• Chủ Nhật, 28/06/2009 07:32 (GMT+7)

    Rootkit: Ẩn họa khôn lường

    TSKH Nguyễn Khắc Việt, quyền giám đốc phòng thí nghiệm Trọng Điểm An Toàn Thông Tin (VISL), đã đưa ra những cảnh báo về mối nguy hiểm tiềm tàng của rootkit nhân buổi lễ công bố kết quả kiểm định một số phần mềm Anti-Rootkit đang được sử dụng phổ biến tại Việt Nam, diễn ra đầu tháng 5/2009.

    Rootkit ngày càng nguy hiểm hơn

    Rootkit là phần mềm có khả năng kiểm soát “Root” của một hệ thống máy tính, có khả năng “tàng hình”, khó bị phát hiện bởi các chương trình chống virus và các tiện ích giám sát hệ thống.

    Ông Kam Chee Tat
    Theo báo cáo của McAfee, rootkit đang ngày càng độc hại hơn nhờ khả năng kết hợp với phần mềm gián điệp (spyware), virus và các mã độc hại khác và biến các cuộc tấn công trở nên “vô hình” trước các phần mềm bảo mật. Với khả năng xâm nhập hệ điều hành sâu hơn, rootkit không chỉ dùng các quyền bảo mật để ẩn mình mà còn mở “cửa hậu” (back door) cho hacker kiểm soát từ xa mọi hoạt động của máy tính.

    Ông Kam Chee Tat, trưởng nhóm kỹ sư phần mềm khu vực Đông Nam Á của McAfee cho biết, tuy tốc độ phát triển của rootkit không nhanh như các loại mã độc hại khác, nhưng trong những năm qua rootkit đã giúp các loại mã độc hại ẩn nấp ngày càng sâu hơn và khó phát hiện hơn. Nguy hiểm hơn là xu hướng tích hợp sẵn rootkit trong các mã độc hại của hacker nhắm đến tài khoản tín dụng cá nhân và các ngân hàng. Hacker ngày càng chuyên nghiệp hơn trong việc tạo ra rootkit cho từng loại malware mà chúng phát triển.

    “Rookit nguy hiểm vì nó chạy được trên rất nhiều hệ điều hành khác nhau như Linux, Solaris và các phiên bản Microsoft Windows. Rootkit là công nghệ tương đối mới, còn đang tiếp tục phát triển, nên mối hiểm họa tiềm tàng từ Rootkit rất đáng lo ngại”, TSKH Nguyễn Khắc Việt.

    Nhiều chuyên gia bảo mật nhận định rootkit tự bản thân thường chưa gây tác hại, nhưng khi đi cùng với các phần mềm độc hại như: virus, sâu, phần mềm gián điệp, trojan... nó trở nên cực kỳ nguy hiểm. Rootkit có khả năng ẩn các tiến trình, file và cả dữ liệu trong registry (với Windows), ẩn kết nối mạng, có khả năng ghi lại các thông số về kết nối mạng, và được coi là trojan vì có hành vi nghe trộm, che giấu các chương trình độc hại. Lợi dụng công nghệ rootkit, hacker có thể lấy được mật khẩu và tài khoản của người dùng, chiếm quyền quản trị và dùng máy tính nạn nhân làm “bàn đạp” tấn công các máy tính khác.

    TSKH Việt cho biết thêm: “Rootkit là một công nghệ mới, có khả năng vô hiệu hóa được các phần mềm diệt virus và mã độc hại thông thường, chính vì vậy nó tiềm ẩn những mối nguy hại chưa lường trước được trong lĩnh vực an toàn thông tin. Công việc nghiên cứu, đánh giá cũng như nâng cao nhận thức của người dùng về nguy cơ tiềm ẩn của rootkit hiện nay là thực sự cần thiết.”

    Giải pháp anti-rootkit

    Ông Nguyễn Tử Quảng, giám đốc trung tâm An Ninh Mạng Bách Khoa (Bkis) chia sẻ, rootkit theo cách gọi hiện nay chính là sự quay trở lại của virus thường trú. Rootkit có đầy đủ tính chất nguy hiểm của các phần mềm độc hại (gọi chung là malware). Mức độ nguy hiểm của rootkit tùy thuộc vào mục đích của người viết (nhằm mục đích ăn cắp thông tin hay phá hoại) và có khó diệt hay không. Vì vậy, các phần mềm diệt virus chuyên nghiệp đều có cơ chế phát hiện, ngăn ngừa và diệt các loại mã độc này.

    Đối với người dùng, ông Quảng khuyến cáo cần phải hiểu bản chất của rootkit là loại mã độc thường trú nên các tổ chức, doanh nghiệp nên lựa chọn giải pháp tổng thể với sự hỗ trợ của các chuyên gia bảo mật để bảo vệ an toàn thông tin cho hệ thống.

    Theo lời khuyên của McAfee, tổ chức, doanh nghiệp và cá nhân nên nhận thức đầy đủ về sự nguy hiểm của rootkit để đầu tư thích đáng cho sự an toàn của hệ thống. Các giải pháp phòng chống rootkit và mã độc hại nên được triển khai đồng bộ, song song với việc phát triển hệ thống. Các hãng bảo mật hiện nay thường tích hợp sẵn công cụ Anti-Rootkit trong các bộ sản phẩm phòng chống virus và mã độc hại. McAfee tư vấn miễn phí và cho phép người dùng tải về tham khảo. Người dùng cũng cần trang bị những phần mềm có khả năng ngăn chặn và đưa ra cảnh báo một cách toàn diện hơn. Ví dụ, trước khi truy cập vào những trang web có chứa rootkit thì phần mềm sẽ đưa ra những cảnh báo đối với người dùng.

     

    Ngày 8/5/2009, VISL đã công bố kết quả kiểm định 7 phần mềm Anti-Rootkit đang được sử dụng phổ biến tại Việt Nam. Kết quả phần mềm BitDefender IS 2009 và Kaspersky IS 2009 được trao chứng nhận Vàng, Rootkit Unhooker đạt chứng nhận Bạc.

    Rootkit tuy là công nghệ cao và ngày càng được các hacker sử dụng một cách chuyên nghiệp hơn, nhưng người dùng vẫn có thể hạn chế tối đa tác hại nếu biết cách phòng chống. Có hai cách tiếp cận cơ bản để phát hiện rootkit: Phương pháp thứ nhất là giám sát, phát hiện những hành vi bất thường trong hệ thống. Phương pháp này thường hiệu quả để phát hiện rootkit, đặc biệt với những người dùng có nhiều kinh nghiệm, nhưng không phải tối ưu vì dễ nhầm và có thể phải gánh chịu hậu quả khôn lường; Phương pháp thứ hai là sử dụng một phần mềm diệt rootkit để quét. Phương pháp này được ưa thích hơn đối với hầu hết người dùng vì phần mềm có thể tự động phát hiện và đưa ra cảnh báo hoặc ngăn chặn kịp thời các nguy cơ từ rootkit.

    Đối với giải pháp sử dụng phần mềm Anti-Rootkit, một trong những khó khăn hiện nay là nhiều hãng bảo mật chưa có công cụ hoàn chỉnh. Tại đợt kiểm định một số phần mềm Anti-Rootkit đang được sử dụng phổ biến tại Việt Nam, một số hãng bảo mật danh tiếng đã “xin khất” vì sản phẩm của họ đang phát triển hoặc trong giai đoạn beta. TSKH Nguyễn Khắc Việt cho rằng, rootkit là công nghệ cao và khá mới nên các phần mềm Anti-Rootkit luôn phải thụ động đuổi theo như “mèo vờn chuột” là điều dễ hiểu.

    Ông Nguyễn Tử Quảng, giám đốc Bkis: “Bản chất rootkit hiện nay không có gì mới so các loại với virus thường trú trên hệ điều hành trước đây. Các loại virus này tìm cách ẩn mình vào hệ thống và đánh lừa không cho hệ thống phát hiện bằng các phần mềm chuyên dụng trong môi trường MSDOS. Khi nâng cấp lên HĐH Windows, các loại virus thường trú ít phát triển hơn, thay vào đó là các loại sâu máy máy tính rất phát triển do lây nhiễm nhanh bằng cách phát tán qua mạng. Các loại mã độc này dễ viết, dễ phát tán nên xu hướng virus thường trú có chiều hướng ít phát triển”.

    Đức Minh

    ID: B0906_70