• Thứ Hai, 20/06/2005 16:24 (GMT+7)

    Rootkit - hiểm họa mới của Windows

    Những kiểu tấn công không mới, nhưng mang lại mối đe doạ mới cho PC dùng Windows.

    Những kiểu tấn công không mới, nhưng mang lại mối đe doạ mới cho PC dùng Windows.

    Theo Microsoft, một loại mã xấu thường thấy trên các máy tính chạy Unix bây giờ lại chuyển sang thế giới Windows với sức tấn công nhiều hơn và phức tạp hơn. Chương trình này giống như ngựa thành Troy, còn được gọi là rootkit, rất khó nhận diện và có thể cho hacker toàn quyền điều khiển PC nếu thâm nhập được. Đầu tiên, Microsoft cảnh báo về chúng tại hội nghị bảo mật vào tháng 2 đầu năm nay. Sau đó, công ty Sysinternals đưa ra một công cụ nhận diện rootkit gọi là RootkitRevealer và hãng viết phần mềm diệt virus F-Secure công bố bản beta Blacklight, cũng là 1 công cụ nhận diện và diệt rootkit mà hãng dự định sẽ phát triển thành bản chính thức nằm trong bộ sản phẩm bảo mật.

    Giống như các chương trình ngựa thành Troy, rootkit tự cài đặt bằng cách phát hiện những lỗ hổng bảo mật mạng của PC hoặc “trốn” trong e-mail hoặc các chương trình tải về. Chúng thường mở một “cửa hậu” cho các kẻ tấn công từ xa (thường là kẻ đánh cắp số thẻ tín dụng) qua kết nối băng rộng, hoặc đơn giản chỉ đe dọa. Nhưng không giống như ngựa thành Troy, rootkit xâm nhập HĐH ở mức sâu hơn, dùng các quyền bảo mật để ẩn mình.

    Nhận diện

    Giống như nhận diện virus và sâu, bẫy rootkit là một trò chơi “mèo vờn chuột”. Ngay sau khi F-Secure đưa ra Blacklight, tác giả của một rootkit tự xưng là Hacker Defender đưa ra 1 đoạn video minh họa một phiên bản rootkit mới, qua mặt cả Blacklight và vài công cụ phòng chống khác, trong đó có cả RootkitRevealer.

    Bởi vì rootkit có thể hoạt động với phần mềm gián điệp, virus và các chương trình có đoạn mã xấu khác, tạo ra một cuộc tấn công dạng “kết hợp” nên các công ty bảo mật đang “mài dũa” thêm công cụ để có thể nhận dạng chúng. Theo một chuyên gia, tìm ra được kỹ thuật mà rootkit sử dụng là một ý tưởng hay. Nhưng ông không nghĩ rằng việc xâm nhập của rootkit đang trên đà tăng trưởng và ông cho biết chỉ những ai không am hiểu nhiều về kỹ thuật thì mới cố tìm cách loại bỏ rootkit. Theo ông, cách trị rootkit chắc chắn nhất là quét toàn bộ ổ cứng và cài lại HĐH. Hãng F-Secure cũng đồng ý với ý kiến trên nhưng chỉ ra rằng Blacklight có thể xác định được tình huống để tạo bản dự phòng.

    Các công cụ nhận diện rootkit và chương trình phòng chống virus vẫn tiếp tục tìm cách ngăn chặn hacker. Hiện tại, các công cụ bảo mật chuẩn như một tường lửa tốt và công cụ chống virus được cập nhật vẫn là bức tường thành tốt nhất chống lại rootkit.

    PC World Mỹ 06/2005

    ID: A0506_20