E-Banking on a Locked Down PC, Part II
By Brian Krebs | October 20, 2009; 2:00 PM ET
Theo: http://voices.washingtonpost.com/securityfix/2009/10/e-banking_on_a_locked_down_pc.html
Bài được đưa lên Internet ngày: 20/10/2009
Lời người dịch: Những câu chuyện buồn của các doanh nghiệp vừa và nhỏ bị mất tiền khi tiến hành các giao dịch ngân hàng trực tuyến vì sử dụng Windows và bị các phần mềm độc hại chuyên lừa gạt để ăn cắp. Những bài học về các công ty chuyên cung cấp các phần mềm chống virus vì lợi nhuận mà có thể lòe bịp các khách hàng bởi những phần mềm diệt virus vô tác dụng, giống hệt như câu chuyện về những kẻ đi bán roi da chỉ dành cho người đi ngựa ở thế kỷ trước, nay chào bán cho các lái xe ô tô vậy, trong khi có thể chỉ cần sử dụng một đĩa LiveCD của bất kỳ một phát tán GNU/Linux nguồn mở nào (có lẽ có giá chỉ ngang với 10.000 VNĐ) là có thể vượt qua được những thứ ngớ ngẩn này.
Hai bài trên blog Security Fix cuối tuần trước thúc giục các doanh nghiệp xem xét sử dụng thứ gì đó khác với Microsoft Windows khi [sử dụng] ngân hàng trực tuyến đã khêu gợi được những phản ứng mạnh mẽ từ các độc giả. Hầu hết nói họ nghĩ đây là một viễn cảnh tươi mới và là sự tư vấn khá, trong khi những người khác đã chỉ trích tôi vì đi quá xa hoặc vì thất bại trong việc khuyến cáo những giải pháp thay thế ít quyết liệt hơn.
Hãy để tôi làm rõ: Tư vấn này từng được hướng tới không phải những người tiêu dùng, mà các công ty vừa và nhỏ mà họ có thể không có một đội ngũ nhân lực về an ninh và công nghệ thông tin làm việc toàn thời gian, và những người dựa vào 1 hoặc 2 người để điều hành các tài khoản ngân hàng và bảng lương của họ một cách trực tuyến.
Nói vậy, tôi đã muốn trả lời cho một vài giải pháp thay thế đặc chủng được gợi ý bởi các độc giả, vì tôi cảm thấy họ ít biết về mức độ an ninh mà các công ty này cần phải tránh trở thành những nạn nhân tiếp sau.
Ví dụ, một số độc giả đã nhấn mạnh tầm quan trọng của việc đảm bảo rằng các máy tính Windows của các nhân viên đang chạy theo một tài khoản người sử dụng được hạn chế mà không có khả năng cài đặt các phần mềm hoặc chỉnh sửa các thiết lập cài đặt hệ thống mang tính sống còn. Điều này được gọi là nguyên lý ưu tiên tối thiểu là nền tảng cơ bản trong lĩnh vực an ninh máy tính, khi nó có thể đánh bại mọi cuộc tấn công của các phần mềm độc hại. Quả thực, tôi khuyến cáo tiếp cận quá thường xuyên mà bạn google (tìm kiếm bằng google) về khái niệm “limited user” (người sử dụng bị hạn chế) thì bạn sẽ thấy bài viết của tôi là nằm ở hàng đầu.
Vẫn còn, một số lượng những mối đe dọa cao cấp hơn ngày nay - bao gồm cả Zeus Trojan, một họ phức tạp của các phần mềm độc hại thông dụng nhất có liên quan tới những cuộc tấn công này chống lại các doanh nghiệp nhỏ - sẽ chỉ hạnh phúc chạy trên một tài khoản người sử dụng bị hạn chế như một tài khoản của người quản trị trong Windows.
A pair of Security Fix blog posts last week urging businesses to consider using something other than Microsoft Windows when banking online elicited strong reactions from readers. Most said they thought it was a fresh perspective and sound advice, while others criticized me for going too far or for failing to recommend less drastic alternatives.
Let me be clear: The advice was aimed not at consumers, but at small to mid-sized companies that may not have a full-time IT/security staff, and who rely on one or two people to handle their bank accounts and payroll online.
That said, I wanted to respond to a couple of specific alternatives suggested by readers, because I felt they fell short of the level of security that these companies need to avoid becoming the next victim.
For example, some readers emphasized the importance of ensuring that employees' Windows computers are running under a limited user account that does not have the ability to install software or alter critical system settings. This so-called least-privilege principle is foundational in the field of computer security, as it can defeat many malicious software attacks. Indeed, I recommend the approach so frequently that if you Google for the term "limited user" you will see my column as the first entry.
Still, a number of today's more advanced threats - including the Zeus Trojan, a sophisticated family of malware most commonly associated with these attacks against small businesses -- will just as happily run on a limited user account as an administrator account in Windows.
Cũng giống vậy, việc mua một máy tính xách tay Windows rẻ mà nó được sử dụng chỉ để truy cập vào website ngân hàng của công ty là một sự khởi đầu dễ chịu, nhưng một trong những họ phần mềm độc hại thông dụng nhất có liên quan tới các cuộc tấn công mà tôi đã viết - Clampi Trojan - lan truyền quá dễ dàng giữa các máy tính Windows qua một mạng nội bộ của một công ty. Sự tư vấn của tôi từng hướng tới việc cung cấp một giải pháp không có giá thành cho các doanh nghiệp vừa và nhỏ, nhưng nếu các hãng này sẽ mua bất kỳ thứ gì trong đầu hướng tới việc chào cho người quản trị kiểm soát hoặc bảng lương của họ một lựa chọn máy tính an toàn hơn, thì họ có thể phải lòe bịp và có một máy Mac.
Khi mà loạt bài này bắt đầu, tôi bị lụt với sự ném liệng từ các công ty cung cấp tất cả các dạng sản phẩm và dịch vụ an ninh hướng vào việc đảm bảo an ninh cho site ngân hàng trực tuyến từ người sử dụng đầu cuối. Nhưng theo ý kiến của tôi, hầu hết các tiếp cận này là thiển cận, dựng chuyện đối với người sử dụng (và những kẻ xấu) để nhảy qua.
Từ nơi tôi ngồi, bất kỳ giải pháp nào mà thất bại trong giả thiết là một hệ thống của khách hàng được sở hữu hoàn toàn bởi những kẻ xấu không có được một lời cầu nguyện về những mối đe dọa khôn hơn ngày nay. Tôi thấy nó lạc lõng rằng quá ít các công ty về an ninh đang nói về những gì dường như sẽ là một đòi hỏi rõ ràng cho các công nghệ dò tìm giả mạo đầu cuối tốt hơn của nhiều ngân hàng quốc gia (về chủ đề này sẽ có nhiều hơn trong một bài viết trong tương lai).
Cũng thú vị thấy rằng vẫn còn có những người trong nền công nghiệp tài chính hoặc an ninh chào những thẻ an ninh như là câu trả lời cho dạng giả mạo này. Trong hết cuộc thâm nhập này tới cuộc thâm nhập khác, những kẻ thâm nhập đã chỉ ra khả năng của chúng trượt qua tất cả các ngăn trở về an ninh phụ thuộc vào người sử dụng được dựng lên bởi các ngân hàng trực tuyến. (như các mật khẩu, các câu hỏi bí mật, và các mã một lần được thẻ token tạo ra).
Likewise, purchasing a cheap Windows netbook that is used only to access the company's bank Web site is a nice start, but one of the most common malware families associated with these attacks I've written about - the Clampi Trojan - spreads quite easily among Windows systems over a company's internal network. My advice was aimed at providing a no-cost solution for small to mid-sized businesses, but if these firms are going to purchase anything with a mind toward offering their controller or payroll administrator a safer computing option, they should probably splurge and get a Mac.
Since this series began, I have been flooded with pitches from companies providing all manner of security products and services aimed at securing the online banking site from the user's end. But in my opinion, most of these approaches come up short, erecting yet another hoop for the user (and the bad guys) to jump through.
From where I sit, any solution that fails to assume that a customer's system is already completely owned by the bad guys doesn't have a prayer of outsmarting today's threats. I find it strange that so few security companies are talking about what appears to be a clear demand for better back-end fraud detection technologies by many of the nation's banks (more on this topic in a future column).
It's also interesting to see that there are still people in the financial or security industry touting security tokens as the answer to this type of fraud. In break-in after break-in, the perpetrators have shown their ability to slip past virtually all of the customer-dependent security barriers erected by online banks (e.g., passwords, secret questions, and token-generated one-time codes).
Tôi đã phát hiện ra ví dụ mới nhất về sự thất bại này chỉ tuần trước, khi tôi đã nói chuyện với hãng Genlaps Corp., một hãng sản xuất hóa học có trụ sở ở Chino, Calif. Ngay cả dù tài khoản ngân hàng của doanh nghiệp Genlaps đã được bảo vệ bởi một mã thẻ token an ninh và một mật khẩu, thì bọn ăn cắp vẫn đã có khả năng đột nhập vào tài khoản trực tuyến của hãng này và chuyển 437,000 USD tới 50 kẻ đồng tình nghi khác khắp đất nước.
Joyce Nicola, người kiểm soát của Genlabs, đã nói bọn ăn cắp đã gây lây nhiễm một máy tính cá nhân thuộc về một thuộc cấp, người đã giúp để thiết lập các tài khoản trả tiền lương mới cho công ty. Thông thường, Nicola nói, khi họ đăng nhập vào tài khoản của họ ở ngân hàng, thì site này sẽ hỏi về một cái tên trên một trang, rồi trang tiếp sau yêu cầu một mật khẩu, và một trang thứ 3 và trang cuối cùng yêu cầu người sử dụng gõ vào đầu ra từ một key fob mà nó sinh ra một con số có 6 chữ số mới cứ mỗi 60 giây. Khi nhân viên này đã đăng nhập vào được site của ngân hàng vào buổi sáng ngày 16, thì tất cả 3 trường này đã được trình bày trên cùng một trang chủ của ngân hàng.
Một chuyên gia máy tính địa phương sau đó đã xác định rằng một sự lây nhiễm từ “Zbot Trojan” (biệt hiệu của “Zeus”) dã cho phép những kẻ tấn công viết lại màn hình đăng nhập của ngân hàng như được hiển thị trên máy tính của nhân viên này, sao cho những ủy quyền đã bị can thiệp trước khi chúng có thể được gửi đi vào website thực sự của ngân hàng. Báo cáo của nhân viên kỹ thuật về sự lây nhiễm của Zeus - sẵn có ở đây - là đáng đọc, đặc biệt các điểm 5 và 6, mà chúng lưu ý rằng sự lây nhiễm có thể không được phát hiện từ bên trong Windows.
Bây giờ, Genlabs đã thành công trong việc hoàn lại chỉ 48,000 USD của những giao dịch giả mạo, Nicola nói.
I discovered the latest example of this failure just last week, when I spoke with Genlabs Corp., a chemical manufacturing firm based in Chino, Calif. Even though Genlabs' business banking account was protected by a security token code and a password, the thieves still were able to break into the firm's account online and transfer $437,000 to 50 different co-conspirators around the country.
Joyce Nicola, Genlabs' controller, said the thieves infected a PC belonging to a subordinate who was helping to set up new payroll accounts for the company. Normally, Nicola said, when they log in to their account at the bank, the site asks for a user name on one page, then the next page requests a password, and a third and final page requires the user to type in the output from a key fob that generates a new six-digit number every 60 seconds. When the employee logged in to the bank's site on the morning on the 16th, all three of those fields were instead present on the bank's home page.
A local computer forensics expert later determined that an infection from the "Zbot Trojan" (a.k.a., "Zeus") had allowed the attackers to re-write the bank's login screen as displayed on the employee's computer, so that the credentials were intercepted before they could be sent on to the bank's actual Web site. The technician's report on the Zeus infection -- available here (PDF) -- is worth reading, particularly points 5 and 6, which noted that the infection could not be diagnosed from within Windows.
To date, Genlabs has succeeded in reversing just $48,000 worth of fraudulent transfers, Nicola said.
Dịch tài liệu: Lê Trung Nghĩa
Không có nhận xét nào:
Đăng nhận xét
Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.