Tội phạm không gian mạng đánh qua Windows vào quá lớn - Phần 2 và hết

Thứ năm - 12/06/2014 05:37

Cyber crims smash through Windows into the great beyond

Phần mềm độc hại đã trở thành một trò chơi đa nền tảng thế nào

How malware became a multi-platform game

By Tom Brewster, 29 May 2014

Theo: http://www.theregister.co.uk/2014/05/29/cyber_crime_vaults_beyond_the_pc/

Bài được đưa lên Internet ngày: 29/05/2014

Lời người dịch: Vài trích đoạn: “Những đánh giá rủi ro theo chiều sâu có sự tập trung không chỉ vào các hệ điều hành đang sử dụng mà còn vào các ứng dụng và nội dung chạy qua chúng”. “Bất chấp tất cả các cuộc tấn công khắp các máy khác nhau và sự nổi lên các phần mềm độc hại Android, Windows vẫn là một mối lo chính cho CNTT. “Windows vẫn là một hệ điều hành bị tổn thương nhất vì quá nhiều người vẫn còn chạy nó ở chế độ quản trị. Android không chạy như thế và có an ninh nền tảng tốt hơn, nên chúng ta vẫn cần phải tập trung vào an ninh của Windows”, Tarszey nói.

Và với Microsoft cuối cùng đã thôi không hỗ trợ cho XP vào tháng 4, thì Windows sẽ thậm chí còn có sự chú ý hơn đối với các tin tặc độc hại trong những tháng tới”. Xem thêm: Windows XP sau ngày hết hỗ trợ kỹ thuật toàn cầu.

Cứu các máy chủ của chúng ta

Các máy trạm không chỉ là các mục tiêu duy nhất. Bất kỳ mẩu hạ tầng nào được kết nối tới Internet đều cuốn hút đối với các tin tặc vì các lý do khác nhau.

Các máy chủ, đưa ra các dữ liệu có giá trị truyền qua chúng, đã trở thành ngày càng cuốn hút đối với các tin tặc số, như được Operation Windigo chứng minh, được các nhà nghiên cứu ESET phát hiện trong năm nay.

Phần mềm độc hại Windigo đã lây nhiễm hơn 25.000 máy chủ Unix, bao gồm cả các máy chủ đang chạy nginx, Lighttpd và các máy chủ web Apache. Mục tiêu dường như khá là tầm thường: để đưa ra dải các spam từ các máy tính bị lây nhiễm.

Nhưng nó còn phức tạp hơn thế, khi các khách viếng thăm các máy chủ đó từng bị ngắm đích từ các phần mềm độc hại khác mà muốn ăn cắp thông tin từ các máy trạm. Những kẻ lừa đảo đang gia tăng các cuộc tấn công xuyên các nền tảng của chúng.

Các bộ định tuyến router cũng đang nhận được nhiều sự chú ý. Các phần mềm độc hại được biết tới như là Moon từng nổi lên đầu năm nay đánh vào một loạt các bộ định tuyến router LinkSys và các điểm truy cập.

Sâu Moon đã vượt qua được xác thực trên định tuyến router bằng việc đăng nhập vào mà không cần biết các thông tin xác thực của quản trị. Không rõ những kẻ tấn công nào đã làm, khác với việc gây ra các vấn đề ngầm có tiềm năng.

Một khi bị lây nhiễm, bộ định tuyến router có thể khởi tạo một cơn lũ mạng với giao thông qua các cổng 80 và 8080. Tuy nhiên, sâu Moon có thể chỉ là một thử nghiệm với những kẻ tấn công đang thí điểm liệu sự tự nhân bản phần mềm độc hại có thể làm việc xuyên các bộ định tuyến router hay không?

Các cuộc tấn công vào các thiết bị mạng đã trở thành nghiêm trọng hơn trong những tháng gần đây. Vào tháng 3, tổ chức an ninh phi lợi nhuận Team Cymru đã phát hiện một chiến dịch tấn công lớn vào 300.000 máy từ D-Link, Micronet, Tenda và TP-Link, cùng các loại khác.

Các tin tặc từng được xem là đang tùy biến các cấu hình hệ thống tên miền, mở ra tiềm năng cho việc gửi các nạn nhân tới các website độc.

Ôm lấy sự đa dạng

Vô số các nền tảng bước vào không gian làm việc và các chỗ bị tổn thương trú ngụ trong tất cả chúng đã mang tới một môi trường phức tạp khổng lồ, một môi trường đầy rủi ro. Sự đổi mới giữa các tin tặc mũ đen, được thấy với các cuộc tấn bộ định tuyến router và máy chủ, sẽ không giúp gì.

“Càng đa dạng đối với hạ tầng CNTT của một công ty, thì càng khó nó trở nên giữ được mọi điều được cập nhật và an ninh. Nhiều thiết bị chạy các phiên bản phần mềm khác nhau có nghĩa là không chỉ nhiều vấn đề hơn cho các nhà quản trị hệ thống mà còng nhiều cơ hội hơn cho các tội phạm không gian mạng để thâm nhập vào”, Janus nói.

“Ví dụ, thậm chí nếu tất cả các máy trạm Windows trong một công ty được bảo vệ một cách phù hợp, thì luôn cập nhật, được sử dụng với các chính sách về an ninh và chạy các phần mềm an ninh, một lỗ hổng dữ liệu có thể xảy ra vì một điện thoại thông minh lỗi thời duy nhất hoặc một bộ định tuyến router bị cấu hình sai”.

Có một số dạng tin tốt ở đây: các mối đe dọa mà không là xuyên nền tảng rõ ràng sẽ không gây lây nhiễm cho toàn bộ môi trường máy trạm.

“Mặt khác, sự đa dạng nền tảng có nghĩa là một sự hỏng về an ninh trong một nền tảng sẽ không nhất thiết lặp lại cho các nền tảng khác”, Charles Brett, nhà phân tích ở Freeform Dynamics, nói.

“Đây là một hành động cân bằng khó khăn, giống hệt như nó là trong một chuỗi cung ứng toàn cầu - một nhà cung cấp chuyên nghiệp chi phí thấp hoặc 3 nhà chi phí cao nhất với chất lượng tổng thể thấp nhất có thể”.

“Trong một môi trường đa nền tảng hiện đại, là cơ bản đối với những người quản lý CNTT để chú ý sát hơn về an ninh của từng thiết bị, không chỉ những thiết bị được xem là dễ có rủi ro nhất đang bị ngắm đích”.

Những đánh giá rủi ro theo chiều sâu có sự tập trung không chỉ vào các hệ điều hành đang sử dụng mà còn vào các ứng dụng và nội dung chạy qua chúng.

“Hãy nhìn đủ lâu vào tất cả các nền tảng đang sử dụng trong tổ chức, không chỉ những nền tảng được hỗ trợ chính thức”, Tony Lock, nhà phân tích ở Freeform Dynamics, nói.

“Sau đó hãy xem ai đang sử dụng chúng và các hệ thống và thông tin nào chúng có thể với tới được. Các giải pháp an ninh có hiệu quả có thể được xây dựng chỉ với tri thức này và với sự thừa nhận nhu cầu về an ninh giữa những người sử dụng. Việc huấn luyện những người sử dụng có thể là cách có hiệu quả nhất ở phía trước”.

Quả thực, việc huấn luyện trong các hệ điều hành khác nhau, thậm chí nếu nó dường như không nhất thiết sâu, sẽ giúp thúc đẩy an ninh tổ chức.

“Có sự tiến thoái lưỡng nan ở đây: an ninh là tối tăm, phức tạp, luôn thay đổi hoặc tiến hóa và theo bản chất tự nhiên của nó là có hạn chế, nó không làm cho rất cuốn hút cho việc dạy học”, Brett nói.

Để tâm tới lỗ hổng

“Lựa chọn thay thế không làm cho mọi người nhận thức được về các tác động an ninh là để khóa chặt chẽ, mà điều này thường hạn chế không hài lòng. Nó khuyến khích các khắc phục mà tới lượt nó tạo ra các lỗ hổng vì mọi người không hiểu các tác động của những gì chúng đang làm”.

“Các CIO dường như gắn các màu của họ vào hàng rào, không muốn làm tổn thương bằng an ninh quá quắt được thừa nhận và hiếm khi sở hữu một ngân sách cho sự nhận thức về an ninh toàn diện, rộng khắp doanh nghiệp. Chìa khóa có thể là không giành được, bị khóa lại một cách thân thiện”.

Bất chấp tất cả các cuộc tấn công khắp các máy khác nhau và sự nổi lên các phần mềm độc hại Android, Windows vẫn là một mối lo chính cho CNTT.

Windows vẫn là một hệ điều hành bị tổn thương nhất vì quá nhiều người vẫn còn chạy nó ở chế độ quản trị. Android không chạy như thế và có an ninh nền tảng tốt hơn, nên chúng ta vẫn cần phải tập trung vào an ninh của Windows”, Tarszey nói.

Và với Microsoft cuối cùng đã thôi không hỗ trợ cho XP vào tháng 4, thì Windows sẽ thậm chí còn có sự chú ý hơn đối với các tin tặc độc hại trong những tháng tới.

Save our servers

Clients are not the only targets either. Any piece of infrastructure connected to the internet is attractive to hackers for various reasons.

Servers, given the valuable data passing through them, have become increasingly tempting for digital crooks, as evidenced by Operation Windigo, uncovered by ESET researchers this year.

The Windigo malware infected more than 25,000 Unix servers, including those running nginx, Lighttpd, and Apache web servers. The aim appeared to be rather banal: to send out reams of spam from infected machines.

But it was more complex than that, as visitors to those servers were targeted by further malware which would steal information from the clients. Crooks are upping their cross-platform attacks.

Routers are also receiving a lot of attention. Malware known as the Moon was spotted earlier this year hitting various LinkSys routers and access points.

The Moon worm bypassed authentication on the router by logging in without knowing the admin credentials. It wasn’t clear what the attackers were doing, other than causing latency issues.

Once infected, the router would start flooding the network with traffic over ports 80 and 8080. The Moon may have just been a trial, however, with hackers testing whether self-replicating malware could work across routers.

Attacks on network devices have become more severe in recent months. In March, non-profit security organisation Team Cymru disclosed an epic attack campaign on 300,000 machines from D-Link, Micronet, Tenda and TP-Link, among others.

The hackers were seen altering domain name system configurations, opening up the potential for sending victims to malicious websites.

Embracing diversity

The myriad platforms entering the workplace and the vulnerabilities residing in all of them have brought about a hugely complex environment, one fraught with risk. Innovation among black hats, as seen with the server and router attacks, isn’t helping either.

“The greater the diversity of a company's IT infrastructure, the harder it becomes to keep everything updated and secure. Multiple devices running different versions of software mean not only more problems for IT administrators but also more opportunities for cyber criminals to get in,” says Janus.

“For example, even if all Windows workstations in a company are adequately protected, always up-to-date, used with secure policies and running security software, a data breach may occur because of a single outdated smartphone or a misconfigured router.”

There is some sort of good news here: threats that are not cross-platform obviously won’t affect the entire client environment.

 

“On the other hand, platform diversity means that a security failure on one platform will not necessarily repeat for other platforms,” says Charles Brett, analyst at Freeform Dynamics.

“This is a difficult balancing act, just like it is in a global supply chain – one low-cost specialist supplier or three higher cost ones with possibly lower quality overall.

“In a modern multi-platform environment it is essential for IT managers to pay close attention to the security of every single device, not only the ones that are considered to be most at risk of being targeted.”In-depth risk assessments have to focus not just on the operating systems in use but on the applications and content passing through them.

“Take a long look at all the platforms in use in the organisation, not just those officially supported,” says Tony Lock, analyst at Freeform Dynamics.

“Then consider who is using them and which systems and information they can reach. Effective security solutions can be built only with this knowledge and with the acceptance of the need for security among the users. Training users could be the most effective way forward.”

Indeed, training in different operating systems, even if it seems unnecessarily in-depth, should help boost organisational security.

“There is a dilemma here: security is dull, complex, ever-changing or evolving and by its nature restrictive, which does not make it very attractive for teaching,” says Brett.

Mind the hole

“The alternative to not making people aware of the security implications is to lock down tight, but this is often unpleasantly restrictive. It encourages workarounds that in turn create security holes because people do not understand the implications of what they are doing.

“CIOs seem to have nailed their colours to the fence, not wishing to offend with perceived excess security and rarely possessing a budget for coherent, enterprise-wide security awareness. The key, which may be unobtainable, is friendly lock-down.”

Despite all of the attacks across different machines and the rise of Android malware, Windows still has to be a major worry for IT.

“Windows remains one of the most vulnerable as so many still run it in admin mode. Android does not run like this and has better base security, so we still need to be focussed on Windows security,” says Tarzey.

And with Microsoft having finally pulled the plug on XP support in April, Windows will be getting even more attention from malicious hackers in the coming months.

Dịch: Lê Trung Nghĩa

letrungnghia.foss@gmail.com

 

Tổng số điểm của bài viết là: 0 trong 0 đánh giá

Click để đánh giá bài viết

  Ý kiến bạn đọc

Những tin mới hơn

Những tin cũ hơn

Về Blog này

Blog này được chuyển đổi từ http://blog.yahoo.com/letrungnghia trên Yahoo Blog sang sử dụng NukeViet sau khi Yahoo Blog đóng cửa tại Việt Nam ngày 17/01/2013.Kể từ ngày 07/02/2013, thông tin trên Blog được cập nhật tiếp tục trở lại với sự hỗ trợ kỹ thuật và đặt chỗ hosting của nhóm phát triển...

Bài đọc nhiều nhất trong năm
Thăm dò ý kiến

Bạn quan tâm gì nhất ở mã nguồn mở?

Thống kê truy cập
  • Đang truy cập238
  • Máy chủ tìm kiếm5
  • Khách viếng thăm233
  • Hôm nay5,617
  • Tháng hiện tại99,547
  • Tổng lượt truy cập36,158,140
Bạn đã không sử dụng Site, Bấm vào đây để duy trì trạng thái đăng nhập. Thời gian chờ: 60 giây