2010/12/23

An Ninh Vi Tính: Phòng chống vi-rút/spyware

Ban Biên Tập No Firewall

2010/12/23


Virút khác với spyware như thế nào ?


Trong thời buổi ban đầu của máy vi tính, có những tay hacker mày mò soạn thảo những nhu liệu có đặc tính “lây lan” từ máy này qua máy khác y hệt như các con vi-rút của bệnh cảm cúm lây từ người này sang người khác.  Vì vậy người ta đặt tên cho loại nhu liệu này vi-rút cho dễ hiểu. Có loại vi-rút hiền chẳng phá phách gì mà chỉ hiện ra vài dòng chữ khoe khoang cho vui. Có loại dữ dằn như HIV/AIDS xóa sạch hồ sơ, hủy hoại hệ điều hành làm máy liệt luôn. Ở thời buổi đó niềm tự hào của mấy tay hacker là soạn vi-rút sao cho ngon lành, lây lan thật nhiều, thật lẹ, qua mặt được các nhu liệu phòng chống vi-rút. Phá phách thật dữ dằn khiến cho thiên hạ khiếp sợ.

Nhưng rồi thời đó cũng qua. Thay vì phá làng phá xóm chẳng lợi lộc gì thì tại sao không tìm cách thủ lợi? Với ý nghĩ đó, đám tin tặc thảo khấu nghĩ ra những loại nhu liệu cài cắm, xâm nhập vào máy vi tính của người dùng để rình rập, đánh cắp login/password của nhà băng, đánh cắp tài liệu đem bán, biến máy vi tính thành những con zombie đi tấn công người khác (để thâu tiền tương tự như du đãng thâu tiền đâm thuê chém mướn), v.v… Người ta gọi chung loại nhu liệu này là spyware (nhu liệu dọ thám).  Do đó ngoài các nhu liệu phòng chống vi-rút, chúng ta còn nghe đến loại nhu liệu phòng chống dọ thám (anti-spyware software).

Cho đến thời gian gần đây thì giới an ninh vi tính có chiều hướng gọi chung tất cả các loại vi-rút, spyware là malware, tức là nhu liệu độc hại. Ở Việt Nam có người gọi là mã độc (mã = programming/software code).  Thành ra nếu nghe đến nhu liệu chống mã độc (anti-malware) thì ta hiểu là bao gồm cả nhu liệu chống vi-rút và spyware.

Vận hành của nhu liệu chống mã độc

Tất cả các nhu liệu chống mã độc đều theo một phương pháp rất căn bản, đó là dựa vào dấu tay của mã độc để phát hiện. Mỗi loại vi-rút, spyware đều có một dấu tay (fingerprint) hay chữ ký (signature) đặc thù. Nhu liệu chống mã độc có một danh sách thật dài toàn bộ các loại vi-rút, spyware đang lưu hành trên thị trường.  Khi dò trong máy tính nếu phát hiện ra nhu liệu nào có cùng dấu tay/chữ ký giống như trong danh sách thì nhu liệu đó là chính là nhu liệu độc hại.

Vì phải dựa vào dấu tay để phát hiện do đó các công ty soạn thảo nhu liệu chống mã độc phải thường xuyên theo dõi để phát hiện ra những loại mã độc mới, chụp bắt nó, phân tích nó để cho ra dấu tay/chữ ký đặc thù của nó, rồi cuối cùng là cập nhật danh sách để từ đó trở đi nhu liệu chống mã độc mới có thể nhận diện loại mã độc mới này.  Đó là tại sao chúng ta phải cho nhu liệu chống mã độc cập nhật thường xuyên (hàng ngày, hàng giờ) danh sách vi-rút/spyware.

Từ phần trình bày trên chúng ta rút ra được một số kết luận

•    Trong cuộc chạy đua giữa đám tin tặc chế tạo mã độc và các công ty soạn nhu liệu phòng chống thì tin tặc luôn dẫn đầu, công ty phòng chống … chạy theo sau một khoảng. Để chế ra một mã độc mới với dấu tay mới, tin tặc chỉ cần sửa chỗ này một chút, điều chỉnh chỗ kia một chút là xong. Trong khi đó các công ty không thể nào biết là có sự hiện hữu của mã độc mới cho tới khi phát hiện ra bằng cách nào đó. Rồi phải mất thêm một ít thời gian để phân chất và cập nhật danh sách mã độc. Đây chính là một cuộc chạy đua mà nhu liệu phòng chống mã độc lúc nào cũng đứng hạng nhì.

•    Từ điều bên trên chúng ta phải ý thức ra là luôn luôn có một số mã độc mới có thể xâm nhập, nhiễm vào máy mình mà nhu liệu phòng chống mã độc chưa thể nhận diện ra được. Điều này lại càng rất có thể xảy ra vì  chúng ta là đích nhắm của tin tặc VC. Do đó chúng ta không thể chủ quan cho là máy đã có trang bị nhu liệu chống vi-rút loại tốt rồi thành ra tha hồ mở bất cứ attachment nào ra coi cũng được, cho chạy thử bất cứ nhu liệu gì ai gửi cho.  Nhu liệu phòng chống mã độc trong máy tuy là một thứ áo giáp nhưng nó không bảo vệ trọn vẹn 100% máy được.

Các công ty soạn nhu liệu chống mã độc biết điều này thành ra họ đang thêm một đặc tính mới. Đó là nhận diện mã độc qua việc quan sát cách hành xử (behavior-based detection). Nếu có một tên bước vô tiệm, mặt mày lấm lét, cặp mắt láo liên, tướng mạo dữ dằn, tay thọc túi quần đi tới đi lui …. với cách hành xử đó thì chủ tiệm sẽ nghi là đầu trộm đuôi cướp. Nhận diện mã độc qua cách hành xử cũng tương tự. Nhu liệu nào vào máy mà làm những việc không khác gì với các thứ mã độc khác thì nhiều phần cũng là mã độc luôn. Phương pháp phát hiện qua cách hành xử này còn mới và chưa hoàn hảo. Nhưng đó là hướng hứa hẹn tương lai.

Dùng nhu liệu phòng chống mã độc nào ?

Nếu được thì nên trang bị trong máy một trong những bộ nhu liệu an ninh (security suite) thuộc loại thương mãi trên thị trường: Norton, ZoneAlarm, Kaspersky, BitDefender, v.v…. Các bộ nhu liệu này ngoài việc phòng chống mã độc, còn có thêm những chức năng khác như tường lửa cá nhân (personal firewall), chống spam, chống phishing.  Phí tổn của các loại nhu liệu này là $20-$50 một năm. Có khi một bản quyền dùng được trên 3 máy.

Nếu không có điều kiện để dùng nhu liệu thương mãi thì nên dùng bộ nhu liệu miễn phí của Microsoft gọi là Microsoft Security Essentials: http://www.microsoft.com/security_essentials/
Trong các loại miễn phí như AVG, AVAST thì Microsoft SE được đánh giá cao.

 Lời kết


Tuy vi-rút/spyware là mối đe dọa thường trực và nhất là những loại mã độc mới ra thì chưa có nhu liệu an ninh nào nhận diện ra được, chúng ta vẫn có thể phòng chống mã độc một cách hữu hiệu, vẫn có thể làm giảm sác xuất bị nhiễm độc xuống mức thấp nhất bằng cách theo hướng dẫn trong loạt bài này. Đối với người sử dụng Microsoft Windows có nghĩa là: dùng hệ điều hành mới nhất (Win7), thường xuyên cập nhật Windows, dùng trương mục thường (standard user account), trang bị bộ nhu liệu chống mã độc, và luôn cẩn thận trong cách sử dụng, dùng email, lướt mạng thường ngày.

Đề Nghị:

•    Trang bị cho mỗi máy vi tính một bộ nhu liệu an ninh (security suite) loại thương mãi.
•    Nếu dùng loại miễn phí thì dùng Microsoft Security Essentials
•    Điều chỉnh nhu liệu an ninh để nó tự động cập nhật theo chu kỳ càng sớm càng tốt (mỗi ngày, mỗi 12 tiếng, mỗi 6 tiếng, v.v…)
•    Không bao giờ chủ quan, ỷ lại vào sự có mặt của nhu liệu an ninh trong máy để rồi sử dụng máy, dùng email, lướt mạng một cách cẩu thả, không an toàn.

Danh sách các nhu liệu phòng chống mã độc. 

No comments:

Post a Comment