SecuStories #1 : Hacker và lịch sử hình thành

SecuStories #1 : Hacker và lịch sử hình thành

VSEC - BLOG Bảo mật cho người mới

Khi nghe thấy thuật ngữ “hacker” – tin tặc, nhiều người sẽ nghĩ ngay đến hình ảnh những kẻ tội phạm mạng, đột nhập vào các hệ thống máy tính để đánh cắp dữ liệu hoặc gây thiệt hại. Tuy nhiên, bạn có thể ngạc nhiên khi biết rằng thế giới sẽ tồi tệ hơn nhiều nếu không có hacker.

Hack là gì ?

Chúng ta hãy mở đầu câu trả lời cho câu hỏi này bằng cách làm rõ rằng không phải hacker nào cũng là tội phạm.

Khi được sử dụng liên quan đến máy tính, công chúng thường liên tưởng việc hack với việc truy cập trái phép vào hệ thống máy tính, tài khoản cá nhân và mạng máy tính hoặc lạm dụng các thiết bị kỹ thuật số – chủ yếu là để thu lợi tài chính hoặc gây thiệt hại. Với sự đưa tin của các phương tiện truyền thông, người ta có thể dễ dàng nghĩ rằng tin tặc luôn hành động thiếu thiện chí.

Điều gì tạo nên một hacker? “Hack” là quá trình sử dụng kỹ năng và kiến thức kỹ thuật để giải quyết một vấn đề hoặc thách thức cụ thể. Điều này có thể được thực hiện với hoặc không có sự tham gia của máy tính. 

Nhiều người cũng nghĩ rằng “hacker” ám chỉ một cá nhân có tư duy siêu việt hoặc một kẻ lừa đảo thượng hạng. Hacker thực sự thường có kỹ năng phần cứng hoặc phần mềm máy tính để có thể sử dụng chúng ngoài mục đích ban đầu của nhà phát triển. Khi Hacker đột nhập vào mạng hoặc hệ thống máy tính, đó được gọi là security hacking. Mặc dù thông thường, hacker thường được truyền thông đặt cho cái tên là “tội phạm mạng” chuyên đánh cắp dữ liệu và gây ra các loại thiệt hại kỹ thuật số khác, nhưng thuật ngữ chính xác cho loại hình hack bất hợp pháp (illegal hacking) đó là bẻ khoá (cracking).

Lịch sử Hacking

Vụ hack đầu tiên gần giống với định nghĩa hiện đại của chúng ta là vào năm 1903. Năm 1903, kỹ sư điện và nhà phát minh người Ý Guglielmo Marconi, đã chuẩn bị trình diễn hệ thống truyền dẫn không dây mới được phát minh gần đây của mình ở Anh. 

Marconi đã tuyên bố rằng đường truyền không dây của anh ấy là “an toàn và riêng tư”. Nhưng một nhà phát minh và pháp sư đối thủ tên là Nevil Maskelyne (1863-1924) đã chứng minh anh ta sai. Khi Marconi chuẩn bị bắt đầu cuộc trình diễn của mình, một cuộc truyền tải khắp nước Anh thông qua mã morse, Maskelyne là người đã xâm nhập vào tín hiệu bằng mã morse của chính mình mà thiết bị Marconi nhận được. Tin nhắn của anh ấy có một vài từ chọn lọc nhắm vào Marconi. Việc truyền tin lừa đảo này đã bị nhà vật lý học John A. Fleming, người sẽ nhận được tin nhắn của Marconi, chê bai là “chủ nghĩa côn đồ khoa học”. Nhưng đã quá muộn – Maskelyne đã công khai vạch trần một lỗ hổng nghiêm trọng trong công nghệ của Marconi (mà Marconi đã biết) và Marconi rõ ràng không hài lòng về điều đó.

120 năm sau, khi nhìn lại sự kiện trên, thật vui khi có thể nói rằng “Chúng ta đã đi được một chặng đường dài kể từ đó”.

Hacking trở thành một loại hình chính thức

Các thành viên của Tech Model Railroad Club – Câu lạc bộ Đường sắt Mô hình Công nghệ tại MIT (Viện Công nghệ Massachusetts) là những người đầu tiên sử dụng thuật ngữ “hack” trong bối cảnh công nghệ. Sau Thế chiến thứ hai, những sinh viên này bắt đầu sử dụng từ “hack” để biểu thị một giải pháp sáng tạo (và đôi khi không chính thống) cho một vấn đề kỹ thuật. Đây có thể coi là định nghĩa “chính thức” đầu tiên của thuật ngữ này vẫn được áp dụng cho đến ngày nay.

Chuyển sang đầu những năm 1960, khi máy tính bắt đầu trở nên dễ tiếp cận hơn với các cơ sở học thuật. Đó là vào thời của chương trình Apollo của NASA, nơi Phòng thí nghiệm thiết bị tại MIT được giao nhiệm vụ phát triển phần cứng và phần mềm máy tính để đưa con người lên mặt trăng, trước sự ngạc nhiên và thất vọng của các công ty lâu đời như IBM. Trên thực tế, hợp đồng phát triển hệ thống máy tính cho Apollo là một trong những hợp đồng đầu tiên được trao trong toàn bộ chương trình. Các thành viên câu lạc bộ tò mò khi bước vào lĩnh vực công nghệ mới này đã mang theo thuật ngữ này. Kể từ đó, “hack” đã gắn liền rất chặt chẽ với điện toán.

Nhưng phải đến đầu những năm 1980, hack như một hiện tượng được công nhận rộng rãi mới bắt đầu phát triển. Lần đầu tiên, máy tính có sẵn và giá cả phải chăng cho công chúng. Hầu như ai cũng có thể mua một chiếc máy tính và thử nghiệm hack từ thời điểm đó trở đi. Và họ chắc chắn đã làm thử nghiệm. Việc hack có nhiều hình thức khác nhau – từ thuần thú vị đến thử thách trí óc, đến gây khó chịu nhẹ cho đến tội phạm thẳng thắn. Đây cũng là thời kỳ Chiến tranh Lạnh, vì vậy gián điệp máy tính tất nhiên là một chủ đề được đưa lên hàng đầu các tiêu đề.

Nhiều hacker nguy hiểm nhất thế giới trong những năm gần đây lấy cảm hứng từ những người tiên phong đầu tiên này.

Đến năm 1986, “criminal hacking” – tội phạm mạng đã trở nên phổ biến ở Mỹ đến mức Đạo luật Lừa đảo và Lạm dụng Máy tính (CFAA) đã được thông qua. Đây là luật đầu tiên trên thế giới chống lại tội phạm mạng.

Các loại Hacker

Hack chủ yếu là về khả năng sáng tạo vô biên, sự đổi mới không sợ hãi và sự can đảm để đi chệch khỏi lối suy nghĩ tiêu chuẩn. Câu lạc bộ máy tính Chaos, hiệp hội hacker lớn nhất ở châu Âu, định nghĩa hack là “việc sử dụng công nghệ một cách sáng tạo, thiết thực và thiếu tôn trọng”. Thật không may, không phải tất cả các hacker đều chấp nhận việc hack vì mục đích hack.

Dựa trên tính hợp pháp của các hoạt động của họ, tin tặc có thể được chia thành ba nhóm lớn.

Hacker mũ đen

Hacker mũ đen xuất hiện thường xuyên nhất trên các phương tiện truyền thông: tội phạm mạng đeo mặt nạ khéo léo đột nhập vào hệ thống máy tính để đánh cắp hoặc sửa đổi dữ liệu hoặc thực hiện các hành vi bất hợp pháp khác. 

Khi một hacker mũ đen phát hiện ra điểm yếu trong phần mềm, anh ta hoặc cô ta sẽ khai thác lỗ hổng đó cho mục đích phạm tội. Hacker có thể viết một chương trình/phần mềm khai thác. Đó là một phần mềm khai thác điểm yếu để xâm nhập vào hệ thống máy tính và phát tán phần mềm độc hại. Tin tặc cũng có thể rao bán khám phá này trên web đen. Đôi khi hacker mũ đen thậm chí còn cố gắng ép buộc (hoặc hối lộ) người khác làm việc cho họ. Đây được gọi là mối đe dọa nội bộ. Vào tháng 8 năm 2020, một hacker đã đề nghị cho nhân viên Tesla 1 triệu USD để bí mật cài đặt ransomware tại siêu nhà máy của công ty ở bang Nevada của Hoa Kỳ. May mắn thay, nhân viên này đã báo cáo việc này với FBI và hacker đã bị bắt.

 

Hacker mũ trắng và hacker đạo đức

Không giống như hacker mũ đen, hacker mũ trắng tiến hành hoạt động một cách công khai. Hacker mũ trắng là đối trọng của hacker mũ đen

Các công ty thường thuê hacker mũ trắng cố tình tấn công hệ thống và phần mềm của họ nhằm phát hiện ra các lỗ hổng hoặc vấn đề bảo mật. Đây được gọi là thử nghiệm thâm nhập – Penetration Testing. Điều này cho phép các công ty tăng cường bảo mật trước khi hacker mũ đen có thể xâm nhập. Do đó, người ta nói rằng tin tặc mũ trắng tham gia vào hoạt động hack có đạo đức. Một số tin tặc mũ trắng làm việc nội bộ tại các tổ chức lớn, trong khi những tin tặc khác hoạt động như những người làm việc tự do hoặc lao động tự do. Hơn nữa, tin tặc có đạo đức cũng có thể khiến nhân viên bị lừa đảo để kiểm tra mức độ phục hồi của tổ chức trước các cuộc tấn công thực sự và để xác định các khu vực cần đào tạo bổ sung về an ninh mạng.

Họ cũng báo cáo các lỗ hổng trong một ứng dụng nhất định cho nhà cung cấp hoặc nhà phát triển ứng dụng bị ảnh hưởng, đôi khi là “pro bono”, đôi khi để nhận tiền thưởng lỗi được trả cho bất kỳ nhà nghiên cứu nào phát hiện ra lỗ hổng nghiêm trọng.

 

Hacker mũ xám

Với sự pha trộn giữa đen và trắng, các hacker mũ xám với cách thức hoạt động tự do hơn, họ không phải là những người có lòng vị tha nhưng cũng không chuyên tham gia vào các hoạt động tội phạm.

Hacker mũ xám thường hack trước rồi mới xin phép. Mặt khác, các hacker có đạo đức sẽ yêu cầu phê duyệt trước. Nhiều hacker mũ xám trước tiên sẽ quét hệ thống hoặc phần mềm của công ty để tìm kiếm các vấn đề bảo mật. Chỉ khi họ đã tìm thấy thì họ mới đưa ra giải pháp. Tất nhiên là có tính phí. Các hacker mũ xám khác sử dụng hack như một phương tiện hoạt động. Họ công khai các lỗ hổng, để công ty được đề cập bị áp lực của dư luận buộc phải khắc phục vấn đề. Sau khi một hacker mũ xám phát hiện ra vấn đề bảo mật tại Facebook vào năm 2013 và sau đó bị công ty này liên tục từ chối, anh ta đã quyết định tấn công Mark Zuckerberg bằng cách lợi dụng thông tin rò rỉ để đăng thông báo lên dòng thời gian của CEO.

Mặc dù hoạt động của hacker mũ xám có thể mang lại kết quả tích cực nhưng việc hack mà không được phép vẫn là bất hợp pháp. Trong một số trường hợp, tin tặc đã công khai tiết lộ một lỗ hổng và sau đó đã được sửa, nhưng sau đó lại bị tổ chức liên quan khởi kiện (hoặc bị chính quyền quấy rối theo lệnh của họ). Cách tiếp cận “bắn người đưa tin” này được nhiều người coi là một động thái không khôn ngoan, bởi vì một khi một tổ chức nổi tiếng vì thực hiện hành động pháp lý chống lại các nhà nghiên cứu tiết lộ điểm yếu, họ sẽ không nhận được thêm thông báo nào như vậy trong tương lai – hoặc ít hơn rất nhiều. Những tin tức như vậy lan truyền rất nhanh trong cộng đồng bảo mật và không thể giữ bí mật được. Thay vào đó, các nhà nghiên cứu có thể tự mình nhờ đến chính quyền để vạch trần sự sơ suất và vi phạm quyền riêng tư – hoặc họ “ngồi xuống và thưởng thức”.

Hacker hoạt động thế nào ?

Hầu hết việc hack là một vấn đề kỹ thuật nhưng tin tặc cũng có thể sử dụng kỹ thuật xã hội để lừa người dùng nhấp vào tệp đính kèm độc hại hoặc cung cấp dữ liệu cá nhân. Bên cạnh kỹ thuật xã hội và quảng cáo độc hại, các kỹ thuật hack phổ biến bao gồm: botnet, DDoS, ransomware và phần mềm độc hại khác.

Nếu bạn muốn có cái nhìn tổng quan về kho công cụ của hacker thì không có cái nào toàn diện cả. Nhưng có một số công cụ – thương mại cũng như nguồn mở – được tin tặc ở cả hai đầu sử dụng, chẳng hạn như nmap, mimikatz, Ghidra, burp, Cain&Abel, Purple Knight hoặc Metasploit. Mỗi công cụ có một công dụng riêng và tin tặc thường tập hợp các bộ công cụ của riêng mình.

Từ Script Kiddies đến tội phạm có tổ chức

Thật không may, hack đã phát triển từ trò nghịch ngợm của tuổi teen thành một doanh nghiệp tăng trưởng hàng tỷ đô la, những người ủng hộ nó đã thiết lập một cơ cấu trọng tội phát triển và bán các công cụ hack chìa khóa trao tay cho những kẻ lừa đảo có kỹ năng chuyên môn thấp hơn (được gọi là “script-kiddies”). 

Bạn có thể nói rằng tin tặc cố gắng đột nhập vào máy tính và mạng vì bất kỳ lý do nào trong năm lý do sau. 

  • Có những lợi ích tài chính điển hình như trộm cắp số liệu thẻ tín dụng hoặc lừa đảo hệ thống ngân hàng. 
  • Phá hoại hoặc tấn công danh tiếng của mọi người hoặc công ty là động cơ thúc đẩy một số tin tặc khi họ để lại dấu ấn trên các trang web. Điều này còn được gọi là “Defacement”.
  • Ngoài ra còn có hoạt động gián điệp công nghiệp, trong đó tin tặc của một công ty tìm cách đánh cắp thông tin về sản phẩm và dịch vụ của đối thủ để đạt được lợi thế kinh doanh. 
  • Và tất nhiên, toàn bộ các quốc gia tham gia vào hoạt động hack do nhà nước bảo trợ để đánh cắp thông tin kinh doanh và/hoặc thông tin công cộng, nhằm gây mất ổn định cơ sở hạ tầng hoặc thực sự là tạo ra sự bất hòa và nhầm lẫn trong xã hội của quốc gia mục tiêu của họ. 
  • Và cũng có hacker có động cơ chính trị hoặc xã hội. Họ thường cố gắng thúc đẩy một mục đích nào đó nhưng lại thiếu động lực tài chính. Những nhà hoạt động hacker hay còn gọi là “hacktivists” này cố gắng hướng sự chú ý của công chúng đến một vấn đề bằng cách chiếu ánh sáng không mấy tích cực vào mục tiêu – nói chung là bằng cách công khai thông tin nhạy cảm. Các nhóm hacktivist nổi tiếng nhất, cùng với một số hoạt động nổi tiếng hơn của họ là  Anonymous ,  WikiLeaks và  LulzSec . Vấn đề với những loại tin tặc này là họ sử dụng các kỹ năng hack của mình với một số kiểu tinh tế ‘Robin Hood’ và điều đó khiến nhiều người bối rối khi nghĩ rằng hành động của họ luôn hợp pháp. 

Nhiều người giải quyết một vấn đề chính đáng bằng những cách đôi khi đáng nghi ngờ. Những tin tặc này dường như làm cho toàn bộ ngành công nghiệp hack có vẻ ngầu hoặc quyến rũ vì những lý do sai lầm. Đó là một điều nguy hiểm vì nó có thể khiến những người có tiềm năng tốt nhưng thiếu kinh nghiệm vượt qua một ranh giới rất mỏng manh.

Hack có vi phạm pháp luật không?

Hack không sai, cái sai ở đây là không được sự đồng thuận của chủ sở hữu.

Hacker mũ trắng có toàn quyền, cơ bản là các quyền đó đều đã được khách hàng cấp phép. Tuy nhiên đối với Hacker mũ xám, nếu công khai phát hiện của mình, họ có thể phải chịu hậu quả pháp lý, mặc dù họ có thể có ý định tốt.

Tất nhiên, mọi hoạt động của hacker mũ đen đều là bất hợp pháp. Nếu bạn trở thành nạn nhân của hacker mũ đen, bạn có thể và nên báo cáo tội phạm mạng này cho các cơ quan hữu quan ở quốc gia hoặc khu vực của bạn. Điều này có thể giúp giảm thiểu thiệt hại gây ra, đưa hacker ra trước công lý và hy vọng ngăn chặn được những nạn nhân tiếp theo trong tương lai.

Khuôn khổ nào cho Hacker?

Theo cơ quan an ninh mạng của nước này ‘The Centre for Cyber Security Belgium – Trung tâm An ninh Mạng Bỉ’, Bỉ đã trở thành quốc gia (châu Âu) đầu tiên áp dụng khuôn khổ bến cảng an toàn toàn diện và quốc gia dành cho các tin tặc có đạo đức. Cơ quan này, còn được gọi là CCB, đã công bố chính sách bảo vệ các cá nhân hoặc tổ chức khỏi bị truy tố – tùy thuộc vào việc đáp ứng một số điều kiện “nghiêm ngặt” nhất định – khi họ báo cáo các lỗ hổng bảo mật ảnh hưởng đến bất kỳ hệ thống, ứng dụng hoặc mạng nào ở Bỉ.

Theo quy trình được tạo trong chính sách tiết lộ lỗ hổng bảo mật phối hợp quốc gia (CVDP), CCB – nhóm ứng phó khẩn cấp máy tính (CSIRT) của Bỉ – hiện có thể nhận được báo cáo về lỗ hổng CNTT cung cấp cho các nhà nghiên cứu bảo mật một số biện pháp bảo vệ pháp lý trong trường hợp đáp ứng các điều kiện sau:

  • Họ phải thông báo cho chủ sở hữu công nghệ dễ bị tấn công (ví dụ: Trang web, gói phần mềm, v.v.) càng sớm càng tốt và cùng lúc với CCB
  • Hành xử không có ý định gian lận hoặc có ý định làm hại
  • Hành động nghiêm ngặt theo cách tương xứng để chứng minh sự tồn tại của lỗ hổng
  • Họ cần gửi báo cáo lỗ hổng cho CCB càng sớm càng tốt theo định dạng cụ thể
  • Thông tin về lỗ hổng và hệ thống dễ bị tấn công có thể không được tiết lộ ra công chúng nếu không có sự đồng ý của CCB

Nhưng chúng ta phải cẩn thận và vẫn còn rất nhiều câu hỏi cần trả lời… 

Và tôi nghĩ có một số sắc thái mà chúng ta cần xem xét. Liệu một hacker có đạo đức có thể thực hiện thử nghiệm thâm nhập toàn diện vào một công ty mà không hề hay biết không? Một hacker đạo đức có thể phát hành 0-days mới trên tất cả các địa chỉ IP của Bỉ không? Thật tốt khi luật pháp đã có và bảo vệ những hacker có đạo đức, nhưng đó vẫn không phải là tấm thẻ ra tù. Một hacker có đạo đức tìm thấy SQL Insert và sau đó xóa toàn bộ cơ sở dữ liệu để chứng minh rằng anh ta đã tìm thấy lỗi vẫn có thể bị trừng phạt.

Nói tóm lại, từ ngày hình thành đến nay, Hacker đã phát triển và liên tục biến đổi. Nó đã đặt nền móng cho ngành an ninh mạng phát triển đến quy mô hiện nay và vẫn tiếp tục mở rộng. Cùng với đó, nhân loại cũng đang tìm cách xây dựng, đưa ra các khuôn khổ để hạn chế rủi ro cho chính mình và cho cả những hacker có đạo đức.

Vẽ hình với OpenCV

Công nghệ

Ở bài trước, bạn đọc hẳn đã nắm được cách tương tác cơ bản với ảnh, đơn giản hơn là tương tác các phần tử trong mảng, ma trận. Nhắc lại một chút, ta có ma trận a = [2, 1, 4, 5] có phần tử: a[0] = 2, a[1] = 1, a[2] = 4, a[3] = 5 do chỉ số phần tử bắt đầu từ 0. Ngoài ra, ta có thể chọn nhiều phần tử a[0:3] = [2,1,4], hay tạo hình chữ nhật, hình vuông như ở bài viết trước. Tuy nhiên, làm thế nào để ta có thể vẽ đường thẳng, hoặc đường tròn khi mà thư viện Numpy không hỗ trợ chúng ta? Dễ dàng thay, OpenCV đã hộ trợ thuận tiện cho người dùng qua các hàm vẽ hình khối. Trong bài viết này, bạn đọc cùng tôi sẽ tìm hiểu ba phương thức vẽ hình đơn giản lần lượt là: cv2.line (vẽ đường thẳng), cv2.rectangle (vẽ đa giác), và cv2.circle (vẽ đường tròn)

1.Vẽ đường thẳng và đa giác

Để có thể bắt đầu vẽ đường thẳng, hay đa giác sử dụng OpenCV thì trước hết chúng ta cần định nghĩa khung giới hạn. Bạn đọc có thể tưởng tượng như quá trình chúng ta vẽ một bức tranh thì trước đó ta cần chuẩn bị giấy mực và khung cố định. Ở đây, bút và mực là các hàm hỗ trợ trong OpenCV còn khung tranh là cửa sổ ta định nghĩa khi khởi tạo. Ở các bài học trước, chúng ta đã đọc ảnh trực tiếp từ tệp có sẵn, tuy nhiên, ta cũng có thể tạo một bức ảnh cho riêng mình bằng việc xuất phát từ định nghĩa khung bằng cách sử dụng định nghĩa mảng trong Numpy. Bạn đọc tham khảo mã nguồn sau:

Bạn đọc hẳn đã quen với ngôn ngữ lập trình Python, ở dòng 1-2 ta thực hiện khai báo thư viện sử dụng gồm numpy và opencv, trong đó numpy có thể sử dụng qua cách viết tắt là np. Dòng 4 thực hiện khởi tạo khung tranh có kích thước là 300 dòng và 300 cột cùng 3 kênh màu RGB. Bên cạnh đó, np.zeros khởi tạo một mảng có giá trị ban đầu là 0. Như vậy, chúng ta đã tạo ra một bức ảnh có độ phân giải 300×300 được tạo thành từ các số 0.

Nhắc lại một chút, ở dòng 5 mình chọn thay đổi giá trị bức ảnh ở diện tích 100×100 đầu tiên từ giá trị 0 thành 255, thu được kết quả như sau:

Ta có thể thấy rằng, hình vuông 100×100 nằm trong khung 300×300 có màu trắng có giá trị là 255 và phần còn lại trong khung có giá trị là 0. Bên cạnh đó, bạn đọc nên chú ý phương thức khởi tạo ma tận np.zeros: gồm có kiểu dữ liệu viết là dtype. Khi chúng ta xử lý ảnh với ảnh là RGB và giá trị điểm ảnh trong khoảng [0, 255], kiểu dữ liệu được khai báo là uint8 – ta dùng 8-bit số nguyên để biểu diễn. Ngoài ra còn có rất nhiều kiểu dữ liệu khác có thể tùy chọn sử dụng (32-bit nguyên, 32-bit hoặc 64-bit số thực), nhưng trong các ví dụ sắp tới, chúng ta sẽ chủ yếu sử dụng uint8.

Sau khi khởi tạo khung thành công, chúng ta bắt đầu những hình vẽ đầu tiên với xuất phát từ việc tạo ra một đường thẳng:

Ở dòng 5 và dòng 9, ta định nghĩa 2 màu là xanh và đỏ để tạo màu cho đường thẳng ta định vẽ. Tiếp đó, ta vẽ đường màu xanh với điểm bắt đầu có tọa độ là (0,0) và điểm kết thúc có tọa độ là (300,300). Ta nhận thấy rằng hàm cv2.line nhận vào các tham số: khung, tạo độ điểm bắt đầu, tọa độ điểm kết thúcmàu sắc và độ dày của đường thẳng. Kết quả thu được:

Như vậy, bạn đọc đã nắm được cách vẽ đường thẳng vô cùng đơn giản cùng OpenCV. Chúng ta sẽ tiếp tục với vẽ đa giác qua hàm cv2.rectangle

Để có thể vẽ đa giác, ở dòng 15, phương thức cv2.rectangle nhận vào các tham số lần lượt là: khung, tọa độ bắt đầu, tọa độ kết thúc, màu sắc sử dụng và cuối cùng là độ dày viền. Tọa độ bắt đầu của đa giác là (10,10), kết thúc là (60,60) ta thu được đa giác có 50×50 điểm ảnh. Ngoài ra, với độ dày là -1, hàm cv2.rectangle sẽ tạo đa giác với toàn bộ diện tích theo màu được định nghĩa

Mã nguồn đầy đủ cho phần vẽ đường thẳng và đa giác:

2.Vẽ đường tròn

Chúng ta sẽ bắt đầu vẽ đường tròn bằng cách khởi tạo khung nền đen mới như sau:

Ở dòng 29, ta định nghĩa cX, xY đại diện cho tọa độ (x,y) trung tâm của khung ảnh. Bạn đọc tìm được tâm của bức ảnh đơn giản qua việc chia đôi chiều dài và chiều rộng của khung khởi tạo, ta sẽ có tọa độ trung tâm, trong đó khung.shape[1] là chiều ngang và khung.shape[0] là chiều dọc. Tiếp đó, ta định nghĩa màu trắng để lên màu cho đường tròn định vẽ. Ở dòng 32, bạn đọc thấy vòng lặp từ 0 tới 175 với bước nhảy 25 mỗi vòng. Hàm cv2.circle dòng 36 nhận vào các tham số: khung, tọa độ tâm đường tròn, bán kính và màu sắc. Bán kính tăng lên qua mỗi vòng lặp, ta thu được kết quả:

Với ba giá trị: bán kính, tọa độ và màu sắc, hẳn bạn đọc đã có thể tự vẽ cho bản thân một hay nhiều đường tròn. Sau đây, chúng ta sẽ cùng nhau thử sáng tạo nghệ thuật bằng cách tạo ra ngẫu nhiên các đường tròn

Ở dòng 38, chúng ta lặp 10 lần, có nghĩa là ta sẽ vẽ 10 đường tròn ngẫu nhiên có giá trị nguyên ngẫu nhiên sinh bởi hàm np.random.randint. Trong đó, bán kính ngẫu nhiên nằm ở khoảng giá trị [5,200] – dòng 39. Màu sắc ngẫu nhiên – dòng 37, như chúng ta đã biết thì một điểm ảnh RGB bao gồm 3 giá trị trong khoản [0,255]. Và để sinh 3 giá trị ngẫu nhiên, từ khóa size=(3,) sẽ hướng dẫn Numpy trả về 3 giá trị nguyên ngẫu nhiên. Cuối cùng là tọa độ ngẫu nhiên của đường tròn trong khoảng [0,300]. Bên cạnh đó, giá trị -1 trong hàm vẽ cv2.circle tô toàn bộ diện tích đường tròn với màu chỉ định. Tác phẩm nghệ thuật mà chúng ta thu được:

Như vậy, sau bạn đọc đã nắm được một số thao tác cơ bản để có thể tự tương tác với một bức ảnh, hay tạo ra chúng. Ở bài học tiếp, chúng ta sẽ cùng nhau đi tìm hiểu các phép xử lý ảnh cùng những ứng dụng thú vị mà các phép toán này đem lại.

Xác định gradient và edge trong ảnh số

VSEC - BLOG Công nghệ

Độ dốc và phát hiện cạnh

 Trong ảnh số, những điểm ảnh có độ sáng chênh lệch đột biến so với những điểm ảnh lân cận gọi là các điểm cạnh. Và tập hợp các điểm này tạo nên hình dạng, cấu trúc của đối tượng trong ảnh. Để có thể xác định được vùng điểm cạnh trên tọa độ ảnh, trước hết ta cần tính “gradient” – độ dốc, của ảnh xám. Chúng ta sau đó áp dụng thuật toán Canny – một trong những giải thuật nổi tiếng nhất trong xử lý ảnh về phát hiện cạnh. Giải thuật này gồm 4 bước chính: giảm nhiễu, tính gradient và hướng gradient (sử dụng Sobel chiều ngang và chiều dọc), non-maximum suppression (viết tắt là NMS), và cuối cùng là lọc ngưỡng. Tuy nhiên, chúng ta sẽ không đi chi tiết vào phần toán học ở bài học này mà ta sẽ cùng nhau tìm hiểu về lập trình ứng dụng thực tế qua các ví dụ dưới đây. Bạn đọc có thể tìm hiểu thêm về cơ chế toán học của giải thuật trong chuỗi bài “Toán học trong thị giác máy tính”

1.Laplacian và Sobel

Trước khi vào mới đoạn mã, chúng ta cần hiểu được gradient – độ dốc. Trong xử lý ảnh, độ dốc –gradient, chính là độ dốc về mức ánh sáng – sự thay đổi các giá trị điểm ảnh trong ảnh. Vùng ảnh trơn (smooth) có các điểm ảnh trong vùng ảnh có giá trị gần bằng nhau, do đó khi tính đạo hàm sẽ có kết quả gần bằng 0. Đạo hàm bằng 0 thể hiện không có biến thiên về mức sáng. Điều này có nghĩa rằng độ dốc của các điểm ảnh trong vùng ảnh trơn gần như bằng 0. Đạo hàm dương tại một điểm ảnh thể hiện biến thiên ánh sáng đang ở chiều hướng đi lên, ngược lại, đạo hàm âm tại một điểm ảnh cho biết biến thiên mức sáng đang giảm dần. Như vậy, gradient của ảnh là đạo hàm ảnh.

Quay lại với đoạn mã, dòng 1-9, ta thực hiện tương tự các bài học trước: khai báo thư viện, định nghĩa tham số đầu vào, đọc ảnh chuyển đổi ảnh từ hệ màu RGB thành ảnh xám – dòng 13, và hiển thị ảnh – dòng 14. Khi thực hiện tính toán gradient và các cạnh, chúng ta thường tính toán trên một kênh màu – trong trường hợp này, ta sử dụng ảnh xám. Tuy nhiên, bạn đọc cũng có thể thực hiện trên từng kênh màu của ảnh RGB. Chúng ta sẽ bắt đầu với ví dụ đơn giản nhất là ảnh xám.

Ở dòng 16, chúng ta sử dụng phương thức Laplacian để tính độ lớn của gradient qua hàm cv2.Laplacian. Tham số đầu tiên là bức ảnh xám ta muốn xử lý, và tham số thứ hai là loại dữ liệu cho kết quả trả về. Lý do chúng ta chọn kiểu dữ liệu là 64-bit số thực do quá trình biến đổi màu từ đen thành trắng và ngược lại. Khi chuyển đổi từ đen thành trắng được coi là độ dốc dương, trong khi chuyển từ trắng sang đen là một độ dốc âm. Nếu bạn đọc chưa quên ở bài học tính toán trong ảnh số, chúng ta biết rằng 8-bit số nguyên không biểu thị giá trị âm. Và OpenCV sẽ trả ngưỡng tối đa của khoảng giá trị hoặc Numpy sẽ đếm lại từ đầu khi giá trị vượt biên. Đơn giản hơn, nếu bạn đọc không sử dụng kiểu dữ liệu số thực khi tính độ lớn của gradient thì phần lớn trường hợp, chúng ta sẽ bỏ lỡ các cạnh, đặc biệt là khi chuyển đổi từ màu trắng sang màu đen. Để có thể tìm được tất cả các điểm cạnh, ta sử dụng kiểu dữ liệu số thực, sau đó lấy trị tuyệt đối của giá trị gradient rồi chuyển đổi nó về kiểu nguyên 8-bit dòng 17. Đây là điểm bạn đọc nên chú ý, còn lý giải toán học chúng ta sẽ bàn tới ở chuỗi bài khác. Kết quả của việc tính toán gradient bạn đọc có thể theo dõi dưới đây:

Tiếp theo, chúng ta sẽ tính toán biểu diễn Sobel

Bằng cách sử dụng Sobel, chúng ta có thể tính toán độ lớn gradient biểu diễn theo cả chiều ngang và chiều dọc, cho phép ta tìm cạnh ở cả trục tung và trục hoành. Dòng 20 – 21, phương thức cv2.Sobel nhận tham số đầu tiên là bức ảnh ta muốn xử lý, tiếp đó là kiểu dữ liệu. Hai tham số cuối là đạo hàm theo hai trục tọa độ với giá trị 1, 0 để tìm cạnh theo chiều ngang và ngược lại. Để có thể kết hợp gradient từ cả hai hướng tọa độ, ta sử dụng phép OR. Phép toán bit này trả về True nếu cả hai điểm ảnh lớn hơn 0. Do đó, ta phát hiện được cạnh mà đạo hàm tìm được.

Tuy nhiên, bạn đọc thấy rằng kết quả thu được vẫn còn xuất hiện nhiễu, do đó, chúng sẽ tới với phương pháp tách cạnh Canny.

2.Phương pháp tách cạnh Canny

Để có thể thực hiện phương pháp Canny, trước tiên chúng ta cần khai báo các thư viện sử dụng, đọc ảnh và chuyển đổi ảnh từ hệ màu RGB thành ảnh xám. Sau đó, ta áp dụng phương pháp làm mờ Gaussian để có thể giảm nhiễu từ ảnh. Mục tiêu kết quả cuối cùng là đường viền của đồng xu. Chúng ta thực hiện Canny ở dòng 17 với tham số đầu tiên là ảnh xám cần xử lý, sau đó lần lượt là hai tham số xác định ngưỡng: ngưỡng 1 và ngưỡng 2. Tất cả các giá trị gradient lớn hơn ngưỡng 2 được coi là cạnh. Tất cả giá trị nhỏ hơn ngưỡng 1 không được coi là cạnh, và các giá trị nằm giữa được coi là cạnh hoặc không phải cạnh phụ thuộc vào cách các điểm ảnh kết nối theo tần suất lớn hay nhỏ. Cuối cùng, chúng ta thu được kết quả ở dòng 18

Như vậy, chúng ta thấy rằng ảnh bên trái là ảnh xám cần xử lý sau khi áp dụng phương pháp làm mờ Gaussian và ảnh bên phải là kết quả sau khi sử dụng canny. Phương pháp Canny thu về các đường viền bao đồng xu hiển thị rõ ràng. Ở bài tiếp theo, chúng ta sẽ cùng nhau ứng dụng phương pháp tách cạnh Canny để đếm số đồng xu xuất hiện trong ảnh

Webinar: Cat and Mouse Game in Mobile Application Security

VSEC - BLOG Sự kiện

Trong thời đại công nghệ ngày nay, việc sử dụng điện thoại di động không chỉ đơn giản là một phương tiện gọi điện và nhắn tin. Điện thoại di động ngày nay chứa đựng một kho tàng thông tin cá nhân, từ những hình ảnh, video đến toàn bộ dữ liệu ngân hàng và thông tin đăng nhập của chúng ta. Điều này đã tạo ra một nhu cầu ngày càng lớn về bảo mật trên các ứng dụng điện thoại.

Trong webinar này, các chuyên gia bảo mật của VSEC sẽ đào sâu vào thế giới bảo mật ứng dụng di động, tập trung vào những nguy cơ và thách thức đặt ra cho các nhà sáng tạo, những người thiết kế và lập trình ứng dụng di động, cũng như đội ngũ Công nghệ thông tin quản trị các ứng dụng di động trong doanh nghiệp.

Tổng quan chương trình

Cat and Mouse Game in Mobile Application Security – RASP and Bypasses (Trò chơi đuổi bắt Mèo vờn chuột trong bảo mật ứng dụng di động) là đề tài tham luận mà Anh Bế Khánh Duy – Chuyên gia bảo mật của VSEC trình bày trong hội nghị CRESTCon tháng 8/2023 vừa qua tại Australia. 

Bằng cách ví von Cybersecurity – an ninh mạng như một trò chơi đuổi bắt – là cuộc đua giữa 2 người, người đuổi (mèo – người bảo vệ) và người chạy (chuột – kẻ tấn công), bài chia sẻ của đại diện duy nhất đến từ Việt Nam đã mang lại nhiều liên tưởng thú vị và dễ hiểu về công việc cũng như các chiến thuật của một chuyên gia bảo mật. 

Trong webinar lần này, VSEC sẽ cùng trò chuyện với Duy về bài tham luận này nhằm làm rõ hơn về những kỹ thuật “đuổi – bắt” mà những chuyên gia an ninh mạng cũng như các nhà quản trị ứng dụng di động cần quan tâm để luôn “sống sót” hoặc “đổi vai” trót lọt trước những rủi ro bảo mật từ các ứng dụng di động hiện đại. Bên cạnh đó, VSEC đồng thời chia sẻ về một trong những giải pháp rà quét lỗ hổng trên ứng dụng đang là xu hướng cho các nhà quản trị công nghệ hiện đại.

Chủ đề này sẽ phù hợp với những ai?

  • Các nhà sáng tạo, người thiết kế và lập trình ứng dụng di động
  • Đội ngũ CNTT quản trị các ứng dụng di động trong doanh nghiệp

Thời gian và địa điểm

  • Thời gian dự kiến: 10h – 11h30 ngày 31/10/2023

  • Hình thức:  Zoon Online

  • Link đăng ký: TẠI ĐÂY 

Diễn giả

Anh Bế Khánh Duy – Chuyên gia đánh giá bảo mật VSEC
Anh Bế Khánh Duy là đại diện duy nhất của Việt Nam trình bày tham luận tại Hội nghị và triển lãm CRESTCon Australia 2023.
Anh Duy đã có hơn 5 năm trong lĩnh vực bảo mật thông tin cho các tổ chức, doanh nghiệp tại Việt Nam. Tại VSEC anh Duy là trưởng nhóm dịch vụ chuyên gia kiểm thử và đánh giá bảo mật, đảm nhiệm vị trí quan trọng trong đội ngũ Blue Team, Red Team
Anh Nguyễn Quang Huy – Trưởng phòng Dịch vụ chuyên gia  VSEC
Anh Nguyễn Quang Huy đã có hơn 13 năm kinh nghiệm làm việc trong lĩnh vực Kiểm thử xâm nhập cho các tổ chức, doanh nghiệp trong nước và quốc tế. Hiện tại anh đang quản lý đội ngũ hơn 20 nhân sự đều đạt 100% chứng chỉ quốc tế quan trọng của ngành Bảo mật.

 

Timeline chương trình

THỜI GIAN NỘI DUNG
9:45 – 10:00 Join Zoom + Game khởi động về Mobile Application
10:00 – 10:20 Trò chơi đuổi bắt Mèo và Chuột trong Bảo mật Ứng dụng di động

Trình bày: Mr Bế Khánh Duy – Chuyên gia bảo mật VSEC
10:20 – 10:40 Pentest As A Service – Mô hình kiểm thử cho ứng dụng hiện đại

Trình bày: Mr Nguyễn Quang Huy – Trưởng phòng Dịch vụ Chuyên gia
10:40 – 11:15 Hỏi đáp
11:30 Kết thúc webinar

Phần mềm độc hại – DarkGate Malware lây lan qua dịch vụ tin nhắn dưới dạng tập tin PDF

Bảo mật cho người mới Thông cáo - Tin tức VSEC - BLOG

DarkGate – Một loại phần mềm độc hại (Malware) được xác định là đang lây lan nhanh chóng qua các nền tảng IM (Instant Message – Tin nhắn tức thời) như Skype hay Microsoft Teams trong giai đoạn gần đây.

DarkGate có khả năng truy cập từ xa vào các mục tiêu Endpoint, mã hoá dữ liệu, khai thác tiền điện tử và đánh cắp thông tin xác thực. Nó được công bố lần đầu vào năm 2018 bởi Fortinet và được xác định là một loại Malware thương mại.

Theo Trend Micro, các cuộc tấn công sử dụng DarkGate đã được phát hiện ở Châu Phi, Châu Á, Trung Đông và Châu Phi.

Để thực hiện các hành vi bất hợp pháp của mình, DarkGate đã sử dụng một công cụ tự động hoá AutoIt (AutoIt3.exe) được thiết kế cho hệ điều hành Windows. AutoIt là một công cụ chính hãng nhưng các loại malware thường ứng dụng nó để vượt qua các biện pháp phòng thủ và thêm một lớp che giấu bổ sung.

Chuỗi lây nhiễm DarkGate lạm dụng Skype

Chuỗi lây nhiễm DarkGate lạm dụng Skype

Kẻ tấn công – Attacker chỉ cần sử dụng tài khoản Skype bị tấn công để chiếm quyền điều khiển, sau đó tiến hành phát tán các tin nhắn có chứa các tập tin VBS độc hại giả mạo tệp PDF.

“Tin tặc thường xuyên lạm dụng mối quan hệ và sự tin cậy giữa các cá nhân hoặc tổ chức để đánh lừa người nhận thực thi tập tin VBA đính kèm”.

Các nhà nghiên cứu quan sát thấy rằng, lệnh “Curl” được sử dụng để truy xuất ứng dụng AutoIt hợp pháp và các tệp độc hại liên quan.

(Curl là một command line tool và thư viện được sử dụng để truyền dữ liệu thông qua nhiều giao thức khác nhau (như HTTP, HTTPS, FTP, FTPS, SCP, SFTP, FILE, IMAP, SMTP, POP3, RTSP và RTMP…). Được đời từ năm 1997 viết bởi Daniel Stenberg viết bằng C. Với giao thức HTTP, CURL hỗ trợ việc gửi đi một request với tất cả các phương thức hiện có như GET, POST, PUT, DELETE…)

Tin nhắn Skype có chứa tệp đính kèm độc hại được nhúng dưới dạng tệp PDF

Tin tặc lạm dụng nền tảng Microsoft Teams

Đối với nền tảng Microsoft Teams, nạn nhân có nguy cơ nhận được các tin nhắn rác từ tính năng “Cho phép nhận thông báo từ người dùng bên ngoài tổ chức”.

Đầu tháng 9/2023, TrueSec đã tung ra các cảnh báo tới người dùng về tỷ lệ lạm dụng Microsoft Teams làm Vector lây lan DarkGate.

Cách thức phòng tránh

  • Luôn luôn kiểm tra kỹ các nguồn gửi/người gửi.
  • Kiểm tra kỹ các file đính kèm trên tất cả các nền tảng tin nhắn, email, etc.
  • Không tuỳ tiện tải xuống/truy cập các tập tin/tệp từ người lạ.
  • Cài đặt các giải pháp bảo vệ an toàn thông tin như AV, EDR từ các đơn vị uy tín.
  • Thường xuyên cập nhật các giải pháp an toàn thông tin.

Tham luận bảo mật của VSEC tại Hội nghị CRESTCon Australia

VSEC - BLOG Nghiên cứu điển hình Nổi bật

Sáng ngày 28/9/2023, đại diện của VSEC là đại diện duy nhất đến từ Việt Nam đã chia sẻ về cuộc đua giữa người bảo vệ và hacker trong mô hình bảo mật di động trước gần 200 chuyên gia bảo mật trên thế giới trong Hội nghị và triển lãm CRESTCon Australia 2023.

Trò chơi đuổi bắt Mèo vờn Chuột trong Bảo mật Ứng dụng di động

Cat and Mouse Game in Mobile Application Security – RASP and Bypasses (Trò chơi đuổi bắt Mèo vờn chuột trong bảo mật ứng dụng di động) là đề tài tham luận mà Anh Bế Khánh Duy – Chuyên gia bảo mật của VSEC trình bày tại hội nghị. Bằng cách ví von Cybersecurty – an ninh mạng như một trò chơi đuổi bắt – là cuộc đua giữa 2 người, người đuổi (mèo – người bảo vệ) và người chạy (chuột – kẻ tấn công), bài chia sẻ của Duy đã mang lại nhiều liên tưởng thú vị và dễ hiểu về công việc cũng như các chiến thuật của một chuyên gia bảo mật. 

Trong cuộc đua này, khi người này chạm được vào người kia thì vai trò sẽ đổi ngược lại, và trò chơi cứ tiếp diễn mãi khi ai cũng tìm cách để bắt kịp kỹ thuật của người kia và ngược lại.

Chuyên gia bảo mật Bế Khánh Duy tại Hội nghị và Triển lãm CrestCon Australia

Duy cũng chia sẻ, cuộc đua này có từ thời kỳ hoàng kim của những ứng dụng để bàn (desktop) truyền thống của đầu những năm 2000 và lúc đó là cuộc đua giữa crackers (dịch nghĩa lại) và publisher (dịch nghĩa). Ở hiện tại, xu hướng các ứng dụng đã thay đổi, không còn giống ứng dụng dùng cho máy tính để bàn trước đây nữa. Nổi bật trong xu hướng Cyber security là các vấn đề đang tồn tại trên các thiết bị di động. Duy lấy ví dụ về một số phương thức tấn công đối với các ứng dụng điện thoại di động Android mà hiện tại đang rất phổ biến trên thế giới. Các ứng dụng khi được sử dụng kết hợp với kỹ năng lành nghề của các chuyên gia bảo mật có thể giúp vượt qua nhiều kỹ thuật bảo vệ mà người lập trình đưa vào ứng dụng điện thoại. Đây chính là cuộc đuổi bắt mèo vờn chuột trong mobile security hiện đại. Đặt mình ở vị trí của người tấn công, Duy nhấn mạnh RASP (Runtime application self-protection) là kỹ thuật hữu hiệu để bảo vệ các ứng dụng di động hiện nay. 

Xuyên suốt bài trình bày của Duy đã xem xét các công việc và các phương pháp tiếp cận được sử dụng để bảo vệ các ứng dụng di động để vượt qua ngay từ ban đầu cho đến việc sử dụng các giải pháp có trị giá hàng triệu đô la. Người tham dự có được cái nhìn sâu sắc về sự phát triển của các phương pháp bảo vệ và cách thức vượt qua nó, đồng thời đưa ra so sánh giữa bảo mật ứng dụng di động và bảo mật ứng dụng máy tính để bàn. Từ việc đưa ra các chi tiết kỹ thuật của các giải pháp bảo vệ hiện đại, các hình thức trả phí, cập nhật cho các ứng dụng di động và các phương pháp vượt qua, bài trình bày của Duy cũng đề cập đến những thách thức về bảo mật di động và những việc cần làm cho các tổ chức đang sở hữu cũng như đang xây dựng các ứng dụng trên di động.

Trao đổi với Duy trước phiên tham luận, Duy chia sẻ “Với 5 năm kinh nghiệm trong lĩnh vực này, em nghĩ mình vẫn còn non trẻ so với các chuyên gia an ninh mạng trong nước và cả quốc tế. Tuy nhiên, điểm mạnh là trẻ thì luôn đam mê được khám phá, tìm hiểu và phá vỡ các giới hạn, quy định cố hữu. Làm việc tại VSEC, em có cơ hội tiếp cận các khách hàng ở nhiều lĩnh vực từ chính phủ cho đến các doanh nghiệp lớn, các ngân hàng tổ chức tài chính đã giúp em có thể tập trung và phát triển các thế mạnh về thâm nhập để tìm ra các lỗ hổng trong và ngoài ứng dụng của khách hàng với nhiều công nghệ và nền tảng khác nhau.”

Cuộc đua giữa mèo và chuột sẽ luôn lặp lại, nhưng mỗi lần bước vào một vòng đua mới, chuột và mèo lại có thêm những bài học kinh nghiệm và tạo ra những kỹ năng mới. Cũng như vậy, cuộc đua trong cyber security sẽ không dừng lại với mục đích sau cùng của các chuyên gia bảo mật là đảm bảo cho hệ thống luôn được bảo vệ an toàn. 

Về VSEC:

VSEC – Công ty Cổ phần An ninh mạng Việt Nam tiền thân là Mạng An toàn thông tin Việt Nam, được phát triển từ năm 2003. Đến nay, VSEC đã có 20 năm hoạt động trong lĩnh vực bảo mật, an toàn thông tin phục vụ hơn 500 khách hàng là các doanh nghiệp lớn và các tổ chức Chính phủ. Là thành viên của các hiệp hội, tổ chức trong và ngoài nước như VNCert – Mạng lưới ứng cứu sự cố quốc gia, VNISA – Hiệp hội An toàn thông tin VN, Bộ tư lệnh 86, FS-ISAC (The Financial Services Information Sharing and Analysis Center), Blackpanda, RAPID7, Affinitas Global, CoreSecurity, RecordedFuture, …   

Năm 2022, VSEC là MSSP (Managed Security Services Provider) – Nhà cung cấp dịch vụ quản trị bảo mật đầu tiên tại Việt Nam đạt được hai chứng nhận quan trọng của tổ chức CREST (UK) cho hai dịch vụ Penetration Testing (Kiểm thử xâm nhập) và SOC (Security Operation Center – Trung tâm Giám sát và Vận hành An toàn thông tin). Mới đây, trong xếp hạng Top 250 MSSP toàn cầu năm 2023, do CyberRisk Alliance công bố, VSEC vinh dự là MSSP duy nhất tại Việt Nam hiện diện tại thứ hạng 154/250. 

Tạo Playbook ứng phó sự cố tuân thủ theo tiêu chuẩn NIST

Bảo mật cho người mới VSEC - BLOG

Hầu như không một ngày nào trôi qua mà một cuộc tấn công mạng hoặc tấn công bằng ransomware không trở thành tin tức. Các sự kiện An ninh mạng đã trở thành một trong những mối đe dọa lớn nhất và tốn kém nhất mà các doanh nghiệp và tổ chức khác phải đối mặt. Mặc dù không mong muốn chúng biến mất, nhưng việc chuẩn bị trước những sự cố trong tương lai có thể giúp bảo vệ doanh nghiệp của bạn rất nhiều. Và một trong những thành phần quan trọng của quá trình chuẩn bị này là xây dựng Incident Response Playbook. Trong blog này, chúng ta sẽ khám phá chính xác Cyber Incident Response Playbook là gì và cách bạn có thể tạo một Cẩm nang tuân thủ NIST – NIST Compliant.

NIST Cyber Security Incident Response Playbook là gì?

Cẩm nang Ứng phó sự cố (Cyber Incident Response Playbook) mạng nghĩa đen là một cuốn sổ tay trao quyền cho các tổ chức và các nhóm Ứng phó sự cố bảo mật (Incident Response – IR). Nó xác định trước các bước, quy trình và thủ tục cần tuân thủ trong trường hợp bị tấn công mạng. Về cơ bản, đây là một tài liệu ngắn gọn, rõ ràng cho phép các nhóm IR ứng phó với sự cố một cách hiệu quả và hạn chế thiệt hại.

Cyber Incident Response Playbook là một công cụ an ninh mạng quan trọng vì nhiều lý do. Một số trong số này bao gồm:

  • Cho phép phản ứng tốt hơn và giảm thiểu thiệt hại từ một cuộc tấn công mạng.
  • Cho phép các hoạt động kinh doanh quan trọng quay trở lại nhanh nhất có thể.
  • Tạo ra phản ứng phối hợp tốt hơn trong giai đoạn ứng phó sự cố nghiêm trọng. Giảm thiểu tranh cãi hay sự nhầm lẫn do các bước đã được xác định từ trước.
  • Cho phép tổ chức của bạn duy trì tuân thủ và tránh bị phạt theo quy định mặc dù đang bị tấn công.
  • Nâng cao văn hóa an ninh mạng trong tổ chức bằng cách làm cho tất cả các bên liên quan chính nhận thức được vai trò và trách nhiệm của họ. Điều này cũng góp phần cải tiến và sàng lọc IR playbook.

Viện Tiêu chuẩn và Công nghệ Quốc gia (NIST – The National Institute of Standards and Technology) cung cấp các hướng dẫn và khuyến nghị toàn diện để tạo ra các Incident Response Playbooks hợp với các phương pháp hiệu quả nhất trong ngành. Cụ thể, ấn bản đặc biệt NIST Special Publication 800-61 Revision 2 của NIST, còn được gọi là Computer Security Incident Handling Guide, cung cấp nhiều hướng dẫn về cách tạo playbook hiệu quả. Tài liệu này phác thảo các phương pháp thực hành tốt nhất và hướng dẫn ứng phó sự cố. Có một số bước chính liên quan đến việc phát triển các Incident Response Playbooks tuân thủ NIST để nâng cao khả năng phục hồi an ninh mạng của tổ chức của bạn. Chúng ta sẽ khám phá các bước này một cách chi tiết trong phần tiếp theo.

Làm cách nào để tạo Incident Response Playbook áp dụng theo tiêu chuẩn NIST?

Dưới đây là một số bước cơ bản mà bạn có thể thực hiện để xây dựng IR Playbook.

#1. Tìm hiểu về NIST Incident Response Framework

Điều này nghe có vẻ hiển nhiên nhưng thường bị bỏ qua. Trước khi bắt tay vào tạo cẩm nang, hãy tự làm quen với NIST incident response framework. NIST Computer Security Incident Handling Guide cung cấp thông tin chi tiết về các biện pháp ứng phó sự cố tốt nhất. Nó bao gồm các giai đoạn chính của ứng phó sự cố như:

  • Phát hiện – Detection
  • Phân tích – Analyst
  • Ngăn chặn – Containment
  • Loại bỏ – eradication
  • Phục hồi sự cố – recovery

Các giai đoạn này phải được thể hiện trong Computer Security Incident Response Plans and Playbooks. Đạt được sự hiểu biết vững chắc về những khái niệm này sẽ tạo thành nền tảng cho playbook.

 

#2. Xác định các mục tiêu, rủi ro và ưu tiên dài hạn của tổ chức

Cách thức thực hiện : 

  • Xác định các loại tài sản, hệ thống, quy trình cần được bảo vệ.
  • Đánh giá tác động của các sự cố tiềm ẩn đối với các loại tài sản, hệ thống và quy trình trên.
  • Điều chỉnh các đối tượng theo các nghĩa vụ tuân thủ và khả năng chấp nhận rủi ro của tổ chức.

 

#3: Xác định vai trò và trách nhiệm ứng phó sự cố

Thiết lập vai trò và trách nhiệm rõ ràng cho nhóm ứng phó sự cố cũng như người điều hành. Xác định trách nhiệm của từng thành viên trong nhóm trong trường hợp khủng hoảng. Một số bên liên quan nên tham gia bao gồm:

  • Điều tra viên nội bộ.
  • Chuyên gia ứng cứu sự cố.
  • Chuyên gia phân tích.
  • Chuyên gia pháp lỹ, PR và truyền thông.
  • Người ra quyết định cấp cao, bao gồm các quản lý cấp M, C, …

Phân công các nhiệm vụ cụ thể và thiết lập kế hoạch truyền thông rõ ràng trong trường hợp khẩn cấp. Đảm bảo rằng tất cả các thành viên trong nhóm hiểu vai trò của mình và có các kỹ năng và đào tạo cần thiết để thực hiện nhiệm vụ hiệu quả.

#4: Tiến hành đánh giá rủi ro

  • Thực hiện đánh giá rủi ro toàn diện để xác định các mối đe dọa tiềm ẩn và lỗ hổng cụ thể đối với tổ chức của bạn.
  • Phân tích khả năng và tác động tiềm ẩn của các sự cố khác nhau.
  • Phân loại sự cố dựa trên mức độ nghiêm trọng của chúng. Điều này sẽ cho phép bạn ưu tiên các nỗ lực ứng phó của mình.
  • Xem xét cả các mối đe dọa bên trong và bên ngoài, chẳng hạn như lây nhiễm phần mềm độc hại, vi phạm dữ liệu và vi phạm an ninh vật lý. Đánh giá này sẽ giúp bạn điều chỉnh chiến lược của mình để giải quyết các rủi ro riêng của tổ chức.

#5: Xây dựng quy trình ứng phó sự cố

Sử dụng những hiểu biết sâu sắc thu được từ NIST Incident Response Framework và đánh giá rủi ro của bạn, hãy phát triển các quy trình ứng phó sự cố chi tiết. Các quy trình này cần phác thảo các hành động từng bước cần thực hiện trong các giai đoạn khác nhau của sự cố, từ phát hiện đến khắc phục. Bao gồm các hướng dẫn để xác định sự cố, ngăn chặn, bảo quản bằng chứng, điều tra, liên lạc và phân tích sau sự cố. Ghi lại các hành động kỹ thuật và phi kỹ thuật cụ thể để đảm bảo tính nhất quán và hiệu quả trong các nỗ lực ứng phó.

#6: Bên thứ ba và báo cáo

  • Xem xét sự tham gia của các bên bên ngoài và cơ chế báo cáo trong cẩm nang của bạn. Thiết lập mối quan hệ với các đơn vị bên ngoài như cơ quan thực thi pháp luật, nhà cung cấp dịch vụ ứng phó sự cố và nền tảng chia sẻ thông tin trong ngành.
  • Xác định các tiêu chí và quy trình để huy động các nguồn lực này khi xảy ra sự cố.
  • Kết hợp các cơ chế báo cáo cho phép báo cáo kịp thời và chính xác cho các bên liên quan nội bộ, cơ quan quản lý và các bên bị ảnh hưởng.
  • Bạn cũng có thể cân nhắc việc mời chuyên gia bên ngoài để tạo và/hoặc đánh giá IR Playbooks.

 

#7: Kiểm tra, đào tạo và tinh chỉnh

Thường xuyên kiểm tra IR Playbook của bạn thông qua các bài lab mô phỏng các tình huống mất an toàn thông tin. Những bài tập này mang lại cơ hội để xác nhận tính hiệu quả của các quy trình của bạn, xác định các lỗ hổng và nâng cao tính sẵn sàng của nhóm bạn.

Tiến hành các buổi đào tạo để đảm bảo rằng tất cả các thành viên trong nhóm đều quen thuộc với sách hướng dẫn và hiểu rõ vai trò của họ. Dựa trên những bài học rút ra từ những bài tập này và những sự cố thực tế, hãy tinh chỉnh và cải thiện sách hướng dẫn của bạn theo thời gian.

Kết luận 

Phát triển các playbook phản ứng sự cố tuân thủ NIST là một bước quan trọng trong việc cải thiện tư duy an toàn thông tin của tổ chức của bạn. Bằng cách tuân thủ hướng dẫn của NIST và tùy chỉnh các playbook cho các nhu cầu cụ thể của tổ chức của bạn, bạn có thể xây dựng một chương trình phản ứng sự cố có cấu trúc tốt và hiệu quả. Hãy nhớ liên tục đánh giá và cập nhật các playbook của bạn để đối phó với các mối đe dọa mới nổi và yêu cầu thay đổi của tổ chức. Bằng cách làm như vậy, bạn sẽ trang bị tốt hơn để phát hiện, phản ứng và phục hồi khỏi các sự cố an ninh mạng, giảm thiểu tác động của chúng đối với hoạt động kinh doanh của bạn.

Tác giả: Bùi Thái Dương – VSEC

Tại sao các nhà cung cấp năng lượng cần dịch vụ an ninh mạng chất lượng?

VSEC - BLOG Bảo mật cho người mới

Tội phạm mạng và các hacker luôn tìm cách khai thác cơ sở hạ tầng và lỗ hổng bảo mật của doanh nghiệp, góp phần gây ra nhiều thách thức cho ngành năng lượng

Báo cáo Bảo mật của IBM mới đây cho biết ngành năng lượng của Vương quốc Anh đã là mục tiêu của 24% trong tổng số các cuộc tấn công mạng quan sát. Các lưới điện quốc gia rất mong manh đến mức mọi thứ có thể sụp đổ bất kỳ lúc nào, và mối đe dọa từ các cuộc tấn công mạng đối với hệ thống và cơ sở hạ tầng có thể gây ra thảm họa.

Những mối đe dọa mạng này có thể gây nghiêm trọng cho việc sản xuất, phân phối và chuỗi cung ứng năng lượng. Trung tâm An ninh Mạng Quốc gia (NCSC) đã khuyến nghị các nhà cung cấp năng lượng đầu tư vào các giải pháp bảo mật mạng tốt một cách chủ động thay vì đợi cuộc tấn công mạng xảy ra trước khi hành động. Vì các chi phí của các cuộc tấn công mạng có thể nên vào người tiêu dùng trong tương lai, bài viết này sẽ khám phá về các mối đe dọa mạng đối mặt với ngành năng lượng và tại sao các nhà cung cấp năng lượng cần có quy trình bảo mật mạng tốt nhất.

Tầm quan trọng của an ninh mạng trong ngành năng lượng

Tính quan trọng của cơ sở hạ tầng của ngành công nghiệp năng lượng, bao gồm lưới điện, đường ống dẫn và các hệ thống năng lượng khác, làm cho việc bảo mật mạng rất quan trọng đối với ngành này. Cuộc tấn công mạng có thể gây thiệt hại nghiêm trọng cho những hệ thống này, gây ra tình trạng mất điện kéo dài, việc xâm nhập dữ liệu và các cuộc tấn công ransomware, lỗ hổng chuỗi cung ứng và nguy cơ môi trường.

Vì lí do này, các nhà cung cấp năng lượng kinh doanh đã bắt đầu triển khai các biện pháp bảo mật mạng trong bối cảnh sự tăng cường số hóa của các quy trình kinh doanh. Chiến lược bảo mật mạng bao gồm cả các phương pháp phản ứng và các phương pháp tích cực.

Để ngăn chặn việc truy cập vào hệ thống, các biện pháp như tường lửa, hệ thống phát hiện xâm nhập và các biện pháp bảo mật nghiêm ngặt khác được triển khai. Ngoài ra, việc xác định và giảm thiểu các mối đe dọa mạng có thể đe dọa tính toàn vẹn của hệ thống là một phần của quy trình phản ứng trước các sự cố mạng.

Top các cuộc tấn công mạng vào ngành năng lượng

Cuộc tấn công mạng từ lâu đã tập trung vào ngành năng lượng. Ngành công nghiệp phải duy trì sự cảnh giác và tận dụng các tiến bộ công nghệ có sẵn để phát hiện và ngăn chặn các nỗ lực tấn công của các mối đe dọa mạng sau đây.

Tấn công Ransomware (Ransomware Attacks)

an ninh mạng

Cuộc tấn công ransomware đặt ra một mối đe dọa nghiêm trọng đối với ngành năng lượng. Cuộc tấn công ransomware có thể làm gián đoạn hoạt động của tổ chức năng lượng và việc giải quyết vấn đề có thể tốn kém. Cuộc tấn công ransomware vào hệ thống của một nhà cung cấp năng lượng có thể gây ra tác động thảm họa đối với mọi lĩnh vực và gia đình. Việc thiếu kế hoạch ứng phó sự cố có thể gây hại cho danh tiếng của tổ chức.

Một ví dụ về cuộc tấn công ransomware gần đây đã dẫn đến việc thanh toán 4,4 triệu đô la cho một nhóm không xác định được biết đến với cái tên DarkSide. Cuộc tấn công này đã dẫn đến việc tạm ngừng hoạt động của hệ thống Colonial Pipeline tại Hoa Kỳ. Hậu quả không chỉ gây ra các chi phí trực tiếp từ cuộc tấn công, mà còn gây ra tình trạng thiếu xăng và sự hoảng loạn trong công chúng chung quanh.

Để ứng phó hiệu quả với cuộc tấn công ransomware, các nhà cung cấp năng lượng và sản xuất năng lượng cần phải có một chiến lược ứng phó ransomware được định rõ. Chiến lược này nên bao gồm các bước để xác định các hệ thống bị ảnh hưởng, kiểm soát sự lan truyền của cuộc tấn công và khắc phục bất kỳ thiệt hại nào đã xảy ra.

Tấn công chuỗi cung ứng (Supply Chain Attacks)

Cuộc tấn công vào chuỗi cung ứng là khi các hacker truy cập vào mạng của một công ty thông qua một nhà cung cấp từ một tổ chức khác. Sử dụng virus hoặc phần mềm độc hại cho phép họ truy cập vào dữ liệu riêng tư như thông tin khách hàng và thông tin thanh toán. Sự phức tạp của việc vi phạm dữ liệu trong chuỗi cung ứng làm cho việc theo dõi cuộc tấn công trở nên khó khăn.

Cuộc tấn công vào chuỗi cung ứng mà đã đánh thức các tổ chức chính phủ và ngành công nghiệp năng lượng toàn cầu là cuộc tấn công vào chuỗi cung ứng SolarWinds vào năm 2021. SolarWinds đã trải qua một cuộc vi phạm bảo mật khi cá nhân không được ủy quyền truy cập vào mạng của họ và tận dụng phần mềm Orion, sử dụng nó để tiếp cận các hệ thống riêng tư trên toàn cầu. Kết quả của cuộc tấn công này, các công ty tại Hoa Kỳ và Vương quốc Anh đã phải đối mặt với các rắc rối với tổn thất doanh thu hàng năm lần lượt là 14% và 8%.

Như một phần của chiến lược quản lý rủi ro, các công ty năng lượng phải ưu tiên quản lý rủi ro chuỗi cung ứng. Bạn có thể đảm bảo rằng cơ sở hạ tầng bảo mật mạng của công ty bạn được phân tích kỹ lưỡng và các vấn đề được giải quyết khi đầu tư vào các biện pháp bảo mật mạng của bên thứ ba nghiêm ngặt hơn.

Sự thiếu hiệu quả của IAM (IAM Inefficiencies)

Hệ thống quản lý danh tính và truy cập (IAM – Identity and Access Management) có vai trò quản lý truy cập đến thông tin và hệ thống nhạy cảm, một chức năng bảo mật quan trọng. Mặc dù nó bảo vệ hệ thống khỏi hoạt động độc hại, nhưng các hacker có thể thực hiện các cuộc tấn công phức tạp hơn nhờ vào sự tiến bộ về công nghệ. Thật không may, nhiều doanh nghiệp để mình trở nên dễ bị xâm nhập một cách thảm hại bằng cách không nhanh chóng xác định và khắc phục nhược điểm hệ thống.

Ở Ukraine, lưới điện đã là mục tiêu của các cuộc tấn công malware vào năm 2015 và 2016. Ngoài việc đơn giản là tắt điện, các hacker cũng đã thử ngăn chặn máy tính quản lý lưới điện hoạt động. Điều này đã làm cho việc khôi phục nguồn điện nhanh chóng trở nên khó khăn hơn. Kết quả là có sự cố mất điện đáng kể ảnh hưởng trực tiếp đến cuộc sống con người.

Sự cố này đã minh họa những kết quả có thể xảy ra khi cơ sở hạ tầng quan trọng thiếu đi các giải pháp IAM đủ hiệu quả. Nó nhấn mạnh sự quan trọng của việc triển khai các biện pháp bảo mật mạnh mẽ để bảo vệ các hệ thống quan trọng.

Tấn công Phishing (Phising Attack)

Phishing, E-Mail, Network Security, Computer Hacker, Cloud Computing

Nhân viên trong lĩnh vực năng lượng là mục tiêu của các cuộc tấn công lừa đảo trên thiết bị di động tăng 161% trong năm 2020 và 2021. Mặc dù công nghệ dễ bị tổn thương và lỗi thời ảnh hưởng đến tất cả các ngành, nhưng lĩnh vực năng lượng lại có nguy cơ cao nhất. 

Các cuộc tấn công này vào nhân viên ngành năng lượng được thực hiện để xâm nhập vào bảo mật doanh nghiệp, đánh cắp thông tin bí mật và yêu cầu tiền. Để tránh bị tấn công mạng của loại này, các công ty năng lượng nên giáo dục nhân viên về các nguy cơ và cách nhận biết các email lừa đảo và tin nhắn văn bản để đối phó với các cuộc tấn công lừa đảo di động. Việc triển khai các biện pháp bảo mật như quản lý thiết bị di động là một cách khác để quản lý việc sử dụng thiết bị di động.

Kết luận

Các cuộc tấn công mạng đe dọa nghiêm trọng đối với mọi ngành công nghiệp, nhưng đặc biệt là đối với các tổ chức cơ sở hạ tầng quan trọng như những tổ chức hoạt động trong lĩnh vực Năng lượng. Các nhà cung cấp và cung cấp năng lượng nên thận trọng để nhận biết và quản lý các mối đe dọa mạng tiềm ẩn để ngăn ngừa những tác động tiêu cực thảm khốc của một cuộc tấn công mạng. Bảo mật và hoạt động kinh doanh của họ có thể được bảo vệ đáng kể bằng các thực hành an ninh mạng tốt, đảm bảo sự liên tục trong kinh doanh và mất mát tối thiểu về danh tiếng.

Tác giả: Bùi Thái Dương – VSEC

Investigate the cause of a cyber attack through log files

Security for Newbie VSEC - BLOG

This time, I received a request to analyze log files to find the cause of an attack on a company’s website using WordPress. Website was attacked by hackers and data was deleted.

Below is an image of “one corner” of the log file.

In this investigation, I used SublimeText 3 and Google :v Initially, I read through the entire log file several times to grasp the structure of the file’s content. In general, this log file is not long (about 4500 lines), so I can easily grasp it. After reading through it a few times, I noted a few requests that were “different” from the rest. In addition to requests from bots and requests to read website articles, I have listed a few signs (in my opinion, they are suspicious). However, after searching Google for a while, those signs don’t say much. I started thinking that if the website had its entire database deleted, there would be some action related to “admin”, Ctrl + F and start searching.

Oh, a pretty interesting line as shown below (maybe because I missed this detail when I read the log):

At this point, I continued to google about the above request and discovered that this was a malicious request targeting a vulnerability in a WordPress plugin called “ThemeGrill Demo Importer”. This vulnerability allows attackers to delete all tables in WordPress.

Request: “GET /wp-admin/admin-ajax.php?do_reset_wordpress=1 HTTP/1.1”

More information about the vulnerability: By sending a call to /wp-admin/admin-ajax.php?action=anything&do_reset_wordpress=1, the database will be wiped and we will be logged in as “admin” if the “admin” user exists in the users table. Authentication is not required.

From the above information along with the fact that all articles on the Website were deleted, it can be concluded: The cause of the attack was because the Website used a vulnerable version of the ThemeGrill Demo Importer plugin. Hackers take advantage of vulnerabilities in this plugin to send malicious requests to delete website posts. Below is information about the patch (version 1.6.2):

Additionally, the source IP address of the attack on this website (107.180.225.158) was also shared on the internet, which means hackers exploited this vulnerability on many WordPress websites using the ThemeGrill Demo Importer plugin ( mid-2020).

Solution:

Block the source IP addresses of the attack and update the ThemeGrill Demo Importer plugin to the latest version.

Author: Hoang Duc Hoan – VSEC

Điều tra nguyên nhân của 1 vụ tấn công mạng thông qua log file

VSEC - BLOG Bảo mật cho người mới

Kỳ này mình có nhận được yêu cầu phân tích file log để tìm ra nguyên nhân của 1 vụ tấn công vào Website của công ty sử dụng WordPress. Website bị hacker tấn công và xóa sạch dữ liệu.

Dưới đây là hình ảnh “1 góc” của file log.

Trong lần điều tra này, mình dùng SublimeText 3 và Google :v Bước đầu, mình đọc qua vài lần toàn bộ file log để nắm bắt cấu trúc về nội dung của file, nhìn chung file log này không dài (khoảng 4500 dòng) nên mình có thể dễ dàng nắm bắt. Sau khi đọc qua vài lần, mình note lại 1 số request “khác biệt” so với phần còn lại. Ngoài các request của các con bot, request đọc các bài viết của trang web, thì mình có liệt kê ra vài dấu hiệu ( theo mình là đáng ngờ). Tuy nhiên sau khi tra google 1 hồi thì những dấu hiệu đó không nói lên nhiều điều. Mình bắt đầu nghĩ tới việc, nếu website bị xóa toàn bộ database, thì sẽ có hành động gì đó liên quan tới “admin”, Ctrl + F và bắt đầu search.

OHh, 1 dòng khá là hay ho như hình dưới đây (có thể do lần đọc log mình đã bỏ qua chi tiết này):

Tới đây, mình tiếp tục search google về đoạn request trên thì phát hiện ra, đây chính là đoạn request độc hại nhắm tới lỗ hổng trong 1 plugin của WordPress có tên là “ThemeGrill Demo Importer”. Lỗ hổng này cho phép những kẻ tấn công xóa tất cả các bảng trong WordPress.

Request: “GET /wp-admin/admin-ajax.php?do_reset_wordpress=1 HTTP/1.1”

Thông tin thêm về lỗ hổng: By sending a call to /wp-admin/admin-ajax.php?action=anything&do_reset_wordpress=1, the database will be wiped and we will be logged in as “admin” if the “admin” user exists in the users table. Authentication is not required.

Từ những thông tin trên cùng với việc Website bị xóa toàn bộ bài viết, thì có thể kết luận: Nguyên nhân bị tấn công là do Website sử dụng phiên bản plugin ThemeGrill Demo Importer dính lỗ hổng. Hacker tận dụng lỗ hổng trong plugin này để gửi request độc hại xóa sạch bài viết của Website. Dưới đây là thông tin về bản patch (version 1.6.2) :

Ngoài ra, địa chỉ IP nguồn của cuộc tấn công vào website này( 107.180.225.158 ) cũng được chia sẻ trên internet, điều đó có nghĩa là hacker đã khai thác lỗ hổng này trên rất nhiều website WordPress sử dụng plugin ThemeGrill Demo Importer ( thời điểm giữa năm 2020).

Hướng khắc phục:

Block các địa chỉ IP nguồn của cuộc tấn công và tiến hành cập nhật plugin ThemeGrill Demo Importer lên phiên bản mới nhất.

Tác giả: Hoàng Đức Hoan – VSEC

[Shodan] – Search engines serve security, or the evil eye?

Security for Newbie VSEC - BLOG

Shodan ( https://www.shodan.io/ ) is a search engine designed by web developer John Matherly ( http://twitter.com/achillean ). Shodan is a much different search engine than content search engines like Google, Yahoo, or Bing. Shodan is a search engine to find online devices on the internet such as: computers, servers, webcams, routers… It works by scanning all devices on the internet that have open public ports. go to the internet and analyze the signals returned from the devices. Using that information, Shodan can tell you things like which web servers (and versions) are most popular, or how many anonymous FTP servers exist in a particular location, or return a list The cameras are accessible online via the internet. In general, with shodan you can search for any device on the internet as long as they have an internet connection and open a public port.

Shodan is effectively used in security testing of IOT (Internet Of Thing) devices by quickly detecting devices that are online and devices with security vulnerabilities. Shodan operates 24/7 so its data is always updated as quickly and accurately as possible.

With Shodan, hackers with evil tendencies (Black hat) can search for targets to serve hacking (walking hack). By reading notifications about newly appearing vulnerabilities, the notifications will often include additional information about the vulnerable service versions. Hackers rely on that service information to find targets on Shodan and exploit them. Or, it can also be used to peek at cameras with weak or no passwords, etc.

For security experts, Shodan becomes an effective Information Gathering tool for Pen Testing Applications, Pentest Server,… and it is also a useful reference channel for statistics and risk assessment. Potential security risks, the risk of being attacked by a certain vulnerability in a certain area. For example: Statistics to see how many servers can be exploited through the HeartBleed vulnerability in Vietnam?

=> Shodan is completely legal and does not violate the law. In essence, shodan just collects data that is already available on the internet, and shodan simply reports what it finds. However, users may violate the law if they use information from Shodan indiscriminately and without control!

Author: Hoang Duc Hoan – VSEC

[ Shodan ] – Công cụ tìm kiếm phục vụ cho bảo mật, hay con mắt của ác quỷ ?

Bảo mật cho người mới VSEC - BLOG

Shodan ( https://www.shodan.io/ ) là một công cụ tìm kiếm được thiết kế bởi nhà phát triển web John Matherly ( http://twitter.com/achillean ). Shodan là một công cụ tìm kiếm khác nhiều so với các công cụ tìm kiếm nội dung như Google, Yahoo hoặc Bing. Shodan là một công cụ tìm kiếm để tìm các thiết bị trực tuyến trên internet như: máy tính, server, webcam, các thiết bị routers… Nó hoạt động bằng cách quét toàn bộ các các thiết bị trên internet có mở cổng public ra internet và thực hiện phân tích các dấu hiệu được phản hồi về từ các thiết bị. Sử dụng thông tin đó, Shodan có thể cho bạn biết những thứ như máy chủ web (và phiên bản) nào phổ biến nhất hoặc có bao nhiêu máy chủ FTP ẩn danh tồn tại ở một vị trí cụ thể, hay trả về danh sách các camera có thể truy cập trực tuyến qua internet. Nói chung, với shodan bạn có thể tìm kiếm bất cứ thiết bị nào trên internet miễn là chúng đang có kết nối internet và mở cổng public.

Shodan được sử dụng hiệu quả trong việc kiểm thử bảo mật các thiết bị IOT (Internet Of Thing) qua việc phát hiện nhanh chóng các thiết bị đang trực tuyến và các thiết bị có tồn tại lỗ hổng bảo mật. Shodan hoạt động 24/7 nên dữ liệu của nó luôn được cập nhật một cách nhanh và chính xác nhất.

Với Shodan, các hacker thiên hướng tà đạo ( Black hat ) có thể tìm kiếm các mục tiêu để phục vụ cho việc hack ( hack dạo ). Bằng cách đọc các thông báo về các lỗ hổng mới xuất hiện, thường thì trong các thông báo sẽ đính kèm thêm thông tin của những phiên bản dịch vụ tồn tại lỗ hổng. Hacker dựa vào thông tin dịch vụ đó để tìm mục tiêu trên Shodan và tiến hành khai thác. Hoặc, cũng có thể dùng để xem trộm những camera mật khẩu yếu hoặc không mật khẩu,..

Đối với các chuyên gia bảo mật, Shodan trở thành một công cụ Infomation Gathering hữu hiệu dành cho công việc Pen Testing Applications, Pentest Server,… và nó cũng là kênh tham khảo hữu ích để thống kê, đánh giá các nguy cơ tiềm ẩn về bảo mật, nguy cơ bị tấn công bởi một lỗ hổng nào đó tại một khu vực nhất định . Ví dụ: Thống kê xem có khoảng bao nhiêu máy chủ có thể bị khai thác thông qua lỗ hổng HeartBleed (trái tim rỉ máu) tại Việt Nam?

=> Shodan hoàn toàn hợp pháp và không vi phạm luật. Về bản chất, shodan chỉ thu thập dữ liệu đã có sẵn trên internet và shodan chỉ đơn giản là báo cáo những gì nó tìm thấy. Tuy nhiên, người sử dụng có thể phạm pháp nếu như sử dụng những thông tin từ Shodan một cách bừa bãi, không kiểm soát!

Tác giả: Hoàng Đức Hoan – VSEC