Việc thách đố các chuyên gia, mã nguồn độc hại cho máy tính vẫn lẩn tránh

DefyingExperts, Rogue Computer Code Still Lurks

By JOHN MARKOFF

Published: August 26,2009

Theo:http://www.nytimes.com/2009/08/27/technology/27compute.html?_r=1&hp

Bài được đưa lênInternet ngày: 26/08/2009

Lờingười dịch: Một bài viết của tác giả đã từng viếtvề Mạng Ma (Ghostnet) lần đầu tiên trên tờ New YorkTimes, nhưng lần này là về sâu Conficker, mà Việt Nam cósố lượng máy tính chạy Windows bị lây nhiễm đứngsố 1 thế giới theo báo cáo của hãng Internet OpenDNS,vẫn còn sống, ngaytrong tháng 08 này đã làm lây nhiễm tại một bệnh việnở Luân Đôn, Anh. Điều nguy hiểmhơn nhiều là chúng tạo nên một đội quân khổng lồcác botnet với các máy tính bị lây nhiễm. “Các nhànghiên cứu thì phỏng đoán rằng máy tính có thể bị sửdụng để tạo ra số lượng khổng lồ các spam; nó cóthể ăn cắp các thông tin như các mật khẩu và đăngnhập bằng việc chộp được các cú gõ bàn phím trêncác máy tính bị lây nhiễm; nó có thể phát tán các cảnhbáo rởm về chống virus cho những người sử dụng ngâythơ để tin tưởng rằng các máy tính của họ sẽ bịlây nhiễm và thuyết phục họ trả tiền bằng thẻ tíndụng để loại bỏ được sự lây nhiễm này”. Tệhơn: “Các mạng của những máy tính bị lây nhiễm, hoặcbotnets, đã được sử dụng một cách rộng rãi như nhữngvũ khí trong các cuộc xung đột tại Estonia năm 2007 vàGeorgia năm ngoái, và trong các cuộc tấn công gần đâynhất chống lại các cơ quan chính phủ của Hàn Quốc vàMỹ. Các cuộc tấn công gần đây mà chúng đã đánh quèmột cách tạm thời Twitter và Facebook đã được tin tưởnglà đã có các ngụ ý chính trị”. Một lần nữa cảnhbáo rằng: Việt Nam có lẽ đang là một mạng botnet khổnglồ với các máy tính Windows bị lây nhiễm Conficker vàcác loại virus độc hại khác. Một lần nữa mong đượcnhắc lại: HÃY VỨT BỎ WINDOWS CÀNG NHANH CÀNG TỐT.

Giống như một contàu ma, một chương trình phần mềm độc hại mà lượntrên Internet tháng 11 năm ngoái đã làm tiêu tan những nỗlực của các chuyên gia an ninh hàng đầu muốn tiệt trừtận gốc chương trình này và lần vết gốc gác và mụcđích của nó, hé lộ những yếu kém nghiêm trọng tronghạ tầng số của thế giới.

Chươngtrình này, được biết tới là Conficker, sử dụng nhữngsai sót trong phần mềm Windows để kết nạp các máy tínhvà liên kết chúng lại với nhau thành một máy tính ảomà có thể chỉ huy được từ xa bởi các tác giả củanó. Với hơn 5 triệu các máy tính sống dở chết dởhiện nay dưới sự kiểm soát của nó – các máy tínhcủa các chính phủ, doanh nghiệp và ở nhà tại hơn 200quốc gia – thì máy tính trong bóng tối này có sức mạnhít thì cũng như những trung tâm dữ liệu dữ liệu lớnnhất thế giới.

Được cảnh báo bởisự lan nhanh của chương trình này sau khi nó khởi phátvào tháng 11, các chuyên gia an ninh máy tính từ giới côngnghiệp, hàn lâm và chính phủ đã liên kết lực lượngtrong một sự hợp tác cao một cách không bình thường.Họ đã giải mã chương trình này và đã phát triển cácphần mềm chống virus mà đã xóa bỏ nó khỏi hàng triệumáy tính. Nhưng sự ngoan cường và tinh vi phức tạp củaConficker đã đè bẹp lòng tin của nhiều chuyên gia rằngnhững sự lây nhiễm máy tính toàn cầu như thế này chỉlà một thứ của quá khứ.

“Nóđang sử dụng những thực tế hiện hành tốt nhất vàhiện đại nhất để giao tiếp và tự bảo vệ”, RodneyJoffe, giám đốc của Nhóm Làm việc về Conficker, nói vềchương trình độc hại này. “Chúng tôi đã không tìmthấy được mẹo nào để kiểm soát được phần mềmđộc hại này bằng mọi cách”.

Cácnhà nghiên cứu thì phỏng đoán rằng máy tính có thể bịsử dụng để tạo ra số lượng khổng lồ các spam; nócó thể ăn cắp các thông tin như các mật khẩu và đăngnhập bằng việc chộp được các cú gõ bàn phím trêncác máy tính bị lây nhiễm; nó có thể phát tán các cảnhbáo rởm về chống virus cho những người sử dụng ngâythơ để tin tưởng rằng các máy tính của họ sẽ bịlây nhiễm và thuyết phục họ trả tiền bằng thẻ tíndụng để loại bỏ được sự lây nhiễm này.

Likea ghost ship, a rogue software program that glided onto the Internetlast November has confounded the efforts of top security experts toeradicate the program and trace its origins and purpose, exposingserious weaknesses in the world’s digital infrastructure.

Theprogram, known as Conficker, uses flaws in Windows software to co-optmachines and link them into a virtual computer that can be commandedremotely by its authors. With more than five million of these zombiesnow under its control — government, business and home computers inmore than 200 countries — this shadowy computer has power thatdwarfs that of the world’s largest data centers.

Alarmedby the program’s quick spread after its debut in November, computersecurity experts f-rom industry, academia and government joined forcesin a highly unusual collaboration. They decoded the program anddeveloped antivirus software that erased it f-rom millions of thecomputers. But Conficker’s persistence and sophistication hassquelched the belief of many experts that such global computerinfections are a thing of the past.

“It’susing the best current practices and state of the art to communicateand to protect itself,” Rodney Joffe, director of the ConfickerWorking Group, said of the malicious program. “We have not foundthe trick to take control back f-rom the malware in any way.”

Researchersspeculate that the computer could be employed to generate vastamounts of spam; it could steal information like passwords and loginsby capturing keystrokes on infected computers; it could deliver fakeantivirus warnings to trick naïve users into believing theircomputers are infected and persuading them to pay by credit card tohave the infection removed.

Cũngcó một khả năng khác mà nó gây lo lắng cho các nhànghiên cứu: Rằng chương trình này đã không được thiếtkế bởi một nhóm tội phạm, mà thay vào đó bởi mộtcơ quan tình báo hoặc quân đội của một số quốc giađể giám sát hoặc vô hiệu hóa các máy tính của mộtkẻ thù. Các mạng của những máy tính bị lây nhiễm,hoặc botnets, đã được sử dụng một cách rộng rãi nhưnhững vũ khí trong các cuộc xung đột tại Estonia năm2007 và Georgia năm ngoái, và trong các cuộc tấn công gầnđây nhất chống lại các cơ quan chính phủ của Hàn Quốcvà Mỹ. Các cuộc tấn công gần đây mà chúng đã đánhquè một cách tạm thời Twitter và Facebook đã được tintưởng là đã có các ngụ ý chính trị.

Vâng đối với hầuhết các phần mà Conficker đã thực hiện được ít hơnlà để mở rộng sự với tới được của nó tới nhiềuhơn và nhiều hơn nữa các máy tính. Dù đã từng cóphỏng đoán rằng máy tính có thể được kích hoạt đểlàm thứ gì đó độc hại vào ngày 01/04, ngày này đãtrôi qua mà không có sự kiện nào xảy ra, và một vàichuyên gia an ninh nghi ngờ liệu chương trình này đã cóđược bỏ qua đi chưa.

Các chuyên gia chỉ cóchút manh mối về vị trí của các tác giả của chươngtrình này. Phiên bản đầu tiên đã bao gồm các phần mềmmà chúng đã làm dừng chương trình này nếu nó đã lâynhiễm cho một máy tính với một bàn phím ngôn ngữ tiếngUkrain. Cũng có thể là đã có 2 sự lây nhiễm ban đầu –tại Buenos Aires [thủ đô của Arhentina] và Kiev [thủ đôcủa Ukrain].

Dù là ở đâu thìcác tác giả, các chuyên gia nói, họ đều là các chuyêngia rõ ràng sử dụng công nghệ tiên tiến nhất đang có.Chương trình này được bảo vệ bwori những cơ chế bảovệ nội bộ mà làm cho nó khó mà xóa, và ngay cả giếthoặc ẩn nấp từ các chương trình được thiết kế đểtìm kiếm các botnets.

Một thành viên củađội an ninh đã nói rằng Văn phòng Điều tra Liên bang(FBI) đã nghi ngờ, nhưng đã tiến triển chậm chạp vìnó đã cần để xây dựng một mối quan hệ với các cơquan tăng cường luật “không mua chuộc hối lộ” tạicác quốc gia nơi mà những kẻ tình nghi trú ngụ.

Một người phát ngôncủa FBI tại Washington đã từ chối bình luận, nói rằngsự điều tra về Conficker là một vụ mở.

Thereis also a different possibility that concerns the researchers: Thatthe program was not designed by a criminal gang, but instead by anintelligence agency or the military of some country to monitor ordisable an enemy’s computers. Networks of infected computers, orbotnets, were used widely as weapons in conflicts in Estonia in 2007and in Georgia last year, and in more recent attacks against SouthKorean and United States government agencies. Recent attacks thattemporarily crippled Twitter and Facebook were believed to have hadpolitical overtones.

Yetfor the most part Conficker has done little more than to extend itsreach to more and more computers. Though there had been speculationthat the computer might be activated to do something malicious onApril 1, the date passed without incident, and some security expertswonder if the program has been abandoned.

Theexperts have only tiny clues about the location of the program’sauthors. The first version included software that stopped the programif it infected a machine with a Ukrainian language keyboard. Theremay have been two initial infections — in Buenos Aires and in Kiev.

Whe-reverthe authors are, the experts say, they are clearly professionalsusing the most advanced technology available. The program isprotected by internal defense mechanisms that make it hard to erase,and even kills or hides f-rom programs designed to look for botnets.

Amember of the security team said that the Federal Bureau ofInvestigation had suspects, but was moving slowly because it neededto build a relationship with “noncorrupt” law enforcementagencies in the countries whe-re the suspects are located.

AnF.B.I. spokesman in Washington declined to comment, saying that theConficker investigation was an open case.

Những lây nhiễm đầutiên, vào ngày 20/11 năm ngoái, đã thiết lập một cuộcchiến cường độ cao giữa những tác giả ẩn mình vànhóm những người tình nguyện mà họ đã thành lập đểtính sổ chúng. Nhóm này, mà ban đầu gọi bản thân họlà “Conficker Cabal”, đã thay đổi tên khi Microsoft,Symantec và vài công ty khác nữa đã phản đối ý nghĩakhông chuyên nghiệp này.

Cuối cùng, các nhànghiên cứu các trường đại học và các quan chức tăngcường pháp luật đã liên kết lực lượng với cácchuyên gia máy tính tại hơn 2 tá các hãng phần mềm,Internet và an ninh máy tính.

Nhóm này đã thắngvài trận, nhưng cũng thua những trận khác. Các tác giảcủa Conficker vẫn tiếp tục phát tán các phiên bản phứctạp khó hiểu nhiều hơn nữa về chương trình này, tạimột thời điểm sử dụng mã nguồn mà nó đã đượcphát minh ra trong các viện hàn lâm chỉ vài tháng trước.Tại thời điểm khác, một kỹ thuật độc nhất đượcthả ra bởi nhóm làm việc này đã cho phép các tác giảcủa chương trình này chuyển đổi một số lượng lớncác máy tính bị lây nhiễm thành một hệ thống giao tiếpđiểm – điểm tiên tiến mà nhóm các công ty còn chưacó khả năng đánh thắng. Ở những nơi mà trước đótất cả các máy tính bị lây nhiễm có thể phải gọivề nhà cho một nguồn duy nhất để xin các lệnh, thìcác tác giả bây giờ có thể sử dụng bất kỳ máy tínhbị lây nhiễm nào để ra lệnh cho tất cả những máytính khác.

Đầu tháng 04, PatrickPeterson, một nhà nghiên cứu tại Cisco Systems tại SanJose, California, đã có được một vài tin tình báo vềnhững mối quan tâm của các tác giả này. Ông nghiên cứucác chương trình máy tính ác hiểm bằng việc giữ mộttập hợp các máy tính được cách ly mà chúng chộp vàquan sát chúng – “vườn bách thú điện tử” của ôngta.

Ông đã phát hiệnrằng các tác giả của Conficker đã bắt đầu phân phốicác phần mềm mà chúng đánh lừa những người sử dụngInternet vào việc mua các phần mềm chống virus giả mạobằng các thẻ tín dụng của họ. “Chúng tôi đã tắtđèn trong vườn bách thú một này và quay trở lại vàongày hôm sau”, ông Peterson nói, lưu ý rằng trong “chuồng”còn trữ lại cho Conficker, thì sự lây nhiễm đã đượcliên kết bởi một chương trình phát tán một phần mềmchống virus bất lương.

Dấu hiệu cuộc sốnggần đây nhất từ chương trình này, và sự im lặng củanó đã tạo ra một tranh luận giữa các chuyên gia an ninhmáy tính. Một số nhà nghiên cứu nghĩ Conficker là mộtcái vỏ rỗng, hoặc rằng các tác giả của chương trìnhnày đã sợ bị phát hiện. Những người khác lý sựrằng họ đơn giản đang chờ thời.

Thefirst infections, last Nov. 20, set off an intense battle between thehidden authors and the volunteer group that formed to counter them.The group, which first called itself the “Conficker Cabal,”changed its name when Microsoft, Symantec and several other companiesobjected to the unprofessional connotation.

Eventually,university researchers and law enforcement officials joined forceswith computer experts at more than two dozen Internet, software andcomputer security firms.

Thegroup won some battles, but lost others. The Conficker authors keptdistributing new, more intricate versions of the program, at onepoint using code that had been devised in academia only monthsbefore. At another point, a single technical slip by the workinggroup allowed the program’s authors to convert a huge number of theinfected machines to an advanced peer-to-peer communications schemethat the industry group has not been able to defeat. Whe-re before allthe infected computers would have to phone home to a single sourcefor instructions, the authors could now use any infected computer toinstruct all the others.

Inearly April, Patrick Peterson, a research fellow at Cisco Systems inSan Jose, Calif., gained some intelligence about the authors’interests. He studies nasty computer programs by keeping a set ofquarantined computers that capture and observe them — his “digitalzoo.”

Hediscovered that the Conficker authors had begun distributing softwarethat tricks Internet users into buying fake antivirus software withtheir credit cards. “We turned off the lights in the zoo one dayand came back the next day,” Mr. Peterson said, noting that in the“cage” reserved for Conficker, the infection had been joined by aprogram distributing an antivirus software scam.

Itwas the most recent sign of life f-rom the program, and its silencehas set off a debate among computer security experts. Someresearchers think Conficker is an empty shell, or that the authors ofthe program were scared away in the spring. Others argue that theyare simply biding their time.

Nếu máy tính khôngchính đáng đã được kích hoạt lại, thì nó có thểkhông có khả năng giải quyết vấn đề của các siêumáy tính được sử dụng để thiết kế các vũ khí hạtnhân hoặc mô phỏng sự thay đổi khí hậu. Nhưng vì nóđã ra lệnh được cho quá nhiều máy tính, nên nó có thểvẽ ra trên một số lượng sức mạnh tính toán còn lớnhơn là từ bất kỳ trang bị máy tính duy nhất nào đượcquản lý bởi các chính phủ hoặc Google. Đây chính là sựphản ánh mặt tối của “máy tính đám mây” quét quaInternet thương mại, trong đó các dữ liệu được lưutrữ trên Internet chứ không phải là trong một máy tínhcá nhân.

Nhóm các công ty tiếptục cố gắng tìm cách để giết Conficker, đã gặp nhaugần đây vào hôm thứ ba. Ông Joffe đã nói ông, cá nhân,đã không chuẩn bị để công bố chiến thắng. Nhưng ôngnói rằng công việc của nhóm đã chứng minh rằng chínhphủ và giới doanh nghiệp tư nhân có thể hợp tác đểtính tới những mối đe dọa của không gian mạng.

“Ngay cả nếu chúngta thua trong việc chống lại Conficker”, ông nói, “sẽcó những thứ mà chúng ta đã học được mà nó sẽ cóích lợi cho chúng ta trong tương lai”.

Ifthe misbegotten computer were reactivated, it would not have theproblem-solving ability of supercomputers used to design nuclearweapons or simulate climate change. But because it has commandeeredso many machines, it could draw on an amount of computing powergreater than that f-rom any single computing facility run bygovernments or Google. It is a dark reflection of the “cloudcomputing” sweeping the commercial Internet, in which data isstored on the Internet rather than on a personal computer.

Theindustry group continues to try to find ways to kill Conficker,meeting as recently as Tuesday. Mr. Joffe said he, for one, was notprepared to declare victory. But he said that the group’s workproved that government and private industry could cooperate tocounter cyberthreats.

“Evenif we lose against Conficker,” he said, “there are things we’velearned that will benefit us in the future.”

Dịch tài liệu: LêTrung Nghĩa

letrungnghia.foss@gmail.com