Kỹ thuật và hình thức tấn công mới thường xuyên được phát hiện và nâng cấp. Ở trên chỉ giới thiệu các hình thức tấn công phổ biến đã được phát hiện và phân tích. Ngoài các hình thức tấn công như trên, các hệ thống thông tin còn phải đối mặt với một nguy cơ xâm nhập rất lớn đó là các phần mềm virus, worm, spyware, … gọi chung là các phần mềm phá hoại hay phần mềm độc
(malicious code). Sau đây sẽ tập trung trình bày các hình thức xâm nhập này.
Các phần mềm độc được chia thành các nhóm sau đây: Virus, worm, Trojan horse và logic bomb.
-Virus:
Là phần mềm ẩn, kích thước nhỏ và được gắn vào một tập tin chủ nào đó, thông thường là các tập tin thực thi được, nhờ đó virus mới có khả năng phá hoại và lan truyền sang các máy khác. Một số loại virus lại gắn với các tập tin tài liệu (ví dụ như word, excel, …) và được gọi là các
virus macro.
Virus lan truyền giữa các máy tính thông qua việc sao chép các tập tin có nhiễm virus từ đĩa mềm, đĩa CD, đĩa flash, hoặc thông qua các tập tin gởi kèm theo e-mail. Phạm vi phá hoại của virus là rất lớn. Thông thường nhất, các virus thường gây ra mất mát dữ liệu, hư hỏng phần mềm và hư hỏng cả hệ điều hành.
Nếu trên máy chưa cài đặt sẵn các chương trình quét virus thì dấu hiệu thông thường nhất để nhận biết có virus trên máy tính là:
-Xuất hiện các thông báo lạ trên màn hình
-Máy tính làm việc chậm đi đáng kể, đặc biệt khi khởi động chương trình. -Mất đột ngột một hoặc nhiều tập tin trên đĩa.
-Lỗi phần mềm không rõ lý do.
-Kích thước một số tập tin, đặc biệt là các tập tin thực thi, tăng lên bất thường. -Máy tính tự khởi động lại khi đang làm việc
-…
Hình 1.17 mô tả việc lây lan của virus thông qua đường sao chép tập tin (bằng đĩa hoặc qua các tập tin dùng chung trên mạng). Hình 1.18 mô tả quá trình phát tán virus thông qua email.
Có thể thấy mức độ phát tán của virus thông qua e-mail nghiêm trọng hơn nhiều, bởi vì đối với hình thức lây lan qua đường sao chép tập tin thì chỉ có các máy tính chủ động sao chép tập
tin mới bị nhiễm virus; ngược lại trong phương thức phát tán bằng e-mail, những máy không chủ động sao chép tập tin cũng có khả năng bị lây nhiễm nếu vô ý mở những tập tin nhiễm virus được gởi kèm theo e-mail.
Máy bị nhiễm virus Máy chưa bị nhiễm virus
Hình 1.17: Virus lây lan từ máy này sang máy khác qua phương tiện lưu trữ (đĩa) hoặc qua thư
-Worm:
Là loại phần mềm độc có cơ chế hoạt động và tầm phá hoại gần giống như virus. Điểm khác nhau cơ bản giữa worm và virus là worm có khả năng tự sao chép thông qua mạng (trong khi virus phải nhờ vào thao tác sao chép của người sử dụng) và tự tồn tại như một chương trình
độc lập (trong khi virus phải gắn vào một tập tin khác).
Đặc trưng cơ bản nhất của worm là tính phát tán nhanh trên phạm vi rộng bằng nhiều phương tiện khác nhau, như sử dụng trực tiếp giao thức TCP/IP, sử dụng các dịch vụ mạng ở lớp ứng dụng, phát tán qua e-mail và nhiều phương tiện khác. Worm Nimda xuất hiện năm 2001 là một worm điển hình với tốc độ phát tán cực nhanh và mức độ nguy hiểm lớn, có thể gây tê liệt các hệ thống mạng lớn sử dụng hệ điều hành Windows trong nhiều giờ.
-Trojan horse:
Một dạng phần mềm độc hoạt động núp dưới danh nghĩa một phần mềm hữu ích khác, và sẽ thực hiện các hành vi phá hoại hệ thống khi chương trình giả danh được kích hoạt bởi người sử dụng.
Trojan không có khả năng tự sao chép như worm (mà phải giả dạng thành một phần mềm có ích hoặc được gắn vào một phần mềm thực thi khác để được cài đặt vào máy), không có khả năng tự thực thinhư virus (mà chỉ thực hiện khi người sử dụng khởi động chương trình).
Mức độ phá hoại của Trojan cũng rất đa dạng, trong đó quan trong nhất là thực thi như một phần mềm gián điệp (back-door) giúp cho những kẻ tấn công từ xa có thể dễ dàng xâm nhập hệ thống. Spyware là một ví dụ của Trojan, đây là các phần mềm được tự động cài vào máy khi người sử dụng tải các phần mềm trên Internet về cài trên máy của mình. Spyware có thể tự động gởi e-mail, tự động mở các trang web hoặc thực hiện các hành vi khác gây ảnh hưởng đến hoạt động bình thường của máy tính bị nhiễm.
-Logic bomb:
Là các phần mềm nằm ẩn trên máy tính và chỉ thực hiện khi có một sự kiện nào đó xảy ra, ví dụ khi người quản trị mạng đăng nhập vào hệ thống, khi một ứng dụng nào đó được chạy hoặc đến một ngày giờ định trước nào đó.
Thông thường, khi được thực hiện, logic bomb gởi một thông báo về một máy trung tâm định trước nào đó để thông báo sự kiện xảy ra. Nhận được thông báo này, kẻ tấn công từ máy tính trung tâm đó sẽ thực hiện tiếp các thủ thuật tấn công vào hệ thống, ví dụ khởi động một cuộc tấn công từ chối dịch vụ (DoS hoặc DDoS).
Trên đây là các phương thức xâm nhập vào hệ thống sử dụng các phần mềm phá hoại. Mặc dù sự xâm nhập vào một hệ thống cụ thể nào đó của các phần mềm này có thể không do chủ đích của một cá nhân nào, nhưng thiệt hại do các hình thức xâm nhập này gây ra là rất lớn, do tính phổ biến của nó. Bất kỳ máy nào cũng có thể bị nhiễm phần mềm độc, đặc biệt khi kết nối đến mạng Internet. Các nguyên tắc chung để tránh sự xâm nhập của các phần mềm độc vào máy tính nói riêng và vào một hệ thống thông tin nói chung bao gồm:
-Không sao chép dữ liệu từ các nguồn không tin cậy (từ đĩa hay qua mạng).
-Không cài đặt các phần mềm không rõ nguồn gốc, đặc biệt là các phần mềm download từ Internet.
-Thường xuyên cập nhật các bản sửa lỗi (Hotfixes hoặc service pack) cho hệ thống (cả hệ điều hành và chương trình ứng dụng).
-Cài đặt các chương trình Antivirus, Antispyware và cập nhật thường xuyên cho các
chương trình này.
-Theo dõi các thông tin về các loại virus mới, phương thức hoạt động và cách thức ngăn chặn trên các trang web chuyên về bảo mật (ví dụ trang CERT tại địa chỉ http://www.cert.org).