Tải bản đầy đủ (.doc) (20 trang)

Trình bày các loại virus và phần mềm gián điệp (spyware) đã tấn công hệ thống dữ liệu của doanh nghiệp.doc

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (185.91 KB, 20 trang )

Đề tài:
Trình bày các loại virus và phần mềm gián điệp
(spyware) đã tấn công hệ thống dữ liệu của doanh
nghiệp
I. Thực trạng về các loại virus và phần mềm gián điệp
(spyware) hiện nay:
1. Sự cần thiết bảo mật hệ thống dữ liệu của doanh nghiệp:
Thế giới thay đổi từng ngày trong việc truyền thông dữ liệu toàn cầu,
những kết nối Internet rẻ tiền và tốc độ ngày một nhanh hơn thì việc bảo
mật hệ thống là một vấn đề hết sức hữu ích. Nhiều tổ chức tập trung vào
việc bảo vệ chống lại các tấn công bên ngoài nhưng lại bỏ qua những hiểm
họa thậm chí còn nguy hiểm hơn nhiều: mất cắp dữ liệu bởi ai đó bên trong
công ty. Đây là một góc nhìn quan trọng cần phải đề cập đến trong vấn đề
bảo mật.
Một cách đáng tiếc, những đề phòng bảo mật dùng để ngăn chặn các
tấn công DoS, virus, worm, và các tấn công khác lại dường như không thể
giải quyết được đến vấn đề sảo quyệt hơn: trộm dữ liệu công ty cho mục
đích gián điệp hoặc các mục đích khác. Sự phơi bày các bí mật thương mại
trước một đối thủ cạnh tranh hoặc phóng thích các thông tin riêng tư của
công ty cho giới truyền thông, trong một số trường hợp, có thể gây ra mất
mát rất nhiều so với thời gian ngừng hoạt động của máy móc.
Vì vậy, việc bảo mật hệ thống dữ liệu của doanh nghiệp từ nguy cơ
bên ngoài cũng như những mối đe doạ từ bên trong là rất cần thiết nhất là
đối với các doanh nghiệp thương mại điện tử, lấy thông tin làm nên tảng
cho hoạt động kinh doanh của doanh nghiệp.
2. Thực trạng về các loại virus và phần mềm gián điệp
2.1. Thực trạng về các loại virus:
Virus máy tính có thể lây vào máy tính của bạn qua email, qua các
file bạn tải về từ Internet hay copy từ máy khác về, và cũng có thể lợi dụng
các lỗ hổng phần mềm để xâm nhập từ xa, cài đặt, lây nhiễm lên máy tính
của bạn một cách âm thầm.


Các virus ngày nay thường phục vụ cho những mục đích kinh tế hoặc phá
hoại cụ thể. Chúng có thể chỉ lợi dụng máy tính của bạn để phát tán thư
quảng cáo hay thu thập địa chỉ email của bạn. Cũng có thể chúng được sử
dụng để ăn cắp tài khoản ngân hàng, tài khoản hòm thư hay các thông tin
các nhân quan trọng của bạn. Cũng có thể chúng sử dụng máy bạn như một
công cụ để tấn công vào một hệ thống khác hoặc tấn công ngay vào hệ
thống mạng bạn đang sử dụng. Đôi khi bạn là nạn nhân thực sự mà virus
nhắm vào, đôi khi bạn vô tình trở thành "trợ thủ" cho chúng tấn công vào hệ
thống khác.
Trong năm 2010, đã có 57.835 dòng virus xuất hiện mới, nhưng virus
lây lan nhiều nhất lại là một dòng virus cũ W32.Conficker.Worm, tính riêng
ở Việt Nam đã có tới 58,6 triệu lượt máy tính bị nhiễm virus. Theo đó, trung
bình một ngày đã có hơn 160 nghìn máy tính bị nhiễm virus. Các chuyên
gia an ninh mạng đánh giá, đây là con số báo động về tình hình virus máy
tính tại Việt Nam. Các virus siêu đa hình (Metamorphic virus) tiếp tục đứng
trong top 3 những virus lây nhiễm nhiều nhất trong năm và là nỗi ám ảnh
với người sử dụng máy tính tại Việt Nam. Với khả năng “thay hình đổi
dạng” để lẩn trốn, 2 dòng virus Vetor và Sality đã lan truyền trên 5,9 triệu
lượt máy tính.
2.2. Thực trạng về các phần mềm gián điệp
Một cách để kiếm thêm thu nhập là thu thập thông tin từ người đã tải
về các phần mềm này (như là tên tuổi, địa chỉ và các thị hiếu) rồi đem bán
thông tin này cho các hãng chuyên làm quảng cáo. Cách thu thập ban đầu
chỉ là dựa vào sự điền vào các mẫu đăng kí (register). Nhưng sau đó, để chủ
động hơn, cách thức đọc thông tin được chuyển sang dạng cài lén phần
mềm phụ để tự nó đọc thông tin của chủ và gửi thẳng về cho nơi mà phần
mềm gián điệp này được chỉ thị.
Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm
phạm, spyware còn sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ
nhớ (memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ

của các spyware qua các liên kết Internet. Vì spyware dùng tài nguyên của
bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể
dẫn tới hư máy hay máy không ổn định.
Bởi vì là một chương trình độc lập nên spyware có khả năng điều
khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm
soát các ứng dụng khác như là chương trình trò chuyện trực tuyến hay
chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc các cookie,
thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liên tục các
thông tin trở về chủ của spyware, người mà có thể dùng các tin tức này cho
quảng cáo/tiếp thị hay bán tin tức cho các chỗ khác. Và tệ hại nhất là nó có
khả năng ăn cắp mật khẩu truy nhập (login password) cũng như ăn cắp các
các tin tức riêng tư của người chủ máy (như là số tài khoản ở ngân hàng,
ngày sinh và các con số quan trọng khác...) nhằm vào các mưu đồ xấu.
II. Một số loại virus và phần mềm gián điệp (spyware) đã tấn
công hệ thống dữ liệu của doanh nghiệp
1. Virus:
1.1. Khái niệm:
Có nhiều định nghĩa về virus, song, trong khoa học máy tính định
nghĩa, virus máy tính (thường được người sử dụng gọi tắt là virus) là những
chương trình hay đoạn mã được thiết kế để tự nhân bản và sao chép chính
nó vào các đối tượng lây nhiễm khác (file, ổ đĩa, máy tính,...). Có đặc điểm
chung là:
- Kích thước nhỏ.
- Có khả năng lây lan, tức là tự sao chép chính nps lên các thiết bj lưu
trữ dữ liệu như đĩa cứng, đĩa mềm, băng từ…
- Hoạt động ngầm: hầu như người sử dụng không thể nhận biết được
sự thực hiện của một chương trình virus vì kích thước của nó nhỏ, thời gian
thực hiện nhanh và người viết virus luôn tìm cách che dấu sự hiện diện của
nó. Virus nằm thường trú ở bộ nhớ bên trong để tiến hành lây lan và phá
hoại. Hầu hết các virus đều thực hiện công việc phá hoạt như ghi đè lên dữ

liệu, phá hỏng bảng FAT, khống chế bàn phím, sửa đổi cấu hình hệ thống,
chiếm vùng trọng nhớ.
Những virus mới được viết trong thời gian gần đây không còn thực
hiện các trò đùa hay sự phá hoại đối máy tính của nạn nhân bị lây nhiễm
nữa, mà đa phần hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm
(các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều
khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus.
1.2. Sự phát triển:
Có nhiều quan điểm khác nhau về lịch sử của virus điện toán. Ở đây
chỉ nêu rất vắn tắt và khái quát những điểm chung nhất và, qua đó, chúng ta
có thể hiểu chi tiết hơn về các loại virus:
• Năm 1949: John von Neumann (1903-1957) phát triển nền tảng lý
thuyết tự nhân bản của một chương trình cho máy tính.
• Vào cuối thập niên 1960 đầu thập niên 1970 đã xuất hiện trên các
máy Univax 1108 một chương trình gọi là "Pervading Animal" tự nó có thể
nối với phần sau của các tập tin tự hành. Lúc đó chưa có khái niệm virus.
• Năm 1981: Các virus đầu tiên xuất hiện trong hệ điều hành của
máy tính Apple II.
• Năm 1983: Tại Đại Học miền Nam California, tại Hoa Kỳ, Fred
Cohen lần đầu đưa ra khái niệm computer virus như định nghĩa ngày nay.
• Năm 1986: Virus "the Brain", virus cho máy tính cá nhân (PC) đầu
tiên, được tạo ra tại Pakistan bởi Basit và Amjad. Chương trình này nằm
trong phần khởi động (boot sector) của một dĩa mềm 360Kb và nó sẽ lây
nhiễm tất cả các ổ dĩa mềm. Đây là loại "stealth virus" đầu tiên.
• Cũng trong tháng 12 năm này, virus cho DOS được khám phá ra là
virus "VirDem". Nó có khả năng tự chép mã của mình vào các tệp tự thi
hành (executable file) và phá hoại các máy tính VAX/VMS.
• Năm 1987: Virus đầu tiên tấn công vào command.com là virus
"Lehigh".
• Năm 1988: Virus Jerusalem tấn công đồng loạt các đại học và các

công ty trong các quốc gia vào ngày thứ Sáu 13. Đây là loại virus hoạt động
theo đồng hồ của máy tính (giống bom nổ chậm cài hàng loạt cho cùng một
thời điểm).
• Tháng 11 cùng năm, Robert Morris, 22 tuổi, chế ra worm chiếm cứ
các máy tính của ARPANET, làm liệt khoảng 6.000 máy. Morris bị phạt tù
3 năm và 10.000 dollar. Mặc dù vậy anh ta khai rằng chế ra virus vì "chán
đời" (boresome).
• Năm 1990: Chương trình thương mại chống virus đầu tiên ra đời
bởi Norton.
• Năm 1991: Virus đa hình (polymorphic virus) ra đời đầu tiên là
virus "Tequilla". Loại này biết tự thay đổi hình thức của nó, gây ra sự khó
khăn cho các chương trình chống virus.
• Năm 1994: Những người thiếu kinh nghiệm, vì lòng tốt đã chuyển
cho nhau một điện thư cảnh báo tất cả mọi người không mở tất cả những
điện thư có cụm từ "Good Times" trong dòng bị chú (subject line) của
chúng. Đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các
điện thư và lợi dụng vào "tinh thần trách nhiệm" của các người nhận được
điện thư này để tạo ra sự luân chuyển.
• Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong
các mã macro trong các tệp của Word và lan truyền qua rất nhiều máy. Loại
virus này có thể làm hư hệ điều hành chủ. Macro virus là loại virus viết ra
bằng ngôn ngữ lập trình Visual Basic cho các ứng dụng (VBA) và tùy theo
khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft
như Word, Excel, PowerPoint, OutLook,.... Loại macro này, nổi tiếng có
virus Baza và virus Laroux, xuất hiện năm 1996, có thể nằm trong cả Word
hay Excel. Sau này, virus Melissa, năm 1997, tấn công hơn 1 triệu máy, lan
truyền bởi một tệp đính kèm kiểu Word bằng cách đọc và gửi đến các địa
chỉ của Outlook trong các máy đã bị nhiễm virus. Virus Tristate, năm 1999,
có thể nằm trong các tệp Word, Excel và Power Point.
• Năm 2000: Virus Love Bug, còn có tên ILOVEYOU, đánh lừa tính

hiếu kì của mọi người. Đây là một loại macro virus. Đặc điểm là nó dùng
đuôi tập tin dạng "ILOVEYOU.txt.exe". Lợi dụng điểm yếu của Outlook
thời bấy giờ: theo mặc định sẵn, đuôi dạng .exe sẽ tự động bị dấu đi. Ngoài
ra, virus này còn có một đặc tính mới của spyware: nó tìm cách đọc tên và
mã nhập của máy chủ và gửi về cho tay hắc đạo. Khi truy cứu ra thì đó là
một sinh viên người Philippines. Tên này được tha bổng vì Philippines chưa
có luật trừng trị những người tạo ra virus cho máy tính.
• Năm 2002: Tác giả của virus Melissa, David L. Smith, bị xử 20
tháng tù.
• Năm 2003: Virus Slammer, một loại worm lan truyền với vận tốc
kỉ lục, truyền cho khoảng 75 ngàn máy trong 10 phút.
• Năm 2004: Đánh dấu một thế hệ mới của virus là worm Sasser.
Với virus này thì người ta không cần phải mở đính kèm của điện thư mà chỉ
cần mở lá thư là đủ cho nó xâm nhập vào máy. Cũng may là Sasser không
hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ trở nên chậm hơn và đôi
khi nó làm máy tự khởi động trở lại. Tác giả của worm này cũng lập một kỉ
lục khác: tay hắc đạo (hacker) nổi tiếng trẻ nhất, chỉ mới 18 tuổi, Sven
Jaschan, người Đức. Tuy vậy, vì còn nhỏ tuổi, nên vào tháng 7 năm 2005
nên tòa án Đức chỉ phạt anh này 3 năm tù treo và 30 giờ lao động công ích.
• Với khả năng của các tay hacker, virus ngày ngay có thể xâm nhập
bằng cách bẻ gãy các rào an toàn của hệ điều hành hay chui vào các chỗ hở
của các phần mềm nhất là các chương trình thư điện tử, rồi từ đó lan tỏa
khắp nơi theo các nối kết mạng hay qua thư điện tử. Do dó, việc truy tìm ra
nguồn gốc phát tán virus sẽ càng khó hơn nhiều. Chính Microsoft, hãng chế
tạo các phần mềm phổ biến, cũng là một nạn nhân. Họ đã phải nghiên cứu,
sửa chữa và phát hành rất nhiều các phần mềm nhằm sửa các khuyết tật của
phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack)
nhằm giảm hay vô hiệu hóa các tấn công của virus. Nhưng dĩ nhiên với các
phần mềm có hàng triệu dòng mã nguồn thì mong ước chúng hoàn hảo theo
ý nghĩa của sự an toàn chỉ có trong lý thuyết. Đây cũng là cơ hội cho các

nhà sản xuất các loại phần mềm bảo vệ có đất dụng võ.
1.3. Phân loại Virus:
• Virus Boot
Khi máy tính của bạn khởi động, một đoạn chương trình nhỏ trong ổ
đĩa khởi động của bạn sẽ được thực thi. Đoạn chương trình này có nhiệm vụ
nạp hệ điều hành (Windows, Linux hay Unix...). Sau khi nạp xong hệ điều
hành bạn mới có thể bắt đầu sử dụng máy. Đoạn mã nói trên thường được
để ở vùng trên cùng của ổ đĩa khởi động, và chúng được gọi là "Boot
sector".
Virus Boot là tên gọi dành cho những virus lây vào Boot sector. Các
Virus Boot sẽ được thi hành mỗi khi máy bị nhiễm khởi động, trước cả thời
điểm hệ điều hành được nạp lên.

• Virus File
Là những virus lây vào những file chương trình, phổ biến nhất là trên
hệ điều hành Windows như các file có đuôi mở rộng .com, .exe, .bat, .pif,
.sys...Khi bạn chạy một file chương trình đã bị nhiễm virus cũng là lúc virus
được kích hoạt và tiếp tục tìm các file chương trình khác trong máy của bạn
để lây vào.
Thực tế các loại virus lây file ngày nay cũng hầu như không còn xuất
hiện và lây lan rộng nữa.
• Virus Macro
Là loại virus lây vào những file văn bản (Microsoft Word), file bảng
tính (Microsoft Excel) hay các file trình diễn (Microsoft Power Point) trong
bộ Microsoft Office. Macro là tên gọi chung của những đoạn mã được thiết
kế để bổ sung thêm tính năng cho các file của Office. Chúng ta có thể cài
đặt sẵn một số thao tác vào trong macro, và mỗi lần gọi macro là các phần
cài sẵn lần lượt được thực hiện, giúp người sử dụng giảm bớt được công lặp
đi lặp lại những thao tác giống nhau. Có thể hiểu nôm na việc dùng Macro
giống như việc ta ghi lại các thao tác, để rồi sau đó cho tự động lặp lại các

thao tác đó bằng một yêu cầu duy nhất.
• Con ngựa Thành Tơ-roa - Trojan Horse
Trojan là một đoạn mã chương trình hoàn toàn không có tính chất lây
lan. Đầu tiên kẻ viết ra Trojan bằng cách nào đó lừa cho đối phương sử
dụng chương trình của mình hoặc ghép trojan đi kèm với các virus (đặc biệt
là các virus dạng Worm) để xâm nhập, cài đặt lên máy nạn nhân. Đến thời
điểm thuận lợi, Trojan sẽ ăn cắp thông tin quan trọng trên máy tính của nạn
nhân như số thẻ tín dụng, mật khẩu....để gửi về cho chủ nhân của nó ở trên
mạng hoặc có thể ra tay xoá dữ liệu nếu được lập trình trước.
• Sâu Internet - Worm
Sâu Internet -Worm là loại virus có sức lây lan rộng, nhanh và phổ
biến nhất hiện nay. Worm kết hợp cả sức phá hoại của virus, đặc tính âm
thầm của Trojan và hơn hết là sự lây lan đáng sợ mà những kẻ viết virus
trang bị cho nó để trở thành một kẻ phá hoại với vũ khí tối tân. Tiêu biểu
như Mellisa hay Love Letter. Với sự lây lan đáng sợ chúng đã làm tê liệt
hàng loạt các hệ thống máy chủ, làm ách tắc đường truyền Internet.
Vào thời điểm ban đầu, Worm được dùng để chỉ những virus phát tán
bằng cách tìm các địa chỉ trong sổ địa chỉ (Address book) của máy mà nó
đang lây nhiễm và tự gửi chính nó qua email tới những địa chỉ tìm được.
Với sự lây lan nhanh và rộng lớn như , Worm thường được kẻ viết ra
chúng cài thêm nhiều tính năng đặc biệt, chẳng hạn như chúng có thể định
cùng một ngày giờ và đồng loạt từ các máy nạn nhân (hàng triệu máy) tấn
công vào một địa chỉ nào đó. Ngoài ra, chúng còn có thể mang theo các
BackDoor thả lên máy nạn nhân, cho phép chủ nhân của chúng truy nhập
vào máy của nạn nhân và có thể làm đủ mọi thứ như ngồi trên máy đó một
cách bất hợp pháp.
Ngày nay khái niệm Worm đã được mở rộng để bao gồm cả các virus
lây lan qua mạng chia sẻ ngang hàng peer to peer, các virus lây lan qua ổ
đĩa usb hay các dịch vụ gửi tin nhắn tức thời (chat) và đặc biệt là các virus
khai thác các lỗ hổng phần mềm để lây lan. Các phần mềm (nhất là hệ điều

hành và các dịch vụ trên đó) luôn chứa đựng những lỗi tiềm tàng (ví dụ: lỗi
tràn bộ đệm…) mà không phải lúc nào cũng có thể dễ dàng phát hiện ra.
Khi một lỗ hổng phần mềm được phát hiện, không lâu sau đó sẽ xuất hiện
các virus có khả năng khai thác các lỗ hổng này để lây nhiễm lên các máy
tính từ xa một cách âm thầm mà người chủ máy hoàn toàn không hay biết.
Từ các máy này, Worm sẽ tiếp tục "bò" qua các máy tính khác trên mạng
Internet với một cách thức tương tự.
1. 4. Các cuộc tấn công của virus trong các doanh nghiệp:
Hệ thống máy tính của hải quan Mỹ bị virus làm tê liệt nhiều giờ:
Hãng Tân Hoa đưa tin, Bộ An ninh Nội địa Mỹ thừa nhận virus máy
tính ngày 18/8 đã tấn công và làm tê liệt hệ thống máy tính của hải quan Mỹ
trong nhiều giờ, gây ách tắc tại các sân bay lớn của Mỹ ở các thành phố
New York, San Francisco, Maiami, Los Angeles, Huston, Dalas, Texas...
Nhân viên hải quan Mỹ tại các sân bay nói trên buộc phải xử lý tình
huống bằng các phương tiện thủ công. Tại sân bay Maiami, hành khách phải
chờ đợi 5 giờ để được làm các thủ tục xuất nhập cảnh và hải quan.
Các chuyên gia máy tính Mỹ vẫn chưa xác định được địa điểm tin tặc
khởi đầu cuộc tấn công nhưng thừa nhận rằng toàn bộ hệ thống dữ liệu hải
quan của Mỹ đặt tại Virginia đã bị virus làm tê liệt suốt 5 giờ liền.
Sâu SQL Slammer làm đình trệ mạng Internet toàn cầu:
Một loại sâu có khả năng tấn công vào phần mềm cơ sở dữ liệu của
Microsoft đã lây lan rộng trên Internet vào cuối tuần vừa qua, khiến một số
loại máy rút tiền ngưng hoạt động, khiến hầu hết mạng Internet của Hàn
Quốc tắc nghẽn và làm chậm giao thông mạng tại Mỹ cũng như mạng
Internet toàn cầu nói chung.
Loại sâu này, có tên là SQL Slammer, đã lợi dụng một lỗi vừa được
phát hiện trong phần mềm CSDL SQL Server của Microsoft vào tháng
7/2002 để phát tán. Mắc dù một bản phần mềm sửa lỗi (patch) đã được cung
cấp sau khi lỗ hổng này được phát hiện, vẫn có rất nhiều người quản trị
mạng không thể cài được bản sửa lỗi này và để máy chủ của họ trong tình

trạng nguy hiểm.
Ngân hàng Bank of America của Mỹ cho biết 13.000 máy rút tiền
ATM đã từ chối cho rút tiền. Tại Hàn Quốc, nhà cung cấp dịch vụ Internet
lớn nhất KT cho biết hầu như tất cả khách hàng của hãng này đã bị ngắt kết
nối Internet trong khi cuộc tấn công xảy ra. Những người sử dụng máy tính
tại Trung Quốc cho biết các website trên mạng bị""chết cứng"" và tốc độ
download giảm xuống rất thấp. Đó là lúc các máy chủ định danh DNS của
nước này (các máy chủ chuyên chuyển đổi các địa chỉ trang web sang các
địa chỉ số theo giao thức Internet (IP) bị sâu SQL Slammer tấn công. Và chỉ
vẹn vẹn với 376 byte mã dòng lệnh, tương đương với nửa số ký tự trong
đoạn văn mà bạn đang đọc, sâu SQL Slammer đã có sức mạnh ghê gớm và
gây ra một nạn dịch trên quy mô toàn cầu.
2. Spyware:
2.1. Khái niệm:
Phần mềm gián điệp, còn được dùng nguyên dạng Anh ngữ là
spyware, là loại phần mềm chuyên thu thập các thông tin từ các máy chủ
(thông thường vì mục đích thương mại) qua mạng Internet mà không có sự
nhận biết và cho phép của chủ máy. Một cách điển hình, spyware được cài
đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn
phí (freeware) và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ
Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ

×