Thi thực tế như sinh viên Y Hà Nội?
Cuối tuần trước, mình và mấy thằng bạn thân có hẹn nhau tụ tập ăn chơi. Thằng bạn mình học đại học Y sắp thi tốt nghiệp môn j đó; nghe nó kể về phong cách thi của môn đó mà thấy sướng cả người.
Cụ thể, nó bảo hình thức thi môn đó sẽ là: sinh viên sẽ được random để khám cho 1 ca bệnh, muốn hỏi j thì hỏi, khám j thì khám, nghe j thì nghe, ..., nhưng ko được phép xem bệnh án của bệnh nhân. Sau đó viết lại thành báo cáo để nộp cho thầy giáo chấm thi. Mỗi sinh viên được thực hiện khám trong vòng 1 tiếng đồng hồ.
Vậy có nghĩa là từ 1 bệnh nhân ko có bệnh án nào (vì ko đc xem), nó phải hỏi bệnh, bắt mạch, nắn bóp, nghe ngóng, siêu âm, ... cho đến khi nào có thể đưa ra được những kết quả chuẩn đoán có ý nghĩa để ghi vào báo cáo rồi nộp làm bài thi tốt nghiệp của môn đó! Nghe khá thực tế và đúng là ko có cái phao hay cái tủ nào cả; ko hiểu bản chất là chỉ có tiêu đời!
Nghe xong hình thức thi như vậy, mình liên tưởng ngay đến công việc của lĩnh vực Forensic trong Security. Công việc của các chuyên viên Forensic này hay được so sánh với công việc của các thám tử, các cảnh sát điều tra, ... Công việc của các thám tử và các cảnh sát điều tra là từ những j còn sót lại ở hiện trường, cũng như các thông tin thu được, họ phải điều tra thêm để thu thập manh mối, phục vụ cho việc phá án. Tương tự như vậy, công việc của các chuyên viên Forensic là từ những j sót lại sau một vụ tấn công vào hệ thống mạng, các chuyên viên này phải điều tra để thu thập thêm các thông tin có ý nghĩa. Từ các thông tin này, họ sẽ có thể đưa ra các giải pháp để giảm thiểu rủi ro, ngăn chặn tấn công, cũng như khôi phục lại hệ thống sau tấn công.
Nếu ở BK cũng có môn thi như vậy thì hay nhỉ. Mình học KSTN nên chỉ được học 2 môn của chuyên ngành ATTT là Toán chuyên đề vào kỳ 2 năm 3 và Cơ sở An toàn thông tin vào kỳ 1 năm 4; 2 môn này đều do một mình Sư Phụ dạy lớp mình. 2 môn này theo mình thấy rất hay (và những thứ đẹp - hay thì thường khó hiểu), đáng phải học; nhưng lại chủ yếu tập chung vào Toán là chính, chứ ko nghiêng về tính thực hành. Mình cũng ko biết trong danh sách các môn học của sinh viên lớp ngoài của chuyên ngành ATTT có học môn nào có đặc tính của Forensic ko. Nếu có thì hay quá; thi cử chả cần chuẩn bị j nhiều. Lớp có 100 sinh viên thì Thầy cứ vất cho mỗi thằng 1 cái file pcap cỡ tầm vài MB rồi cho sinh viên làm thám tử để tự mò mẫm rồi viết lại thành kết quả và nộp lấy điểm.
File pcap ko cần lớn; chỉ cần 1 file có dung lượng < 10MB cũng chứa khá nhiều thông tin rồi. Hơn nữa, khả năng dò của mỗi người là khác nhau, do đó có thể cùng 1 file pcap, nhưng 2 sinh viên khác nhau lại cho ra những báo cáo có ít nhiều khác biệt (đương nhiên những điểm mấu chốt thì vẫn phải có). Thằng nào ko hiểu là ko thể xác định được tí thông tin nào, vì file đó toàn là dữ liệu thô dạng hexdump. Thế nên chỉ có học thật thì mới có thể làm được bài kiểm tra; và các Thầy Cô cũng có thể đánh giá sát được khả năng Forensic của từng sinh viên dựa vào báo cáo kết quả. Đương nhiên ko phải cứ liệt kê ra nhiều thông tin thì là giỏi hơn; mà quan trọng nhất vẫn là những thông tin mấu chốt.
Ví dụ với 1 file pcap ghi lại lưu lượng mạng của 1 máy tính bị nhiễm Double Pulsar (backdoor thực hiện lây nhiễm WannaCry) thì phải xác định được ra những thông tin về các IP đích trong LAN, cũng như chắc chắn rằng máy bị nhiễm đang scan các cổng 135, 139, 445 của các máy đó để tận dụng lỗ hổng ETERNALBLUE trong dịch vụ SMB của các hệ điều hành họ Windows; kiểm tra giai đoạn beacon và killswitch xem máy tính thực hiện truy cập đến domain nào của quá trình GDN (Generate Domain Name); phân tích payload của gói tin truyền tải xem content có khớp với luật của các IDS như Snort hay Suricata ko; ... Từ đó, phải đưa ra được những biện pháp xử lý tạm thời như kiểm tra xem các máy đích có đang chạy Windows ko; sử dụng Firewall để đóng cổng 445 và vô hiệu hóa các dịch vụ đang lắng nghe trên các máy đích; nếu đang chạy Windows, phải nâng cấp SMB lên v2 với bản vá ETERNALBLUE; thực hiện diệt mã độc Double Pulsar trên máy tính đang bị nhiễm bằng Antivirus hoặc bằng tay.
Với 1 sự kiện khác, đương nhiên sẽ phải đưa ra những nhận định mấu chốt cũng như các cách khắc phục khác. Do đó bài kiểm tra sẽ có kết quả vô cùng phong phú và mang tính thực tế rất cao của lĩnh vực Forensic. Đây là 1 lĩnh vực lớn, cần tích lũy kinh nghiệm nhiều năm làm việc thì mới có thể tự tin Forensic được hầu hết các vụ án. Nhưng với trình độ nhập môn như các sinh viên, có lẽ cũng chỉ cần Forensic với các cuộc tấn công đơn giản như SQL Injection, HTML Injection, Scan Port, ... Còn ở cấp độ cao hơn như tấn công APT (Advanced Persistent Threat) là một chuỗi liên hoàn kế các cuộc tấn công có chủ đích thì phải vài năm ăn nằm cũng như kiến thức uyên thâm thì mới có thể Forensic được.
Nếu ở BK cũng có môn thi như vậy thì hay nhỉ. Mình học KSTN nên chỉ được học 2 môn của chuyên ngành ATTT là Toán chuyên đề vào kỳ 2 năm 3 và Cơ sở An toàn thông tin vào kỳ 1 năm 4; 2 môn này đều do một mình Sư Phụ dạy lớp mình. 2 môn này theo mình thấy rất hay (và những thứ đẹp - hay thì thường khó hiểu), đáng phải học; nhưng lại chủ yếu tập chung vào Toán là chính, chứ ko nghiêng về tính thực hành. Mình cũng ko biết trong danh sách các môn học của sinh viên lớp ngoài của chuyên ngành ATTT có học môn nào có đặc tính của Forensic ko. Nếu có thì hay quá; thi cử chả cần chuẩn bị j nhiều. Lớp có 100 sinh viên thì Thầy cứ vất cho mỗi thằng 1 cái file pcap cỡ tầm vài MB rồi cho sinh viên làm thám tử để tự mò mẫm rồi viết lại thành kết quả và nộp lấy điểm.
File pcap ko cần lớn; chỉ cần 1 file có dung lượng < 10MB cũng chứa khá nhiều thông tin rồi. Hơn nữa, khả năng dò của mỗi người là khác nhau, do đó có thể cùng 1 file pcap, nhưng 2 sinh viên khác nhau lại cho ra những báo cáo có ít nhiều khác biệt (đương nhiên những điểm mấu chốt thì vẫn phải có). Thằng nào ko hiểu là ko thể xác định được tí thông tin nào, vì file đó toàn là dữ liệu thô dạng hexdump. Thế nên chỉ có học thật thì mới có thể làm được bài kiểm tra; và các Thầy Cô cũng có thể đánh giá sát được khả năng Forensic của từng sinh viên dựa vào báo cáo kết quả. Đương nhiên ko phải cứ liệt kê ra nhiều thông tin thì là giỏi hơn; mà quan trọng nhất vẫn là những thông tin mấu chốt.
Ví dụ với 1 file pcap ghi lại lưu lượng mạng của 1 máy tính bị nhiễm Double Pulsar (backdoor thực hiện lây nhiễm WannaCry) thì phải xác định được ra những thông tin về các IP đích trong LAN, cũng như chắc chắn rằng máy bị nhiễm đang scan các cổng 135, 139, 445 của các máy đó để tận dụng lỗ hổng ETERNALBLUE trong dịch vụ SMB của các hệ điều hành họ Windows; kiểm tra giai đoạn beacon và killswitch xem máy tính thực hiện truy cập đến domain nào của quá trình GDN (Generate Domain Name); phân tích payload của gói tin truyền tải xem content có khớp với luật của các IDS như Snort hay Suricata ko; ... Từ đó, phải đưa ra được những biện pháp xử lý tạm thời như kiểm tra xem các máy đích có đang chạy Windows ko; sử dụng Firewall để đóng cổng 445 và vô hiệu hóa các dịch vụ đang lắng nghe trên các máy đích; nếu đang chạy Windows, phải nâng cấp SMB lên v2 với bản vá ETERNALBLUE; thực hiện diệt mã độc Double Pulsar trên máy tính đang bị nhiễm bằng Antivirus hoặc bằng tay.
Với 1 sự kiện khác, đương nhiên sẽ phải đưa ra những nhận định mấu chốt cũng như các cách khắc phục khác. Do đó bài kiểm tra sẽ có kết quả vô cùng phong phú và mang tính thực tế rất cao của lĩnh vực Forensic. Đây là 1 lĩnh vực lớn, cần tích lũy kinh nghiệm nhiều năm làm việc thì mới có thể tự tin Forensic được hầu hết các vụ án. Nhưng với trình độ nhập môn như các sinh viên, có lẽ cũng chỉ cần Forensic với các cuộc tấn công đơn giản như SQL Injection, HTML Injection, Scan Port, ... Còn ở cấp độ cao hơn như tấn công APT (Advanced Persistent Threat) là một chuỗi liên hoàn kế các cuộc tấn công có chủ đích thì phải vài năm ăn nằm cũng như kiến thức uyên thâm thì mới có thể Forensic được.
Nhận xét
Đăng nhận xét