/ Q: Không cho hiển thị thông tin trong quá trình sao ché p.
271.Lỗi bảo mậ t Vượt qua Firewall của WindowsXP SP
Windows XP SP2 được tích hợp nhiều cải tiến để bảo vệ hệ thống chống lại những phần mềm độc hại và các dạng xâm nhập khác. Một trong những tầng bảo vệ đó là tường lửa (firewall) Windows XP SP2 với khả năng cho phép người dùng quyết định ứng dụng nào được truyền thông tin. Microsoft tin rằng hệ thống này có thể chống lại mối đe doạ từ Trojan. Nhưng những gì mà Microsoft nói là không chính xác và trên thực tế các mã thi hành (executing code) cục bộ lại rất dễ dàng vượt qua tường lửa này.
Chương trình sessmgr.exe (tải tại http://www.echip.com.vn) là bằng chứng chứng minh cách Trojan có thể kết nối được với cổng giao tiếp (port) và máy tính chấp nhận kết nối. Để kiểm tra tường lửa có bị vượt hay không, bạn dùng telnet kết nối đến cổng 333 của máy tính nối mạng đã chạy sessmgr.exe.
Nguyên nhân của vấn đề này là khi xây dựng SP2, Microsoft đã sử dụng lại một lượng lớn mã nguồn có chứa lỗi từ Windows XP và Windows 2003, trong đó có rất nhiều mã của Windows 2000. Một trong những cách Microsoft cố gắng làm là thêm một lớp (extra layer) vào tiến trình ra quyết định xử lý khi người dùng vô tình kích hoạt phần mềm độc hại.
Người ta thường xem tường lửa của SP2 như một sự bổ sung rất hiệu quả cho việc bảo vệ Windows, nhưng nó vẫn còn nhiều khuyết điểm khi áp dụng trong thực tế. Cách mà tường lửa
này giữ vững an ninh cho hệ thống là lọc giao thức và cổng. Ví dụ ta có khối cổng (block port): 135, 137, 139, 445,... và bạn muốn nó được bảo vệ chống lại Sasser và Blaster.
Firewall làm rất tốt việc khóa cứng chúng nhưng sai lầm ở chỗ đây chính là các cổng chia sẻ file của hệ thống mạng cục bộ. Vì vậy bắt buộc bạn phải mở các cổng này khi cần chia sẻ file, điều đó cũng có nghĩa là bạn đã trở lại mở rộng đường cho việc xâm nhập của virus.
Cách khắc phục:
Trong khi chờ đợi Microsoft đưa ra bản vá lỗi (patch), bạn cần phải tự bảo vệ chính mình bằng cách lưu ý một số vấn đề sau:
- Không cho phép thực thi chương trình nhận qua e-mail hoặc telnet mà không xác thực được nguồn gốc.
- Các chương trình quét virus sẽ không thể nhận ra được những chương trình mở cổng như sessmgr.exe nên đừng quá tin tưởng vào chúng.