Cyber
crims smash through Windows into the great beyond
Phần
mềm độc hại đã trở thành một trò chơi đa nền tảng
thế nào
How
malware became a multi-platform game
By
Tom Brewster, 29 May 2014
Bài
được đưa lên Internet ngày: 29/05/2014
Lời
người dịch: Vài trích đoạn: “Những đánh giá rủi ro
theo chiều sâu có sự tập trung không chỉ vào các hệ
điều hành đang sử dụng mà còn vào các ứng dụng và
nội dung chạy qua chúng”. “Bất chấp tất cả các cuộc
tấn công khắp các máy khác nhau và sự nổi lên các phần
mềm độc hại Android, Windows vẫn là một mối lo chính
cho CNTT. “Windows vẫn là một hệ điều hành bị tổn
thương nhất vì quá nhiều người vẫn còn chạy nó ở
chế độ quản trị. Android không chạy như thế và có an
ninh nền tảng tốt hơn, nên chúng ta vẫn cần phải tập
trung vào an ninh của Windows”, Tarszey nói.
Và
với Microsoft cuối cùng đã thôi không hỗ trợ cho XP vào
tháng 4, thì Windows sẽ thậm chí còn có sự chú ý hơn
đối với các tin tặc độc hại trong những tháng tới”.
Xem thêm: Windows
XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.
Cứu
các máy chủ của chúng ta
Các máy trạm không chỉ là các mục tiêu duy nhất. Bất
kỳ mẩu hạ tầng nào được kết nối tới Internet đều
cuốn hút đối với các tin tặc vì các lý do khác nhau.
Các máy chủ, đưa ra các dữ liệu có giá trị truyền
qua chúng, đã trở thành ngày càng cuốn hút đối với
các tin tặc số, như được Operation Windigo chứng minh,
được các nhà nghiên cứu ESET phát hiện trong năm nay.
Phần mềm độc hại Windigo đã lây nhiễm hơn 25.000 máy
chủ Unix, bao gồm cả các máy chủ đang chạy nginx,
Lighttpd và các máy chủ web Apache. Mục tiêu dường như
khá là tầm thường: để đưa ra dải các spam từ các
máy tính bị lây nhiễm.
Nhưng nó còn phức tạp hơn thế, khi các khách viếng thăm
các máy chủ đó từng bị ngắm đích từ các phần mềm
độc hại khác mà muốn ăn cắp thông tin từ các máy
trạm. Những kẻ lừa đảo đang gia tăng các cuộc tấn
công xuyên các nền tảng của chúng.
Các bộ định tuyến router cũng đang nhận được nhiều
sự chú ý. Các phần mềm độc hại được biết tới
như là Moon từng nổi lên đầu năm nay đánh vào một
loạt các bộ định tuyến router LinkSys và các điểm truy
cập.
Sâu Moon đã vượt qua được xác thực trên định tuyến
router bằng việc đăng nhập vào mà không cần biết các
thông tin xác thực của quản trị. Không rõ những kẻ
tấn công nào đã làm, khác với việc gây ra các vấn đề
ngầm có tiềm năng.
Một khi bị lây nhiễm, bộ định tuyến router có thể
khởi tạo một cơn lũ mạng với giao thông qua các cổng
80 và 8080. Tuy nhiên, sâu Moon có thể chỉ là một thử
nghiệm với những kẻ tấn công đang thí điểm liệu sự
tự nhân bản phần mềm độc hại có thể làm việc
xuyên các bộ định tuyến router hay không?
Các cuộc tấn công vào các thiết bị mạng đã trở
thành nghiêm trọng hơn trong những tháng gần đây. Vào
tháng 3, tổ chức an ninh phi lợi nhuận Team Cymru đã phát
hiện một chiến dịch tấn công lớn vào 300.000 máy từ
D-Link, Micronet, Tenda và TP-Link, cùng các loại khác.
Các
tin tặc từng được xem là đang tùy biến các cấu hình
hệ thống tên miền, mở ra tiềm năng cho việc gửi các
nạn nhân tới các website độc.
Ôm
lấy sự đa dạng
Vô
số các nền tảng bước vào không gian làm việc và các
chỗ bị tổn thương trú ngụ trong tất cả chúng đã
mang tới một môi trường phức tạp khổng lồ, một môi
trường đầy rủi ro. Sự đổi mới giữa các tin tặc mũ
đen, được thấy với các cuộc tấn bộ định tuyến
router và máy chủ, sẽ không giúp gì.
“Càng
đa dạng đối với hạ tầng CNTT của một công ty, thì
càng khó nó trở nên giữ được mọi điều được cập
nhật và an ninh. Nhiều thiết bị chạy các phiên bản
phần mềm khác nhau có nghĩa là không chỉ nhiều vấn đề
hơn cho các nhà quản trị hệ thống mà còng nhiều cơ
hội hơn cho các tội phạm không gian mạng để thâm nhập
vào”, Janus nói.
“Ví
dụ, thậm chí nếu tất cả các máy trạm Windows trong một
công ty được bảo vệ một cách phù hợp, thì luôn cập
nhật, được sử dụng với các chính sách về an ninh và
chạy các phần mềm an ninh, một lỗ hổng dữ liệu có
thể xảy ra vì một điện thoại thông minh lỗi thời duy
nhất hoặc một bộ định tuyến router bị cấu hình
sai”.
Có
một số dạng tin tốt ở đây: các mối đe dọa mà không
là xuyên nền tảng rõ ràng sẽ không gây lây nhiễm cho
toàn bộ môi trường máy trạm.
“Mặt
khác, sự đa dạng nền tảng có nghĩa là một sự hỏng
về an ninh trong một nền tảng sẽ không nhất thiết lặp
lại cho các nền tảng khác”, Charles Brett, nhà phân tích
ở Freeform Dynamics, nói.
“Đây
là một hành động cân bằng khó khăn, giống hệt như nó
là trong một chuỗi cung ứng toàn cầu - một nhà cung cấp
chuyên nghiệp chi phí thấp hoặc 3 nhà chi phí cao nhất
với chất lượng tổng thể thấp nhất có thể”.
“Trong
một môi trường đa nền tảng hiện đại, là cơ bản
đối với những người quản lý CNTT để chú ý sát hơn
về an ninh của từng thiết bị, không chỉ những thiết
bị được xem là dễ có rủi ro nhất đang bị ngắm
đích”.
Những
đánh giá rủi ro theo chiều sâu có sự tập trung không
chỉ vào các hệ điều hành đang sử dụng mà còn vào
các ứng dụng và nội dung chạy qua chúng.
“Hãy
nhìn đủ lâu vào tất cả các nền tảng đang sử dụng
trong tổ chức, không chỉ những nền tảng được hỗ
trợ chính thức”, Tony Lock, nhà phân tích ở Freeform
Dynamics, nói.
“Sau
đó hãy xem ai đang sử dụng chúng và các hệ thống và
thông tin nào chúng có thể với tới được. Các giải
pháp an ninh có hiệu quả có thể được xây dựng chỉ
với tri thức này và với sự thừa nhận nhu cầu về an
ninh giữa những người sử dụng. Việc huấn luyện những
người sử dụng có thể là cách có hiệu quả nhất ở
phía trước”.
Quả
thực, việc huấn luyện trong các hệ điều hành khác
nhau, thậm chí nếu nó dường như không nhất thiết sâu,
sẽ giúp thúc đẩy an ninh tổ chức.
“Có
sự tiến thoái lưỡng nan ở đây: an ninh là tối tăm,
phức tạp, luôn thay đổi hoặc tiến hóa và theo bản
chất tự nhiên của nó là có hạn chế, nó không làm cho
rất cuốn hút cho việc dạy học”, Brett nói.
Để
tâm tới lỗ hổng
“Lựa
chọn thay thế không làm cho mọi người nhận thức được
về các tác động an ninh là để khóa chặt chẽ, mà điều
này thường hạn chế không hài lòng. Nó khuyến khích các
khắc phục mà tới lượt nó tạo ra các lỗ hổng vì mọi
người không hiểu các tác động của những gì chúng
đang làm”.
“Các
CIO dường như gắn các màu của họ vào hàng rào, không
muốn làm tổn thương bằng an ninh quá quắt được thừa
nhận và hiếm khi sở hữu một ngân sách cho sự nhận
thức về an ninh toàn diện, rộng khắp doanh nghiệp. Chìa
khóa có thể là không giành được, bị khóa lại một
cách thân thiện”.
Bất
chấp tất cả các cuộc tấn công khắp các máy khác nhau
và sự nổi lên các phần mềm độc hại Android, Windows
vẫn là một mối lo chính cho CNTT.
“Windows
vẫn là một hệ điều hành bị tổn thương nhất vì quá
nhiều người vẫn còn chạy nó ở chế độ quản trị.
Android không chạy như thế và có an ninh nền tảng tốt
hơn, nên chúng ta vẫn cần phải tập trung vào an ninh của
Windows”, Tarszey nói.
Và với Microsoft cuối cùng đã thôi
không hỗ trợ cho XP vào tháng 4, thì Windows sẽ thậm chí
còn có sự chú ý hơn đối với các tin tặc độc hại
trong những tháng tới.
Save
our servers
Clients
are not the only targets either. Any piece of infrastructure
connected to the internet is attractive to hackers for various
reasons.
Servers,
given the valuable data passing through them, have become
increasingly tempting for digital crooks, as evidenced by Operation
Windigo, uncovered by ESET researchers this year.
The
Windigo malware infected more than 25,000 Unix servers, including
those running nginx, Lighttpd, and Apache web servers. The aim
appeared to be rather banal: to send out reams of spam from infected
machines.
But
it was more complex than that, as visitors to those servers were
targeted by further malware which would steal information from the
clients. Crooks are upping their cross-platform attacks.
Routers
are also receiving a lot of attention. Malware known as the Moon was
spotted earlier this year hitting various LinkSys routers and access
points.
The
Moon worm bypassed authentication on the router by logging in without
knowing the admin credentials. It wasn’t clear what the attackers
were doing, other than causing latency issues.
Once
infected, the router would start flooding the network with traffic
over ports 80 and 8080. The Moon may have just been a trial, however,
with hackers testing whether self-replicating malware could work
across routers.
Attacks
on network devices have become more severe in recent months. In
March, non-profit security organisation Team Cymru disclosed an epic
attack campaign on 300,000 machines from D-Link, Micronet, Tenda and
TP-Link, among others.
The
hackers were seen altering domain name system configurations, opening
up the potential for sending victims to malicious websites.
Embracing
diversity
The
myriad platforms entering the workplace and the vulnerabilities
residing in all of them have brought about a hugely complex
environment, one fraught with risk. Innovation among black hats, as
seen with the server and router attacks, isn’t helping either.
“The
greater the diversity of a company's IT infrastructure, the harder it
becomes to keep everything updated and secure. Multiple devices
running different versions of software mean not only more problems
for IT administrators but also more opportunities for cyber criminals
to get in,” says Janus.
“For
example, even if all Windows workstations in a company are adequately
protected, always up-to-date, used with secure policies and running
security software, a data breach may occur because of a single
outdated smartphone or a misconfigured router.”
There
is some sort of good news here: threats that are not cross-platform
obviously won’t affect the entire client environment.
“On
the other hand, platform diversity means that a security failure on
one platform will not necessarily repeat for other platforms,” says
Charles Brett, analyst at Freeform Dynamics.
“This
is a difficult balancing act, just like it is in a global supply
chain – one low-cost specialist supplier or three higher cost ones
with possibly lower quality overall.
“In
a modern multi-platform environment it is essential for IT managers
to pay close attention to the security of every single device, not
only the ones that are considered to be most at risk of being
targeted.”In-depth risk assessments have to focus not just on the
operating systems in use but on the applications and content passing
through them.
“Take
a long look at all the platforms in use in the organisation, not just
those officially supported,” says Tony Lock, analyst at Freeform
Dynamics.
“Then
consider who is using them and which systems and information they can
reach. Effective security solutions can be built only with this
knowledge and with the acceptance of the need for security among the
users. Training users could be the most effective way forward.”
Indeed,
training in different operating systems, even if it seems
unnecessarily in-depth, should help boost organisational security.
“There
is a dilemma here: security is dull, complex, ever-changing or
evolving and by its nature restrictive, which does not make it very
attractive for teaching,” says Brett.
Mind
the hole
“The
alternative to not making people aware of the security implications
is to lock down tight, but this is often unpleasantly restrictive. It
encourages workarounds that in turn create security holes because
people do not understand the implications of what they are doing.
“CIOs
seem to have nailed their colours to the fence, not wishing to offend
with perceived excess security and rarely possessing a budget for
coherent, enterprise-wide security awareness. The key, which may be
unobtainable, is friendly lock-down.”
Despite
all of the attacks across different machines and the rise of Android
malware, Windows still has to be a major worry for IT.
“Windows
remains one of the most vulnerable as so many still run it in admin
mode. Android does not run like this and has better base security, so
we still need to be focussed on Windows security,” says Tarzey.
And
with Microsoft having finally pulled the plug on XP support in April,
Windows will be getting even more attention from malicious hackers in
the coming months.
Dịch:
Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.