Chủ Nhật, 10 tháng 6, 2012

Phần mềm chống virus không có tác dụng gì với Stuxnet và Flame


Anti-virus software out of its league with Stuxnet and Flame
4 June 2012, 17:55
Bài được đưa lên Internet ngày: 04/06/2012
Lời người dịch: Còn nhớ, vào tháng 06/2008, khi hãng an ninh máy tính nổi tiếng TrendMacro tuyên bố rằng “Nền công nghiệp chống virus đã lừa dối người sử dụng 20 năm nay. Khả năng chống virus hầu như là không thể với số lượng khổng lồ các virus hiện nay”, nhiều người coi là chuyện phiếm chẳng đáng quan tâm; 4 năm sau, trong bài viết này, là sự thừa nhận của chính những người trong cuộc về chính những điều tương tự, như sự thừa nhận của Giám đốc Nghiên cứu của F-Secure về việc phần mềm chống virus của hãng đã không có khả năng dò tìm ra virus Windows có biệt danh “Siêu Gián điệp” - Flame, và tương tự như vậy của các phần mềm chống virus khác đối với các loại phần mềm độc hại như Stuxnet, Duqu hay Zeus. “Những con số hiện hành từ dự án ZeuS Tracker, ví dụ, chỉ ra rằng tỷ lệ dò tìm ra đối với dạng phần mềm độc hại này vẫn còn thấp hơn 40%. Có 294 biến thể của virus này thậm chí không thể dò tìm ra với các phần mềm chống virus ngày nay”. Đây là phát biểu của Giám đốc Nghiên cứu của F-Secure: “Flame từng là một sự thất bại cho nền công nghiệp chống virus. Chúng ta thực sự nên có khả năng làm việc tốt hơn. Nhưng chúng ta đã không. Chúng ta đã nằm ngoài liên đoàn của chúng ta, trong chính trò chơi của riêng chúng ta”. Khi sử dụng Windows, bạn phải luôn ghi nhớ trong đầu rằng: Phần mềm diệt virus chỉ là thuốc an thần, không là thuốc chữa bệnh!!! Bạn rất nên xem hết toàn bộ bài viết này. Xem thêm: Hỏi đáp thường gặp Flame, “Siêu gián điệp”.
Trong một bài báo cho Ars Technica, Giám đốc Nghiên cứu của F-Secure Mikko Hypponen thừa nhận sự thất bại của hãng của ông trong việc dò tìm ra các virus như Flame và Stuxnet một cách đúng lúc. Trong bài viết đó, ông cố khai thác các lý do cho điều này và viện lý rằng nền công nghiệp chống virus về tổng thể đã vật lộn với các virus mới đó.
Theo Hypponen, F-Secure đã phát hiện rằng hãng đã có một mẫu Flame trong các cơ sở dữ liệu nội bộ của mình từ năm 2010 nhưng nó đã được báo cáo thông qua các qui trình tự động mà không bao giờ dựng cờ lên để soi xét sát sao hơn từ các kỹ sư con người. Các nhà cung cấp chống virus khác đã nói đã nhận được các ví dụ về Flame thậm chí còn sớm hơn với các kết quả y hệt. Điều này có nghĩa là Flame từng hoạt động mà không bị phát hiện ra, ẩn náu thoát khỏi tầm nhìn tới hơn 2 năm.
Stuxnet và Duqu từng sử dụng các chiến lược tương tự để không bị dò tìm ra, Hypponen nói. Các phần mềm độc hại đó thậm chí đã sử dụng việc ký số để làm cho nó khoảng không gian hợp pháp. Những người phát triển cũng lảng tránh các kỹ thuật làm đen tối mã nguồn thông thường để không dạo chơi với bất kỳ hệ thống dò tìm tự động nào. Với Flame, những người tạo ra nó cũng đã sử dụng các công cụ như SQLite, SSH, SSL và Lua từng làm cho các chương trình trông giống như một cơ sở dữ liệu hoặc thư viện và ít giống với phần mềm độc hại truyền thống hơn.
Chuyên gia về virus kết luận rằng các phần mềm chống virus truyền thống có thể bảo vệ những người sử dụng của mình khỏi các cuộc tấn công thông thường như các trojan ngân hàng, các trình ghi bàn phím hoặc các sâu và virus thông thường truyền qua thư điện tử, nhưng không giúp chống lại được các cuộc tấn công có chủ đích đang được tạo ra từ các đội lập trình viên chuyên nghiệp đã sử dụng một loạt công cụ chống virus sử dụng được ngay để kiểm thử cho những sáng tạo của họ.
Chuẩn đoán khiêm tốn của Hypponen: “Flame từng là một sự thất bại cho nền công nghiệp chống virus. Chúng ta thực sự nên có khả năng làm việc tốt hơn. Nhưng chúng ta đã không. Chúng ta đã nằm ngoài liên đoàn của chúng ta, trong chính trò chơi của riêng chúng ta”.
In an editorial for Ars Technica, F-Secure's Chief Research Officer Mikko Hypponen admits to his company's failure in detecting viruses such as Flame and Stuxnet in a timely manner. In the article, he tries to explore the reasons for this and argues that the anti-virus industry as a whole has struggled with these new viruses.
According to Hypponen, F-Secure has discovered that it has had a specimen of Flame in its internal databases since 2010 but that it was reported through automatic processes which never raised any flags to warrant closer scrutiny by human engineers. Other anti-virus vendors have reported to have received samples of Flame even earlier with much the same results. This means that Flame was operating undetected, hidden in plain sight for over two years.
Stuxnet and Duqu were using similar strategies to remain undetected, says Hypponen. That malware even used digital signing to give it an air of legitimacy. The developers also eschewed the usual code obfuscation techniques to not trip any automatic detection systems. With Flame, its creators also used tools such as SQLite, SSH, SSL and Lua which made the program seem more like a bona fide database or library and less like traditional malware.
The virus expert concludes that traditional anti-virus software can protect its users from commonplace attacks such as banking trojans, keyloggers or the usual worms and viruses transmitted via email, but that it is helpless against targeted attacks being perpetrated by professional developer teams which are well funded by state-owned organisations. These developers apparently used a variety of off-the-shelf anti-virus tools to test their creations. Hypponen's sobering diagnosis: "Flame was a failure for the antivirus industry. We really should have been able to do better. But we didn’t. We were out of our league, in our own game."
Tuy nhiên, thực tế tàn nhẫn hơn Hypponen thừa nhận. Bọn tội phạm mà đang xây dựng các trojan ngân hàng như Zeus và SpyEye thực sự có một tiến trình có khả năng so sánh đối với bất kỳ ai đã tạo ra Flame, Duqu và Stuxnet. Chúng được tổ chức cao độ, được động viên và có những tài nguyên tương tự theo đề nghị của chúng. Việc kiểm thử các virus của riêng một ai đó với các phần mềm chống virus đang có sẵn làm khó hơn cho việc dò tìm là một phương thức hoạt động phổ biến. Những con số hiện hành từ dự án ZeuS Tracker, ví dụ, chỉ ra rằng tỷ lệ dò tìm ra đối với dạng phần mềm độc hại này vẫn còn thấp hơn 40%. Có 294 biến thể của virus này thậm chí không thể dò tìm ra với các phần mềm chống virus ngày nay.
Mục Hỏi - Đáp thường gặp về Flame của The H giải thích rằng sự khác biệt chính giữa Flame và những phần mềm độc hại thông thường hơn như Zeus có thể thấy trong tỷ lệ thấp của sự lây nhiễm. Vì Flame được thiết kế hoàn toàn để lan truyền càng ít càng tốt, thì nó rất ít có khả năng rằng nó có thể được phát hiện và có thể vẫn ẩn nấp được lâu như vậy. Nhưng thậm chí không có tỷ lệ thấp như vậy về sự lây nhiễm như 1.000 máy trong 2 năm, thì dường như là việc phòng chống các trojan ngân hàng hàng ngày như Zeus vẫn còn là công việc nặng nhọc cho các phần mềm chống virus hiện hành - và nỗ lực thường không thành công.
The reality is grimmer than Hypponen will admit, however. Criminals who are building banking trojans such as Zeus and SpyEye actually have a comparable workflow to whoever created Flame, Duqu and Stuxnet. They are highly organised, motivated and have similar resources at their disposal. Testing one's own viruses with available anti-virus software to make them harder to detect is a widespread modus operandi. Current numbers from the ZeuS Tracker project, for example, show that the detection rate for this kind of malware is still below 40 per cent. There are 294 variants of the virus that cannot be detected with anti-virus software even today.
The H's FAQ on Flame explains that the major difference between Flame and more conventional malware such as Zeus can be found in the low rate of infections. Since Flame is explicitly designed to spread as little as possible, it was a lot less likely that it would be discovered and could stay hidden for a much longer time. But even without such a low rate of infection as Flame's 1,000 machines in two years, it seems that defending against more everyday banking trojans such as Zeus is still hard work for current anti-virus software – and the effort often does not succeed.
(fab)
Dịch: Lê Trung Nghĩa

2 nhận xét:

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.