Bài trình bày tại Security Bootcamp 2016 tại TP. Cao Lãnh, Đồng Tháp, ngày 10/09/2016

1. VỤ TẤN CÔNG VÀO VNA
VÀ MỘT VÀI GỢI Ý
LÊ TRUNG NGHĨA
TRUNG TÂM NGHIÊN C U VÀ PHÁT TRI NỨ Ể
QU C GIA V CÔNG NGH MỐ Ề Ệ Ở
letrungnghia.foss@gmail.com

2. N I DUNGỘ
●
Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
●
S nguy hi m c a t n công APTự ể ủ ấ
●
Mô hình đ chín an ninh không gian m ngộ ạ
●
Mô hình m ng 7 l p OSI và vòng đ i d li uạ ớ ờ ữ ệ
●
Vài g i ýợ

3. Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
- 29/07/2016, thứ sáu, 23h07:
Thông tin về cuộc tấn công vào VNA trên Facebook:
'Một số cảnh báo... đã thành việc thật'
- 30/07/2016, thứ bảy, 09h08, ict_vn@googlegroups.com đăng link bài
của VnExpress:
'Sân bay Nội Bài, Tân Sơn Nhất bị tin tặc tấn công'
và gợi ý: 'Giá như (if ... were ...; если бы...) ta dùng FOSS...'

4. Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
- 31/07/2016, chủ nhật, 07h36, ict_vn@googlegroups.com có phỏng đoán:
Về lý thuyết:
- Nếu họ đã ở đó từ lâu thì việc làm sạch các backdoor sẽ khó hơn nhiều vì sự tấn công
biên của mô hình tấn công APT, và có thể sẽ không chỉ mạng này, mà các mạng khác có kết
nối với mạng này.
- Nếu hệ thống sử dụng toàn đồ Windows làm hệ điều hành, thì các bộ cửa hậu của người
TQ là vô vàn. Chỉ 1 đơn vị APT đã có 40 bộ như vậy, mà có tới 30 đơn vị APT như vậy
được thấy tồn tại.
- Nếu hệ thống không có kết nối Internet thì vẫn không có gì đảm bảo an toàn cho nó cả,
hãy xem xét liệu có vật trung gian nào có thể gây lây nhiễm hay không (ví dụ, các đầu USB)
như vụ Stuxnet.
- Nếu hệ thống được xây dựng bằng các thiết bị phần cứng và thiết bị kết nối mạng của các
hãng như Huawei và ZTE thì ... chắc là chờ tới cuộc tấn công lần sau.

5. Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
- 02/08/2016, thứ ba, 18h47: ict_vn@googlegroups.com đăng link bài của PCWorld:
'Vietnam Airlines bị xâm nhập từ giữa năm 2014 '
Lời bình: Như trong bài viết, thì đúng là APT.
- 04/08/2016, thứ năm, 09h45, ict_vn@googlegroups.com đăng link bài của PCWorld:
'VNCERT công bố 4 mã độc cần ngăn chặn khẩn cấp sau vụ Vietnam Airlines bị hack '
Rà quét hệ thống và xóa các thư mục – tập tin mã độc có kích thước tương ứng
a) C:Program FilesCommon FilesMcAfeeMcAfee.exe (137.28 KB)
- MD5: 884D46C01C762AD6DDD2759FD921BF71
- SHA-1: D201B130232E0EA411DAA23C1BA2892FE6468712
b) C:Program FilesCommon FilesMcAfeeMcUtil.dll (3.50 KB)
- MD5: C52464E9DF8B3D08FC612A0F11FE53B2
- SHA-1: E464D10AD93600232D7A24856D69F00510949A40
...
...

6. Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
Lời bình: Hy vọng có ai đó kiểm tra xem những thứ đó có nằm trong kho
vũ khí của APT1, tức đơn vị 61398 của Quân đội Trung Quốc, qua các tài
liệu do Mandiant tiết lộ, như sau:
1. Kho vũ khí (của đơn vị 61398, quân đội Trung Quốc)
2. Phụ lục E (Digital) - MD5s
3. Phụ lục F (Digital) - SSLCertificates
Có vẻ như gần giống
với các mẫu VNCERT
công bố ở bên trên.

7. Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
- 08/08/2016, thứ hai, 18h19: ict_vn@googlegroups.com đăng link bài
của Lao Động:
'Mã độc tấn công Vietnam Airlines xuất hiện ở nhiều cơ quan, doanh nghiệp'
Lời bình: Có thể các mã độc đã hành xử đúng theo các mục 3.3, 3.4, 3.5
và 3.6 của các slide số 8, 9, 10 và 11 của bài nói về mô hình tấn công
APT tại địa chỉ:
http://www.slideshare.net/lnghia/apt-oct2014
Nếu đúng là như vậy, thì có lẽ vụ này chưa kết thúc ở đây.
Hy vọng mọi sự sẽ không xấu tới mức đó.

8. Theo dòng th i gian thông tin v cu c t n côngờ ề ộ ấ
Nếu đúng, thì vì sao vụ này chưa kết thúc ở đây?

9. S nguy hi m c a t n công APTự ể ủ ấ
Tấn công APT chỉ dừng lại khi tất cả các cửa hậu bị quét sạch hoàn toàn!

10. Mô hình đ chín an ninh không gian m ngộ ạ
Hi n t i, Vi t Nam ch a có kh năng đ ch ng các APT vàệ ạ ệ ư ả ể ế ự
các m i đe d a không gian m ng do nhà n c - qu c gia đ ng đ ng sau!ố ọ ạ ướ ố ứ ằ
E. Tuân theo học thuyết để “dập tắt lửa” được tốt nhất.
D. Áp dụng từng phần công cụ & công nghệ để hỗ trợ đối phó nhanh hơn.
C. Hệ thống được tích hợp nhằm vào tính tương hợp và các tiêu chuẩn trao đổi dữ liệu về
nhận thức bảo an thông tin.
B. Lanh lẹ, đoán trước được tình huống, ra chính sách nhanh, chuyên nghiệp, làm rõ sự
việc, giúp người vận hành tìm, sửa và đối phó lại.
A. Dự đoán trước được sự việc, cô lập và chịu đựng được thiệt hại nếu có, đảm bảo an
ninh cho chuỗi cung ứng & bảo vệ được hạ tầng sống còn.

11. Mô hình m ng 7 l p OSI và vòng đ i d li uạ ớ ờ ữ ệ
- 7 lớp mạng theo OSI, Việt Nam chưa làm chủ được bất kỳ lớp nào → nên tập
trung vào mã hóa - giải mã dữ liệu → theo suốt cả vòng đời dữ liệu.
- Sử dụng Cloud Capsule để bảo mật dữ liệu đám mây, nếu sử dụng đám mây.

12. Vài g i ýợ ►
Các câu hỏi cũ, các gợi ý cũ từ 2014!

13. Vài g i ýợ
1. Khi xây dựng các hệ thống mạng của nhà nước và doanh nghiệp, luôn hướng
tới các hệ thống có khả năng đàn hồi (resillience system).
2. Tăng cường nghiên cứu về mật mã, mã hóa - giải mã dựa vào công nghệ mở,
bao quanh tất cả các bước trong vòng đời dữ liệu; tăng cường sự hợp tác giữa
BCYCP với Viện Toán học và các nhà toán học về mật mã.
3. Xây dựng hệ thống CPĐT dựa vào công nghệ mở: phần mềm tự do nguồn
mở và chuẩn mở, luôn tâm niệm để thoát khỏi sự khóa trói vào nhà cung cấp.
4. Dần loại bỏ các nền tảng hệ điều hành Windows trong tất cả các hệ thống
thông tin của nhà nước, cả ở phía máy chủ lẫn ở phía máy trạm.
5. Thay đổi luật để tất cả các cơ sở giáo dục công lập hướng tới việc không dạy
sử dụng Windows và bất kỳ hệ điều hành sở hữu độc quyền nào.

14. Tài li u & thông tin tham kh oệ ả
1. https://www.fireeye.com/current-threats/threat-intelligence-reports.html
2. APT1 - Phát hiện một trong các đơn vị gián điệp không gian mạng
của Trung Quốc. Mandiant xuất bản năm 2013, 84 trang;
3. APT1 - Exposing One of China's Cyber Espionage Units, 2013:
- Appendix C: The Malware Arsenal; Appendix D: FQDNs;
- Appendix E: MD5s; Appendix F: APT1 SSL Certificates;
4. APT 30 and the Mechanics of a long-running cyber espionage operation, 2015
5. Cyber Security Maturity Model, Robert Lentz, Former DoD CISO, Deputy Assistant
Secretary Cyber, 2011
6. Vòng đời các mối đe dọa thường trực cao cấp, 2013
7. Tấn công khai thác mạng máy tính theo mô hình APT, Security Bootcamp 2014 tại Đà Nẵng.
8. Tiếp cận mô hình mạng 7 lớp OSI và đề xuất cho Việt Nam về an toàn thông tin dữ liệu, 2015
9. Vòng đời an toàn thông tin - dữ liệu và các công cụ nguồn mở bảo vệ dữ liệu, 2015
10. Thư ngỏ dành cho những ai có quan tâm, 02/04/2016
11. An toàn thông tin và xu hướng chuyển sang nguồn mở, 2014
12. Hiểu về mô hình độ chín an ninh không gian mạng, trang 36-39 tài liệu 'Quản lý và bảo mật
thông tin doanh nghiệp', chương trình nâng cao năng lực CIO trong doanh nghiệp, 2013.
13. PMTDNM ở Việt Nam tại sao cần!, 2014

15. C m nả ơ
Hỏi đáp
Lê Trung Nghĩa
Trung tâm Nghiên cứu và Phát triển Quốc gia về
Công nghệ Mở, Bộ Khoa học và Công nghệ
Email: letrungnghia.foss@gmail.com
Blog: http://vnfoss.blogspot.com/
và: http://letrungnghia.mangvn.org/
Facebook: https://www.facebook.com/lnghia