Đánh giá chủ đề:
  • 0 Votes - 0 Average
  • 1
  • 2
  • 3
  • 4
  • 5
Tán róc về vụ tấn công hệ thống Sân bay
#1
Một vài phân tích về vụ tấn công vào Vietnam Airline...
Tôi không phải là người làm chuyên về mạng nhưng cũng có một vài kiến thức phân tích sơ bộ, xin phép được đưa ra đây để chúng ta có góc nhìn đa dạng hơn về sự việc 

Nhận định thông thường về hệ thống quản trị Sân bay...
Với một hệ thống quản trị thông tin Sân bay, người ta sẽ chia tách ra những khu vực như sau:

A. Khu vực quản lý đặt chỗ: Tiếp nhận xử lý các nhu cầu đặt chỗ và giao dịch thanh toán
Khu vực này thông thường sẽ hoạt động theo thủ tục:
1. Khách lên yêu cầu đặt chỗ
2. Hãng bay xác nhận tình trạng chỗ
3. Khách hàng xác nhận và thanh toán thông qua các dịch vụ tài chính (DVTC);
4. Hãng bay nhận được thông báo từ DVTC về việc mua bán và xác nhận việc bán chỗ cho khách hàng, lưu thông tin và DV_DATCHO
5. Thông tin về việc đặt chỗ được xác nhận và chuyển sang khu vực DV_QUANLYHANHKHACH để thực hiện các nghiệp vụ Check In/ Sắp xếp vị trí/

Thông thường thông tin về khách hàng đặt chỗ sẽ kèm theo cả hệ thống đăng ký xếp hạng khách bay...
Với việc Hacker đã lấy được dữ liệu về DV_DATCHO có thể đánh giá là toàn bộ hệ thống kiểm soát đặt chỗ đã bị ảnh hưởng (kể cả hệ thống các đại lý).
Tuy nhiên việc kiểm soát DVTC rất may là đang nằm ngoài vòng kiểm soát của Hacker.

Với hiện trạng cùng với kết quả phản ứng như hiện tại, có thể thấy rằng thiệt hại này đang rất lớn và khó khắc phục nguyên trạng.

Việc bàn về đường vào như thế nào, ta sẽ nghiên cứu tiếp.

Hệ thống quản lý đặt chỗ hiện tại cho phép các đại lý và toàn bộ hệ thống kết nối và giao dịch Online. Để nâng cao tính bảo mật, an toàn hệ thống, khả năng lớn là dịch vụ WAN diện rộng với VPN đã được áp dụng để tránh việc lộ mặt trực tiếp của dịch vụ này ra ngoài Internet.

Vậy để tiếp cận được vào khu vực này, Hacker đã có quyền tiếp cận với máy chủ CSDL chứa DV_DATCHO và có trong tay toàn bộ hệ thống kết nối của các đại lý.
Nói khác hơn, chỉ một thao tác họ sẽ có thể xóa hết số liệu ở đây và toàn bộ các giao dịch ... sẽ mất và sẽ gây xóa trộn lớn về tiền bạc, thu hồi công nợ, đặt chỗ cho công ty.

Thông thường để vào được khu vực này, Hacker sẽ có mấy cách tiếp cận sau:
+ Tiếp cận (1) trực tiếp với quản trị hệ thống: Khó
+ Tiếp cận (2) từ sự rò rỉ thông tin về kết nối WAN của một vài đại lý và tấn công máy chủ DV_DATCHO sau đó chiếm quyền quản trị: Khả năng cao

Các bạn thường đổ cho việc có backdoor trong thiết bị phần cứng, tôi không nghiêng về điều này mặc dù khả năng này cũng có thể xảy ra bằng việc bắt gói tin, dịch ngược để nắm bắt thông tin truy nhập và gửi về hệ thống tấn công. Để làm điều này, chắc chắn hacker phải nắm được các "tín hiệu" và cần có mối quan hệ "sâu sắc" với nhà sản xuất thiết bị và FIRMWARE thiết bị. Những nhóm thiết bị có khả năng gây ra việc này thường là nhóm thiết bị có Hệ điều hành (Router chẳng hạn).

Nhưng quy cho cùng nó vẫn là điều kiện tiếp tay cho tiếp cận (2) hơn là (1).
Ví dụ, đại lý sử dụng router nguồn gốc Trung quốc với Firmware có backdoor và thực hiện giải mã gói tin ....vv
Tuy vậy, khả năng này rất thấp vì việc mã hóa gói tin phần nhiều đã được thực hiện ngay máy tính kết nối chứ không phải là đợi đến phần việc của Hệ điều hành Router.

B. Khu vực quản trị sân bay: Sắp xếp chỗ, check in, điều khiển loa ...
Thường người ta sẽ chia làm 2-3 nhóm máy chủ quản trị việc này bao gồm:
Máy chủ kiểm soát các quầy Counter (1), Máy chủ kiểm soát thông báo (2), các thiết bị khác
Thông tin đầu vào cho nhóm này chính là các khách hàng đã xác nhận đặt chỗ.

Rất có khả năng là Vietnam airline đã không cách ly/ nâng cấp thường xuyên 2 hệ thống máy chủ đặt chỗ và DV_QUANLYHANHKHACH dẫn đến việc Hacker chiếm được quyền quản trị từ đó quay sang kiểm soát hệ thống quản lý khách bay.

Việc can thiệp trực tiếp, h@ck trực tiếp ngay từ đầu vào đầu não dịch vụ quản lý hành khách là điều khó xảy ra mà nó bắt đầu từ việc kiểm soát các dịch vụ vệ tinh từ đó hacker sẽ thâm nhập tiếp vào các thiết bị khác. Trừ trường hợp hãng bay đã sử dụng các thiết bị trọn gói mà không có các biện pháp kiểm soát kỹ ngay từ đầu (nếu đây là đùng thì thực tế sẽ còn tồi tệ hơn rất nhiều và còn lâu mới khắc phục được).

Quan sát dấu hiệu tấn công cho thấy rằng cả 2 hệ thống đã bị can thiệp và có thể tạm kết luận như sau:
* Hệ thống quản trị sân bay...vv sẽ không thể khôi phục được ngay nếu hệ thống quản trị khách hàng đặt chỗ chưa được khôi phục hoàn toàn. Việc khôi phục lại hệ thống thông báo chưa được thực hiện ngay sau 2 ngày, phần nhiều có thể là do Hãng bay/ đơn vị quản trị Sân bay đã dùng thiết bị trọn gói. Nếu không, chỉ cần cài đặt từ bản back up gần nhất là đã có thể thực hiện nhiệm vụ một cách thông thường.
* Hệ thống quản lý an toàn bay không bị ảnh hưởng là điều chắc chắn vì nó đặt ra ngoài các dịch vụ nói trên và nó luôn đi kèm thiết bị mà không phải nước nào cũng sản xuất được. Nếu có can thiệp thì chỉ là can nhiễu gây gián đoạn tạm thời mà thôi.
* Hệ thống thanh toán không bị ảnh hưởng trừ khi toàn bộ dịch vụ BankNet cũng đang có tình trạng tương tự (sử dụng thiết bị toàn bộ do nước sản xuất có quan hệ sâu sắc với Hacker).

Tạm kết luận về quá trình chuẩn bị tấn công:
* Tiếp cận hệ thống từ hệ thống đại lý từ đó chiếm quyền điều khiển từng bước: Khả năng cao
* Tiếp cận hệ thống từ các kẽ hở trong hệ thống thiết bị mà bắt buộc phải mua trọn gói (khả năng thấp). Nếu trong vài ngày tới vẫn chưa khôi phục được hệ thống kiểm soát thông báo thì lý do này có thể là một trong những lý do hàng đầu khởi phát cuộc tấn công. Nếu là như vậy thì rõ ràng có sự nhúng tay của chính phủ nước lạ.

Các cụ đừng chém em mạnh quá nhé.
Chữ ký của paulsteigel ====================
Quốc gia hưng vong
Thất phu hữu trách
====================
Reply
Những người đã cảm ơn maidinhdan , Che_Guevara
#2
Tôi xin thông tin thêm:
Tất cả các Router Wifi mà VNPT (và các nhà mạng VN khác) cung cấp cho khách hàng thuê bao kết nối Internet đều là của Huewei Trung Quốc (TQ) sản xuất (vì các bạn đều biết nếu khách hàng đăng ký thuê bao thì VNPT sẽ cho mượn Router miễn phí để sử dụng!!!, tôi có hỏi nhân viên VNPT thì họ nói là do nó rẻ (nói về giá rẻ thì TQ vô đối!)).

Trích dẫn:from: maidinhdan
Xin lỗi bạn lmthu: mình xóa 1 đoạn sau bài bạn.

Lý do: Không bàn sâu về vấn đề này, nó hơi nhạy cảm.
Chữ ký của lmthu Xin chào, mình là lmthu, Tham gia http://thuthuataccess.com/forum từ ngày 04-07 -14.
Reply
Những người đã cảm ơn Noname
#3
Em đọc xem có vỡ ra được gì không chứ món này thì potay.com pác paul à big green
Chữ ký của cpucloi Tôi chỉ biết mỗi một điều là những điều tôi biết được còn quá ít 021
Gmail: cgiahuy13@gmail.com


ღღღღღTài sản của cpucloi (View All Items) ღღღღღ
Reply
Những người đã cảm ơn Noname
#4
Ôi tàu khựa. Chỉ biết Chim sẻ đi nắng and Hồng Anh chiến thắng shang 2vs2 trung quốc là khoái rồi. hehe
Chữ ký của zinzin8x zinzin8x,gia nhập Thủ Thuật Access từ 19-01 -16.
Reply
Những người đã cảm ơn


Có thể liên quan đến chủ đề
Chủ đề: Tác giả Trả lời: Xem: Bài mới nhất
  [Kỹ năng giàu] Khác biệt giữa người thành công và người không thành công maidinhdan 3 165 16-03-16, 04:52 PM
Bài mới nhất: maidinhdan
  [Kỹ năng giàu] Khác biệt giữa người phụ nữ thành công và người phụ nữ thất bại maidinhdan 0 114 16-03-16, 04:40 PM
Bài mới nhất: maidinhdan
  [Kỹ năng giàu] Rèn luyện những thói quen đưa đến thành công maidinhdan 0 95 16-03-16, 04:33 PM
Bài mới nhất: maidinhdan
  Công nghệ lát đường của Hà Lan Noname 1 960 18-11-10, 09:44 PM
Bài mới nhất: Hạ Vàng

Chuyển nhanh:


User(s) browsing this thread: 1 Guest(s)
Diễn Đàn Thơ Văn Thi Ẩm Lâu|Nhà Hàng Sông Thơ