PDA

View Full Version : Các ứng dụng làm “mồi nhử” của tin tặc



thebluesky147
27-03-2010, 02:07 PM
Các ứng dụng làm “mồi nhử” của tin tặc

Hầu hết chúng ta đều cảnh giác với các chương trình đang hoạt động hoặc tải về không rõ nguồn gốc. Nhưng mỗi năm, các mối đe dọa bảo mật lại thay đổi và dưới đây là 7 “mồi nhử” mà tin tặc thường sử dụng để bẫy người dùng và cách tránh né khỏi chúng.

1. Các lỗ hổng của Adobe
Ngoài Microsoft, Adobe cũng là một hãng sản xuất phần mềm hoạt động trên các máy tính cài Windows. Mọi người có Flash, Acrobat Reader và Shockwave và chúng được phần mềm mã độc sử dụng như một cơ chế để phát tán các thứ độc hại cho người dùng (tương tự chương trình Adobe hoạt động trên HĐH khác nhưng đích nhắm tới các máy PC Windows lại chiếm ưu thế hơn).

http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_001.jpg (http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_001.jpg)

Nguy hiểm xảy ra đối với người dùng khi họ sử dụng các phiên bản của chương trình không được cập nhật hay phiên bản hiện thời có chứa các lỗ hổng chưa được vá và sẽ bị lợi dụng như các lỗ hổng an ninh.
Cơ chế hoạt động của chúng là lừa cho người dùng kích vào một trang web quảng cáo Flash hoặc tài liệu PDF bị nhiễm mã độc tự động mở ra khi ghé thăm vào trang quảng cáo.
Giải pháp:
– Giữ sản phẩm Adobe luôn được cập nhật và không để máy tính hoạt động ở user Administrator. Vì như vậy có thể sẽ đưa mã độc truy cập vào các thiết lập hệ thống.
– Vô hiệu hóa phần xem trước hình thu nhỏ đối với các tài liệu Acrobat. Việc tắt tính năng đó hay nâng cấp lên một phiên bản mới sẽ an toàn loại bỏ các nguồn tấn công tiềm năng.
– Chặn hoàn toàn quảng cáo bằng cách chạy một chương trình nhúng (plugin) như Adblock Plus hay vô hiệu hóa tập lệnh (script) chọn lọc của các trang đáng nghi ngờ bằng cách sử dụng plugin NoScript.

2. Điểm yếu của Firefox

http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_002.jpg (http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_002.jpg)

Mối đe dọa: Phần mở rộng (add-on) của Firefox là một mối đe dọa bảo mật tiềm ẩn, tuy không đáng sợ như plug-in ActiveX của IE nhưng vẫn có nguy cơ cao. Nhiều cuộc tấn công web nhắm vào Firefox, phá hủy các add-on và cấu trúc hỗ trợ cho chương trình.
Cơ chế: Hầu hết mối nguy hiểm đến từ add-on đều giả vờ là hợp pháp. Chẳng hạn như chúng giả vờ là chương trình Adobe Flash Player và yêu cầu người dùng cập nhật. Điều đó đồng nghĩa với mã độc sẽ thâm nhập vào máy tính của nạn nhân. Hoặc thông qua các tệp tin hỗ trợ, chỉnh sửa các chương trình và viết lại truy cập tới các tệp tin khác theo mục đích của tin tặc. Chẳng hạn như sửa đổi tập tin overlay.xul.
Giải pháp: Mọi người nghĩ chương trình diệt virus là biện pháp đầu tiên cho phòng tránh nhưng không phải lúc nào cũng đúng. Đối với cuộc tấn công vào overlay.xul, nhiều chương trình diệt virus nổi bật như Symantec, Panda, Kaspersky hay Trend Micro đã bỏ qua chúng. Nhưng chương trình quét virus trực tuyến lại phát huy tác dụng.
Cách khác là sử dụng một phiên bản Firefox không cần cài đặt như Mozilla Firefox Portable Edition. Chúng có thể chạy trên bất cứ thư mục nào, ngay cả từ ổ đĩa ngoài. Nếu chương trình bị nhiễm, chúng có thể giữ tách biệt với phần còn lại của các ứng dụng và dễ dàng làm sạch cũng như khôi phục lại mà không ảnh hưởng tới dữ liệu của người dùng.

3. HĐH Mac

http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_003.jpg (http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_003.jpg)
Mối đe dọa: Nhiều người chuyển sang HĐH Mac với cảm giác đó là một nền tảng an toàn. Nhưng các mối đe dọa HĐH này đã phát triển rất nhiều, chẳng hạn như từ các phần mềm lậu hay lỗ hổng của chính nền tảng đó. Nguy hiểm nhất trong tất cả là cảm giác sai lầm về bảo mật.


Cơ chế: Nhà chế tạo sản phẩm bảo mật cho máy Mac- Intego đã thông báo trong năm 2009 là đã kiểm tra các lỗ hổng chủ chốt và mã độc. Phát hiện thấy không có nhiều mã độc Mac nhưng hầu hết tập trung trong các bản lậu của ứng dụng thương mại (iWork "09, Adobe Photoshop) có sẵn trên các mạng chia sẻ tệp tin ngang hàng (peer-to-peer). Điều đáng lo ngại nhất là các lỗ hổng của trình duyệt Safari. Trình duyệt đã thể hiện liên kết yếu trong hệ thống an ninh của OS X.
Giải pháp: Cảm giác sai lầm về bảo mật là một thói quen xấu cần phải loại bỏ trước tiên. Tiếp theo, người dùng Mac cần cập nhật ứng dụng thường xuyên cũng như phải giữ ý thức bảo mật của họ như một vấn đề trung lập nền tảng. Không trung thành với hệ điều hành nào cả, lỗ hổng trên Safari có thể cũng là một vấn đề như với IE, nên thông báo về các mối đe dọa và tránh sử dụng phần mềm lậu.

4. QuickTime


http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_004.jpg (http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_004.jpg)

Đây là sản phẩm của Apple trên máy tính Windows. Hầu hết máy tính cài QuickTime hay iTunes và hầu hết chúng ta không nghĩ chúng như các lỗ hổng bảo mật. Tuy nhiên, đã có nhiều cuộc tấn công vào phiên bản QuickTime của Mac và PC trong thời gian qua. Năm 2007, cuộc khai thác gây tràn bộ đệm là do các phiên bản QuickTime trên cả hai hệ thống Mac và Windows. Một lỗ hổng khác được phát hiện vào năm 2008 với tính chất tương tự.
Giải pháp: Apple có bộ cập nhật tự động cho phần mềm của họ trên HĐH Windows. Vì vậy, người dùng nên giữ cho QuickTime luôn được cập nhật. Cũng như giữ cho số loại tệp tin liên quan tới QuickTime là tối thiểu – hầu hết người dùng sử dụng chúng để chạy các tệp tin QuickTime. Do đó, điều này sẽ giúp hạn chế các cuộc tấn công bề mặt sẵn có.

5. URL

http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_005.gif (http://tin180.com/wp-content/blogs.dir/10/files/2010/03/Cac-ung-dung-lam-moi-nhu-cua-tin-tac_Tin180.com_005.gif)

Các dịch vụ URL rút ngắn như bit.ly hay is.gd đã gây nhiều phiền toái cùng với sự nổi lên của Twitter và Facebook. Có cách nào tốt hơn để giấu một cuộc tấn công hơn là cho chúng ẩn trong các URL. Các URL rút ngắn thường thể hiện không an toàn cho việc kiểm tra các liên kết mà chúng xử lý. Một đường dẫn trực tiếp có thể dẫn tới các trang web chứa mà độc.
Giải pháp: URL dài là một trang cho phép người dùng dán trong một URL ngắn và mở chúng để xem nếu người dùng đang phát tán mã độc. Nếu sao chép và dán cũng quá phức tạp, nhưng có một phiên bản add-on của dịch vụ Firefox cho phép hiển thị phiên bản URL dài khi người dùng di chuột qua URL được rút ngắn đó. Hơn nữa, URL dài cũng cung cấp một bộ API để có thể tích hợp với các ứng dụng như jQuery. Do đó, người dùng tích hợp các công cụ rút ngắn liên kết trên các trang web hay chương trình của họ cũng có thể sử dụng các công cụ với tính năng như trên.

6. Sự đầu độc DNS
Mối đe dọa: Các máy chủ DNS có nhiệm vụ dịch các địa chỉ Internet thành tên miền thân thiện với người dùng (Ví dụ: 203.162.1.142 -> http://www.vnmedia.vn (http://www.vnmedia.vn/) ). Tuy nhiên, thông tin cung cấp bởi các máy chủ DNS có thể bị tấn công hoặc bị định hướng sai. Điều này cho phép kẻ tấn công gửi cho người dùng bất cứ website nào mà chúng chọn.
Cơ chế: Các cuộc tấn công DNS phổ biến nhất khai thác lỗ hổng trong phần mềm máy chủ DNS để cho phép làm giả dữ liệu phân giải tên miền gửi tới khách hàng. Điển hình là vụ đầu độc DNS vào năm 2008 khi nhà nghiên cứu máy tính Dan Kaminsky chứng minh, làm thế nào các tên miền có thể chuyển hướng đối với phiên bản BIND hiện nay. BIND là phần mềm được sử dụng trên hầu hết máy chủ thực hiện phân giải DNS. Kết quả cuối cùng là tin tặc có thể đánh cắp toàn bộ tên miền- bao gồm cả tên miền con của chúng, các máy chủ mail, các bán ghi SPF và mọi thứ khác có thể có trong tài nguyên DNS.
Giải pháp: Quản trị viên nên cập nhật các phiên bản mới nhất của phần mềm BIND. Nếu nghi ngờ về tính hợp lệ của DNS đang đặt, người dùng có thể kiểm tra thông qua bộ công cụ DNSStuff.com. DNSreport Demo của chúng cho phép kiểm tra kết quả phân giải DNS đối với các tên miền thông thường từ các máy chủ của bạn. Nếu bạn nghi ngờ máy chủ DNS bị tấn công, có thể chỉnh sửa các thiết lập TCP/IP hay thiết lập của bộ định tuyến tại gia của mình.

7. Các cuộc tấn công vào bộ định tuyến tại gia
Các cuộc tấn công vào phần cứng của mạng tại gia là khá hiếm nhưng đang thu hút sự chú ý của tin tặc. Quay trở lại năm 2006, hai nhà nghiên cứu của Trường đại học Ấn Độ đã nói về việc, các bộ định tuyến tại gia đã bị tấn công như thế nào và sử dụng để đánh cắp thông tin cá nhân. Kể từ đó, cuộc tấn công mà họ miêu tả đã xuất hiện. Đơn giản nhất là tấn công thay đổi máy chủ DNS được sử dụng bởi bộ định tuyến và có thể được tận dụng để sử dụng cho một cuộc tấn công khác. Cuộc tấn công phức tạp hơn có thể thay đổi chương trình trong bộ định tuyến để chuyển tiếp lưu lượng được mã hóa, mật khẩu đăng nhập hay tạo thay đổi tới các thiết bị kết nối tới bộ tính tuyến đó.
Khi thiết lập một bộ định tuyến mới cần thực hiện 4 bước để đảm bảo an toàn:
– Đặt lại trạng thái của nhà sản xuất ngay cả khi nghĩ chúng đã được cập nhật.
– Luôn cập nhật phần mềm mới nhất dành cho chúng.
– Đặt lại mật khẩu mặc định (sử dụng một mật khẩu an toàn).
– Tắt tất cả các tính năng cho phép thiết bị bị quản lý từ bất cứ thứ gì khác hơn là thiết bị kết nối trực tiếp vào bộ định tuyến.


Hà Bùi – (tổng hợp)
(Theo_VnMedia)

http://c3dongxoai.com/forum/c3skin/buttons/quote.gif (http://c3dongxoai.com/forum/newreply.php?do=newreply&p=69010)