Đang tải... (xem toàn văn)
MỞ ĐẦUTầm quan trọng của An ninh truyền thông từ lâu đã được ghi nhận trong quân sự và trong những lĩnh vực hoạt động xã hội – nơi có thể xuất hiện sự uy hiếp đến An ninh Quốc gia. Việc làm chủ an ninh truyền thông và những con số bí mật của nó được công nhận như một tác nhân quan trọng đem lại chiến thắng trong rất nhiều cuộc xung đột quân sự từ nhiều thế kỷ qua, trong đó có cả Thế chiến thứ II ở thế kỷ trước. Với khái niệm này An ninh truyền thông là phương tiện che dấu thông tin và bảo vệ nó không bị bóp méo hay mất mát trong quá trình truyền tin. Việc giải mã các mật mã là những phương tiện làm vô hiệu hoá khả năng an ninh của đối phương.Ngày nay hệ thống mạng máy tính đã có những bước phát triển mạnh mẽ, xâm nhập vào rất nhiều lĩnh vực của cuộc sống. Với hệ thống mạng Internet, những dịch vụ như giáo dục từ xa, trao đổi thương mại, giao dịch điện tử, … đã trở thành hiện thực. Tuy nhiên, vì là một hệ thống mạng mở, có phạm vi toàn cầu và không có bất kỳ tổ chức nào quản lý nên mạng Internet cũng trở thành môi trường lý tưởng cho các phần tử xấu thực hiện các hành động phá hoại, đánh cắp thông tin gây tổn hại về kinh tế, uy tín của các cơ quan tổ chức và cá nhân tham gia vào hệ thống mạng. Vì vậy vấn đề đảm bảo an ninh, an toàn thông tin trên mạng máy tính trở thành một yêu cầu tất yếu và quan trọng cả ở góc độ quốc gia và quốc tế.Giáo trình an toàn thông tin được xây dựng nhằm cung cấp cho người đọc những kiến thức cơ bản về an toàn thông tin, khai thác sử dụng các dịch vụ an toàn trong hệ thống thông tin, xây dựng một số giải pháp nhằm đảm bảo tính an toàn của hệ thống.Nội dung của giáo trình bao gồm:
MỞ ĐẦU Tầm quan trọng An ninh truyền thông từ lâu ghi nhận quân lĩnh vực hoạt động xã hội – nơi xuất uy hiếp đến An ninh Quốc gia Việc làm chủ an ninh truyền thông số bí mật cơng nhận tác nhân quan trọng đem lại chiến thắng nhiều xung đột quân từ nhiều kỷ qua, có Thế chiến thứ II kỷ trước Với khái niệm An ninh truyền thông phương tiện che dấu thông tin bảo vệ khơng bị bóp méo hay mát trình truyền tin Việc giải mã mật mã phương tiện làm vơ hiệu hố khả an ninh đối phương Ngày hệ thống mạng máy tính có bước phát triển mạnh mẽ, xâm nhập vào nhiều lĩnh vực sống Với hệ thống mạng Internet, dịch vụ giáo dục từ xa, trao đổi thương mại, giao dịch điện tử, … trở thành thực Tuy nhiên, hệ thống mạng mở, có phạm vi tồn cầu khơng có tổ chức quản lý nên mạng Internet trở thành môi trường lý tưởng cho phần tử xấu thực hành động phá hoại, đánh cắp thông tin gây tổn hại kinh tế, uy tín quan tổ chức cá nhân tham gia vào hệ thống mạng Vì vấn đề đảm bảo an ninh, an tồn thơng tin mạng máy tính trở thành yêu cầu tất yếu quan trọng góc độ quốc gia quốc tế Giáo trình an tồn thơng tin xây dựng nhằm cung cấp cho người đọc kiến thức an toàn thông tin, khai thác sử dụng dịch vụ an tồn hệ thống thơng tin, xây dựng số giải pháp nhằm đảm bảo tính an tồn hệ thống Nội dung giáo trình bao gồm: Chương I: Tổng quan An tồn thơng tin mạng máy tính Đưa vấn đề tổng quan An ninh, an tồn mạng máy tính; hình thức cơng phổ biến; dịch vụ an tồn mạng số mơ hình mạng đảm bảo an tồn Chương II: Mật mã An tồn thơng tin mạng máy tính Trình bày kiến thức Mật mã, giải thuật mã hoá, số giao thức mã hố đảm bảo an tồn; giải pháp xây dựng mơ hình ứng dụng sử dụng lý thuyết mật mã để đảm bảo an tồn thơng tin q trình truyền thơng mạng máy tính Chương III: An tồn Hạ tầng mạng Xem xét, phân tích, đánh giá số mơ hình mạng phổ biến thực tế; từ đưa giải pháp kỹ thuật phù hợp nhằm đảm bảo an ninh an toàn cho hạ tầng hệ thống mạng Chương IV: An toàn ứng dụng mạng Cung cấp kiến thức An ninh, an toàn dịch vụ mạng máy tính Phân tích, đánh giá nguy dịch vụ mạng; từ đề xuất triển khai giải pháp đảm bảo An ninh, an tồn -1- Giáo trình xây dựng dựa tài liệu tham khảo từ nhiều nguồn khác nhau, tổng hợp đầy đủ nguy an tồn Hệ thống Thơng tin giải pháp để đảm bảo an ninh an toàn Tuy nhiên có thực tế khơng có biện pháp bảo vệ an tồn thơng tin liệu an toàn tuyệt đối Một hệ thống dù bảo vệ chắn đến đâu đảm bảo an tồn tuyệt đối Vì người làm cơng tác đảm bảo an ninh an tồn phải ln cập nhật sử dụng kết hợp nhiều biện pháp giảm thiểu tối đa rủi ro Hệ thống thơng tin Giáo trình lần biên soạn chắn không tránh khỏi sai sót, mong nhận góp ý đồng nghiệp bạn đọc Hà Nội, tháng 11 năm 2010 Tác giả CHƯƠNG I TỔNG QUAN VỀ AN TỒN THƠNG TIN TRÊN MẠNG MÁY TÍNH I Một số vấn đề An tồn Thơng tin mạng máy tính Thực trạng An ninh mạng Việt Nam Thế giới Lịch sử cơng mạng máy tính khởi đầu vào năm 1950 1960, bao trùm phần cứng lẫn phần mềm xoay quanh phịng thí nghiệm trí thơng minh nhân tạo Viện công nghệ Massachusetts (MIT - Mỹ) Những sinh viên thơng minh với chất tị mị, xâm nhập hệ thống điện thoại trung tâm điều hành câu lạc đường sắt Tech Model, bị hút máy tính đồ sộ viện Giám đốc MIT Marvin Minsky cho phép họ tiếp cận trực tiếp với cỗ máy coi tảng hacker tương lai Các tên tuổi "sừng sỏ" sau bắt nguồn từ Peter Deutsch, Bill Gosper, Richard Greenblatt, Tom Knight Jerry Sussman Sau MIT, trung tâm đào tạo khác Mỹ trở thành "đất" nuôi dưỡng nhiều mầm mống hacker đại học Carnegie Mellon, Stanford Ví dụ, phịng thí nghiệm trí thơng minh nhân tạo Standford, "chỉ đạo" John McCarthy, chứng kiến máy SAIL tắt ngấm vào năm 1991 sau hacker gửi e-mail với -2- thông điệp "chào tạm biệt" lên Internet thể SAIL gửi lời "trăng trối" tới bạn bè Thậm chí trung tâm nghiên cứu có tính thương mại ATT, Xerox bị biến thành nhà riêng tin tặc với tên Ed Fredkin, Brian Reid, Jim Gosling, Brian Kernighan, Dennis Ritchie hay Richard Stallman Khi máy tính trở nên phổ biến khắp toàn cầu, với phát triển mạnh mẽ mạng Internet, hoạt động phá hoại từ xa tiềm ẩn nhiều nguy Chính quyền Mỹ phải thiết lập hành lang pháp lý để uốn nắn hành vi hacker nhằm bảo vệ lợi ích tổ chức, cá nhân dùng thiết bị Cuối năm 1980, họ ban hành đạo luật chống lạm dụng lừa đảo thơng qua máy tính thành lập trung tâm cứu hộ máy tính nhằm phản ứng nhanh trước hành vi phạm tội Theo luật pháp Mỹ, hành vi thâm nhập máy tính người khác mà không phép bị khởi tố phạt tù, phạt tiền, tùy theo mức độ nghiêm trọng Tuy nhiên giới mạng bùng nổ chóng mặt, hoạt động nhóm Hacker trở nên phức tạp khó kiểm sốt biên giới quốc gia bị dỡ bỏ Tin tặc nước công website, lừa đảo người dùng Internet nước khác Hàng loạt quốc gia phải xây dựng luật chống tội phạm tin học riêng Theo đó, nhiều nước u cầu hacker cơng vào máy tính website đặt máy chủ nước bị dẫn độ nước để xử lý chịu án theo luật họ Kể từ đến nay, hệ thống mạng máy tính giới phải hứng chịu vô số công để lại hậu nặng lề mà khó thống kê cách đầy đủ Theo số liệu thống kê Uỷ ban chịu trách nhiệm vấn đề khẩn cấp máy tính mạng Internet (CERT – internet Computer Emergency Response Team), điểm số công sau: John Draper Nổi tiếng với tên hiệu “Cap'n Crunch”, John Draper người giới “nhận mệnh danh hacker” Trong thập niên 70, Draper sử dụng còi đồ chơi tặng kèm hộp ngũ cốc Cap'n Crunch để “hack” vào đường dây điện thoại thoải mái thực gọi “miễn phí” Draper vơ tình nhận cịi tạo âm có tần số giống hệt tần số tín hiệu gọi đường dây điện thoại Nhờ mà điều khiển gọi tiếp tục diễn mà người nghe tưởng gọi kết thúc Năm 1972, Draper bị phát hãng điện thoại “nhìn thấy bất thường” hóa đơn tiền điện thoại anh Sau Draper bị kết án tháng tù giam Vụ công Draper khai sinh thuật ngữ “Phreaking” Nghĩa thuật ngữ xã hội ngày “tấn công vào hệ thống viễn thông” Kevin Mitnick Đầu năm 1990: Kevin Mitnick, hay gọi "chúa tể hacker", đột nhập thành công vào hệ thống máy tính cơng ty truyền thơng kỹ thuật lớn -3- giới Nokia, Fujitsu, Motorola, Sun Microsystems Mitnick bị FBI bắt vào năm 1995, sau thả vào năm 2000 Mitnick khơng thừa nhận hoạt động cơng mà gọi "một mánh khóe xã hội" Kevin Poulsen Năm 1983: sinh viên Poulsen công vào mạng Arpanet, tiền thân mạng Internet Anh ta phát lỗ hổng cấu trúc mạng tạm chiếm quyền điều khiển mạng mở rộng nước Mỹ Năm 1990: Khi đài phát khu vực Los Angeles công bố thi với giải thưởng dành cho người thứ 102 gọi tới đài, Kevin Poulsen công vào mạng lưới tổng đài thành phố nhằm làm cho trở thành người gọi thứ 102 để đoạt giải thưởng Anh ta bị bắt khơng lâu sau phải bị phạt năm tù Hiện Poulsen biên tập viên có tiếng trang tin điện tử Wires News Robert Morris Năm 1988, sinh viên 23 tuổi tốt nghiệp trường ĐH Cornell Robert Morris phát tán 99 dòng mã nguồn độc hại biết đến tên Sâu Morris (Morris Worm) lây nhiễm khiến hàng loạt PC hàng loạt quốc gia khác ngừng hoạt động Mục tiêu hacker đếm số lượng PC kết nối vào mạng Internet qua biết mạng Internet lớn đến Hành động khiến Morris bị bắt vào năm 1989 trở thành người bị kết án theo Luật lạm dụng máy tính có hành vi sử dụng máy tính vào mục đích lừa đảo Quốc hội Mỹ thông qua năm 1986 Ngồi Morris cịn phải nộp khoản tiền phạt lên tới 10.000 USD Vladimir Levin Năm 1994, Vladimir Levin lần giới thực thành công việc chuyển bất hợp pháp khoản tiền lớn khỏi ngân hàng có tiếng Levin đánh cắp loạt tài khoản ngân hàng doanh nghiệp lớn Mỹ thông qua mạng truyền dẫn analog (analog wire transfer network) ngân hàng CitiBank Hacker chuyển tổng cộng 10,7 triệu USD sang loạt tài khoản Mỹ, Phần Lan, Hà Lan, Israel Đức Ba đồng phạm Levin bị bắt đến rút tiền ngân hàng riêng Levin phải đến năm 1995 bị quan bảo vệ pháp bắt giữ Sân bay Stansted (London, Anh) Năm 1997, Levin bị dẫn độ sang Mỹ, bị kết án năm tù phải đền bù cho CitiBank khoản tiền lên tới 240.015 USD Về số tiền bị đánh cắp, CitiBank lấy lại khoảng 400.000 USD David Smith -4- Năm 1999, David Smith phát tán sâu Melissa từ máy tính bang New Jersey (Mỹ) thông qua tài khoản thư điện tử AOL đánh cắp Con sâu máy tính có khả tự động phát tán đến 50 người có tên sổ địa Outlook lây nhiễm lên PC Melissa lây nhiễm công PC 300 doanh nghiệp toàn giới - có tên tuổi lớn Microsoft, Intel hay Lucent Technologies Những doanh nghiệp buộc phải đóng máy chủ email (email gateway) lượng email gửi nhiều Tổng thiệt hại mà Melissa gây ước tính lên tới số 80 triệu USD Sau bị kết tội, Smith lĩnh án tù 20 tháng phải làm việc giám sát FBI nhằm trợ giúp quan phát loại mã độc lần tìm tác giả chúng Jonathan James Cuối tháng 6-1999, Jonathan James hoa mắt biết tài liệu mã nguồn NASA bán với giá 1,7 triệu USD James - có 15 tuổi - đột nhập thành cơng vào máy tính NASA nhờ đánh cắp mật tài khoản đăng nhập Trung tâm vũ trụ Marshall (Alabama, Mỹ) với hi vọng kiếm tài liệu để bán lấy tiền Hậu vụ công tháng 7-1999 NASA buộc phải ngắt kết nối mạng máy tính suốt vài tuần lễ Tài liệu bị đánh cắp tài liệu liên quan đến kiểm sốt mơi trường trạm vũ trụ nhiệt độ, độ ẩm… Tròn 16 tuổi, James bị kết án tháng tù giam phải chấp nhận thời gian giám sát thử thách tròn 18 tuổi MafiaBoy Tại thời điểm diễn vụ công tiếng, Mike Calce biết đến tên MafiaBoy quan bảo vệ pháp luật Canada lệnh cấm báo giới tiết lộ tên thật Tháng 2-2000, sử dụng 75 PC 52 hệ thống mạng khác nhau, Calce tổ chức công từ chối dịch vụ (Denial-of-Service) cực lớn hạ gục liên tiếp website 10 cơng ty có tên tuổi Amazon, eBay, E*TRADE, DELL… Khơng có số thiệt hại thức cơng bố Giới phân tích ước tính thiệt hại lên tới 1,7 tỉ la Canada (tính theo giá trị vào khoảng 1,6 tỉ USD) Năm 2001, Calce bị đưa xét xử nhận án phạt tháng tù giam, năm thử thách, bị hạn chế sử dụng Internet phải nộp phải khoản tiền nhỏ Gary McKinnon -5- Trong hai năm liên tiếp 2001 2002, hacker người Anh đột nhập vào hệ thống mạng máy tính Bộ quốc phịng Mỹ, Lầu năm góc, NASA, lực lượng hải qn khơng qn Mỹ nhằm mục đích tìm kiếm chứng đĩa bay Các quan chức tuyên bố thiệt hại của vụ công lên tới 700.000 USD Hiện McKinnon phải đối mặt với việc bị dẫn độ sang Mỹ xét xử Nếu bị kết án hacker phải nhận án phạt lên tới 70 năm tù Những năm gần đây, lừa đảo công mạng diễn khắp giới ngày phức tạp tinh vi với gia tăng công cụ công ngày mạnh yêu cầu sử dụng chúng ngày giảm Với phát triển cơng cụ này, chí người khơng hiểu biết nhiều máy tính hệ thống mạng tiến hành cơng gây hậu đáng tiếc Sự phát triển công cụ công mạng Theo báo cáo tập đoàn Symantec, số 12.885 lỗ hổng mã lệnh (năm 2008) có 394 lỗ hổng khắc phục (chiếm 3%), có 63% ứng dụng web bị lây nhiễm (năm 2007 59%) Trong năm 2008, Symatec phát 55.398 máy chủ đặt website lừa đảo (tăng 66% so với năm 2007) lừa đảo liên quan đến dịch vụ tài chiếm 76% (tăng 52% so với năm 2007) Cũng theo báo cáo Symatec, Việt Nam nước đứng thứ khu vực Châu Á Thái Bình Dương hoạt động cơng đe doạ đứng thứ khu vực Đông Nam Á (sau Thái Lan) Có thể điểm qua số vụ công vào hệ thống mạng website Việt Nam sau: - 14h ngày 27/11/2006 website Bộ Giáo dục đào tạo bị công học sinh trung học -6- - Chủ nhật ngày 12/3/2006, website thương mại điện tử VietCo.com bị công từ chối dịch vụ DDos, làm cho hệ thống hoạt động được, nhân viên tồn cơng ty phải nghỉ việc - Ngày 27/9/2010, máy ATM ngân hàng Đông Á bị Virus Conficker công - Ngày 22/11/2010, website VietNamNet bị Hacker công chiếm quyền điều khiển xóa liệu hệ thống máy chủ Phải gần ngày, chuyên gia đưa VietNamNet hoạt động trở lại -7- Theo thống kê từ hệ thống giám sát virus Trung tâm An ninh mạng BKAV, tháng năm 2010 Việt Nam xuất 2.876 virus mới, lây nhiễm 5.610.000 lượt máy tính Đã có 36 website quan, doanh nghiệp Việt Nam bị Hacker xâm nhập, có 20 trường hợp gây Hacker nước 16 trường hợp gây Hacker nước ngồi Thơng tin tình hình virus an ninh mạng tháng 9/2010 Danh sách 10 virus lây lan nhiều tháng 9/2010 -8- Những công mà biết thực chất phần Trên thực tế cịn nhiều cơng khác gây nên hậu nghiêm trọng mà khơng có tài liệu thu thập đầy đủ, phần nạn nhân từ chối họ bị (hoặc bị) thiệt hại Khái niệm An tồn thơng tin (ATTT) số tiêu chuẩn đảm bảo ATTT mạng máy tính Khái niệm An tồn thơng tin thay đổi nhiều thời gian gần đây, nhiên chất hiểu An tồn thơng tin bảo vệ thông tin cách tự động khỏi hành vi trái phép (truy cập, sửa đổi, phá hoại v.v…) tránh việc công vào tài nguyên liệu có Theo ISO 17799, An tồn thơng tin khả bảo vệ môi trường thông tin kinh tế xã hội, đảm bảo cho việc hình thành, sử dụng phát triển lợi ích cơng dân, tổ chức quốc gia An tồn thơng tin xây dựng tảng hệ thống sách, quy tắc, quy trình giải pháp kỹ thuật nhằm mục đích đảm bảo an tồn tài ngun thơng tin mà tổ chức sở hữu tài nguyên thông tin đối tác, khách hàng mơi trường thơng tin tồn cầu Nói chung, đảm bảo an tồn thơng tin lĩnh vực phải đảm bảo yêu cầu sau: - Đảm bảo tính bí mật (Confidentiality): Thơng tin khơng thể bị truy nhập trái phép người thẩm quyền - Đảm bảo tính ngun vẹn (Integrity): Thông tin bị sửa đổi, bị làm giả người khơng có thẩm quyền - Đảm bảo tính sẵn sàng (Availability): Thơng tin ln sẵn sàng để đáp ứng nhu cầu sử dụng cho người có thẩm quyền - Đảm bảo tính khơng thể từ chối (Non-repudiation): Thông tin cam kết mặt pháp luật người cung cấp Trên thực tế hầu hết quan, tổ chức, doanh nghiệp nhận thức rõ cần thiết lợi ích việc chuẩn hóa cơng tác đảm bảo an tồn thơng tin, nhiên việc triển khai lại hạn chế gặp nhiều vướng mắc do: hệ thống tiêu chuẩn kỹ thuật quốc gia an tồn thơng tin khơng đầy đủ; lúng túng lựa chọn tiêu chuẩn áp dụng Trước tình hình trên, năm 2007, Bộ Bưu chính, Viễn thơng (nay Bộ Thơng tin Truyền thơng) có Chỉ thị số 03/2007/CT-BBCVT ngày 23/02/2007 việc tăng cường đảm bảo an ninh thông tin mạng Internet yêu cầu quan, tổ chức, doanh nghiệp viễn thông, internet tham gia hoạt động mạng Internet phải xây dựng quy trình quy chế đảm bảo an ninh thông tin cho hệ thống thông tin, tham khảo -9- chuẩn quản lý an toàn TCVN 7562, ISO 27001, đảm bảo khả truy vết khôi phục thơng tin trường hợp có cố TCVN 7562 tiêu chuẩn tương đương với tiêu chuẩn quốc tế ISO 17799 phiên 2000 (nay cập nhật phiên 2005 đổi tên thành ISO 27002), tiêu chuẩn ISO 27001 Việt Nam chưa có tiêu chuẩn tương đương, dẫn đến việc áp dụng gặp nhiều khó khăn (chủ yếu áp dụng số tổ chức có trình độ nhân lực cao, nằm thành phố lớn) Do năm 2007, Bộ Thông tin Truyền thông giao Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) thực đề tài “Nghiên cứu, xây dựng tiêu chuẩn kỹ thuật cho hệ thống quản lý an toàn thơng tin”, mã số 63-07-KHKT-TC, với mục đích xây dựng tiêu chuẩn hệ thống an tồn thơng tin sở chấp thuận áp dụng tiêu chuẩn quốc tế ISO 27001, áp dụng cho quan, tổ chức Việt Nam Tiêu chuẩn khuyến khích việc áp dụng cách tiếp cận theo quy trình thiết lập, triển khai, điều hành, giám sát, soát xét, bảo trì nâng cấp hệ thống ISMS tổ chức Một tổ chức cần xác định quản lý nhiều hoạt động để vận hành cách hiệu Bất hoạt động sử dụng tài nguyên quản lý việc tiếp nhận đầu vào chuyển hóa thành đầu coi quy trình, Thơng thường đầu quy trình đầu vào quy trình Việc áp dụng hệ thống quy trình tổ chức, với nhận biết tương tác quy trình vậy, quản lý chúng, coi “cách tiếp cận theo quy trình” Cách tiếp cận theo quy trình cho quản lý an tồn thơng tin trình bày tiêu chuẩn nhằm khuyến khích người sử dụng nhấn mạnh điểm quan trọng: - Hiểu u cầu an tồn thơng tin tổ chức cần thiết phải thiết lập sách mục tiêu cho an tồn thơng tin, - Triển khai điều hành biện pháp quản lý rủi ro an tồn thơng tin tổ chức trước tất rủi ro chung xảy với tổ chức, - Giám sát soát xét hiệu suất hiệu hệ thống ISMS (Information Security Management System) - Thường xuyên nâng cấp dựa khuôn khổ mục tiêu đặt Công tác đảm bảo an tồn thơng tin q trình áp dụng cách đồng giải pháp tất khâu: Lập kế hoạch – Thực – Kiểm tra - Hành động (PDCA) để áp dụng cho tất quy trình hệ thống ISMS Hình mô tả cách hệ thống ISMS lấy đầu vào yêu cầu kỳ vọng bảo mật thông tin phận liên quan, sau tiến hành quy trình xử lý cần thiết đáp ứng an tồn thơng tin theo yêu cầu kỳ vọng đặt - 10 - Một số website cung cấp tính kiểm tra OpenRelay máy chủ thư : - http://www.ordb.org - http://www.mail-abuse.com/rbl IV Virus phần mềm gây hại Tổng quan Virus máy tính a Lịch sử hình thành phát triển Virus máy tính Có thể nói virus máy tính có q trình phát triển dài, ln song hành “người bạn đồng hành” máy tính (tuy nhiên người bạn máy tính chẳng thích thú gì) Khi mà cơng nghệ phần mềm phần cứng phát triển virus phát triển theo Hệ điều hành thay đổi virus máy tính thay đổi để ăn bám, ký sinh hệ điều hành Tất nhiên virus máy tính khơng tự sinh Chúng người tạo nên chắn diệt Có thể việc viết virus mang mục đích phá hoại, thử nghiệm hay đơn giản thú đùa vui (nhiều ác ý) Nhưng óc khiến phải đau đầu đối phó chiến khơng chấm dứt, đã, ln ln tiếp diễn Có nhiều tài liệu khác nói xuất xứ virus máy tính, điều dễ hiểu, lẽ vào thời điểm người chưa thể hình dung "xã hội" đơng đúc nguy hiểm virus máy tính ngày Điều có nghĩa khơng nhiều người quan tâm tới chúng Chỉ chúng gây hậu nghiêm trọng ngày nay, người ta lật lại hồ sơ để tìm hiểu Tuy vậy, đa số câu chuyện xoay quanh việc xuất xứ virus máy tính nhiều liên quan tới kiện sau: Năm 1983 để lộ nguyên lý trò chơi “core war” “Core War” đấu trí hai đoạn chương trình máy tính lập trình viên viết Mỗi đấu thủ đưa chương trình có khả tự tái tạo gọi Organism vào nhớ máy tính Khi bắt đầu chơi, đấu thủ cố gắng phá huỷ Organism đối phương tái tạo Organism Đấu thủ thắng - 131 - đấu thủ tự nhân nhiều Hiện trò chơi nhiều người quan tâm, tham khảo trang web www.corewars.org Trò chơi "Core War" giữ kín đến năm 1983, Ken Thompson người viết phiên cho hệ điều hành UNIX, để lộ nhận giải thưởng danh dự giới điện toán - Giải thưởng A.M Turing Trong diễn văn ơng đưa ý tưởng virus máy tính dựa trị chơi "Core War" Cũng năm 1983, tiến sỹ Frederik Cohen chứng minh tồn virus máy tính Tháng năm 1984 tờ báo Scientific America có đăng báo mô tả "Core War" cung cấp cho độc giả thông tin hướng dẫn trị chơi Kể từ virus máy tính xuất kèm theo chiến kẻ viết virus chuyên gia diệt virus Năm 1986 – Virus Brain Có thể coi virus máy tính giới Tháng năm 1986, Brain âm thầm đổ từ Pakistan vào nước Mỹ với mục tiêu Trường Đại học Delaware Một nơi khác giới mô tả xuất virus, Đại học Hebrew - Israel Năm 1987 – Xuất Virus Lehigh Lại lan lần liên quan tới trường Đại học Lehigh - Tên trường Đại học - tên virus xuất năm 1987 trường Đại học Trong thời gian có số virus khác xuất hiện, đặc biệt Virus Worm (virus loại sâu), ác mộng với hệ thống máy chủ xuất Cái tên Jerusalem làm cho công ty IBM nhớ với tốc độ lây đáng nể: 500.000 nhân Năm 1988 – Xuất Virus lây lan mạng Ngày tháng 11 năm 1988, Robert Morris phát tán virus vào mạng máy tính quan trọng Mỹ, gây thiệt hại lớn Từ trở người ta bắt đầu nhận thức tính nguy hại virus máy tính Năm 1989 – AIDS Trojan Xuất Trojan hay gọi "con ngựa thành Tơ-roa" Chúng virus máy tính chúng khơng có khả “tự” lây lan, chúng với khái niệm virus Những “con ngựa thành Tơ-roa" hoạt động máy tính lấy cắp thơng tin mật gửi đến địa mà chủ ngựa muốn vận chuyển đến, đơn giản phá huỷ liệu máy tính Năm 1991 – Virus Tequila Đây loại virus mà giới chuyên môn gọi virus đa hình, đánh dấu bước ngoặt chiến thiện ác hệ thống máy tính - 132 - Đây thực loại virus phức tạp thật không dễ dàng để diệt chúng Chúng có khả tự “thay hình đổi dạng” sau lần lây nhiễm, làm cho việc phát chúng không dễ dàng Năm 1992 – Virus Michelangelo Tiếp nối đáng sợ "virus đa hình" năm 1991, cơng cụ năm 1992 tạo thêm sức mạnh cho loại virus máy tính cách tạo virus đa hình phức tạp Năm 1995 – Virus Concept Sau gần 10 năm kể từ ngày virus máy tính xuất hiện, loại virus có nguyên lý hoạt động gần thay đổi hoàn toàn so với “tiền bối” Chúng gây cú sốc lớn cho công ty diệt virus người tình nguyện lĩnh vực phịng chống virus máy tính tồn giới Rất tự hào virus Concept xuất hiện, giới chưa có loại "kháng sinh" Việt Nam sinh viên trường Đại học Bách Khoa Hà Nội đưa giải pháp đơn giản để diệt trừ loại virus này, thời điểm Bkav bắt đầu người sử dụng rộng rãi toàn quốc Sau này, virus theo nguyên lý Concept gọi chung Virus macro Chúng công vào hệ soạn thảo văn Microsoft Office (Word, Exel, Powerpoint) Tuy nhiên ngày nay, với việc người khơng cịn sử dụng macro văn virus macro khơng cịn tồn dần bị qn lãng Năm 1996 – Virus Boza Khi hãng Microsoft chuyển sang hệ điều hành Windows95, họ tuyên bố virus khơng thể cơng phá thành trì họ được, năm 1996 xuất virus lây hệ điều hành Windows95 Năm 1999 – Virus Melissa, Bubbleboy Đây thật ác mộng với máy tính khắp giới Sâu Melissa khơng kết hợp tính sâu Internet virus marco, mà cịn biết khai thác cơng cụ mà thường sử dụng hàng ngày Microsoft Outlook Express để chống lại Khi máy tính bị nhiễm Mellisa, “phát tán” mà khổ chủ không hay biết Và người sử dụng bất ngờ bị mang tiếng kẻ phát tán virus Chỉ từ ngày thứ Sáu tới ngày thứ Hai tuần sau, virus kịp lây nhiễm 250.000 máy tính giới thơng qua Internet, có Việt Nam, gây thiệt hại hàng trăm triệu USD Một lần chiến lại sang bước ngoặt mới, báo hiệu nhiều khó khăn Internet chứng minh phương tiện hữu hiệu để virus máy tính lây lan toàn cầu vài đồng hồ BubbleBoy sâu máy tính khơng dựa vào việc người nhận e-mail có mở file đính kèm hay khơng Chỉ cần thư mở ra, tự hoạt động - 133 - Năm 1999 năm đáng nhớ người sử dụng máy tính tồn cầu, ngồi Melissa, BubbleBoy, virus Chernobyl hay cịn gọi CIH phá huỷ liệu hàng triệu máy tính giới, gây thiệt hại gần tỷ USD vào ngày 26 tháng năm 1999 Năm 2000 – Virus DDoS, Love letter Có thể coi vụ phá hoại lớn virus từ trước đến thời điểm Love Letter có xuất xứ từ Philippines sinh viên nước tạo ra, vòng tiếng đồng hồ virus kịp vịng qua 20 nước có Việt Nam, lây nhiễm 55 triệu máy tính, gây thiệt hại 8,7 tỷ USD Năm 2000 năm ghi nhớ "Tấn công Từ chối dịch vụ phân tán" DDoS (Distributed Denial of Service ) qui mô lớn virus gây giới, nạn nhân đợt công Yahoo!, Amazon.com Tấn công "Từ chối dịch vụ" – DoS - cách công gây "ngập lụt" cách từ máy gửi liên tiếp yêu cầu vượt mức bình thường tới dịch vụ máy chủ, làm ngưng trệ, tê liệt khả phục vụ dịch vụ hay máy chủ Những virus loại phát tán khắp nơi “nằm vùng” nơi lây nhiễm Chúng đồng loạt công theo kiểu DoS vào hệ thống máy chủ người điều hành phất cờ, đến thời điểm định trước Năm 2001 – Virus Winux (Windows/Linux), Nimda, Code Red Virus Winux đánh dấu dịng virus lây hệ điều hành Linux không Windows Chúng ngụy trang dạng file MP3 cho download Nimda, Code Red virus công đối tượng nhiều đường khác (từ máy chủ sang máy chủ, sang máy trạm, từ máy trạm sang máy trạm ), làm cho việc phịng chống vơ khó khăn Cho đến tận cuối năm 2002, Việt Nam cịn quan với mạng máy tính có hàng trăm máy tính bị virus Nimda quấy nhiễu Chúng xu hướng loại virus máy tính "tất một", virus bao gồm nhiều virus, nhiều nguyên lý khác Năm 2002 - Sự đời hàng loạt loại virus Ngay tháng năm 2002 có loại virus đời Virus lây file SWF, điều chưa xảy trước (ShockWaveFlash - loại cơng cụ giúp làm cho trang Web thêm phong phú) Tháng đánh dấu đời loại virus viết ngôn nhữ C#, ngôn ngữ Microsoft Con sâu Net có tên SharpA viết người phụ nữ Tháng SQLSpider đời chúng cơng chương trình dùng SQL Tháng 6, có vài loại virus đời: Perrun lây qua Image JPEG (có lẽ người sử dụng máy tính nên cảnh giác với thứ) Scalper công FreeBSD/Apache Web server Người sử dụng máy tính giới bắt đầu phải cảnh giác với loại chương trình độc hại mang mục đích quảng cáo bất hợp pháp - Adware - thu thập thông tin cá nhân trái phép - Spyware (phần mềm gián điệp) Lần chương trình Spyware, Adware xuất chương trình độc lập, khơng kèm theo phần mềm miễn phí trước Chúng bí mật xâm nhập vào máy người dùng - 134 - họ vơ tình “ghé thăm” trang web có nội dung khơng lành mạnh, trang web bẻ khóa phần mềm…Và với nguyên lý vậy, ngày Adware Spyware thực trở thành "bệnh dịch" hoành hành mạng Internet Năm 2003 - Các virus khai thác lỗ hổng phần mềm Năm 2003 mở đầu thời kỳ phát triển mạnh mẽ virus khai thác lỗ hổng phần mềm để cài đặt, lây nhiễm lên máy tính từ xa - xu hướng phát triển virus giới Đầu tiên virus Slammer khai thác lỗ hổng phần mềm Microsoft SQL 2000 servers, vòng 10 phút lây nhiễm 75.000 máy tính khắp giới Tiếp đến hàng loạt virus khác Blaster (MsBlast), Welchia (Nachi), Mimail, Lovgate khai thác lỗi tràn đệm công nghệ DCOM - RPC hệ điều hành Window2K, XP Xuất giới vào ngày 11/8, virus Blaster nhanh chóng lây lan 300.000 máy tính khắp giới Những người sử dụng máy tính Việt Nam hẳn khơng qn hỗn loạn hàng loạt máy tính bị Shutdown tự động ngày 12/8 virus Blaster đổ vào máy tính Việt Nam Virus bắt đầu sử dụng công cụ để phát tán thư quảng cáo (spam) nhanh Các virus họ Sobig lên cỗ máy phát tán lượng thư quảng cáo khổng lồ khắp giới Cũng năm này, hệ virus Lovgate, Fizzer bắt đầu sử dụng mạng chia sẻ file ngang hàng peer to peer (như KaZaa) để phát tán virus qua thư mục chia sẻ mạng Năm 2004 - Cuộc chạy đua Skynet Beagle Cuộc chạy đua hai họ virus có nguồn gốc từ Đức lây nhiễm nhiều năm này, bắt đầu việc biến thể virus Skynet lây nhiễm vào máy tính tìm cách loại bỏ virus họ Beagle khỏi máy ngược lại Mỗi biến thể Skynet xuất giới gần có biến thể Beagle viết để chống lại ngược lại Cuộc chạy đua kéo dài liên tục tháng làm cho số lượng virus xuất năm 2004 tăng lên cách nhanh chóng Năm 2004 năm xuất virus khai thác lỗ hổng dịch vụ LSASS (Local Security Authority Subsystem Service) hệ điều hành Window 2K, Window XP để lây lan máy tính - virus Sasser Cũng giống virus Blaster, virus Sasser nhanh chóng gây nên tình trạng hỗn loạn mạng làm Shutdown tự động hàng loạt máy tính mà lây nhiễm Năm 2005 - Sự xuất virus lây qua dịch vụ chatting Các dịch vụ chatting trực tuyến Yahoo!, MSN bắt đầu virus lợi dụng công cụ để phát tán virus mạng Theo thống kê Bkav vịng tháng đầu năm này, có tới dịng virus lây lan qua dịch vụ chatting xuất Việt Nam Trong thời gian tới virus cơng thơng qua dịch vụ chatting cịn tiếp tục xuất nhiều số người sử dụng dịch vụ ngày tăng 2006 – Người dùng nước quen dần với diện virus - 135 - Mối lo ngại từ năm trước trở thành thật Năm 2006, người dùng dịch vụ chatting Yahoo! Messenger Việt Nam có lúc rơi vào tình cảnh ngập lụt tin nhắn chứa link độc virus Kể từ mã nguồn virus Gaixinh công bố, “phong trào” viết virus lây qua Yahoo! Messenger thực “nở rộ” nước Người dùng với ý thức cảnh giác không cao vơ tình gián tiếp tiếp tay cho đại dịch Năm 2006 coi thời kỳ hồng kim virus lây lan qua “con đường giao lưu liệu” quen thuộc - USB Trong hầu hết thống kê Bkav tình hình lây lan virus, virus có chế lây lan qua USB ln chiếm vị trí cao Thực tế cho thấy chế lây lan đơn giản hiệu dường khỏ bỏ thói quen mở USB chúng cho vào máy b Khái niệm Virus phần mềm gây hại Thuật ngữ virus phần mềm phá hoại sử dụng để mô tả phần mềm máy tính gây nguy hiểm đến tính tồn vẹn liệu, trình truyền tin, hệ điều hành hay mạng máy tính Có số kiểu phần mềm phá hoại sau: - Virus - Sâu mạng - Trojan horse - Spyware - Các chương trình khác gây nguy hiểm đến hệ thống liệu Trong đó, virus, sâu mạng trojan horse chương trình nguy hiểm Người ta ước tính, hàng năm cơng ty cá nhân phí hàng tỷ USD để khôi phục lại hệ thống bị phá hoại mua phần mềm chống virus Mục đích phần mềm phá hoại mang lại phiền phức cho người dùng, phá hoại tệp hay hệ thống máy tính, vơ hiệu hố chức thơng dụng máy tính mạng c Phân loại Virus phần mềm gây hại Virus Virus chương trình thường trú ổ đĩa tệp, có khả tự nhân lây lan toàn hệ thống Nếu virus chưa gây hậu hữu hình, người dùng khơng thể nhận biết có mặt chúng Một số dấu hiệu nhận biết virus là: xuất thơng báo lạ; phát số tệp bị phá hoại; hệ điều hành trở nên chậm chạp, bị xung đột khởi động Một số loại virus ẩn khoảng thời gian sau thực thi tác dụng vào ngày định trước Một số loại virus lại nhiễm vào tệp thực thi, tệp kịch bản, macro, phân vùng khởi động hay phân vùng ổ đĩa Một số loại virus nạp vào nhớ sau tiếp tục lây nhiễm hệ thống, giống lây nhiễm từ tệp thực thi Ví dụ W32.Pinfi virus lây lan qua hệ thống ổ đĩa chia sẻ Nó xâm nhập vào hệ thống thông qua dịch vụ không sử dụng (như FTP - 136 - hay Telnet), sau gắn vào tệp Ngồi ra, lây lan qua ổ đĩa chia sẻ mạng Virus lây lan qua giai đoạn sau: - Giai đoạn thứ nhất: Virus thâm nhập từ môi trường (hệ thống) sang môi trường (hệ thống) khác (thông qua ổ đĩa, e-mail hay ổ đĩa chia sẻ, …) Khi thâm nhập vào hệ thống, phần hay tồn virus gắn vào nhiều tệp, lưu nhớ, ghi vào boot sector hay partition sector ổ đĩa cứng ghi vào Registry hệ thống họ nhà Windows - Giai đoạn thứ 2: Nhân (lây lan) hệ thống Ví dụ, virus lây lan từ boot sector lần máy tính khởi động từ tệp thực thi lần tệp thực Ngồi ra, virus lây lan từ nhớ từ Registry thông qua tham số cấu hình Registry máy tính Tốc độ nhân virus nhanh hay chậm tuỳ thuộc vào mục đích người viết nó, tất nhằm giúp cho virus phát huy tác dụng tốt - Giai đoạn thứ 3: Để lại dấu hiệu hệ thống Thông thường, virus gắn mã vào cuối tệp chọn, đổi tên tệp, xoá tệp hai Một virus để lại dấu hiệu dễ thấy tạo nên tiếng “bíp” hay thơng báo bật lên “Don’t panic”, … Virus phân loại theo nhiều tiêu chí khác Nếu phân loại virus theo cách chúng nhiễm vào hệ thống, có loại virus sau: - Boot sector (hoặc partition sector): Nhiễm vào phân vùng khởi động hệ thống Boot sector (hoặc partition sector) vị trí ổ đĩa, lưu giữ mã ngôn ngữ máy chịu trách nhiệm khởi động hệ điều hành Khi hệ thống khởi động, virus thực thi trước, thông thường tự nạp vào nhớ Cách mà virus lây lan thơng qua đĩa mềm, đĩa CD bị nhiễm - File infector: Nhiễm vào tệp tệp hệ thống, tệp thực thi, tệp điều khiển, tệp hỗ trợ khác (ví dụ, tệp dlls) - Macro: Nhiễm vào tệp macro (chứa lệnh tổ hợp phím, giúp cho việc truy nhập lệnh tổ hợp phím cách nhanh chóng thơng qua lệnh phím đơn lẻ) Macro thường sử dụng ứng dụng MS Office như: chương trình xử lý văn bản, bảng tính, sở liệu chương trình khác - Multipartile: Có thể nhiễm vào hệ thống thơng qua nhiều phương tiện khác nhau, ví dụ thông qua boot sector qua tệp thực thi Nếu phân loại theo cách virus tránh bị phát phần mềm quét virus, có loại virus sau: - Amored: Một virus có mã khó giải mã nên khó để biết xác virus hoạt động - Polymorphic: Một virus có khả thay đổi sau lần nhân nên khó để chống lại - 137 - - Stealth: Một virus có khả tự phịng vệ nên khó phát - Companion: Virus chạy từ tệp tệp mà gắn vào Nếu phân loại theo khả phá hoại virus, có loại virus sau: - Benign: Một virus lây lan khơng gây hại cho máy tính Một số virus benign để thử nghiệm khả nhân chương trình hay đoạn mã thực thi Đơi kẻ cơng sử dụng loại virus để thử nghiệm mã chương trình trước thực cơng thật Ngồi ra, virus benign cịn sử dụng phịng thí nghiệm để viết kiểm tra phần mềm ngăn chặn virus Cho dù loại virus vô hại chúng gây phiền toái lo ngại cho người dùng - Destructive: Một virus thiết kế để xố làm hỏng tệp, dừng dịng cơng việc (workflow) bình thường gây vấn đề cho người dùng máy tính hệ thống mạng Sâu mạng Sâu mạng chương trình nhân máy tính tự lây lan sang máy tính khác mạng LAN Internet Sâu mạng thường lây lan thông qua phương pháp công như: tràn đệm (buffer overflow), quét cổng (port scanning), tràn cổng (port flooding) mật yếu Sâu mạng Code Red Code Red II ví dụ sâu mạng sử dụng công tràn đệm để phá hoại Cả phiên Code Red nhằm vào máy chủ Windows NT Windows 2000 Server chạy dịch vụ máy chủ Web (IIS) hay dịch vụ mục (indexing service), chưa vá lỗ hổng để chống lại sâu mạng Ngồi ra, Code Red cịn lợi dụng số yếu điểm cấu hình phần mềm quản lý router, cho phép sâu mạng lây lan nhiều thêm mạng Code Red nhân vào 19 ngày đầu tháng sau lại dừng Các phiên trước loại sâu mạng thiết kế để làm tràn kết nối máy chủ Nhà Trắng cổng 80 Cổng 80 cổng mặc định số phần mềm máy chủ Web, sử dụng để đón kết nối web từ máy khách Sâu mạng Digispid.B.Worm chuyên nhằm vào hệ thống sở liệu SQL server windows Nó thiết kế để xâm nhập vào hệ thống thông qua khoản mục SQL Administrator, số phiên SQL server khơng có mật mặc định cho khoản mục Ngồi ra, cịn có khả truy nhập vào hệ thống khoản mục SQL Administrator sử dụng mật “sa” Khi xâm nhập vào hệ thống sinh tệp thư mục \System32 thư mục hệ thống (\winnt \windows), làm tràn cổng TCP UDP 1433 (đây cổng dịch vụ SQL server) yêu cầu giả Nó cịn thay đổi mật khoản mục SQL Administrator gửi mật tới địa e-mail kẻ công khởi tạo sâu mạng này, người quản trị thật truy nhập vào dịch vụ sở liệu Con ngựa Tơ-roa (Trojan horse) Thuật ngữ dựa vào điển tích cổ, đoạn mã “cắm” vào bên phần mềm, cho phép xuất tay phá hoại cách bất ngờ - 138 - “anh hùng” xông từ bụng ngựa thành Tơ-roa Trojan horse đoạn mã hồn tồn khơng có tính chất lây lan, nằm phần mềm định Đoạn mã phá hoại vào thời điểm xác định, Hacker định trước đối tượng chúng thông tin đĩa như: format lại đĩa, xố FAT, Root, … Ví dụ Backdoor.Egghead trojan horse nhằm vào hệ thống windows NT, windows 2000 windows XP Khi trojan horse hoạt động, tạo thư mục có tên Vchost thư mục \Winnt\System32 \Windows\System32 tạo tệp vào thư mục Ngồi cịn tạo số tệp thư mục hệ thống \Winnt \Windows Ở giai đoạn tiếp theo, trojan horse thêm danh mục vào Registry cho phép khởi động chương trình hệ thống máy tính khởi động Mục đích trojan horse tạo cửa hậu để kẻ cơng truy nhập vào máy tính nạn nhân Phần mềm gián điệp (Spyware) Spyware phần mềm chạy máy tính (người dùng khơng nhận biết có mặt nó) sau gửi thơng tin hoạt động máy tính nạn nhân cho kẻ công người quảng cáo Đôi Spyware khơng cần cài đặt để chạy máy tính người dùng mà cần chặn bắt thơng tin liên quan đến trao đổi Internet người dùng Một cách mà Spyware cài đặt máy tính người dùng qua virus máy tính Trojan horse Ngồi ra, hãng quảng cáo tiếp thị cung cấp phần mềm miễn phí, ngồi việc cài đặt chương trình hợp pháp, chúng cịn cài Spyware để kiểm sốt việc sử dụng máy tính người dùng Một số dạng Spyware chặn bắt cookie thơng tin cookie đó kẻ điều hành Spyware tái tạo lại tất động thái người dùng internet Kiểu công gọi “cookie snarfing” Chú ý: Một cách để chống lại công cookie snarfing vơ hiệu hố chức tạo cookie thơng qua trình duyệt internet c Các phương thức lây lan phá hoại Virus mã độc (malware) Virus, sâu mạng, trojan horse phần mềm phá hoại khác sử dụng nhiều phương pháp khác để phá hoại lây lan sang hệ thống khác Phần giới thiệu phương pháp mà phần mềm phá hoại thường sử dụng để công vào hệ thống máy tính Các phương pháp thực thi (Excutable methods) Virus, sâu mạng hay Trojan horse thực thi tệp chứa dịng mã máy chạy Trong đoạn mã này, số biên dịch, số chưa biên dịch chúng sử dụng trình biên dịch máy tính nạn nhân Ví dụ, tệp batch (tệp lô) tệp script (kịch bản) tệp chứa đoạn mã thị chạy trình biên dịch máy tính Trình biên dịch biên dịch tệp chứa thị thực thi chúng, dòng thị trình thực thi dòng Dưới danh sách tệp thực thi phần mở rộng tương ứng: - 139 - - exe: sử dụng hệ thống Windows NetWare - com: sử dụng hệ thống Windows NetWare - bat: sử dụng hệ thống Windows NetWare - bin: sử dụng hệ thống Windows, NetWare Mac OS - btm: sử dụng hệ thống Windows - cgi: hệ thống Windows, UNIX/Linux, NetWare Mac OS - pl: sử dụng hệ thống UNIX/Linux Mac OS - cmd: sử dụng hệ thống Windows NetWare - msi: sử dụng hệ thống Windows - msp: sử dụng hệ thống Windows - mst: sử dụng hệ thống Windows - vb vbe: sử dụng hệ thống Windows NetWare - wsf: sử dụng hệ thống Windows Biên dịch song song virus thực thi trình nhiễm mã nguồn mã thực thi chương trình Loại virus sử dụng lệnh sẵn có từ dịng lệnh từ trình soạn thảo để gắn thêm chèn mã độc vào chương trình, tệp batch hay tệp script Kỹ thuật thường thực tốt an tồn kiểm sốt truy nhập kiểu tệp cịn lỏng lẻo, cho phép chúng sửa đổi tệp cách dễ dàng Các phương pháp công Boot Partition sector Khi đĩa mềm định dạng dạng đĩa khởi động (boot disk), trình định dạng tạo phân vùng khởi động (boot sector) vị trí đĩa Trên ổ cứng trình tạo phân vùng định dạng tạo phân vùng khởi động chủ phân vùng khởi động ví trí ổ đĩa Phân vùng khởi động chứa ghi khởi động chủ (MBR), tập thị sử dụng để tìm nạp hệ điều hành Quá trình khởi tạo trình khởi động từ đĩa bao gồm trình sau: - Máy tính tìm MBR - Các thị MBR cho phép định vị phân vùng khởi động chủ phân vùng tích cực - Các thị (đơi cịn gọi boot loader) phân vùng khởi động chủ định vị khởi động hệ điều hành máy tính Các virus Boot sector hay Partition sector thường nhiễm hệ thống Windows Unix (bao gồm hệ thống Mac OS) Một virus Boot sector hay Partition sector thường nhiễm thay thị MBR Partition Boot Sector Một phương pháp khác làm sai lệch địa phân vùng xác định bảng phân vùng (partition table) ổ đĩa Hơn nữa, dung lượng virus lớn - 140 - dung lượng nhớ phân bổ cho boot sector, virus di chuyển boot sector sang vị trí khác có dung lượng lớn (chưa sử dụng), ví dụ sang vị trí cuối ổ đĩa Khi bị nhiễm, hệ thống không khởi động virus gọi đoạn mã bị nhiễm khởi động với hệ điều hành lây lan sang ổ đĩa khác sang boot sector đĩa mềm Sau nhiễm vào đĩa mềm, virus nhiễm sang boot sector máy tính khác sử dụng đĩa mềm bị nhiễm Thông thường, việc diệt trừ virus Boot sector Partition sector đồng nghĩa với việc tạo lại MBR thị Partition Boot Sector Trên hệ thống Windows NetWare sử dụng hệ thống file FAT, ta sử dụng tiện ích Fdisk /mbr lệnh Dos để tạo lại tập thị Trên hệ thống Windows sử dụng hệ thống file NTFS, có nhiều tiện ích đĩa cài đặt dùng để thay MBR thị Partition Boot Sector Ngoài ra, hệ thống file NTFS ta sử dụng lệnh fixboot cửa sổ khôi phục (recovery console) để sửa lại boot sector fixmbr để sửa lại MBR Các phương pháp công dùng Macro Một macro đoạn kịch hay tập thị phím tắt khởi động sử dụng tên macro ấn phím bàn phím Các macro thường sử dụng phần mềm (ví dụ phần mềm xử lý văn bảng bảng tính) ngơn ngữ lập trình Các phần mềm sử dụng macro nhiều phần mềm Microsoft Office, phần mềm sử dụng tính macro Visual Basic cho ứng dụng Ví dụ, macro vét để tự động mở thư mục lưu lại văn word Một số macro lập trình thành phím, chuỗi phím phức tạp thực phím đơn lẻ Một virus nhiễm macro lây lan lần macro sử dụng Một cách thực điều thông qua macro kèm với mẫu tài liệu (template) sử dụng chương trình xử lý văn bảng tính Trong văn phịng có nhiều tài liệu chia sẻ, điều làm cho virus lây lan sang máy tính lần người sử dụng mở tài liệu bị nhiễm Một cách khác để virus lây lan qua macro gắn vào mẫu tài liệu mà nhiều người dùng chia sẻ sử dụng, điều cho phép lây lan lần mẫu tài liệu mở tài liệu Các phương pháp công dùng E-mail Hầu hết người dùng e-mail biết virus, sâu mạng trojan horse gửi dạng tài liệu đính kèm e-mail Một virus macro tiếng virus Melissa, virus gửi dạng tệp đính kèm e-mail với tiêu đề “Important Message From tên người dùng đó” Nội dung thơng báo e-mail “Here is that document you asked for … don’t show anyone else” Khi người dùng mở tài liệu đính kèm với e-mail này, virus gửi e-mail với nội dung tới 50 người danh sách địa e-mail Microsoft Outlook Virus Melissa khơng phá huỷ liệu, chèn thêm dịng có nội dung: “Twenty-two points, plus triple-word-score, plus fifty points - 141 - for using all my letters Game’s over I’m outta here” vào tài liệu mang virus tài liệu mở Virus Melissa biến thể thành virus e-mail phá hoại virus Resume Đây virus macro giấu tệp đính kèm có tên Explorer.doc gửi với tiêu đề “Resume – Janet Simmons” Khi tài liệu đính kèm mở đóng lại, có điều xảy ra: thứ thơng báo tệp đính kèm gửi cho tất địa danh sách địa Outlook; thứ số tệp hệ điều hành tệp liệu bị xoá khỏi ổ đĩa cứng Ngày nay, Microsoft hãng phần mềm khác cấu hình phần mềm để vơ hiệu hố macro chúng khơng ký nguồn tin cậy (Trusted sources) Chữ ký số mã đặt tệp để kiểm tra tính xác thực cách chứng minh bắt nguồn từ nguồn tin cậy Khi người dùng mở tài liệu có chứa macro, người dùng nhận cảnh báo macro bị vơ hiệu hố macro có hiệu lực tài liệu gửi từ nguồn tin cậy Đặt tính an toàn macro MS Office 2003 Khai thác lỗi phần mềm (Software exploitation) Virus, sâu mạng Trojan horse đại diện phần mềm phá hoại tìm điểm yếu hay lỗ hổng hệ điều hành mạng Chúng thực việc chương trình khai thác lỗi phần mềm (software exploitation) Mục đích chương trình tìm tất điểm yếu phần mềm hệ điều hành Khai thác lỗi phần mềm thường nhắm vào phần mềm phiên phần mềm Một phiên hệ điều hành thường nhà phát triển kiểm định viên kiểm tra chạy thử hàng tháng, triển khai sử dụng thực tế người ta phát yếu điểm mà q trình kiểm tra thử nghiệm khơng phát Khi có phiên hệ điều hành, kẻ cơng bắt đầu tìm kiếm lỗi dịch vụ, ứng dụng, hệ thống chức thường có điểm yếu như: - 142 - - Các dịch vụ DNS - Các dịch vụ phát triển nâng cấp - Các dịch vụ ứng dụng mạng - Các dịch vụ ứng dụng e-mail truyền thông điệp - Các dịch vụ ứng dụng internet - Các dịch vụ truy nhập từ xa - Các hệ thống sở liệu - Kiểm soát lỗi tràn đệm Ví dụ virus Linux.Millen.Worm sử dụng lỗi tràn đệm dịch vụ FTP Virus Code Red Code Red II sử dụng lỗi tràn đệm để công vào điểm yếu máy chủ Web IIS Microsoft Các nhà sản xuất tìm kiếm thơng tin vấn đề an tồn phần mềm họ Nếu phát có vấn đề, họ tạo vá lỗi (patch) cập nhật (update) để cung cấp cho người dùng Một số giải pháp phịng chống Virus máy tính a Cài đặt cập nhật Việc cài đặt cập nhật vá lỗi (patches) cách hiệu để chống lại công hệ điều hành Ví dụ, đầu năm 2003 sâu mạng Slammer công thành công vào máy chủ sở liệu SQL nhiều nhà quản trị không cài vá lỗi thiết kế để ngăn chặn công Tất hệ điều hành Windows 2000, Windows XP Professional, Windows Server 2003, Red Hat Linux, NetWare Mac OS X cung cấp nhiều cách để cài đặt cập nhật vá lỗi b Quan sát dịch vụ kích hoạt khởi động hệ thống Một cách để phát cố khởi động phần mềm phá hoại gây phân vùng khởi động sử dụng chế độ hệ điều hành phép theo dõi hình dịch vụ hệ điều hành khởi động xem lại nhật ký tiến trình Ví dụ: Trong Windows 2000, Windows XP Professional Windows Server 2003, ta theo dõi thơng tin hình (bằng cách ấn phím F8 khởi động vào chế độ Safe mode ) đọc ghi nhật ký trình khởi động sau hệ thống khởi động xong (Enable boot logging mở notepad tập tin nhật ký ntbtlog.txt thư mục \winnt \windows) Red Hat Linux NetWare tự động hiển thị thơng tin q trình nạp tệp khởi động hình lần hệ thống khởi động c Sử dụng công cụ quét phần mềm phá hoại Sử dụng công cụ quét phần mềm phá hoại cách hiệu để bảo vệ hệ thống Mặc dù chúng quét hệ thống để phát virus, sâu mạng trojan horse, - 143 - chúng thường gọi công cụ quét virus Khi mua phần mềm quét virus, ta cần ý đến số tính sau đây: - Quét nhớ diệt virus - Quét nhớ cách liên tục - Quét ổ đĩa cứng, ổ mềm diệt virus - Quét tất định dạng tệp, kể tệp nén - Quét tài liệu HTML tệp đính kèm qua e-mail - Tự động chạy theo thời gian biểu người sử dụng đặt - Có tuỳ chọn chạy nhân công - Phát phần mềm phá hoại công bố phần mềm phá hoại (chưa biết đến) - Cập nhật sở liệu loại phần mềm phá hoại - Quét tệp tải từ mạng từ internet - Sử dụng vùng bảo vệ cách ly để chứa tệp tải để tự động quét chúng nơi an toàn trước sử dụng chúng Về phần mềm phá hoại chưa biết đến, cơng cụ qt tạo để quét ghi nhớ cấu trúc tệp, đặc biệt tệp thực thi Khi chúng phát số lượng bất thường, kích cỡ tệp lớn đột đột thuộc tính tệp bị thay đổi, cơng cụ quét cảnh báo phần mềm phá hoại chưa biết đến Trong trường hợp này, cơng cụ qt thơng báo cho người dùng số cách để giải chúng Một số phần mềm diệt Virus tiêu biểu Phần mềm Mơ tả AntiVir Software Sử dụng miễn phí hệ điều hành Windows Central Command Vexira AntiVirus Phần mềm thương mại chạy hệ điều hành Unix/Linux Windows; bao gồm chức cập nhật virus Computer Associates eTrust Miễn phí máy trạm đơn lẻ; phần mềm thương mại cho hệ thống Unix/Linux Windows F-Secure Anti-Virus Phần mềm thương mại chạy hệ điều hành Unix/Linux Windows; bao gồm chức cập nhật virus HandyBits VirusScan Phần mềm thương mại chạy hệ điều hành Windows; bao gồm chức cập nhật virus McAfee VirusScan Phần mềm thương mại chạy hệ - 144 - điều hành Windows Mac OS; bao gồm chức cập nhật virus Sophos Anti-Virus Phần mềm thương mại chạy hệ điều hành Unix/Linux, Macintosh, NetWare Windows; bao gồm chức cập nhật virus Vcatch Basic Sử dụng miễn phí hệ điều hành Windows d Sử dụng chữ ký số để bảo vệ tệp hệ thống tệp điều khiển Trong Windows 2000, Windows XP Professional Windows Server 2003, nhiều tệp hệ thống trình điều khiển thiết bị gắn chữ ký số Điều giúp bảo vệ tệp cũ không bị ghi đè tệp Một ưu điểm việc dùng chữ ký số bảo đảm tính an tồn hệ thống cách cho phép sử dụng tệp hệ thống trình điều khiển thiết bị xác nhận Microsoft Khi tệp hệ thống tệp thiết bị xác nhận Microsoft, chữ ký Microsoft cấp gắn vào tệp đó, gọi trình ký Sau cài đặt Windows 2000, Windows XP Professional Windows Server 2003, ta đặt chế độ cảnh báo trình điều khiển thiết bị không ký, chế độ bỏ qua, không cần quan tâm có ký hay khơng Chế độ cảnh báo gán mặc định, trình điều khiển thiết bị mà ta cài đặt chưa ký, hệ thống đưa thơng báo, ta định có cài đặt trình điều khiển thiết bị hay khơng Khi thiết lập hệ thống yêu cầu sử dụng chữ ký số cho tệp hệ thống trình điều khiển thiết bị, có chế bảo vệ thiết lập, là: - Mỗi cài đặt tệp hệ thống trình điều khiển thiết bị mới, hệ điều hành kiểm tra xem ký hay chưa - Nếu lý (ví dụ virus) mà tệp hệ thống hay trình điều khiển thiết bị lỗi, hệ điều hành khởi động lại, thay tệp bằn phiên chạy tốt (last known good) lưu giữ thư mục hệ thống lưu dự phòng e Sao lưu dự phòng hệ thống tạo đĩa khắc phục (khôi phục Disk) Sao lưu dự phòng hệ thống quan trọng để bảo vệ hệ thống lỗi đĩa, mát liệu hay phần mềm phá hoại Nếu ta lưu liệu mà sau hệ thống bị nhiễm mã độc phá hoại hay xố tệp, ta khơi phục lại tệp hay toàn hệ thống Tất hệ điều hành đề cập giáo trình có chế lưu dự phịng Ngồi việc lưu dự phòng, số hệ điều hành cho phép ta tạo đĩa khởi động (boot disk) đĩa khôi phục (repair disk) để dùng trường - 145 -