Đề tài: Trình bày loại virus phần mềm gián điệp (spyware) công hệ thống liệu doanh nghiệp I Thực trạng loại virus phần mềm gián điệp (spyware) nay: Sự cần thiết bảo mật hệ thống liệu doanh nghiệp: Thế giới thay đổi ngày việc truyền thơng liệu tồn cầu, kết nối Internet rẻ tiền tốc độ ngày nhanh việc bảo mật hệ thống vấn đề hữu ích Nhiều tổ chức tập trung vào việc bảo vệ chống lại cơng bên ngồi lại bỏ qua hiểm họa chí cịn nguy hiểm nhiều: cắp liệu bên cơng ty Đây góc nhìn quan trọng cần phải đề cập đến vấn đề bảo mật Một cách đáng tiếc, đề phòng bảo mật dùng để ngăn chặn công DoS, virus, worm, công khác lại dường giải đến vấn đề sảo quyệt hơn: trộm liệu cơng ty cho mục đích gián điệp mục đích khác Sự phơi bày bí mật thương mại trước đối thủ cạnh tranh phóng thích thông tin riêng tư công ty cho giới truyền thơng, số trường hợp, gây mát nhiều so với thời gian ngừng hoạt động máy móc Vì vậy, việc bảo mật hệ thống liệu doanh nghiệp từ nguy bên mối đe doạ từ bên cần thiết doanh nghiệp thương mại điện tử, lấy thông tin làm nên tảng cho hoạt động kinh doanh doanh nghiệp Thực trạng loại virus phần mềm gián điệp 2.1 Thực trạng loại virus: Virus máy tính lây vào máy tính bạn qua email, qua file bạn tải từ Internet hay copy từ máy khác về, lợi dụng lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính bạn cách âm thầm LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Các virus ngày thường phục vụ cho mục đích kinh tế phá hoại cụ thể Chúng lợi dụng máy tính bạn để phát tán thư quảng cáo hay thu thập địa email bạn Cũng chúng sử dụng để ăn cắp tài khoản ngân hàng, tài khoản hịm thư hay thơng tin nhân quan trọng bạn Cũng chúng sử dụng máy bạn công cụ để công vào hệ thống khác công vào hệ thống mạng bạn sử dụng Đôi bạn nạn nhân thực mà virus nhắm vào, bạn vơ tình trở thành "trợ thủ" cho chúng cơng vào hệ thống khác Trong năm 2010, có 57.835 dòng virus xuất mới, virus lây lan nhiều lại dịng virus cũ W32.Conficker.Worm, tính riêng Việt Nam có tới 58,6 triệu lượt máy tính bị nhiễm virus Theo đó, trung bình ngày có 160 nghìn máy tính bị nhiễm virus Các chuyên gia an ninh mạng đánh giá, số báo động tình hình virus máy tính Việt Nam Các virus siêu đa hình (Metamorphic virus) tiếp tục đứng top virus lây nhiễm nhiều năm nỗi ám ảnh với người sử dụng máy tính Việt Nam Với khả “thay hình đổi dạng” để lẩn trốn, dịng virus Vetor Sality lan truyền 5,9 triệu lượt máy tính 2.2 Thực trạng phần mềm gián điệp Một cách để kiếm thêm thu nhập thu thập thông tin từ người tải phần mềm (như tên tuổi, địa thị hiếu) đem bán thông tin cho hãng chuyên làm quảng cáo Cách thu thập ban đầu dựa vào điền vào mẫu đăng kí (register) Nhưng sau đó, để chủ động hơn, cách thức đọc thông tin chuyển sang dạng cài phần mềm phụ để tự đọc thơng tin chủ gửi thẳng cho nơi mà phần mềm gián điệp thị Ngoài vấn đề nghiêm trọng đạo đức tự cá nhân bị xâm phạm, spyware sử dụng (đánh cắp) từ máy chủ tài nguyên nhớ (memory resource) ăn chặn băng thơng gửi thơng tin trở chủ spyware qua liên kết Internet Vì spyware dùng tài nguyên nhớ hệ thống, ứng dụng chạy (background) dẫn tới hư máy hay máy khơng ổn định Bởi chương trình độc lập nên spyware có khả điều khiển tổ hợp phím bấm (keystroke), đọc tập tin ổ cứng, kiểm sốt ứng dụng khác chương trình trị chuyện trực tuyến hay chương trình soạn thảo văn bản, cài đặt spyware mới, đọc cookie, thay đổi trang chủ mặc định trình duyệt web, cung cấp liên tục LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com thông tin trở chủ spyware, người mà dùng tin tức cho quảng cáo/tiếp thị hay bán tin tức cho chỗ khác Và tệ hại có khả ăn cắp mật truy nhập (login password) ăn cắp các tin tức riêng tư người chủ máy (như số tài khoản ngân hàng, ngày sinh số quan trọng khác ) nhằm vào mưu đồ xấu II Một số loại virus phần mềm gián điệp (spyware) công hệ thống liệu doanh nghiệp Virus: 1.1 Khái niệm: Có nhiều định nghĩa virus, song, khoa học máy tính định nghĩa, virus máy tính (thường người sử dụng gọi tắt virus) chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, ) Có đặc điểm chung là: - Kích thước nhỏ - Có khả lây lan, tức tự chép nps lên thiết bj lưu trữ liệu đĩa cứng, đĩa mềm, băng từ… - Hoạt động ngầm: người sử dụng nhận biết thực chương trình virus kích thước nhỏ, thời gian thực nhanh người viết virus ln tìm cách che dấu diện Virus nằm thường trú nhớ bên để tiến hành lây lan phá hoại Hầu hết virus thực công việc phá hoạt ghi đè lên liệu, phá hỏng bảng FAT, khống chế bàn phím, sửa đổi cấu hình hệ thống, chiếm vùng trọng nhớ Những virus viết thời gian gần khơng cịn thực trị đùa hay phá hoại đối máy tính nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hành động khác nhằm có lợi cho người phát tán virus 1.2 Sự phát triển: Có nhiều quan điểm khác lịch sử virus điện toán Ở nêu vắn tắt khái quát điểm chung và, qua đó, hiểu chi tiết loại virus: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Năm 1949: John von Neumann (1903-1957) phát triển tảng lý thuyết tự nhân chương trình cho máy tính Vào cuối thập niên 1960 đầu thập niên 1970 xuất máy Univax 1108 chương trình gọi "Pervading Animal" tự nối với phần sau tập tin tự hành Lúc chưa có khái niệm virus  Năm 1981: Các virus xuất hệ điều hành máy tính Apple II  Năm 1983: Tại Đại Học miền Nam California, Hoa Kỳ, Fred Cohen lần đầu đưa khái niệm computer virus định nghĩa ngày  Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, tạo Pakistan Basit Amjad Chương trình nằm phần khởi động (boot sector) dĩa mềm 360Kb lây nhiễm tất ổ dĩa mềm Đây loại "stealth virus"  Cũng tháng 12 năm này, virus cho DOS khám phá virus "VirDem" Nó có khả tự chép mã vào tệp tự thi hành (executable file) phá hoại máy tính VAX/VMS  Năm 1987: Virus công vào command.com virus "Lehigh"  Năm 1988: Virus Jerusalem công đồng loạt đại học công ty quốc gia vào ngày thứ Sáu 13 Đây loại virus hoạt động theo đồng hồ máy tính (giống bom nổ chậm cài hàng loạt cho thời điểm)  Tháng 11 năm, Robert Morris, 22 tuổi, chế worm chiếm máy tính ARPANET, làm liệt khoảng 6.000 máy Morris bị phạt tù năm 10.000 dollar Mặc dù khai chế virus "chán đời" (boresome)  Năm 1990: Chương trình thương mại chống virus đời Norton  Năm 1991: Virus đa hình (polymorphic virus) đời virus "Tequilla" Loại biết tự thay đổi hình thức nó, gây khó khăn cho chương trình chống virus  Năm 1994: Những người thiếu kinh nghiệm, lịng tốt chuyển cho điện thư cảnh báo tất người khơng mở tất điện thư có cụm từ "Good Times" dòng bị (subject line) chúng Đây loại virus giả (hoax virus) xuất điện thư lợi dụng vào "tinh thần trách nhiệm" người nhận điện thư để tạo luân chuyển  Năm 1995: Virus văn (macro virus) xuất mã macro tệp Word lan truyền qua nhiều máy Loại virus làm hư hệ điều hành chủ Macro virus loại virus viết  LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ngơn ngữ lập trình Visual Basic cho ứng dụng (VBA) tùy theo khả năng, lan nhiễm ứng dụng văn phòng Microsoft Word, Excel, PowerPoint, OutLook, Loại macro này, tiếng có virus Baza virus Laroux, xuất năm 1996, nằm Word hay Excel Sau này, virus Melissa, năm 1997, công triệu máy, lan truyền tệp đính kèm kiểu Word cách đọc gửi đến địa Outlook máy bị nhiễm virus Virus Tristate, năm 1999, nằm tệp Word, Excel Power Point  Năm 2000: Virus Love Bug, cịn có tên ILOVEYOU, đánh lừa tính hiếu kì người Đây loại macro virus Đặc điểm dùng tập tin dạng "ILOVEYOU.txt.exe" Lợi dụng điểm yếu Outlook thời giờ: theo mặc định sẵn, đuôi dạng exe tự động bị dấu Ngồi ra, virus cịn có đặc tính spyware: tìm cách đọc tên mã nhập máy chủ gửi cho tay hắc đạo Khi truy cứu sinh viên người Philippines Tên tha bổng Philippines chưa có luật trừng trị người tạo virus cho máy tính  Năm 2002: Tác giả virus Melissa, David L Smith, bị xử 20 tháng tù  Năm 2003: Virus Slammer, loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy 10 phút  Năm 2004: Đánh dấu hệ virus worm Sasser Với virus người ta khơng cần phải mở đính kèm điện thư mà cần mở thư đủ cho xâm nhập vào máy Cũng may Sasser khơng hồn tồn hủy hoại máy mà làm cho máy chủ trở nên chậm đơi làm máy tự khởi động trở lại Tác giả worm lập kỉ lục khác: tay hắc đạo (hacker) tiếng trẻ nhất, 18 tuổi, Sven Jaschan, người Đức Tuy vậy, cịn nhỏ tuổi, nên vào tháng năm 2005 nên tòa án Đức phạt anh năm tù treo 30 lao động cơng ích  Với khả tay hacker, virus ngày xâm nhập cách bẻ gãy rào an toàn hệ điều hành hay chui vào chỗ hở phần mềm chương trình thư điện tử, từ lan tỏa khắp nơi theo nối kết mạng hay qua thư điện tử Do dó, việc truy tìm nguồn gốc phát tán virus khó nhiều Chính Microsoft, hãng chế tạo phần mềm phổ biến, nạn nhân Họ phải nghiên cứu, sửa chữa phát hành nhiều phần mềm nhằm sửa khuyết tật phần mềm phát hành hệ gói dịch vụ (service pack) nhằm giảm hay vơ hiệu hóa công virus Nhưng dĩ nhiên với phần mềm có hàng triệu dịng mã nguồn mong ước chúng hoàn hảo theo ý nghĩa an tồn có lý thuyết Đây hội cho nhà sản xuất loại phần mềm bảo vệ có đất dụng võ 1.3 Phân loại Virus: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Virus Boot Khi máy tính bạn khởi động, đoạn chương trình nhỏ ổ đĩa khởi động bạn thực thi Đoạn chương trình có nhiệm vụ nạp hệ điều hành (Windows, Linux hay Unix ) Sau nạp xong hệ điều hành bạn bắt đầu sử dụng máy Đoạn mã nói thường để vùng ổ đĩa khởi động, chúng gọi "Boot sector" Virus Boot tên gọi dành cho virus lây vào Boot sector Các Virus Boot thi hành máy bị nhiễm khởi động, trước thời điểm hệ điều hành nạp lên  Virus File Là virus lây vào file chương trình, phổ biến hệ điều hành Windows file có mở rộng com, exe, bat, pif, sys Khi bạn chạy file chương trình bị nhiễm virus lúc virus kích hoạt tiếp tục tìm file chương trình khác máy bạn để lây vào Thực tế loại virus lây file ngày khơng cịn xuất lây lan rộng  Virus Macro Là loại virus lây vào file văn (Microsoft Word), file bảng tính (Microsoft Excel) hay file trình diễn (Microsoft Power Point) Microsoft Office Macro tên gọi chung đoạn mã thiết kế để bổ sung thêm tính cho file Office Chúng ta cài đặt sẵn số thao tác vào macro, lần gọi macro phần cài sẵn thực hiện, giúp người sử dụng giảm bớt công lặp lặp lại thao tác giống Có thể hiểu nơm na việc dùng Macro giống việc ta ghi lại thao tác, để sau cho tự động lặp lại thao tác yêu cầu  Con ngựa Thành Tơ-roa - Trojan Horse Trojan đoạn mã chương trình hồn tồn khơng có tính chất lây lan Đầu tiên kẻ viết Trojan cách lừa cho đối phương sử dụng chương trình ghép trojan kèm với virus (đặc biệt virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân Đến thời điểm thuận lợi, Trojan ăn cắp thông tin quan trọng máy tính nạn nhân số thẻ tín dụng, mật để gửi cho chủ nhân mạng tay xố liệu lập trình trước LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Sâu Internet - Worm Sâu Internet -Worm loại virus có sức lây lan rộng, nhanh phổ biến Worm kết hợp sức phá hoại virus, đặc tính âm thầm Trojan hết lây lan đáng sợ mà kẻ viết virus trang bị cho để trở thành kẻ phá hoại với vũ khí tối tân Tiêu biểu Mellisa hay Love Letter Với lây lan đáng sợ chúng làm tê liệt hàng loạt hệ thống máy chủ, làm ách tắc đường truyền Internet Vào thời điểm ban đầu, Worm dùng để virus phát tán cách tìm địa sổ địa (Address book) máy mà lây nhiễm tự gửi qua email tới địa tìm Với lây lan nhanh rộng lớn , Worm thường kẻ viết chúng cài thêm nhiều tính đặc biệt, chẳng hạn chúng định ngày đồng loạt từ máy nạn nhân (hàng triệu máy) công vào địa Ngồi ra, chúng cịn mang theo BackDoor thả lên máy nạn nhân, cho phép chủ nhân chúng truy nhập vào máy nạn nhân làm đủ thứ ngồi máy cách bất hợp pháp Ngày khái niệm Worm mở rộng để bao gồm virus lây lan qua mạng chia sẻ ngang hàng peer to peer, virus lây lan qua ổ đĩa usb hay dịch vụ gửi tin nhắn tức thời (chat) đặc biệt virus khai thác lỗ hổng phần mềm để lây lan Các phần mềm (nhất hệ điều hành dịch vụ đó) ln chứa đựng lỗi tiềm tàng (ví dụ: lỗi tràn đệm…) mà khơng phải lúc dễ dàng phát Khi lỗ hổng phần mềm phát hiện, không lâu sau xuất virus có khả khai thác lỗ hổng để lây nhiễm lên máy tính từ xa cách âm thầm mà người chủ máy hồn tồn khơng hay biết Từ máy này, Worm tiếp tục "bò" qua máy tính khác mạng Internet với cách thức tương tự Các công virus doanh nghiệp:  Hệ thống máy tính hải quan Mỹ bị virus làm tê liệt nhiều giờ: Hãng Tân Hoa đưa tin, Bộ An ninh Nội địa Mỹ thừa nhận virus máy tính ngày 18/8 cơng làm tê liệt hệ thống máy tính hải quan Mỹ nhiều giờ, gây ách tắc sân bay lớn Mỹ thành phố New York, San Francisco, Maiami, Los Angeles, Huston, Dalas, Texas LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Nhân viên hải quan Mỹ sân bay nói buộc phải xử lý tình phương tiện thủ công Tại sân bay Maiami, hành khách phải chờ đợi để làm thủ tục xuất nhập cảnh hải quan Các chuyên gia máy tính Mỹ chưa xác định địa điểm tin tặc khởi đầu cơng thừa nhận tồn hệ thống liệu hải quan Mỹ đặt Virginia bị virus làm tê liệt suốt liền  Sâu SQL Slammer làm đình trệ mạng Internet tồn cầu: Một loại sâu có khả cơng vào phần mềm sở liệu Microsoft lây lan rộng Internet vào cuối tuần vừa qua, khiến số loại máy rút tiền ngưng hoạt động, khiến hầu hết mạng Internet Hàn Quốc tắc nghẽn làm chậm giao thông mạng Mỹ mạng Internet tồn cầu nói chung Loại sâu này, có tên SQL Slammer, lợi dụng lỗi vừa phát phần mềm CSDL SQL Server Microsoft vào tháng 7/2002 để phát tán Mắc dù phần mềm sửa lỗi (patch) cung cấp sau lỗ hổng phát hiện, có nhiều người quản trị mạng cài sửa lỗi để máy chủ họ tình trạng nguy hiểm Ngân hàng Bank of America Mỹ cho biết 13.000 máy rút tiền ATM từ chối cho rút tiền Tại Hàn Quốc, nhà cung cấp dịch vụ Internet lớn KT cho biết tất khách hàng hãng bị ngắt kết nối Internet công xảy Những người sử dụng máy tính Trung Quốc cho biết website mạng bị""chết cứng"" tốc độ download giảm xuống thấp Đó lúc máy chủ định danh DNS nước (các máy chủ chuyên chuyển đổi địa trang web sang địa số theo giao thức Internet (IP) bị sâu SQL Slammer công Và vẹn vẹn với 376 byte mã dòng lệnh, tương đương với nửa số ký tự đoạn văn mà bạn đọc, sâu SQL Slammer có sức mạnh ghê gớm gây nạn dịch quy mơ tồn cầu Spyware: 2.1 Khái niệm: Phần mềm gián điệp, dùng nguyên dạng Anh ngữ spyware, loại phần mềm chuyên thu thập thông tin từ máy chủ (thơng thường mục đích thương mại) qua mạng Internet mà khơng có LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com nhận biết cho phép chủ máy Một cách điển hình, spyware cài đặt cách bí mật phận kèm theo phần mềm miễn phí (freeware) phần mềm chia sẻ (shareware) mà người ta tải từ Internet Một cài đặt, spyware điều phối hoạt động máy chủ Internet lặng lẽ chuyển liệu thông tin đến máy khác (thường hãng chuyên bán quảng cáo tin tặc) Phần mềm gián điệp thu thập tin tức địa thư điện tử mật số thẻ tín dụng Spyware "được" cài đặt cách vơ tội vạ mà người chủ máy muốn cài đặt phần mềm có chức hồn tồn khác Spyware "biến thể" phần mềm quảng cáo (adware) Spyware chữ viết tắt spy (gián diệp) software (phần mềm máy tính) tiếng Anh; tương tự, adware từ advertisement (quảng cáo) software mà thành 2.2 Lịch sử phát triển: Giống virus, người ta chưa hoàn toàn thống ý kiến với lịch sử spyware có tài liệu trình bày rõ ràng đầy đủ đề tài Các nguyên nảy sinh phần mềm gián điệp việc cá nhân chế tạo phần mềm miễn phí (và số phần mềm chia sẻ) muốn có thêm khoản tài để phát triển phần mềm họ số tiền thức mà họ nhận từ người tải lại q Do đó, cách để kiếm thêm thu nhập thu thập thông tin từ người tải phần mềm (như tên tuổi, địa thị hiếu) đem bán thông tin cho hãng chuyên làm quảng cáo Cách thu thập ban đầu dựa vào điền vào mẫu đăng kí (register) Nhưng sau đó, để chủ động hơn, cách thức đọc thơng tin chuyển sang dạng cài phần mềm phụ để tự đọc thơng tin chủ gửi thẳng cho nơi mà phần mềm gián điệp thị Sau có luật lệ cấm tự ý thu thập thông tin riêng máy chủ loại phần mềm gián điệp chuyển hẳn sang hai hướng: * Tiếp tục cài đặt phần mềm quảng cáo chung với phần mềm qua thủ đoạn hợp pháp hóa, cách cần thay đổi nội dung mẫu đăng kí phần mềm (registration form) thành mẫu "thỏa thuận người tiêu LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com dùng" (User Agreement hay License Agreement) có ghi khoản nhỏ người tiêu dùng đồng ý cho phép cài đặt phần mềm quảng cáo loại phần mềm phát triển tới mức tự mở cửa sổ nảy (pop-up windows) mà không cần người chủ máy lệnh * Hướng phát triển thứ hai phần mềm chuyển sang dạng có ác tính: có thể, cách phi pháp, tìm cách đọc tất thơng tin bí mật máy chủ từ mật mã truy cập, số thẻ tín dụng việc giành ln quyền điều khiển bàn phím Từ "spyware" xuất USENET vào năm 1995 Cho đến đầu năm 2000 phần mềm chống gián điệp (antispyware) đời 2.3 Một số Spyware tiếng * WildTangent: phần mềm cài đặt thông qua American Online Instant Messenger (AIM) Theo AOL (American Online) cần dùng để tạo nối kết thành viên trò chơi Internet Một cài đặt, lấy thơng tin tên họ, số điện thoại, địa thư điện tử tốc độ CPU, tham số video card DirectX Các thơng tin bị chia sẻ cho nơi khác chiếm dụng Nếu bạn khơng chơi game loại bỏ cách nhấn nút: Start -> Run -> gõ chữ regedit -> vào nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run Kiếm giá trị "wcmdmgr" bảng bên phải xố Sau đóng chương trình lại tái khởi động máy Sau xố ln thư mục WT nằm thư mục Windows hay WINNT * Xupiter: chương trình tự nảy bảng quảng cáo Nó thêm chỗ đánh dấu (bookmark) lên menu chương trình duyệt và, nguy hại hơn, thay đổi cài đặt trang chủ Xupiter cịn chuyển thói quen xài Internet (surfing) xupiter.com làm chậm máy Ngồi cịn đọc địa IP tin tức khác * DoubleClick: dùng tệp nhỏ gọi cookies theo dõi hoạt động trực tuyến bạn * WinWhatWhere: thông báo cho người khác biết tổ hợp phím (keystroke) mà bạn gõ * Gator eWallet: ăn cắp tên, quốc gia, mã vùng bưu điện nhiều thứ khác 2.3 Cách thức mức độ gây hại: LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Cài đặt phần mềm: Đối với số chương trình cài đặt, đặc biệt khách hàng sử dụng chung file, Spyware phần cài đặt tiêu chuẩn Download: Là trường hợp trang web hay trang Pop-up tự động tải cài đặt Spyware vào máy tính Trong trường hợp này, máy báo với bạn tên phần mềm hỏi bạn liệu có cài đặt khơng Thậm chí phần cài đặt an ninh máy có vấn đề, người sử dụng khơng thơng báo hết Trình duyệt Add-on: Đây phần mềm hỗ trợ cho trình duyệt web cơng cụ, biểu tượng hoạt hình hay hộp tìm kiếm Cũng có lúc phần mềm thức hỗ trợ máy tính có chúng có chứa Spyware Đơi lúc phần mềm dó thực Spyware “trá hình” Thơng thường bạn truy cập vào Website tục tĩu chúng cướp quyền điều khiểncủa chương trình duyệt Web.Chúng xâm nhập vào máy tính bạn, bạn công chút để “diệt” chúng Giả làm phần mềm diệt Spyware: Đây “chiêu lừa” ngọa mục Phần mềm kiểu đánh lừa bạn cơng cụ để dị tìm loại bỏ Spyware 2.4 Một số công spyware vào hệ thống liệu doanh nghiệp:  Lấy cắp mật tài khoản Ngày 16/5/2010, công an TP Hà Nội cho biết họ xem xét khởi tố vụ án lừa đảo công nghệ cao Đối tượng phạm tội Nguyễn Hoàng (Thịnh Liệt, Hồng Mai), nhân viên mơi giới cơng ty kinh doanh vàng bạc đồng phạm Nguyễn Thị Tuyết người kinh doanh vàng bạc quận Hai Bà Trưng, Hà Nội Hành vi chiếm đoạt tài sản Hồng, Tuyết phát cơng ty nạn nhân nhận thấy dấu hiệu bất thường giao dịch Họ nhanh chóng phong tỏa tài khoản thủ phạm trình báo việc đến quan chức Qua điều tra, biết Hoàng Tuyết dùng phần mềm gián điệp cài đặt vào hệ thống máy tính cơng ty để lấy cắp mật tài khoản quản trị sàn vàng, qua can thiệp lên giao dịch diễn sàn vàng công ty LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Sau lấy cắp thành cơng mật khẩu, Hồng Tuyết mở tài khoản nộp tiền vào để giao dịch Ngày 5.11.2009, Hồng dùng máy tính xách tay truy cập vào tài khoản quản trị sàn vàng công ty đặt lệnh mua 1.000 lượng vàng với giá 24,61 triệu đồng/lượng tài khoản cơng ty khác Sau đó, Hồng dùng máy tính khác truy cập vào tài khoản Tuyết để đặt lệnh bán 750 lượng vàng với giá 24,58 triệu đồng/lượng, giá vàng giới lúc tương đương 23,475 triệu đồng/lượng Giao dịch thành cơng, Hồng chiếm khoản tiền chênh lệch gần 800 triệu đồng Cơ quan chức cho biết, Nguyễn Hoàng Tuyết quen san giao dịch vàng Hai đối tượng thỏa thuận làm ăn chung mức đóng góp theo ưu bên Tuyết có tiền nên góp vốn, Hồng góp chất xám Ban đầu hai đối tượng thu nguồn lợi định Tuy nhiên, đến đầu tháng 9/2009, việc làm ăn chung họ bị thua lỗ gần 500 triệu đồng Tài khoản Tuyết bị khóa, khơng thể tiếp tục giao dịch Trong lúc khó khăn, Hoàng nghĩ cách trộm mật khẩu, giao dịch nội gián để cứu vãn tình hình  Vụ công ăn cắp thông tin cá nhân mật người chơi game PTV Khi game thủ truy nhập vào Priston Tale vào trang Yahoo Mail, virus có tên PrsKey.A ghi lại lệnh gõ bàn phím gửi liệu thu cho hacker PrsKey.A lập trình để phát tán qua kênh chia sẻ mạng đồng thời sử dụng số thủ đoạn lừa bịp khác để dụ dỗ người chơi game tải máy tính Những account người chơi rao bán mạng Đến thời điểm này, PrsKey.A chưa phát tán mức độ rộng vụ công gây số vấn đề quản trị viên Priston Tale việc ngăn chặn tình trạng bn bán account người chơi Giới chuyên gia bảo mật cho biết phần mềm công sử dụng ngày nhiều vào mục đích ăn cắp tiền game người tham gia thay giành điểm cao  Tấn công diễn đàn www.hvaonline.net Rạng sáng ngày 1-5-2006, diễn đàn HVA bị nhóm hacker cơng làm hỏng trọn sở liệu HVA Sau đó, tồn viết forum HVA 70000 email thành viên với mật mã hóa box kín ban quản trị rao bán với giá 1.700USD trang web khác Đến chiều tối ngày 7-5 forum HVA chưa thể hoạt động bình thường, trang chủ có dịng thơng báo "Diễn đàn HVA tạm ngưng hoạt động Thông báo chi tiết việc HVA hoạt động trở lại công bố thời gian ngắn nhất" LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com Đại diện HVA cho biết, vụ này, hacker sử dụng chiêu thức "xflash" Tức bí mật đặt banner cài sẵn mã công vài website có số lượng người truy cập lớn Như vậy, người truy cập vào website tự động tải đoạn mã cơng vơ tình trở thành mũi phát động lệnh hợp lệ tiến thẳng đến server HVA III Cách phòng chống khắc phục loại virus phần mềm gián điệp công doanh nghiệp: Spyware Phần mềm gián điệp "quấy nhiễu" bạn lướt web, khiến công việc bạn không trơi chảy Hiện có nhiều phần mềm giúp diệt spyware, NoAdware v3.0 bật nhờ tính tiện ích hiệu diệt spyware tốt 2.Malware, Viết tắt malicious software, phần mềm máy tính thiết kế với mục đích thâm nhập gây hỏng hóc máy tính mà người sử dụng khơng hay biết Nhiều người dùng máy tính thường dùng thuật ngữ virus để chung cho loại malware, thực malware bao gồm virus, worm, trojan horse, adware, spyware.1 số phần mềm tiêu diệt phát malware + Microsoft Process Explorer +HiJackThis +Kaspersky’s Getsysteminfo +Microsoft Baseline Security Analyzer (MBSA) +Secunia’s Scanner +Chương trình Antivirus: BitDefender, Kaspersky, Norton, Avira 3.Phần mềm quảng cáo (adware_) Làm để loại bỏ tập tin Ezlife Phần mềm quảng cáo? Cần giúp đỡ xóa tập tin Ezlife Phần mềm quảng cáo? Vào thời điểm bạn phải tự xóa tập tin Ezlife Phần mềm quảng cáo: Nếu bạn cảm thấy thoải mái chỉnh sửa hệ thống bạn, bạn tìm thấy dễ dàng Làm để xóa tập tin Ezlife Adware Windows XP/Vista/7:  Nhấp Windows menu Start bạn bấm vào nút "Search" LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com  Bật lên shegekitkhebat, "Những bạn muốn tìm?" Nhấp vào "Tất file thư mục."  Phần mềm quảng cáo Ezlife tập tin nhập vào hộp tìm kiếm chọn "Local Hard Drives."  Nhấp vào "Tìm kiếm" Một tập tin Ezlife Phần mềm quảng cáo tìm thấy, xóa Đình Ezlife Phần mềm quảng cáo trình:  Nhấp vào trình đơn Start, chọn Run  Loại taskmgr.exe vào hộp lệnh Run, nhấn "OK" Bạn bắt đầu làm việc quản lý cách nhấn phím CTRL + SHIFT + ESC  Nhấp vào tab Processes, tìm Ezlife Phần mềm quảng cáo trình  Một bạn tìm thấy Ezlife Adware quy trình, nhấp chuột phải vào chúng chọn "End Process" để giết Ezlife Phần mềm quảng cáo 4.Phòng ngừa keylogger Keylogger thường bị vào máy qua hai đường chính: cài đặt bị cài đặt Phòng ngừa “được cài đặt” Phương pháp sau có tác dụng với chủ máy (người nắm quyền root/administrator) Cách tốt không cho sử dụng chung máy tính Bảo mật máy cách khóa lại chương trình bảo vệ, mật Nếu phải dùng chung nên thiết lập quyền người dùng chung thật thấp (guest Windows XP, user Linux) để kiểm sốt việc cài đặt chương trình họ Phòng ngừa “bị cài đặt” Bị cài đặt cách để nói đến trường hợp keylogger vào máy khơng người trực tiếp đưa vào máy mà trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hay biết Các biện pháp phịng ngừa: +Khơng tùy tiện mở tập tin lạ, không rõ nguồn gốc ( đặc biệt ý tập tin có *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…) Tốt nên xóa đi, kiểm tra (scan) chương trình antivirus chương trình antispyware, nhiều chương trình antivirus tìm thấy virus, khơng thể nhận biết spyware +Không vào trang web lạ, đặc biệt web “tươi mát” trang web ẩn chứa loại worm, virus, mã độc âm thầm cài đặt + Khơng click vào đường link lạ cho bạn LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com + Khơng cài đặt chương trình lạ (vì chứa virus, trojan) + Khơng download chương trình từ nguồn khơng tin cậy Nếu bạn có thể, xem xét chữ ký điện tử, để chắn chương trình khơng bị sửa đổi + Hạn chế download sử dụng cracked-program Ln ln tự bảo vệ chương chình chuyên dùng chống virus, chống spyware (antivirus, antispyware) dựng tường lửa (firewall) Internet Thường xuyên cập nhật đầy đủ cập nhật bảo mật hệ điều hành 5.Phising - Khi duợc yêu cầu cung cấp thông tin quan trọng, tốt hon hết nên trực tiếp vào website phía yêu cầu dể cung cấp thông tin không di theo duờng liên kết duợc gửi dến Cẩn thận hon nên email lại (khơng reply email dã nhận) với phía dối tác dể xác nhận liên hệ với phía dối tác phone hỏi xem có kêu gửi thơng tin khơng cho an tồn - Với trang xác nhận thông tin quan trọng, họ dùng giao thức http secure (có s sau http) nên dịa có dạng [Only registered and activated users can see links] [Only registered and activated users can see links] thuờng Ngân hàng kêu ta xác nhận lại hà tiện dùng [Only registered and activated users can see links] “thuờng” ngân hàng… dịa phủ - Ðể tránh “chết dám”, tài khoản nên dặt mật khác nhau, nên thay dổi thuờng xuyên (xem thêm Huớng dẫn dặt bảo vệ mật khẩu) - Nên thuờng xuyên cập nhật miếng vá lỗ hổng bảo mật cho trình duyệt (web browser) Cài thêm chuong trình phịng chống virus, diệt worm, trojan tuờng lửa không thừa Cuối cùng, cung quan trọng dừng quên kiểm tra thuờng xuyên thông tin thẻ ATM, Credit Card, Tài khoản ngân hàng,… xem “ai còn, mất” dể mà trở tay kịp thời! Cái quan trọng á! Nếu bị “lừa” dừng qn report thơng tin dến tổ chức Anti Phishing Group - Phòng chống Phishing quốc tế ([Only registered and activated users can see links]) dể nhờ họ “trả thù” dùm mình! 6.Rookits Tất kernel-rootkits phổ biến tự gắn vào system mà người sử dụng máy tính đăng nhập vào máy tính với tài khoản có quyền admin bị dính virus Do vậy, bạn làm việc với tài khoản người dùng bình thường ( khơng có quyền admin ) rootkits khơng thể có hội để cài vào máy bạn Bạn tạo tài khoản hoạn chế cách vào control panel –> user account tạo theo hướng LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com dẫn Lưu ý: bạn nên để lại tài khoản với quyền admin để cài thêm chương trình vào máy (với tài khoản hạn chế bạn cài chương trình vào máy được) Ngồi việc phịng ngừa rootkits cách làm việc với tài khoản hạn chế, bạn nên cài thêm phần mềm chống phần mềm phá hoại để bảo vệ phát xâm nhập cách nhanh Có nhiều phần mềm diệt virus chuyên dụng ngăn chặn cài đặt rootkits cách có hiệu chúng vừa xâm nhập vào hệ thống Ngồi việc ln sử dụng chương trình chống virus hệ thống, bạn nên sử dụng thêm vài chương trình đặc biệt sử dụng vào mục đích đặc biệt tìm kiếm phát diện rootkits máy bạn Dưới số chương trình rootkits finders thường sử dụng (free bạn tìm kiếm, download internet): Blacklight Rootkit unhooker Anti-rootkit Antivir PE Classic ( vừa diệt virus mà chống rootkits) Còn bạn muốn sử dụng chương trình cho tất bạn sử dụng chương trình sau: Norton Antivirus 2007 Kaspersky Antivirus 6.0 Hai chương trình địi hỏi bạn phải mua quyền công cụ diệt virus rootkits tốt 7.Ransomeware Đây loại phần mềm độc hại (malware) nguy hiểm hội nhận lại liệu bạn thấp", ông Vitaly Kamluk, chuyên gia phịng thí nghiệm malware cơng ty bảo mật Kaspersky viết đăng blog mô tả vụ cơng "Nó gần việc loại bỏ vĩnh viễn liệu từ ổ cứng bạn".Phiên ransomware GpCode cuối biết đến từ năm trước Các cơng ty chống virus phân tích mã ransomware để tìm lỗi cho phép giải mã Viết mã mã hóa tốt khó khăn, nhiều phiên trước chương trình có sai sót, cho phép cơng ty bảo mật giúp đỡ nạn nhân phục hồi số liệu họ Nếu người sử dụng chuẩn bị cách, việc bảo vệ chống lại công ransomware đơn giản: Chỉ cần đảm bảo bạn thực lưu thường xuyên, huấn luyện người sử dụng phục hồi liệu bạn đối mặt với mối đe dọa ransomeware Đối với nạn nhân không cần lưu, người có phản xạ nhanh LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com bảo vệ liệu Khi nạn nhân nhận thấy liệu bị mã hóa, họ phải rút phích cắm PC khỏi nguồn điện 8.Backdoor trojan Không sử dụng phần mềm không tin tưởng (Đơi tin tưởng bị dính Trojans) - Không vào trang web nguy hiểm, không cài ActiveX JavaScript trang web đính kèm Trojans - Tối quan trọng phải update OS thường xuyên - Cài phần mềm diệt virus uy tín: Tơi hay dùng: Kaspersky Internet Security, Norton Internet Security, Mcafee Total Security, nghe nói nhiều phần mềm diệt Virus chống Trojan hay khác Sau cài phần mềm bạn update thường xuyên 9.Trojan horse Cách hạn chế: - Để hạn chế dạng ta dùng số phần mềm diệt virus - Ta lên google để search số trang web để quét xem link trang web có an tồn khơng trước click vào - Cập nhật vá cho trình chống virus - Nếu bị nhiễm cách li khu riêng biệt để tránh lây lan qua hệ thống khác Cách hữu hiệu đừng mở đính kèm gửi đến cách bất ngờ Khi đính kèm khơng mở Trojan horse hoạt động Cẩn thận với thư điện tử gửi từ địa quen biết Trong trường hợp biết có đính kèm từ nơi gửi quen biết vẩn cần phải thử lại chương trình chống virus trước mở Các tệp tải từ dịch vụ chia sẻ tệp Kazaa hay Gnutella đáng nghi ngờ, dịch vụ thường bị dùng chỗ để lan truyền Trojan horse Tấn công tầng ứng dụng: Dựa vào lỗ hổng tầng ứng dụng HTTP, sendmail, postcript, FTP - Có thể dùng thiệt bị IDS/IPS để quét, theo dõi, ghi log ngăn chặn Thường xuyên cập nhật lỗ hổng 10.Sâu máy tính Sử dụng phần mềm phát diệt virus worm như:kaspersky,bitdefender,norton,avast!home editon 5.0,comodo antivirus… LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com 11.Bot va Botne Phòng thử chống lại việc lây nhiễm công bot chia làm nội dung chính: - Phịng ngừa: người sử dụng, người quản trị hệ thống nên hiểu chế lây nhiễm phát tán bot để có phịng ngừa Sử dụng chương trình phát hiện, tiêu diệt virus, mã độc,…sử dụng hệ thống tường lửa, hệ thống phát xâm nhập, - Phát hiện: phát việc xuất bot cách giám sát tiến trình, giám sát băng thơng gói tin mạng Xem cảnh báo, log file từ hệ thống cảnh báo, tường lửa,… - Xử lý: xử lý phát có bot, xử lý bị botnet công *Đối với người dùng thông thường (Dạng Home user) Phòng ngừa : - Tuân thủ sách bảo mật - Cập nhật vá phần mềm máy - Tham khảo thông tin cập nhật cert.org phần “Home Network Security” http://www.cert.org/tech_tips/home_networks.html nội dung hữu ích - Bật chế độ tự động cập nhật hệ điều hành phần mềm ứng dụng [theo CERT, 2001] - Thao tác an toàn truy nhập mail, web, chat,… không lưu mật - Sử dụng cập nhật thường xuyên phần mềm diệt virus phổ biến - Sử dụng tường lửa thiết lập chế độ hợp lý Phát : - Cổng mặc định IRC 6667, cổng bị thay đổi Dùng lệnh netstat – an Windows Linux để kiểm tra cổng vào mà máy tính sử dụng Ví dụ : C:/windows> netstat – an TCP your.mac hine.ip remote.irc.server.ip :6667 ESTABLISHED Như có nghĩa có kết nối IRC đến remote.irc.server.ip qua cổng 6667 Các server IRC lắng nghe cổng 6000- 7000A169 4E Đây cách để phát phần mềm gián điệp khác - Giám sát băng thơng, gói tin mạng, cổng kết nối Có thể có LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com vài dấu hiệu mạng chậm, tỉ lệ gói tin gửi nhận khác thường,… - Phần mềm chống virus phần mềm gián điệp phát chúng - Trong số trường hợp dùng chương trình qt trực tuyến hang bảo mật lớn [theo SYMANTEC] Xử lý: - Ngắt kết nối mạng máy bị nhiễm mã độc, để tránh nguy ảnh hưởng đến máy mạng - Cập nhật phần mềm diệt virus, kiểm tra xem nhà cung cấp hệ điều hành, phần mềm có vá hay khơng ? - Nếu chương trình diệt virus khơng phát dùng cơng cụ hiển thị tiến trình máy tính để phát diệt tay - Nếu máy có chứa thơng tin nhay cảm tài khoản ngân hàng cần báo cho nơi quản lý thẻ để tạm ngưng sử dụng mật cần đổi lại - Nếu khơng xử lý cần nhờ người có kỹ thuật xử lý * Đối với quản trị hệ thống Phịng chống: - Áp dụng sách bảo mật thông dụng - Theo hướng dẫn nhà cung cấp hệ điều hành, phần mềm ứng dụng nâng cấp cập nhật vá - Theo dõi thông tin lỗ hổng bảo mật trang bảo mật uy tín, nhận thơng tin bảo mật từ mailing list bugtraq - Bật chế độ tự động cập nhật hệ điều hành phần mềm ứng dụng - Thao tác an toàn truy nhập mail, web, chat,… không lưu mật - Sử dụng cập nhật thường xuyên phần mềm diệt virus phổ biến - Sử dụng tường lửa thiết lập chế độ hợp lý.- Cài đặt phần mềm để giám sát hệ thống, phân tích log file hoạt động truy nhập hệ thống Phát - Sử dụng kỹ thật người dùng thông thường - Thường xuyên giám sát log hệ thống sử dụng, log hệ thống giám sát, có chế cảnh báo tự động cho người quản trị gửi mail,… - Giám sát mạng, dùng tường lửa chặn cổng khơng cần thiết tiện ích nhỏ cho phép xem cổng đóng mở ngồi netstat fport McAfee: http://www.foundstone.com/knowledge/proddesc/fport.html LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com - Phân tích log phần mềm bắt gói tin phát server kênh bí mật kẻ cơng sử dụng, biết mật kết nối IRC mã hóa hay khơng mã hóa - Tiến hành qt tồn máy tình nghi có chứa mã độc, rà sốt, tìm dỡ bỏ backdoor, rootkit Xử lý : - Sử dụng kỹ thật người dùng thông thường - Cô lập máy bị nhiễm sang phân mạng riêng biệt - Lưu trữ giữ an toàn liệu, logs file Firewalls, Máy chủ Mail , IDS, DHCP, proxy - Xử dụng phần mền bắt gói tin để phân tichs cách thức hoạt động bot, phát máy bị lây nhiễm, nguồn gốc nơi phát lệnh,… - Liên hệ trung tâm xử lý cố máy tính, trung tâm an ninh mạng để phối hợp giải LUAN VAN CHAT LUONG download : add luanvanchat@agmail.com ... chống khắc phục loại virus phần mềm gián điệp công doanh nghiệp: Spyware Phần mềm gián điệp "quấy nhiễu" bạn lướt web, khiến công việc bạn không trôi chảy Hiện có nhiều phần mềm giúp diệt spyware,... xấu II Một số loại virus phần mềm gián điệp (spyware) công hệ thống liệu doanh nghiệp Virus: 1.1 Khái niệm: Có nhiều định nghĩa virus, song, khoa học máy tính định nghĩa, virus máy tính (thường... dụng máy bạn công cụ để công vào hệ thống khác công vào hệ thống mạng bạn sử dụng Đôi bạn nạn nhân thực mà virus nhắm vào, đơi bạn vơ tình trở thành "trợ thủ" cho chúng công vào hệ thống khác Trong