Lược sử về tất cả các loại virus máy tính malware, ransomware, trojan, worm, spyware, adware, Botnet,keylogger... và cách phòng chống
Lược sử về virus máy tính:
Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta có thể hiểu chi tiết hơn về các loại virus:
• Năm 1949: John von Neuman (1903-1957) phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính.
• Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus.
• Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của máy tính Apple II.
• Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay.
• Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây nhiễm tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên.
• Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi hành (executable file) và phá hoại các máy tính VAX/VMS.
• Năm 1987: Virus đầu tiên tấn công vào command.com là virus "Lehigh".
• Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một thời điểm).
• Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù 3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán đời" (boresome).
• Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời bởi Norton.
• Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó khăn cho các chương trình chống virus.
• Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của chúng. Đây là một loại virus giả (hoax virus_ là các cảnh báo giả về virus) đầu tiên xuất hiện trên các điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được điện thư này để tạo ra sự luân chuyển.
• Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999, có thể nằm trong các tệp Word, Excel và Power Point.
• Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa có luật trừng trị những người tạo ra virus cho máy tính.
• Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20 tháng tù.
• Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút.
• Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser. Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005 nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.
• Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chổ hở của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ.
• Tương lai không xa có lẽ virus sẽ tiến thêm các bước khác như: nó bao gồm mọi điểm mạnh sẵn có (polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đọan khác của phần mềm gián điệp (spyware). Đồng thời nó có thể tấn công vào nhiều hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như trong trường hợp của Windows hiện giờ. Và có lẽ virus sẽ không hề (thậm chí là không cần) thay đổi phương thức tấn công: lợi dụng điểm yếu của máy tính cũng như chương trình
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm malware:
mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)
Danh sách các đuôi tệp có khả năng di truyền và bị lây nhiễm:
Các tập tin trên hệ điều hành Windows mang đuôi mở rộng sau có nhiều khả năng bị virus tấn công.
• .bat: Microsoft Batch File (Tệp xử lí theo lô)
• .chm: Compressed HTML Help File (Tệp tài liệu dưới dạng nén HTML)
• .cmd: Command file for Windows NT (Tệp thực thi của Windows NT)
• .com: Command file (program) (Tệp thực thi)
• .cpl: Control Panel extension (Tệp của Control Panel)
• .doc: Microsoft Word (Tệp của chương trình Microsoft Word)
• .exe: Executable File (Tệp thực thi)
• .hlp: Help file (Tệp nội dung trợ giúp người dùng)
• .hta: HTML Application (Ứng dụng HTML)
• .js: JavaScript File (Tệp JavaScript)
• .jse: JavaScript Encoded Script File (Tệp mã hoá JavaScript)
• .lnk: Shortcut File (Tệp đường dẫn)
• .msi: Microsoft Installer File (Tệp cài đặt)
• .pif: Program Information File (Tệp thông tin chương trình)
• .reg: Registry File
• .scr: Screen Saver (Portable Executable File)
• .sct: Windows Script Component
• .shb: Document Shortcut File
• .shs: Shell Scrap Object
• .vb: Visual Basic File
• .vbe: Visual Basic Encoded Script File
• .vbs: Visual Basic File
• .wsc: Windows Script Component
• .wsf: Windows Script File
• .wsh: Windows Script Host File
• .{*}: Class ID (CLSID) File Extensions
Các hình thức lây nhiểm của malware:
mình đang làm bản báo cáo đồ án về đề tài:tìm hiểu malware , mình sẽ post bài về các loại malware và cơ chế hoạt động của nó cũng như các phương pháp phòng chống. Nếu bạn nào chưa rõ có thể tham khảo bài của mình.
các bạn nếu có thông tin gì hữu ích về chủ đề trên hãy hồi âm lại cho mình ngay nhé,mình cảm ơn các bạn nhiều(nếu chi tiết thì càng tốt_làm phiền các bạn)
Các hình thức lây nhiểm của virus máy tính:
●Virus lây nhiễm theo cách cổ điển
Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số.
●Virus lây nhiễm qua thư điện tử
Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.
Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.
Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.
Phương thực lây nhiễm qua thư điển tử bao gồm:
→Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó ngưòi dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.)
→Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus.
→Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này cũng thường khai thác các lỗi của hệ điều hành.
→Virus lây nhiễm qua mạng Internet
Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay.
Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:
• Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB...) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...
• Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.
• Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ ba: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Winidow Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.
Biến thể:
Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó.
Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán.
Sâu máy tính(worm):
Sâu máy tính(worm):
Là các chương trình cũng có khả năng tự nhân bản tự tìm cách lan truyền qua hệ thống mạng (thường là qua hệ thống thư điện tử). Worm có thể di chuyển từ máy tính này sang máy tính khác mà không nhờ vào bất kì tác động nào của người dùng và nó có khả năng tự nhân bản chính nó trong hệ thống của bạn, do đó máy tính của bạn có thể gửi đi không những một mà hàng trăm, thậm chí hàng nghìn bản copy của nó ra ngoài và gây ra sự tàn phá kinh khủng. Điểm cần lưu ý ở đây, ngoài tác hại thẳng lên máy bị nhiễm, nhiệm vụ chính của worm là phá các mạng (network) thông tin, làm giảm khả năng hoạt động hay ngay cả hủy hoại các mạng này. Nhiều nhà phân tích cho rằng worm khác với virus, họ nhấn mạnh vào đặc tính phá hoại mạng nhưng ở đây worm được là một loại virus đặc biệt.
Worm nổi tiếng nhất được tạo bởi Robert Morris vào năm 1988. Nó có thể làm hỏng bất kì hệ điều hành UNIX nào trên Internet. Tuy vậy, có lẽ worm tồn tại lâu nhất là virus happy99, hay các thế hệ sau đó của nó có tên là Trojan. Các worm này sẽ thay đổi nội dung tệp wsok32.dll của Windows và tự gửi bản sao của chính chúng đi đến các địa chỉ cho mỗi lần gửi điện thư hay message.
Dẫn chứng: Storm Worm bắt đầu nổi lên và phát tán rộng rãi trên mạng Internet theo con đường email chứa tệp tin đính kèm độc hại.Nếu người dùng lỡ tay mở tệp tin đính kèm hoặc nhắp chuột vào đường liên kết đó thì Storm Worm sẽ ngay lập tức đột nhập vào PC của họ. Chức năng chính của con sâu máy tính này là "bắt cóc" PC người dùng để phục vụ cho các mục đích đen tối khác của bọn tin tặc. Xuất hiện lần này là một biến thể hoàn toàn mới của Storm Worm. Lần này bên cạnh tệp tin đính kèm độc hại, Storm Worm còn ẩn mình trong các liên hết hoặc trang web độc hại, Dmitri Alperovitch - chuyên gia nghiên cứu của Secure Computing - cho biết. Đối tượng tấn công chủ yếu lần này của Storm Worm là blogger và các diễn đàn. Con sâu máy tính này sẽ tự động chèn vào các bài viết trên blog hoặc bài viết trên diễn đàn một đường liên kết đến một trang web độc hại.Secure Computing xếp Storm Worm vào mức độ nguy hiểm cao. Hình thức phát tán kiểu này thực sự nguy hiểm bởi người dùng nghĩ rằng các đường liên kết trên blog hoặc các bảng thông báo diễn đàn đều là những đường liên kết an toàn. Người dùng sẽ không mấy để ý và sẵn sàng nhắp chuột nếu họ quan tâm.
Do vậy việc bảo vệ máy tính bằng cách cài đặt các phần mềm diệt virus được cập nhật worm mới nhất là rất quan trọng. Ngoài ra bạn nên chắc chắn rằng phần mềm anti-virus của mình đã có tính năng diệt virus trên email hay các file được tải về từ internet. Như vậy bạn đã bảo vệ được máy tính của bạn ngay cả khi nó tiếp xúc với máy tính. Bạn cũng nên cài đặt một hệ thống chống sử dụng và truy cập vào máy tính trái phép (tường lửa là một công cụ tốt). Một tường lửa chắc chắn sẽ bảo vệ máy tính tránh được các tấn công từ bên ngoài muốn xâm nhập vào máy tính và nó cũng hỗ trợ thêm chức năng ngăn ngừa các chương trình worm lây lan qua email.
Trojan Horse:
Trojan Horse: Là một chương trình nguy hiểm thường trong diện mạo như là một chương trình hữu ích (ví dụ như chương trình thay đổi màn hình desktop, thêm các biểu tượng lạ trên màn hình), nó có thể sẽ gây hậu quả nghiêm trọng bằng cách xóa file và phá hủy toàn bộ thông tin hệ thống của máy bị nhiễm. Trojan cũng có thể tạo ra các Backdoor trên máy tính giúp cho những kẻ tấn công có thể xâm nhập vào hệ thống, làm hư hại các thông tin cá nhân. Trojan không phát tán bằng cách làm cho các file khác bị nhiễm cũng như không tự nhân bản.
Khi các virut này kết hợp với nhau ta gọi đó là mối đe dọa hỗn hợp. Chúng tổng hợp các đặc tính của virut, worm,Trojan Horse và các đoạn code gây tổn thương máy chủ và mạng Internet. Bằng nhiều phương pháp và kỹ thuật, các cuộc tấn công nhanh chóng lan tỏa và gây thiệt hại trên diện rộng. Những đặc trưng sự pha trộn này là: Gây ra thiệt hại, truyền “bệnh” theo nhiều phương pháp, tấn công từ nhiều hướng. Kể từ khi những con virut đầu tiên ra đời thì đây được xem như là loại virut nguy hiểm nhất với đa số các virut không cần sự can thiệp con người mà tự động phát triển. Đây là loại chương trình cũng có tác hại tương tự như virus chỉ khác là nó không tự nhân bản ra. Như thế, cách lan truyền duy nhất là thông qua các thư dây chuyền. Để trừ loại này người chủ máy chỉ việc tìm ra tập tin Trojan horse rồi xóa nó đi là xong. Tuy nhiên, không có nghĩa là không thể có hai con Trojan horse trên cùng một hệ thống. Chính những kẻ tạo ra các phần mềm này sẽ sử dụng kỹ năng lập trình của mình để sao lưu thật nhiều con trước khi phát tán lên mạng. Đây cũng là loại virus cực kỳ nguy hiểm. Nó có thể hủy ổ cứng, hủy dữ liệu.
Cách bảo vệ máy tính:
Bạn đừng tưởng mình đã có chương trình chống virus, scan trojan là an toàn có thể thoát khỏi trojan, rất khó để thoát khỏi trojan. Nhưng chẵng lễ không bảo vệ, không, vẫn có nhiều cách chống trojan thông thường, tuy đơn giản nhưng rất hiệu quả .
+ Sử dụng những chương trình chống virus, trojan mới nhất của những hãng đáng tin cậy ( AVP, Mscafe .. .)
+ Mỗi khi bạn tắt máy, trojan cũng tắt và nó sẽ khởi động lại ngay khi máy đang load windows. Nó không tự dưng chạy mà nó phảI sửa file win.ini, system.ini hay lưu vao trong registry. Vì thế bạn phảI luôn lôn kiểm tra những file này. Công cụ sử dụng tốt nhất trong win là msconfig. Bạn chỉ cần vào RUN và gõ : MSCONFIG. Thường thì nhiều trojan hay được lưu trong thư mục \windows hay \windows\system
+ Nhiều trojan không thể dấu được khi bạn nhấn Ctrl+Alt+Del
+ Sử dụng những chương trình scan port xem máy mình có mở cổng nào lạ không, nếu nó không nằm trong những cổng thông thường thì bạn biết chắc rằng máy bạn đã bị nhiễm trojan.
+ Không download file từ những nguồn không rõ hay nhận mail của người lạ. Tốt nhất là dùng chương trình check mail ngay trên server, thấy an toàn rồi mới load về.
+ Sử dụng một số chương trình có thể quan sát máy của bạn và lập firewall như lockdown, log monitor, PrcView . . . .
+ trước khi chạy file lạ nào, kiểm tra nó trước.
Phần mềm gián điệp (spyware):
Phần mềm gián điệp (spyware): Đây là loại virus có khả năng thâm nhập trực tiếp vào hệ điều hành mà không để lại "di chứng". Thường một số chương trình diệt virus có kèm trình diệt spyware nhưng diệt khá kém đối với các đợt "dịch".
Chức năng: Chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có nhận thức của chủ máy. Một cách điển hình, Spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các chương trình Freeware (phần mềm miễn phí) và Shareware (phần mềm chia sẻ) mà người ta có thể đưa về từ Internet. Một khi đã cài đặt, spyware điều phối hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác(như của những tay hacker). Spyware cũng thu thập tin tức về địa chỉ email và ngay cả mật khẩu cũng như là số thẻ tín dụng.
Phần mềm gián điệp cũng là một trong các biến thể của phần mềm quảng cáo. Phần lớn các spyware thường vô hại, tuy nhiên, ngày nay bắt đầu xuất hiện nhiều những spyware đính kèm virus, sâu(worm) hoặc ngựa thành Troa(Trojan horse) có thể gây tổn hại nghiêm trọng cho một hoặc một hệ thống máy tính.
Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware còn đánh cắp từ máy chủ các tài nguyên của bộ nhớ (memory resource) rồi nó gửi thông tin về chủ của các spyware qua Internet. Vì spywre dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn đến hư máy hay máy không ổn định.
Bởi vì là một chương trình độc lập nên spyware có khả năng điều khiển các phím bấm (keystroke), đọc các tin tức trong hard-disk, kiểm soát các chương trình khác như là chương trình chat hay các chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc cookies thay đổi trang chủ mặc định (home page) trên web browses, cung cấp liên tục các thông tin về chủ của spyware, người mà nó có thể dùng cho quảng cáo hoặc tiếp thị hay bán tin tức cho các chỗ khác
Dấu hiệu máy bị spyware: Bất kỳ một trong các dấu hiệu sau đây xảy ra cũng có thể là máy của bạn đã bị spyware
• Nhận email với với giấy biên nhận trả tiền điện thoại có thêm số trả phụ trội mà bạn chẳng bao giờ gọi tới số đó, như bắt đầu bằng 900
• Khi gõ tìm một địa chỉ trên Internet Explorer và nhấn Enter để bắt đầu tìm kiếm thì trang “Search” thường dùng bị thay bởi một trang Search lạ.
• Các Program (chương trình) chống Spyware không hoạt động được. Nó có thể báo lỗi mất những file cần thiết, ngay cả sau khi cài đặt trở lại thì các chương trình chống Spyware cũng không hoạt động được.
• Thấy những tên địa chỉ lạ trong danh sách Favorites mặc dù bạn chưa hề đặt nó vào trong mục này.
• Máy tự dưng chạy chậm hơn thường nhật. Nếu là Windows 2K hay XP hãy thử chạy Task Manager và nhấn bản processes thì thấy những process không quen biết dùng gần như 100% CPU.
• Một cái "seach toolbar" (băng tìm kiếm) hay "browser toolbar" xuất hiện mặc dù bạn không hề ra lệnh để cài đặt nó và không thể xoá chúng hay là chúng xuất hiện trở lại sau khi xoá.
• Bạn nhận một pop-up quảng cáo khi mà cái "browser" chưa hề được chạy và ngay cả khi máy chưa nối kết với Internet hay là bạn được các quảng cáo có đề tên bạn trong đó.
• Trang chủ bị thay đổi một cách kỳ lạ. Bạn đổi lại nó nhưng nó lại bị sửa…
• Ở thời điểm mà bạn không hề làm gì với internet mà vẫn thấy đèn gửi/nhận chớp sáng trên dial-up hay board band modem giống như là khi đang tải một phần nhu liệu nào về máy. Hay là các biểu tượng network/modem nhấp nháy nhanh khi bạn không hề vào internet.
• Dấu hiệu cuối cùng, mọi thứ hình như trở về bình thường. Những Spyware mạnh thường không để dấu tích gì cả. Nhưng hãy kiểm lại máy của mình ngay cả trong trường hợp này.
Phòng ngừa:
- Trong các bản giao kèo về quyền xử dụng (License Agreement) của các công ty cho download đôi khi có nói rõ rằng họ sẽ cài spyware chung với phần mềm. Những cái giao kèo này thường ít được chúng ta đọc hoàn tất một cách kỹ lưỡng và cũng bởi vì các lưu ý về cài đặt spyware thường nằm trong những đoạn khó thấy (chữ nhỏ xíu). Do đó trước khi download về máy bất kỳ một nhu liệu nào hãy đọc kỹ các khế ước này.
- Hãy dùng phần mềm chống Spyware. Kiểm nghiệm (scan) thường xuyên để loại bỏ spyware. Khởi động lại máy và chạy kiểm lại lần nữa sau mỗi lần lại được Spyware mới để chống sự tái nhiễm (tickler). Vài lần trong tuần.
- Phải có chương trình chống virus và tường lửa (firewall) cho máy.
- Coi chừng các dịch vụ peer-to-peer chia sẻ chung các tập tin (peer-to-peer files sharing service). Hầu hết các ứng dụng thông dụng sẽ có spyware trong các thủ tục cài đặt. Tránh download các phần mềm độc hại mà chúng ta không biết ngoại trừ chúng được cung cấp từ các nhà sản xuất lớn hay các trang website "tốt".
- Coi chừng các cookies; các dữ liệu thu thập bởi các cookies có thể trùng lặp với các thông tin ở một nơi nào đó để cung cấp những thông tin của bạn một cách đáng ngạc nhiên.
- Hãy sửa mức an toàn của IE cao lên (ít nhất là mức medium). Hãy để mức không cho phép cài đặt tất cả các "ActiveX control" mà bạn chưa yêu cầu.
- Spyware có thể đến từ các nguồn HTML e-mail. Hãy xoá thẳng (delete) tay những email mà bạn không biết rõ xuất xứ và không hề có liên lạc, hoặc email có địa chỉ quen thuộc nhưng chủ đề rất lạ (do hackers gửi đi). Nếu dùng Outlook 2003, dùng Tools -> Options -> Security tab -> chọn "change Automatic Download Settings". Kiểm chắc rằng bạn đã chọn "Don't download pictures or other content automatically in HTML email".
- Hiểu biết về các loại spyware nhằm giúp bạn tránh được chúng tốt hơn.
Phần mềm quảng cáo (adware):
Phần mềm quảng cáo (adware): Phần mềm quảng cáo bất hợp pháp (Advertising software) hay còn gọi là Adware: những phần mềm tự động đưa ra các trang quảng cáo trên máy tính của bạn mà không cần biết bạn có đồng ý xem hay không.
Ra đời muộn hơn virus máy tính tới 12 năm (1995), các Adware ban đầu được biết đến như là các phần “kèm thêm” của nhà sản xuất trong các phần mềm miễn phí – Freeware và phần mềm dùng thử trước khi mua – Shareware. Người sử dụng muốn dùng các phần mềm Freeware, Shareware này thì phải chấp nhận các pop-up quảng cáo, các biểu mẫu thu thập thị hiếu khách hàng của chúng như là một phần tất yếu của phần mềm. Sau đó Adware nhanh chóng được một số công ty phát triển như những công cụ quảng cáo và thu thập thông tin có hiệu quả cao trên mạng Internet. Đến năm 2002, lần đầu tiên Adware xuất hiện dưới dạng những phần mềm độc lập phát tán trên Internet, không đi kèm theo các phần mềm Freeware và Shareware như trước. Và cũng kể từ đó, Adware đã thực sự trở thành những “dịch bệnh” cho người sử dụng Internet trên khắp thế giới.
Theo kết quả khảo sát vào cuối tháng 12 năm 2004 của Trung tâm An ninh mạng Đại học Bách Khoa Hà Nội - BKIS ở Việt Nam thì có tới 88% người được hỏi trả lời rằng máy tính của họ đã từng bị quấy rối bởi Adware. Còn theo kết quả khảo sát của America Online và National Cyber-Security Alliance tháng 10 năm 2004 thì có tới 80% số người được hỏi nói rằng máy tính của họ bị nhiễm Adware.
Bạn có thể bị lừa cài đặt adware khi vào trang web lạ - nguyên nhân phổ biến nhất gây ra việc nhiễm Adware
Adware không phải là những virus máy tính. Điểm khác nhau cơ bản giữa chúng là trong khi virus có thể tự nó lây lan sang máy khác còn adware lại không có cơ chế này, adware không tự động tìm kiếm và lây lan sang các máy khác. Chúng chỉ có thể tìm cách lây vào máy tính của bạn theo một trong những con đường sau:
* Đi theo các phần mềm miễn phí, dùng thử, các phần mềm bẻ khóa (Cr@ck, -censor-): khi bạn cài đặt hoặc chạy các phần mềm này, Adware sẽ cài đặt lên máy tính của bạn.
* Khi bạn vô tình ghé thăm một trang web lạ, các đoạn mã lệnh ActiveX hay JAVA applets, VBScript trên web đó sẽ được trình duyệt của bạn thực thi và đó là cơ sở để Adware cài vào máy tính của bạn. Một số Adware có thể nguỵ trang chui trong một ActiveX mới do chúng tự đặt ra trên trang web, trình duyệt Internet của bạn khi gặp ActiveX này sẽ hiện lên thông báo hỏi xem bạn có muốn cài đặt ActiveX đó hay không? Phần lớn người sử dụng sẽ không biết hoặc cũng chẳng để ý nó là cái gì, nên câu trả lời luôn là “có”, và chỉ đợi có thế là Adware sẽ nghiễm nhiên cài đặt lên máy tính của bạn vì bạn đã đồng ý cơ mà!
Sự hiếu kì của người sử dụng cũng là điểm yếu dễ bị Adware khai thác để lây nhiễm. Bạn vô tình vào một trang web, một đoạn hướng dẫn yêu cầu bạn làm theo một số bước để xem được một đoạn phim, một hình ảnh vui nhộn.., bạn sẽ làm gì? Nếu bạn tặc lưỡi "cứ thử mở xem sao!" thì thật là nguy hiểm vì chỉ cần một click chuột thôi, bạn đã tự mở cửa cho chúng chui vào máy của mình.
Bạn là người rất cẩn thận đối với các bảng thông báo, không bao giờ làm theo các hướng dẫn cài đặt trên trang web…? Điều này vẫn là chưa đủ để phòng chống Adware. Nếu trình duyệt trên máy tính của bạn có lỗi, chỉ cần bạn lạc vào trang web của chúng thôi, chúng đã có thể âm thầm cài đặt lên máy của bạn, không cần hỏi xem bạn có muốn cài chúng hay không. Điều này thực ra cũng rất dễ hiểu, trong cuộc sống thường nhật, đôi khi bạn hay tôi cũng bước nhầm chân vào những chốn lừa đảo, và trên mạng thì cũng vậy thôi, đôi khi chúng ta sẽ ghé thăm nhầm vào những website như vậy và xem ra việc này còn dễ xảy ra hơn trong cuộc sống.
* Một số virus cũng có thể chứa Adware bên trong bản thân nó. Khi virus lây lan qua các máy, nó cũng kéo theo các Adware và cài đặt lên máy của nạn nhân.
Khi máy tính của bạn bị nhiễm adware, bạn có thể thấy các trang quảng cáo (popup) tự động hiện lên, các trang chủ, trang web tìm kiếm, trang web bạn thường xuyên vào nay lại được chuyển sang một trang web không rõ ở đâu ra. Trình duyệt Internet của bạn cũng tự nhiên có thêm những nút bấm (Toolbars)…. Lúc này, tuy bạn có khó chịu với những hiện tượng bất thường của máy tính, nhưng lại nghĩ nó cũng không ảnh hưởng gì đến công việc của mình lắm. Thực ra bạn lại không biết rằng đằng sau đó, các spyware có thể đang âm thầm đánh cắp các thông tin cá nhân quan trọng của bạn và gửi ra ngoài cho chủ của chúng. Không chỉ có thế, khi một adware đã cài đặt thành công lên máy tính của bạn, chúng thường thay đổi mức độ bảo mật (security level) trên máy tính của bạn xuống mức thấp nhất để phục vụ cho hoạt động của mình. Điều này sẽ làm cho máy tính của bạn trở nên yếu ớt và là món mồi ngon để các adware hay thậm chí là cả các virus khác xâm nhập.
Đến đây bạn đã nhìn nhận được phần nào về tác hại và sự nguy hiểm của adware cũng như cách thức lây nhiễm của chúng. Chúng là những phần mềm được viết ra với mục đích xấu và cũng giống như virus, chúng luôn luôn phát triển ngày càng tinh vi hơn. Chúng ta không thể đợi đến lúc adware lây vào máy tính rồi mới xử lý mà ngay bây giờ, chúng ta phải tự tạo cho mình phương thức phòng chống hữu hiệu. Lời khuyên của tôi dành cho bạn là “Bạn phải chặn adware trên chính những con đường lây lan của chúng”:
• Không chạy những chương trình miễn phí không rõ nguồn gốc, những chương trình bẻ khoá (Cr@ck, -censor-..) tải từ Internet về
• Không vào các trang web không rõ nguồn gốc (đây là nguyên nhân phổ biến nhất gây ra việc nhiễm Adware). Cũng giống như trong cuộc sống, bạn sẽ không đi vào những chỗ có vẻ nguy hiểm và không biết đấy là đâu.
• Cập nhật các bản sửa lỗi cho các trình duyệt Internet trên máy của mình (vd: Internet Explorer..).
• Sử dụng những chương trình diệt virus và adware để tiêu diệt chúng. Quan trọng hơn là phải thường xuyên cập nhật bản mới nhất cho các chương trình diệt virus này
Botnet:
Botnet: Một trong những phương thức tấn công DDoS hiệu quả và phổ biến nhất hiện nay là hoạt động dựa trên hàng trăm máy tính bị chiếm quyền điều khiển (tức các zombie). Những zombie này thường bị kiểm soát và quản lý qua các mạng IRC, sử dụng được gọi là các botnet.
Bot là viết tắt của robot, tức các chương trình tự động hoá (chứ không phải là người máy như nghĩa chúng ta vẫn gọi) thường xuyên được sử dụng trong thế giới Internet. Người ta định nghĩa spider được dùng bởi các công cụ tìm kiếm trực tuyến, ánh xạ website và phần mềm đáp ứng theo yêu cầu trên IRC (như eggdrop) là robot. Các chương trình tự động phản ứng khi gặp sự kiện ngoài mạng nội bộ cũng được gọi là robot. Một kiểu robot cụ thể (hay bot như tên tắt vẫn thường được gọi) là IRC bot. IRC bot sử dụng các mạng IRC như một kênh liên lạc để nhận lệnh từ người dùng từ xa. Ví dụ cụ thể như, người dùng là một kẻ tấn công, còn bot là một Trojan horse. Một lập trình viên giỏi có thể dễ dàng tạo ra một số bot riêng của mình, hoặc xây dựng lại từ các bot có sẵn. Chúng có thể dễ dàng ẩn nấp trước những hệ thống bảo mật cơ bản, sau đó là phát tán đi nhanh chóng trong thời gian ngắn.
Trong hầu hết các trường hợp tấn công bởi bot, nạn nhân chủ yếu là người dùng máy tính đơn lẻ, server ở các trường đại học hoặc mạng doanh nghiệp nhỏ. Lý do là bởi máy tính ở những nơi này không được giám sát chặt chẽ và thường để hở hoàn toàn lớp bảo vệ mạng. Những đối tượng người dùng này thường không xây dựng cho mình chính sách bảo mật, hoặc nếu có thì không hoàn chỉnh, chỉ cục bộ ở một số phần. Hầu hết người dùng máy tính cá nhân kết nối đường truyền ADSL đều không nhận thức được các mối nguy hiểm xung quanh và không sử dụng phần mềm bảo vệ như các công cụ diệt virus hay tường lửa cá nhân.
Khả năng sử dụng bot và các ứng dụng của chúng cho máy tính bị chiếm quyền điều khiển hoàn toàn phụ thuộc vào sức sáng tạo và kỹ năng của kẻ tấn công.
- Các kiểu bot khác nhau:
Nhiều kiểu bot đã được xây dựng và cho phép download được cung cấp nhan nhản khắp Internet. Mỗi kiểu có những thành phần đặc biệt riêng. Chúng ta sẽ xem xét một số bot phổ biến nhất và thảo những thành phần chính và các yếu tố phân biệt của chúng.
• GT-Bot:
Tất cả các bot GT (Global Threat) đều dựa trên kiểu client IRC (Là tên viết tắt của Internet Relay Chat. Đó là một giao thức được thiết kế cho hoạt động liên lạc theo kiểu hình thức tán gẫu thời gian thực (ví dụ RFC 1459, các bản update RFC 2810, 2811, 2812, 2813) dựa trên kiến trúc client-server.) phổ biến dành cho Windows gọi là mIRC. Cốt lõi của các bot này là xây dựng tập hợp script (kịch bản) mIRC, được dùng để điểu khiển hoạt động của hệ thống từ xa. Kiểu bot này khởi chạy một phiên client nâng cao với các script điều khiển và dùng một ứng dụng thứ hai, thông thường là HideWindows để ẩn mIRC trước người dùng máy tính đích. Một file DLL bổ sung sẽ thêm một số thành phần mới vào mIRC để các script có thể chi phối nhiều khía cạnh khác nhau trên máy tính bị chiếm quyền điều khiển.
• Agobot:
Agobot là một trong những kiểu bot phổ biến nhất thường được các tay bẻ khoá (craker) chuyên nghiệp sử dụng. Chúng được viết trên nền ngôn ngữ C++ và phát hành dưới dạng bản quyền GPL. Điểm thú vị ở Agobot là mã nguồn. Được modul hoá ở mức cao, Agobot cho phép thêm chức năng mới vào dễ dàng. Nó cũng cung cấp nhiều cơ chế ẩn mình trên máy tính người dùng. Thành phần chính của Agobot gồm: NTFS Alternate Data Stream (Xếp luân phiên dòng dữ liệu NTFS), Antivirus Killer (bộ diệt chương trình chống virus) và Polymorphic Encryptor Engine (cơ chế mã hoá hình dạng). Agobot cung cấp tính năng sắp xếp và sniff lưu lượng. Các giao thức khác ngoài IRC cũng có thể được dùng để điều khiển kiểu bot này
• DSNX:
Dataspy Network X (DSNX) cũng được viết trên nền ngồn ngữ C++ và mã nguồn dựa trên bản quyền GPL. Ở kiểu bot này có thêm một tính năng mới là kiến trúc plug-in đơn giản.
• SDBot:
SDBot được viết trên nền ngôn ngữ C và cũng sử dụng bản quyền GPL. Không giống như Agobot, mã nguồn của kiểu bot này rất rõ ràng và bản thân phần mềm có một lượng giới hạn chức năng. Nhưng SDBot rất phổ biến và đã được phát triển ra nhiều dạng biến thể khác nhau.
- Các ứng dụng phổ biến nhất của bot:
• Tấn công từ chối dịch vụ phân tán (DDoS):
Tấn công DDoS là một biến thể của Foolding DoS (Tấn công từ chối dịch vụ tràn). Mục đích của hình thức này là gây tràn mạng đích, sử dụng tất cả băng thông có thể. Kẻ tấn công sau đó sẽ có toàn bộ lượng băng thông khổng lồ trên mạng để làm tràn website đích. Đó là cách phát động tấn công tốt nhất để đặt được nhiều máy tính dưới quyền kiểm soát. Mỗi máy tính sẽ đưa ra băng thông riêng (ví dụ với người dùng PC cá nhân nối ADSL). Tất cả sẽ được dùng một lần, và nhờ đó, phân tán được cuộc tấn công vào website đích. Một trong các kiểu tấn công phổ biến nhất được thực hiện thông qua sử dụng giao thức TCP (một giao thức hướng kết nối), gọi là TCP syn flooding (tràn đồng bộ TCP). Cách thức hoạt động của chúng là gửi đồng thời cùng lúc một số lượng khổng lồ yêu cầu kết nối TCP tới một Web Server (hoặc bất kỳ dịch vụ nào khác), gây tràn tài nguyên server, dẫn đến tràn băng thông và ngăn không cho người dùng khác mở kết nối riêng của họ. Quả là đơn giản nhưng thực sự nguy hiểm! Kết quả thu được cũng tương tự khi dùng giao thức UDP (một giao thức không kết nối).
Giới tin tặc cũng bỏ ra khá nhiều thời gian và công sức đầu tư nhằm nâng cao cách thức tấn công của chúng. Hiện nay, người dùng mạng máy tính như chúng ta đang phải đối mặt với nhiều kỹ thuật tinh vi hơn xa so kiểu tấn công DDoS truyền thống. Những kỹ thuật này cho phép kẻ tấn công điều khiển một số lượng cực kỳ lớn máy tính bị chiếm quyền điều khiển (zombie) tại một trạm từ xa mà đơn giản chỉ cần dùng giao thức IRC.
• Spamming (phát tán thư rác):
Botnet là một công cụ lý tưởng cho các spammer (kẻ phát tán thư rác). Chúng đã, đang và sẽ được dùng vừa để trao đổi địa chỉ e-mail thu thập được, vừa để điều khiển cơ chế phát tán thư rác theo cùng một cách với kiểu tấn công DDoS. Thư rác được gửi tới botnet, sau đó phân phối qua các bot và từ đó phát tán tới máy tính đang bị chiếm quyền điều khiển. Tất cả spammer đều lấy tên nặc danh và mọi hậu quả thì máy tính bị phá hoại gánh chịu.
• Sniffing và Keylogging:
Các bot cũng có thể được sử dụng một cách hiệu quả để nâng cao nghệ thuật cổ điển của hoạt động sniffing. Nếu theo dõi lưu lượng dữ liệu truyền đi, bạn có thể xác định được con số khó tin lượng thông tin được truyền tải. Đó có thể là thói quen của người dùng, trọng tải gói TCP và một số thông tin thú vị khác (như mật khẩu, tên người dùng). Cũng tương tự như vậy với keylogging, một hình thức thu thập tất cả thông tin trên bàn phím khi người dùng gõ vào máy tính (như e-mail, password, dữ liệu ngân hàng, tài khoản PayPal,…).
• Ăn cắp nhận dạng:
Các phương thức được đề cập ở trên cho phép kẻ tấn công điều khiển botnet để thu thập một lượng thông tin cá nhân khổng lồ. Những dữ liệu có thể được dùng để xây dựng nhân dạng giả mạo, sau đó lợi dụng để có thể truy cập tài khoản cá nhân hoặc thực hiện nhiều hoạt động khác (có thể là chuẩn bị cho nhiều cuộc tấn công khác) mà người gánh chịu hậu quả không ai khác chính là chủ nhân của các thông tin đó.
• Sở hữu phần mềm bất hợp pháp:
Đây là hình thức cuối cùng, nhưng chưa phải là kết thúc. Các máy tính bị tấn công theo kiểu bot có thể được dùng như một kho lưu trữ động tài liệu bất hợp pháp (phần mềm ăn cắp bản quyền, tranh ảnh khiêu dâm,…). Dữ liệu được lưu trữ trên ổ cứng trong khi người dùng ADSL không hề hay biết.
Còn rất nhiều, rất nhiều kiểu ứng dụng khác nữa được phát triển dựa trên botnet (như trả tiền cho mỗi lần kích chuột để sử dụng một chương trình, phishing, hijacking kết nối HTTP/HTTPS…), nhưng liệt kê ra được hết có lẽ sẽ phải mất hàng giờ. Bản thân bot chỉ là một công cụ với khả năng lắp ghép và thích ứng dễ dàng cho mọi hoạt động đòi hỏi đặt quyền kiểm soát đơn lên một số lượng lớn máy tính.
- Hoạt động của kẻ tấn công có thể chia thành bốn giai đoạn: Tạo (phụ thuộc lớn vào kỹ năng và đòi hỏi của kẻ tấn công), Cấu hình, Tấn công (sử dụng nhiều kỹ thuật khác nhau để phát tán bot, cả trực tiếp và gián tiếp), Điều khiển (gồm một số hoạt động thực hiện sau khi bot đã được cài đặt lên máy đích trong một thư mục chọn)
- Các yếu tố của một cuộc tấn công: Đầu tiên kẻ tấn công sẽ phát tán bot (ví dụ bot là một trojan horse,…) vào nhiều máy tính khác nhau, các máy này trở thành zoombie (máy tính bị chiếm quyền điều khiển) và kết nối tới server để nghe thêm nhiều lệnh sắp tới. Server có thể là máy công cộng ở một trong các mạng hay cũng có thể là máy chuyên dụng do kẻ tấn công cài đặt lên một trong các máy bị chiếm quyền điều khiển. Các bot chạy trên máy tính bị chiếm quyền điều khiển, hình thành một botnet.
- Phòng chống:
Bây giờ chúng ta sẽ xem xét một số phương thức bảo vệ trước khả năng xâm phạm và phá hoại của kiểu tấn công bot, dưới góc nhìn của cả người dùng và nhà quản trị.
- Các chiến lược bảo vệ cho người dùng PC:
Như đã đề cập tới ở trên, tấn công bot chủ yếu được thực hiện qua các loại sâu, lướt trên mạng để tìm kiếm lỗ hổng thâm nhập được. Do đó, bước đầu tiên là phải cập nhật thường xuyên, download các bản vá và bản update hệ thống cho cả hệ điều hành cũng như các ứng dụng truy cập Internet. Sử dụng chương trình update tự động là một ý kiến hay. Bạn cũng nên cẩn thận khi mở các file đính kèm đáng ngờ trong e-mail. Cũng sẽ là khôn ngoan khi loại bỏ hỗ trợ hình thức ngôn ngữ kịch bản như ActiveX và JavaScript (hoặc ít nhất là kiểm soát việc sử dụng của chúng). Cuối cùng, yếu tố cơ sở là bạn phải dùng ít nhất một chương trình diệt virus, trojan và luôn luôn update phiên bản mới nhất của chúng. Dẫu vậy, nhiều bot được cấu hình lần tránh khởi sự kiểm soát của các chương trình diệt virus. Vì thế, bạn nên dùng thêm phần mềm tường lửa cá nhân, nhất là khi sử dụng máy tính nối mạng liên tục 24 giờ/ngày.
Dấu hiệu chính khi có hiện diện của bot là tốc độ máy và tốc độ kết nối mạng trở nên cực kỳ chậm. Một cách kiểm tra các kết nối đáng ngờ đơn giản và hiệu quả là sử dụng công cụ netstat
- Chiến lược bảo vệ cho người quản trị:
Các quản trị viên thường phải cập nhật liên tục thông tin về những lỗ hổng mới nhất, cũng như đọc thường xuyên về tài nguyên bảo mật trên Internet mỗi ngày. Một số công cụ hỗ trợ Bugtraq, đưa ra bản mô tả tóm tắt danh sách thư là một ý kiến hay. Các quản trị viên cũng nên cố gắng tuyền truyền, nâng cao nhận thức cho người dùng của mình về vấn đề bảo mật và các chính sách bảo mật.
Nghiên cứu nhật ký thường trình (bản ghi log) do IDS và nhiều hệ thống tường lửa, mail server, DHCP, proxy server tạo ra cũng rất cần thiết. Điều này có thể giúp phát hiện ra lưu lượng bất thường, một dấu hiệu của sự hiện diện bot và nhờ đó có biện pháp ngăn chặn kịp thời. Sau khi lưu lượng bất thường được chú ý, một siffer sẽ đến để nhận dạng mạng con và máy tính tạo ra nó. Tất cả các biện pháp dường như đều quen thuộc và không mấy khó khăn, nhưng mọi người thường quên, hoặc bỏ qua chúng.
Bạn cũng có thể sử dụng một số kỹ thuật phức tạp hơn như honeybot. Honeybot là các máy được xây dựng với mục đích hấp dẫn kẻ tấn công. Vai trò của chúng là trở thành máy tính nạn nhân, giúp người quản trị định vị chính nguồn của vấn đề và nghiên cứu phương thức tấn công.
Nhưng kết luận cuối cùng thì, cho dù công cụ hỗ trợ là gì đi chăng nữa, biện pháp phòng chống và bảo vệ tốt nhất trước các cuộc tấn công botnet là bản thân người dùng và nhận thức của họ.
Keylogger:
Keylogger hay "trình theo dõi thao tác bàn phím" là một chương trình máy tính ban đầu được viết nhằm mục đích theo dõi và ghi lại mọi thao tác thực hiện trên bàn phím vào một tập tin nhật ký (log) để cho người cài đặt nó sử dụng. Vì chức năng mang tính vi phạm vào riêng tư của người khác này nên các trình keylogger được xếp vào nhóm các phần mềm gián điệp.
Về sau, khi keylogger phát triển cao hơn nó không những ghi lại thao tác bàn phím mà còn ghi lại cả các hình ảnh hiển thị trên màn hình (screen) bằng cách chụp (screen-shot) hoặc quay phim (screen-capture) thậm chí còn ghi nhận cách con trỏ chuột trên máy tính di chuyển.
Nó có thể hữu ích cho việc tìm nguồn gốc lỗi sai trong các hệ thống máy tính và đôi khi được dùng để đo năng suất làm việc của nhân viên văn phòng. Các phần mềm kiểu này rất hữu dụng cho ngành luật pháp và tình báo - ví dụ, cung cấp một phương tiện để lấy mật khẩu hoặc các khóa mật mã và nhờ đó qua mắt được các thiết bị an ninh. Tuy nhiên, các phần mềm keylogger được phổ biến rộng rãi trên Internet và bất cứ ai cũng có thể sử dụng cho mục đích lấy trộm mật khẩu và chìa khóa mã hóa.
- Phân loại keylogger:
Keylogger bao gồm 2 loại: keylogger phần cứng (tuỳ theo từng hãng sản xuất mà chúng được cấu hình sẵn vào trong máy tính theo các phương thức khác nhau) và keylogger phần mềm (do người lập trình viết ra và máy tính của bạn có thể có hoặc không). Trong đồ án này ta nghiên cứu về loại keylogger phần mềm.
Theo những người lập trình, keylogger viết ra với chỉ có một loại duy nhất là giúp các bạn giám sát con cái, người thân xem họ làm gì với PC, với Internet, khi chat với người lạ. Nhưng cách sử dụng và chức năng của keylogger hiện tại trên thế giới khiến người ta thường hay phân loại keylogger theo mức độ nguy hiểm:
• Loại 1: keylogger loại bình thường, chạy công khai, có thông báo cho người bị theo dõi, đúng với mục đích giám sát
• Loại 2: keylogger nguy hiểm, chạy ngầm, hướng đến mục đích do thám nhiều hơn là giám sát (nguy hại đến các thông tin cá nhân như là tài khoản cá nhân, mật khẩu, thẻ tín dụng vì người dùng không biết)
• Loại 3: keylogger loại rất nguy hiểm, ẩn dấu hoàn toàn theo dõi trên một phạm vi rộng, mục đích do thám rõ ràng.
- Cách hoạt động của keylogger:
• Thành phần của keylogger:
Thông thường, một chương trình keylogger sẽ gồm có ba phần chính:
* Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động, tinh chỉnh các thiết lập, xem các tập tin nhật ký cho Keylogger. Phần này là phần được giấu kỹ nhất của keylogger, thông thường chỉ có thể gọi ra bằng một tổ hợp phím tắt đặt biệt.
* Tập tin hook, hoặc là một chương trình monitor dùng để ghi nhận lại các thao tác bàn phím, capture screen (đây là phần quan trọng nhất)
* Tập tin nhật ký (log), nơi chứa đựng/ghi lại toàn bộ những gì hook ghi nhận được.
• Cách thức cài đặt vào máy:
Các loại keylogger từ 1 - 3 thông thường khi cài đặt vào máy cũng giống như mọi chương trình máy tính khác, đều phải qua bước cài đặt. Đầu tiên nó sẽ cài đặt các tập tin dùng để hoạt động vào một thư mục đặc biệt (rất phức tạp), sau đó đăng ký cách thức hoạt động rồi đợi người dùng thiết lập thêm các ứng dụng. Sau đó nó bắt đầu hoạt động.
Ngoài ra còn có một loại keylogger có thể vào thẳng máy của người dùng bỏ qua bước cài đặt, dùng tính năng autorun để cùng chạy với hệ thống. Một số loại tự thả (drop) mình vào các chương trình khác, để khi người dùng sử dụng các chương trình này keylogger sẽ tự động chạy theo.
• Cách hoạt động:
Trong một hệ thống (Windows, Linux, Mac…), khi bấm 1 phím trên bàn phím, bàn phím sẽ chuyển nó thành tính hiệu chuyển vào CPU. CPU sẽ chuyển nó tới hệ điều hành để hệ điều hành dịch thành chữ hoặc số cho chính nó hoặc các chương trình khác sử dụng.
Nhưng khi trong hệ thống đó có keylogger, không những chỉ có hệ điều hành theo dõi mà cả hook file/monitor program của keylogger theo dõi nó sẽ ghi nhận và dịch lại các tính hiệu ghi vào tập tin nhật ký. Đồng thời nó còn có thể theo dõi cả màn hình và thao tác chuột.
- Keylogger chỉ là một chương trình công cụ, và nó tốt hay xấu tùy theo mục đích sử dụng. Nếu dùng để giám sát con cái, người thân xem họ làm gì với PC, với internet, khi chat với người lạ thì keylogger là tốt. Nhưng cách sử dụng keylogger nhằm đánh cắp các thông tin cá nhân (tài khoản cá nhân, mật khẩu, thẻ tín dụng) thì keylogger là một chương trình rất xấu.
- Phòng, tránh và chống keylogger:
• Phòng keylogger:
Keylogger thường bị vào máy qua hai con đường chính: được cài đặt hoặc bị cài đặt.
- Phòng ngừa “được cài đặt”:
Phương pháp sau chỉ có tác dụng với chủ máy (người nắm quyền root/administrator) Cách tốt nhất là không cho ai sử dụng chung máy tính. Bảo mật máy bằng cách khóa lại bằng các chương trình bảo vệ, hoặc mật khẩu khi đi đâu đó. Nếu phải dùng chung nên thiết lập quyền của người dùng chung đó thật thấp (guest đối với Windows XP, user đối với Linux) để kiểm soát việc cài đặt chương trình của họ.
- Phòng ngừa “bị cài đặt”:
Bị cài đặt là cách để nói đến các trường hợp keylogger vào máy không do người nào đó trực tiếp đưa vào trên máy đó mà do trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hề hay biết. Các biện pháp phòng ngừa:
* Không tùy tiện mở các tập tin lạ, không rõ nguồn gốc ( đặc biệt chú ý các tập tin có đuôi *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…). Tốt nhất là nên xóa đi, hoặc kiểm tra (scan) bằng một chương trình antivirus và một chương trình antispyware, vì nhiều chương trình antivirus chỉ có thể tìm thấy virus, không thể nhận biết spyware.
* Không vào các trang web lạ, đặc biệt là web “tươi mát” vì có thể các trang web này ẩn chứa một loại worm, virus, hoặc là mã độc nào đó có thể âm thầm cài đặt.
* Không click vào các đường link lạ do ai đó cho bạn.
* Không cài đặt các chương trình lạ (vì nó có thể chứa virus, trojan)
* Không download chương trình từ các nguồn không tin cậy. Nếu bạn có thể, xem xét chữ ký điện tử, để chắc chắn chương trình không bị sửa đổi.
* Hạn chế download và sử dụng Cr@ck-program.
* Luôn luôn tự bảo vệ mình bằng các chương chình chuyên dùng chống virus, chống spyware (antivirus, antispyware) và dựng tường lửa (firewall) khi ở trong Internet.
* Thường xuyên cập nhật đầy đủ các bản cập nhật bảo mật của hệ điều hành.
• Tránh keylogger:
Khi nghi ngờ nó có keylogger mà không có điều kiện kiểm tra.
- Diệt tập tin hook, chương trình theo dõi:
Sử dụng một chương trình task manager (có thể gọi ra bằng tổ hợp phím tắt Ctrl+Alt+Del trên Windows) xem các chương trình đang chạy. Nếu bạn thấy process nào lạ (đặc biệt đối với Windows XP là các tập tin được chạy dưới User name không phải là System) chưa thấy bao giờ hãy tắt (end, kill) nó đi. Lưu ý, cách này có thể làm treo hệ thống nếu đó là một tập tin cần cho nó; vì vậy người dùng cần có kinh nghiệm.
- Che mắt keylogger:
Keylogger hoạt động trên nguyên tắc theo dõi bàn phím (monitoring keyboard) chỉ có rất ít có khả năng theo dõi chuột (dù có theo dõi được cũng không chính xác lắm) và không có khả năng capture clipboard. Vì vậy dù hệ thống có keylogger (trừ các keylogger có khả năng quay phim) có thể được vượt qua bằng cách:
* Sử dụng On-Screen Keyboard (bàn phím trên màn hình) (trong windows gọi ra bằng Start/Run/osk) để nhập cách dữ liệu nhạy cảm (mật khẩu, thẻ tín dụng) bằng cách click chuột. Vì đây là cách nhập liệu nằm ngoài vùng theo dõi của các tập tin hook (vì không qua bàn phím) nên keylogger sẽ không ghi nhận đuợc thông tin gì. Cách này dễ dùng nhưng người khác có thể trông thấy thông tin được nhập vào ( tiếng lóng thường dúng là đá pass) từ đó bạn mất password.
* Sử dụng Copy và Paste (chép và dán): tìm một đoạn văn bản nào đó có các từ nằm trong đoạn thông tin muốn dấu (ví dụ: mật khẩu là password bạn hãy tìm một đoạn văn có các từ p, a, s, w, o, r, d ( ví dụ to day Is a hot day, peter feel bad he want a cool drink or a ice-cream) copy từng chữ một và dán nó thành chữ password rồi gửi đi. Cách này có ưu điểm là dễ dùng nhưng khá rắc rối.
* Sử dụng type và Click (bấm và nhấn): vì bản thân một keylogger thông thường không thể theo dõi các bấm chuột. Ví dụ muốn đánh một đoạn thông tin là password, đầu tiên hãy đánh một số từ có trong nó: psr rồi sử dụng chuột (không dùng bàn phím) chen ngang vào p và s đánh chữ a giữa s và r đánh chữ swo sau r là chữ d. Dòng thông tin nhập vào password nhưng trong tập tin nhật ký log keylogger ghi lại được là psraswod. Cách này khá hay nhưng không phù hợp với các thông tin dài vì dễ gây quên.
• Chống keylogger:
- Phương pháp đơn giản:
Nhanh hiệu quả nhất là diệt trừ toàn bộ các chương trình đang theo dõi bàn phím đi. Một số chương trình như là Keylogger Killer của Totto quét các process tìm các chương trình theo dõi cùng lúc quá nhiều ứng dụng (keylogger dùng cách này thường bằng một tập tin *.dll) rồi đề nghị bạn tắt nó đi. Thế nhưng một số chương trình tốt (như các chương trình giúp gõ bàn phím Unikey, Vietkey) cũng dùng cách này nên có thể gây diệt lầm.
- Phương pháp nâng cao:
Sử dụng một chương trình chống spyware chuyên dùng. Các chương trình này sẽ tự động quét, phân tích các chương trình đang chạy cũng như trên máy để từ đó nhận biết các chương trình keylogger và tự động diệt. Một số chương trình còn có chế độ bảo vệ thời gian thực (Real-Time Protection) giúp bảo vệ bạn chống ngay khi spyware chuẩn bị cài vào máy.
Nhưng điểm gây khó khăn nhất của cách dùng này là đa số các chương trình sử dụng tốt đều phải trả tiền (ví dụ như Spyware Doctor của Pctools, McAfee Antispyware của McAfee, Bitdefender…)
Tuy thế vẫn có một số chương trình miễn phí và khá tốt như Ad-Aware SE, Spybot S&D, Spyblaster tuy rằng nó lâu lâu vẫn bắt hụt một số chương trình đặc biệt, nhưng nếu dùng kết hợp (cùng lúc cả hai hoặc cả ba) thi hiệu quả hầu như là hoàn toàn.
Thư rác (spam):
Thư rác, thư linh tinh, hay là spam hay spam mail, là các thư điện tử vô bổ thường chứa các loại quảng cáo được gửi một cách vô tội vạ và nơi nhận là một danh sách rất dài gửi từ các cá nhân hay các nhóm người và chất lượng của loại thư này thường thấp. Đôi khi, nó dẫn dụ người nhẹ dạ, tìm cách đọc số thẻ tín dụng và các tin tức cá nhân của họ.
- Đặc điểm của spam:
* Người dùng hộp thư có thể có cảm giác bị "tra tấn" bằng các thư điện tử quảng cáo. Các spam thì vô hại nhưng mỗi ngày nhiều người có thể vì các spam mail này mà bị đầy cả hộp thơ. Trong năm 2003 khi các phần mềm chống spam chưa phổ biến và cỡ của các hộp thư điện tử còn giới hạn thì đã có rất nhiều người dùng email phải nhận cả trăm spam trong một ngày mà chỉ có đúng vài nội dung khác nhau. Tại sao các spam lại lặp đi lặp lại một cái thư quảng cáo cả chục lần cho một hộp thư? Một lý do là các hãng quảng cáo muốn dùng hiệu ứng tâm lý. Khi hình ảnh sản phẩm nào đó cứ đập vào mắt người đọc mãi thì đến lúc cần mua một thứ có chức năng tương tự (hay cùng loại) thì chính hình ảnh thương hiệu của cái spam mail sẽ hiện đến trong óc người đó trước tiên. Lý do khác là kích thích sự tò mò của người dùng email muốn đọc thử một spam xem có nội dung gì bên trong.
* Spam mail không có "độc tính", hiểu theo nghĩa có hại cho máy tính, mà chỉ đôi khi làm người chủ hộp thư khó chịu hoặc đôi khi làm cho các thư từ khác quan trọng hơn thay vì nhận được thì lại bị trả về cho người gửi vì lí do hộp thư người nhận đã quá đầy!
* Tuy nhiên, không thể tránh được các spam mail có nội dung khiêu khích hay lợi dụng. Việc quan trọng nhất của ngưòi dùng hộp thư là đừng bao giờ trả lời hay xác nhận bất kì gì mà các thư này yêu cầu và việc đơn giản là xóa chúng đi.
* Như vậy, thư nhũng lạm có thể xem là một loại thư rác có mang thêm những tính năng phiền nhiễu đến cho nguời chủ hộp thư và người tạo ra các thư nhũng lạm đã lợi dụng chức năng của hệ thống thư điện tử (hay hệ thống mạng) bởi vì chúng được gửi đi với số lượng rất lớn đến nhiều nơi và gửi nhiều lần trong thời gian ngắn.
* Các chi phí chuyển thư, chứa thư và xử lý thư nhũng lạm thuộc về người dùng hay tổ chức cung ứng Webmail. Tuy nhiên cần phân biệt rõ rằng hoàn toàn hợp pháp khi có các email tiếp thị.
* Những người gửi spam thường ngụy tạo những thông tin giả như là tên, địa chỉ, số điện thoại... để đánh lừa các ISP. Họ cũng thường dùng số giả hay số ăn cắp của các thẻ tín dụng để chi trả cho các tài khoản. Việc này cho phép họ di chuyển thật nhanh từ một tài khoản này sang tài khoản khác mỗi lần bị phát hiện và bị đóng tài khoản bởi các chủ ISP.
* Nguời gửi spam cũng có thể đột nhập vào giao thức thư điện tử (SMTP) để đánh lừa rằng các spam đến từ một địa chỉ email khác.
* Gần đây, tác nhân gửi spam còn dùng cả các loại virus mạng trên hệ thống Windows (như là virus Zombie) nhằm gửi truyền đi các spam.
- Lịch sử của thư nhũng lạm:
Có nhiều tác giả đã không thống nhất với nhau trong lịch sử của thư nhũng lạm.
* Có lẽ thư nhũng lạm đã có từ năm 1978, được gửi đi bởi hãng DEC trên hệ thống ARPANET trong một thư mời mọi người ở vùng biển miền Tây Hoa kỳ đến gặp tại California.
* Một số tài liệu cho rằng chữ SPAM bắt nguồn từ chữ Shoulder Pork and hAM"/"SPiced hAM một loại đồ ăn trưa đóng hộp của hãng Hormel Foods.
* Ngày 12 tháng 4 năm 1994 rất nhiều người đã nhận được một mẫu quảng cáo vô bổ từ hai luật sư Laurence Canter và Martha Siegel. Đây không phải là lần đầu tiên các thư quảng cáo được tung ra nhưng lại là lần đầu tiên chữ spam được dùng rộng rãi.
- Các đặc trưng của spam:
• Việc thu thập các địa chỉ:
* Để gửi spam, người gửi cần phải có một số lượng lớn địa chỉ email của người dự tính sẽ nhận thư. Vì các spam được gửi một cách vô tội vạ, vô trách nhiệm, nên danh sách điạ chỉ được thu thập về để gửi của một thư nhũng lạm có thể lên đến hàng chục triệu -- Trong đó, không ít địa chỉ là không hợp lệ hay không thể gửi đến được (các địa chỉ email cũ không còn người dùng nữa chẳng hạn).
* Spam có nhiều đặc điểm khác với các thư trực tiếp tiếp thị (direct marketing). Một trong các điểm này là nó không tốn thêm tiền khi gửi với một số lượng người nhận lớn hơn. Bởi vậy, nó không có sự tuyển lựa người nhận là ai. Do đó, các spam có thể có các thứ tiếng mà người nhận không thể đọc được hay chúng đưọc gửi đến ngay cả các postmaster hoặc được gửi trùng lặp nhiều lần tới cùng một địa chỉ.
* Các địa chỉ email có thể thu thập về bằng nghiều cách. Hai cách chung nhất là:
Phổ biến là việc dùng các địa chỉ được đăng bởi các người chủ để dùng trong các mục tiêu khác nhau. Thí dụ như địa chỉ của các nhóm Google thường là mục tiêu của những người làm spam. Hoặc người làm spam có tên đăng kí trong các danh sách bàn thảo qua thư điện tử (discussion mailing lists). Nhiều chương trình tiện ích có thể dùng để tìm ra các điạ chỉ trên các trang WEB.
Một phương pháp khác nữa để tìm địa chỉ gửi là thâm nhập vào các tài khoản bằng cách dùng máy tính để mò tìm tên và mật khẩu của một tài khoản trong các hệ thống email dùng phương pháp tấn công kiểu từ điển. Ngoài ra, các tên thông dụng (ví dụ John, Smith, Steve,...) có thể ghép thành một địa chỉ đúng trong nhiều ngàn tên miền và sẽ có sác xuất thành công rất cao.
• Những kỹ thuật dùng để gửi spam:
* Trước đây, khi spam được gửi từ người tạo ra spam thì chắc chắn ISP sẽ bị phát hiện ra từ việc phản ánh của các người nhận spam. Do dó, kĩ thuật cơ bản của việc gửi thư nhũng lạm là gửi các spam bằng máy tính của người khác để dấu hành vi của mình. * Trong thập niên 1990, cách chung nhất để gửi spam là lợi dụng các ngưng đọng thư mở. Bởi vì các máy chủ thư điện tử kiểu này có cấu hình để chuyển các mẫu thông tin gửi tới nó từ bất kì nơi nào đến bất kì người nhận nào (mà không kiểm soát). Đây cũng là cách thiết trí mặc định của các kiến trúc SMTP nguyên thuỷ. SMTP đã được thiết kế trước khi có spam nên không lường được hiệu quả này và đã bị lạm dụng bởi spam. Người gửi spam có thể dùng một loại văn lệnh để gửi spam qua các ngưng đọng thư mở này.
* Như là các nỗ lực ngăn chận đầu tiên, các DNSBL như là MAPS RBL đã cho phép việc từ chối các thư gửi từ những ngưng đọng thư mở.
* Sau đó một vài năm, việc khai thác các ngưng đọng thư mở không còn hiệu quả thì đã xuất hiện các phương pháp khác, trong đó, quan trọng là việc dùng các proxy mở. Các proxy mở này sẽ nối máy khách vào một máy chủ bất kì mà không cần kiểm lại chủ quyền xử dụng và cũng không giới hạn các quyền hạn truy cập khác. Như vậy, người tạo spam có thể chỉ thị một proxy mở để nối vào một máy chủ điện thư và gửi spam qua đó. Các máy chủ đã làm công việc kết nối với proxy không phải người chủ spam.
* Bên cạnh đó, người ta còn lợi dụng các dịch vụ thiếu an toàn để gửi spam. Thí dụ: FormMail.pl là một bài văn lệnh CGI cho phép các trang WEB gửi email trả lời từ một mẫu điền HTML. Nhiều phiên bản của chương trình này cho phép người dùng chuyển hướng email đến một điạ chỉ tùy ý. Spam được gửi kiểu này thường có dòng mở đầu là: Below is the result of your feedback form.
* Ngày nay, những người tạo spam thay vì dùng các biện pháp kể trên, đã chuyển sang thiết kế các con virus để khai thác các proxy và các công cụ gửi spam khác. Hàng trăm ngàn máy tính có thể bị nhiểm. Hầu hết các spam virus trong năm 2003 là các Windows email, bao gồm họ virus Sobig và Mimail.
* Ngoài ra, các chủ spam còn dùng đến một thủ đọan khác là tấn công vào các DNSBL và các nguồn chống spam. Trong năm 2003 nhiều DNSBL đã bị tấn công.
- Các biện pháp loại bỏ thư nhũng lạm:
* Dùng chức năng lọc: Nhiều nơi cung cấp phần mềm điện thư cũng đã có sẵn bộ lọc (filter) để loại bỏ các spam mail này trước khi tới tay người nhận một cách chủ động nhưng các lọc này không tuyệt hảo.
* Hầu hết các email client như là MS Outlook, AOL có thêm chức năng cho phép chúng ta cài lại một số dấu hiệu và loại bỏ spam mail qua các thực đơn sẵn có.
* Một số cơ sở thương mại cũng đã có các dịch vụ để giúp người tiêu dùng dẹp bỏ nạn spam mail bằng cách tung ra thị trường các loại phần mềm (bộ lọc) chống spam. Tuy nhiên không phải phần mềm nào được bán ra cũng hoạt động hữu hiệu. Hai hãng có sản phẩm chống spam mạnh là Norton AntiSpam và Qurb.
* Sử dụng WebMail: Thay vì dùng các hộp thư thông thường thì có thể dùng các dịch vụ cung cấp email qua Internet. Bằng cách này thì trách nhiệm lọc spam mail được giao về cho các dịch vụ cung cấp. Tuy nhiên, không chắc dịch vụ nào cũng làm tốt nhiệm vụ. Nghĩa là họ có thể không làm gì cả để lọc các spam mail. Trong các dịch vụ kiểu này thì có Mailblocks Extended Servivce khá hữu hiệu. Dầu sao, người mua dịch vụ phải trả cước phí hàng tháng nào đó cho công tác này.
* Người dùng Internet và các người quản lý hệ thống đã phát triển nhiều kỹ thuật để ngăn, lọc, hay cấm các spam thâm nhập vào các hộp thư. Hầu hết các ISP cấm việc dùng dịch vụ của họ để gửi spam. Cũng có nhiều tổ chức hay người tình nguyện đứng ra lo việc ngăn chặn spam như là Brightmail, Postini, và nhiều DNSBL.
* Một số chính phủ trong đó đi tiên phong là Hoa Kỳ đã có biện pháp mạnh mẽ hơn để bảo vệ người tiêu dùng bằng cách ra các đạo luật phạt vạ khắt khe các cơ sở hay cá nhân dùng spam mail. Tuy nhiên nhược điểm của phương án này là 3/4 các spam lại không dược gửi ra trong nước mà là chúng đến từ những nơi chưa có lệnh cấm.
* Hiện tại đang có nhiều nỗ lực để phát triển những tiêu chuẩn về thư điện tử mới ngõ hầu chấm dứt tình trạng này. Một khi các tiêu chuẩn đó được công nhận thì khái niệm spam sẽ không còn thông dụng nữa.
phishing :
Là các tấn công với mục đích cuối cùng là lấy tiền của người bị tấn công. Chúng thực hiện bằng cách đánh cắp các thông tin cá nhân của người sử dụng qua: điện thoại, email, hoặc message, web,… và. Các hoạt động tấn công trực tuyến của Phishing phổ biến núp dươí 2 dạng chính: dạng email và các trang web để lừa gạt người dùng. Chúng có thể sửa trang Web của các ngân hàng, tổ chức tài chính để thu thập thông tin hoặc có thể tấn công giả mạo các trang web, email để đánh lừa người dùng cung cấp các thông tin liên quan đến tài khoản,… Sau đó là dùng các thông tin này chiếm đoạt tài chính của người bị lừa.
Phishing là một dạng tội phạm trực tuyến, dẫn người sử dụng Internet tới những website do những băng nhóm lừa đảo kiểm soát. Những trang web này được thiết kế rất tinh vi, trông không khác gì so với những trang hợp pháp mà chúng bắt chước. Với một website như vậy, người sử dụng thường được yêu cầu cung cấp những thông tin cá nhân nhạy cảm như password, số thẻ an sinh, số tài khoản ngân hàng, số thẻ phúc lợi xã hội hoặc thẻ tín dụng. Thủ đoạn lừa lấy thông tin kiểu này thường được thực hiện dưới chiêu bài giả vờ nâng cấp thông tin tài khoản.
Trong gần như mọi trường hợp, nạn nhân nhận được một email có vẻ như được gửi đi từ một ngân hàng hoặc dịch vụ trực tuyến rất có uy tín, yêu cầu họ khai báo thông tin cá nhân và tài chính. Thỉnh thoảng mới có trường hợp người nhận đúng là khách hàng của ngân hàng hay dịch vụ đó. Và như vậy vô tình họ đã bị lừa. Phishing huỷ hoại mức độ tin cậy của các dịch vụ như ngân hàng trực tuyến, thương mại điện tử và các doanh nghiệp, khách hàng trở nên quá sợ hãi khi sử dụng các dịch vụ này.
Một trong nhiều lý do khiến người tiêu dùng bị lừa bởi phishing là vì họ đã không chú ý đến các tiểu tiết. Họ không thèm nhìn đến thanh địa chỉ, biểu tượng hay các chỉ dẫn bảo mật trên website giả. Điều này khiến cho họ dễ dàng biến thành mục tiêu của dân tội phạm mạng, chỉ cần chúng sử dụng một vài thủ thuật nho nhỏ như lập lờ địa chỉ URL, thay thế ký tự "l" bằng số 1 hoặc thậm chí là chữ I viết hoa... Ví dụ website phishing có địa chỉ là vvvvvv.dung1oveIT.com, nếu tinh ý bạn sẽ thấy 2 chữ v thay cho chữ w, chữ l trong love được thay bằng số 1.
Thêm nữa người tiêu dùng không thật sự hiểu rõ cú pháp của các tên miền. Ví dụ như họ thường nghĩ www.ebay-members-sercurity.com cũng thuộc về www.ebay.com
Ngoài ra nhiều người tin tưởng mù quáng vào logo hoặc những hình ản biểu tượng trên site và cho rằng đó là dấu hiệu bảo chứng cho đồ xịn. Trên thực tế, những icon này có thể dễ dàng làm giả và thêm vào bất cứ trang web nào.
Thuật ngữ liên quan
Mức độ thờ ơ, bàng quan của người tiêu dùng đã đạt đến mức báo động, gây sốc. Họ công khai thông tin nhạy cảm với bất cứ ai, kể cả khi chưa bao giờ xài đến dịch vụ của ngân hàng hay website đó. Sự thờ ơ này không phân biệt lứa tuổi, từ thanh niên cho đến người trưởng thành, tất cả đều dễ bị lừa như nhau.
Cách bảo vệ các máy PC trước Phishing và Pharming:
* Hãy thận trọng. Bạn không nên chủ quan dựa vào những nhận thức cá nhân để phân biệt giữa các hành vi hợp pháp và các hành vi không hợp pháp của các yêu cầu cung cấp thông tin bí mật. Phishers và Pharmer là là những kẻ rất tinh vi và rất hiểu người sử dụng.
* Không bao giờ cung cấp các thông tin cá nhân cho các doanh nghiệp, hoặc một ai đó nếu bạn không biết, đặc biệt là chưa từng tiếp xúc hoặc liên lạc.
* Xoá tất cả các email có yêu cầu tiết lộ thông tin cá nhân. Nếu bạn tin rằng các yêu cầu đó là hợp pháp, hãy sử dụng điện thoại để kiểm tralại các yêu cầu này, sau đó hãy chia sẻ thông tin qua điện thoại.
* Mua và cài đặt phần mềm phòng chống phishing với các giải pháp phòng chống phishing và pharming của các hãng có cung cấp giải pháp này, ví dụ như các sản phẩm của Trend Micro
* Hãy lưu đảm bảo rằng các bản vá được cập nhập, đặc biệt là các bản vá của hệ thống IM, email
* Kiểm tra với ISP của bạn để biết được bạn đang được bảo vệ trước nạn phishing và pharming tại cấp độ nào
Rootkit:
Là một bộ công cụ phần mềm dành cho việc che dấu làm các tiến trình đang chạy, các file hoặc dữ liệu hệ thống. Rootkit có nguồn gốc từ các ứng dụng tương đối hiền, nhưng những năm gần đây, rootkit đã bị sử dụng ngày càng nhiều bởi các phần mềm ác tính, giúp kẻ xâm nhập hệ thống giữ được đường truy nhập một hệ thống trong khi tránh bị phát hiện. Người ta đã biết đến các rootkit dành cho nhiều hệ điều hành khác nhau chẳng hạn Linux, Solaris và một số phiên bản của Microsoft Windows. Các rootkit thường sửa đổi một số phần của hệ điều hành hoặc tự cài đặt chúng thành các driver hay các môdule trong nhân hệ điều hành (kernel module).
Khi hay tin CD nhạc của Sony cài đặt rookit để giấu file chống sao chép xuất hiện vào tháng 11 năm ngoái, giới tin tặc hân hoan và nhanh chóng khai thác ứng dụng của Sony. Phần mềm của Sony giấu bất kỳ file hay tiến trình bắt đầu với "$sys$", những kẻ viết phần mềm độc hại đã đổi tên file để lợi dụng đặc điểm này .
Vào tháng 3, nhà sản xuất phần mềm chống virus ở Tây Ban Nha là Panda Software cho biết họ đang tìm biến thể của sâu Bagle cực kỳ độc hại có trang bị khả năng của rootkit. Trầm trọng hơn, tương tự như các "nhà sản xuất" chương trình botnet, những kẻ tạo phần mềm rootkit còn bán hoặc phát tán miễn phí các công cụ, giúp những tay viết phần mềm độc hại dễ dàng bổ sung chức năng rootkit cho các virus cũ như Bagle hay tạo loại mới. Một dự án do Microsoft và các nhà nghiên cứu của đại học Michigan thực hiện thật sự mở đường cho nghiên cứu rootkit, tạo ra một phương thức mới gần như "đặt" HĐH chạy trên phần mềm có tên SubVirt (tên của dự án nghiên cứu). HĐH vẫn làm việc bình thường, nhưng "máy ảo" điều khiển mọi thứ HĐH nhìn thấy và có thể dễ dàng giấu chính nó.
May mắn là kỹ thuật này không dễ thực hiện và người dùng dễ nhận ra vì làm chậm hệ thống và làm thay đổi những file nhất định. Hiện giờ, loại siêu rootkit này chỉ mới ở dạng ý tưởng, cần nhiều thời gian trước khi tin tặc có thể thực hiện phương thức tấn công này.
Khái niệm rootkit được sử dụng để mô tả các cơ chế và kĩ thuật được sử dụng bởi malware (malware là các phần mềm làm sai chức năng chương trình ứng dụng gồm: virus, spyware, và trojan...) cố gắng ẩn nấp, trốn tránh không bị phát hiện bởi các chương trình chống spyware, virus và các tiện ích hệ thống. Thực ra, rootkit tự bản thân không mang tính hiểm độc nhưng khi chúng được sử dụng cùng với các chương trình mang tính "phá hoại" như: virus, sâu, phần mềm gián điệp, trojan... thì lại nguy hiểm hơn rất nhiều.
Rootkit thực tế chẳng gây ảnh hưởng xấu nào. Mục đính duy nhất của rootkit là ẩn nấp, và tránh không bị phát hiện. Tuy nhiên, rootkit được sử dụng để giấu các đoạn mã hiểm độc thì rất nguy hiểm. Một số các sâu, virus, trojan và phần mềm gián điệp vẫn có khả năng duy trì hoạt động và không bị phát hiện khi sử dụng rootkit. Các malware sẽ không bị phát hiện thậm chí khi hệ thống được bảo vệ bởi các chương trình chống virus tốt nhất. Do đó, Rootkit thực sự là mối đe dọa rất nghiêm trọng.
Thực ra, hiện nay chỉ có một vài các phần mềm gián điệp và virus sử dụng rootkit để lẩn trốn. Một trong những ví dụ điển hình là sử dụng rootkit để xâm nhập hệ thống là vụ ăn trộm mã nguồn trò chơi nổi tiếng Half-Life 2.
Rootkit được sử dụng phổ biến trong các phần mềm gián điệp hơn là các virus. Một điều chắc chắn là rootkit vẫn là kĩ thuật còn đang phát triển, chưa có nhiều trong thực tế, nên mối đe dọa hiện tại của rootkit không lớn lắm so với những mối nguy hiểm tiềm tàng của kĩ thuật này.
- Phân loại rootkit:
Rootkit được phân loại dựa trên sự duy trì sau khi khởi động lại hoặc hoạt động ở chế độ người dùng (user mode) hay ở chế độ cấp hệ thống (kernel mode):
• Rootkit bám dai (Persistent Rootkits):
Persistent root kit là một loại rootkit kết hợp với các malware khác hoạt động mỗi khi hệ thống khởi động. Bởi vì các malware chứa mã phá hoại sẽ được thực thi tự động mỗi khi hệ thống khởi động hoặc khi người sử dụng đăng nhập vào hệ thống. Chúng cần phải lưu trữ các đoạn mã thực thi chương trình trong Registry, các tập tin hệ thống và các phương pháp cho phép âm thầm chạy các đoạn mã mà người sử dụng không hay biết.
• Rootkit trên bộ nhớ (Memory-Based Rootkits ):
Loại rootkit này chính là các malware không có những đoạn mã "dai dẳng" - chỉ lưu trong bộ nhớ, chính vì thế loại rootkit này không tồn tại sau khi khởi động lại máy.
• Rootkit chế độ người dùng (User-mode Rootkits):
Rootkit ở chế độ người dùng sử dụng nhiều phương pháp khác nhau để lẩn trốn không bị phát hiện. Ví dụ: rootkit ở chế độ người dùng sẽ chặn tất cả các hàm gọi hệ thống API (Application Programming Interface - Giao tiếp lập trình ứng dụng) như: FindFirstFile/FindNextFile. Những hàm này được gọi bởi các chương trình quản lý tập tin của Windows như Explorer và dấu đợi lệnh, để liệt kê toàn bộ các thư mục tập tin hệ thống. Khi một ứng dụng thực thi liệt kê danh sách thư mục và các tập tin có thể chứa rootkit, các rootkit này sẽ chặn các hàm này và thay đổi các kết quả dữ liệu đầu ra nhằm loại bỏ các tập tin chứa rootkit khỏi danh sách liệt kê.
Các hàm API hệ thống của Windows cung cấp giao tiếp (interface) giữa chế độ người dùng và dịch vụ hệ thống. Những rootkit ở chế độ người dùng phức tạp hơn sẽ chặn các tập tin hệ thống, Registry, và các hàm liệt kê các tiến trình (process) từ các hàm API hệ thống. Do đó, mọi sự phát hiện bởi các chương trình quét tập tin mà lấy kết quả từ các hàm liệt kê API của Windows đều bị thay đổi. Chính vì lẽ đó, hầu hết các chương trình diệt virus, spyware không thể phát hiện được rootkit.
• Rootkit chế độ nhân (Kernel-mode Rootkits):
Rootkit chế độ nhân nguy hiểm hơn các loại trên, chúng không chỉ chặn các hàm API hệ thống mà còn có thể thao tác trực tiếp các cấu trúc dữ liệu trong chế độ nhân. Một kĩ thuật chung cho việc ẩn nấp các tiến trình malware là loại bỏ các tiến trình này ra khỏi danh sách các tiến trình ở chế độ nhân. Bởi vì các hàm API quản lý các tiến trình đều phải phụ thuộc vào nội dung trong các cấu trúc dữ liệu này, nên khi rootkit thay đổi nội dung cấu trúc dữ liệu hệ thống thì các công cụ như Task Manager hoặc Process Explorer cũng không thể phát hiện được.
- Những malware sử dụng kĩ thuật rootkit: Vài Rootkit mang đúng ý nghĩa và tính chất của rootkit được biết đến như: Hacker Defender và FU. Một số phần mềm gián điệp, quảng cáo có sử dụng rootkit: EliteToolbar, ProAgent, and Probot SE. Các trojan như: Berbew/Padodor và Feutel/Hupigon và một số sâu như: Myfip.h và họ sâu Maslan cũng sử dụng rootkit.
- Dự đoán về rootkit : Rootkit thực sự đã trở thành phổ biến trong các phần mềm gián điệp và chúng cũng sẽ dần phổ biến trong các virus và sâu. Các tác giả viết virus bây giờ đã chuyên nghiệp hơn và cũng hoạt động với mục đích kinh doanh nữa. Chính vì vậy, họ hoàn toàn có đủ kĩ năng cũng như trình độ để cài đặt các rootkit rất phức tạp vào trong virus và sâu. Rootkit có thể làm ẩn các trojan và thư rác (spam) lâu hơn trên những máy bị nhiễm. Đây cũng là một nguyên nhân dẫn tới sự bùng nổ rootkit trong tương lai.
- Các chương trình diệt virus không phát hiện rootkit trước khi chúng kịp ẩn nấp chỉ đúng trong một số trường hợp bởi vì rootkit thường được phát tán bằng mã nguồn mở, điều này có nghĩa là hacker có thể thay đổi mã rootkit một cách nhanh chóng để các chương trình diệt virus không thể phát hiện được. Một số phần mềm chống virus mới có thể phát hiện được rootkit như F-Secure Internet Security 2005 có tính năng "Manipulation Control". Tính năng này có cơ cấu chặn các tiến trình hiểm độc "thao tác" gây ảnh hưởng tới các tiến trình khác. Tuy nhiên, chương trình F-Secure Internet Security 2005 cũng chỉ chặn được một vài rootkit.
- Cách phòng chống rootkit:
Rootkit khi kết hợp với malware trở nên nguy hiểm hơn rất nhiều, vì vậy bạn nên dùng một số phần mềm có thể phát hiện và tiêu diệt rootkit:
RootkitRevealer là chương trình tìm và tiêu diệt rootkit khá hiệu quả và hoàn toàn miễn phí. Chương trình có giao diện đơn giản bạn chỉ cần nhấn nút Scan và RootkitRevealer sẽ thực hiện công việc của mình.
BlackLight là phần mềm tiêu diệt rootkit của hãng F-Secure. Hiện nay, phiên bản beta của BlackLight hoàn toàn miễn phí
Phần mềm tống tiền (Ransomware)
Là loại phần mềm ác tính sử dụng một hệ thống mật mã hóa yếu (phá được) để mã hóa dữ liệu thuộc về một cá nhân và đòi tiền chuộc thì mới khôi phục lại.
Trong những công ty lớn, phòng ban phụ trách vấn đề công nghệ thông tin sẽ thường xuyên back-up lại dữ liệu. Chính vì thế mà mối đe doạ chủ yếu nhằm vào các doanh nghiệp nhỏ và người dùng cá nhân, do những đối tượng này thường không mấy chú trọng đến vấn đề back-up dữ liệu.
Tần suất các vụ tấn công “tống tiền” (ransomware) ngày càng dày đặc. Trong đó, kẻ tấn công dùng ransomware chiếm được một số file quan trọng trong máy tính và gửi tối hậu thư cho người dùng, rằng sẽ khóa file vĩnh viễn nếu họ không chịu trả tiền cho chúng
Thường thì ransomware sẽ sục quét ổ cứng của máy tính bị nhiễm (ví dụ như người dùng sử dụng các phần mềm diệt spyware dởm_ứng dụng này sẽ tự động tải về các đoạn mã hiểm hoặc mở toang cánh cửa máy tính để hacker đến tấn công,…), tìm kiếm theo một chuỗi từ khóa đã cài đặt sẵn để lùng ra những tài liệu có chứa các dữ liệu cá nhân hoặc tài chính quan trọng.
Ban đầu, ransomware mới chỉ sử dụng các thuật toán mã hoá đơn giản để "bắt cóc" các tệp tin và đòi tiền chuộc. Tuy nhiên, trong những vụ tấn công gần đây, trong các phần mềm ransomware (ransomware Gpcode, Cryzip và Krotten…)đã có sự xuất hiện của công nghệ mã hoá RSA và tin tặc cũng đã bắt đầu sử dụng các giải pháp bảo vệ mật khẩu và giấu tệp tin phức tạp hơn. Loại ransomware được phát hiện thấy hồi tháng 1/2006, đã sử dụng thuật toán RSA để tạo ra mã 56-bit. Từ đó đến nay, tác giả của ransomware này túc tắc tung ra thêm vài biến thể nữa, cái sau phức tạp hơn cái trước. Và đến tháng 6/2006, Gpcode.ag xuất hiện, sử dụng loại mã lên tới 660-bit. Nếu như hacker sử dụng RSA trong ransomware mới, các hãng bảo mật sẽ gần như không thể bẻ khoá, kể cả khi họ có huy động những hệ thống máy tính mạnh nhất để giải mã đi chăng nữa.
Ví dụ như con Troj/Ransom-A xuất hiện hồi tháng 4/2006 đã đe doạ cứ sau 30 phút nó sẽ xoá một tệp tin trên hệ thống của người dùng cho đến khi nào họ chấp nhận trả cho nó 10,99USD. Để tránh bị phát hiện, tác giả của những phần mềm ransonware thường yêu cầu các nạn nhân trả tiền thông qua dịch vụ chuyển tiền Western Union. Sau khi chúng nhận được tiền chúng sẽ cung cấp cho người dùng một mã khoá để vô hiệu hoá con trojan và khôi phục lại các tệp tin. Hay như phần mềm ransomware Archiveus xuất hiện trong tháng7/2006 có khả năng mã hoá và đặt mật khẩu chặn mọi sự truy cập đến các tệp tin. Và thay vì truy cập đến tệp tin dữ liệu mong muốn thì người dùng sẽ được dẫn đến một tệp tin khác nêu đầy đủ thông tin hướng dẫn cách khôi phục dữ liệu.
Ransomware rõ ràng sẽ còn là một vấn đề đau đầu của ngành công nghiệp bảo mật trong một thời gian dài nữa.
Trong lúc này, các hãng bảo mật cần phải tiếp tục nghiên cứu, tìm ra phương thức bảo vệ tối ưu để hacker không thể mã hóa hay truy cập được vào dữ liệu quan trọng của người dùng.
- Cách phòng chống:
- Back-up dữ liệu thật cẩn thận.
- Cẩn thận với những bức thư rác và các phần mềm dạng chia sẻ tệp tin ngang hàng P2P. Đây là những kênh phát tán chủ yếu của các loại phần mềm ransomware.
- Thường xuyên cập nhật phần mềm bảo mật và bản vá HĐH
- Nếu bạn là nạn nhân, hãy gọi cảnh sát, không trả tiền chuộc và đừng nhấn vào bất kỳ liên kết nào của tin tặc để lại. Ghi lại chi tiết bất kỳ ghi chú, thông điệp của những kẻ tống tiền để lại, tắt máy tính bị nhiễm. Từ một máy khác lên Internet tìm đúng thông điệp đó, có thể thấy được mật khẩu để cứu dữ liệu
Cửa hậu (Backdoor):
Trong một hệ thống máy tính, cửa hậu là một phương pháp vượt qua thủ tục chứng thực người dùng thông thường hoặc để giữ đường truy nhập từ xa tới một máy tính, trong khi cố gắng không bị phát hiện bởi việc giám sát thông thường. Cửa hậu có thể có hình thức một chương trình được cài đặt (ví dụ Back Orifice hoặc cửa hậu rookit Sony/BMG rootkit được cài đặt khi một đĩa bất kỳ trong số hàng triệu đĩa CD nhạc của Sony được chơi trên một máy tính chạy Windows), hoặc có thể là một sửa đổi đối với một chương trình hợp pháp - đó là khi nó đi kèm với Trojan.
Backdoor là một thuật ngữ chung chỉ các phần mềm độc hại thường trú và đợi lệnh điều khiển từ các cổng dịch vụ TCP hoặc UDP. Một cách đơn giản nhất, phần lớn các backdoor cho phép một kẻ tấn công thực thi một số hành động trên máy bị nhiễm như truyền file, dò mật khẩu, thực hiện mã lệnh,... Backdoor cũng có thể được xem xét dưới 2 dạng: Zoombie và Remote Administration Tool.
Backdoor program (Chương trình cửa sau): Đây là chương trình phần mềm cho phép kẻ tấn công điều khiển máy từ xa, giấu tất cả bằng chứng thực. Các hãng phần mềm và chính người dùng lại là tác giả phổ biến nhất của các chương trình backdoor. Họ sử dụng chúng để thực hiện các bài kiểm tra. Backdoor Trojan horse là chương trình spyware phá huỷ máy tính. Các Trojan horses này đưa chương trình backdoor vào nằm trên máy bạn và thâm nhập để thu thập tin tức hoặc cài đặt phần mềm gián điệp spyware.
Virus lây qua passport:
Virus lây qua passport:
Hộ chiếu (passport), bộ cạo râu tự động hay thậm chí con vật nuôi của bạn có thể sẽ "bắc cầu" cho virus. Có vẻ cường điệu, nhưng gần đây những nhà nghiên cứu của Hà Lan đã chứng minh điều đó là có thể. RFID (Radio-Frequency Identification) là một chip nhỏ, không đắt tiền, có thể nhúng vào trong những vật dụng cá nhân và thẻ nhận diện vật nuôi, sắp tới có thể nó xuất hiện trong bằng lái xe và giấy thông hành ở Mỹ. RFID được dùng để truyền tải thông tin trong khoảng cách ngắn. Mặc dù có nhiều tiện lợi nhưng về mặt an ninh nó lại có nhiều điểm yếu. Thí dụ như thông tin có thể bị sửa đổi hay đọc "lén".
Các nhà nghiên cứu Hà Lan đã thử nghiệm thay đổi các thẻ RFID và dùng những lệnh có hành vi giống virus để nhiễm vào hệ thống CSDL. Theo lý thuyết, hệ thống RFID có thể bị hạ gục và chạy những ứng dụng gây hại, một viễn cảnh "hãi hùng" cho những công ty và chính phủ đang nhắm tới công nghệ này.
Một số chuyên gia an ninh máy tính đã chỉ ra rằng có thể xây dựng một hệ thống RFID chắc chắn bằng cách tạo thêm một "lớp đệm" giữa máy đọc và CSDL thì sẽ không có những cuộc tấn công như thế. Và chip RFID quan trọng có thể sử dụng mã hóa và vỏ bảo vệ để chống những ý đồ tấn công.
- Cách phòng chống:
Tín hiệu RFID không thể truyền qua kim loại. Nếu sử dụng thẻ RFID, hãy đặt nó trong hộp hay vỏ kim loại.
Virus điện thoại di động:
Chỉ riêng hệ thống PC đã đủ làm người dùng đau đầu, nay lại có virus điện thoại di động. Loại này thường lây qua tin nhắn. Một vài virus ĐTDĐ cũng đánh sập HĐH và làm hỏng thiết bị. Một số khác chỉ gây khó chịu như thay đổi các biểu tượng làm thiết bị trở nên khó sử dụng. Một số ít còn nhằm vào tiền. Ví dụ, một Trojan lây lan các điện thoại ở Nga gửi tin nhắn tới những dịch vụ tính tiền người gửi.
Cho tới giờ thì những cuộc phá hoại chỉ mới ở châu Âu, Á, chưa gây vấn đề gì nghiêm trọng ở Mỹ, nhưng nhiều chuyên gia nghĩ rằng chỉ còn là vấn đề thời gian.
Rất giống với virus sinh học, virus ĐTDĐ thường cần tiếp cận đối tượng để lây nhiễm. Chuyên gia bảo mật máy tính như Mikko Hypponen, trưởng bộ phận nghiên cứu của công ty phần mềm chống virus F-Secure, thường sử dụng điện thoại không bảo vệ. Trong một lần đi nghỉ ở London, điện thoại của anh bị truy cập trái phép 4 lần qua giao thức Bluetooth, giao thức có thể sử dụng trong bán kính gần 10 m. Bluetooth là thông dụng nhất, nhưng không phải là cách duy nhất. Ví dụ virus Mabir lây nhiễm qua tin nhắn SMS.
Đất dụng võ tốt nhất của virus ĐTDĐ là thiết bị sử dụng HĐH Symbian, tiếp theo là Windows Mobile và thiết bị sử dụng công nghệ Java. Theo sau phát hiện Cabir.A tháng 6/2004, số lượng virus môi trường di động tiếp tục gia tăng. Tính tới thời điểm 15/05/2006 có 211 biến thể (cuối năm 2005 mới có hơn 156 biến thể)
-Cách phòng chống:
- Tắt Bluetooth của smartphone hay PDA để hạn chế những cách lây lan thông thường.
- Theo dõi chặt chẽ những mục trong hóa đơn điện thoại của bạn để biết những cước phí lạ.
- Sử dụng chương trình chống virus môi trường di động như: F-Secure, Kaspersky, McAfee và TrendMicro.
Vn-Z.vn team tổng hợp . Ghi rõ nguồn khi lấy thông tin từ bài viết này
