Tìm hiểu về 7 loại nguy cơ đe dọa đối với các hoạt động thanh toán điện tử trên thế giới. Trình bày phương pháp phòng chống trực tiếp đối với các loại nguy cơ này.

Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông

Đề tài

Tìm hiểu về 7 loại nguy cơ đe dọa năm 2014 đối với các hoạt động thanh toán điện tử trên thế giới Trình bày phương pháp phòng chống trực tiếp đối với các loại nguy cơ này.

An toàn trước các cuộc tấn công là một vấn đề mà các hệ thống giao dịch trực tuyến cần giải quyết Vì vậy các hệ thống cần phải có một cơ chế đảm bảo an toàn trong quá trình giao dịch điện tử Một hệ thống thông tin trao đổi dữ liệu an toàn phải đáp ứng một số yêu cầu sau:

• Hệ thống phải đảm bảo dữ liệu trong quá trình truyền đi là không bị đánh cắp

• Hệ thống phải có khả năng xác thực, tránh trường hợp giả danh, giả mạo Do vậy, cần tập trung vào việc bảo vệ các tài sản khi chúng được chuyển tiếp giữa máy khách

và máy chủ từ xa Các kỹ thuật đảm bảo cho an toàn giao dịch điện tử chính là sử dụngcác hệ mật mã, các chứng chỉ số và sử dụng chữ ký số trong quá trình thực hiện các giao dịch

Những nguy cơ chủ yếu đe dọa các hoạt động thanh toán điện tử trên thế giới gồm có: virut, Sâu máy tính (worm), Trojan Horse, Phần mềm gián điệp (spyware), Phần mềm quảng cáo (adware), Keylogger, hacker

Chương I Nội dung

1.virut

Trong khoa học máy tính, virus máy tính (thường được người sử dụng gọi tắt là virus hay vi-rút) là những chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, )

a.Lịch sử

Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính

Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax

1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành, lúc đó chưa có khái niệm về virus

Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm "Vi-rút máy tính" (computer virus) như định nghĩa ngày nay

Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người Đây là một loại macro virus Đặc điểm là nó dùng đuôi tập tin dạng

"ILOVEYOU.txt.exe", lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng.exe sẽ tự động bị giấu đi Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo Khi truy cứu ra thì đó là một sinh viên người Philippines Tên này được tha bổng vì lúc đó Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính

Năm 2002: Tác giả của virus Melissa, David L Smith, bị xử 20 tháng tù

Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn chứng

tỏ khả năng của mình nên thường virus có các hành động như: cho một chương trình không hoạt động đúng, xóa dữ liệu, làm hỏng ổ cứng, hoặc gây ra những trò đùa khóchịu

Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus

Chiếm trên 90% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows chỉ đơn giản bởi hệ điều hành này được sử dụng nhiều nhất trên thế giới Do tính thông dụng của Windows nên các tin tặc thường tập trung hướng vào chúng nhiều hơn là các hệ điều hành khác Cũng có quan điểm cho rằng Windows có tính bảo mật không tốt bằng các hệ điều hành khác (như Linux) nên có nhiều virus hơn, tuy nhiên nếu các hệ điều hành khác cũng thông dụng như Windows hoặc thị phần các hệ điều hành ngang bằng nhau thì cũng lượng virus xuất hiện có lẽ cũng tương đương nhau

b.Các hình thức lây nhiễm của virus máy tính

Virus lây nhiễm theo cách cổ điển

Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình

thường là phương tiện bị lợi dụng nhiều nhất để phát tán Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.

Virus lây nhiễm qua thư điện tử

Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướngsang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống

Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn

Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó

Phương thức lây nhiễm qua thư điển tử bao gồm:

Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail) Khi đó người dùng

sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc điểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)

Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã,

và máy tính bị có thể bị lây nhiễm virus

Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus Cách này thường khai thác các lỗi của hệ điều hành

Virus lây nhiễm qua mạng Internet

Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:

Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB ) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm

Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc

cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở cácfile liên kết với các phần mềm này

c Biến thể

Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng

Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán

d Cách phòng chống virus và ngăn chặn tác hại của nó

Để không bị lây nhiễm virus thì giải pháp triệt để nhất là ngăn chặn mọi kết nối thông tin vào thiết bị máy tính bao gồm ngắt kết nối mạng chia sẻ, không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính, đặc biệt các dạng file có nguy cơ cao Điều này thực sự hiệu quả khi mà hiện nay sự tăng trưởng số lượng virus mới hàng năm trên thế giới rất lớn

Tuy nhiên, trong thời đại "bùng nổ thông tin", đa số mọi người đều có nhu cầu truy cập vào "không gian số", không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm hoạ virus và các phần mềm không mong muốn, nhưng chúng ta

có thể hạn chế đến tối đa với các biện pháp bảo vệ dữ liệu của mình:

Sử dụng phần mềm diệt virus

Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được các virus mới

(Để biết cách sử dụng phần mềm diệt virus hiệu quả, xem thêm tại "phần mềm diệt virus")

Trên thị trường Việt Nam hiện có rất nhiều các tên tuổi phần mềm diệt virus như:

Do người Việt Nam viết: Bkav, D32, CMC,

Của nước ngoài: Norton-Symantec, Kaspersky, Avira, AVG, ESET,Avast!

Phát hành bởi Microsoft: Microsoft Security Essentials,

Sử dụng tường lửa cá nhân

Tường lửa cá nhân (Personal Firewall) không phải một cái gì đó quá xa vời hoặc chỉ dành cho các nhà cung cấp dịch vụ internet (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng tường lửa để bảo vệ trước virus và các phần mềm độc hại Khi sử dụng tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý Nếu một phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng Tường lửa giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát máy tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hạihay virus máy tính

Tường lửa được chia 2 loại:

Sử dụng tường lửa bằng phần cứng Nếu người sử dụng kết nối với mạng Internet thông qua một modem hoặc một card chuyên dụng có chức năng này Thông thường ở chế độ mặc định của nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép hiệu lực (bật) Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các phần mềm

Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày nay đã được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường lửa phần mềm sẵn có của Windows Ví dụ bộ phần mềm ZoneAlarm

Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống spam, và tường lửa

Cập nhật các bản vá lỗi của hệ điều hành

Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi

sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại Người sử dụng luôn cần cập nhật các bản vá lỗi của Windows thông qua trang web Microsoft Update (cho việc nâng cấptất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) của Windows Tính năng này chỉ hỗ trợ đối với các bản Windows mà

Microsoft nhận thấy rằng chúng hợp pháp

Vận dụng kinh nghiệm sử dụng máy tính

Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp thời đối với phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt

để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm khác để bảo

vệ cho hệ điều hành và dữ liệu của mình Một số kinh nghiệm tham khảo như sau:

Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thayđổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường của máy tính Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa) Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự xuất hiện của virus Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng mộtphần mềm diệt virus khác để quét toàn hệ thống.

Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là gì ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của

sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng

Loại bỏ một số tính năng tự động của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus: Theo mặc định Windows thường cho phép các tính năng tự chạy

(autorun) giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống Chính các tính năng này được một số loại virus lợidụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.inf trên ổ USB để tự chạy các virus ngay khi cắm ổ USBvào máy tính) Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry

Quét virus trực tuyến: Sử dụng các trang web cho phép phát hiện virus trực tuyến:Bảo vệ dữ liệu máy tính

Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus máy tính và các phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu của mình trướckhi dữ liệu bị hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm tàng khác như sự hư hỏng của các thiết bị lưu trữ dữ liệu của máy tính) Trong phạm vi về bài viết về virus máy tính, bạn có thể tham khảo các ý tưởng chính như sau:

Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang ), hình thức này có thểthực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của

dữ liệu của bạn

Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của hệ điều hành (ví dụ System Restore của Windows Me, XP ) mà có thể cần đến các phần

mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống bằng các phần mềm ghost, các phần mềm tạo ảnh ổ đĩa hoặc phân vùng khác.

Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu không bị lây nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn của phần mềmdiệt virus trong tương lai có thể loại bỏ được chúng

2 Sâu máy tính (worm)

Sâu máy tính là một chương trình máy tính có khả năng tự nhân bản giống như virus máy tính Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính để

có thể thi hành thì sâu máy tính là một chương trình độc lập không nhất thiết phải là một phần của một chương trình máy tính khác để có thể lây nhiễm Sâu máy tính thường được thiết kế để khai thác khả năng truyền thông tin có trên những máy tính cócác đặc điểm chung - cùng hệ điều hành hoặc cùng chạy một phần mềm mạng - và được nối mạng với nhau

Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988 Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet Tuy vậy, có lẽ worm tồn tại lâu nhất

là virus happy99, hay các thế hệ sau đó của nó có tên là Trojan Các worm này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message

Sâu máy tính thường mang theo phần mềm gián điệp để mở cửa hậu máy tính trên các máy tính bị nhiễm (giống như Sobig và Mydoom) Các máy tính bị nhiễm được sử dụng bởi những người gửi thư rác hoặc giả danh địa chỉ trang web Các cửa hậu cũng

có thể được các sâu máy tính khác khai thác như Doomjuice - phát tán bằng cửa hậu được mở bởi Mydoom

Sâu máy tính thường được thiết kế để có thể phát tán từ máy tính này sang máy tính khác mà người sử dụng không hề hay biết Không giống như virus máy tính, sâu máy tính có thể tự nhận bản lên nhiều lần mặc dù người sủ dụng không thực hiện bất kỳ thao tác gì Ví dụ như sâu máy tính có thể xâm nhập vào hệ thống mail của người sử dụng để tự gửi email đến tất cả các địa chỉ trong Contact list của họ một số sâu máy tính nổi tiếng như Conficker, Sasser, và Blaster

Giới thiệu về một loại sâu mới nhất

Flame là loại sâu máy tính đã bị hãng bảo mật Kaspersky Lab phát hiện ra vào những ngày cuối tháng 5 vừa qua

Flame có thể ẩn nấp trên các máy tính ít nhất trong vòng 5 năm, phần mềm độc hại này sẽ ăn cắp dữ liệu, nghe trộm các cuộc đàm thoại, chụp ảnh màn hình các phần mềm chat… khiến cho nó thực sự nguy hiểm với bất kỳ ai sử dụng máy tính và

Internet

Flame là gì và nguy hiểm đến mức nào?

Flame là một vũ khí công nghệ tấn công tinh vi, sẽ để lại một cửa sau (backdoor) hoặc Trojan trên máy tính của nạn nhân và có thể lây truyền chính nó trên hệ thống mạng

nội bộ, tương tự như cách thức hoạt động của các loại sâu máy tính khác.

Ảnh minh họa một đoạn mã nguồn của Flame, cho thấy mô-đun Flame là mô-đun chính, được sử dụng để làm tên gọi cho sâu máy tính này

Flame có thể theo dõi thông tin kết nối Internet, chụp ảnh màn hình, ghi lại âm thanh các cuộc đàm thoại, bí mật ghi lại thông tin gõ trên bàn phím và thu thập thông tin về các thiết bị sử dụng Bluetooth ở gần thiết bị lây nhiễm Flame và biến máy tính của nạnnhân thành một thiết bị phát hiện Bluetooth

Chưa dừng lại ở đó, các hacker còn có thể cập nhật các mô-đun để bổ sung thêm nhiềuchức năng cho Flame ngay trên máy tính của nạn nhân Hiện có khoảng 20 mô-đun khác nhau của sâu máy tính này đã bị phát hiện và các nhà nghiên cứu bảo mật đang tìm hiểu xem chức năng thực sự của các mô-đun này là gì

Tên của loại phần mềm độc hại này (Flame) được đặt dựa theo tên của một mô-đun chính, thực hiện nhiệm vụ tấn công và phát tán trên nhiều máy tính Hiện các nhà nghiên cứu bảo mật đã phát hiện ra nhiều biến thể của Flame và phát hiện ra chúng đang có kết nối với 80 máy chủ khác nhau

“Flame là một khối kết cấu nhiều mô-đun Về cơ bản mục tiêu sẽ bị lây nhiễm bằng các mô-đun chính và sau đó những kẻ tấn công sẽ tải lên các mô-đun phụ thực hiện các chức năng cần thiết”, Roel Schouwenberg, chuyên gia bảo mật của Kaspersky cho biết “Chúng tôi cho rằng hiện vẫn chưa thể nắm rõ được có bao nhiêu mô-đun mà các hacker có thể sử dụng cho Flame”

Kaspersky Lab dự đoán rằng Flame sử dụng một lỗ hổng bảo mật nghiêm trọng trên Windows để phát tán, tuy nhiên thông tin này chưa được Microsoft xác nhận

Flame lây lan như thế nào?

Flame có thể lây lan thông qua ổ đĩa gắn ngoài như USB, ổ cứng di động, hệ thống mạng chia sẻ hoặc máy in được chia sẻ tuy nhiên, hiện các chuyên gia bảo mật vẫn

chưa thể tìm ra nguồn gốc lây lan ban đầu của loại malware nguy hiểm này.

Các hình thức và nguồn gốc có thể lây nhiễm của Flame

Kaspersky Lab dự đoạn một email lừa đảo có chứa mã độc chính là nguồn gốc lây lan của Flame

Flame đã xuất hiện trong bao lâu?

Trên thực tế, không phải đến tận tháng 5 năm nay, Flame mới được phát hiện, mà Kaspersky Lab cho biết những dấu hiệu xuất hiện Flame đã có từ năm 2010, thậm chí

có những bằng chứng cho rằng Flame đã từng xuất hiện từ năm 2007 hoặc từ trước đó.Tại sao Flame không bị phát hiện sớm hơn?

Theo đánh giá của các chuyên gia bảo mật, thì cho dù tác giả của Flame là ai thì thủ phạm đã cực kỳ nỗ lực để lập trình giúp cho sâu máy tính này có thể ẩn dấu và tránh bịphát hiện càng lâu càng tốt

“Rõ ràng đây là một dự án hàng triệu đô được tài trợ bởi một chính phủ nào đó”, Schouwenberg, chuyên gia bảo mật của Kaspersky dự đoán

Không giống với việc lây lan mạnh mẽ như các sâu máy tính nguy hiểm trước đây, có

vẻ như Flame chỉ lây lan nhằm vào những mục tiêu cụ thể mà các hacker nhắm tới Flame cho thấy sự bất thường về kích cỡ và sử dụng một ngôn ngữ lập trình không phổbiến, ngôn ngữ lập trình Lua, do đó, ban đầu Flame có vẻ như không có gì quá nguy hiểm

“Tác giả của Flame đã thực sự tài tình trong việc che dấu sự hiện diện của nó”,

Schouwenberg cho biết thêm “Bởi vì Flame không sử dụng những công nghệ xâm nhập và ẩn dấu mà các loại sâu máy tính khác thường sử dụng, do vậy các phần mềm

bảo mật không thể phát hiện ra Để phát hiện ra Flame là một điều không dễ dàng gì”.

Bản đồ phân bổ sự lây nhiễm của Flame, chủ yếu tập trung ở Trung Đông và Bắc PhiKhi được hỏi liệu có phải Mỹ hay Israel đứng sau Flame, với mục tiêu chính trị nhắm vào Iran hay không, Schouwenberg cho biết không dám chắc điều này

"Mặc dù Flame được lập trình và chú thích bằng tiếng Anh, không có nghĩa rằng một quốc gia nói tiếng Anh đứng đằng sau phần mềm độc hại này", Schouwenberg suy luận

Trong khi đó, nhiều trang công nghệ trích dẫn "nguồn tin cao cấp của Israel" xác nhận rằng các chuyên gia công nghệ của Israel đã tạo ra Flame để "xâm nhập các may tính của các cá nhân cao cấp ở Iran, Palestin và nhiều nơi khác, bao gồm cả Israel, những người được cho là tham gia vào các hoạt động tình báo"

Mức độ lây nhiễm của Flame nghiêm trọng đến mức nào?

Các chuyên gia bảo mật của Kaspersky tin rằng có nhiều biến thể của Flame hơn số lượng hiện tại mà họ đang biết, đặc biệt là số mô-đun mà các hacker có thể sử dụng Ngoài ra, Kaspersky cũng cho rằng có một đội ngũ nhân lực hùng hậu đứng đằng sau Flame để giúp nó ngày càng trở nên nguy hiểm hơn

Hiện Flame đang sử dụng hơn 80 máy chủ để điều khiển và kết nối, cho thấy một nguồn tài nguyên "hùng hậu" đứng đằng sau sâu máy tính này

Mục tiêu của Flame là những ai?

Theo Kaspersky thì tỷ lệ lây lan Flame cao nhất là ở Israel, Palestine, Sudan, Syria, băng, Ả-rập Saudi và Ai Cập

Li-Trong khi đó, hãng bảo mật danh tiếng khác là Symantec lại cho rằng mục tiêu chính

mà Flame nhắm đến là Bờ tây Palestine, Hungary, Iran và Li-băng

Tuy nhiên, hiện tại các chuyên gia bảo mật chưa biết chắc rằng đây chỉ là những mục tiêu duy nhất được nhắm đến, hay chỉ mới là sự lây lan trong một khu vực ở Trung Đông trước khi mã độc này lây lan rộng rãi ra toàn cầu

Bao nhiêu người đã bị lây nhiễm Flame?

Như trên đã đề cập, có vẻ như Flame đang nhắm đến những mục tiêu nhất định, thay

vì số lượng lây lan rầm rộ, nên hiện tại số người lây nhiễm Flame chưa lớn

Có những mục đích chính trị đứng đằng sau sự lây nhiễm của Flame?

Kaspersky cho biết hiện có khoảng 300-400 người dùng các sản phẩm của hãng đã có thông báo về sự lây nhiễm Flame trên máy tính của họ Tuy nhiên trên thực tế con số này có thể vượt quá 1.000 người trên toàn cầu Phần lớn người bị nhiễm Flame đang sống tại Iran và Trung Đông, số ít còn lại ở Mỹ

Tuy nhiên, điều này không có nghĩ rằng những người dùng còn lại "vô can" với Flame,đặc biệt khi đây được đánh giá là một sâu máy tính nguy hiểm và tinh vi

Để ngăn chặn việc lây nhiễm các sâu máy tính, có thể làm theo 5 bước dưới đây:

1 Luôn luôn bật tường lửa (Firewall) Hãy kiểm tra tình trạng của Firewall trong Control Panel để đảm bảo luôn ở chế độ bật (On)

2 Hãy luôn cập nhật hệ điều hành của thông qua Windows

3 Sử dụng các phần mềm phòng chống virus của các hãng có tên tuổi

4 Không sử dụng các mật khẩu đơn giản, đặc biệt khi bạn truy cập vào các mạng máy tính hay internet

5 Hãy cân nhắc việc bỏ chế độ tự đông chạy “AutoPlay” vì chế độ này có thể tạo điều kiện thuận lợi cho các sâu máy tính như Conficker tự động lây nhiễm

6.Phải xem xét cẩn thận trước khi mở một file đính kèm hay click chuột vào một đường link trong email Người dùng cũng cần cân nhắc trước khi đồng ý nhận một file chuyển qua mạng Không bao giờ mở một file đính kèm từ một địa chỉ email mà bạn không biết trừ khi bạn biết chính xác trong file đính kèm có gì

Nếu bạn nghĩ rằng máy tính của bạn đã bị nhiễm sâu máy tính bạn có thể sử dụng các

phần mềm Windows Live OneCare Safety Scanner hoặc the Malicious Software Removal Tool để kiểm tra và gỡ bỏ.

Hy Lạp Trong điển tích đó, người Hy Lạp đã giả vờ để quên một con ngựa gỗ khổng

lồ khi họ rút khỏi chiến trường Trong bụng con ngựa gỗ này có nhiều chiến binh Hy Lạp ẩn náu Người Troia tưởng rằng mình có được một chiến lợi phẩm và kéo con ngựa gỗ này vào thành Đến đêm thì các chiến binh Hy Lạp chui ra khỏi bụng con ngựa này để mở cửa thành giúp quân Hy Lạp vào chiếm thành

đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của

mình để sao lưu thật nhiều con trước khi phát tán lên mạng

a Đặc điểm

Trojan horse là chương trình máy tính thường ẩn mình dưới dạng một chương trình hữu ích và có những chức năng mong muốn, hay ít nhất chúng trông như có các tính năng này Một cách bí mật, nó lại tiến hành các thao tác khác không mong muốn Những chức năng mong muốn chỉ là phần bề mặt giả tạo nhằm che giấu cho các thao tác này

Trong thực tế, nhiều Trojan horse chứa đựng các phần mềm gián điệp nhằm cho phép máy tính thân chủ bị điều khiển từ xa qua hệ thống mạng

Khác nhau căn bản với virus máy tính là Trojan Horse về mặt kỹ thuật chỉ là một phần mềm thông thường và không có ý nghĩa tự lan truyền Các chương trình này chỉ lừa người dùng để tiến hành các thao tác khác mà thân chủ sẽ không tự nguyện cho phép tiến hành Ngày nay, các Trojan horse đã được thêm vào đó các chức năng tự phân tán.Điều này đẩy khái niệm Trojan horse đến gần với khái niệm virus và chúng trở thành khó phân biệt

Một ví dụ mẫu về Trojan horse có ở www.freewebs.com/em_ce_do/doctor.exe

Chương trình này sẽ tự động tắt máy khi chạy và sẽ tự chép phiên bản vào thư mục

"StartUp" và như vậy máy sẽ tự động tắt ngay lập tức mỗi lần máy được khởi động Con Trojan horse này sẽ tự hủy sau một giờ hoạt động hay có thể được xóa bỏ bằng cách khởi động vào chế độ chờ lệnh (command prompt) và từ đó xóa tệp này bằng lệnh xóa Chương trình này chỉ chạy được trên Windows XP

c Một số thủ thuật của Trojan horse

Trên các máy Microsoft Windows, người tấn công có thể đính kèm một Trojan horse vào một cái tên có vẻ lương thiện vào trong một thư điện tử với việc khuyến dụ người đọc mở đính kèm ra Trojan horse thường là các tệp khả thi trên Windows và do đó sẽ

có các đuôi như là.exe,.com,.scr,.bat, hay.pif Trong nhiều ứng dụng của Windows đã

có cấu hình mặc định không cho phép hiển thị các đuôi này Do đó, nếu một Trojan horse có tên chẳng hạn là "Readme.txt.exe" thì tệp này sẽ hiển thị một cách mặc định thành "Readme.txt" và nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể gây hại

Các biểu tượng cũng có thể được gán với các loại tệp khác nhau và có thể được đính kèm vào thư điện tử Khi người dùng mở các biểu tượng này thì các Trojan horse ẩn giấu sẽ tiến hành những tác hại bất ngờ Hiện nay, các Trojan horse không chỉ xoá các tệp, bí mật điều chỉnh cấu hình của máy tính bị nhiễm mà còn dùng máy này như là một cơ sở để tấn công các máy khác trong mạng

Lợi dụng một số lỗi của trình duyệt web, chẳng hạn như Internet Explorer, để nhúng Trojan vào một trang web, khi người dùng xem trang này sẽ bị nhiễm Người dùng nêncập nhật các bản vá lỗi thường xuyên và dùng một trình duyệt web có độ bảo mật cao như Firefox và Google chrome

c Các kiểu gây hại

Các kiểu gây hại rất nhiều điển hình bao gồm:

 Xoá hay viết lại các dữ liệu trên máy tính

 Làm hỏng chức năng của các tệp

 Lây nhiễm các phần mềm ác tính khác như là virus

 Cài đặt mạng để máy có thể bị điều khiển bởi máy khác hay dùng máy nhiễm

để gửi thư nhũng lạm

 Đọc lén các thông tin cần thiết và gửi báo cáo đến nơi khác (xem thêm phần mềm gián điệp)

 Ăn cắp thông tin như là mật khẩu và số thẻ tín dụng

 Đọc các chi tiết tài khoản ngân hàng và dùng vào các mục tiêu phạm tội

 Cài đặt lén các phần mềm chưa được cho phép

d Cách phòng chống

Cách hữu hiệu nhất là đừng bao giờ mở các đính kèm được gửi đến một cách bất ngờ Khi các đính kèm không được mở ra thì Trojan horse cũng không thể hoạt động Cẩn thận với ngay cả các thư điện tử gửi từ các địa chỉ quen biết Trong trường hợp biết chắc là có đính kèm từ nơi gửi quen biết thì vẩn cần phải thử lại bằng các chương trìnhchống virus trước khi mở nó Các tệp tải về từ các dịch vụ chia sẻ tệp như là Kazaa hay Gnutella rất đáng nghi ngờ, vì các dịch vụ này thường bị dùng như là chỗ để lan truyền Trojan horse.

4.Phần mềm gián điệp (spyware)

Phần mềm gián điệp, còn được dùng nguyên dạng Anh ngữ là spyware, là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của cácphần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ Internet Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủtrên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc) Phần mềm gián điệp cũng thuthập tin tức về địa chỉ thư điện tử và ngay cả mật khẩu cũng như là số thẻ tín dụng.Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy chỉ muốn cài đặt phần mềm có chức năng hoàn toàn khác

Spyware là một trong các "biến thể" của phần mềm quảng cáo (adware) Spyware là chữ viết tắt của spy (gián diệp) và software (phần mềm máy tính) trong tiếng Anh; tương tự,adware là từ advertisement (quảng cáo) và software mà thành

a.Lịch sử và nguyên do ra đời

Các nguyên do đầu tiên nảy sinh ra phần mềm gián điệp là do việc các cá nhân chế tạo phần mềm miễn phí (và một số các phần mềm chia sẻ) muốn có thêm khoản tài chính

để phát triển phần mềm của họ trong khi số tiền chính thức mà họ nhận được từ những người tải về thì lại quá ít

Do đó, một cách để kiếm thêm thu nhập là thu thập thông tin từ người đã tải về các phần mềm này (như là tên tuổi, địa chỉ và các thị hiếu) rồi đem bán thông tin này cho các hãng chuyên làm quảng cáo Cách thu thập ban đầu chỉ là dựa vào sự điền vào các mẫu đăng kí (register) Nhưng sau đó, để chủ động hơn, cách thức đọc thông tin được chuyển sang dạng cài lén phần mềm phụ để tự nó đọc thông tin của chủ và gửi thẳng

về cho nơi mà phần mềm gián điệp này được chỉ thị

Sau này khi đã có các luật lệ cấm tự ý thu thập các thông tin riêng của máy chủ thì các loại phần mềm gián điệp này chuyển hẳn sang hai hướng:

Tiếp tục cài đặt phần mềm quảng cáo chung với các phần mềm chính qua thủ đoạn hợp pháp hóa, bằng cách chỉ cần thay đổi nội dung của mẫu đăng kí phần mềm

(registration form) thành mẫu "thỏa thuận của người tiêu dùng" (User

Agreement hay License Agreement) trong đó có ghi một khoản rất nhỏ là người tiêu

dùng sẽ đồng ý cho phép cài đặt phần mềm quảng cáo và các loại phần mềm này đã phát triển tới mức nó có thể tự mở một cửa sổ nảy (pop-up windows) mà không cần người chủ máy ra lệnh.

Hướng phát triển thứ hai là các phần mềm này chuyển sang dạng có ác tính: nó có thể, bằng một cách phi pháp, tìm cách đọc tất cả những thông tin bí mật của máy chủ từ mật mã truy cập, các số thẻ tín dụng cho đến ngay cả việc giành luôn quyền điều khiển bàn phím

Từ "spyware" xuất hiện đầu tiên trên USENET vào năm 1995 Cho đến đầu

năm 2000 thì các phần mềm chống gián điệp (antispyware) cũng ra đời

Một số Spyware nổi tiếng

WildTangent: phần mềm này được cài đặt thông qua American Online Instant

Messenger (AIM) Theo AOL (American Online) thì nó cần dùng để tạo nối kết giữa các thành viên trong các trò chơi trên Internet Một khi được cài đặt, nó sẽ lấy các thông tin về tên họ, số điện thoại, địa chỉ thư điện tử cũng như là tốc độ của CPU, các tham số của video card và DirectX Các thông tin này có thể bị chia sẻ cho các nơi khác chiếm dụng

Xupiter: chương trình này sẽ tự nảy các bảng quảng cáo Nó thêm các chỗ đánh dấu (bookmark) lên trên menu của chương trình duyệt và, nguy hại hơn, nó thay đổi cài đặtcủa trang chủ Xupiter còn chuyển các thói quen xài Internet (surfing) về xupiter.com

và do đó làm chậm máy Ngoài ra nó còn đọc cả địa chỉ IP và các tin tức khác

DoubleClick: dùng một tệp nhỏ gọi là cookies theo dõi hoạt động trực tuyến của bạn.WinWhatWhere: thông báo cho người khác biết về các tổ hợp phím (keystroke) mà bạn gõ

Gator và eWallet: ăn cắp tên, quốc gia, mã vùng bưu điện và nhiều thứ khác

b Tác hại

Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware còn sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ nhớ (memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ của các spyware qua các liên kết Internet Vì spyware dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn tới hư máy hay máy không ổn định

Bởi vì là một chương trình độc lập nên spyware có khả năng điều khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụng khác như làchương trình trò chuyện trực tuyến hay chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc các cookie, thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liên tục các thông tin trở về chủ của spyware, người mà có thể dùng các tin tức này cho quảng cáo/tiếp thị hay bán tin tức cho các chỗ khác Và tệ hại nhất là nó cókhả năng ăn cắp mật khẩu truy nhập (login password) cũng như ăn cắp các tin tức