Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Các quan chức của Pháp tin rằng một loạt các cuộc tấn công mạng từ năm 2017 đến năm 2020 được thực hiện bởi Sandworm – một nhóm tin tặc bị nghi ngờ có liên hệ mật thiết với tình báo quân sự Nga.

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Công cụ giám sát mạng công nghệ thông tin mã nguồn mở Centreon được phát triển bởi công ty cùng tên có trụ sở tại Paris. Theo như giới thiệu về dự án trên Github thì Centreon là một trong những phần mềm giám sát linh hoạt và mạnh mẽ nhất trên thị trường.

Các nhà chức trách an ninh mạng của Pháp cảnh báo rằng, công cụ này đã bị tin tặc nghi ngờ có liên quan tới Nga nhắm tới để làm véc tơ tấn công vào các công ty, tổ chức tại Pháp. Nhưng không giống như cuộc tấn công vào chuỗi cung ứng SolarWinds, trong chiến dịch này, những kẻ tấn công xâm nhập qua các phiên bản phần mềm Centreon đã lỗi thời, chưa được vá lỗi.

Cơ quan An ninh không gian mạng Quốc gia của Pháp được gọi là ANSSI nói rằng: chiến dịch tấn công đã dẫn đến việc một số tổ chức của Pháp bị xâm nhập trong khoảng thời gian lên đến ba năm.

Thông tin về chiến dịch tấn công

Đội phản ứng nhanh về máy tính của chính phủ Pháp (ANSSI’s CERT-FR) đã đưa ra cảnh báo: “Chiến dịch này chủ yếu ảnh hưởng đến các nhà cung cấp dịch vụ công nghệ thông tin, đặc biệt là các nhà cung cấp dịch vụ lưu trữ web“. Nội dung cảnh báo bao gồm các dấu hiệu về việc xâm nhập mà tất cả các tổ chức có thể sử dụng để phát hiện và ngăn chặn các cuộc tấn công tương tự.

Một phát ngôn viên của Centreon cho biết, phiên bản mã nguồn mở mà những kẻ tấn công nhắm mục tiêu tồn tại năm 2014 hoặc 2015. Vì vậy, cốt lõi của chiến dịch đó là việc người dùng đã không cập nhật phiên bản Centreon mới. Các phiên bản bị tấn công tồn tại các tệp Webshell và cửa hậu. Hiện tại, không có khách hàng thương mại của Centreon nào bị tấn công liên quan đến chiến dịch này.

Phát ngôn viên của Centreon cũng đưa ra khuyến nghị cho người dùng nên cập nhật định kỳ phiên bản của phần mềm. Ngoài ra, khách hàng nên áp dụng các biện pháp an ninh khác cho hệ thống giám sát Centreon và tuyệt đối không thực hiện việc giám sát khi hệ thống này có kết nối đến Internet.

Một chuyên gia người Đức Timo Steffens cũng cho rằng, dựa trên cảnh báo của ANSSI chiến dịch nhắm mục tiêu Centreon đã khai thác các hệ thống chưa được vá, thay vì phát tán mã độc vào bên trong phần mềm được phát hành của các công ty.

Việc cài mã độc vào bên trong phần mềm thương mại được phát hành có liên quan tới cuộc tấn công chuỗi cung ứng SolarWinds xảy ra năm 2020. Khi đó, các tin tặc Nga cũng bị nghi ngờ là gián điệp khi đã cài cửa hậu Sunburst vào phần mềm Orion của công ty SolarWinds, gây ảnh hưởng tới 18.000 người dùng.

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Sử dụng webshell để truy cập từ xa

Theo báo cáo dài 40 trang được ANSSI phát hành vào thứ Hai (27/1) thì nạn nhân đầu tiên được biết đến của chiến dịch nhắm mục tiêu vào ứng dụng Centreon đã bị xâm nhập vào cuối năm 2017. Chiến dịch này hoạt động trong suốt ba năm cho đến khi bị phát hiện. ANSSI cho biết, mã độc được phát hiện trên các hệ thống của các tổ chức bị tấn công không phải là loại mã độc mới, điển hình là mã độc trên Linux được hãng bảo mật ESET đặt tên là Exaramel.

Theo CERT-FR, các hệ thống bị xâm nhập tồn tại mã độc cửa hậu dưới dạng một webshell trên một số máy chủ Centreon tiếp xúc với Internet. Cửa hậu này được xác định là webshell PAS phiên bản 3.1.4. Ngoài ra, CERT-FR còn tìm thấy một cửa hậu khác giống với một cửa hậu được ESET mô tả và có tên là Exaramel.

Webshell PAS trước đây đã được sử dụng bởi những kẻ tấn công được cho là có liên quan tới Nga, ví dụ như chiến dịch APT Grizzly Steppe. Đây là một web shell PHP đầy đủ tính năng được kẻ tấn công sử dụng để duy trì quyền truy cập liên tục trên trang web nạn nhân.

CERT-FE còn chỉ ra chiến dịch này có một số điểm tương đồng với các chiến dịch trước đó được cho là do nhóm xâm nhập có tên Sandworm. Mặc dù, việc tìm thấy các mã độc đã được những kẻ tấn công sử dụng trước đây không đủ để quy kết bất kỳ việc sử dụng phần mềm độc hại đó cho cùng một nhóm những kẻ tấn công. Nhưng việc CERT-FE đặt tên là SandWorm là một dấu hiệu cho thấy nghi ngờ nhóm này trên thực tế có liên quan.

SandWorm – Nhóm tin tặc đến từ Nga

Sandworm là một nhóm các tin tặc được cho là hoạt động dưới sự tài trợ của chính phủ Nga, với thiên hướng tấn công phá hoại, thuộc cơ quan tình báo quân đội GRU. GRU Unit 74455 là tên gọi chính thức của nhóm hay còn được gọi là TeleBots, Voodoo Bear và Iron Viking.

Pháp cáo buộc chiến dịch tấn công mạng có liên quan tới Nga

Các điệp viên GRU của Nga – hay còn gọi là Sandworm bị cáo buộc, đã bị truy tố vào tháng 10/2020 (từ trái sang phải, hàng trên cùng): Yuriy Andrienko, Sergey Detistov, Pavel Frolov, Anatoliy Kovalev, Artem Ochichenko và Petr Pliskin (Nguồn: Bộ Tư pháp Hoa Kỳ)

Trong một bản cáo trạng vào tháng 10/2020, các nhà chức trách Hoa Kỳ cáo buộc các thành viên của Đơn vị 74455 GRU có liên quan trực tiếp đến nhiều cuộc tấn công, bao gồm: vụ tấn công ransomware giả NotPetya vào năm 2017, Thế vận hội Mùa đông 2018, Thế vận hội Mùa hè 2020 và các cuộc tấn công chống lại các tổ chức điều tra vụ tấn công Novichok năm 2018 của Nga trên đất Anh.

Đáp trả lại cáo buộc này, các nhà chức trách Nga đã bác bỏ và cho đó là một nỗ lực nhằm bôi nhọ Moscow.

Đăng Thứ (Tổng hợp)

Trung Quốc đánh cắp dữ liệu cá nhân của 80% người Mỹ trưởng thành

Bill Evanina, cựu Giám đốc Trung tâm Phản gián và An ninh Quốc gia Hoa Kỳ đã chia sẻ thông tin qua kênh CBS ’60 Minutes về việc, Bắc Kinh đang cố gắng thu thập và khai thác thông tin chăm sóc sức khỏe của người Mỹ, bao gồm cả DNA của họ.

Bill Evanina cũng chỉ rõ Trung Quốc đã đánh cắp thông tin nhận dạng cá nhân của 80% người Mỹ, sử dụng các phương pháp “kém danh dự” để đánh cắp dữ liệu, bao gồm tấn công các công ty chăm sóc sức khỏe và công nghệ, chẳng hạn như nhà thông minh, cảm biến và mạng 5G. 

Trung Quốc đánh cắp dữ liệu cá nhân của 80% người Mỹ trưởng thành

Theo báo cáo của IBTimes, Evanina cho biết, BGI Group là một công ty công nghệ sinh học lớn, có quan hệ chặt chẽ với quân đội và chính phủ Bắc Kinh, đã tiếp cận Washington và 5 bang khác với lời đề nghị xây dựng và vận hành các phòng thí nghiệm thử nghiệm virus corona. Công ty Trung Quốc hứa sẽ “cung cấp chuyên môn kỹ thuật, giải trình tự thông lượng cao” và “đóng góp thêm” cho các bang. 

Báo cáo cho biết, lời đề nghị này đã làm dấy lên những nghi ngờ khiến Evanina đưa ra cảnh báo cho các bang trước đề xuất của BGI Group. Kết quả, không có bất kỳ bang nào chấp nhận đề xuất từ Trung Quốc. Từ đó, Hoa Kỳ đã ngăn chặn các mối đe dọa đến an ninh và kinh tế quốc gia. 

Trong một cuộc phỏng vấn với đài CBS, Evanina cho biết: “Điều này cho thấy tư duy bất chính của Đảng Cộng sản Trung Quốc, lợi dụng một cuộc khủng hoảng trên toàn thế giới như COVID-19. Chúng tôi đưa ra lời khuyên cho không chỉ mọi người Mỹ mà còn cho các bệnh viện, hiệp hội và phòng khám”.

Theo Yaniv Bar-Dayan, Giám đốc điều hành và đồng sáng lập tại Vucan Cyber, “Có hai cách mà các nhóm lợi ích của Trung Quốc đang tiếp cận với dữ liệu sinh học cá nhân của chúng tôi. Hoặc là chúng tôi vô tình trao nó cho họ thông qua các điều khoản và điều kiện chưa đọc đã ký kết. Hoặc tin tặc Trung Quốc được nhà nước bảo trợ đang đánh cắp nó từ các công ty y tế, công nghệ sinh học và dược phẩm mà đã được chúng tôi tin tưởng và bảo vệ”.

Yaniv Bar-Dayan nói, “Những tin tặc này giả định một cách chính xác rằng hệ thống an ninh mạng của các nhà cung cấp dịch vụ chăm sóc sức khỏe của chúng tôi là không lành mạnh. Họ lợi dụng thực tế là dữ liệu sinh học kỹ thuật số của chúng tôi không được bảo mật 100%. Nó là một lỗ hổng không thể khắc phục, trong số hàng chục nghìn lỗ hổng được báo cáo mỗi năm, để thực hiện cung cấp nhu cầu của các tác nhân xấu. Xem xét tình hình hiện tại, chúng ta cần dành thời gian tương xứng cho sự an toàn của hệ thống chăm sóc sức khỏe kỹ thuật số cũng như sức khỏe của người dân”.

Dirk Schrader, Phó chủ tịch toàn cầu tại New Net Technologies (NNT) lưu ý: “Nói một cách đơn giản, nghiên cứu an ninh mạng gần đây về tình trạng bảo vệ dữ liệu trong lĩnh vực y tế chỉ ra rằng không khó khi chính phủ nước ngoài, chưa cần tới sử dụng các phương pháp tấn công tiên tiến để có quyền truy cập Thông tin sức khỏe cá nhân (PHI) của công dân Hoa Kỳ. Ví dụ: dữ liệu X- quang của khoảng 6 triệu công dân Hoa Kỳ đã được phát hiện không được bảo vệ vào cuối năm 2019, nhưng không có cải thiện đáng kể nào một năm sau đó. Trên hết, nhà cung cấp lớn nhất đã để các kho lưu trữ X- quang của mình kết nối với Internet công cộng mà không có bất kỳ biện pháp bảo vệ nào. Khi nói về dữ liệu, có rất nhiều vấn đề cần thực hiện để cải thiện cho ngành y tế và cơ quan quản lý nói chung, nhằm mục tiêu chính phủ nước ngoài khó tiếp cận với PHI”.

Quốc Trung

(theo securitymagazine.com)

Bảo đảm an toàn khi truy cập web với Browser in the Box

Brower in the Box là giải pháp truy cập web an toàn của hãng Rohde & Schwarz (R&S) thông qua môi trường ảo tách biệt với hệ điều hành Windows. Giải pháp này đang được sử dụng nhiều trong các cơ quan của Chính phủ Đức và đã nhận được giải Bạc cho hạng mục sản phẩm Xác thực – Bảo mật trong cuộc thi sản phẩm tiêu biểu cho chính phủ điện tử Đức do người dùng bình chọn năm 2018.

 

Fortinet: Những kinh nghiệm rút ra từ tấn công mạng trong đại dịch COVID-19

Trong suốt đại dịch COVID-19, tin tặc đã không bỏ qua bất kỳ cơ hội nào. Chúng làm gia tăng nỗi sợ hãi và lo lắng bằng các cuộc tấn công lừa đảo và lợi dụng những sơ hở về bảo mật thông tin của đội ngũ nhân viên làm việc từ xa. Điều đó đã có tác động đáng kể đến vai trò của chuyên gia an ninh mạng. Một cuộc nghiên cứu gần đây từ (ISC)² – một tổ chức chuyên nghiệp về an ninh mạng trên thế giới đã chỉ ra rằng, 81% chức năng công việc của người tham gia khảo sát đã bị thay đổi trong đại dịch.

Theo Fortinet – một trong những công ty hàng đầu thế giới về các giải pháp an ninh mạng được tích hợp và tự động hóa trên phạm vi rộng, có rất nhiều bài học kinh nghiệm được rút ra từ các cuộc tấn công gần đây, giúp định hướng cách triển khai hoạt động bảo mật thông tin của các tổ chức trong nhiều năm tới.

Tội phạm mạng hưởng lợi từ chính nỗi sợ hãi và cảm xúc đau khổ của con người

Các cuộc tấn công kỹ nghệ xã hội hiện nay vẫn là cách nhanh nhất để khai thác mục tiêu bởi khả năng thiết lập nhanh chóng và có tỷ suất hoàn vốn (RoR) cao nhất so với các kỹ thuật khác. Ngay cả trong thời kỳ bình thường, các cuộc tấn công mạng cũng đã nhắm vào các yếu điểm về bảo mật và nỗi lo sợ của con người. Do vậy, không có gì ngạc nhiên khi đại dịch chỉ khẳng định thêm giá trị và tính hiệu quả của phương pháp này và tội phạm mạng càng mong muốn lợi dụng tình hình dịch bệnh hiện nay.

Nhiều chiến dịch lừa đảo trong thời kỳ dịch bệnh COVID-19 mà đội ngũ bảo mật thông tin đã phải đối mặt thời gian qua đều nhắm vào các bệnh viện, nhà sản xuất thiết bị y tế và các công ty bảo hiểm y tế. Khi xuất hiện nỗi hoảng sợ do tình trạng thiếu thiết bị và vật tư y tế, thì những kẻ tấn công nhìn thấy những cơ hội lý tưởng để lợi dụng nỗi sợ hãi và tình trạng sai lệch thông tin. Một chủ điểm tấn công chính trong số các chiến dịch này là tạo ra các tin nhắn và thư điện tử giả mạo các tổ chức như Trung tâm Kiểm soát Dịch bệnh (CDC) hoặc Tổ chức Y tế Thế giới (WHO). Bằng cách giao tiếp lợi dụng uy tín của các tổ chức, tác nhân đe dọa biết rằng người nhận rất có thể sẽ mở thư và sau đó nhấp vào một đường dẫn liên kết hoặc tải xuống một tệp đính kèm.

Kịch bản này chỉ ra một vấn đề kinh niên về bảo mật thông tin, bất kể thực hiện bao nhiêu biện pháp ngăn chặn thì tâm lý con người vẫn là yếu điểm lớn nhất. Khi người ta phải đối mặt với những khó khăn về cảm xúc, thể chất và tài chính, họ rất dễ trở thành mục tiêu cho những kẻ tấn công.

Các phương pháp tấn công trên mạng được kiểm chứng và xác thực phát triển tới đỉnh cao

Phần lớn các cuộc tấn công trong đại dịch COVID-19 được phát tán thông qua thư rác điện tử. Thực tế là chỉ trong tháng 3/2020, đội ngũ FortiGuard Labs đã nhận thấy tỷ lệ gia tăng 131% mã độc do tệp đính kèm thư điện tử, được coi là nơi phân tán phổ biến các nội dung độc hại nhất.

Một số cuộc tấn công đã được nhắm mục tiêu rõ ràng, một số khác nằm trong chiến thuật tiếp cận hàng loạt “spay and pray”. Số còn lại được xếp loại theo phương thức Tấn công từ chối dịch vụ (DoS). Việc toàn bộ khối lượng công việc được xử lý từ xa cũng là tác nhân chính làm gia tăng các cuộc tấn công. Ngày nay, hầu như tất cả mọi người đều kết nối với Internet suốt thời gian làm việc trong ngày. Đó là kênh kết nối chính với thế giới bên ngoài, cho dù đó là vì công việc hay để giải trí. Thật không may, các hoạt động này thường sử dụng các hệ thống mạng hoặc thiết bị kém an toàn nhất, thay vì trong các môi trường doanh nghiệp có mức độ bảo mật cao hơn, điều đó tạo ra cho những kẻ tấn công cơ hội truy cập khối dữ liệu quan trọng.

Thư điện tử đang được khai thác để phát tán phần mềm độc hại như virus hoặc mã độc tống tiền, đó là bởi những tác nhân xấu biết rằng các doanh nghiệp nhiều khả năng sẽ chấp nhận trả tiền chuộc nếu bị cắt quyền truy cập vào cơ sở hạ tầng và thông tin quan trọng mà người dùng cũng như khách hàng của họ cần để đảm bảo duy trì hoạt động kinh doanh liên tục.

Trên thực tế, nhiều kỹ thuật được sử dụng trong các cuộc tấn công mạng trong đại dịch không phải là kỹ thuật mới, chúng vẫn là những thủ thuật mà kẻ xấu đã sử dụng trong suốt nhiều năm qua. Những kẻ tấn công thường sẽ không thay đổi chiến thuật trừ khi thấy tỷ suất lợi nhuận giảm đi. Đồng thời, trong khi các hệ thống của doanh nghiệp có thể đã được nâng cấp, thì nhiều thiết bị và hệ thống mạng mà đội ngũ nhân viên làm việc từ xa đang sử dụng thì lại không. Những kẻ xấu cũng nhận thức được rằng, việc giữ an toàn mạng sẽ khó khăn hơn, thông thường do ảnh hưởng của nỗi sợ hãi và lo lắng vì đại dịch. Điều này khiến cho việc thực hiện các phương thức tấn công quen thuộc của chúng trở nên dễ dàng hơn.

Hoạt động thẩm định trở nên quan trọng hơn bao giờ hết

Giờ đây, tầm quan trọng của việc thẩm định là không phải bàn cãi. Mặc dù có ý kiến cho rằng quá thận trọng sẽ phản tác dụng, nhưng điều đó sẽ không thể tồi tệ hơn việc toàn bộ công ty phải ngưng hoạt động. Các giải pháp về kỹ thuật như giải pháp bảo mật thư điện tử hiệu quả vẫn rất cần thiết, các cổng vào của hòm thư điện tử và tường lửa ứng dụng web cần được trang bị thêm những công cụ như giải pháp Advanced Threat Protection (ATP), Content Disarm and Recovery (CDR) và công nghệ sàng lọc hộp cát, cũng như các thiết bị đầu cuối cũng cần bổ sung thêm giải pháp Endpoint Detection and Response (EDR), giải pháp cho phần mềm AV/AM của họ để loại trừ tận gốc và ngăn chặn các cuộc tấn công độc hại.

Fortinet cho rằng, vì con người vẫn sẽ là mắt xích yếu nhất trong chuỗi bảo mật, nên việc đào tạo nâng cao nhận thức cho người dùng về an ninh mạng cũng tiếp tục đóng vai trò quan trọng. Mỗi cá nhân phải hiểu được vai trò của họ trong việc bảo vệ hệ thống mạng của công ty – điều sẽ chỉ xảy ra nếu được đào tạo. Quan sát trên nhiều phương diện, đại dịch mang đến những trải nghiệm và bài học vô cùng quý giá, ngay cả khi các doanh nghiệp mới dần bắt đầu quá trình mở cửa trở lại của mình.

An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

Trong những năm gần đây, đã có nhiều tiến bộ về các nền tảng hội nghị truyền hình như Skype, Google Hangouts và WhatsApp, khiến dễ dàng có được tương tác giữa hai điểm dù cho ở bất kỳ đâu trên toàn cầu. Một sản phẩm phần mềm hội nghị truyền hình đang được sử dụng rộng rãi ngày nay là phần mềm hội nghị mang tên Zoom Meetings của hãng Zoom Video Communications.

An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

Zoom và hội nghị truyền hình

Trong thời đại tin học hóa phát triển như hiện nay, nhiều hoạt động hội họp được tiến hành trực tuyến mà không cần gặp nhau trực tiếp thông qua hệ thống mạng và phần mềm hội nghị. Hội nghị trực tuyến giúp các tổ chức/doanh nghiệp (TC/DN) hội họp mà không cần gặp gỡ trực tiếp, các thành viên không phải di chuyển với khoảng cách địa lý xa xôi. Đã xuất hiện thuật ngữ Telecommuter để chỉ những người làm việc tại nhà từ xa mà không cần phải đến công sở.

Vào tháng 6/2014, đã có 10 triệu người sử dụng Zoom Meetings. Đến tháng 2/2015, đã đạt đến 40 triệu cá nhân với 65 nghìn tổ chức đăng ký. Hãng đã tổ chức được 1 tỷ phút hội họp kể từ khi được thành lập vào năm 2011. Ngoài Zoom Meetings, còn có nhiều hệ thống phần mềm hội nghị của nhiều hãng khác nhau trên thị trường toàn cầu, bao gồm các phần mềm đóng và cả các phần mềm mở miễn phí cho mọi người sử dụng và phát triển. Phần mềm hội nghị đã mang lại những lợi ích không thể phủ nhận.

Vào đầu năm 2020, đại dịch COVID-19 xuất hiện và lan rộng ra khắp toàn  cầu  với  tốc độ lây nhiễm phi mã, thậm chí là cấp số nhân. Các quốc gia đã chọn giải pháp chống lây lan dịch bệnh là cách ly xã hội. Trong tình hình dịch bệnh COVID-19, thì làm việc tại nhà là phương pháp được các TC/DN ưu tiên. Nhiều hoạt động lao động sản xuất và sinh hoạt đã dựa vào hoạt động trực tuyến thông qua mạng toàn cầu và các phần mềm hội nghị truyền hình trực tuyến.

Tuy vậy, sự an toàn và quyền riêng tư khi sử dụng hội nghị truyền hình vẫn phải cần ưu tiên hàng đầu.

Các lỗ hổng an toàn của Zoom

Từ đầu năm 2020, việc sử dụng phần mềm Zoom đã tăng lên đột biến khi các trường học và công sở chấp thuận sử dụng nền tảng làm việc từ xa vì đại dịch COVID-19, tăng lên 67% từ đầu năm cho đến giữa tháng 3/2020. Khi đại dịch bùng phát, hàng nghìn cơ sở giáo dục cũng chuyển sang các lớp học trực tuyến sử dụng phần mềm Zoom trên toàn thế giới. Trong một ngày, phần mềm Zoom được tải xuống 343 nghìn lần và đạt tới 2,22 triệu người sử dụng vào các tháng đầu năm 2020, nhiều hơn so với cả năm 2019 gộp lại. Các vấn đề an toàn và riêng tư cũng vì vậy mà trở nên quan trọng hơn bao giờ hết.

Về vấn đề an toàn, hãng Zoom tuyên bố sử dụng lập mã AES-256 để bảo vệ kết nối kiểm soát TLS khởi đầu đến máy chủ Zoom, nhưng các luồng âm thanh và hình ảnh thực tế được gửi đi trên giao thức UDP không được lập mã đầu cuối đến điểm cuối. Zoom tuyên bố lập mã đầu cuối đến điểm cuối trong các tài liệu marketing, nhưng sau đó được làm rõ là chỉ tác dụng giữa các máy chủ Zoom mà thôi và việc này được coi là thiếu trung thực.

An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

Vào tháng 8/2018, Natalie Silvanovich – nhà nghiên cứu Project Zero  của  Google  đã  tiết  lộ rằng, có những lỗ hổng nghiêm trọng trong  các cài đặt kiến trúc hội nghị truyền hình phổ biến nhất bao gồm WebRTC (được sử dụng bởi Chrome, Safari, Firefox, Facebook Messenger, Signal và các phần mềm khác), PJSIP (được sử dụng bởi WhatsApp) và thư viện có quyền sở hữu của Apple đối với FaceTime. Nếu bị khai thác, thì những lỗ hổng như vậy có thể cho phép tấn công chỉ với việc thiết lập một cuộc gọi truyền hình. Việc này kích hoạt tràn bộ nhớ heap, cho phép kẻ tấn công chiếm đoạt tài khoản của nạn nhân. Một kịch bản tấn công về mặt nguyên lý (Proof-of- Concept) đã được đưa ra đầy thuyết phục, tuy tấn công chưa xảy ra trên thực tế. Nhà nghiên cứu lỗ hổng bảo mật Tavis Ormandy cũng ủng hộ ý kiến của Silvanovich. Ngay sau khi các lỗ hổng được thông báo về cho WhatsApp và FaceTime thì đã được các hãng phát hành bản vá.

Đối với người sử dụng ứng dụng mua hàng trực tuyến, kẻ tấn công có thể tìm cách chiếm các tài khoản WhatsApp, FaceTime và các tài khoản khác như là một cách để truy cập dữ liệu cá nhân của họ. Đối với các hãng sử dụng các nền tảng hội nghị truyền hình là phương tiện để tiến hành hội họp, thì những kẻ tấn công có thể nghe trộm các cuộc trò chuyện công việc.

Vào tháng 11/2018, một lỗ hổng bảo mật đã được phát hiện, cho phép kẻ tấn công từ xa không xác thực có thể lừa các thông báo UDP từ một người tham gia hội nghị hay máy chủ Zoom, để thực hiện các chức năng tại máy khách mục tiêu. Điều này cho phép kẻ tấn công loại bỏ những người tham gia khỏi các cuộc họp, lừa các thông báo từ những người sử dụng, hay chiếm đoạt các màn hình chia sẻ. Một lỗ hổng khác cho phép máy khách truy cập tùy ý đến camera và microphone đã được phát hiện vào năm 2020.

Vào tháng 7/2019, lỗ hổng zero-day đã được phát hiện, cho phép một website bất kỳ ép buộc một người sử dụng macOS tham gia vào một cuộc gọi Zoom với camera hoạt động mà không cần người sử dụng cho phép. Ngoài ra, việc tắt máy khách Zoom trên macOS có thể nhắc phần mềm tái khởi động tự động trong nền, sau sử dụng máy chủ web ẩn được thiết lập trên máy tính trong quá trình cài đặt đầu tiên, và vẫn duy trì kích hoạt thậm chí sau khi cố gắng bỏ kích hoạt ở máy khách.

Sau khi nhận được chỉ trích công khai, Zoom đã cập nhật phần mềm để loại bỏ lỗ hổng và máy chủ web ẩn cho phép tắt hoàn toàn. Việc gia tăng sử dụng Zoom trong đại dịch COVID-19 khiến Zoom gia tăng rủi ro mất an toàn, thậm chí khiến thông tin đăng nhập của người sử dụng Windows bị lộ lọt. Những tấn công giả mạo liên quan đến Zoom được phát hiện như sự gia tăng các website và liên kết giả mạo Zoom để đánh cắp thông tin cá nhân. Zoom bombing cũng xuất hiện, chỉ việc một người không được mời tham gia vào một cuộc họp, gây ra gián đoạn hoạt động. Sự việc này đã gia tăng và buộc FBI phải đưa ra cảnh báo.

Đặc biệt, Zoom bombing cho phép kẻ xấu tham gia hội nghị truyền hình, đưa chèn vào các thông tin xấu, độc hại, không lành mạnh hay xuyên tạc, bằng hình ảnh và lời lẽ nhạy cảm, không phù hợp với học sinh, sinh viên đang tham gia học tập và làm việc. Sự việc này cần phải được loại bỏ ngay để giữ môi trường hội nghị truyền hình trong sạch, lành mạnh và hữu ích.

Bí mật riêng tư khi sử dụng Zoom

Hãng Zoom đã bị phê phán về các hoạt động thu thập dữ liệu, bao gồm thu thập và lưu trữ nội dung chứa trong các ghi chép đám mây và bảng trắng, các tệp, các thông báo nhanh… Những người quản trị có thể tham gia vào bất kỳ cuộc gọi nào vào bất cứ khi nào mà không cần sự đồng ý hay thông báo với những người tham gia cuộc gọi. Trong quá trình đăng ký tài khoản miễn phí của Zoom, chương trình yêu cầu người sử dụng cho phép chương trình nhận diện họ với thông tin cá nhân trên Google và thậm chí cho phép xóa vĩnh viễn các liên hệ Google của họ.

An toàn và bí mật riêng tư trong ứng dụng truyền hình hội nghị Zoom

Việc sử dụng rộng rãi của Zoom trong giáo dục trực tuyến vì đại dịch COVID-19 khiến gia tăng mối lo ngại liên quan đến sự riêng tư dữ liệu của người học, đặc biệt là thông tin nhận dạng cá nhân của họ. Theo FBI, các địa chỉ IP, lịch sử truy cập, kết quả học tập và dữ liệu sinh trắc của người học có thể chịu rủi ro trong quá trình sử dụng các dịch vụ học tập trực tuyến tương tự. Việc sử dụng Zoom của các trường học phổ thông và đại học có thể làm gia tăng các vấn đề liên quan đến giám sát trái phép người học, cũng như vi phạm đến các quyền của người học theo luật pháp. Tuy hãng Zoom tuyên bố rằng, các dịch vụ hội nghị truyền hình tuân theo luật pháp và nó thu thập, lưu trữ dữ liệu người dùng chỉ là để hỗ trợ vận hành và kỹ thuật.

Ứng dụng iOS của Zoom đã bị phát hiện đang gửi dữ liệu phân tích thiết bị cho Facebook, dù tài khoản của Facebook có được sử dụng với dịch vụ này hay không, cũng như không thông báo điều này với người sử dụng. Ngày 27/3/2020, đại diện của Zoom đã phát biểu rằng, bộ công cụ phát triển (SDK) của Facebook đã thu thập dữ liệu thiết bị không cần thiết và rằng Zoom đã phát hành bản vá để loại bỏ SDK vì những lo ngại trên. Hãng cho rằng, SDK chỉ thu thập thông tin về các đặc tả thiết bị người sử dụng và không thu thập thông tin cá nhân.

Trong tháng 3/2020, Zoom đã bị kết tội tại Tòa án liên bang Hoa Kỳ đối với việc tiết lộ bất hợp pháp dữ liệu cá nhân cho các bên thứ ba bao gồm cả Facebook. Theo như kết tội, chính sách riêng tư của Zoom không giải thích cho những người sử dụng rằng ứng dụng này chứa mã chương trình làm tiết lộ thông tin cho Facebook và các bên thứ ba khác. Thiết kế chương trình và giải pháp bảo mật chưa toàn diện đã và sẽ gây ra sự tiết lộ trái phép thông tin cá nhân người sử dụng. Cùng tháng này, người đứng đầu tư pháp bang New York đã đưa ra chất vấn đối với các biện pháp bảo mật riêng tư của Zoom.

Những cập nhật mới nhất của Zoom

Theo thông báo kế hoạch bảo mật 90 ngày của Zoom, phiên bản Zoom 5.0 đã được ra mắt với một số biện pháp bảo mật và quyền riêng tư mới. Dịch vụ hội họp trực tuyến này đã hỗ trợ thêm chuẩn mã hóa AES 256-bit GCM để nâng cao bảo mật cho các cuộc họp. Phiên bản mới của Zoom được phát hành vào cuối tháng 4/2020 và toàn bộ tài khoản được hỗ trợ chuẩn mã hóa mới.

Theo Oded Gal, CPO của Zoom, từ hệ thống mạng cho tới các tính năng đều được thiết lập dựa theo trải nghiệm của người dùng và được đưa vào kiểm tra nghiêm ngặt. Ở khu vực back-end, chuẩn mã hóa AES 256-bit GCM sẽ nâng cao khả năng bảo mật dữ liệu của người dùng trong quá trình truyền tải chúng.

Ngoài tiêu chuẩn mã hóa AES 256-bit GCM, quản trị viên tài khoản Zoom có thể chọn khu vực trung tâm dữ liệu mà các cuộc hội thảo trên web được lưu trữ, sử dụng cho lưu lượng truy cập thời gian thực. Các tiêu chuẩn mã hóa và kiểm soát định tuyến dữ liệu mới được áp dụng, bao gồm bảo mật mạng. Zoom đã thêm một biểu tượng bảo mật mới trong thanh menu cuộc họp trên giao diện máy chủ lưu trữ. Máy chủ có thể tìm thấy tất cả tính năng bảo mật được nhóm lại một cách khoa học.

Ngoài ra, những tài khoản mới sẽ được quản lý chặt chẽ, một số tính năng bảo mật sẽ được thêm vào trong thời gian tới như tăng độ khó của mật khẩu cuộc họp, mật khẩu ghi âm trên đám mây, bảo mật tính năng Account Contact Sharing, cải tiến bảng điều khiển và nhiều tính năng khác.

Máy chủ MDM bị lợi dụng để phát tán mã độc Android

(Mic.gov.vn) –

Theo báo cáo của Check Point, một tác nhân đe dọa đã tìm cách tấn công hơn 75% thiết bị trong công ty bằng cách phát tán phần mềm độc hại thông qua máy chủ quản lý thiết bị di động (mobile device management – MDM).

 Là một phần của cuộc tấn công, tội phạm mạng đã phát tán một biến thể mới của mã độc Android Cerberus được thiết kế để thu thập lượng lớn dữ liệu nhạy cảm và chuyển tới một máy chủ điều khiển và ra lệnh (C&C). Nạn nhân mà tin tặc nhắm mục tiêu được các nhà nghiên cứu mô tả là một “cộng đồng đa quốc gia”.

Được phát hiện lần đầu tiên vào ngày 18/2, cuộc tấn công liên quan tới việc cài đặt hai ứng dụng độc hại lên các thiết bị của tổ chức trong một khoảng thời gian ngắn. Điều này là do những kẻ tấn công đã xâm phạm máy chủ MDM mục tiêu và lợi dụng các tính năng cài đặt ứng dụng từ xa của nó để cài đặt phần mềm độc hại.
Máy chủ MDM bị lợi dụng để phát tán mã độc Android
Trojan ngân hàng Cerberus sử dụng trong tấn công này là một mã độc cho thuê dưới dạng dịch vụ (MaaS) có những khả năng của Trojan truy cập từ xa di động (MRAT). Nó có thể ghi lại những thao tác phím (keystrokes) trên thiết bị và đánh cắp thông tin đăng nhập, dữ liệu xác thực Google và nhận tin nhắn SMS (bao gồm cả xác thực hai yếu tố). Những kẻ tấn công có thể sử dụng nó để điều khiển thiết bị từ xa thông qua TeamViewer.
Một khi được cài đặt, mã độc hiển thị một cửa sổ giả mạo như một bản cập nhật dịch vụ. Khi người dùng chấp nhận đăng ký cập nhật, ứng dụng có thể khởi động thực thi luồng mã độc. Sau khi kết nối với máy chủ C&C, mã độc nhận được một danh sách các lệnh cần thực hiện.
Một modul đầu tiên của mã độc có thể đánh cắp những thông tin xác thực trên Google, các mật khẩu Gmail, các phần mở khóa điện thoại, gửi ra ngoài một danh sách các tệp tin, các ứng dụng đã được cài đặt và có thể đẩy lên các tệp tin nếu được yêu cầu. Nó cũng có thể ngăn chặn các nỗ lực gỡ bỏ cài đặt TeamViewer, cho phép những kẻ tấn công có được những khả năng điều khiển từ xa.
Để tiếp tục, phần mềm độc hại này lợi dụng những quyền quản trị và ngăn chặn các nỗ lực gỡ cài đặt bằng cách tự động đóng các trang thông tin chi tiết về ứng dụng. Nó cũng vô hiệu hóa tính năng bảo vệ của Google để tránh bị phát hiện và gỡ bỏ.
Một modun thứ hai (payload) được thiết kế chủ yếu với các tính năng đánh cắp dữ liệu và thông tin xác thực, có thể thu thập tất cả các kết nối, SMS, các ứng dụng đã cài đặt và gửi dữ liệu tới máy chủ C&C. Hơn nữa, modul có thể gửi tin nhắn SMS, thực hiện cuộc gọi, gửi yêu cầu USSD, hiển thị các thông báo, cài đặt hoặc gỡ bỏ các ứng dụng và mở các hoạt động popup với các URL.
Theo Check Point, phần mềm độc hại đã thực hiện các hoạt động đánh cắp dữ liệu trên tất cả các thiết bị không được bảo vệ mà chúng đã xâm phạm, nghĩa là mọi thông tin đăng nhập đều bị đánh cắp. Nếu mọi thiết bị không được bảo vệ này được người quản trị sử dụng để truy nhập tài nguyên của công ty bằng các thông tin đăng nhập của họ, những kẻ tấn công sẽ lấy được những thông tin này.
Do mức độ xâm phạm và những khả năng của phần mềm độc hại này, tổ chức bị tấn công đã quyết định cài đặt lại tất cả các thiết bị liên quan.
Check Point kết luận: “Chiến dịch này cho thấy tầm quan trọng của việc biết được sự khác biệt giữa quản lý và bảo mật các thiết bị di động. Các thiết bị di dộng là một phần không thể thiếu trong công việc, giao tiếp và hoạt động của doanh nghiệp. Chúng ta cần phải bảo vệ các thiết bị này để không trở thành mục tiêu hấp dẫn của tin tặc.”

theo ictvietnam.vn

Lỗ hổng bảo mật Apache Tomcat chiếm quyền điều khiển máy chủ

Theo chuyên gia của WhiteHat.vn, việc phát hiện và vá lỗi hệ thống cần phải thực hiện ngay lập tức nhằm tránh bị khai thác. Để giúp cho các quản trị viên đánh giá hệ thống một cách thuận tiện, WhiteHat.vn đã phát hành công cụ kiểm tra lỗ hổng Ghostcat miễn phí tại https://tools.whitehat.vn. Với công cụ này, quản trị chỉ cần nhập địa chỉ server của mình và bấm nút kiểm tra. Trường hợp hệ thống vẫn tồn tại lỗ hổng, công cụ sẽ đưa ra hướng dẫn cụ thể để cập nhật bản vá.

Online_check_Ghostcat.PNG

Ngày 29/02/2020: Tất cả các phiên bản (9.x/8.x/7.x/6.x) của Apache Tomcat được phát hành trong suốt 13 năm qua được phát hiện tồn tại lỗ hổng ‘file read and inclusion’ (đọc và truy cập trái phép vào tệp tin nhạy cảm trên máy chủ web) nghiêm trọng, có thể bị khai thác nếu sử dụng cấu hình mặc định.

Ghostcat_Apache_Tomcat.png

Điều đáng ngại là một số PoC của lỗ hổng này đã xuất hiện trên mạng nên ai cũng có thể xâm nhập vào các máy chủ web dính lỗ hổng.
Lỗ hổng GhostCat (CVE-2020-1938) có điểm CVSS 9.8 cho phép kẻ tấn công trái phép từ xa đọc nội dung file bất kỳ trên các máy chủ web tồn tại lỗ hổng, truy cập các file cấu hình nhạy cảm hoặc mã nguồn, hay thực thi mã tùy ý nếu máy chủ cho phép tải file.
Lỗ hổng Ghostcat và cách thức khai thác
Theo hãng bảo mật Chaitin Tech, lỗ hổng lợi dụng cách giao thức AJP của Apache Tomcat để xử lý các thuộc tính.
“Nếu trang cho phép người dùng tải file lên, trước hết kẻ tấn công có thể tải file chứa đoạn code JSP script độc hại lên máy chủ (ảnh, text …), sau đó khai thác Ghostcat, để thực thi mã từ xa”.
Giao thức Apache JServ Protocol (AJP) về cơ bản là một phiên bản được tối ưu hóa của giao thức HTTP cho phép Tomcat giao tiếp với máy chủ web Apache.

Ghostcat_Apache_Tomcat_2.gif

Dù giao thức AJP được bật mặc định và lắng nghe tại cổng TCP 8009, nhưng lại bị gắn với địa chỉ IP 0.0.0.0 và chỉ có thể bị khai thác từ xa khi nếu truy cập đến các máy Client không đáng tin cậy.
Theo tìm kiếm từ onyphe, một công cụ tra cứu mã nguồn mở và dữ liệu về các mối đe doạ, hiện có trên 170.000 thiết bị có kết nối AJP Connector trên Internet.
Cập nhật bản vá ngay lập tức
Lỗ hổng đã được báo cáo cho đội ngũ Apache Tomcat và hãng này phát hành phiên bản Apache 9.0.31, 8.5.51 và 7.0.100 để xử lý.
Các phiên bản mới nhất này cũng vá hai lỗi CVE-2020-1935 và CVE-2019-17569 ở mức độ nghiêm trọng thấp.
Các nhà quản trị web được khuyến cáo cập nhật bản vá ngay lập tức và không bao giờ mở cổng AJP đến các máy Client không đáng tin cậy.
Đội ngũ của Tomcat cho biết: “Người dùng nên lưu ý một thay đổi đã được thực hiện trong cấu hình AJP Connector mặc định phiên bản 9.0.31. Do vậy người dùng cập nhật lên phiên bản 9.0.31 hoặc cao hơn sẽ cần phải thực hiện những thay đổi nhỏ trong cấu hình của mình”.
Tuy nhiên, nếu vì lý do nào đó, người dùng không thể nâng cấp phiên bản máy chủ bị ảnh hưởng ngay lập tức, thì có thể khắc phục tạm thời bằng cách tắt AJP Connector.

Chính phủ điện tử phải lấy người dân làm trung tâm

Chính phủ điện tử phải lấy người dân làm trung tâm - Ảnh 1.

Thủ tướng Nguyễn Xuân Phúc khẳng định con người, thể chế là yếu tố quan trọng nhất trong xây dựng Chính phủ điện tử – Ảnh: chinhphu.vn

Phát biểu tại đây, Thủ tướng Nguyễn Xuân Phúc nhấn mạnh: Chính phủ điện tử (CPĐT) phải lấy người dân làm trung tâm.

Thủ tướng cũng cho rằng xây dựng CPĐT thì yếu tố con người, thể chế là đầu tiên, sau đó mới đến công nghệ.

Thủ tướng đánh giá cao kết quả ban đầu đáng khích lệ trong xây dựng CPĐT và nêu dẫn chứng cụ thể: Theo xếp hạng mới nhất của Tổ chức Minh bạch quốc tế, Việt Nam đứng thứ 96/180, tăng 21 bậc so với năm ngoái (đứng vị trí 117). Để đạt kết quả này, ngoài việc thanh tra, kiểm tra, xử lý nghiêm vi phạm thì CPĐT đóng góp rất quan trọng bởi giúp hạn chế tiếp xúc trực tiếp giữa người làm thủ tục và người giải quyết thủ tục.

Theo Thủ tướng, chúng ta đã rút ngắn thời gian, chi phí cho người dân và doanh nghiệp. Tỉ lệ dịch vụ công trực tuyến mức độ 4 đã tăng gấp đôi. 100% bộ, ngành, địa phương đã kết nối liên thông gửi, nhận văn bản điện tử với trục liên thông văn bản quốc gia. Lần đầu tiên liên thông thủ tục cấp giấy khai sinh ở cấp xã và thẻ bảo hiểm y tế cấp huyện…

Ông Mai Tiến Dũng – bộ trưởng, chủ nhiệm Văn phòng Chính phủ – cho biết trong năm 2019, công tác cải cách hành chính gắn với CPĐT đã phát huy hiệu quả. Các điều kiện kinh doanh và thủ tục hành chính được rà soát và cắt giảm, tiết kiệm được 6.300 tỉ đồng. 

Văn phòng Chính phủ xây dựng Cổng dịch vụ công quốc gia cung cấp thông tin cho người dân và doanh nghiệp. Từ thời điểm Thủ tướng Chính phủ ấn nút khai trương có hơn 945.000 hồ sơ đã được giải quyết qua đây.

Chính phủ điện tử phải lấy người dân làm trung tâm - Ảnh 2.

Thủ tướng đánh giá nhiều nơi còn “án binh bất động” trong việc xây dựng Chính phủ điện tử, chính quyền điện tử – Ảnh: chinhphu.vn

Tuy nhiên, đánh giá về nguyên nhân khiến Việt Nam mới đứng thứ 88/193 quốc gia, vùng lãnh thổ về xây dựng CPĐT, đứng thứ 6/11 nước ASEAN, Thủ tướng cho rằng có thể thấy cơ sở dữ liệu cá nhân chưa được bảo vệ, là khâu yếu, thấp điểm. Một số khâu khác còn làm chậm, chưa đồng bộ, quyết tâm. Nhiều nơi còn tình trạng “án binh bất động”.

Bộ trưởng Bộ Thông tin và truyền thông Nguyễn Mạnh Hùng cũng cho rằng việc xây dựng chồng chéo, các bộ ngành, địa phương dùng nhiều phần mềm khác nhau và không có khả năng liên thông… là những lực cản trong xây dựng CPĐT.

Năm 2020 tập trung mọi nguồn lực chỉ đạo quyết liệt để hoàn thành các mục tiêu của Chính phủ về CPĐT, nhất là mục tiêu 30% tỉ lệ dịch vụ công trực tuyến mức độ 4, hiện nay mới đạt 10,7% – Thủ tướng nêu rõ.

Thủ tướng nhấn mạnh ba mục tiêu cần phấn đấu: 100% các bộ, ngành, địa phương có nền tảng tích hợp chia sẻ dữ liệu; 100% nền tảng tích hợp chia sẻ dữ liệu cấp bộ, cấp tỉnh phải được kết nối vào nền tảng tích hợp dữ liệu quốc gia; 100% bộ, ngành, tỉnh, thành có trung tâm giám sát điều hành an toàn an ninh mạng.

Nhấn mạnh việc hoàn thiện thể chế cần đi trước để tạo hành lang pháp lý cho CPĐT, Thủ tướng yêu cầu trong năm 2020 phải ban hành được các nghị định về quản lý kết nối, chia sẻ dữ liệu, về định danh và xác định xác thực điện tử, về việc thực hiện thủ tục hành chính trên môi trường điện tử; nghị định thay thế về công tác văn thư; nghị định về bảo vệ thông tin cá nhân và năm 2020 chuẩn bị các bước để tiến tới sửa luật về giao dịch điện tử và luật về lưu trữ.

Về các kiến nghị cụ thể được nêu ra tại hội nghị, Thủ tướng đồng ý giao Bộ Thông tin và truyền thông nghiên cứu, đề xuất xây dựng Trung tâm giám sát quốc gia về CPĐT, thực hiện giám sát quốc gia về hạ tầng mạng, an toàn, an ninh mạng và về dịch vụ CPĐT của các cơ quan nhà nước. 

Bộ Thông tin và truyền thông cần xây dựng nền tảng để mọi người dân, mọi doanh nghiệp có thể thông qua duy nhất một ứng dụng trên thiết bị di động truy cập được mọi dịch vụ CPĐT – Thủ tướng yêu cầu

Đồng thời, Thủ tướng kêu gọi các doanh nghiệp công nghệ số Việt Nam tích cực tham gia xây dựng CPĐT, coi đây là mục tiêu kép, vừa giúp phát triển CPĐT Việt Nam, vừa có kinh nghiệm để đi ra thế giới.

chinhphu.vn

Phát hiện chip do thám của Trung Quốc trong máy chủ các công ty Mỹ

Tờ Bloomberg cho biết một vụ tấn công cài đặt chip do thám của Trung Quốc dưới bản chất thu thập thông tin và hack hệ thống đã bị phát hiện. 
Một báo cáo của tờ Bloomberg xuất bản ngày hôm nay đã tiết lộ một loại chip do thám của Trung Quốc với kích thước chỉ hơn một hạt gạo đã được tìm thấy trong máy chủ của gần 30 công ty tại Mỹ, trong đó có Apple và Amazon.
Loại chip do thám của Trung Quốc này không có trong thiết kế gốc của Super Micro – một công ty có trụ sở ở Mỹ mà được đưa vào trong quá trình sản xuất ở Trung Quốc.
Bài báo cáo dựa trên 3 năm điều tra tại Mỹ, cho rằng các tập đoàn chi nhánh của chính phủ Trung Quốc đã tìm cách xâm nhập dây chuyền sản xuất đều cài đặt loại chip do thám của Trung Quốc siêu nhỏ vào bảng mạch chủ của máy chủ các cơ quan của quân đội Mỹ, tình báo Mỹ và nhiều công ty lớn của Mỹ như Apple và Amazon.
Các con chip này bị nghi ngờ là công cụ cho chính phủ Trung Quốc do thám các công ty và người dùng ở Mỹ, tương tự như một công cụ “hack phần mềm”.

Bài báo cho rằng Apple và Amazon đã phát hiện những con chip do thám của Trung Quốc này trên bảng mạch chính máy chủ của họ từ năm 2015 và báo cáo cho chính phủ, mặc dù cả Apple lẫn Amazon đều chối bỏ sự việc.
Apple nói với tờ Bloomberg rằng công ty họ chưa bao giờ phát hiện loại chip độc hại hay bất kì lỗ hổng nào cố tình cài vào máy chủ, hay việc “có bất kì liên hệ nào với FBI hay các tổ chức có liên quan về vụ việc này”.
Apple đã chấm dứt hợp đồng với công ty Super Micro từ 2016. Apple cho rằng người viết báo cáo có thể đã nhầm lẫn sự việc này với việc Apple phát hiện một ổ cứng bị nhiễm độc trong một máy chủ do Super Micro sản xuất hồi năm 2016.
Amazon cũng cho rằng tin tức Amazon biết về “vụ xâm nhập chuỗi cung ứng”“máy chủ chứa chip độc hại” hay việc “hợp tác với FBI để điều tra cung cấp dữ liệu” là hoàn toàn “không đúng”.
Trong khi đó, Super Micro và Bộ Ngoại giao Trung Quốc đã mạnh mẽ phủ nhận báo cáo của Bloomberg bằng cách đưa ra một tuyên bố khá dài.

Một số phương pháp bảo vệ máy chủ

Máy chủ là thành phần quan trọng trong hệ thống IT của các doanh nghiệp nhỏ. Một máy chủ là một máy tính mà xử lý các yêu cầu về các dữ liệu như email, chuyển hồ sơ, tài liệu web, và các dịch vụ từ các máy khách được kết nối với nó qua một mạng lưới. Có nhiều loại máy chủ khác nhau, bao gồm các máy chủ ứng dụng, máy chủ cơ sở dữ liệu, máy chủ tập tin và máy chủ web. Vì các máy chủ lưu trữ các thông tin có giá trị, nên chúng thường là mục tiêu của các mối đe dọa. Email của công ty và  máy chủ tập tin của bạn thường dễ bị virus, worm, trojan, và DoS (denial-of-service) tấn công. Ngoài ra, tin tặc có thể tắt hoặc vô hiệu hóa một máy chủ để không cho doanh nghiệp điều khiển hoạt động của nó. Nếu doanh nghiệp của bạn là một nạn nhân của hành vi vi phạm bảo mật máy chủ, bạn có thể mất thời gian và tiền bạc bởi vì các máy khách của bạn phụ thuộc vào các máy chủ với nhiều mục đích khác nhau, từ các ứng dụng cho đến email.

Lời khuyên

Sau đây là một số bước bạn có thể thực hiện để bảo vệ máy chủ của mình:

Tăng cường hệ điều hành máy chủ:

Mỗi máy chủ có một hệ thống điều hành và do đó dễ bị xâm phạm trong hệ điều hành. Bởi vì hầu hết các trường hợp, hệ điều hành không được mặc định định cấu hình để bảo mật tối đa, vì thế điều quan trọng là bạn phải tăng cường hệ điều hành mà bạn sử dụng trên các máy chủ của bạn. Bạn nên loại bỏ bất kỳ công cụ và tiện ích không cần thiết  và cập nhật các bản vá lỗi cho hệ điều hành của bạn như các bản sửa lỗi cho các lỗ hổng bảo mật mới đang cung cấp.

Mã hóa và xác thực:

Tùy thuộc vào nhu cầu của doanh nghiệp của bạn, bạn có thể có một số loại máy chủ khác nhau. Đó là một ý tưởng tốt để phân bổ mỗi máy chủ cho một mục đích cụ thể, bởi vì các máy chủ web và máy chủ email sẽ được truy cập từ bên ngoài doanh nghiệp của bạn, do đó hãy sử dụng chúng với các máy chủ công cộng. Máy chủ tập tin hoặc cơ sở dữ liệu có thể chứa dữ liệu được bảo mật và có thể được phân bổ như các máy chủ riêng. Trong thực tế, bạn cũng có thể muốn xem xét việc cài đặt điều khiển truy cập, bao gồm cả việc mã hóa tất cả các phiên đăng nhập. Mã hóa ở cấp độ máy chủ cũng là một cách an toàn hơn cho các tin nhắn trực tiếp IM. Bằng cách sử dụng một máy chủ IM được mã hóa, bạn có thể làm cho các tin nhắn không thể đọc được bởi các tin tặc hoặc bất cứ ai cố can thiệp vào tin nhắn trong quá trình truyền tin.
Hãy thêm một lớp bảo mật cho máy chủ của bạn bằng cách chỉ cho phép truy cập với những người đăng nhập với tên người dùng và mật khẩu. Bằng cách thiết lập xác thực, bạn có thể giám sát truy cập máy chủ và hạn chế quyền truy cập tập tin cho người sử dụng mà bạn chọn. Giám sát thường xuyên các bản ghi và bảo trì các tập tin của bản ghi có thể giúp phát hiện ra các hoạt động bất thường. Bạn cũng có thể sử dụng phần mềm kiểm tra lỗ hổng thường xuyên quét máy chủ của bạn để xác định nếu có bất kỳ hoạt động đáng ngờ, và sau đó có hành động thích hợp để sửa bất kỳ vấn đề gì.

Bảo vệ dữ liệu và sao lưu máy chủ:

Vì các máy chủ lưu trữ một lượng lớn thông tin, bảo vệ máy chủ cũng như các dữ liệu của nó là rất quan trọng. Bạn nên đặt các thiết bị máy chủ của bạn ở một vị trí an toàn và chỉ cho phép người được chỉ định  truy cập. Ngoài ra, bạn cần phải có một kế hoạch dự phòng cho máy chủ của bạn để bảo vệ dữ liệu của bạn. Bằng cách sao lưu các dữ liệu máy chủ ở một địa điểm từ xa, bạn sẽ được bảo vệ trong trường hợp có bất kỳ thiệt hại vật lý nào cho các máy chủ của bạn. Bảo vệ dữ liệu liên tục là một lựa chọn dự phòng để bảo vệ máy chủ của bạn liên tục, do đó bạn có thể phục hồi bất kỳ mất mát dữ liệu nào một cách nhanh chóng hơn.

Cài đặt chương trình diệt virus và tường lửa:

Các máy chủ cũng rất dễ bị tấn công bởi các loại virus và các mối đe dọa như các máy móc khác bởi vì chúng được kết nối với một mạng và có thể được truy cập bởi các thiết bị điện toán khác. Bạn nên cài đặt phần mềm chống virus trên mỗi máy chủ để bảo vệ chống lại virus, worm, trojan, và mã độc hại khác. Ngoài ra, thường xuyên cập nhật phần mềm chống virus sẽ giúp cho máy chủ của bạn được bảo vệ. Tường lửa sẽ hạn chế truy cập mạng và là một cơ chế bảo mật quan trọng phải có trên các máy chủ của bạn. Bằng cách cài đặt kết hợp giữa phần mềm và phần cứng tường lửa vào máy chủ và mạng của bạn, bạn có thể giúp bảo vệ dữ liệu cá nhân của bạn từ những kẻ xâm nhập.
Máy chủ đóng một vai trò quan trọng trong hầu hết các hoạt động hàng ngày của các doanh nghiệp nhỏ, và chúng lưu trữ dữ liệu quan trọng và thường được bảo mật. Bởi vì phần lớn các hoạt động kinh doanh đều phải phụ thuộc các máy chủ về một loạt các tài nguyên bao gồm các tập tin, email, và các ứng dụng, vì thế rất quan trọng để giữ cho máy chủ hoạt động và an toàn mọi lúc. Bằng cách áp dụng các phương pháp phòng ngừa ngay bây giờ để bảo vệ máy chủ của bạn, bạn có thể bảo vệ doanh nghiệp của bạn bằng cách tạo ra một môi trường an toàn hơn.