ChongLuaDao – Tiện ích mở rộng trình duyệt của người Việt chống lại tấn công lừa đảo

Mới đây, các chuyên gia bảo mật mạng tại Việt Nam (trong đó có HieuPC) đã cho ra mắt tiện ích mở rộng trên trình duyệt để giúp người dùng chống lại tấn công lừa đảo, sử dụng thuật toán học máy.

ChongLuaDao là một dự án phi lợi nhuận, được chính thức bắt đầu vào ngày 27/12/2020. Với giai đoạn phát triển hiện tại, nhóm phát triển vừa ra mắt sản phẩm bảo mật có khả năng cảnh báo theo thời gian thực. ChongLuaDao bảo vệ người dùng Internet khỏi những trang web độc hại được phát tán qua Facebook, Youtube, TikTok, tấn công lừa đảo…

ChongLuaDao được xây dựng dựa trên học máy (Machine Learning), là một lĩnh vực của trí tuệ nhân tạo liên quan đến việc nghiên cứu và xây dựng các kĩ thuật cho phép các hệ thống học tự động từ dữ liệu để giải quyết những vấn đề cụ thể. ChongLuaDao hoạt động với sự đóng góp báo cáo của cộng đồng để làm cho không gian mạng thêm xanh.

Khi sử dụng trình duyệt web, tiện ích mở rộng này sẽ cảnh báo khi người dùng truy cập các trang web có nguy cơ lừa đảo, phần mềm độc hại hoặc các website giả mạo, có nội dung xấu. Dựa vào các biểu tượng và màu sắc của ChongLuaDao, người dùng có thể đánh giá được mức độ uy tín của website đang truy cập. Sự an toàn của trang web được tính toán bằng cách kết hợp các thuật toán nâng cao với sự đánh giá của người dùng và của trí tuệ nhân tạo.

Ý nghĩa các biểu tượng và màu sắc của ChongLuaDao

Có chế hoạt động của ChongLuaDao

Một trong những ưu điểm của ChongLuaDao là tính đơn giản và độ tin cậy của các đánh giá an toàn thông qua cộng đồng và sự trợ giúp đắt lực của học máy. Để đánh giá một trang web, ChongLuaDao sử dụng mạng lưới cộng đồng người dùng, liên tục xếp hạng và đánh giá các trang web họ truy cập. Cho đến nay, tiện ích ở trong giai đoạn một của dự án đã có thể đánh giá những trang lừa đảo mới có liên quan đến ngân hàng, trang giả mạo Facebook, trang nội dụng xấu trên Youtube, TikTok…

Bằng cách sử dụng những đánh giá này, một thuật toán máy học tinh vi sẽ phân tích kết quả và đưa ra đánh giá toàn diện về tình trạng của trang web, được trình bày thông qua hai yếu tố đặc biệt.

Yếu tố thứ nhất là người dùng. Người dùng đã cài đặt ứng dụng hoặc tiện ích mở rộng ChongLuaDao có thể dễ dàng xếp hạng các trang web họ truy cập thông qua hệ thống xếp hạng 5 sao tiêu chuẩn và họ cũng có thể để lại nhận xét về trải nghiệm của mình. Mỗi đánh giá được đăng bởi người dùng đều góp phần tăng cường xếp hạng do ứng dụng cung cấp.

Những đánh giá này, cùng với các nguồn khác, được kết hợp và phân tích để tạo ra xếp hạng tổng thể (điểm từ 1 đến 5) cho trang web. Các trang web có 3 sao trở lên có thể được coi là tương đối an toàn và đáng tin cậy trong khi các trang web có ít hơn 3 sao thường bị gắn cờ là rủi ro. Ngoài ra người dùng có thể cung cấp đánh giá trang web qua biểu mẫu Google để báo cáo cho nhà phát triển.

Yếu tố thứ hai là thuật toán học máy. Lừa đảo được định nghĩa là bắt chước trang web của một công ty đáng tin cậy nhằm đánh cắp thông tin cá nhân của người dùng. Dựa trên một nghiên cứu xuất bản bởi IEEE, việc phát hiện trang web lừa đảo có thể áp dụng học máy với bộ phân loại “random forest classifier”. Mục tiêu chính của dự án này là phát triển một ứng dụng hoặc tiện ích mở rộng để phát hiện các trang web lừa đảo trong thời gian thực trong khi người dùng duyệt trang. Một cách tiếp cận phổ biến là đưa ra dự đoán trong một máy chủ và sau đó để plug-in liên hệ với máy chủ cho mỗi trang. Không giống như cách tiếp cận cũ, dự án này nhằm mục đích chạy phân loại trong chính trình duyệt. Lợi thế của việc phân loại trong trình duyệt phía máy khách có các lợi thế như bảo mật tốt hơn (dữ liệu duyệt web của người dùng không cần phải rời khỏi máy của họ) và không phụ thuộc vào độ trễ mạng.

ChongLuaDao kêu gọi cộng đồng tham gia để bảo vệ mọi người xung quanh và đồng thời tự bảo vệ mình trước các mối đe dọa trực tuyến mà chỉ con người mới có thể phát hiện. Cài đặt tiện ích mở rộng ChongLuaDao cho trình duyệt, người dùng sẽ luôn được bảo vệ trong khi tìm kiếm, mua sắm và lướt web, bằng cách kiểm tra các trang web đáng tin cậy với bổ sung bảo mật kèm theo chương trình diệt virus.

Hiện tại, tiện ích này chỉ hoạt động tốt trên những trình duyệt: Chrome, Microsoft Edge, Cốc Cốc, Brave, Kiwi Browser, nhưng chưa thể tương thích cho Firefox và Opera. Người dùng có thể truy cập tại đây để tải ChongLuaDao và cài đặt theo hướng dẫn.

Ngô Minh Hiếu (HieuPC)

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Các quan chức của Pháp tin rằng một loạt các cuộc tấn công mạng từ năm 2017 đến năm 2020 được thực hiện bởi Sandworm – một nhóm tin tặc bị nghi ngờ có liên hệ mật thiết với tình báo quân sự Nga.

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Công cụ giám sát mạng công nghệ thông tin mã nguồn mở Centreon được phát triển bởi công ty cùng tên có trụ sở tại Paris. Theo như giới thiệu về dự án trên Github thì Centreon là một trong những phần mềm giám sát linh hoạt và mạnh mẽ nhất trên thị trường.

Các nhà chức trách an ninh mạng của Pháp cảnh báo rằng, công cụ này đã bị tin tặc nghi ngờ có liên quan tới Nga nhắm tới để làm véc tơ tấn công vào các công ty, tổ chức tại Pháp. Nhưng không giống như cuộc tấn công vào chuỗi cung ứng SolarWinds, trong chiến dịch này, những kẻ tấn công xâm nhập qua các phiên bản phần mềm Centreon đã lỗi thời, chưa được vá lỗi.

Cơ quan An ninh không gian mạng Quốc gia của Pháp được gọi là ANSSI nói rằng: chiến dịch tấn công đã dẫn đến việc một số tổ chức của Pháp bị xâm nhập trong khoảng thời gian lên đến ba năm.

Thông tin về chiến dịch tấn công

Đội phản ứng nhanh về máy tính của chính phủ Pháp (ANSSI’s CERT-FR) đã đưa ra cảnh báo: “Chiến dịch này chủ yếu ảnh hưởng đến các nhà cung cấp dịch vụ công nghệ thông tin, đặc biệt là các nhà cung cấp dịch vụ lưu trữ web“. Nội dung cảnh báo bao gồm các dấu hiệu về việc xâm nhập mà tất cả các tổ chức có thể sử dụng để phát hiện và ngăn chặn các cuộc tấn công tương tự.

Một phát ngôn viên của Centreon cho biết, phiên bản mã nguồn mở mà những kẻ tấn công nhắm mục tiêu tồn tại năm 2014 hoặc 2015. Vì vậy, cốt lõi của chiến dịch đó là việc người dùng đã không cập nhật phiên bản Centreon mới. Các phiên bản bị tấn công tồn tại các tệp Webshell và cửa hậu. Hiện tại, không có khách hàng thương mại của Centreon nào bị tấn công liên quan đến chiến dịch này.

Phát ngôn viên của Centreon cũng đưa ra khuyến nghị cho người dùng nên cập nhật định kỳ phiên bản của phần mềm. Ngoài ra, khách hàng nên áp dụng các biện pháp an ninh khác cho hệ thống giám sát Centreon và tuyệt đối không thực hiện việc giám sát khi hệ thống này có kết nối đến Internet.

Một chuyên gia người Đức Timo Steffens cũng cho rằng, dựa trên cảnh báo của ANSSI chiến dịch nhắm mục tiêu Centreon đã khai thác các hệ thống chưa được vá, thay vì phát tán mã độc vào bên trong phần mềm được phát hành của các công ty.

Việc cài mã độc vào bên trong phần mềm thương mại được phát hành có liên quan tới cuộc tấn công chuỗi cung ứng SolarWinds xảy ra năm 2020. Khi đó, các tin tặc Nga cũng bị nghi ngờ là gián điệp khi đã cài cửa hậu Sunburst vào phần mềm Orion của công ty SolarWinds, gây ảnh hưởng tới 18.000 người dùng.

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Sử dụng webshell để truy cập từ xa

Theo báo cáo dài 40 trang được ANSSI phát hành vào thứ Hai (27/1) thì nạn nhân đầu tiên được biết đến của chiến dịch nhắm mục tiêu vào ứng dụng Centreon đã bị xâm nhập vào cuối năm 2017. Chiến dịch này hoạt động trong suốt ba năm cho đến khi bị phát hiện. ANSSI cho biết, mã độc được phát hiện trên các hệ thống của các tổ chức bị tấn công không phải là loại mã độc mới, điển hình là mã độc trên Linux được hãng bảo mật ESET đặt tên là Exaramel.

Theo CERT-FR, các hệ thống bị xâm nhập tồn tại mã độc cửa hậu dưới dạng một webshell trên một số máy chủ Centreon tiếp xúc với Internet. Cửa hậu này được xác định là webshell PAS phiên bản 3.1.4. Ngoài ra, CERT-FR còn tìm thấy một cửa hậu khác giống với một cửa hậu được ESET mô tả và có tên là Exaramel.

Webshell PAS trước đây đã được sử dụng bởi những kẻ tấn công được cho là có liên quan tới Nga, ví dụ như chiến dịch APT Grizzly Steppe. Đây là một web shell PHP đầy đủ tính năng được kẻ tấn công sử dụng để duy trì quyền truy cập liên tục trên trang web nạn nhân.

CERT-FE còn chỉ ra chiến dịch này có một số điểm tương đồng với các chiến dịch trước đó được cho là do nhóm xâm nhập có tên Sandworm. Mặc dù, việc tìm thấy các mã độc đã được những kẻ tấn công sử dụng trước đây không đủ để quy kết bất kỳ việc sử dụng phần mềm độc hại đó cho cùng một nhóm những kẻ tấn công. Nhưng việc CERT-FE đặt tên là SandWorm là một dấu hiệu cho thấy nghi ngờ nhóm này trên thực tế có liên quan.

SandWorm – Nhóm tin tặc đến từ Nga

Sandworm là một nhóm các tin tặc được cho là hoạt động dưới sự tài trợ của chính phủ Nga, với thiên hướng tấn công phá hoại, thuộc cơ quan tình báo quân đội GRU. GRU Unit 74455 là tên gọi chính thức của nhóm hay còn được gọi là TeleBots, Voodoo Bear và Iron Viking.

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Các điệp viên GRU của Nga – hay còn gọi là Sandworm bị cáo buộc, đã bị truy tố vào tháng 10/2020 (từ trái sang phải, hàng trên cùng): Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko và Petr Pliskin (Nguồn: Bộ Tư pháp Hoa Kỳ)

Trong một bản cáo trạng vào tháng 10/2020, các nhà chức trách Hoa Kỳ cáo buộc các thành viên của Đơn vị 74455 GRU có liên quan trực tiếp đến nhiều cuộc tấn công, bao gồm: vụ tấn công ransomware giả NotPetya vào năm 2017, Thế vận hội Mùa đông 2018, Thế vận hội Mùa hè 2020 và các cuộc tấn công chống lại các tổ chức điều tra vụ tấn công Novichok năm 2018 của Nga trên đất Anh.

Đáp trả lại cáo buộc này, các nhà chức trách Nga đã bác bỏ và cho đó là một nỗ lực nhằm bôi nhọ Moscow.

Đăng Thứ (Tổng hợp)

DMS – Giải pháp giám sát an toàn thông tin hiệu quả

Bài viết giới thiệu về Hệ thống giám sát truy vấn tên miền (Domain Monitoring System – DMS) – một giải pháp đơn giản, hiệu quả trong việc giám sát an toàn thông tin hệ thống mạng máy tính chuyên dùng. Hệ thống DMS hoạt động dựa trên nguyên lý truy vấn tên miền, được triển khai theo mô hình các máy khách (client) phân tán và máy chủ (server) quản lý tập trung. Trong đó, các máy client không yêu cầu cao về cấu hình phần cứng. Hệ thống này đã được Lữ đoàn 2, Bộ Tư lệnh 86 phát triển, triển khai trong thực tế, hoạt động ổn định, đặc biệt tại các đơn vị vừa và nhỏ không có các thiết bị mạng cấu hình cao.

DMS - Giải pháp giám sát an toàn thông tin hiệu quả

Hiện nay, một số tổ chức, doanh nghiệp triển khai song song hai mạng máy tính riêng biệt, gồm mạng máy tính chuyên dùng và mạng máy tính kết nối Internet. Mạng máy tính chuyên dùng được sử dụng để trao đổi các thông tin quan trọng, do đó cần được bảo vệ ở cấp độ cao hơn so với mạng máy tính kết nối Internet.

Để bảo đảm an toàn thông tin (ATTT) cho các mạng máy tính chuyên dùng, một số giải pháp bảo mật được triển khai phổ biến như phần mềm phòng chống mã độc, phần mềm chống thất thoát dữ liệu, hệ thống giám sát lưu lượng mạng độc hại… Trong đó, giải pháp giám sát ATTT dựa trên lưu lượng mạng có ưu điểm như: giám sát, cảnh báo truy vấn tên miền và các hành vi mạng độc hại; quản lý thiết bị theo địa chỉ IP, địa chỉ MAC; cảnh báo thiết bị chưa được quản lý khi kết nối vào mạng, kết nối nhầm mạng.

DMS - Giải pháp giám sát an toàn thông tin hiệu quả
Hình 1. Một ví dụ về mô hình triển khai hệ thống giám sát lưu lượng mạng cơ bản trong thực tế

Tuy nhiên, bên cạnh các ưu điểm, hệ thống giám sát lưu lượng mạng cũng gặp một số khó khăn trong triển khai, mà nguyên nhân chủ yếu do yêu cầu nhiều thiết bị mạng và cấu hình máy chủ cao. Hình 1 mô tả về một ví dụ hệ thống giám sát lưu lượng mạng cơ bản trong thực tế, nhưng để triển khai thành công cần phải đáp ứng một số yêu cầu về phần cứng tối thiểu như:

– Máy chủ giám sát cấp 2 cần tối thiểu hai card mạng: một card để nhận dữ liệu giám sát từ thiết bị mạng và một card để gửi dữ liệu lên máy chủ giám sát cấp 1.

– Máy chủ giám sát cấp 2 cần cấu hình tương đối cao (phụ thuộc theo chức năng của từng hệ thống).

– Thiết bị mạng để thu thập, gửi dữ liệu lưu lượng mạng cho máy chủ giám sát cấp 2 gồm: Network TAP, Hub hoặc Switch cấu hình được để cấu hình cổng giám sát (Span port).

Các hạn chế nêu trên tồn tại ở nhiều đơn vị cấp cơ sở do nguồn kinh phí đầu tư cơ bản cho hạ tầng công nghệ thông tin còn chưa đáp ứng nhu cầu thực tế. Chính vì vậy, việc triển khai các hệ thống giám sát lưu lượng mạng như Hình 1 là chưa thực sự khả thi đối với nhiều đơn vị cấp cơ sở. Do đó, việc đề xuất một mô hình giám sát ATTT cho các mạng máy tính chuyên dùng giải quyết hài hòa giữa yếu tố an toàn và yêu cầu phần cứng thấp là thực sự cần thiết.

GIÁM SÁT HÀNH VI ĐỘC HẠI THÔNG QUA TRUY VẤN TÊN MIỀN

Truy vấn tên miền độc hại

Tên miền độc hại là các tên miền được sử dụng vào mục đích xấu như lừa đảo, che giấu các IP nhận dữ liệu và ra lệnh điều khiển mã độc (C&C). Trong các dấu hiệu giúp phát hiện hành vi độc hại qua mạng, truy vấn tên miền độc hại là một dấu hiệu quan trọng và được áp dụng hiệu quả trong việc giám sát, ngăn chặn nhiều loại mã độc nguy hiểm, đặc biệt là mã độc kết nối đến máy chủ điều khiển và ra lệnh, phần mềm gián điệp, đánh cắp dữ liệu, mã độc tống tiền.

Các mã độc trên thường kết nối đến C&C với mục đích nhận lệnh, gửi thông tin hoặc gửi dữ liệu đánh cắp ra bên ngoài. Nếu như các C&C sử dụng địa chỉ IP công khai, thì việc bị phát hiện là rất dễ dàng. Chính vì vậy, các C&C thường sử dụng tên miền thay vì sử dụng địa chỉ IP. Việc sử dụng tên miền giúp tin tặc tiết kiệm địa chỉ IP, dễ dàng thay đổi địa chỉ IP của các C&C.

DMS - Giải pháp giám sát an toàn thông tin hiệu quả
Hình 2. Mô hình DNS SinkHole cơ bản [1]

DNS SinkHole

DNS SinkHole là một kỹ thuật dùng để giám sát, bóc gỡ, ngăn chặn lộ lọt dữ liệu do các mã độc có truy vấn đến tên miền độc hại [1]. Hình 2 thể hiện mô hình chức năng cơ bản của một DNS SinkHole trong việc ngăn chặn không cho mã độc liên lạc và truyền dữ liệu về C&C với ví dụ kịch bản tấn công qua email.

Có thể thấy, việc sử dụng thông tin truy vấn tên miền để làm dấu hiệu giám sát sự cố mất ATTT cơ bản đáp ứng đủ yêu cầu thực tế.

HỆ THỐNG GIÁM SÁT TRUY VẤN TÊN MIỀN

Xuất phát từ các yếu tố nêu trên, nhóm tác giả đề xuất và thử nghiệm một giải pháp giám sát ATTT mạng dựa trên truy vấn tên miền không yêu cầu cấu hình phần cứng cao, phù hợp để triển khai trong thực tế. Các tính năng nổi bật của hệ thống DMS có thể kể đến gồm:

– Giám sát truy vấn tên miền, phân loại các truy vấn tên miền độc hại dựa trên tập tên miền độc hại;

– Hiển thị nội dung giám sát, quản lý tập trung  thông  qua  giao diện ứng dụng web. Đối với các truy vấn đến tên miền độc hại, hiển thị đầy đủ các thông tin chi tiết như thời gian truy vấn, họ và tên/địa chỉ MAC, địa chỉ IP, tên miền độc hại đã truy vấn, cấp độ, mô tả về tên miền độc hại;

– Phân cấp quản lý, giám sát theo tổ chức đơn vị;   

– Xuất báo cáo tùy chọn về thời gian, đơn vị, địa chỉ IP, tên miền;

– Giám sát trạng thái hoạt động của các máy chủ cấp 2 (DMS Client);

– Các chức năng quản lý, thống kê.

Đặc biệt, giải pháp giám sát truy vấn tên miềnDMS không yêu cầu cấu hình phần cứng phức tạp. Để triển khai DMS chỉ cần đáp ứng yêu cầu cơ bản là các máy chủ sử dụng một card mạng mà không cần các thiết bị trích xuất lưu lượng như Network TAP, Hub hoặc Switch (Span port).

MÔ HÌNH TRIỂN KHAI DMS

DMS - Giải pháp giám sát an toàn thông tin hiệu quả
Hình 3. Mô hình triển khai hệ thống giám sát truy vấn tên miền DMS

Hình 3 trình bày mô hình triển khai của Hệ thống giám sát truy vấn tên miền DMS. Hệ thống DMS triển khai theo mô hình quản lý phân cấp, bao gồm các thành phần:

– DMS Server: Có chức năng nhận và lưu dữ liệu về truy vấn tên miền từ các máy DMS Client; xác định truy vấn tên miền độc hại; hiển thị thông tin chi tiết qua giao diện web và cung cấp các chức năng quản lý cho người dùng.

– DMS Client: Có chức năng hoạt động như một máy chủ DNS nội bộ, nhận được thông tin truy vấn tên miền của tất cả máy trạm trong mạng nội bộ. Nếu tên miền được truy vấn không nằm trong danh sách trắng (white list), gửi thông tin chi tiết về DMS Server.

NGUYÊN LÝ HOẠT ĐỘNG CƠ BẢN

Khi các chương trình (phần mềm hợp pháp, phần mềm độc hại) trong máy tính trạm thực hiện truy vấn tên miền để phân giải địa chỉ IP, thông tin đó được gửi đến máy DMS Client trong cùng mạng. Dịch vụ DNS Server trong máy chủ DMS Client sẽ thực hiện phân giải “Tên miền – Địa chỉ IP” và gửi trả lời thông tin địa chỉ IP về máy tính trạm. Thông tin trả về có thể là địa chỉ IP thực sự nếu đó là tên miền hợp lệ, ngược lại sẽ trả về địa chỉ IP do DNS SinkHole quy định. Đồng thời, các thông tin về truy vấn đó được DMS Client gửi lên DMS Server.

DMS Server nhận được các thông tin liên quan đến truy vấn tên miền, bao gồm: ID của đơn vị, địa chỉ IP, địa chỉ MAC (nếu cùng broadcast domain), tên miền, thời gian. Các thông tin này được lưu vào cơ sở dữ liệu và phân loại. Những truy vấn đến các tên miền độc hại được đối sánh và liệt kê các thông tin chi tiết về máy thực hiện truy vấn, thông tin về mã độc.

Ngoài ra, tại DMS Client có sử dụng bộ lọc Whitelist, chỉ gửi các truy vấn tên miền không có trong Whitelist lên DMS Server giúp giảm tải cho hệ thống.

Ngoài ra, hệ thống còn nhiều tính năng khác phục vụ mục đích quản lý như tạo báo cáo; cập nhật danh sách tên miền, đơn vị – IP, thông tin thiết bị; tình trạng các máy DMS Client.

DMS - Giải pháp giám sát an toàn thông tin hiệu quả
Hình 4: Kết quả giám sát truy vấn tên miền độc hại

KẾT LUẬN

Bài báo trình bày một giải pháp giám sát ATTT DMS đơn giản, hiệu quả. Hệ thống được triển khai theo mô hình phân cấp, xác định được các máy tính có nhiễm mã độc khi thực hiện truy vấn tên miền. Đặc biệt, hệ thống không yêu cầu nhiều thiết bị mạng và cấu hình các máy DMS Client không cao.

Để ứng dụng mô hình này một cách hiệu quả hơn, có thể bổ sung một số giải pháp như sau: Sử dụng thuật toán so khớp nhanh để xác định tên miền độc hại; Áp dụng kỹ thuật xác định tên miền độc hại được sinh tự động theo kỹ thuật DGA (Domain Generation Algorithms); Ứng dụng các kỹ thuật học máy để xác định tên miền nghi ngờ độc hại (Graylist), từ đó đưa ra cảnh báo sớm. Bên cạnh đó, thử nghiệm triển khai dịch vụ DMS Agent thông qua truy vấn tên miền. DMS Agent được cài đặt trên các máy tính trạm nhằm giám sát thông tin sử dụng USB, thay đổi chính sách ATTT và gửi cảnh báo về DMS Client thông qua truy vấn tên miền. Trong tương lai xa hơn, giải pháp sẽ bổ sung các chức năng quản lý, cảnh báo qua SMS, email.

TÀI LIỆU THAM KHẢO1. Guy Bruneau (2010), “DNS Sinkhole”, SANS Institute InfoSec Reading Room, 2010.
2. TS. Phạm Việt Trung, “Hệ thống giám sát, chống thất thoát và diệt phần mềm dán điệp dựa trên truy vấn tên miền độc hại“, số 04 (044) 2017, Tạp chí ATTT.

Đỗ Thành Nam, Trần Ngọc Anh, Đỗ Văn Tiến

Trung Quốc đánh cắp dữ liệu cá nhân của 80% người Mỹ trưởng thành

Bill Evanina, cựu Giám đốc Trung tâm Phản gián và An ninh Quốc gia Hoa Kỳ đã chia sẻ thông tin qua kênh CBS ’60 Minutes về việc, Bắc Kinh đang cố gắng thu thập và khai thác thông tin chăm sóc sức khỏe của người Mỹ, bao gồm cả DNA của họ.

Bill Evanina cũng chỉ rõ Trung Quốc đã đánh cắp thông tin nhận dạng cá nhân của 80% người Mỹ, sử dụng các phương pháp “kém danh dự” để đánh cắp dữ liệu, bao gồm tấn công các công ty chăm sóc sức khỏe và công nghệ, chẳng hạn như nhà thông minh, cảm biến và mạng 5G. 

Trung Quốc đánh cắp dữ liệu cá nhân của 80% người Mỹ trưởng thành

Theo báo cáo của IBTimes, Evanina cho biết, BGI Group là một công ty công nghệ sinh học lớn, có quan hệ chặt chẽ với quân đội và chính phủ Bắc Kinh, đã tiếp cận Washington và 5 bang khác với lời đề nghị xây dựng và vận hành các phòng thí nghiệm thử nghiệm virus corona. Công ty Trung Quốc hứa sẽ “cung cấp chuyên môn kỹ thuật, giải trình tự thông lượng cao” và “đóng góp thêm” cho các bang. 

Báo cáo cho biết, lời đề nghị này đã làm dấy lên những nghi ngờ khiến Evanina đưa ra cảnh báo cho các bang trước đề xuất của BGI Group. Kết quả, không có bất kỳ bang nào chấp nhận đề xuất từ Trung Quốc. Từ đó, Hoa Kỳ đã ngăn chặn các mối đe dọa đến an ninh và kinh tế quốc gia. 

Trong một cuộc phỏng vấn với đài CBS, Evanina cho biết: “Điều này cho thấy tư duy bất chính của Đảng Cộng sản Trung Quốc, lợi dụng một cuộc khủng hoảng trên toàn thế giới như COVID-19. Chúng tôi đưa ra lời khuyên cho không chỉ mọi người Mỹ mà còn cho các bệnh viện, hiệp hội và phòng khám”.

Theo Yaniv Bar-Dayan, Giám đốc điều hành và đồng sáng lập tại Vucan Cyber, “Có hai cách mà các nhóm lợi ích của Trung Quốc đang tiếp cận với dữ liệu sinh học cá nhân của chúng tôi. Hoặc là chúng tôi vô tình trao nó cho họ thông qua các điều khoản và điều kiện chưa đọc đã ký kết. Hoặc tin tặc Trung Quốc được nhà nước bảo trợ đang đánh cắp nó từ các công ty y tế, công nghệ sinh học và dược phẩm mà đã được chúng tôi tin tưởng và bảo vệ”.

Yaniv Bar-Dayan nói, “Những tin tặc này giả định một cách chính xác rằng hệ thống an ninh mạng của các nhà cung cấp dịch vụ chăm sóc sức khỏe của chúng tôi là không lành mạnh. Họ lợi dụng thực tế là dữ liệu sinh học kỹ thuật số của chúng tôi không được bảo mật 100%. Nó là một lỗ hổng không thể khắc phục, trong số hàng chục nghìn lỗ hổng được báo cáo mỗi năm, để thực hiện cung cấp nhu cầu của các tác nhân xấu. Xem xét tình hình hiện tại, chúng ta cần dành thời gian tương xứng cho sự an toàn của hệ thống chăm sóc sức khỏe kỹ thuật số cũng như sức khỏe của người dân”.

Dirk Schrader, Phó chủ tịch toàn cầu tại New Net Technologies (NNT) lưu ý: “Nói một cách đơn giản, nghiên cứu an ninh mạng gần đây về tình trạng bảo vệ dữ liệu trong lĩnh vực y tế chỉ ra rằng không khó khi chính phủ nước ngoài, chưa cần tới sử dụng các phương pháp tấn công tiên tiến để có quyền truy cập Thông tin sức khỏe cá nhân (PHI) của công dân Hoa Kỳ. Ví dụ: dữ liệu X- quang của khoảng 6 triệu công dân Hoa Kỳ đã được phát hiện không được bảo vệ vào cuối năm 2019, nhưng không có cải thiện đáng kể nào một năm sau đó. Trên hết, nhà cung cấp lớn nhất đã để các kho lưu trữ X- quang của mình kết nối với Internet công cộng mà không có bất kỳ biện pháp bảo vệ nào. Khi nói về dữ liệu, có rất nhiều vấn đề cần thực hiện để cải thiện cho ngành y tế và cơ quan quản lý nói chung, nhằm mục tiêu chính phủ nước ngoài khó tiếp cận với PHI”.

Quốc Trung

(theo securitymagazine.com)

Xây dựng các ma trận MDS từ mã Gabidulin

Ma trận MDS là một thành tố quan trọng trong việc xây dựng, thiết kế các mã khối an toàn. Bài báo này giới thiệu về mã Gabidulin (một mã tuyến tính trong lý thuyết mã) và cách xây dựng các mã MDS từ mã Gabidulin.

Trong tài liệu [1], tác giả Thierry P. Berger và các cộng sự đưa ra phương pháp xây dựng các mã MDS bằng cách mở rộng các mã Gabidulin. Phương pháp này sử dụng các mã tối ưu trên một trường cơ sở bên dưới.

Khoảng cách hạng

Khoảng cách hạng được giới thiệu bởi E. Gabidulin vào năm 1985, chi tiết về độ đo này được trình bày trong [2].

Cho K = GF(qm) là một mở rộng bậc m của trường hữu hạn GF (q), q = pr không cần là nguyên tố, trường GF(q) được xét như “trường cơ sở” trong phương pháp này. Cho E = Kn là không gian vectơ n chiều trên K.Định nghĩa 1 ([1]). Với  trọng số hạng rk (a) của a là số chiều của không gian vectơ được sinh bởi { a1,…an}, tức là bằng số các phần tử của a độc lập tuyến tính.Vì  nên  với 

Tương đương, trọng số hạng của a là hạng của ma trận m x n trên GF(q) được tạo bằng cách mở rộng mọi tọa độ atrên cơ sở của K/ GF (q). Giá trị của trọng số hạng là độc lập với cơ sở được chọn.Ví dụ 1. Cho (mở rộng của GF(2) theo đa thức x3 + x +1). Khi đó, nếu  là nghiệm của đa thức đó thì .  Cho n = 5. Đặt . Trong các thành phần của a, chỉ có hai trong chúng là độc lập tuyến tính, vì vậy rk(a) =2.Xét ma trận do khai triển mỗi tọa độ ai theo cơ sở của K là  (viết theo cột):

Xây dựng các ma trận MDS từ mã Gabidulin

nó cũng có hạng là 2.Cho a và b là hai phần tử của E. Quan hệ dr(a,b) = rk (a – b) xác định một khoảng cách trên E. Theo định nghĩa này, có thể định nghĩa khoảng cách hạng tối thiểu dr của một mã C, cũng giống như độ đo Hamming. Nếu dh chỉ khoảng cách Hamming truyền thống, thì với mọi a,b trong E, khoảng cách hạng thoả mãn bất phương trình: .Như vậy, với mọi , hạng của x thoản mãn .

Tồn tại một giới hạn đối với khoảng cách hạng tối thiểu của một mã, tương tự như giới hạn Singleton đối với khoảng cách Hamming:

Mệnh đề 1 ([2]): Nếu C là một mã tuyến tính độ dài n, số chiều k và khoảng cách hạng dr, thì:

Một mã khoảng cách hạng cực đại (MRD) là một mã đạt được giới hạn trên, Lưu ý rằng, nếu  thì mã MRD cũng là một mã MDS.

Mã Gabidulin

Trong bài [2], Gabidulin đã mô tả một lớp các mã MRD với , còn được gọi là mã Gabidulin.Định nghĩa 2 ([1]). Cho ,  với  và chúng độc lập tuyến tính trên GF (q). Mã Gabidulin  có giá  và số chiều k, là một mã được sinh bởi ma trận:

Xây dựng các ma trận MDS từ mã Gabidulin

trong đó Định nghĩa này gần với mã Reed-Solomon (RS): tập các phần tử khác nhau được thay thế bởi một tập các phần tử độc lập tuyến tính và lũy thừa truyền thống được thay thế bởi “lũy thừa Frobenius” . Mã  đã được xem như ước lượng của các đa thức bậc nhỏ hơn k trên một tập gồm n phần tử. Có thể có sự giải thích tương đương về mã Gabidulin như là ước lượng của các đa thức tuyến tính hóa trên một tập gồm n phần tử độc lập tuyến tính:Định nghĩa 3 ([1]). Một đa thức tuyến tính hóa  là một đa thức có dạng:

Xây dựng các ma trận MDS từ mã Gabidulin

Nếu bậc của đa thức tuyến tính hóa f(X) là [r], thì r được gọi là bậc tuyến tính của f(X) và được ký hiệu là .

Tập các đa thức được tuyến tính hóa là đẳng cấu với tập các ứng dụng tuyến tính – GF(q) của K vào chính nó [3].Mã Gabidulin   là tập các giá trị từ  trong đó f(X) là đa thức tuyến tính hóa bất kỳ với bậc tuyến tính nhỏ hơn k (f(X) là biểu diễn của thông báo: Từ mã =”thông báo”.).

Các tác giả đưa ra chứng minh ngắn gọn của định lý sau ([84]):Định lý 1 ([1]). Mã Gabidulin  là MRD.

Chứng minh:Cho  là một phần tử của gắn với đa thức tuyến tính hóa f(X). Cho  là nhân của và  là không gian vectơ trên GF(q) được sinh bởi . Hạng của x là số chiều của Vì bậc tuyến tính của f(X) nhỏ hơn k nên số chiều của V nhỏ hơn k. Điều này kéo theo . Khoảng cách hạng của mã này là lớn hơn hoặc bằng n – k +1 , nghĩa là . Từ giới hạn của Mệnh đề 1, suy ra .

Mở rộng của mã Gabidulin

Độ dài của các mã Gabidulin tương đối ngắn (độ dài của mã nhiều nhất bằng m) so với qm Mục tiêu của các tác giả trong [1] là mở rộng các mã Gabidulin bằng cách thêm vào điểm ước lượng của đa thức tuyến tính hóa.Cho  là một tập gồm n phần tử khác nhau (tập a chưa chắc độc lập tuyến tính). Có thể n>m. Xét một mã tuyến tính Ca,k nhận được bằng cách ước lượng các đa thức được tuyến tính hóa với bậc tuyến tính nhỏ hơn k trên tập a:: đa thức tuyến tính hóa, Đặt .(Giả thiết rằng .)Mệnh đề 2 ([1]). Khoảng cách hạng dr của mã .

Chứng minh:Không mất tính tổng quát, giả sử rằng vectơ  có hạng  (tập á độc lập tuyến tính). Khi đó mã Cák là một mã Gabidulin với khoảng cách hạng là r – k +1. Vì tất cả các cột ma trận sinh của Cak là các tổ hợp tuyến tính trên GF(q) của các cột trong ma trận sinh của Cák, khi đó khoảng cách hạng tối thiểu của Cak sẽ bằng với khoảng cách hạng tối thiểu của Cák.                              

Khoảng cách hạng là cực đại nếu a là một hệ sinh của K, nghĩa là rk(a) = m. Tuy nhiên khoảng cách hạng của các mã như vậy bị chặn trên bởi m – k + 1.Đối với khoảng cách Hamming khoảng cách hạng được mở rộng hơn, bởi vì .

Hệ quả 1 ([1]). Khoảng cách Hamming dh của mã Cak lớn hơn hoặc bằng rk(a) – k +1.

Tuy nhiên, có thể xây dựng một mã Cak với khoảng cách Hamming tốt.Bổ đề 1 ([1]). Giả sử f(X) là một đa thức tuyến tính hóa và . Trọng số Hamming của f(a) bằng n – s, trong đó s là số lượng các phần tử của a trong V.

Các tác giả tiếp tục đưa ra mệnh đề sau:

Mệnh đề 3 ([1]). Khoảng cách Hamming tối thiểu của mã Ca,k là dh = n – s, trong đó s là số lượng cực đại của các phần tử của a được chứa trong cùng không gian vectơ V với số chiều k-1.

Chứng minh:Giả sử rằng chính xác  phần tử của a là trong cùng không gian vectơ V với số chiều k -1. Định nghĩa , là một đa thức tuyến tính hóa với bậc tuyến tính là k-1. Rõ ràng f(a) là nằm trong Cak . Từ bổ đề 1, có . Điều này có nghĩa rằng .Ngược lại, giả sử  là một phần tử của Cak và. Nếu  là số lượng các phần tử của a trong V, khi đó . Vì  nên . Kéo theo , khi đó ta có dh = n-s.    

Định lý sau đây khẳng định đặc trưng của các mã Cak để là MDS.

Định lý 2 ([1]). Một mã Cak là MDS nếu và chỉ nếu tập bất kỳ gồm k phần tử của a là độc lập tuyến tính.

Chứng minh:

Nếu tập bất kỳ gồm k phần tử của a là độc lập tuyến tính thì số lượng cực đại của các phần tử của a được chứa trong một không gian vectơ k-1 chiều bằng s=k-1. Khi đó, khoảng cách tối thiểu của một mã như thế sẽ bằng dh=n-(k-1) = n-k+1. Do vậy, đây là một mã MDS.

Ngược lại, nếu Cak là mã MDS thì dh =n-(k-1). Có nghĩa là s=k-1 , hay không gian vectơ k-1 chiều bất kỳ V chứa nhiều nhất k-1 phần tử của a. Điều này tương đương với khẳng định “tập bất kỳ k phần tử của a là độc lập tuyến tính”.  

Xây dựng ma trận MDS có tính chất MRD

Cố định q=2 và m=2r. Chọn cơ sở B={b1,b2,…bm} của K trên F=GF(2) và n=m. Khi đó mã Gabidulin GB,r là mã MRD và có các tham số [m=2r,r,r+1] (GB,r cũng là mã MDS) trên K (là độ dài tin k).

 Nếu A là ma trận vuông cỡ r trên K sao cho [Ir,A] là ma trận sinh chuẩn của GB,r thì là ma trận MDS trên K. Ma trận này cho độ khuếch tán cực đại trên r khối có cỡ m=2r nhưng lại có thêm tính chất MRD.

Ví dụ 2. Chọn m=8, r=4. Giả sử

Xây dựng các ma trận MDS từ mã Gabidulin

là nghiệm của đa thức nguyên thủy x8+x4+x3+x2+1. Đặt B={1,a, a2,…, a7} là cơ sở của K trên F. Ma trận MDS được xác định từ mã Gabidulin GB,4 là:

Xây dựng các ma trận MDS từ mã Gabidulin

Ma trận A này có cùng các tham số như MixColumns, r=4 là cỡ cực đại của ma trận MDS có tính chất MRD trên GF(28).Có thể chọn n<m điểm độc lập tuyến tính của K, khi đó ta nhận được ma trận khuếch tán r x r trên với n = 2r. Ví dụ nếu cố định m=16, có thể thiết lập ma trận khuếch tán MDS có cỡ .

Giả sử n>m và n=2k, khi đó mã MRD không nhất thiết là MDS (nói chung không là MDS). Trước đây, người ta đã thiết lập mã MDS có độ dài n>m  bằng cách mở rộng các điểm ước lượng của đa thức tuyến tính hóa. Tuy nhiên, các mã này không còn là MRD nữa, các tham số của chúng bị hạn chế nên không thể vượt qua tỷ lệ ½ (tức là mã tuyến tính có n=2k). Những mã Gabidulin mở rộng này dường như không thích hợp để xây dựng các tầng khuếch tán MDS và không có tính chất bổ sung so với mã Reed-Solomon.

So sánh các phương pháp xây dựng ma trận MDS từ mã MDS

Sau đây, tác giả bài báo đưa ra bảng so sánh hai phương pháp xây dựng các ma trận MDS từ các mã MDS, bao gồm mã RS và mã Gabidulin.

Bảng 1. So sánh phương pháp từ mã RS và mã Gabidulin

Xây dựng các ma trận MDS từ mã Gabidulin

Kết luận

Bài báo này giới thiệu một phương pháp xây dựng các mã MDS bằng cách mở rộng các mã Gabidulin để từ đó có thể trích rút ra được các ma trận MDS từ các mã MDS này. Phương pháp này sử dụng các mã tối ưu trên một trường cơ sở bên dưới do tác giả Thierry P. Berger và các cộng sự đã đưa ra trong tài liệu [1]. Bài báo cũng đưa ra so sánh các phương pháp xây dựng ma trận MDS từ các mã MDS như mã RS và mã Gabidulin. Việc nghiên cứu các phương pháp khác nhau trong việc xây dựng các ma trận MDS sẽ hữu ích cho các nhà nghiên cứu để tìm ra những ma trận MDS tốt nhất theo nhiều tiêu chí khác nhau nhằm xây dựng các mã khối an toàn, hiệu quả trong thực thi.

TÀI LIỆU THAM KHẢO[1] Thierry P. Berger, Alexei V. Ourivski, Construction of new MDS codes from Gabidulin codes, LACO, University of Limoges, France, 2013.[2] E. M. Gabidulin. Theory of codes with maximal rank distance. Problems of Information Transmission, 21:1-12, July 1985.[3] R. Lidl, H. Niederreiter. Finite fields and their applications. Cambridge University Press.[4] R. F. Babindamana and C. T. Gueye, Gabidulin Codes that are Generalized Reed Solomon Codes, International Journal of Algebra, Vol. 4, 2010, no. 3, Insert Cell After119 – 142.

TS. Trần Thị Lượng (Học viện Kỹ thuật mật mã)

Dịch vụ cung cấp Entropy mở khóa toàn bộ tiềm năng của mật mã

Độ phụ thuộc vào việc có các khóa mật mã mạnh (có entropy cao) và giữ bí mật các khóa đó. Khả năng tạo ra các khóa mật mã mạnh yêu cầu phải truy cập tới một nguồn ngẫu nhiên không thể dự đoán. Tuy nhiên, việc này trên các thiết bị máy tính thông thường hoặc các thiết bị IoT là khó và không đáng tin cậy. Dịch vụ entropy được đề xuất bởi Viện Tiêu chuẩn quốc gia Hoa Kỳ là một kiến trúc dịch vụ Internet mới, cho phép cung cấp dữ liệu ngẫu nhiên không thể dự đoán, với entropy cao được tạo bởi các nguồn entropy lượng tử từ các trung tâm tin cậy đến các máy khách gửi yêu cầu.

Dịch vụ cung cấp Entropy mở khóa toàn bộ tiềm năng của mật mã

ENTROPY VÀ TẦM QUAN TRỌNG CỦA ENTROPY

Entropy là gì?

Trong tính toán, entropy là một độ đo tính ngẫu nhiên hoặc tính không dự đoán được của thông tin [1] mà một hệ điều hành hoặc ứng dụng thu thập được để sử dụng trong việc tạo các khóa mật mã yêu cầu dữ liệu ngẫu nhiên. Khi mức độ entropy cao được sử dụng để mã hóa, dữ liệu người dùng có thể được bảo vệ an toàn trước các tấn công cả khi truyền qua mạng và ngay tại trên các thiết bị lưu trữ.

Các hệ thống máy tính truyền thống tiếp cận đến tương tác của con người với máy tính như chuyển động của chuột, các hoạt động mạng và các thao tác nhập bàn phím để tìm entropy. Dữ liệu không thể đoán trước dựa trên entropy phần mềm sau đó được chuyển thành số ngẫu nhiên và được sử dụng cho nhu cầu mật mã.

Nhưng ngoài các máy tính truyền thống, người dùng cũng sử dụng rất nhiều các thiết bị và hệ thống khác có quyền truy cập Internet. Do đó, nhu cầu dữ liệu ngẫu nhiên ngày càng gia tăng để giảm thiểu các vấn đề bảo mật trong môi trường điện toán đám mây, hệ thống nhúng và thiết bị kết nối vạn vật (IoT). Ngược lại, các hệ thống dựa trên đám mây và các thiết bị cải tiến bị hạn chế trong tương tác với người dùng, do đó không thể tạo ra entropy dựa trên phần mềm đủ mạnh cho các nhu cầu về mật mã.

Tầm quan trọng của entropy

Trước năm 2012, các vấn đề với entropy dựa trên phần mềm hầu như không được nhắc đến. Sau đó, nhóm nghiên cứu từ Đại học California, San Diego và Đại học Michigan, Mỹ đã phát hiện ra rằng, thuật toán RSA và thuật toán chữ ký số (Digital Signature Algorithm – DSA) không còn tạo ra các khóa đảm bảo an toàn. Các nhà nghiên cứu đã đánh giá tính bảo mật của các khóa công khai được sử dụng trong các thiết bị Internet như tường lửa và bộ định tuyến. Kết quả cho thấy hầu hết các máy chủ SSH và TLS đều chứa các khóa công khai dễ đoán. Ngoài ra, các nhà nghiên cứu cũng phát hiện ra rằng 10% khóa SSH và 5% khóa HTTPS trùng lặp [2].

Lý do là các thiết bị kết nối Internet bị hạn chế về tài nguyên và tương tác với người dùng. Các thiết bị IoT được phát triển dựa trên giả định rằng entropy được tạo bằng phần mềm là đủ cho mật mã, nhưng cách tiếp cận này dường như không hiệu quả. Các thiết bị IoT sử dụng khóa mật mã có thể đoán được sẽ dễ dàng bị chuyển đổi từ thiết bị hữu ích thành công cụ gián điệp.

Ngoài ra, các hệ thống dựa trên đám mây không tương tác với phần cứng của thiết bị người dùng. Thay vào đó, các nhà cung cấp dịch vụ đám mây sử dụng một hình ảnh vàng duy nhất (golden image) của một máy ảo khách và tạo ra nhiều phiên bản của nó để đáp ứng nhu cầu của người dùng. Những trường hợp này khó có khả năng tạo entropy. Do đó, điện toán đám mây đang trở thành một hướng tấn công hấp dẫn cho tin tặc.

Việc tìm kiếm một nguồn entropy thực sự đáng tin cậy đã trở thành vấn đề cấp thiết đối với các nhà phát triển. Trong khi ngày càng thiếu hụt entropy chất lượng cao, cách tiếp cận sử dụng phần mềm truyền thống để tạo entropy là thất bại khi áp dụng cho các hệ thống máy tính hiện đại. Mặc dù các chuyên gia khuyến nghị nên tạo khóa mật mã với các bộ tạo bit ngẫu nhiên tất định, nhưng tồn tại một rủi ro là các giá trị ban đầu hoặc mầm khóa được cung cấp cho các bộ tạo này để phát triển khóa có thể dễ dàng bị truy tìm và xâm phạm bởi tội phạm mạng.

Một giải pháp khả thi cho vấn đề này là tìm các nguồn entropy bên ngoài có thể được chia sẻ an toàn bởi nhiều ứng dụng trong môi trường của sản phẩm…

THÁCH THỨC VÀ GIẢI PHÁP VỀ ENTROPY

Trong thế giới kết nối như hiện nay, hầu hết các thiết bị từ truyền thống đến IoT đều cần liên lạc an toàn trên Internet để tránh lộ, lọt các thông tin nhạy cảm như tên người dùng, mật khẩu, thông tin ngân hàng hoặc hồ sơ y tế quan trọng.

Mật mã là giải pháp quan trọng để bảo mật dữ liệu tại chỗ hoặc trên IoT. Nhưng mật mã sẽ thất bại khi thiết bị sử dụng khóa dễ đoán (yếu) được tạo ra từ dữ liệu ngẫu nhiên có entropy thấp. Các máy tính tất định tiêu chuẩn gặp khó khăn trong việc tạo ra tính ngẫu nhiên tốt, đặc biệt là các thiết bị IoT bị hạn chế về tài nguyên sẽ có ít cơ hội để thu thập entropy cục bộ trước khi bắt đầu các truyền thông mạng. Các nguồn tốt nhất của tính ngẫu nhiên thực sự dựa trên các hiện tượng vật lý không thể đoán trước, chẳng hạn như hiệu ứng lượng tử nhưng chúng có thể không thực tế để đưa vào các thiết bị IoT.

NIST đã đưa ra một dự án có tên: “Entropy là một Dịch vụ: Mở khóa toàn bộ tiềm năng của mật mã” (Entropy as a Service: Unlocking the full potential of cryptography) viết tắt là EaaS, trong đó nghiên cứu các kiến trúc dịch vụ Internet mới, cung cấp các nguồn entropy an toàn cho các thiết bị IoT. Nghiên cứu của NIST cũng đề cập đến cả vấn đề độ tin cậy trên Internet, đặc biệt phù hợp với các dịch vụ hữu ích cho các mục đích cơ bản như vậy.

DỊCH VỤ ENTROPY

EaaS (Entropy as a Service) là một dịch vụ Internet sáng tạo được thiết kế để cung cấp các nguồn entropy chất lượng cao cho các thiết bị IoT, hệ thống nhúng và nhà cung cấp dịch vụ đám mây. Những nguồn entropy này dựa trên các quá trình vật lý của bộ dao động vòng hoặc các thiết bị lượng tử có thể cung cấp tính ngẫu nhiên thực sự. Các nhà phát triển có thể sử dụng EaaS để nạp mầm cho các ứng dụng hoặc thiết bị của họ với entropy chất lượng cao và chắc chắn rằng các sản phẩm của họ được bảo vệ mạnh mẽ trước các cuộc tấn công mạng. Các thành phần chính của kiến trúc EaaS cơ sở được hiển thị trong Hình 1.

Dịch vụ cung cấp Entropy mở khóa toàn bộ tiềm năng của mật mã
Hình 1. Kiến trúc EaaS của NIST

Các thành phần quan trọng là thiết bị entropy lượng tử, máy chủ EaaS và gốc phần cứng của thiết bị tin cậy (TPM, Intel® IPT, ARM® TrustZone®) trong hệ thống khách hàng.

Trong vi kiến trúc này, hệ thống máy khách được trang bị thiết bị gốc phần cứng tin cậy (HRT). Ví dụ về các thiết bị HRT là môđun nền tảng đáng tin cậy, công nghệ bảo vệ định danh Intel® và công nghệ ARM® TrustZone. Hệ thống máy khách chạy một ứng dụng phần mềm chuyên dụng có khả năng giao tiếp với thiết bị HRT cục bộ ở một đầu và với EaaS ở đầu kia. Ứng dụng giao tiếp với máy chủ entropy bằng các giao thức văn bản tiêu chuẩn, chẳng hạn như HTTP.

Quy trình máy khách gửi yêu cầu và nhận dữ liệu có entropy cao từ một EaaS như sau:

1) Ứng dụng chuyên dụng khởi tạo quy trình lấy entropy từ máy chủ EaaS bằng cách chuyển tín hiệu đầu tiên sang thiết bị HRT và lấy khóa công khai của nó.

2) Ứng dụng chuyên dụng yêu cầu nhãn thời gian từ máy chủ thời gian sử dụng NTP.

3) Ứng dụng sẽ gửi khóa công khai của thiết bị HRT đến máy chủ EaaS thông qua cuộc gọi HTTP GET.

4) Máy chủ EaaS nhận khóa công khai của người yêu cầu, đọc giá trị ngẫu nhiên R (si) tiếp theo có sẵn, ký tên với khóa riêng của EaaS, đóng dấu với thời gian hiện tại và gửi lại giá trị được mã hóa cho khách hàng.

5) Ứng dụng trên máy khách nhận kết quả qua HTTP và gửi nó đến thiết bị HRT.

6) Thiết bị HRT xác minh chữ ký bằng khóa công khai EaaS, kiểm tra nhãn thời gian của dữ liệu về độ mới, giải mã kết quả bằng khóa riêng của máy khách. Nếu chữ ký là chính xác và dữ liệu ngẫu nhiên được chấp nhận, thì thiết bị HRT sẽ gửi cho máy khách một vé (ticket) để cho phép hệ thống máy khách sau này có thể chứng minh được rằng nó đã nhận dữ liệu entropy chất lượng cao từ EaaS.

Đặc biệt chú ý, dữ liệu ngẫu nhiên thu được từ Bước 6 của giao thức không được sử dụng trực tiếp để xây dựng các khóa mật mã hoặc làm mầm cho DRBG. Thay vào đó, các cơ chế mã hóa đã biết để kết hợp nhiều nguồn dữ liệu ngẫu nhiên phải được sử dụng để trộn dữ liệu ngẫu nhiên thu được từ nhiều phiên bản EaaS từ xa với tính ngẫu nhiên cục bộ, đối với hệ thống máy khách và thiết bị HRT để tạo mầm cho DRBG được NIST phê duyệt. Các cơ chế mã hóa như vậy được biết đến như là sự trích xuất entropy/ngẫu nhiên.

NIST đặc biệt khuyến nghị tối thiểu hai trường hợp EaaS độc lập ở các vị trí địa lý khác nhau được sử dụng làm nguồn từ xa. Dữ liệu thu được từ quá trình trích xuất ngẫu nhiên phải được cung cấp như một mầm cho DRBG được NIST phê duyệt. Sau đó, việc tạo khóa mật mã phải được thực hiện bởi DRBG đã được NIST phê duyệt được nạp mầm trên hệ thống máy khách hoặc bên trong thiết bị HRT.

Cấu trúc này đảm bảo rằng kẻ tấn công sẽ không có bất kỳ lợi thế có ý nghĩa nào để hiểu rõ hơn về các khóa mật mã được tạo cục bộ trên hệ thống máy khách.

Dịch vụ cung cấp Entropy mở khóa toàn bộ tiềm năng của mật mã
Hình 2. Mô hình hướng dẫn sử dụng cho máy khách EaaS

Trong mô hình f là một hàm băm; EaaS1,…, EaaSn là các trường hợp EaaS độc lập cung cấp dữ liệu cho việc tính toán Uout = f(x0,x1,…,xn) với xi, 1 ≤ i ≤ n là dữ liệu thu được từ các trường hợp EaaSi sử dụng khóa truy cập EaaS của máy khách; Chú ý rằng chỉ có duy nhất một khóa truy cập của máy khách cho tất cả các trường hợp EaaSi.

Lưu ý rằng EaaS không tạo khóa, nó chỉ cho phép các hệ thống máy khách tạo ra các khóa mật mã mạnh mà máy chủ EaaS không có khả năng để hiểu rõ hơn về các khóa máy khách. Nhiều người không tin tưởng bất kỳ sự ủy quyền tập trung nào cho một dịch vụ cung cấp một mục đích cơ bản như vậy. EaaS được thiết kế để phân phối và tổng hợp độ tin cậy trên một tập hợp có thể mở rộng gồm nhiều bên tham gia khác nhau, đưa ra một ủy quyền tập thể. Bằng cách kết hợp các kỹ thuật mật mã đã biết theo những cách mới, kiến trúc này sẽ cung cấp entropy mới cho các thiết bị IoT khi cần thiết. Kiến trúc này sẽ phân phối độ tin cậy trên hàng ngàn máy chủ rải rác trên khắp thế giới, đủ khả năng để mọi chính phủ và mọi công ty công nghệ trên thế giới có thể tham gia trực tiếp vào nguồn gốc của sự tin cậy phi tập trung, mỗi bên đảm bảo một cách tích cực và độc lập.

CÁC NHÀ CUNG CẤP EAAS

Ngày càng có nhiều ví dụ về các giải pháp EaaS thành công trên thị trường. Chẳng hạn, Whitewood, một nhà phát triển các giải pháp bảo mật tiền điện tử của Mỹ cung cấp giải pháp EaaS miễn phí cho phần mềm tại chỗ cũng như các tùy chọn trả phí cho cấp phép vĩnh viễn hoặc mô hình dựa trên tiêu dùng. Whitewood đã tạo ra phần mềm netRandom nhận dữ liệu ngẫu nhiên từ một máy entropy và cung cấp cho các hệ điều hành, thiết bị IoT và máy ảo với nguyên liệu mầm duy nhất.

Crypto4A – một công ty an ninh mạng của Canada cũng thực hiện tất cả các khuyến nghị của NIST trong giải pháp sẵn sàng lượng tử của mình. Nhà cung cấp EaaS này sử dụng môđun bảo mật phần cứng được phát triển đặc biệt để triển khai nhiều nguồn entropy và cung cấp thiết kế bộ tạo số ngẫu nhiên theo NIST SP-800-90 với dữ liệu dựa trên lượng tử. Môđun của họ đảm bảo mức độ bảo mật mật mã và tính xác thực dịch vụ cần thiết cho các khách hàng của công ty.

Quintessence Labs – một công ty bảo mật có trụ sở tại Úc hiện đang kiểm thử nghiêm ngặt sản phẩm qStream của họ nhằm cung cấp entropy được tạo dựa trên lượng tử ở tốc độ cao cho các bộ tạo số giả ngẫu nhiên. Công ty đã phát triển một hệ thống quản lý entropy hiệu quả, tuân thủ theo quy định của KMIP và FIP 140-2 mức 3.

PriVerify Corp là một công ty tư nhân chuyên về bảo mật thông tin của Mỹ. Công ty này hiện đang cung cấp hai giải pháp EaaS là EaaS cho các máy chủ Linux và EaaS cho IoT.

LỢI ÍCH CỦA EAAS DÀNH CHO NHÀ PHÁT TRIỂN

EaaS hữu ích cho các nhà phát triển ứng dụng và thiết bị khi giúp họ không cần cố gắng tìm kiếm các nguồn entropy an toàn của riêng họ. Họ có thể ra mắt sản phẩm của mình nhanh hơn mà chắc chắn rằng các thiết bị và ứng dụng sẽ bảo vệ an toàn dữ liệu người dùng. EaaS cho phép các sản phẩm mới truy cập entropy thực sự từ một kiến trúc dựa trên Internet. Cách tiếp cận này cho phép các nhà phát triển luôn cập nhật các sản phẩm của họ với entropy thực sự để tạo ra mật mã mạnh mẽ để chắc chắn rằng các giải pháp của họ có thể chống lại được các cuộc tấn công mạng hiện đại.

Hơn nữa, giải pháp EaaS cũng có thể hữu ích cho các doanh nghiệp trong việc đánh giá tính bảo mật của hệ thống doanh nghiệp của họ. Các doanh nghiệp có thể chứng thực sức mạnh của các khóa được tạo từ các tài nguyên dựa trên phần mềm của họ. Ngoài ra, các doanh nghiệp cũng có thể sử dụng EaaS để nhận entropy cho các điểm cuối nếu muốn hoàn toàn chắc chắn rằng cơ sở dữ liệu của họ được bảo vệ.

Đối với việc sử dụng entropy trong môi trường đám mây, EaaS có thể giúp tránh các trường hợp khi hai máy ảo được tạo từ một hình ảnh vàng chung sẽ nhân đôi quỹ entropy cục bộ của chúng. Để tránh điều này, sau khi nhân bản, hình ảnh chỉ cần yêu cầu dữ liệu ngẫu nhiên mới từ máy chủ EaaS khi khởi động.

SỬ DỤNG ENTROPY TRONG MỘT SỐ HỆ ĐIỀU HÀNH

Hiện nay, trong một số hệ điều hành đã tích hợp sẵn các bộ tạo số ngẫu nhiên có khả năng thu thập entropy từ các sự kiện của máy hoặc từ thao tác người dùng như /dev/random [3], [4] trên Linux hay CNG [5], [4], [6] trên Windows. Đối với một số thiết bị thì việc thu thập entropy này là khả thi và không tốn nhiều thời gian, tuy nhiên đối với các thiết bị di động sử dụng hệ điều hành Linux nhúng thì các sự kiện có thể khai thác cho nguồn entropy là khá ít hoặc thậm chí không có, dẫn đến việc tích lũy entropy rất lâu hoặc không thể. Do đó, EaaS có thể được coi là một giải pháp hoàn hảo nhằm cung cấp entropy chất lượng cao cho các sản phẩm mật mã thông dụng sử dụng các hệ điều hành mà trên đó việc thu thập entropy từ thiết bị là không khả thi. Việc kết hợp entropy từ các EaaS khác nhau và entropy của thiết bị như được mô tả trong Hình 2.

KẾT LUẬN

Cụm từ “gót chân Achilles” của việc đảm bảo độ an toàn mật mã có thể hiểu là sự thiết hụt độ mạnh của khóa được sử dụng để bảo vệ dữ liệu quan trọng. EaaS được xây dựng để phục vụ như một cơ sở của hệ sinh thái trong tương lai của các máy chủ mà từ đó có khả năng cung cấp entropy chất lượng cao có thể xác minh cho máy khách gửi yêu cầu để mở khóa toàn bộ tiềm năng mật mã.

Nói cách khác, EaaS là một dịch vụ dựa trên đám mây mới cho phép các nhà phát triển có được entropy chất lượng cao cần thiết để mã hóa mạnh dữ liệu người dùng. Dịch vụ này đáp ứng nhu cầu cho các ứng dụng dựa trên đám mây, các thiết bị nhúng và IoT. EaaS không tạo ra các khóa mật mã mà nó cung cấp các mầm duy nhất cho các bộ tạo số ngẫu nhiên một cách an toàn.

TÀI LIỆU THAM KHẢO1. Shannon, Claude E. (1948). “A Mathematical Theory of Communication”. Bell System Technical Journal. 27 (4): 623–656.2. Heninger, Nadia, et al. “Mining your Ps and Qs: Detection of widespread weak keys in network devices.” Presented as part of the 21st USENIX Security Symposium (USENIX Security 12). 2012.3. Müller, Stephan. “Documentation and Analysis of the Linux Random Number Generator, Version 3.6. Prepared for BSI by atsec information security GmbH.” (2020).4. Alzhrani, Khudran, and Amer Aljaedi. “Windows and linux random number generation process: A comparative analysis.” International Journal of Computer Applications 113.8 (2015).5. Niels Ferguson. “The Windows 10 random number generation infrastructure”, 2019.6. Dorrendorf, Leo, Zvi Gutterman, and Benny Pinkas. “Cryptanalysis of the windows random number generator.” Proceedings of the 14th ACM conference on Computer and communications security. 2007.

Hoàng Đình Linh, ThS. Nguyễn Thế Hùng

Xác thực đa nhân tố liệu có an toàn tuyệt đối? (Phần hai)

 

Ngô Minh Hiếu (Hieupc)

Đảm bảo an toàn thông tin cho điện toán đám mây là định hướng chủ lực của quốc gia

Bộ TT&TT đã xác định, nền tảng điện toán đám mây là hạ tầng viễn thông thế hệ mới trong vòng 5 – 10 năm tới và sẽ là định hướng chủ lực của quốc gia cần tập trung phát triển trong thời gian tới.

Đảm bảo an toàn thông tin cho điện toán đám mây là định hướng chủ lực của quốc gia
Đảm bảo an toàn thông tin cho điện toán đám mây là đảm bảo cho hạ tầng số

Ông Nguyễn Khắc Lịch, Phó cục trưởng Cục An toàn thông tin (ATTT), Bộ TT&TT cho biết, Bộ TT&TT đã xác định, nền tảng điện toán đám mây là hạ tầng viễn thông thế hệ mới trong vòng 5 – 10 năm tới. Đồng thời, Bộ TT&TT cũng xác định nền tảng điện toán đám mây là hạ tầng số cho phát Chính phủ số, kinh tế số và xã hội số. “Đây là một trong những định hướng chủ lực của quốc gia cần tập trung phát triển trong thời gian tới”, ông Lịch nhấn mạnh.

Theo dự báo, đến năm 2025 thị trường điện toán đám mây tại Việt Nam sẽ đạt 500 triệu USD và tốc độ tăng trưởng khoảng 30 – 40%. Đặc biệt, trong năm 2020 này, dịch Covid-19 đã tạo “cú hích” thúc đẩy phát triển thị trường điện toán đám mây, nhờ đó tốc độ tăng trưởng của thị trường đạt tới 40%.

Như vậy, về mặt thị trường thì điện toán đám mây là một “miếng bánh” tương đối lớn cho các doanh nghiệp. Còn ở góc độ quốc gia, với tầm quan trọng của hạ tầng viễn thông thế hệ mới, hạ tầng số, đồng thời thực hiện chủ trương Make in Vietnam, các doanh nghiệp trong nước phải phát triển, làm chủ nền tảng hạ tầng này.

Ông Lịch nhấn mạnh, để phát triển các nền tảng điện toán đám mây Việt Nam theo đúng định hướng và bài bản, Việt Nam cũng là một trong số ít quốc gia đã ban hành bộ tiêu chí, chỉ tiêu kỹ thuật để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây phục vụ Chính phủ điện tử/chính quyền điện tử.

Bộ tiêu chí, chỉ tiêu kỹ thuật để đánh giá và lựa chọn giải pháp nền tảng điện toán đám mây này gồm tổng cộng 153 tiêu chí. Trong đó có 84 tiêu chí, chỉ tiêu kỹ thuật về tính năng mà nền tảng điện toán đám mây cần đáp ứng; 69 chỉ tiêu, tiêu chí về an toàn, an ninh thông tin. “Một nền tảng điện toán đám mây đạt 153 tiêu chí, chỉ tiêu kỹ thuật này thì đó thực sự là một nền tảng cung cấp dịch vụ hiện đại và an toàn”.

Sau khi Bộ TT&TT ban hành bộ tiêu chí, chỉ tiêu kỹ thuật về giải pháp nền tảng điện toán đám mây, thực hiện nhiệm vụ được giao, Cục ATTT, Bộ TT&TT đang triển khai đánh giá và sắp tới sẽ có một số doanh nghiệp đạt tiêu chuẩn.

Ông Lê Hoài Nam – Phó Giám đốc Viettel IDC cho biết: với dịch vụ điện toán đám mây, thị trường phát triển khá nhanh trong những năm gần đây. Riêng Viettel, tốc độ phát triển gấp đôi bình thường từ 60 đến 80%. Thị trường đầy tiềm năng trong khi doanh nghiệp Việt Nam mới chiếm dưới 20% con số mà người dùng đang chi trả. Như vậy, chúng ta còn khoảng khai thác rộng về thị trường.

Tuy nhiên, ông Lê Hoài Nam cho rằng, câu chuyện bảo mật ATTT cho điện toán đám mây không phải chỉ của riêng Việt Nam mà trên thế giới cũng rất quan tâm. Lĩnh vực này tại Việt Nam còn mới nên mọi người lo lắng nhiều nhưng không phải không có cơ sở. Trong 2 năm trở lại đây, phỏng vấn khách hàng Viettel IDC về chuyển đổi ứng dụng lên cloud thấy họ dần quen với môi trường mới; đội ngũ chuyên gia đã thay đổi cách nhìn nhận, ý niệm về công nghệ mới và giảm thiểu lo lắng.

Thực tế đặt ra nhiều bài toán cần giải quyết. ATTT trên đám mây là nút thắt cần giải quyết nhưng hiện nay đã có lớp khách hàng đi trước là case study để khách hàng đi sau học tập và cảm nhận, mạnh dạn đưa ứng dụng lên đám mây. Đánh giá sự bền vững, dịch vụ vẫn có lúc “chết” ở Mỹ. Nếu data center chỉ có 1 thì sẽ rủi ro nhưng nếu có 2 thì có khả năng backup, 70 đến 80% dịch vụ có thể khôi phục ngay. Ngoài ra, còn tùy thuộc nhà cung cấp đầu tư cho data center thuộc cấp độ mấy. Ví dụ, Viettel IDC có hai data center ở Hà Nội và Bình Dương đạt cấp độ ba, 99,98% available… Viettel vận hành hầu như chưa thất bại. Tuy nhiên, ngoài đầu tư về tiền còn cần hệ thống đội ngũ kỹ thuật vì công nghệ luôn thay đổi và mọi chứng chỉ khách hàng yêu cầu liên tục phải cập nhật. Với các nhà cung cấp dịch vụ lớn như VNPT và Viettel, độ bền vững của hạ tầng cung cấp dịch vụ sẽ được đảm bảo.

Ông Bùi Hoàng Anh. Giám đốc Kinh doanh CMC Cloud cho rằng, khách hàng cũng băn khoăn về tính bảo mật của CMC. Có nhiều yếu tố cấu thành như data center, đội ngũ kỹ thuật xử lý sự cố. Ví dụ, trong một bộ phận kinh doanh của CMC Cloud, tỉ lệ sự cố gần như không có và tỉ lệ khách hàng hài lòng 99%, hơn 200 success story vận hành trơn tru.

Còn theo ông Tống Mạnh Cường Giám đốc sản phẩm, Công ty VNPT IT, có 2 vấn đề, đó là người dùng có trả tiền để sử dụng dịch vụ thực sự an toàn không và yếu tố lòng tin. Việt Nam là một hạt nhân của thế giới, chính phủ Mỹ dùng dịch vụ đám mây của Mỹ, là cuộc đấu giữa Microsoft và AWS. Chính phủ Mỹ cũng dùng thì không có lý do gì chúng ta không dùng.

Các doanh nghiệp cho rằng, để kích cầu dịch vụ điện toán đám mây, Chính phủ nên có hoạt động thúc đẩy doanh nghiệp chuyển đổi số thực sự. Đó là cái cầu để đơn vị cung cấp dịch vụ vào. Ví dụ, nếu Chính phủ thực hiện công tác cung cấp Cổng dịch công quốc gia, sẽ có đơn vị cung ứng. Cloud có các hình thức: hạ tầng để cõng ứng dụng, dữ liệu… Chính phủ cũng phải xây dựng hạ tầng đám mây của Chính phủ để đưa tất cả dịch vụ lên. Đó  là cơ hội của các doanh nghiệp, khi có người dùng, khi có cầu thì cung mới lên được. Cầu chưa có thì cung phải loay hoay. Chính phủ, các bộ ban ngành cần thúc đẩy cho các doanh nghiệp, đặc biệt là khối đơn vị hành chính sự nghiệp công. Ví dụ, các Sở TT&TT là những đơn vị đi đầu chuyển đổi số, ứng dụng công nghệ thông tin triển khai đám mây công cộng. Như thế, doanh nghiệp mới có đất để diễn.

PV

Đảm bảo an toàn thông tin cho mạng 5G là bảo đảm cho hạ tầng số quốc gia

Ông Nguyễn Khắc Lịch, Phó Cục trưởng Cục An toàn thông tin, Bộ TT&TT cho biết, bảo đảm an toàn thông tin cho mạng 5G cũng chính là bảo đảm an toàn, an ninh mạng cho hạ tầng số quốc gia.

Đảm bảo an toàn thông tin cho mạng 5G là bảo đảm cho hạ tầng số quốc gia
Bảo đảm an toàn thông tin cho mạng 5G cũng chính là bảo đảm an toàn, an ninh mạng cho hạ tầng số quốc gia.

Ông Nguyễn Khắc Lịch cho biết, các mạng 3G, 4G là hạ tầng viễn thông cung cấp những dịch vụ thông tin liên lạc và truy cập Internet. Trong khi đó, mạng 5G với đặc tính kết nối tốc độ cao, độ trễ thấp, tính mở lớn và cho phép kết nối vô cùng nhiều thiết bị với nhiều chủng loại, giao thức – đã trở thành hạ tầng số để phục vụ công cuộc chuyển đổi số, cho xã hội số, nền kinh tế số và Chính phủ số.

“Chính vì vậy, bảo đảm an toàn thông tin (ATTT) cho mạng 5G cũng chính là bảo đảm an toàn, an ninh mạng cho hạ tầng số, cho mọi ngành, lĩnh vực và cho cả quốc gia”, đó là vấn đề tối quan trọng mà các nước trên thế giới đã đưa lên quan tâm hàng đầu trong việc triển khai mạng 5G, ông Lịch khẳng định.

Để giúp cơ quan quản lý nhà nước ra các chính sách về bảo đảm ATTT tốt hơn, Phó Cục trưởng Cục ATTT Nguyễn Khắc Lịch cho rằng, bảo mật cho thiết bị IoT trong kỷ nguyên 5G sẽ phải đảm bảo đảm an toàn, an ninh mạng cho các thiết bị IoT kết nối vào 5G; Bảo đảm an toàn, an ninh mạng cho lớp mạng core 5G: Bảo đảm an toàn, an ninh mạng cho lớp truy nhập, ứng dụng như: ô tô tự lái, phẫu thuật từ xa, nông nghiệp thông minh, y tế thông minh, giáo dục thông minh, giao thông thông minh..

Ông Nguyễn Ngọc Quân, Giám đốc Trung tâm An toàn thông tin của VNPT IT chia sẻ, IoT cũng là mảnh ghép cuối trong hệ sinh thái về các sản phẩm công nghệ 4.0 của VNPT khi nhà mạng này lên 5G. Chính vì thế, VNPT đã chuẩn bị những mảnh ghép trước đó như: hệ thống lưu trữ và xử lý dữ liệu lớn – Big Data; Hệ thống nền tảng đảm bảo an toàn bảo mật; Các trung tâm dữ liệu đạt chuẩn của VNPT; Smart Cloud VNPT; Smart City; Các ứng dụng triển khai trên nền micro services…”Vì vậy, khi mảnh ghép cuối cùng là IoT được ghép vào, chúng tôi đã có các nền tảng hỗ trợ để phân tích dữ liệu, phân loại dữ liệu theo từng thuộc tính cũng như góc độ khai thác để đáp ứng tốt nhất bài toán kinh doanh cũng như khả năng dự báo từ nền tảng này. Bên cạnh đó, việc thu hút nhân sự trong mạng này là một vấn đề thiết yếu, VNPT đang gấp rút triển khai để đảm bảo nhân sự trong cả khâu sản xuât, phân tích dữ liệu và xây dựng các bài toán phục vụ con người…”, ông Quân nói.

“Xây dựng tiêu chuẩn ATTT cho mạng thế hệ sau 5G cũng tương tự như việc kiện toàn tiêu chuẩn ATTT cho mạng 4G…và tương đồng với tiêu chuẩn ATTT khác mà GSMA, ITU… đã xây dựng. Các tiêu chuẩn này cần kiện toàn từ mặt phẳng người dùng, mặt phẳng điều khiển, mặt phẳng dữ liệu. Bên cạnh đó, cần kiện toàn các tiêu chuẩn từ hạ tầng, mạng truyền tải và ứng dụng được triển khai trên mạng 5G. Điểm khác biệt ở đây, là những tiêu chuẩn này cần đưa ra được chuẩn hóa về việc tối ưu lưu lượng, định tuyến thông minh nhằm hạn chế tối đa nguy cơ bị tấn công từ chối dịch vụ; chiếm quyền điều khiển thiết bị đầu cuối”, ông Quân nhận định.

Ông Mai Xuân Cường, Trưởng phòng An ninh hệ thống ứng dụng Viettel Cyber Security thì cho hay, gốc của hệ thống IoT, bản chất vẫn là hệ thống CNTT. Vì vậy, một hệ thống IoT trước tiên sẽ gặp rủi ro tương tự như đối với hệ thống CNTT, đó là rủi ro về chiếm quyền điều khiển, lộ lọt thông tin hay bị tấn công DDos,… Đảm bảo ATTT cho hạ tầng CNTT phục vụ IoT là đảm bảo được 80% cho toàn bộ hệ thống. Vì vậy, các địa phương, tổ chức khi bắt tay vào triển khai hệ thống IoT, bước một cần xây dựng cho mình một nền móng vững chắc về hệ thống CNTT nền tảng gồm các giải pháp đảm bảo nhiều lớp và nhiều khâu như giải pháp IPS, IDS, giải pháp giám sát và phản ứng nhanh mức network, mức host và cả ở những thiết bị gateway. Các khâu như phát triển giải pháp, triển khai và vận hành hệ thống cũng cần được chuẩn hóa một cách đồng bộ và xuyên suốt ngay từ đầu.

Khi có hệ thống nền tảng đã được đảm bảo thì 20% còn lại là việc khó nhất, đó là đảm bảo an toàn cho thiết bị kết nối vào mạng IoT này. Khó nhất vì số lượng thiết bị rộng lớn, đảm bảo an toàn cho 100% thiết bị là cực kỳ thách thức. Vì vậy, cần ưu tiên triển khai những giải pháp đảm bảo tính độc lập giữa các thiết bị nhằm giảm thiểu rủi ro khi có một nút mạng (node) bị tấn công mà không ảnh hưởng đến các node thiết bị khác. Thiết bị cũng cần được chọn lọc kỹ càng từ những nhà sản xuất uy tín, có tính cam kết dài hạn, thiết bị cần được quản lý từ xa để đảm bảo cập nhật nhanh những bản vá hoặc nâng cấp ATTT. Ngoài ra, các đơn vị có thể xem xét triển khai một số giải pháp bảo mật được cài đặt trên từng thiết bị để giảm thiểu sự phụ thuộc vào năng lực của các nhà sản xuất.

Bình luận về vấn đề này, ông Nguyễn Anh Phan, Trưởng bộ phận Giám sát và xử lý sự cố, Công ty Bkav cho rằng, khi triển khai mạng 5G, số lượng thiết bị IoT sẽ rất lớn và xu thế trong tương lai sẽ không sử dụng IP private thay vào đó, các thiết bị IoT sử dụng IP public để kết nối dẫn đến những nguy cơ tấn công mạng cao và thường trực như việc chặn bắt thông tin trên đường truyền. Do đó, cách thức đảm bảo kết nối cho thiết bị IoT nên tập trung vào việc đảm bảo an toàn cho các giao thức kết nối và đầu cuối. Đối với một số hệ thống thông tin quan trọng nên triển khai hệ thống giám sát để phát hiện và ngăn chặn sớm những cuộc tấn công khi mới manh nha hình thành.

 PV

Kho bạc Nhà nước sẽ đầu tư về an toàn bảo mật cho hạ tầng CNTT

Kho bạc Nhà nước cho biết sẽ xây dựng Kiến trúc các hệ thống CNTT theo hướng hình thành Kho bạc điện tử và Kho bạc số giai đoạn 2021-2030 và đầu tư nâng cao an toàn bảo mật cho hệ thống của mình.

Kho bạc Nhà nước sẽ đầu tư về an toàn bảo mật cho hạ tầng CNTT
Kho bạc Nhà nước sẽ đầu tư về an toàn bảo mật cho hạ tầng CNTT. 

Kho bạc Nhà nước cho biết, năm 2020 đã tạo cơ sở pháp lý hoàn chỉnh, đồng bộ để điều chỉnh tất cả thủ tục hành chính thuộc lĩnh vực Kho bạc Nhà nước theo hướng cải cách, đơn giản hóa và phù hợp với cơ chế, chính sách mới được ban hành nhằm tạo ra một cơ chế quản lý có hiệu quả, tạo thuận lợi cho các đơn vị, cá nhân trong quá trình giao dịch thu, chi. Kho bạc Nhà nước đã giảm thời hạn giải quyết của tất cả thủ tục hành chính; bổ sung thêm quy định việc gửi, nhận và trả kết quả kiểm soát chi ngân sách Nhà nước qua Trang thông tin dịch vụ công và quy định cụ thể lộ trình thực hiện thủ tục hành chính qua dịch vụ công mức độ 4. Đối với lĩnh vực thu ngân sách Nhà nước, thủ tục nộp tiền vào ngân sách Nhà nước quy định rõ thời hạn giải quyết là không quá 5 phút theo phương thức điện tử. Bên cạnh đó, Kho bạc Nhà nước đã bổ sung việc nộp tiền vào ngân sách qua Cổng dịch vụ công quốc gia, tổ chức cung ứng dịch vụ trung gian thanh toán… qua đó tăng không gian và thời gian thu nộp ngân sách Nhà nước 24h/7 ngày.

Kho bạc Nhà nước cũng triển khai Đề án Dịch vụ công trực tuyến với 9 thủ tục dịch vụ công trực tuyến mức độ 3, 4, hoàn thành tích hợp 7 thủ tục hành chính Kho bạc Nhà nước lên Cổng Dịch vụ công quốc gia, vượt 47,8% kế hoạch Chính phủ và Bộ Tài chính giao. Tính đến nay, hệ thống Kho bạc Nhà nước đã hoàn thành kết nối 100% đơn vị sử dụng ngân sách Nhà nước thuộc đối tượng giao dịch qua dịch vụ công trực tuyến mức độ 4 và đạt tỷ lệ lượng giao dịch chi ngân sách Nhà nước tháng 11/2020 qua dich vụ công trực tuyến đạt 98%. Trung bình mỗi ngày phát sinh khoảng 150.000 giao dịch, ngày cao điểm 200.000 giao dịch qua dịch vụ công trực tuyến.

Đặc biệt, trước tình hình dịch bệnh Covid-19 diễn biến rất phức tạp, đây là giai đoạn đầy khó khăn thách thức nhưng cũng là cơ hội để Kho bạc Nhà nước đẩy mạnh triển khai dịch vụ công trực tuyến, đáp ứng kịp thời nhu cầu chi tiêu của các đơn vị sử dụng ngân sách. Việc triển khai dịch vụ công trực tuyến đã góp phần đẩy mạnh công tác cải cách hành chính trong toàn hệ thống Kho bạc Nhà nước, tạo điều kiện thuận lợi cho đơn vị sử dụng ngân sách có thể giao dịch với Kho bạc Nhà nước 24/7 (kể cả ngày nghỉ/ngày lễ) tại bất cứ địa điểm nào có kết nối Internet nên giảm thời gian đi lại và  giảm chi phí hoạt động cho các đơn vị. Đồng thời, cung cấp thông tin về thời gian, quá trình tiếp nhận, hồ sơ, kiểm soát thanh toán, tăng tính minh bạch trong việc kiểm soát hồ sơ thanh toán của Kho bạc Nhà nước, giảm thiểu rủi ro trong thanh toán, nâng cao hiệu quả kiểm soát chi và sử dụng vốn ngân sách nhà nước, góp phần cùng cả nước ngăn chặn, đẩy lùi dịch bệnh Covis-19. Về phía các đơn vị Kho bạc Nhà nước, dịch vụ công trực tuyến đã góp phần hiện đại hóa công tác kiểm soát chi, bước đi đầu tiên tiến tới thực hiện quy trình kiểm soát chi điện tử. Qua dịch vụ công trực tuyến, Lãnh đạo Kho bạc Nhà nước các cấp có thể kiểm tra, giám sát được tình trạng xử lý hồ sơ kiểm soát chi qua báo cáo thống kê trên dịch vụ công. Qua đó, làm tăng tính trách nhiệm của công chức làm công tác kiểm soát chi trong quá trình thực thi nhiệm vụ.

Kho bạc Nhà nước cho biết đã duy trì hoạt động ổn định của các hệ thống thanh toán trong nội bộ hệ thống Kho bạc và thanh toán với các hệ thống ngân hàng đảm bảo công tác thanh toán và phối hợp thu ngân sách Nhà nước của toàn hệ thống Kho bạc Nhà nước thông suốt, kịp thời và an toàn; hoàn thành việc kiểm thử triển khai thí điểm kết nối thanh toán song phương điện tử và phối hợp thu với các ngân hàng thương mại đã ký kết; tiếp tục nâng cấp, hoàn thiện các chương trình thanh toán điện tử để đáp ứng mô hình tài khoản tập trung của Kho bạc Nhà nước.

Trong năm 2020, Kho bạc Nhà nước đã tiến hành triển khai quy trình đấu thầu gửi tiền có kỳ hạn tại ngân hàng thương mại theo phương thức điện tử và ký kết phụ lục hợp đồng gửi tiền điện tử. Từ đó, góp phần thực hiện quản lý ngân quỹ nhà nước hiệu quả, công khai và minh bạch; đồng thời, chủ động phòng chống tốt dịch bệnh Covid-19.

Trong năm 2020, Kho bạc Nhà nước đã tập trung nỗ lực triển khai các dự án CNTT đạt hiệu quả rất tích cực như: Hệ thống dịch vụ công trực tuyến, hệ thống quản lý NQNN, chương trình thanh toán song phương điện tử, hệ thống Thanh toán liên ngân hàng, chương trình báo cáo nhanh số liệu thu, chi ngân sách nhà nước và huy động vốn hàng ngày; xây dựng Kiến trúc các hệ thống CNTT của Kho bạc Nhà nước theo hướng hình thành Kho bạc điện tử và Kho bạc số theo định hướng chiến lược phát triển Kho bạc Nhà nước giai đoạn 2021-2030. Bên cạnh đó, Kho bạc Nhà nước nghiên cứu nâng cấp hệ thống TABMIS và các ứng dụng góp phần hình thành hệ thống thông tin ngân sách và kế toán nhà nước số (VDBAS) và đầu tư CNTT để đảm bảo hạ tầng kỹ thuật, an toàn bảo mật cho các hệ thống ứng dụng của Kho bạc Nhà nước.

 PV