(VietNamNet) - "11h00 giờ sáng 19/12/2006 giờ Việt Nam, thông tin từ KrCERT (Trung tâm phản ứng sự cố máy tính quốc gia Hàn Quốc) thông báo danh sách 15 website trong toàn khu vực Châu Á Thái Bình Dương đang phát tán virus độc hại, tạo lập một mạng Botnet khổng lồ chứa đựng nguy cơ bảo mật vô cùng lớn, trong danh sách đó có hai website của Việt Nam. KrCert kêu gọi tất cả các trung tâm phản ứng sự cố máy tính quốc gia của các nước trong khu vực cùng hợp tác phản ứng tức thì..."

>> An ninh mạng APEC 2006 - Chuyện bây giờ mới... ''dám'' kể!
>> VNCERT diễn tập xử lý sự cố an ninh mạng toàn ASEAN
>> Xây dựng quy chế phối hợp giữa VNCERT và các ISP

Các cán bộ phòng nghiệp vụ trung tâm VNCERT tại buổi "tập trận" an ninh mạng sáng 19/12/2006 (Ảnh: Thế Phong)

Xin được nói ngay, đây là một tình huống giả định do APCERT (Asia Pacific Computer Emergency Response Team - Tổ chức xử lý khẩn cấp dự cố máy tính khu vực châu Á Thái Bình Dương) tổ chức diễn tập cho các quốc gia trong khu vực. Một sự cố máy tính điển hình được giả định cho cuộc "tập trận" quy mô lớn với sự tham gia của hầu hết các CERT (trung tâm phản ứng sự cố máy tính quốc gia) các nước cùng tham gia giải quyết trong thời gian sớm nhất...

Tiến Sĩ Vũ Quốc Khánh, Giám đốc trung tâm VnCERT (Bộ BCVT) cho biết, trước đây Việt Nam đã từng tham gia diễn tập toàn khu vực, nhưng đây là lần đầu tiên, cuộc tập trận quy mô lớn được tổ chức mà Việt Nam tham gia một cách tích cực và song song điều phối hai cấp -  giữa các CERT quốc gia khu vực đồng thời điều phối các đơn vị xung yếu về Internet trong nước!

Phản ứng nhanh với Virus

Sau khi điều động khẩn cấp bộ phận chức năng của hàng loạt hệ thống xung yếu cùng online để giải quyết sự cố chậm nhất ba phút sau khi nhận được thông báo, 7 cán bộ nhân viên phòng Nghiệp Vụ, Trung tâm phản ứng sự cố máy tính quốc gia VNCERT (Bộ BCVT) lập tức trong tình trạng "sẵn sàng chiến đấu".

Một hệ thống trao đổi trực tuyến được bật lên, trên màn hình máy tính của các cán bộ VNCERT, account của các đầu mối hệ thống xung yếu trong nước lần lượt bật sáng, mọi người đều đã online có mặt. Đây vốn là hệ thống được VNCERT thiết lập và thử nghiệm trong dịp bảo vệ an ninh mạng tuần lễ APEC tại Việt Nam, sau đó đơn vị này đã giới thiệu hệ thống trên, và được APCERT (Asia Pacific Computer Emergency Response Team - Tổ chức xử lý khẩn cấp sự cố máy tính khu vực châu Á Thái Bình Dương) đưa vào sử dụng như một hệ thống liên lạc trực tuyến khẩn cấp cho tất cả các CERT của các nước trong khu vực.

11h3phút, trên một cửa sổ khác của hệ thống, các đầu mối khu vực MyCERT, KrCERT, CnCERT... cũng lần lượt kết nối và báo cáo sẵn sàng. Một kế hoạch gồm nhiều bước được thực hiện theo quy trình đã được xây dựng lý thuyết từ trước lập tức được triển khai.

Hai phút sau, email thông báo của KrCERT được VNCERT chuyển tiếp (fwd) đến các đầu mối chịu trách nhiệm của VNNIC, BKIS, các ISP Viettel, VDC, FPT, EVN, NETNAM... Kèm theo yêu cầu thông tin phản hồi ngay khi nhận được mail.

11h5phút, lần lượt các đơn vị thông báo đã nhận được thông tin và đã sẵn sàng giải quyết sự cố theo sự điều phối của VNCERT, riêng NETNAM phản hồi chưa nhận được mail, có lẽ do web mail hơi chậm, nhưng thông tin vẫn được đơn vị này tiếp nhận đầy đủ qua hệ thống trao đổi trực tuyến.

Lúc này tại phòng làm việc trên tầng 2 trụ sở Bộ BCVT, các cán bộ VNCERT tiến hành phân tích và kiểm tra thông tin vừa nhận của KrCERT, đúng là hai trong số 15 website được KrCERT liệt kê có địa chỉ: www.atin08.org và www.vncert.org.vn đang phát tán mã độc hại là các website được đặt tại Việt Nam. Việc đầu tiên là VnCERT trả lời qua eMail cho KrCERT về kết quả kiểm tra, ngay sau đó một thông tin chỉ đạo khẩn được đưa đến VNNIC, BKIS và các ISP yêu cầu làm ngưng hoạt động của hai website phát tán mã độc từ Việt Nam, bằng cách chặn các luồng dữ liệu đến hai website này.

Sơ đồ điều phối phản ứng sự cố khẩn cấp virus phát tán qua hệ thống trao đổi trực tuyên YahooMessenger (ảnh VNCERT cung cấp)

Chỉ sau hai phút, VNNIC cho tạm ngừng phân giải hai tên miền trên, VDC thông báo đã thực hiện chặn hai website trên từ hệ thống của mình, tiếp sau đó là các ISP khác lần lượt báo cáo hoàn tất yêu cầu. 11h15 phút, hai website phát tán mã độc từ Việt Nam đã không thể truy cập.

Sau khi "hạ" hai website phát tán mã độc trong nước, việc tiếp theo là block 13 địa chỉ website còn lại trong danh sách được cung cấp từ KrCERT để người dùng không bị đe doạ nếu tình cờ truy cập vào.

Đúng lúc này, email thứ hai của KrCERT được gửi tới, với phần mô tả khái quát và file đính kèm loại mã độc trên các website vừa được họ thu thập. Qúa trình chạy đua với thời gian để phân tích mẫu virus và đưa ra giải pháp diệt virus cho người dùng bắt đầu. Cả VnCERT, trung tâm phân tích Virus VinaClean (VDC) và BKIS cùng song song tiến hành phân tích độc lập. 11h27 phút, trên hệ thống liên lạc trực tuyến, JPCERT (CERT của Nhật Bản) thông báo đã có kết quả phân tích. Nhưng ba phút sau, chính VNCERT và BKIS lại công bố các kết quả nghiên cứu virus này đầu tiên lên hệ thống trực tuyến và mailing list.

Đối diện với tấn công DDoS

11h 35 phút, ngay khi VNCERT gửi các kết quả nghiên cứu virus, chuẩn bị đưa ra phương án cập nhật công cụ diệt mã độc vừa phát hiện, thì một tình huống giả định bất ngờ được APCERT đưa ra: Các hacker sau khi phát hiện hệ thống phát tán virus bị vô hiệu hoá, đã quyết định "trả đũa" bằng việc tổ chức tấn công từ chối dịch vụ DDoS vào một loạt hệ thống website trong khắp khu vực. Với một mạng Botnet khổng lồ do những kẻ này kiểm soát, tình hình trở nên vô cùng nghiêm trọng.

Bức email thứ 4 trong vòng hơn nửa tiếng đồng hồ gửi đến VNCERT với số lượng thống kê 13 website có dấu hiệu bị tấn công DDoS. Trong đó có một website (giả định) đặt tại Việt Nam là mobifone.com.vn. Trung tâm phản ứng sự cố máy tính quốc gia lập tức phải có biện pháp xử lý trong quy trình phối hợp chặt chẽ với các đơn vị CERT khu vực.

"Việc đầu tiên là thông báo đến người quản trị website mobifone.com.vn để đơn vị này lường trước tình huống và có biện pháp xử lý" - Trưởng phòng nghiệp vụ của VNCERT - Đỗ Ngọc Duy Trác đưa ra yêu cầu. Tiếp sau đó là phân tích các thông tin do CERT các nước vừa thông báo trên hệ thống trực tuyến, yêu cầu VNNIC và các ISP chặn các luồng dữ liệu từ bên ngoài đang tấn công vào website mobifone.com.vn bằng các mô tả kỹ thuật cụ thể.

11h 45phút, các đơn vị báo cáo đã kiểm soát được tình hình, công việc tiếp theo được VNCERT chỉ đạo online là các đơn vị xung yếu về Internet tại Việt Nam kiểm soát, tạo thành một hàng rào ngăn chặn các luồng dữ liệu tấn công từ chối dịch vụ từ các máy botnet trong phạm vi quản lý của mình không thể tấn công ra ngoài. Việc này hết sức phức tạp, và buộc phải có biện pháp tiến hành song song.

Biện pháp này được thực hiện bằng báo cáo ngay sau đó 5 phút của VDC và BKIS: Các phần mềm diệt virus độc hại vừa phân tích đã được cập nhật online lên các phần mềm diệt virus BKAV (BKIS) và VinaClean (VDC). Cuộc diễn tập kết thúc sau khi các đơn vị tổng hợp báo cáo và kiểm tra tình hình lần cuối, mọi thông tin cuối cùng đều được trao đổi với các CERT bên ngoài.

Vẫn còn nhiều việc phải làm

Tiến sĩ Vũ Quốc Khánh (đứng) tại buổi diễn tập phản ứng khẩn cấp sự cố máy tính khu vực (ảnh Thế Phong)

"Cuộc diễn tập đã thành công như dự kiến" - một cán bộ trong số các ISP tham gia diễn tập cho biết - "Chúng tôi đã thu đựợc rất nhiều kinh nghiệm và cũng phát hiện nhiều vấn đề cần giải quyết".

Một trong những vấn đề được anh này nêu ra là khung pháp lý, "Nếu như việc chặn một cổng kết nối (port) TCP mà cơ quan quản lý yêu cầu ISP thực hiện trùng lặp với một dịch vụ của khách hàng chính ISP đó đang quản lý thì sao? Chúng ta có vi phạm quyền lợi người dùng không?"

Trả lời câu hỏi này, Tiến sĩ Vũ Quốc Khánh - giám đốc trung tâm VNCERT cho biết: VNCERT được chính phủ và Bộ BCVT giao cho một số thẩm quyền nhất định trong việc điều động các đơn vị liên quan trong việc phản ứng trước các sự cố máy tính quốc gia. "Nếu mọi việc nằm trong thẩm quyền của VNCERT thì không nói, nhưng nếu nó chưa được quy định, chúng tôi phải làm theo thông lệ quốc tế, đó là đặt lợi ích của số đông người dùng Internet và an toàn của không gian mạng quốc gia lên hàng đầu!".

Ông Khánh lấy ví dụ: "Nếu một website có thực hiện phát tán mã độc hay có hành vi tấn công trên mạng thi không phụ thuộc đó là do chủ website cố tình hay vô ý đưa lên hay bi hacker gài vào, không cần biết do chính họ đưa lên, hay bị hacker gài vào, trước hết chúng tôi có thể công bố quyết định chặn nguồn phát tán từ website. Chủ sở hữu website có trách nhiệm gỡ mã độc hại xuống, sau đó thông báo cho chúng tôi để chúng tôi thẩm định. Nếu không, website có thể sẽ bị chặn vô thời hạn".

Nói thêm về vấn đề này, vị giám đốc VNCERT cũng tiết lộ rằng, các cơ quan quản lý như Bộ BCVT và trung tâm của ông cũng đang chuẩn bị để đưa ra một hệ thống các văn bản có hiệu lực cho các quy trình phản ứng sự cố máy tính quốc gia.

Tiến sĩ Vũ Quốc Khánh cũng tâm sự, những khó khăn trong quá trình điều phối quốc gia mà đơn vị này gặp phải trong thực tế và trong các lần diễn tập mà ông thấy được nằm ở một vài nguyên nhân khách quan.

Các đơn vị đều rất ủng hộ quá trình tác nghiệp của VNCERT, nhưng đâu đó vẫn có những sự chậm trễ do thói quen làm việc nặng về tính hành chính cứng nhắc (yêu cầu phải có văn bản pháp lý giấy trắng mực đen mới thực hiện lệnh điều phối chẳng hạn) hoặc chậm do hệ thống của các đơn vị liên quan quá lớn, phân cấp quá phức tạp.

Tuy nhiên ông Khánh cũng lạc quan rằng đó chỉ là những khó khăn nhỏ, có thể khắc phục bằng việc xây dựng các quy trình làm việc nhuần nhuyễn và qua nhiều lần triển khai thực tế, mà kết quả đợt "tập trận lớn lần này chính là một ví dụ điển hình".

• Thế Phong