• Thứ Bảy, 22/04/2006 11:17 (GMT+7)

    Đối thoại: Máy tính bị oan?

    Tôi đang gặp tình trạng rất khó xử! Tôi nhận được thông báo từ quản trị website Unicom (unicom.com.vn) và Tam Coc - Bich Dong (tamcocbichdong.com.vn) là họ phát hiện website bị "hack" xuất phát từ địa chỉ IP máy tính của tôi. Tôi sử dụng dịch vụ ADSL của FPT, IP cấp phát động. Trong thời gian qua tôi có truy cập hai website này nhưng hoàn toàn không hack gì website của họ.

    Theo quản trị 2 website trên, họ đã gọi đến FPT Internet để kiểm tra và phát hiện tài khoản truy cập của tôi. Tôi cũng vừa nhận được thông báo của FPT Internet về việc phát tán virus khá nặng từ máy tính của mình. Xin hỏi có khi nào hacker sử dụng IP của tôi để tấn công không? Mong nhận được giải thích từ phía TGVT, xin chân thành cám ơn. (diepnh1982@yahoo.co.uk)

    Có một dạng virus (máy tính) có khả năng biến máy tính bị lây nhiễm thành nguồn phát tán spam hay phát động tấn công mục tiêu nào đó (website). Máy tính của bạn có khả năng đã bị nhiễm dạng virus này.

    Theo thuật ngữ bảo mật, máy tính bị nhiễm dạng virus trên được gọi là "zombie". Khác với "zombie - thây ma" trên phim ảnh có thể dễ dàng nhận biết bởi bộ dạng gớm ghiếc, máy tính zombie là kẻ "đâm thọc" thầm lặng. Người dùng máy tính có kết nối Internet mà không có sự phòng vệ đúng mực có thể không nhận biết máy tính của mình đã bị lây nhiễm cho đến khi nó gây phiền toái cho người khác và cả chính khổ chủ.

     

     

    Kiểm tra máy tính có phải là zombie hay không

     

     

     

    Có một cách đơn giản và nhanh để kiểm tra máy tính của mình có bị biến thành zombie hay không đó là sử dụng công cụ netstat. Công cụ này có sẵn trên Windows, Unix/Linux và Mac OS X.
    Nestat (Network State) là công cụ hữu ích dùng để hiển thị thông tin về các kết nối mạng của máy tính. Nếu máy tính bị nhiễm virus và biến thành zombie, nó sẽ có những kết nối mạng bất thường. Ví dụ, virus Netspy sử dụng kết nối mạng TCP ở cổng 1024, netstat giúp bạn phát hiện với thông báo như sau:

    Proto Local Address Foreign Address State
    TCP numa:1024 evil.foo.com established


    Bạn có thể xem danh sách các cổng tương ứng với các loại virus tại http://www.doshelp.com/Ports/Trojan_Ports.htm.
    Để biết chi tiết về cách dùng netstat, gõ "netstat /?" trong cửa sổ lệnh trong Windows, hay "man netstat" trong Unix/Linux.

     

    Virus dạng này có thể ẩn nấp trong các file đính kèm email hay trong các file nhạc, video và các dạng file khác mà người dùng tải về từ trên mạng hay thậm chí trong dữ liệu trên website bị lây nhiễm. Tội phạm máy tính đang chuyển hướng sang dạng virus này và tình trạng máy tính bị biến thành zombie đang trở nên nghiêm trọng. Theo một thống kê gần đây, lượng spam gửi từ các máy tính zombie đã có sự gia tăng đáng kể, chiếm hơn phân nữa tổng số spam.

    Các máy tính gia đình có nguy cơ bị biến thành zombie rất cao vì thường ít được bảo vệ chống virus. Với các máy tính gia đình có cấu hình ngày càng mạnh và ngày càng có nhiều người dùng kết nối Internet tốc độ cao (ADSL) thì tác hại càng khó lường, tập hợp các zombie này có thể thực hiện các cuộc tấn công DDoS làm tê liệt hàng loạt website hay thậm chí cả mạng Internet.

    Dĩ nhiên phía nhà cung cấp dịch vụ Internet (ISP) có các biện pháp kỹ thuật ngăn chặn những cuộc tấn công từ các máy tính zombie như firewall hay biện pháp cứng rắn là khoá tài khoản của người dùng đã để máy tính bị biến thành zombie (có thể người dùng bị "oan" nhưng phải trả giá vì đã không có biện pháp phòng vệ thích hợp).

    Ở đây trách nhiệm chính là người dùng, họ phải có ý thức và biện pháp phòng vệ cho máy tính của mình, đặc biệt là khi máy tính có kết nối Internet tốc độ cao, để không gây phiền toái cho cộng đồng mạng và cả chính mình. Có một số biện pháp bảo vệ cơ bản mà bạn có thể thực hiện:

    • Sử dụng firewall để bảo vệ máy tính khi kết nối Internet.

    • Cập nhật thường xuyên các bản vá bảo mật và chương trình chống virus

    • Cẩn thận với các file đính kèm email và file tải về từ mạng (đặc biệt là các phần mềm miễn phí).

    Trong trận chiến chống lại zombie, gần đây Microsoft đã phối hợp cùng các hiệp hội người dùng tại Mỹ lập website OnGuardOnline.gov cung cấp thông tin và hướng dẫn để giúp người dùng tự bảo vệ máy tính khỏi các mối hiểm họa trên mạng. Ngoài ra, bạn cũng có thể tìm đọc các bài viết về bảo mật trên tạp chí TGVT.

     

    Ý KIẾN TỪ NHÀ CUNG CẤP DỊCH VỤ INTERNET VÀ CHUYÊN GIA BẢO MẬT

     

     

    Trung tâm An Ninh Mạng BKIS
    Để có kết luận chính xác thì cần phải kiểm tra rất cụ thể hệ thống bị hack, hệ thống của nhà cung cấp dịch vụ và máy tính của nguời bị tình nghi. Tuy nhiên nếu thực sự bạn không phải là thủ phạm của sự việc kể trên, thì có 2 giả thiết sau cho việc địa chỉ IP của bạn để lại "hiện trường" của vụ tấn công:
    • Tình huống thứ nhất là hacker chiếm được quyền điều khiển máy tính của bạn bằng một cách nào đó, ví dụ có thể do lây nhiễm virus hay spyware, sau đó virus hay spyware này cài đặt trên máy một "cửa hậu" có nhiệm vụ mở cổng để hacker có thể điều khiển máy tính của bạn. Khi có điều khiển này, hacker có thể làm mọi việc từ chính máy tính của bạn, và nếu như hacker có tấn công 1 website nào đó thì "dấu vết hiện trường" sẽ chính là địa chỉ IP máy của bạn.
    • Tình huống thứ 2 là hacker có thể giả mạo địa chỉ IP sao cho địa chỉ IP của máy dùng để tiến hành việc tấn công sẽ biến thành địa chỉ IP trên máy tính của bạn.
    FPT Telecom
    Thứ nhất, bộ phận hỗ trợ qua điện thoại sẽ không cung cấp thông tin cá nhân của khách hàng (địa chỉ, số điện thoại...) trừ khi chính khách hàng cung cấp chính xác số hợp đồng và tên truy cập. Đôi khi khách hàng cần biết IP họ đang sử dụng để kiểm tra hoặc mở các ứng dụng trên đường line của họ.
    Thứ hai, khi phát hiện máy tính KH bị nhiễm virus và phát tán, bộ phận kỹ thuật FPT Telecom sẽ trực tiếp thông báo cho KH biết và yêu cầu KH thực hiện các biện pháp kỹ thuật để khắc phục. Cũng có khả năng hacker sử dụng IP của KH để làm nơi tấn công các trang web khác.
    Bộ phận quản trị mạng thường xuyên theo dõi, kiểm tra và cập nhập hệ thống để hạn chế tình trạng zombie, cảnh báo cho KH khi phát hiện các virus đang phát tán trên mạng. Ngoài ra, bộ phận kỹ thuật chúng tôi cũng khuyến cáo KH nên cài đặt các chương trình an ninh thông dụng (phần mềm chống virus/spyware, tường lửa).

     

    ID: A0604_12