sonlapc.vnsonlapc.vn/customer/upload/taive/Tài liệu virus .docx · Web view1.Phần mềm độc hại (Malware)4. 2.Tác hại của Malware.5. 3.1.Virus:6. 3.1.1.Compiled Virus:7

1. Phần mềm độc hại (Malware)..........................................................................................................42. Tác hại của Malware.........................................................................................................................5

3.1. Virus:..............................................................................................................................................63.1.1. Compiled Virus:.....................................................................................................................7

3.1.1.1. File Infector:..................................................................................................................73.1.1.2. Boot Sector:...................................................................................................................7

3.1.1.3. Multipartite:...................................................................................................................83.1.2. Interpreted Virus:...................................................................................................................8

3.1.2.1. Macro Virus:..................................................................................................................83.1.2.2. Scripting Virus:..............................................................................................................9

3.1.3. Các kỹ thuật ẩn thân của virus (Virus Obfuscation Techniques):.........................................93.1.3.1. Self-Encryption and Self-Decryption (Tự mã hóa và Tự giải mã):...............................9

3.1.3.2. Polymorphism (Đa hình):..............................................................................................93.1.3.3. Metamorphism (Biến thể):.............................................................................................9

3.1.3.4. Stealth (ẩn - tàng hình):...............................................................................................103.1.3.5. Armoring (kỹ thuật tạo vỏ bọc):..................................................................................10

3.1.3.6. Tunneling (kỹ thuật tạo đường hầm):..........................................................................103.2. Worm (Sâu):.................................................................................................................................11

3.2.1. Network Service Worm (Sâu dịch vụ mạng):......................................................................123.2.2. Mass Mailing Worm (Sâu gửi điện thư hàng loạt):.............................................................12

3.3. Trojan Horse:................................................................................................................................133.4. Malicious Mobile Code (MMC):.................................................................................................14

3.5. Blended Attacks (tấn công hỗn hợp/pha trộn):.............................................................................153.6. Tracking Cookies:........................................................................................................................16

3.7. Attacker Tools:.............................................................................................................................183.7.1. Backdoor:.............................................................................................................................18

3.7.1.1. Zoombies - thảm họa Bot-net:.....................................................................................193.7.1.2. Remote Administration Tools (RAT):.........................................................................19

3.7.2. Keystroke loggers:...............................................................................................................203.7.3. Rootkits:...............................................................................................................................20

3.7.4. Web Browser Plug-ins:........................................................................................................203.7.5. Email Generators:................................................................................................................20

3.7.6. Attacker Toolkits:................................................................................................................213.7.6.1. Packet sniffers:.............................................................................................................21

3.7.6.2. Port scanners:...............................................................................................................213.7.6.3. Vulnerability Scanners:................................................................................................21

3.7.6.4. Password Crackers:......................................................................................................213.7.6.5. Remote Login Programs:.............................................................................................22

3.7.6.6. Attacks:........................................................................................................................223.8. Non-malware Threats (Những mối đe dọa khác không phải từ phần mềm độc hại):..................22

3.8.1. Phishing:..............................................................................................................................23

3.8.2. Virus Hoaxes:......................................................................................................................234. Cách thức lây truyền.......................................................................................................................24

4.1. Virus lây nhiễm theo cách cổ điển...............................................................................................254.2. Virus lây nhiễm qua thư điện tử...................................................................................................27

4.3. Virus lây nhiễm qua mạng Internet..............................................................................................284.4. Virus lây nhiễm qua mạng nội bộ LAN (Local Area Network)...................................................28

4.4.1. Tấn công theo kiểu do thám:................................................................................................294.4.1.1. Bắt gói packet (packet sniffing):..................................................................................29

4.4.1.2. Dò port và Ping quét:...................................................................................................304.4.1.3. Thực hiện yêu cầu dò tìm thông tin trên Internet........................................................30

4.4.2. Tấn công theo kiểu truy xuất và một số phương pháp làm giảm kiểu tấn công này...........314.4.2.1. Tấn công dò tìm mật khẩu...........................................................................................31

4.4.2.2. Khai thác những điểm được xem là tin cậy trong hệ thống mạng:..............................324.4.2.3. Chuyển hướng port ứng dụng:.....................................................................................33

4.4.2.4. Tấn công theo kiểu man-in-the-middle attack:............................................................344.4.2.5. Tấn công từ chối dịch vụ và cách hạn chế:..................................................................35

5. Cách nhận biết máy tính bị nhiễm virus, malware............................................................................385.1. Hoạt động chậm chạp và hay gặp lỗi ứng dụng...........................................................................38

5.2. Xuất hiện Popup bất thường.........................................................................................................395.3. Màn hình desktop, icon bị thay đổi..............................................................................................39

5.4. Bị điều hướng tới các website bất thường....................................................................................405.5. Bạn đã tải nhầm một công cụ bảo vệ máy tính giả mạo...............................................................40

5.6. Đường link bất thường trên các mạng xã hội, thư điện tử...........................................................405.7. Đột nhiên bạn không thể sử dụng các công cụ hệ thống phổ biến...............................................41

5.8. Xuất hiện file lạ khi cắm USB vào máy tính................................................................................425.9. Máy tính bị kiểm soát...................................................................................................................43

5.10. Mất kiểm soát đối với các công cụ hệ thống phổ biến trên hệ điều hành................................435.11. Chẳng có dấu hiệu gì cả...........................................................................................................43

6. Cách phòng tránh ngăn ngừa hậu quả của Malware...................................................................446.1. Tường lửa (Firewall)....................................................................................................................44

6.1.1. Firewall cứng.......................................................................................................................446.1.2. Firewall mềm.......................................................................................................................44

6.1.3. Chức năng FireWall.............................................................................................................456.2. Update Windows..........................................................................................................................45

6.2.1. Kích hoạt tự động cập nhật hệ thống...................................................................................476.2.1.1. Install updates automatically:......................................................................................48

6.2.1.2. Download updates but let me choose when to install them:........................................486.2.1.3. Check for updates but let me choose whether to download and install them..............48

6.2.1.4. Never check for updates..............................................................................................486.2.2. Ngăn chặn Windows Update yêu cầu bạn khởi động lại máy.............................................49

6.2.3. Kiểm soát nội dung cập nhật................................................................................................50

6.2.4. Khắc phục sự cố Windows Update......................................................................................516.3. Kinh nghiệm người sử dụng.........................................................................................................52

6.4. Dùng phần mềm diệt virus...........................................................................................................536.5. Bảo vệ dữ liệu...............................................................................................................................56

6.5.1. Khóa user để chống virus.....................................................................................................576.5.1.1. Nguyên lý hoạt động....................................................................................................58

6.5.1.2. Thực hiện việc khóa user.............................................................................................586.5.2. Mã hóa dữ liệu.....................................................................................................................60

6.5.3. Sao lưu dự phòng.................................................................................................................60

1. Phần mềm độc hại (Malware)a. Định nghĩa.

- Thực tế, virus cũng chỉ là một trong những thể loại phần mềm độc hại (Malware), nó là những chương trình hay đoạn mã được thiết kế với khả năng tự nhân bản và sao chép chính nó (có thể tự sửa đổi) vào khác chương trình máy tính khác, các files dữ liệu, hoặc boot sector của ổ cứng. Khi sao chép này thành công, các đối tượng trên gọi là các đối tượng bị lây nhiễm (to be "infected").

- Trước đây, virus thường được viết bởi một số người am hiểu về lập trình muốn chứng tỏ khả năng của mình, bởi vậy virus thường có các hành động như: cho một chương trình hoạt động sai, xóa dữ liệu, làm hỏng ổ cứng,... hoặc gây ra những trò đùa khó chịu.

- Những virus mới được viết trong thời gian gần đây không còn thực hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm nữa, mà chủ yếu hướng đến việc đánh cắp các thông tin cá nhân nhạy cảm (email, số điện thoại, các mã số thẻ tín dụng...), mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển, hoặc các hành động khác, nhằm có lợi cho kẻ phát tán.

- Chiếm trên 99% số virus đã được phát hiện là nhắm vào hệ thống sử dụng hệ điều hành họ Windows bởi 2 lý do căn bản: Thứ nhất, Linux bảo mật hơn Windows; thứ hai, Windows là hệ điều hành chiếm thị phần lớn nhất và thông dụng nhất của end-user [2].

- Ngày nay, Virus ngày càng biến thể tinh vi hơn và khó phát hiện hơn, kết hợp với các dạng malware khác, khiến cho quá trình tìm và diệt chúng khó khăn hơn nhiều

b. Đặc điểm của Malware- Không thể tồn tại độc lập mà phải dựa vào một ứng dụng nền nào đó.- Tự nhân bản khi ứng dụng chủ được kích hoạt.- Có một thời kỳ nằm chờ (giống như ủ bệnh). Trong thời gian này không

gây hậu quả.- Sau thời kỳ “nằm vùng” mới bắt đầu phát tác.

2. Tác hại của Malware.- Virus là những phần mềm và do con người tạo ra, vì thế chúng cũng phá

hoại theo những gì mà chủ nhân của chúng nhắm tới. Đôi khi chúng ta là nạn nhân thực sự mà virus nhắm vào, đôi khi chúng ta vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ thống khác.

- Một số tác hại của virus :- Một số virus chỉ là những trò đùa như liên tục đẩy ổ CD ra ngoài, hay

hiện ra màn hình một số câu trêu chọc,..ít nhiều gây nên sự khó chịu cho người dùng.Trong nhiều trường hợp,virus thực sự là mối đe doạ tới an toàn thông tin máy tính.Dưới đây là một số tác hại có thể thấy khi một máy tính bị nhiễm virus:

- Tiêu tốn tài nguyên hệ thống (CPU, bộ nhớ, dung lượng đĩa cứng ,…) Các máy tính bị nhiễm virus thường có hiện tượng như chạy rất chậm,bị treo hoặc tự động tắt máy hay khởi động lại,đèn báo ổ cứng hay kết nối mạng nhấp nháy liên tục,…Trong nhiều trường hợp,virus có thể gây hiện tượng không thể kết nối mạng.

- Phá huỷ dữ liệu: Có nhiều loại virus xoá hoặc làm hỏng các tệp chương trình hay dữ liệu.Các tệo thươngd bị tấn công nhiếu nhất là các tệp dữ liệu văn bản *.doc hay các tệp bảng tính *.xls và các tệp chưong trình *.exe, &.com. Một số virus hoạt đong vào một thời điểm nhất định như virus “thứ sáu ngày 13”, nhưng cũng có những virus nguy hiểm hơn, bất ngờ xóa dữ liệu khiến người dùng không kịp trở tay.

- Phá huỷ hệ thống: Một số virus cố tình phá huỷ hệ thống, làm giảm tuổi thọ của ổ cứng,.. làm máy tính hoạt động không ổn định hay bị tê liệt.

- Nguy hiểm hơn , chúng còn có thể đánh cắp dữ liệu: Ngày nay nhiều thông tin quan trọng đươc lưu trên máy tính như các loại sổ sách, chứng từ, thẻ tín dụng,…Nhiều loại virus được viết với mục đích đánh cắp các thông tin đó để trục lợi.

- Mã hoá dữ liệu để tống tiền: Đây là một hiện tượng xuất hiện những năm gần đây .Khi virus xâm nhập vào máy nạn nhân,nó sẽ mã hoá dữ liệu quan trọng của người dùng và yêu cầu họ phải trả tiền để có thể khôi phục lại.

- Gây khó chịu khác: Thiết lập các chế độ ẩn cho tệp tin hoặc thư mục, thay đổi cách thức hoạt động bình thường cuảc hệ điều hành cũng như các phần mềm ứng dụng,các trình duyệt,phần mềm văn phòng ,…

- Chúng cũng có thể lợi dụng máy tính của nạn nhân để phát tán thư quảng cáo, thu thập địa chỉ email, hay biến nó thành “trợ thủ” để tấn công vào hệ thống khác hoặc tấn công ngay vào hệ thống mạng bạn đang sử dụng.,

- Không những thế, Một số virus có khả năng vô hiệu hoá hoặc can thiệp

vào hệ điều hành làm tê liệt (một số) phần mềm diệt virus. Sau hành động này chúng mới tiến hành lây nhiễm và tiếp tục phát tán. Một số khác lây nhiễm chính vào phần mềm diệt virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt virus.

- Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt động của các phần mềm diệt virus và được lây nhiễm hoặc phát tác trước khi hệ thống khởi động các phần mềm này. Chúng cũng có thể sửa đổi file host của hệ điều hành Windows để người sử dụng không thể truy cập vào các website và phần mềm diệt virus không thể liên lạc với server của mình để cập nhật.

- Ngoài ra, một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó.

- Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát

3. Phân loại các phần mềm độc hại (Malware)Tổng quan, ta chia các dạng độc hại có thể gây hại cho máy tính theo 7+1 loại sau:3.1.Virus:- Virus là một loại mã độc hại (Malicious code) có khả năng tự nhân bản

và lây nhiễm chính nó vào các file, chương trình hoặc máy tính. Theo cách định nghĩa này virus máy tính phải luôn luôn bám vào một vật chủ (đó là file dữ liệu hoặc file ứng dụng) để lây lan. Các chương trình diệt virus dựa vào đặc tính này để thực thi việc phòng chống và diệt virus, để quét các file trên thiết bị lưu, quét các file trước khi lưu xuống ổ cứng, ... Điều này cũng giải thích vì sao đôi khi các phần mềm diệt virus tại PC đưa ra thông báo "phát hiện ra virus nhưng không diệt được" khi thấy có dấu hiệu hoạt động của virus trên PC, bởi vì "vật mang virus" lại nằm ở máy khác nên không thể thực thi việc xoá đoạn mã độc hại đó.

- Mức độ độc hại của Virus dao động từ mức tương đối lành tính (ví dụ như gây khó chịu cho người dùng, hoặc chỉ để truyền tải 1 thông điệp nào đó) cho đến mức cực kỳ độc hại (ví dụ: Đánh cắp thông tin và chuyển thông tin của victim cho người khởi tạo virus, hoặc là phá hủy hệ thống).

- Nhiều virus cũng có 1 đoạn code kích hoạt (trigger), cần 1 thao tác của người dùng tác động vào để virus thực thi (ví dụ như mở file, chạy chương trình, mở tập đính kèm trên email...).

- Virus có 2 chủng loại chính: Compiled Virus, được thực thi bởi hệ điều hành (OS - Operating System); và Interpreted Virus, được thực thi bởi các chương trình chạy trên OS.

- Phần sau đây nói về 2 chủng loại virus này, cùng các kỹ thuật khác nhau mà virus sử dụng để 'qua mặt', tránh bị phát hiện:

3.1.1. Compiled Virus:- Là virus mà mã thực thi của nó đã được dịch hoàn chỉnh bởi một trình

biên dịch để nó có thể thực thi trực tiếp bởi/từ OS.- Compiled virus thường chia thành 3 thể loại con sau:

3.1.1.1.File Infector: - File infector virus (virus lây nhiễm vào file) sẽ sao chép và gắn chính nó

lên những chương trình thực thi, như là MSWord, AutoCad hay các trò chơi điện tử. Khi virus đã lây nhiễm cho 1 chương trình, thì (khi chương trình bị nhiễm virus đó khởi chạy) nó sẽ lây lan sang các chương trình khác trên hệ thống, cũng như các hệ thống khác sử dụng chung 1 chương trình chia sẻ mà đã bị lây nhiễm. Jerusalem và Cascade (đã được giới thiệu ở bài trước: ) chính là 2 ví dụ nổi tiếp cho loại File Infector Virus.

3.1.1.2.Boot Sector: - Boot sector virus lây nhiễm vào vùng khởi động chủ (MBR - master boot

record) của ổ đĩa cứng (hard drive), hay lây nhiễm vào cung khởi động (boot sector) của đĩa cứng/ổ đĩa gắn ngoài (ví dụ như đĩa mềm (floppy diskettes), DVD-RW, USB stick memory...)

- Boot sector (vùng khởi động hay khu vực khởi động) chính là vùng đầu tiên của ổ đĩa/phân vùng ổ đĩa/các thiết bị lưu trữ dữ liệu khác, nơi chứa thông tin về thiết bị đó và/hoặc chứa thông tin về cấu trúc ổ đĩa/phân vùng... đó (ví dụ: Chứa thông tin về ổ đĩa/phân vùng này có bao nhiêu TB dung lượng, có định dạng ổ/phân vùng là ext4 hay NTFS hay FAT32... Boot sector cũng đồng thời chứa chương trình khởi động, được chạy khi khởi động máy để khởi động OS.

- MBR là vị trí duy nhất trên ổ đĩa cứng mà BIOS (Basic Input / Output System - hệ thống đầu vào/ra cơ bản của máy tính) có thể xác định vị trí để tải và khởi chạy hệ điều hành. Những thiết bị lưu trữ gắn ngoài (như USB key, portable HDD/SSD...), không nhất thiết phải có khả năng khởi động (bootable), nhưng nếu được gắn vào trong lúc hệ thống đang khởi

động, thì vẫn có khả năng lây nhiễm boot virus!- Boot sector virus rất dễ ẩn thân, tỷ lệ lây nhiễm thành công cho hệ thống

lại cực cao.- Boot sector virus, sau khi lây nhiễm thành công, có thể làm cho PC hiện

thông báo lỗi ngay khi khởi động, hay thậm chí ở mức độ tệ hại hơn là hệ thống không khởi động được nữa!

3.1.1.3.Multipartite:- Multipartite virus sử dụng nhiều phương pháp lây nhiễm, thường sử dụng

cả 2 phương thức lây nhiễm cho cả files lẫn boot sector (kết hợp giữa 3.1.1.1 và 3.1.1.2):

- Multipartite virus = file infector virus + boot sector virus.

3.1.2. Interpreted Virus:- Không giống như compiled virus (vốn có thể thực thi trực tiếp từ hệ điều

hành), Interpreted virus là một tổ hợp của mã nguồn mã chỉ thực thi được dưới sự hỗ trợ của một ứng dụng cụ thể hoặc một dịch vụ cụ thể trong hệ thống.

- Hiểu một cách đơn giản, virus kiểu này chỉ là một tập lệnh, cho đến khi ứng dụng gọi thì nó mới được thực thi.

- Interpreted Virus càng lúc càng trở nên phổ biến hơn Compiled Virus bởi lý do đơn giản: Một kẻ tấn công, không cần có "tay nghề" cao, cũng có thể sửa đổi đôi chút từ mã nguồn để tạo ra các biến thể. Do đó, nhiều lúc có cả hàng chục, thậm chí hàng trăm biến thể từ con interpreted virus gốc.

- Có 2 thể loại con chính của interpreted virus, là Macro Virus và Scripting Virus:

3.1.2.1.Macro Virus: - Là loại phổ biến và thành công nhất của dạng này trong những năm trước

đây của thế kỷ 21. Nó lây nhiễm lên các tập tin tài liệu (như .doc, .ppt...) và "nằm chờ", đến khi file tài liệu được mở ra bởi 1 chương trình (ví dụ Microsoft Office): Nó bắt đầu thực hiện "sứ mệnh cao cả": LÂY NHIỄM.

- Loại này lây lan siêu nhanh trước đây bởi 2 lý do:- Thứ nhất: Những file văn bản như .doc (định dạng văn bản của Microsoft

Word) được chia sẻ rất rộng rãi qua internet, mang đi in, copy qua USB key, và được bật đi bật lại nhiều lần;

- Thứ hai: Do quan niệm sai lầm, nghĩ rằng chỉ những file dạng *.exe mới có khả năng lây nhiễm virus, còn *.doc, *.chm... thì không!

- Ví dụ kinh điển cho macro virus là The Concept, Marker và Melissa.

3.1.2.2.Scripting Virus: - Thể loại virus này rất giông với Macro Virus, sự khác biệt chính là:

macro virus là tập lệnh thực thi bởi một ứng dụng cụ thể, còn scripting virus là tập lệnh chạy bằng một dịch vụ (service) của hệ điều hành. 'First and Love Stages' là virus nổi tiếng của thể loại này.

- Ngày nay (2014), macro virus đã ít dần đi, do Microsoft Office bây giờ đã ít dùng các macro trong các bộ Office thế hệ mới.

3.1.3. Các kỹ thuật ẩn thân của virus (Virus Obfuscation Techniques):- Hầu hết các virus đều sử dụng 1 hoặc nhiều kỹ thuật ẩn dấu. Đó là cách

để các 'hacker' xây dựng virus khiến cho virus ngày càng khó để phát hiện (bởi các chuyên gia bảo mật cấp cao, các chương trình diệt virus).

- Virus càng khó bị phát hiện, thì tất nhiên khả năng gây thiệt hại cho hệ thống càng lớn, và khả năng lây lan cũng lớn hơn nhiều. Thông thường, có các kỹ thuật ẩn thân cơ bản sau:

3.1.3.1.Self-Encryption and Self-Decryption (Tự mã hóa và Tự giải mã):

- Một số virus có khả năng mã hóa và giải mã phần mã chính của chính nó (code body) để che giấu khỏi bị phát hiện trực tiếp.

- Virus có thể sử dụng nhiều lớp mã hóa, hoặc khóa mật mã ngẫu nhiên (random cryptographic key), khiến cho từ 1 code body, nếu sử dụng các phương thức mã hóa khác nhau, sẽ cho ra nhiều virus khác nhau mà có thể hệ thống phần mềm diệt virus không thể phát hiện ra được, hoặc phát hiện ra được 'con' virus này, nhưng lại để lọt mất 'con' kia, mặc dù chúng cùng có chung code body, và cùng thực thi 1 nhiệm vụ như nhau!

3.1.3.2.Polymorphism (Đa hình):- Polymorphism là một hình thái đặc biệt mạnh của self-encryption. Một

virus đa hình thường có vài thay đổi so với việc mã hóa mặc định, cũng như thay đổi phương thức giải mã.

- Trong 1 virus đa hình: Code body vẫn không thay đổi, chỉ có phương thức ẩn thân là thay đổi.

- Polymorphism virus chính là một bước phát triển của phương thức ẩn thân đã nêu ở 3.1.3.1.

3.1.3.3.Metamorphism (Biến thể):- Ý tưởng 'thiết kế' đằng sau thể loại virus này chính là: Tạo ra 1 loại virus

có khả năng thay đổi nội dung của chính nó, hơn là sử dụng cách thức thay đổi sự ẩn thân bằng việc mã hóa.

- Các virus thể loại này có thể thay đổi theo nhiều cách:- Hoặc thêm 1 chuỗi mã vô hại/không cần thiết vào mã nguồn;- Hoặc thay đổi cấu trúc các phần của mã nguồn (đảo, trộn... mã)...- Các mã bị thay đổi, thêm/bớt sau đó được biên dịch lại (re-compiled) để

tạo ra một virus thực thi mới (có thể mang 'nhiệm vụ' mới) về cơ bản khác với bản gốc.

3.1.3.4.Stealth (ẩn - tàng hình):- Stealth virus sử dụng nhiều đặc tính kỹ thuật khác nhau để che dấu đặc

tính gốc (lây nhiễm) của nó. Ví dụ: Nhiều virus, sau khi lây nhiễm cho files, sẽ thâm nhập luôn vào cơ chế kiểm soát kích thước files của hệ điều hành, khiến cho hệ điều hành hay chương trình diệt virus hoặc người dùng vẫn nhìn thấy kích thước của file bị lây nhiễm là vẫn như cũ (không tăng thêm, tức không bao gồm kích thước của cả 'con' virus!).

3.1.3.5.Armoring (kỹ thuật tạo vỏ bọc):- Mục đích của kỹ thuật này là làm cho con virus có 1 lớp vỏ bọc để đánh

lừa khả năng của các chương trình diệt virus (antivirus software) hay các chuyên gia phân tích, khiến cho chức năng thực sự của con virus loại này không bị lộ thân, và khó có thể truy tìm được dấu vết của nó trên hệ thống...

3.1.3.6.Tunneling (kỹ thuật tạo đường hầm):- Với kỹ thuật này, virus sẽ tạo ra 1 đường hầm để chèn chính nó vào low-

level (*) của OS, khiến cho các low-level của OS không thể khởi chạy (bị đánh chặn bởi virus).

- Với cách này, virus dễ dàng qua mặt được antivirus software bằng cách đưa ra các lệnh giả ở mức độ low-level, khiến cho chương trình antivirus tưởng nhầm đó chính là hoạt động đích thực của OS, và bỏ qua nó.

- Chú thích: (*): low-level: Từ kỹ thuật này dùng để biểu thị các lệnh được lập trình gần với định dạng của mã máy (như lập trình bằng ngôn ngữ Assembly chẳng hạn).

- Ngày nay, các nhà phát triển Anti-virus software đã nghiên cứu rất kỹ những kỹ thuật trên của virus, khiến cho chương trình diệt virus của họ ngày càng có hiệu quả hơn với những thuật ẩn thân của virus kể trên, bao gồm thuật tàng hình, tạo vỏ bọc, đa hình và siêu đa hình...

- Tuy nhiên, vẫn còn 1 rào cản khó vượt qua cho Anti-virus software: Kỹ thuật biến thể (Metamorphism).

- Chính vì kỹ thuật này, mà dữ liệu phân tích cũ của 1 anti-virus software trở nên vô dụng ngay lập tức khi có biến thể mới từ con virus gốc (mà có khả năng diệt được đó). Cho nên, các gói cập nhật (update) vẫn được

tung ra hàng tuần, thậm chí là hàng ngày, để phòng chống nguy cơ này (sau khi đã nghiên cứu xong biến thể mới và đưa ra được đoạn code đề kháng, để cho lên dữ liệu trên server và từ đó bạn có thể download được về gói update).

3.2.Worm (Sâu):

Computer worm - ảnh minh họa- Worm cũng là một chương trình có khả năng tự sao chép và tự lây nhiễm

trong hệ thống tuy nhiên bản thân của sâu đã là 1 chương trình hoàn chỉnh (self-contained), không giống như virus cần sống bám vào 'cơ thể vật chủ' (là các file bị nhiễm) mới có khả năng lây nhiễm cho hệ thống.

- Worm cũng có khả năng tự nhân bản (self-propagating), tuy nhiên về mặt này, worm mạnh hơn so với virus: Virus cần 1 thao tác của người sử dụng để có thể tự sao chép và lây nhiễm (ví dụ: Mở file, hay khởi động máy với 1 thiết bị đã bị nhiễm boot sector virus...), nhưng worm thì không cần: Worm có khả năng tạo ra 1 bản sao của chính nó và thực thi chính nó mà không cần người dùng phải tác động. Chính điều này, mà attackers (những kẻ tấn công) ngày càng khoái worm hơn là virus, bởi vì một con sâu có khả năng lây nhiễm sang nhiều hệ thống hơn trong một khoảng thời gian ngắn hơn so với một thể virus. Sâu tận dụng lợi thế của những lỗ hổng bảo mật (vulnerabilities) và những điểm yếu chết người về thiết đặt (configuration) để thâm nhập, chẳng hạn như thu thập những điểm yếu về bảo mật (unsecured) của Windows OS.

Confliker worm- Trước đây, Worm được sinh ra chỉ để phá hoại hệ thống và làm lãng phí

tài nguyên mạng, như những gì đã viết trong mục 1 của bài Lịch sử Virus. Ngày nay, loại worm này ngày càng ít đi (vẫn còn, do có nhiều tay script kiddies muốn 'thử tay nghề'), mà mục tiêu chủ yếu của worm ngày nay là tấn công phân tán từ chối dịch vụ (DDoS - Distributed Denial os Service) nhằm vào máy chủ khác, cài đặt backdoor (mở 'cửa sau' cho attacker, sẽ được thảo luận kỹ hơn tại mục 2.7.1 của bài này), hay thực hiện các hành vi nguy hiểm khác.

- Sâu có 02 thể loại chính: Sâu dịch vụ mạng và sâu gửi thư hàng loạt:3.2.1. Network Service Worm (Sâu dịch vụ mạng):

- Network service worm lây lan bằng cách khai thác một lỗ hổng bảo mật trong 1 dịch vụ mạng liên kết với hệ điều hành hoặc với 1 ứng dụng nào đó trên hệ thống. Khi thể loại sâu này đã lây nhiễm thành công vào hệ thống, thông thường, nó sẽ quét và phát hiện những hệ thống khác, cũng đang chạy dịch vụ kiểu đó (target service - dịch vụ mục tiêu: loại dịch vụ có lỗ hổng đã bị khai thác, như đã nói ở trên), để tiếp tục lây nhiễm cho các hệ thống đó.

- Và bởi vì do chúng tự thực thi mà không cần tác động của user, nên thông thường, thể loại sâu này lây lan với tốc độ chóng mặt (nhanh hơn nhiều so với virus hay các thể loại malware khác). Do sự lây nhiễm nhanh chóng, network service worm thường được attackers dùng để áp đảo, gây tê liệt mạng và các hệ thống an ninh (như cảm biến phát hiện sự thâm nhập mạng) cũng như các hệ thống đã bị nhiễm bệnh.

- Ví dụ kinh điển cho network service worms là Sasser và Witty.3.2.2. Mass Mailing Worm (Sâu gửi điện thư hàng loạt):

- Sâu gửi điện thư hàng loạt có cách thức hoạt động tương tự như e-mail-borne virus (khác biệt lớn nhất vẫn là: Sâu loại này, tự nó đã là self-

http://gvehacker.blogspot.com/2014/03/lich-su-virus.html

http://gvehacker.blogspot.com/2014/03/lich-su-virus.html

contained chứ không như email-borne virus cần sống bám vào file đính kèm trong thư).

- Một khi sâu thể loại này đã nhiễm vào hệ thống, chúng thường tìm kiếm trong hệ thống đó các địa chỉ email, sau đó tự động gửi bản sao của chính nó tới những địa chỉ email đó, sử dụng email client của hệ thống, hoặc một hệ thống tự gửi mail của chính nó (đã được built-in trong sâu).Sâu thể loại này thường gửi thư (thường kèm theo cả bản sao chính nó) đến nhiều địa chỉ cùng 1 lúc. Bởi vậy, bên cạnh việc làm quá tải các máy chủ email và mạng lưới với 1 khối lượng lớn "bomb mail", sâu loại này thường gây ra vấn đề nghiêm trọng về hiệu suất cho hệ thống bị nhiễm bệnh.

- Hiện nay, loại sâu này vẫn khả dụng để phát tán thư rác (thường là thư quảng cáo) bên cạnh những hiểm họa như đã nói ở mục chính 2.2.Ví dụ điển hình cho mass mailing worms là Beagle, Mydoom và Netsky.

3.3.Trojan Horse:

- Được đặt theo con ngựa gỗ từ thần thoại Hy Lạp (con ngựa gỗ thành Tơ-roa <Troy>), Trojan hoạt động hơi khác so với các loại malware khác: Nó không có khả năng tự nhân bản, và lây nhiễm vào hệ thống với 1 biểu hiện ôn hòa. Tuy nhiên, ẩn dưới lớp vỏ ôn hòa đó lại là các đoạn mã độc hại, "nằm vùng" chờ thời cơ, y hệt như những người lính nấp trong con ngựa gỗ thần thoại vậy.

- Trojan thường có 3 phương thức gây hại phổ biến:- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, bên

cạnh đó thực thi các hoạt động gây hại một cách riêng biệt (ví dụ như gửi một trò chơi dụ cho người dùng sử dụng, bên cạnh đó là một chương trình đánh cắp password);

- Tiếp tục thực thi các chức năng của chương trình mà nó bám vào, nhưng

http://3.bp.blogspot.com/-OBMDFBtKUtM/Uy7fxTqdlFI/AAAAAAAAAys/5t5pLOPIfaI/s1600/trojan-horse_GVEhacker.jpg

sửa đổi một số chức năng để gây tổn hại (ví dụ như một trojan giả lập một cửa sổ login để lấy password) hoặc che dấu các hành động phá hoại khác (ví dụ như trojan che dấu cho các tiến trình độc hại khác bằng cách tắt các hiển thị của hệ thống);

- Thực thi luôn một chương trình gây hại bằng cách núp dưới danh một chương trình không có hại (ví dụ như một trojan được giới thiệu như là một chò chơi hoặc một tool trên mạng, người dùng chỉ cần kích hoạt ứng dụng này là lập tức dữ liệu trên PC sẽ bị xoá hết, hoặc lập tức nó đánh cắp luôn ví tiền điện tử .wallet và private key trên máy của bạn)...

- Trojan khó bị phát hiện, bởi lẽ (theo 2 phương thức gây hại đầu) chương trình bị lây nhiễm vẫn gần như hoạt động một cách bình thường không có gì khả nghi; hơn nữa, các trojan hiện nay cũng áp những thủ thuật ẩn thân như virus. Việc sử dụng trojan để phát tán những chương trình gián điệp (spyware) ngày càng trở nên phổ biến: Ví dụ như khi bạn download các chương trình từ những nguồn chia sẻ không an toàn, hoặc là các giao thức chia sẻ ngang hàng (p2p, như Torrent chẳng hạn), sau khi bạn cài đặt những chương trình unsafe đó, spyware sẽ ngấm ngầm cài đặt cùng và bắt đầu thực thi nhiệm vụ gián điệp của mình trên máy victim.Trojan cũng thường cung cấp các công cụ tấn công vào hệ thống (attacker tools), với khả năng cung cấp cho attacker sự truy cập trái phép, hoặc cho phép attacker sử dụng trái phép hệ thống của victim. Những công cụ này có thể đã được built-in luôn vào con trojan, hoặc là được âm thầm tải về sau khi trojan đã thâm nhập thành công.

- Những trojans nổi tiếng là SubSeven,Back Orifice, and Optix Pro.3.4.Malicious Mobile Code (MMC):

Malicious QR code

- Mobile code là tên gọi chung cho những cách thức dùng để truyền tải (dữ liệu) từ hệ thống điều khiển từ xa (remote system -ví dụ server) để thực

thi trên hệ thống cục bộ(local system - ví dụ client) mà đôi lúc không có sự hướng dẫn rõ ràng cho người dùng. Trình duyệt web (web browser) hay email client là 2 ví dụ hoàn hảo cho Mobile Code: Ví dụ: Khi bạn bật web browser và gõ vào http://gvehacker.blogspot.com, thì dịch vụ Blogger của Google sẽ truyền tải đến web browser của bạn trang Web của GVEhacker: Dữ liệu của GVEhacker đã nằm trên web browser của máy bạn.

- Malicious Mobile Code được coi là khác với virus, worm ở đặc tính là nó không nhiễm vào file và không tìm cách tự phát tán. Thay vì khai thác một điểm yếu bảo mật xác định nào đó, kiểu tấn công này thường tác động đến hệ thống bằng cách tận dụng các quyền ưu tiên ngầm định để chạy mã từ xa. Các công cụ lập trình như Java, ActiveX, JavaScript, VBScript là môi trường tốt cho malicious mobile code.

- Trò dụ mọi người cài ICONS trên facebook, làm loạn facebook trong thời gian vừa rồi, cũng chính là khai thác tính năng cho phép thực thi *.js (JavaScript) từ web browser của người dùng, sau khi những người dùng này vô tư ấn "install".

- Một trong những ví dụ nổi tiếng của kiểu tấn công MMC là Nimda, sử dụng JavaScript. Kiểu tấn công này của Nimda thường được biết đến như một tấn công hỗn hợp(Blended Attacks), mà sẽ được phân tích cụ thể trong mục 3.5 dưới đây.

3.5.Blended Attacks (tấn công hỗn hợp/pha trộn):

Blended attacks and defense - ảnh minh họa

- Tấn công hỗn hợp chính là cách thức sử dụng nhiều phương thức lây nhiễm, hoặc nhiều phương thức truyền dẫn khác nhau. Sâu Nimda thực sự là một ví dụ kinh điển cho cách thức tấn công này: Nó sử dụng 4 phương thức sau:

- Email: Khi user ở 1 hệ thống có lỗ hổng bảo mật mở mở 1 file đính kèm (đã bị nhiễm) trên email, Nimda lập tức khai thác lỗ hổng đó để hiển thị

http://gvehacker.blogspot.com/

http://1.bp.blogspot.com/-hr7kcCoigkM/Uy7iSk5QE0I/AAAAAAAAAzA/_YTStApAf9g/s1600/blended-attack_GVEhacker.jpg

trên web browser của victim để mở ra 1 trang html cơ bản để gửi/nhận mail mới. Sau đó, nó tìm kiếm toàn bộ địa chỉ điện thư trên máy victim để tiếp tục gửi những bản sao của nó tới các địa chỉ mà nó quét được.

- Windows Shares: Lợi dụng tính năng chia sẻ files của Windows, Nimda, sau khi thâm nhập vào máy victim, sẽ tìm kiếm trên hosts những file được chia sẻ và dùng NetBIOS như 1 cơ chế vận chuyển Nimda để lây nhiễm cho files. Nếu bạn mở file thì Bingo! Nimda đã chui trót lọt vào máy của bạn.

- Web Servers: Nimda sẽ quét các máy chủ sử dụng IIS (Internet Information Service của Microsoft) và tìm kiếm lỗ hổng bảo mật đã biết tới nhưng chưa được vá lỗi. Nếu tìm thấy lỗ hổng: Lập tức nó sao chép chính nó lên web servers đó và trên mọi files có thể lây nhiễm trên servers đó. Phương thức này cực kỳ hiệu quả, bởi sẽ có nhiều clients trỏ đến server bị nhiễm để lấy thông tin (chẳng hạn, đọc báo mạng, nhưng trang báo mạng đó trước đó đã bị nhiễm Nimda), nên phương thức này lây lan rất nhanh chóng.

- Web clients: Nếu victim sử dụng 1 trình duyệt web có lỗi bảo mật để truy cập tới infected web server nêu trên, thì lập tức, máy của victim sẽ bị lây nhiễm (nếu lỗ hổng bảo mật trên đã nằm trong list của Nimda khi lập trình).

- Ngoài việc sử dụng các phương thức nêu trên, các cuộc tấn công hỗn hợp cũng lợi dụng thêm các dịch vụ khác như IM (Instant Messaging) hay chia sẻ ngang hàng p2p (peer-to-peer) để lây nhiễm.Qua phân tích trên, ta thấy rằng Nimda không hẳn chỉ là Worm, mà Nimda = worm + virus + MMC.

- Ngày nay, blended attacks ngày càng sử dụng nhiều thủ thuật tinh vi và những pha trộn phức tạp khác. Dựa vào độ mạnh của mã độc về mặt nào, người ta sẽ tạm xếp mã độc về mặt đó (như trường hợp của Nimda, được phân loại cho worm).

3.6.Tracking Cookies:

Tracking cookies protocol

- Cookie là một file dữ liệu chứa thông tin về việc sử dụng một trang web cụ thể nào đó của web-client. Có 2 loại cookies:

- Session cookies: Loại tạm thời này chỉ có giá trị cho 1 phiên làm việc duy nhất. Khi bạn tắt trang web: session cookie mất hiệu lực;

- Persistent cookies: Là loại cookies lưu trữ mãi trên máy của bạn (cho tới khi bạn xóa). Mục tiêu của việc duy trì các cookie trong hệ thống máy tính nhằm căn cứ vào đó để tạo ra giao diện, hành vi của trang web sao cho thích hợp và tương ứng với từng web-client, mục đích để phục vụ người dùng được tốt hơn.

- Thật không may, dạng persistent cookies cũng có thể bị lạm dụng như phần mềm gián điệp (spyware) để theo dõi và thu thập thông tin riêng tư về hành vi duyệt web của cá nhân, bởi 2 nguyên nhân: Do cookie không cần sự đồng ý của người dùng, mà web-browser vẫn tự tạo; nguyên nhân thứ 2 là do sự thiếu hiểu biết của user về mảng này.

- => nếu thu thập được cookies, sẽ thu thập được kha khá thông tin cá nhân của người sử dụng đó.

- Một cách khác để thu thập thông tin cá nhân là sử dụng web bugs. Ví dụ, viết 1 đoạn mã ngắn để thu thập cookie rồi tung lên trang web đó, nhưng diện tích chỉ chiếm khoảng 1 điểm ảnh (1px) ==> hầu như vô hình trước mắt user.

- Thông tin thu thập được sẽ được bán cho bên thứ 3, từ đó họ sử dụng để đưa ra các quảng cáo theo thói quen của bạn. Như vậy, hiệu quả quảng cáo sẽ tăng lên rõ rệt.

- Nếu không thu thập được cookies, thì sẽ thật ngớ ngẩn, nếu một kỹ sư cơ khí duyệt web, mà trang quảng cáo pop-up lại quảng cáo về ..thuốc giảm

http://4.bp.blogspot.com/-L_uvdLqBzZY/Uy7jK4jJS3I/AAAAAAAAAzI/W1sM_BfKLIg/s1600/tracking+cookies_GVEhacker.png

béo dành cho phụ nữ (trong khi trước kia, anh ta không hề tìm kiếm gì về loại thuốc đó, nên không có được cookie lưu lại).

- Nếu một kẻ có ý đồ xấu (black-hat hacker chẳng hạn), thì nếu thu thập được cookies của victim, mọi việc họ làm không đơn giản chỉ là.. quảng cáo :)

- /* Cookies thường lưu trữ trong những bản plain-text, tức không được mã hóa, khiến cho 1 truy cập trái phép vào cookies sẽ thu thập được thông tin cá nhân của bạn, hoặc thay đổi cookies đó nhằm mục đích phục vụ cho kế hoạch của attacker. Trước thảm họa này, nhiều web-site bây giờ đã sử dụng phương thức mã hóa cho cookies. Tuy nhiên, việc giải mã cookies vẫn có khả năng xảy ra bởi những attacker có kinh nghiệm. */

3.7.Attacker Tools:

Một ví dụ về attacker tools có những tool cần thiết.

- Là những bộ công cụ tấn công có thể sử dụng bởi attacker để tấn công vào hệ thống của victim. Các bộ công cụ này có khả năng giúp cho kẻ tấn công có thể truy nhập bất hợp pháp vào hệ thống hoặc làm cho hệ thống bị lây nhiễm mã độc hại. Khi được tải vào trong hệ thống bằng các đoạn mã độc hai, attacker tool có thể chính là một phần của đoạn mã độc đó (ví dụ như được built-in trong một trojan) hoặc nó sẽ được tải vào hệ thống sau khi nhiễm.

- Ví dụ: một hệ thống đã bị nhiễm một loại worm, worm này có thể điều khiển hệ thống tự động kết nối đến một web-site nào đó, tải attacker tool từ site đó và cài đặt attacker tool vào hệ thống.

- Có 6 thể loại thông dụng của những công cụ tấn công, được GVEhacker giới thiệu ngay sau đây:

3.7.1. Backdoor:

http://2.bp.blogspot.com/-1gW_ECnHEmM/Uy7jqhBgDcI/AAAAAAAAAzQ/lrvKsVcDkpY/s1600/attacker-tools_GVEhacker.jpg

- Là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP (Transmission Control Protocol) hoặc UDP (User Datagram Protocol). Một cách đơn giản nhất, phần lớn Backdoors cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,...Ngoài ra, Backdoor cũng có những khả năng đặc biệt (thuận theo ý muốn đã được lập trình bởi attacker) sau:

3.7.1.1.Zoombies - thảm họa Bot-net:- Zombie (đôi lúc gọi là bot) là một chương trình được cài đặt lên hệ thống

của victim nhằm mục đích tấn công hệ thống khác. Kiểu thông dụng nhất của Zoombie là dùng các máy tính nạn nhân để phục vụ cho các cuộc tấn công DDoS. Kẻ tấn công có thể cài bot vào một số lượng lớn các máy tính rồi ra lênh tấn công cùng một lúc làm hết tài nguyên mạng (băng thông - bandwidth) và tê liệt hệ thống bị tấn công. Trinoo và Tribe Flood Network là hai đại diện nổi tiếng cho thảm họa zombies.

- /* Mặc dù đôi lúc zombie được gọi là bot, nhưng cách gọi đó là không chuẩn xác, bởi lẽ thuật ngữ 'bot' dùng để chỉ các chương trình thực hiện các chức năng 1 cách tự động (ví dụ, ta đổ chương trình vào các máy móc tự động hóa, thì những máy đó có thể gọi là robot). Một nhóm máy tính mà có cùng 1 loại bot thì ta gọi là botnet. Tuy nhiên, ngày nay, khi nghe tới thuật ngữ botnet là lập tức người ta lại liên tưởng đến các vụ tấn công mạng, do sự PR một cách thái quá nhưng lại nằm ngoài hiểu biết của các báo mạng lá cải ở Việt Nam. Bởi vậy GVEhacker viết rõ đoạn này, nhằm giúp các bạn phân biệt rõ 2 thuật ngữ là zombie và bot: Zombies chắc chắn là mã độc, còn bots thì có thể lành tính, có thể không. */

3.7.1.2.Remote Administration Tools (RAT):- Giống như tên gọi, RAT là các công cụ có sẵn của hệ thống cho phép

thực hiện quyền quản trị từ xa. Tuy nhiên hacker cũng có thể lợi dụng tính năng này để xâm hại hệ thống. Tấn công kiểu này có thể bao gồm hành động theo dõi mọi thứ xuất hiện trên màn hình, điều khiển các thiết

http://2.bp.blogspot.com/-L9PFFNcZn-0/Uy7nTYwnOnI/AAAAAAAAAzc/Ysmb6uR1Lkk/s1600/Backdoor_GVEhacker.jpg

bị ngoại vi của victim theo ý muốn (ví dụ loa, webcam, micro, máy in...) cho đến tác động vào cấu hình của hệ thống. Ví dụ nổi tiếng cho RATs là: SubSeven, Back Orifice và NetBus.

3.7.2. Keystroke loggers:- Keystroke logger, còn gọi là keylogger, là phần mềm được dùng để bí

mật ghi lại các phím đã được nhấn bằng bàn phím rồi gửi tới hacker. Keylogger có thể ghi lại toàn bộ hoặc có chọn lọc những thông tin mà victim đã nhập vào hệ thống, bao gồm việc ghi lại nội dung của email, của văn bản, user name, password, thông tin bí mật, etc.Các keylogger nổi tiếng là KeySnatch, Spyster và KeyLogger Pro.

- /* Một số keyloggers có khả năng ghi lại các thông tin bổ sung khác, như ảnh chụp màn hình của victim */

3.7.3. Rootkits:- Rootkit là tập hợp của các files được cài đặt lên hệ thống nhằm biến đổi

các chức năng chuẩn của hệ thống thành các chức năng tiềm ẩn các nguy cơ tấn công nguy hiểm:

- Trên Unix và Linux, rootkit có thể sửa đổi, hoặc thay thế hoàn toàn hàng chục tới hàng trăm tập tin (bao gồm cả những tập tin hệ thống .bin - binary);

- Trên Windows, ngoài khả năng thay đổi những tập tin của hệ thống, rootkit còn có khả năng 'nằm vùng' thường trú trong bộ nhớ nhằm thay thế, sửa đổi các lời gọi hàm của hệ điều hành.

- Rootkit cũng sử dụng những thủ thuật ngăn chặn, ẩn thân và xóa dấu vết, khiến cho rất khó để tìm ra những gì trên hệ thống đã bị thay đổi bởi rootkit, hay danh định được rootkit đã thâm nhập. Rootkit thường được dùng để cài đặt các công cụ tấn công như cài backdoor, cài keylogger.

- Ví dụ về rootkit là: LRK5, Knark, Adore, Hack Defender.3.7.4. Web Browser Plug-ins:

- Là phương thức cài mã độc hại thực thi cùng với trình duyệt web. Khi được cài đặt, kiểu mã độc hại này sẽ theo dõi tất cả các hành vi duyệt web của người dùng (ví dụ như tên web site đã truy nhập) sau đó gửi thông tin ra ngoài. Bởi vì các plug-in được nạp tự động khi web browser khởi động, nên phương thức tấn công này rất dễ dàng dùng để giám sát hệ thống của nạn nhân. Một dạng khác là phần mềm gián điệp có chức năng quay số điện thoại tự động, nó sẽ tự động kích hoạt modem và kết nối đến một số điện thoại ngầm định mặc dù không được phép của chủ nhân (hay xảy ra vào hồi còn dùng mạng dial-up ngày trước, hoặc hoàn toàn có khả năng xảy ra thời nay trên những thiết bị vừa có khả năng vào mạng vừa có khả năng thực hiện cuộc gọi như smartphone hay tablet).

3.7.5. Email Generators:- Là những chương trình cho phép tạo ra và gửi đi một số lượng lớn các

bức điện thư. Malware có thể gieo rắc các email generator vào trong hệ thống, nằm ngoài sự cho phép và tầm kiểm soát của người dùng thông thường. Các chương trình gián điệp, spam, mã độc hại có thể được đính kèm vào các email được sinh là từ email generator và gửi tới các địa chỉ định sẵn, hoặc tìm thêm trong sổ địa chỉ của máy bị nhiễm.

3.7.6. Attacker Toolkits:- Nhiều tay tấn công sử dụng những bộ công cụ có sẵn (do họ download

được trên các websites thuộc giới UG - Under-ground), hay chính họ tự lập trình nên trước đó (để tiện dùng cho những lần sau). Các toolkit này đã có sẵn những tiện ích và các đoạn mã viết sẵn để khai thác và tấn công victim.

- Toolkit cũng được sử dụng để lợi dụng victim, cài đặt thêm các malware khác trên máy của victim và qua đó tấn công sang các hệ thống khác.Trong 1 bộ toolkit, thường có sẵn các tools sau:

3.7.6.1.Packet sniffers:- Được thiết kế để giám sát lưu lượng trên mạng dây/không dây và nắm bắt

các gói tin, packet sniffers có khả năng 'bắt' được hết các gói tin trao đổi của victim, hoặc 'tóm' có chọn lọc những gói tin của victim (ví dụ: Chỉ 'bắt' các gói tin vào/ra từ các cổng TCP định sẵn, hoặc 'bắt' các gói tin trao đổi với các IP đã định sẵn).

- Hầu hết packet sniffers hiện nay đều được trang bị khả năng phân tích giao thức (protocol analyzer), tức là nó có khả năng ghép các gói tin mà nó cần bắt, và giải mã chúng thông qua hàng trăm, hàng ngàn giao thức sẵn có mà nó được trang bị.

3.7.6.2.Port scanners:- Port scanners được dùng để quét các cổng vào ra đang mở của victim (có

thể là server lẫn client), để tìm ra cổng có tiềm năng dễ bị tấn công (mà nmap trên Linux - ubuntu là một ví dụ cực kỳ nổi tiếng, như những gì các bạn đã từng được nhìn trong bài giới thiệu về Tails - Hệ điều hành lướt web như hacker trên GVEhacker).

- Khi nắm bắt được các mục tiêu tiềm năng, attacker sẽ tiến hành cố gắng dùng mọi thủ thuật để khai thác qua các cổng đó.

3.7.6.3.Vulnerability Scanners:- Attacker sẽ dùng nó để quét các lỗ hổng bảo mật khả dụng trên local

system lẫn remote system. Vulnerability scanners giúp cho công việc của các attacker dễ dàng hơn so với việc dò thủ công bằng tay để tìm ra những lỗ hổng ở host.

3.7.6.4.Password Crackers:- Là bộ tổng hợp những tiện ích dùng để bẻ khóa mật khẩu. Hầu hết các

tiện ích này tập trung quanh 2 phương thức chính: Đoán mật khẩu (dictionary attack) hay dò mật khẩu (Brutte-force). Thời gian để có được

http://gvehacker.blogspot.com/2014/03/luot-web-nhu-hacker-voi-1-he-ieu-hanh.html

http://gvehacker.blogspot.com/2014/03/luot-web-nhu-hacker-voi-1-he-ieu-hanh.html

mật khẩu phụ thuộc vào rất nhiều thứ: Sức mạnh của các cỗ máy dùng huy động để bẻ khóa, độ dài của mật khẩu, độ khó của mật khẩu, sự đồ sộ của bộ từ điển (chứa những mật khẩu thông dụng mà người dùng hay đặt như 123456, iloveyou, qweasdzxc, !@#$%^&*()...) ....

3.7.6.5.Remote Login Programs:- Bộ công cụ này thường chứa SSH và telnet, là những chương trình dùng

để đăng nhập hệ thống từ xa. Kẻ tấn công có thể sử dụng các chương trình này cho nhiều mục đích, chẳng hạn như đánh cắp dữ liệu hay xóa bỏ dữ liệu trên hệ thống, kiểm soát các hệ thống bị thâm nhập, chuyển dữ liệu giữa các hệ thống...

3.7.6.6.Attacks:- Những bộ công cụ tấn công thường kèm theo các chương trình tấn công

khả dĩ, có khả năng tấn công trên local lẫn remote system. Những cuộc tấn công có nhiều mục đích khác nhau, mà phổ biến là gây ảnh hưởng lên hệ thống, hoặc gây ra 1 cuộc tấn công từ chối dịch vụ (DoS).

- Những công cụ trong bộ attacker tools đều có khả năng sử dụng cho mục đích tốt hay xấu, tùy vào người sử dụng là black hat hay white hat trong thời điểm dùng, ví dụ như: packet sniffers và protocol analyzers cũng được sử dụng bởi các chuyên viên bảo mật hệ thống mạng; nhưng cũng có thể được dùng bởi các black hat với mục đích nghe/xem lén xem victim đang làm gì;

- password crackers cũng được dùng bởi những chuyên gia an ninh, để kiểm tra độ an toàn cho mật khẩu của hệ thống; còn khi rơi vào tay black hat, dĩ nhiên chúng sẽ sử dụng với mục đích vốn có của nó là ...bẻ khóa mật khẩu.

3.8.Non-malware Threats (Những mối đe dọa khác không phải từ phần mềm độc hại):

Cửa sổ pop-up này chính là 1 dạng fishing.

- Phần này nói ngắn gọn về 2 mối nguy cơ tiềm ẩn, tuy bản thân chúng không phải là malware, nhưng chúng thường kết hợp với malware, đó là phishing, và virus hoaxes. Hai hiểm họa này có tên gọi kỹ thuật chung gọi là Social Engineering, một thuật ngữ ám chỉ kẻ tấn công dùng các phương thức để lừa mọi người tiết lộ các thông tin nhạy cảm (thông tin cá nhân, mật khẩu thẻ tín dụng hay mật khẩu các cổng đăng nhập online...) hoặc thực hiện hành động nhất định, như tải về và mở/thực thi một file/chương trình có vẻ vô hại nhưng thực chất chứa mã độc.Bởi vậy, nên 2 phương thức này sẽ được đề cập đến sau đây:

3.8.1. Phishing:- Phishing là một hình thức tấn công thường có thể xem là kết hợp với mã

độc hại. Phishing là phương thức dụ người dùng kết nối và sử dụng tới một hệ thống giả mạo (fake website chẳng hạn) nhằm làm cho người dùng tiết lộ các thông tin bí mật về danh tính (ví dụ như mật khẩu, số tài khoản, thông tin cá nhân, ...).

- Kẻ tấn công bằng hình thức phishing thường tạo ra trang web hoặc email có hình thức giống hệt như các trang web hoặc email mà nạn nhân thường hay sử dụng như trang của Ngân hàng, của công ty phát hành thẻ tín dụng, ... Email hoặc trang web giả mạo này sẽ đề nghị nạn nhân thay đổi hoặc cung cấp các thông tin bí mật về tài khoản, về mật khẩu,... Các thông tin này sẽ được sử dụng để trộm tiền trực tiếp trong tài khoản hoặc được sử dụng vào các mục đích bất hợp pháp khác.Các cửa sổ pop-up giả mạo hoặc các banner giả mạo, hoặc chứa link đến nơi chứa phần mềm độc hại cũng là một hình thức phishing.

Phishing giả mạo instant message.3.8.2. Virus Hoaxes:

Một malware giả mạo chương trình antivirus, đưa ra các cảnh báo giả về virus khiến người dùng lo lắng

- Giống như tên gọi, virus hoax là các cảnh báo giả về virus. Các cảnh bảo giả này thường núp dưới dạng một yêu cầu khẩn cấp để bảo vệ hệ thống. Mục tiêu của cảnh báo virus giả là cố gắng lôi kéo mọi người gửi cảnh báo càng nhiều càng tốt qua email, hoặc dẫn dụ victim tới nơi chứa malware độc hại (ví dụ: Một malware đội lốt 1 chương trình anti-virus).Bản thân cảnh báo giả không gây nguy hiểm trực tiếp, nhưng những hành động xuẩn ngốc sau đó của người dùng thiếu kinh nghiệm mới chính là thảm họa: Ví dụ những thư gửi cho bạn bè để cảnh báo có thể chữa mã độc hại hoặc trong cảnh báo giả có chứa các chỉ dẫn về thiết lập lại hệ điều hành, xoá file làm nguy hại tới hệ thống....

- Kiểu cảnh báo giả này cũng gây tốn thời gian và quấy rối bộ phận hỗ trợ kỹ thuật khi có quá nhiều người gọi đến và yêu cầu dịch vụ (nâng cấp, đến tận nơi để sửa chữa...).

- Adwares là loại phần mềm quảng cáo, rất hay có ở trong các chương trình cài đặt tải từ trên mạng. Một số phần mềm vô hại, nhưng một số có khả năng hiển thị thông tin kịt màn hình, cưỡng chế người sử dụng. Một số adware cũng chính là malware khi đi kèm thêm với các mã độc hại khác.

- Ransomware: Là loại phần mềm tống tiền sử dụng một hệ thống mật mã để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại. Ransomware cũng có thể sử dụng các kỹ thuật ẩn thân, mạo danh 1 chương trình khác nhằm dụ bạn tải nó về để cài đặt.

4. Cách thức lây truyền

http://1.bp.blogspot.com/-Ydval9x0wew/Uy7oddBeA2I/AAAAAAAAAz0/x2cCF4Jjba4/s1600/virus-hoax.jpg

4.1.Virus lây nhiễm theo cách cổ điển. - Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy

tính là thông qua các thiết bị lưu trữ di động: + USB: Ổ USB flash (ổ cứng di động USB, ổ cứng gắn nhanh cổng

USB), thường được gọi là USB, là thiết bị lưu trữ dữ liệu sử dụng bộ nhớ flash (một dạng IC nhớ hỗ trợ cắm nóng, tháo lắp nhanh) tích hợp với giao tiếp USB (Universal Serial Bus). Chúng có kích thước nhỏ, nhẹ, có thể tháo lắp và ghi lại được. Dung lượng của các ổ USB flash trên thị trường hiện nay có thể lên đến 256 GB và còn có thể lên nữa trong tương lai.

+ DVD,CD: Là một định dạng lưu trữ đĩa quang phổ biến. Công dụng chính của nó là lưu trữ video và lưu trữ dữ liệu.

+ Thẻ nhớ: là một dạng bộ nhớ mở rộng của các thiết bị số cầm tay (Các thiết bị số cầm tay bao gồm: PocketPC, SmartPhone, Điện thoại di động, Thiết bị giải trí số di động, Máy ảnh số, Máy quay số...). thẻ ghi nhớ sử dụng công nghệ flash để ghi dữ liệu. thẻ ghi nhớ thường có kích thước khá nhỏ nên thường sử dụng cho các thiết bị số cầm tay.

+ Ổ cứng di động.+ Điện thoại

a. Thiết bị lưu trữ- Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện

bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.

- Khi chúng ta kết nối các thiết bị số, thiết bị lưu trữ trực tiếp vào máy tính. Virus có sẵn trong các thiết bị lưu trữ sẽ tự động sao chép sang máy tính của bạn theo cơ chế sau:

- Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB hay đĩa mềm của bạn. Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk... ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước.

- Tệp autorun.inf thông thường sẽ có nội dung:[autorun]

open=virus.exeicon=diskicon.ico

- Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa là diskicon.ico. Những tệp này đều nằm ở thư

mục gốc của thiết bị lưu trữ. Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ nẳm ở G:\virus.exe. Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa được config đúng cách.

b. Virus lây từ smartphone sang máy tính- Các chương trình độc hại thường được viết để hoạt động trên một hệ điều

hành nhất định, tuy nhiên, một loại phần mềm gián điệp (spyware) vừa được phát hiện đang tấn công máy tính từ điện thoại di động.

- Đầu năm 2013, các chuyên gia bảo mật cảnh báo về một mã độc có khả năng chạy đa nền tảng (hoạt động được cả trên Android lẫn Windows) ẩn trong ứng dụng DroidCleaner trên kho Google Play. DroidCleaner không phải ứng dụng phổ biến nên được đánh giá là nguy cơ lây nhiễm không rộng.

- Trước tiên, mã độc ẩn trong các ứng dụng như DroidCleaner hay SuperClean sẽ lây nhiễm vào smartphone chạy Android. Sau khi thâm nhập vào điện thoại, nó có thể tự động gửi đi và xóa tin nhắn SMS, kích hoạt Wi-Fi, tập hợp thông tin về thiết bị, mở link tùy ý trên trình duyệt, đăng toàn bộ nội dung trong thẻ SD, SMS, danh bạ, ảnh... lên máy chủ của kẻ phát tán sâu.

Đường đi của mã độc.- Không những thế, mã độc tiếp tục tải về phần mã lệnh có thể lây trên

máy tính dưới dạng các file autorun và file thực thi khác. Chỉ chờ người sử dụng kết nối hai thiết bị với nhau, virus sẽ xâm nhập từ smartphone sang máy tính chạy Windows nếu hệ thống đó bật chế độ autorun, hoặc khi người sử dụng kích hoạt file trong quá trình mở các thư mục. Tại đây, mã độc nhắm vào các phần mềm voice chat như Skype, Yahoo Messenger để ghi lại các đoạn hội thoại và gửi cho hacker.

- Sự xuất hiện của virus này cho thấy ngay cả những việc đơn giản như kết nối điện thoại của mình hoặc của bạn bè vào máy tính để sạc pin hay chia sẻ dữ liệu giờ đây cũng trở nên nguy hiểm. Các chuyên gia bảo mật khuyến cáo, để bảo vệ trước các nguy cơ, người sử dụng cần cài phần mềm diệt virus trên cả hai nền tảng di động và máy tính.

4.2.Virus lây nhiễm qua thư điện tử

- Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.

- Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.

- Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán

đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.

- Phương thức lây nhiễm qua thư điển tử bao gồm:+ Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail).

Khi đó người dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ)

+ Lây nhiễm do mở một liên kết trong thư điện tử. Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.

+ Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này thường khai thác các lỗi của hệ điều hành.

4.3.Virus lây nhiễm qua mạng Internet- Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình

thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay. Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:+ Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm

cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB...) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...

+ Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.

+ Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Windows Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.

4.4.Virus lây nhiễm qua mạng nội bộ LAN (Local Area Network)

- Các máy tính trong mạng LAN thường giao tiếp với nhau một cách "thoải mái" hơn là trong mạng Internet. Vì trong mạng LAN thì các máy tính giống như ở "trong nhà", nên độ tin cậy giữa các máy sẽ cao hơn, nếu một máy tính bị nhiễm virus thì cũng dễ dàng bị hacker lợi dụng để tấn công sang các máy tính khác trong cùng mạng. Mặt khác, các máy tính trong cùng mạng LAN của công ty thường có chung chính sách về an ninh (security) và quan trọng nhất là có môi trường giống nhau (hệ điều hành, các phần mềm cài trên hệ điều hành), nếu xâm nhập được một máy thì dễ dàng đoán ra được các máy khác thế nào, vì thế dễ tấn công hơn so với việc xâm nhập từ xa (không phải thăm dò, thử nghiệm).

- Trong mạng LAN, hacker dễ triển khai các hoạt động như nghe lén (sniffer) hay biến máy tính bị nhiễm virus thành một cổng (gateway) giả mạo, từ đó tất cả thông tin sẽ được chuyển qua máy bị nhiễm virus trước khi ra Internet; hacker theo đó sẽ kiểm soát được các dữ liệu quan trọng, trong đó sẽ có mật khẩu, tài khoản để từ đó xâm nhập vào các máy có dữ liệu quan trọng hơn tiếp theo

- Các cuộc tấn công mạng có thể được phân loại thành 3 kiểu sau đây:+ Tấn công theo kiểu do thám+ Tấn công theo kiểu truy xuất+ Tấn công từ chối dịch vụ

4.4.1. Tấn công theo kiểu do thám:- Là những hành động dùng các công cụ hoặc những thông tin có sẵn dò

tìm các thông tin, các dịch vụ hoặc các lỗ hổng trong hệ thống mạng nào đó. Các hành động này còn được xem là thu thập thông tin và trong nhiều trường hợp đây là những hiện tượng mở đầu cho các tấn công theo kiểu truy nhập hoặc từ chối dịch vụ. Chủ thể tấn công thông thường thực hiện dò tìm các máy nào hiện diện bằng cách ping quét các địa chỉ IP. Sau đó chủ thể này tiếp tục dò tìm các dịch vụ hay các port nào đang mở trên các địa chỉ IP này và sẽ thực hiện yêu cầu (query) trên các port này nhằm xác định loại ứng dụng và version cũng như thông tin về hệ điều hành đang chạy trên máy này.

- Tấn công theo kiểu do thám có thể có những dạng sau:+ Bắt gói packet (packet sniffing)+ Dò port (port scan)+ Ping quét (Ping sweep)+ Thực hiện yêu cầu thông tin Internet (Internet Information queries)

4.4.1.1.Bắt gói packet (packet sniffing):

- Đây thực chất là một ứng dụng sử dụng NIC mạng cho hoạt động ở mode promicuous nhằm để giữ lại tất cả những gói packet đi qua LAN (cùng collision domain). Cách bắt gói như thế này chỉ tận dụng các thông tin được gửi đi theo dạng text (clear text) (ví dụ các giao thức sau gửi thông tin trong gói ở dạng clear text : Telnet, FTP, SNMP, POP, HTTP …). Các chương trình này có thể được thiết kể theo kiểu tổng quát hay theo kiểu chuyên dùng cho các cuộc tấn công.

- Một số cách làm giảm đi khả năng bắt gói trong hệ thống mạng:

- Xác thực người dùng : lựa chọn đầu tiên cho việc chống lại các công cụ bắt gói trong hệ thống mạng là sử dụng cơ chế xác thực người dùng chẳng hạn như mật khẩu chỉ dùng 1 lần (one-time password).

- Hiện thực hệ thống switch trong mạng: hiện thực hệ thống switch trong mạng LAN có thể làm giảm việc bắt gói trong mạng

- Sử dụng những công cụ chống / nhận dạng các phần mềm bắt gói có trong hệ thống của mình.

- Mã hoá dữ liệu: làm cho các công cụ bắt gói trở nên vô hiệu và được xem là hiệu quả nhất để chống lại kiểu tấn công này. Nếu kênh thông tin được bảo mật chặt chẽ, dữ liệu mà các công cụ bắt gói này có được là những dữ liệu đã được mã hóa. Một số công cụ như SSH (Secure Shell Protocol) và SSL (Secure socket Layer) có sử dụng cơ chế mã hóa cho các dữ liệu quản lý của mình để chống lại các tấn công theo kiểu này.

4.4.1.2.Dò port và Ping quét:- Đây là những ứng dụng nhằm kiểm tra thiết bị nào đó với mục đích nhận

dạng tất cả các dịch vụ trên thiết bị này. Thông tin có được từ việc thu thập các thông tin về địa chỉ IP và Port từ các port TCP hay UDP.

- Cách làm giảm các tấn công kiểu dò port và ping quét- Tấn công theo kiểu dò port và ping quét rất khó loại bỏ hoàn toàn trong

hệ thống mạng ví dụ nếu tắt đi ICMP echo và reply trên router thì ping quét có thể bị loại bỏ nhưng lại gây khó khăn cho người quản trị trong việc chẩn đoán / kiểm tra kết nối khi có sự cố xảy ra. Tuy nhiên tấn công quét port vẫn có thể hoạt động mà không cần ping quét đi kèm. Một số thiết bị phát hiện xâm nhập (IDS) có thể thông báo cho người quản trị khi phát hiện được đang có các tấn công do thám xảy ra.

4.4.1.3.Thực hiện yêu cầu dò tìm thông tin trên Internet- Các yêu cầu về tên miền (DNS queries) có thể giúp phát hiện một số

thông tin chẳng hạn như ai đang sở hữu tên miền và các địa chỉ nào được

dùng cho tên miền đó. Ping quét các địa chỉ này sẽ giúp cho chủ thể tấn công có một cái nhìn tổng quát về những thiết bị nào đang “sống” trong môi trường này. Khi đó, các công cụ quét port có thể phát hiện được những dịch vụ nào đang chạy trên các máy này. Cuối cùng, hacker có thể giám sát các đặc tính của các ứng dụng chạy trên máy cụ thể nào đó, bước này có thể dẫn đến việc thu thập một số thông tin để gây tổn hại đến dịch vụ đó.

- Việc dò tìm địa chỉ IP như trên có thể biết được những thông tin như ai đang sở hữu những địa chỉ IP nào và tên domain liên kết tới những địa chỉ này.

4.4.2. Tấn công theo kiểu truy xuất và một số phương pháp làm giảm kiểu tấn công này.

- Tấn công theo kiểu truy xuất khai thác những lổ hỗng trong các dịch vụ xác thực, FTP, Web … để lấy các dữ liệu như các tài khoản đăng nhập Web, các cơ sở dữ liệu nội bộ hoặc các thông tin nhạy cảm. Ngoài ra, chủ thể tấn công còn có thể nắm quyền truy nhập và tự làm tăng quyền truy xuất vào hệ thống.

- Tấn công theo kiểu này bao gồm những dạng sau:+ Tấn công dò tìm mật khẩu+ Khai thác những điểm đáng tin cậy+ Chuyển hướng port ứng dụng+ Tấn công theo kiểu man-in-the-middle attack

4.4.2.1.Tấn công dò tìm mật khẩu- Hacker có thể dò tìm mật khẩu sử dụng một vài cách thức như: tấn công

theo kiểu Brute-force, dùng các chương trình Trojan horse, các công cụ bắt gói hay kỹ thuật IP Spoofing. Mặc dù các kỹ thuật bắt gói hay IP Spoofing có thể giúp tìm ra được tài khoản của người sử dụng (username, password), tấn công dò tìm mật khẩu luôn luôn liên hệ tới việc thử-và-sai lặp đi lặp lại thông tin tài khoản, kiểu này còn được gọi là tấn công theo kiểu Brute-force.

- Thông thường tấn công theo kiểu brute-force được thực hiện dưới dạng sử dụng chương trình chạy qua mạng và thử truy xuất vào các tài nguyên chia sẻ trên các server. Khi chủ thể tấn công truy nhập vào được các tài nguyên này, chủ thể này có cùng quyền với tài khoản mà mình đang sử dụng. Nếu tài khoản này có đủ quyền hạng, chủ thể tấn công có thể tạo những lỗ hổng truy xuất riêng cho mình vào hệ thống mà không cần thay đổi gì đến tài khoản của người sử dụng. Tấn công Brute-Force có thể xâm nhập và chỉnh sửa các file và các dịch vụ mạng, hoặc bổ sung bảng tìm đường làm cho traffic mạng chuyển hướng đến chủ thể tấn công trước khi chúng đi đến đích đến cuối cùng. Trường hợp này, chủ thể tấn

công có thể giám sát tất cả traffic mạng, trở thành một dạng tấn công man-in-the-middle.

- Ví dụ:- Chương trình L0phtCrack có thể lấy dữ liệu dạng băm (hash) của mật

khẩu và khôi phục lại dạng text. Đây là 2 cách tính toán mật khẩu mà chương trình này sử dụng:

- Crack dò tìm theo kiểu từ điển (Dictionary cracking): tất cả các từ trong 1 file từ điển được băm và so sánh với tất cả mật khẩu được băm của người sử dụng. Cách này tương đối nhanh và rất hiệu quả trong việc dò tìm những mật khẩu đơn giản.

- Tính toán theo kiểu Brute-Force: bằng việc sử dụng một tập ký tự đặc biệt, như A-Z hoặc A-Z cùng 0-9, và tính toán ra giá trị băm từ việc kết hợp các ký tự này với nhau. Cách này sẽ luôn tìm ra mật khẩu nếu và chỉ nếu các ký tự có trong mật khẩu nằm trong tập ký tự được chọn. Nhược điểm là tốn rất nhiều thời gian khi sử dụng cách này.

- Cách làm giảm tấn công dò tìm mật khẩu:- Không cho phép người sử dụng dùng cùng mật khẩu trên những hệ thống

khác nhau.- Vô hiệu hóa tài khoản của người sử dụng sau một số lần xác thực không

thành công.- Không sử dụng mật khẩu dạng text. Nên sử dụng các loại mật khẩu chỉ

dùng một lần (One-time password OTP) hoặc các mật khẩu đã được mã hóa.

- Đặt mật khẩu có ít nhất 8 ký tự trong đó có chứa ký tự in hoa, ký tự thường, ký tự số và các ký tự đặc biệt. (“strong” password).

4.4.2.2.Khai thác những điểm được xem là tin cậy trong hệ thống mạng:

- Một trong những ví dụ về các điểm được xem là đáng tin cậy đó là một hệ thống mạng có chứa các dịch vụ như DNS, SMTP, và HTTP. Do tất cả các server nằm chung trên một segment mạng nên khi có một máy A bị tấn công cũng có thể dẫn đến các máy khác cũng bị tấn công do các hệ thống này xem A là thiết bị đáng tin cậy (ví dụ như domain hoặc Active Directory trong hệ thống Windows hay NFS và NIS+ trong hệ thống Linux và Unix).

- Một ví dụ khác là một máy ở vùng bên ngoài (outside) thiết bị firewall xây dựng được mối liên hệ tin cậy với các thiết bị ở vùng mạng bên trong (inside). Khi máy này bị tấn công thì chủ thể tấn công có thể tận dụng các mối liên hệ tin cậy này để tiếp tục tấn công vào hệ thống bên trong.

- Cách làm giảm tấn công :

- Cách hay nhất để hạn chế tấn công theo kiểu này đó là các hệ thống ở vùng bên trong của firewall không nên tin / xây dựng các mối quan hệ đáng tin cậy so với các hệ thống bên ngoài của firewall. Và các mối liên

http://www.vnpro.vn/wp-content/uploads/2014/10/Mitigating-Network-Attack-03.jpg

hệ đáng tin cậy nếu có xây dựng thì chỉ giới hạn cho những giao thức cụ thể và độ tin cậy nên được đánh giá bởi những yếu tố khác với địa chỉ IP.

4.4.2.3.Chuyển hướng port ứng dụng:

- Đây cũng là kiểu tấn công khai thác những điểm đáng tin cậy trong mạng, tấn công theo kiểu này dùng một máy bị tấn công nằm ở vùng bên trong của firewall để chuyển traffic của mình “lọt” qua firewall. Ví dụ một firewall có 3 giao tiếp: vùng bên trong (inside), vùng bên ngoài (outside) và vùng trung lập (DMZ). Một máy ở vùng bên ngoài có thể liên lạc dữ liệu với máy ở khu vực trung lập (DMZ), nhưng không thể giao tiếp được với máy ở vùng bên trong của firewall. Máy tính ở vùng trung lập có thể giao tiếp với cả vùng bên trong và bên ngoài. Nếu hacker có thể tấn công được vào máy tính nằm ở vùng trung lập (DMZ), hacker có thể cài đặt các phần mềm nhằm chuyển hướng traffic mạng từ máy tính ở vùng bên ngoài, thông qua máy ở vùng trung lập, đi đến máy tính ở vùng bên trong. Mặc dù firewall không phát hiện những xâm nhập đang diễn ra, máy tính ở vùng bên ngoài vẫn thiết lập kết nối dữ liệu được với máy ở vùng bên trong thông qua quá trình chuyển hướng port ứng dụng trên thiết bị ở vùng trung lập.

- Chuyển hướng port ứng dụng có thể bị hạn chế thông qua việc sử dụng các mô hình xây dựng mức độ tin tưởng giữa các thiết bị một cách đúng đắn nhưng mang đặc tính riêng biệt ở những hệ thống mạng khác nhau. Ví dụ khi có tấn công xảy ra, một thiết bị phát hiện xâm nhập có thể giúp phát hiện ra hacker và ngăn chặn việc cài đặt các chương trình chuyển hướng port vào máy tính.

4.4.2.4.Tấn công theo kiểu man-in-the-middle attack:

- Tấn công theo kiểu này đòi hỏi hacker trước tiên phải có quyền truy nhập và có khả năng xem xét các gói dữ liệu chạy trên mạng. Man-in-the-middle attack được hiện thực sử dụng các công cụ bắt các gói tin hoặc các thông tin tìm đường và các thông tin ở tầng transport. Khi sử dụng cách thức tấn công này, các hành động đi kèm thông thường là:+ Đánh cắp thông tin+ Chiếm và thay đổi quyền điều khiển các phiên (session) trao đổi dữ

liệu+ Phân tích các traffic có trên mạng+ Từ chối dịch vụ+ Sửa đổi các dữ liệu được truyền đi+ Chỉnh sửa và thêm vào các thông tin giữa các phiên trao đổi dữ liệu

trên mạng.- Một ví dụ của tấn công loại này là chủ thể tấn công làm việc cho các ISP

và có thể thấy và truy xuất được tất cả các traffic giữa các công ty.- Cách hạn chế :

- Cách hạn chế hiệu quả nhất đối với tấn công theo kiểu man-in-the-middle attack là mã hoá dữ liệu truyền qua lại giữa các hệ thống mạng (IPSec Tunnel).

4.4.2.5.Tấn công từ chối dịch vụ và cách hạn chế:- Tấn công từ chối dịch vụ xảy ra khi kẻ xâm nhập tấn công theo cách gây

tổn hại đến hệ thống mạng của bạn hoặc làm từ chối việc truy xuất vào các tài nguyên, hệ thống hoặc dịch vụ của chính mình. Đây là dạng tấn công được xem như là phổ biến nhất và rất khó trong việc loại bỏ hoàn toàn. Ngay cả trong thế giới của hacker, tấn công từ chối dịch vụ được xem là tầm thường và không hay bởi vì quá dễ để thực hiện. Tuy vậy, do quá dễ để hiện thực nhưng lại gây hậu quả rất lớn nên được giới quản trị

bảo mật mạng đặc biệt chú ý. Tấn công từ chối dịch vụ có thể có những dạng sau:+ IP Spoofing+ Tấn công từ chối dịch vụ (DoS) và tấn công từ chối dịch vụ phân tán

(DDoS – Distributed-Denial-Of-Service Attack)- Tấn công theo kiểu IP Spoofing:

+ Tấn công IP Spoofing xảy ra khi chủ thể tấn công ở bên ngoài hoặc bên trong hệ thống của bạn dùng địa chỉ IP thuộc không gian IP bên trong hệ thống của bạn hoặc dùng địa chỉ IP bên ngoài nhưng được hệ thống của bạn xác thực là tin cậy và bạn muốn cấp quyền truy xuất vào tài nguyên nhất định cho những IP này. Thông thường tấn công theo kiểu IP Spoofing chỉ giới hạn tới mức thêm vào thông tin hoặc những câu lệnh của hacker vào trong dữ liệu có sẵn giữa các ứng dụng client – server hay các kết nối ngang hàng. Nhằm cho phép việc truyền nhận dữ liệu được tiến hành theo 2 chiều, hacker phải thay đổi tất cả các thông tin trong bảng tìm đường trên router để chỉ đến địa chỉ Spoof, một cách tiếp cận khác là hacker không quan tâm đến việc nhận các đáp ứng từ các ứng dụng này. Ví dụ, nếu hacker chỉ quan tâm đến việc làm cho hệ thống mail cho mình một file chứa các thông tin nhạy cảm, các đáp ứng từ các ứng dụng khác là không quan trọng.

+ Tuy nhiên, nếu chủ thể tấn công đã thay đổi được thông tin trong bảng tìm đường của router chỉ đến địa chỉ IP Spoof, hacker có thể nhận tất cả các gói tin trên mạng đi đến địa chỉ IP Spoof và thực hiện việc đáp ứng trả lời cho các gói tin này giống như thiết bị bình thường.

- Cách hạn chế:- Nguy cơ của IP Spoofing có thể được hạn chế, chứ không hoàn toàn bị

loại bỏ thông qua một số phương thức sau:+ Điều khiển các truy nhập vào hệ thống : đây là cách thông thường

nhất để ngăn chặn IP Spoofing+ Lọc theo RFC 2827: Ngăn chặn bất kỳ traffic nào xuất phát từ trong

hệ thống mạng của bạn đi ra bên ngoài mà có địa chỉ IP nguồn không nằm trong vùng không gian địa chỉ của hệ thống, mục đích của việc này là ngăn chặn những người sử dụng trong hệ thống mạng của công ty tiến hành tấn công IP Spoofing đối với các hệ thống khác.

+ Thêm các tính năng xác thực: IP Spoofing chỉ có thể hoạt động hiệu quả chỉ khi các thiết bị xác thực dựa chủ yếu trên kiểu IP (tức là kiểm tra có phải người gửi xuất phát từ đúng địa chỉ IP hay không). Do đó, nếu sử dụng thêm một số cách thức xác thực khác như mã hoá dữ liệu, sử dụng các mật khẩu đủ dài, kết hợp nhiều ký tự hoặc mật khẩu chỉ dùng một lần (One-time password), thì vấn đề hạn chế cách tấn công

theo kiểu IP Spoofing sẽ trở nên hiệu quả hơn.- Tấn công theo kiểu từ chối dịch vụ DoS:

+ Tấn công theo kiểu từ chối dịch vụ có sự khác biệt so với các kiểu tấn công khác bởi vì mục đích không nhằm vào việc chiếm quyền truy xuất vào hệ thống của bạn để lấy thông tin. Tấn công theo kiểu này tập trung vào việc làm cho dịch vụ nào đó trong hệ thống mạng của bạn không còn khả năng đáp ứng hay phục vụ cho các yêu cầu dịch vụ như bình thường, việc này được thực hiện bằng cách làm cạn kiệt các tài nguyên trong hệ thống mạng, trong các hệ điều hành hoặc các ứng dụng đầu cuối. Tấn công theo kiểu này lại rất dễ được thực hiện bởi vì chúng thông thường tận dụng các yếu điểm của các giao thức hay dựa vào các traffic mạng được cho phép lưu thông trong hệ thống mạng của bạn, do đó từ chối dịch vụ được xem là khó loại bỏ hoàn toàn trong hệ thống mạng.

+ Tấn công từ chối dịch vụ phân tán (DDoS) là thế hệ tiếp theo của kiểu tấn công từ chối dịch vụ trước đây. Tuy nhiên, cách tấn công không phải là mới – gây tràn các gói tin đồng bộ TCP và UDP SYN, các gói tin ICMP echo, và các gói tin directed broadcast – nhưng phạm vi của các cuộc tấn công này hoàn toàn mới. Nạn nhân của kiểu tấn công DDoS sẽ gặp rất nhiều gói tin (hiện tượng tràn – flooding) từ nhiều nguồn xuất phát khác nhau, đa số là các gói tin dạng IP Spoof, làm cho các kết nối trong hệ thống mạng bị nghẽn và ùn tắc dữ liệu nặng nề. Với các công cụ DDoS, hacker có thể gây ra cùng một dạng tấn công trên hàng ngàn hệ thống.

+ Ở hình trên, hacker sử dụng thiết bị đầu cuối để dò tìm các hệ thống cần tấn công. Khi xâm nhập được trực tiếp vào bên trong các hệ thống

này (còn gọi là hệ trung gian), hacker sẽ cài đặt các chương trình có khả năng dò tìm, xâm nhập phá hoại và gây ảnh hưởng lên một số máy tính từ xa. Khi các máy tính từ xa đã bị nhiễm và có khả năng truy nhập bởi hacker, hacker sẽ tiến hành chạy những chương trình tấn công từ xa để thực hiện tấn công từ chối dịch vụ trên hệ thống.

- Các nguy cơ bị tấn công từ chối dịch vụ có thể được hạn chế sử dụng 3 cách sau:+ Dùng các tính năng chống Spoof (AntiSpoof): thiết lập những chính

sách đúng đắn dùng các tính năng chống Spoof trên các thiết bị router và switch có thể làm giảm nguy cơ cho hệ thống mạng của bạn. Các chính sách này nên dùng tối thiểu là theo cách lọc dữ liệu của RFC 2827. Nếu hacker không thể che dấu được định danh của mình, thì họ ít khi tiến hành tấn công.

+ Dùng các tính năng chống tấn công từ chối dịch vụ: cách này sẽ giúp làm giảm độ mức độ hiệu quả của tấn công mạng, thông thường liên quan đến việc giới hạn số lượng kết nối (TCP, application..) không trọn vẹn mà hệ thống cho phép tại một thời điểm.

+ Giới hạn lưu lượng traffic trên mạng (có thể hiện thực tương ứng với các ISP): tính năng này giới hạn lưu lượng những traffic không cần thiết chạy trên segment mạng dưới 1 tốc độ nào đó. Một trong những ví dụ là bạn giới hạn lượng traffic ICMP cho phép trong hệ thống mạng bởi vì ICMP dùng chủ yếu cho việc kiểm tra, chẩn đoán các kết nối mạng. Tấn công từ chối dịch vụ sử dụng ICMP cũng là một trong những tấn công thông thường.

5. Cách nhận biết máy tính bị nhiễm virus, malware.- Trên đây là một số dấu hiệu bất thường báo động sự mất an toàn dữ liệu

của bạn.5.1.Hoạt động chậm chạp và hay gặp lỗi ứng dụng.- Máy tính hoạt động, truy xuất tập tin, ứng dụng chậm chạp và thường xuyên có lỗi bất thường, có nhiều nguyên nhân dẫn tới điều này...Tuy nhiên, virus tấn công vẫn là nguyên nhân phổ biến hàng đầu gây ra sự chậm chạp cho máy tính của bạn. Khi máy tính nhiễm virus, đối với các loại virus không có biểu hiện bên ngoài và âm thầm hoạt động, chúng sẽ ngốn một lượng tài nguyên nhất định trên bộ nhớ RAM và làm máy tính của bạn chậm chạp. Để phát hiện chúng, hãy thử vào task manager và kiểm tra xem thành phần nào hoạt động ngầm bất thường và đang "ngốn" RAM trên máy tính và kiếm ngay một công cụ diệt virus và xử lý chúng khẩn cấp. Tất nhiên, khi xử lý được hoàn toàn vấn đề, chiếc máy tính của bạn sẽ được cải thiện đáng kể tốc độ làm việc đó.

5.2.Xuất hiện Popup bất thường.- Các trang popup quảng cáo xuất hiện ngay cả khi không bật trình duyệt.

Các phần mềm adware tấn công nạn nhân bằng các cửa sổ, trang popup quảng cáo. Đôi khi chúng quảng cáo cho các sản phẩm hợp pháp nhưng đôi khi chúng lại chứa các đường dẫn tới các trang web độc hại, các trang web đó sẽ lây nhiễm thêm nhiều phần mềm độc hại khác cho máy tính của bạn.

-5.3.Màn hình desktop, icon bị thay đổi.- Màn hình desktop bị thay đổi thành một hình ảnh lạ bất thường hoặc các

icon ứng dụng của bạn thì bị vô hiệu hóa hoặc là bị đổi tất thành một dạng file media như file nhạc, file video và đồng thời, chức năng của ứng dụng cũng không thể truy cập được...Đây là một dạng virus khá phổ biến và đôi khi, nếu phát hiện muộn, trình diệt virus của bạn cũng có thể bị chúng xơi tái.

5.4.Bị điều hướng tới các website bất thường.- Điều hướng trình duyệt bị thay đổi. Không hẳn tất cả các trang web được

điều hướng tới đều là các trang web độc hại, nhưng nếu bạn đang muốn truy cập vào Google mà lại bị chuyển hướng tới một trang tìm kiếm lạ mắt thì gần như chắc chắn máy tính của bạn đang gặp vấn đề. Đôi khi các phần mềm độc hại sử dụng phương thức chuyển hướng rất tinh vi.Ví dụ, một trojan dịch vụ ngân hàng có thể chuyển hướng trình duyệt của bạn tới một trang web giả mạo được thiết kế giống hệt trang web ngân hàng thật sự của bạn. Khi đó đầu mối duy nhất của bạn là đường dẫn URL xa lạ trong thanh địa chỉ.

5.5.Bạn đã tải nhầm một công cụ bảo vệ máy tính giả mạo.- Chương trình bảo mật bạn chưa bao giờ cài đặt trên máy đưa ra những

cảnh báo đáng sợ. Tạo ra và phân phối các chương trình chống virus giả mạo là một loại hình kinh doanh sinh lợi cao. Những thủ phạm sử dụng phương thức tấn công từ phần mềm tải về hoặc các kỹ thuật tấn công lén lút khác để cài đặt phần mềm chống virus giả mạo lên trên máy của bạn, tiếp đó phần mềm diệt virus giả mạo sẽ thông báo những cảnh báo đáng sợ về những mối đe doạ hư cấu.

- Có thể bạn sẽ phải đăng ký và thanh toán một khoản tiền để công cụ này thực hiện "khắc phục" các vấn đề cho bạn. Và tất nhiên quá trình quét malware với phần mềm chống virus giả mạo này sẽ diễn ra rất nhanh vì thực sự nó chẳng làm bất cứ điều gì.

-

5.6.Đường link bất thường trên các mạng xã hội, thư điện tử.- Có những bài viết lạ xuất hiện trên các trang mạng xã hội của bạn mà

không phải do bạn chia sẻ. Malware lây lan qua Facebook và các mạng xã hội khác bằng cách tạo ra các bài viết giả mạo. Đôi khi malware còn

tự động gửi tin nhắn inbox cho bạn bè của bạn trên các mạng xã hội. Thông thường những bài viết và những tin nhắn này thường là những tuyên bố dễ gây kích động về các vấn đề mà nhiều người quan tâm. Bất cứ ai bị kích động và nhấp vào đường dẫn sẽ trở thành nạn nhân tiếp theo.

- Tất nhiên, nếu bạn đã bị dính rồi thì sẽ thấy hiệu ứng ngay lập tức, tài khoản facebook của bạn sẽ tự động comment tới các status của người khác, inbox bừa bãi tới tất cả bạn bè một nội dung nhạy cảm và ngoài cách diệt sạch virus và cài lại trình duyệt thì bạn không có cách nào để ngăn chặn chúng.

-- Đây cũng là cách thức mà Sâu internet - Worm lây lan qua email, dạng

virus này sẽ phát tán bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó lây nhiễm và tự gửi chính nó qua email tới những địa chỉ tìm được và tất nhiên, tốc độ lây lan của nó sẽ là cấp số nhân.

- Do đó, hãy cảnh giác với các địa chỉ bất thường được chia sẻ trên mạng xã hội hay bức mail có nội dung bất thường mà bạn nhận được dù đó là từ một người bạn thân gửi cho bạn...

5.7.Đột nhiên bạn không thể sử dụng các công cụ hệ thống phổ biến. - Một người dùng thông thạo máy tính nghi ngờ rằng máy tính của mình bị

nhiễm malware có thể khởi động Task Manager để điều tra, hoặc kiểm tra các thiết lập bằng Registry Editor. Nếu đột nhiên khi bạn cố gắng sử dụng các công cụ trên và các công cụ hệ thống khác bạn nhận được thông báo rằng quyền truy cập đã bị khoá bởi người quản trị, điều đó có nghĩa là máy tính của bạn đã bị nhiễm malware và chúng đang thực hiện những nỗ lực để tự bảo vệ mình.

-5.8.Xuất hiện file lạ khi cắm USB vào máy tính.- Một trong những cách thức đơn giản và thường gặp nhất đó là chúng tạo

ra những file autorun.inf để rồi chính tay bạn sẽ kích hoạt những con virus phá hoại này mỗi khi không đề phòng.

-

- Về cơ bản, những virus này sẽ tạo ra một file với tên gọi autorun.inf. Khi gặp phải những virus loại này, có thể chúng chưa thực sự phát tán ra khắp hệ thống của bạn cho đến khi bạn chạy những file autorun.inf. Bên trong file autorun.inf sẽ có một đường dẫn của virus thực sự. Khi bạn mở 1 phân vùng ổ đĩa từ My Computer mà phân vùng ổ đĩa này chứa file autorun.inf thì đồng nghĩa với việc bạn đã kích hoạt virus bên trong nó.

- Do đó, bất cứ một file nghi vấn nào bất thường xuất hiện trên máy tính sau khi cắm USB cũng là dấu hiệu đáng lo ngại đối với bạn, hãy cẩn trọng và tìm gấp một biện pháp bảo mật để quét và xử lý vấn đề này trước khi quá muộn nhé.

5.9.Máy tính bị kiểm soát.- Xuất hiện một chương trình kiểm soát máy tính của bạn và đòi tiền

chuộc. Một số malware kiểm soát máy tính hoặc dữ liệu của bạn theo đúng nghĩa đen và đòi tiền chuộc từ phía bạn. Một số malware đòi tiền chuộc công khai rằng nó có thể sẽ mã hoá toàn bộ hình ảnh và tài liệu của bạn và nó muốn bạn trả tiền để có thể nhận lại hình ảnh và tài liệu. Một số malware khác lại cố gắng che giấu những gì chúng đang làm. Ví dụ, chúng có thể hiển thị một cảnh báo giả mạo từ FBI rằng máy tính của bạn được đã sử dụng để gửi thư rác và bạn cần trả tiền phạt để có thể tiếp tục sử dụng nó. Tất nhiên, ngay cả khi bạn đã trả tiền, hệ thống của bạn cũng có thể sẽ không trở lại tình trạng ban đầu.

5.10. Mất kiểm soát đối với các công cụ hệ thống phổ biến trên hệ điều hành.- Đột nhiên bạn không thể sử dụng các công cụ hệ thống phổ biến. Một

người dùng thông thạo máy tính nghi ngờ rằng máy tính của mình bị nhiễm malware có thể khởi động Task Manager để điều tra, hoặc kiểm tra các thiết lập bằng Registry Editor. Nếu đột nhiên khi bạn cố gắng sử dụng các công cụ trên và các công cụ hệ thống khác bạn nhận được thông báo rằng quyền truy cập đã bị khoá bởi người quản trị, điều đó có nghĩa là máy tính của bạn đã bị nhiễm malware và chúng đang thực hiện những nỗ lực để tự bảo vệ mình.

-5.11. Chẳng có dấu hiệu gì cả.- Tất nhiên, điều 10 này không giúp bạn nhận ra bất cứ điều gì. Tuy nhiên,

ý nghĩa của dấu hiệu 10 ở đây muốn nhắn gửi tới các bạn là hãy luôn

cảnh giác trước internet, trước các phần mềm lạ, hãy biết cách tự trang bị cho hệ thống của mình một bộ phần mềm bảo mật có uy tín dù cho hiện tại mọi thứ dường như hoàn toàn bình thường.

- Một số loại malware làm tất cả mọi cách để ẩn đi tất cả các hoạt động và không để lại những dấu vết có thể nhìn thấy được. Ngay cả khi bạn không nhận thấy bất cứ điều gì bất thường, máy tính của bạn vẫn có thể là nơi trú ngụ của một con bot, nó lặng lẽ chờ đợi hướng dẫn từ hệ thống điều khiển, hay những trojan được điều khiển từ xa nhằm ăn cắp những thông tin cá nhân của bạn.

6. Cách phòng tránh ngăn ngừa hậu quả của Malware.6.1. Tường lửa (Firewall).

- Thuật ngữ FireWall có nguồn gốc từ một kỹ thuật thiết kế trong xây dựng để ngăn chặn, hạn chế hoả hoạn. Trong Công nghệ mạng thông tin, FireWall là một kỹ thuật được tích hợp vào hệ thống mạng để chống lại sự truy cập trái phép nhằm bảo vệ các nguồn thông tin nội bộ cũng như hạn chế sự xâm nhập vào hệ thông của một số thông tin khác không mong muốn.

- Internet FireWall là một tập hợp thiết bị (bao gồm phần cứng và phần mềm) được đặt giữa mạng của một tổ chức, một công ty, hay một quốc gia (Intranet) và Internet.

- Trong một số trường hợp, Firewall có thể được thiết lập ở trong cùng một mạng nội bộ và cô lập các miền an toàn. Ví dụ như mô hình dưới đây thể hiện một mạng Firewall để ngăn cách phòng máy, người sử dụng và Internet.

6.1.1. Firewall cứng.- Firewall cứng: Là những firewall được tích hợp trên Router.

- Đặc điểm của Firewall cứng:+ Không được linh hoạt như Firewall mềm: (Không thể thêm chức

năng, thêm quy tắc như firewall mềm)+ Firewall cứng hoạt động ở tầng thấp hơn Firewall mềm (Tầng

Network và tầng Transport)+ Firewall cứng không thể kiểm tra được nột dung của gói tin.+ Ví dụ Firewall cứng: NAT (Network Address Translate).

6.1.2. Firewall mềm.- Firewall mềm: Là những Firewall được cài đặt trên Server.

- Đặc điểm của Firewall mềm:+ Tính linh hoạt cao: Có thể thêm, bớt các quy tắc, các chức năng.+ Firewall mềm hoạt động ở tầng cao hơn Firewall cứng (tầng ứng

dụng)+ Firewall mềm có thể kiểm tra được nội dung của gói tin (thông qua

các từ khóa).+ Ví dụ về Firewall mềm: Zone Alarm, Norton Firewall…

6.1.3. Chức năng FireWall.- FireWall bảo vệ chống lại những sự tấn công từ bên ngoài.- Tấn công trực tiếp:

+ Cách thứ nhất là dùng phương pháp dò mật khẩu trực tiếp. Thông qua các chương trình dò tìm mật khẩu với một số thông tin về người sử dụng như ngày sinh, tuổi, địa chỉ v.v…và kết hợp với thư viện do người dùng tạo ra, kẻ tấn công có thể dò được mật khẩu của bạn. Trong một số trường hợp khả năng thành công có thể lên tới 30%. Ví dụ như chương trình dò tìm mật khẩu chạy trên hệ điều hành Unix có tên là *****.

+ Cách thứ hai là sử dụng lỗi của các chương trình ứng dụng và bản thân hệ điều hành đã được sử dụng từ những vụ tấn công đầu tiên và vẫn được để chiếm quyền truy cập (có được quyền của người quản trị hệ thống).

- Ghe trộm: Có thể biết được tên, mật khẩu, các thông tin chuyền qua mạng thông qua các chương trình cho phép đưa vỉ giao tiếp mạng (NIC) vào chế độ nhận toàn bộ các thông tin lưu truyền qua mạng.

- Giả mạo địa chỉ IP.- Vô hiệu hoá các chức năng của hệ thống (deny service). Đây là kiểu tấn

công nhằm làm tê liệt toàn bộ hệ thống không cho nó thực hiện các chức năng mà nó được thiết kế. Kiểu tấn công này không thể ngăn chặn được do những phương tiện tổ chức tấn công cũng chính là các phương tiện để làm việc và truy nhập thông tin trên mạng.

- Lỗi người quản trị hệ thống.- Yếu tố con người với những tính cách chủ quan và không hiểu rõ tầm

quan trọng của việc bảo mật hệ thống nên dễ dàng để lộ các thông tin quan trọng cho hacker.

- Ngày nay, trình độ của các hacker ngày càng giỏi hơn, trong khi đó các hệ thống mạng vẫn còn chậm chạp trong việc xử lý các lỗ hổng của mình. Điều này đòi hỏi người quản trị mạng phải có kiến thức tốt về bảo mật mạng để có thể giữ vững an toàn cho thông tin của hệ thống. Đối với người dùng cá nhân, họ không thể biết hết các thủ thuật để tự xây dựng cho mình một Firewall, nhưng cũng nên hiểu rõ tầm quan trọng của bảo

mật thông tin cho mỗi cá nhân, qua đó tự tìm hiểu để biết một số cách phòng tránh những sự tấn công đơn giản của các hacker. Vấn đề là ý thức, khi đã có ý thức để phòng tránh thì khả năng an toàn sẽ cao hơn.

6.2. Update Windows.- Windows Update là tính năng quan trọng, giúp người dùng liên tục được

cập nhật những bản vá lỗi, lỗ hổng bảo mật quan trọng giúp hệ thống của bạn an toàn khi làm việc. Tuy nhiên, Windows Update cũng có thể gây ra một số vấn đề trên hệ thống, đặc biệt là liên tục “cằn nhằn” yêu cầu bạn phải khởi động lại trong khi bạn đang phải sử dụng máy tính.

- Tuy nhiên bạn có thể thay đổi các thiết lập của Windows Update để tính năng này làm việc theo cách mà bạn muốn.

- Truy cập Windows Update- Để mở Windows Update, bạn bấm phím Windows trên bàn phím, sau đó

nhập từ khóa khung“Update” vào khung Search. Sau đó bấm chọn mục Windows Update từ kết quả tìm kiếm dưới nhóm Programs.

- Trên Windows 8, phải bấm vào tùy chọn Settings trước khi bạn nhìn thấy shortcut Windows Update.

- Nếu bạn đã thiết lập để tính năng Update không thực hiện tự động, bạn có thể bấm vào liên kết Check for updates ở bên trái để kiểm tra các bản cập nhật mới thủ công và nhấn vào nút Install để cài đặt bản cập nhật bất kỳ cho Windows.

- Thông thường Microsoft sẽ phát hành các bản vá Windows Update mới nhất vào ngày thứ ba đầu tiên của mỗi tháng gọi là "Patch Tuesday". Điều này cho phép các quản trị viên hệ thống lên lịch trình để cập nhật Windows đúng thời điểm ngay khi bản cập nhật được cung cấp.

- Tuy nhiên, nếu một lỗ hổng bảo mật trên hệ thống được phát hiện và đang được các hacker khai thác để tấn công hệ thống, các bản vá lỗi bảo mật quan trọng có thể được phát hành ngay lập tức, vì vậy các bản vá lỗi cho Windows có thể được cung cấp ở bất kỳ điểm nào trong tháng.

-

-

6.2.1. Kích hoạt tự động cập nhật hệ thống- Để cho phép Windows tự động cập nhật, bạn bấm vào liên kết Change

settings ở góc trên cùng bên trái trong cửa sổ Windows Update, sau đó chọn một trong các tùy chọn sau:

6.2.1.1.Install updates automatically: - Windows sẽ tự động kiểm tra, tải về và cài đặt bản cập nhật tại thời điểm

bạn chọn. Máy tính của bạn sẽ tự động cập nhật mà không cần phải thực hiện bất kỳ thao tác nào, nhưng Windows sẽ hiển thị thông báo yêu cầu bạn phải khởi động lại máy tính sau khi quá trình tải và cài đặt các bản cập nhật được thực hiện. Nếu bạn rời khỏi máy tính, Windows sẽ tự động khởi động lại hệ thống mà không cần sự đồng ý của bạn.

6.2.1.2.Download updates but let me choose when to install them:- Windows sẽ kiểm tra các bản cập nhật mới và tải chúng về ở chế độ nền,

hiển thị một thông báo trên khay hệ thống khi bản cập nhật mới được tìm

thấy. Khi đã sẵn sàng để cập nhật, bạn có thể nhấp vào biểu tượng trên khay hệ thống, cài đặt các bản cập nhật và khởi động lại máy tính của bạn theo yêu cầu. Nhưng Windows sẽ không cài đặt bản cập nhật tự động cho đến khi bạn chọn đúng bản cập nhật mà mình muốn.

6.2.1.3.Check for updates but let me choose whether to download and install them.

- Windows sẽ chỉ kiểm tra các bản cập nhật và hiển thị một thông báo trong khay hệ thống. Điều này hữu ích nếu bạn muốn tiết kiệm băng thông và chỉ tải về bản cập nhật khi bạn đang ở trên một kết nối cụ thể. Điều này có thể ngăn không cho Windows tự động tải về bản cập nhật trên một kết nối Internet giới hạn với băng thông hạn chế.

6.2.1.4.Never check for updates.- Windows sẽ không tự động kiểm tra các bản cập nhật, mà bạn phải tự

kiểm tra các bản cập nhật hoặc không cập nhật Windows trong mọi trường hợp. Nhưng không nên sử dụng tùy chọn này, vì bạn sẽ bỏ lỡ các bản cập nhật bảo mật quan trọng cho hệ thống.

- Từ đây, bạn cũng có thể chọn nếu muốn nhận được thông báo đề nghị cập nhật đề nghị (Recommended updates), cập nhật các sản phẩm khác của Microsoft ngoài Windows hoặc xem thông báo về phần mềm mới của Microsoft, chẳng hạn như Bing Desktop.

-

6.2.2. Ngăn chặn Windows Update yêu cầu bạn khởi động lại máy- Trên Windows 7 và các phiên bản trước của Windows, Windows sẽ liên

tục làm phiền bạn sau khi cài đặt bản cập nhật. Nó sẽ bật lên bảng thông báo, Windows sẽ khởi động lại máy tính trong 15 phút, trừ khi bạn trì hoãn việc tắt máy.

- Nhưng chỉ có thể trì hoãn việc tắt máy tối đa là 4 giờ tại một thời điểm. Nếu bạn cần sử dụng máy tính cả ngày mà không muốn khởi động lại, bạn sẽ phải bấm giữ nút Postpone. Nhưng khi bạn rời khỏi máy tính hoặc để chạy qua đêm, Windows có thể tự động khởi động lại máy tính. Để ngănWindows khởi động lại sau khi cập nhật bạn có thể thực hiện như sau.

- Có thể thay đổi giá trị của khóa NoAutoRebootWithLoggedOnUsers trong Windows Registry, để Windows sẽ không khởi động lại nếu một người dùng đăng nhập. Bạn cũng có thể chọn tùy chọn “Download updates but let me choose when to install them” để chỉ cài đặt bản cập nhật của Windows khi bạn đã sẵn sàng để khởi động lại.

-

-

- Windows 8 cải thiện tính năng Windows Update bằng cách cho bạn một khoảng thời gian là 3 ngày để khởi động lại máy tính của mình sau khi Windows cập nhật xong. Mặc dù nó không còn hiển thị thông tin này trên desktop, nhưng sau khi cài đặt bản cập nhật, bạn sẽ thấy một màn hình thông báo trên màn hình Welcome yêu cầu bạn khởi động lại. Nếu muốn sử dụng kiểu thông báo khởi động lại hệ thống của Windows 8 trên Windows 7, bạn có thể cài đặt tiện ích miễn phí Windows Update Notifier. Nếu sau 3 ngày bạn cài đặt bản cập nhật cho Windows, hộp thoại thông báo sẽ lại tiếp tục xuất hiện để yêu cầu bạn khởi động lại máy tính.

- Bạn cũng có thể thay đổi cùng khóa registry giống như trên Windows 7 cho Windows Registry trên Windows 8.

6.2.3. Kiểm soát nội dung cập nhật.- Nếu cập nhật bằng thủ công, bạn có thể nhấp vào mục "Updates are

available" trong cửa sổ Windows Update và xem những bản cập nhật sẽ được áp dụng. Bấm vào mỗi bản cập nhật để xem thêm thông tin chi tiết nếu bạn muốn. Bỏ tùy chọn trước một bản cập nhật nếu bạn không muốn cài đặt bản cập nhật đó. Để Windows bỏ qua bản cập nhật đó trong những lần sau, bạn chỉ cần kích chuột phải vào bản cập nhật cụ thể và chọn Hide update.

-

-

6.2.4. Khắc phục sự cố Windows Update- Trong hầu hết các trường hợp, Windows Update không cần bất kỳ xử lý

sự cố nào. Nếu bạn gặp vấn đề, hãy đảm bảo rằng máy tính đang được kết nối với Internet và có đủ dung lượng trống của phân vùng ổ cứng để tải và cài đặt các bản cập nhật. Nếu Windows từ chối cài đặt bản cập nhật, bạn có thể phải khởi động lại máy tính và thử lại.

- Trong một số trường hợp hiếm hoi, sau khi Windows cài đặt một bản cập nhật gây ra, vấn đề hiếm khác là liên quan đến phần mềm máy tính hoặc phần cứng.

- Nếu nhận thấy lỗi hệ thống phát sinh sau khi cài đặt bản cập nhật, bạn có thể gỡ bỏ cài đặt bản cập nhật đó từ Control Panel bằng cách mở công cụ Uninstall or change a program, sau đó bấm chọn liên kết View installed updates ở góc trên cùng bên trái đê xem các bản cập nhật bạn đã cài đặt, đồng thời có thể gỡ bỏ cài đặt các bản cập nhật mà bạn cho rằng gây ra lỗi thống.

- Sau đó bạn có thể mở Windows Update một lần nữa, kiểm tra các bản cập nhật và ẩn bản cập nhật gây lỗi đó để ngăn chặn Windows cài đặt bản và đó trong tương lai.

-

- Nếu là người dùng Windows, bạn nên chọn tùy chọn Automatically download updates, bởi tùy chọn này giúp bạn thực hiện quá trình tìm kiếm, tải và cài đặt các bản vá hoàn toàn tự động trong nền mà bạn không cần phải thao tác thủ công. Nhưng nếu không muốn cài đặt tất cả các bản cập nhật của Windows, bạn có thể chọn để tự động tải bản cập nhật và cho phép bạn lựa chọn cài đặt khi đã sẵn sàng khởi động lại máy tính.

- Dù thế nào, bạn cũng không nên vô hiệu hóa Windows Update hoàn toàn, điều này là khá quan trọng giúp hệ thống luôn có được các bản cập nhật mới nhất để luôn an toàn khi trực tuyến.

6.3. Kinh nghiệm người sử dụng.- Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy

tính vẫn có khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp thời đối với phần mềm diệt virus. Người sử dụng máy tính cần sử dụng triệt để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu của mình.

- Một số kinh nghiệm tham khảo như sau:

+ Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy cập ra ngoài hoặc sự hoạt động khác của tường lửa). Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ thống.

+ Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là gì...ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng.

+ Loại bỏ một số tính năng tự động của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus: Theo mặc định Windows thường cho phép các tính năng tự chạy (autorun) giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.inf trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry.

+ Quét virus trực tuyến: Sử dụng các trang web cho phép phát hiện virus trực tuyến:

6.4. Dùng phần mềm diệt virus.- Nhiều nhận định cho rằng, việc người dùng chỉ cần để ý, cần thận một

chút kèm với sức mạnh liên tục được tăng cao của hệ thống phòng thủ (defender) hay tường lửa (firewall) của hệ điều hành Windows là đủ mà không cần phải sử dụng thêm một phần mềm diệt virus nào khác từ bên thứ ba. Bên cạnh đó, việc sử dụng phần mềm bên ngoài khiến hệ thống của bạn chạy chậm hơn do tốn nhiều bộ nhớ và CPU đã khiến nhận định trên được rất nhiều người ủng hộ. Song, người dùng nên nhớ rằng có cung thì chắc chắn có cầu và việc nghiên cứu, lập trình ra phần mềm diệt virus đều có những nguyên nhân, lý do chính đáng. Điều này cũng giải

thích vì sao đến nay, các hãng sản xuất phần mềm diệt Virus vẫn có chỗ đứng vững chắc trên thị trường.

- Nên cài phần mềm ANTIVIRUS- Đối với hầu hết người dùng phổ thông thì việc cài phần mềm diệt virus sẽ

là điều tất yếu trước khi sử dụng tài nguyên máy- Ngày nay, mạng Internet đã trở thành một phần không thể thiếu trong

cuộc sống của con người và một máy tính có kết nối mạng toàn cầu đều có nguy cơ rất cao nhiềm các loại virus và mã độc. Song, nếu bạn là một người dùng giàu kinh nghiệm thì có thể phân biệt được nguy cơ và các mối nguy hiểm trên mạng nên có thể không cần cài phần mềm antivirus. Bên cạnh đó, những người có kinh nghiệm sử dụng và thao tác với các phương thức bảo vệ được trang bị trên hệ điều hành đều không nhất thiết phải cài đặt thêm phần mềm bên thứ ba để tối ưu hóa sức mạnh phần cứng. Nhưng đối với hầu hết người dùng phổ thông thì việc cài phần mềm diệt virus sẽ là điều tất yếu trước khi sử dụng tài nguyên máy.

- Nên sử dụng phần mềm diệt virus. Ảnh: Internet- Tuy nhiên, nhiều người dùng thậm chí là người dùng phổ thông cũng cho

rằng con người mới là yếu tố quan trọng nhất để quyết định đến "sức khỏe" của hệ thống máy tính. Song, với sự hiện diện ngày càng tinh vi, các phương thức tiếp cận gần như hoàn hảo thì việc cẩn thận đến mức nào cũng là không đủ. Bạn có thể đề phòng được những virus thông thường khi gặp phải nhưng gần như không thể phát hiện và phòng chống được Malware và Spyware.

- Bạn có thể đề phòng được những virus thông thường khi gặp phải nhưng gần như không thể phát hiện và phòng chống được Malware và Spyware.

- Ví dụ, Malware, nói một cách đơn giản là những phần mềm được lập trình nhằm thực hiện những hành vi mà người dùng không biết. Như bạn

có thể thấy hiện nay có rất nhiều phần mềm tải về kèm với chức năng keylogger chẳng hạn. Nếu không đủ tinh vi để phát hiện ra keylogger, bạn đang là món mồi béo bở dành cho các tên trộm công nghệcao. Tất nhiên keylogger chỉ đi kèm với các phần mềm crack mà thôi và tỉ lệ này ở Việt Nam đang là rất cao vì người dùng không có thói quen sử dụng đồ bản quyền.

- Dù có kinh nghiệm bạn cũng không thể bảo vệ tối đa hệ thống máy tính của mình. Ảnh: Chris Dewey

- Và khi nói đến Malware, các AV (Antivirus) là 1 liều thuốc rất hữu hiệu. Ngoài cơ chế Live Scan có thể phát hiện các Malware trước khi chúng lây nhiễm, khả năng kiểm soát dữ liệu ra vào máy thông qua tường lửa tích hợp của các AV cũng giúp người dùng nhanh chóng nhận ra những ứng dụng có các hành vi "mờ ám", trong trường hợp các AV bỏ sót chúng ngay từ đầu. Vì vậy mới hiểu tại sao các phần mềm diệt virus vẫn đang tồn tại và phát triển một cách mạnh mẽ, thậm chí những người dùng có kinh nghiệm hiện nay cũng khuyên dùng AV.

- Sử dụng phần mềm diệt virus như thế nào?- Việc sử dụng thêm phần mềm diệt virus sẽ làm máy bạn trở nên chậm

chạp do tính năng chạy "thời gian thực" ngốn rất nhiều tài nguyên và RAM. Tuy nhiên, trên thị trường hiện nay, các mẫu máy tính phổ thông cũng có một sức mạnh xử lý rất lớn và cao hơn so với giai đoạn trước nhiều lần. Bởi vậy, người dùng nên bỏ qua những dị nghị về việc ngốn tài nguyên của các AV. Thế nhưng, việc sử dụng phần mềm diệt virus nào, sử dụng như thế nào cũng là những câu hỏi rất được quan tâm.

Sử dụng AV giúp máy tính có được sự an toàn tuyệt đối.- Đối với người dùng chuyên nghiệp sở hữu những cỗ máy cấu hình rất

mạnh, họ thường sử dụng Kaspersky để có được sự bảo vệ tốt nhất, dẫu vậy, giá thành đi kèm với việc quá ngốn tài nguyên khiến ít người sử dụng AV này. Còn với những máy tính phổ thông có cấu hình tầm trung và tầm thấp, bạn có thể cài đặt phần mềm nhẹ như Avira, Avast hoặc một sản phẩm nổi tiếng đến từ Việt Nam BKAV.

- Còn với những máy tính phổ thông có cấu hình tầm trung và tầm thấp, bạn có thể cài đặt phần mềm nhẹ như Avira, Avast hoặc một sản phẩm nổi tiếng đến từ Việt Nam BKAV.

- Việc cài đặt các phần mềm diệt virus trên rất đơn giản và dễ dàng, tuy nhiên, cần nhấn mạnh một chút là bạn nên back up lại hệ thống trước khi cài đặt. Bởi nếu, AV khi cài xong thường thực hiện việc quét triệt để hệ thống và nếu như các file system có chứa virus sẽ bị xóa bỏ hoàn toàn, sau đó sẽ gây hư hỏng nặng cho máy tính của bạn. Thứ hai, nên đăng nhập với tài khoản email để có thể nhận được những cảnh báo sớm nhất cũng như máy chủ nhận diện được những virus mà máy bạn đang mắc phải nhằm thực hiện các lần cập nhật tiếp theo.

- Trên đây là những thao tác cơ bản để sử dụng một phần mềm diệu virus một cách hiệu quả nhất. Ngoài ra, có một lưu ý nho nhỏ là người dùng nên mua bản quyền để có được sự bảo vệ về mọi mặt và khi đó sức mạnh của AV sẽ được tối ưu một cách tốt hơn. Đặc biệt, nên tránh các AV có thể crack, bởi nếu crack được thì AV đó hoàn toàn vô hại và không nên dùng nhiều AV trên cùng một hệ thống máy tính.

6.5. Bảo vệ dữ liệu.- Ngày nay, máy tính cá nhân đã trở nên quen thuộc và là phương tiện khó

có thể thiếu được với người làm việc văn phòng. Bên cạnh những lợi ích mà máy tính mang lại thì vẫn có nhiều nguy cơ tiềm ẩn gây mất an toàn đối với dữ liệu.

- Một trong các vấn đề đó là virus (đại diện chung cho tất cả các chương trình tự động cài vào máy tính mà không được phép của người sử dụng như worm, malware, trojan…), khi xâm nhập, nó sẽ đe dọa đến độ an toàn của thông tin, dữ liệu lưu trữ trên máy tính và gây ra nguy cơ hỏng hóc phần cứng. Để đảm bảo an toàn cho dữ liệu lưu trên máy tính, chúng ta cần phải ngăn chặn sự xâm nhập của các loại virus. Bài viết này chia sẻ một phương pháp để đảm bảo an toàn dữ liệu, ngăn chặn qua các nguy cơ trên.

6.5.1. Khóa user để chống virus.- Với đa số phần mềm được sử dụng trên máy tính luôn có nguy cơ xuất

hiện các lỗ hổng. Hacker luôn tìm cách để tấn công vào những lỗ hổng đó bằng cách tạo ra đoạn mã độc, do vậy, máy tính của chúng ta luôn đứng trước nguy cơ bị virus tấn công. Nếu có được phần mềm chống virus và cập nhật mã nhận diện mới từng giờ từng phút thì chúng ta đã đảm bảo an toàn chưa? Một câu khẳng định là mạng máy tính của chúng ta vẫn không hề an toàn. Bởi vì, virus khi mới ra đời sẽ tự do lây lan vào một số máy tính và chỉ khi virus đó “nổi tiếng” (lây lan được rất nhiều máy) thì nhà sản xuất phần mềm diệt virus mới biết được. Do vậy, trước khi bị phát hiện, nó hoàn toàn không bị nhận diện và “vô tư” xâm nhập vào máy tính bằng nhiều con đường khác nhau.

-

Hình1: Các bước tấn công của Virus- Một vấn đề nữa là các loại virus không lây lan, mà chỉ do đối thủ tạo ra

để dành riêng cho bạn thì có thể nhà sản xuất phần mềm diệt virus không bao giờ phát hiện được. Đó là lý do tại sao có những ngân hàng, hệ thống an ninh quốc gia của một số nước bị virus xâm nhập sau nhiều năm mới phát giác được. Do vậy, việc “khóa” máy tính là một biện pháp có thể bảo an toàn dữ liệu trước sự xâm nhập của virus.

6.5.1.1.Nguyên lý hoạt động.- Cơ chế tấn công của virus được mô tả trong hình 1.- Các bước ngăn chặn. Các chương trình diệt virus hiện tại đẩy mạnh khâu

nhận diện mã độc để có thể ngăn chặn virus ngay từ các bước 1a, 1b, 1c (hình 1). Tuy nhiên, việc nhận diện mã độc như thế là một cuộc “chạy đua” giữa ánh sáng và bóng đêm. Hệ thống khóa máy tính ngăn chặn virus ở các bước 3a và 2b. Đĩa cứng của máy tính sẽ được chia làm hai khu vực:+ Khu vực chương trình: Người dùng được phép thực thi (run) các tập

tin ở đây nhưng không được phép ghi thêm dữ liệu. Điều này sẽ ngăn chặn virus xâm nhập theo bước 2b.

+ Khu vực data và setting: người dùng được phép ghi dữ liệu ở đây nhưng không được chạy các tập tin thực thi. Vậy virus vẫn có thể tiến hành bước 2a nhưng đến bước 3a thì bị ngăn chặn.

6.5.1.2.Thực hiện việc khóa user.

- Sử dụng chức năng phân quyền của hệ thống NTFS, chúng ta sẽ phân quyền lại cho user limited để ngăn chặn virus ở các bước 2b và 3a.

- Các thư mục cơ bản: Hệ thống windows được chia làm 3 khu vực cơ bản:+ Thư mục windows: chứa mã thực thi của hệ điều hành.+ Thư mục programs file: chứa mã thực thi của các chương trình.+ Thư mục documents and setting: chứa dữ liệu và cấu hình của

người dùng.- Ở chế độ mặc định, user limited đã không được phép ghi vào 2 thư mục

windows và program file. Vì vậy, chúng ta chỉ cần config thêm cho user limited không được thực thi file exe, com… trong thư mục My document and setting.

- Các thư mục khác:+ Thư mục gốc: Cấu hình lại cho thư mục gốc các ổ đĩa chỉ được ghi,

không được chạy. Vì các thư mục cơ bản (windows, program file…) được cấu hình độc lập với thư mục gốc nên việc cấu hình lại thư mục gốc không hề ảnh hưởng đến các thư mục cơ bản này.

+ Các thư mục khác: có một số thư mục đặc biệt thường dùng để hỗ trợ cho quá trình cài đặt như thư mục c:\windows\temp… Tuy nằm trong C:\windows nhưng user limited vẫn được phép ghi file vào các thư mục này. Đây là điểm yếu của hệ thống, chúng ta phải cấu hình lại với từng thư mục như thế để user limited vẫn được phép ghi file nhưng không được phép thực thi file ở đây.

- Các ổ đĩa ngoài máy tính: việc khóa user chỉ có tác dụng ngăn chặn virus đến từ internet như ngăn mã độc trên web, mail gửi tới... mà chưa ngăn chặn đối với các ổ đĩa ngoài hệ thống như đĩa share trên mạng LAN, USB, CD, DVD... Để có một hệ thống sạch và an toàn hơn, chúng ta cần có các biện pháp đi kèm như:

- Khóa user toàn bộ các máy trong mạng LAN.- Có chính sách an toàn trong việc dùng USB như đóng tất cả USB disk

(việc đóng này không ảnh hưởng đến các thiết bị dùng USB khác như máy in, webcam…), chỉ sử dụng CD, DVD có nguồn gốc rõ ràng, có bản quyền, khóa autorun trên hệ thống…

- Lưu ý: Không nên thực hiện phân quyền lại cho nhóm administrator vì sẽ ảnh hưởng đến việc cài đặt chương trình mới. Hệ thống chỉ có tác dụng khi sử dụng user limited đã được khóa, hoàn toàn không có tác dụng khi sử dụng user chưa được khóa.

6.5.2. Mã hóa dữ liệu.

- Các vụ scandal lộ ảnh nóng, phim riêng tư… phần lớn bắt nguồn từ việc trao máy tính cho người khác sử dụng hoặc đưa đi sửa chữa. Đây là điều bất khả kháng vì không phải ai cũng có thể tự sửa chữa máy tính của mình. Vậy phải xử lý như thế nào trong trường hợp này để không bị rò rỉ dữ liệu riêng tư. Microsoft windows cung cấp khả năng mã hóa file lẻ hoặc cả thư mục để đảm bảo an toàn cho người sử dụng. Khi administrator thực hiện reset password máy tính của chúng ta, chìa khóa để mở các file được mã hóa cũng bị xóa, người có password mới không thể đọc được những dữ liệu đã được mã hóa. Việc sử dụng hệ thống mã hóa của windows có các ưu nhược điểm sau:

- Ưu điểm:+ Sử dụng đơn giản, người dùng chỉ cần đăng nhập đúng vào user của

mình là có thể đọc được dữ liệu, không cần nhớ thêm mật mã khác hoặc sử dụng chương trình khác.

+ Có thể tích hợp với các chương trình khác như outlook express, address books… để bảo vệ dữ liệu cá nhân.

+ Có thể bảo vệ từng thư mục với các tài liệu, hình ảnh tư liệu cá nhân.+ Dữ liệu được bảo vệ cả trong tape backup sử dụng chương trình

backup của windows.- Nhược điểm: Mất tất cả dữ liệu mà không thể phục hồi được khi bị mất

mật khẩu truy cập user (trong trường hợp không backup khóa mã hóa).

6.5.3. Sao lưu dự phòng.

- Việc lấy dữ liệu ra khỏi máy tính và lưu ở một vị trí an toàn nhằm tránh việc dữ liệu bị mất do hư hỏng phần cứng, bất cẩn của người sử dụng (xóa nhầm, format đĩa cứng…) hoặc thiên tai, hỏa hoạn là cần thiết và quan trọng.

- Tuy nhiên, việc backup dữ liệu phải đảm bảo các các yếu tố sau:- Có kế hoạch backup định kỳ: Kế hoạch này phải đảm bảo lưu đủ dữ liệu

cần thiết, lưu đúng thời điểm, hạn chế thấp nhất mất mát dữ liệu.- An toàn của dữ liệu: Các dữ liệu backup phải được mã hóa đúng cách

phòng trường hợp dữ liệu này rơi vào tay kẻ xấu cũng không bị lộ bí mật.- An ninh trong việc cất giữ: Việc di chuyển và lưu trữ các dữ liệu backup

phải an toàn, tránh để thất lạc trên đường di chuyển hoặc tại nơi lưu trữ.- Cách ly với môi trường đặt máy: các dữ liệu backup cần được lưu trữ tại

địa điểm cách xa với nơi đặt máy. Nếu lưu trong cùng một ngôi nhà, chúng ta sẽ mất tất cả nếu có hỏa hoạn hay thiên tai, địch họa.

Documents

sonlapc.vnsonlapc.vn/customer/upload/taive/Tài liệu virus .docx · Web view1.Phần mềm độc hại (Malware)4. 2.Tác hại của Malware.5. 3.1.Virus:6. 3.1.1.Compiled Virus:7