Chiến lược phòng chống virus Chiến lược phòng chống virus Bởi: Khoa CNTT ĐHSP KT Hưng Yên Trên thực tế có nhiều giải pháp bảo mật triển khai để chống lại nguy từ virus máy tính Tuy nhiên chưa có giải pháp thực phương thuốc trị bách bệnh Thiệt hại virus máy tính gây ngày lớn đòi hỏi cần có giải pháp hữu hiệu để bảo vệ hệ thống máy tính, đặc biệt hệ thống máy tính dịch vụ thương mại Chúng ta hình dung kịch virus cố gắng cách xâm nhập vào hệ thống máy tính Còn nghĩ cách chống lại chúng Để phá hoại hệ thống, trước hết virus cần xâm nhập vào hệ thống, sau tìm lỗ hổng bảo mật điểm yếu hệ thống để triển khai công Rõ ràng kịch công virus mang đến cho ta hai chiến lược để phòng chống Đó ngăn ngừa virus xâm nhập hệ thống giảm thiểu thiệt hại hệ thống trường hợp bị xâm nhập Nói theo khía cạnh kiểm soát truy xuất có hai yếu tố cần đảm bảo kiểm soát việc truy xuất tới hệ thống kiểm soát truy xuất bên hệ thống [1] Hai kỹ thuật tương ứng để triển khai chiến lược đặt chốt chặn triển khai mô hình sandbox Với chiến lược thứ nhất, phải đặt chốt chặn điểm vào hệ thống cần bảo vệ Các chốt chặn thực chất chương trình kiểm tra, phân tích để phát virus Với mô hình sandbox, không tập trung vào phát virus mà tập trung nghiêm khắc giới hạn truy xuất chương trình không tin cậy tới liệu tài nguyên hệ thống Sự truy xuất tới hệ điều hành kiểm soát chặt chẽ theo nguyên lý đặc quyền (The Least Privilege) Nghĩa chương trình cấp quyền truy xuất tối thiểu để đủ thực công việc Việc giới hạn truy xuất giảm thiểu rủi ro cho hệ thống bị xâm hại Chốt chặn Trước hết cần xác định đường (hay điểm vào) từ virus xâm nhập vào máy tính Tại điểm vào đặt chương trình kiểm tra (Hình 11.4) Ví dụ chương trình firewall cài đặt để kiểm soát luồng thông tin vào hệ 1/5 Chiến lược phòng chống virus thống Kỹ thuật ký mã (code signing) mã mang theo chứng (proof-carrying code) triển khai để kiểm tra tính tin cậy toàn vẹn thông tin đảm bảo thông tin đến từ nguồn tin cậy thân thông tin không bị làm giả trình di trú [29] Tuy cần lưu ý việc kết hợp sử dụng kỹ thuật firewall code signing không khả thi kỹ thuật firewall yêu cầu duyệt gói tin thêm vào sửa đổi cần thiết Trong kỹ thuật code signing không cho phép thông tin bị sửa đổi để đảm bảo tính toàn vẹn Mô hình chốt chặn Mặc dù kỹ thuật triển khai rầm rộ song phần mềm anti-virus ngày đóng vai trò quan trọng Hàng chục ngàn virus tồn virus xuất hàng ngày hàng Nhận biết virus để bảo vệ máy tính công việc vô khó khăn chương trình anti-virus Thực tế hầu hết chương trình anti-virus triển khai kỹ thuật tìm kiếm kinh nghiệm (heuristics) để phát virus Kỹ thuật tìm kiếm kinh nghiệm bao gồm hai nhóm tìm kiếm tĩnh (static) tìm kiếm động (dynamic) Tìm kiếm tĩnh duyệt toàn file, phân tích cấu trúc tìm kiếm mẫu điển hình virus Sau sử dụng thông tin để đưa định file có nhiễm virus hay không Trong đó, tìm kiếm động thiết lập môi trường kiểm soát ảo file cần kiểm tra mở (các file tài liệu) thực thi Các hành vi lúc run-time trình thử nghiệm ghi lại, dựa vào luật bảo mật thiết lập sẵn hệ thống đưa định [30] Chiến lược để sử dụng kỹ thuật tìm kiếm kinh nghiệm trì sở liệu chứa thông tin virus Tuy nhiên, thông tin virus không cập nhật đầy đủ (hoặc luật bảo mật không đầy đủ trường hợp tìm kiếm động) chương trình anti-virus trở thành vô dụng có virus hoàn toàn xâm nhập hệ thống 2/5 Chiến lược phòng chống virus Mô hình Sandbox Như đề cập, chương trình anti-virus phát virus mới, không bảo vệ máy tính trước virus Giải thuật cho việc phát virus khó không khả thi [24] Trong trường hợp này, mong giảm thiểu thiệt hại việc giới hạn truy xuất virus tới liệu tài nguyên hệ thống Mô hình áp đặt giới hạn biết đến với tên “Sandbox” (Hình 11.5) Mô hình sandbox Có nhiều người cho máy tính hay bị nhiễm virus hay kết nối vào internet Nếu bạn thường xuyên duyệt Web có lẽ bạn đồng ý Nhưng không, duyệt web không khả máy tính bị nhiễm virus thấp Ngay bạn bị tái điều hướng (redirect) tới trang web bất thường chạy chương trình Điều có hầu hết trình duyệt web triển khai mô hình sandbox Các loại mã ngoại lai hay chương trình không tin cậy phải chạy kiểm soát mô hình Tiếp theo xem xét hai ví dụ điển hình việc triển khai mô hình sandbox thực tế Ví dụ : Java applet Java ngôn ngữ mạnh mẽ, bảo mật Vấn đề bảo mật với Java thực liên quan đến applet Tận dụng khả Java, tin tặc viết applet để triển khai kiểu công xét Mô hình sandbox cho Java có lẽ tiếng Bất người dùng duyệt trang web có chứa applet Applet trình duyệt tự động tải chạy kiểm soát chặt chẽ mô hình Ví dụ : Công nghệ Active Content chương trình trợ giúp (helper applications) Để xử lý nhiều loại liệu khác nhau, trình duyệt cần triệu gọi chương trình trợ giúp tương ứng với chúng Bất tài liệu gửi từ Web Server cho trình duyệt web, trình duyệt trình diễn nội dung tài liệu trực tiếp thông qua chương trình có sẵn (built-in) hay chương trình kết hợp, gián tiếp qua 3/5 Chiến lược phòng chống virus việc triệu gọi chương trình trợ giúp chẳng hạn Word, Excel, Ghostscript Không may, chương trình trợ giúp thường cồng kềnh không thiết kế với tiêu chí bảo mật Các công nghệ mã ẩn (Active Content) cho phép đoạn mã máy tính (gọi tắt mã) dạng script, macro loại mã mô tả tài liệu (postscript) nhúng tài liệu thực thi tài liệu mở Trong lúc người sử dụng hiển thị tài liệu cách bị động nội dung tài liệu lại thông dịch trở nên kích hoạt (active) công nghệ có tên gọi Active Content [31] Giống công nghệ khác, công nghệ mã ẩn cung cấp khả hữu ích cho việc thực dịch vụ thiết yếu đồng thời trở thành điểm yếu bảo mật, tạo điều kiện cho công tin tặc Ví dụ, có file Word đính kèm với thư điện tử (file có chứa virus macro) Trong file chưa mở (tức trạng thái chưa kích hoạt) chẳng có hư hại đến bảo mật hệ thống Tuy nhiên thời điểm Microsoft Word mở file cho phép macro thực thi File Word trạng thái kích hoạt đe doạ tới bảo mật hệ thống Đối với trình duyệt, mô hình sandbox triển khai để khắc phục nguy đến từ công nghệ mã ẩn Chúng ta dễ thấy điều mở file Word, Excel hay Postscript trình duyệt Khi trình duyệt đóng vai trò công cụ hiển thị, chức thông thường chương trình trợ giúp bị loại bỏ Các công việc liên quan Để tăng cường phát virus, xây dựng phần mềm tự kiểm tra (built-in self-test) dùng kỹ thuật mã hoá Integrity Shell xem kỹ thuật tối ưu cách tiếp cận [24] Theo đó, phát lây nhiễm để ngăn ngừa lây nhiễm thứ cấp Kỹ thuật sandbox bao hàm nhiều cách thức triển khai khác Mô hình sandbox cho Java applet gồm máy ảo (Virtual Machine) nhúng trình duyệt thư viện lớp hỗ trợ thực thi Mô hình sandbox cho chương trình trợ giúp môi trường cách ly tạo phần mềm, triển khai luật bảo mật để kiểm soát hành vi chương trình Ngay thân trình duyệt đối tượng kiểm soát Mặc dù phương pháp có hạn chế đòi hỏi hỗ trợ hệ điều hành để lưu vết lọc lời gọi hệ thống Kết luận Chưa giới lại dành nhiều quan tâm đến bảo mật lúc Các công gần gây hoang mang lớn cộng đồng người dùng Trong số người có đôi chút hiểu biết công úp mở chúng Đối với người dùng, virus dường thật đáng sợ hữu lúc nơi Thế thật không hẳn 4/5 Chiến lược phòng chống virus có tranh mầu tối Virus xâm nhập vào máy tính người dùng đường định vô hại bạn kiểm soát đường Mặc dù chiến lược chống virus mang lại kết ngăn chặn định thân chúng nhiều hạn chế Chẳng hạn chiến lược chốt chặn không phát virus, virus làm giả chứng để qua mặt chương trình kiểm tra…Ở mô hình sandbox, truy xuất chương trình bị giới hạn tính chúng bị hạn chế Sự hội tụ chiến luợc đưa đến giải pháp toàn vẹn hơn, mang đến câu trả lời xác cho vấn đề virus Quả thực triển khai lúc nhiều kỹ thuật khác để bảo vệ máy tính Đó xu hướng để phòng chống virus 5/5 ... anti -virus trở thành vô dụng có virus hoàn toàn xâm nhập hệ thống 2/5 Chiến lược phòng chống virus Mô hình Sandbox Như đề cập, chương trình anti -virus phát virus mới, không bảo vệ máy tính trước virus. .. virus dường thật đáng sợ hữu lúc nơi Thế thật không hẳn 4/5 Chiến lược phòng chống virus có tranh mầu tối Virus xâm nhập vào máy tính người dùng đường định vô hại bạn kiểm soát đường Mặc dù chiến. .. hại bạn kiểm soát đường Mặc dù chiến lược chống virus mang lại kết ngăn chặn định thân chúng nhiều hạn chế Chẳng hạn chiến lược chốt chặn không phát virus, virus làm giả chứng để qua mặt chương