Embed Size (px)
Citation preview
Bảo mật cho ứng dụng web
Những năm gần đây, các dịch vụ thương mại điện tử (TMĐT) như thanh toán trực tuyến, giao dịch trực tuyến ebanking… phát triển không ngừng. Các tiện ích càng được phát triển, doanh nghiệp (DN) càng phải trang bị hạ tầng mạng chuyên nghiệp nhằm đáp ứng nhu cầu vận hành liên tục và bảo mật hệ thống.
Điều kiện bảo mật
Một hệ thống mạng bảo mật luôn phải đảm bảo các mục tiêu như: Cho phép hoặc cấm những dịch vụ truy cập ra ngoài; Cho phép hoặc cấm những dịch vụ từ ngoài truy cập vào trong; Theo dõi luồng dữ liệu mạng giữa Internet và Intranet (mạng nội bộ); Kiểm soát và cấm địa chỉ truy nhập; Kiểm soát người sử dụng và việc truy cập của người sử dụng; Kiểm soát nội dung thông tin lưu chuyển trên mạng.
Với những yêu cầu và mục tiêu do DN đặt ra, các nhà tích hợp hệ thống sẽ tư vấn và xây dựng một hệ thống mạng hoàn chỉnh:
+ Kết nối bên ngoài bao gồm các thiết bị định tuyến kết nối ADSL, Lease-line… cùng các thiết bị cân bằng tải.
+ Kết nối bảo mật: Các thiết bị tường lửa (Firewall), các hệ thống phòng chống tấn công IDS/IPS... và phần mềm giám sát hệ thống.
+ Hệ thống máy chủ: Các máy chủ (server) cài đặt hệ điều hành Windows, Linux… và các giải pháp phòng chống virus, chống thư rác (spam mail)...
+ Hệ thống lưu trữ: Các thiết bị lưu trữ dữ liệu tích hợp SAN (Storage Area Network)...
Đầu tư hệ thống bảo mật
Việc đầu tư một hệ thống bảo mật theo đúng tiêu chuẩn mà các nhà tích hợp hệ thống đem lại cho DN có thực sự hoàn hảo hay không? DN có thể tham khảo bảng đánh giá của các hãng bảo mật:
Chúng ta nhìn thấy một số vấn đề nổi bật về bảo mật thông tin như: Thứ nhất là các cuộc tấn công, xâm hại vào các hệ thống web site của DN diễn ra ngày càng liên tục và tinh vi hơn (25,48% cuộc tấn công chưa xác định nguồn gốc). Thứ hai là các hệ thống máy chủ được trang bị tất cả các giải pháp bảo mật tiên tiến vẫn chịu sự tấn công trực tiếp mà không ngăn chặn hoàn toàn được.
Theo thống kê các phương thức tấn công mạng phổ biến hiện nay, các kiểu tấn công truyền thống như SQL Injection, Cross-Site Script, Brute Force... vẫn đang gây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu.
Theo thống kê các phương thức tấn công hiện nay (hình 1) chúng ta thấy các kiểu tấn công truyền thống như SQL Injection, Cross-Site Script, Brute Force... vẫn đang gây thiệt hại cho hệ thống mạng dù đã được cảnh báo từ rất lâu.
Các cuộc tấn công này chủ yếu tập trung vào các ứng dụng web được phát triển trong các dịch vụ thương mại điện tử với nền tảng ứng dụng web 2.0. Vấn đề bảo mật cho các ứng dụng hiện nay nói chung và ứng dụng web nói riêng vẫn còn khá “mới mẻ” đối với các DN Việt Nam.
Một DN cần triển khai một ứng dụng TMĐT họ sẽ thực hiện các bước sau: Xây dựng ứng dụng theo các nhu cầu kinh doanh và việc này sẽ do một nhóm phụ trách lập trình thiết kế và xây dựng; Kế đến là trang bị hạ tầng mạng để triển khai ứng dụng này.
Các thiết bị bảo mật hiện nay như tường lửa (Firewall), IPS/IDS sẽ không thể giám sát, đánh giá được hết các ứng dụng được xây dựng trên nền tảng web (cụ thể ở đây là giao thức HTTP/HTTPS). Chỉ có các thiết bị bảo vệ ứng dụng web trước các cuộc tấn công - Web Application Firewall (WAF) chuyên dụng mới đáp ứng yêu cầu này.
Một bức tường lửa chuyên dụng sẽ làm các nhiệm vụ như sau:
+ Thiết lập các chính sách cho các kết nối người dùng HTTP thông qua việc chọn lọc nội dung cho máy chủ dịch vụ web.
+ Bảo vệ hệ thống trước các loại hình tấn công phổ biến trên mạng như: Cross-site Scripting (XSS) và SQL Injection.
+ Ngoài việc những động tác kiểm tra của một bức tường lửa thông thường, WAF sẽ kiểm tra sâu hơn, sẽ kiểm tra các nội dung HTTP ở lớp ứng dụng
Hình 1. Báo cáo rủi ro các cuộc tấn công Web
Giải pháp bảo mật ứng dụng web được diễn đạt như sau:
Giải pháp bảo mật ứng dụng web sẽ hỗ trợ tốt hơn:
+ Hạn chế tối đa các cuộc tấn công và các ứng dụng thông qua thiết bị bảo vệ ứng dụng web chuyên dụng (Web Application Firewall).
+ Tập trung phát triển, xây dựng các ứng dụng web theo đúng tiêu chuẩn Web 2.0 với các tiêu chí bảo mật web cao nhất (PCI DSS, OWASP…)
+ Khả năng giám sát, phòng chống tấn công có chiều sâu và tập trung.
+ Nâng cao hiệu năng của hệ thống, phát huy tối đa các tính năng bảo mật của từng thiết bị trong hệ thống.
Có cần bảo mật ứng dụng?
Hiện nay, trên thế giới các dự án về bảo mật ứng dụng web trong TMĐT đều phát triển trên 2 năm và có nhiều giải pháp cho vần đề này. Bên cạnh đó cũng xuất hiện một số tổ chức thường xuyên phân tích, đáng giá và đưa ra những tiêu chí bảo mật mới nhất. Chúng ta có thể kể đến OWASP (Open Web Application Security Project), một tổ chức phi lợi nhuận cung cấp cho cộng đồng các rủi ro phát sinh trong các ứng dụng web.
Tại Việt Nam, các DN vẫn chưa có được khái niệm chính xác về những rủi ro đang tiềm ẩn trong ứng dụng web. Chúng ta vẫn chưa xác định được rủi ro, sai sót trên website để dẫn đến hiểm họa tấn công mạng.
Các DN đang hướng đến TMĐT hoặc ứng dụng chạy trên nền tảng web cần tăng cường yêu cầu bảo mật cho các ứng dụng. DN nên tìm hiểu các vấn đề bảo mật khi xây dựng các ứng dụng. Ví dụ: Sử dụng ngôn ngữ NoSQL thay thế cho ngôn ngữ SQL truyền thống đã “lạc hậu” và có nhiều rủi ro. Sử dụng các công cụ mã
nguồn mở như Metasploit, SQLmap, Firecat... kiểm tra và đánh giá các lỗ hổng trong hệ thống mạng.
Xây dựng các biểu mẫu đánh giá rủi ro hệ thống (tham khảo các tiêu chuẩn bảo mật OWASP, WASC...) nhằm phân loại các rủi ro để có các hành động cụ thể khi xảy ra sự cố. Nếu có điều kiện, nên sử dụng dịch vụ PenTest (khảo sát độ an toàn của hệ thống) chuyên nghiệp nhằm hạn chế các rủi ro khi có sự cố tấn công từ bên ngoài.
Ngoài ra, các DN cũng nên tổ chức các khóa học ngắn hạn, dài hạn về an toàn thông tin nhằm nâng cao nhận thức về bảo mật cho nhân viên. Tích cực tìm hiểu các quy trình, tiêu chuẩn bảo mật như ISO 27000, 27001… Hiệu chỉnh các ứng dụng với sự hỗ trợ của các nhà lập trình rà soát các ứng dụng, nâng cấp hệ thống và tiến hành khảo sát hệ thống (Audit) hàng năm để đánh giá thực trạng của ứng dụng.
An toàn thông tin đòi hỏi cá nhân, tổ chức và DN phải không ngừng nâng cao và phát triển liên tục. Các ứng dụng web tuy mang lại cho người dùng và DN nhiều tiện ích, nhưng cũng trở thành môi trường cho hacker “trục lợi”. Trước khi triển khai các ứng dụng để kinh doanh, các DN cần chú ý đến khâu bảo mật ứng dụng web.
Ứng dụng và an toàn của công nghệ web services I.TỔNG QUANTừ những ngày đầu của Internet, người ta đã quan tâm đến tính an toàn trong trao đổi thông tin. Mặc dầu, không có sự an toàn tuyệt đối, nhưng những phát triển trong lĩnh vực này thì rất nhanh và mang lại nhiều thành quả vì đây là vấn đề cấp bách của nhiều doanh nghiệp. Không có một mức an toàn thích hợp, sự khai thác thương mại của Internet thì không hoàn toàn an toàn. Do đó những giải thuật để kiểm chứng, sự mã hóa khóa thông tin, và chữ ký số hóa có thể là những giải pháp cung cấp một mức đủ an toàn.
Chính vì thế sự an toàn của web service trên mạng cũng không thể nằm ngoài vấn đề này. Có thể nói ngày nay ngoài việc nghiên cứu làm sao để tạo ra một web services tốt mang lại nhiều lợi ích thì việc nghiên cứu để làm sao mang lại sự an toàn cho web services cũng là một trong những vấn đề quan trọng nhất. Thật khó tin tưởng để sử dụng một business service như- mua chứng khoán hay chuyển tiền trực tuyến mà lại không có một sự an toàn cần thiết. Một chuẩn an toàn chung cho các hệ thống giao dịch trên mạng thường phải tập trung vào những điều sau:
- Identification: định danh được những ai truy cập tài nguyên hệ thống.- Authentication: chứng thực tư cách truy cập tài nguyên của người muốn sử dụng.- Authorization: cho phép giao dịch khi đã xác nhận định danh người truy cập.- Integrity: toàn vẹn thông tin trên đường truyền. - Confidentiality: độ an toàn, không ai có thể đọc thông tin trên đường đi.- Auditing: kiểm tra, tất cả các giao dịch đều được lưu lại để kiểm tra.- Non-repudiation: độ mềm dẻo, cho phép chứng thực tính hợp pháp hóa của thông tin đến từ
một phía thứ ba ngoài 2 phía là người gửi và người nhận.
Những yêu cầu trên giúp cho hệ thống an toàn hơn , tránh được phần nào những truy cập không hợp lệ .Trong đó:Loan Amount: Số tiền vay nợInterest Rate (%) : Lãi suấtInstallments : Thời gian trả nợ (tính theo tháng)Result : Số tiền phải trả hàng thángHTTP (HyperText Transfer Protocol) là giao thức thường sử dụng nhất cho việc trao đổi thông tin trên Internet, tuy nhiên không an toàn, bởi vì tất cả thông tin được gửi dưới dạng văn bản trong mạng ngang hàng không an toàn. HTTP thuộc về nhóm của những nghị thức, như- SMTP, telnet, và FTP, được thiết kế trong giai đoạn đầu của Internet khi mà vấn đề an toàn chưa được quan tâm đến nhiều. Một phát triển của HTTP là HTTPS, nó là một chuẩn an toàn cho HTTP, HTTPS cho phép chứng thực client và server qua những chứng thực giữa client và server.
Trước khi có web servives security ( WS-Security ) thì ý nghĩa thông thường của an toàn web service là bảo mật kênh truyền dữ liệu. Nó được thực hiện cho những SOAP/HTTP dựa trên cơ chế truyền thông điệp bằng # cách sử dụng giao thức HTTPS. Không giống sự an toàn mức thông điệp, HTTPS cung cấp sự an toàn tới toàn bộ gói dữ liệu HTTP. Bởi vậy, chúng ta không có một tùy chọn nào để áp dụng sự an toàn có chọn lọc chỉ trên những thành phần của một thông điệp.
Mặc dầu HTTPS không bao phủ tất cả các khía cạnh trong chuẩn an toàn chung, nhưng nó cũng đã cung cấp một mức bảo chứng đầy đủ với định danh và chứng thực, sự toàn vẹn thông điệp, và độ tin cậy. Tuy nhiên, authentication, auditing, and nonrepudiation chưa được cung cấp. Bên cạnh đó , HTTPS là một giao thức nên khi thông điệp đi qua HTTP server thì lại không an toàn.
II.AN TÒAN WEB SERVICESTrước hết chúng ta xem xét những nhân tố rủi ro ảnh hưởng đến mức an toàn của những ứng dụng dựa trên web service. Chúng ta sẽ sử dụng một kịch bản rút tiền ngân hàng qua mạng để xem xét vấn đề.
Đây là một ứng dụng client/ server đơn giản mô tả một người rút tiền (client) kết nối tới trung tâm dữ liệu của ngân hàng để sử dụng một ứng dụng web service để thực hiện yêu cầu của mình. Nếu không có sự an toàn nào đã được áp dụng, thì có ba nhân tố mạo hiểm chính:
- Những giao dịch không hợp pháp (Unauthorized transactions) : một người nào đó không có quyền nhưng vẫn yêu cầu rút tiền. Giao dịch này không hợp pháp. Chúng ta cấm vấn đề này bằng cách sử dụng cơ chế chứng thực của WS - Security. Một ví dụ của sự chứng thực bao gồmphải có một kết hợp user ID/ password trong SOAP message.
- Những thông báo không mã hóa (Readable messages in clear text-no encryption): số hiệu tài khoản và số dư tài khoản trong gói SOAP rất dễ bị đọc lén trên mạng. Việc lộ thông tin này là do thông tin tài khoản và số dư được gửi qua mạng dưới định dạng văn bản.Để giải quyết vấn đề này, thông tin này phải được mã hóa ở mức kênh chuyển thông điệp hoặc ở mức thông điệp (WS - Security).
- Những thông điệp bị thay đổi hoặc mất mát (SOAP message susceptible to modification-no integrity): Trong quá trình chuyển thông tin từ người rút tiền đến trung tâm dữ liệu, nó có thể bị chặn. Và những thông tin này có thể bị thay đổi, ví dụ như số tài khoản là 1234 thì bị thay đổi thành số 9876. Vấn đề này dẫn đến thiếu sự toàn vẹn.
Trong những kịch bản trên, chúng ta đã mô tả sự an toàn liên quan tới những yêu cầu của sự chứng thực, tính bí mật, và sự toàn vẹn thông tin.
Trước khi có WS-Security, sự an toàn kênh chuyển thông điệp rất thường được sử dụng. Sự an toàn kênh chuyển thông điệp ở chỗ là nó mã hóa toàn bộ thông điệp, dẫn đến sử dụng CPU cao hơn. Tuy nhiên với WS-Security, nó cung cấp những cách tối ưu hóa những thao tác an toàn, mà yêu cầu ít thời gian sử dụng CPU hơn. Dựa vào mức an toàn cần thiết mà một hoặc nhiều hơn những cơ chế an toàn này có thể được áp dụng cho một ứng dụng.
III. KẾT LUẬNNgày nay công nghệ web services đã và đang được triển khai và ứng dụng trong rất nhiều lĩnh vực khác nhau bao gồm cả những lĩnh vực nhạy cảm, đòi hỏi tính an toàn cao như tài chính, ngân hàng,… do đó web service cần cung cấp một mức an toàn đủ để hỗ trợ những công việc như thế. Bên cạnh mặt được của công nghệ web services mang lại thì việc đảm bảo an toàn, tin cậy, toàn vẹn thông tin trao đổi trên web service cũng là một điều rất quan trọng trong quá trình xây dựng web services, bằng việc sử dụng ws security và các thành phần của nó giúp cho thông tin trao đổi trên web services trở nên an toàn hơn. Tuy nhiên việc chọn cơ chế an toàn cho web service phải đòi hỏi sao cho người dùng không cảm thấy qúa phức tạp tạo một sự gò bó, do đó việc chọn cơ chế an toàn nào trong ws security thì phụ thuộc nhiều vào loại service và những tính năng mà servive này cung cấp, ví dụ như service về giao dịch tài chính ngân hàng phải có cơ chế an toàn hiệu qủa hơn so với service chọn lọc và phân loại tin tức hay service cho biết tỷ giá trao đổi giữa các loại ngoại tệ,…. Bên cạnh đó còn một điểm cần quan tâm đó là sự an toàn không chỉ phụ thuộc vào những giải thuật, những tiêu chuẩn, và những cơ chế mà ws security mang lại, mà nó còn tùy vào thái độ của các công ty có hiểu rõ tầm quan trọng của an toàn thông tin khi triển khai các ứng dụng, giao dịch trên mạng hay không cũng rất cần thiết.
LÊ QUANG HÙNG
10 lỗi an toàn thông tin phổ biến trên trang TTĐT
ICTnews - Theo Bộ TT&TT, tấn công Injection, cấu hình bảo mật, lưu trữ mã hóa không an toàn... hiện là
những lỗi phổ biến nhất trên trang/cổng thông tin điện tử.
Thực hiện chỉ đạo của Thủ tướng Chính phủ về việc bảo đảm an toàn thông tin cho các cổng thông tin điện
tử, đồng thời để thống nhất về nội dung và phương pháp quản lý an toàn thông tin theo yêu cầu của Nghị
định số 43/2011/NĐ-CP, Bộ TT&TT đã có công văn số 2132/BTTTT-VNCERT ngày 18/7 hướng dẫn các cơ
quan nhà nước triển khai áp dụng tài liệu "Hướng dẫn một số biện pháp kỹ thuật cơ bản cho cổng/trang
thông tin điện tử" nhằm mục đích cung cấp những kiến thức và yêu cầu thiết lập hệ thống phòng thủ, bảo
vệ. Từ đó, các đơn vị quản lý cổng/trang thông tin điện tử có thể đánh giá mức độ an toàn thông tin và chọn
giải pháp phù hợp nhằm xây dựng cổng/trang thông tin điện tử an toàn.
Theo đó, để vận hành ứng dụng web an toàn, tài liệu đã chỉ rõ "10 lỗi an toàn thông tin phổ biến", qua đó
nhận diện nguy cơ mắc lỗi của cổng/trang thông tin điện tử tại đơn vị, có biện pháp khắc phục hợp lý hoặc
sửa đổi mã nguồn web loại bỏ các nguy cơ tiềm ẩn. Tiêu biểu, trong số đó có những lỗi đã được nhắc đến
rất nhiều thời gian qua như tấn công Injection, thường xảy ra khi người dùng gửi các dữ liệu không tin cậy
đến ứng dụng web nhằm phục vụ cho mục đích xấu hay cấu hình bảo mật ứng dụng, framework, máy chủ
web không an toàn...
Tháng 7/2011, theo BKAV đã có ít nhất 88 website của các cơ quan, doanh nghiệp tại Việt Nam bị hacker
xâm nhập, trong đó có 9 trường hợp gây ra bởi hacker trong nước, 79 trường hợp do hacker nước ngoài.
Mặt khác, đã có 3.068 dòng virus máy tính mới xuất hiện tại Việt Nam. Các virus này đã lây nhiễm trên
5.627.000 lượt máy tính. Virus lây nhiều nhất trong tháng qua là W32.Sality.PE đã lây nhiễm trên 415.000
lượt máy tính.
Cơ chế bảo vệ bằng ký tự phức tạp (CAPTCHA) đang phổ biến trong ứng dụng web. Nhưng giờ đây, các chuyên gia cho thấy nó không còn an toàn nữa.
Ngày 17/6/2010, Chi hội An toàn thông tin phía Nam đã tổ chức buổi hội thảo “Bảo mật ứng dụng web”. Nội dung gồm 3 chủ đề: giới thiệu OWASP Top 10 phiên bản 2010, giới thiệu cách khai thác lỗi bảo mật của cơ chế chứng thực người dùng bằng ký tự phực tạp (CAPTCHA) và quy trình bảo mật web.
OWASP Top 10 là tài liệu công bố 10 rủi ro bảo mật của ứng dụng web. Và là một phần của Open Web Application Security Project, viết tắt là OWASP.
Cho đến thời điểm này, OWASP Top 10 có 3 phiên bản: 2004, 2007 và 2010. Trong phiên bản 2010, rủi ro chèn dữ liệu ác ý (injection flaws) xếp đầu tiên, kịch bản chéo trang tấn công người dùng cuối (Cross-Site-Scripting) vị trí thứ 2 và chiếm phiên truy cập của người dùng (Broken Authentication and Session Management) từ vị trí số 7 năm 2007 lên thứ 3 năm 2010. Hai rủi ro bị loại bỏ khỏi danh sách là thực thi mã độc (Malicious File Execution), và quản lý thông tin lỗi trả về (Information Leakage and Improper Error Handling).
Hầu hết các hệ thống web cho phép đăng ký người dùng đều có cơ chế xác thực người dùng bằng hình ảnh chứa các ký tự khó đọc. Mục đích để đảm bảo là con người thực đang thao tác.
Tuy nhiên, ông Dương Ngọc Thái, Trưởng phòng an toàn thông tin của ngân hàng Đông A và cộng tác Juliano Rizzo đã chỉ ra cách làm trên không còn được an toàn nữa.
Để chứng minh, ông Thái đã trình diễn giải mã chuỗi ký tự cần người dùng nhập vào từ 1 chuỗi ký tự mã hóa. Tổng thời gian tìm ra chuỗi ký tự hơn 4 phút. Để khắc phục điểm yếu này, ông Thái chia sẻ thêm, cách cơ bản là các nhà phát triển nên dùng các thư viện mã hóa có sẵn như Cryptlib khi cài đặt cơ chế xác thực người dùng.
Ở quan điểm là người đánh giá, kiểm định hệ thống bảo mật ông Cường Phạm, Giám đốc dự án của Athena chia sẻ: “đánh giá ứng dụng web có an toàn hay không là một quy trình gồm nhiều bước. Từ thu thập thông tin, phân tích cho đến thẩm định hệ thống theo nhiều cách khác nhau”.
GIÁN ÐIỆP TRUNG QUỐC
Các bản tin về gián điệp Trung Quốc tại ngoại quốc:
2012
Bảo mật hiện được các doanh nghiệp quan tâm đặc biệt.
1. VOA (9-2-2012): Hoa Kỳ khởi tố công ty Trung Quốc về tội gián điệp kinh tế.
2. RFI (19-5-2012): Bắc Kinh mua hay đánh cắp công nghệ Tây Phương để canh tân quân đội.
3. VN+ (22-5-2012): Vũ khí Mỹ tràn ngập các linh kiện giả từ Trung Quốc.4. RFI (30-7-2012): Gián điệp mạng Trung Quốc “làm nghiêng ngửa”
phương Tây.
2011
1. RFI (29-1-2011): Những chiến binh trong bóng tối. 2. TN (8-2-2011): Mỹ xử gián điệp thương mại. 3. RFI (10-2-2011): Mỹ có thể ngừng cung cấp vũ khí hiện đại cho Đài Loan
sau vụ gián điệp. 4. RFI (10-2-2011): Theo báo Đài Loan, viên tướng làm gián điệp đã sập bẫy
mỹ nhân kế của Bắc Kinh. 5. BBC (14-2-2011): Gián điệp TQ 'xâm nhập Đài Loan sâu rộng'? 6. DV (23-5-2011): 'Ngàn hạt cát' Trung Quốc và cỗ máy tình báo khổng lồ.7. TN (19-6-2011): Gián điệp Trung Quốc săn bí mật Mỹ. 8. TN (23-6-2011): Gián điệp Trung Quốc săn bí mật Mỹ: Đánh cắp công
nghệ nhạy cảm.9. BVN (6-10-2011): Hạ viện Mỹ báo động về tình trạng gián điệp kinh tế
Trung Quốc.10.DV (22-11-2011): Pháp bắt 2 gián điệp Trung Quốc.11.TN (22-11-2011): Hạ viện Mỹ điều tra công ty Trung Quốc.
*****
Hoa Kỳ khởi tố công ty Trung Quốc về tội gián điệp kinh tế
VOA - Thứ Năm, 09 tháng 2 2012
Trung tâm nghiên cứu của công ty DuPont tại Meyrin gần Geneva - Hình: REUTERS
Giới hữu trách Hoa Kỳ tố cáo một công ty quốc doanh Trung Quốc âm mưu đánh cắp bí mật thương mại của công ty hóa chất công nghiệp DuPont.
Các giới chức Bộ Tư pháp hôm thứ tư cho biết Tập đoàn Pangang (Phan Cương) đã bị một đại bồi thẩm đoàn ở San Francisco khởi tố về tội gián điệp kinh tế và những tội khác. 3 công ty con của tập đoàn này cũng bị truy tố trong vụ này, cùng với công ty USA Performance Technology, một công ty ngành kỹ sư ở California.
Lệnh khởi tố cho biết Pangang và các công ty con đã cấu kết với USA Performance Technology để lấy thông tin về một hóa chất quí giá do DuPont phát minh và được dùng để chế tạo nhiều loại sản phẩm như giấy, sơn, và chất nhựa.
Năm cá nhân cũng bị truy tố, trong đó có ông Walter Liew, một người Singapore lấy quốc tịch Mỹ, cùng với vợ là bà Christina, đồng sở hữu công ty USA Performance Technology, cùng với hai viên kỹ sư từng làm việc cho DuPont.
*****
BẮC KINH MUA HAY ĐÁNH CẮP CÔNG NGHỆ TÂY PHƯƠNG ĐỂ CANH TÂN QUÂN ĐỘI
RFI - Thứ bảy 19 Tháng Năm 2012
Bộ trưởng Quốc phòng Mỹ Leon Panetta tại Lầu năm góc (Reuters)
Tú Anh
Trung Quốc với ngân sách quốc phòng đứng hàng thứ hai sau Hoa Kỳ, tiếp tục gia tăng không ngừng và cải tiến sức mạnh quân đội qua công nghệ mua hoặc đánh cắp của tây phương. Trên đây là nội dung của bản phúc trình vừa được bộ Quốc phòng Mỹ công bố hôm qua.
Trong bản tường trình hàng năm về sức mạnh võ trang của Trung Quốc gửi Quốc hội Mỹ, bộ Quốc phòng Hoa Kỳ thẩm định ngân sách quân sự của Bắc Kinh có thể lên đến 180 tỷ đôla chứ không phải 106 tỷ như thông báo chính thức.
Theo số liệu của Bắc Kinh, thì ngân sách quốc phòng năm 2012 tăng thêm 11.2% so với năm trước. Nhưng bản báo cáo của Lầu năm góc Mỹ cho rằng con số này không bao gồm nhiều loại chi tiêu khác nhất là tổn phí canh tân vũ khí hạt nhân và mua vũ khí của nước ngoài. Tổng ngân sách quốc phòng của Trung Quốc do vậy có thể lên đến 180 tỷ đôla hoặc ít ra không thể dưới 120 tỷ.
Bộ quốc phòng Mỹ nhận định Trung Quốc “theo đuổi một chính sách canh tân quân sự toàn diện” với mục tiêu “chiến thắng một trận xung đột cấp vùng” hay để tiến hành “một chiến dịch quân sự với cường độ cao trong một thời gian ngắn”. Đài Loan và sự yểm trợ của Mỹ vẫn là trong tâm chiến lược của Hoa Lục.
Để thực hiện mục tiêu này, Bắc Kinh, bằng biện pháp “hợp pháp lẫn bất hợp pháp”, sở hữu nhiều công nghiệp của tây phương gọi là “lưỡng dụng” tức là vừa dân sự vừa quân sự.
Quân đội Hoa Kỳ e rằng với thủ đoạn này, khả năng quận sự của Trung Quốc sẽ gia tăng đáng kể. Lầu năm góc cũng đặc biệt lo ngại vấn đề chuyển giao kỷ thuật điển hình qua việc tập đoàn Airbus của châu Âu mở hãng sản xuất máy bay tại Trung Quốc.
Theo ông David Herley, đặc trách Á châu sự vụ của Lầu năm góc, thì Hoa Kỳ thao dõi sát sao giới doanh nghiệp Trung Quốc đầu tư cải tiến kỷ nghệ quốc phòng và khả năng sao chép trang thiết bị quân sự. Vấn đề gián điệp công nghiệp do vậy là một mối đe dọa lớn. Trung Quốc cũng tận dụng internet làm vũ khí tấn công phá hoại.
Quân đội Trung Quốc hiện nay trang bị từ 50 đến 75 hỏa tiển liên lục địa có đầu đạn hạt nhân không kể hàng ngàn tên lửa tầm trung. Hải quân hiện có 7 tàu ngầm nguyên tử, 48 tàu ngầm chạy bằng dầu cặn, ba hạm đội với 79 chiến hạm và 86 tuần dương hạm. Trung Quốc cũng đang chạy đua với thời gian canh tân một hàng không mẫu hạm cũ do Nga chế tạo.
Không quân với 1570 chiến đấu cơ và 550 máy bay oanh tạc. Lực lượng bộ binh lên đến 1,205,000 quân với 8,000 xe tăng và 7,000 đại pháo. Hoa Lục bố trí 400 ngàn quân đối diện với Đài Loan cùng với 1,200 tên lửa.
Tags: Châu Á - Hoa Kỳ - Quốc Tế - Trung Quốc
*****
Vũ khí Mỹ tràn ngập các linh kiện giả từ Trung Quốc
TTXVN - 22/05/2012
Trực thăng SH-60B của Hải quân Mỹ - Nguồn:airliners.net
Báo cáo công bố ngày 21/5 của Thượng viện Mỹ cho biết hơn một triệu linh kiện điện tử giả của Trung Quốc đã được lắp đặt cho các máy bay quân sự, đe dọa tới sự an toàn và an ninh quốc gia của Mỹ.
Theo Ủy ban Quân lực Thượng viện Mỹ, trong cuộc điều tra kéo dài một năm do Chủ tịch ủy ban, Thượng nghị sĩ Dân chủ Carl Levin, và Thượng nghị sĩ Cộng hòa John McCain khởi xướng, các chuyên gia đã phát hiện 1,800 vụ việc liên quan tới linh kiện giả, trong đó có linh kiện của các loại máy bay vận tải hạng năng của Không quân Mỹ, các trực thăng dùng trong các chiến dịch quân sự đặc biệt và máy bay do thám của Hải quân.
Bản báo cáo dài 112 trang của Thượng viện đã phác thảo những nguy cơ đối với an ninh quốc gia cũng như đe dọa an toàn trong hoạt động của quân đội do linh kiện nhái, có nguồn gốc từ Trung Quốc.
Số hàng giả trên bao gồm các linh kiện trong các Màng lọc giao thoa điện từ (EIF) sử dụng trong các chiến dịch ban đêm và vận hành các tên lửa trên trực thăng SH-60B của Hải quân Mỹ.
Ngoài ra, chúng còn bị phát hiện trong các con chip nhớ của hệ thống hiển thị trên các máy bay vận tải quân sự hạng nặng nhưC-17 Globemaster III và C-130J, các môđun phát hiện băng trên máy bay P-8A Poseidon, dòng máy bay
Boeing 737 cải tiến có khả năng "săn" tàu ngầm và tàu chiến, của Hải quân Mỹ.
Báo cáo của Thượng viện Mỹ cho rằng Bộ Quốc phòng đã không lường được quy mô cũng như mức độ tác động tiêu cực của linh kiện điện tử giả đối với hệ thống phòng thủ quốc gia; đồng thời cảnh báo việc sử dụng các nhà phân phối độc lập mà không được kiểm soát chặt chẽ để cung cấp các linh kiện quân sự quan trọng đã dẫn đến những rủi ro không thể chấp nhận được đối với an ninh và an toàn quốc gia của Mỹ.
*****
Gián điệp mạng Trung Quốc “làm nghiêng ngửa” phương Tây
RFI - Thứ hai 30 Tháng Bẩy 2012
Josh Mayeux, nhân viên an ninh mạng làm việc cho trung tâm an ninh mạng tại căn cứ không quân Peterson, Colorado, 20/07/2010 - REUTERS/Rick
Wilking/Files
Lê Phước
Phương Tây không chỉ lo ngại về sự lớn mạnh kinh tế của Trung Quốc, mà còn mất ăn mất ngủ về “cái tài của các hacker mạng” của nước này. Nhật báo cánh Tả Libération hôm nay đặc biệt dành bài phân tích chủ đề nhạy cảm này với dòng tựa gây chú ý: “Châu Âu nằm dưới sự theo dõi của tin tặc Trung Hoa”.
Kẻ cắp gặp bà già
Hồi tháng 7 năm ngoái, một nhóm gián điệp mạng của Trung Quốc đã thâm nhập thành công vào hộp thư điện tử các quan chức Hội đồng Châu Âu đến … 5 lần. Nhóm hacker này tưởng rằng việc làm trên trời không biết, đất không hay, nhưng ngờ đâu một nhóm chuyên gia chống tin tặc tại Mỹ bao gồm các giảng viên đại học và các công ty từng là nạn nhân của “hacker Trung Hoa” đã biết tận tường vụ việc. Câu chuyện “giữa hai người” bỗng chốc được cả thế giới biết đến
khi vào cuối tuần rồi, tập đoàn truyền thông và tài chính Bloomberg của Mỹ đã cho công bố kết quả điều tra về vụ việc.
Theo cuộc điều tra nói trên, thủ phạm vụ hacker vừa đề cập là một nhóm hacker mạng mà mật vụ Hoa Kỳ đặt cho cái tên là “Byzantine Candor” (tạm dịch là : Sự ngây thơ viễn vông). Theo tài liệu mà Wikeleaks đã từng công bố, các nhà ngoại giao Mỹ cho rằng, nhóm hacker này thuộc quyền quản lý của quân đội nhân dân Trung Hoa, có trụ sở tại Thượng Hải.
Ngoài Hội đồng Châu Âu, nạn nhân của Byzantine Candor còn có ít nhất 20 công ty phương Tây, trong đó có tập đoàn dầu lửa Halliburton. Điểm chung của các công ty nạn nhân này là họ có những dữ liệu hoặc những kỹ nghệ mới có thể có lợi cho Trung Quốc.
Ngoài Byzantine Candor, các chuyên gia Hoa Kỳ cho biết còn có từ 10 đến 20 nhóm hacker khác đến từ Trung Quốc. Các nhóm này hoạt động rất có tổ chức, chúng rất biết cách “xóa dấu vết” để không bị truy ra nguồn gốc. Thế nhưng, chúng không ngờ “kẻ cắp gặp bà già”, mọi hành vi thâm nhập bí mật của chúng lại bị các chuyên gia Mỹ bí mật quan sát tường tận.
Hacker Trung Quốc, ai mà chả sợ !
Libération nhắc lại, câu chuyện hacker máy tính đến từ Trung Quốc đã bắt đầu từ hơn chục năm nay, với mục tiêu chính là những đối tượng mà chính quyền Bắc Kinh xem là kẻ thù, và các công ty vũ khí lớn ở Phương Tây, đặc biệt là của Mỹ. Năm 2009, hàng ngàn thư điện tử (e-mail) của đức Đạt Lai Lạt Ma đã bị hacker máy tính của Bắc Kinh sao chép lại.
Libération cho biết, đến hiện tại, dường như ai cũng có thể trở thành nạn nhân của hacker Trung Quốc. Nỗi ám ảnh đến mức mà hồi tháng Sáu rồi, trước khi đặt chân lên lãnh thổ Trung Quốc trong chuyến thăm chính thức nước này, bộ trưởng quốc phòng Úc ông Stephen Smith đã đề phòng bằng cách không mang theo điện thoại di động và máy tính xách tay.
Năm ngoái, một quan chức cấp cao Hoa Kỳ khẳng định rằng nhà cầm quyền Trung Quốc đã đầu tư những khoản tiền khổng lồ để phát triển công nghệ gián điệp mạng, và hiện tại nước này đã có trong tay một tổ chức gián điệp rất lớn và rất “thiện chiến”. Cũng năm ngoái, truyền hình quốc gia Trung Quốc đã cho phát một phim tài liệu về chủ đề khoa học và công nghệ quốc phòng, trong đó cho biết nước này đã trang bị được “nhiều phương tiện tấn công mạng”, và còn đưa ra minh chứng là đã tấn công thành công một trang mạng ở Bắc Mỹ của một nhóm Phật Giáo Pháp Luân Công (vốn bị Bắc Kinh cho là "tà đạo").
Nói về nhân lực của các tổ chức hacker Trung Quốc, Libération cho biết, quân đội nhân dân Trung Hoa tuyển mộ nhiều ngàn người đang làm việc ở các công ty công nghệ hoặc đang nghiên cứu giảng dạy ở các trường đại học. Đây là “tuyệt chiêu” của hacker mạng Trung Quốc, bởi nguồn nhân lực này rất tinh vi nên rất khó bị phát hiện.
Tờ báo nhắc lại, hồi tháng 8 năm 2011, có đến 70 công ty của Mỹ, Hy Lạp, Đài Loan và Kazakhstan đã bị tin tặc xâm nhập. Khi ấy, một nghiên cứu của Mỹ đã khẳng định, Trung Quốc chính là thủ phạm.
File: ITN-073012-CHINA-1-Gian diep Trung Quoc.doc
Nguyễn Mạnh TríE-Mail: [email protected]
www.tranhchapbiendong.comTu chỉnh: 30 tháng 7 năm 2012
