53 trang, 10 tháng, 1925 máy nhiễm, 103 nước, vẫn không thể nói “phần mềm độc hại Windows”

By Carla Schroder on March 31, 2009 12:58 AM | Permalink | Comments (0) | TrackBacks (0)

Theo: http://blog.linuxtoday.com/blog/2009/03/53-pages-10-mon.html

Bài được đưa lên Internet ngày: 31/03/2009

Lời người dịch: Có lẽ đầu đề bài viết đã nói lên tất cả: 53 trang, 10 tháng, 1925 máy bị nhiễm, 103 nước, và họ vẫn không thể nói “phần mềm độc hại của Windows”. Tệ hơn đối với Việt Nam, đứng hàng thứ 3 trong số 103 quốc gia bị gián điệp lén lút lấy cắp thông tin, 130 máy trên tổng số 1925 máy bị nhiễm, nhưng hầu như nhiều người vẫn còn thích giọng điệu dạng như: tôi ủng hộ phần mềm tự do nguồn mở, nhưng.... không có lẽ cái “nhưng” ấy sẽ phải được hiểu là: “cứ phải chơi Windows cái đã, chủ quyền và an ninh thông tin quốc gia chỉ là chuyện trên trời”???

Xem thêm bài: “Hệ thống gián điệp rộng lớn cướp phá các máy tính tại 103 quốc gia”, theo địa chỉ: http://blog.360.yahoo.com/blog-LU.CUQA9b6gRyol5jVT.?p=3343

“Hệ thống gián điệp rộng lớn cướp bóc tại 103 quốc gia” - nghe hứa hẹn đấy chứ, đúng không nào? Trên tờ New York Times, không ít hơn, nên nó phải là tốt lành. Vâng, không, tôi thà là bị thất vọng với sự phân tích an ninh khác mà nó để lại những thông tin sống còn – mà hệ điều hành và các ứng dụng đã có thể bị tấn công.

Nếu nó là Linux hoặc Mac thì bạn nghĩ họ có thể sẽ mắm môi mắm lợi như thế nào không? Vì sao Dalai Lama chạy Windows?

“Hoạt động gián điệp điện tử rộng lớn đã xâm nhập vào các máy tính và đã ăn cắp các tài liệu từ hàng trăm văn phòng tư nhân và chính phủ trên khắp thế giới, bao gồm cả của Dalai Lama, các nhà nghiên cứu Canada đã kết luận”.

Wow, điều này phải là tốt lành rồi. Hai trang trên tờ New York Times, và bản thân báo cáo là 53 trang. Nhưng đừng có mà hy vọng vội. Trong tất cả 53 trang đó, mà nó đi vào chi tiết về chặn gói, các phương pháp về HTTP, các tệp nhị phân độc hại, các bình chứa mật ngọt, công cụ truy cập từ xa, và những bản đồ của Mạng Ma, không một lần có bất kỳ hệ điều hành hoặc ứng dụng có thể bị tổn thương nào được nêu tên.

Họ đã xác định các hệ thống bị xâm hại về vị trí và địa chỉ IP, và đã thực hiện một đồ thị chiếc bánh hấp dẫn chỉ ra sự phân phối theo quốc gia. Họ đã xác định các mục tiêu có giá trị cao, trung bình, thấp. Họ đã làm chứng cho các máy tính đang bị phơi ra và các tài liệu nhạy cảm bị ăn cắp. Họ đã làm chứng cho những người truy cập hệ thống bằng bàn phím, và các Webcams và các microphone được kích hoạt theo kẻ ăn trộm. Họ đã học được rằng các phần mềm độc hại mà chúng xúc tác cho Mạng Ma được lan truyền thông qua các website và các tệp gắn kèm thư điện tử. Nghiên cứu này đã mất 10 tháng và bao phủ 103 quốc gia.

Sau tất cả những thứ đó, tôi không hiểu được vì sao họ có thể bỏ sót thông tin cơ bản như phần mềm nào đã có thể bị tổn thương trên các máy tính bị lây nhiễm. Nó chắc chắn xem giống như một xu thế đang gia tăng để không gọi ra những cái tên, phải thế không. Ngoại trừ khi họ trách móc những người sử dụng đầu cuối. Dù trong báo cáo này dường như phần nhiều là chính trị và kỹ thuật công nghệ.

"Vast Spy System Loots Computers in 103 Countries"-- sounds promising, right? In the New York Times, no less, so it should be good. Well, no, I was rather disappointed at yet another security analysis that left out vital information-- which operating systems and applications were vulnerable. If it were Linux or Mac do you think they would be so tight-lipped? Why is the Dalai Lama running Windows?

"A vast electronic spying operation has infiltrated computers and has stolen documents f-rom hundreds of government and private offices around the world, including those of the Dalai Lama, Canadian researchers have concluded."

Wow, this has to be good. Two pages in the New York Times, and the report itself is 53 pages. But don't get your hopes up. In all of those 53 pages, which go into detail on packet sniffing, HTTP methods, malicious binaries, honeypots, ghOst RAT, and cool maps of the Ghost Net, not once is any operating system or vulnerable application named.

They identified compromised systems by location and IP address, and made a nice pie c-hart showing the distribution by country. They identified high, medium, and low-value targets. They witnessed machines being profiled and sensitive documents stolen. They witnessed keystroke loggers, and Webcams and microphones activated on the sneak. They learned that the malware that fuels the Ghost Net is spread via Web sites and email attachments. The investigation took 10 months and covered 103 countries.

After all that, I am puzzled why they would omit such basic information as what software was vulnerable on the infected hosts. It sure looks like a growing trend to not name names, doesn't it. Except when they're blaming end users. Though in this report it appears to be as much political as technological.

Bài báo trên New York Times liên kết tới một báo cáo khác, http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf "Con rồng đang rình mò". Họ cũng không gọi tên, nhưng sử dụng một khái niệm mới mà tôi thấy nhiều hơn là: phần mềm xã hội độc hại. Không phải là phần mềm độc hại của Windows, khôôông, phần mềm xã hội độc hại. Không có gì mới ngoại trừ cái tên, đó đúng là tính dễ bị tổn thương của Windows cũ kỹ mà chúng ta đã và đang đảo mắt từ một chục năm qua.

“Con rồng đang rình mò” đưa ra một vài khuyến cáo cho việc tăng cường an ninh, nhưng không ai trong số họ đáng bị nguyền rủa vì họ không thừa nhận rằng Windows là vấn đề cốt lõi, và mọi thức khác nữa chỉ là một vết thương nhẹ.

Điều gì xảy ra nếu có một cách để lây nhiễm các máy tính Linux, Mac, hoặc UNIX và Borg chúng vào botnet (tấn công gây nghẽn mạng) thông qua các tệp gắn kèm thư điện tử và hướng vào các website bị lây nhiễm? Mỗi người mà tin tưởng vào điều này có thể tất cả bị say qua những trang web với không có bất kỳ thứ gì mơ hồ nhập nhằng, thì hãy giơ tay của bạn lên.

Ô – và đáng kinh ngạc, sau mọi thứ tôi đã viết gần đây về các Flash Cookies, thì báo cáo này được xuất bản trong Flash – vâng, thực sự đấy! Và bạn phải cho phép Flash Cookie để nó làm việc được. Việc thiết lập thư mục ~/.macromedia để thực hiện các công việc đọc-chạy (không ghi) OK; Thủ đoạn thiết lập /dev/null sẽ không có.

Tôi có một vài câu hỏi nhưng tôi không giữ được nhịp thở của mình.

The NY Times article links to another report, http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf "The Snooping Dragon." They don't name names either, but use a new term I'm seeing more of: social malware. Not Windows malware, nooo, social malware. Nothing is new but the name, it's the same old Windows vulnerabilities we've been rolling our eyes at for over a decade.

"The Snooping Dragon" gives some recommendations for hardening security, but none of them are worth a darn since they won't admit that Windows is the core problem, and everything else is a weak bandage.

What if there were a way to infect Linux, Mac, or UNIX computers and Borg them into botnets via email attachments and drive-bys on infected Web sites? Everyone who believes this would be plastered all over front pages with no ambiguities whatsoever, raise your hands.

Oh-- and amusingly, after everything I've written recently on Flash Cookies, the report is published in Flash-- yes, really!-- and you have to allow Flash cookies for it to work. Setting your ~/.macromedia directory to read-execute (no write) works OK; the /dev/null trick doesn't.

I have some inquiries out but I'm not holding my breath.

Dịch tài liệu: Lê Trung Nghĩa

letrungnghia.foss@gmail.com