Sự xâm lược của botnets: Các cuộc tấn công không gian mạng đang gia tăng

Invasionof the botnets: Cyberattacks on the rise

The types of cyberattacksaren't new, but the speed and number of them are on the rise

By William Jackson, Aug28, 2009

Theo:http://gcn.com/articles/2009/08/31/security-threats-invasion-of-botnets.aspx

Bài được đưa lênInternet ngày: 28/09/2009

Lờingười dịch: Việc chống an ninh của các cuộc tấn côngkhông gian mạng hiện nay là tinh vi và chuyên nghiệp hơnnhiều. “Các cuộc tấn công nghiêm trọng nhất có thểdiễn ra mà không ai thấy gì vì chúng khó mà phát hiệnra được”. Ví dụ như: “Sâu Conficker lan truyền rộngrãi sử dụng mật mã để bảo vệ những giao tiếp lệnhvà kiểm soát của nó. Khi những yếu kém đã được pháthiện trong một thuật toán băm được sử dụng bởiConficker, nó đã được nâng cấp lên một thuật toánmới.”

Năm ngoái, bức tranhvề mối đe dọa không gian mạng đã từng ngự trị khôngchỉ bằng những chỗ dễ bị tổn thương mới và khaithác quá nhiều số lượng lớn tuyệt đối các cuộc tấncông chống lại các hệ thống công nghệ thông tin và giatăng tính chuyên nghiệp của những bọn người xấu đứngđằng sau chúng.

“Tính dâm ô củamối đe doạn đã không gia tăng”, một nhà quan sát côngnghiệp, người đã găp với một lực lượng đặc nhiệmđa cơ quan về truy cập bất hợp pháp. “Nhưng sự phátlộ về số lượng các vụ khai thác đang gia tăng theo hàmsố mũ”.

Cáccon số là đúng mực.

“Phần mềm độchại đang ở điểm cao nhất mà chúng ta từng thấy”,Dave Marcus, giám đốc về nghiên cứu an ninh của McAfeeAvert Labs, nói. “2008 là năm lớn nhất cho tới nay. Nửađầu năm 2009 đã át hẳn năm 2008”, với 8,000 biến thểmới xuất hiện mỗi ngày. “Dễ dàng hơn để tạo raphần mềm độc hại mới hơn bao giờ hết so với trướcđó”.

Symantec báo cáo hoạtđộng tương tự. Hãng này đã tạo ra 1.6 triệu chữ kýđe dọa mới trong năm 2008, hoặc khoảng 1 chữ ký mớimỗi 20 giây. Hãng đã tạo ra 2 triệu chữ khý trong nửađầu của năm nay, hoặc khoảng 01 chữ ký mỗi 08 giây.

Các kết quả trựcquan nhất của đại dịch về phần mềm độc hại nàylà các cuộc tấn công từ chối dịch vụ một cách phântán theo chu kỳ mà chúng tạo ra nhiều sự chú ý. Ví dụđiển hình gần đây nhất là sự bùng nổ hôm 04/07 mànó hình như đã được khởi tạo tại Bắc Triều Tiênvà đã hướng vào các website chính phủ và thương mạitại Mỹ và Hàn Quốc. Những vụ bùng nổ nhỏ hơn đãtập trung vào các site mạng xã hội nổi tiếng, nhưTwitter và Facebook.

Forthe past year, the cyber threat landscape has been dominated not bynew vulnerabilities and exploits so much as by the sheer number ofattacks against information technology systems and the growingprofessionalization of the bad guys behind them.

“Thesexiness of the threat has not increased,” said one industryobserver who met with a multiagency task force on intrusion. “Butthe exposure in terms of the number of exploits is growingexponentially.”

Thenumbers are sobering.

“Malwareis at the highest point we’ve ever seen it,” said Dave Marcus,director of security research at McAfee Avert Labs. “2008 was thebiggest year so far. The first half of 2009 has eclipsed all of2008,” with 8,000 new variants appearing each day. “It’s easierto cre-ate new malware than ever before.”

Symantecreports similar activity. The company cre-ated 1.6 million new threatsignatures in 2008, or about one new signature every 20 seconds. Ithas cre-ated 2 million signatures in the first half of this year, orabout one every eight seconds.

Themost visible results of this epidemic of malware are the periodicdistributed denial-of-service attacks that generate a lot ofattention. The most high-profile recent example was the July 4outbreak that apparently originated in North Korea and targetedgovernment and commercial Web sites in the United States and SouthKorea. Smaller outbreaks have targeted popular social-networkingsites, such as Twitter and Facebook.

Những cuộc tấn côngnhư vậy đã trở thành một phần của cuộc sống trựctuyến, các nhà quan sát nói. Vì sự thịnh hành của cáccuộc tấn công từ chối dịch vụ và số lượng lớncác giao dịch bây giờ được tiến hành trực tuyến, nênmột số chuyên gia xếp các cuộc tấn công này như mộtmối đe dọa lớn nhất so với những tổn thương bêntrong một hệ thống mà nó có thể được sử dụng choviệc tiến hành từ xa các mã độc hoặc việc ăn cắpthông tin. Nhưng hầu hết các chuyên gia đồng ý rằng vềlâu dài, một sự khai thác thành công mà vận hành mãnguồn bên trong một hệ thống có lẽ sẽ gây ra nhữngthiệt hại đáng kể.

“Tôi thấy chúng xảyra nhiều hơn và nhiều hơn”, George Schu, phó chủ tịchcủa Booz Allen Hamilton, nói về các cuộc tấn công từchối dịch vụ. “Nhưng nói chung, chúng sẽ không là mộtvấn đề rất nghiêm trọng”.

Các cuộc tấn côngtừ chối dịch vụ có thể làm ngắt quãng tính sẵn sàngtrực tuyến của các doanh nghiệp đối với các tàinguyên nhưng gây ra ít hoặc không gây hại về lâu dài.Các tổ chức cần được chuẩn bị để xác định vàkhám phá từ những cuộc tấn công như thế này, nhưngcuối cùng, “bạn vẫn sẽ bị tấn công”, Schu nói.

Yuval Ben – Itzhak,giám đốc công nghệ của Finjan, đồng ý. “Không cónhiều thứ bạn có thể làm về nó”, ông nói.

Một khó khăn trongviệc đối phó lại đối với các cuột tấn công trựctuyến, liệu chúng có là các cuộc tấn công từ chốidịch vụ hay là truy cập trái phép, là phải xác địnhđược nguồn của chúng. Vì các botnet mà chúng khởi độngcác cuộc tấn công từ chối dịch vụ có thể là toàncầu, nên nguồn ngay lập tức về giao thông độc hạiđưa ra ít thông tin về nguồn cuối cùng của cuộc tấncông hoặc động cơ của nó. Các cuộc tấn công thángtrước được cho là của Bắc Triều Tiên dường như đãđược kiểm soát từ một máy chủ tại Anh. Các báo cáovề sự thâm nhập vào các hệ thống mạng điện vàchính phủ Mỹ bởi những tin tặc Trung Quốc cũng có thểchỉ là phỏng đoán.

“Chìvì nó nằm tại Trung Quốc không có nghĩa rằng một[người] Trung Quốc đứng đằng sau nó”, Patrick Peterson,một người của Cisco và một nhà nghiên cứu về an ninh,nói.

Dù có thể làm nhẹbớt đi các cuộc tấn công từ chối dịch vụ, thì sựsẵn sàng của các botnet phạm vi rộng – các mạng toàncầu của các máy tính bị tổn thương bị kiểm soát từxa – như một nền tảng cho việc phân hối các giao thôngđộc hại làm cho các cuộc tấn công này khó nếu khôngnói là không thể ngăn chặn. Khó mà nói các botnet lớnthế nào. McAfee nói có chừng từ 3 tới 4 triệu lây nhễmmới trong một tháng, nhưng sự sống của một botnet cóthể là ngắn, đôi lúc chỉ một hoặc hai ngày trướckhi một lây nhiễm được phát hiện và loại bỏ. Tuynhiên, một số máy cũng sẽ lại bị lây nhiễm lại mộtcách thường xuyên.

“Bạnphải được cập nhất và quét một cách thường xuyên”để tránh trở thành một phần của một botnet, Marcusnói.

Suchattacks have become a part of online life, observers say. Because ofthe prevalence of denial-of-service attacks and the volume oftransactions now conducted online, some experts rate the attacks as agreater threat than compromises inside a system that can be used forthe remote execution of malicious code or theft of information. Butmost experts agree that in the long run, a successful exploit thatexecutes code inside a system is more likely to do significantdamage.

“Isee them happening more and more,” George Schu, vice president ofBooz Allen Hamilton, said of denial-of-service attacks. “But ingeneral, they aren’t a very serious problem.”

Denial-of-serviceattacks can disrupt business and online availability of resources butdo little or no long-term damage. Organizations need to be preparedto identify and recover f-rom such attacks, but in the end, “youstill are going to be attacked,” Schu said.

YuvalBen-Itzhak, chief technology officer of Finjan, agrees. “There isnothing much you can do about it,” he said.

Onedifficulty in responding to online attacks, whether they are denialsof service or intrusions, is determining their source. Becausebotnets that launch denial-of-service attacks can be global, theimmediate source of the malicious traffic offers little information about the ultimate source of the attack or its motive.Last month’s so-called North Korean attacks appear to have beencontrolled f-rom a server in the United Kingdom. Reports ofinfiltrations of U.S. government and power grid systems by Chinesehackers also could be only speculation.

“Justbecause it is located in China doesn’t mean that a Chinese [person]is behind it,” said Patrick Peterson, a Cisco fellow and securityresearcher.

Althoughdenial-of-service attacks can be mitigated, the availability oflarge-scale botnets — global networks of compromised computersunder remote control — as a platform for delivering the malicioustraffic makes the attacks difficult if not impossible to prevent.It’s hard to say just how big botnets are. McAfee reports as manyas 3 million to 4 million new infections a month, but the lifespan ofa botnet can be short, sometimes only a day or two before aninfection is discovered and removed. However, some machines also arereinfected regularly.

“Youhave to be updating and scanning regularly” to avoid becoming partof a botnet, Marcus said.

Sựlây lan của phần mềm độc hại

Các mạng độc hạiphân tán cao độ này được tạo ra và duy trì sẵn sàngbởi sự gia tăng các phần mềm độc hại để lây nhiễmcác máy tính và tuyển mộ nhiều hơn các máy tính sốngdở chết dở.

“Sự bùng nổ củacác biến thể phần mềm độc hại mới là những gì làmcho tôi thứ dậy vào ban đêm”, Zulfikar Ramzan, giám đốckỹ thuật của Symantec Security Response (phản ứng về anninh của Symantec), nói.

Những kẻ tấn côngđang thu thập các công cụ chống phần mềm độc hạidựa trên chữ ký ở khắp nơi bằng việc thay đổi mãnguồn chỉ đủ để trốn các bộ lọc. Không phải biếnthể nào cũng làm việc, nhưng là đủ trong số chúngthành công cho việc giữ cho những người viết ra các chữký số bận bịu.

“Mô hình này đangdịch chuyển từ sự phân phối số lượng cực lớn củamột số ít các mối đe dọa thành những sự phân phốinhỏ của một số lượng lớn các mối đe dọa khácnhau”, Ramzan nói. “Có thể có một biến thể duy nhấtcủa một mối đe dọa cho mọi người mà họ tải nóvề”.

Sự sản xuất sốlượng lớn các biến thể này đang được thực hiệnbởi các công cụ và các dịch vụ được tự động hóa,sẵn sàng đối với các tin tặc và bọn tội phạm, mộtsự thương mại hóa các phần mềm độc hại mà Petersongọi là “sự lây nhiễm như một dịch vụ”.

“Chủ nghĩa tư bảnlà một động lực lớn”, Peterson nói. “Nhiều thứ màhọ làm, họ cần phải làm ở một phạm vi nào đó. 12hoặc 24 tháng trước, nhiều tội phạm đã tự làm mọithứ”.

Những lập trình viêndưới các tầng ngầm bây giờ đang chuyên môn hóa trongviệc cung cấp các công cụ và các dịch vụ chuyên nghiệpcho cộng đồng của họ vì lợi nhuận, như các dịch vụtrực tuyến với một công cụ để chạy các biến thểphần mềm độc hại mới chống lại các máy chống virusphổ biến nhất để xác định xem cái nào mà có thểlàm cho chúng đi qua mà không bị phát hiện.

“Những gì chúng tađang thấy là việc có nhiều sự hợp tác đang diễn ratrong sự phát triển các mã nguồn độc”, Eddie Schwartz,giám đốc an ninh của NetWitness, nói. Sự hợp tác và sựchuyên môn hóa tạo điều kiện thuận lợi cho sự sảnxuất nhanh chóng các phần mềm độc hại được thiếtkế mà chúng có thể nhằm vào các nhóm đặc biệt, cácdạng hệ thống và dữ liệu.

Thespread of malware

Thesehighly distributed malicious networks are cre-ated and kept availableby the proliferation of malware to infect computers and recruit morezombies.

“Theexplosion of new malware variants is what keeps me up at night,”said Zulfikar Ramzan, technical director of Symantec SecurityResponse.

Attackersare getting around signature-based anti-malware tools by changing thecode just enough to sneak it past the filters. Not every variantworks, but enough of them are successful to keep signature writersbusy.

“Themodel is shifting f-rom a massive distribution of a few threats to themicrodistribution of a large number of different threats,” Ramzansaid. “There can be a unique variant of a threat for every personwho downloads it.”

Thismass production of variants is being enabled by automated tools andservices available to hackers and criminals, a commercialization ofmalware that Peterson calls “infection as a service.”

“Capitalismis a big motivator,” Peterson said. “A lot of the things they do,they need to do at scale. Twelve or 24 months ago, a lot of criminalswere doing everything themselves.”

Undergrounddevelopers now are specializing in providing professional tools andservices to their community at a profit, such as online services witha tool to run new malware variants against the most popular antivirusengines to identify ones that can make it through undetected.

“Whatwe’re seeing is that there is a lot of collaboration going on inthe development of malicious code,” said Eddie Schwartz, chiefsecurity officer of NetWitness. Collaboration and specializationfacilitate the rapid production of designer malware that can targetspecific groups, types of systems and data.

Sự chuyên môn hóađang gia tăng đi cùng với sự bền bỉ của những chỗcó thể bị tổn thương nổi tiếng trong hạ tầng côngnghệ thông tin là một tập hợp nguy hiểm. Những chỗ dễbị tổn thương cũ một phần luôn dai dẳng được vì hạtầng và nền tảng của người sử dụng là quá rộng vàphức tạp. Ví dụ, các phiên bản cũ của phần mềm vàphần cứng không chắc có được thay thế hoàn toàn haykhông qua bất kỳ khoảng thời gian ngắn nào và đượcnhúng tới mức mà chúng thường bị bỏ qua trong việcvá, Schwartz nói.

“Tôi không nghĩchúng ta bao giờ đó sẽ có được thời điểm nơi màchúng ta có thể vứt bỏ những chỗ bị tổn thương cụthể nào đó”, ông nói. Cơ sở của tính dễ bị tổnthương, đi cùng với các công cụ phân phối để triểnkhai phức tạp hơn, “sẽ cho phép những người viết raphần mềm độc hại ném các ố bẩn ở bếp vào mọingười”.

Khả năng để vứtbỏ nhiều khai thác chống lại một hệ thống là mối đedọa đang gia tăng khác. Các bộ công cụ tự động hóacho phép những kẻ tấn công tạo ra các bó nhiều khaithác trong chỉ một gói duy nhất sao cho một máy tính hoặcmột hệ thống có thể được tìm thấy cho nhiều sự cóthể bị tổn thương. Kẻ tấn công cần tìm ra chỉ mộtchỗ rạn nứt không được vá trong hệ thống để lợidụng.

Growingspecialization coupled with the persistence of known vulnerabilitiesin IT infrastructure is a dangerous combination. Old vulnerabilitiespersist partially because the infrastructure and user base are solarge and complex. For example, old versions of software and hardwareare unlikely to be completely replaced over any short period of timeand are so embedded that they often are overlooked in patching,Schwartz said.

“Idon’t think we’re ever going to get to the point whe-re we canthrow out certain vulnerabilities,” he said. That base ofvulnerabilities, coupled with more sophisticated exploit deliverytools, “enables malware writers to throw the kitchen sink atpeople.”

Theability to throw multiple exploits against a system is anothergrowing threat. Automated toolkits allow attackers to bundle exploitsin a single package so that a computer or system can be searched formany vulnerabilities. Often, a successful cyberattack does notrequire a zero-day exploit, just a toolkit of tried-and-trueexploits. The attacker needs to find only one unpatched flaw in thesystem to take advantage of.

Chuyểnthành chuyên nghiệp

Nhữngkhai thác và các cuộc tấn công đang trở nên không chỉtự động hóa hơn mà còn chuyên nghiệp hơn, RogerThornton, giám đốc công nghệ của Fortify Software, nói. Cáccuộc tấn công nghiêm trọng nhất có thể diễn ra màkhông ai thấy gì vì chúng khó mà phát hiện ra được.

“Một số các cuộctấn công là tuyệt đỉnh trong việc tìm ra một hệ thốngvà gây tổn hại cho nó”, Thornton nói. “Nhưng hệ thốngđó thậm chí còn không phải là mục tiêu”. Hệ thốngbị tổn thương được sử dụng để cấy mã nguồn ởđâu đó nữa trong mạng, nơi mà nó tập hợp các dữliệu và sau đó thoát ra trong lúc che đậy các dấu vếtcủa nó. “Ôi, những tên đó là tốt”, ông nói.

Những kẻ xấy cũngđang có sự phòng vệ tốt hơn, ông nói. SâuConficker lan truyền rộng rãi sử dụng mật mã để bảovệ những giao tiếp lệnh và kiểm soát của nó. Khi nhữngyếu kém đã được phát hiện trong một thuật toán bămđược sử dụng bởi Conficker, nó đã được nâng cấplên một thuật toán mới.

“Chúngsửa các lỗi bị tổn thương về an ninh”, Thornton nói.“Những đối thủ này đang làm an ninh còn tốt hơn chúngta”.

Cácmáy tính bị tổn thương cũng có thể cung cấp cơ sở vànăng lượng tính toán cho hoạt động để bọn tội phạmkiểm soát chúng. Thornton đã mô tả một trường hợptrong đó một công ty dịch vụ tài chính đã bị lâynhiễm.

“Nhữngkẻ tấn công đã tải lên các dữ liệu nhiều hơn làchúng đã tải về”, ông nói. Thì ra mục đích là đểtải lên các số thẻ tín dụng bị ăn cắp. Các tin tặcsau đó đã sử dụng cơ sở dữ liệu này về các số đểkiểm thử các số định danh cá nhân được sử dụng đểkiểm tra tính hợp lệ của chúng cho các giao dịch.

Việccố gắng tìm ra số định danh cá nhân (PIN) có 4 con sốđối với một thẻ nào đó có thể mất 10,000 kiểm thử,mà chúng có thể mất thời gian và có thể mất quyền sửdụng dịch vụ kiểm tra tính đúng đắn chiếc thẻ đósau quá nhiều thất bại lặp đi lặp lại. Nhưng việckiểm thử một PIN đối với một cơ sở dữ liệu hàngtrăm ngàn số thẻ chắc chắn hầu như sẽ thành công.Phương pháp này không tạo ra con số đáng nghi ngờ đốivới các kiểm thử bị hỏng trên bất kỳ thẻ nào, vàsự đi lại mà nó đã tạo ra đã không bị để ý tớitrên mạng của công ty.

Bọntội phạm cũng che dấu tốt các dấu vết của chúng,Thornton nói. “Tất cả các nhật ký của chúng đã đượcmã hóa, và được mã hóa tốt. Đã không có bất kỳ sựgiả tưởng nào để lại đằng sau”.

Turningpro

Exploitsand attacks are becoming not only more automated but also moreprofessional, said Roger Thornton, chief technology officer ofFortify Software. The most serious attacks can go unnoticed becausethey are difficult to detect.

“Someof the attacks are brilliant in finding a system and compromisingit,” Thornton said. “But the system wasn’t even the target.”The compromised system is used to plant code somewhe-re else in thenetwork, whe-re it gathers data and then leaves while covering itstracks. “Man, these guys are good,” he said.

Badguys also are getting better at defense, he said. The wide-spreadingConficker worm uses cryptography to protect its command and controlcommunications. When weaknesses were found in a hashing algorithmused by Conficker, it was upgraded to a new algorithm.

“Theyfix security vulnerabilities,” Thornton said. “These adversariesare doing security better than us.”

Compromisedcomputers also can provide computing power and bases of operation forthe criminals controlling them. Thornton described one case in whicha financial services company was infected.

“Thehackers had uploaded much more data than they had downloaded,” hesaid. It appeared that the objective had been to upload stolen creditcard numbers. The hackers then used this database of numbers to testpersonal identification numbers used to validate them fortransactions.

Tryingto find the four-digit PIN for a given card could take 10,000 tries,which would be time-consuming and would tip off the servicevalidating the card after too many repeated failures. But testing onePIN against a database of hundreds of thousands of card numbers isalmost certain to be successful. This method cre-ates no suspiciousnumber of failed attempts on any one card, and the traffic itgenerated was not noticed on the company’s network.

Thecriminals also covered their tracks well, Thornton said. “All oftheir logs were encrypted, and encrypted well. There were noartifacts left behind.”

Hướngvào các phương tiện xã hội

Xu thế về mối đedọa khác là tốc độ với nó những công cụ tiến hóanhanh này được sử dụng chống lại những mục tiêumới, đặc biệt các site mạng xã hội. Một ví dụ làdịch vụ microblogging (blog nhỏ) được sử dụng mộtcách rộng rãi của Twitter.

Trong vòng 1 tháng cósự xuất hiện của nó, những kẻ đánh phishing đã nhắmvào Twitter, Marcus nói.

“Tôi không nhớ thứgì khác mà đã bị tấn công nhanh đến thế”, ông nói.

Twitter không đơn độc.Các dịch vụ mạng phổ biến, như Facebook và dịch vụvideo của YouTube, thường đối mặt với các cuộc tấncông mà mưu toan sử dụng chúng như những vật trung gianđể phát tán phần mềm độc hại. Chúng cũng là đốitượng của các cuộc tấn công phishing mà nhử người sửdụng vào trong các site thăm viếng không phù hợp và dângnộp các thông tin cá nhân.

Bất chấp những đổimới sáng tạo, các cuộc tấn công đang được phân phốithông qua những site mới này thường có cùng những dạngmà hầu hết mọi người đã học được để tránh trongthư điện tử. “Nhiều xu hướng công nghệ mới đểđược khai thác trong tất cả các cách thức đã – thử– là – đúng cũ mèm”, Marcus nói. “Công nghệ mới dùlà thế nào, thì bạn cũng có thể sẽ thấy spam, phishingvà việc ăn cắp mật khẩu”.

Bản chất tự nhiêncủa mạng xã hội giúp cho phép sử dụng kỹ thuật xãhội trong các cuộc tấn công độc hại, Ramzan củaSymantec, nói. Kỹ thuật xã hội tiến hóa ngón ngề mộtcuộc tấn công với những thông tin đặc thù để làmdịu đi một nỗi sợ hãi của nạn nhân và thuyết phụcanh hoặc chị ta rằng một giao tiếp là thật chính cống.

“Ý tưởng của kỹthuật xã hội đã từng có từ nhiều năm nay”, ông nói.“Nhưng với các site mạng xã hội, thông tin mà đượcsử dụng để là cá nhân thì nay là công khai, nên nó cóthể dễ dàng cho những kẻ tấn công trích ngữ cảnh xãhội vào trong một cuộc tấn công”.

Tất cả những thứnày có nghĩa là những người quản trị và người sửdụng cần phải luôn luôn đánh giá lại cách mà họ bảovệ các hệ thống của họ, các chuyên gia nói. Mọi ngườicần phải nghi ngờ những thứ lứu lo và những video khihọ làm việc với thư điện tử, và các nhà quản trịcần nghĩ một cách chủ động và hiểu các cuộc tấncông này đang được sử dụng để chống lại họ khibảo vệ các hệ thống của họ.

Các nhà cung cấp anninh cũng cần thường xuyên nâng cấp các công cụ và sảnphẩm của họ. Đôi lúc, sự phòng vệ tĩnh, như cáctường lửa và các phần mềm chống virus và sự pháthiện truy cấp trái phép dựa trên chữ ký, bản thânchúng đã không tương xứng. Ben – Itzhak, công ty của ôngluôn tiến hành các phân tích, nói rằng phân tích nộidung thời gian thực là sống còn đối với các hệ thống.Các tổ chức phải quét mã tới để xác định ý địnhcủa nó trước khi nó được phép vào.

“Bạn có thể đọcmã giống như một cuốn sách và thấy những gì nó làm”,ông nói.

Targetingsocial media

Anotherthreat trend is the speed with which these rapidly evolving tools areused against new targets, especially social-networking sites. Oneexample is the widely used Twitter microblogging service. Within amonth of its appearance, phishers were targeting Twitter, Marcussaid.

“Idon’t remember anything else that was attacked that quickly,” hesaid.

Twitteris not alone. Popular networking services, such as Facebook and theYouTube video service, often face attacks that attempt to use them asvectors for delivering malware. They also are subjects of phishingattacks that lure users into visiting inappropriate sites andsurrendering personal information.

Despitethe innovations, the attacks being delivered through these new sitesare often the same types that most people have learned to avoid ine-mail. “A lot of the new technology tends to get exploited in allthe old tried-and-true ways,” Marcus said. “Whatever the newtechnology is, you are probably going to see spam, phishing andpassword stealing.”

Thenature of social networking helps to enable the use of socialengineering in malicious attacks, Symantec’s Ramzan said. Socialengineering involves crafting an attack with specific information tocalm a victim’s fears and convince him or her that a communicationis genuine.

“Theidea of social engineering has been around for years,” he said.“But with social-networking sites, information that used to beprivate is now public, so it can make it easier for attackers toinject social context into an attack.”

Allof which means that administrators and users need to constantlyre-evaluate how they defend their systems, experts say. People needto be as suspicious of tweets and videos as they are of e-mails, andadministrators need to think offensively and understand the attacksbeing used against them when protecting their systems.

Securityvendors also need to constantly upgrade their tools and products. Forsome time, static defenses, such as firewalls and signature-basedantivirus and intrusion detection, have been inadequate bythemselves. Ben-Itzhak, whose company does content analysis, saidreal-time content analysis is the critical to defending systems.Organizations should scan incoming code to determine its intentbefore it is allowed in.

“Youcan read the code like a book and see what it does,” he said.

Các nhà cung cấp cáccông cụ truyền thống dựa trên chữ ký như Symantec vàMcAfee đang bổ sung các công cụ mới cho các sản phẩmcủa họ vì sự nở rộ nhanh chóng các phần mềm độchại đang làm cho các chữ ký là không phù hợp. Chúngđang sử dụng sự dò tìm dựa trên hành vi và phươngpháp hướng dẫn để bổ sung cho các chữ ký và đangchuyển sang an ninh dựa vào uy tín bằng việc giám sát sựđi lại có nghi ngờ trên hàng triệu máy tính để xácđịnh các nguồn đi lại độc hại mà chúng phải bịkhóa.

Tuy nhiên, không mộtkhuyến cáo nào tách khỏi các phòng vệ dựa trên chữký. Vì quá nhiều khai thác phổ biến vẫn còn làm việcvà còn trong lưu thông, nên các công ty chống virus nângcấp các tệp chữ ký của họ nhanh như có thể để cungcấp một dòng đầu tiên có hiệu quả cho sự phòng vệ.

“Các dạng về cácmối đe dọa này vẫn còn được quản lý tốt nhất bằngcác chữ ký”, Ramzan nói.

Bất kể các công cụlà tốt như thế nào trong việc canh phòng làn sóng phầnmềm độc hại gia tăng nhanh chóng này, thì chúng (nhữngcông cụ) cũng sẽ có lẽ không duy trì phù hợp đượclâu.

“Trong một hoặc hainăm tới, sẽ có cách khác để tấn công mà nó sẽ nằmđâu đó quanh những thứ này”, Ben – Itzhak nói. “Anninh là thứ năng động”

Vendorsof traditional signature-based tools such as Symantec and McAfee areadding new tools to their products because the rapid proliferation ofmalware is making signatures inadequate. They are using heuristic andbehavior-based detection in addition to signatures and are moving toreputation-based security by monitoring suspect traffic on millionsof machines to determine the sources of malicious traffic that shouldbe blocked.

However,no one recommends doing away with signature-based defenses. Becauseso many known exploits still work and are in circulation, antiviruscompanies up-date their signature files as quickly as possible toprovide an efficient first line of defense.

“Thesekinds of threats are still best handled by signatures,” Ramzansaid.

Nomatter how good tools get at warding off the wave of rapidly morphingmalware, they are not likely to remain adequate for long.

“Ina year or two years f-rom now, there will be another way to attackthat will get around these,” Ben-Itzhak said. “Security isdynamic.”

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com