Thứ Năm, 22 tháng 10, 2009

Tránh phần mềm độc hại cho Windows: Ngân hàng trên một đĩa Live CD

Avoid Windows Malware: Bank on a Live CD

By Brian Krebs | October 12, 2009; 2:00 PM ET

Theo: http://voices.washingtonpost.com/securityfix/2009/10/avoid_windows_malware_bank_on.html#more

Bài được đưa lên Internet ngày: 12/10/2009

Lời người dịch: Nếu bạn sử dụng Windows để tham gia các giao dịch ngân hàng trực tuyến, thì bạn đang có khả năng bị bọn tin tặc ăn cắp tiền đấy. Để tránh nó, Viện Công nghệ SAN, một tổ chức nghiên cứu và giáo dục về an ninh đã đưa ra kết luận rằng “Trong khi có nhiều tầng lớp bảo vệ mà các doanh nghiệp và ngân hàng có thể thực hiện, thì giải pháp rẻ nhất và người ngu tới đâu cũng có thể sử dụng được là hãy sử dụng một hệ điều hành có thể khởi động được và chỉ đọc, như là Knoppix hoặc Ubuntu. Xem báo cáo của SANS ở đây (bằng tiếng Anh, 75 trang)”. Vâng, như vậy là dù bạn có muốn sử dụng Windows thì vẫn cứ cần phải biết sử dụng GNU/Linux để bảo vệ chính túi tiền của bạn đó!

Một loạt các điều tra mà tôi đã từng viết về bọn tội phạm không gian mạng có tổ chức ăn cắp hàng triệu đô la từ các doanh nghiệp vừa và nhỏ đã nảy sinh ra một số câu trả lời từ các chủ doanh nghiệp mà họ đã quan tâm về cách làm thế nào để tự bảo vệ họ được tốt nhất từ dạng giả mạo này.

Đơn giản nhất, câu trả lời hiệu quả nhất về giá thành mà tôi biết ư? Đừng có sử dụng Microsoft Windows khi truy cập tài khoản ngân hàng trực tuyến của bạn.

Tôi không đưa ra khuyến cáo này một cách nhẹ nhàng (và ở cuối của bài viết này bạn sẽ thấy một đường liên kết tới một bài khác nơi tôi giải thích về một giải pháp thay thế dễ sử dụng). Nhưng tôi đã phỏng vấn hàng tá các nạn nhân là các công ty mà họ đánh mất từ khoảng 10,000 tới 500,000 USD vì một sự lây nhiễm phần mềm độc hại duy nhất. Tôi đã nghe những câu chuyện đáng giá về một kịch bản phim về vô số cách thức mà những cái móc không gian mạng xâm nhập gần như mỗi vật chướng an ninh mà các ngân hàng đặt lên trong con đường của chúng.

Nhưng bất chấp các phương pháp được sử dụng bởi ngân hàng hoặc các cái móc này, tất cả các cuộc tấn công đã chia sẻ một mẫu số chung duy nhất và không thể chối cãi được: chúng đã thành công vì những kẻ xấu đã có khả năng cấy các phần mềm độc hại mà đã cho chúng toàn quyền kiểm soát máy tính Windows của nạn nhân.

Vì sao hệ điều hành lại quan trọng? Thực tế tất cả các phần mềm độc hại ăn cắp dữ liệu hiện có hôm nay được xây dựng để tấn công các hệ thống Windows, và đơn giản là sẽ thất bại để chạy trên các máy tính không phải là Windows. Hơn nữa, phần mềm độc hại dựa trên Windows được sử dụng trong từng cuộc tấn công trực tuyến gần đây chống lại các doanh nghiệp là quá tinh vi phức tạp mà nó làm cho cực kỳ khó khăn đối với các ngân hàng để nói lên sự khác biệt giữa một giao dịch được khởi tạo bởi các khách hàng của họ và một tập hợp những dịch chuyển trong hoạt động của các tin tặc mà chúng đã tấn công máy tính cá nhân của các khách hàng.

An investigative series I've been writing about organized cyber crime gangs stealing millions of dollars from small to mid-sized businesses has generated more than a few responses from business owners who were concerned about how best to protect themselves from this type of fraud.

The simplest, most cost-effective answer I know of? Don't use Microsoft Windows when accessing your bank account online.

I do not offer this recommendation lightly (and at the end of this column you'll find a link to another column wherein I explain an easy-to-use alternative). But I have interviewed dozens of victim companies that lost anywhere from $10,000 to $500,000 dollars because of a single malware infection. I have heard stories worthy of a screenplay about the myriad ways cyber crooks are evading nearly every security obstacle the banks put in their way.

But regardless of the methods used by the bank or the crooks, all of the attacks shared a single, undeniable common denominator: They succeeded because the bad guys were able to plant malicious software that gave them complete control over the victim's Windows computer.

Why is the operating system important? Virtually all of the data-stealing malware in circulation today is built to attack Windows systems, and will simply fail to run on non-Windows computers. Also, the Windows-based malware employed in each of these recent online attacks against businesses was so sophisticated that it made it extremely difficult for banks to tell the difference between a transaction initiated by their customers and a transfer set in motion by hackers who had hijacked that customer's PC.

Cuộc thâm nhập không nổi tiếng hiện nay chống lại thành phố Bullitt, Ky. đã miêu tả cách mà bọn ăn cắp sử dụng phần mềm độc hại để thắng được 2 trong số những dòng chính của sự bảo vệ thường được các ngân hàng sử dụng để phá ngang một hoạt động không được xác thực. Nhiều ngân hàng đưa ra cho các khách hàng lựa chọn cho cái gọi là “kiểm tra đúp” - đòi hỏi ít nhất 2 nhân viên có thẩm quyền để ký lên bất kỳ giao dịch chuyển tiền nào. Trong cuộc tấn công đó, bọn trộm đã sử dụng các phần mềm độc hại được cấy vào hệ thống kho bạc để tự bổ sung thêm chúng một cách thành công như một người phê chuẩn có thẩm quyền của các giao dịch.

Các ngân hàng cũng thường theo dõi các địa chỉ Internet được sử dụng bởi các khách hàng của họ, và dựng lên các biện pháp an ninh bổ sung khi các khách hàng này truy cập các tài khoản trực tuyến của họ thông qua các địa chỉ hoặc máy tính không quen thuộc. Trong trường hợp của tỉnh Bullitt và ít nhất 3 nạn nhân khác mà tôi đã phỏng vấn trong 3 tháng qua, thì những kẻ tấn công đã sử dụng các phần mềm độc hại của chúng để định tuyến cho kết nối của chúng tới website của các ngân hàng bằng việc đi ngầm qua địa chỉ Internet và máy tính của riêng của người sử dụng.

Các phần mềm độc hại cũng đang giúp bọn trộm thắng được cái gọi là xác thực 2 yếu tố, mà nó thường liên quan tới việc yêu cầu các khách hàng của ngân hàng trực tuyến gõ vào thứ gì đó mà họ có để bổ sung cho tên và mật khẩu của họ, như là mã được sinh ra bởi một khóa mà nó tạo ra một con số mới có 6 chữ số mà nó thay đổi mỗi 30 giây một lần.

Trong vòng 2 tháng qua, tôi đã viết về hoàn cảnh của 2 công ty mà họ đã là những nạn nhân của sự giả mạo ngân hàng trực tuyến dù thực tế là các ngân hàng của họ đã yêu cầu sử dụng các thẻ token an ninh này.

David Johnston, chủ của Modesto, Calif. dựa trên Sign Designs, đã mất gần 100,000 USD hôm 23/07 vì phần mềm độc hại dựa trên Windows. Ngân hàng của Johnston yêu cầu các khách hàng gõ vào mã từ một thẻ token an ninh của Vasco. Nhưng bọn trộm - được trang bị bằng các phần mềm độc hại trên máy tính cá nhân của người kiểm soát của công ty - đã có khả năng chặn được một trong những mã số này khi người kiểm soát cố gắng đăng nhập, và sau đó gây trễ cho người kiểm tra đối với việc đăng nhập. Quả thực, Johnston đã nói là nhật ký máy tính của công ty này chỉ ra rằng người kiểm soát đã đăng nhập vào hệ thống trong khi một loạt bọn trộm cắp đã sẵn sàng trong quá trình.

The now-infamous hack against Bullitt County, Ky. illustrated how thieves use malware to defeat two of the major lines of defense commonly used by banks to thwart unauthorized activity. Many banks offer customers the option for so-called "dual controls" - requiring at least two authorized employees to sign off on any money transfers. In that attack, thieves used malware planted on the treasurer's system to effectively add themselves as an authorized approver of transactions.

Banks also often keep track of the Internet addresses used by their customers, and erect additional security measures when those customers access their online accounts via unfamiliar addresses or computers. In the case of Bullitt County and at least three other victims I've interviewed in the past three months, the attackers used their malicious software to route their connection to the bank's Web site by tunneling through the victim's own Internet address and computer.

Malicious software also is helping thieves defeat so-called two-factor authentication, which generally involves requiring online banking customers to enter something they have in addition to their user name and password, such as the code generated by a key fob that creates a new, six-digit number that changes every 30 seconds.

Over the past two months, I wrote about the plight of two companies that were victims of online bank fraud despite the fact that their banks required the use of these security tokens.

David Johnston, owner of Modesto, Calif. based Sign Designs, lost nearly $100,000 on July 23 due to Windows-based malware. Johnston's bank requires customers to enter the code from a Vasco security token. But the thieves - armed with malware on the company controller's PC - were able to intercept one of those codes when the controller tried to log in, and then delay the controller from logging in. Indeed, Johnston said the company's computer logs show that the controller logged into the system while the series of thefts was already in progress.

Bọn ăn cắp đã sử dụng cùng tiếp cận để cướp 447,000 USD từ hãng Ferma, một hãng tại Santa Maria, Calif. mà ngân hàng của hãng này cũng đã yêu cầu các khách hàng gõ vào một mã từ một thẻ token an ninh.

Tôi không là người duy nhất khuyến cáo các khách hàng sử dụng ngân hàng trực tuyến thương mại xem xét việc truy cập các tài khoản của họ chỉ từ các hệ thống không phải Windows. Trung tâm Chia sẻ và Phân tích Thông tin Dịch vụ Tài chính (FS-ISAC) - một nhóm các nhà công nghiệp được hỗ trợ bởi một số ngân hàng lớn nhất thế giới - gần đây đã phát hành các chỉ dẫn hối thúc các doanh nghiệp triển khai tất cả các hoạt động ngân hàng trực tuyến từ “một hệ thống máy tính đứng riêng, được tăng cường và hoàn toàn được khóa khỏi những nơi mà các thư điện tử và việc duyệt web thông thường là không thể thực hiện được”.

Trong sự phản ứng trực tiếp đối với loạt bài được báo cáo và xuất bản này của Security Fix, Viện Công nghệ SAN, một tổ chức nghiên cứu và giáo dục về an ninh, đã thách thức các học sinh của mình bằng việc tạo ra một tờ giấy trắng để xác định các phương pháp có hiệu quả nhất cho các doanh nghiệp vừa và nhỏ để làm dịu bớt mối đe doạ từ những dạng tấn công này. Kết luận của họ ư? Trong khi có nhiều tầng lớp bảo vệ mà các doanh nghiệp và ngân hàng có thể thực hiện, thì giải pháp rẻ nhất và người ngu tới đâu cũng có thể sử dụng được là hãy sử dụng một hệ điều hành có thể khởi động được và chỉ đọc, như là Knoppix hoặc Ubuntu. Xem báo cáo của SANS ở đây (bằng tiếng Anh, 75 trang).

Được biết tới như là “các đĩa Live CD”, những thứ này thường là các hệ điều hành tự do, dựa trên Linux mà một người có thể tải về và đốt vào một CD-ROM. Vẻ đẹp của những phát tán Live CD là việc chúng có thể được sử dụng để biến một máy tính cá nhân dựa trên Windows thành một máy tính Linux một cách tạm thời, vì Live CD cho phép người sử dụng khởi động trong một hệ điều hành Linux mà không cần cài đặt bất kỳ thứ gì lên đĩa vứng. Các chương trình trên một LiveCD sẽ được tải vào bộ nhớ hệ thống, và bất kỳ thay đổi nào - như lịch sử việc duyệt [web] hoặc các hoạt động khác - sẽ hoàn toàn bị quét sạch sau khi máy được tắt. Để quay về với Windows, chỉ đơn giản loại bỏ đĩa LiveCD khỏi ổ và khởi động lại.

Thieves used the same approach to steal $447,000 from Ferma Corp., a demolition firm in Santa Maria, Calif. whose bank also required customers to enter a code from a security token.

I'm not the only one recommending commercial online banking customers consider accessing their accounts solely from non-Windows systems. The Financial Services Information Sharing and Analysis Center (FS-ISAC) - a industry group supported by some of the world's largest banks -- recently issued guidelines urging businesses to carry out all online banking activities form "a stand-alone, hardened and completely locked down computer system from where regular e-mail and Web browsing is not possible."

In direct response to this series reported and published by Security Fix, the SANS Technology Institute, a security research and education organization, challenged its students with creating a white paper to determine the most effective methods for small and mid-sized businesses to mitigate the threat from these types of attacks. Their conclusion? While there are multiple layers that of protection that businesses and banks could put in place, the cheapest and most foolproof solution is to use a read-only, bootable operating system, such as Knoppix, or Ubuntu. See the SANS report here (PDF).

Also known as "Live CDs," these are generally free, Linux-based operating systems that one can download and burn to a CD-Rom. The beauty of Live CD distributions is that they can be used to turn a Windows-based PC temporarily into a Linux computer, as Live CDs allow the user to boot into a Linux operating system without installing anything to the hard drive. Programs on a LiveCD are loaded into system memory, and any changes - such as browsing history or other activity -- are compeltely wiped away after the machine is shut down. To return to Windows, simply remove the Live CD from the drive and reboot.

Quan trọng hơn, phần mềm độc hại mà được xây dựng để ăn cắp các dữ liệu từ các hệ thống dựa trên Windows sẽ không tải hoặc làm việc được khi người sử dụng đang khởi động từ một đĩa LiveCD. Đơn giản: ngay cả nếu cài đặt Windows trên ổ đĩa cứng hoàn toàn bị hỏng với một con virus hoặc Trojan khi gõ để đăng nhập, thì phần mềm độc hại đó cũng không thể vồ được những ủy quyền ngân hàng của nạn nhân nếu người sử dụng đó chỉ truyền sự ủy quyền của anh/chị đó sau khi khởi động xong trong một trong các đĩa LiveCD này.

Arc of Steuben, một tổ chức phi lợi nhuận có trụ sở ở New York mà nó cung cấp dịch vụ chăm sóc cho người lớn tuổi khuyết tật, đã áp dụng khuyến cáo này trong tâm. Vào tháng 9, tôi đã viết cách mà bọn ăn cắp đã sử dụng các phần mềm độc hại để cướp đi gần 200,000 USD từ tổ chức này. Kể từ đó, tổ chức này đã hạn chế sự truy cập tới tài khoản ngân hàng trực tuyến của mình tới một hệ thống Linux trên mạng của mình, theo một báo cáo hôm 01/10 trên một tờ báo địa phương Star Gazette.

“Tôi có thể khuyến cáo một cách mạnh mẽ việc xem xét bất kỳ hệ thống nào mà bạn đang sử dụng nếu bạn đang làm ngân hàng điện tử”, Gazette này trích dẫn lời của Bernie Burns, giám đốc điều hành của Arc. “Và nếu đây là một hệ thống Windows, thì có lẽ hãy xem xét tới thứ gì đó khác”.

Tất nhiên, một máy Mac cũng có thể làm việc tốt, nhưng sự tập trung ở đây là vào những người sử dụng Windows, những người có thể tìm kiếm một cách rẻ tiền để tăng cường cho thiết lập hiện đang tồn tại của họ để tránh các phần mềm độc hại.

Nếu bạn chưa từng sử dụng một đĩa LiveCD và có quan tâm trong việc học cách sử dụng, hoặc nếu bạn chỉ muốn lấy một hệ điều hành Linux cho một ổ thử nghiệm, hãy kiểm tra sách hướng dẫn của tôi về chủ đề này ở đây.

More importantly, malware that is built to steal data from Windows-based systems won't load or work when the user is booting from LiveCD. Put simply: even if the Windows installation on the underlying hard drive is completely corrupted with a keystroke-logging virus or Trojan, that malware can't capture the victim's banking credentials if that user only transmits his or her credentials after booting up into one of these Live CDs.

The Arc of Steuben, a Bath N.Y.-based not-for-profit that provides care for developmentally disabled adults, has taken this advice to heart. In September, I wrote about how thieves had used malware to steal nearly $200,000 from the organization. Since then, the organization has restricted access to its online bank account to a Linux system on its network, according to an Oct. 1 report in the local Star Gazette.

"I would strongly recommend looking at whatever systems you're using if you're doing electronic banking," the Gazette quotes Bernie Burns, the Arc's executive director. "And if it is a Microsoft system, perhaps looking at something different."

Of course, a Mac computer would probably work just as well, but the focus here is on Windows users who may be looking for a cheap way to harden their existing setup to avoid malicious software.

If you've never used a Live CD and are interested in learning how, or if you just want to take a Linux operating system for a test drive, check out my tutorial on this topic here.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com


Không có nhận xét nào:

Đăng nhận xét

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.