BotCloud, các ác thần đến từ đám mây

Khi công nghệ điện toán đám mây đang dần trở nên phổ biến nhiều hơn, người dùng đã và đang nhận được rất nhiều những ứng dụng, những dịch vụ hữu ích, thiết thực với cuộc sống và công việc như các Gmail của Google hay Windows Azure của Microsoft… Tuy nhiên, mặt trái của những dịch vụ này chính là mức độ bảo mật của nhà quản trị đám mây chỉ chú ý đến việc bảo vệ các người dùng hợp pháp của họ. Chính điều này đã tạo điều kiện cho một số các thành phần nguy hiểm từ phía người dùng có thể khai thác tài nguyên này để hình thành nên những botnet trên mây, những botcloud.

 

Botcloud: bóng ma trên mây

 
Botnet là một mạng lưới chứa nhiều bot. Trong đó, mỗi bot thường là một máy tính hay một hệ thống đã bị chiếm quyền điều khiển từ xa vì đã bị nhiễm độc từ trước từ nhiều cách khác nhau. Botnet được điều khiển bởi một bên thứ ba để nhằm thực thi nhiều tác vụ mà thông thường là để nhằm mục đích gây hại và làm trì trệ cho những hệ thống khác. Các thủ thuật tấn công phổ biến nhất hay được sử dụng đó chính là từ chối dịch vụ phân tán (DDoS), gửi thư rác điện tử và phát tán mã độc hoặc đánh cắp các thông tin cá nhân… Nếu nhìn ở mức độ khái quát, Botnet có một đặc điểm khá giống với điện toán đám mây chính là việc sử dụng nhiều nguồn tài nguyên máy tính khác nhau để thực thi một công việc nào đó. Dĩ nhiên, Botnet là một nguồn tài nguyên bất hợp pháp được quản trị bởi một cá nhân hoặc một tổ chức giấu mặt nào đó và điện toán đám mây cung cấp những dịch vụ một cách hợp pháp đến người dùng thông qua nhiều lớp, nhiều cấp độ khác nhau.

Kể từ khi được phát hiện lần đầu tiên vào năm 2001, Botnet đã dần dần trở thành một công cụ đắc lực cho các cá nhân, tổ chức xấu nhằm mục đích phá hoại và gây hại cho rất nhiều hệ thống trên thế giới. Tiêu biểu là Botnet  Zeus, một hệ thống vừa bị Microsoft đánh sập vào hè năm nay, với ước tính có đến hơn 13 triệu máy tính hoạt động đã làm tổn thất đến hơn 100 triệu USD, hầu hết bằng cách sử dụng các trang web ngân hàng giả mạo để lấy cắp những thông tin đăng nhập và mật khẩu. Trong khi đó, việc khởi tạo Botnet này là rất dễ dàng khi mã nguồn của Zeus được phát tán miễn phí trên mạng và các hacker chỉ mất 700 USD là đã có được trong tay bộ công cụ kích hoạt để triển khai Botnet. Điều này đã cho thấy được khía cạnh an toàn thông tin của hệ thống mạng trên toàn cầu đã và đang ẩn chứa nhiều nguy cơ mà trong đó, những dữ liệu của người dùng đang bị đe dọa một cách nghiêm trọng.

Cùng với sự phát triển của điện toán đám mây, các tổ chức hay người đứng đầu (Botmaster) các Botnet còn có thể sử dụng một giải pháp khác để triển khai một hệ thống Botnet riêng thay vì sử dụng các máy tính bị nhiễm độc như trước đây. Bằng cách này, Botmaster sẽ mua một lượng lớn các hệ thống từ nhà cung cấp dịch vụ đám mây và cài đặt một bot trên mỗi máy để hình thành nên một Botcloud. Nhờ vào việc sử dụng hợp pháp nguồn tài nguyên từ những nhà cung cấp dịch vụ, Botcloud sở hữu rất nhiều lợi thế so với Botnet. Thông thường, Botnet phải yêu cầu một thời gian để xây dựng hệ thống nhiều hơn trong khi Botcloud có thể được hình thành vỏn vẹn chỉ trong vòng 1 phút. Một Botnet còn ít tin cậy hơn Botcloud bởi việc phụ thuộc vào sự sử dụng máy tính của những chủ nhân thực sự và có thể bị trì trệ bất kỳ lúc nào. Ngược lại, Botcloud có thể hoạt động trực tuyến 24/7 nhờ vào nhà cung cấp dịch vụ đám mây và có thể tối ưu hoàn toàn nguồn tài nguyên từ vi xử lý cho đến băng thông của hệ thống mà không cần phải để ý đến việc ngắt quãng giữa chừng. Không chỉ vậy, Botcloud còn được thừa hưởng nhiều chính sách bảo vệ người dùng từ phía các nhà cung cấp dịch vụ. Chính những điều này thực sự đã đưa Botnet một cấp độ mới, nguy hiểm hơn và công khai hơn rất nhiều lần so với trước đây.

Khó ngăn chặn

Nghiên cứu về Botcloud tại trường đại học Bách Khoa Delft của Hà Lan, giáo sư Clark và các đồng sự đã thử thuê 20 máy ảo từ một nhà cung cấp dịch vụ hàng đầu thế giới với giá 155 USD và sử dụng chúng để khởi tạo cuộc tấn công đến máy chủ web của ông. Đầu tiên, Clark đã sử dụng thủ thuật tấn công DDoS và hệ thống Botcloud mà ông đang sử dụng đã gửi 20.000 yêu cầu kết nối/giây đến máy chủ và dễ dàng đánh sập hệ thống chỉ trong vòng 10 giây. Sau đó, Clark tích hợp một Botcloud có quy mô lớn hơn và sử dụng nó để mô phỏng “click fraud”, một thủ thuật gian lận mà trong đó người sử dụng nhấn chuột vào quảng cáo để kiếm lợi nhuận. Thông thường, các công ty quảng cáo sẽ ngăn chặn việc này thông qua việc lưu lại địa chỉ mạng của mỗi máy tính cá nhân và khóa nếu người sử dụng nhấn chuột vào một đường dẫn nhiều lần. Các nhà nghiên cứu đã tránh né việc này bằng cách thiết lập một Botcloud với 1.000 máy ảo với mỗi máy ảo là một địa chỉ mạng. Kết quả là không có cuộc tấn công nào của Botcloud đã bị phát hiện cũng như bị ngăn chặn bởi nhà cung cấp dịch vụ.

Việc phát hiện Botcloud hiện nay vẫn còn gặp phải rất nhiều khó khăn khi các phương thức chính hiện nay để phát hiện ra Botnet đều không thể dễ dàng triển khai đối với các nhà cung cấp dịch vụ. Khi người đứng đầu Botcloud có được quyền sử dụng hợp pháp những tài nguyên cần thiết, họ có thể dễ dàng thiết lập và triển khai các cuộc tấn công trong khi vẫn được thừa hưởng từ những chính sách bảo vệ người dùng của nhà cung cấp. Sự triển khai các hệ thống phát hiện trên đám mây yêu cầu các nhà cung cấp phải thường xuyên giám sát mọi hoạt động sử dụng tài nguyên của khách hàng. Không chỉ vậy, ngay cả khi làm điều này, các nhà cung cấp cũng sẽ khó để có thể nhận biết được đâu là hoạt động hợp pháp hay không hợp pháp.

Một giải pháp khác được đề xuất đó chính là sự kết hợp giữa giám sát các hoạt động truy cập vào đám mây đồng thời cùng với sự giám sát các luồng kết nối đi ra ngoài đám mây để phát hiện những thao tác có nguy cơ cao. Tuy nhiên, phương thức này chỉ có thể được áp dụng một phần đối với các cuộc tấn công DDoS hay phát tán thư rác và yêu cầu sự hợp tác chặt chẽ nhiều hơn giữa nhà cung cấp với các công ty quảng cáo nếu muốn ngăn chặn thủ thuật tấn công gian lận “click fraud”. Một số nhà cung cấp dịch vụ lớn như Amazon hay Google đều đã hứa hẹn việc tích hợp những hệ thống tự động quét và ngăn chặn những cuộc tấn công ngay từ khi chúng bắt đầu xuất phát từ cơ sở hạ tầng đám mây của những công ty này. Tuy nhiên, đối với những đám mây được hình thành từ các công ty nhỏ hơn hay thiếu những chính sách bảo mật cần thiết, các Botcloud vẫn có thể được hình thành một cách dễ dàng.

Các nhà cung cấp dịch vụ đám mây chính là cơ sở và là vị trí quan trọng nhất để phát hiện Botcloud nhưng đồng hành với đó, các nhà cung cấp dịch vụ mạng và những công ty quảng cáo nên có một sự đồng thuận để thực sự tạo ra một liên kết vững chắc nhằm ngăn chặn các cuộc tấn công và lừa đảo, ăn cắp thông tin của khách hàng và người sử dụng. Bản thân các người dùng cũng nên trang bị cho mình  những kiến thức tối thiểu và một nền tảng bảo mật phần cứng cũng như phần mềm nhằm hạ thấp tối đa khả năng bị nhiễm mã độc, bảo vệ tài nguyên của chính mình.

Minh Hiển
Thế Giới Số 160 – Ngày 17.12.2012