Liệu Windows có thể giết chết Internet?

CanWindows kill the Internet?

Steven J.Vaughan-Nichols, Cyber Cynic

July 19, 2010 - 2:42 P.M.

Theo:http://blogs.computerworld.com/16559/can_windows_kill_the_internet

Bài được đưa lênInternet ngày: 19/07/2010

Lờingười dịch: Tác giả viết về phần mềm độc hại LNKcủa Windows: “Một khi có mặt, một phần mềm độc hạidựa trên LNK có thể làm khá nhiều thứ mà nó muốn đốivới máy tính cá nhân Windows của bạn – gửi cho ai đósố thẻ tín dụng của bạn, đánh gục máy tính củabạn, bất kỳ thứ gì. Hoặc, và điều này là nơi mà nócòn là nguy hiểm hơn, nó có thể được sử dụng đểchiếm quyền hoặc hạ đo ván các hệ thống kiểm soátSCADA (kiểm soát giám sát và thu thập dữ liệu –Supervisory Control And Data Acquisition) được sử dụng đểkiểm soát máy móc công nghiệp trong các nhà máy và xínghiệp điện. Nói ngắn gọn, đây là phần mềm mà cóthể sử dụng Windows không chỉ để khai thác những ngườisử dụng Windows, mà để ủy thác gián điệp hoặc chiếntranh không gian mạng. Ngay cả Microsoft cũng lo lắng đủvề chỗ bị tổn thương này rằng đám người từRedmond đã nói, “Bất kỳ ai được tin tưởng bị ảnhhưởng bởi vấn đề này … nên liên hệ với có quantăng cường pháp luật quốc gia tại quốc gia mình”.Vì thế, bạn có thể làm gì về điều này nhỉ? Khôngnhiều. Bạn có thể thử những cách khắc phục đượcMicrosoft khuyến cáo, nhưng, như Chester Wisniewksi, một nhàtư vấn kỳ cựu về an ninh của Sophos, đã chỉ ra, việctắt những biểu tượng phím tắt là “rất không thựctế cho hầu hết các môi trường. Trong khi đó có thểchắc chắn giải quyết được vấn đề này, cũng có thểgây ra sự lúng túng khổng lồ trong số nhiều người sửdụng và có thể không đáng để hỗ trợ các cuộc gọi”.Wisniewksi đã bổ sung rằng gợi ý khác của Microsoft, vôhiệu hóa WebClient, có thể là một giải pháp cho mọingười mà không sử dụng Microsoft SharePoint, nhưng nhiềutổ chức lại dựa vào SharePoint nên điều này cũng đanghạn chế. Ngắn gọn, vô phương cứu chữa. Cuộc tấncông này là sự tồi tệ mà nó có thể có, và 'các cáchchữa' mà chúng ta có bây giờ có thể còn tồi tệ hơncả các căn bệnh. Tất nhiên, trừ phi, hóa ra là sự lựachọn thay thế thực ra là để làm cho bản thân Internetcó hương vị và đối với các nhà máy sẽ bị im lìmbởi sự khai thác vũ khí hủy diệt hàng loạt Windowsnày”.

Từ lâu tôi có ýnghĩa rằng một ngày nào đó các vấn đề về an ninh củaWindows có thể làm rối tung Internet đối với mỗi người.

Ngày đó có lẽ đangtới.

Không chỉ tôi hoangtưởng về Windows. Chính Trung tâm Bão Internet ISC, nhóm màtheo dõi toàn bộ sức khỏe của Internet. Họ nghi ngờliệu khai thác mới được phát hiện “LNK” có thểđược sử dụng để đóng những cái phanh lên giao thôngtốc độ cao của Internet hay không.

Theo Lenny Zeltser, mộtnhà tư vấn về an ninh của ISC, thì ISC đã quyết địnhnâng mức Infocon lên màu Da cam để ra tăng nhận thức vềchỗ bị tổn thương gần đây của LNK và để giúp nhắcnhở về một vấn đề chính gây ra từ sự khai thác củanó. Mặc dù chúng ta đã không quan sát được chỗ bịtổn thương bị khai thác nằm ngoài các cuộc tấn côngcó chủ đích ban đầu, thì chúng ta tin tưởng vào sựkhai thác ở phạm vi rộng chỉ là vấn đề của thờigian. Sự khai thác theo kiểu chứng minh khái niệm này làsẵn sàng một cách công khai, và vấn đề là không dễdàng để sửa cho tới khi Microsoft đưa ra được một bảnvá. Hơn nữa, khả năng của các công cụ chống virus đểdò tìm ra những phiên bản chung của sự khai thác này đãkhông có hiệu quả cho tới nay.

Chỗ bị tổn thươngLNK là một lỗ hổng an ninh nhỏ đáng ghét mà nó hiệndiện trong tất cả các phiên bản của Windows từ Windows2000 trở đi. Bây giờ có hàng loạt các chương trình tấncông mà có thể sử dụng một tệp độc hại dạng phímtắt, được xác định bởi phần mở rộng tệp “.ink”,để tự động chạy phần mềm độc hại. Tất cả nhữnggì mà người sử dụng phải làm là xem nội dung của mộtthư mục có chứa phím tắt bị lây nhiễm, và, ta-da,chương trình sẽ trút sự tàn phá.

Những phiên bản sớmcủa cuộc tấn công đòi hỏi người sử dụng phải cắmvào một khóa USB với phần mềm độc hại. Nếu điềuđó còn được yêu cầu, thì có thẻ là một vấn đềnhỏ. Tuy nhiên, bây giờ những khai thác đang tồn tại màcó thể tung ra các cuộc tấn công qua chia sẻ tệp SMB(Khối Thông điệp Máy chủ) và các dịch vụ WebClient củaWindows. Trong khi thường được sử dụng qua một mạngcục bộ LAN, thì những dịch vụ này cũng có thể đượcsử dụng qua Internet. Và tất nhiên, các phương pháp lantruyền virus dạng thôi – thử – thật như vậy như việcgửi đi một tệp LNK qua một thông điệp tức thì IM hoặctrong một thư điện tử cũng sẽ lan truyền nó được.

I'velong thought that someday Windows'security problems could foul up the Internet for everyone. Thatday may be arriving.

It'snot just me being paranoid about Windows. It's the ISC(Internet Storm Center), the group that tracks the overall healthof the Internet.  They're wondering whether the newlydiscovered "LNK" exploit might be used to slam thebrakes on the Internet's high-speed traffic.

Accordingto Lenny Zeltser, an ISC security consultant, the ISC has

decidedto raise the Infocon levelto Yellow to increase awareness of the recent LNK vulnerability andto help preempt a major issue resulting f-rom its exploitation.Although we have not observed the vulnerability exploited beyond theoriginaltargeted attacks, we believe wide-scale exploitation is only amatter of time. The proof-of-concept exploit is publicly available,and the issue is not easy to fix until Microsoft issues a patch.Furthermore, anti-virus tools' ability to detect generic versions ofthe exploit have not been very effective so far.

TheLNK vulnerability is an obnoxious little security hole that's presentin all versions of Windows f-rom Windows 2000 on up. There arenow numerous attack programs that can use a malicious shortcut file,identified by the ".lnk" extension, to automatically runmalware. All a user has to do is view the contents of a foldercontaining the infected shortcut, and, ta-da, the program is wreakinghavoc.

Earlyversions of the attack required users to plug in a USB key with themalicious software. If that were still required, this would be aminor problem. Now, however, exploits exist that can launch attacksover SMB (Server Message Block) file shares and Windows'WebClient services. While often used over a LAN, these servicescan also be used over the Internet. And, of course, suchtried-and-true-virus-spreading methods as sending a LNK file over anIM (instant message) or in an e-mail will also spread it.

Mộtkhi có mặt, một phần mềm độc hại dựa trên LNK cóthể làm khá nhiều thứ mà nó muốn đối với máy tínhcá nhân Windows của bạn – gửi cho ai đó số thẻ tíndụng của bạn, đánh gục máy tính của bạn, bất kỳthứ gì. Hoặc, và điều này là nơi mà nó còn là nguyhiểm hơn, nó có thể được sử dụng để chiếm quyềnhoặc hạ đo ván các hệ thống kiểm soát SCADA (kiểmsoát giám sát và thu thập dữ liệu – Supervisory ControlAnd Data Acquisition) được sử dụng để kiểm soát máymóc công nghiệp trong các nhà máy và xí nghiệp điện.Nói ngắn gọn, đây là phần mềm mà có thể sử dụngWindows không chỉ để khai thác những người sử dụngWindows, mà để ủy thác gián điệp hoặc chiến tranhkhông gian mạng.

Ngaycả Microsoft cũng lo lắng đủ về chỗ bị tổn thươngnày rằng đám người từ Redmond đã nói, “Bất kỳ aiđược tin tưởng bị ảnh hưởng bởi vấn đề này …nên liên hệ với có quan tăng cường pháp luật quốc giatại quốc gia mình”.

Vìthế, bạn có thể làm gì về điều này nhỉ? Khôngnhiều. Bạn có thể thử những cách khắc phục đượcMicrosoft khuyến cáo, nhưng, như Chester Wisniewksi, một nhàtư vấn kỳ cựu về an ninh của Sophos, đã chỉ ra, việctắt những biểu tượng phím tắt là “rất không thựctế cho hầu hết các môi trường. Trong khi đó có thểchắc chắn giải quyết được vấn đề này, cũng có thểgây ra sự lúng túng khổng lồ trong số nhiều người sửdụng và có thể không đáng để hỗ trợ các cuộc gọi”.Wisniewksi đã bổ sung rằng gợi ý khác của Microsoft, vôhiệu hóa WebClient, có thể là một giải pháp cho mọingười mà không sử dụng Microsoft SharePoint, nhưng nhiềutổ chức lại dựa vào SharePoint nên điều này cũng đanghạn chế.

Ngắngọn, vô phương cứu chữa. Cuộc tấn công này là sựtồi tệ mà nó có thể có, và 'các cách chữa' mà chúngta có bây giờ có thể còn tồi tệ hơn cả các căn bệnh.Tất nhiên, trừ phi, hóa ra là sự lựa chọn thay thếthực ra là để làm cho bản thân Internet có hương vị vàđối với các nhà máy sẽ bị im lìm bởi sự khai thácvũ khí hủy diệt hàng loạt Windows này.

Once in place, aLNK-based malware can do pretty much anything it wants to yourWindows PCs -- send someone your credit-card numbers, zap yoursystem, whatever. Or, and this is whe-re it gets even more dangerous,it could be used to takeover or knock out SCADA (supervisory control and data acquisition)control systems used to control industrial machinery in powerplants and factories. In short, this is software that can use Windowsnot just to exploit Windows users, but to commitcyber-episonage or warfare.

Even Microsoftis worried enough about this vulnerability that the guys f-romRedmond said, "Anyone believed to have been affected by thisissue ... should contact the national law enforcement agency in theircountry."

So, what can you do aboutit? Not a lot. You can try Microsoft'srecommended work-arounds, but, as Chester Wisniewski, a seniorsecurity advisor with Sophos, pointed out, turning off icons forshortcuts is "highly impractical for most environments. While itwould certainly solve the problem, it would also cause mass confusionamong many users and might not be worth the support calls."Wisniewksi added that Microsoft's other suggestion, disablingWebClient, may be a solution for people who don't use MicrosoftSharePoint, but many organizations rely on SharePoint so this islimiting as well.

In short, there's nocure.  The attack is about as nasty as it can get, and the'cures' that we have now may be worse than the diseases. Unless, ofcourse, it turns out the al-ternative really is to have the Internetitself get smacked around and for factories to be stilled by thisWindows exploit of mass destruction.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com