Hệ thống quản trị trang web chính thức của FBI lại bị hack
Lần thứ hai, hacker có nickname CyberZeist của tài khoảng @le4ky trên trang Twitter lại tấn công trang web chính thức của FBI và công khai thông tin những tài khoản cá nhân bị rò rỉ trên một trang web công cộng.
Ngày 22.12 .2016, CyberZeist, còn được gọi với mật danh là Le4ky, khai thác một lỗ hổng zero-day trong Hệ thống quản trị nội dung Plone (CMS) của trang web của FBI, đăng tải một số thông tin bị rò rỉ lên trang Pastebin, một trang web mã nguồn mở thường được tin tặc sử dụng để đăng tải thông tin bị đánh cắp và các đoạn code.
Trên trang Pastebin, hacker này tuyên bố rằng những thông tin bị rò rỉ này “hoàn toàn dành cho các hackers phong trào Anonymous.”
Hệ thống quản trị trang web chính thức của FBI lại bị hack
Lỗi zero-day là một lỗ hổng bảo mật trong các đoạn mã (code) mà không bị phát hiện, không được liệt kê, hoặc vá. Chính vì vậy, trang web của FBI có zero-day, được sử dụng cho các cuộc tấn công mạng.
CyberZeist đã tìm thấy một lỗ hổng zero – day trong Plone CMS, được các chuyên gia an ninh mạng đánh giá là Hệ thống quản trị nội dung (CMS) an toàn nhất trong số các chuyên gia an ninh. CMS này được sử dụng cho nhiều trang web lớn như Google, FBI và CIA, các cơ quan quan trọng khác của Mỹ.
Video đang HOT
Lần tấn công (hack) mới nhất, hacker đã lấy được và tiết lộ dữ liệu cá nhân của hơn 155 nhân viên tại FBI, bao gồm họ và tên, mật khẩu và tài khoản email.
CyberZeist cảnh báo rằng, các cơ quan tổ chức, hiện đang sử dụng Plone CMS cũng rất dễ bị tấn công tương tự, trong đó có cả các cơ quan như Tổ chức EU về Mạng & Bảo mật thông tin, Trung tâm điều phối Quyền Sở hữu Trí tuệ (Intellectual Property Rights Coordination Center – WIPO) và Tổ chức Ân xá Quốc tế.
CyberZeist khi tấn công trang web của FBI cho biết, trang web của cơ quan này đang chạy phiên bản cũ của hệ điều hành mã nguồn mở (OS) FreeBSD. Mặc dù phiên bản gần đây nhất, 11.0, đã được phát hành vào tháng 10.2016, FBI vẫn đang sử dụng phiên bản 6.2, phát hành vào tháng 01. 2007.
Trong khi nghiên cứu khai thác phần code, CyberZeist phát hiện rằng, quản trị mạng của FBI đã “làm việc một cách rất lười biếng, anh / cô ấy đã lưu giữ các tập tin sao lưu (back up) có (phần mở rộng .bck) trên cùng một thư mục gốc, nơi các file gốc của trang web được cài đặt (Cảm ơn quản trị website!) (Thank you Webmaster!)”
Các nhà chức trách Mỹ chưa có câu trả lời cho các cuộc tấn công truy cập (hacks) của CyberZeist. CyberZeist tuyên bố rằng các chuyên gia an ninh mạng không phát hiện ra lỗ hổng trong CMS. “Tôi thử tiến hành kiểm tra lỗ hổng 0day trong trang web của FBI và Amnesty” do các nhà phát triển “rất lo ngại rằng, ai đó sẽ sử dụng các thông tin này để tấn công trang web của FBI.”
Hacker khẳng định rằng, lỗi zero-day đang được một hacker có nickname là “lo4fer.” chào bán trên mạng Tor.” Anh ta nói “Tôi không thể công bố lỗ hổng để hack 0day cho mình khi lỗi này được bán ra trên mạng Tor bằng Bitcoins “CyberZeist viết trên trang rò rỉ thông tin Pastebin . “Một khi 0day không được bán nữa, tôi sẽ viết một tweet, công khai lỗ hổng tấn công 0day của Plone CMS.”
Theo CyberZeist, trong năm 2011, CyberZeist cho biết một thành viên của nhóm hacker nổi tiếng Anonymous đã hack vào trang web FBI. Thời điểm đó, hacker này đã vượt được qua hàng rao an ninh trang web của FBI bằng một trang lừa đảo giả mạo tương tự như cổng thông tin đăng nhập. Cách lấy mật khẩu và tên người dùng này tương tự như cách mà các hackers đã tấn công các email của thành viên Đảng Dân chủ.
Trong lần đột nhập này, CyberZeist đã lấy hơn 250 địa chỉ email và mật khẩu.
Trong các hoạt động tiếp theo của mình, CyberZeist công bố một cuộc bình chọn, đặt câu hỏi, những người hâm mộ bỏ phiếu cho mục tiêu tiếp theo mà hacker này nên tấn công. Những mục tiêu được đưa ra bình chọn là Các cơ quan chính phủ, các tập đoàn ngân hàng, website cơ quan quân sự và các cơ quan quốc phòng quốc gia (vệ binh quốc gia) và nhiều tùy chọn “khác”, người dùng có thể tweet sở thích của mình để CyberZeist lựa chọn. Lựa chọn phổ biến là các tổ chức ngân hàng với hơn 800 phiếu bầu cho đến thời điểm này.
(Theo Viettimes)
Mỹ sẽ có đội đặc nhiệm SWAT không gian mạng
Trong tương lai không xa, cảnh tượng những kỹ sư trẻ với quần jean, áo và mũ chùm đầu đi lại trong những phòng làm việc nghiêm túc của Lầu Năm Góc sẽ là những cảnh tượng không xa lạ. Những kỹ sư IT "nghiền máy tính" sẽ hình thành đội quân tác chiến không gian mạng của lực lượng Không quân Mỹ.
Phòng tác chiến không gian mạng Bộ quốc phòng Mỹ ở Fort Gordon, bang Georgia
Đó là một phần sáng kiến của quan chức dân sự cao cấp nhất trong lực lượng không quân Mỹ nhằm tổ chức một đội kỹ sư IT tài năng, hoạt động như một đội tác chiến khẩn cấp trong không gian ảo.
Ngày 06.01.2016, Bộ trưởng bộ không quân Mỹ, bà Deborah Lee James tuyên bố trong bữa sáng của hiệp hội không quân Mỹ : "Chúng tôi đang tổ chức một đội kỹ sư IT tài năng "nghiền máy tính" SWAT tác chiến không gian mạng".
Nhóm kỹ sư IT tài năng này cũng sẽ được biết đến như một nhóm dịch vụ kỹ thuật số Không quân. Nhóm kỹ sư IT sẽ "hỗ trợ thiết kế những phần mềm hoàn hảo, khắc phục sự cố của những chương trình hiện có đang hoạt động nhưng gặp khó khăn với phần mềm điều hành", bà Bộ trưởng cho biết.
"Nhóm dịch vụ khẩn cấp kỹ thuật số không quân sẽ là một thành phần cấu thành của đội dịch vụ kỹ thuật số Bộ quốc phòng", Bộ trưởng Không quân James cho biết, "đó là một nhóm kỹ sư siêu tài năng với những kỹ năng được rèn giũa kỹ lưỡng trong khu vực kinh tế công nghệ kỹ thuật số tư nhân. Trong thời gian tới họ sẽ làm việc cho chính phủ trong một khoảng thời gian nhất định ... phục vụ cho đất nước mình giải quyết một số vấn đề lớn".
Bà James cho biết, bà đã tận mắt thấy những kỹ năng tuyệt vời của nhóm kỹ sư tài năng này khi họ làm việc với các hệ thống kiểm soát hoạt động thế hệ tiếp theo của các vệ tinh GPS, còn gọi là các chương trình OCX.
Bộ trưởng cho biết, chương trình OCX do tập đoàn Raytheon phát triển.
OCX là chương trình trạm kiểm soát mặt đất cho các vệ tinh GPS III, những vệ tinh này được tập đoàn Lockheed Martin thiết kế và chế tạo.
Bộ trưởng James nhận xét: "Là những kỹ sư IT tài năng từ Thung lũng Silicon, "các chuyên gia đã giúp chúng ta hiểu một số vấn đề rất mới của những phần mềm tiên tiến ... về kỹ thuật và thực hành, cho chúng tôi một số lời khuyên trong những phần gặp khó khăn, giúp cho tập thể chúng tôi đưa các chương trình trở lại hoạt động đúng hướng".
Các thành viên trong nhóm được gọi là các "HQE" hoặc các chuyên gia có trình độ cao, sẽ "làm việc từ 6 đến 12 tháng, sau đó sẽ quay lại khu vực kinh tế - công nghệ kỹ thuật số tư nhân".
Bộ trưởng James không cho biết một đội hình kỹ sư IT tài năng "nghiền máy tính" sẽ đòi hỏi chi phí là bao nhiêu, nhưng bà khẳng định đây là ý tưởng nhằm tránh xảy ra những trục trặc không lường trước được, có thể sẽ làm trì hoãn các chương trình đang phát triển, hoặc làm gia tăng chi phí lớn trong thời gian dài. Nhưng bà tuyên bố đây có thể là " một khoản đầu tư mang lại nhiều lợi ích".
(Theo Viettimes)
FBI có thể đã trả hơn 1,3 triệu USD để hack iPhone vật chứng Giám đốc Cục Điều tra Liên bang Mỹ James Comey tuyên bố vào thứ năm (22/12) rằng họ đã treo số thưởng khổng lồ để thâm nhập vào chiếc iPhone vật chứng vụ án San Bernardino. Theo Reuters, số tiền 1,34 triệu USD mà FBI trả cho đơn vị hack thành công chiếc iPhone là lớn chưa từng có trong lịch sử. Để...