ICTnews – Đội hacker với chỉ khoảng 4 người đã cài đặt thành công phần mềm độc hại vào máy tính của nhóm phòng thủ có đông thành viên hơn.

Một ngày, bỗng dưng một người nhận được email từ người quen. Nội dung email là hồ sơ xin việc của người gửi. Vì người nhận và người gửi quen biết nhau nên người nhận lập tức mở email và tải file đính kèm về máy tính mà không có chút mảy may nghi ngờ. Khi mở file đính kèm ra, người nhận vô tình đã kích hoạt phần mềm độc hại mà không biết. Đó chính là một trong ba kịch bản của đợt Diễn tập bảo vệ Hệ thống Thông tin thành phố Hồ Chí Minh năm 2015, diễn ra tại công viên phần mềm Quang Trung (TP.HCM) hôm 18/11/2015.

he-thong-thong-tin-1

Quang cảnh chính của buổi diễn tập. Trong đó màn hình bên phải là màn hình máy tính của đội phòng thủ, màn hình bên trái là màn hình của đội tấn công (hacker), màn hình chính giữa để mô phỏng quy trình hành động khi bị tấn công. Các cuộc tấn công này diễn ra trong môi trường mô phỏng là Cisco Cyber Range.

he-thong-thong-tin-2

Các thành viên đội đỏ, đội phòng thủ.

he-thong-thong-tin-3

Đại diện đội phòng thủ là một chuyên gia của Cisco sẽ thuyết minh quá trình hành động của các chiến sĩ an toàn thông tin khi bị tấn công.

he-thong-thong-tin-4

Đội tấn công, hacker, khá ít nhân sự.

he-thong-thong-tin-5

Đội tấn công cũng có một chuyên gia nhằm thuyết minh các hướng tấn công cho khách tham dự hiểu rõ.

he-thong-thong-tin-6

Ông Ngô Vi Đồng – Chủ tịch chi hội An toàn thông tin phía Nam – đang thuyết minh mở màn kịch bản tấn công của hacker: tấn công có chủ đích nhằm lấy trộm dữ liệu.

he-thong-thong-tin-7

Nhóm hacker đang soạn nội dung email để gửi cho một người quen bên nhóm phòng thủ.

he-thong-thong-tin-8

Nhóm phòng thủ nhận được thư, với nội dung là sơ yếu lý lịch của người gửi.

he-thong-thong-tin-9

Vì người gửi là người quen, một người trong nhóm phòng thủ không nghi ngờ và mở file PDF lên.

he-thong-thong-tin-10

Lúc này máy tính của nhóm phòng thủ đã bị nhiễm virus, màn hình của nhóm hacker (bên trái) giống với màn hình bên phải của nhóm phòng thủ, do nhóm hacker đã chiếm được quyền điều khiển máy tính của một người nhóm phòng thủ. Màn hình chính giữa cho thấy quy trình hiện nay của quá trình tấn công.

he-thong-thong-tin-11

Nếu đây là tình huống ngoài đời thực, thì khoảng hai tuần sau người chủ của máy tính nhiễm virus mới phát hiện ra máy bị nhiễm do quan sát thấy các biểu hiện khác thường của máy. Người chủ máy tính lập tức báo cho chuyên gia an toàn thông tin, chuyên gia an toàn thông tin bằng các biện pháp nghiệp vụ và phần mềm hỗ trợ phát hiện ra có những bất thường ở máy tính bị cài mã độc.

he-thong-thong-tin-12

Chuyên gia này liền sử dụng công cụ hỗ trợ, là phần mềm ghi lại qua trình hoạt động của file lạ, từ lúc được tải xuống từ email đến thời điểm hiện tại. 

he-thong-thong-tin-13

Vị chuyên gia nhận thấy có hai máy trong hệ thống đều được gắn nhãn cho phép liên lạc với tất cả máy tính trong cùng mạng, trong khi đó một trong hai máy chỉ là dạng máy “khách” – không phải máy tính của hệ thống – nhưng lại có khá nhiều quyền điều khiển.

he-thong-thong-tin-14

Ngay lập tức, IP máy khách bị từ chối (Deny), không cho kết nối vào hệ thống.

he-thong-thong-tin-15

Ở phía máy tính của nhóm hacker, kết nối đã bị ngắt, hacker không còn khả năng kết nối vào máy tính của đội phòng thủ để chiếm quyền điều khiển.

he-thong-thong-tin-16

Quy trình xử lý sự cố vào giai đoạn cuối cùng, lỗ hổng đã được xử lý. Quy trình xử lý dạng này rất quan trọng để người làm an toàn thông tin tham khảo nhằm tiến hành từng bước chặt chẽ trong quá trình chống lại các cuộc tấn công.

Trên đây chỉ là những mô tả tổng quát của một trong ba hình thức tấn công mạng được mô phỏng trong đợt Diễn tập bảo vệ Hệ thống Thông tin thành phố Hồ Chí Minh năm 2015. Thực tế của đợt tấn công này khá phức tạp, cần có các chuyên gia như hai người đại diện đội phòng thủ và tấn công kể trên thuyết minh thì mới thấy chi tiết cụ thể từng quy trình xử lý.

Theo ictnews
Tin công nghệ bảo mật giải pháp lưu trữ an toàn
phản hồi