Đề tài Tìm hiểu loại nguy đe dọa năm 2014 hoạt động toán điện tử giới Trình bày phương pháp phịng chống trực tiếp loại nguy Lời mở đầu Thanh toán điện tử khâu quan trọng thương mại điện tử Hiểu cách khái qt tốn điện tử q trình tốn tiền người mua người bán Điểm cốt lõi vấn đề việc ứng dụng cơng nghệ tốn tài (ví dụ mã hóa số thẻ tín dụng, séc điện tử, tiền điện tử) ngân hàng, nhà trung gian bên tham gia hoạt động thương mại Các ngân hàng tổ chức tín dụng sử dụng phương pháp nhằm mục đích nâng cao hiệu hoạt động bối cảnh phát triển kinh tế số, với số lợi ích giảm chi phí xử lý, chi phí cơng nghệ tăng cường thương mại trực tuyến Hình thức tốn điện tử có số hệ thống tốn như: Thanh tốn thẻ tín dụng; Thanh tốn vi điện tử (Electronic Cash MicroPayment; Chi phiếu điện tử (Electronic Check); Thư điện tử (Email) Với lợi ích nêu trên, tăng cường khả toán điện tử giải pháp cắt giảm đáng kể chi phí hoạt động Theo tính tốn ngân hàng việc giao dịch tiền séc tốn kém, họ tìm kiếm giải pháp khác với chi phí thấp Hiện Mỹ giao dịch tiền mặt chiếm khoảng 54% séc 29%, giao dịch điện tử chiếm khoảng 17% Dự báo số tăng lên thời gian tới An toàn trước công vấn đề mà hệ thống giao dịch trực tuyến cần giải Vì hệ thống cần phải có chế đảm bảo an tồn q trình giao dịch điện tử Một hệ thống thơng tin trao đổi liệu an tồn phải đáp ứng số yêu cầu sau: • Hệ thống phải đảm bảo liệu trình truyền khơng bị đánh cắp • Hệ thống phải có khả xác thực, tránh trường hợp giả danh, giả mạo Do vậy, cần tập trung vào việc bảo vệ tài sản chúng chuyển tiếp máy khách máy chủ từ xa Các kỹ thuật đảm bảo cho an tồn giao dịch điện tử sử dụng hệ mật mã, chứng số sử dụng chữ ký số trình thực giao dịch Những nguy chủ yếu đe dọa hoạt động toán điện tử giới gồm có: virut, Sâu máy tính (worm), Trojan Horse, Phần mềm gián điệp (spyware), Phần mềm quảng cáo (adware), Keylogger, hacker Chương I Nội dung 1.virut Trong khoa học máy tính, virus máy tính (thường người sử dụng gọi tắt virus hay vi-rút) chương trình hay đoạn mã thiết kế để tự nhân chép vào đối tượng lây nhiễm khác (file, ổ đĩa, máy tính, ) a.Lịch sử Năm 1949: John von Neumann (1903-1957) phát triển tảng lý thuyết tự nhân chương trình cho máy tính Vào cuối thập niên 1960 đầu thập niên 1970 xuất máy Univax 1108 chương trình gọi "Pervading Animal" tự nối với phần sau tập tin tự hành, lúc chưa có khái niệm virus Năm 1981: Các virus xuất hệ điều hành máy tính Apple II Năm 1983: Tại Đại Học miền Nam California, Hoa Kỳ, Fred Cohen lần đầu đưa khái niệm "Vi-rút máy tính" (computer virus) định nghĩa ngày Năm 2000: Virus Love Bug, cịn có tên ILOVEYOU, đánh lừa tính hiếu kì người Đây loại macro virus Đặc điểm dùng tập tin dạng "ILOVEYOU.txt.exe", lợi dụng điểm yếu Outlook thời giờ: theo mặc định sẵn, đuôi dạng.exe tự động bị giấu Ngồi ra, virus cịn có đặc tính spyware: tìm cách đọc tên mã nhập máy chủ gửi cho tay hắc đạo Khi truy cứu sinh viên người Philippines Tên tha bổng lúc Philippines chưa có luật trừng trị người tạo virus cho máy tính Năm 2002: Tác giả virus Melissa, David L Smith, bị xử 20 tháng tù Trước đây, virus thường viết số người am hiểu lập trình muốn chứng tỏ khả nên thường virus có hành động như: cho chương trình khơng hoạt động đúng, xóa liệu, làm hỏng ổ cứng, gây trò đùa khó chịu Những virus viết thời gian gần khơng cịn thực trị đùa hay phá hoại đối máy tính nạn nhân bị lây nhiễm nữa, mà đa phần hướng đến việc lấy cắp thông tin cá nhân nhạy cảm (các mã số thẻ tín dụng) mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hành động khác nhằm có lợi cho người phát tán virus Chiếm 90% số virus phát nhắm vào hệ thống sử dụng hệ điều hành họ Windows đơn giản hệ điều hành sử dụng nhiều giới Do tính thơng dụng Windows nên tin tặc thường tập trung hướng vào chúng nhiều hệ điều hành khác Cũng có quan điểm cho Windows có tính bảo mật không tốt hệ điều hành khác (như Linux) nên có nhiều virus hơn, nhiên hệ điều hành khác thông dụng Windows thị phần hệ điều hành ngang lượng virus xuất có lẽ tương đương b.Các hình thức lây nhiễm virus máy tính Virus lây nhiễm theo cách cổ điển Cách cổ điển lây nhiễm, bành trướng loai virus máy tính thơng qua thiết bị lưu trữ di động: Trước đĩa mềm đĩa CD chứa chương trình thường phương tiện bị lợi dụng nhiều để phát tán Ngày đĩa mềm sử dụng phương thức lây nhiễm chuyển qua ổ USB, đĩa cứng di động thiết bị giải trí kỹ thuật số Virus lây nhiễm qua thư điện tử Khi mà thư điện tử (e-mail) sử dụng rộng rãi giới virus chuyển hướng sang lây nhiễm thơng qua thư điện tử thay cho cách lây nhiễm truyền thống Khi lây nhiễm vào máy nạn nhân, virus tự tìm danh sách địa thư điện tử sẵn có máy tự động gửi hàng loạt (mass mail) cho địa tìm thấy Nếu chủ nhân máy nhận thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến địa gửi Chính số lượng phát tán tăng theo cấp số nhân khiến cho thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, làm tê liệt nhiều quan toàn giới thời gian ngắn Khi mà phần mềm quản lý thư điện tử kết hợp với phần mềm diệt virus khắc phục hành động tự gửi nhân hàng loạt để phát tán đến địa khác danh bạ máy nạn nhân chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus nguồn địa sưu tập trước Phương thức lây nhiễm qua thư điển tử bao gồm: Lây nhiễm vào file đính kèm theo thư điện tử (attached mail) Khi người dùng khơng bị nhiễm virus file đính kèm bị nhiễm virus kích hoạt (do đặc điểm virus thường "trá hình" tiêu đề hấp dẫn sex, thể thao hay quảng cáo bán phần mềm với giá vô rẻ) Lây nhiễm mở liên kết thư điện tử Các liên kết thư điện tử dẫn đến trang web cài sẵn virus, cách thường khai thác lỗ hổng trình duyệt hệ điều hành Một cách khác, liên kết dẫn tới việc thực thi đoạn mã, máy tính bị bị lây nhiễm virus Lây nhiễm mở để xem thư điện tử: Cách vô nguy hiểm chưa cần kích hoạt file mở liên kết, máy tính bị lây nhiễm virus Cách thường khai thác lỗi hệ điều hành Virus lây nhiễm qua mạng Internet Theo phát triển rộng rãi Internet giới mà hình thức lây nhiễm virus qua Internet trở thành phương thức virus ngày Có hình thức lây nhiễm virus phần mềm độc hại thông qua Internet sau: Lây nhiễm thông qua file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, thay hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB ) cách tải từ Internet, trao đổi, thông qua phần mềm Lây nhiễm truy cập trang web cài đặt virus (theo cách vơ tình cố ý): Các trang web có chứa mã hiểm độc gây lây nhiễm virus phần mềm độc hại vào máy tính người sử dụng truy cập vào trang web Lây nhiễm virus chiếm quyền điều khiển máy tính thơng qua lỗi bảo mật hệ điều hành, ứng dụng sẵn có hệ điều hành phần mềm hãng thứ ba: Điều khó tin số người sử dụng, nhiên tin tặc lợi dụng lỗi bảo mật hệ điều hành, phần mềm sẵn có hệ điều hành (ví dụ Windows Media Player) lỗi bảo mật phần mềm hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus chiếm quyền kiểm sốt máy tính nạn nhân mở file liên kết với phần mềm c Biến thể Một hình thức chế hoạt động virus tạo biến thể chúng Biến thể virus thay đổi mã nguồn nhằm mục đích tránh phát phần mềm diệt virus làm thay đổi hành động Một số loại virus tự tạo biến thể khác gây khó khăn cho trình phát tiêu diệt chúng Một số biến thể khác xuất sau virus bị nhận dạng phần mềm diệt virus, tác giả tin tặc khác (biết mã chúng) viết lại, nâng cấp cải tiến chúng để tiếp tục phát tán d Cách phòng chống virus ngăn chặn tác hại Để khơng bị lây nhiễm virus giải pháp triệt để ngăn chặn kết nối thông tin vào thiết bị máy tính bao gồm ngắt kết nối mạng chia sẻ, không sử dụng ổ mềm, ổ USB copy file vào máy tính, đặc biệt dạng file có nguy cao Điều thực hiệu mà tăng trưởng số lượng virus hàng năm giới lớn Tuy nhiên, thời đại "bùng nổ thông tin", đa số người có nhu cầu truy cập vào "không gian số", khẳng định chắn bảo vệ an tồn 100% cho máy tính trước hiểm hoạ virus phần mềm không mong muốn, hạn chế đến tối đa với biện pháp bảo vệ liệu mình: Sử dụng phần mềm diệt virus Bảo vệ cách trang bị thêm phần mềm diệt virus có khả nhận biết nhiều loại virus máy tính liên tục cập nhật liệu để phần mềm ln nhận biết virus (Để biết cách sử dụng phần mềm diệt virus hiệu quả, xem thêm "phần mềm diệt virus") Trên thị trường Việt Nam có nhiều tên tuổi phần mềm diệt virus như: Do người Việt Nam viết: Bkav, D32, CMC, Của nước ngoài: Norton-Symantec, Kaspersky, Avira, AVG, ESET,Avast! Phát hành Microsoft: Microsoft Security Essentials, Sử dụng tường lửa cá nhân Tường lửa cá nhân (Personal Firewall) q xa vời dành cho nhà cung cấp dịch vụ internet (ISP) mà máy tính cá nhân cần phải sử dụng tường lửa để bảo vệ trước virus phần mềm độc hại Khi sử dụng tường lửa, thông tin vào máy tính kiểm sốt cách vơ thức có chủ ý Nếu phần mềm độc hại cài vào máy tính có hành động kết nối Internet tường lửa cảnh báo giúp người sử dụng loại bỏ vơ hiệu hố chúng Tường lửa giúp ngăn chặn kết nối đến không mong muốn để giảm nguy bị kiểm sốt máy tính ngồi ý muốn cài đặt vào chương trình độc hại hay virus máy tính Tường lửa chia loại: Sử dụng tường lửa phần cứng Nếu người sử dụng kết nối với mạng Internet thông qua modem card chun dụng có chức Thơng thường chế độ mặc định nhà sản xuất chức "tường lửa" bị tắt, người sử dụng truy cập vào modem phép hiệu lực (bật) Sử dụng tường lửa phần cứng tuyệt đối an toàn chúng thường ngăn chặn kết nối đến trái phép, kết hợp sử dụng tường lửa phần mềm Sử dụng tường lửa phần mềm: Ngay hệ điều hành họ Windows ngày tích hợp sẵn tính tường lửa phần mềm, nhiên thông thường phần mềm hãng thứ ba làm việc tốt tích hợp nhiều cơng cụ so với tường lửa phần mềm sẵn có Windows Ví dụ phần mềm ZoneAlarm Security Suite hãng ZoneLab công cụ bảo vệ hữu hiệu trước virus, phần mềm độc hại, chống spam, tường lửa Cập nhật vá lỗi hệ điều hành Hệ điều hành Windows (chiếm đa số) luôn bị phát lỗi bảo mật thơng dụng nó, tin tặc lợi dụng lỗi bảo mật để chiếm quyền điều khiển phát tán virus phần mềm độc hại Người sử dụng cần cập nhật vá lỗi Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất phần mềm hãng Microsoft) Windows Update (chỉ cập nhật riêng cho Windows) Cách tốt đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) Windows Tính hỗ trợ Windows mà Microsoft nhận thấy chúng hợp pháp Vận dụng kinh nghiệm sử dụng máy tính Cho dù sử dụng tất phần mềm phương thức máy tính có khả bị lây nhiễm virus phần mềm độc hại mẫu virus chưa cập nhật kịp thời phần mềm diệt virus Người sử dụng máy tính cần sử dụng triệt để chức năng, ứng dụng sẵn có hệ điều hành kinh nghiệm khác để bảo vệ cho hệ điều hành liệu Một số kinh nghiệm tham khảo sau: Phát hoạt động khác thường máy tính: Đa phần người sử dụng máy tính khơng có thói quen cài đặt, gỡ bỏ phần mềm thường xuyên làm hệ điều hành thay đổi - có nghĩa sử dụng ổn định - nhận biết thay đổi khác thường máy tính Ví dụ đơn giản: Nhận thấy hoạt động chậm chạp máy tính, nhận thấy kết nối ngồi khác thường thơng qua tường lửa hệ điều hành hãng thứ ba (thông qua thông báo hỏi cho phép truy cập hoạt động khác tường lửa) Mọi hoạt động khác thường phần cứng gây cần nghi ngờ xuất virus Ngay có nghi ngờ, cần kiểm tra cách cập nhật liệu cho phần mềm diệt virus thử sử dụng phần mềm diệt virus khác để quét toàn hệ thống Kiểm soát ứng dụng hoạt động: Kiểm soát hoạt động phần mềm hệ thống thông qua Task Manager phần mềm hãng thứ ba (chẳng hạn: ProcessViewer) để biết phiên làm việc bình thường hệ thống thường nạp ứng dụng nào, chúng chiếm lượng nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động có điều bất thường hệ thống (dù chưa có biểu nhiễm virus) có nghi ngờ có hành động phịng ngừa hợp lý Tuy nhiên cách đòi hỏi am hiểu định người sử dụng Loại bỏ số tính tự động hệ điều hành tạo điều kiện cho lây nhiễm virus: Theo mặc định Windows thường cho phép tính tự chạy (autorun) giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm đưa đĩa CD đĩa USB vào hệ thống Chính tính số loại virus lợi dụng để lây nhiễm vừa cắm ổ USB đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền nhanh thời gian gần thông qua ổ USB cách tạo file autorun.inf ổ USB để tự chạy virus cắm ổ USB vào máy tính) Cần loại bỏ tính phần mềm hãng thứ ba TWEAKUI sửa đổi Registry Quét virus trực tuyến: Sử dụng trang web cho phép phát virus trực tuyến: Bảo vệ liệu máy tính Nếu khơng chắn 100% khơng bị lây nhiễm virus máy tính phần mềm hiểm độc khác bạn nên tự bảo vệ tồn vẹn liệu trước liệu bị hư hỏng virus (hoặc nguy tiềm tàng khác hư hỏng thiết bị lưu trữ liệu máy tính) Trong phạm vi viết virus máy tính, bạn tham khảo ý tưởng sau: Sao lưu liệu theo chu kỳ biện pháp đắn để bảo vệ liệu Bạn thường xuyên lưu liệu theo chu kỳ đến nơi an toàn như: thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi đĩa quang ), hình thức thực theo chu kỳ hàng tuần khác tuỳ theo mức độ cập nhật, thay đổi liệu bạn Tạo liệu phục hồi cho tồn hệ thống khơng dừng lại tiện ích sẵn có hệ điều hành (ví dụ System Restore Windows Me, XP ) mà cần đến phần mềm hãng thứ ba, ví dụ bạn tạo lưu hệ thống phần mềm ghost, phần mềm tạo ảnh ổ đĩa phân vùng khác Thực chất hành động không chắn liệu lưu khơng bị lây nhiễm virus, có virus phiên cập nhật phần mềm diệt virus tương lai loại bỏ chúng Sâu máy tính (worm) Sâu máy tính chương trình máy tính có khả tự nhân giống virus máy tính Trong virus máy tính bám vào trở thành phần mã máy tính để thi hành sâu máy tính chương trình độc lập khơng thiết phải phần chương trình máy tính khác để lây nhiễm Sâu máy tính thường thiết kế để khai thác khả truyền thông tin có máy tính có đặc điểm chung - hệ điều hành chạy phần mềm mạng - nối mạng với Worm tiếng tạo Robert Morris vào năm 1988 Nó làm hỏng hệ điều hành UNIX Internet Tuy vậy, có lẽ worm tồn lâu virus happy99, hay hệ sau có tên Trojan Các worm thay đổi nội dung tệp wsok32.dll Windows tự gửi chúng đến địa cho lần gửi điện thư hay message Sâu máy tính thường mang theo phần mềm gián điệp để mở cửa hậu máy tính máy tính bị nhiễm (giống Sobig Mydoom) Các máy tính bị nhiễm sử dụng người gửi thư rác giả danh địa trang web Các cửa hậu sâu máy tính khác khai thác Doomjuice - phát tán cửa hậu mở Mydoom Sâu máy tính thường thiết kế để phát tán từ máy tính sang máy tính khác mà người sử dụng không hay biết Không giống virus máy tính, sâu máy tính tự nhận lên nhiều lần người sủ dụng không thực thao tác Ví dụ sâu máy tính xâm nhập vào hệ thống mail người sử dụng để tự gửi email đến tất địa Contact list họ số sâu máy tính tiếng Conficker, Sasser, Blaster Giới thiệu loại sâu Flame loại sâu máy tính bị hãng bảo mật Kaspersky Lab phát vào ngày cuối tháng vừa qua Flame ẩn nấp máy tính vịng năm, phần mềm độc hại ăn cắp liệu, nghe trộm đàm thoại, chụp ảnh hình phần mềm chat… khiến cho thực nguy hiểm với sử dụng máy tính Internet Flame nguy hiểm đến mức nào? Flame vũ khí cơng nghệ cơng tinh vi, để lại cửa sau (backdoor) Trojan máy tính nạn nhân lây truyền hệ thống mạng nội bộ, tương tự cách thức hoạt động loại sâu máy tính khác Ảnh minh họa đoạn mã nguồn Flame, cho thấy mơ-đun Flame mơ-đun chính, sử dụng để làm tên gọi cho sâu máy tính Flame theo dõi thông tin kết nối Internet, chụp ảnh hình, ghi lại âm đàm thoại, bí mật ghi lại thơng tin gõ bàn phím thu thập thông tin thiết bị sử dụng Bluetooth gần thiết bị lây nhiễm Flame biến máy tính nạn nhân thành thiết bị phát Bluetooth Chưa dừng lại đó, hacker cịn cập nhật mơ-đun để bổ sung thêm nhiều chức cho Flame máy tính nạn nhân Hiện có khoảng 20 mơ-đun khác sâu máy tính bị phát nhà nghiên cứu bảo mật tìm hiểu xem chức thực mơ-đun Tên loại phần mềm độc hại (Flame) đặt dựa theo tên mơ-đun chính, thực nhiệm vụ công phát tán nhiều máy tính Hiện nhà nghiên cứu bảo mật phát nhiều biến thể Flame phát chúng có kết nối với 80 máy chủ khác “Flame khối kết cấu nhiều mô-đun Về mục tiêu bị lây nhiễm mơ-đun sau kẻ cơng tải lên mô-đun phụ thực chức cần thiết”, Roel Schouwenberg, chuyên gia bảo mật Kaspersky cho biết “Chúng cho chưa thể nắm rõ có mơ-đun mà hacker sử dụng cho Flame” Kaspersky Lab dự đoán Flame sử dụng lỗ hổng bảo mật nghiêm trọng Windows để phát tán, nhiên thông tin chưa Microsoft xác nhận Flame lây lan nào? Flame lây lan thơng qua ổ đĩa gắn USB, ổ cứng di động, hệ thống mạng chia sẻ máy in chia sẻ nhiên, chuyên gia bảo mật chưa thể tìm nguồn gốc lây lan ban đầu loại malware nguy hiểm Các hình thức nguồn gốc lây nhiễm Flame Kaspersky Lab dự đoạn email lừa đảo có chứa mã độc nguồn gốc lây lan Flame Flame xuất bao lâu? Trên thực tế, đến tận tháng năm nay, Flame phát hiện, mà Kaspersky Lab cho biết dấu hiệu xuất Flame có từ năm 2010, chí có chứng cho Flame xuất từ năm 2007 từ trước Tại Flame không bị phát sớm hơn? Theo đánh giá chuyên gia bảo mật, cho dù tác giả Flame thủ phạm nỗ lực để lập trình giúp cho sâu máy tính ẩn dấu tránh bị phát lâu tốt “Rõ ràng dự án hàng triệu tài trợ phủ đó”, Schouwenberg, chuyên gia bảo mật Kaspersky dự đốn Khơng giống với việc lây lan mạnh mẽ sâu máy tính nguy hiểm trước đây, Flame lây lan nhằm vào mục tiêu cụ thể mà hacker nhắm tới Flame cho thấy bất thường kích cỡ sử dụng ngơn ngữ lập trình khơng phổ biến, ngơn ngữ lập trình Lua, đó, ban đầu Flame khơng có q nguy hiểm “Tác giả Flame thực tài tình việc che dấu diện nó”, Schouwenberg cho biết thêm “Bởi Flame khơng sử dụng cơng nghệ xâm nhập ẩn dấu mà loại sâu máy tính khác thường sử dụng, phần mềm bảo mật phát Để phát Flame điều khơng dễ dàng gì” Bản đồ phân bổ lây nhiễm Flame, chủ yếu tập trung Trung Đông Bắc Phi Khi hỏi liệu có phải Mỹ hay Israel đứng sau Flame, với mục tiêu trị nhắm vào Iran hay khơng, Schouwenberg cho biết không dám điều "Mặc dù Flame lập trình thích tiếng Anh, khơng có nghĩa quốc gia nói tiếng Anh đứng đằng sau phần mềm độc hại này", Schouwenberg suy luận Trong đó, nhiều trang cơng nghệ trích dẫn "nguồn tin cao cấp Israel" xác nhận chuyên gia công nghệ Israel tạo Flame để "xâm nhập may tính cá nhân cao cấp Iran, Palestin nhiều nơi khác, bao gồm Israel, người cho tham gia vào hoạt động tình báo" Mức độ lây nhiễm Flame nghiêm trọng đến mức nào? Các chuyên gia bảo mật Kaspersky tin có nhiều biến thể Flame số lượng mà họ biết, đặc biệt số mơ-đun mà hacker sử dụng Ngồi ra, Kaspersky cho có đội ngũ nhân lực hùng hậu đứng đằng sau Flame để giúp ngày trở nên nguy hiểm Hiện Flame sử dụng 80 máy chủ để điều khiển kết nối, cho thấy nguồn tài nguyên "hùng hậu" đứng đằng sau sâu máy tính Mục tiêu Flame ai? Theo Kaspersky tỷ lệ lây lan Flame cao Israel, Palestine, Sudan, Syria, Libăng, Ả-rập Saudi Ai Cập Trong đó, hãng bảo mật danh tiếng khác Symantec lại cho mục tiêu mà Flame nhắm đến Bờ tây Palestine, Hungary, Iran Li-băng Tuy nhiên, chuyên gia bảo mật chưa biết mục tiêu nhắm đến, hay lây lan khu vực Trung Đông trước mã độc lây lan rộng rãi toàn cầu riêng tư người chủ máy (như số tài khoản ngân hàng, ngày sinh số quan trọng khác ) nhằm vào mưu đồ xấu c Dấu hiệu máy bị xâm nhập Bất kì dấu hiệu sau xảy máy bạn bị cơng: • Bạn tìm thấy thiết bị nhỏ cỡ ngón tay nối dây cáp bàn phím đầu cắm sau máy Hay người đề nghị tặng (bán rẻ) cho bạn bàn phím tốt hơn! • Giấy biên nhận trả tiền điện thoại có thêm số thuê bao (phải trả phụ phí) mà bạn chẳng gọi tới số (tại Hoa Kỳ số bắt đầu 900) • Khi bạn gõ tìm địa "Internet Explorer" nhấn nút "Enter" để bắt tìm kiếm trang "search" thường dùng bị thay trang search lạ • Các chương trình chống spyware khơng hoạt động Nó báo lỗi tệp tin cần thiết, sau cài đặt trở lại khơng hoạt động Ngun phần mềm gián điệp ngăn chặn khơng cho cài chương trình chống gián điệp hoạt động hữu hiệu • Bạn tìm thấy tên địa lạ danh sách "Favorites" bạn chưa đặt vào mục • Máy tự nhiên chạy chậm thường nhật Nếu Windows 2000 hay XP thử chạy "Task Manager" nhấn mục "Processes" (tiến trình) thấy tiến trình khơng quen biết dùng gần 100% thời lượng CPU • Ở thời điểm mà bạn khơng làm với mạng mà thấy đèn gửi/nhận chớp sáng "dial-up" hay "board band modem" giống tải phần mềm máy biểu tượng "network/modem" nhấp nháy nhanh mà bạn không nối máy vào mạng • Một "search toolbar" hay "browser toolbar" xuất bạn không lệnh để cài đặt khơng thể xố chúng, chúng xuất trở lại sau xố • Bạn nhận cửa sổ quảng cáo trình duyệt chưa chạy máy chưa nối kết với Internet bạn nhận quảng cáo có đề tên bạn • Trang chủ bạn bị đổi cách kì cục Bạn đổi lại tay lại bị sửa • Gõ vào địa quen biết mà nhận trang trống không hay bị báo lỗi "404 Page cannot be Found" • Dấu hiệu cuối cùng: Mọi thứ trở bình thường Những spyware mạnh thường khơng để dấu tích Nhưng kiểm lại máy trường hợp d Các cách thức phòng chống Cách hay để phòng chống phần mềm gián điệp sử dụng hệ điều hành Windows (như OS X, Linux, v.v.) có phần mềm gián điệp viết cho hệ điều hành Hơn nữa, nhiều phần mềm gián điệp cài đặt dùng ActiveX Internet Explorer (IE), người dùng trình duyệt khác nhưFirefox, Opera, họ bị phần mềm gián điệp Sử dụng Windows gốc: Một xài gốc, người dùng lo lắng lỗ hổng tạo cách vơ tình hay cố ý cracker Hãy dùng phần mềm chống spyware Quét thường xuyên để loại bỏ spyware Khởi động lại máy chạy kiểm tra lại lần sau lần lại bị nhiễm spyware để chống tái nhiễm (tickler) Phần mềm chống spyware tiếng thị trường Spy Sweeper Một số chương trình chống spyware hữu hiệu bổ sung cho tải miễn phí máy, là: Ad-aware Lavasoft PC Magazine bầu chọn năm 2005 Spybot - Search & Destroy Safer Networking Limited SpywareBlaster Javacool Hãng Microsoft có xuất vài công cụ tăng cường an ninh cho hệ windows 'Microsoft Antispyware' (mua lại Giant Anti Spyware), Microsoft Defense, Security Analyser Phải có chương trình chống virus tường lửa cho máy Khi sử dụng nhà cung cấp dịch vụ Internet (ISP: Internet Service Provider) họ cung cấp cho cơng cụ miễn phí để bảo vệ máy (chẳng hạn Yahoo, AOL hộp thư thử nghiệm Google) từ việc nhỏ chương trình ngăn chận cửa sổ nảy (Popup Blocker) ngăn chặn hình quảng cáo tự ý hiển thị phần mềm cài đặt bảo vệ tường lửa, chống virus, chống spyware lọc thư nhũng lạm (spam mail) Hãy dùng chúng bạn khơng có tốt luôn nhớ cho phần mềm giúp bạn hạn chế khó lịng mà tuyệt diệt loại spyware Coi chừng dịch vụ peer-to-peer chia sẻ chung tập tin (peer-to-peer files sharing service) Hầu hết ứng dụng thông dụng có spyware thủ tục cài đặt Tránh tải tệp mệnh lệnh ngoại trừ chúng cung cấp từ nhà sản xuất lớn hay trang "tốt" Coi chừng cookie: liệu thu thập cookie trùng lặp với thơng tin nơi để cung cấp thông tin bạn cách đáng ngạc nhiên Bạn tải chương trình Cookie Cop để kiểm sốt cookie www.pcmag.com/utilities Spyware đến từ nguồn thư điện tử dạng HTML Hãy xoá thẳng tay điện thư mà bạn rõ xuất xứ khơng có liên lạc Nếu dùng Outlook 2003, dùng Tools → Options → tab Security → chọn "Change Automatic Download Settings" Kiểm tra chắn bạn chọn chức "Don't download pictures or other content automatically in HTML e-mail" 5.Hacker (an ninh máy tính) a Khái niệm chung Hacker người thông thạo say mê tìm hiểu xử lý vượt qua vấn đề máy tính,là người viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị bảo mật Những người hiểu rõ hoạt động hệ thống máy tính, mạng máy tính dùng kiến thức thân để làm thay đổi, chỉnh sửa với nhiều mục đích tốt xấu khác nhau,là người xâm nhập bất hợp pháp hệ thống cơng nghệ thơng tin mà họ xác định rõ “Hack” tiếng Anh, hành động thâm nhập vào phần cứng máy tính, phần mềm máy tính hay mạng máy tính để thay đổi hệ thống Hacker lập trình viên giỏi Trên phương diện tích cực, người hacker lập trình giỏi người hiểu biết sâu ngơn ngữ lập trình có khả lập trình nhanh hiệu Những người hacker thuộc phân loại chuyên gia đánh giá cao có khả phát triển chương trình mà khơng cần đến quy trình truyền thống tình mà việc sử dụng quy trình khơng cho phép Thực tế có dự án phát triển phần mềm đặc thù cần đến tự sáng tạo hacker, ngược quy trình thơng thường Tuy vậy, mặt trái tự sáng tạo yếu tố khả bảo trì lâu dài, văn lập trình hồn tất Với tính cách ln ưa thích "thách thức thử thách", người hacker tài thường cảm thấy buồn chán họ giải tất vấn đề khó khăn dự án, khơng cịn hứng thú hồn tất phần chi tiết Hacker người viết hay chỉnh sửa phần mềm, phần cứng máy tính bao gồm lập trình, quản trị bảo mật Những người hiểu rõ hoạt động hệ thống máy tính, mạng máy tính dùng kiến thức thân để làm thay đổi, chỉnh sửa với nhiều mục đích tốt xấu khác Hack, tiếng Anh, hành động thâm nhập vào hệ thống máy tính, phần mềm máy tính hay mạng máy tính để thay đổi hệ thống theo ý muốn hacker b Phân loại hacker theo hành động thâm nhập Hacker mũ trắng từ thường gọi người mà hành động thâm nhập thay đổi hệ thống họ xem tốt, chẳng hạn nhà bảo mật, lập trình viên, chun viên mạng máy tính Một số hacker mũ trắng hoạt động sở thích, “người theo chủ nghĩa tuý” cách gọi Thubten Comeford, tổng giám đốc điều hành White Hat Technologies Những người sử dụng thời gian rảnh rỗi để kiểm tra khả bảo mật phần mềm họ sử dụng Nếu phát có lỗi, họ gửi thông tin đến nhà sản xuất mà khơng địi đồng thù lao Hành vi chuẩn hacker mũ trắng khơng nói chuyện đến tiền bạc cung cấp tồn thơng tin lỗi bảo mật cho người sở hữu hệ thống hay hãng sản xuất phần mềm với mục đích giúp đỡ Hacker mũ đen từ thường gọi người mà hành động thâm nhập có mục đích phá hoại, vi phạm pháp luật Cách thức hoạt động hacker mũ đen đa dạng Trong năm gần đây, họ xâm nhập vào địa có sở liệu cao eBay, Amazon.com, MSNBC…với công từ chối dịch vụ (Dos): sử dụng máy tính để làm tràn ngập địa với số lượng yêu cầu kết nối khơng thể kiểm sốt được, khiến người dùng khơng thể truy cập Hành vi nghiêm trọng hacker mũ đen ăn cắp hay tống tiền.Vào năm 1994, nhóm hacker Moscow, Nga, xâm nhập vào hệ thống mạng để rút 10 triệu USD Ngoài ra, hacker mũ đen cịn ăn cắp hồ sơ thẻ tín dụng khách hàng cơng ty để đòi tiền chuộc Theo Peter Chiu, chuyên gia bảo mật hãng tư vấn CNTT Infusion Development, hacker loại thơng báo cho đồng nghiệp khắp giới lỗ hổng mà họ tìm thấy Ngồi cịn có hacker mũ xanh (blue hat), mũ xám (grey hat) với ý nghĩa khác, chưa công nhận rộng rãi c Phân loại hacker dựa lĩnh vực Hacker lập trình viên giỏi Trên phương diện tích cực, người hacker lập trình giỏi người hiểu biết sâu ngôn ngữ lập trình có khả lập trình nhanh hiệu Những người hacker thuộc phân loại chuyên gia đánh giá cao có khả phát triển chương trình mà khơng cần đến quy trình truyền thống tình mà việc sử dụng quy trình khơng cho phép Thực tế có dự án phát triển phần mềm đặc thù cần đến tự sáng tạo hacker, ngược quy trình thơng thường Tuy vậy, mặt trái tự sáng tạo yếu tố khả bảo trì lâu dài, văn lập trình hồn tất Với tính cách ln ưa thích "thách thức thử thách", người hacker tài thường cảm thấy buồn chán họ giải tất vấn đề khó khăn dự án, khơng cịn hứng thú hoàn tất phần chi tiết Thái độ rào cản môi trường cộng tác, gây khó khăn cho lập trình viên khác vấn đề hoàn tất dự án Trong số trường hợp, người hacker không mô tả văn kỹ lưỡng đoạn mã lập trình, gây khó khăn cho cơng ty tìm người thay người rời vị trí Hacker chuyên gia mạng hệ thống Về lĩnh vực mạng hệ thống, hacker người có kiến thức chuyên sâu giao thức hệ thống mạng Có khả hồn thiện tối ưu hóa hệ thống mạng Mặt tối hacker khả tìm điểm yếu mạng lợi dụng điểm yếu để đột nhập vào hệ thống mạng Đa số hacker mũ đen có kiến thức sơ đẳng mạng sử dụng cơng cụ sẵn có để đột nhập, họ thường gọi "script kiddies" Hacker chuyên gia phần cứng Một loại hacker khác người u thích có kiến thức sâu phần cứng, họ có khả sửa đổi hệ thống phần cứng để tạo hệ thống có chức đặc biệt hơn, mở rộng chức thiết kế ban đầu Các ví dụ hacker phân loại bao gồm: Sửa đổi phần cứng máy tính để tối ưu hóa tăng tốc hệ thống Sửa đổi hệ thống game Xbox để chạy hệ điều hành Linux d Các phương thức tán công Tấn cơng trực tiếp - Sử dụng máy tính để cơng máy tính khác với mục đích dị tìm mật mã, tên tài khoản tương ứng, … Họ sử dụng số chương trình giải mã để giải mã file chứa password hệ thống máy tính nạn nhân Do đó, mật ngắn đơn giản thường dễ bị phát - Ngồi ra, hacker cơng trực tiếp thơng qua lỗi chương trình hay hệ điều hành làm cho hệ thống tê liệt hư hỏng Trong số trường hợp, hacker đoạt quyền người quản trị hệ thống Kỹ thuật đánh lừa : Social Engineering - Đây thủ thuật nhiều hacker sử dụng cho công thâm nhập vào hệ thống mạng máy tính tính đơn giản mà hiệu Thường sử dụng để lấy cấp mật khẩu, thông tin, công vào phá hủy hệ thống Ví dụ : kỹ thuật đánh lừa Fake Email Login - Về nguyên tắc, đăng nhập vào hộp thư bạn phải nhập thơng tin tài khoản bao gồm username password gởi thông tin đến Mail Server xử lý Lợi dụng việc này, người công thiết kế trng web giống hệt trang đăng nhập mà bạn hay sử dụng Tuy nhiên, trang web giả tất thông tin mà bạn điền vào gởi đến cho họ Kết quả, bạn bị đánh cắp mật ! - Nếu người quản trị mạng, bạn nên ý dè chừng trước email, messengers, cú điện thoại yêu cầu khai báo thông tin Những mối quan hệ cá nhân hay tiếp xúc mối nguy hiểm tiềm tàng Kỹ thuật công vào vùng ẩn : - Những phần bị dấu website thường chứa thông tin phiên làm việc client Các phiên làm việc thường ghi lại máy khách không tổ chức sở liệu máy chủ Vì vậy, người cơng sử dụng chiêu chức View Source trình duyệt để đọc phần đầu từ tìm sơ hở trang Web mà họ muốn cơng Từ đó, cơng vào hệ thống máy chủ Tấn công vào lỗ hổng bảo mật : - Hiện, lỗ hổng bảo mật phát nhiều hệ điều hành, web server hay phần mềm khác, Và hãng sản xuất cập nhật lỗ hổng đưa phiên sau vá lại lỗ hổng phiên trước Do đó, người sử dụng phải cập nhật thông tin nâng cấp phiên cũ mà sử dụng khơng hacker lợi dụng điều để công vào hệ thống - Thông thường, forum hãng tiếng cập nhật lỗ hổng bảo mật việc khai thác lỗ hổng tùy người Khai thác tình trạng tràn đệm : - Tràn đệm tình trạng xảy liệu gởi nhiều so với khả xử lý hệ thống hay CPU Nếu hacker khai thác tình trạng tràn đệm họ làm cho hệ thống bị tê liệt làm cho hệ thống khả kiểm soát - Để khai thác việc này, hacker cần biết kiến thức tổ chức nhớ, stack,các lệnh gọi hàm Shellcode - Khi hacker khai thác lỗi tràn đệm hệ thống, họ đoạt quyền root hệ thống Đối với nhà quản trị, tránh việc tràn đệm khơng khó khăn, họ cần tạo chương trình an tồn từ thiết kế Nghe trộm : - Các hệ thống truyền đạt thông tin qua mạng không chắn lợi dụng điều này, hacker truy cập vào data paths để nghe trộm đọc trộm luồng liệu truyền qua - Hacker nghe trộm truyền đạt thông tin, liệu chuyển đến sniffing snooping Nó thu thập thông tin quý giá hệ thống packet chứa password username Các chương trình nghe trộm cịn gọi sniffing Các sniffing có nhiệm vụ lắng nghe cổng hệ thống mà hacker muốn nghe trộm Nó thu thập liệu cổng chuyển cho hacker Kỹ thuật giả mạo địa : - Thơng thường, mạng máy tính nối với Internet bảo vệ tường lửa(fire wall) Bức tường lửa hiểu cổng mà người vào nhà hay phải qua bị “điểm mặt” Bức tường lửa hạn chế nhiều khả cơng từ bên ngồi gia tăng tin tưởng lẫn việc sử dụng tài nguyên chia sẻ mạng nội - Sự giả mạo địa nghĩa người bên ngồi giả mạo địa máy tính máy tính hệ thống cần công Họ tự đặt địa IP máy tính trùng với địa IP máy tính mạng bị cơng Nếu làm điều này, hacker lấy liệu, phá hủy thông tin hay phá hoại hệ thống Kỹ thuật chèn mã lệnh : - Một kỹ thuật công sử dụng cho số kỹ thuật công khác chèn mã lệnh vào trang web từ máy khách người công - Kỹ thuật chèn mã lệnh cho phép người công đưa mã lệnh thực thi vào phiên làm việc web người dùng khác Khi mã lệnh chạy, cho phép người cơng thực nhiều nhiều chuyện giám sát phiên làm việc trang web tồn quyền điều khiển máy tính nạn nhân Kỹ thuật cơng thành công hay thất bại tùy thuộc vào khả linh hoạt người công Tấn công vào hệ thống có cấu hình khơng an tồn : - Cấu hình khơng an tồn lỗ hổng bảo mật hệ thống Các lỗ hổng tạo ứng dụng có thiết lập khơng an tồn người quản trị hệ thống định cấu hình khơng an tồn Chẳng hạn cấu hình máy chủ web cho phép có quyền duyệt qua hệ thống thư mục Việc thiết lập làm lộ thơng tin nhạy cảm mã nguồn, mật hay thông tin khách hàng - Nếu quản trị hệ thống cấu hình hệ thống khơng an tồn nguy hiểm người công duyệt qua file pass họ download giải mã ra, họ làm nhiều thứ hệ thống Tấn công dùng Cookies : - Cookie phần tử liệu nhỏ có cấu trúc chia sẻ website trình duyệt người dùng - Cookies lưu trữ file liệu nhỏ dạng text (size 4KB) Chúng site tạo để lưu trữ, truy tìm, nhận biết thơng tin người dùng ghé thăm site vùng mà họ qua site Những thông tin bao gồm tên, định danh người dùng, mật khẩu, sở thích, thói quen, … - Cookies Browser người dùng chấp nhận lưu đĩa cứng máy tính, khơng phải Browser hổ trợ cookies Can thiệp vào tham số URL : - Đây cách công đưa tham số trực tiếp vào URL Việc cơng dùng câu lệnh SQL để khai thác sở liệu máy chủ bị lỗi Điển hình cho kỹ thuật công công lỗi “SQL INJECTION” - Kiểu công gọn nhẹ hiệu người công cần công cụ cơng trình duyệt web backdoor Vơ hiệu hóa dịch vụ : - Kiểu cơng thông thường làm tê liệt số dịch vụ, gọi DOS (Denial of Service - Tấn công từ chối dịch vụ) - Các công lợi dụng số lỗi phần mềm hay lỗ hổng bảo mật hệ thống, hacker lệnh cho máy tính chúng đưa u cầu khơng đâu vào đâu đến máy tính, thường server mạng Các yêu cầu gởi đến liên tục làm cho hệ thống nghẽn mạch số dịch vụ không đáp ứng cho khách hàng - Đơi khi, u cầu có cơng từ chối dịch vụ hợp lệ Ví dụ thơng điệp có hành vi cơng, hồn tồn hợp lệ mặt kỹ thuật Những thông điệp hợp lệ gởi lúc Vì thời điểm mà server nhận nhiều yêu cầu nên dẫn đến tình trạng khơng tiếp nhận thêm yêu cầu Đó biểu từ chối dịch vụ (ST) Biện pháp phòng chống Cùng với phát triển khơng ngừng Cơng nghệ máy móc, song song với phát triển có tốc độ Hacker nhằm bắt kịp với phát triển Hai mặt đối lập phát triển lúc, dẫn tới nhiều đời làm phong phú thêm tài nguyên thông tin cơng nghệ Vì thế, biện pháp để đề phịng bảo vệ cho sở tạo ra, ngồi ra, khơng cịn biện pháp loại bỏ tận gốc Hacker xấu mưu lợi Chọn nhà cung cấp dịch vụ có kinh nghiệm: Chắc bạn đồng ý làm việc với người có kinh nghiệm xương máu đỡ lo phải không ? Làm máy tính cá nhân: Ngay phát máy tính cá nhân bạn có vấn đề, xứ lý Website bạn khơng có lỗ hổng máy tính cá nhân bạn chứa vài trojan có chức keylogger (dạng chương trình ghi lại hoạt động bàn phím) xem an tồn khơng Mọi thơng tin (có thể bao gồm thông tin quản lý tên miền) bạn phơi bày lên mạng Chọn nhà cung cấp hosting thật bảo mật: Hầu hết website bị hack từ website khác chung máy chủ Website bạn lỗi, website khác chung máy chủ có lỗi, suy chắn bạn bị vạ lây nhà cung cấp dịch vụ hosting không bảo đảm riêng tư cho website bạn Nếu dư dả, bạn dùng riêng máy chủ & thuê chuyên gia bảo mật cấu hình cho bạn Đừng vội sử dụng cơng nghệ mới: Trừ cơng nghệ thực cần thiết Mọi thứ bao gồm nhiều lỗi Vì dụ đơn giản dễ hiểu là: Website sử dụng hệ sơ sở liệu MSSQL thường xuyên bị hack dính lỗi SQLInjection, cũ MS Access lại chẳng bị lỗi Hãy để người khác test trước công nghệ đã, thấy an tồn dùng Cập nhật thông tin: Hãy thường xuyên cập nhật thông tin bảo mật Rà sốt thường xun: Có website bạn bị hack từ lâu, hacker để lại "cửa sau" để dành lúc khác tay mạnh mẽ Phần mềm quảng cáo (adware) Loại phần mềm quảng cáo, hay có chương trình cài đặt tải từ mạng Một số phần mềm vơ hại, số có khả hiển thị thơng tin kịt hình, cưỡng chế người sử dụng thường đính kèm với mẩu quảng cáo nhỏ, chúng thường phân phát hình thức phần mềm miễn phí hay phiên dùng thử Và bạn trả tiền cho sản phẩm dùng thử đó, quảng cáo "teo" nhỏ biến tùy theo sách (policy) hãng phần mềm Bên cạnh đó,phần mềm gián điệp (spyware) "biến thể" phần mềm quảng cáo, chúng bí mật cài vào máy tính người sử dụng họ duyệt web Các spyware theo dấu người dùng họ lang thang Internet ghi lại chúng, sau gửi thơng tin địa Internet Ad = Advertising = quảng cáo; ware = software = phần mềm Adware phần mềm quảng cáo có tính chất virus (bản chất virus chương trình, lây lan qua mạng qua việc copy liệu máy tính) Việc bạn sử dụng trình duyệt web, bị nhảy sang banner hay pop-up quảng cáo, adware Trước kia, adware thường ko có hại nhiều ngồi việc gây khó chịu cho người sử dụng trình duyệt, bây giờ, mà adware kèm với phần mềm độc hại khác spyware thực trở thành mối nguy hiểm cần đề phòng Đây dạng mã độc nguy hiểm Tình trạng máy bị nhiễm mã độc bất ngờ xuất website lạ chứa quảng cáo hình ảnh nhạy cảm Để xóa mã độc này, bạn cần biết địa website chứa quảng cáo sau gỡ bỏ cài đặt chúng Ví dụ delta search toolbar "delta search toolbar" cơng cụ tìm kiếm delta search toolbar chương trình phần mềm quảng cáo khác trình duyệt khơng tặc, cài đặt máy tính bạn thay đổi thiết lập tìm kiếm Internet bạn, thay đổi trang chủ Internet bạn để "delta search toolbar" mơ cơng cụ tìm kiếm Google Các nhà xuất ("delta search toolbar") tun bố cơng cụ tìm kiếm họ cung cấp tùy chỉnh tìm kiếm giải pháp kiếm tiền để nhà phát triển phần mềm công ty truyền thông mà công cụ tìm kiếm delta search toolbar phân loại phần mềm quảng cáo trình duyệt thực chuyển hướng hiển thị quảng cáo từ nhà cung cấp khơng rõ Chương trình cài đặt tích hợp sẵn bên delta search toolbar chương trình cài đặt phần mềm miễn phí khác cho lý bạn phải luôn ý bạn cài đặt phần mềm miễn phí máy tính bạn Hiệu ứng có hại nhiễm delta search toolbar Việc tìm kiếm chuyển hướng trang chủ máy tính để bàn bạn thiết lập thay đổi Đây triệu chứng rõ ràng bệnh delta search toolbar lây lan nhiều phần mềm gián điệp phần mềm quảng cáo ký sinh trùng Quảng cáo popup Unknown đến vào tầm mắt tất bất ngờ; Virus chuyển hướng có hại gây kết nối Internet nghèo sụp đổ hệ thống thường xuyên Chiếm tài nguyên cao bật làm chậm tốc độ máy tính bạn 7.Keylogger Keylogger hay "trình theo dõi thao tác bàn phím" theo cách dịch tiếng Việt chương trình máy tính ban đầu viết nhằm mục đích theo dõi ghi lại thao tác thực bàn phím vào tập tin nhật ký (log) người cài đặt sử dụng Về sau, keylogger phát triển cao khơng ghi lại thao tác bàn phím mà cịn ghi lại hình ảnh hiển thị hình (screen) cách chụp (screen-shot) quay phim (screen-capture) chí cịn ghi nhận cách trỏ chuột máy tính di chuyển a.Phân loại keylogger Keylogger bao gồm hai loại, loại keylogger phần cứng loại phần mềm Theo người lập trình, keylogger viết với có loại giúp bạn giám sát cái, người thân xem họ làm với PC, với internet, chat với người lạ Nhưng cách sử dụng chức keylogger giới khiến người ta thường hay phân loại keylogger theo mức độ nguy hiểm câu hỏi: Nhiễm vào máy không qua cài đặt/Cài đặt vào máy cực nhanh (quick install)? Có thuộc tính ẩn/giấu trình quản lí tiến trình (process manager) trình cài đặt gỡ bỏ chương trình (Add or Remove Program)? Theo dõi khơng thơng báo/PC bị nhiễm khó tự phát hiện? Có thêm chức Capturescreen ghi lại thao tác chuột? Khó tháo gỡ? Có khả lây nhiễm, chống tắt (kill process)? Cứ câu trả lời "có", cho điểm Điểm cao, keylogger vượt khỏi mục đích giám sát (monitoring) đến với mục đích thám (spying) tính nguy hiểm cao Keylogger phân loại theo số điểm: Loại số Không điểm: keylogger loại bình thường; chạy cơng khai, có thơng báo cho người bị theo dõi, với mục đích giám sát Loại số Một đến hai điểm: keylogger nguy hiểm; chạy ngầm, hướng đến mục đích thám nhiều giám sát (nguy hại đến thông tin cá nhân tài khoản cá nhân, mật khẩu, thẻ tín dụng người dùng khơng biết) Loại số Ba đến năm điểm: keylogger loại nguy hiểm; ẩn giấu hoàn toàn theo dõi phạm vi rộng, mục đích thám rõ ràng Loại số Sáu điểm: keylogger nguy hiểm nghiêm trọng, thường mang theo trojanvirus khó tháo gỡ, loại keylogger nguy hiểm Chính (và đồng thời "đồng bọn" trojan-virus) thường hay bị chương trình chống virus tìm thấy tiêu diệt Thành phần Keylogger Thông thường, chương trình keylogger gồm có ba phần chính: Chương trình điều khiển (Control Program): dùng để theo điều phối hoạt động, tinh chỉnh thiết lập, xem tập tin nhật ký cho Keylogger Phần phần giấu kỹ keylogger, thơng thường gọi tổ hợp phím tắt đặc biệt Tập tin hook, chương trình monitor dùng để ghi nhận lại thao tác bàn phím, capture screen (đây phần quan trọng nhất) Tập tin nhật ký (log), nơi chứa đựng/ghi lại tồn hook ghi nhận Một loại log file Ngoài ra, tùy theo loại có thêm phần chương trình bảo vệ (guard, protect), chương trình thơng báo (report)… b Cách thức cài đặt vào máy Các loại keylogger từ - thông thường cài đặt vào máy giống chương trình máy tính khác, phải qua bước cài đặt Đầu tiên cài đặt tập tin dùng để hoạt động vào thư mục đặc biệt (rất phức tạp), sau đăng ký cách thức hoạt động đợi người dùng thiết lập thêm ứng dụng Sau bắt đầu hoạt động Loại keylogger số vào thẳng máy người dùng bỏ qua bước cài đặt, dùng tính autorun để chạy với hệ thống Một số loại tự thả (drop) vào chương trình khác, để người dùng sử dụng chương trình keylogger tự động chạy theo Cách hoạt động Trong hệ thống (Windows, Linux, Mac…), bấm phím bàn phím, bàn phím chuyển thành tín hiệu chuyển vào CPU CPU chuyển tới hệ điều hành để hệ điều hành dịch thành chữ số cho chương trình khác sử dụng Nhưng hệ thống có keylogger, khơng có hệ điều hành theo dõi mà hook file/monitor program keylogger theo dõi ghi nhận dịch lại tính hiệu ghi vào tập tin nhật ký Đồng thời cịn theo dõi hình thao tác chuột c Phòng, tránh chống keylogger Phòng Keylogger thường bị vào máy qua hai đường chính: cài đặt bị cài đặt Phòng ngừa "được cài đặt" Phương pháp sau có tác dụng với chủ máy (người nắm quyền root/administrator) Cách tốt không cho sử dụng chung máy tính Bảo mật máy cách khóa lại chương trình bảo vệ, mật Nếu phải dùng chung nên thiết lập quyền người dùng chung thật thấp (guest Windows XP, user Linux) để kiểm sốt việc cài đặt chương trình họ Phịng ngừa "bị cài đặt" Bị cài đặt cách để nói đến trường hợp keylogger vào máy không người trực tiếp đưa vào máy mà trojan, virus, spyware cài đặt vào máy nạn nhân mà nạn nhân không hay biết Các biện pháp phịng ngừa: Khơng tùy tiện mở tập tin lạ, không rõ nguồn gốc (đặc biệt ý tập tin có *.exe, *.com, *.bat, *.scr, *.swf, *.zip, *.rar, *.js, *.gif…) Tốt nên xóa đi, hoặckiểm tra (scan) chương trình antivirus chương trình antispyware, nhiều chương trình antivirus tìm thấy virus, nhận biết spyware Không vào trang web lạ, đặc biệt web "tươi mát" trang web ẩn chứa loại worm, virus, mã độc âm thầm cài đặt Không click vào đường link lạ cho bạn Khơng cài đặt chương trình lạ Khơng download chương trình từ nguồn khơng tin cậy Nếu bạn có thể, xem xét chữ ký điện tử, để chắn chương trình khơng bị sửa đổi Hạn chế download sử dụng cracked-program Luôn ln tự bảo vệ chương trình chun dùng chống virus, chống spyware (antivirus, antispyware) dựng tường lửa (firewall) Internet Thường xuyên cập nhật đầy đủ cập nhật bảo mật hệ điều hành Hoặc download số phần mềm chống keylog để bảo vệ Tránh keylogger Khi nghi ngờ có keylogger mà khơng có điều kiện kiểm tra Diệt tập tin hook, chương trình theo dõi Sử dụng chương trình task manager (có thể gọi tổ hợp phím tắt Ctrl+Alt+Del Windows) xem chương trình chạy Nếu bạn thấy process lạ (đặc biệt Windows XP tập tin chạy User name System) chưa thấy tắt (end, kill) Lưu ý, cách làm treo hệ thống tập tin cần cho nó; người dùng cần có kinh nghiệm Che mắt keylogger Keylogger hoạt động nguyên tắc theo dõi bàn phím (monitoring keyboard) có có khả theo dõi chuột (dù có theo dõi khơng xác lắm) có khả capture clipboard Vì dù hệ thống có keylogger (trừ keylogger có khả quay phim) vượt qua cách: Sử dụng On-Screen Keyboard (bàn phím hình) (trong windows gọi Start/Run/osk) để nhập cách liệu nhạy cảm (mật khẩu, thẻ tín dụng) cách click chuột Vì cách nhập liệu nằm ngồi vùng theo dõi tập tin hook (vì khơng qua bàn phím) nên keylogger khơng ghi nhận thơng tin Cách dễ dùng người khác trơng thấy thơng tin nhập vào (tiếng lóng thường dùng đá pass) từ bạn password Sử dụng Copy’n’Paste (chép dán): tìm đoạn văn có từ nằm đoạn thơng tin muốn giấu (ví dụ: mật password bạn tìm đoạn văn có từ p, a, s, w, o, r, d (ví dụ to day Is a hot day, peter feel bad he want a cool drink or a ice-cream) copy chữ dán thành chữ password gửi Cách có ưu điểm dễ dùng rắc rối hiệu nhiều keylogger có chức theo dõi clipboard Sử dụng type’n’Click (bấm nhấn): thân keylogger thơng thường khơng thể theo dõi bấm chuột Ví dụ muốn đánh đoạn thông tin password, đánh số từ có nó: psr sử dụng chuột (khơng dùng bàn phím) chen ngang vào p s đánh chữ a s r đánh chữ swo sau r chữ d Dịng thơng tin nhập vào password tập tin nhật ký log keylogger ghi lại psraswod Cách hay không phù hợp với thơng tin dài dễ gây quên Chống keylogger Nhanh hiệu diệt trừ tồn chương trình theo dõi bàn phím Một số chương trình Keylogger Killer Totto quét process tìm chương trình theo dõi lúc nhiều ứng dụng (keylogger dùng cách thường tập tin *.dll) đề nghị bạn tắt Thế số chương trình tốt (như chương trình giúp gõ bàn phím Unikey, Vietkey) dùng cách nên gây diệt lầm Sử dụng chương trình chống spyware chuyên dùng Các chương trình tự động qt, phân tích chương trình chạy máy để từ nhận biết chương trình keylogger tự động diệt Một số chương trình cịn có chế độ bảo vệ thời gian thực (Real-Time Protection) giúp bảo vệ bạn chống spyware chuẩn bị cài vào máy Nhưng điểm gây khó khăn cách dùng đa số chương trình sử dụng tốt phải trả tiền (ví dụ Spyware Doctor Pctools, McAfee Antispyware củaMcAfee, Bitdefender…) Tuy có số chương trình miễn phí tốt Ad-Aware SE, Spybot S&D, Spyblaster bắt hụt số chương trình đặc biệt, dùng kết hợp (cùng lúc hai ba) thi hiệu hồn tồn.(nói thêm: bạn chạy 2-3 chương trình khơng phù hợp với gây xung đột phần mêm chống virut) Trong số trường hợp, người dùng chọn cách chống Keylogger theo cách "sống chung với lũ" Lấy ví dụ Keyscrambler số phần mềm bảo vệ máy tính theo phương pháp Mọi liệu phím bấm truyền đến Hệ điều hành Keyscrambler mã hóa trước (do keyscrambler tác động trực tiếp từ phần lõi Kennel), sau đến phần mềm khác (bao gồm keylogger) cuối giải mã lại cho với phím gõ Phương pháp vơ hiệu hóa đa số loại keylogger tại, không yêu cầu người dùng cập nhật trình antikeylogger thường xun Tuy nhiên, có điểm yếu riêng Nếu keylogger viết để ghi lại phím sau chúng giải mã (ví dụ: cài keylogger addon trình duyệt ) xem vơ hiệu hóa keyscrambler, hỗ trợ số phần mềm định Khi dùng chung với phần mềm gõ tiếng Việt, người dùng phải tắt KeyScramble đi, phiền phức lớn dù minh chứng cho khả bảo mật phần mềm Chương II kết luận Ngày nay, với phát triển khơng ngừng nghỉ CNTT cơng việc nói chung đời sống nói riêng, nguy bị cắp hay xáo trộn thông tin điều tránh khỏi Từ thông tin cắp ấy, ảnh hưởng xấu đến người bị đánh cắp, nguồn lợi cho kẻ đánh cắp Địi hỏi phải có bảo mật an tồn thông tin cách kịp thời Bên cạnh việc bị đánh cắp, thơng tin an tồn phải nhờ vào số nguồn lực làm công việc bảo mật, an toàn hệ thống… Và người đánh cắp hay người bảo vệ, họ ln tìm tịi phát triển để nhằm đánh đổ lẫn nhau, CNTT ngày phong phú phát triển ... phần mềm chưa cho phép d Cách phòng chống Cách hữu hiệu đừng mở đính kèm gửi đến cách bất ngờ Khi đính kèm khơng mở Trojan horse khơng thể hoạt động Cẩn thận với thư điện tử gửi từ địa quen biết... bán phần mềm với giá vô rẻ) Lây nhiễm mở liên kết thư điện tử Các liên kết thư điện tử dẫn đến trang web cài sẵn virus, cách thường khai thác lỗ hổng trình duyệt hệ điều hành Một cách khác, liên... a.Phân loại keylogger Keylogger bao gồm hai loại, loại keylogger phần cứng loại phần mềm Theo người lập trình, keylogger viết với có loại giúp bạn giám sát cái, người thân xem họ làm với PC, với