Hiện còn tới hơn 760 lỗi bảo mật nguy hiểm vẫn chưa được khắc phục trong các hệ thống kiểm soát không lưu (ATC) có mặt trên lãnh thổ Mỹ.
Đây là con số được đưa ra trong “Báo báo kết quả thanh tra, kiểm tra khả năng bảo mật ứng dụng web và chống đột nhập của các hệ thống kiểm soát không lưu” thực hiện bởi thanh tra Bộ Giao thông vận tải (DOT) Mỹ được công bố rộng rãi ngày 6-5.
Nguyên nhân khiến thanh tra DOT phải vào cuộc tiến hành cuộc thanh tra, kiểm tra lần này bắt nguồn từ một bài báo được đăng tải trên Thời báo Phố Wall trong tháng trước. Nội dung tờ báo này khẳng định tin tặc thường xuyên đột nhập thành công vào các hệ thống kiểm soát không lưu. Bài báo xuất hiện đúng thời điểm các quan chức chính phủ đang phải điều trần trước Quốc hội về một số vụ việc liên quan đến bảo mật.
… Sửng sốt nhìn kết quả
Cuộc thanh kiểm tra đã phát hiện tổng cộng 3.850 lỗi bảo mật tồn tại trong 70 ứng dụng web trong các hệ thống kiểm soát không lưu. Một nửa trong số những lỗi này hiện đều đã được công bố rộng rãi.
Gần 4.000 lỗi bảo mật được phát hiện trong 70 ứng dụng web trong các hệ thống kiểm soát không lưu |
504 lỗi bảo mật khác được xếp vào mức độ “trung bình” và phần còn lại - 2.590 lỗi - ở mức nguy cơ thấp. Song không vì thế mà lỗi này có thể bỏ qua, mặc dù nguy cơ chỉ dừng lại ở mức trung bình và thấp. Nhưng nếu khai thác thành công những lỗi này tin tặc cũng có thể lấy được những thông tin quan trọng như dữ liệu cấu hình hệ thống mạng. Những thông tin này hoàn toàn có ích cho tin tặc trong việc chuẩn bị các phương án tấn công.
Bên cạnh những ứng dụng web đầy rẫy lỗi và không được cấu hình đúng đắn, cuộc kiểm tra còn phát hiện các hệ thống kiểm soát không lưu không được trang bị bất kỳ một hệ thống chống đột nhập nào.
Chỉ có đúng 11 trong tổng số hàng trăm hệ thống ATC được trang bị hệ thống cảm biến IDS. Song đáng tiếc trong số những hệ thống được trang bị cảm biến IDS thì lại chẳng có một hệ thống nào mà các cảm biến IDS được tham gia giám sát quá trình vận hành của ATC. Thay vào đó cảm biến IDS lại đi giám sát các hệ thống hỗ trợ như máy chủ email.
Trong quá trình kiểm tra, các chuyên gia bảo mật đã khai thác thành công nhiều lỗi bảo mật giúp họ đột nhập thành công một số hệ thống ứng dụng web. Ví dụ, có trường hợp chuyên gia truy cập được đến mã nguồn phần mềm và nhiều thông tin quan trọng lưu trữ trên máy chủ ứng dụng web có liên quan đến việc quản lý các tuyến đường hàng không.
Hay có trường hợp lợi dụng lỗi bảo mật ứng dụng web, các chuyên gia đã đột nhập thành công vào hệ thống giám sát năng lượng tối quan trọng tại một số trung tâm ATC ở Boston, Anchorage, Denver và một số thành phố khác.
Trong năm 2008, Cơ quan Quản lý không lưu Mỹ đã nhận được hơn 800 cảnh báo sự vụ liên quan đến bảo mật mạng. Tính đến cuối năm ngoái vẫn còn khoảng 17% số vụ việc, trong đó có một số được xem là khá nghiêm trọng, vẫn chưa được giải quyết triệt để.
Hệ quả tất yếu
Có thể nói tin tặc cũng đã lợi dụng thành công những lỗi bảo mật như trên để liên tục tổ chức tấn công các hệ thống kiểm soát không lưu. Nhiều trường hợp thông qua việc đột nhập thành công vào hệ thống ATC tin tặc còn có thể đột nhập vào máy chủ của Cục Hàng không liên bang Mỹ (FAA).
Như hồi tháng 2 vừa qua tin tặc đã đột nhập thành công máy chủ của FAA và lấy đi thông tin cá nhân của khoảng 45.000 nhân viên đang làm việc và cả đã nghỉ hưu. Kết quả điều tra sự cố cho thấy tin tặc đã khai thác thành công một lỗi bảo mật ứng dụng web để đoạt được quyền truy cập đến máy chủ.
Hay như hồi tháng 8-2008 tin tặc đã cấy mã độc lên một máy chủ ứng dụng web của FAA, nhờ đó chúng đã đột nhập được cả vào máy chủ kiểm soát tên miền của cơ quan này. Rất may tin tặc đã không phá hủy bất kỳ tên miền nào.
Thông tin về những lỗi bảo mật như trên hiện đang được sự chú ý bởi FAA đang từng bước tiến hành sử dụng các phần mềm thương mại và công nghệ trên nền IP để hiện đại hóa các hệ thống ATC. Những công nghệ như thế này tất yếu đều mang lại những nguy cơ bảo mật tiềm ẩn cao hơn cho các hệ thống ATC.