• Thứ Sáu, 14/02/2014 14:54 (GMT+7)

    Malware: cuộc chiến không có hồi kết

    Phan Châu
    Cuộc chiến chống malware diễn ra đã hàng thập kỷ vẫn đang tiếp tục thách thức và làm hao tiền, tốn sức mọi tổ chức, doanh nghiệp.

    Bất chấp mọi nỗ lực ngăn chặn các cuộc tấn công của tin tặc, các công ty, tổ chức trên toàn thế giới vẫn luôn đứng trước nguy cơ gánh chịu rủi ro từ những đòn tấn công ngày càng tinh vi và nguy hiểm. Theo kết quả nghiên cứu phát hành hồi tháng 10/2013 của Viện Ponemon Institute với sự tài trợ của HP Enterprise Security, tội phạm mạng gây tổn thất cho các công ty Mỹ trung bình 11,6 triệu USD mỗi năm, tăng 23% so với năm trước. Còn tại Việt Nam, khảo sát của công ty An ninh mạng BKAV tiến hành trong 2 năm 2012 – 2013 cho thấy, virus máy tính gây thiệt hại khoảng 8.000 tỷ đồng mỗi năm.
    Khi được hỏi vì sao cuộc chiến chống mã độc (malware) không thể có hồi kết, các chuyên gia bảo mật thường dùng lối nói ẩn dụ theo quan điểm quân sự hay hệ sinh thái. Dưới con mắt đánh giá về quân sự, các chuyên gia bảo mật cho rằng bế tắc trong cuộc chiến chống malware là do các hệ thống phòng thủ luôn có những thiếu sót. Số khác, theo trường phái cân bằng sinh thái, không quan niệm đây là cuộc chiến thắng – thua, mà nhìn nhận như cuộc cạnh tranh giữa hai loài trong cùng môi trường sinh thái, bên nào thất bại sẽ bị loại, đẩy các chu kỳ phát triển tới sự cân bằng để cùng tồn tại.
    Những người theo “học thuyết quân sự” thấy việc phòng chống malware bế tắc bởi bên phòng thủ luôn bị động. Các hàng rào phòng thủ chỉ được gia cố và nâng cấp mỗi khi bị xuyên thủng. Các nhà lập trình vẫn thường bị chỉ trích là chưa được đào tạo về bảo mật, và trong quá trình viết phần mềm họ chưa ý thức việc hạn chế rủi ro cho người dùng về sau. Nạn malware tấn công người dùng nhiều năm qua chính là do hầu hết các phần mềm đều tồn tại những lỗ hổng, nhưng thường chỉ được các nhà cung cấp khắc phục khi chúng được công bố công khai. Theo “trường phái” sinh thái học, chuyên gia bảo mật Lenny Zeltser lại mô tả hành động của các bên tấn công và phòng thủ phát triển theo những chu kỳ. Ông cho rằng, những kẻ tấn công sẽ hăng hái tấn công hơn nếu thấy dễ “ăn”, còn bên phòng thủ nếu muốn chặn 100% các cuộc tấn công thì sẽ rất tốn kém vì phải luôn ở tư thế sẵn sàng để tránh nguy hiểm. Cân bằng trạng thái có vẻ như là đích đến của cả hai bên.
    Các chuyên gia bảo mật cho dù theo quan điểm cân bằng sinh thái hay bế tắc quân sự, đều đồng ý rằng cuộc chiến chống malware cho tới nay đã đạt được nhiều tiến bộ.
     

    Những thắng lợi đạt được
    Những năm gần đây, thế giới không còn phải chứng kiến những trận “dịch” malware bùng phát dữ dội trên diện rộng như kiểu virus ILOVEYOU lây lan cực nhanh vào năm 2000. Theo nhà nghiên cứu bảo mật Roel Schouwenberg tại Kaspersky Lab, cho đến thời điểm này, mọi malware đều có cách chống đỡ. Kevin Haley, phát ngôn viên của Symantec cho biết, các nhà cung cấp phần mềm chống malware hiện đã có thể phản ứng trước lỗ hổng bảo mật mới bị khai thác (thường gọi "zero-day") chỉ trong vòng hai giờ, những lỗi phức tạp thì có thể cần thêm thời gian theo dõi.
    Thế nhưng, trên thực tế lại tồn tại mối hoài nghi về việc có thể các nhà cung cấp công cụ chống malware nhiều khi đã cải tiến hệ thống phòng thủ tốt hơn nhưng lại không phát hành ngay vì mục đích riêng. Tất nhiên là các nhà cung cấp phủ nhận điều này. “Vũ khí bí mật của chúng tôi phát huy mỗi ngày cho trận chiến hàng ngày”, Tony Anscombe, một giám đốc của AVG Technologies khẳng định. Phát ngôn viên Kevin Haley của Symantec khi được hỏi về điều này đã tuyên bố thẳng thừng, nếu các nhà cung cấp sở hữu “bảo bối” có thể chặn được mọi loại virus thì chỉ có ngu ngốc mới “ém” lại, vì đây sẽ là lợi thế cạnh tranh để giúp bán được phần mềm nhiều hơn.
    Bên cạnh đó, không thể phủ nhận là các nhà sản xuất phần mềm đã có nhiều nỗ lực để giảm thiểu lỗ hổng bảo mật dẫn đến nguy cơ tấn công lây nhiễm. Tim Rains, giám đốc bộ phận "Điện toán đáng tin cậy" của Microsoft (Microsoft Trustworthy Computing), trích dẫn kết quả nghiên cứu được thực hiện trong năm 2011 của nhóm chuyên gia phân tích Dan Kaminsky, theo đó có tới 126 lỗ hổng có thể bị khai thác trong Microsoft Office 2003, nhưng với Office 2010 thì chỉ có 7. Rains còn dẫn số liệu thống kê có được từ công cụ xóa bỏ phần mềm độc hại trực tuyến của Microsoft (Malicious Software Removal Tool), cho thấy những máy tính được cập nhật các bản vá bảo mật kịp thời giảm khả năng bị tấn công lây nhiễm 5,5 lần.
    Theo Computerworld, ở thời điểm tháng 12/2012, tỷ lệ nhiễm là 12,2 trên 1.000 máy không được bảo vệ. Tỷ lệ này trên những máy được cập nhật bản vá thường xuyên là 2/1.000 máy. Mức trung bình nhiễm malware toàn cầu là 6/1.000 máy. Tình trạng lây nhiễm tuy vẫn còn xảy ra nhưng dường như đã đạt đến trạng thái cân bằng.
     

    Hai dạng malware chính
    Theo Roger Thompson, giám đốc nghiên cứu bảo mật tại hãng kiểm định bảo mật ICSA Labs, malware hiện có thể chia thành hai dạng cơ bản: mối đe dọa cực kỳ dai dẳng và Trojan nhiều biến thể. Ông cho biết, những mẫu malware mới thuộc dạng thứ nhất xuất hiện hàng tháng, có đặc trưng riêng và đều đáng sợ, nhắm tới những mục tiêu cụ thể, mà đứng sau chúng là các tổ chức có tiềm lực mạnh và đeo bám dai dẳng. Điển hình của loại này là virus Stuxnet xuất hiện năm 2010 nhằm phá hủy các máy ly tâm làm giàu uranium trong các cơ sở nghiên cứu hạt nhân của Iran, bằng cách làm chúng quay thật nhanh. Đối với dạng thứ hai, malware tự nhân bản để tạo ra những trận dịch virus lan rộng nhanh chóng như trước đây không còn nữa (tuy nhiên, những loại sâu và malware cũ vẫn còn đâu đó trên Internet, và một máy không được bảo vệ có thể nhanh chóng bị nhiễm chúng). Tin tặc đã chuyển sang xu hướng tấn công từ các trang web độc hại nhắm vào nạn nhân bị lừa ghé thăm. Trong số hàng trăm nghìn mẫu Trojan mới được các nhà nghiên cứu ghi nhận mỗi ngày, các chuyên gia bảo mật phát hiện nhiều mã độc trên các trang web độc hại được tin tặc cải biên từ những họ malware đã biết từ lâu và đưa vào trong một tập tin có khả năng tự lây nhiễm.
    Theo giải thích của chuyên gia bảo mật Zeltser, kỹ thuật lây nhiễm thường được áp dụng là một đoạn mã mồi gọn nhẹ, có khả năng tải về các thành phần khác, sẽ thâm nhập máy nạn nhân trước. Những kẻ tấn công sẽ quyết định cách thức lợi dụng nạn nhân dựa trên báo cáo về hệ thống bị nhiễm do mã độc gửi về. Nhiều chuyên gia bảo mật gần đây đã lên tiếng cảnh báo tình trạng máy tính của người dùng cá nhân và doanh nghiệp nhỏ bị tấn công đánh cắp thông tin đăng nhập dịch vụ ngân hàng trực tuyến, trong khi các doanh nghiệp lớn là đối tượng tấn công của gián điệp công nghiệp. Malware tiến hóa tới mức có loại đã biết ẩn mình chờ thời để qua mặt các phần mềm bảo mật, và chỉ lộ hành tung trong những điều kiện nhất định.
    Nhưng, điều khiến nhiều nhà quan sát lo ngại nhất là đang dần hình thành nền kinh tế của những kẻ tấn công, tập trung một bộ phận lao động không nhỏ trong xã hội. Một số chuyên dùng malware lừa đảo, đánh cắp dữ liệu, số khác tìm cách tiêm nhiễm máy tính của người dùng để kiếm tiền như gửi thư rác (spam) hoặc tung ra các cuộc tấn công từ chối dịch vụ DDoS…, và bất cứ ai cũng có thể dễ dàng mua quyền điều khiển một mạng lưới máy tính bị nhiễm phục vụ cho những ý đồ đen tối riêng.
     

    4 vũ khí chính được các nhà cung cấp phần mềm chống malware sử dụng:
    • Nhận diện chữ ký. Cung cấp cho người dùng khả năng phát hiện đoạn mã độc đang lẩn khuất. 
    • Giám sát hành vi. Kỹ thuật cho phép người dùng phát hiện có malware đang hoạt động trong một máy tính hoặc xác định một tập tin đáng ngờ đang ẩn mình.
    • Danh sách đen (Blacklist). Để chặn truy cập vào các trang web và các tập tin không mong muốn. 
    • Danh sách trắng (Whitelist). Ngược với danh sách đen, người sử dụng chỉ được phép truy cập vào các trang web và các tập tin có tên trong danh sách được cho là vô hại này.
    Ngoài ra còn kết hợp thêm những cách thức phòng thủ khác như tường lửa, cung cấp định kỳ các bản vá lỗ hổng bảo mật.

    Những chiến trường mới nóng bỏng: Windows XP và Android
    Trong khi theo dõi những cuộc rượt đuổi mới giữa hai bên tấn công và phòng thủ trong cuộc chiến malware, các chuyên gia bảo mật còn nhận ra những mối nguy hiểm cận kề. Đó là, Windows XP sắp lộ nhiều “tử huyệt” vì sẽ ngừng được hỗ trợ trong vòng 4 tháng tới, và smartphone Android đang trở thành miền đất hứa cho tin tặc gieo rắc mã độc. Ngay cả Windows Vista cũng chỉ còn được Microsoft hỗ trợ thêm một thời gian ngắn nữa, tới giữa tháng 4/2017.
    Được phát hành vào năm 2001, Windows XP đến nay vẫn đang giữ miếng bánh thị phần lớn, trên 31%, chỉ chịu xếp sau Windows 7 với 46,4% thị phần thị trường PC toàn cầu, theo số liệu thống kê mới nhất của hãng phân tích Net Applications. Windows XP, sau tháng 4/2014 không còn được Microsoft phát hành các bản cập nhật bảo mật, sẽ hút giới tội phạm đổ xô vào khai thác các lỗ hổng có thể lợi dụng. Những kẻ viết malware sẽ có được viễn cảnh zero-day vô thời hạn với môi trường XP. Đó là lý do các chuyên gia bảo mật lên tiếng khuyên người dùng nên sớm giã từ XP. Malware mới sẽ ngày càng phức tạp và độc hại hơn, do vậy hệ thống không được hỗ trợ sẽ dễ bị tổn thương hơn bao giờ hết.
    Còn trên mặt trận di động, Android đã chiếm hơn 80% thị phần smartphone toàn cầu, đang là đích nhắm tấn công của các loại malware. Có thể thấy nhiều nét tương đồng giữa sự phát triển của Android và thị trường Windows thời kỳ đầu. Các nhà sản xuất phần cứng phát triển sản phẩm của mình dựa trên hệ điều hành của bên thứ ba, và không ai đảm bảo an ninh thông tin cho các hệ thống này. Hơn nữa, thị trường Android còn thêm phần phức tạp do chịu sự chi phối của các nhà khai thác mạng viễn thông. Với Apple, các bản cập nhật bảo mật có thể đẩy lên iPhone trên toàn thế giới chỉ trong một ngày, nhưng các nhà sản xuất thiết bị Android phải chờ và hoàn thiện các bản vá của Google, sau đó còn phải thông qua các nhà mạng trước khi triển khai cập nhật. Kết quả là điện thoại của người dùng có thể mất hàng tháng mới nhận được bản cập nhật bảo mật, đó là khoảng thời gian người dùng phải chịu rủi ro do không được bảo vệ, một điều khó có thể chấp nhận với người dùng máy tính.


    Cạm bẫy giăng đầy
    Trở lại hình ảnh ví von cuộc chiến chống malware như cuộc cạnh tranh giữa kẻ săn mồi và con mồi trong cùng môi trường sinh thái, đôi khi những thay đổi đột biến của môi trường sống sẽ khiến nhiều loài tuyệt chủng. Lịch sử ngắn ngủi của bầu sinh quyển malware cũng đã từng chứng kiến những trường hợp như vậy. Chẳng hạn, Windows 95 ra đời đã tiễn malware trên môi trường MS-DOS về miền dĩ vãng với chế độ bảo vệ không cho phép một chương trình ghi đè lên một chương trình khác đang chạy. Microsoft Office 2000 đã vô hiệu malware PDF dựa trên macro Office 1995 với tính năng yêu cầu quyền của người dùng trước khi một macro có thể chạy. Bản Windows XP Service Pack 2 được tung ra vào năm 2004 đặt chế độ tường lửa của Windows theo mặc định, hủy diệt một thế hệ malware khác.
    Tuy nhiên, trên thực tế mã độc chưa thể bị quét sạch hoàn toàn. Chưa kể là những kẻ tấn công có thể quay lại chiến thuật cổ điển như sử dụng email hay gọi điện thoại thăm hỏi để moi thông tin và lừa theo cách vẫn thường được gọi là “social engineering” (tạm dịch: “kỹ thuật xã hội”). Điều đáng ngạc nhiên là theo các chuyên gia bảo mật, cho đến nay kỹ thuật xã hội vẫn đạt được tỷ lệ thành công khá cao. Chẳng hạn, kẻ lừa đảo có thể giả danh bộ phận hỗ trợ kỹ thuật gọi điện thoại báo người dùng tải về một phần mềm độc hại, hoặc gửi email chứa đường link “bẩn” dụ người dùng nhấp vào. Những phần mềm này khi được cài có thể “khuyên” người dùng vô hiệu hóa chế độ bảo vệ malware đang được thiết lập trên máy "để đảm bảo tính tương thích". Có vẻ như đây là yêu cầu vô lý nếu đó là những phần mềm hợp pháp.

    Windows XP, hiện chiếm khoảng 31% thị phần PC, sẽ không còn được Microsoft hỗ trợ chống lại malware kể từ sau tháng 4/2014.


    Nhưng thực tế đã có những tiền lệ, một số phần mềm bảo mật khi được cài sẽ yêu cầu người dùng vô hiệu hóa phần mềm bảo mật đang chạy trên máy, do đó người dùng rất dễ bị lừa. Ngay cả khi người dùng đã được huấn luyện kỹ càng để chống lại mánh khóe như vậy thì vẫn có thể bị qua mặt bởi một ai đó trông vẻ ngoài đàng hoàng. Với kẹp hồ sơ trên tay cùng trang phục và bảng phù hiệu giả, kẻ lừa đảo có thể đề nghị và dễ được phép tiếp cận máy tính để thực hiện vài chỉnh sửa nhỏ theo qui trình của công ty. Ngoài ra, một lượng lớn quyền đăng nhập các mạng doanh nghiệp thường được rao bán trên nhiều trang web độc hại, vì nhiều  người đã đăng ký tại các trang web bên thứ ba bằng cách sử dụng địa chỉ email công việc và mật khẩu truy cập của họ, do đó để lọt ra ngoài những thông tin quan trọng này. 
     

    Sống chung cùng malware
    “Tin tốt là việc phòng chống malware khá dễ dàng, nếu bạn sử dụng phần mềm chống virus và được cập nhật thường xuyên, dựng tường lửa, cập nhật các bản vá bảo mật kịp thời và sử dụng mật khẩu mạnh”, giám đốc bộ phận Điện toán đáng tin cậy của Microsoft, Tim Rains, cho biết. “Các kỹ thuật này có thể giúp chặn mọi cuộc tấn công hiểm hóc hiện tại và có lẽ cả tương lai gần”.
    Cũng như nhiều năm trước, các chuyên gia bảo mật gần đây vẫn thường khuyên dùng phần mềm bảo mật tin cậy, cập nhật hệ thống kịp thời và luôn có ý thức đảm bảo an toàn thông tin trong sử dụng. Đừng nhấp vào đường link trong những email nhận được ngoài mong muốn là điều người dùng cần ghi nhớ. 
    Lĩnh vực y tế cộng đồng cũng được các chuyên gia gợi ý đáng để học tập trong hoàn cảnh người dùng phải sống chung cùng malware. Chúng ta đã biết giữ vệ sinh bằng cách rửa tay và cách xa những thứ ảnh hưởng môi trường sống với nguồn nước uống, dù vậy vẫn bị cảm cúm như thường, và đôi khi dịch bệnh còn bùng phát. Nhưng thực tế cho thấy nếu có phản ứng nhanh chóng, có thể giảm tối đa số người bị chết và thiệt hại cho cộng đồng.
     

    PC World VN 01/2014
     

    ID: A1401_56