Thy Trang
WikiLeaks: Kỹ Nghệ Điệp Báo Trong Không Gian Mạng
Vừa qua, ngày 07/3/2017, WikiLeaks loan báo là đã nắm giữ các tài liệu và vũ khí không gian mạng (cyberweapons) của CIA(1). Sự việc này đã tạo ra những tranh luận và càng ngày hacking càng là một việc làm cho mọi người lo ngại.
Tuy vậy, trừ những hệ thống mạng thuần túy sinh hoạt trong nội bộ (intranet) và hoàn toàn không có nối kết với hệ thống mạng bên ngoài (internet), còn không thì dù các biện pháp phòng thủ có cẩn mật đến mức nào đi nữa, hệ thống mạng nào gắn liền với internet cũng đều có thể bị hackers xâm nhập.
Điều tra Tội phạm
Sẽ là một thử thách to lớn trong việc điều tra tội phạm liên quan đến các cuộc tấn công của hackers vì nhận diện kẻ gian là một việc rất khó khăn khi kẻ địch hoàn toàn gần như vô hình trong không gian mạng (cyberspace).
Tương tự như các tội phạm khác, cuộc điều tra hackers cũng phải dựa trên nhiều yếu tố:
- Xác định điểm đứng của kẻ gian: Đây cũng không đơn giản chỉ là việc tìm ra IP address của hackers. Vì các hacker thường sẽ ngụy trang vị trí của họ bằng cách ẩn núp đàng sau các tuyến xuất phát là các server trung gian (proxy servers), server trung gian ẩn danh (anonymous proxy - không cung cấp IP address của server) hoặc mạo danh (distorting proxy - cung cấp IP address sai) và các cuộc tấn công được tung ra từ các tuyến xuất phát này.
Bằng cách này, thì hackers ở bên Đông Âu có thể nối mạng với proxy servers đặt bên Somalia, Phi Châu, và rồi từ Somalia sẽ xuất phát cuộc tấn công sang Hoa Kỳ. Trong trường hợp này, để tìm ra được hackers chính gốc bên Đông Âu, thì các thám tử mạng của Hoa Kỳ phải vượt qua được các chốt chặn tại các "tuyến đầu" (là các proxy servers) nằm ở bên Somalia. Mà xứ sở này bên Phi Châu là một nơi được xem như là vô chính phủ và được cai trị bởi các sứ quân, các warlords hùng cứ tại mỗi địa phương, cho nên cũng không dễ mà liên lạc qua đó để tiến hành cuộc điều tra được.
- Thời gian xẩy ra cuộc tấn công: Ghi nhận được chi tiết này sẽ giúp ước chừng được hackers phóng ra cuộc tấn công ở tại khu vực địa dư nào. Thường thì hackers gạo cội vào được các hệ thống đươc phòng thủ kỹ lưỡng cũng chỉ tập trung tại một số khu vực. Đem đổi giờ bị tấn công sang các giờ địa phương của các khu vực hay có hackers tập trung là có được một phỏng đoán sơ khởi về khu vực sinh hoạt của kẻ gian.
Thông thường thì các hackers hay hoạt động vào ban đêm. Còn nếu như làm việc theo giờ giấc của “công nhân viên chức” thì các hackers này thường là thuộc vào mấy "lò" trong Quân đội Giải phóng Nhân dân của Tàu(2).
- Thời sự chính trị: Rất thường có những cuộc tấn công của hackers xẩy đến sau những vấn đề chính trị. Chẳng hạn như sau khi Hoa Kỳ đưa ra những chỉ trích Trung Hoa về nhân quyền hoặc sau khi Hoa Kỳ thực hiện những biện pháp cấm vận trừng phạt Nga, thì khi Hoa Kỳ bị hacked, nằm ngay đầu bảng danh sách các thành phần bị tình nghi sẽ là hackers của Trung Hoa và Nga.
- Mục tiêu bị tấn công: cũng được đem lên bàn cân để xét xem động lực nào, nhóm nào, hoặc quốc gia nào có lợi nhiều nhất trong những cuộc đột nhập. Chẳng hạn như hackers của Tàu thì thường không xâm nhập hãng Huawei (được xem như là một Cisco của Tàu) hay Alibaba (được xem như là một e-commerce Amazon của Tàu). Mà tấn công vào các trung tâm nghiên cứu về những tranh chấp tại Ukraine, thì nhiều phần trăm các hackers thủ phạm được điều động bởi Nga.
- Dấu vết ngay trên "chiến trường": Ghi nhận các chỗ bị xâm nhập trong hệ thống như các directories, hoặc phân tích tìm hiểu nội dung các files bị sửa đổi, hay các files mới được hackers cài vô trong các servers - là những nơi bị trực tiếp "trúng đòn" của hackers - cũng là một cách giúp xác định các "đòn" tấn công của hackers. Từ đó sẽ đoán được thêm về software mà hacker dùng, và quan sát đường đi nước bước của hackers sau khi xâm nhập vào hệ thống, cũng có thể đoán biết được hackers muốn lục tìm những thứ gì.
- Vũ khí tấn công: Tương tự như các bác sĩ pháp y chuyên giảo nghiệm vết thương để đoán ra loại vũ khí để truy tìm thủ phạm, thì với các vụ hacking này, nói một cách khá tổng quát, software và các mệnh lệnh (commands) dùng để hacking chính là vũ khí của hackers.
Khi được chế tạo ra, các software thường gồm luôn một số thành phần (components) có sẵn ngoài thị trường. Nhưng khi có nhu cầu cần tấn công một hệ thống mạng điện toán riêng biệt nào đó, phải cần đến những "vũ khí" đặc chế để chuyên trị hệ thống đó. Cho những nhu cầu đặc biệt như vậy, các nhóm hackers thường chế tạo các dụng cụ và vũ khí để dùng riêng cho họ. Truy lùng ra được dấu tích của những vũ khí đó là thêm được một dữ kiện cần thiết trong việc đoán ra tung tích của hackers.
Kết quả Điều tra Hackers
Nhưng những điều ghi trên cũng chỉ là ước đoán. Chứng minh được các ước đoán đó với bằng chứng xác thực là điều rất khó. Ngay cả cơ quan chuyên lo về an ninh điện tử của Hoa Kỳ là NSA (National Security Agency) mà còn gặp khó khăn trong việc xác định tông tích của hackers.
Khi ngân hàng JP Morgan Chase và các cơ quan tài chánh khác bị hackers tấn công trong mùa Hè năm 2014, đã không ai có thể trả lòi rõ ràng cho Tổng thống Obama khi ông muốn biết liệu đó có phải chỉ thuần túy là do ăn cắp hay đó lại là sự trả đũa của Nga trước việc Hoa Kỳ cấm vận vì Nga xâm lăng Ukraine? Câu trả lời của các giới có thẩm quyền về an ninh mạng chỉ là: "We don't know for sure."(3)
Theo nhận xét của nhiều giới trong lãnh vực an ninh trong không gian mạng (cybersecurity), thì các tay biệt kích không gian mạng của Anh, Do Thái, Hoa Kỳ, và Nga tất cả đều rất cẩn thận trong việc xóa bỏ dấu vết của họ(2). Chẳng những vậy, những tay hackers này còn cố tình muốn đánh lạc hướng các cuộc điều tra bằng cách để rơi lại sau lưng các dấu vết, các chứng tích để "giúp" các điều tra viên tin rằng kẻ xâm nhập là người của... nhóm khác, của quốc gia khác!
Còn những hackers của Trung Hoa? Trong cuộc phỏng vấn với đài truyền hình CBS phát hình vào ngày 5 tháng, 2014, khi được hỏi về hackers người Tàu, thì Giám đốc FBI, James Comey đã trả lời: Thực ra, không giỏi như thế. Tôi xem họ hơi giống một tay đạo chích say rượu. (I liken them a bit to a drunk burglar). Họ đá vào cửa trước, làm đổ bình hoa, trong khi đi ra ngoài với chiếc ti vi của bạn. Họ rất thung dung. Phong cách của họ dường như muốn nói là: Lúc nào chúng tôi cũng có mặt ở khắp mọi nơi. Và không có cách gì có thể ngăn chận chúng tôi được(4).
Kỹ nghệ hóa Hacking
Trở lại tin trong tuần qua, WikiLeaks tiết lộ những điều làm rúng động thế giới: Cơ quan Tình báo Trung ương CIA đã có những hoạt động nhằm xâm nhập vào bên trong các điện thoại tinh khôn, máy truyền hình thông minh (smart TV), hoặc xe hơi chạy bằng điện và các đồ dùng high-tech khác.
Thực ra, một khi xét đến nhiệm vụ căn bản của CIA, của NSA (National Security Agency) là lục tìm và phân tích các tin tức thu lượm được có liên quan đến an ninh tình báo, thì có lẽ chúng ta sẽ không còn mấy ngạc nhiên.
Vì để thực hiện được những hoạt động nói trên, CIA và NSA sẽ phải rình rập, nghe lén, và ăn cắp tin tức của cả bạn lẫn thù. Trong môi trường điện tử và nối mạng toàn cầu của thế kỷ 21, thì không có hoạt động gián điệp nào hữu hiệu cho bằng hacking vô các hệ thống điện thoại, điện toán, và hệ thống mạng.
Để các hoạt động hacking này thành công thì chính xác và tốc độ phản ứng nhanh phải là những yếu tố hàng đầu. Cũng như, hacking hiện nay không còn là hoạt động giới hạn trong phạm vi của từng cá nhân riêng lẻ hay vài nhóm nhỏ, mà việc hacking này đã trở thành quốc sách của nhiều quốc gia.
Muốn chính xác, hữu hiệu, và ứng biến nhanh, thì các dụng cụ trang bị, các "vũ khí" để hacking phải được chế tạo nhanh, có phẩm chất cao, dễ bảo trì và dễ huấn luyện; nhất là một khi các nhu cầu hoạt động này được mở rộng trên một địa bàn rất lớn, bao trùm nhiều lãnh vực như an ninh, quốc phòng, tài chánh... và cần phải có cả một đơn vị lớn, một lực lượng chuyên nghiệp chịu trách nhiệm.
Do đó sẽ phải đi đến việc hệ thống hóa và "kỹ nghệ hóa" các hoạt động hacking này. Về mặt kỹ thuật “tiêu chuẩn” sẽ dựa theo các theo các mẫu mực lấy ra từ các "đóng góp" xuất sắc của các hackers có tài năng vượt trội. Qua các tiết lộ của WikiLeaks đã cho thấy CIA đã thực hiện quy trình kỹ nghệ hóa các hoạt động hacking.
Nếu không nhìn vấn đề từ khía cạnh kỹ nghệ, thì sẽ dễ có phản ứng như một số các cơ quan truyền thông khi đưa ra tựa đề rất giật gân "Shocking claims" (“Những xác nhận làm sững người")(5). Theo bán tin này, CIA đã gài bẫy lên các hackers khác vì CIA đặt ra các quy tắc theo đó các hackers của họ phải sử dụng võ khí mạng (cybeweapons) theo cách thế sao cho không thể bị truy ngược lại tới “CIA, chính phủ Hoa Kỳ hoặc các công ty làm việc cho họ," như WikiLeaks đưa tin.
Những tựa đề nói trên có lẽ chỉ nhằm thu hút sự chú ý của độc giả. Vì thực ra khi đi làm gián điệp, đi nghe lén, hoặc ăn trộm mà lại để bị bắt quả tang, hoặc để bị tìm ra dấu tích thì nếu không bị mất mạng, cũng gây ra những bẽ mặt cho cơ quan hay đơn vị của mình. Vì vậy, việc CIA có nghiêm khắc đề ra các quy tắc bảo mật và bắt nhân viên của họ phải tuân theo thì đó cũng là một chuyện đương nhiên.
Theo WikiLeaks, CIA có một nhóm tên là UMBRAGE đang đánh cắp kỹ thuật của các hacker làm việc cho quốc gia khác và Liên bang Nga nằm trong số những đối tượng mà CIA đã ăn cắp kỹ thuật hacking. WikiLeaks cũng viết,"Với nhóm UMBRAGE và các dự án có liên quan, CIA không những có thể gia tăng tổng số các loại tấn công khác nhau, mà họ còn đánh lạc hướng bằng cách để lại ‘dấu tay’ (fingerprint) của các nhóm mà các kỹ thuật tấn công của họ đã bị đánh cắp."
Nếu diễn dịch rộng thêm một chút, thì cũng có thể nói là WikiLeaks đã "gợi ý" cho thấy CIA có thể tiến hành các cuộc tấn công trên mạng và cố tình gây hiểu lầm khiến cho các nhà điều tra tin rằng những cuộc tấn công đó là của Vladimir Putin.
Một hacker trong nhóm GhostSec đang làm việc(6)
Ghi chú: Tổ chức GhostSec được thành lập để chống lại nhóm khủng bố ISIS bằng cách tấn công vào việc gây quỹ online và tuyển người của ISIS(6).
Các loại “sản phẩm”
Điện thoại, TV làm gián điệp: Trong CIA, có nhóm Embedded Devices Branch, đã thực hiện xong nhu liệu gián điệp Weeping Angel có khả năng xâm nhập TV thông minh của Samsung và có thể đưa TV này về dạng " Giả Tắt" ('Fake-Off' mode) để sau khi bị chủ nhân tắt, chiếc TV này vẫn lắng nghe được các cuộc đối thoại và gửi chúng về các gián điệp Mỹ, WikiLeaks cho biết như vậy. Chương trình này nhận được sự trợ giúp của cơ quan gián điệp Anh MI5/BTSS.
WikiLeaks cũng cho biết Mobile Devices Branch, một nhóm khác trong CIA, đã xây dựng các công cụ hacking có thể từ xa điều khiển được iPhone, iPad và thiết bị Android - bí mật đánh cắp video từ máy ảnh, nghe lén qua micrô và theo dõi vị trí của người dùng.
Trước đây, theo CNN, người sử dụng Samsung TV đã được cảnh cáo rằng Samsung TV đang nghe trộm các cuộc trò chuyện riêng tư - với micrô được cấy vào TV(5).
Tuy nhiên, theo phân tích của TheIntercept(7), thì về mặt kỹ thuật hiển nhiên CIA có thể để lại “dấu tay” của hackers khác (như của Nga) để đánh lạc hướng sự điều tra, nhưng trong tài liệu được WikiLeaks phổ biến CIA không nói đến điều đó.
Trong công việc của nhóm UMBRAGE này, họ mượn lại (hay đánh cắp) những kỹ thuật hacking được chế tạo hoặc sử dụng bởi các hackers khác để sử dụng trong các dự án của họ. Việc vay mượn kỹ thuật này nhằm để tiết kiệm thời gian và năng lực bằng cách copy những phương pháp đã được chứng minh là thành công.
Cũng theo TheIntercept, nếu CIA thực sự sử dụng y nguyên phần code đặc biệt của một nhóm nào đó, thì việc này sẽ dễ đưa đến sự lầm lẫn là những cuộc tấn công đó là do những hackers đã chế tạo ra các code nói trên thực hiện. Nhưng qua các tài liệu, thì có vẻ như đã nói là nhóm UMBRAGE đang viết lại các code khác để có một chức năng giống như những gì mà các code của các hackers khác đã cung cấp. Nói một cách khác, có 2 loại codes khác nhau, cùng làm 1 việc hacking và đạt được kết quả như nhau. Nhưng khi phân tích các codes đó, thì sẽ biết là do hai nhóm khác nhau thực hiện.
Mục đích chính của việc làm trên là CIA muốn tạo dựng một "thư viện" (library) software, trong đó có lưu giữ nhiều thành phần (components) để có thể nhanh chóng được đưa vào kết hợp với các thành phần nhu liệu đặc chế khác. Nghĩa là thay vì phải viết hết các codes từ A đến Z, thì đến chỗ nào có thể dùng các thành phần có sẵn trong các "thư viện" nói trên, thì đem ra dùng. Như vậy sẽ tiết giảm được rất nhiều thời giờ khi chế tạo software mới.
Robert Graham, CEO của Errata Security, đồng ý là các tài liệu của CIA không nói về việc gài bẫy Nga hay các quốc gia khác. Ông nói với The Intercept: "Những gì chúng ta có thể nói căn cứ trên bằng chứng trong các tài liệu là họ đang tạo ra các codes để dùng trong các dự án khác và họ sử dụng lại (reuse) các phương pháp trong code đã tìm thấy được trên internet. Ở những nơi khác, họ nói về việc che giấu các cuộc tấn công do đó bạn không thể thấy xuất phát từ đâu, nhưng không có kế hoạch cụ thể nào để thực hiện một hoạt động như vậy. Họ không nói 'Chúng tôi sẽ làm cho điều này giống như Nga'."
Thực tế về mặt kỹ thuật thì đó cũng không phải là một điều quá bất thường khi copy sao chép các kỹ thuật của các hackers khác. Vì tại sao lại phải tốn thì giờ để chế tạo lại những dụng cụ rất hữu ích - vốn đã được chế tạo dù bởi các hackers thuộc loại tội phạm? Chuyện thường xẩy ra là sản phẩm nào hay, đẹp, xuất sắc rất dễ bị sao chép.
Theo Theintercept.com, chính ra nhóm UMBRAGE của CIA cũng đã vay mượn các kỹ thuật của các dụng cụ đã được bán ngoài thị trường (commercially available tools) như Dark Comet, một thứ con ngựa thành Troy (a well-known remote access trojan).
Bên phía Hardware / Chips
Qua các thông tin báo chí, truyền hình hay ngay cả trên Net, thông thường thì đại đa số các hackers tấn công hay xâm nhập các hệ thống mạng bằng các thảo trình (programs) hay dụng cụ liên quan đến software.
Nhưng không phải là trong lãnh vực hardware không có các hoạt động liên quan đến an ninh điện toán (computer security). Khoảng năm 2000, khi làm việc liên quan đến ngành an ninh điện toán, người viết bài đã có dịp đọc được các phúc trình về việc các nhà nghiên cứu trong phòng thí nghiệm đã tìm cách bẻ gẫy các quy trình mã hóa và giải mã (encryption/decryption) bằng cách theo dõi... điện!
Sơ đồ của một thiết kế có một coprocessor mật mã (8)
Một cách sơ lược thì việc mã hóa (encryption) một input, thí dụ "Hello World!”, sẽ được thực hiện qua những biến đổi theo các phương thức toán với "chìa khóa bí mật" (secret key) để thành "#%giuyrwkmn,s:{?". (Xin xem hình phía dưới)
Mã hóa và Giải mã
Ngược lại, khi cần có lại input nguyên thủy, thì với chìa khóa bí mật, phần việc giải mã (decryption) sẽ đổi ngược kết quả đã được mã hóa "#%giuyrwkmn,s:{?" để trờ thành "Hello World!” như ban đầu.
Quá trình mã hóa sẽ phải qua rất nhiều tính toán theo các công thức đã được định sẵn. Các tính toán này sẽ tiêu thụ một số lượng điện. Và các nhà nghiên cứu này đã ghi nhận mức độ điện sử dụng khác nhau khi "đầu máy" mật mã (crypto engine) làm việc mã hóa với các input khác nhau.
Sau đó họ thiết lập các công thức, các phương trình toán… để từ đó giải mã được mà không cần đến chìa khóa. Có nghĩa là các passwords, các hồ sơ mật đã được mã hóa bằng chìa khóa, thì đều có thể bị các nhà nghiên cứu này "mở" ra xem được hết mà không cần đến chìa khóa.
Hoặc theo như minh họa bên trên thì dù không có "chìa khóa bí mật", các nhà nghiên cứu này vẫn có thể đổi "#%giuyrwkmn,s:{?" thành "Hello World!”.
Tuy vậy, sau khi tìm ra nhược điểm, thì họ lại lo tìm cách sửa đổi. Nhược điểm nằm ở chỗ các input khác nhau phải cần đến lượng điện khác nhau để tính toán, thì họ sẽ sửa chữa lại đầu máy mật mã (crypto engine) - nơi làm việc tính toán - để mọi input đi vào thì cũng đều tiêu thụ cùng một lượng điện như nhau khi làm việc mã hóa. Có lấy máy đo điện ra thu thập dữ kiện để toan tính bẻ khóa giải mã thì cũng không thể tính toán gì được khi tất cả các kết quả lượng điện đo được đều bằng nhau.
Cũng có các nhà nghiên cứu khác thay vì làm việc trên mức độ tiêu thụ điện, thì họ nghiên cứu mức độ nhiệt phát ra khi đầu máy mã hóa làm việc và tìm cách giải mã mà không cần đến chìa khóa. Người viết xin không đi thêm vào những phần nghiên cứu này vì vượt quá tầm hiểu biết của bản thân.
Căn bệnh Bất trị
Càng ngày cuộc sống của chúng ta càng lệ thuộc vào các dụng cụ điện tử, các hệ thống mạng, và sẽ có những "căn bệnh" mới của thời đại trực tiếp bị gây ra bởi những kỹ thuật tân kỳ. Có lẽ hacking sẽ là một trong những căn bệnh sẽ không bao giờ trị được tuyệt nọc. Hôm nay có diệt được vi khuẩn (computer virus) này hay malware nọ, thì ngày mai lại có những thứ khác lợi hại hơn xuất hiện. Và chúng ta sẽ bị thiệt hại hơn khi bị tấn công. Đó là giá mà chúng ta phải trả cho những tiện nghi, những tân tiến mà chúng ta đang thụ hưởng và càng ngày càng bị lệ thuộc.
Hiển nhiên việc những tài liệu và vũ khí không gian mạng (cyberweapons) của CIA bị đánh cắp và chuyển cho WikiLeaks là một việc rất đáng lo ngại. Điều đáng lo ngại không phải nằm ở chỗ CIA viết hacking software ngụy tạo dấu vết để đổ lỗi sang hackers khác. Mà là nếu các vũ khí đó hoàn toàn nằm dưới sự khiển dụng của hackers thù địch, thì nạn nhân đầu tiên của những vũ khí đó có thể lại chính là người dân Hoa Kỳ mà CIA có nhiệm vụ phải bảo vệ.
Thy Trang
Ngày 15 tháng 3, 2017
Tham khảo:
NOTE: Tác giả Thy Trang là cộng sự viên của đặc san Lâm Viên online tại www.dslamvien.com.