Defying Experts, Rogue Computer Code Still Lurks
By JOHN MARKOFF
Published: August 26, 2009
Theo: http://www.nytimes.com/2009/08/27/technology/27compute.html?_r=1&hp
Bài được đưa lên Internet ngày: 26/08/2009
Lời người dịch: Một bài viết của tác giả đã từng viết về Mạng Ma (Ghostnet) lần đầu tiên trên tờ New York Times, nhưng lần này là về sâu Conficker, mà Việt Nam có số lượng máy tính chạy Windows bị lây nhiễm đứng số 1 thế giới theo báo cáo của hãng Internet OpenDNS, vẫn còn sống, ngay trong tháng 08 này đã làm lây nhiễm tại một bệnh viện ở Luân Đôn, Anh. Điều nguy hiểm hơn nhiều là chúng tạo nên một đội quân khổng lồ các botnet với các máy tính bị lây nhiễm. “Các nhà nghiên cứu thì phỏng đoán rằng máy tính có thể bị sử dụng để tạo ra số lượng khổng lồ các spam; nó có thể ăn cắp các thông tin như các mật khẩu và đăng nhập bằng việc chộp được các cú gõ bàn phím trên các máy tính bị lây nhiễm; nó có thể phát tán các cảnh báo rởm về chống virus cho những người sử dụng ngây thơ để tin tưởng rằng các máy tính của họ sẽ bị lây nhiễm và thuyết phục họ trả tiền bằng thẻ tín dụng để loại bỏ được sự lây nhiễm này”. Tệ hơn: “Các mạng của những máy tính bị lây nhiễm, hoặc botnets, đã được sử dụng một cách rộng rãi như những vũ khí trong các cuộc xung đột tại Estonia năm 2007 và Georgia năm ngoái, và trong các cuộc tấn công gần đây nhất chống lại các cơ quan chính phủ của Hàn Quốc và Mỹ. Các cuộc tấn công gần đây mà chúng đã đánh què một cách tạm thời Twitter và Facebook đã được tin tưởng là đã có các ngụ ý chính trị”. Một lần nữa cảnh báo rằng: Việt Nam có lẽ đang là một mạng botnet khổng lồ với các máy tính Windows bị lây nhiễm Conficker và các loại virus độc hại khác. Một lần nữa mong được nhắc lại: HÃY VỨT BỎ WINDOWS CÀNG NHANH CÀNG TỐT.
Giống như một con tàu ma, một chương trình phần mềm độc hại mà lượn trên Internet tháng 11 năm ngoái đã làm tiêu tan những nỗ lực của các chuyên gia an ninh hàng đầu muốn tiệt trừ tận gốc chương trình này và lần vết gốc gác và mục đích của nó, hé lộ những yếu kém nghiêm trọng trong hạ tầng số của thế giới.
Chương trình này, được biết tới là Conficker, sử dụng những sai sót trong phần mềm Windows để kết nạp các máy tính và liên kết chúng lại với nhau thành một máy tính ảo mà có thể chỉ huy được từ xa bởi các tác giả của nó. Với hơn 5 triệu các máy tính sống dở chết dở hiện nay dưới sự kiểm soát của nó – các máy tính của các chính phủ, doanh nghiệp và ở nhà tại hơn 200 quốc gia – thì máy tính trong bóng tối này có sức mạnh ít thì cũng như những trung tâm dữ liệu dữ liệu lớn nhất thế giới.
Được cảnh báo bởi sự lan nhanh của chương trình này sau khi nó khởi phát vào tháng 11, các chuyên gia an ninh máy tính từ giới công nghiệp, hàn lâm và chính phủ đã liên kết lực lượng trong một sự hợp tác cao một cách không bình thường. Họ đã giải mã chương trình này và đã phát triển các phần mềm chống virus mà đã xóa bỏ nó khỏi hàng triệu máy tính. Nhưng sự ngoan cường và tinh vi phức tạp của Conficker đã đè bẹp lòng tin của nhiều chuyên gia rằng những sự lây nhiễm máy tính toàn cầu như thế này chỉ là một thứ của quá khứ.
“Nó đang sử dụng những thực tế hiện hành tốt nhất và hiện đại nhất để giao tiếp và tự bảo vệ”, Rodney Joffe, giám đốc của Nhóm Làm việc về Conficker, nói về chương trình độc hại này. “Chúng tôi đã không tìm thấy được mẹo nào để kiểm soát được phần mềm độc hại này bằng mọi cách”.
Các nhà nghiên cứu thì phỏng đoán rằng máy tính có thể bị sử dụng để tạo ra số lượng khổng lồ các spam; nó có thể ăn cắp các thông tin như các mật khẩu và đăng nhập bằng việc chộp được các cú gõ bàn phím trên các máy tính bị lây nhiễm; nó có thể phát tán các cảnh báo rởm về chống virus cho những người sử dụng ngây thơ để tin tưởng rằng các máy tính của họ sẽ bị lây nhiễm và thuyết phục họ trả tiền bằng thẻ tín dụng để loại bỏ được sự lây nhiễm này.
Like a ghost ship, a rogue software program that glided onto the Internet last November has confounded the efforts of top security experts to eradicate the program and trace its origins and purpose, exposing serious weaknesses in the world’s digital infrastructure.
The program, known as Conficker, uses flaws in Windows software to co-opt machines and link them into a virtual computer that can be commanded remotely by its authors. With more than five million of these zombies now under its control — government, business and home computers in more than 200 countries — this shadowy computer has power that dwarfs that of the world’s largest data centers.
Alarmed by the program’s quick spread after its debut in November, computer security experts from industry, academia and government joined forces in a highly unusual collaboration. They decoded the program and developed antivirus software that erased it from millions of the computers. But Conficker’s persistence and sophistication has squelched the belief of many experts that such global computer infections are a thing of the past.
“It’s using the best current practices and state of the art to communicate and to protect itself,” Rodney Joffe, director of the Conficker Working Group, said of the malicious program. “We have not found the trick to take control back from the malware in any way.”
Researchers speculate that the computer could be employed to generate vast amounts of spam; it could steal information like passwords and logins by capturing keystrokes on infected computers; it could deliver fake antivirus warnings to trick naïve users into believing their computers are infected and persuading them to pay by credit card to have the infection removed.
Cũng có một khả năng khác mà nó gây lo lắng cho các nhà nghiên cứu: Rằng chương trình này đã không được thiết kế bởi một nhóm tội phạm, mà thay vào đó bởi một cơ quan tình báo hoặc quân đội của một số quốc gia để giám sát hoặc vô hiệu hóa các máy tính của một kẻ thù. Các mạng của những máy tính bị lây nhiễm, hoặc botnets, đã được sử dụng một cách rộng rãi như những vũ khí trong các cuộc xung đột tại Estonia năm 2007 và Georgia năm ngoái, và trong các cuộc tấn công gần đây nhất chống lại các cơ quan chính phủ của Hàn Quốc và Mỹ. Các cuộc tấn công gần đây mà chúng đã đánh què một cách tạm thời Twitter và Facebook đã được tin tưởng là đã có các ngụ ý chính trị.
Vâng đối với hầu hết các phần mà Conficker đã thực hiện được ít hơn là để mở rộng sự với tới được của nó tới nhiều hơn và nhiều hơn nữa các máy tính. Dù đã từng có phỏng đoán rằng máy tính có thể được kích hoạt để làm thứ gì đó độc hại vào ngày 01/04, ngày này đã trôi qua mà không có sự kiện nào xảy ra, và một vài chuyên gia an ninh nghi ngờ liệu chương trình này đã có được bỏ qua đi chưa.
Các chuyên gia chỉ có chút manh mối về vị trí của các tác giả của chương trình này. Phiên bản đầu tiên đã bao gồm các phần mềm mà chúng đã làm dừng chương trình này nếu nó đã lây nhiễm cho một máy tính với một bàn phím ngôn ngữ tiếng Ukrain. Cũng có thể là đã có 2 sự lây nhiễm ban đầu – tại Buenos Aires [thủ đô của Arhentina] và Kiev [thủ đô của Ukrain].
Dù là ở đâu thì các tác giả, các chuyên gia nói, họ đều là các chuyên gia rõ ràng sử dụng công nghệ tiên tiến nhất đang có. Chương trình này được bảo vệ bwori những cơ chế bảo vệ nội bộ mà làm cho nó khó mà xóa, và ngay cả giết hoặc ẩn nấp từ các chương trình được thiết kế để tìm kiếm các botnets.
Một thành viên của đội an ninh đã nói rằng Văn phòng Điều tra Liên bang (FBI) đã nghi ngờ, nhưng đã tiến triển chậm chạp vì nó đã cần để xây dựng một mối quan hệ với các cơ quan tăng cường luật “không mua chuộc hối lộ” tại các quốc gia nơi mà những kẻ tình nghi trú ngụ.
Một người phát ngôn của FBI tại Washington đã từ chối bình luận, nói rằng sự điều tra về Conficker là một vụ mở.
There is also a different possibility that concerns the researchers: That the program was not designed by a criminal gang, but instead by an intelligence agency or the military of some country to monitor or disable an enemy’s computers. Networks of infected computers, or botnets, were used widely as weapons in conflicts in Estonia in 2007 and in Georgia last year, and in more recent attacks against South Korean and United States government agencies. Recent attacks that temporarily crippled Twitter and Facebook were believed to have had political overtones.
Yet for the most part Conficker has done little more than to extend its reach to more and more computers. Though there had been speculation that the computer might be activated to do something malicious on April 1, the date passed without incident, and some security experts wonder if the program has been abandoned.
The experts have only tiny clues about the location of the program’s authors. The first version included software that stopped the program if it infected a machine with a Ukrainian language keyboard. There may have been two initial infections — in Buenos Aires and in Kiev.
Wherever the authors are, the experts say, they are clearly professionals using the most advanced technology available. The program is protected by internal defense mechanisms that make it hard to erase, and even kills or hides from programs designed to look for botnets.
A member of the security team said that the Federal Bureau of Investigation had suspects, but was moving slowly because it needed to build a relationship with “noncorrupt” law enforcement agencies in the countries where the suspects are located.
An F.B.I. spokesman in Washington declined to comment, saying that the Conficker investigation was an open case.
Những lây nhiễm đầu tiên, vào ngày 20/11 năm ngoái, đã thiết lập một cuộc chiến cường độ cao giữa những tác giả ẩn mình và nhóm những người tình nguyện mà họ đã thành lập để tính sổ chúng. Nhóm này, mà ban đầu gọi bản thân họ là “Conficker Cabal”, đã thay đổi tên khi Microsoft, Symantec và vài công ty khác nữa đã phản đối ý nghĩa không chuyên nghiệp này.
Cuối cùng, các nhà nghiên cứu các trường đại học và các quan chức tăng cường pháp luật đã liên kết lực lượng với các chuyên gia máy tính tại hơn 2 tá các hãng phần mềm, Internet và an ninh máy tính.
Nhóm này đã thắng vài trận, nhưng cũng thua những trận khác. Các tác giả của Conficker vẫn tiếp tục phát tán các phiên bản phức tạp khó hiểu nhiều hơn nữa về chương trình này, tại một thời điểm sử dụng mã nguồn mà nó đã được phát minh ra trong các viện hàn lâm chỉ vài tháng trước. Tại thời điểm khác, một kỹ thuật độc nhất được thả ra bởi nhóm làm việc này đã cho phép các tác giả của chương trình này chuyển đổi một số lượng lớn các máy tính bị lây nhiễm thành một hệ thống giao tiếp điểm – điểm tiên tiến mà nhóm các công ty còn chưa có khả năng đánh thắng. Ở những nơi mà trước đó tất cả các máy tính bị lây nhiễm có thể phải gọi về nhà cho một nguồn duy nhất để xin các lệnh, thì các tác giả bây giờ có thể sử dụng bất kỳ máy tính bị lây nhiễm nào để ra lệnh cho tất cả những máy tính khác.
Đầu tháng 04, Patrick Peterson, một nhà nghiên cứu tại Cisco Systems tại San Jose, California, đã có được một vài tin tình báo về những mối quan tâm của các tác giả này. Ông nghiên cứu các chương trình máy tính ác hiểm bằng việc giữ một tập hợp các máy tính được cách ly mà chúng chộp và quan sát chúng – “vườn bách thú điện tử” của ông ta.
Ông đã phát hiện rằng các tác giả của Conficker đã bắt đầu phân phối các phần mềm mà chúng đánh lừa những người sử dụng Internet vào việc mua các phần mềm chống virus giả mạo bằng các thẻ tín dụng của họ. “Chúng tôi đã tắt đèn trong vườn bách thú một này và quay trở lại vào ngày hôm sau”, ông Peterson nói, lưu ý rằng trong “chuồng” còn trữ lại cho Conficker, thì sự lây nhiễm đã được liên kết bởi một chương trình phát tán một phần mềm chống virus bất lương.
Dấu hiệu cuộc sống gần đây nhất từ chương trình này, và sự im lặng của nó đã tạo ra một tranh luận giữa các chuyên gia an ninh máy tính. Một số nhà nghiên cứu nghĩ Conficker là một cái vỏ rỗng, hoặc rằng các tác giả của chương trình này đã sợ bị phát hiện. Những người khác lý sự rằng họ đơn giản đang chờ thời.
The first infections, last Nov. 20, set off an intense battle between the hidden authors and the volunteer group that formed to counter them. The group, which first called itself the “Conficker Cabal,” changed its name when Microsoft, Symantec and several other companies objected to the unprofessional connotation.
Eventually, university researchers and law enforcement officials joined forces with computer experts at more than two dozen Internet, software and computer security firms.
The group won some battles, but lost others. The Conficker authors kept distributing new, more intricate versions of the program, at one point using code that had been devised in academia only months before. At another point, a single technical slip by the working group allowed the program’s authors to convert a huge number of the infected machines to an advanced peer-to-peer communications scheme that the industry group has not been able to defeat. Where before all the infected computers would have to phone home to a single source for instructions, the authors could now use any infected computer to instruct all the others.
In early April, Patrick Peterson, a research fellow at Cisco Systems in San Jose, Calif., gained some intelligence about the authors’ interests. He studies nasty computer programs by keeping a set of quarantined computers that capture and observe them — his “digital zoo.”
He discovered that the Conficker authors had begun distributing software that tricks Internet users into buying fake antivirus software with their credit cards. “We turned off the lights in the zoo one day and came back the next day,” Mr. Peterson said, noting that in the “cage” reserved for Conficker, the infection had been joined by a program distributing an antivirus software scam.
It was the most recent sign of life from the program, and its silence has set off a debate among computer security experts. Some researchers think Conficker is an empty shell, or that the authors of the program were scared away in the spring. Others argue that they are simply biding their time.
Nếu máy tính không chính đáng đã được kích hoạt lại, thì nó có thể không có khả năng giải quyết vấn đề của các siêu máy tính được sử dụng để thiết kế các vũ khí hạt nhân hoặc mô phỏng sự thay đổi khí hậu. Nhưng vì nó đã ra lệnh được cho quá nhiều máy tính, nên nó có thể vẽ ra trên một số lượng sức mạnh tính toán còn lớn hơn là từ bất kỳ trang bị máy tính duy nhất nào được quản lý bởi các chính phủ hoặc Google. Đây chính là sự phản ánh mặt tối của “máy tính đám mây” quét qua Internet thương mại, trong đó các dữ liệu được lưu trữ trên Internet chứ không phải là trong một máy tính cá nhân.
Nhóm các công ty tiếp tục cố gắng tìm cách để giết Conficker, đã gặp nhau gần đây vào hôm thứ ba. Ông Joffe đã nói ông, cá nhân, đã không chuẩn bị để công bố chiến thắng. Nhưng ông nói rằng công việc của nhóm đã chứng minh rằng chính phủ và giới doanh nghiệp tư nhân có thể hợp tác để tính tới những mối đe dọa của không gian mạng.
“Ngay cả nếu chúng ta thua trong việc chống lại Conficker”, ông nói, “sẽ có những thứ mà chúng ta đã học được mà nó sẽ có ích lợi cho chúng ta trong tương lai”.
If the misbegotten computer were reactivated, it would not have the problem-solving ability of supercomputers used to design nuclear weapons or simulate climate change. But because it has commandeered so many machines, it could draw on an amount of computing power greater than that from any single computing facility run by governments or Google. It is a dark reflection of the “cloud computing” sweeping the commercial Internet, in which data is stored on the Internet rather than on a personal computer.
The industry group continues to try to find ways to kill Conficker, meeting as recently as Tuesday. Mr. Joffe said he, for one, was not prepared to declare victory. But he said that the group’s work proved that government and private industry could cooperate to counter cyberthreats.
“Even if we lose against Conficker,” he said, “there are things we’ve learned that will benefit us in the future.”
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.