Bài 16: Cơ bản về bảo mật
16.1. Một số nguy cơ tấn công trên mạng
Những nguy cơ bảo mật đe dọa mất mát dữ liệu nhạy cảm luôn là mối lo ngại
của những doanh nghiệp vừa và nhỏ. Sau đây là 10 nguy cơ bảo mật được đánh
giá là nguy hiểm nhất mà doanh nghiệp phải đối mặt.
Những nhân viên bất mãn với công ty
Trong một số doanh nghiệp vừa và nhỏ, những dữ liệu kinh doanh quan trọng
hay thông tin khách hàng thường được giao phó cho một cá nhân. Điều này tạo
nên tình trạng "lệ thuộc quyền hạn" nguy hiểm. Khi cá nhân đó bất mã vì một lý
do nào đó với công ty và ban điều hành công ty. Lúc này vấn đề chỉ còn là thời
gian và quyền hạn kiểm soát thông tin của anh ta mà thôi.
Không có kế hoạch xử lý rủi ro
Hệ thống máy tính, mạng của doanh nghiệp luôn phải đối mặt với nhiều nguy cơ
bảo mật, từ việc hư hỏng vật lý cho đến các trường hợp bị tấn công từ tin tặc hay
virus đều có khả năng gây tổn hại cho dữ liệu. Khá nhiều doanh nghiệp vừa và
nhỏ thiếu hẳn chính sách phản ứng với việc thất thoát dữ liệu hay kế hoạch khắc
phục sự cố. Đại đa số đều lúng túng và bắt đầu các hoạt động mang tính ứng
phó.
Những thiết lập mặc định không được thay đổi
Tin tặc hiện nay thường dùng các tập tin chứa đựng hàng trăm ngàn tài khoản
mặc định (username và password) của các thiết bị kết nối mạng để dò tìm quyền
hạn truy xuất khả năng đăng nhập vào hệ thống mạng. Nếu các tài khoản, thiết
lập mặc định không được thay đổi, tin tặc sẽ dễ dàng chiếm quyền điểu khiển tài
nguyên mạng.
Môi trường mạng tại gia không an toàn
Đối với một vài doanh nghiệp nhỏ, các nhân viên thường đem máy tính xách tay
(laptop) của mình đến văn phòng để làm việc. Trong môi trường mạng tại gia
đình, chế độ bảo mật thường rất kém hay thậm chí không có những thiết lập bảo
vệ. Do đó, những chiếc laptop của nhân viên có thể là nguồn gốc phát tán virus,
malware hay trở thành zombie trung gian để tin tặc tấn công vào hệ thống mạng
của doanh nghiệp.
Thiếu cảnh giác với mạng công cộng
Một thủ đoạn chung tin tặc hay sử dụng để dẫn dụ những nạn nhân là đặt một
thiết bị trung chuyển wireless access-point không cài đặt mật khẩu (unsecured)
rồi gán một cái nhãn như "Mạng Wi-Fi miễn phí" và rung đùi ngồi chờ những
kết nối "ngây thơ" rơi vào bẫy. Tin tặc sẽ dùng các công cụ thâu tóm gói dữ liệu
mạng giúp nhận biết cả những văn bản hay bất kỳ những gì mà nhân viên doanh
nghiệp gõ rồi gửi ra ngoài.
Mất mát thiết bị di động
Rất nhiều doanh nghiệp, thậm chí gần đây còn có cả một vài hãng lớn bị thất
thoát dữ liệu quan trọng do mất cắp máy tính xách tay, thất lạc điện thoại di động
hay các đĩa flash USB lưu trữ. Dữ liệu trong các thiết bị này thường ít được mã
hóa hay bảo vệ bằng mật khẩu, rất dễ dàng xử lý một khi đã sở hữu chúng.
Lỗi từ máy chủ web
Hiện còn khá nhiều doanh nghiệp không coi trọng việc đặt website của mình tại
máy chủ nào, mức độ bảo mật ra sao. Do đó, website kinh doanh của doanh
nghiệp sẽ là mồi ngon của các đợt tấn công SQL Injection hay botnet.
Duyệt web tràn lan
Không phải nhân viên văn phòng nào cũng đủ am hiểu tường tận về những hiểm
họa rình rập trên mạng Internet như malware, spyware, virus, trojan... Họ cứ vô
tư truy cập vào các website không xác định hoặc bị dẫn dụ click vào những
website được tin tặc bày cỗ chào đón và thế là máy tính của nhân viên sẽ là cánh
cửa giúp tin tặc xâm nhập vào trong mạng của doanh nghiệp.
Email chứa đựng mã độc
Những cuộc giội bom thư rác sẽ làm tràn ngập hộp thư của bạn với những tiêu đề
hấp dẫn như những vụ scandal tình ái, hình ảnh nóng bỏng hay các lời mời chào
kinh doanh... chỉ một cú nhấp chuột sai lầm thì ngay lập tức máy tính sẽ tải về
các đoạn mã độc làm tiền đề cho hàng loạt phần mềm độc hại đi sau xâm nhập
vào máy tính.
Không vá lỗi bảo mật
Hơn 90% các cuộc tấn công vào hệ thống mạng đều cố gắng khai thác các lỗi
bảo mật đã được biết đến. Mặc dù các bản vá lỗi vẫn thường xuyên được những
hãng sản xuất cung cấp ngay sau khi lỗi được phát hiện nhưng một vài doanh
nghiệp lại không coi trọng việc cập nhật lỗi thường nhật dẫn đến việc các lỗi bảo
mật mở toang cổng chào đón những cuộc tấn công.
16.2. Các phương thức tấn công
16.2.1 Viruses, Worms, Trojan Horses.
Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt là
virus) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao
chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính ..).
Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn
chứng tỏ khả năng của mình nên thường virus có các hành động như: cho một
chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra
những trò đùa khó chịu.
Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò
đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần
hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng)
mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động
khác nhằm có lợi cho người phát tán virus.
Chiếm trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ
điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều
nhất trên thến giới. Do tính thông dụng của Windows nên các tin tặc thường tập
trung hướng vào chúng nhiều hơn là các hệ điều hành khác. (Cũng có quan điểm
cho rằng Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như
Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông
dụng như Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng
lượng virus xuất hiện có lẽ cũng tương đương nhau).
Lược sử của virus
Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất
vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi
tiết hơn về các loại virus:
Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự
nhân bản của một chương trình cho máy tính.
Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy
Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối
với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus.
Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính
Apple II.
Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần
đầu đưa ra khái niệm computer virus như định nghĩa ngày nay.
Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên,
được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong
phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm
tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên.
Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus
"VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành
(executable file) và phá hoại các máy tính VAX/VMS.
Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty
trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo
đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một
thời điểm).
Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các
máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3
năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán
đời" (boresome).
Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi
Norton.
Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus
"Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn
cho các chương trình chống virus.
Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho
nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện
thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng.
Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các điện thư
và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư
này để tạo ra sự luân chuyển.
Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã
macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus
này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng
ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả
năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như
Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus
Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan
truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa
chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm
1999, có thể nằm trong các tệp Word, Excel và Power Point.
Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì
của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập
tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy
giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra,
virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã
nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một
sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có
luật trừng trị những người tạo ra virus cho máy tính.
Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.
Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục,
truyền cho khoảng 75 ngàn máy trong 10 phút.
Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus
này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở
lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn
toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi
nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ
lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven
Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005
nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công
ích.
Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ
gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm
nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết
mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ
càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến,
cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các
thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công
của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì
mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết.
Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng
võ.
Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi
điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức,
nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp
(spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ
không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của
Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi
phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình.
Các khái niệm có liên quan
Sâu máy tính(worm): là các chương trình cũng có khả năng tự nhân bản tự tìm
cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử). Điểm
cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của worm
là phá các mạng (network) thông tin, làm giảm khả năng hoạt động hay ngay cả
hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus, họ
nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại
virus đặc biệt.
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm
hỏng bất kì hệ điều hành UNIX nào trên Internet. Tuy vậy, có lẽ worm tồn tại lâu
nhất là virus happy99, hay các thế hệ sau đó của nó có tên là Trojan. Các worm
này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự gửi bản sao của
chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message.
Phần mềm ác tính (malware): (chữ ghép của maliciuos và software) chỉ chung
các phần mềm có tính năng gây hại như virus, worm và Trojan horse.
Trojan Horse: đây là loại chương trình cũng có tác hại tương tự như virus chỉ
khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan
horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con
Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này
sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát
tán lên mạng. Đây cũng là loại virus cực kỳ nguy hiểm. Nó có thể hủy ổ cứng,
hủy dữ liệu.
Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực
tiếp vào hệ điều hành mà không để lại "di chứng". Thường một số chương trình
diệt virus có kèm trình diệt spyware nhưng diệt khá kém đối với các đợt "dịch".
Phần mềm quảng cáo (adware): Loại phần mềm quảng cáo, rất hay có ở trong
các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một
số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng.
Botnet: Trước đây, loại này thường dùng để nhắm vào các hệ thống điều khiển
máy tính từ xa, nhưng hiện giờ lại nhắm vào người dùng.
Điều đặc biệt nguy hiểm là các botnet được phơi bày từ các hacker không cần kỹ
thuật lập trình cao. Nó được rao bán với giá từ 20USD trở lên cho các hacker.
Hậu quả của nó để lại không nhỏ: mất tài khoản. Nếu liên kết với một hệ thống
máy tính lớn, nó có thể tống tiền cả một doanh nghiệp.
Nhóm của Sites ở Sunbelt cùng với đội phản ứng nhanh của công ty bảo mật
iDefense Labs đã tìm ra một botnet chạy trên nền web có tên là Metaphisher.
Thay cho cách sử dụng dòng lệnh, tin tặc có thể sử dụng giao diện đồ họa, các
biểu tượng có thể thay đổi theo ý thích, chỉ việc dịch con trỏ, nhấn chuột và tấn
công.
Theo iDefense Labs, các bot do Metaphisher điều khiển đã lây nhiễm hơn 1 triệu
PC trên toàn cầu. Thậm chí trình điều khiển còn mã hóa liên lạc giữa nó và bot
"đàn em" và chuyển đi mọi thông tin về các PC bị nhiễm cho người chủ bot như
vị trí địa lý, các bản vá bảo mật của Windows và những trình duyệt đang chạy
trên mỗi PC.
Những công cụ tạo bot và điều khiển dễ dùng trên góp phần làm tăng vọt số PC
bị nhiễm bot được phát hiện trong thời gian gần đây. Thí dụ, Jeanson James Ancheta, 21 tuổi, người Mỹ ở bang California, bị tuyên án 57 tháng tù vì đã vận
hành một doanh nghiệp "đen" thu lợi bất chính dựa vào các botnet điều khiển
400.000 "thành viên" và 3 tay điều khiển bot bị bắt ở Hà Lan mùa thu năm trước
chính là trung tâm "đầu não" điều khiển hơn 1,5 triệu PC!
Mặc dù đã có luật để bắt những tội phạm kiểu này, nhưng do dễ dàng có được
những công cụ phá hoại nên luôn có thêm người mới gia nhập hàng ngũ hacker
vì tiền hay vì tò mò.
Keylogger: là phần mềm ghi lại chuỗi phím gõ của người dùng. Nó có thể hữu
ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được
dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần mềm kiểu này
rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện
để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an
ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet
và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa
mã hóa.
Phishing: là một hoạt động phạm tội dùng các kỹ thuật lừa đảo. Kẻ lừa đảo cố
gắng lừa lấy các thông tin nhạy cảm, chẳng hạn như mật khẩu và thông tin về thẻ
tín dụng, bằng cách giả là một người hoặc một doanh nghiệp đáng tin cậy trong
một giao dịch điện tử. Phishing thường được thực hiện bằng cách sử dụng thư
điện tử hoặc tin nhắn, đôi khi còn sử dụng cả điện thoại.
Rootkit: là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình
đang chạy, các file hoặc dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng
tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng
nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường
truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết đến các Vũ Khánh Quý - Khoa CNTT - ĐH Sư phạm Kỹ thuật Hưng Yên 136
rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một
số phiên bản của Microsoft Windows. Các rootkit thường sửa đổi một số phần
của hệ điều hành hoặc tự cài đặt chúng thành các driver hay các môdule trong
nhân hệ điều hành (kernel module).
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất
hiện vào tháng 11 năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng
dụng của Sony. Phần mềm của Sony giấu bất kỳ file hay tiến trình bắt đầu với
"$sys$", những kẻ viết phần mềm độc hại đã đổi tên file để lợi dụng đặc điểm
này .
Vào tháng 3, nhà sản xuất phần mềm chống virus ở Tây Ban Nha là Panda
Software cho biết họ đang tìm biến thể của sâu Bagle cực kỳ độc hại có trang bị
khả năng của rootkit. Trầm trọng hơn, tương tự như các "nhà sản xuất" chương
trình botnet, những kẻ tạo phần mềm rootkit còn bán hoặc phát tán miễn phí các
công cụ, giúp những tay viết phần mềm độc hại dễ dàng bổ sung chức năng
rootkit cho các virus cũ như Bagle hay tạo loại mới. Một dự án do Microsoft và
các nhà nghiên cứu của đại học Michigan thực hiện thật sự mở đường cho
nghiên cứu rootkit, tạo ra một phương thức mới gần như "đặt" HĐH chạy trên
phần mềm có tên SubVirt (tên của dự án nghiên cứu). HĐH vẫn làm việc bình
thường, nhưng "máy ảo" điều khiển mọi thứ HĐH nhìn thấy và có thể dễ dàng
giấu chính nó.
May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làm
chậm hệ thống và làm thay đổi những file nhất định. Hiện giờ, loại siêu rootkit
này chỉ mới ở dạng ý tưởng, cần nhiều thời gian trước khi tin tặc có thể thực hiện
phương thức tấn công này.
Phần mềm tống tiền (Ransomware): là loại phần mềm ác tính sử dụng một hệ
thống mật mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi
tiền chuộc thì mới khôi phục lại.
Cửa hậu (Backdoor): trong một hệ thống máy tính, cửa hậu là một phương
pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường
truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc
giám sát thông thường. Cửa hậu có thể có hình thức một chương trình được cài
đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit được cài đặt khi
một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một chương trình hợp
pháp - đó là khi nó đi kèm với Trojan.
Virus lây qua passport: Loại virus này lây qua các thẻ RFID cá nhân để thay
đổi nội dung của thẻ, buộc tội người dùng và có thể ăn cắp passport. Vì sóng
RFID không lây qua kim loại nên khi không cần dùng, bạn nên để trong hộp kim
loại.
Virus điện thoại di động: chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu,
nay lại có virus điện thoại di động. Loại này thường lây qua tin nhắn. Một vài
virus ĐTDĐ cũng đánh sập HĐH và làm hỏng thiết bị. Một số khác chỉ gây khó
chịu như thay đổi các biểu tượng làm thiết bị trở nên khó sử dụng. Một số ít còn
nhằm vào tiền. Ví dụ, một Trojan lây lan các điện thoại ở Nga gửi tin nhắn tới
những dịch vụ tính tiền người gửi.
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả
năng bị virus tấn công.
.bat: Microsoft Batch File (Tệp xử lí theo lô)
.chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
.cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
.com: Command file (program) (Tệp thực thi)
.cpl: Control Panel extension (Tệp của Control Panel)
.doc: Microsoft Word (Tệp của chương trình Microsoft Word)
.exe: Executable File (Tệp thực thi)
.hlp: Help file (Tệp nội dung trợ giúp người dùng)
.hta: HTML Application (Ứng dụng HTML)
Các hình thức lây nhiễm của virus máy tính
Virus lây nhiễm theo cách cổ điển
Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là
thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa
chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay
khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ
USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.
Virus lây nhiễm qua thư điện tử
Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển
hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền
thống.
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ
thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho
những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm
virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm
đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo
cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây
nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất
ngắn.
Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus
có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ
khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua
hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
Phương thực lây nhiễm qua thư điển tử bao gồm:
Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó ngưòi
dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích
hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn
như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có
thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ
hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực
thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi
chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm
virus. Cách này cũng thường khai thác các lỗi của hệ điều hành.
Virus lây nhiễm qua mạng Internet
Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức
lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay.
Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như
sau:
Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển,
nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB...)
bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...
Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình
hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus
và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang
web đó.
Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo
mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng
thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc
có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều
hành (ví dụ Winidow Media Player) hoặc lỗi bảo mật của các phần mềm của
hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm
soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.
Biến thể
Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng.
Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện
của phần mềm diệt virus hoặc làm thay đổi hành động của nó.
Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá
trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi
virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc
khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp
tục phát tán.
Virus có khả năng vô hiệu hoá phần mềm diệt virus
Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ điều hành làm tê liệt
(một số) phần mềm diệt virus. Sau hành động này chúng mới tiến hành lây
nhiễm và tiếp tục phát tán. Một số khác lây nhiễm chính vào phần mềm diệt
virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt
virus.
Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt động
của các phần mềm diệt virus và được lây nhiễm hoặc phát tác trước khi hệ thống
khởi động các phần mềm này. Chúng cũng có thể sửa đổi file hots của hệ điều
hành Windows để người sử dụng không thể truy cập vào các website và phần
mềm diệt virus không thể liên lạc với server của mình để cập nhật.
16.2.2 Denial of Service (DoS) và Brute Force Attack
Một cuộc tấn công từ chối dịch vụ (tấn công DoS) hay tấn công từ chối dịch vụ
phân tán (tấn công DDoS) là sự cố gắng làm cho tài nguyên của một máy tính
không thể sử dụng được nhằm vào những người dùng của nó. Mặc dù phương
tiện để tiến hành, động cơ, mục tiêu của tấn công từ chối dịch vụ là khác nhau,
nhưng nói chung nó gồm có sự phối hợp, sự cố gắng ác ý của một người hay
nhiều người để chống lại Internet site hoặc service (dịch vụ Web) vận hành hiệu
quả hoặc trong tất cả, tạm thời hay một cách không xác định. Thủ phạm tấn công
từ chối dịch vụ nhằm vào các mục tiêu site hay server tiêu biểu như ngân hàng,
cổng thanh toán thẻ tín dụng và thậm chí DNS root servers.
Một phương thức tấn công phổ biến kéo theo sự bão hoà máy mục tiêu với các
yêu cầu liên lạc bên ngoài, đến mức nó không thể đâp ứng giao thông hợp pháp,
hoặc dáp ứng quá chậm. Trong điều kiện chung, các cuộc tấn công DoS được bổ
sung bởi ép máy mục tiêu khởi động lại hoặc tiêu thụ hết tài nguyên của nó đến mức nó không cung cấp dịch vụ, hoặc làm tắc nghẽn liên lạc giữa người sử dụng
và nạn nhân.
Tấn công từ chối dịch vụ đựoc lưu ý sự vi phạm chính sách sử dụng đúng
internet của IAB(Internet Architecture Board). Chúng cũng cấu thành sự vi phạm
luật dân sự.
Nhận diện
US-CERT xác định dấu hiệu của một vụ tấn cống từ chối dịch vụ gồm có :
Mạng thực thi chậm khác thường (mở file hay truy cập Website).
Không thể dùng một Website cụ thể.
Không có thể truy cập bất kỳ Website nào
Tăng lượng thư rác nhận được (như một trận "boom mail")
Không phải tất các các dịch vụ ngừng chạy,thậm chí đó là kết quả của
một hoạt động nguy hại, tất yếu của tấn công DoS.
Tấn công từ chối dịch cũng có thể dẫn tới vấn đề về nhánh mạng của máy đang
bị tấn công. Ví dụ băng thông của router giữa Internet và Lan có thể bị tiêu thụ
bởi tấn công, làm tổn hại không chỉ máy tính ý định tấn công mà còn là toàn thể
mạng. Nếu cuộc tấn công dẫn tới tỉ lệ lớn thích đáng, toàn bộ vùng địa lý của kết
nối Internet có thể bị tổn hại nằm ngoài sự hiểu biết của kẻ tấn công cấu hình
chính xác, trang thiết bị mong manh.
Các phương thức tấn công
Tấn công từ chối dịch vụ là một loại hình tấn công nhằm ngăn chặn những người
dùng hợp lệ được sử dụng một dịch vụ nào đó. Các cuộc tấn công có thể được
thực hiện nhằm vào bất kì một thiết bị mạng nào bao gồm là tấn công vào các
thiết bị định tuyến, web, thư điện tử và hệ thống DNS.
Tấn công từ chối dịch vụ có thẻ được thực hiện theo một số cách nhất định. Có
năm kiểu tấn công cơ bản sau đây:
Nhằm tiêu tốn tài nguyên tính toán như băng thông, dung lượng đĩa cứng
hoặc thời gian xử lý
Phá vỡ các thông tin cấu hình như thông tin định tuyến
Phá vỡ các trạng thái thông tin như việc tự động reset lại các phiên TCP.
Phá vỡ các thành phần vật lý của mạng máy tính
Làm tắc nghẽn thông tin liên lạc có chủ đích giữa các người dùng và nạn
nhân dẫn đến việc liên lạc giữa hai bên không được thông suốt.
Một cuộc tấn công từ chối dịch vụ có thể bao gồm cả việc thực thi malware
nhằm:
Làm quá tải năng lực xử lý, dẫn đến hệ thống không thể thực thi bất kì
một công việc nào khác.
Những lỗi gọi tức thì trong microcode của máy tính.
Những lỗi gọi tức thì trong chuỗi chỉ thị, dẫn đến máy tính rơi vào trạng
thái hoạt động không ổn định hoặc bị đơ.
Những lỗi có thể khai thác được ở hệ điều hành dẫn đến việc thiếu thốn tài
nguyên hoặc bị thrashing. VD: như sử dụng tất cả các năng lực có sẵn dẫn
đến không một công việc thực tế nào có thể hoàn thành được.
Gây crash hệ thống.
Tấn công từ chối dịch vụ iFrame: trong một trang HTML có thể gọi đến
một trang web nào đó với rất nhiều yêu cầu và trong rất nhiều lần cho đến
khi băng thông của trang web đó bị quá hạn.
Các vụ tấn công
Ngày 10 tháng 10 năm 2008, trang web 5giay.vn chính thức công nhận bị
tấn công DDOS
16.3. Các chính sách bảo mật
Cách phòng chống virus và ngăn chặn tác hại của nó
Có một câu nói vui rằng Để không bị lây nhiễm virus thì ngắt kết nối khỏi mạng,
không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính. Nhưng
nghiêm túc ra thì điều này có vẻ đúng khi mà hiện nay sự tăng trưởng số lượng
virus hàng năm trên thế giới rất lớn.
Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm
hoạ virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối đa
có thể và có các biện pháp bảo vệ dữ liệu của mình.
Sử dụng phần mềm diệt virus
Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết
nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận
biết được các virus mới.
Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi tiếng viết
các phần mềm virus được nhiều người sử dụng có thể kể đến là: McAfee,
Symantec, Kaspersky
Sử dụng tường lửa
Tường lửa (Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các
nhà cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử
dụng tường lửa để bảo vệ trước virus và các phần mềm độc hại. Khi sử dụng
tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát một cách vô
thức hoặc có chủ ý. Nếu một phần mềm độc hại đã được cài vào máy tính có
hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người sử dụng
loại bỏ hoặc vô hiệu hoá chúng. Tường lửa giúp ngăn chặn các kết nối đến
không mong muốn để giảm nguy cơ bị kiểm soát máy tính ngoài ý muốn hoặc
cài đặt vào các chương trình độc hại hay virus máy tính.
Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet
thông qua một modem có chức năng này. Thông thường ở chế độ mặc định của
nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào
modem để cho phép hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do
đó kết hợp sử dụng tường lửa bằng các phần mềm.
Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày
nay đã được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông
thường các phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều
công cụ hơn so với tường lửa phần mềm sẵn có của Windows. Ví dụ bộ phần
mềm ZoneAlarm Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu
hiệu trước virus, các phần mềm độc hại, chống spam, và tường lửa.
Cập nhật các bản sửa lỗi của hệ điều hành
Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật
chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm
quyền điều khiển hoặc phát tán virus và các phần mềm độc hại. Người sử dụng
luôn cần cập nhật các bản vá lỗi của Windows thông qua trang web Microsoft
Update (cho việc nâng cấp tất cả các phần mềm của hãng Microsoft) hoặc
Windows Update (chỉ cập nhật riêng cho Windows). Cách tốt nhất hãy đặt chế
độ nâng cấp (sửa chữa) tự động (Automatic Updates) của Windows. Tính năng
này chỉ hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng chúng hợp
pháp.
Vận dụng kinh nghiệm sử dụng máy tính
Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có
khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa
được cập nhật kịp thời đối với phần mềm diệt virus. Người sử dụng máy tính cần
sử dụng triệt để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh
nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu của mình. Một số kinh nghiệm tham khảo như sau:
Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy
tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều
hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay
đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động chậm
chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho
phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa). Mọi sự hoạt động
khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự xuất
hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu
mới nhất cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus
khác để quét toàn hệ thống.
Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần
mềm trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ
ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống
thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU
bao nhiêu, tên file hoạt động là gì...ngay khi có điều bất thường của hệ thống (dù
chưa có biểu hiện của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành
động phòng ngừa hợp lý. Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định
của người sử dụng.
Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm
virus: Theo mặc định Windows thường cho phép các tính năng autorun giúp
người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD
hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus lợi
dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ
thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua
các ổ USB bằng cách tạo các file autorun.ini trên ổ USB để tự chạy các virus
ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng các phần
mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry.
Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến: Xem thêm
phần "Phần mềm diệt virus trực tuyến" tại bài phần mềm diệt virus Bảo vệ dữ liệu máy tính
Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus máy tính
và các phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu
của mình trước khi dữ liệu bị hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm
tàng khác như sự hư hỏng của các thiết bị lưu trữ dữ liệu của máy tính). Trong phạm vi về bài viết về virus máy tính, bạn có thể tham khảo các ý tưởng chính
như sau:
Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ
liệu. Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn
như: các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...), hình
thức này có thể thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ
cập nhật, thay đổi của dữ liệu của bạn.
Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có
của hệ điều hành (ví dụ System Restore của Windows Me, XP...) mà có thể cần
đến các phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống
bằng các phần mềm ghost, các phần mềm tạo ảnh ổ đĩa hoặc phân vùng khác.
Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu không
bị lây nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn của
phần mềm diệt virus trong tương lai có thể loại bỏ được chúng.
Bạn đang đọc truyện trên: Truyen2U.Pro