Điều gì đã xảy ra với khả năng phục hồi số?
-
Nguyên nhân của thảm họa số
- Sự sụp đổ kỹ thuật số ảnh hưởng đến sân bay, bệnh viện và các đài truyền hình vào thứ Sáu là do lỗi trong một bản cập nhật phần mềm
- Đây không phải là do các thế lực thù địch gây ra, mà là một sự cố phơi bày điểm yếu của Mỹ
-
Vì sao khó khôi phục
- Chính quyền Biden đã mô phỏng các kịch bản tấn công của tin tặc Nga và Trung Quốc
- Nhưng sự cố lần này là do lỗi con người đơn thuần
- Trong các hệ thống mạng phức tạp, một sai sót nhỏ có thể gây ra vấn đề lớn
-
Phản ứng của các chiến binh mạng
- Họ cảm thấy nhẹ nhõm vì sự cố này không phải là một cuộc tấn công ở cấp độ quốc gia
- Mã độc như Volt Typhoon của Trung Quốc rất khó tìm và còn khó loại bỏ hơn
- Sự cố lần này một lần nữa phơi bày giới hạn của khả năng phục hồi an ninh mạng
-
Hợp tác giữa chính phủ và khu vực tư nhân
- Trong vài năm gần đây, Mỹ đã bắt đầu nghiêm túc xử lý các vấn đề an ninh mạng
- Các cơ quan chính phủ như FBI, NSA và CISA hợp tác với doanh nghiệp tư nhân để chia sẻ lỗ hổng và cảnh báo về tin tặc
- Tổng thống Biden đã thành lập Ủy ban Đánh giá An toàn Mạng để xem xét các sự cố lớn
Tóm tắt của GN⁺
- Sự cố lần này là một vụ sụp đổ kỹ thuật số do lỗi đơn thuần trong bản cập nhật phần mềm
- Nó phơi bày điểm yếu của các hệ thống mạng phức tạp và cho thấy giới hạn của khả năng phục hồi an ninh mạng
- Sự hợp tác giữa chính phủ và khu vực tư nhân là rất quan trọng, đồng thời cần có hệ thống để xem xét các sự cố lớn
- Một sản phẩm hoặc dự án có chức năng tương tự là phần mềm an ninh mạng như CrowdStrike
1 bình luận
Các ý kiến trên Hacker News
Điều thú vị là trong các bài bình luận trên truyền thông, gần như không thấy ai nói rằng ngay từ đầu không nên dùng một hệ điều hành cần vá bảo mật thường xuyên cho hạ tầng
Tôi cũng thấy ảnh màn hình xanh xuất hiện trên bảng điện tử danh sách chuyến bay ở sân bay, và tự hỏi vì sao những thứ như vậy không được xây dựng trên Linux hay OpenBSD
Bảo mật không phải là tính năng gắn thêm về sau mà phải được tích hợp ngay từ đầu; hiện nay đã hình thành cả một ngành phủ thêm bảo mật lên Windows, nhưng nó vẫn không hoạt động đúng cách
Trên thực tế cũng có nhiều trường hợp bắt đầu từ DOS hoặc OS/2 rồi chuyển sang NT4; lịch sử, quán tính, sự quen thuộc, chi phí và sự dễ dàng trong hỗ trợ đều góp phần
Bảo mật không phải là sản phẩm mà là một quá trình; các bản phân phối cũng cần cập nhật thường xuyên, nhưng vẫn có thể thu hẹp phạm vi phần mềm được cài đặt
Thiết bị hiển thị ở sân bay có lẽ không cần các codec như MPEG2 hay VP1
Trong các hệ thống chuyên dụng như vậy cũng có rất nhiều phần mềm làm trong gara, nên dù muốn SAML/OIDC thì chúng chỉ hỗ trợ LDAP dạng văn bản thuần hoặc khá lắm là Active Directory; dù muốn Apache Tomcat mới nhất thì nhà cung cấp không xử lý được vấn đề, nên chỉ “hỗ trợ” một phiên bản dễ bị tấn công đã 3 năm tuổi
Nếu giả thuyết rằng nguyên nhân màn hình xanh của CrowdStrike là con trỏ null là đúng, lẽ ra họ phải dùng một ngôn ngữ an toàn, và trong trường hợp này tôi nghĩ khá dễ quy trách nhiệm cho CrowdStrike
Microsoft đã cung cấp khẩu súng săn; việc không chĩa nòng súng về phía mình là trách nhiệm của nhà cung cấp
https://news.ycombinator.com/item?id=41018029
Vì điều đó có nghĩa là các vấn đề đang được nêu ra và rủi ro đang được giảm thiểu
Bảo mật không phải là một ô để đánh dấu, mà gần với một quá trình không có điểm kết thúc vì môi trường liên tục thay đổi; một hệ điều hành không nhận cập nhật hoặc không được làm mới thường xuyên thì không tốt hơn
Điều ta muốn là các bản cập nhật không làm hệ điều hành trở nên bất ổn, và đằng sau đó là vô số lớp quyết định mà từng tổ chức đã tích lũy khi vận hành các thiết bị này
Bảo mật phải được thiết kế theo nhiều lớp và phải được tích hợp sẵn
Thay vì nói “nó không hoạt động”, đúng hơn là nó đã hoạt động vì đã im ắng trong thời gian dài, còn con người chỉ dễ chú ý đến những sự cố thất bại
Phần lớn mọi người biết dùng máy tính Windows, nhân sự hỗ trợ IT máy tính để bàn cũng quen quản trị Windows, và đội cơ sở vật chất của tòa nhà cũng có thể hỗ trợ ở mức nào đó
Microsoft khiến việc quản lý một tập hợp máy tính trở nên dễ dàng, đồng thời cung cấp chương trình đào tạo/chứng chỉ riêng và vô số khóa đào tạo của bên thứ ba
Windows trên thực tế là máy tiêu chuẩn cho công việc, và phần lớn các công ty signage cũng dùng Windows
Không dễ tìm người biết BSD
Big Brand là một đích ngắm tốt, còn các dự án mã nguồn mở như OpenBSD thì không
Ngay cả khi thiệt hại lên tới hàng triệu đô la, có vẻ CTO cũng ít có khả năng bị sa thải chỉ vì đã chọn Windows+CrowdStrike thay vì Linux/BSD
Câu “chưa ai bị sa thải vì mua IBM” ít nhất vẫn đúng trong thế giới doanh nghiệp
Không rõ đã từng có thời kỳ nào có “khả năng phục hồi số” hay chưa, và nếu có thì đó là khi nào
Sự hỗn loạn lần này không phải do đối thủ gây ra, nhưng về cơ bản đã cung cấp một bản đồ các điểm yếu của Mỹ vào thời điểm quan trọng
Các bên không có quan hệ tốt với Mỹ rất có khả năng đã và đang lập cũng như tích trữ những bản đồ điểm yếu kiểu này
Việc Mỹ và các nước khác tỏ ra lỏng lẻo trước các mối đe dọa như vậy và không tăng cường khắc phục điểm yếu hơn nữa vừa đáng ngạc nhiên, nhưng mặt khác cũng rất hiển nhiên
Chi phí cũng là một yếu tố, nhưng tôi cho rằng yếu tố lớn hơn là sự tiện lợi
Khi gia cố hệ thống để đối phó với điểm yếu, hệ thống sẽ kém tiện và kém dễ dùng hơn, và người dùng sẽ lập tức phản đối
Khi Microsoft tung ra Windows, đặc biệt là Windows 95, họ muốn thu hút người dùng không chuyên nên đã làm cho mọi việc trở nên dễ dàng chỉ bằng các cú nhấp chuột, còn bảo mật thì không được cân nhắc đầy đủ
Khi virus, lỗ hổng và xâm nhập trở nên mất kiểm soát, các hạn chế được đưa vào, và người dùng được hưởng ít hơn sự tự do mà họ đã quen
Microsoft đã khiến thế giới quen với cách vận hành lỏng lẻo, và mọi nỗ lực đảo ngược điều đó về sau liên tục vấp phải sự phản kháng của người dùng
Chúng ta đang mắc kẹt trong một vấn đề lớn vốn có thể dễ dàng dự đoán ngay cả trước khi Windows 95 ra mắt, và việc sửa nó sẽ cực kỳ khó
Các công ty không được thưởng vì vận hành các hệ thống máy tính an toàn, có dự phòng và đáng tin cậy; họ được thưởng vì con số ở dòng cuối báo cáo kết quả kinh doanh vượt kỳ vọng do một nhà phân tích ở Lower Manhattan đặt ra 90 ngày trước
Ở Mỹ, phần lớn công việc của xã hội do các công ty xử lý, nên các hệ thống quan trọng cũng được thiết kế như vậy
Việc này có thể ra tòa và CrowdStrike có thể phải bị thâu tóm để bồi thường thiệt hại đã gây ra cho khách hàng từ ngày 19/7, nhưng sẽ mất nhiều năm, và nguyên đơn có thể chỉ nhận được khoản bồi thường tượng trưng hoặc không nhận được gì
Đến lúc đó thị trường sẽ phòng hộ xong, nắm được cơ quan quản lý, cắt bỏ thua lỗ và cứ thế bước tiếp
Tài sản sẽ được những người xem đây là “phá hủy sáng tạo” mua lại với giá rẻ, và họ sẽ chẳng bận tâm rằng tính mạng con người đã bị đặt vào nguy hiểm
Và chu kỳ sẽ tiếp diễn
Gần như toàn bộ hạ tầng trọng yếu đã bị tấn công mạng trong nhiều năm; hệ thống có lúc sập và gặp sự cố, nhưng họ đã thích nghi
Đôi khi họ quay lại các giải pháp công nghệ thấp, đôi khi xây dựng hệ thống mới có độ vững chắc và loại bỏ cái cũ
Khi vấn đề cụ thể và tức thời, việc biện minh về mặt chính trị cũng dễ dàng hơn nhiều
Tôi nhớ một trong những động thái đầu tiên của Mỹ khi căng thẳng bắt đầu leo thang là cử một đội chuyên gia an ninh mạng của NSA sang để hỗ trợ khóa chặt và loại bỏ xâm nhập
Vì như vậy dễ ghi điểm và trông như đang làm được việc gì đó
Ngược lại, phòng thủ là công việc nhàm chán như bảo vệ vô số endpoint cũ kỹ, hoặc thuyết phục các tập đoàn khổng lồ sinh lời cao làm những việc ít dễ tổn thương hơn nhưng cũng kém profitable hơn
Thời mà phần mềm được cài đặt trong mạng riêng, máy móc và topo có cấu trúc khác nhau về căn bản, và dù chất lượng thấp vẫn có nhiều loại phần mềm đa dạng được dùng, thì vững chắc hơn ngày nay rất nhiều
Giờ đây chỉ một sự cố của một dịch vụ đơn lẻ như AWS cũng có thể khiến nhiều công ty dừng hoạt động, và một bản cập nhật lỗi như lần này ảnh hưởng ngay lập tức đến tất cả mọi người, tạo hiệu ứng domino
Trước đây chuyện như vậy không phổ biến
Chúng ta đã tập trung kiến trúc tập thể của mình vào vài công cụ “best practices”, và điều đó trở thành điểm lỗi đơn không chỉ trước tấn công số mà cả trước cấu hình sai, thất bại quản trị, công ty thất bại, kỹ sư lương thấp kiệt sức, tối ưu hóa và những thứ tương tự
Tôi không đồng ý rằng gia cố hệ thống nhất thiết sẽ làm nó kém tiện hơn
Trong 10 năm qua, ngành bảo mật thực ra đã đi theo hướng ngược lại và nhận ra rằng bảo mật quá hà khắc khiến người dùng tìm các đường vòng đơn giản, dễ đoán, từ đó làm suy yếu tổng thể tư thế bảo mật
Cứ nhìn sự thay đổi trong khuyến nghị của NIST về mật khẩu là thấy
Nếu cứ 90 ngày phải đổi, phải khác 10 mật khẩu trước đó, lại có yêu cầu độ phức tạp, người dùng sẽ dùng độ dài tối thiểu với mẫu dễ đoán và chỉ tăng con số ở cuối
Các hash mật khẩu cũ được lưu để kiểm tra việc tái sử dụng trở thành gánh nặng, vì khi bị xâm phạm chúng sẽ cho kẻ tấn công biết mẫu của từng người dùng
Ngày nay, bảo mật khả dụng gần như hoặc hoàn toàn trong suốt với người dùng cuối đã được triển khai nhiều hơn rất nhiều
CAPTCHA của các website ngày xưa phổ biến, tệ và cũng dễ vượt qua, nhưng các giải pháp CAPTCHA của Cloudflare và Google khá trong suốt mà hiệu quả hơn nhiều
Đúng là sự lỏng lẻo tổng thể và kéo dài của Microsoft đã góp phần tạo ra các thực hành bảo mật tệ, nhưng hệ sinh thái đó có những điểm kỳ lạ do môi trường vốn dĩ bất ổn, và ngoại trừ một giai đoạn đỉnh cao ngắn ngủi, nó hầu như chưa từng là nền tảng cốt lõi của hạ tầng Internet
Đáng tiếc là trong hạ tầng doanh nghiệp thì nó lại là cốt lõi, và dường như rốt cuộc họ chưa bao giờ nhận được bản ghi nhớ về bảo mật khả dụng hoặc trong suốt
Hy vọng hiện nay họ đang nỗ lực, dù là ở phía sau hậu trường
Theo một cách méo mó, có thể nói CrowdStrike đã thực hiện một bài kiểm tra bắt buộc về khôi phục sau thảm họa và khả năng phục hồi cho văn minh phương Tây
Một cuộc tấn công thật sự sẽ không được rollback trong vòng một giờ
CrowdStrike không phải là công ty duy nhất có quyền truy cập quy mô lớn vào nhiều công ty, chính phủ và tài nguyên như vậy
Nếu một nhân viên nội bộ triển khai trình xóa đĩa, phá hủy không chỉ Windows mà cả máy tính Linux và macOS, các hệ thống bị ảnh hưởng có thể hoàn toàn không khôi phục được
Trong trường hợp đó, có thể mất nhiều tháng để các hệ thống cốt lõi trở lại trực tuyến, và kinh tế thế giới có thể đình trệ còn nghiêm trọng hơn thời COVID
Điểm chính đúng là “vì sao CrowdStrike không làm tốt hơn”, nhưng rộng hơn là vì sao công nghệ của các hệ thống cốt lõi lại không vững chắc hơn trước một lỗi hoặc một vụ hack từ một vendor duy nhất
Ví dụ, nếu không phải boot loop mà là trình xóa đĩa xóa sạch mọi boot disk, tôi tự hỏi liệu có lý do gì khiến các server, ATM, kiosk, POS, v.v. không thể được cấu hình sẵn image khôi phục PXE boot hoặc backup image hay không
Ngay cả khi UEFI và BIOS cũng bị xóa, tôi nghĩ việc triển khai cơ chế tự động khôi phục đâu phải là bất khả thi về mặt kỹ thuật
Nếu chưa từng làm phân tích nguyên nhân gốc rễ trong ứng phó sự cố IT/bảo mật thì cũng dễ hiểu là không nghĩ sâu hơn, nhưng ransomware, trình xóa đĩa và rủi ro chuỗi cung ứng đã tràn lan hơn 10 năm rồi; kiểu phân tích nguyên nhân gốc rễ bị bỏ sót chính là loại này
Tìm người để đổ lỗi và nổi giận thì dễ, nhưng không giải quyết được nguyên nhân gốc rễ
Đưa ra các quyết định kỹ thuật khó khăn, không lãng phí một cuộc khủng hoảng tốt, và thúc đẩy đầu tư vào công nghệ có khả năng phục hồi mới là cách thực sự giải quyết nguyên nhân gốc rễ của vấn đề này và các vấn đề lặp lại
Đến một mức nào đó có thể khiến những thứ này không thể khôi phục, nhưng đó không phải vấn đề thật sự cần giải
Đi xa hơn một bước, việc nhấn mạnh vào bảo mật đang làm tổn hại cuộc thảo luận về khả năng phục hồi
Đặc biệt xét về tài chính, khả năng phục hồi quan trọng hơn bảo mật rất nhiều
Đây đã là bí mật công khai suốt nhiều thập kỷ
Chỉ có vài vendor OS và trình duyệt lớn, họ liên tục phát hành patch, còn phần lớn phần mềm có chuỗi cung ứng quá rộng đến mức gần như không thể audit bất cứ thứ gì và cũng khó chứng nhận là thật sự an toàn
Phần mềm “bảo mật” chỉ làm mở rộng bề mặt tấn công
Đây là chuyện ai trong ngành cũng biết, nên việc NYT giờ mới bắt kịp khá thú vị
Nếu là công ty ngoài nước Mỹ, tôi cho rằng dùng dịch vụ CrowdStrike này là điên rồ
FBI có thể dùng trát bí mật để buộc CrowdStrike tiêm DLL vào hạ tầng
https://en.wikipedia.org/wiki/United_States_Foreign_Intelligence_Surveillance_Court
Theo tôi hiểu, chính phủ Mỹ có thể ra lệnh cho công ty giao nộp dữ liệu, nhưng không thể ép họ thực sự làm việc
Đây cũng là điểm cốt lõi trong tranh chấp giữa chính phủ và Apple sau vụ xả súng San Bernardino, và Apple có quyền pháp lý để từ chối cung cấp hỗ trợ
https://en.wikipedia.org/wiki/Apple%E2%80%93FBI_encryption_dispute
Việc NSA và CIA đã phải đi tới mức chặn các lô hàng laptop/điện thoại để tự tay cài backdoor cũng cho thấy họ không thể cưỡng ép hành vi kiểu này
Hôm qua tôi nói với gia đình rằng nếu chúng ta thật sự bước vào chiến tranh, trong vòng 8 giờ mọi thứ sẽ ngừng hoạt động
Chúng ta sẽ quay lại tiền mặt và giấy tờ, nhưng việc đó sẽ đau đớn và chậm chạp
https://cbr.ru/eng/press/event/?id=18776
https://bank.gov.ua/en/news/all/drugiy-rik-povnomasshtabnoyi-viyni-obsyagi-bezgotivkovih-rozrahunkiv-zrostayut
Sự gián đoạn chủ yếu chỉ giới hạn ở hạ tầng vật lý bị tấn công bằng tên lửa, và Nga cũng không phải yếu trong chiến tranh số
Cũng không phải là thiếu hacker thù địch
Điều cần thiết là “đa dạng”, tất nhiên không phải đa dạng theo nghĩa các nhóm yếu thế
Nếu nhiều thiết bị cốt lõi hơn chạy các OS khác nhau thì thiệt hại đã bị giới hạn
Rủi ro của “độc canh” thường được nói trong chuyện cây trồng, nhưng cùng rủi ro đó cũng áp dụng cho hạ tầng điện toán
Chính việc văn minh không sụp đổ là bằng chứng rằng có rất nhiều hạ tầng không dùng Windows và CrowdStrike
Nói hơi thô một chút, tôi nghĩ các công ty bị CrowdStrike ảnh hưởng cũng chia sẻ một phần trách nhiệm cho chuyện hôm qua
CrowdStrike thậm chí không phải hãng số 1 trong lĩnh vực này, nhưng chuyện này xảy ra vì hiệu ứng mạng
Số lượng nền tảng cần có để đạt mức an toàn như vậy sẽ cao đến mức phi thực tế
Trên toàn thế giới đã xảy ra sự cố máy tính quy mô lớn tại các doanh nghiệp chạy CrowdStrike trên thiết bị Windows
CrowdStrike được bán như phần mềm chống hack, nhưng thực tế lại là phần mềm phổ biến để các lãnh đạo cấp C giám sát hành vi của nhân viên
Nó được cài đặt với quyền rất cao, và theo thiết kế thì khó sửa hoặc gỡ bỏ
Tôi tự hỏi liệu việc này có thật sự đem lại bài học gì cho ai đó không
Microsoft công bố có 8,5 triệu thiết bị bị ảnh hưởng, nghe khó tin, nhưng nhìn vào công sức ứng phó ngay cả ở một tổ chức quy mô tương đối trung bình như chúng tôi, sẽ nảy ra những câu hỏi rất đơn giản kiểu “một nửa nhân viên làm việc từ xa thì rốt cuộc làm sao truy cập được các thiết bị này?”
Trước nay phản ứng luôn là “làm việc này thì tốn bao nhiêu”, nhưng giờ đã có thêm con số ở phía ngược lại, tức là “không làm thì tốn bao nhiêu”
Nếu có ảnh chụp màn hình thì tốt
Tôi không đồng ý với phần Kent Walker của Google nói rằng “không phải là không có hy vọng”, rằng AI có thể tạo ra tiến bộ đáng kể trong việc xác định lỗ hổng, vá lỗ hổng và cải thiện chất lượng mã
Nếu hy vọng duy nhất chỉ là một lời hứa AI mơ hồ, thì tôi cho rằng thực ra là không có hy vọng
Điều này giống như nói cách tốt nhất để ngăn các vụ xả súng ở trường học là đưa súng cho giáo viên
Tôi không nghĩ AI sẽ thuyết phục ban lãnh đạo CrowdStrike tốt hơn rằng chiến lược triển khai theo từng giai đoạn đáng để bỏ chi phí
Những vấn đề như thế này do con người gây ra, không phải do công nghệ, nên thêm công nghệ vào sẽ không giải quyết được