:

§ Các hành động có tiềm năng hoặc nguy cơ gây tác hại

§ Có sự đe doạ hoặc tấn công đối với cơ sở hạ tầng mạng Internet, như: các server chính (root) và các server quản lý thông tin DNS, các cơ sở/thiết bị định tuyến (router), các trang web dữ liệu chính của Internet, các điểm truy cập mạng (Network access point – NAP). Đây là các thành phần cơ sở chiếm vị trí rất quan trọng xây dựng nên nền tảng Internet.

§ Những cuộc tấn công đồng loạt thực hiện tự động có ảnh hưởng trên phạm vi lớn, nhiều điểm, nhiều trang web.

§ Những kiểu tấn công mới, những sơ hở bảo mật mới.

§ Những cuộc tấn công nhắm đến hoặc có nguy cơ ảnh hưởng đến các cơ sở Internet của chính phủ.

· Phân tích các thông báo, báo cáo về bảo mật nhằm:

§ Xác định phương thức tấn công

§ Xác định mối tương quan với các báo cáo khác để định vị chính xác tầm mức, phạm vi ảnh hưởng của vấn đề bảo mật

§ Rút ra những vấn đề cần học tập rút kinh nghiệm từ cuộc tấn công, như: những kiểu tấn công mới, sự thay đổi trong tần suất của các phương thức tấn công, những yêu cầu cần để hình thành các cách thức phòng chống mới

· Thông báo trên cộng đồng mạng Internet những thông tin như:

§ Thực trạng hoạt động của nhóm CERT

§ Những thông tin bảo mật mới, những phương tấn công mới

§ Cách thức phát hiện các cuộc tấn công và phục hồi khi gặp sự cố

§ Cách thức thiết lập các hệ thống phòng thủ chống lại các cuộc tấn công trong tương lai

· Những thông tin được công bố trên cộng đồng Internet bao gồm:

§ Những thông tin nguyên cứu (có hạn chế), bảng tóm tắt, thống kê, tư vấn về các vấn đề bảo mật mạng

§ Tình hình hoạt động của nhóm CERT trên trang web www.cert.org (ở Việt Nam có thể sẽ là www.cert.vn

§ Tài liệu kĩ thuật, nghiên cứu đăng tải trên trang web.

3.2. Nguyên tắc hoạt động của CERT© CC

· Đảm bảo tính bảo mật thông tin, công minh không thiên vị, đặc biệt là các thông tin của các nạn nhân

· Cung cấp thông tin tin cậy, không thiên vị

- Không kinh doanh các dịch vụ tư vấn hay các phần mềm

- Không cường điệu hoặc che dấu thông tin, đặc biệt về những nguy cơ lỗi bảo mật, những thiệt hại…

· Làm việc với những bên liên quan mà không quan tâm đến những vấn đề như:

- Các yếu tố mang tính thương mại

- Mức độ hoàn thiện của qui trình phát triển sản phẩm, dịch vụ

- Các yếu tố chính trị

- Khả năng hiện hữu của mã nguồn

- Những chính sách được công bố rộng rãi

· Làm việc trực tiếp với bên liên quan để giải quyết sự cố bảo mật và phát triển các sản phẩm mang tính bảo mật cao hơn: đảm bảo tính thuyết phục giúp bên nạn nhân cung cấp thông tin đầy đủ, chi tiết nhất; giúp bên bị hại xây dựng những giải pháp hoàn thiện hơn; giúp bên bị hại tránh những đánh giá không chính xác về thiệt hại…

· Hợp tác với các tổ chức và chuyên gia đáng tin cậy khác đến từ: các học viện, cơ quan chính phủ, tập đoàn công nghệ cao; áp dụng mô hình hoạt động phân tán: có các cơ sở của nhóm CERT hoạt động tại các tổ chức, hiệp hội, tập đoàn.

· Tổ chức CERT có qui trình thông báo và xử lý sự cố chuyên biệt (Incident Reporting Process): Xem phần I.4

3.3. Tổ chức nhân sự:

Mô hình hoạt động của CERT nói chung cần có sự phối hợp và hỗ trợ của nhiều tổ chức, đặc biệt là các tổ chức chính phủ; các cơ quan quản lý mạng Internet của vùng. Đội ngũ chính tham gia nhóm CERT là các chuyên gia có giởi có kinh nghiệm, đặc biệt ở lĩnh vực bảo mật máy tính. Ngoài mô hình chính hoạt động ở trung tâm, nhóm CERT cần phối hợp với các đơn vị, tổ chức khác để hình thành các đơn vị phản ứng nhanh ở cấp thấp hơn được bố trí tại chỗ nhằm tăng tính hiệu quả hoạt động khi gặp các sự cố có mức độ ảnh hưởng lớn. Nhìn chung mô hình của một nhóm CERT có thể bao gồm các đội ngũ sau:

· Đội ngũ quản lý cấp cao, ở phạm vi quốc gia hoặc ngành: các chuyên gia CNTT giàu kinh nghiệm chịu trách nhiệm điều khiển hoạt động của các nhóm CERT

· Giám đốc - quản lý chính: chuyên gia CNTT nhiều kinh nghiệm quản lý ở mức vùng, tổ chức, cơ quan

· Nhóm kĩ thuật CERT: có vai trò quan trọng trong những thành công của CERT. Đây là đội ngũ các chuyên gia kĩ thuật năng động có khả năng đáp ứng hầu hết các vấn đề về an toàn máy tính. Trách nhiệm của từng thành viên trong nhóm CERT có thể phân định cụ thể tùy thuộc vào khả năng kĩ thuật và vùng hoạt động. Một bộ phận chuyên môn bao gồm: phần chuyên cài đặt, thiết lập, điều khiển các loại hệ thống; chuyên theo hệ điều hành: Windows/Unix, chuyên các hệ quản trị cơ sở dữ liệu; chuyên về mạng và kinh doanh trên mạng; quản trị bảo mật thông tin…

· Nhóm liên lạc, truyền thông: có trách nhiệm đảm bảo thông tin thông suốt cả bên trong và ngoài nhóm, như: liên lạc giữa các thành viên trong nhóm về các thông tin nội bộ; phối hợp hoạt động với bên ngoài cộng đồng Internet; quản lý các cơ sở dữ liệu thông tin, tài liệu hoạt động của nhóm.

3.4. Tổ chức đào tạo:

Nhóm CERT ở các cấp cần thường xuyên phối hợp với các đơn vị tổ chức các khóa đào tạo chuyên môn về bảo mật máy tính nhằm cập nhật những kiến thức mới nhất, kết nạp thành viên. Đồng thời cung cấp các tài liệu kĩ thuật tham khảo trực tuyến hoặc đến các đơn vị có nhu cầu.

4. Qui trình thông báo, xử lý sự cố (Incident Reporting Process)

Nhóm CERT cần định nghĩa một qui trình chuyên biệt phục vụ trong suốt quá trình làm việc từ nhận cảnh báo, xử lý và đáp ứng sự cố. Qui trình này bao gồm tập hợp qui định chung (policies), các mẫu biểu (template, form..) để người dùng Internet dùng để thông báo, tài liệu hướng dẫn…và hai qui trình con sau:

4.1. Qui trình nhận diện và đáp ứng sự cố

Về cơ bản, sau khi nhận báo cáo về sự cố từ các nguồn khác nhau, qui trình tiếp theo sẽ bao gồm các bước sau:

· Định danh sự cố: bộ phận nhận thông báo (theo vùng và tại trung tâm chính) sẽ chịu trách nhiệm kiểm soát mức độ tin cậy của thông báo, của nguồn thông tin, người gởi thông báo… đánh giá sơ bộ mức độ nguy hại của sự cố. Nếu xác định được là sự cố nghiêm trọng cần nâng mức cảnh báo lên cao và thông báo trực tiếp lên bộ phận quản lý trung tâm.

· Phân tích đánh giá sự cố: Từ thông tin nhận được của quá trình định danh, bộ phận phân tích sẽ đánh giá chính xác mức độ nghiêm trọng của sự cố. Dựa vào mức độ nguy hại, tầm ảnh hưởng, ta có thể phân loại sự cố thành các cấp độ từ thấp đến cao như sau:

- Cấp 1: Sự cố về virus máy tính có mức độ ảnh hưởng không nghiêm trọng, ít tính phá hoại; sử dụng tài khoản thông thường không được phép.

- Cấp 2: Sử dụng và thay đổi thông tin riêng của các tài khoản quan trọng (system/root) không được phép; lấy cắp thông tin/thiết bị quan trọng (phần cứng/phần mềm); chỉnh sửa, xóa nội dung trên trang chủ và dữ liệu khác trong trang web.

- Cấp 3: Chế tạo và phát tán virus máy tính đến nhiều vùng, trên nhiều trang web; sử dụng hệ thống thư tín (mail) không được phép.

- Cấp 4: Chiếm quyền điều khiển ứng dụng web quản lý nhiều trang quan trọng; chiếm quyền điều khiển bộ định tuyến (router) của hệ thống mạng.

Việc đánh giá các cấp độ của sự cố cũng cần liên hệ yếu tố kinh doanh và các yếu tố khách quan khác phụ thuộc địa điểm và thời gian xảy ra sự cố. Do đó những cấp độ ở trên có thể không phù hợp trong những hoàn cảnh xác định, vì vậy cần xác định rõ những yếu tố áp dụng để đánh giá và phân cấp.

· Hồi đáp sự cố: Sau khi phân tích chi tiết sự cố, bộ phận đáp ứng nhanh sẽ áp dụng theo mẫu (template) chuẩn định sẵn và các qui định chung khác để phản hồi cho phía thông báo sự cố. Các mẫu này sẽ bao gồm các thông tin như:

- Mức độ (hoặc độ ưu tiên) của sự cố

- Phạm vi (đối với phạm vi không xác định) hoặc phòng ban nào (đối với tổ chức, doanh nghiệp…) cần được cảnh báo.

- Mô tả chi tiết sự cố

- Mức ảnh hưởng

- Những đề xuất cần thực hiện ngay

- Những thông tin bổ trợ khác phục vụ cho việc xử lý sự cố

- Những yêu cầu thông báo khác (nếu cần)

· Theo dõi, giám sát: Tình trạng sự cố cần được theo dõi liên tục để đảm bảo tính hiệu quả của việc đáp ứng, từ khi bắt đầu cho đến lúc giải quyết xong sự cố. Việc liên lạc giữa các bên có thể thực hiện thông qua các phương tiện liên lạc như: điện thoại, email…

· Kiểm duyệt: Sau khi giải quyết xong sự cố, bộ phận kiểm duyệt cần kiểm tra lại toàn bộ qui trình làm việc để đảm bảo qui trình được tuân thủ nghiêm ngặt; các chi tiết, tài liệu, giấy tờ liên quan từ đầu đến khi giải quyết xong sự cố cần được lưu trữ, tổng hợp để đánh giá tiến độ và tính hiệu quả; rút ra bài học kinh nghiệm (nếu có) từ đó tiếp tục hoàn thiện qui trình.

4.2. Qui trình công bố sơ hở bảo mật, sự cố

· Thiết lập cơ sở hạ tầng (máy chủ lưu trữ cơ sở dữ liệu lỗi bảo mật và sự cố, các tài liệu thuộc qui trình làm việc…), hệ thống mạng, tên miền, trang web

· Phối hợp các bên liên quan để thống nhất những chi tiết sẽ được công bố trên cộng đồng Internet

· Công bố lỗi bảo mật lên trang chủ, các danh sách mailing list công cộng của nhóm, báo chí và các phương tiện truyền thông có liên quan khác.

· Theo dõi và đóng thông báo khi đã công bố theo lượng thời gian nhất định.

· Hỗ trợ các tài liệu kĩ thuật cập nhật mới nhất trực tuyến trên trang chủ hoặc thông qua các cuộc hội thảo, các khóa đào tạo.

5. Địa điểm và cách thức liên lạc

Trang chủ đề xuất: http://www.cert.vn

6. Các đơn vị tài trợ

Để duy trì hoạt động hiệu quả của nhóm, CERT cần sự trợ giúp của các cá nhân, đơn vị, các ban ngành liên quan.

II. CÁC MÔ HÌNH ĐIỂN HÌNH CERT TRÊN THẾ GIỚI

Tham khảo của các nhóm CERT ở các nước:

- www.thaicert.nectec.or.th

Tham khảo tại www.cert.org

1. Số lượng các sự cố được thông báo:

1988-1989