Tải bản đầy đủ (.docx) (27 trang)
  1. Trang chủ
    2. >>
  2. Công nghệ thông tin
    3. >>
  3. Quản trị mạng

BÀI TẬP LỚN PHÁT HIỆN MÃ ĐỘC TRONG IOT

Bạn đang xem bản rút gọn của tài liệu. Xem và tải ngay bản đầy đủ của tài liệu tại đây (487.99 KB, 27 trang )

HỌC VIỆN KỸ THUẬT MẬT MÃ

BÀI TẬP LỚN
PHÁT HIỆN MÃ ĐỘC TRONG IOT

Giảng viên hướng dẫn:
Thành viên:

Hà Nội, 10/2019


MỤC LỤC

DANH MỤC CHỮ VIẾT TẮT
Viết tắt

Tiếng Anh

Tiếng Việt

IoT

Internet of things

Internet Vạn Vật

PKI

Public key infrastructure

Hạ tầng khóa công khai



SOC

System-on-a-chip

Hệ thống trên một vi mạch

API

Application Programming Interface

Giao diện lập trình ứng
dụng

2


DANH MỤC HÌNH VẼ

MỞ ĐẦU
Trong quá trình phát triển của con người, những cuộc cách mạng về công nghệ
3


đóng một vai trò rất quan trọng, chúng làm thay đổi từng ngày từng giờ cuộc sống của
con người, theo hướng hiện đại hơn. Đi đôi với quá trình phát triển của con người,
những thay đổi do chính tác động của con người trong tự nhiên, trong môi trường
sống cũng đang diễn ra, tác động trở lại chúng ta, như ô nhiễm môi trường, khí hậu
thay đổi, v.v... Dân số càng tăng, nhu cầu cũng tăng theo, các dịch vụ, các tiện ích từ
đó cũng được hình thành và phát triển theo. Đặc biệt là áp dụng các công nghệ của

các ngành điện tử, công nghệ thông tin và truyền thông vào trong thực tiễn cuộc sống
con người. Công nghệ Internet of Things (IoT) được kỹ thuật điện tử, tin học và viễn
thông tiên tiến vào trong mục đích nghiên cứu, giải trí, sản xuất, kinh doanh, v.v...,
phạm vi này ngày càng được mở rộng, để tạo ra các ứng dụng đáp ứng cho các nhu
cầu trên các lĩnh vực khác nhau.
Tuy vậy, với một hệ sinh thái phức tạp, IoT tồn tại hàng loạt lỗ hổng an ninh có
thể bị khai thác và gây ảnh hưởng trực tiếp đến dữ liệu riêng tư của người sử dụng.
Một nghiên cứu gần đây của OWASP (Open Web Application Security Project) đã chỉ
ra rằng 75% thiết bị IoT bao gồm cả các thiết bị được tích hợp trong giao thông tự
hành, các hệ thống giám sát, nhà thông minh có nguy cơ bị tin tặc tấn công và xâm
hại. Các phương pháp bảo mật truyền thống như IPSec, PKI, cơ chế trao đổi khóa
Diffie-Hellman đòi hỏi khối lượng tính toán lớn và không phù hợp để tích hợp trong
các thiết bị IoT vốn bị hạn chế về hiệu năng, năng lượng và không gian lưu trữ. Bên
cạnh đó, sự bất đồng nhất về chuẩn giao thức, cơ sở hạ tầng giữa các nhà sản xuất
cũng dẫn đến nhiều khó khăn đối với việc xây dựng một giải pháp hoàn thiện về an
ninh cho mạng IoT hiện đại.
Mục đích nghiên cứu
Tìm hiểu, phát hiện và đưa ra được những giải pháp phòng chống mã độc trong
IoT.

1.

CHƯƠNG I: TỔNG QUAN VỀ INTERNET OF THINGS
Giới thiệu

Internet of Things (IoT – Internet vạn vật) là một kịch bản mà mỗi đồ vật, con
người được cung cấp một định danh riêng, có khả năng truyền tải, trao đổi thông tin
giao tiếp với nhau mà không cần sự can thiệp của con người.
4



Các đối tượng/đồ vật hoạt động tự động và giao tiếp với các đối tượng khác
thông qua môi trường mạng. Các nút IoT có khả năng cung cấp dữ liệu nhẹ, truy cập
và ủy quyền các tài nguyên dựa trên đám mây để thu thập, trích xuất dữ liệu và đưa ra
quyết định bằng cách phân tích dữ liệu được thu thập.
Sự xuất hiện của IoT đã dẫn đến sự kết nối lan tỏa của con người, dịch vụ, cảm
biến và đối tượng. IoT hiện nay là một trong các nền tảng của nhà thông minh, thành
phố thông minh, các hệ thống quản lý năng lượng thông minh hay các hoạt động
chăm sóc sức khỏe tiến tới xa hơn là nền tảng của công nghệ 4.0. Hơn nữa, sự phụ
thuộc của các thiết bị IoT vào cơ sở hạ tầng đám mây để truyền tải, lưu trữ và phân
tích dữ liệu đã dẫn đến sự phát triển của các mạng IoT hỗ trợ đám mây. Từ đó làm
tiền đề phát triển sâu và rộng hơn.

Hình 1.1. Internet of things
2.

Lịch sử phát triển của IOT

Internet of Things – IoT được đưa ra bởi các nhà sáng lập của MIT Auto-ID
Center đầu tiên, năm 1999 Kevin Ashton đã đưa ra cụm từ Internet of Things nhằm để
chỉ các đối tượng có thể được nhận biết cũng như sự tồn tại của chúng. Thuật ngữ
Auto-ID chỉ tới bất kỳ một lớp rộng của các kỹ thuật xác minh sử dụng trong công
nghiệp để tự động hóa, giảm các lỗi và tăng hiệu năng. Các kỹ thuật đó bao gồm các
mã vạch, thẻ thông minh, cảm biến, nhận dạng tiếng nói, và sinh trắc học. Từ năm
5


2003 Kỹ thuật Auto-ID trong các hoạt động chính là Radio Frequency Identification –
RFID.
Đỉnh cao của Auto-ID Center là vào tháng 9/2003, khi hội nghị chuyên đề EPC

(Electronic Product Code) tổ chức tại Chicago (Illinois, Mỹ) đánh dấu sự xuất hiện
chính thức của hệ thống mạng EPC – một cơ sở hạ tầng kỹ thuật mở cho phép các
máy tính tự động xác định các vật thể nhân tạo và theo dõi chúng khi chúng đi từ nhà
máy tới trung tâm phân phối để lưu trữ trên các giá. Hội nghị được hỗ trợ bởi nhiều
công ty lớn trên thế giới – đại diện cho thực phẩm, hàng hóa tiêu dùng, công nghiệp
bán lẻ, vận tải và dược phẩm, trong số nhiều đại diện khác – sự nổi bật của RFID cho
thấy nó sẽ trở thành chìa khóa cho phép các kỹ thuật để phát triển kinh tế trong 55
năm tới. Xem xét hội nghị trong các giai đoạn lịch sử, Kevin Ashton đã dự đoán sự
thay đổi từ máy tính xử lý thông tin sang máy tính có cảm nhận.
Mục đích của phòng Lab Auto-ID là phát triển một mạng lưới kết nối các máy
tính với các vật thể – không chỉ phần cứng hay phần mềm để vận hành mạng, mà là
mọi thứ cần thiết để tạo ra Internet of Things, bao gồm phần cứng phù hợp, phần mềm
mạng, các giao thức, và các ngôn ngữ mô tả các đối tượng theo các cách máy tính có
thể hiểu được. Lưu ý rằng Auto-ID Labs không tìm cách tạo ra mạng toàn cầu khác
mà xây dựng các thành phần xây dựng đỉnh cao của Internet.
3.

Xu hướng phát triển

Với sự phát triển của Internet, smartphone và đặc biệt là các thiết bị cảm biến,
Internet of Things đang trở thành xu hướng mới của thế giới. Internet of Things được
định nghĩa là những vật dụng có khả năng kết nối Internet. Ý tưởng nhà thông minh
như vào nhà, mở khóa cửa, đèn sẽ tự động sáng chỗ đứng, điều hòa sẽ tự động điều
chỉnh nhiệt độ, nhạc sẽ tự động bật để chào đón…những điều chỉ có trong phim khoa
học viễn tưởng, đang dần trở thành hiện thực với công nghệ Internet of Things.
Các thiết bị Internet of Things được vận hành nhờ những bộ vi xử lý SOC bên
trong. Không như những bộ vi xử lý thông thường, tính trọn vẹn được thu gọn trong
diện tích của một con chip điện tử, có kết nối không dây và đảm bảo tiết kiệm điện.
Dù nhỏ gọn, sức mạnh của các vi xử lý SOC là không phải bàn cãi khi nó hoàn toàn
có thể vận hành trơn tru những hệ điều hành nặng nề như Windows hay Linux. SOC

rất phổ biến trong bên trong các linh kiện điện thoại.

6


Theo dự báo của IDC, thị trường Internet of Things được dự báo sẽ tăng gấp 3
lần, đạt 1,7 nghìn tỉ USD vào năm 2020. Không ít các doanh nghiệp lớn đã nhìn thấy
tiềm năng của Internet of Things và mạnh dạn đầu tư vào đây.Tuy nhiên, cũng giống
như bất kỳ một công nghệ mới nào, Internet of Things sẽ cần một nền tảng để vận
hành.Và các doanh nghiệp công nghệ hiểu rằng, ai tạo ra được nền tảng dẫn đầu, họ
sẽ là người chiến thắng trong xu hướng mới này.
4.

Kiến trúc hệ thống IoT

Các vật thể kết nối Internet (Things) đề cập đến các thiết bị có khả năng kết
nối, truyền thông tin và thực hiện nhiệm vụ được xác định của nó như đồng hồ, điện
thoại thông minh, đồ gia dụng, đèn chiếu sáng, đo năng lượng hoặc các thiết bị cảm
biến để thu thập thông tin khác.
Các Gateway đóng vai trò là một trạm trung gian, tạo ra kết nối giữa các vật thể
với điện toán đám mây một cách bảo mật và dễ dàng quản lý. Nói cách khác, Gateway
là cửa sổ của hệ thống IoT nội bộ với thế giới bên ngoài. Các công nghệ truyền dữ
liệu được sử dụng như GSM, GPRS, cáp quang hoặc các công nghệ internet khác.
Hạ tầng mạng và điện toán đám mây (Network and Cloud): Cơ sở hạ tầng mạng
bao gồm thiết bị định tuyến (Router), chuyển mạch (Switch), thiếp bị lặp (Repeater)
và nhiều thiết bị khác được dùng để kiểm soát lưu lượng dữ liệu, được kết nối đến
mạng lưới viễn thông và triển khai bởi các nhà cung cấp dịch vụ. Trung tâm dữ liệu
và hạ tầng điện toán đám mây bao gồm một hệ thống lớn các máy chủ, hệ thống lưu
trữ và kết nối các mạng ảo hóa. Công nghệ không dây như Bluetooth, Smart, Zigbee,
subGhz, Wi-Fi giúp tạo ra kết nối giữa các thiết bị hoặc giữa thiết bị với mạng

Internet. Hệ thống điều khiển được sử dụng để giám sát các mạng IoT thông qua công
nghệ không dây, có thể là một thiết bị chuyên dụng như điều khiển từ xa (Remote),
điện thoại thông minh (Smartphone) và máy tính bảng (Tablet).
Các lớp tạo và cung cấp dịch vụ (Services-Creation and Solutions Layers) gồm
các API (Application Progmraming Interface) hỗ trợ cho công tác quản lý, phân tích
dữ liệu và tận dụng hệ thống tài nguyên sẵn có một cách hiệu quả và nhanh chóng.

7


Hình 1.2. Mô hình kiến trúc một hệ thống IoT
5.

Kiến trúc an ninh trong IoT

Cũng như các hệ thống truyền thống khác, mục đích cuối cùng của an ninh
trong IoT là đảm bảo tính bảo mật, toàn vẹn, tính sẵn sàng, xác thực dữ liệu và thông
tin. Trong cơ chế này, kiến trúc an ninh trong IoT có thể chia thành 4 phần chính với
các yêu cầu khác nhau như mô hình trong Hình để duy trì tính bảo mật và đảm bảo an
toàn thông tin cho người sử dụng.
- Tầng cảm quan thực hiện thu thập thông tin về các thuộc tính đối tượng và
điều kiện môi trường từ các thiết bị cảm biến. Yêu cầu về an ninh tại tầng này bao
gồm
+ Chứng thực (Authentication) giúp ngăn chặn các truy cập bất hợp pháp vào
hệ thống IoT;
+ Mã hóa (Encryption) đảm bảo tính bảo mật khi truyền tải thông tin.
+ Thảo thuận khóa (Key agreement) được thực hiện trước khi mã hóa để cung
cấp các khả năng an ninh mạng nâng cao.
Các khóa hạng nhẹ có thể được sử dụng để tối ưu hóa việc sử dụng tài nguyên
và nâng cao hiệu năng của hệ thống.

- Tầng mạng truyền tải thông tin dựa trên cơ sở hạ tầng mạng cơ bản như mạng
Internet, mạng truyền thông di động, vệ tinh, mạng không dây và các giao thức truyền
thông. Các cơ chế bảo mật hiện tại khó có thể áp dụng đối với tầng này. Nguyên nhân
chính là do các thiết bị IoT có nguồn năng lượng thấp, dễ tổn hao, khả năng tính toán
hạn chế dẫn đến khó khăn trong việc xử lý các thuật toán với độ phức tạp cao

8


- Tầng hỗ trợ được tổ chức theo nhiều cách thức khác nhau, phù hợp với dịch
vụ cung cấp như phân tải và xử lý dữ liệu. Tầng hỗ trợ có thể bao gồm phần sụn
(Middleware), M2M (Machine to Machine) hoặc nền tảng điện toán đám mây.
Hầu hết các giao thức mã hóa, kỹ thuật bảo mật, phân tích mã độc đều được
triển khai tại tầng này.
- Tầng ứng dụng tạo ra các ứng dụng người dùng. Để giải quyết vấn đề an toàn
tại tầng này, cần quan tâm hai vấn đề:
+ Chứng thực và thỏa thuận khóa bất đối xứng qua mạng;
+ Bảo vệ quyền riêng tư của người dùng. Ngoài ra, công tác quản lý như quản
lý mật khẩu cũng cần nhận được sự quan tâm đặc biệt.

Hình 1.3. Mô hình kiến trúc an ninh trong IoT

CHƯƠNG II: NGUY CƠ MÃ ĐỘC TRONG IOT
I.

Tổng quan về mã độc trong IoT

Cuộc cách mạng công nghiệp lần thứ tư có thể được hiểu như là sự phát triển vượt
bậc của một loạt các công nghệ mới, xóa nhòa ranh giới giữa lĩnh vực vật lý, kỹ thuật
số, sinh học, và ảnh hưởng đến kinh tế, xã hội, giáo dục và cả chính trị. Các lĩnh vực

chính đang được quan tâm trong cuộc cách mạng 4.0 bao gồm: Robotics, trí thông
minh nhân tạo, công nghệ nano, công nghệ sinh học, Internet vạn vật (IOT), in 3D,
và xe tự hành. Trong đó các thiết bị IoT đóng vai trò vô cùng quan trọng.

9


Sự phát triển nhanh chóng về số lượng của các thiết bị loT mang tới khả năng
kết nối, trao đổi thông tin của mọi thiết bị với nhau thông qua mạng Internet. Trong đó
có thiết bị được sử dụng phổ biến để kết nối nhiều thiết bị IoT với nhau là thiết bị
định tuyến (Router). Tuy nhiên, vấn đề bảo mật cho thiết bị định tuyến còn chưa được
quan tâm đúng mức.

10


Phần mềm độc hại từ lâu đã là một trong các mối nguy hại lớn nhất đối với các hệ
thống máy tính, nay đã chuyển sang cả các thiết bị IoT.
Các thiết bị IoT bao gồm tất cả các thiết bị máy tính vật lý mạng có kết nối
internet, như bộ định tuyến, máy ảnh web, điện thoại thông minh, thiết bị đầu cuối
điểm bán hàng, thiết bị tự động hóa tòa nhà, thiết bị y tế, TV thông minh, thiết bị y tế,
thiết bị nhà thông minh, ô tô, v.v. Đặc biệt, liên quan đến thị trường điện thoại di động
trên toàn thế giới, khoảng 1,4 tỷ điện thoại thông minh đã được bán trong năm 2015,
theo các đánh giá được cung cấp bởi International Data Corporation (IDC). Ngoài ra,
6,4 tỷ loT kết nối đã được báo cáo vào năm 2016 và số tiền 20,8 tỷ được ước tính sẽ
được bán vào năm 2020.
Một mặt, các thiết bị loT cung cấp các tính năng mở rộng, cùng với việc hỗ trợ
một loạt các chức năng. Nhưng mặt khác, mức độ bảo mật của họ vẫn còn thấp với
những điểm yếu nổi tiếng. Trong một danh sách mở rộng các lỗ hổng đã được báo
cáo trên mỗi khu vực bề mặt, chẳng hạn như điểm yếu về phần mềm và phần cứng,

vấn đề mã hóa, vấn đề bảo mật dữ liệu. Khoảng 1 triệu mối đe dọa mới đã được phát
hành mỗi ngày trong năm 2014. Nghiên cứu sau đó, cho thấy rootkit, ransomware,
bot, virus, sâu và trojan xếp hạng là phần mềm độc hại thường xuyên nhất.
Cùng với các mối đe dọa đối với phần mềm, các nghiên cứu gần đây đã chỉ ra
rằng các mối đe dọa phần cứng là có hại và đáng báo động. Các thí nghiệm công nghệ
đã chứng minh khả năng giả mạo backdoor A2, trong quá trình chế tạo. Ngoài ra, các
cuộc tấn công kênh bên có thể diễn ra trong các chức năng vật lý không thể xóa được
(PUF) của thiết bị. Tấn công kiểu này nhằm mục đích lấy khóa bí mật, được sử dụng
để mã hóa và giải mã dữ liệu. Những cuộc tấn công này, được tập trung chủ yếu vào
việc thực hiện vật lý của một hệ thống. Ngoài ra, chúng có nguồn gốc từ nhiều lớp,
được công nhận nhất bao gồm tấn công thời gian, tấn công giám sát năng lượng, tấn
công điện từ, phân tích lỗi vi sai, v.v.
II.

Các nguy cơ lây nhiễm mã độc trong IoT

1. Các thiết bị IoT luôn nhiều lỗ hổng

Hiện nay, có ít nhất 6 triệu thiết bị IoT mới xuất hiện mỗi ngày, điều này đồng
nghĩa với sự xuất hiện các lỗ hổng mới. Điển hình như năm ngoái, tại hội nghị tin tặc
thế giới DefCon, các nhà nghiên cứu đã tìm thấy 47 lỗ hổng mới trong 23 thiết bị IoT
của 21 nhà sản xuất.

11


Các thiết bị IoT dễ bị lỗ hổng có thể do một số yếu tố như các nhà sản xuất còn
thiếu kinh nghiệm trong việc bảo vệ sản phẩm, dung lượng giới hạn không cho phép
thực hiện các cơ chế bảo mật, các thủ tục cập nhật phần mềm phức tạp và người dùng
thiếu chú ý đến các mối đe dọa do các thiết bị IoT gây ra.

Báo cáo về mối đe dọa an ninh mạng của SonicWall (PDF) cũng tiết lộ mức độ
gia tăng đáng báo động về tần suất mà các thiết bị IoT bị xâm phạm. SonicWall đã
quan sát thấy 13,5 triệu cuộc tấn công IoT trong nửa đầu năm 2019, đạt mức tăng
55% so với sáu tháng đầu năm trước.
Năm 2018, công ty đã ghi nhận 32,7 triệu cuộc tấn công như vậy, tương ứng
với mức tăng 215,7% so với 10,3 triệu cuộc tấn công IoT quan sát được vào năm
2017. Do đó, năm 2019 rất có khả năng lại là một năm kỷ lục khác về tình trạng lạm
dụng IoT nếu sáu tháng cuối năm khớp với mức độ tăng đột biến của năm 2018.
Báo cáo cũng tiết lộ, bất chấp những xu hướng kể trên, tổng số vụ tấn công
malware đã giảm 20% trong nửa đầu năm 2019, đạt 4,78 tỷ, giảm từ 5,99 tỷ trong sáu
tháng đầu năm ngoái. Đã có 10,52 tỷ cuộc tấn công được ghi nhận trong suốt năm
2018. Bên cạnh đó, số lượng các vụ lừa đảo toàn cầu cũng giảm.
Xu hướng chung này đang diễn ra tại hầu hết các khu vực lớn, trừ một số quốc
gia như Ấn Độ (25%), Thụy Sĩ (72%) và Hà Lan (3%) vẫn liên tục bị chịu ảnh hưởng
từ các vụ tấn công malware.
Tổng lượng ransomware toàn cầu đạt mức 110,9 triệu trong nửa đầu năm 2019,
đánh dấu mức tăng 15% kể từ đầu năm, chủ yếu đến từ sự leo thang của dịch vụ
ransomware-as-a-service (RaaS) và bộ kit malware open-source. Vương quốc Anh
được ghi nhận là quốc gia bị ảnh hưởng nhiều nhất trong năm nay với mức tăng 195%
của các cuộc tấn công ransomware kể từ đầu năm.
2. Phần mềm trong thiết bị IoT

Trong phần này, phân tích các loại phần mềm độc hại khác nhau có thể ảnh
hưởng đến các ứng dụng phần mềm và thiết bị phần cứng. Đối với lĩnh vực phần
mềm, một số nghiên cứu và ấn phẩm được thực hiện trong những năm qua đã chỉ ra
rằng các phần mềm độc hại, đặc biệt là trong các ứng dụng dựa trên Android, đã tăng
lên đáng kể. Do đó, một sự gia tăng đáng chú ý đã được báo cáo trong năm 2015, đạt
mức cao nhất trong quý đầu tiên (Q1). Như được hiển thị, trong Hình 1, sự xuất hiện
của phần mềm độc hại mới trong các thiết bị Android cao hơn đáng kể (G DATA- Báo
cáo phần mềm độc hại di động 2016). Trong nửa cuối năm 2015 và nửa đầu năm

12


2016, tỷ lệ lây nhiễm điện thoại thông minh tăng rõ rệt. Trong bối cảnh này, một phần
mềm độc hại mới mẫu được phát hiện cứ sau 9 giây, theo các nhà phân tích bảo mật.

Hình 2.1. Tiến hóa mẫu phần mềm độc hại của Android
Về mặt phần cứng, như các nghiên cứu đã chỉ ra, các cuộc tấn công chế tạo, có
thể diễn ra bằng cách giả mạo chip trong quá trình chế tạo và bằng cách tận dụng các
mạch tương tự. Những thay đổi này có thể tạo điều kiện thuận lợi cho các cuộc tấn
công íuture. Mặt khác, nghiên cứu cũng đã chứng minh rằng trong trường hợp hack
tương tự, một tế bào có thể được thêm vào trong quá trình chế tạo chip, hoạt động như
một tụ điện có thể phơi bày hệ thống cho kẻ tấn công. Cuộc tấn công như vậy còn
được gọi là cuộc tấn công tương tự của A2 A2.
3. Phần mềm trong phần mềm.

Phần mềm độc hại là mối đe dọa nghiêm trọng nhất đối với các thiết bị loT nó
có thể phá hủy thiết bị hoặc, trong một số trường hợp, nó có thể đưa hệ thống vào
trạng thái đặc quyền dưới quyền của kẻ tấn công Chiêu giả . Phần mềm độc hại nổi
tiếng nhất theo thống kê tấn công mạng là rootkit, ransomware, bot, phần mềm độc
hại tài chính, bom logic, virus, sâu và trojan. Rootkit là một loại phần mềm độc hại,
kẻ tấn công có thể truy cập dần dần, với mục tiêu cuối cùng là kiểm soát hệ thống,
dưới quyền của mình. Phần mềm độc hại Ransomware có thể khóa thiết bị hoặc phần
mềm của người dùng, tìm kiếm lợi ích tiền tệ từ người dùng để loại bỏ sự lây nhiễm
hiện tại. Như đã lưu ý trước đây, ransomware khóa ransomware có thể khóa TV thông
minh dựa trên Android. Được thiết kế dưới dạng một loại phần mềm độc hại tự lan
truyền, các bot được nhắm mục tiêu để phát hiện ra một thiết bị. Những mối đe dọa
phần mềm độc hại này sau đó kết nối với một máy chủ, còn được gọi là chủ bot, bot
13



có chức năng như một trung tâm điều khiển trung tâm cho các thiết bị bị xâm nhập.
Các loại phần mềm độc hại tài chính, cố gắng thu thập tài khoản ngân hàng từ thiết bị
hoặc bằng các trang web ngân hàng bị lỗi. Bom logic là các khối mã được kẻ tấn công
thêm vào một hệ thống. khi các chức năng lập trình này được kích hoạt, chúng có thể
gây hại cho hệ thống, bằng cách xóa dữ liệu hoặc bằng cách tạo các điều kiện có thể
phá hủy toàn bộ hệ thống. Phần mềm độc hại phần mềm độc hại được phát tán thông
qua một chương trình phần mềm và có thể gây hại cho hệ thống. Để tạo ra một virus
được sao chép và nhân rộng trong một thiết bị, cần có hành động người dùng (ví dụ,
bằng cách kích hoạt nó thông qua một chương trình điều hành). Trái ngược với virus,
sâu có thể lây lan mà không có sự tương tác của người dùng và có thể hoạt động độc
lập như một thực thể độc lập. Mặt khác, sâu được phổ biến qua mạng. Trojan bao gồm
một loại phần mềm độc hại nó xâm nhập hệ thống bằng cách đánh cắp danh tính
người dùng và kích hoạt. Do thuộc tính độc lập của chúng, phần mềm độc hại như vậy
có thể cho phép các cuộc tấn công khác bằng cách mở một cửa hậu.
Trong một loại tương tự như, Grayware và Madware gây ra mối đe dọa đáng kể
cho an ninh. Phần mềm xám, trong số các vi-rút khác bao gồm phần mềm quảng cáo
và trình quay số, không thể được coi là độc hại, mặc dù chúng vẫn có thể gây ra các
hành động không mong muốn, do đó ảnh hưởng tiêu cực đến hiệu suất của thiết bị.
Madware, mặt khác, sử dụng các thông điệp quảng cáo hoặc cửa sổ bật lên được
nhắm mục tiêu và tích cực, để thu thập thông tin từ một thiết bị người dùng.
Theo các điều khoản trong, các mối đe dọa phổ biến nhất liên quan đến điện
thoại di động là Uapush.A, Kasandra.B và SMSTracker. Uapush.A là một trojan có
thể đánh cắp dữ liệu từ thiết bị di động, bằng cách gửi SMS. Kasandra.B là một trojan
khác, giống như một ứng dụng bảo mật. Kasandra.B có thể truy cập dữ liệu nhạy cảm
có trong điện thoại di động như nhật ký, thông tin đăng nhập, lịch sử, v.v.
SMSTracker là một ứng dụng Android, cho phép kẻ tấn công theo dõi các giao thức
(SMS, cuộc gọi điện thoại, v.v.) toàn bộ của họ. Tương tự như vậy, người ta đã lưu ý
rằng một ransomware khóa ransomware có thể khóa một TV thông minh dựa trên
Android.

Cuối cùng, nhiều thiết bị loT, bao gồm camera IP, bộ định tuyến, DVR, máy in, v.v.,
đã bị tấn công bởi một phần mềm độc hại có tên là Mira Mirai. Nó tấn công các thiết
bị loT, bằng cách quét tên người dùng và mật khẩu.
4. Phần mềm trong phần cứng.

14


Khi nói về phần mềm độc hại trong phần cứng, những kẻ tấn công có nhiều
cách để hành động ở cấp độ chip, đây là phần không thể thiếu trong một hệ thống.
Bằng cách sử dụng một số phương pháp, một thiết bị hoặc một hệ thống, có thể được
tiếp xúc. Các sửa đổi nhỏ cho chip, có thể là nguyên nhân gây ra nhiều cuộc tấn công.
Bài viết này, chủ yếu tập trung vào tổng quan về phần mềm độc hại phần mềm và
phần mềm IOT. Tuy nhiên, nó cũng giải quyết vấn đề về các bộ vi xử lý hiện đại, bao
gồm rất nhiều chương trình vi mô và các hoạt động định nghĩa hoạt động của thiết bị.
Các cấu trúc phần cứng, được cấu trúc bằng cách thực hiện các thuật toán mạnh và
các thuật toán mã hóa. Kẻ tấn công có thể can thiệp vào các hoạt động, liên quan đến
các giá trị tính toán mật mã để lấy lại quyền, bằng cách thực hiện các kỹ thuật khác
nhau. Một trong những phương pháp thiết thực nhất để thỏa hiệp bảo mật thiết bị, là
sử dụng các cuộc tấn công kênh bên. Các cuộc tấn công này có một mục tiêu chung,
để lấy lại thông tin từ các tín hiệu rò rỉ, trong các hoạt động của thiết bị. Bằng cách áp
dụng các lựa chọn và tính toán dấu vết di động của mẫu k, kẻ tấn công có thể thu
được kết quả thuận lợi. Theo hướng này, phân tích công suất vi sai có thể được áp
dụng trong nhiều thuật toán như AES, DES, v.v.

Hình 2.2. Phân tích sức mạnh khác nhau
Tấn công lỗi vi sai, là một nỗ lực để sửa đổi tính toán của thuật toán, bằng cách
tạo ra các lỗi hoặc bằng cách tận dụng các lỗi hiện có. Trong thực tế, cùng một dữ liệu
được mã hóa và thao tác này được mô tả trong các kết quả. Hơn nữa, kẻ tấn công có
thể tạo ra mối tương quan giữa bản mã chính xác và lỗi để lấy các ứng cử viên chính.

15


Quá trình này có thể được áp dụng nhiều lần cho đến khi xác định khóa duy nhất. Đây
là trường hợp cho thẻ chip, dễ bị tấn công như vậy. Các bộ vi xử lý nhúng rất nhạy
cảm ở nhiệt độ cao, hoặc khả năng cung cấp năng lượng của chúng là rất cụ thể. Tất
cả những điều kiện này có thể tạo ra một thiết lập lý tưởng cho kẻ tấn công. Do đó,
các điểm yếu về thể chất có thể tạo ra môi trường của một cuộc tấn công như vậy.
Trong một tình huống, khi một cuộc tấn công thời gian được thực hiện, kẻ tấn
công có thể khám phá khóa bí mật, bằng cách ước tính thời gian xử lý của một hoạt
động mật mã. Trong trường hợp như vậy, kẻ tấn công sử dụng các công cụ đo lường
để tính toán thời gian hoạt động. Cụ thể, các thuật toán như RSA, Diffie- Hellman và
RC5, đã được báo cáo là dễ bị tấn công như vậy.
Đối với các cuộc tấn công giám sát năng lượng có liên quan, kẻ tấn công có thể
trích xuất các khóa mật mã và thông tin khác bằng cách giám sát mức tiêu thụ năng
lượng của các thiết bị mã hóa (mạch tích hợp, v.v.). Các cuộc tấn công giám sát quyền
lực được chia thành các loại đơn giản và khác biệt, tùy thuộc vào cấp độ phân tích
công suất tiên tiến. Phân tích công suất đơn giản (SPA) chủ yếu tập trung vào hoạt
động điện, trong khi phân tích công suất vi sai (DPA) đòi hỏi một phương pháp năng
động hơn. Ngoài việc theo dõi dấu vết năng lượng hoặc năng lượng điện, kẻ tấn công
cũng có thể lấy các giá trị từ các tính toán mật mã.
Mặc dù đã nói ở trên, các cuộc tấn công điện từ được thực hiện bằng cách đo
bức xạ điện từ phát ra từ một thiết bị. Kẻ tấn công phân tích và nắm bắt kết quả của
tín hiệu được khai thác. Lượng bức xạ phụ thuộc vào nhận dạng của hoạt động, cho
phép kẻ tấn công nắm bắt được hoạt động đã thực hiện và tìm các khóa mã hóa. Thuật
toán RSA, đặc biệt, dễ bị tấn công điện từ.
Một cách khai thác thường xuyên khác là phân tích lỗi vi sai (DFA), được gọi là
kỹ thuật tiêm lỗi trong các thuật toán mã hóa của thiết bị. Nói cách khác, đó là một nỗ
lực để sửa đổi tính toán của một thuật toán. Những sửa đổi này tạo ra bản mã, đầu ra
bản mã, cho phép kẻ tấn công lấy ra các ứng cử viên chủ chốt bằng các kỹ thuật phân

tích mật mã khác biệt. Do đó, khóa chính xác có thể được lấy bằng cách tiêm lỗi liên
tục. Mật mã khối đối xứng và thuật toán khóa công khai, bị ảnh hưởng cụ thể bởi
DFA.
Trong những năm trước, các cuộc tấn công Rowhammer cũng đã được phát
hiện trong các thiết bị Android. Theo các nhà nghiên cứu, kẻ tấn công có thể bỏ qua
Hệ thống cấp phép Android để có quyền truy cập đầy đủ vào thiết bị. Như đã báo cáo
trong các nghiên cứu thử nghiệm, các lỗi xáo trộn đã được tạo ở cấp hàng của DRAM
(Bộ nhớ truy cập ngẫu nhiên động) cũng có thể ảnh hưởng đến các hàng bộ nhớ khác.
16


Ngựa trojan phần cứng cũng có thể tác động đáng kể đến một thiết bị phần
cứng. Chúng, như được đặt tên, liên quan đến những thay đổi trong mạch điện tử của
chip trong giai đoạn chế tạo. Khi được kích hoạt, phần mềm độc hại này có thể tạo ra
sự cố trong thiết bị hoặc đánh cắp khóa bí mật cho ứng dụng mật mã.
Các cuộc tấn công tràn bộ đệm và các yêu cầu giả mạo yêu cầu chéo trang web
(CSRF) cũng đã được đề cập trong những năm gần đây. Ví dụ, bộ mở rộng phạm vi
không dây Belkin F9K1122 bị ảnh hưởng bởi CSRF, trong khi bộ định tuyến không
dây ZyXel NBG6716 trải qua cuộc tấn công tràn bộ đệm.
Xác thực không an toàn

5.

Nếu cơ chế xác thực là không đủ an toàn, kẻ tấn công có thể khai thác đó để truy
cập trái phép các tài khoản người dùng và ăn cắp dữ liệu nhạy cảm. Có một số cách có
thể xảy ra. Ví dụ,
-

-


Nếu tên người dùng mặc định và mật khẩu không thay đổi đúng, kẻ tấn công có
thể tận dụng lợi thế đó để đạt được quyền truy cập trái phép các tài khoản người
dùng.
Những kẻ tấn công có thể tận dụng lợi thế của các mật khẩu yếu để đạt được
quyền truy cập trái phép của các thiết bị.
Nếu các thông tin người dùng thu thập không được mã hóa đúng cách, kẻ tấn
công có thể lợi dụng điều đó và nắm bắt chúng cho mục đích xấu.
Những kẻ tấn công có thể liệt kê các tài khoản người dùng để truy cập các thiết
bị IOT

Không nghi ngờ gì nữa, điều này có thể dẫn đến mất dữ liệu hoặc dữ liệu bị phá
hoại. Nó thậm chí có thể dẫn đến từ chối truy cập hoặc tiếp quản thiết bị hoàn chỉnh.
6.

Giao diện web dễ bị tổn thương, giao diện di động và Cloud Interfaces

Những kẻ tấn công có thể khai thác giao diện web không an toàn, giao diện điện
thoại di động và các giao diện điện toán đám mây để ăn cắp dữ liệu nhạy cảm trong
một số cách:
- Những kẻ tấn công có thể khai thác lỗ hổng bảo mật trong các điện thoại di
động, trang web hoặc đám mây giao diện làm phát sinh bạo SQL Injection,
Cross Site Scripting hoặc các cuộc tấn công CSRF và ăn cắp dữ liệu người
dùng nhạy cảm.
- Nếu giao diện web không thực hiện đúng HTTPS, kẻ tấn công có thể khai thác
đó để ăn cắp dữ liệu nhạy cảm không được mã hóa truyền.
- Những kẻ tấn công có thể khai thác lỗ hổng trong ứng dụng di động, giao diện
điện toán đám mây hoặc giao diện web để liệt kê các tài khoản người dùng và
truy cập trái phép của các thiết bị.
17



Những kẻ tấn công có thể sử dụng điện thoại di động, trang web hoặc đám mây
giao diện không an toàn để truy cập trái phép vào tài khoản người dùng khai
thác mật khẩu yếu hoặc các thông tin mặc định.
7. Dịch vụ mạng dễ bị tổn thương
Những kẻ tấn công có thể khai thác các dịch vụ mạng dễ bị tổn thương trong các
cách sau:
- Những kẻ tấn công có thể khai thác lỗ hổng bảo mật trong các dịch vụ mạng để
thâm nhập tấn công như lỗi tràn bộ đệm hoặc các cuộc tấn công DoS.
- Những kẻ tấn công có thể tận dụng lợi thế của các cổng mở để thu thập thông
tin về các thiết bị, để họ có thể lập kế hoạch cho các cuộc tấn công nhiều hơn.
- Những kẻ tấn công thậm chí còn có thể khai thác cổng mở thông qua UPnP
hoặc khai thác các dịch vụ UDP.
8. Thiếu Mã Hóa Encryption
Nếu dữ liệu trong quá cảnh không được mã hóa đúng cách, kẻ tấn công có thể tận
dụng lợi thế đó để ăn cắp dữ liệu nhạy cảm.
-

Thông thường, lưu lượng mạng của thiết bị IOT không được tiếp xúc với bên ngoài
mạng. Nhưng, nếu các mạng không dây không được cấu hình đúng cách, nó có thể
làm cho người trên mạng internet có thể nhìn thấy bất cứ ai trong phạm vi của mạng
không dây. Và, có thể dẫn đến sự thỏa hiệp hoàn thành của các thiết bị hoặc tài khoản
người dùng.
Nếu giao thức mã hóa thích hợp như SSL / TLS không được sử dụng, những kẻ tấn
công có thể dễ dàng nắm bắt các dữ liệu trong quá cảnh và khai thác đó cho mục đích
xấu.
9. Vấn đề Bảo mật
Do thiếu sự bảo vệ thích hợp của dữ liệu, kẻ tấn công có thể nắm bắt dữ liệu nhạy
cảm và cá nhân được thu thập bởi các thiết bị, mà không có nghi ngờ làm tăng mối
quan tâm riêng tư. Để ngăn chặn điều này, chúng ta có thể mất một vài bước sau:

- Chúng ta cần phải xác định tất cả các loại dữ liệu đang được thu thập bởi các
thiết bị, ứng dụng di động, giao diện web hoặc các giao diện điện toán đám
mây. Chúng tôi cần phải chắc chắn để chỉ thu thập dữ liệu là cần thiết.
- Số liệu thu thập phải được bảo vệ đúng cách sử dụng mã hóa trong khi truyền
tải
- Chỉ có cá nhân có thẩm quyền phải có quyền truy cập vào dữ liệu cá nhân.
- Chúng ta cần phải đảm bảo duy trì chính sách dữ liệu thích hợp được đặt ra, cá
nhân được lựa chọn để thu thập dữ liệu vượt quá những gì là cần thiết cho hoạt
động của các thiết bị.
10. Bảo mật vật lý kém
Những kẻ tấn công có thể khai thác truy cập vật lý của hệ thống cũng làm phát
sinh bạo tấn công. Họ có thể sử dụng cổng USB, thẻ SD hoặc lưu trữ khác có nghĩa là
để truy cập vào hệ điều hành và dữ liệu được lưu trữ trong các thiết bị và khai thác đó
18


cho mục đích xấu.

19


CHƯƠNG III: PHÁT HIỆN VÀ PHÒNG CHỐNG MÃ ĐỘC TRONG IOT
I. PHÁT HIỆN MÃ ĐỘC
1. Phân tích tĩnh
Phân tích tĩnh là phương pháp phân tích, kiểm tra các phần mềm, mã độc trực
tiếp trên mã nguồn, mã nhị phân tường minh trong các tập tin mà không cần thực thi
chúng. Các nghiên cứu sử dụng phương pháp này trên các thiết bị IoT có thể kể đến
như Angr. Phân tích tĩnh cho phép chi tiết hóa toàn bộ luồng điều khiển (Control-Flow
Graph) và luồng dữ liệu (Data-Flow Graph) cho từng tập tin hệ thống trong firmware.
Từ đó, phát hiện mã độc bằng kỹ thuật phân tích đặc trưng như: mã trung gian

(bytecode), header, system- calls API hay Printable-Strings-Information (PSI).
Phương pháp phân tích tĩnh cho phép phân tích chi tiết các tập tin và đưa ra cái nhìn
tổng quát về tất cả các khả năng kích hoạt của mã độc.
Tuy nhiên, phương pháp phân tích tĩnh khó áp dụng đối với các loại mã độc sử
dụng các kỹ thuật gây rối phức tạp (obíuscations) như sắp xếp lại câu lệnh, chèn mã
lệnh vô nghĩa. Một hạn chế của phương pháp này là công nghệ dịch ngược các bản
mã nhị phân thành bản mã bậc cao còn nhiều hạn chế làm cho việc phân tích mất đi
tính chính xác.
Do đó, theo Andreas Moser, phương pháp phân tích tĩnh nên được sử dụng như
một phần bổ sung cho phân tích động.
2. Phân tích động
Phân tích động là phương pháp giám sát, thu thập và phân tích các hành vi của
hệ thống để từ đó phát hiện mã độc. Kỹ thuật này dựa trên nguyên lý sử dụng tập luật
bình thường để duy trì và xem xét một chương trình có cố ý vi phạm những tập luật
được định trước hay không. Một số nghiên cứu phân tích động phát hiện mã độc trên
thiết bị loT có thể kể đến như Avatar, phân tích lỗ hổng bảo mật trên thiết bị định
tuyến - Firmadyne. Yêu cầu quan trọng nhất đối với phân tích động cho các thiết bị
loT là xây dựng một môi trường mô phỏng đầy đủ các chức năng cần có của thiết bị,
có khả năng giám sát các hành vi của firmware khi thực thi và tránh lây nhiễm mã độc
sang môi trường thực tế.
Để giải quyết yêu cầu trên, Jonas Zaddach và cộng sự giới thiệu về Avatar, cho
phép mô phỏng hoạt động của CPU và tái sử dụng toàn bộ phần cứng của thiết bị định
tuyến phục vụ mục đích mô phỏng trên. Tuy nhiên, hạn chế của Avatar là khả năng
hoạt động thời gian thực, vì việc xử lý và phân tích thông tin giữa môi trường mô
20


phỏng Qemu và thiết bị thật thông qua kênh UART, Jtag là rất chậm. Do đó, việc sử
dụng công cụ Avatar phát hiện mã độc theo thời gian thực trên các thiết bị loT là bất
khả thi.

Mặt khác, Daming Chen và cộng sự đã trình bày về Firmadyne trong nghiên
cứu của mình. Đây là hệ thống phân tích động với mục tiêu cụ thể là thiết bị định
tuyến trong hạ tầng mạng. Tuy nhiên, Firmadyne chỉ cho phép mô phỏng phần giao
diện web quản trị của các thiết bị định tuyến với đầu vào là Firmware của chúng. Điều
này phục vụ mục tiêu là quét lỗ hổng bảo mật của các thiết bị định tuyến bằng cách sử
dụng các công cụ như Metaspoit và Nessus, chứ không cho phép phát hiện mã độc.
Ưu điểm nổi bật của phương pháp phân tích động là hiệu quả và độ chính xác,
cho phép xác định nhanh chóng và tổng quát về mã độc được phân tích, thông qua các
hành vi của chúng. So với phương pháp phân tích tĩnh trong việc dịch ngược, gỡ rối
(deobfuscation) thì phương pháp động cho phép phân tích dễ dàng ngay cả với những
mã độc có cấu trúc, mã nguồn phức tạp.
Tuy nhiên, phân tích động chỉ có thể giám sát đơn luồng thực thi. Điều này đã
được T. Ronghua chứng minh trong công bố của mình rằng: khi các điều kiện môi
trường ảnh hưởng trực tiếp đến việc kích hoạt mã độc như time-bomb, bot,... thì
phương động không thể giám sát hết các hành vi tiềm tàng của mã độc. Việc giám sát
đƣợc tất cả các khả năng thực thi của mã độc trong phân tích động đòi hỏi nhiều thời
gian với dữ liệu ghi nhận là rất lớn.
Mặc dù có những hạn chế, nhƣng phân tích động có ưu điểm nổi bật so với phân
tích tĩnh ở khả năng áp dụng trên diện rộng và tránh đƣợc các kỹ thuật làm rối nhƣ đã
nêu. Do đó, phương pháp đề xuất trong bài báo này dựa trên phương pháp phân tích
động và bổ khuyết cho Firmadyne bằng cách xây dựng một môi trƣờng mô phỏng
đầy đủ, bao gồm cả phần giao diện web quản trị cho việc quét lỗ hổng và phần hoạt
động của hệ điều hành thiết bị định tuyến cho việc phân tích mã độc.
II. PHÒNG CHỐNG MÃ ĐỘC TRONG IOT
1. Xây dựng chính sách phòng chống mã độc
Các cơ quan, tổ chức phải có chính sách ngăn chặn các sự cố liên quan đến mã
độc. Chính sách này cần rõ ràng, cho phép khả năng thực hiện một cách nhất quán và
hiệu quả. Các chính sách phòng chống mã độc nên càng tổng quát càng tốt để cung
cấp sự linh hoạt trong việc thực hiện, bên cạnh đó cũng làm giảm việc phải cập nhật
chính sách thường xuyên. Hiện nay có nhiều cơ quan, tổ chức có chính sách về xử lý

21


mã độc riêng biệt, tuy nhiên một số cơ quan, tổ chức có thể có chính sách phòng
chống mã độc trùng lặp với các chính sách khác.
Chính sách phòng chống mã độc bao gồm các quy định liên quan đến các nhân
viên, những người sử dụng hệ thống máy tính bên trong tổ chức và những người sử
dụng hệ thống bên ngoài tổ chức, như máy tính của đơn vị làm thuê, máy tính của các
cán bộ làm việc từ xa (tại nhà), máy tính của đối tác kinh doanh, thiết bị di động.
Chính sách phòng chống mã độc thường tập trung vào một số quy định sau:
- Yêu cầu dùng phần mềm quét các thiết bị lưu trữ của các đơn vị bên ngoài tổ
chức trước khi sử dụng.
- Yêu cầu những tập tin đính kèm trong thư điện tử, bao gồm cả các tập tin nén
như file .zip cần được lưu vào ổ đĩa và kiểm tra trước khi được mở ra.
- Cấm gửi hoặc nhận một số loại tập tin có các đuôi tệp tin là exe qua thư điện
tử.
- Hạn chế hoặc cấm việc sử dụng phần mềm không cần thiết, ví dụ như các ứng
dụng những dịch vụ không cần thiết hoặc các phần mềm được cung cấp bởi các tổ
chức không rõ nguồn gốc.
- Hạn chế cung cấp quyền quản trị cho người sử dụng
- Yêu cầu luôn cập nhật phần mềm, các bản vá, cho hệ điều hành.
- Hạn chế sử dụng các thiết bị di động (ví dụ: đĩa mềm, đĩa CD, USB), đặc biệt
là trên hệ thống có nguy cơ ảnh hưởng cao, như các điểm truy cập công cộng.
- Yêu cầu nêu rõ các loại phần mềm phòng chống mã độc (ví dụ: phần mềm
Anti virus, phần mềm phát hiện gián điệp) đối với từng hệ thống (máy chủ chia sẻ tệp
tin, máy chủ thư điện tử, máy trạm, máy chủ proxy, thiết bị kỹ thuật số cá nhân) và
các ứng dụng (ứng dụng thư điện tử của khách hàng, trình duyệt web).
- Người dùng nếu muốn có quyền truy cập vào các mạng khác (bao gồm cả
Internet) cần thông qua sự đồng ý của tổ chức.
- Yêu cầu thay đổi cấu hình tường lửa để phù hợp với chính sách công ty

(Tránh tạo các kết nối lạ ra bên ngoài Internet, đề phòng trước các nguy cơ máy tính
trong tổ chức trở thành một thành phần của mạng Botnet)
- Hạn chế việc sử dụng các thiết bị di động trên các mạng tin cậy.

22


2. Tuyên truyền nâng cao nhận thức người dùng

Các tổ chức cần cung cấp các khóa học để giúp nâng cao nhận thức cho các cán
bộ, nhân viên trong tổ chức mình. Các khóa học này giúp họ hiểu rõ được chính sách
phòng chống mã độc của tổ chức, các quy định xử lý phù hợp trước các tình huống
xảy ra. Nội dung khóa học nên bao gồm những nội dung như: Hướng dẫn cho các cán
bộ, nhân viên cách phòng tránh sự cố liên quan đến mã độc hại, giảm thiểu mức độ
nghiêm trọng của sự cố. Tất cả cán bộ, nhân viên trong tổ chức đều phải được đào tạo
và hiểu được các nguy cơ, cách thức phần mềm độc hại xâm nhập vào hệ thống, lây
nhiễm, lây lan, các chính sách phòng chống mã độc cũng như thực hành thường
xuyên các khuyến cáo để tránh sự cố phần mềm độc hại. Các khóa học nên thiết kế
phù hợp với nhiều môi trường làm việc khác nhau, ví dụ hướng dẫn nhân viên không
thực hiện một số công việc như sau:
- Không mở những thư điện tử hoặc tập tin đính kèm từ những địa chỉ của
người gửi không rõ ràng hoặc có dấu hiệu nghi ngờ.
- Không truy cập vào các popup trên trình duyệt mà cảm thấy nghi ngờ hoặc
có dấu hiệu bất thường.
- Không truy cập vào những trang web có khả năng chứa nội dung độc hại.
- Không mở các tập tin với phần mở rộng có khả năng kết hợp với phần mềm
độc hại (Ví dụ: .bat, .exe, .pif, .vbs...).
- Không được vô hiệu hoá các cơ chế kiểm soát an ninh (ví dụ như không được
tắt phần mềm Anti-virus, phần mềm phát hiện gián điệp, tường lửa cá nhân).
- Không sử dụng những tài khoản có quyền quản trị cấp cao cho hoạt động

thông thường.
- Không tải hoặc thực thi các ứng dụng từ các nguồn không tin cậy.
Các tổ chức cũng nên đào tạo giúp cho các cán bộ, nhân viên biết về chính sách
và phương pháp áp dụng để xử lý sự cố phần mềm độc hại (Ví dụ: làm thế nào để xác
định thiết bị, máy tính đang dùng bị nhiễm mã độc, làm thế nào để báo cáo một máy
tính nghi ngờ bị nhiễm, những gì nhân viên có thể cần phải làm ngay để hỗ trợ xử lý
sự cố (Ví dụ: cập nhật phần mềm Anti-virus, hệ thống quét phần mềm độc hại). Các
nhân viên nên được biết về các sự cố về mã độc hại phổ biến, như vậy khi xảy ra việc
tương tự họ có phương hướng báo cáo để xử lý. Ngoài ra, các nhân viên cần phải biết
cách thích ứng với môi trường làm việc thay đổi, khi xảy ra các sự cố liên quan đến

23


mã độc, hệ thống có thể bị cách ly hoặc hệ thống thư điện tử bị vô hiệu hóa, các nhân
viên cần có các giải pháp để vẫn tiếp tục hoàn thành công việc trong đơn vị tổ chức.
3. Quản lý các lỗ hổng

Các phần mềm độc hại tấn công vào hệ thống bằng cách khai thác lỗ hổng
trong hệ điều hành, dịch vụ và ứng dụng. Có nhiều phần mềm độc hại được tạo ra
ngay sau khi công bố một lỗ hổng mới, hoặc thậm chí trước khi một lỗ hổng được
công khai thừa nhận (lỗi Zero-day). Một lỗ hổng thường có thể được xử lý bằng một
hoặc nhiều phương pháp, như cập nhật bản vá lỗi hoặc cấu hình lại phần mềm (ví dụ
có thể vô hiệu hoá một dịch vụ dễ bị khai thác).
Với yêu cầu của tổ chức là giảm thiểu các lỗ hổng trong hệ thống máy tính,
bao gồm cả việc xử lý các lỗ hổng mới liên tục được phát hiện, các tổ chức cần phải
có tài liệu chính sách, quy trình và thủ tục giảm thiểu lỗ hổng và cũng nên xem xét về
việc tạo ra một chương trình quản lý các lỗ hổng đó để hỗ trợ. Ngoài ra cũng nên liên
tục đánh giá lỗ hổng để giảm thiểu khả năng bị khai thác. Thông tin về lỗ hổng mới và
các mối đe doạ mã độc mới cần được thu thập thông qua sự kết hợp các nguồn thông

tin khác nhau. Thu thập các khuyến cáo, các cảnh báo từ các đội ứng phó xử lý sự cố
An toàn thông tin (Ví dụ: các đội ứng cứu sự cố máy tính khẩn cấp - Cert, bản tin bảo
mật của các công ty về bảo mật, hoặc tư vấn về mã độc từ các công ty phần mềm
Anti-virus). Tổ chức cũng nên thiết lập một cơ chế để đánh giá lỗ hổng mới và các
thông tin về các mối đe doạ mới, xác định phương pháp giảm thiểu thích hợp và phân
phối thông tin cho các bên thích hợp. Các tổ chức cũng cần phải có một phương pháp
để theo dõi đánh giá thường kỳ năng lực xử lý sự cố của mình. các kỹ thuật giúp giảm
thiểu các lỗ hổng gồm có: (1) Quản lý bản vá; (2) Đặc quyền tối thiểu; (3) Biện pháp
hỗ trợ khác.
4. Triển khai các công nghệ phòng chống mã độc
4.1. Phần mềm Anti-virus
Phần mềm Anti-virus là một trong những phương pháp kỹ thuật thường được
sử dụng để giảm thiểu các rủi ro về mã độc. Hệ điều hành và những ứng dụng phổ
biến luôn là mục tiêu của các loại mã độc. Hiện nay có rất nhiều hãng phần mềm
Anti-virus với hầu hết các các chức năng cung cấp bảo vệ, tuy nhiên tất cả các sản
phẩm đều thực hiện các yêu cầu chức năng như sau:
- Quét các thành phần hệ thống như các tập tin khởi động và bản ghi khởi
động.
24


- Xem các hoạt động thời gian thực trên hệ thống và kiểm tra các hoạt động
đáng nghi ngờ. Quét toàn bộ các tệp đính kèm, email gửi và nhận. Phần mềm Antivirus được cấu hình để thực hiện quét thời gian thực với chức năng khi mở mỗi tập tin
được tải về đều quét trước khi thực thi.
- Giám sát hành vi của các ứng dụng phổ biến, chẳng hạn trình duyệt thư phía
máy khách, trình duyệt Web, chương trình truyền file và chương trình nhắn tin. Phần
mềm diệt virus giám sát hoạt động liên quan đến các ứng dụng có nhiều khả năng
được sử dụng để làm hệ thống lây nhiễm hoặc lây lan mã độc tới hệ thống khác.
- Quét những tập tin nghi ngờ có virus. Phần mềm Anti-virus được thiết lập để
thường xuyên quét các ổ cứng để xác định bất kỳ tập tin hệ thống là bị nhiễm và tuỳ

chọn quét các phương tiện lưu trữ khác. Người dùng cũng có thể khởi động quét thủ
công khi cần (theo yêu cầu).
- Xác định các loại mã độc hại phổ biến như virus, worm, trojan horses, mã
độc hại di động và các mối đe doạ hỗn hợp như các công cụ của kẻ tấn công như
keylogger và backdoor. Hầu hết các sản phẩm Anti-virus cũng hỗ trợ cho việc phát
hiện phần mềm gián điệp.
- Làm sạch các tập tin, trong đó có việc loại bỏ mã độc trong một tập tin, cách
ly tập tin. Làm sạch tập tin là gỡ bỏ mã độc hại và trả lại tập tin nguyên bản, tuy nhiên
nhiều tập tin bị nhiễm không thể được làm sạch. Theo đó, phần mềm Anti-virus được
cấu hình lại để cố gắng làm sạch các tập tin bị nhiễm và cho cách ly hoặc xoá tập tin
không làm sạch được.
4.2. Phần mềm phát hiện phần mềm gián điệp
Phần mềm phát hiện phần mềm gián điệp (spyware) và công cụ loại bỏ được
thiết kế nhằm mục địch xác định nhiều dạng khác nhau của phần mềm gián điệp trên
hệ thống từ đó cách ly hoặc gỡ bỏ chúng. Không giống như phần mềm Anti-virus (để
xác định nhiều kiểu mã độc), phần mềm phát hiện spyware và tiện ích gỡ bỏ dùng cho
cả các loại mã độc kể cả không phải dạng spyware. Thông thường, phần mềm phát
hiện spyware và công cụ gỡ bỏ cung cấp các khả năng xử lý spyware mạnh mẽ hơn
phần mềm Anti-virus. Ngăn ngừa sự cố bị phần mềm spyware quan trọng không chỉ
vì phần mềm spyware vi phạm quyền riêng tư của người dùng mà nó còn thường
xuyên gây ra vấn đề trên hệ thống, như làm chậm hệ thống hoặc làm cho ứng dụng
không ổn định.

25


Tài liệu liên quan

Tài liệu bạn tìm kiếm đã sẵn sàng tải về

Tải bản đầy đủ ngay
×