• Thứ Tư, 05/04/2006 16:19 (GMT+7)

    Máy tính bị oan?

    Có một dạng virus (máy tính) có khả năng biến máy tính bị lây nhiễm thành nguồn phát tán spam hay phát động tấn công mục tiêu nào đó (website). Máy tính của bạn có khả năng đã bị nhiễm dạng virus này.

    Tôi nhận được thông báo từ quản trị website Unicom (unicom.com.vn) và Tam Coc - Bich Dong (tamcocbichdong.com.vn) là website của họ bị "hack" và xuất phát từ địa chỉ IP máy tính (MT) của tôi. Tôi sử dụng dịch vụ ADSL của FPT, IP cấp phát động. Trong thời gian qua tôi có truy cập hai website này nhưng hoàn toàn không hack gì website của họ.

    Theo quản trị 2 website trên, họ đã nhờ FPT Internet kiểm tra và phát hiện tài khoản truy cập của tôi. Tôi cũng vừa nhận được thông báo của FPT Internet về việc phát tán virus khá nặng từ MT của mình. Xin hỏi có khi nào hacker sử dụng IP của tôi để tấn công không? Mong nhận được giải thích từ phía TGVT.
    (diepnh1982@yahoo.co.uk)


    Có một dạng virus có khả năng biến MT bị lây nhiễm thành nguồn phát tán spam hay phát động tấn công mục tiêu nào đó (website). MT của bạn có thể đã bị nhiễm dạng virus này.

    Theo thuật ngữ bảo mật, MT bị nhiễm dạng virus trên được gọi là "zombie". Khác với zombie - thây ma - trên phim ảnh có thể dễ dàng nhận biết bởi bộ dạng gớm ghiếc, MT zombie là kẻ "đâm thọc" thầm lặng. Người dùng MT có kết nối Internet mà không có sự phòng vệ đúng mực có thể không nhận biết MT của mình là một Zombie cho đến khi nó gây phiền toái cho người khác và cả chính khổ chủ.

    Virus dạng này có thể ẩn nấp trong các file đính kèm email hay trong các file nhạc, video và các dạng file khác mà người dùng tải về từ trên mạng hay thậm chí trong dữ liệu trên website bị lây nhiễm. Tội phạm MT đang chuyển hướng sang dạng virus này và tình trạng MT bị biến thành zombie đang trở nên nghiêm trọng. Theo một thống kê gần đây, lượng spam gửi từ các MT zombie đã có sự gia tăng đáng kể, chiếm hơn phân nửa tổng số spam.

    Các MT gia đình có nguy cơ bị biến thành zombie rất cao vì thường ít được bảo vệ chống virus. Với các MT gia đình cấu hình mạnh, dùng kết nối Internet tốc độ cao (ADSL) thì tác hại thật khó lường bởi tập hợp các zombie này có thể thực hiện tấn công DDoS làm tê liệt hàng loạt website hay thậm chí cả mạng Internet.

       

    Để kết luận chính xác, cần kiểm tra cụ thể hệ thống bị hack, hệ thống của nhđ cung cấp dịch vụ vđ my tnh của người bị tnh nghi. Tuy nhiân nếu thực sự bạn khĩng lđ thủ phạm của sự việc kể trân, th cỉ thể cỉ 2 giả thiết sau cho việc địa chỉ IP của bạn để lại trân "hiện trường" của vụ hack:
    1. Hacker chiếm được quyền điều khiển my tnh của bạn bằng 1 cch nđo đỉ, v dụ cỉ thể do ly nhiễm virus hay spyware, sau đỉ virus hay spyware nđy cđi đặt trân my 1 backdoor cỉ nhiệm vụ mở cổng để hacker cỉ thể điều khiển my tnh của bạn. Khi đỉ, hacker cỉ thể lđm mọi việc từ chnh my tnh của bạn, vđ nếu như hacker cỉ hack vđo 1 website nđo đỉ th "dấu vết hiện trường" sẽ chnh lđ địa chỉ IP my của bạn.
    2. Hacker giả mạo địa chỉ IP sao cho địa chỉ IP của my dăng để tiến hđnh việc hack sẽ biến thđnh địa chỉ IP trân my tnh của bạn.
    Nguyễn Tử Quảng
    (QuangNT@bkav.com.vn)
    gim đốc Trung Tm An Ninh Mạng
    ĐH Bách Khoa Hà Nội (BKIS)

     

    Dĩ nhiên nhà cung cấp dịch vụ Internet (ISP) có một số biện pháp kỹ thuật ngăn chặn tấn công từ các MT zombie như firewall hay biện pháp cứng rắn là khoá tài khoản của người dùng có MT bị biến thành zombie (người dùng có thể bị "oan" nhưng... phải trả giá vì đã không có biện pháp phòng vệ thích hợp).

    Ở đây, trách nhiệm chính từ phía người dùng. Họ phải có ý thức và biện pháp phòng vệ MT của mình, đặc biệt là khi MT kết nối Internet tốc độ cao để không gây phiền toái cho cộng đồng mạng và cả chính mình. Một số biện pháp bảo vệ cơ bản mà bạn có thể thực hiện:

    • Sử dụng firewall để bảo vệ MT khi kết nối Internet.

    • Cập nhật thường xuyên các bản vá bảo mật và chương trình chống virus

    • Cẩn thận với các file đính kèm email và file tải về từ mạng (đặc biệt là các phần mềm miễn phí).

    Trong trận chiến chống lại zombie, gần đây Microsoft đã phối hợp cùng các hiệp hội người dùng tại Mỹ lập website OnGuardOnline.gov cung cấp thông tin và hướng dẫn người dùng tự bảo vệ MT khỏi các mối hiểm hoạ trên mạng. Ngoài ra, bạn cũng thể tìm đọc các bài viết về bảo mật trên tạp chí TGVT (www.pcworld.com.vn).

    KIỂM TRA MT CÓ PHẢI LÀ ZOMBIE KHÔNG?  
     

    Cách đơn giản và nhanh để kiểm tra MT xem có bị biến thành zombie hay không là sử dụng công cụ netstat. Công cụ này có sẵn trên Windows, Unix/Linux và Mac OS X.
    Nestat (Network State) là công cụ hữu ích dùng để hiển thị thông tin về các kết nối mạng của MT. Nếu MT bị nhiễm virus và biến thành zombie, nó sẽ có những kết nối mạng bất thường. Ví dụ, khi virus Netspy sử dụng kết nối mạng TCP ở cổng 1024, netstat giúp bạn phát hiện với thông báo như sau:

     
        Proto     Local Address     Foreign Address     State    
        TCP     numa:1024     evil.foo.com     established    
     

    Bạn có thể xem danh sách các cổng tương ứng với các loại virus tại http://www.doshelp.com/Ports/Trojan_Ports.htm.
    Để biết chi tiết về cách dùng netstat, gõ "netstat /?" trong cửa sổ lệnh trong Windows, hay "man netstat" trong Unix/Linux.


    Thanh Phong thực hiện

    ID: B0604_5