Diễn đàn công nghệ thông tin

Virus – một trong những hiểm họa thường xuyên gặp phải nhất đối với người sử dụng máy tính, có thể chúng ta vẫn đang sống và làm việc hàng ngày với chúng mà không hề biết. Đối với những chuyên gia kỹ thuật và bảo mật thì chúng rất dễ nhận biết và phòng tránh, nhưng phần lớn người dùng còn lại thường khó nhận biết được đâu là virus, và đâu là chương trình thực sự của máy tính. Thực chất, virus là những phần mềm, nhưng được tạo ra với mục đích phá hoại sự cân bằng và nền tảng bảo mật trong bất kỳ hê thống máy tính nào, chúng thường gây ra các hiện tượng bất thường như tăng hiệu suất hoạt động của CPU lên mức 100%, tự lây lan, nhân bản và sao chép vào các thư mục và phân vùng ổ đĩa... Và kể từ khi bắt đầu xuất hiện, chúng đã gây ra nhiều thiệt hại to lớn, tiêu tốn nhiều tiền của và công sức của mọi người trong việc tiêu diệt và khắc phục hậu quả để lại. Và dưới đây là danh sách 5 loại virus nguy hiểm nhất được thống kê trong vòng 5 năm qua.

1. Alureon (năm 2010):

Hãy bắt đầu với “danh hiệu” virus của năm 2010 – Alureon, vô cùng tinh vi và xảo quyệt trong việc đánh cắp tên tài đăng nhập, mật khẩu và dữ liệu trong thẻ tín dụng của người dùng bằng việc chặn các luồng dữ liệu qua hệ thống mạng. Bên cạnh đó, chúng còn ảnh hưởng trực tiếp đến hệ điều hành Windows của Microsoft bằng việc tạo ra màn hình xanh - BSoD (Blue Screen of Death).

2. Daprosy Worm (năm 2009):

Loại sâu này được phát hiện vào năm 2009, và được hãng bảo mật Symantec đặt tên là Daprosy Worm. Đây là 1 loại mã độc chuyên lây lan qua mô hình mạng Lan, phát tán thư rác qua email và các thiết bị lưu trữ USB. Thông thường file gốc của chúng có dạng read1st.exe, sau đó tiếp tục lây lan, nhân bản và đổi tên theo các thư mục lưu trữ. Triệu chứng dễ nhận biết nhất là sự xuất hiện của những file Classified.exe hoặc Do not open – secrets!.exe trong thư mục đi kèm. Chúng “nổi tiếng” bởi khả năng làm tê liệt hệ thống, phá vỡ sự ổn định của các chương trình hoạt động trong hệ điều hành và liên tục gây ra nhiều lỗi khác.

3. Conficker (năm 2008):

Hay còn biết đến với các tên khác như Downup, Downadup, Kido, mục tiêu tấn công của chúng là hệ điều hành Microsoft Windows. Bắt đầu hoành hành mạnh mẽ và bị phát hiện trong năm 2008, quá trình tấn công của chúng bao gồm 2 công đoạn chính: trước tiên là lỗ hổng bảo mật MS08-067 trong Server Service nhằm cho phép thực thi các câu lệnh từ xa, bước này cho phép tin tặc chạy những đoạn mã nhị phân trên máy tính của nạn nhân mà không cần phải xác nhận tài khoản, bên cạnh đó lại có toàn quyền điều khiển hệ thống. Tiếp theo, sâu Conficker sử dụng những máy tính này để phá vỡ mật khẩu tài khoản admin trong hệ thống mạng local, qua đó dễ dàng lây lan đến những máy tính tiếp theo. Các bạn có thể hình dung được mức độ tàn phá khủng khiếp của chúng khi có đến hàng triệu máy tính của các nhân, doanh nghiệp và chính phủ bị ảnh hưởng chỉ trong năm 2008 trên khắp 200 quốc gia toàn thế giới, tổng thiệt hại ước tính lúc đó khoảng 9,1 tỷ USD, chủ yếu là khu vực Châu Á, Nam Mỹ và Châu Âu. Sau khi “đánh chén” no nê các nạn nhân, bạn hãy tưởng tượng rằng từ 1 con sâu bình thường, chúng đã “tiến hóa” thành Anaconda – một loại quái vật bò sát khổng lồ.

Tưởng chừng như mọi việc đã kết thúc nhưng thực sự không phải, Conficker đã trở lại sau đó 1 thời gian ngắn và nhiều tính năng nguy hiểm hơn rất nhiều:

- Vô hiệu hóa DNS lookups.

- Ngăn chặn tính năng Auto Update.

- “Xóa sổ” các chương trình bảo mật.

- Rà soát, và ngắt hoạt động của những tiến trình có tên của các ứng dụng bảo mật, bản vá, cập nhật an ninh hoặc các tiện ích khác.

4. Storm Worm (năm 2007):

Hay còn được gọi là Small.dam, Trojan.Peacomm, Trojan.Peed, Trojan.Tibs, W32/Zhelatin... Đây có thể coi là ông hoàng của các loại virus trong năm 2007 - Storm Worm, thường được tự đính kèm trong các email với tiêu đề 230 dead as storm batters Europe, và ngay lập tức lây lan vào máy tính của người sử dụng tò mò và mở email đó, sau đó tiếp tục nhân bản và lây lan qua chính những nạn nhân đó.

5. Nyxem (năm 2006):

Còn được biết đến với một số tên gọi khác như: Mywife, Hunchi, I-Worm.Nyxem, Blackmal, Blueworm, Blackworm... Lần đầu tiên xuất hiện trong khoảng tháng 03 năm 2006, Nyxem chủ yếu hoạt động và lây lan qua email sử dụng giao thức SMTP. Loại sâu này có thể tự nhân bản và gửi đi những bức thư điện tử tới các nạn nhân qua tiêu đề, nội dung và file đính kèm khác nhau, đồng thời tự nhân bản và lây lan vào tất cả các phân vùng trên ổ cứng. Phần nguy hiểm nhất của Nyxem là khả năng xóa bỏ các chương trình bảo mật, nếu được cài đặt trên cùng vị trí được chỉ định sẵn trong mã nguồn, hoặc xóa các thành phần trong Registry của Windows, do vậy những ứng dụng diệt virus không tự khởi động cùng hệ thống. Bên cạnh đó, nó còn đi kèm với 1 file GIF được dùng để khiến cho người nhận nghĩ rằng email này đã được Norton Anti-Virus kiểm duyệt và an toàn, nhưng thực thế thì không phải như vậy.

Theo Trung Hiền (Vietnam+)

Trong những năm vừa qua, Microsoft đã cố gắng để biến PowerShell thành 1 trong những công cụ quản lý toàn diện dành cho Windows. Hầu hết các hệ thống server của Microsoft đều khuyến cáo mọi người sử dụng PowerShell, có thể thực hiện được rất nhiều chức năng mà không cần phải can thiệp bằng Command Prompt như trước kia. Đối với mỗi người quản trị hệ thống Windows, họ cần phải làm quen và sử dụng PowerShell từ những bước cơ bản ban đầu. Sau đây, chúng tôi sẽ giới thiệu với các bạn 10 lệnh không thể thiếu khi bắt tay làm quen với PowerShell.

1. Get-Help:

Đầu tiên và trước tiên, tất cả mọi người cần tìm hiểu về bất cứ câu lệnh, cú pháp nào là Get-Help. Ví dụ nếu muốn kiểm tra về Get-Process thì gõ lệnh như sau:

Get-Help -Name Get-Process

và Windows sẽ hiển thị đầy đủ cú pháp. Bên cạnh đó, Get-Help còn được sử dụng đi kèm với danh từ và động từ riêng rẽ, ví dụ với lệnh động từ Get:

Get-Help -Name Get-*

2. Set-ExecutionPolicy:

Mặc dù bạn có thể tạo và thực thi các đoạn mã PowerShell khác nhau, nhưng ở chế độ mặc định Microsoft đã tắt bỏ tính năng này để phòng tránh các loại mã độc khác nhau khi xâm nhập vào hệ thống có thể tự kích hoạt và khởi động trong môi trường PowerShell. Người sử dụng có thể áp dụng lệnh Set-ExecutionPolicy để thiết lập các mức bảo mật khác nhau, cụ thể có 4 lựa chọn phù hợp:

- Restricted: đây là chính sách mặc định của hệ thống, các câu lệnh PowerShell đều bị khóa, người sử dụng chỉ có thể nhập lệnh nhưng không thực thi được.

- All Signed: nếu bạn hoặc người quản trị thiết lập mức All Signed thì các đoạn mã sẽ được thực thi, nhưng chỉ áp dụng với những thành phần được chỉ định rõ ràng.

- Remote Signed: chính sách bảo mật khi ở mức này, bất cứ đoạn mã PowerShell được tạo bên trong hệ thống local sẽ được phép hoạt động. Còn những mã tạo qua remote thì chỉ được phép chạy khi gán thuộc tính đầy đủ.

- Unrestricted: không áp dụng bất cứ hình thức ngăn cấm nào trong hệ thống.

Cú pháp chung của lệnh này bao gồm tên của lệnh Set-ExecutionPolicy đứng sau chính sách. Ví dụ như sau:

Set-ExecutionPolicy Unrestricted

3. Get-ExecutionPolicy:

Nếu bạn phải làm việc trên hệ thống server không quen thuộc, thì cần phải biết chính sách mức chính sách bảo mật nào đang được áp dụng trên đó trước khi thực thi bất cứ câu lệnh hoặc đoạn mã nào đó. Để làm việc này, các bạn sử dụng lệnh Get-ExecutionPolicy.

4. Get-Service:

Câu lệnh này sẽ liệt kê tất cả các dịch vụ đã được cài đặt trên hệ thống. Nếu cần tìm hiểu kỹ hơn về 1 dịch vụ bất kỳ nào đó, hãy thêm -Name và tên của dịch vụ đó, Windows sẽ hiển thị đầy đủ chi tiết, tình trạng liên quan.

5. ConvertTo-HTML:

Khi cần xem hoặc tạo báo cáo đầy đủ về thông tin, tình trạng hiện thời của toàn bộ hệ thống, hãy sử dụng chức năng chuyển đổi định dạng ConvertTo-HTML. Trước tiên, các bạn cần chỉ định đường dẫn file chuyển đổi sau khi dùng ConvertTo-HTML, tham số -Property có nhiệm vụ khởi tạo thuộc tính trong file HTML, sau cùng là đặt tên cho file chuyển đổi. Cú pháp chung của lệnh này như sau:

Get-Service | ConvertTo-HTML -Property Name, Status > C:\services.htm

6. Export-CSV:

Sau khi tạo báo cáo bằng HTML dựa trên dữ liệu của PowerShell, bạn cũng có thể trích xuất dữ liệu PowerShell thành file CSV để sử dụng với Microsoft Excel. Cú pháp chung cũng tương tự như câu lệnh trên:

Get-Service | Export-CSV c:\service.csv

7. Select-Object:

Việc sử dụng các lệnh trên để tìm hiểu về hệ thống, bạn sẽ phát hiện ra rằng có rất nhiều thuộc tính kèm trong file CSV. Tính năng này tỏ ra thực sự hữu ích khi cho phép người sử dụng chỉ định những thuộc tính cố định trong các mối liên kết. Ví dụ, để tạo file CSV có chứa tên của các dịch vụ riêng biệt trong hệ thống và tình trạng đi kèm, các bạn có thể sử dụng cú pháp chung như sau:

Get-Service | Select-Object Name, Status | Export-CSV c:\service.csv

8. Get-EventLog:

Người sử dụng hoàn toàn có thể dùng PowerShell để phân tích các sự kiện xảy ra trong hệ thông qua file log. Có 1 vài tham số cụ thể đối với các dịch vụ khác nhau, nhưng hãy thử nghiệm bằng cách thêm -Log ở phía trước tên file log. Ví dụ, để xem file log Application thì các bạn sử dụng lệnh sau:

Get-EventLog -Log "Application"

Tuy nhiên, cú pháp này không thực sự phổ biến trong các hoàn cảnh làm việc, khi mà người sử dụng có thể lựa chọn giữa phương pháp lưu báo cáo thành định dạng HTML hoặc CSV.

9. Get-Process:

Đi kèm với lệnh Get-Service để hiển thị danh sách các dịch vụ hiện thời của hệ thống, cú pháp Get-Process được dùng để liệt kê toàn bộ các tiến trình đang hoạt động.

10. Stop-Process:

Đôi khi, có những dịch vụ trong hệ thống bị rơi vào trạng thái “treo”. Đối với những trường hợp như vậy, hãy dùng lệnh Get-Process để xác định tên hoặc ID chính xác của tiến trình đó, và tắt tiến trình này bằng lệnh Stop-Process. Ví dụ, để tắt hoạt động của chương trình NotePad thì gõ lệnh như sau:

Stop-Process -Name notepad

Stop-Process -ID 2668

Nhưng hãy lưu ý vì ID của các tiến trình sẽ thay đổi theo hệ thống.

Hãng an ninh mạng Panda Security vừa đưa ra dự báo một số đổi mới căn bản trong giới tội phạm mạng năm 2011.

Tấn công mạng, các cuộc chiến về an ninh mạng, phần mềm độc hại phát tán nhằm hướng đến việc thu lợi hoạt động mạnh mẽ hơn; phương tiện truyền thông và các kỹ thuật mang tính cộng đồng xã hội, và phát tán các mã độc hại với khả năng thích ứng cao để tránh bị phát hiện sẽ là mối đe dọa chính trong năm tới. Bên cạnh đó cũng sẽ có sự gia tăng các mối đe dọa cho người dùng máy tính Mac của Apple, các nỗ lực mới để tấn công hệ thống 64-bit và khai thác lỗ hổng dạng zero-day.

Đứng đầu danh sách mười nguy cơ xâm hại an ninh mạng chủ yếu của năm 2011 mà PandaLabs dự đoán là nguy cơ phát sinh malware. Trong năm 2010, các thống kê của PandaLabs cho thấy sự tăng trưởng đáng kể trong số lượng phần mềm độc hại và phát hiện ra ít nhất 20 triệu giống mới, nhiều hơn trong năm 2009. Hiện tại, cơ sở dữ liệu Collective Intelligence của Panda chứa tổng cộng hơn 60 triệu các mối đe dọa được phân loại. Tỷ lệ tăng trưởng của năm này so với năm trước gần đây dường như đã đạt đỉnh. Vài năm trước đây tỷ lệ tăng trưởng trên 100% và năm 2010 tỷ lệ này là 50%.

Tiếp theo cuộc chiến malware là nguy cơ về chiến tranh tội phạm tin học. Những báo cáo từ hai trang mạng Stuxnet và WikiLeaks cho thấy sự cho thấy cố gắng can thiệp vào hệ thống máy tính trong các nhà máy hạt nhân, cụ thể là với các máy ly tâm uranium. Các cuộc tấn công như thế này, mặc dù là nhiều hay ít sự phức tạp, nó vẫn còn đang tiếp diễn, và chắc chắn sẽ tăng trong năm 2011, cho dù nhiều sự việc trong số này sẽ không được chú ý của công chúng.

Các cuộc biểu tình trực tuyến đang trở thành một phong trào mới trên mạng. Phong trào này mới được khởi xướng bởi các nhóm dạng vô danh và các nhóm có tổ chức hoạt động chính thức nhằm công khai mọi thứ trên Internet, và sau đó hỗ trợ cho Julian Assange, chủ trang web WikiLeaks. Mặc dù nhiều nước đã cố gắng ban hành các đạo luật nhằm ngăn chặn các cuộc biểu tình trên mạng và những trang web kiểu như WikiLeaks, song theo PandaLabs, trong năm 2011, các cuộc biểu tình trên mạng sẽ vẫn diễn ra và có xu hướng tăng lên.

Trào lưu mạng xã hội và phạm vi rộng mở của nó đang trở thành "mảnh đất màu mỡ" cho tội phạm mạng hoạt động. Trong suốt năm 2010, PandaLabs chứng kiến cuộc tấn công khác nhau vốn được sử dụng từ hai mạng xã hội phổ biến nhất - Facebook và Twitter - như là bệ phóng. Trong năm 2011, PandaLabs cho rằng các hacker tiếp tục sử dụng các mạng này cho các cuộc tấn công mạng.

Được phát hành tháng 10/2009, hệ điều hành Windows 7 của Microsoft đang được những người dùng máy tính đón nhận và sử dụng rộng rãi. Tuy nhiên, hệ điều hành mới này lại đang là mục tiêu của nhắm tới của những phần mềm độc hại. Trong năm 2010, PandaLabs đã phát hiện xu hướng này, và dự đoán năm 2011, các trường hợp phần mềm độc hại nhắm mục tiêu người dùng hệ điều hành mới này vẫn sẽ tiếp tục xuất hiện.

Theo PandaLabs, trong năm 2011, các cuộc tấn công mới trên điện thoại di động sẽ không diễn ra trên quy mô lớn. Hầu hết các mối đe dọa hiện hữu mục tiêu là các thiết bị chạy với Symbian, một hệ điều hành mà bây giờ vào suy yếu dần. Với các hệ điều hành mới nổi, PandaLabs dự đoán rằng các mối đe dọa cho Android sẽ tăng đáng kể trong suốt cả năm, trở thành hệ điều hành điện thoại di động số một là mục tiêu bị tấn công.

Đã có nhiều ý kiến cho rằng máy tính bảng iPad sẽ trở thành mục tiêu của các cuộc tấn công mạng, song PandaLabs không tin rằng máy tính bảng sẽ là mục tiêu chính cho tội phạm mạng vào năm 2011.

Trong khi dự đoán iPad sẽ bình yên vô sự trước các cuộc tấn công mạng, PandaLabs lại cho rằng các phần mềm độc hại cho Mac vẫn tồn tại, và sẽ tiếp tục tồn tại. Và khi thị phần của các người dùng máy Mac tiếp tục phát triển, số lượng các mối đe dọa sẽ phát triển. Mối quan tâm lớn nhất là số lượng các lỗ hổng bảo mật trong hệ điều hành Apple. Các nhà phát triển hệ điều hành của Apple sẽ cần phải vá những lỗ càng sớm càng tốt, khi mà tin tặc cũng nhận thức được các khả năng những lỗ hổng bảo mật giúp cho phép thực hiện phát tán phần mềm độc hại.

Chuẩn web mới HTML5 cũng là mục tiêu tốt cho nhiều loại tội phạm mạng. PandaLabs dự báo khả năng các cuộc tấn công đầu tiên trên HTML5 sẽ diễn ra trong những tháng tới.

PandaLabs cho rằng các mối đe dọa được mã hóa và hoạt động linh hoạt sẽ tăng trong năm 2011. Phòng thí nghiệm PandaLabs đang đang ngày càng nhận được nhiều đoạn tin mã hóa, được ẩn trong các thiết kế kết nối với máy chủ nhắm đánh cắp các thông tin từ các doanh nghiệp.