Anti-virus
software out of its league with Stuxnet and Flame
4 June 2012, 17:55
Bài được đưa lên
Internet ngày: 04/06/2012
Lời
người dịch: Còn nhớ, vào tháng 06/2008, khi hãng an ninh
máy tính nổi tiếng TrendMacro tuyên bố rằng “Nền
công nghiệp chống virus đã lừa dối người sử dụng 20
năm nay. Khả năng chống virus hầu
như là không thể với số lượng khổng lồ các virus
hiện nay”, nhiều người coi là chuyện phiếm chẳng đáng
quan tâm; 4 năm sau, trong bài viết này, là sự
thừa nhận của chính những người trong cuộc về chính
những điều tương tự, như
sự thừa nhận của Giám đốc Nghiên cứu của F-Secure về
việc phần mềm chống virus của hãng đã không có khả
năng dò tìm ra virus Windows có biệt danh “Siêu Gián điệp”
- Flame, và tương tự như vậy của các phần mềm chống
virus khác đối với các loại phần mềm độc hại như
Stuxnet, Duqu hay Zeus. “Những con số hiện hành từ dự án
ZeuS Tracker, ví dụ, chỉ ra rằng tỷ
lệ dò tìm ra đối với dạng phần mềm độc hại này
vẫn còn thấp hơn 40%. Có 294 biến thể của virus này
thậm chí không thể dò tìm ra với các phần mềm chống
virus ngày nay”. Đây là phát
biểu của Giám đốc Nghiên cứu của F-Secure: “Flame
từng là một sự thất bại cho nền công nghiệp chống
virus. Chúng ta thực sự nên có
khả năng làm việc tốt hơn. Nhưng chúng ta đã không.
Chúng ta đã nằm ngoài liên đoàn của chúng ta, trong chính
trò chơi của riêng chúng ta”. Khi
sử dụng Windows, bạn phải luôn ghi nhớ trong đầu rằng:
Phần mềm diệt virus chỉ là thuốc an thần, không là
thuốc chữa bệnh!!!
Bạn rất nên xem hết toàn bộ bài viết này. Xem thêm:
Hỏi
đáp thường gặp Flame, “Siêu gián điệp”.
Trong một bài báo cho
Ars Technica, Giám đốc Nghiên cứu của
F-Secure Mikko Hypponen thừa nhận sự thất bại của hãng
của ông trong việc dò tìm ra các virus như Flame và Stuxnet
một cách đúng lúc. Trong bài viết đó, ông cố
khai thác các lý do cho điều này và viện lý rằng nền
công nghiệp chống virus về tổng thể đã vật lộn với
các virus mới đó.
Theo
Hypponen, F-Secure đã phát hiện rằng hãng đã có một mẫu
Flame trong các cơ sở dữ liệu nội bộ của mình từ năm
2010 nhưng nó đã được báo cáo thông qua các qui trình tự
động mà không bao giờ dựng cờ lên để soi xét sát sao
hơn từ các kỹ sư con người. Các nhà cung cấp chống
virus khác đã nói đã nhận được các ví dụ về Flame
thậm chí còn sớm hơn với các kết quả y hệt. Điều
này có nghĩa là Flame từng hoạt động mà không bị phát
hiện ra, ẩn náu thoát khỏi tầm nhìn tới hơn 2 năm.
Stuxnet và Duqu từng
sử dụng các chiến lược tương tự để không bị dò
tìm ra, Hypponen nói. Các phần mềm độc hại đó thậm
chí đã sử dụng việc ký số để làm cho nó khoảng
không gian hợp pháp. Những người phát triển cũng lảng
tránh các kỹ thuật làm đen tối mã nguồn thông thường
để không dạo chơi với bất kỳ hệ thống dò tìm tự
động nào. Với Flame, những người tạo ra nó cũng đã
sử dụng các công cụ như SQLite, SSH, SSL và Lua từng làm
cho các chương trình trông giống như một cơ sở dữ liệu
hoặc thư viện và ít giống với phần mềm độc hại
truyền thống hơn.
Chuyên
gia về virus kết luận rằng các phần mềm chống virus
truyền thống có thể bảo vệ những người sử dụng
của mình khỏi các cuộc tấn công thông thường như các
trojan ngân hàng, các trình ghi bàn phím hoặc các sâu và
virus thông thường truyền qua thư điện tử, nhưng không
giúp chống lại được các cuộc tấn công có chủ đích
đang được tạo ra từ các đội lập trình viên chuyên
nghiệp đã sử dụng một loạt công cụ chống virus sử
dụng được ngay để kiểm thử cho những sáng tạo của
họ.
Chuẩn
đoán khiêm tốn của Hypponen: “Flame từng là một sự
thất bại cho nền công nghiệp chống virus. Chúng ta thực
sự nên có khả năng làm việc tốt hơn. Nhưng chúng ta đã
không. Chúng ta đã nằm ngoài liên đoàn của chúng ta,
trong chính trò chơi của riêng chúng ta”.
In
an editorial
for Ars Technica, F-Secure's Chief Research Officer Mikko Hypponen
admits to his company's failure in detecting viruses such as Flame
and Stuxnet
in a timely manner. In the article, he tries to explore the reasons
for this and argues that the anti-virus industry as a whole has
struggled with these new viruses.
According
to Hypponen, F-Secure has discovered that it has had a specimen of
Flame in its internal databases since 2010 but that it was reported
through automatic processes which never raised any flags to warrant
closer scrutiny by human engineers. Other anti-virus vendors have
reported to have received samples of Flame even earlier with much the
same results. This means that Flame was operating undetected, hidden
in plain sight for over two years.
Stuxnet
and Duqu
were using similar strategies to remain undetected, says Hypponen.
That malware even used digital signing to give it an air of
legitimacy. The developers also eschewed the usual code obfuscation
techniques to not trip any automatic detection systems. With Flame,
its creators also used tools such as SQLite, SSH, SSL and Lua which
made the program seem more like a bona fide database or library and
less like traditional malware.
The
virus expert concludes that traditional anti-virus software can
protect its users from commonplace attacks such as banking trojans,
keyloggers or the usual worms and viruses transmitted via email, but
that it is helpless against targeted attacks being perpetrated by
professional developer teams which are well funded by state-owned
organisations. These developers apparently used a variety of
off-the-shelf anti-virus tools to test their creations. Hypponen's
sobering diagnosis: "Flame was a failure for the antivirus
industry. We really should have been able to do better. But we
didn’t. We were out of our league, in our own game."
Tuy
nhiên, thực tế tàn nhẫn hơn Hypponen thừa nhận. Bọn
tội phạm mà đang xây dựng các trojan ngân hàng như Zeus
và SpyEye thực sự có một tiến trình có khả năng so
sánh đối với bất kỳ ai đã tạo ra Flame, Duqu và
Stuxnet. Chúng được tổ chức cao độ, được động viên
và có những tài nguyên tương tự theo đề nghị của
chúng. Việc kiểm thử các virus của riêng một ai đó với
các phần mềm chống virus đang có sẵn làm khó hơn cho
việc dò tìm là một phương thức hoạt động phổ biến.
Những con số hiện hành từ dự án ZeuS Tracker, ví dụ,
chỉ ra rằng tỷ lệ dò tìm ra đối với dạng phần mềm
độc hại này vẫn còn thấp hơn 40%. Có 294 biến thể
của virus này thậm chí không thể dò tìm ra với các phần
mềm chống virus ngày nay.
Mục Hỏi - Đáp
thường gặp về Flame của The H giải thích rằng sự khác
biệt chính giữa Flame và những phần mềm độc hại
thông thường hơn như Zeus có thể thấy trong tỷ lệ thấp
của sự lây nhiễm. Vì Flame được
thiết kế hoàn toàn để lan truyền càng ít càng tốt,
thì nó rất ít có khả năng rằng nó có thể được phát
hiện và có thể vẫn ẩn nấp được lâu như vậy. Nhưng
thậm chí không có tỷ lệ thấp như vậy về sự lây
nhiễm như 1.000 máy trong 2 năm, thì dường như là việc
phòng chống các trojan ngân hàng hàng ngày như Zeus vẫn
còn là công việc nặng nhọc cho các phần mềm chống
virus hiện hành - và nỗ lực thường không thành công.
The
reality is grimmer than Hypponen will admit, however. Criminals who
are building banking trojans such as Zeus and SpyEye actually have a
comparable workflow to whoever created Flame, Duqu and Stuxnet. They
are highly organised, motivated and have similar resources at their
disposal. Testing one's own viruses with available anti-virus
software to make them harder to detect is a widespread modus
operandi. Current numbers from
the ZeuS Tracker project, for example, show that the detection
rate for this kind of malware is still below 40 per cent. There are
294 variants of the virus that cannot be detected with anti-virus
software even today.
The H's
FAQ
on Flame explains that the major difference between Flame and
more conventional malware such as Zeus can be found in the low rate
of infections. Since Flame is explicitly designed to spread as little
as possible, it was a lot less likely that it would be discovered and
could stay hidden for a much longer time. But even without such a low
rate of infection as Flame's 1,000 machines in two years, it seems
that defending against more everyday banking trojans such as Zeus is
still hard work for current anti-virus software – and the effort
often does not succeed.
(fab)
Dịch: Lê Trung Nghĩa
phần mềm diệt virus cho máy tính của bạn hãy truy cập ngay để tai về máy của bạn những phần mềm diệt virus tốt nhất .
Trả lờiXóadiệt virus miễm phí dành cho máy tính để biết thêm chi tiết tai địa chỉ http://tuanbaoso.com
tai phan mem diet virus mien phi khong mat nhieu thoi gian dem lai hieu qua cao .
cac ban hay download phan mem diet virus de bao ve chiec may tinh than yeu