IV. Virus và phần mềm gây hại
2. Một số giải pháp phòng chống Virus máy tính
a. Cài đặt các bản cập nhật
Việc cài đặt các bản cập nhật và các bản vá lỗi (patches) là cách rất hiệu quả để chống lại các tấn công trên một hệ điều hành. Ví dụ, đầu năm 2003 sâu mạng Slammer tấn công thành công vào máy chủ cơ sở dữ liệu SQL là do nhiều nhà quản trị không cài các bản vá lỗi mới được thiết kế để ngăn chặn tấn công này. Tất cả các hệ điều hành như Windows 2000, Windows XP Professional, Windows Server 2003, Red Hat Linux, NetWare và Mac OS X đều cung cấp rất nhiều cách để cài đặt các bản cập nhật và các bản vá lỗi.
b. Quan sát các dịch vụ được kích hoạt khi khởi động hệ thống
Một cách để phát hiện những sự cố khi khởi động do các phần mềm phá hoại gây ra trong phân vùng khởi động là sử dụng một chế độ của hệ điều hành để cho phép theo dõi trên màn hình những dịch vụ hệ điều hành nào đang khởi động hoặc xem lại nhật ký của tiến trình này.
Ví dụ: Trong Windows 2000, Windows XP Professional và Windows Server 2003, ta có thể theo dõi thông tin trên màn hình (bằng cách ấn phím F8 khởi động vào chế độ Safe mode ) hoặc đọc bản ghi nhật ký của quá trình khởi động sau khi hệ thống đã khởi động xong (Enable boot logging và mở bằng notepad tập tin nhật ký
ntbtlog.txt trong thư mục \winnt hoặc \windows).
Red Hat Linux và NetWare sẽ tự động hiển thị các thông tin về quá trình nạp các tệp khởi động trên màn hình mỗi lần những hệ thống này được khởi động.
Sử dụng các công cụ quét phần mềm phá hoại là một cách hiệu quả để bảo vệ hệ thống. Mặc dù chúng có thể quét hệ thống để phát hiện virus, sâu mạng và trojan horse, nhưng chúng thường được gọi là công cụ quét virus. Khi mua một phần mềm quét virus, ta cần chú ý đến một số tính năng sau đây:
- Quét bộ nhớ và diệt virus.
- Quét bộ nhớ một cách liên tục.
- Quét ổ đĩa cứng, ổ mềm và diệt virus.
- Quét tất cả các định dạng tệp, kể cả tệp nén.
- Quét các tài liệu HTML và các tệp đính kèm qua e-mail.
- Tự động chạy theo một thời gian biểu do người sử dụng đặt.
- Có tuỳ chọn chạy nhân công.
- Phát hiện cả phần mềm phá hoại đã công bố hoặc phần mềm phá hoại mới (chưa được biết đến).
- Cập nhật cơ sở dữ liệu về các loại phần mềm phá hoại mới.
- Quét các tệp tải về từ trên mạng hoặc từ internet.
- Sử dụng một vùng được bảo vệ hoặc được cách ly để chứa các tệp tải về để tự động quét chúng ở một nơi an toàn trước khi sử dụng chúng.
Về các phần mềm phá hoại chưa được biết đến, các công cụ quét có thể được tạo ra để quét và ghi nhớ cấu trúc của các tệp, đặc biệt là các tệp thực thi. Khi chúng phát hiện một số lượng bất thường, như kích cỡ của tệp lớn đột đột hoặc một thuộc tính của tệp bị thay đổi, thì công cụ quét sẽ được cảnh báo có thể đó là một phần mềm phá hoại chưa được biết đến. Trong trường hợp này, công cụ quét có thể thông báo cho người dùng và chỉ ra một số cách để giải quyết chúng. Một số phần mềm diệt Virus tiêu biểu
Phần mềm Mô tả
AntiVir Software Sử dụng miễn phí trong các hệ điều hành Windows
Central Command Vexira AntiVirus Phần mềm thương mại chạy trên các hệ điều hành Unix/Linux và Windows; bao gồm cả chức năng cập nhật virus
Computer Associates eTrust Miễn phí đối với một máy trạm đơn lẻ; là phần mềm thương mại cho các hệ thống Unix/Linux và Windows
F-Secure Anti-Virus Phần mềm thương mại chạy trên các hệ điều hành Unix/Linux và Windows; bao gồm cả chức năng cập nhật virus
HandyBits VirusScan Phần mềm thương mại chạy trên các hệ điều hành Windows; bao gồm cả chức năng cập nhật virus
điều hành Windows và Mac OS; bao gồm cả chức năng cập nhật virus
Sophos Anti-Virus Phần mềm thương mại chạy trên các hệ điều hành Unix/Linux, Macintosh, NetWare và Windows; bao gồm cả chức năng cập nhật virus
Vcatch Basic Sử dụng miễn phí trong các hệ điều hành Windows
d. Sử dụng chữ ký số để bảo vệ các tệp hệ thống và các tệp điều khiển
Trong Windows 2000, Windows XP Professional và Windows Server 2003, rất nhiều tệp hệ thống và trình điều khiển thiết bị đã được gắn chữ ký số. Điều này giúp bảo vệ các tệp cũ không bị ghi đè bởi các tệp mới. Một ưu điểm nữa của việc dùng chữ ký số là bảo đảm tính an toàn của hệ thống bằng cách chỉ cho phép sử dụng các tệp hệ thống và các trình điều khiển thiết bị đã được xác nhận bởi Microsoft.
Khi một tệp hệ thống hoặc tệp thiết bị được xác nhận bởi Microsoft, thì một chữ ký duy nhất do Microsoft cấp sẽ được gắn vào tệp đó, đây được gọi là quá trình ký. Sau khi cài đặt Windows 2000, Windows XP Professional hoặc Windows Server 2003, ta có thể đặt chế độ cảnh báo khi một trình điều khiển thiết bị không được ký, hoặc chế độ bỏ qua, không cần quan tâm nó có được ký hay không. Chế độ cảnh báo được gán mặc định, do đó nếu trình điều khiển thiết bị mà ta cài đặt chưa được ký, thì hệ thống sẽ đưa ra thông báo, nhưng ta vẫn có thể quyết định có cài đặt trình điều khiển thiết bị đó hay không.
Khi thiết lập hệ thống yêu cầu sử dụng chữ ký số cho các tệp hệ thống và trình điều khiển thiết bị, có 2 cơ chế bảo vệ được thiết lập, đó là:
- Mỗi khi cài đặt một tệp hệ thống hoặc một trình điều khiển thiết bị mới, thì hệ điều hành sẽ kiểm tra xem nó đã được ký hay chưa.
- Nếu vì một lý do gì đó (ví dụ do virus) mà một tệp hệ thống hay một trình điều khiển thiết bị lỗi, thì khi hệ điều hành khởi động lại, nó sẽ thay thế tệp đó bằn một phiên bản chạy tốt (last known good) được lưu giữ trong thư mục hệ thống sao lưu dự phòng.
e. Sao lưu dự phòng hệ thống và tạo đĩa khắc phục (khôi phục Disk)
Sao lưu dự phòng hệ thống là rất quan trọng để bảo vệ hệ thống do lỗi đĩa, mất mát dữ liệu hay do phần mềm phá hoại. Nếu ta sao lưu dữ liệu mà sau đó hệ thống bị nhiễm một mã độc phá hoại các hay xoá các tệp, thì ta có thể khôi phục lại được các tệp đó hay toàn bộ hệ thống. Tất cả các hệ điều hành được đề cập trong giáo trình này đều có các cơ chế sao lưu dự phòng.
Ngoài việc sao lưu dự phòng, một số hệ điều hành còn cho phép ta tạo một đĩa khởi động (boot disk) hoặc một đĩa khôi phục (repair disk) để dùng trong các trường hợp một tệp hệ thống nào đó bị xung đột và hệ thống không thể khởi động được. Những đĩa này giúp ta khởi động máy tính bằng các tệp của hệ điều hành từ đĩa mềm hoặc đĩa CD, hoặc sử dụng đĩa khôi phục để khôi phục lại các tệp hệ thống.
Các tổ chức có thể bảo vệ hệ thống của họ bằng cách ban hành các chính sách sử dụng các hệ thống máy tính. Một phương pháp hiệu quả nhất để bảo vệ là đào tạo người dùng thông qua các chính sách của tổ chức. Một số tổ chức thành lập các uỷ ban an toàn máy tính thực hiện ban hành các hướng dẫn an toàn. Các tổ chức khác thì lại đào tạo người dùng rồi mới phát triển các chính sách dựa trên những nội dung đào tạo.
Các chính sách của hệ thống có tác dụng tốt nhất khi người dùng được tham gia vào xây dựng chúng, làm cho họ biết rõ được tầm quan trọng của an toàn. Đào tạo và cho người dùng tham gia vào uỷ ban chính sách an toàn là 2 cách để bảo đảm rằng người dùng cảm thấy chính bản thân họ là những nhân tố trong việc xây dựng hệ thống an toàn mạnh. Một ưu điểm của việc gắn người dùng theo cách này là nếu người dùng hiểu được bản chất của các mối đe doạ về an toàn, họ sẽ không làm trái các nỗ lực bảo đảm an toàn. Con người chính là điểm yếu dễ tấn công nhất trong một tổ chức. Những kẻ tấn công sẽ vận dụng tất cả các kỹ năng giao tiếp xã hội, đặc biệt là thông qua e- mail và trojan horse để lợi dụng những sơ hở của người dùng. Kỹ năng giao tiếp xã hội (social engineering), liên quan đến các tấn công trong máy tính, đề cập đến việc sử dụng mối tương tác giữa con người để giành quyền truy nhập vào một hệ thống hoặc phá hoại hệ thống. Những mối tương tác này có thể là gửi một e-mail có tiêu đề hấp dẫn hoặc chứa một tệp đính kèm trông có vẻ lôi cuốn. Những tương tác này có thể là thực hiện những cuộc điện thoại giả mạo - để thu thập các thông tin giúp người gọi có thể truy nhập vào khoản mục của người dùng chẳng hạn. Các tổ chức có thể tự bảo vệ họ trước những kỹ năng giao tiếp xã hội như vậy bằng cách cảnh báo người dùng phải cảnh giác, tránh sơ hở để bảo vệ các hệ thống và mạng.
Một chính sách của một tổ chức có thể tập trung vào một số vấn đề sau:
- Đào tạo cho người dùng về các kỹ thuật an toàn.
- Đào tạo cho người dùng về các phần mềm phá hoại.
- Yêu cầu người dùng phải quét các ổ đĩa mềm, đĩa CD bằng các phần mềm quét virus trước khi sử dụng chúng.
- Thiết lập các chính sách quy định những phương tiện nào từ bên ngoài có thể mang được vào hệ thống và cách sử dụng chúng như thế nào.
- Thiết lập các chính sách để ngăn chặn người dùng tự cài đặt các phần mềm riêng của họ.
- Thiết lập các chính sách để giảm thiểu hoặc ngăn chặn người dùng tải về các tệp và yêu cầu người dùng phải quét virus đối với các tệp này.
- Tạo một vùng riêng để người dùng cách ly các tệp có nguồn gốc không rõ ràng để quét chúng trước khi sử dụng.
- Quét virus trên e-mail và trên các tệp đính kèm.
CÂU HỎI ÔN TẬP VÀ BÀI TẬP THỰC HÀNH CHƯƠNG 4
Câu 1: Trình bày các kỹ thuật kiểm soát truy nhập với AAA (Authentication
Authorization Accounting)
Câu 2: Trình bày những hình thức tấn công vào một website và những giải pháp hiệu
quả để phòng chống?
Câu 3: Trình bày những nguy cơ đối với hệ thống Email và đưa ra những giải pháp để
khắc phục.
Câu 4: Trình bày nguyên lý hoạt động của Virus máy tính và các mã nguy hiểm. Đề
xuất một số giải pháp hiệu quả đề phòng chống Virus. Câu 5: Thiết lập mô hình mạng sau trên máy ảo:
SERVER
OS: Windows Server 2003 Name: Server01 Card LAN 1: IP: 10.0.0.1/8 GW: 10.0.0.1 Card LAN 2: IP: 172.16.1.1/16 GW: 172.16.1.1 Card LAN 3: IP: 192.168.1.1/24 GW: 192.168.1.1 Username: Server01 Password: 123456 Software: ISA Server 2004 CLIENT OS : Windows XP Name: Client02 IP: 192.168.1.2/24 GW: 192.168.1.1 DNS: 192.168.1.1 Username: Client02 Password: 123456 CLIENT OS : Windows XP Name: Client01 IP: 10.0.0.2/8 GW: 10.0.0.1 DNS: 10.0.0.1 Username: Client01 Password: 123456 SERVER
OS: Windows Server 2003 Name: Server02 IP: 172.16.1.2/16 GW: 172.16.1.1 DNS: 172.16.1.1 Username: Server02 Password: 123456 Software: Web Server Mail Server
Yêu cầu:
Nâng cấp Server01 thành máy điều khiển miền (Domain Controller)
Thiết lập các chính sách kiểm soát truy nhập vào máy chủ và hệ thống mạng nội bộ của hệ thống mạng trên
Thiết lập và phân tích nhật ký (log) cho Website đặt tại Server 02.
Triển khai những kỹ thuật đã học để đảm bảo an toàn cho máy chủ Web và Website cài đặt tại Server02.
Triển khai các cấu hình cần thiết để đảm bảo an toàn cho máy chủ Email trong hệ thống trên (Server02)
Thực hiện rà soát hệ thống, tìm các tiến trình nghi ngờ là bất hợp pháp đang hoạt động trong hệ thống trên. Triển khai một số biện pháp để phát hiện và diệt Virus (thủ công và dùng công cụ hỗ trợ).
TÀI LIỆU THAM KHẢO
[1]. William Stallings – Cryptography and Network Security Fourth Edition, Principles and Practices, 2006.
[2]. Michael Palmer - Guid to Operating Systems Security, NXB Thomson course Technology, 2004.
[3]. Charles P. Pfleeger - Security in computing Second Edittion, NXB Prentice - Hall International, Inc, 1997.
[4]. Ts. Đặng Vũ Sơn, Ths. Trần Quang Kỳ - Giáo trình Tiêu chuẩn đánh giá An toàn Thông tin, Học viện KTMM, 2006.
[5]. Ts. Trần Duy Lai, Ths. Hoàng Văn Thức - Giáo trình An toàn Thư tín điện tử, Học viện KTMM, 2006.
[6]. Ts. Đặng Vũ Sơn, Ths. Hoàng Đức Thọ - Giáo trình An toàn mạng riêng ảo, Học viện KTMM, 2007.
[7]. Ths. Vũ Bảo Thạch, Ks. Nguyễn Đức Ngân - Giáo trình thực hành An toàn mạng, Học viện KTMM, 2006.
[8]. Ts. Trần Đức Sự, Ks. Hoàng Sĩ Tương - Giáo trình thực hành An toàn Hệ điều hành mạng, Học viện KTMM, 2006.
[9]. Ts. Nguyễn Đình Vinh, Ths. Trần Quang Kỳ - Giáo trình Luật pháp An toàn Thông tin, Học viện KTMM, 2007.
[10]. Lương Xuân Thắng - Giải pháp đảm bảo an toàn an ninh mạng, E15-TC6-BCA [11]. Ths. Nguyễn Công Nhật - Giáo trình An toàn Thông tin, ĐH Vinh, 2009.
[12]. Nguyễn Hữu Tuân – Giáo trình An toàn và bảo mật Thông tin, ĐH Hàng Hải, 2008.
[13]. Nguyễn Ngọc Tuấn, Hồng Phúc – Công nghệ bảo mật World Wide Web, NXB Thống kê, 2005.
[14]. Giáo trình BCSE, Trung tâm An ninh mạng BKIS, ĐH BK Hà Nội, 2009
[15]. Khương Anh, Nguyễn Hồng Sơn – Giáo trình hệ thống mạng máy tính CCNA Semester 1, 2, 3, NXB Lao động Xã hội, 2007