170913 quyendeanmadoc update1 - files.ais.gov.vn filetham gia vào các mạng máy tính ma...

1

BỘ THÔNG TIN VÀ TRUYỀN THÔNG

ĐỀ ÁN

NÂNG CAO NĂNG LỰC PHÒNG, CHỐNG PHẦN MỀM ĐỘC

HẠI, CẢI THIỆN MỨC ĐỘ TIN CẬY CỦA QUỐC GIA TRONG HOẠT ĐỘNG GIAO DỊCH ĐIỆN TỬ

THEO HƯỚNG XÃ HỘI HOÁ

Hà Nội - 2017

2

MỞ ĐẦU ........................................................................................................................................ 3CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN .................................................................................... 51. Thông tin chung về Đề án ......................................................................................................... 52. Các hoạt động chính của Đề án ................................................................................................ 53. Tính cấp thiết của đề án ............................................................................................................. 64. Căn cứ pháp lý để xây dựng đề án ........................................................................................... 6CHƯƠNG 2. THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI ................................ 91. Tổng quan về phần mềm độc hại ............................................................................................. 92. Thực trạng lây nhiễm phần mềm độc hại trên thế giới ........................................................ 133. Thực trạng lây nhiễm phần mềm độc hại ở Việt Nam ........................................................ 164. Thực trạng hệ thống kỹ thuật và nền tảng hiện có ............................................................... 22

4.1. Bộ Thông tin và Truyền thông ..................................................................................... 224.2. Các bộ, ngành, địa phương ........................................................................................... 244.3. Các doanh nghiệp ISP, doanh nghiệp làm về an toàn thông tin ............................... 24

5. Kinh nghiệm quốc tế ............................................................................................................... 255.1. Kinh nghiệm Nhật Bản ................................................................................................. 265.2. Kinh nghiệm của Hàn Quốc ......................................................................................... 285.3. Kinh nghiệm một số nước Châu Âu ........................................................................... 31

CHƯƠNG 3. CÁC NỘI DUNG CHÍNH CỦA ĐỀ ÁN ....................................................... 331. Tư tưởng chủ đạo .................................................................................................................... 332. Phương pháp tiếp cận ............................................................................................................. 333. Mô hình giải pháp ................................................................................................................... 344. Tổ chức thực hiện và trách nhiệm các bên ........................................................................... 37

4.1. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương: .............................................................................. 374.2. Bộ Thông tin và Truyền thông có trách nhiệm: ......................................................... 384.3. Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh ............................................ 384.4. Các Đài phát thanh, truyền hình và các cơ quan thông tấn báo chí Trung ương và địa phương ........................................................................................................................ 394.5. Hiệp hội An toàn thông tin Việt Nam (VNISA) có trách nhiệm: ............................ 394.6. Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (các ISPs) ....................... 394.7. Các doanh nghiệp cung cấp dịch vụ lưu trữ web (hosting), dịch vụ trung tâm dữ liệu (data center): ................................................................................................................... 394.8. Các doanh nghiệp sản xuất phần mềm phòng, chống mã độc có trách nhiệm: ...... 40

CHƯƠNG 4. KIẾN NGHỊ, ĐỀ XUẤT ................................................................................... 41

3

MỞ ĐẦUTrong xu hướng cách mạng công nghiệp lần thứ tư (cuộc cách mạng gắn liền với

sự phát triển của không gian mạng, công nghệ sinh học, trí tuệ nhân tạo, nhà cửa, thiết bị tự động và thông minh), có ngày càng nhiều máy tính, thiết bị, ứng dụng kết nối vào mạng Internet thì nguy cơ tấn công mạng ngày càng tăng. Khi những máy tính/thiết bị/ứng dụng này không được bảo đảm an toàn thông tin thì việc bị lây nhiễm mã độc, tham gia vào các mạng máy tính ma (botnet) và bị đối tượng tấn công kiểm soát là hoàn toàn dễ dàng và ngày càng phổ biến. Trên thế giới, có nhiều cuộc tấn công mạng quy mô lớn nhằm vào những hệ thống thông tin lớn tại các quốc gia, tập đoàn đa quốc gia mà nguồn gốc là mã độc, các mạng botnet do đối tượng tấn công kiểm soát như: tấn công vào nhà máy hạt nhân của Iran, tấn công vào hạ tầng tài chính của Mỹ, Anh, tấn công vào Spamhaus...... Những cuộc tấn công này không chỉ gây đình trệ hệ thống, tiết lộ thông tin nhạy cảm, mà còn công khai nhiều tài liệu mật của các quốc gia gây tổn thất khó lường về chính trị, ngoại giao.

Việt Nam cũng không đứng ngoài xu hướng trên, thậm chí các nguy cơ tấn công mạng vào Việt Nam cũng như tấn công mạng xuất phát từ Việt Nam còn cao hơn do tình trạng lây nhiễm phần mềm độc hại của Việt Nam đang ở mức báo động, nhưng chưa có biện pháp nào thực sự hiệu quả trong việc xử lý mã độc; mà có thể nói nguyên nhân sâu xa là do: việc sử dụng phần mềm, ứng dụng không bản quyền, phần mềm bẻ khoá; người dùng chưa có ý thức cao trong việc phòng, chống phần mềm độc hại; nhận thức, thói quen, cũng như kỹ năng sử dụng thiết bị và kỹ năng khi truy cập Internet; bên cạnh nữa chúng ta chưa làm chủ được nhiều thiết bị, công nghệ, giải pháp bảo đảm an toàn thông tin; vẫn sử dụng nhiều thiết bị có nguồn gốc xuất xứ không rõ ràng với giá rẻ chưa quan tâm đến an toàn thông tin, và lại chưa được các cơ quan chức năng nào của Việt Nam kiểm tra, kiểm định.

Mỗi năm, có hàng nghìn trang/cổng thông tin điện tử, bị tấn công, chỉnh sửa, chèn thêm nội dung, cài cắm mã độc, trong đó có hàng trăm tên miền .gov.vn của các cơ quan Nhà nước. Riêng 6 tháng đầu năm 2017 có tới trên 6.000 trang/cổng thông tin điện tử bị tấn công, trong đó có 3.647 trang/cổng lưu trữ và phát tán mã độc.

Theo thống kê của Cục An toàn thông tin - Bộ Thông tin và Truyền thông trong 3 tháng có trên 9 triệu (9.223.364) lượt địa chỉ IP Việt Nam nằm trong các mạng botnet lớn trên thế giới. Nằm sau mỗi địa chỉ IP này có thể là cả một hệ thống thông tin/hệ

4

thống mạng đơn vị/doanh nghiệp với vài chục đến hàng trăm máy tính, thiết bị mạng mà một vài hoặc có thể nhiều thiết bị trong số đó bị nhiễm mã độc, bị đối tượng tấn công kiểm soát và tham gia vào các cuộc tấn công mạng trên thế giới

Theo thống kê của các tổ chức quốc tế uy tín (tổ chức cung cấp các sản phẩm, dịch vụ phổ biến trên thế giới và Việt Nam: Microsoft, Kaspersky, Norton, Symantec....) Việt Nam luôn nằm trong nhóm những nước có tỉ lệ lây nhiễm phần mềm độc hại cao. Mặc dù các cơ quan, tổ chức ở Việt Nam đã và đang nỗ lực thực hiện nhiều giải pháp khác nhau trong việc xử lý mã độc, nhưng tình hình vẫn chưa được cải thiện. Trong khi đó thực trạng lây nhiễm mã độc tại Việt Nam hiện nay là rất đáng báo động. Đặc biệt, cơ quan chức năng ghi nhận nhiều trường hợp tấn công mã độc mà giải pháp đã có không phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ.

Những thống kê trên của Bộ thông tin và Truyền thông, của các đơn vị, doanh nghiệp an toàn thông tin trong nước cũng như của các tổ chức nước ngoài có thể chỉ phản ánh một phần nhưng cũng ở mức báo động thực trạng lây nhiễm phần mềm độc hại trong không gian mạng Việt Nam, ngoài ra còn nhiều mạng botnet đang âm thầm hoạt động mà chưa được phát hiện. Nếu chúng ta không hành động sớm, không có một giải pháp hữu hiệu nào thì những mạng botnet này có thể sẽ gây ảnh hưởng lớn đến nền kinh tế, chính trị và đời sống xã hội của đất nước.

5

CHƯƠNG 1: KHÁI QUÁT VỀ ĐỀ ÁN

1. Thông tin chung về Đề án

Tên Đề án: Nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hoá.

Trách nhiệm bóc gỡ phần mềm độc hại là trách nhiệm của mỗi cơ quan, tổ chức. Vì vậy trước mắt, để tăng cường bảo đảm an toàn thông tin, đề án đưa ra giải pháp nhằm phát động, tổ chức các chiến dịch xử lý, bóc gỡ phần mềm độc hại theo hướng xã hội hóa, với nòng cốt là sự tham gia của các ISP và các doanh nghiệp cung cấp sản phẩm phần mềm diệt vi-rút Việt Nam và nước ngoài.

Đề án tận dụng cơ sở hạ tầng, trang thiết bị hiện có để thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát hiện mã độc trên không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc gỡ. Đề án không làm phát sinh thêm dự án mới mà chủ yếu là tổ chức khai thác hiệu quả hạ tầng kỹ thuật đã được đầu tư của Cục An toàn thông tin, Trung tâm VNCERT, các ISPs; đồng thời, huy động sự tham gia của Hiệp hội an toàn thông tin và các doanh nghiệp hoạt động trong lĩnh vực CNTT và an toàn thông tin .

Đề án đưa ra giải pháp bổ sung chứ không phải thay thế cho các giải pháp mà các cơ quan, tổ chức đã và đang triển khai. Hình thức xã hội hóa sẽ không làm phát sinh hoặc tăng thêm gánh nặng chi phí cho ngân sách nhà nước.

2. Các hoạt động chính của Đề án

Quy định trách nhiệm bóc gỡ phần mềm độc hại là trách nhiệm của mỗi cơ quan, tổ chức, cá nhân.

Gắn kết, và tăng cường hiệu quả hoạt động của các hệ thống kỹ thuật, các đề án đã đầu tư cho các cơ quan đơn vị. Thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát hiện mã độc trên không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc gỡ dựa trên cơ sở hạ tầng trang thiết bị hiện có.

Xây dựng và thực hiện các chương trình, chiến dịch xử lý, bóc gỡ mã độc, mạng máy tính ma theo hướng xã hội hóa, với sự tham gia của các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (ISPs) và các tổ chức, doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin và an toàn thông tin.

Xây dựng, ban hành văn bản hướng dẫn kết nối, trao đổi, chia sẻ thông tin, dữ

6

liệu về mã độc giữa hệ thống kỹ thuật của cơ quan chức năng liên quan với giải pháp phòng, chống mã độc ở các bộ, ngành, địa phương, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật.

3. Tính cấp thiết của đề án

Trong xu hướng cuộc cách mạng công nghiệp lần thứ tư, có ngày càng nhiều thiết bị thông minh kết nối mạng. Những thiết bị này khi bị lây nhiễm các loại phần mềm độc hại gây mất an toàn thông tin, tiềm ẩn nguy cơ khó lường.

Các cơ quan, tổ chức ở Việt Nam đã và đang thực hiện nhiều giải pháp khác nhau trong việc xử lý mã độc. Tuy nhiên, hiệu quả đạt được chưa cao. Thực trạng lây nhiễm mã độc tại Việt Nam hiện nay là rất đáng báo động. Đặc biệt, cơ quan chức năng ghi nhận nhiều trường hợp tấn công mã độc mà giải pháp đã có không phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ.

Trong khi các cơ quan đơn vị đang nỗ lực nghiên cứu và tìm một giải pháp phù hợp thì đối tượng tấn công vẫn tiếp tục lợi dụng phần mềm độc hại, các mạng botnet và mã độc APT để thực hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng. Điển hình là cuộc tấn công APT vào Vietnam Airlines và các Cảng hàng không vào tháng 7/2016, hay các cuộc tấn công DDoS vào một số doanh nghiệp ISP lớn của Việt Nam thời gian vừa qua. Đây chỉ là một trong số ít cuộc tấn công mà chúng ta đã nhìn thấy một phần hậu quả của nó.

Đáng chú ý, những thống kê chúng ta có được có thể chỉ phản ánh một phần nhưng cũng ở mức báo động thực trạng lây nhiễm phần mềm độc hại trong không gian mạng Việt Nam, ngoài ra còn nhiều nguy cơ/cuộc tấn công mạng đang âm thầm hoạt động mà chưa được phát hiện. Nếu chúng ta không hành động ngay, không có một giải pháp hữu hiệu nào thì những cuộc tấn công này sẽ gây ảnh hưởng lớn đến nền kinh tế, chính trị và đời sống xã hội của đất nước.

4. Căn cứ pháp lý để xây dựng đề án

Trước tình hình an toàn thông tin mạng và tình trạng lây nhiễm phần mềm độc hại diễn biễn ngày càng phức tạp tại Việt Nam những năm gần đây, Lãnh đạo Đảng và Nhà nước đã có sự quan tâm sâu sắc và đã ban hành nhiều văn bản chỉ đạo của Đảng, văn bản quy phạm pháp luật, văn bản chỉ đạo điều hành của Chính phủ trong lĩnh vực an toàn thông tin, trong đó có nhiều nội dung liên quan đến công tác phòng chống phần

7

mềm độc hại. Các Văn bản chỉ đạo của Đảng: - Nghị quyết số 36-NQ/TW ngày 01/7/2014 của Bộ Chính trị về đẩy mạnh ứng

dụng, phát triển công nghệ thông tin đáp ứng yêu cầu phát triển bền vững và hội nhập quốc tế. Trong đó, bảo đảm an toàn thông tin và phát triển công nghiệp công nghệ thông tin là những nội dung quan trọng của Nghị quyết và đã được Bộ Chính trị quán triệt các cấp, các ngành tập trung các nguồn lực để thúc đẩy phát triển;

- Chỉ thị 28-CT/TW ngày 16/9/2013 của Ban Bí thư Trung ương Đảng về tăng cường công tác bảo đảm an toàn thông tin mạng.

Căn cứ thực tiễn và các Văn bản chỉ đạo của Đảng, Chính phủ đã đề xuất, xây dựng và trình Quốc hội ban hành Luật An toàn thông tin mạng. Ngày 19/11/2015, Quốc hội đã thông qua Luật An toàn thông tin mạng (Luật số 86/2015/QH13). Trong Luật An toàn thông tin mạng đã có các Điều, Khoản nghiêm cấm hành vi phát tán phần mềm độc hại và các quy định phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại. Cụ thể, trong Luật An toàn thông tin mạng đã định nghĩa rõ Phần mềm độc hại là phần mềm có khả năng gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin. Theo đó, Luật An toàn thông tin mạng quy định hành vi phát tán phần mềm độc hại là một trong các hành vi bị nghiêm cấm. Ngoài ra, Luật An toàn thông tin mạng cũng quy định cụ thể về việc phòng ngừa, phát hiện, ngăn chặn và xử lý phần mềm độc hại tại Điều 11 như sau:

- Cơ quan, tổ chức, cá nhân có trách nhiệm thực hiện phòng ngừa, ngăn chặn phần mềm độc hại theo hướng dẫn, yêu cầu của cơ quan nhà nước có thẩm quyền;

- Chủ quản hệ thống thông tin quan trọng quốc gia triển khai hệ thống kỹ thuật nghiệp vụ nhằm phòng ngừa, phát hiện, ngăn chặn và xử lý kịp thời phần mềm độc hại;

- Doanh nghiệp cung cấp dịch vụ thư điện tử, truyền đưa, lưu trữ thông tin phải có hệ thống lọc phần mềm độc hại trong quá trình gửi, nhận, lưu trữ thông tin trên hệ thống của mình và báo cáo cơ quan nhà nước có thẩm quyền theo quy định của pháp luật;

- Doanh nghiệp cung cấp dịch vụ Internet có biện pháp quản lý, phòng ngừa, phát hiện, ngăn chặn phát tán phần mềm độc hại và xử lý theo yêu cầu của cơ quan nhà nước có thẩm quyền;

8

- Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Quốc phòng, Bộ Công an và bộ, ngành liên quan tổ chức phát hiện, phòng ngừa, ngăn chặn và xử lý phần mềm độc hại gây ảnh hưởng đến quốc phòng, an ninh quốc gia.

Ngày 27/5/2016, Phó Thủ tướng Chính phủ Vũ Đức Đam đã ký Quyết định số 898/QĐ-TTg phê duyệt phương hướng, mục tiêu, nhiệm vụ bảo đảm an toàn thông tin mạng giai đoạn 2016 - 2020 (Quyết định 898). Đối với tình hình lây nhiễm phần mềm độc hại, Quyết định 898 nêu rõ mục tiêu của giai đoạn 2016 - 2020 “Nâng cao uy tín giao dịch điện tử của Việt Nam, đưa Việt Nam ra khỏi danh sách 20 quốc gia có tỷ lệ lây nhiễm phần mềm độc hại và phát tán thư rác cao nhất trên thế giới theo xếp hạng của các tổ chức quốc tế”.

Cũng theo Quyết định 898 để bảo đảm an toàn thông tin mạng quy mô quốc gia thì nhiệm vụ “Nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hóa” là 1 trong 6 nhiệm vụ cần phải thực hiện trong giai đoạn 2016 – 2020.

Để triển khai các nội dung của Quyết định 898, Thủ tướng Chính phủ đã giao các bộ, ngành liên quan phối hợp tổ chức thực hiện, trong đó liên quan tới công tác phòng chống phần mềm độc hại giao Bộ Thông tin và Truyền thông “chủ trì, phối hợp với các bộ, ngành và các doanh nghiệp thành lập Tổ phản ứng nhanh phân tích, ứng phó với phần mềm độc hại”.

9

CHƯƠNG 2. THỰC TRẠNG LÂY NHIỄM PHẦN MỀM ĐỘC HẠI

1. Tổng quan về phần mềm độc hạia) Phần mềm độc hại là gì? Theo Luật An toàn thông tin mạng Phần mềm độc hại là phần mềm có khả năng

gây ra hoạt động không bình thường cho một phần hay toàn bộ hệ thống thông tin hoặc thực hiện sao chép, sửa đổi, xóa bỏ trái phép thông tin lưu trữ trong hệ thống thông tin.

Như vậy từ góc độ kỹ thuật có thể hình dung Phần mềm độc hại (sau đây gọi là mã độc) là chương trình hoặc đoạn mã đưa vào máy tính, các thiết bị mạng hoặc bất kỳ thiết bị điện tử, phần mềm, ứng dụng trong hệ thống thông tin (có kết nối mạng hoặc không có kết nối mạng) nhằm thực hiện các hành vi trái phép (như ăn trộm dữ liệu, gửi thư rác, tham gia tấn công DDOS hay các bất kỳ cuộc tấn công mạng dưới điều khiển của đối tượng tấn công hoặc tiếp tục phát tán mã độc).

Mã độc bao gồm: vi-rút (vi-rút), sâu máy tính (worm), ngựa gỗ (trojan), mã độc (malware), gián điệp (Spyware), mạng máy tính ma (botnet), các mối nguy hại APT v.v…. Trong đó:

Vi-rút là chương trình có thể tự sao chép bằng cách chèn các bản sao của chính nó vào chương trình lưu trữ hoặc các tập tin dữ liệu. Vi-rút thường được kích hoạt thông qua tương tác của người dùng như là mở một tập tin hoặc chạy một chương trình. Vi-rút có thể chia thành hai loại là: vi-rút biên dịch và vi-rút diễn dịch. Vi-rút biên dịch (Compiled vi-rút) được kích hoạt bởi một hệ điều hành, còn Vi-rút diễn dịch (Interpreted vi-rút) được khởi động bởi một ứng dụng.

Trojan là chương trình không có khả năng sao chép, xuất hiện dường như là vô hại nhưng chúng được thiết kế để thực hiện những hành vi độc hại ẩn trên hệ thống thông tin. Mã độc Trojan có khả năng thay thế tập tin hiện tại bằng các biến thể mã độc khác hoặc tiếp tục cài cắm thêm các biến thể khác lên hệ thống.

Mạng máy tính ma hay còn gọi là botnet là tập hợp các máy tính, thiết bị nhiễm mã độc và bị đối tượng tấn công điều khiển từ xa phục vụ cho mục đích độc hại như phát tán mã độc, gửi thư rác, tấn công DDoS, ăn trộm dữ liệu.... Những mạng botnet đầu tiên trên thế giới xuất hiện vào năm 1999 sử dụng kiến trúc, kênh truyền, kỹ thuật điều khiển đơn giản; tiếp sau đó xuất hiện ngay các mạng botnet với những kiến trúc phức tạp, có khả năng thực hiện những cuộc tấn công mạng với những mục tiêu khác nhau

10

dưới điều khiển của đối tượng tấn công như: mạng botnet chuyên gửi thư rác Rustock, mạng botnet chuyên ăn trộm thông tin tài khoản Zeus. Mạng botnet chuyên gửi thư rác Rustock hoạt động mạnh năm 2006 tới 2011 đã lây nhiễm và tấn công vào 2,5 triệu máy tính Windows, mỗi máy bị nhiễm mã độc có thể gửi 25.000 thư rác trong một giờ. Trong đó lượng lớn thư rác xuất phát từ McColo - doanh nghiệp cung cấp dịch vụ Internet của Mỹ, sau khi dừng hoạt động của ISP này thì số lượng thư rác trên toàn cầu giảm 75% vào cuối năm 2008, tuy nhiên sau đó lại tăng trở lại và Microsoft đã phải xây dựng chiến dịch B107 để bóc gỡ mạng botnet này). Mạng botnet Zeus được phát hiện vào năm 2009, ăn trộm thông tin của ít nhất 74.000 tài khoản FPT trên các trang web của các tổ chức Bank of America, NASA, Monster.com, Oracle, Play.com, Cisco, Amazon.

Các mối nguy hại APT (Advanced Persistent Threat), về góc độ kỹ thuật không phải là một loại mã độc cụ thể, nhưng nó là một hình thức tấn công mới mà trong đó sử dụng những loại mã độc hết sức tinh vi và khó phát hiện, mã độc này có khả năng cài cắm và ẩn sâu vào trong hệ thống thông tin của các tổ chức. Những cuộc tấn công này thường nhằm vào các hệ thống thông tin quan trọng của các quốc gia, tổ chức kinh tế, chính trị lớn và là những cuộc tấn công có chủ đích, có tổ chức đứng sau tài trợ. Ví dụ như cuộc tấn công vào nhà máy hạt nhân của Iran do mạng botnet Stuxnet thực hiện đã bị phát hiện vào tháng 6 năm 2010 tuy nhiên theo các chuyên gia an ninh mạng Stuxnet bắt đầu tấn công vào từ năm 2007 và được phát triển từ 2005.

Có nhiều thuật ngữ kỹ thuật khác nhau để mô tả, phân loại mã độc, nhưng trong những năm gần đây Botnet và APT là hai thuật ngữ gắn liền với các cuộc tấn công mạng lớn về quy mô và mức độc tinh vi. Không có một cuộc tấn công mạng nào là không có sự tham gia của mã độc, hay nói cách khác mã độc chính là công cụ để đối tượng tấn công thực hiện những hành động độc hại trên Internet (từ việc kiểm soát hệ thống mục tiêu, ăn trộm dữ liệu, phát tán mã độc, tấn công từ chối dịch vụ…..). Đặc biệt khi xu hướng IoT phát triển, nhưng vấn đề bảo đảm an toàn thông tin trên các thiết bị IoT này lại chưa được quan tâm thì nguy cơ cài cắm mã độc vào các thiết bị để xây dựng lên những mạng botnet lớn càng phổ biến hơn. Và các mạng botnet này trở thành một công cụ mang lại lợi nhuận khổng lồ cho các nhóm tội phạm, có thể được đối tượng tấn công sử dụng cho bất kỳ cuộc cuộc tấn công mạng nào. Chính vì vậy sự gia tăng của các loại hình tội phạm mạng liên quan đến mạng botnet đang trở thành một vấn đề rất

11

nghiêm trọng với tất cả các quốc gia trên thế giới. b) Các nguồn lây nhiễm phần mềm độc hại Việc mã độc, phần mềm độc hại lây nhiễm vào các máy tính, thiết bị, hệ thống

thông tin có rất nhiều nguyên nhân, nguồn gốc, nhưng có thể kể đến những nguồn sau: - Đầu tiên có thể kể đến là các trang web/máy chủ lưu trữ tập tin độc hại/mã khai

thác trên toàn thế giới, các trang web này có thể do đối tượng tấn công chiếm quyền điều khiển hoặc cố tình dựng lên sau đó sử dụng để phát tán mã độc. Để lây nhiễm mã độc vào máy tính người dùng, đầu tiên kẻ tấn công sẽ lừa người dùng truy cập vào một trang web trung gian có chức năng chuyển hướng người dùng tới một máy chủ lưu trữ mã khai thác lỗ hổng/điểm yếu tự động thông qua lỗ hổng/điểm yếu trên Plug-ins/Extenstion của trình duyệt hay phần mềm bên thứ 3. Khi người dùng đã được chuyển hướng tới máy chủ lưu trữ mã khai thác, máy chủ này sẽ tự động tìm mã khai thác phù hợp với máy tính người dùng. Khi đã khai thác thành công thì mã độc tự động cài cắm vào máy tính người dùng, và kẻ tấn công bắt đầu kiểm soát được máy tính người dùng. Hình thức lây nhiễm mã độc vào máy tính người dùng thông qua mã khai thác khi người dùng truy cập trang web, ngày càng trở nên phổ biến và dễ thực hiện hơn. Ngoài ra đối tượng tấn công có thể dựng lên các trang web cung cấp các bản vá, bẻ khoá cho phần mềm không bản quyền qua đó cài cắm mã độc vào máy tính người dùng theo con đường chính thống.

- Hình thức phổ biến tiếp theo là thông qua thư điện tử. Đối tượng tấn công có thể lây nhiễm mã độc vào máy tính người dùng không chỉ thông qua tập tin đính kèm mà cả phần nội dung thư điện tử. Với hình thức thông qua tập tin đính kèm thì đối tượng tấn công thường đính kèm mã độc trong các tập tin .doc, .pdf nhìn có vẻ là vô hại nhưng thực tế có mã độc trong đó. Với hình thức lây nhiễm mã độc thông qua nội dung thư, đối tượng tấn công sẽ sử dụng mã HTML để nhúng tập lệnh/đoạn mã độc hại vào một phần trong nội dung thư; khi người dùng mở thư với chức năng hiển thị HTML thì tập lệnh/đoạn mã này sẽ được thực thi và mã độc được cài cắm vào máy tính người dùng; hay sử dụng các liên kết trong nội dung thư nhìn có vẻ vô hại nhưng thực tế lại chuyển hướng người dùng đến trang web chứa mã độc hoặc mã khai thác lỗ hổng.

- Tiếp đến là hình thức lây nhiễm mã độc thông qua lỗ hổng phần mềm: khai thác lỗ hổng phần mềm là mục tiêu tấn công phổ biến trong các cuộc tấn công của đối tượng tấn công. Lỗ hổng, lỗi phần mềm cho phép đối tượng tấn công truy cập từ xa vào

12

máy tính người dùng, qua đó cài cắm mã độc, lấy trộm dữ liệu. - Hình thức lây nhiễm qua phương tiện lưu trữ di động, các ổ đĩa USB cũng là

hình thức phổ biến để cài cắm mã độc vào máy tính người dùng. - Ngoài ra đối tượng tấn công có thể viết ra những phần mềm, ứng dụng miễn

phí. Khi người dùng cài đặt phần mềm, ứng dụng này thì đồng thời cũng cài đặt mã độc vào máy tính của mình.

Ở mỗi môi trường, khu vực khác nhau thì đối tượng tấn công có thể tận dụng các hình thức khác nhau. Nhưng thông thường để đạt được mục tiêu lây nhiễm vào tối đa các máy tính, thiết bị, đối tượng tấn công sẽ kết hợp nhiều hình thức, tận dụng nhiều lỗ hổng đặc biệt là lỗ hổng trên các phần mềm, ứng dụng phổ biến như: trình duyệt web, hệ điều hành Android, ứng dụng soạn thảo văn bản. Đây là những ứng dụng có trên hầu hết các máy tính. Theo thống kê của Kaspersky vào 3 tháng cuối năm 2016 có tới 44,8% mã khai thác trên trình duyệt, 19,3% mã khai thác Android; 15,9% mã khai thác Microsoft Office; 13,5% mã khai thác phần mềm Adobe Flash Player (phần mềm sử dụng trên hầu hết các trình duyệt)

Hình 1: Thống kê tỉ lệ mã khai thác sử dụng để lây nhiễm mã độc trên các ứng dụng (Nguồn: Kaspersky )

Tại Việt Nam do đặc điểm về nhận thức người dùng nên có một số hình thức được cho là phổ biến bao gồm:

- Thói quen sử dụng phần mềm, ứng dụng không bản quyền (theo thống kê của

13

Hiệp hội An toàn thông tin Việt Nam tỉ lệ này hiện đang chiếm hơn 90% người dùng). Việc sử dụng phần mềm, ứng dụng không có bản quyền sẽ hạn chế trong việc cập nhật, nâng cấp, vá lỗi dẫn tới tồn tại điểm yếu/lỗ hổng an toàn thông tin trên hệ thống, giúp cho kẻ tấn công có thể dễ dàng sử dụng mã độc để tấn công, lây nhiễm vào hệ thống. Bên cạnh đó, một bộ phận không nhỏ người Việt Nam thường xuyên sử dụng các phần mềm bẻ khoá, bản thân các phần mềm bẻ khoá này đã được cài đặt sẵn mã độc. Đây là vấn đề không dễ giải quyết trong thời gian ngắn.

- Ý thức truy cập các trang web không an toàn; thư điện tử; lỗ hổng phần mềm, ứng dụng; ngoài ra là việc sử dụng thiết bị không có cơ chế bảo mật, cơ chế bảo mật kém hay sử dụng tài khoản quản trị, mật khẩu mặc định.

2. Thực trạng lây nhiễm phần mềm độc hại trên thế giớiTheo thống kê của Liên minh Viễn thông Quốc tế (ITU), vào năm 2005, thế giới

có khoảng 2,2 tỷ thuê bao điện thoại di động thì đến năm 2015 con số này đã tăng lên trên 7 tỷ thuê bao, năm 2005 thế giới có 1 tỷ người đăng ký sử dụng internet thì đến năm 2015 là 3,2 tỷ người (chiếm gần 50% dân số thế giới). Mọi hoạt động kinh tế, chính trị, xã hội, quốc phòng, an ninh ngày nay có những bước đột phá lớn nhờ áp dụng CNTT và kết nối mạng.

Theo xu hướng Internet kết nối vạn vật (IoT) ngày càng phổ biến trên thế giới đặc biệt tại các nước phát triển và đang phát triển thì số lượng các thiết bị, ứng dụng kết nối vào mạng Internet ngày càng nhiều. Bên cạnh đó thì nguy cơ mất an toàn thông tin ngày càng cao. Theo đánh giá của nhiều tổ chức an toàn thông tin (ATTT) uy tín, thế giới đang phải đối diện với hàng loạt nguy cơ tấn công mạng mới xuất hiện và ngày càng nguy hiểm. Số lượng lỗ hổng bảo mật, mã độc, mạng máy tính ma (botnet) được phát hiện ngày càng nhiều, tạo điều kiện cho tội phạm mạng tiến hành những chiến dịch tấn công kiểu mới, cực kỳ tinh vi và nguy hiểm hơn so với trước đây. Thay vì thực hiện những cuộc tấn công nhanh, nhiều loại mã độc trong các cuộc tấn công APT có khả năng nằm vùng, ẩn sâu trong hệ thống mạng để thăm dò, theo dõi và chiếm quyền điều khiển trong thời gian dài, đến thời điểm nhất định mới tiến hành các cuộc tổng tấn công.

Trên thế giới, đã diễn ra nhiều cuộc tấn công mạng quy mô lớn vào nhiều hệ thống thông tin lớn tại các quốc gia, tập đoàn đa quốc gia. Những cuộc tấn công này không chỉ gây đình trệ hệ thống, tiết lộ thông tin nhạy cảm, mà còn công khai nhiều tài liệu mật của các quốc gia gây tổn thất khó lường về chính trị, ngoại giao. Dưới đây là

14

một số cuộc tấn công điển hình trên thế giới do mã độc thực hiện Tấn công vào nhà máy hạt nhân của Iran:

Cuộc tấn công mạng vào nhà máy hạt nhân tại cơ sở Natanz của Iran năm 2010 cùng với hoạt động của mạng botnet Stuxnet, trong đó Stuxnet lây nhiễm và tấn công vào trên 200.000 máy tính, 58% thuộc Iran, các nước khác như Indonesia, Ấn Độ, Azerbaijan, Mỹ, Pakistan cũng bị ảnh hưởng. Mạng botnet Stuxnet nhằm vào các máy tính điều khiển công nghiệp được cho là phát triển từ năm 2005 và đến năm 2010 mới được phát hiện, nó đã tấn công và phá hủy 984 máy li tâm tại cơ sở Natanz.

Tấn công vào Spamhaus:

Vụ tấn công từ chối dịch vụ (DDoS) này nhắm mục tiêu vào hệ thống máy chủ tên miền (DNS) của Tổ chức chống thư rác Spamhaus bắt đầu từ ngày 19/3/2013 và diễn ra liên tiếp trong cả tuần, đỉnh điểm của vụ tấn công đã được ghi nhận lên đến 300 Gb/s. Đây là vụ tấn công được xem là lớn nhất trong lịch sử. Vụ tấn công nghiêm trọng này

đã gây ra ảnh hưởng nhất định đến hệ thống Internet toàn cầu, do đối tượng tấn công đã sử dụng phương pháp tấn công phản xạ DNS, lợi dụng các máy chủ phân giải tên miền và tạo các truy vấn giả mạo để tạo ra lượng băng thông lớn đến các máy chủ của nạn nhân. Với phương pháp tấn công khuếch đại này, đối tượng tấn công có thể tạo ra một lượng băng thông gấp 100 lần so với lượng băng thông gửi đi của bot (máy tính/thiết bị bị nhiễm mã độc và tham gia vào mạng botnet do đối tượng tấn công kiểm soát) . Theo ghi nhận có tới hơn 30.000 hệ thống máy chủ phân giải DNS bị lợi dụng để tham gia vào cuộc tấn công. Động cơ của cuộc tấn công chưa được xác định rõ ràng, nhưng theo nhiều thông tin trên các phương tiện thông tin đại chúng ghi nhận thì cuộc tấn công này không mang mầu sắc chính trị mà nó là sự phản ứng của các nhóm tội phạm chuyên nghiệp trước các hành động mạnh tay của Spamhaus khi đưa các hệ thống máy chủ phát tán thư rác của chúng vào danh sách đen (blacklist) ở đây là danh sách IP của các hệ thống máy chủ hosting của tổ chức Cyberbunker bị đưa vào danh sách. Hình thức tấn công này đã đưa ra một cảnh báo cho

Hình 2: Lưu lượng tấn công DDoS Spamhaus

15

mạng Internet toàn cầu do việc thực hiện tấn công không quá phức tạp, không cần huy động quá nhiều bot để thực hiện tấn công kiểu này. Với sự "mỏng manh" của hệ thống tên miền DNS như hiện nay, các nguy cơ xảy ra một cuộc tấn công với quy mô lớn hơn vào hạ tầng Internet của một quốc gia và làm ngừng hoạt động của nó là hoàn toàn hiện hữu. Việc chống lại các tấn công kiểu này là vô cùng khó khăn cho các quốc gia có hạ tầng Internet yếu kém và thiếu sự hợp tác và hỗ trợ của các tổ chức quốc tế.

Tấn công vào Công ty Sony

Cuộc tấn công mạng vào Công ty Sony Pictures Entertainment 24/11/2014 làm toàn bộ hệ thống máy tính của nhân viên phải ngừng hoạt động và tê liệt bởi nhóm đối tượng tấn công tự nhận là #GOP. Đối tượng tấn công đã lấy được hơn 100TB dữ liệu khác nhau từ mật khẩu của nhân viên, thông tin chi tiết thẻ tín dụng tới lịch sử y tế và thông tin về tiền lương. Đến ngày 7/12 mạng Sony Playstation Network và PlayStation Store tiếp tục bị một đợt tấn công khác dẫn đến không thể kết nối trong khoảng thời gian khá lâu. Và đối tượng tấn công cũng đã phát tán một số email của lãnh đạo Sony Pictures cùng với nhiều bí mật của các ngôi sao lớn tại Hollywood. Cuộc tấn công này đã gây thiệt hại không nhỏ về tài chính cũng như uy tín của Sony.

Chiến dịch tấn công APT Chiến dịch tấn công APT có tên Lotus Blossom nhằm vào chính phủ và các tổ

chức quân đội tại Đông Nam Á trong suốt 3 năm (từ 2012 đến 2015) sử dụng nhiều hình thức, kỹ thuật tấn công sau đó cài đặt Trojan trên các hệ thống mục tiêu. Để điều khiển mạng botnet trong chiến dịch Lotus Blossom, đối tượng tấn công đã sử dụng 50 mẫu mã độc với 3 biến thể khác nhau, hạ tầng để điều khiển mạng botnet này gồm ít nhất 36 tên miền và 34 địa chỉ IP.

Chiến dịch tấn công APT 28 được cho là hoạt động từ năm 2007, có sự liên hệ với Nga và có thể được Chính phủ Nga tài trợ. APT 28 tập trung vào thông tin liên quan đến chính phủ, quân đội và các tổ chức an ninh. Nhóm này đã phát động tấn công mạng vào chính phủ ở Georgia, Đông Âu, NATO và Tổ chức An ninh và Hợp tác Châu Âu.

Chiến dịch tấn công APT 30 do một nhóm đối tượng tấn công có trình độ cao, chiến dịch tấn công này thực hiện tấn công mạng ít nhất từ năm 2005 nhưng đến tháng 4 năm 2015 mới có báo cáo về cuộc tấn công này. Mục tiêu tấn công nhằm vào cơ quan, tổ chức tại khu vực Đông Nam Á (trong đó có Việt Nam) và Ấn Độ, thu thập thông tin về kinh tế, chính trị, quân sự và vấn đề tranh chấp lãnh thổ cho tới cuộc thảo luận liên

16

quan đến Đảng cộng Sản Trung Quốc. Chiến dịch tấn công này đã sử dụng ít nhất 200 mẫu mã độc và hạ tầng, kiến trúc điều khiển tinh vi, với nhiều tên miền hoạt động trên 5 năm, nhiều mã độc có khả năng chuyển tiếp lưu lượng từ Internet tới mạng LAN vào có khả năng ẩn sâu trong hệ thống mục tiêu.

Cuộc tấn công tống tiền của mã độc WanaCry Gần đây nhất là cuộc tấn công mạng của mã độc mã hóa tư liệu (WannaCry,

Petya) tấn công vào các máy tính, thiết bị trên nền Windows, đã gây ảnh hưởng tới nhiều quốc gia trên thế giới (theo các trang báo quốc tế uy tín cuộc tấn công của mã độc WannaCry đã ảnh hưởng tới ít nhất 100.000 tổ chức, trên 200.000 người tại150 quốc gia trên thế giới). Hậu quả của đợt tấn công này không chỉ là thiệt hại về kinh tế mà còn ảnh hưởng đến đời sống xã hội. Tại Anh một nhà máy sản xuất xe hơi của Nissan đã phải ngừng sản xuất sau khi bị WanaCry tấn công. Ngoài ra hàng trăm bệnh viện và phòng khám của Cơ quan Y tế Quốc gia Anh (NHS) cũng trở thành nạn nhân của mã độc tống tiền WanaCry , và các nơi này buộc phải chuyển tiếp bệnh nhân sang đơn vị khác để chữa trị.

Theo thống kê của Kaspersky trong năm 2016 có 31,9% người dùng internet là mục tiêu của của các cuộc tấn công mã độc trên nền web; trên 700 triệu (758,044,650) cuộc tấn công mạng từ các nguồn tài nguyên trên nền web khắp thế giới; trên 261 triệu (261.774.932) URL độc hại trên Internet; trên 69 triệu (69,277,289) mẫu mã độc được phát hiện; trên 1 triệu (1,445,434) máy tính bị mã độc mã hóa tư liệu tấn công (trong khi đó năm 2015 là 179,209). (Nguồn: https://kasperskycontenthub.com)

3. Thực trạng lây nhiễm phần mềm độc hại ở Việt Nam

Với sự phát triển của Internet, Việt Nam đã đạt số lượng gần 4,8 triệu thuê bao truy nhập Internet băng rộng cố định; hơn 3,2 triệu hộ gia đình có kết nối Internet; 100% các Bộ ngành, tỉnh thành phố có cổng thông tin điện tử, cung cấp hơn 100.000 dịch vụ công trực tuyến phục vụ người dân và doanh nghiệp.Việt Nam đứng thứ 7 trong số 10 nước sử dụng Internet nhiều nhất tại châu Á (Châu Á là khu vực truy cập Internet nhiều nhất trên thế giới với tỷ lệ 44,8% người dùng trên toàn cầu). Khoảng 1/3 các doanh nghiệp Việt Nam sử dụng thương mại điện tử, trên 50% doanh nghiệp có website riêng, 82% doanh nghiệp có mạng nội bộ LAN và gần 100% doanh nghiệp sử dụng Internet.

Có nhiều tổ chức quốc tế lớn về an toàn thông tin đưa ra các thống kê liên quan đến mã độc. Các hãng khác nhau có thống kê khác nhau tuy nhiên, điểm chung Việt

17

Nam luôn đứng trong nhóm những nước có tỉ lệ lây nhiễm mã độc cao trong nhiều năm và đang ở mức báo động.

Theo thống kê, đánh giá của Microsoft: chỉ số lây nhiễm mã độc (Malware Infection Index) của các nước trong khu vực Châu Á Thái Bình Dương lên tới 40% và luôn cao hơn chỉ số chung của thế giới (20,8%). Năm 2015 Việt Nam đứng thứ 5 trong khu vực, trước đó là Pakistan, Indonesia, Bangladesh, Nepal. Và nửa đầu năm 2016 thì Việt Nam đứng thứ 2 trong khu vực sau Mongolia, tiếp đó là Pakistan, Indonesia về tỉ lệ lây nhiễm mã độc; 1. Mongolia 6. Campuchia 11. Malaysia 16. Hàn Quốc 2. Việt Nam 7. Philippines 12. Đài Loan 17. Úc 3. Pakistan 8. Thái Lan 13. Trung Quốc 18. New Zealand 4. Indonesia 9. Ấn Độ 14. Singapore 19. Nhật Bản 5. Nepal & Bangladesh 10. Sri Lanka 15. Hồng Kông

Bảng 1: Thứ tự các nước trong khu vực đối mặt với rủi ro lây nhiễm mã độc ( nguồn https://news.microsoft.com)

Theo đánh giá, thống kê của Kaspersky: Việt Nam đứng thứ 2 thế giới về tỉ lệ phát tán thư rác (năm 2016); đứng thứ 8 trên thế giới tỉ lệ máy tính người dùng đối mặt với rủi ro lây nhiễm mã độc cao (đây là thống trên các nước có tỉ lệ sử dụng phần mềm của Kaspersky >10.000người dùng - số liệu tháng 2 năm 2017);

STT Quốc gia Tỉ lệ % người dùng bị tấn công 1 Afghanistan 52.08 2 Uzbekistan 51.15 3 Yemen 50.86 4 Tajikistan 50.66 5 Algeria 47.19 6 Ethiopia 47.12 7 Lào 46.39 8 Việt Nam 45.98 9 Turkmenistan 45.23 10 Mông Cổ 44.88

Bảng 2: Thống kê của Kaspersky về tỷ lệ người dùng đối mặt với rủi ro lây nhiễm mã độc

Trong thống kê về tỉ lệ phát tán thư rác, Việt Nam đứng thứ 3 trên thế giới (chiếm tỉ lệ 6,13%) trong năm 2015; đứng thứ 2 trên thế giới (chiếm 10, 32 %) trong

18

năm 2016, Quý 1 năm 2017 đứng thứ 2 (7,86%), Quý 2 năm 2017 lên vị trí thứ nhất (với 12,37 %). Điều này cho thấy các mạng botnet phát tán thư rác tại Việt Nam đang hoạt động rất mạnh.

Hình 3: Thống kê Kaspersky về nguồn phát tán thư rác trên thế giới

Trong năm 2015, theo số liệu thông kê của Bộ Thông tin và Truyền thông, các đơn vị chức năng đã ghi nhận hơn 1.451.997 lượt địa chỉ IP cả nước bị nhiễm mã độc và nằm trong các mạng Botnet (tăng 1,6 lần so với năm 2014). Năm 2015, Việt Nam nằm trong danh sách các nước có tỉ lệ lây nhiễm mã độc trên máy vi tính cao, ước tính khoảng 64,36%. Tỉ lệ lây nhiễm này của Việt Nam cao gấp gần 4 lần tỉ lệ lây nhiễm trung bình trên thế giới.

Theo báo cáo an toàn thông tin năm 2016 TT Tỉ lệ lây nhiễm phần mềm độc hại Năm 2016 Năm 2015 Năm 2014 1 Trên máy vi tính 63,19% 64,36% 66% 2 Trên thiết bị di động 21,61% 24% 23% 3 Qua mạng 36,77% 39% 49% 4 Qua các các thiết bị đa phương tiện 71,85% 77% 77%

Bảng 3: Tỉ lệ lây nhiễm phần mềm độc hại tại Việt Nam qua các năm 2014-2016

Năm 2016, Việt Nam vẫn nằm trong danh sách các quốc gia trên thế giới có tỉ lệ

lây nhiễm mã độc trên máy vi tính cao, ước tính khoảng 63,69%, giảm 0,67% so với

19

năm 2015. Tỉ lệ lây nhiễm này của Việt Nam cao gấp khoảng hơn 3 lần tỉ lệ lây nhiễm trung bình trên thế giới; Tỉ lệ lây nhiễm mã độc trên thiết bị di động của Việt Nam năm 2016 ước tính vào khoảng 21,61%, cũng là quốc gia nằm trong danh sách các quốc gia có tỉ lệ lây nhiễm mã độc trên thiết bị di động cao trên thế giới; Tỉ lệ lây nhiễm mã độc qua mạng là 36,77%; Đối với nguy cơ lây nhiễm mã độc qua các thiết bị đa phương tiện kết nối với máy tính như: camera, thẻ nhớ, USB, ổ cứng di động, …Việt Nam vẫn nằm trong danh sách các nước có nguy cơ cao với tỉ lệ khoảng 71,85%.

Trên đây là một số thống kê về tình hình lây nhiễm mã độc tài Việt Nam, trong khi các cơ quan đơn vị đang nỗ lực nghiên cứu và tìm một giải pháp phù hợp thì đối tượng tấn công vẫn tiếp tục lợi dụng mã độc, các mạng botnet và mã độc APT để thực hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng. Điển hình là cuộc tấn công APT vào Vietnam Airlines và các Cảng hàng không vào tháng 7/2016, hay các cuộc tấn công DDoS vào một số doanh nghiệp ISP lớn của Việt Nam thời gian vừa qua. Đây chỉ là một trong số ít cuộc tấn công mà chúng ta đã nhìn thấy một phần hậu quả của nó. Và điều này cho thấy Việt Nam còn phải bỏ ra nhiều nỗ lực hơn nữa trong việc phát hiện, giảm thiểu và bóc gỡ mã độc.

3.1. Một số mạng botnet đang hoạt động và cuộc tấn công mạng lớn tại Việt Nam

Một số mạng bonet đang hoạt động bao gồm: Mirai, Conficker, Sality, Ramnit, Dorkbot, Zeroaccess, Palevo, Cutwail, Avalanche , Kelihos, trong đó:

Mạng botnet Conficker Mạng botnet Conficker còn được biết đến là Downup, Downadup và Kido, được

biết đến lần đầu tiên vào 11/2008, đây là một sâu máy tính với mục tiêu là hệ điều hành Microsoft Windows, lây lan dựa trên một lỗ hổng/điểm yếu của hệ điều hành Windows và sử dụng phương pháp tấn công từ điển vào tài khoản quản trị và chúng còn sử dụng nhiều công nghệ mã độc cao cấp để chống lại việc nhận diện. Conficker ảnh hưởng đến hàng triệu máy tính bao gồm các chính phủ, doanh nghiệp và các máy tính gia đình ở trên 200 nước, đây là mạng sâu máy tính lớn nhất thế giới tính từ sau sự cố Welchia năm 2003.

Việc ước lượng tổng số máy tính bị lây nhiễm gặp nhiều khó khăn do vi-rút thường xuyên thay đổi việc phát tán và liên tục cập nhập từ phiên bản này sang phiên bản khác. Tháng 1/2009 theo ước lượng có khoảng từ 9 triệu đến 15 triệu máy tính bị lây nhiễm. Microsoft báo cáo tổng số máy tính bị lây nhiễm được phát hiện bởi các

20

phần mềm chống mã độc duy trì sự ổn định vào khoảng 1,7 triệu từ giữa năm 2010 đến giữa năm 2011.

Các sự cố liên quan đến Conficker: Ngày 15/1/2009, Conficker đã gây ra sự cố tại căn cứ hải quân Pháp, khi đó

mạng máy tính đã bị cách ly làm cho các máy bay không cất cánh được bởi vì không thể tải về các kế hoạch bay.

Bộ Quốc phòng cũng báo cáo về các hệ thống quan trọng và máy tính cá nhân bị nhiễm loại sâu này, nhiều hệ thống của tàu chiến, tàu ngầm và bệnh viện của hải quân Hoàng gia đã bị lây nhiễm với ước tính khoảng 800 máy tính.

Tháng 2/2009, lực lượng không quân của Đức cũng báo cáo về khoảng 100 máy tính đã bị lây nhiễm.

Conficker là một dòng mã độc botnet có nhiều biến thể nhất và luôn cập nhật các phiên bản của mình để khai thác các điểm yếu mới nhất của hệ điều hành Windows, các công nghệ được áp dụng trên Conficker rất phức tạp nên cho đến hiện tại mạng botnet Conficker vẫn đang là một mối đe dọa hiện hữu trên mạng Internet cho dù 12/2/2009 Tập đoàn Microsoft đã khởi xướng chương trình hợp tác giữa nhiều quốc gia trong bóc gỡ Conficker với sự tham gia của rất nhiều tổ chức gồm Microsoft, Afilias, ICANN, Neustar, Verisign, Symantec, F-Secure, tổ chức Shadowserver, Arbor Networks..., cùng với sự hỗ trợ của các cơ quan điều tra. Mặc dù mạng botnet Conficker phát hiện từ năm 2008, lợi dụng lỗ hổng cũ MS 08-067 từ năm 2008, đã có bản vá. Tuy nhiên tại Việt Nam vẫn còn rất nhiều những máy tính chưa vá lỗ hổng này và đang tham gia vào hoạt động của mạng botnet này. Theo thống kê của Bộ Thông tin và Truyền thông trong 3 tháng đã phát hiện trên 4 triệu (4.300.138) lượt địa chỉ IP nằm trong mạng botnet Conficker và có thể vẫn đang tham gia vào các cuộc tấn công mạng.

Mạng botnet Sality

Mạng botnet Sality-P2P còn có tên gọi khác “W32.Sality” hay KuKu. Mã độc Win32.Sality là tập hợp của nhiều loại vi-rút, trojan cùng hoạt động. Loại mã độc này lần đầu tiên bị phát hiện tại thị trấn Salavat ở Nga ngày 4/06/2003. Vào thời điểm đó mã độc Sality được tìm thấy là một mã độc lây nhiễm vào hệ thống qua các đoạn mã chèn vào đầu tập tin host để giúp mở cửa hậu và trộm cắp thông tin bàn phím. Mạng lưới Botnet Sality-P2P được đánh giá ở mức độ nguy hiểm cao đối với an toàn của hệ thống: W32.Sality lây nhiễm các tập tin thực thi bằng cách sao chép chính nó qua mạng ngang

21

hàng . Máy tính bị nhiễm mã độc sẽ trở thành một điểm trong mạng ngang hàng để tiếp tục phát tán mã độc sang các máy tính khác. Mã độc này có khả năng vô hiệu hóa các phần mềm diệt vi-rút. Mạng botnet này chủ yếu để phát tán thư rác, tạo ra các proxy, ăn cắp thông tin cá nhân, lây nhiễm vào các máy chủ web để biến các máy chủ này thành máy chủ điều khiển của mạng botnet để tiếp tục mở rộng mạng botnet.

Mặc dù các hãng bảo mật đã có công cụ để loại bỏ mã độc Sality, nhưng tại Việt Nam, hiện tại vẫn còn nhiều máy tính đang nằm trong mạng botnet này. Theo thống kê của Bộ Thông tin và Truyền thông trong 3 tháng đã phát hiện 915.277 lượt địa chỉ IP Việt Nam đang nằm trong mạng botnet Sality và có thể vẫn đang tham gia vào các cuộc tấn công mạng.

Mạng botnet Ramnit Mạng botnet Ramnit là mạng botnet có mục tiêu tấn công vào ngân hàng và các

tổ chức tài chính, phát hiện lần đầu vào năm 2010. Mã độc của mạng botnet này là một sâu máy tính tấn công vào người dùng hệ điều hành Windows. Theo ước tính vào tháng 9-12 năm 2011 lây nhiễm vào ít nhất 800.000 máy tính Windows nhưng đến năm 2015 thì lên đến trên 3 triệu máy tính. Mạng botnet này đã được liên minh cảnh sát Châu Âu (Europol) và Symantec nỗ lực ngăn chặn và bóc gỡ vào năm 2015 nhưng lại hoạt động trở lại ngay sau đó. Tháng 12 năm 2015 IBM đã phát hiện ra biến thể mới của Ramnit nhằm vào các ngân hàng ở Canada, Úc, Mỹ và Phần Lan. Năm 2016 tiếp tục nhằm vào ngân hàng ở Anh, Mỹ và năm 2017 mạng botnet này vẫn tiếp tục hoạt động. Theo thống kê của Bộ Thông tin và Truyền thông đã phát hiện trên 200 nghìn (226.506) lượt địa chỉ IP nằm trong mạng botnet Ramnit.

Mạng botnet Mirai Mạng botnet Mirai được phát hiện từ tháng 8/2016 chuyên thực hiện các cuộc

tấn công từ chối dịch vụ. Mã độc của mạng botnet này được thiết kế nhằm vào các thiết bị IoT chứa lỗ hổng hoặc bảo mật kém hoặc sử dụng mật khẩu/tài khoản quản trị mặc định. Có thể nói đây là mạng mã độc lớn trên thế giới hình thành từ các thiết bị IoT, trong đó có rất nhiều các thiết bị của Việt Nam cũng đã bị lây nhiễm. Qua công tác quản lý, theo dõi Bộ Thông tin và Truyền thông trong 3 tháng đã phát hiện 386.276 lượt IP các thiết bị IoT đang nằm trong mạng botnet Mirai và sẵn sàng tham gia vào các cuộc tấn công được phát động.

3.2. Cuộc tấn công APT vào hệ thống thông tin VietnamAirline Tại Việt Nam mỗi năm có hàng nghìn trang/cổng thông tin điện tử bị tấn công,

22

chiếm quyền điều khiển hoặc gây đình trệ, rối loạn hoạt động; phần nhiều trong số đó bị cài cắm mã độc từ rất lâu. Điển hình là cuộc tấn công mạng vào hệ thống thông tin của hãng hàng không VietnamAirline vào tháng 7 năm 2016. Thực chất đây là cuộc tấn công có chủ đích và có sự chuẩn bị kỹ lưỡng trong một thời gian dài. Đối tượng tấn công đã sử dụng mã độc có khả năng qua mặt được các phần mềm diệt vi-rút, cách thức thực hiện tấn công đa dạng như kiểm soát một số máy chủ quan trọng (máy chủ web, máy chủ cơ sở dữ liệu, máy chủ hiển thị màn hình thông báo tại nhà ga sân bay) tại một thời điểm nhiều máy tính của hãng đều bị tấn công tại các khu vực khác nhau (Hà Nội, Thành Phố Hồ Chí Minh). Kết quả là trang web của VietNamAirline bị chiếm quyền điều khiển, thay đổi giao diện và dữ liệu quan trọng của khách hàng bị lộ. Thiệt hại của vụ tấn công này không quá lớn, nhưng cho thấy hệ thống thông tin quan trọng này đã bị đối tượng tấn công tấn công và nằm vùng từ rất lâu.

Trên đây là một trong số ít mạng botnet đang hoạt động và một số cuộc tấn công mạng lớn tại Việt Nam mà Cục An toàn thông tin-Bộ Thông tin và Truyền thông đang theo dõi. Ngoài ra còn nhiều mạng botnet khác vẫn đang hoạt động như Dorkbot, Zeroaccess, Palevo, Cutwail, Avalanche, Kelihos, Zeus, Nitol... cùng với số lượng các máy tính, thiết bị nằm trong các mạng này cũng không nhỏ. Đáng chú ý, những thống kê trên của Bộ thông tin và Truyền thông, có thể chỉ phản ánh một phần thực trạng lây nhiễm mã độc trong không gian mạng Việt Nam, ngoài ra còn nhiều mạng botnet đang âm thầm hoạt động mà chưa được phát hiện. Nếu chúng ta không hành động sớm, không có một giải pháp hữu hiệu nào thì những mạng botnet này có thể sẽ gây ảnh hưởng lớn đến nền kinh tế, chính trị và đời sống xã hội của đất nước.

4. Thực trạng hệ thống kỹ thuật và nền tảng hiện có

4.1. Bộ Thông tin và Truyền thông a) Cục An toàn thông tin Cục An toàn thông tin có Dự án Xử lý tấn công mạng Internet Việt Nam, trong

đó có cấu phần là theo dõi, phân tích, xử lý các mạng Botnet để xử lý tấn công DDoS hoặc theo dõi, phân tích APT để xử lý các cuộc tấn công mạng. Bên cạnh đó Cục An toàn thông tin cũng đã phối hợp với CMC và BKAV phát triển được công cụ, hệ thống kỹ thuật để phục vụ theo dõi mã độc.

23

Hình 4: Hệ thống theo dõi, phát hiện mạng botnet từ xa

Hệ thống theo dõi cập nhật về tình hình mã độc hại đang được xây dựng và triển khai để hỗ trợ đắc lực trong việc nắm bắt cụ thể và đầy đủ nhất về tình hình lây nhiễm mã độc trong Việt Nam. Từ đó có thông tin để xây dựng kế hoạch và phương án xử lý bóc gỡ các mã độc trên diện rộng. Với hệ thống này cho phép nắm bắt được chi tiết các dòng mã độc, các mạng botnet đang hoạt động trên không gian mạng Việt Nam; nắm bắt được xu thế lây lan, phát triển của các họ mã độc, từ đó đề ra các phương án ứng phó kịp thời cho từng thời điểm.

Ngoài ra Cục An toàn thông tin đã và đang triển khai Đề án Tuyên truyền, phổ biến, nâng cao nhận thức và trách nhiệm về ATTT. Việc tuyên truyền bóc gỡ mã độc có thể được lồng ghép thực hiện.

Cục ATTT đang dự thảo Đề án Hỗ trợ phát triển một số sản phẩm, dịch vụ an toàn thông tin trong nước, trong đó, các sản phẩm, dịch vụ liên quan đến mã độc vốn là điểm sáng của một số doanh nghiệp trong nước thời gian qua. Việc kết hợp triển khai đồng bộ các đề án sẽ mang lại hiệu quả tích cực.

Bên cạnh đó, Cục ATTT theo dõi, tổng hợp, đánh giá chỉ số lây nhiễm phần mềm độc hại ở các bộ, ngành, địa phương, coi đây là một trong những tiêu chí đánh giá mức độ bảo đảm an toàn thông tin của các bộ, ngành, địa phương để các cơ quan, tổ chức có trách nhiệm tham gia triển khai tích cực.

b) Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam có hệ thống Giám sát An toàn

thông tin mạng quốc gia có khả năng nhận biết sớm nguy cơ bị do thám, có hoạt động

24

lạ, mã độc; các quy trình, cơ chế tấn công mới (như APT); khởi đầu các cuộc tấn công và cường độ tấn công; cảnh báo sớm các hoạt động tấn công ngầm, nguy cơ và dấu hiệu tấn công; giám sát các đối tượng luồng tin (lưu lượng, nguồn, đích), dịch vụ (cổng dịch vụ, giao thức), hệ thống (CSDL, email, website, …).

Hệ thống Giám sát An toàn mạng quốc gia hoạt động chủ động, xử lý tự động số liệu lớn dữ liệu; cấu trúc mở, tích hợp theo chuẩn thông dụng; thu thập thông tin phân tán, quản lý đa cấp, xử lý tập trung; phối hợp thông tin quốc tế. Khả năng hiện tại của hệ thống giám sát: Phát hiện nguy cơ APT, xâm nhập của Hacker; Giám sát dịch vụ của hệ thống; Phát hiện hoạt động của mã độc, botnet; Phát hiện tấn công từ chối dịch vụ DoS/DdoS; Phát hiện các kỹ thuật sử dụng của đối tượng tấn công; Phát hiện các địa chỉ tấn công/bị tấn công.

Hệ thống giám sát an toàn mạng quốc gia đã triển khai tại một số bộ ngành, tỉnh thành và tổ chức.

4.2. Các bộ, ngành, địa phương Các bộ, ngành, địa phương đều đã được đầu tư các hệ thống thông tin và thiết bị,

giải pháp bảo mật như: - Văn phòng Chính phủ: có hệ thống giám sát, hệ thống bảo vệ an toàn thông tin

mạng; - Bộ Công Thương có hệ thống giám sát an ninh, an toàn thông tin, cảnh báo tự

động (Argsight); Tập đoàn Điện lực – Bộ Công Thương có đề án “An toàn an ninh thông tin cho các hệ thống công nghệ thông tin”;

- Bộ Giao thông Vận tải: Tổng Công ty Hàng không Việt Nam có hệ thống giám sát an ninh thông tin (Cyber security); Đang xây dựng hệ thống giám sát an toà thông tin; xây dựng, triển khai đề án “Giải pháp tổng thể bảo đảm an toàn, an ninh thông tin cho các hệ thống thông tin của Bộ GTVT”

- Bảo hiểm xã hội Việt Nam: có thiết bị bảo mật, an ninh mạng từ cấp huyện, cấp tỉnh đến Trung ương; có hệ thống giám sát tập trung, hệ thống quản trị tập trung; hệ thống quản lý an ninh thông tin mạng và các hệ thống phòng chống tấn công.

4.3. Các doanh nghiệp ISP, doanh nghiệp làm về an toàn thông tin Doanh nghiệp ISP/Đơn vị vận hành hệ thống thông tin có sẵn hạ tầng kỹ thuật

cung cấp dịch vụ cho người dùng và một số đơn vị có hệ thống kỹ thuật liên quan đến mã độc như: Viettel có Cổng thông tin bảo vệ khách hàng Viettel trước các nguy cơ mất

25

an toàn thông tin (Security Gate)

Hình 5: Thống kê và bản đồ mã độc của Viettel (nguồn: https://bvkh.viettel.com.vn)

Doanh nghiệp cung cấp sản phẩm, dịch vụ, đặc biệt là các doanh nghiệp cung cấp phần mềm diệt vi-rút trong nước đã có sẵn những sản phẩm đối phó với mã độc như CMC, BKAV, Viettel có phần mềm diệt Vi-rút.

5. Kinh nghiệm quốc tế Nhận thức được các nguy cơ, các mối đe doạ từ phần mềm độc hại nói chung và

botnet, mã độc APT nói riêng, các nước trên thế giới đã sớm quan tâm triển khai giải pháp, dự án phòng chống và bóc gỡ mã độc, các mạng botnet để bảo vệ các lợi ích quốc gia của chính họ và các nước đồng minh trước những rủi ro an toàn thông tin mạng. Điển hình có thể kể đến là Nhật Bản với hệ thống Cyber Clean Center; Hàn Quốc với hệ thống giám sát an toàn mạng do KISA đang vận hành trên toàn bộ các cổng kết nối Internet. Chính phủ Singapore cũng vận hành hệ thống giám sát an toàn mạng cho cơ quan Chính phủ (dịch vụ do công ty E-Corp cung cấp). Chính phủ Malaysia đã đưa vào vận hành hệ thống giám sát các tấn công có tần suất lớn và lây lan mã độc từ cuối 2007; Các quốc gia Châu Âu cũng đều có những dự án, chiến lược tương tự gồm cả hệ thống kỹ thuật và quy tắc thỏa thuận với sự tham gia nòng cốt của các tổ chức.

26

5.1. Kinh nghiệm Nhật Bản Nhật Bản là quốc gia trong khu vực có môi trường an toàn mạng được cho là có

độ tin cậy cao nhất, trong đó tỉ lệ lây nhiễm mã độc tại Nhật Bản so với các nước trong khu vực cũng như trên thế giới tương đối thấp, thấp hơn mức trung bình của thế giới (theo đánh giá của Microsoft). Nhật Bản là một điểm sáng của khu vực trong hoạt động bảo đảm an toàn thông tin. Để có kết quả như vậy thì Nhật Bản đã phải nỗ lực không ít từ việc xây dựng chính sách đến các hệ thống kỹ thuật, trong đó có dự án xây dựng hệ thống “Trung tâm làm sạch môi trường mạng – Cyber Clean Center “. Hệ thống “Cyber Clean Center” còn gọi là CCC trong dự án này do Bộ Nội vụ và Truyền thông và Bộ Kinh tế, Thương mại và Công nghiệp của Nhật Bản hợp tác xây dựng từ năm 2006 và bắt đầu hoạt động từ tháng 3 năm 2011.

Hệ thống CCC xây dựng với mục tiêu bóc gỡ mã độc trên máy tính người dùng bị nhiễm theo cách phân tích các đặc tính của BOT (máy tính, thiết bị bị người dùng nhiễm mã độc) sau đó cung cấp thông tin và công cụ để loại bỏ mã độc khỏi máy tính người dùng, trên cơ sở hợp tác với các nhà cung cấp dịch vụ Internet (ISP) và các hãng

bảo mật（72 doanh nghiệp ISP, 07 hãng/tập đoàn bảo mật)

Hệ thống hoạt động như sau:

Hình 6: Hệ thống Cyber Clean Center của Nhật Bản

27

(1): Máy tính của người dùng bị nhiễm mã độc truy cập Internet. (2): Phát hiện và lấy mẫu bot thông qua các ISP: yêu cầu các ISP xác định với

máy tính của người dùng bị nhiễm mã độc. (3): Phân tích các mẫu để chuẩn bị công cụ loại bỏ mã độc. (4): Gửi yêu cầu định danh các máy tính bị nhiễm mã độc tới ISP. (5): ISP định danh các máy bị nhiễm mã độc. (6): ISP gửi cảnh báo máy bị nhiễm bot và công cụ để loại bỏ tới người dùng. (7): Người dùng nhận được cảnh báo chủ động truy cập vào trang web cung cấp

công cụ loại bỏ mã độc khỏi máy tính. (8): Người dùng tải công cụ bóc gỡ mã độc do hệ thống CCC cung cấp và thực

hiện loại bỏ mã độc. Cấu trúc của hệ thống:

Hình 7: Cấu trúc tổ chức hệ thống Cyber Clean Center

Hệ thống bao gồm ban chỉ đạo và ba nhóm làm việc dưới ban chỉ đạo tuỳ thuộc vào từng trường hợp.

- Ban chỉ đạo thực hiện xem xét các chính sách và hoạt động của CCC; do Bộ Nội vụ và Truyền thông (MIC) và Bộ Kinh tế, Thương mại và Công nghiệp (METI) đảm nhiệm

- Nhóm vận hành hệ thống đối phó với BOT: đóng vai trò vận hành hệ thống thu

28

thập thông tin, cảnh báo đến người dùng máy tính bị nhiễm mã độc và cung cấp thông tin, công cụ đối phó với mã độc thông qua các nhà cung cấp dịch vụ (ISP). Ngoài ra nhóm này cũng tham gia vào điều tra, phân tích mã độc. Nhóm này do Trung tâm Chia sẻ và Phân tích dữ liệu Viễn thông Nhật Bản (Telecom-ISAC Japan) đảm nhiệm cùng với ISP.

- Nhóm phân tích mã độc: thực hiện nghiên cứu và phân tích đặc tính mã độc thu thập được và tham gia vào kế hoạch để phát triển công cụ, giải pháp đối phó với phần mềm thông hại dựa trên kết quả phân tích, hợp tác với các hãng bảo mật . Nhóm này do JPCERT (Trung tâm điều phối ứng cứu sự cố máy tính Nhật Bản) đảm nhiệm cùng với sự tham gia của các công ty, hãng phát triển công cụ bóc gỡ mã độc (như Trend Micro Incorporated).

- Nhóm thúc đẩy ngăn chặn lây nhiễm mã độc: thực hiện các biện pháp thúc đẩy việc phòng chống và lây nhiễm, hoặc tái nhiễm mã độc thông qua hợp tác với hãng bảo mật. Nhóm cung cấp mẫu mã độc đã thu thập được cho các hãng bảo mật (thường là các công ty cung cấp phần mềm, dịch vụ chống vi-rút tại Nhật) để cập nhật các mẫu vào biện pháp đối phó trong giải pháp, hệ thống của họ. Nhóm này do IPA Nhật Bản (Cơ quan xúc tiến CNTT - Infomation Technology Promotion Agency) đảm nhiệm, cùng với sự tham gia của các hãng bảo mật.

5.2. Kinh nghiệm của Hàn Quốc Dự án chống mã độc, Botnet của Hàn Quốc được bắt đầu xây dựng khi các cuộc

tấn công DDoS xảy ra rất nhiều bắt nguồn từ các máy tính cá nhân của Hàn Quốc. Vì vậy, Cơ quan an toàn Internet Hàn Quốc (KISA- Korean Internet Security Agency) đã bắt đầu một chiến dịch chống mã độc rộng rãi. Dưới đây là mô hình chống botnet của Hàn Quốc.

29

Hình 8: Mô hình bóc gỡ Botnet/mã độc của Hàn Quốc (1)

Trong mô hình trên khi một máy tính người dùng bị lây nhiễm mã độc nó sẽ thực hiện:

Khi chưa áp dụng kỹ thuật DNS Sinkhole (1) Máy tính người dùng bị nhiễm mã độc tìm kiếm máy chủ điều khiển để nhận

lệnh tấn công hoặc cập nhật biến thể mã độc mới thông qua truy vấn DNS; (2) Máy chủ DNS của ISP trả về địa chỉ IP của máy chủ điều khiển phù hợp ; (3) Máy tính bị nhiễm kết nối tới máy chủ điều khiển Sau khi áp dụng kỹ thuật DNS Sinkhole: (1) Máy tính người dùng bị nhiễm mã độc tìm kiếm máy chủ điều khiển để nhận

lệnh tấn công hoặc cập nhật biến thể mã độc mới thông qua truy vấn DNS; (2) Máy chủ DNS của ISP của máy chủ Sinkhole (3) Máy tính bị nhiễm thay vì kết nối tới máy chủ điều khiển sẽ kết nối tới máy

chủ Sinkhole và nhận được cảnh báo về việc máy tính đang bị nhiễm mã độc. Và có thể được hướng dẫn và cung cấp công cụ để loại bỏ mã độc ra khỏi máy tính người dùng thông qua trang web (https://www.boho.or.kr)

Mô hình loại bỏ mã độc của Hàn Quốc gồm: - Thành phần phát hiện: các máy tính bị nhiễm botnet được phát hiện theo nhiều

cách khác nhau (giám sát máy chủ DNS, dữ liệu thu thập từ các kết quả phân tích phần mềm độc hại và từ báo cáo của hệ thống phát hiện xâm nhập, hệ thống bẫy - Honeypot ...).

- Thành phần bóc gỡ: Cơ quan chức năng của KISA thực hiện giám sát botnet

30

trên diện rộng và bóc gỡ bằng cách sử dụng kỹ thuật DNS Sinkhole

Hình 9: Mô hình bóc gỡ Botnet/mã độc của Hàn Quốc (2)

Dự án chống mã độc của Hàn Quốc do KISA triển khai đã có ít nhất 10 ISP/IDC lớn tham gia cùng KrCERT trong đó:

KISA: thực hiện thu thập thông tin dữ liệu về máy chủ điều khiển (IP, tên miền) các mạng botnet thông qua nhật ký DNS của các hệ thống bẫy (Honeynet), hệ thống thu thập mã độc của KISA, danh sách các tên miền độc hại qua chia sẻ thông tin với các tổ chức khác hoặc từ kết quả xử lý sự cố của KrCERT/CC; tạo các bản ghi DNS cho các tên miền độc hại. KISA có thể theo dõi và phản ứng với các mạng botnet ở Hàn Quốc từ hệ thống điều khiển trung tâm

KrCERT/CC: thu thập và cập nhật danh sách các bản ghi DNS; cập nhập danh sách này tới hệ thống chia sẻ bản ghi DNS với các ISP.

ISP: cập nhật danh sách bản ghi DNS và cập nhật lại cấu hình cho hệ thống máy chủ tên miền.

Dự án chống mã độc của Hàn Quốc đã giúp Hàn Quốc từ một nước thường xuyên được nhắc đến trong các báo cáo an toàn thông tin của các hãng (Synmantec, Kaspersky) về tỷ lệ lây nhiễm mã độc, như một điểm nóng về an toàn thông tin vào những năm 2005, 2006, nhưng năm gần đây thì tỉ lệ này đã giảm đáng kể và không còn bị nhắc đến. ( Cụ thể trong báo cáo của Synmantec: năm 2015 Hàn Quốc đứng thứ 5 trong TOP 10 nước bị nhiễm mã độc, đến những năm 2009-2016 không còn nằm trong

31

nhóm 10 nước có tỉ lệ lây nhiễm mã độc cao).

5.3. Kinh nghiệm một số nước Châu Âu Các quốc gia Châu Âu cũng đều có những dự án, chiến lược tương tự (gồm cả hệ

thống kỹ thuật và quy tắc thỏa thuận với sự tham gia nòng cốt của các tổ chức: Cơ quan quản lý nhà nước về an toàn thông tin, các doanh nghiệp ISP, doanh nghiệp chuyên về phần mềm diệt vi-rút. Sau khi triển khai các dự án, chiến lược phòng chống mã độc thì tình hình an toàn thông tin nói chung, tỉ lệ lây nhiễm mã độc nói riêng tại mỗi nước đều được cải thiện đáng kể.

a) Kinh nghiệm của Đức Đức là một trong những quốc gia đi đầu trong hoạt động chống mã độc, botnet.

Tại Đức có dự án chống botnet do Hiệp hội Công nghiệp internet Đức (Association of the German Internet Industry) phối hợp với Văn phòng liên bang về An toàn thông tin Đức (German Federal Office for Information Security) nhằm đưa Đức ra khỏi danh sách 10 nước đứng đầu nguồn gốc của các mạng botnet. Dự án này nhằm bảo đảm cho máy tính cá nhân của người dùng khi bị nhiễm mã độc và tham gia vào mạng botnet sẽ được cảnh báo và hỗ trợ loại bỏ mã độc thông qua nhà cung cấp dịch vụ Intetnet của họ.

Dự án của Đức tập trung vào 3 nhiệm vụ chính gồm: 1. Xác định khách hàng với máy tính bị nhiễm mã độc: máy tính bị nhiễm mã

độc được xác định trực tiếp thông qua các hệ thống bẫy spam và honeypot. 2. Cảnh báo cho khách hàng: người dùng nhận được cảnh báo từ ISP của họ. 3. Hỗ trợ người dùng loại bỏ mã độc thông qua trung tâm hỗ trợ tập trung:

website cung cấp công cụ loại bỏ mã độc. b) Kinh nghiệm Hà Lan Tháng 7/2009, 14 doanh nghiệp ISP tại Hà Lan đã thoả thuận hợp tác trong cuộc

chiến chống botnet. Trong đó Cục Quản lý Viễn thông Hà Lan (Dutch Telecom Regulatory Authority) là cơ quan khởi tạo hoạt động này. NICC (National Infrastructure against Cybercrime) là chương trình hành động bắt đầu từ năm 2006, tập trung vào việc nâng cao khả năng phục hồi cho hệ thống thông tin quan trọng trước các hiểm hoạ an toàn thông tin mạng. Mặc dù NICC không trực tiếp chống lại mã độc nhưng nó là một hệ thống hỗ trợ hiệu quả cho các bên liên quan tham gia vào hoạt động chống mã độc. Dự án này là một hệ thống kết nối giữa các bên, tạo ra nguồn lực và khuyến khích trao đổi thông tin, trọng tâm là vấn đề chia sẻ thông tin sự cố an toàn thông tin. Việc truyền

32

thông giữa các bên được thực hiện thông qua môi trường tin cậy, bảo đảm an toàn.

33

CHƯƠNG 3. CÁC NỘI DUNG CHÍNH CỦA ĐỀ ÁN

1. Tư tưởng chủ đạo Để ứng phó với tình hình lây nhiễm mã độc đang ở mức báo động, các cơ quan, tổ

chức tại Việt nam đã và đang thực hiện các giải pháp khác nhau trong việc xử lý mã độc. Bất chấp điều đó, thực trạng nói trên không được cải thiện nhiều.

Vấn nạn này là bài toán rất phức tạp, khó giải quyết ngay được. Trong khi đó, botnet và APT thời gian vừa qua đã được một số đối tượng lợi dụng để thực hiện các cuộc tấn công mạng, gây thiệt hại nghiêm trọng. Chính vì vậy, bên cạnh nỗ lực đơn lẻ hiện tại của mỗi cơ quan, tổ chức, cần có nỗ lực mang tính tổng thể, huy động sự tham gia của nhiều tổ chức, cá nhân trong xã hội để thực hiện các chiến dịch bóc gỡ mã độc, mà ưu tiên là bóc gỡ các mạng Botnet và APT nguy hiểm.

Trách nhiệm bóc gỡ mã độc là trách nhiệm của mỗi cơ quan, tổ chức. Vì vậy cần đưa ra giải pháp nhằm phát động, tổ chức các chiến dịch xử lý, bóc gỡ Botnet và APT theo hướng xã hội hóa, với nòng cốt là sự tham gia của các ISPs và các doanh nghiệp cung cấp sản phẩm phần mềm diệt vi-rút Việt Nam và nước ngoài.

Đây giải pháp bổ sung chứ không phải thay thế cho các giải pháp mà các cơ quan, tổ chức đã và đang triển khai. Hình thức xã hội hóa sẽ không làm tăng thêm gánh nặng chi phí cho ngân sách nhà nước.

Tuy vậy, để giải pháp khả thi trong thực tế, thì điểm mấu chốt nhất là các bên liên quan, bên cạnh trách nhiệm, đều phải có quyền lợi khi tham gia thực hiện giải pháp.

2. Phương pháp tiếp cận

Qua nghiên cứu kinh nghiệm quốc tế (Hàn Quốc, Nhật Bản, Châu Âu), có thể thấy có 03 cách tiếp cận chính trong việc xử lý mã độc.

Hình 10: Các cách tiếp cận trong xử lý mã độc

34

(1)

Bắt đối tượng điều khiển

(2)

Vô hiệu hóa máy chủ C&C

(3)

Xử lý thiết bị lây nhiễm

Ưu điểm:

Xử lý từ gốc (con người)

Ưu điểm:

Xử lý nhanh, mang lại hiệu quả trong thời gian ngắn

Ưu điểm:

Có thể xã hội hóa

Nhược điểm:

Khó phát hiện đối tượng

Không thể xã hội hóa

Nhược điểm:

Đối tượng điều khiểu có thể thay đổi máy chủ C&C

Khó xã hội hóa

Nhược điểm:

Tốn thời gian và công sức do phải xử lý từng thiết bị

Có thể bị “tái nhiễm”

Phù hợp với:

Lực lượng công an

Phù hợp với:

Xử lý trong tình huống ứng cứu khẩn cấp, cần vô hiệu hóa mạng Botnet hay APT càng nhanh càng tốt trong thời gian ngắn nhất có thể.

Phù hợp với:

Triển khai các biện pháp mang tính dài hạn, bền vững để làm sạch môi trường mạng Việt Nam, đưa Việt Nam ra khỏi danh sách top của thế giới.

Căn cứ trên các văn bản chỉ đạo của Đảng, Chính phủ, cần đưa ra một giải pháp với mục tiêu góp phần làm giảm tỷ lệ lây nhiễm mã độc ở Việt Nam từ nay đến năm 2020. Đây là một chương trình triển khai hướng tới hiệu quả bền vững trong một giai đoạn trung hạn, chứ không phải là thực hiện các biện pháp khẩn cấp.

Chính vì vậy, phương pháp tiếp cận thứ 3 được lựa chọn là phương pháp tiếp cận chủ đạo. Tuy nhiên, phương pháp tiếp cận thứ 1 và thứ 2 cũng vẫn được triển khai một cách phù hợp để bảo đảm hiệu quả tổng thể.

3. Mô hình giải pháp Việc tổ chức thực hiện cần kết hợp được đồng bộ hoạt động của nhiều cơ quan,

tổ chức khác nhau, lồng ghép triển khai cùng các đề án, dự án đã được phê duyệt trong lĩnh vực an toàn thông tin để lan tỏa hiệu quả.

Chu trình xử lý, gỡ bỏ được thực hiện như sau:

35

Hình 11: Chu trình xử lý, gõ bỏ mã độc

Dự kiến mô hình tổ chức thực hiện như sau:

XácđịnhcácmạngBotnet&APTlớnvàcácthiếtbịlâynhiễm

ThựchiệnphânAch,phátđộng

chiếndịchxửlý

Phòng,chốngviệcbịtáilâynhiễmtrởlại

Hệ thống xử lý tấn công DDoS Hệ thống giám sát

Cục ATTT VNCERT

ISPs

Đ/v chuyên trách

ATTTT

Cục ATTT VNCERT

ISPs

Doanh nghiệp ATTTT

Hiệp hội

ATTT

Hệ thống kỹ thuật

Hệ thống kỹ thuật

Chuyên gia

Chuyên gia

Chuyên gia

Chuyên gia

Cục ATTT VNCERT

Doanh nghiệp ATTTT

Hiệp hội

ATTT

Tuyên truyền

Tuyên truyền

36

ĐIỀU PHỐI CHUNG

CHIẾN DỊCH BÓC GỠ

Nhóm đơn vị vận hành hệ thống: Nòng cốt của nhóm này trước tiên là các ISP. Nhóm này được mở rộng dần dần bao gồm cả các đơn vị chuyên trách về ATTT của các cơ quan, tổ chức. Các đơn vị chức năng của Bộ TT&TT (Cục ATTT, VNCERT) phối hợp cùng các đơn vị vận hành hệ thống trong việc thu thập thông tin, dữ liệu để phát hiện ra các mẫu mã độc đang lây nhiễm qua mạng và các thiết bị trong mạng bị lây nhiễm.

Nhóm chuyên gia phân tích: Nòng cốt của nhóm này là các chuyên gia về an toàn thông tin của Cục ATTT, VNCERT, chuyên gia của Hiệp hội ATTT và các doanh nghiệp chuyên về phần mềm diệt vi-rút của Việt Nam (CMC, BKAV, Viettel, VNPT, FPT). Nhóm này phân tích mẫu mã độc thu được, tổ chức thảo luận để lên kế hoạch thực hiện chiến dịch bóc gỡ.

Nhóm đơn vị thúc đẩy xử lý: Nòng cốt của nhóm này là các đơn vị chức năng liên quan thuộc Bộ TT&TT. Nhóm này có trách nhiệm thông báo cho các hãng phần mềm diệt vi-rút (BKAV, CMC, Microsoft, Kaspesky, Norton, F-Secure v.v…) liên tục

BộTT&TT

VNCERT

Hệthốnggiámsát

CụcATTT

Hệthốngtheodõibotnet

(DDoS)vàAPT

CụcBCCụcPTTH

Chỉđạotruyềnthông

Nhóm Đơn vị vận hành hệ thống

Nhóm Chuyên gia phân tích

Nhóm Đơn vị thúc đẩy xử lý

Nòng cốt là các ISP, phát hiện các mẫu phần mềm độc hại đang lây nhiễm

và thiết bị lây nhiễm

Chuyên gia từ Hiệp hội và các doanh nghiệp để phân

tích, lên kế hoạch thực hiện chiến dịch bóc gỡ

Tuyên truyền, thông báo cho các doanh nghiệp

cung cấp giải pháp phần mềm diệt vi-rút cập nhật

37

cập nhật, phổ biến các mẫu vi-rút mới phát hiện một cách đồng bộ. Đồng thời, thực hiện tuyên truyền phổ biến theo các phương thức khác nhau (qua phương tiện truyền thông đại chúng, truyền thông xã hội v.v…) để các tổ chức, cá nhân biết và cùng tham gia triển khai thực hiện.

Giải pháp có thể tận dụng được thế mạnh của các bên tham gia và đem lại lợi ích thiết thực cho các bên

4. Tổ chức thực hiện và trách nhiệm các bên

4.1. Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ, Ủy ban nhân dân các tỉnh, thành phố trực thuộc Trung ương:

a) Khẩn trương phân loại, xác định cấp độ an toàn hệ thống thông tin và xây dựng phương án bảo đảm an toàn hệ thống thông tin theo cấp độ phù hợp với quy định của pháp luật và tiêu chuẩn, quy chuẩn kỹ thuật. Thời hạn hoàn thành xác định hệ thống thông tin cấp độ 4, cấp độ 5: Tháng 9/2018.

b) Bảo đảm có giải pháp phòng, chống mã độc bảo vệ cho 100% máy chủ, máy trạm, thiết bị đầu cuối và có cơ chế tự động cập nhật phiên bản hoặc dấu hiệu nhận dạng mã độc mới. Thời hạn hoàn thành: Tháng 6/2018.

Giải pháp phòng, chống mã độc được đầu tư mới cần có chức năng cho phép quản trị tập trung; có dịch vụ hỗ trợ kỹ thuật 24/7, có khả năng phản ứng kịp thời trong việc phát hiện, phân tích và gỡ bỏ mã độc; có thể chia sẻ thông tin, dữ liệu với cơ quan chức năng có thẩm quyền một cách tự động, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật và hướng dẫn nghiệp vụ của Bộ Thông tin và Truyền thông.

c) Chỉ đạo đơn vị chuyên trách về công nghệ thông tin, đơn vị tham mưu về kế hoạch - tài chính thực hiện nghiêm công tác thẩm định dự án, dự toán có cấu phần mua sắm giải pháp phòng, chống mã độc, bảo đảm tuân thủ đúng quy định của pháp luật.

d) Chỉ đạo các cơ quan, đơn vị trực thuộc khi mua sắm các thiết bị điện tử có kết nối Internet (như camera giám sát, router, modem DSL v.v…) cần thực hiện rà soát, kiểm tra, đánh giá về an toàn thông tin; trước khi đưa vào sử dụng cần thiết lập cấu hình an toàn thông tin phù hợp với quy định, tuyệt đối không sử dụng cấu hình mặc định.

đ) Định kỳ hàng năm thực hiện kiểm tra, đánh giá tổng thể về an toàn thông tin; tổ chức theo dõi, thống kê chỉ số lây nhiễm mã độc trong phạm vi bộ, ngành, địa phương mình, định kỳ hàng quý báo cáo về Bộ Thông tin và Truyền thông trước ngày 20 của tháng cuối cùng trong quý để tổng hợp báo cáo Thủ tướng Chính phủ.

38

e) Thường xuyên tổ chức tuyên truyền, phổ biến nâng cao nhận thức về các mối nguy hại của mã độc và trách nhiệm của các đơn vị, tổ chức, cá nhân trong công tác phòng, chống mã độc trong phạm vi bộ, ngành, địa phương mình.

4.2. Bộ Thông tin và Truyền thông có trách nhiệm: a) Phê duyệt và tổ chức triển khai thực hiện Đề án Nâng cao năng lực phòng,

chống mã độc, cải thiện mức độ tin cậy quốc gia trong hoạt động giao dịch điện tử. Thời hạn hoàn thành: Tháng 2/2018.

b) Tận dụng cơ sở hạ tầng, trang thiết bị hiện có để thiết lập hệ thống kỹ thuật chủ động theo dõi, rà quét phát hiện mã độc trên không gian mạng Việt Nam; kịp thời cảnh báo, yêu cầu xử lý, bóc gỡ. Thời hạn hoàn thành: Tháng 3/2018.

c) Xây dựng, ban hành văn bản hướng dẫn kết nối, trao đổi, chia sẻ thông tin, dữ liệu về mã độc giữa hệ thống kỹ thuật của cơ quan chức năng liên quan với giải pháp phòng, chống mã độc ở các bộ, ngành, địa phương, tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật. Thời hạn hoàn thành: Tháng 3/2018.

d) Thành lập và duy trì hoạt động Nhóm chuyên gia để phối hợp phân tích, xác định, phát hiện ra các mã độc đặc biệt nguy hiểm, các mạng máy tính ma lớn; tư vấn giải pháp xử lý, bóc gỡ.

đ) Tổ chức phát động và chỉ đạo các chiến dịch bóc gỡ mã độc, mạng máy tính ma trên diện rộng với sự tham gia của các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (ISPs) và các tổ chức, doanh nghiệp hoạt động trong lĩnh vực công nghệ thông tin và an toàn thông tin.

e) Chỉ đạo tăng cường tuyên truyền, phổ biến, nâng cao nhận thức về tác hại và phương thức phòng, chống mã độc.

g) Hướng dẫn, điều phối, đôn đốc thực hiện Chỉ thị này. Theo dõi, tổng hợp, đánh giá chỉ số lây nhiễm mã độc ở các bộ, ngành, địa phương, coi đây là một trong những tiêu chí đánh giá mức độ bảo đảm an toàn thông tin của các bộ, ngành, địa phương. Định kỳ hàng quý tổng hợp tình hình báo cáo Thủ tướng Chính phủ.

4.3. Trung ương Đoàn Thanh niên Cộng sản Hồ Chí Minh Phát động đoàn viên thanh niên, đặc biệt là đoàn viên thanh niên các cơ sở đào

tạo đại học về công nghệ thông tin, an toàn thông tin tham gia tuyên truyền, phổ biến về tác hại, hướng dẫn cách thức phòng, chống, xử lý khi bị lây nhiễm mã độc.

39

4.4. Các Đài phát thanh, truyền hình và các cơ quan thông tấn báo chí Trung ương và địa phương

Tăng cường các bài viết, xây dựng các chương trình phát thanh và truyền hình, dành thời lượng thích hợp để tuyên truyền, phổ biến về tác hại và phương thức phòng, chống mã độc.

4.5. Hiệp hội An toàn thông tin Việt Nam (VNISA) có trách nhiệm: a) Định kỳ hàng năm thực hiện chương trình khảo sát, đánh giá chỉ số lây nhiễm

mã độc tại Việt Nam. Tổ chức khảo sát, đánh giá mức độ hài lòng của người sử dụng đối với các giải pháp phòng, chống mã độc; bình chọn, tôn vinh giải pháp phòng, chống mã độc tiêu biểu.

b) Tổ chức nghiên cứu, phân tích phương pháp thống kê về tình hình lây nhiễm mã độc trong báo cáo do các doanh nghiệp trong và ngoài nước công bố; thúc đẩy việc hợp tác, chia sẻ thông tin, dữ liệu về mã độc giữa các cơ quan, tổ chức và doanh nghiệp.

c) Phát động hội viên tham gia các chiến dịch bóc gỡ mã độc, mạng máy tính ma trên diện rộng. Chủ động kết hợp tuyên truyền, phổ biến, nâng cao nhận thức về tác hại và phương thức phòng, chống mã độc tại sự kiện Ngày An toàn thông tin Việt Nam và cuộc thi Sinh viên với An toàn thông tin hàng năm.

4.6. Các doanh nghiệp cung cấp dịch vụ viễn thông, Internet (các ISPs) a) Thiết lập hệ thống kỹ thuật cho phép theo dõi tình hình lây nhiễm mã độc trên

phạm vi mạng lưới của mình; có khả năng kết nối, chia sẻ thông tin, dữ liệu với hệ thống kỹ thuật của cơ quan chức năng. Thời hạn hoàn thành: Tháng 5/2018.

b) Xây dựng và công bố chính sách xử lý mã độc, trong đó, xác định rõ đầu mối, quy trình, trách nhiệm xử lý khi phát hiện ra mã độc thông thường, mã độc nguy hiểm hoặc khi có yêu cầu của cơ quan chức năng. Thời hạn hoàn thành: Tháng 3/2018.

c) Thường xuyên tổ chức tuyên truyền, phổ biến nâng cao nhận thức cho cán bộ và khách hàng của mình về các mối nguy hại của mã độc và phương thức phòng, chống.

4.7. Các doanh nghiệp cung cấp dịch vụ lưu trữ web (hosting), dịch vụ trung tâm dữ liệu (data center):

a) Xây dựng và công bố quy trình xử lý khi phát hiện ra mã độc thông thường, mã độc nguy hiểm hoặc khi có yêu cầu của cơ quan chức năng. Thời hạn hoàn thành: Tháng 3/2018.

b) Phối hợp với ISP và chủ quản hệ thống thông tin hoặc đơn vị vận hành hệ

40

thống thông tin để bóc gỡ mã độc ra khỏi hệ thống thông tin trong phạm vi quản lý của mình

c) Có trách nhiệm thực hiện bóc gỡ mã độc ra khỏi hệ thống thông tin trong phạm vi quản lý của mình nếu tổ chức, cá nhân thuê dịch vụ không đủ năng lực thực hiện.

4.8. Các doanh nghiệp sản xuất phần mềm phòng, chống mã độc có trách nhiệm:

a) Công bố quy trình phản ứng và cập nhật dấu hiệu nhận dạng cho các mẫu mã độc mới vào sản phẩm chống mã độc đang cung cấp trên thị trường Việt Nam.

b) Phối hợp với cơ quan chức năng trong việc xây dựng và cung cấp các công cụ, giải pháp để loại bỏ mã độc trên diện rộng.

c) Thiết lập các hệ thống kỹ thuật cho phép chia sẻ thông tin về tình hình lây nhiễm mã độc tuân thủ theo tiêu chuẩn, quy chuẩn kỹ thuật và hướng dẫn nghiệp vụ của Bộ Thông tin và Truyền thông với cơ quan chức năng có thẩm quyền.

41

CHƯƠNG 4. KIẾN NGHỊ, ĐỀ XUẤT

Các cơ quan, tổ chức tại Việt Nam đã và đang thực hiện các giải pháp khác nhau trong việc xử lý mã độc tuy nhiên thực trạng nói trên không được cải thiện nhiều. Vấn nạn này là bài toán rất phức tạp, khó giải quyết ngay được, các biện pháp xử lý cần thực hiện trong thời gian dài. Bên cạnh đó, với thực trạng lây nhiễm mã độc đang ở mức báo động như hiện nay, song song với việc chỉ đạo, đề ra và thực hiện các biện pháp xử lý trong thời gian dài hạn, cần thực hiện các biện pháp trước mắt để giảm thiểu các thiệt hại do mã độc gây ra.

Giải pháp đề án đưa ra về cơ bản, không làm phát sinh thêm dự án mới mà chủ yếu là tổ chức khai thác hiệu quả hạ tầng kỹ thuật đã được đầu tư của Cục ATTT, VNCERT, cũng như hạ tầng cung cấp dịch vụ sẵn có của ISPs; đồng thời, huy động sự tham gia của Hiệp hội ATTT và các doanh nghiệp hoạt động trong lĩnh vực CNTT và ATTTT.

Việc triển khai giải pháp cũng được thực hiện đồng bộ với các đề án mà Cục ATTT đang thực hiện như: Đề án Đào tạo và phát triển nguồn nhân lực an toàn, an ninh thông tin; Đề án Tuyên truyền phổ biến nâng cao nhận thức và trách nhiệm về an toàn thông tin; Đề án Hỗ trợ phát triển một số sản phẩm, dịch vụ an toàn thông tin trong nước.

Căn cứ trên các chỉ đạo của Thủ tướng Chính phủ tại Quyết định 898 và giải pháp thực hiện như đã nêu ở trên Bộ Thông tin và Truyền thông xin đề xuất với Thủ tướng Chính phủ:

1. Ban hành Chỉ thị của Thủ tướng Chính phủ về việc nâng cao năng lực phòng, chống phần mềm độc hại.

2. Giao Bộ Thông tin và Truyền thông phê duyệt và tổ chức triển khai Đề án nâng cao năng lực phòng, chống phần mềm độc hại, cải thiện mức độ tin cậy của quốc gia trong hoạt động giao dịch điện tử theo hướng xã hội hóa.

170913 quyendeanmadoc update1 - files.ais.gov.vn filetham gia vào các mạng máy tính ma...

Documents