Ngân hàng điện tử trên máy tính cá nhân được khóa (Không Microsoft) - Phần 2

Thứ năm - 29/10/2009 08:01

E-Bankingon a Locked Down PC, Part II

By Brian Krebs | October 20, 2009; 2:00 PM ET

Theo:http://voices.washingtonpost.com/securityfix/2009/10/e-banking_on_a_locked_down_pc.html

Bài được đưa lênInternet ngày: 20/10/2009

Lờingười dịch: Những câu chuyện buồn của các doanh nghiệpvừa và nhỏ bị mất tiền khi tiến hành các giao dịchngân hàng trực tuyến vì sử dụng Windows và bị các phầnmềm độc hại chuyên lừa gạt để ăn cắp. Những bàihọc về các công ty chuyên cung cấp các phần mềm chốngvirus vì lợi nhuận mà có thể lòe bịp các khách hàngbởi những phần mềm diệt virus vô tác dụng, giống hệtnhư câu chuyện về những kẻ đi bán roi da chỉ dành chongười đi ngựa ở thế kỷ trước, nay chào bán cho cáclái xe ô tô vậy, trong khi có thể chỉ cần sử dụng mộtđĩa LiveCD của bất kỳ một phát tán GNU/Linux nguồn mởnào (có lẽ có giá chỉ ngang với 10.000 VNĐ) là có thểvượt qua được những thứ ngớ ngẩn này.

Hai bài trên blogSecurity Fix cuối tuần trước thúc giục các doanh nghiệpxem xét sử dụng thứ gì đó khác với Microsoft Windows khi[sử dụng] ngân hàng trực tuyến đã khêu gợi đượcnhững phản ứng mạnh mẽ từ các độc giả. Hầu hếtnói họ nghĩ đây là một viễn cảnh tươi mới và là sựtư vấn khá, trong khi những người khác đã chỉ tríchtôi vì đi quá xa hoặc vì thất bại trong việc khuyếncáo những giải pháp thay thế ít quyết liệt hơn.

Hãy để tôi làm rõ:Tư vấn này từng được hướng tới không phải nhữngngười tiêu dùng, mà các công ty vừa và nhỏ mà họ cóthể không có một đội ngũ nhân lực về an ninh và côngnghệ thông tin làm việc toàn thời gian, và những ngườidựa vào 1 hoặc 2 người để điều hành các tài khoảnngân hàng và bảng lương của họ một cách trực tuyến.

Nói vậy, tôi đãmuốn trả lời cho một vài giải pháp thay thế đặcchủng được gợi ý bởi các độc giả, vì tôi cảmthấy họ ít biết về mức độ an ninh mà các công ty nàycần phải tránh trở thành những nạn nhân tiếp sau.

Ví dụ, một số độcgiả đã nhấn mạnh tầm quan trọng của việc đảm bảorằng các máy tính Windows của các nhân viên đang chạytheo một tài khoản người sử dụng được hạn chế màkhông có khả năng cài đặt các phần mềm hoặc chỉnhsửa các thiết lập cài đặt hệ thống mang tính sốngcòn. Điều này được gọi là nguyên lý ưu tiên tốithiểu là nền tảng cơ bản trong lĩnh vực an ninh máytính, khi nó có thể đánh bại mọi cuộc tấn công củacác phần mềm độc hại. Quả thực, tôi khuyến cáo tiếpcận quá thường xuyên mà bạn google (tìm kiếm bằnggoogle) về khái niệm “limited user” (người sử dụng bịhạn chế) thì bạn sẽ thấy bài viết của tôi là nằmở hàng đầu.

Vẫn còn, một sốlượng những mối đe dọa cao cấp hơn ngày nay - bao gồmcả Zeus Trojan, một họ phức tạp của các phần mềm độchại thông dụng nhất có liên quan tới những cuộc tấncông này chống lại các doanh nghiệp nhỏ - sẽ chỉ hạnhphúc chạy trên một tài khoản người sử dụng bị hạnchế như một tài khoản của người quản trị trongWindows.

Apair of Security Fix blog postslast week urging businesses to consider using something other thanMicrosoft Windowswhen banking online elicited strong reactions f-rom readers. Most saidthey thought it was a fresh perspective and sound advice, whileothers criticized me for going too far or for failing to recommendless drastic al-ternatives.

Letme be clear: The advice was aimed not at consumers, but at small tomid-sized companies that may not have a full-time IT/security staff,and who rely on one or two people to handle their bank accounts andpayroll online.

Thatsaid, I wanted to respond to a couple of specific al-ternativessuggested by readers, because I felt they fell short of the level ofsecurity that these companies need to avoid becoming the next victim.

Forexample, some readers emphasized the importance of ensuring thatemployees' Windows computers are running under a limiteduser account that does not have the ability to install softwareor al-ter critical system settings. This so-called least-privilegeprinciple is foundational in the field of computer security, asit can defeat many malicioussoftwareattacks. Indeed, I recommend the approach so frequently that if youGoogle for the term "limited user" you will see my columnas the first entry.

Still,a number of today's more advanced threats - including the ZeusTrojan, a sophisticated family of malwaremost commonly associated with these attacks against small businesses-- will just as happily run on a limited user account as anadministrator account in Windows.

Cũng giống vậy, việcmua một máy tính xách tay Windows rẻ mà nó được sửdụng chỉ để truy cập vào website ngân hàng của công tylà một sự khởi đầu dễ chịu, nhưng một trong nhữnghọ phần mềm độc hại thông dụng nhất có liên quantới các cuộc tấn công mà tôi đã viết - Clampi Trojan -lan truyền quá dễ dàng giữa các máy tính Windows qua mộtmạng nội bộ của một công ty. Sự tư vấn của tôitừng hướng tới việc cung cấp một giải pháp không cógiá thành cho các doanh nghiệp vừa và nhỏ, nhưng nếu cáchãng này sẽ mua bất kỳ thứ gì trong đầu hướng tớiviệc chào cho người quản trị kiểm soát hoặc bảnglương của họ một lựa chọn máy tính an toàn hơn, thìhọ có thể phải lòe bịp và có một máy Mac.

Khi mà loạt bài nàybắt đầu, tôi bị lụt với sự ném liệng từ các côngty cung cấp tất cả các dạng sản phẩm và dịch vụ anninh hướng vào việc đảm bảo an ninh cho site ngân hàngtrực tuyến từ người sử dụng đầu cuối. Nhưng theo ýkiến của tôi, hầu hết các tiếp cận này là thiểncận, dựng chuyện đối với người sử dụng (và nhữngkẻ xấu) để nhảy qua.

Từ nơi tôi ngồi,bất kỳ giải pháp nào mà thất bại trong giả thiết làmột hệ thống của khách hàng được sở hữu hoàn toànbởi những kẻ xấu không có được một lời cầu nguyệnvề những mối đe dọa khôn hơn ngày nay. Tôi thấy nólạc lõng rằng quá ít các công ty về an ninh đang nói vềnhững gì dường như sẽ là một đòi hỏi rõ ràng chocác công nghệ dò tìm giả mạo đầu cuối tốt hơn củanhiều ngân hàng quốc gia (về chủ đề này sẽ có nhiềuhơn trong một bài viết trong tương lai).

Cũngthú vị thấy rằng vẫn còn có những người trong nềncông nghiệp tài chính hoặc an ninh chào những thẻ an ninhnhư là câu trả lời cho dạng giả mạo này. Trong hếtcuộc thâm nhập này tới cuộc thâm nhập khác, những kẻthâm nhập đã chỉ ra khả năng của chúng trượt qua tấtcả các ngăn trở về an ninh phụ thuộc vào người sửdụng được dựng lên bởi các ngân hàng trực tuyến.(như các mật khẩu, các câu hỏi bí mật, và các mã mộtlần được thẻ token tạo ra).

Likewise,purchasing a cheap Windows netbook that is used only to access thecompany's bank Web site is a nice start, but one of the most commonmalware families associated with these attacks I've written about -the ClampiTrojan - spreads quite easily among Windows systems over acompany's internal network. My advice was aimed at providing ano-cost solution for small to mid-sized businesses, but if thesefirms are going to purchase anything with a mind toward offeringtheir controller or payroll administrator a safer computing option,they should probably splurge and get a Mac.

Sincethis series began, I have been flooded with pitches f-rom companiesproviding all manner of security products and services aimed atsecuring the online banking site f-rom the user's end. But in myopinion, most of these approaches come up short, erecting yet anotherhoop for the user (and the bad guys) to jump through.

F-romwhe-re I sit, any solution that fails to assume that a customer'ssystem is already completely owned by the bad guys doesn't have aprayer of outsmarting today's threats. I find it strange that so fewsecurity companies are talking about what appears to be a cleardemand for better back-end fraud detection technologies by many ofthe nation's banks (more on this topic in a future column).

It'salso interesting to see that there are still people in the financialor security industry touting security tokens as the answer to thistype of fraud. In break-in after break-in, the perpetrators haveshown their ability to slip past virtually all of thecustomer-dependent security barriers erected by online banks (e.g.,passwords, secret questions, and token-generated one-time codes).

Tôi đã phát hiện raví dụ mới nhất về sự thất bại này chỉ tuần trước,khi tôi đã nói chuyện với hãng Genlaps Corp., một hãngsản xuất hóa học có trụ sở ở Chino, Calif. Ngay cả dùtài khoản ngân hàng của doanh nghiệp Genlaps đã đượcbảo vệ bởi một mã thẻ token an ninh và một mật khẩu,thì bọn ăn cắp vẫn đã có khả năng đột nhập vàotài khoản trực tuyến của hãng này và chuyển 437,000 USDtới 50 kẻ đồng tình nghi khác khắp đất nước.

Joyce Nicola, ngườikiểm soát của Genlabs, đã nói bọn ăn cắp đã gây lâynhiễm một máy tính cá nhân thuộc về một thuộc cấp,người đã giúp để thiết lập các tài khoản trả tiềnlương mới cho công ty. Thông thường, Nicola nói, khi họđăng nhập vào tài khoản của họ ở ngân hàng, thì sitenày sẽ hỏi về một cái tên trên một trang, rồi trangtiếp sau yêu cầu một mật khẩu, và một trang thứ 3 vàtrang cuối cùng yêu cầu người sử dụng gõ vào đầu ratừ một key fob mà nó sinh ra một con số có 6 chữ sốmới cứ mỗi 60 giây. Khi nhân viên này đã đăng nhậpvào được site của ngân hàng vào buổi sáng ngày 16, thìtất cả 3 trường này đã được trình bày trên cùng mộttrang chủ của ngân hàng.

Mộtchuyên gia máy tính địa phương sau đó đã xác địnhrằng một sự lây nhiễm từ “Zbot Trojan” (biệt hiệucủa “Zeus”) dã cho phép những kẻ tấn công viết lạimàn hình đăng nhập của ngân hàng như được hiển thịtrên máy tính của nhân viên này, sao cho những ủy quyềnđã bị can thiệp trước khi chúng có thể được gửi đivào website thực sự của ngân hàng. Báo cáo của nhânviên kỹ thuật về sự lây nhiễm của Zeus - sẵn có ởđây - là đáng đọc, đặc biệtcác điểm 5 và 6, mà chúng lưu ý rằng sự lây nhiễm cóthể không được phát hiện từ bên trong Windows.

Bây giờ, Genlabs đãthành công trong việc hoàn lại chỉ 48,000 USD của nhữnggiao dịch giả mạo, Nicola nói.

Idiscovered the latest example of this failure just last week, when Ispoke with GenlabsCorp., a chemicalmanufacturing firm based in Chino, Calif. Even though Genlabs'business banking account was protected by a security token code and apassword, the thieves still were able to break into the firm'saccount online and transfer $437,000 to 50 different co-conspiratorsaround the country.

JoyceNicola, Genlabs'controller, said the thieves infected a PC belonging to a subordinatewho was helping to set up new payroll accounts for the company.Normally, Nicola said, when they log in to their account at the bank,the site asks for a user name on one page, then the next pagerequests a password, and a third and final page requires the user totype in the output f-rom a key fob that generates a new six-digitnumber every 60 seconds. When the employee logged in to the bank'ssite on the morning on the 16th, all three of those fields wereinstead present on the bank's home page.

Alocal computer forensics expertlater determined that an infection f-rom the "Zbot Trojan"(a.k.a., "Zeus") had allowed the attackers to re-write thebank's login screen as displayed on the employee's computer, so thatthe credentials were intercepted before they could be sent on to thebank's actual Web site. The technician's report on the Zeus infection-- availablehere (PDF) -- is worth reading, particularly points 5 and 6,which noted that the infection could not be diagnosed f-rom withinWindows.

Todate, Genlabs has succeeded in reversing just $48,000 worth offraudulent transfers, Nicola said.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com

Tags: công nghệ tin học, khác, security