• Thứ Năm, 02/12/2004 16:09 (GMT+7)

    Ký sự một loài sâu

    Lần theo dấu vết một sâu virus "nổi đình nổi đám" gần đây để tìm hiểu điểm yếu của chình hệ thống bào vệ người dùng máy tính hiện nay. Liệu chúng ta có bó tay trước cơn lũ virus toàn cầu kế tiếp?


    Lần theo dấu vết của một sâu virus gần đây để tìm hiểu điểm yếu của chính hệ thống bảo vệ người dùng máy tính hiện nay. Liệu chúng ta có bó tay trước cơn lũ virus toàn cầu kế tiếp?
    Các hệ thống mạng bị nghẽn, các máy tính khởi động lại liên tục làm tê liệt các ngân hàng, bệnh viện và sân bay. Nguyên nhân: cuộc tấn công của sâu mang tên Sasser, hoành hành Internet trong suốt 5 ngày cuối tháng 5/2004, lây nhiễm hàng triệu máy tính.

    Ai tạo ra Sasser? Câu trả lời ngắn gọn là một hacker tinh quái nào đó. Nhưng Sasser cũng là sản phẩm phụ của chính hệ thống bảo vệ người dùng PC. Lỗ hổng mà Sasser khai thác được nhân viên của một công ty bảo mật ở California phát hiện. Và khi phát hành bản vá lỗ hổng, Microsoft đã cung cấp cho giới hacker toàn thế giới tất cả thông tin kỹ thuật cần thiết để khai thác. Có phải phương thức trị bệnh hiện nay còn tai hại hơn chính căn bệnh? Để trả lời vấn đề này chúng ta hãy lần theo dấu vết của Sasser.

    ALIO VIEJO, CALIFORNIA, 8/10/2003

    Công ty EEye Digital Security chuyên phát hiện những lỗ hổng mà hacker có thể tấn công để phong tỏa, giúp bảo vệ máy tính của khách hàng ngay cả khi không có miếng vá chính thức. Tất nhiên, công việc của những công ty như EEye là phải thường xuyên săm soi Windows (hệ điều hành phổ biến nhất hiện nay) để tìm kiếm các điểm yếu chưa ai biết.

    Tại EEye, kỹ sư Yuji Ukai được trả lương để tìm ra những cách thức mới xâm nhập máy tính, anh có "thú vui" dò tìm các lỗ hổng bảo mật của các hệ điều hành phổ biến. Một trong số các lỗi mà Ukai và đồng nghiệp phát hiện gần đây có một lệnh không được dùng đến trong thành phần Windows gọi là Workstation Service. Ukai nghĩ rằng các phần khác của hệ thống cũng có vấn đề tương tự, vì vậy anh tiếp tục săm soi các tập tin DLL. Anh bắt đầu bằng cách kiểm tra các service - chương trình điều khiển các phần khác nhau của Windows - được kích hoạt mặc định.

    Gần như ngay lập tức anh phát hiện một lỗ hổng khác: Local Security Authority Subsystem Service (LSASS). LSASS kiểm soát tất cả vấn đề bảo mật hệ thống Windows cục bộ. Service này có thể tắt, và Windows sẽ không còn có bất kỳ sự bảo vệ nào; người ta cũng có thể dùng LSASS để chạy một chương trình nào đó, biến "người gác cổng" Windows thành "kẻ nội gián" - và có thể chiếm quyền kiểm soát máy tính chạy Windows 2000/XP.

    Ngay lập tức EEye thông báo cho Microsoft. Khá nhiều máy tính trên thế giới bị lỗ hổng này. Rất may là đến thời điểm đó chỉ có EEye và Microsoft biết. Giờ thì Microsoft phải nhanh chóng vá lỗ hổng này trước khi có người khác tìm ra.

    REDMOND, WASHINGTON, 8/10/2003

    Tại Trung tâm bảo mật của Microsoft (MSRC), một nhóm gồm 10 thành viên khẩn trương đánh giá lỗi Windows. Trước hết, nhóm phân tích báo cáo của EEye và tái hiện lỗ hổng. Kế tiếp, họ gửi đến đội đặc nhiệm chuyên xử lý lỗi Windows - Secure Windows Initiative (SWI) bao gồm các lập trình viên và trưởng nhóm sản phẩm, những người sẽ tạo bản vá lỗi. Sau khi SWI tìm ra được cách thức sửa lỗi, MSRC sẽ thực hiện kiểm tra toàn diện để đảm bảo bản vá hiệu quả.

    Theo một thỏa ước bất thành văn trong ngành công nghiệp phần mềm, người phát hiện lỗi để cho công ty phần mềm có đủ thời gian tìm giải pháp sửa lỗi trước khi công bố trên toàn thế giới (thường trong khoảng 30-60 ngày). Tuy nhiên, việc giữ bí mật này cũng có thể tạo nguy cơ, vì trong thời gian đó hacker có thể phát hiện ra lỗ hổng và khai thác nó.

    REDMOND, 13/4/2004

    Hơn 6 tháng sau kể từ phát hiện của Ukai, Microsoft phát hành bản vá và công bố chi tiết về lỗ hổng LSASS trong thông báo mang mã số MS04-011. Theo Microsoft, việc mất nhiều thời gian như vậy là do có đến 13 lỗ hổng liên quan.

    Báo cáo kỹ thuật được các nhà quản trị mạng dùng để đánh giá độ an toàn của bản vá, nhưng đồng thời tiết lộ thông tin cần thiết để hacker cao tay giải mã bản vá và viết chương trình tấn công các máy tính chưa được vá.

    NGA, 29/4/2004

    Chỉ 16 ngày sau, vào lúc 3 giờ chiều, một hacker Nga được biết đến với bí danh Houseofdabus đã đưa lên mạng chương trình hướng dẫn cách chiếm quyền điều khiển máy tính chưa vá lỗ hổng LSASS.

    Chương trình của Houseofdabus rất chuyên nghiệp. Tác giả tuyên bố đã kiểm tra đột nhập 10 phiên bản Windows XP và Windows 2000 tiếng Anh và Nga khác nhau. Một ghi chú đính kèm: "Đây là chương trình cho mục đích học tập và để những người có trách nhiệm kiểm tra". Không ai tin chương trình chỉ được dùng bởi những người có trách nhiệm. Đối với các tay viết virus thì đây là một món quà hấp dẫn.

    HELSINKI, PHẦN LAN, 1/5/2004

    7 giờ 02 sáng, các chuyên gia tại công ty chống virus F-Secure biết có một sâu mới đang khai thác lỗ hổng LSASS. F-Secure gửi lên một diễn đàn thông tin về sâu này để thông báo cho các chuyên gia chống virus khác, và đặt tên sâu là Sasser.

    Sasser phát tán nhanh, làm cho các máy tính bị treo hay khởi động lại. Nó không chủ tâm gây tác hại trên hệ thống bị nhiễm, nhưng các PC bị nhiễm không làm việc được vì sâu gây nghẽn mạng với việc nhân bản.

    Khi Microsoft nhận được tin về Sasser, một số đơn vị "tác chiến" được thành lập ngay. Các kỹ sư của hãng nghiên cứu sâu để tìm hiểu cách thức phát tán.

    Khoảng 10 giờ sau, biến thể thứ hai Sasser.B xuất hiện trên mạng. Các công ty chống virus phải đưa ra bản cập nhật phần mềm chống virus để phát hiện và gỡ bỏ nó.

    REDMOND, 2/5/2004

    Chủ nhật, trong vòng 24 giờ xuất hiện của Sasser, Microsoft quyết định mở một chiến dịch rộng khắp kéo dài suốt tuần, bao gồm việc đưa thông tin lên website của công ty, hỗ trợ cho các đại lý và nhà sản xuất máy tính cũng như đối tác, ngoài ra còn trả tiền cho Google để bất kỳ ai tìm thông tin về sâu Sasser đều nhìn thấy quảng cáo chỉ đến website Microsoft có cung cấp bản vá.

    Bất chấp tất cả những nỗ lực này, Microsoft vẫn phải khổ sở với Sasser. Các báo cáo về hậu quả của sâu bay về tới tấp: Hoạt động bị gián đoạn ở các công ty như Godman Sachs và Bristish Airway. Phân nửa số bưu cục ở Đài Loan có máy tính bị lây nhiễm. Sasser lây lan các máy tính của các cơ quan chính phủ ở Hồng Kông và các công ty dầu hỏa ở Mexico.

    Mức độ tàn phá của sâu đáng kinh ngạc: 5000 hệ thống máy tính và thiết bị chụp X quang tại một bệnh viện ở Thụy Điển ngừng hoạt động; 1200 máy tính tại các cơ quan đầu não của Uỷ ban châu Âu ở Bỉ không thể nối mạng; và ngân hàng Sun Trust và American Express ở Mỹ mất liên lạc Internet hoàn toàn suốt nhiều giờ.

    Vào cuối buổi chiều ngày chủ nhật, gần 1,5 triệu lượt người dùng đã truy cập website Microsoft để tải về công cụ miễn phí diệt Sasser. Nhưng Sasser còn lâu mới kết thúc.

    WAFFENSEN, ĐỨC, 3/5/2004

    Tại ngôi làng chỉ có 900 dân, cách thành phố Bremen khoảng 21 dặm về phía Bắc, Sven Jaschan, một học sinh trung học 18 tuổi, đã bỏ ra 3 tháng để viết và nâng cấp một dòng sâu Internet gọi là Skynet, nhưng các công ty phần mềm chống virus gọi nó là Netsky. Các biến thể của phiên bản sâu đầu tiên này - một trong những sâu phát tán dữ dội nhất trên Internet - lây nhiễm hàng chục ngàn hệ thống máy tính mỗi tháng. Nhưng mục tiêu của Netsky không phải phá hoại: nó là vũ khí chống lại 2 sâu khác - Bagle và MyDoom, các sâu này biến máy tính bị nhiễm thành hệ thống phát tán thư rác (spam). Netsky chiếm quyền điều khiển máy tính bị nhiễm để xóa các sâu spam.

    Hai tháng sau khi phát hành phiên bản Netsky đầu tiên, Jaschan đưa ra phiên bản thứ 29, Netsky.AC. Giống như các phiên bản trước, phiên bản này chứa một thông điệp ẩn, điều đáng nói là trong thông điệp đặc biệt này tác giả nhận trách nhiệm về việc viết Sasser.

    HELSINKI, 4/5/2004

    Sáng thứ Ba, các công ty chống virus cố kiểm chứng tuyên bố trong thông điệp ẩn của Netsky.AC. Các chuyên gia virus tại F-Secure phân tích Sassser và Netsky, đưa ra lưu đồ chi tiết của các thủ tục trong các sâu này. Và họ đã tìm thấy sự tương đồng về mã lệnh và phong cách lập trình của 2 sâu này.

    WAFFENSEN, 5/5/2004

    Tin về Sasser lan truyền khắp thế giới, FBI (Cơ quan điều tra liên bang Mỹ) nhảy vào tham gia truy tìm tác giả Sasser. Theo thông tin đăng trên tạp chí Stern của Đức, Jaschan đã viết thư cho một người bạn tên là MarleB cho biết ý định bỏ việc viết virus và phá hủy đĩa cứng của mình. MarleB và một người bạn khác đã "bán đứng" Jaschan cho Microsoft để nhận số tiền 250.000 USD.

    Sáu tháng trước, Microsoft đã gây xôn xao giới viết chương trình virus bằng việc lập quỹ 5 triệu USD để thưởng cho ai cung cấp thông tin về những người phát tán chương trình phá hoại.

    Đây là trường hợp đầu tiên trong lịch sử quỹ "chống virus", tội phạm bắt được nhờ tiền thưởng cung cấp thông tin.

    SEATLE, 7/5/2004

    Sau khi kiểm chứng đúng thông tin, Microsoft báo ngay cho FBI, và FBI nhanh chóng liên lạc với cảnh sát Đức bắt giữ Jaschan cùng với máy tính. Jaschan đã thú nhận tất cả trách nhiệm trong việc tạo Sasser, Netsky và các biến thể.

    Chỉ 2 giờ sau khi Jaschan bị bắt giữ, phiên bản thứ năm của Sasser xuất hiện trên mạng (trong khi Jaschan vẫn còn bị canh giữ tại sở cảnh sát). Một số chuyên gia bảo mật nghi ngờ có thể Jaschan thú nhận giả và tác giả Sasser là người khác. Nhà chức trách Đức thì quả quyết đã bắt đúng người, và cho rằng Jaschan có thể đã phát tán Sasser.E vài phút trước khi bị bắt.

     

    HÀNH TRÌNH SÂU SASSER

     

     

    MICROSOFT MẤT HƠN 6 THÁNG để đưa ra bản vá lỗ hổng LSASS. Nhưng chỉ cần 18 ngày để sâu Sasser xuất hiện, và chưa tới 1 tuần để lây nhiễm 1 triệu PC.
    2003 (2 ngày)

      - 8/10, Yuji Ukai của EEye Digital Security phát hiện lỗ hổng bảo mật Windows trong tập tin LSASRV.DLL
      - 9/10, EEye thông báo lỗi đến Microsoft.
    2004
    [ 188 ngày kể từ lúc phát hiện lỗ hổng đến khi Microsoft đưa ra bản vá ]
    - Cuối 2003 - đầu 2004, Microsoft phát triển và kiểm tra bản vá cho LSASS và 13 lỗ hổng liên quan.
    [ 18 ngày để Sasser tấn công lần đầu tiên ]
       - 13/4, Microsoft và EEye công bố lỗ hổng. Microsoft phát hành bản vá.
       - 29/4, một người nào đó dùng tên Houseofdabus đưa lên mạng đoạn mã khai thác LSASS.
       - 1/5: + 7 giờ sáng: F-Secure phát hiện phiên bản Sasser đầu tiên
                + 5 giờ chiều: F-Secure phát hiện Sasser.B
    [ 6 ngày để bắt giữ ]
      - 4/5, Sasser lây nhiễm 1 triệu PC trên khắp thế giới
      - 5/5, một người xưng tên MarleB đòi Microsoft tiền thưởng cho việc cung cấp thông tin về tác giả sâu Sasser.
      - 7/5, chính quyền Đức bắt giữ Sven Jaschan về tội viết chương trình sâu Sasser.
    2005
    - 10/5 đến nay, nhiều phiên bản Sasser xuất hiện nhưng tốc độ lây lan chậm vì các hệ thống đã được vá.
    - Tháng 1/2005, Jaschan sẽ ra tòa.

     


    HANNOVER, 9/2004

    Có ít nhất 2 biến thể Sasser mới xuất hiện, điều này cho thấy những kẻ tòng phạm với Jaschan vẫn không hề chùn tay. Và ngày 23/8, Sasser.G, biến thể mới nhất được phát hiện, đã xuất hiện trên Internet. Các phiên bản Sasser trước đây tiếp tục lây nhiễm các máy tính chưa vá. Và các đối thủ spam bí mật của Jaschan, những người đã tạo ra sâu Bagle và MyDoom vẫn tiếp tục đưa ra phiên bản mới.

    Tất cả các bên liên quan trong trường hợp này cho rằng hành động của họ nhằm giúp ích người khác. Phát hiện của EEye và Ukai về lỗ hổng LSASS giúp bảo vệ khách hàng của công ty. Microsoft đưa ra bản vá giúp khách hàng tránh gặp sự cố. Houseofdabus thì cho rằng chương trình khai thác LSASS chỉ nhằm mục đích học tập. Jaschan cũng vậy, cho rằng anh phục vụ cộng đồng người dùng Internet.

    Mọi người đều muốn làm việc có ích, vậy thì tại sao chúng ta vẫn liên tục bị tấn công bởi virus và sâu ngày càng tồi tệ?

    Thực tế, hệ thống vá lỗi hiện nay không bảo vệ tất cả mọi người - nó chỉ bảo vệ những ai cài đặt bản vá nhanh (thời gian tương đối an toàn là khoảng 3 tuần kể từ khi bản vá được công bố). Tuy nhiên, chỉ có phân nửa người dùng PC thực hiện việc này. Điều đó có nghĩa là một nửa số máy tính còn lại mở cửa cho các sâu mà có thể không bao giờ được tạo ra nếu bản vá không được công bố.

    Chắc chắn chúng ta không thể đơn giản vứt bỏ hệ thống vá lỗi hiện tại. Các hacker tinh quái sẽ luôn săm soi các lỗ hổng phần mềm. Do không bị phát hiện, những hacker này có thể gây tác hại còn nghiêm trọng hơn - tất cả người dùng máy tính sẽ dễ bị tấn công phá hoại và đánh cắp thông tin.

    Giải pháp tốt nhất là đưa ra phần mềm an toàn ngay từ đầu. Cho đến khi đạt được điều đó, việc cải thiện hệ thống vá lỗi phải được đặt lên hàng đầu đối với bất kỳ ai có liên quan. Còn với người dùng, hiện giờ chỉ có một lựa chọn duy nhất: cài đặt bản vá sớm và thường xuyên.

    Phương Uyên
    PC World Mỹ 11/2004

     

    Từ khóa: Phương Uyên
    ID: A0411_102