Phát hiện và ngăn chặn các mối đe dọa phần mềm độc hại tinh vi ngày nay

Công cụ truyền tải phần mềm độc hại ngày nay có chút giống với bức tranh biếm họa cô đơn thiếu niên bị ruồng bỏ phổ biến trong những ngày qua.

Tháng 11 năm ngoái, hoạt động Ghost Click của FBI đã dẫn đến việc bắt giữ sáu người Eston bị buộc tội ban hành phần mềm độc hại DNSChanger, mà FBI tuyên bố cho phép băng đảng này đánh cắp 14 triệu đô la bằng cách thao túng máy chủ của các nhà quảng cáo trực tuyến. Thật không may, DNSChanger được ước tính đã lây nhiễm 100 triệu máy tính trên toàn thế giới và 500.000 tại Hoa Kỳ, nhiều trong số đó chưa được khử trùng.

Nhưng câu chuyện liên quan

  • Cách bảo mật PC của bạn sau 10 bước đơn giản
  • Làm thế nào để biết khi nào dữ liệu riêng tư của bạn bị mất hoặc bị đánh cắp
  • Làm thế nào để biết ai đang theo dõi các hoạt động Web của bạn
  • Chỉ có bạn mới có thể ngăn chặn các cuộc tấn công lừa đảo
  • Cách ngăn chặn tải xuống phần mềm độc hại và phần mềm quảng cáo
  • Làm thế nào để ngăn chặn hành vi trộm cắp danh tính

CNET blogger Topher Kessler mô tả trong blog MacFixIt cách con ngựa thành Troia hoạt động. Có, máy Mac rất nhạy cảm với DNSChanger như PC: đó là một kẻ lây nhiễm cơ hội bình đẳng.

Việc tắt các máy chủ DNS lừa đảo của kẻ gian sẽ khiến mọi người sử dụng PC bị nhiễm mà không có kết nối Internet, vì vậy FBI đã sắp xếp để hợp pháp hóa các máy chủ xấu tạm thời. Các máy chủ ban đầu được thiết lập để ngoại tuyến vào ngày 6 tháng 3, nhưng nhiều hệ thống vẫn chưa được khử trùng.

Đầu tháng này, thời hạn rút phích cắm trên các máy chủ đã được kéo dài đến ngày 9 tháng 7, như Topher đã giải thích trong bài đăng trên MacFixIt ngày 7 tháng 3.

Dan Goodin giải thích trên blog Ars Technica của mình về cách các ISP phản ứng để đảm bảo khách hàng của họ không bị mất dịch vụ Internet. Nhưng các ISP không thể làm điều đó một mình - như người ta vẫn nói, nó cần một ngôi làng ảo.

Việc đưa các nhà phát hành phần mềm độc hại ra khỏi doanh nghiệp đòi hỏi một nỗ lực phối hợp

Thực tế của điện toán hiện đại là bảo mật là công việc của mọi người dùng. Nhiều như chúng tôi muốn làm cho các ISP và nhà cung cấp phần mềm của chúng tôi chịu trách nhiệm giữ an toàn thông tin cá nhân và tài khoản ngân hàng của chúng tôi, không có cách nào để ngăn chặn tội phạm máy tính từ xa mà không cản trở nghiêm trọng việc sử dụng máy.

Bất cứ ai vận hành máy tính có kết nối Internet đều phải thực hiện ba biện pháp phòng ngừa sau: sử dụng tường lửa, quét phần mềm độc hại và luôn cập nhật phần mềm của máy. (Xem các liên kết bài viết liên quan ở trên để biết thêm thông tin về từng đối tượng này.) Khi bạn thực hiện theo ba bước này, bạn bảo vệ nhiều hơn chỉ máy tính của riêng bạn - bạn cũng giúp bảo vệ an toàn cho mọi người khác vì các PC bị nhiễm thường được sử dụng để phát tán virus, thư rác và các phần mềm có khả năng gây hại khác.

Cần thêm lý do để làm phần của bạn? Một dự luật được giới thiệu gần đây tại Thượng viện Hoa Kỳ sẽ yêu cầu Bộ An ninh Nội địa xác minh rằng "cơ sở hạ tầng quan trọng" được bảo vệ chống lại "các cuộc tấn công mạng", như Elinor Mills của CNET đã báo cáo vào tháng trước trên Blog InSecurance của cô.

Đạo luật An ninh mạng năm 2012 bị chỉ trích bởi những người ủng hộ quyền riêng tư vì nó có thể cho phép các thực thể tư nhân rình mò thông tin liên lạc, mà người phát ngôn của Tổ chức biên giới điện tử được Elinor trích dẫn trong một bài đăng tiếp theo của InSecurance Complex là "không nghe lén".

Ngược lại, Chủ tịch Ủy ban Truyền thông Liên bang Julius Genachowski đang thúc đẩy các tiêu chuẩn tự nguyện cho các ISP làm việc với các cơ quan chính phủ và chuyên gia bảo mật để chống lại tội phạm máy tính, như Marguerite Reardon của CNET giải thích trong một bài đăng từ tháng trước trên blog Chính trị và Pháp luật.

Thật dễ dàng để biết lý do tại sao các ISP sẽ ủng hộ cách tiếp cận tự nguyện, nhưng xem xét tốc độ thay đổi công nghệ nhanh chóng và tốc độ hành động của chính phủ, một cách tiếp cận phi quy định để đảm bảo xương sống Internet có thể được mọi người quan tâm.

Internet có thể được tắt?

Có một số người cho rằng kiến ​​trúc phân tán của Internet khiến nó không thể tưởng tượng được. Bạn không cần kỷ niệm 100 năm sắp xảy ra sự sụp đổ của tàu Titanic ở Bắc Đại Tây Dương để được nhắc nhở về sự điên rồ của những tuyên bố không thể phá hủy.

Nhóm vigilante Anonymous được cho là đang lên kế hoạch đóng cửa Internet vào ngày 31 tháng 3 để phản đối Đạo luật Bảo mật Trực tuyến Ngừng. Ngay cả khi không có sự gần gũi với Ngày Cá tháng Tư, thật khó để có được sự tín nhiệm như vậy.

Nhưng loại phá hoại mạng này đáng để xem xét từ góc độ phòng ngừa cũng như quan điểm học thuật. Điều gì sẽ làm sụp đổ Internet? Sean Gallagher của Ars Technica mô tả kỹ thuật khuếch đại DNS mà Anonymous được cho là đang làm việc.

Bài đăng của Gallagher liên kết đến một bài báo (PDF) được trình bày tại hội nghị bảo mật DefCon năm 2006 của nhà nghiên cứu Randal Vaughn của Đại học Baylor và nhà tư vấn bảo mật Gadi Evron mô tả cách sử dụng khuếch đại DNS trong các cuộc tấn công vào các mạng ISP từ năm 2002.

Bạn có thể làm gì để giúp ngăn chặn vi phạm an ninh trực tuyến

Chúng ta càng dựa vào Internet, thiệt hại tiềm tàng từ các cuộc tấn công mạng càng lớn. Giống như các cơ quan thực thi pháp luật phụ thuộc vào sự hợp tác của công dân và doanh nghiệp để thực hiện công việc của họ, các tổ chức chịu trách nhiệm bảo mật Internet cũng cần sự giúp đỡ của chúng tôi.

Để xác định xem máy tính của bạn có bị nhiễm ngựa Trojan DNSChanger hay không, hãy duyệt đến trang Dọn dẹp của Nhóm làm việc DNSChanger và chọn một trong các liên kết được liệt kê. Nếu kiểm tra cho thấy máy của bạn bị nhiễm, hãy theo một trong các liên kết trên cùng một trang bên dưới bảng để tải xuống một chương trình miễn phí loại bỏ lỗi.

Ngoài ra, SecureMac cung cấp Công cụ loại bỏ DNSChanger miễn phí, có tên thích hợp cho Mac. Nếu bạn thích cách tiếp cận thủ công, FBI cung cấp các hướng dẫn từng bước (PDF) để xác định xem PC hoặc Mac có đang sử dụng máy chủ DNS bị xâm nhập hay không.

Thay vì một cuộc tấn công vào nhiều máy móc, nhiều cuộc tấn công vào một mục tiêu lớn

Có một mối đe dọa bảo mật mới mà các cá nhân không thể làm gì nhiều để ngăn chặn. Thoát khỏi tiểu thuyết gián điệp, các mối đe dọa dai dẳng tiên tiến nhắm vào một công ty, cơ sở hoặc cơ quan chính phủ cụ thể với các loại tấn công khác nhau trên mạng nội bộ của tổ chức. Elinor Mills giải thích trong một bài đăng hồi đầu tháng này trên blog InSecurity Complex của cô rằng ngay cả các công ty bảo mật như RSA và Verisign cũng đã từng là nạn nhân của các cuộc tấn công như vậy.

Giải quyết vấn đề là các tổ chức khó khăn trong việc phát hiện các cuộc tấn công dai dẳng như vậy. Theo báo cáo của công ty bảo mật Mandiant có tên M-Trends 2012: Mối đe dọa tiến hóa, 94% nạn nhân bị đe dọa kéo dài tìm hiểu về các cuộc tấn công từ các nguồn bên ngoài.

Đáng ngạc nhiên hơn nữa, thời gian trung bình giữa dấu hiệu đầu tiên của một mạng bị xâm phạm và phát hiện vi phạm là 416 ngày, theo báo cáo. Nghiên cứu của Mandiant cũng chỉ ra rằng các cơ chế backlink sử dụng các mối đe dọa liên tục ngày càng tinh vi hơn.

(Yêu cầu đăng ký trên trang Mandiant để tải xuống bản sao của báo cáo hoàn chỉnh.)

 

Để LạI Bình LuậN CủA BạN