Tìm phần mềm độc hại ư? Hãy tìm đồ khiêu dâm

Looking for malware? Search for porn

By Peter Bright | Last updated

Theo: http://arstechnica.com/security/news/2011/04/2010-in-malware-business-is-booming.ars

Bài được đưa lên Internet ngày: 06/04/2011

Lời người dịch: Symantec vừa đưa ra báo cáo thường niên về phần mềm độc hại năm 2010 với hơn 3 tỷ cuộc tấn công bằng phần mềm độc hại từ 286 triệu biến thể phần mềm độc hại và điều đáng buồn là một kết luận rằng việc cập nhật các bản vá lỗi của người sử dụng là vô nghĩa, khi mà số lỗi ngày số 0 là nhiều, như của trình duyệt web Microsoft Internet Explorer và hệ điều hành Microsoft Windows.

Symantec đã dò tìm ra hơn 3 tỷ cuộc tấn công bằng phần mềm độc hại từ 286 triệu biến thể phần mềm độc hại vào năm ngoái, theo Báo cáo về Đe dọa An ninh Internet thường niên phiên bản 2010, được xuất bản vào hôm nay. Các cuộc tấn công dựa vào web đã tăng 93% vào năm 2009, và bạn hầu như chắc sẽ đi qua một website độc hại nếu bạn từng tìm đồ khiêu dân; 49% các site độc hại được thấy thông qua các tìm kiếm web là đồ khiêu dâm.

Tổng thể, báo cáo vẽ lên một bức tranh tàn nhẫn về các mối đe dọa trên Internet. Những thiếu sót về phần mềm là thừa thãi. Trong năm 2010, 6.253 chỗ bị tổn thương trong phần mềm đã được báo cáo, cao hơn so với báo cáo vào bất kỳ năm nào trước đó. 14 chỗ bị tổn thương đã được sử dụng trong các cuộc tấn công ngày số 0, bao gồm 4 lỗi ngày số 0 khác nhau của Windows được sử dụng trong cuộc tấn công của Stuxnet.

Dù các lỗ hổng dữ liệu vẫn còn khá ít - 457 trong năm 2010 theo nhà tổng hợp DataLossDB— thì chúng vẫn đặt ra nhiều rủi ro. Khoảng 61.000 nhận dạng đã bị tổn thương trung bình, với các lỗ hổng trong khu vực tài chính đặc biệt lớn, trung bình hơn 235.000 nhận dạng cho mỗi lỗ hổng. Các lỗ hổng là kết quả của các cuộc thâm nhập - hơn là những người bên trong nội bộ, hoặc kẻ trệm hoặc mất phần cứng và vật trung chuyển - có xu hướng đáng kể, trung bình hơn 262.000 nhận dạng cho mỗi cuộc tấn công.

Kẻ xấu cũng đã phô diễn một phạm vi quyền lực được khẳng định về công nghệ mới. Các site mạng xã hội là mục tiêu khổng lồ, cả vì sự sử dụng rộng rãi và độ nhạy cảm khổng lồ của nó đối với kỹ thuật xã hội. Phần đông, các cuộc tấn công không có chủ đích, thì các site mạng xã hội đưa ra các đường liên kết độc hại cho một lớp vỏ ngoài về tính toàn vẹn - nếu một người bạn của bạn đưa một đường liên kết mà nó sẽ chắc chắng là an toàn, đúng không? Đối với các cuộc tấn công spear-phishing và có đích khác, thì các mạng xã hội trao một sự nhìn thấu có giá trị vào các thói quen và sở thích cá nhân, không nhắc tới khả năng đối với các tin tặc tấn công tình bạn với những nạn nhân có thể của họ và để giành lấy sự tin cậy theo cách đó.

Tay trong tay với các site mạng xã hội như Twitter, chúng ta cũng thấy một sự bùng nổ các dịch vụ URL ngắn như bit.ly. Các tin tặc nhanh chóng khai thác cách mà những thứ này ngụy trang các URL, làm khó khăn hơn để biết liệu một đường liên kết có là độc hại hay không cho tới khi bạn thực sự nháy vào nó. 2/3 các cuộc tấn công được sử dụng trong các site mạng xã hội đã sử dụng các URL được ngụy trang và rút gọn này.

Các điên thoại thông minh cũng đang bắt đầu cuốn hút phần mềm độc hại. Năm 2010 đã thấy sự phát hiện trojan đầu tiên cho Android, và dường như các tin tặc coi Android như một nền tảng chín muồi cho các cuộc tấn công - tháng trước hơn 50 chương trình phần mềm độc hại đã được tung ra từ Thị trường của Android. Nhiều chỗ bị tổn thương hơn đang được thấy trên các nền tảng di động, với 163 được thấy vào năm trước, tăng 41%. Trong khi vẫn còn là các cuộc tấn công phạm vi nhỏ so với các máy tính cá nhân PC, thì điều này sẽ là một thị trường gia tăng. Các điện thoại thông minh là thứ đầy các thông tin cá nhân và nhờ vào tỷ lệ hàng đầu các số điện thoại và văn bản, có một khả năng vô song để tiền tệ hóa các phần mềm độc hại.

Symantec detected more than three billion malware attacks from 286 million malware variants last year, according to the 2010 edition of its annual Internet Security Threat Report, published today. Web-based attacks were up 93 percent on 2009, and you were most likely to come across a malicious Web site if you were on the hunt for pornography; 49 percent of malicious sites found through Web searches were pornographic.

Overall, the report paints a grim picture of the Internet threat landscape. Software flaws are abundant. In 2010, 6,253 software vulnerabilities were reported, higher than in any previous edition of the report. 14 vulnerabilities were used in zero-day attacks, including four different Windows zero-days used in the Stuxnet attack.

Though data breaches are still relatively rare—457 in 2010 according to aggregator DataLossDB—they still put many at risk. About 61,000 identities were compromised on average, with breaches in the finance sector particularly big, at an average of over 235,000 identities per breach. Breaches as a result of hacks—rather than insiders, or theft or loss of hardware and media—tended to be substantial, averaging more than 262,000 identities per hack.

The bad guys also demonstrated a firm grasp of new technology. Social networking sites are a huge target, both due to their wide use and their enormous susceptibility to social engineering. In mass, untargeted attacks, the social networking sites give malicious links a veneer of integrity—if a friend of yours posts a link it's surely going to be safe, right? For spear-phishing and other targeted attacks, the social networks give valuable insight into individual habits and interests, not to mention the ability for hackers to strike up friendships with their would-be victims and to gain their trust that way.

Hand in hand with social networking sites like Twitter, we've also seen a boom in URL shortening services such as bit.ly. Hackers have been quick to exploit the way these mask the destination URL, making it much harder to know if a link is malicious until you actually click on it. Two-thirds of attacks used on social networking sites used such masked, shortened URLs.

Smartphones are also beginning to attract malware. 2010 saw the discovery of the first Android trojan, and it looks like hackers regard Android as a ripe platform for attacks—last month more than 50 malicious programs were yanked from Android Market. More vulnerabilities are being found on mobile platforms, with 163 found last year, an increase of 41 percent. While still small-scale attacks compared to their PC-based counterparts, this is set to be a growth market. Smartphones are chock full of personal information and thanks to premium rate phone and text numbers, have an unparalleled ability to monetize malware.

Việc vá sẽ không giúp làm cho bạn an toàn

Năm 2010 cũng là một năm lớn cho các cuộc tấn công có mục tiêu; Google từng là một nạn nhân của các cuộc tấn công Aurora, và tất nhiên, Stuxnet đã đánh vào Iran. Các cuộc tấn công có đích đã nổi tiếng vì sự sử dụng các chỗ bị tổn thương ngày số 0 của chúng - 3 lỗi ngày số 0 khác nhau trong Internet Explorer đã được sử dụng trong 3 cuộc tấn công có chủ đích khác nhau, và Stuxnet đã sử dụng 4 lỗi ngày số 0 của Windows. Kỹ thuật mạng xã hội cũng là công cụ trong các cuộc tấn công này.

Sử dụng các lỗi ngày số 0 là đáng kể vì nó có nghĩa rằng thậm chí một tổ chức với các thực tiễn tốt (vá các máy tính trên cơ sở đúng lúc, sử dụng các phần mềm chống phần mềm độc hại) vẫn có rủi ro; Các cơ chế cũ kỹ này làm rất ít để canh phòng chống lại được dạng tấn công này. Các phân tích khám phá và các kỹ thuật ngăn ngừa cả 2 đều có một vai trò trong việc dò tìm ra những vấn đề này nhưng công việc vẫn cần phải làm để làm cho chúng dễ dàng sử dụng, cường tráng và hiệu quả hơn.

Hơn nữa, báo cáo này chỉ ra rằng tình hình an ninh thực sự không được cải thiện; nó còn thậm chí tồi tệ hơn. Kỹ thuật xã hội dựa vào các mạng xã hội và các cuộc tấn công có chủ đích dựa vào các lỗi ngày số 0 thậm chí còn tỉ mỉ hơn, những người sử dụng được giáo dục tốt vẫn bị rủi ro. Các chỗ bị tổn thương trong phần mềm là thừa thãi, và phần mềm độc hại là nhiều như rừng rậm. Đó là thông tin tốt lành cho các công ty như Symantec - nó đảm bảo rằng họ sẽ tiếp tục thấy một thị trường rộng lớn cho các sản phẩm an ninh của họ. Nhưng đó là thông tin xấu cho bất kỳ ai khác.

Patching won't save you

2010 was also a big year for targeted attacks; Google came out as a victim of the Aurora attacks, and, of course, Stuxnet struck Iran. The targeted attacks were notable for their use of zero-day vulnerabilities—three different Internet Explorer zero-days were used in three separate targeted attacks, and Stuxnet used four Windows zero-days. Social engineering was also instrumental in these attacks.

The use of zero-days is significant because it means that even an organization with good practices (patching machines on a timely basis, using anti-malware software) is at risk; these old mechanisms do little to guard against this style of attack. Heuristic analysis and sandboxing techniques both have a role to play in detecting these problems but work still needs to be done to make these easy to use, robust, and effective.

More than anything else, the report shows that the security situation really isn't improving; it's getting quite a bit worse. Social networking-based social engineering and zero-day targeted attacks put even conscientious, well-educated users at risk. Software vulnerabilities are abundant, and malware is rampant. That's good news for companies like Symantec—it ensures that they'll continue to see a large market for their security products. But it's bad news for everyone else.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com