Tránh phần mềm độc hại cho Windows: Ngân hàng trên một đĩa Live CD

AvoidWindows Malware: Bank on a Live CD

By Brian Krebs  | October 12, 2009; 2:00 PM ET

Theo:http://voices.washingtonpost.com/securityfix/2009/10/avoid_windows_malware_bank_on.html#more

Bài được đưa lênInternet ngày: 12/10/2009

Lờingười dịch: Nếu bạn sử dụng Windows để tham gia cácgiao dịch ngân hàng trực tuyến, thì bạn đang có khảnăng bị bọn tin tặc ăn cắp tiền đấy. Để tránh nó,Viện Công nghệ SAN, một tổ chức nghiên cứu và giáodục về an ninh đã đưa ra kết luận rằng “Trong khi cónhiều tầng lớp bảo vệ mà các doanh nghiệp và ngânhàng có thể thực hiện, thì giải pháp rẻ nhất vàngười ngu tới đâu cũng có thể sử dụng được là hãysử dụng một hệ điều hành có thể khởi động đượcvà chỉ đọc, như là Knoppix hoặc Ubuntu. Xem báo cáo củaSANS ởđây (bằng tiếng Anh, 75 trang)”.Vâng, như vậy là dù bạn có muốn sử dụng Windows thìvẫn cứ cần phải biết sử dụng GNU/Linux để bảo vệchính túi tiền của bạn đó!

Một loạt các điềutra mà tôi đã từng viết về bọn tội phạm không gianmạng có tổ chức ăn cắp hàng triệu đô la từ cácdoanh nghiệp vừa và nhỏ đã nảy sinh ra một số câu trảlời từ các chủ doanh nghiệp mà họ đã quan tâm vềcách làm thế nào để tự bảo vệ họ được tốt nhấttừ dạng giả mạo này.

Đơn giản nhất, câutrả lời hiệu quả nhất về giá thành mà tôi biết ư?Đừng có sử dụng Microsoft Windows khi truy cập tài khoảnngân hàng trực tuyến của bạn.

Tôi không đưa rakhuyến cáo này một cách nhẹ nhàng (và ở cuối của bàiviết này bạn sẽ thấy một đường liên kết tới mộtbài khác nơi tôi giải thích về một giải pháp thay thếdễ sử dụng). Nhưng tôi đã phỏng vấn hàng tá các nạnnhân là các công ty mà họ đánh mất từ khoảng 10,000tới 500,000 USD vì một sự lây nhiễm phần mềm độc hạiduy nhất. Tôi đã nghe những câu chuyện đáng giá về mộtkịch bản phim về vô số cách thức mà những cái móckhông gian mạng xâm nhập gần như mỗi vật chướng anninh mà các ngân hàng đặt lên trong con đường củachúng.

Nhưng bất chấp cácphương pháp được sử dụng bởi ngân hàng hoặc các cáimóc này, tất cả các cuộc tấn công đã chia sẻ mộtmẫu số chung duy nhất và không thể chối cãi được:chúng đã thành công vì những kẻ xấu đã có khả năngcấy các phần mềm độc hại mà đã cho chúng toàn quyềnkiểm soát máy tính Windows của nạn nhân.

Vìsao hệ điều hành lại quan trọng? Thực tế tất cả cácphần mềm độc hại ăn cắp dữ liệu hiện có hôm nayđược xây dựng để tấn công các hệ thống Windows, vàđơn giản là sẽ thất bại để chạy trên các máy tínhkhông phải là Windows. Hơn nữa, phần mềm độc hại dựatrên Windows được sử dụng trong từng cuộc tấn côngtrực tuyến gần đây chống lại các doanh nghiệp là quátinh vi phức tạp mà nó làm cho cực kỳ khó khăn đốivới các ngân hàng để nói lên sự khác biệt giữa mộtgiao dịch được khởi tạo bởi các khách hàng của họvà một tập hợp những dịch chuyển trong hoạt độngcủa các tin tặc mà chúng đã tấn công máy tính cá nhâncủa các khách hàng.

Aninvestigative series I've been writing about organized cyber crimegangs stealing millions of dollars f-rom small to mid-sized businesseshas generated more than a few responses f-rom business owners who wereconcerned about how best to protect themselves f-rom this type offraud.

Thesimplest, most cost-effective answer I know of? Don't use MicrosoftWindows when accessing your bank account online.

Ido not offer this recommendation lightly (and at the end of thiscolumn you'll find a link to another column whe-rein I explain aneasy-to-use al-ternative). But I have interviewed dozens of victimcompanies that lost anywhe-re f-rom $10,000 to $500,000 dollars becauseof a single malware infection. I have heard stories worthy of ascreenplay about the myriad ways cyber crooks are evading nearlyevery security obstacle the banks put in their way.

Butregardless of the methods used by the bank or the crooks, all of theattacks shared a single, undeniable common denominator: Theysucceeded because the bad guys were able to plant malicious softwarethat gave them complete control over the victim's Windows computer.

Whyis the operating system important? Virtually all of the data-stealingmalware in circulation today is built to attack Windows systems, andwill simply fail to run on non-Windows computers. Also, theWindows-based malware employed in each of these recent online attacksagainst businesses was so sophisticated that it made it extremelydifficult for banks to tell the difference between a transactioninitiated by their customers and a transfer set in motion by hackerswho had hijacked that customer's PC.

Cuộc thâm nhập khôngnổi tiếng hiện nay chống lại thành phố Bullitt, Ky. đãmiêu tả cách mà bọn ăn cắp sử dụng phần mềm độchại để thắng được 2 trong số những dòng chính củasự bảo vệ thường được các ngân hàng sử dụng đểphá ngang một hoạt động không được xác thực. Nhiềungân hàng đưa ra cho các khách hàng lựa chọn cho cái gọilà “kiểm tra đúp” - đòi hỏi ít nhất 2 nhân viên cóthẩm quyền để ký lên bất kỳ giao dịch chuyển tiềnnào. Trong cuộc tấn công đó, bọn trộm đã sử dụngcác phần mềm độc hại được cấy vào hệ thống khobạc để tự bổ sung thêm chúng một cách thành công nhưmột người phê chuẩn có thẩm quyền của các giao dịch.

Các ngân hàng cũngthường theo dõi các địa chỉ Internet được sử dụngbởi các khách hàng của họ, và dựng lên các biện phápan ninh bổ sung khi các khách hàng này truy cập các tàikhoản trực tuyến của họ thông qua các địa chỉ hoặcmáy tính không quen thuộc. Trong trường hợp của tỉnhBullitt và ít nhất 3 nạn nhân khác mà tôi đã phỏng vấntrong 3 tháng qua, thì những kẻ tấn công đã sử dụngcác phần mềm độc hại của chúng để định tuyến chokết nối của chúng tới website của các ngân hàng bằngviệc đi ngầm qua địa chỉ Internet và máy tính củariêng của người sử dụng.

Các phần mềm độchại cũng đang giúp bọn trộm thắng được cái gọi làxác thực 2 yếu tố, mà nó thường liên quan tới việcyêu cầu các khách hàng của ngân hàng trực tuyến gõ vàothứ gì đó mà họ có để bổ sung cho tên và mật khẩucủa họ, như là mã được sinh ra bởi một khóa mà nótạo ra một con số mới có 6 chữ số mà nó thay đổimỗi 30 giây một lần.

Trong vòng 2 tháng qua,tôi đã viết về hoàn cảnh của 2 công ty mà họ đã lànhững nạn nhân của sự giả mạo ngân hàng trực tuyếndù thực tế là các ngân hàng của họ đã yêu cầu sửdụng các thẻ token an ninh này.

David Johnston, chủ củaModesto, Calif. dựa trên Sign Designs, đã mất gần 100,000USD hôm 23/07 vì phần mềm độc hại dựa trên Windows.Ngân hàng của Johnston yêu cầu các khách hàng gõ vào mãtừ một thẻ token an ninh của Vasco. Nhưng bọn trộm -được trang bị bằng các phần mềm độc hại trên máytính cá nhân của người kiểm soát của công ty - đã cókhả năng chặn được một trong những mã số này khingười kiểm soát cố gắng đăng nhập, và sau đó gâytrễ cho người kiểm tra đối với việc đăng nhập. Quảthực, Johnston đã nói là nhật ký máy tính của công tynày chỉ ra rằng người kiểm soát đã đăng nhập vào hệthống trong khi một loạt bọn trộm cắp đã sẵn sàngtrong quá trình.

Thenow-infamoushack against Bullitt County, Ky. illustrated how thieves usemalware to defeat two of the major lines of defense commonly used bybanks to thwart unauthorized activity. Many banks offer customers theoption for so-called "dual controls" - requiring at leasttwo authorized employees to sign off on any money transfers. In thatattack, thieves used malware planted on the treasurer's system toeffectively add themselves as an authorized approver of transactions.

Banksalso often keep track of the Internet addresses used by theircustomers, and erect additional security measures when thosecustomers access their online accounts via unfamiliar addresses orcomputers. In the case of Bullitt County and at least three othervictims I've interviewed in the past three months, the attackers usedtheir malicious software to route their connection to the bank's Website by tunneling through the victim's own Internet address andcomputer.

Malicioussoftware also is helping thieves defeat so-called two-factorauthentication, which generally involves requiring online bankingcustomers to enter something they have in addition to their user nameand password, such as the code generated by a key fob that cre-ates anew, six-digit number that changes every 30 seconds.

Overthe past two months, I wrote about the plight of two companies thatwere victims of online bank fraud despite the fact that their banksrequired the use of these security tokens.

DavidJohnston, owner ofModesto, Calif. based SignDesigns, lostnearly $100,000 on July 23 due to Windows-based malware.Johnston's bank requires customers to enter the code f-rom a Vascosecurity token. But the thieves - armed with malware on the companycontroller's PC - were able to intercept one of those codes when thecontroller tried to log in, and then delay the controller f-romlogging in. Indeed, Johnston said the company's computer logs showthat the controller logged into the system while the series of theftswas already in progress.

Bọn ăn cắp đã sửdụng cùng tiếp cận để cướp 447,000 USD từ hãng Ferma,một hãng tại Santa Maria, Calif. mà ngân hàng của hãng nàycũng đã yêu cầu các khách hàng gõ vào một mã từ mộtthẻ token an ninh.

Tôi không là ngườiduy nhất khuyến cáo các khách hàng sử dụng ngân hàngtrực tuyến thương mại xem xét việc truy cập các tàikhoản của họ chỉ từ các hệ thống không phảiWindows. Trung tâm Chia sẻ và Phân tích Thông tin Dịch vụTài chính (FS-ISAC) - một nhóm các nhà công nghiệp đượchỗ trợ bởi một số ngân hàng lớn nhất thế giới -gần đây đã phát hành các chỉ dẫn hối thúc các doanhnghiệp triển khai tất cả các hoạt động ngân hàng trựctuyến từ “một hệ thống máy tính đứng riêng, đượctăng cường và hoàn toàn được khóa khỏi những nơi màcác thư điện tử và việc duyệt web thông thường làkhông thể thực hiện được”.

Trong sự phản ứngtrực tiếp đối với loạt bài được báo cáo và xuấtbản này của Security Fix, Viện Côngnghệ SAN, một tổ chức nghiên cứu và giáo dục về anninh, đã thách thức các học sinh của mình bằng việctạo ra một tờ giấy trắng để xác định các phươngpháp có hiệu quả nhất cho các doanh nghiệp vừa và nhỏđể làm dịu bớt mối đe doạ từ những dạng tấn côngnày. Kết luận của họ ư? Trong khi có nhiều tầng lớpbảo vệ mà các doanh nghiệp và ngân hàng có thể thựchiện, thì giải pháp rẻ nhất và người ngu tới đâucũng có thể sử dụng được là hãy sử dụng một hệđiều hành có thể khởi động được và chỉ đọc, nhưlà Knoppix hoặc Ubuntu. Xem báo cáo của SANS ởđây (bằng tiếng Anh, 75 trang).

Được biết tới nhưlà “các đĩa Live CD”, những thứ này thường là cáchệ điều hành tự do, dựa trên Linux mà một người cóthể tải về và đốt vào một CD-ROM. Vẻ đẹp củanhững phát tán Live CD là việc chúng có thể được sửdụng để biến một máy tính cá nhân dựa trên Windowsthành một máy tính Linux một cách tạm thời, vì Live CDcho phép người sử dụng khởi động trong một hệ điềuhành Linux mà không cần cài đặt bất kỳ thứ gì lênđĩa vứng. Các chương trình trên một LiveCD sẽ đượctải vào bộ nhớ hệ thống, và bất kỳ thay đổi nào -như lịch sử việc duyệt [web] hoặc các hoạt động khác- sẽ hoàn toàn bị quét sạch sau khi máy được tắt. Đểquay về với Windows, chỉ đơn giản loại bỏ đĩa LiveCDkhỏi ổ và khởi động lại.

Thievesused the same approach to steal$447,000 f-rom Ferma Corp., a demolition firm in Santa Maria,Calif. whose bank also required customers to enter a code f-rom asecurity token.

I'mnot the only one recommending commercial online banking customersconsider accessing their accounts solely f-rom non-Windows systems.The FinancialServices Information Sharing and Analysis Center(FS-ISAC) - a industry group supported by some of the world's largestbanks -- recentlyissued guidelines urging businesses to carry out all onlinebanking activities form "a stand-alone, hardened and completelylocked down computer system f-rom whe-re regular e-mail and Webbrowsing is not possible."

Indirect response to this series reported and published by SecurityFix, the SANSTechnology Institute,a security research and education organization, challenged itsstudents with creating a white paper to determine the most effectivemethods for small and mid-sized businesses to mitigate the threatf-rom these types of attacks. Their conclusion? While there aremultiple layers that of protection that businesses and banks couldput in place, the cheapest and most foolproof solution is to use aread-only, bootable operating system, such as Knoppix,or Ubuntu.See the SANS report here(PDF).

Alsoknown as "Live CDs," these are generally free, Linux-basedoperating systems that one can download and burn to a CD-Rom. Thebeauty of Live CD distributions is that they can be used to turn aWindows-based PC temporarily into a Linux computer, as Live CDs allowthe user to boot into a Linux operating system without installinganything to the hard drive. Programs on a LiveCD are loaded intosystem memory, and any changes - such as browsing history or otheractivity -- are compeltely wiped away after the machine is shut down.To return to Windows, simply remove the Live CD f-rom the drive andreboot.

Quan trọng hơn, phầnmềm độc hại mà được xây dựng để ăn cắp các dữliệu từ các hệ thống dựa trên Windows sẽ không tảihoặc làm việc được khi người sử dụng đang khởiđộng từ một đĩa LiveCD. Đơn giản: ngay cả nếu càiđặt Windows trên ổ đĩa cứng hoàn toàn bị hỏng vớimột con virus hoặc Trojan khi gõ để đăng nhập, thì phầnmềm độc hại đó cũng không thể vồ được những ủyquyền ngân hàng của nạn nhân nếu người sử dụng đóchỉ truyền sự ủy quyền của anh/chị đó sau khi khởiđộng xong trong một trong các đĩa LiveCD này.

Arc of Steuben, một tổchức phi lợi nhuận có trụ sở ở New York mà nó cung cấpdịch vụ chăm sóc cho người lớn tuổi khuyết tật, đãáp dụng khuyến cáo này trong tâm. Vào tháng 9, tôi đãviết cách mà bọn ăn cắp đã sử dụng các phần mềmđộc hại để cướp đi gần 200,000 USD từ tổ chứcnày. Kể từ đó, tổ chức này đã hạn chế sự truy cậptới tài khoản ngân hàng trực tuyến của mình tới mộthệ thống Linux trên mạng của mình, theo một báo cáo hôm01/10 trên một tờ báo địa phương Star Gazette.

“Tôicó thể khuyến cáo một cách mạnh mẽ việc xem xét bấtkỳ hệ thống nào mà bạn đang sử dụng nếu bạn đanglàm ngân hàng điện tử”, Gazette này trích dẫn lời củaBernie Burns, giám đốc điều hành của Arc. “Và nếu đâylà một hệ thống Windows, thì có lẽ hãy xem xét tới thứgì đó khác”.

Tất nhiên, một máyMac cũng có thể làm việc tốt, nhưng sự tập trung ởđây là vào những người sử dụng Windows, những ngườicó thể tìm kiếm một cách rẻ tiền để tăng cườngcho thiết lập hiện đang tồn tại của họ để tránhcác phần mềm độc hại.

Nếu bạn chưa từngsử dụng một đĩa LiveCD và có quan tâm trong việc họccách sử dụng, hoặc nếu bạn chỉ muốn lấy một hệđiều hành Linux cho một ổ thử nghiệm, hãy kiểm trasách hướng dẫn của tôi về chủ đề này ởđây.

Moreimportantly, malware that is built to steal data f-rom Windows-basedsystems won't load or work when the user is booting f-rom LiveCD. Putsimply: even if the Windows installation on the underlying hard driveis completely corrupted with a keystroke-logging virus or Trojan,that malware can't capture the victim's banking credentials if thatuser only transmits his or her credentials after booting up into oneof these Live CDs.

TheArc of Steuben,a Bath N.Y.-based not-for-profit that provides care fordevelopmentally disabled adults, has taken this advice to heart. InSeptember, I wrote about how thieves had used malware tosteal nearly $200,000 f-rom the organization. Since then, theorganization has restricted access to its online bank account to aLinux system on its network, according to an Oct.1 report in the local StarGazette.

"Iwould strongly recommend looking at whatever systems you're using ifyou're doing electronic banking," the Gazette quotes BernieBurns, the Arc'sexecutive director. "And if it is a Microsoft system, perhapslooking at something different."

Ofcourse, a Maccomputer would probably work just as well, but the focus here is onWindows users who may be looking for a cheap way to harden theirexisting setup to avoid malicious software.

Ifyou've never used a Live CD and are interested in learning how, or ifyou just want to take a Linux operating system for a test drive,check out my tutorial on this topic here.

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com