1 điểm bởi GN⁺ 2024-07-22 | 1 bình luận | Chia sẻ qua WhatsApp

Điều gì đã xảy ra với khả năng phục hồi số?

  • Nguyên nhân của thảm họa số

    • Sự sụp đổ kỹ thuật số ảnh hưởng đến sân bay, bệnh viện và các đài truyền hình vào thứ Sáu là do lỗi trong một bản cập nhật phần mềm
    • Đây không phải là do các thế lực thù địch gây ra, mà là một sự cố phơi bày điểm yếu của Mỹ
  • Vì sao khó khôi phục

    • Chính quyền Biden đã mô phỏng các kịch bản tấn công của tin tặc Nga và Trung Quốc
    • Nhưng sự cố lần này là do lỗi con người đơn thuần
    • Trong các hệ thống mạng phức tạp, một sai sót nhỏ có thể gây ra vấn đề lớn
  • Phản ứng của các chiến binh mạng

    • Họ cảm thấy nhẹ nhõm vì sự cố này không phải là một cuộc tấn công ở cấp độ quốc gia
    • Mã độc như Volt Typhoon của Trung Quốc rất khó tìm và còn khó loại bỏ hơn
    • Sự cố lần này một lần nữa phơi bày giới hạn của khả năng phục hồi an ninh mạng
  • Hợp tác giữa chính phủ và khu vực tư nhân

    • Trong vài năm gần đây, Mỹ đã bắt đầu nghiêm túc xử lý các vấn đề an ninh mạng
    • Các cơ quan chính phủ như FBI, NSA và CISA hợp tác với doanh nghiệp tư nhân để chia sẻ lỗ hổng và cảnh báo về tin tặc
    • Tổng thống Biden đã thành lập Ủy ban Đánh giá An toàn Mạng để xem xét các sự cố lớn

Tóm tắt của GN⁺

  • Sự cố lần này là một vụ sụp đổ kỹ thuật số do lỗi đơn thuần trong bản cập nhật phần mềm
  • Nó phơi bày điểm yếu của các hệ thống mạng phức tạp và cho thấy giới hạn của khả năng phục hồi an ninh mạng
  • Sự hợp tác giữa chính phủ và khu vực tư nhân là rất quan trọng, đồng thời cần có hệ thống để xem xét các sự cố lớn
  • Một sản phẩm hoặc dự án có chức năng tương tự là phần mềm an ninh mạng như CrowdStrike

1 bình luận

 
GN⁺ 2024-07-22
Các ý kiến trên Hacker News
  • Điều thú vị là trong các bài bình luận trên truyền thông, gần như không thấy ai nói rằng ngay từ đầu không nên dùng một hệ điều hành cần vá bảo mật thường xuyên cho hạ tầng
    Tôi cũng thấy ảnh màn hình xanh xuất hiện trên bảng điện tử danh sách chuyến bay ở sân bay, và tự hỏi vì sao những thứ như vậy không được xây dựng trên Linux hay OpenBSD
    Bảo mật không phải là tính năng gắn thêm về sau mà phải được tích hợp ngay từ đầu; hiện nay đã hình thành cả một ngành phủ thêm bảo mật lên Windows, nhưng nó vẫn không hoạt động đúng cách

    • Khả năng lớn là vì nhà cung cấp làm phần mềm đó từ trước đến nay chỉ làm cho Windows
      Trên thực tế cũng có nhiều trường hợp bắt đầu từ DOS hoặc OS/2 rồi chuyển sang NT4; lịch sử, quán tính, sự quen thuộc, chi phí và sự dễ dàng trong hỗ trợ đều góp phần
      Bảo mật không phải là sản phẩm mà là một quá trình; các bản phân phối cũng cần cập nhật thường xuyên, nhưng vẫn có thể thu hẹp phạm vi phần mềm được cài đặt
      Thiết bị hiển thị ở sân bay có lẽ không cần các codec như MPEG2 hay VP1
      Trong các hệ thống chuyên dụng như vậy cũng có rất nhiều phần mềm làm trong gara, nên dù muốn SAML/OIDC thì chúng chỉ hỗ trợ LDAP dạng văn bản thuần hoặc khá lắm là Active Directory; dù muốn Apache Tomcat mới nhất thì nhà cung cấp không xử lý được vấn đề, nên chỉ “hỗ trợ” một phiên bản dễ bị tấn công đã 3 năm tuổi
      Nếu giả thuyết rằng nguyên nhân màn hình xanh của CrowdStrike là con trỏ null là đúng, lẽ ra họ phải dùng một ngôn ngữ an toàn, và trong trường hợp này tôi nghĩ khá dễ quy trách nhiệm cho CrowdStrike
      Microsoft đã cung cấp khẩu súng săn; việc không chĩa nòng súng về phía mình là trách nhiệm của nhà cung cấp
    • Ngay trên trang nhất hiện cũng có bài nói rằng CrowdStrike đã làm hỏng Debian và Rocky Linux vài tháng trước nhưng không ai hay biết
      https://news.ycombinator.com/item?id=41018029
    • “Hệ điều hành nhận cập nhật bảo mật thường xuyên” thực ra lại là một tín hiệu tốt
      Vì điều đó có nghĩa là các vấn đề đang được nêu ra và rủi ro đang được giảm thiểu
      Bảo mật không phải là một ô để đánh dấu, mà gần với một quá trình không có điểm kết thúc vì môi trường liên tục thay đổi; một hệ điều hành không nhận cập nhật hoặc không được làm mới thường xuyên thì không tốt hơn
      Điều ta muốn là các bản cập nhật không làm hệ điều hành trở nên bất ổn, và đằng sau đó là vô số lớp quyết định mà từng tổ chức đã tích lũy khi vận hành các thiết bị này
      Bảo mật phải được thiết kế theo nhiều lớp và phải được tích hợp sẵn
      Thay vì nói “nó không hoạt động”, đúng hơn là nó đã hoạt động vì đã im ắng trong thời gian dài, còn con người chỉ dễ chú ý đến những sự cố thất bại
    • Nhân viên sân bay phải có khả năng hỗ trợ được, chứ không thể chỉ những người kiểu HN mới xử lý được
      Phần lớn mọi người biết dùng máy tính Windows, nhân sự hỗ trợ IT máy tính để bàn cũng quen quản trị Windows, và đội cơ sở vật chất của tòa nhà cũng có thể hỗ trợ ở mức nào đó
      Microsoft khiến việc quản lý một tập hợp máy tính trở nên dễ dàng, đồng thời cung cấp chương trình đào tạo/chứng chỉ riêng và vô số khóa đào tạo của bên thứ ba
      Windows trên thực tế là máy tiêu chuẩn cho công việc, và phần lớn các công ty signage cũng dùng Windows
      Không dễ tìm người biết BSD
    • Với nhiều CTO/CISO, điều quan trọng hơn một hệ thống ổn định và an toàn là một đích ngắm tốt để có thể đẩy trách nhiệm khi có chuyện xảy ra
      Big Brand là một đích ngắm tốt, còn các dự án mã nguồn mở như OpenBSD thì không
      Ngay cả khi thiệt hại lên tới hàng triệu đô la, có vẻ CTO cũng ít có khả năng bị sa thải chỉ vì đã chọn Windows+CrowdStrike thay vì Linux/BSD
      Câu “chưa ai bị sa thải vì mua IBM” ít nhất vẫn đúng trong thế giới doanh nghiệp
  • Không rõ đã từng có thời kỳ nào có “khả năng phục hồi số” hay chưa, và nếu có thì đó là khi nào
    Sự hỗn loạn lần này không phải do đối thủ gây ra, nhưng về cơ bản đã cung cấp một bản đồ các điểm yếu của Mỹ vào thời điểm quan trọng
    Các bên không có quan hệ tốt với Mỹ rất có khả năng đã và đang lập cũng như tích trữ những bản đồ điểm yếu kiểu này
    Việc Mỹ và các nước khác tỏ ra lỏng lẻo trước các mối đe dọa như vậy và không tăng cường khắc phục điểm yếu hơn nữa vừa đáng ngạc nhiên, nhưng mặt khác cũng rất hiển nhiên
    Chi phí cũng là một yếu tố, nhưng tôi cho rằng yếu tố lớn hơn là sự tiện lợi
    Khi gia cố hệ thống để đối phó với điểm yếu, hệ thống sẽ kém tiện và kém dễ dùng hơn, và người dùng sẽ lập tức phản đối
    Khi Microsoft tung ra Windows, đặc biệt là Windows 95, họ muốn thu hút người dùng không chuyên nên đã làm cho mọi việc trở nên dễ dàng chỉ bằng các cú nhấp chuột, còn bảo mật thì không được cân nhắc đầy đủ
    Khi virus, lỗ hổng và xâm nhập trở nên mất kiểm soát, các hạn chế được đưa vào, và người dùng được hưởng ít hơn sự tự do mà họ đã quen
    Microsoft đã khiến thế giới quen với cách vận hành lỏng lẻo, và mọi nỗ lực đảo ngược điều đó về sau liên tục vấp phải sự phản kháng của người dùng
    Chúng ta đang mắc kẹt trong một vấn đề lớn vốn có thể dễ dàng dự đoán ngay cả trước khi Windows 95 ra mắt, và việc sửa nó sẽ cực kỳ khó

    • Câu nói của Charlie Munger rằng “hãy cho tôi thấy các động lực khuyến khích, tôi sẽ cho bạn thấy kết quả” là đúng
      Các công ty không được thưởng vì vận hành các hệ thống máy tính an toàn, có dự phòng và đáng tin cậy; họ được thưởng vì con số ở dòng cuối báo cáo kết quả kinh doanh vượt kỳ vọng do một nhà phân tích ở Lower Manhattan đặt ra 90 ngày trước
      Ở Mỹ, phần lớn công việc của xã hội do các công ty xử lý, nên các hệ thống quan trọng cũng được thiết kế như vậy
      Việc này có thể ra tòa và CrowdStrike có thể phải bị thâu tóm để bồi thường thiệt hại đã gây ra cho khách hàng từ ngày 19/7, nhưng sẽ mất nhiều năm, và nguyên đơn có thể chỉ nhận được khoản bồi thường tượng trưng hoặc không nhận được gì
      Đến lúc đó thị trường sẽ phòng hộ xong, nắm được cơ quan quản lý, cắt bỏ thua lỗ và cứ thế bước tiếp
      Tài sản sẽ được những người xem đây là “phá hủy sáng tạo” mua lại với giá rẻ, và họ sẽ chẳng bận tâm rằng tính mạng con người đã bị đặt vào nguy hiểm
      Và chu kỳ sẽ tiếp diễn
    • Nghiên cứu kinh nghiệm của Ukraine sẽ rất hữu ích, và rất có thể đã hữu ích rồi
      Gần như toàn bộ hạ tầng trọng yếu đã bị tấn công mạng trong nhiều năm; hệ thống có lúc sập và gặp sự cố, nhưng họ đã thích nghi
      Đôi khi họ quay lại các giải pháp công nghệ thấp, đôi khi xây dựng hệ thống mới có độ vững chắc và loại bỏ cái cũ
      Khi vấn đề cụ thể và tức thời, việc biện minh về mặt chính trị cũng dễ dàng hơn nhiều
      Tôi nhớ một trong những động thái đầu tiên của Mỹ khi căng thẳng bắt đầu leo thang là cử một đội chuyên gia an ninh mạng của NSA sang để hỗ trợ khóa chặt và loại bỏ xâm nhập
    • Các “cơ quan mạng” tập trung vào tấn công
      Vì như vậy dễ ghi điểm và trông như đang làm được việc gì đó
      Ngược lại, phòng thủ là công việc nhàm chán như bảo vệ vô số endpoint cũ kỹ, hoặc thuyết phục các tập đoàn khổng lồ sinh lời cao làm những việc ít dễ tổn thương hơn nhưng cũng kém profitable hơn
    • Ít nhất là vào thập niên 90 và đầu những năm 2000, nếu kết nối thứ gì quan trọng với Internet thì bạn sẽ bị cười nhạo trong phòng họp và bị sa thải ngay
    • Trong thời gian dài, khả năng phục hồi từng là mục tiêu, và tôi cho rằng trước khi cloud SaaS và cập nhật tự động thống trị mọi thứ, hệ thống có khả năng phục hồi tốt hơn
      Thời mà phần mềm được cài đặt trong mạng riêng, máy móc và topo có cấu trúc khác nhau về căn bản, và dù chất lượng thấp vẫn có nhiều loại phần mềm đa dạng được dùng, thì vững chắc hơn ngày nay rất nhiều
      Giờ đây chỉ một sự cố của một dịch vụ đơn lẻ như AWS cũng có thể khiến nhiều công ty dừng hoạt động, và một bản cập nhật lỗi như lần này ảnh hưởng ngay lập tức đến tất cả mọi người, tạo hiệu ứng domino
      Trước đây chuyện như vậy không phổ biến
      Chúng ta đã tập trung kiến trúc tập thể của mình vào vài công cụ “best practices”, và điều đó trở thành điểm lỗi đơn không chỉ trước tấn công số mà cả trước cấu hình sai, thất bại quản trị, công ty thất bại, kỹ sư lương thấp kiệt sức, tối ưu hóa và những thứ tương tự
      Tôi không đồng ý rằng gia cố hệ thống nhất thiết sẽ làm nó kém tiện hơn
      Trong 10 năm qua, ngành bảo mật thực ra đã đi theo hướng ngược lại và nhận ra rằng bảo mật quá hà khắc khiến người dùng tìm các đường vòng đơn giản, dễ đoán, từ đó làm suy yếu tổng thể tư thế bảo mật
      Cứ nhìn sự thay đổi trong khuyến nghị của NIST về mật khẩu là thấy
      Nếu cứ 90 ngày phải đổi, phải khác 10 mật khẩu trước đó, lại có yêu cầu độ phức tạp, người dùng sẽ dùng độ dài tối thiểu với mẫu dễ đoán và chỉ tăng con số ở cuối
      Các hash mật khẩu cũ được lưu để kiểm tra việc tái sử dụng trở thành gánh nặng, vì khi bị xâm phạm chúng sẽ cho kẻ tấn công biết mẫu của từng người dùng
      Ngày nay, bảo mật khả dụng gần như hoặc hoàn toàn trong suốt với người dùng cuối đã được triển khai nhiều hơn rất nhiều
      CAPTCHA của các website ngày xưa phổ biến, tệ và cũng dễ vượt qua, nhưng các giải pháp CAPTCHA của Cloudflare và Google khá trong suốt mà hiệu quả hơn nhiều
      Đúng là sự lỏng lẻo tổng thể và kéo dài của Microsoft đã góp phần tạo ra các thực hành bảo mật tệ, nhưng hệ sinh thái đó có những điểm kỳ lạ do môi trường vốn dĩ bất ổn, và ngoại trừ một giai đoạn đỉnh cao ngắn ngủi, nó hầu như chưa từng là nền tảng cốt lõi của hạ tầng Internet
      Đáng tiếc là trong hạ tầng doanh nghiệp thì nó lại là cốt lõi, và dường như rốt cuộc họ chưa bao giờ nhận được bản ghi nhớ về bảo mật khả dụng hoặc trong suốt
      Hy vọng hiện nay họ đang nỗ lực, dù là ở phía sau hậu trường
  • Theo một cách méo mó, có thể nói CrowdStrike đã thực hiện một bài kiểm tra bắt buộc về khôi phục sau thảm họa và khả năng phục hồi cho văn minh phương Tây
    Một cuộc tấn công thật sự sẽ không được rollback trong vòng một giờ
    CrowdStrike không phải là công ty duy nhất có quyền truy cập quy mô lớn vào nhiều công ty, chính phủ và tài nguyên như vậy
    Nếu một nhân viên nội bộ triển khai trình xóa đĩa, phá hủy không chỉ Windows mà cả máy tính Linux và macOS, các hệ thống bị ảnh hưởng có thể hoàn toàn không khôi phục được
    Trong trường hợp đó, có thể mất nhiều tháng để các hệ thống cốt lõi trở lại trực tuyến, và kinh tế thế giới có thể đình trệ còn nghiêm trọng hơn thời COVID
    Điểm chính đúng là “vì sao CrowdStrike không làm tốt hơn”, nhưng rộng hơn là vì sao công nghệ của các hệ thống cốt lõi lại không vững chắc hơn trước một lỗi hoặc một vụ hack từ một vendor duy nhất
    Ví dụ, nếu không phải boot loop mà là trình xóa đĩa xóa sạch mọi boot disk, tôi tự hỏi liệu có lý do gì khiến các server, ATM, kiosk, POS, v.v. không thể được cấu hình sẵn image khôi phục PXE boot hoặc backup image hay không
    Ngay cả khi UEFI và BIOS cũng bị xóa, tôi nghĩ việc triển khai cơ chế tự động khôi phục đâu phải là bất khả thi về mặt kỹ thuật
    Nếu chưa từng làm phân tích nguyên nhân gốc rễ trong ứng phó sự cố IT/bảo mật thì cũng dễ hiểu là không nghĩ sâu hơn, nhưng ransomware, trình xóa đĩa và rủi ro chuỗi cung ứng đã tràn lan hơn 10 năm rồi; kiểu phân tích nguyên nhân gốc rễ bị bỏ sót chính là loại này
    Tìm người để đổ lỗi và nổi giận thì dễ, nhưng không giải quyết được nguyên nhân gốc rễ
    Đưa ra các quyết định kỹ thuật khó khăn, không lãng phí một cuộc khủng hoảng tốt, và thúc đẩy đầu tư vào công nghệ có khả năng phục hồi mới là cách thực sự giải quyết nguyên nhân gốc rễ của vấn đề này và các vấn đề lặp lại

    • Nếu firmware bị thổi bay hoàn toàn thì cần firmware dự phòng
      Đến một mức nào đó có thể khiến những thứ này không thể khôi phục, nhưng đó không phải vấn đề thật sự cần giải
      Đi xa hơn một bước, việc nhấn mạnh vào bảo mật đang làm tổn hại cuộc thảo luận về khả năng phục hồi
      Đặc biệt xét về tài chính, khả năng phục hồi quan trọng hơn bảo mật rất nhiều
  • Đây đã là bí mật công khai suốt nhiều thập kỷ
    Chỉ có vài vendor OS và trình duyệt lớn, họ liên tục phát hành patch, còn phần lớn phần mềm có chuỗi cung ứng quá rộng đến mức gần như không thể audit bất cứ thứ gì và cũng khó chứng nhận là thật sự an toàn
    Phần mềm “bảo mật” chỉ làm mở rộng bề mặt tấn công
    Đây là chuyện ai trong ngành cũng biết, nên việc NYT giờ mới bắt kịp khá thú vị

    • Có thể NYT đưa tin vì một sự kiện lớn vừa xảy ra hôm qua, và vì họ là công ty tin tức
  • Nếu là công ty ngoài nước Mỹ, tôi cho rằng dùng dịch vụ CrowdStrike này là điên rồ
    FBI có thể dùng trát bí mật để buộc CrowdStrike tiêm DLL vào hạ tầng
    https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court

    • Tôi không chắc điều đó đúng
      Theo tôi hiểu, chính phủ Mỹ có thể ra lệnh cho công ty giao nộp dữ liệu, nhưng không thể ép họ thực sự làm việc
      Đây cũng là điểm cốt lõi trong tranh chấp giữa chính phủ và Apple sau vụ xả súng San Bernardino, và Apple có quyền pháp lý để từ chối cung cấp hỗ trợ
      https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
      Việc NSA và CIA đã phải đi tới mức chặn các lô hàng laptop/điện thoại để tự tay cài backdoor cũng cho thấy họ không thể cưỡng ép hành vi kiểu này
    • Trên thực tế, tuân thủ PCI DSS quan trọng hơn nỗi hoang tưởng về FBI
    • Tôi tò mò liệu bạn có nghĩ họ không thể, hoặc sẽ không, buộc Microsoft đẩy một “bản cập nhật” làm điều tương tự hay không
  • Hôm qua tôi nói với gia đình rằng nếu chúng ta thật sự bước vào chiến tranh, trong vòng 8 giờ mọi thứ sẽ ngừng hoạt động
    Chúng ta sẽ quay lại tiền mặt và giấy tờ, nhưng việc đó sẽ đau đớn và chậm chạp

  • Điều cần thiết là “đa dạng”, tất nhiên không phải đa dạng theo nghĩa các nhóm yếu thế
    Nếu nhiều thiết bị cốt lõi hơn chạy các OS khác nhau thì thiệt hại đã bị giới hạn
    Rủi ro của “độc canh” thường được nói trong chuyện cây trồng, nhưng cùng rủi ro đó cũng áp dụng cho hạ tầng điện toán

    • Ở một mức độ nào đó thì vốn đã như vậy rồi
      Chính việc văn minh không sụp đổ là bằng chứng rằng có rất nhiều hạ tầng không dùng Windows và CrowdStrike
    • Điều tôi còn khó hiểu hơn là những người phụ trách các tổ chức vận hành hệ thống cực kỳ quan trọng lại chấp nhận ý tưởng rằng nhà cung cấp phần mềm bên thứ ba có thể đẩy patch vào bất cứ lúc nào
      Nói hơi thô một chút, tôi nghĩ các công ty bị CrowdStrike ảnh hưởng cũng chia sẻ một phần trách nhiệm cho chuyện hôm qua
    • Ngay cả khi nhiều thiết bị cốt lõi hơn dùng OS khác, nếu chúng vẫn chạy cùng CrowdStrike thì thiệt hại cũng sẽ không bị giới hạn
    • Không hẳn vậy
      CrowdStrike thậm chí không phải hãng số 1 trong lĩnh vực này, nhưng chuyện này xảy ra vì hiệu ứng mạng
      Số lượng nền tảng cần có để đạt mức an toàn như vậy sẽ cao đến mức phi thực tế
  • Trên toàn thế giới đã xảy ra sự cố máy tính quy mô lớn tại các doanh nghiệp chạy CrowdStrike trên thiết bị Windows
    CrowdStrike được bán như phần mềm chống hack, nhưng thực tế lại là phần mềm phổ biến để các lãnh đạo cấp C giám sát hành vi của nhân viên
    Nó được cài đặt với quyền rất cao, và theo thiết kế thì khó sửa hoặc gỡ bỏ
    Tôi tự hỏi liệu việc này có thật sự đem lại bài học gì cho ai đó không

    • Có vẻ sẽ đem lại bài học
      Microsoft công bố có 8,5 triệu thiết bị bị ảnh hưởng, nghe khó tin, nhưng nhìn vào công sức ứng phó ngay cả ở một tổ chức quy mô tương đối trung bình như chúng tôi, sẽ nảy ra những câu hỏi rất đơn giản kiểu “một nửa nhân viên làm việc từ xa thì rốt cuộc làm sao truy cập được các thiết bị này?”
      Trước nay phản ứng luôn là “làm việc này thì tốn bao nhiêu”, nhưng giờ đã có thêm con số ở phía ngược lại, tức là “không làm thì tốn bao nhiêu”
    • Cần thêm thông tin chi tiết về chức năng giám sát
      Nếu có ảnh chụp màn hình thì tốt
  • Tôi không đồng ý với phần Kent Walker của Google nói rằng “không phải là không có hy vọng”, rằng AI có thể tạo ra tiến bộ đáng kể trong việc xác định lỗ hổng, vá lỗ hổng và cải thiện chất lượng mã
    Nếu hy vọng duy nhất chỉ là một lời hứa AI mơ hồ, thì tôi cho rằng thực ra là không có hy vọng

    • Đúng vậy
      Điều này giống như nói cách tốt nhất để ngăn các vụ xả súng ở trường học là đưa súng cho giáo viên
      Tôi không nghĩ AI sẽ thuyết phục ban lãnh đạo CrowdStrike tốt hơn rằng chiến lược triển khai theo từng giai đoạn đáng để bỏ chi phí
      Những vấn đề như thế này do con người gây ra, không phải do công nghệ, nên thêm công nghệ vào sẽ không giải quyết được