Liệu Windows có thể giết chết Internet?

Can Windows kill the Internet?

Steven J. Vaughan-Nichols, Cyber Cynic

July 19, 2010 - 2:42 P.M.

Theo: http://blogs.computerworld.com/16559/can_windows_kill_the_internet

Bài được đưa lên Internet ngày: 19/07/2010

Lời người dịch: Tác giả viết về phần mềm độc hại LNK của Windows: “Một khi có mặt, một phần mềm độc hại dựa trên LNK có thể làm khá nhiều thứ mà nó muốn đối với máy tính cá nhân Windows của bạn – gửi cho ai đó số thẻ tín dụng của bạn, đánh gục máy tính của bạn, bất kỳ thứ gì. Hoặc, và điều này là nơi mà nó còn là nguy hiểm hơn, nó có thể được sử dụng để chiếm quyền hoặc hạ đo ván các hệ thống kiểm soát SCADA (kiểm soát giám sát và thu thập dữ liệu – Supervisory Control And Data Acquisition) được sử dụng để kiểm soát máy móc công nghiệp trong các nhà máy và xí nghiệp điện. Nói ngắn gọn, đây là phần mềm mà có thể sử dụng Windows không chỉ để khai thác những người sử dụng Windows, mà để ủy thác gián điệp hoặc chiến tranh không gian mạng. Ngay cả Microsoft cũng lo lắng đủ về chỗ bị tổn thương này rằng đám người từ Redmond đã nói, “Bất kỳ ai được tin tưởng bị ảnh hưởng bởi vấn đề này … nên liên hệ với có quan tăng cường pháp luật quốc gia tại quốc gia mình”. Vì thế, bạn có thể làm gì về điều này nhỉ? Không nhiều. Bạn có thể thử những cách khắc phục được Microsoft khuyến cáo, nhưng, như Chester Wisniewksi, một nhà tư vấn kỳ cựu về an ninh của Sophos, đã chỉ ra, việc tắt những biểu tượng phím tắt là “rất không thực tế cho hầu hết các môi trường. Trong khi đó có thể chắc chắn giải quyết được vấn đề này, cũng có thể gây ra sự lúng túng khổng lồ trong số nhiều người sử dụng và có thể không đáng để hỗ trợ các cuộc gọi”. Wisniewksi đã bổ sung rằng gợi ý khác của Microsoft, vô hiệu hóa WebClient, có thể là một giải pháp cho mọi người mà không sử dụng Microsoft SharePoint, nhưng nhiều tổ chức lại dựa vào SharePoint nên điều này cũng đang hạn chế. Ngắn gọn, vô phương cứu chữa. Cuộc tấn công này là sự tồi tệ mà nó có thể có, và 'các cách chữa' mà chúng ta có bây giờ có thể còn tồi tệ hơn cả các căn bệnh. Tất nhiên, trừ phi, hóa ra là sự lựa chọn thay thế thực ra là để làm cho bản thân Internet có hương vị và đối với các nhà máy sẽ bị im lìm bởi sự khai thác vũ khí hủy diệt hàng loạt Windows này”.

Từ lâu tôi có ý nghĩa rằng một ngày nào đó các vấn đề về an ninh của Windows có thể làm rối tung Internet đối với mỗi người.

Ngày đó có lẽ đang tới.

Không chỉ tôi hoang tưởng về Windows. Chính Trung tâm Bão Internet ISC, nhóm mà theo dõi toàn bộ sức khỏe của Internet. Họ nghi ngờ liệu khai thác mới được phát hiện “LNK” có thể được sử dụng để đóng những cái phanh lên giao thông tốc độ cao của Internet hay không.

Theo Lenny Zeltser, một nhà tư vấn về an ninh của ISC, thì ISC đã quyết định nâng mức Infocon lên màu Da cam để ra tăng nhận thức về chỗ bị tổn thương gần đây của LNK và để giúp nhắc nhở về một vấn đề chính gây ra từ sự khai thác của nó. Mặc dù chúng ta đã không quan sát được chỗ bị tổn thương bị khai thác nằm ngoài các cuộc tấn công có chủ đích ban đầu, thì chúng ta tin tưởng vào sự khai thác ở phạm vi rộng chỉ là vấn đề của thời gian. Sự khai thác theo kiểu chứng minh khái niệm này là sẵn sàng một cách công khai, và vấn đề là không dễ dàng để sửa cho tới khi Microsoft đưa ra được một bản vá. Hơn nữa, khả năng của các công cụ chống virus để dò tìm ra những phiên bản chung của sự khai thác này đã không có hiệu quả cho tới nay.

Chỗ bị tổn thương LNK là một lỗ hổng an ninh nhỏ đáng ghét mà nó hiện diện trong tất cả các phiên bản của Windows từ Windows 2000 trở đi. Bây giờ có hàng loạt các chương trình tấn công mà có thể sử dụng một tệp độc hại dạng phím tắt, được xác định bởi phần mở rộng tệp “.ink”, để tự động chạy phần mềm độc hại. Tất cả những gì mà người sử dụng phải làm là xem nội dung của một thư mục có chứa phím tắt bị lây nhiễm, và, ta-da, chương trình sẽ trút sự tàn phá.

Những phiên bản sớm của cuộc tấn công đòi hỏi người sử dụng phải cắm vào một khóa USB với phần mềm độc hại. Nếu điều đó còn được yêu cầu, thì có thẻ là một vấn đề nhỏ. Tuy nhiên, bây giờ những khai thác đang tồn tại mà có thể tung ra các cuộc tấn công qua chia sẻ tệp SMB (Khối Thông điệp Máy chủ) và các dịch vụ WebClient của Windows. Trong khi thường được sử dụng qua một mạng cục bộ LAN, thì những dịch vụ này cũng có thể được sử dụng qua Internet. Và tất nhiên, các phương pháp lan truyền virus dạng thôi – thử – thật như vậy như việc gửi đi một tệp LNK qua một thông điệp tức thì IM hoặc trong một thư điện tử cũng sẽ lan truyền nó được.

I've long thought that someday Windows' security problems could foul up the Internet for everyone. That day may be arriving.

It's not just me being paranoid about Windows. It's the ISC (Internet Storm Center), the group that tracks the overall health of the Internet. They're wondering whether the newly discovered "LNK" exploit might be used to slam the brakes on the Internet's high-speed traffic.

According to Lenny Zeltser, an ISC security consultant, the ISC has

decided to raise the Infocon level to Yellow to increase awareness of the recent LNK vulnerability and to help preempt a major issue resulting from its exploitation. Although we have not observed the vulnerability exploited beyond the original targeted attacks, we believe wide-scale exploitation is only a matter of time. The proof-of-concept exploit is publicly available, and the issue is not easy to fix until Microsoft issues a patch. Furthermore, anti-virus tools' ability to detect generic versions of the exploit have not been very effective so far.

The LNK vulnerability is an obnoxious little security hole that's present in all versions of Windows from Windows 2000 on up. There are now numerous attack programs that can use a malicious shortcut file, identified by the ".lnk" extension, to automatically run malware. All a user has to do is view the contents of a folder containing the infected shortcut, and, ta-da, the program is wreaking havoc.

Early versions of the attack required users to plug in a USB key with the malicious software. If that were still required, this would be a minor problem. Now, however, exploits exist that can launch attacks over SMB (Server Message Block) file shares and Windows' WebClient services. While often used over a LAN, these services can also be used over the Internet. And, of course, such tried-and-true-virus-spreading methods as sending a LNK file over an IM (instant message) or in an e-mail will also spread it.

Một khi có mặt, một phần mềm độc hại dựa trên LNK có thể làm khá nhiều thứ mà nó muốn đối với máy tính cá nhân Windows của bạn – gửi cho ai đó số thẻ tín dụng của bạn, đánh gục máy tính của bạn, bất kỳ thứ gì. Hoặc, và điều này là nơi mà nó còn là nguy hiểm hơn, nó có thể được sử dụng để chiếm quyền hoặc hạ đo ván các hệ thống kiểm soát SCADA (kiểm soát giám sát và thu thập dữ liệu – Supervisory Control And Data Acquisition) được sử dụng để kiểm soát máy móc công nghiệp trong các nhà máy và xí nghiệp điện. Nói ngắn gọn, đây là phần mềm mà có thể sử dụng Windows không chỉ để khai thác những người sử dụng Windows, mà để ủy thác gián điệp hoặc chiến tranh không gian mạng.

Ngay cả Microsoft cũng lo lắng đủ về chỗ bị tổn thương này rằng đám người từ Redmond đã nói, “Bất kỳ ai được tin tưởng bị ảnh hưởng bởi vấn đề này … nên liên hệ với có quan tăng cường pháp luật quốc gia tại quốc gia mình”.

Vì thế, bạn có thể làm gì về điều này nhỉ? Không nhiều. Bạn có thể thử những cách khắc phục được Microsoft khuyến cáo, nhưng, như Chester Wisniewksi, một nhà tư vấn kỳ cựu về an ninh của Sophos, đã chỉ ra, việc tắt những biểu tượng phím tắt là “rất không thực tế cho hầu hết các môi trường. Trong khi đó có thể chắc chắn giải quyết được vấn đề này, cũng có thể gây ra sự lúng túng khổng lồ trong số nhiều người sử dụng và có thể không đáng để hỗ trợ các cuộc gọi”. Wisniewksi đã bổ sung rằng gợi ý khác của Microsoft, vô hiệu hóa WebClient, có thể là một giải pháp cho mọi người mà không sử dụng Microsoft SharePoint, nhưng nhiều tổ chức lại dựa vào SharePoint nên điều này cũng đang hạn chế.

Ngắn gọn, vô phương cứu chữa. Cuộc tấn công này là sự tồi tệ mà nó có thể có, và 'các cách chữa' mà chúng ta có bây giờ có thể còn tồi tệ hơn cả các căn bệnh. Tất nhiên, trừ phi, hóa ra là sự lựa chọn thay thế thực ra là để làm cho bản thân Internet có hương vị và đối với các nhà máy sẽ bị im lìm bởi sự khai thác vũ khí hủy diệt hàng loạt Windows này.

Once in place, a LNK-based malware can do pretty much anything it wants to your Windows PCs -- send someone your credit-card numbers, zap your system, whatever. Or, and this is where it gets even more dangerous, it could be used to take over or knock out SCADA (supervisory control and data acquisition) control systems used to control industrial machinery in power plants and factories. In short, this is software that can use Windows not just to exploit Windows users, but to commit cyber-episonage or warfare.

Even Microsoft is worried enough about this vulnerability that the guys from Redmond said, "Anyone believed to have been affected by this issue ... should contact the national law enforcement agency in their country."

So, what can you do about it? Not a lot. You can try Microsoft's recommended work-arounds, but, as Chester Wisniewski, a senior security advisor with Sophos, pointed out, turning off icons for shortcuts is "highly impractical for most environments. While it would certainly solve the problem, it would also cause mass confusion among many users and might not be worth the support calls." Wisniewksi added that Microsoft's other suggestion, disabling WebClient, may be a solution for people who don't use Microsoft SharePoint, but many organizations rely on SharePoint so this is limiting as well.

In short, there's no cure. The attack is about as nasty as it can get, and the 'cures' that we have now may be worse than the diseases. Unless, of course, it turns out the alternative really is to have the Internet itself get smacked around and for factories to be stilled by this Windows exploit of mass destruction.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com