b) An toàn mạng máy tính là gì?
4.2.5 Các phương thức tấn công khác
Phần mềm độc hại, còn có tên gọi khác là mã độc, đƣợc xác định là chƣơng trình bất kỳ, đƣợc bí mật đƣa vào một chƣơng trình khác với mục đích làm tổn hại tính bảo mật, tính toàn vẹn và tính sẵn sàng của hệ thống dữ liệu, các ứng dụng hay hệ điều hành của nạn nhân. Phần mềm độc hại đã trở thành mối đe dọa bên ngoài lớn nhất đối với hầu hết các máy chủ, gây thiệt hại lớn, gây khó khăn và chi phí tốn kém trong phục hồi hệ thống, dữ liệu của các tổ chức. Các loại phần mềm độc hại phổ biến hiện nay gồm:
- Virus: là phần mềm độc hại tự sao chép bằng cách chèn các bản sao của chính
nó vào chƣơng trình lƣu trữ hoặc các tập tin dữ liệu. Virus thƣờng đƣợc kích hoạt thông qua các tƣơng tác của ngƣời dùng nhƣ là mở một tập tin hoặc chạy một chƣơng trình. Virus đƣợc chia thành hai tiểu thể loại là: virus biên dịch và virus diễn dịch. Virus biên dịch (Compiled virus) đƣợc kích hoạt bởi một hệ điều hành, còn Virus diễn dịch (Interpreted virus) đƣợc khởi động bởi một ứng dụng.
- Worms (sâu máy tính): là một chƣơng trình “đóng gói”, tự sao chép, có khả
năng tự kích hoạt mà không cần sự can thiệp của ngƣời dùng, đƣợc chia thành hai loại: Sâu dịch vụ mạng và sâu “gửi bƣu phẩm”. Sâu dịch vụ mạng (Network Service Worms) lợi dụng các lỗ hổng trong dịch vụ mạng để phát tán chính nó và lây nhiễm sang các máy chủ khác. Sâu gửi bƣu phẩm (Mass Mailing Worms) đƣợc phân phối bằng cách gửi nhƣ file đính kèm vào email hoặc các tin nhắn.
- Trojan Horses (mã độc Trojan): là chƣơng trình không có khả năng sao
chép, xuất hiện dƣờng nhƣ là vô hại nhƣng chúng đƣợc thiết kế để thực hiện một số hành động độc hại ẩn trên máy tính nạn nhân. Mã độc Trojan có khả năng thay thế các file hiện tại bằng phiên bản độc hại hoặc thêm các tệp độc hại mới cho máy chủ.
127
Chúng còn có khả năng ăn cắp mật khẩu và các thông tin cá nhân nhạy cảm, theo dõi các hoạt động của ngƣời dùng… cung cấp về các máy chủ đƣợc điều khiển từ xa.
- Mã độc di động (Malicious mobile code - MMC): là phần mềm độc hại đƣợc
truyền đi từ máy chủ (đƣợc điều khiển từ xa) đến một máy chủ địa phƣơng và sau đó thực hiện trên các máy chủ địa phƣơng, bị vô tình hay cố ý tải vào máy tính hoặc thiết bị truyền thông khác của ngƣời dùng. Loại mã độc này có thể đƣợc truyền nhiễm thông qua các ứng dụng tƣơng tác web, ngôn ngữ phổ biến cho mã độc di động bao gồm Java, ActiveX, JavaScript và VBScript.
Một số công cụ của kẻ tấn công
Công cụ tấn công có thể đƣợc gửi đến máy tính qua các phần mềm độc hại, cho phép kẻ tấn công có thể truy cập các máy tính bị nhiễm mã độc, sử dụng dữ liệu đƣợc lƣu giữ, hoặc khởi động các cuộc tấn công đã đƣợc cài sẵn. Các dạng công cụ tấn công phổ biến gồm:
- Backdoor là chƣơng trình độc hại đƣợc thiết kế tuân thủ theo lệnh ở một số
giao thức TCP hoặc UDP. Hầu hết các Backdoor cho phép kẻ tấn công thực hiện một tập hợp các hành động trên một máy chủ, nhƣ mua lại mật khẩu hoặc thực hiện các lệnh tùy ý. Mã độc này đƣợc cài đặt trên một máy chủ có tính năng cho phép kẻ tấn công truy cập từ xa vào máy tính và các dữ liệu khi cần thiết.
- Keystroke Logger là chƣơng trình độc hại đƣợc thiết kế để theo dõi màn hình
và ghi trộm thao tác bàn phím. Một số yêu cầu lấy dữ liệu từ máy tính của kẻ tấn công có thể đƣợc thực hiện trong lúc ngƣời truy cập chuyển dữ liệu sang các máy tính khác thông qua email hoặc các phƣơng tiện khác.
- Rootkit bao gồm các tập tin đƣợc cài đặt một cách độc hại và tàng hình trên
máy tính nhằm thay đổi chức năng tiêu chuẩn đã định trƣớc của chính máy tính đó. Rootkit thƣờng tự thay đổi để che giấu sự tồn tại của nó, gây rất nhiều khó khăn cho việc xác định, tìm ra các Rootkit.
- Web Browser Plug-Ins là trình duyệt web cung cấp cách thức hiển thị cho
một số loại nội dung hoặc thực hiện thông qua một trình duyệt web. Trình duyệt độc hại Web Plug-Ins có thể giám sát tất cả các thao tác sử dụng một trình duyệt.
-E-Mail Generators là một chƣơng trình tạo email, có thể đƣợc sử dụng để tạo
và gửi một lƣợng lớn email, chẳng hạn nhƣ phần mềm độc hại và thƣ rác đến các máy chủ khác mà không đƣợc phép hoặc ngƣời sử dụng không nhận biết đƣợc.
-Attacker Toolkits Kẻ tấn công sử dụng nhiều bộ công cụ có chứa các loại tiện
ích khác nhau và các kịch bản có thể đƣợc sử dụng để thăm dò vào máy bị chủ tấn công, chẳng hạn nhƣ chặn bắt gói, quét cổng, bẻ mật khẩu, các chƣơng trình và kịch bản tấn công khác.
Các bộ công cụ của kẻ tấn công có thể đƣợc phát hiện bởi phần mềm chống virus, tuy nhiên, chúng không có khả năng tự lây nhiễm mà dựa trên cơ chế tấn công
128
của các phần mềm độc hại hoặc phần mềm khác để đƣợc cài đặt vào máy chủ mục tiêu.