I. TỔng quan về an toàn thông tin một số khái niệm



tải về 104.94 Kb.
Chuyển đổi dữ liệu21.08.2016
Kích104.94 Kb.
#25782
TÀI LIỆU TẬP HUẤN AN TOÀN THÔNG TIN

Chương I

MỘT SỐ GIẢI PHÁP TĂNG CƯỜNG BẢO ĐẢM

AN TOÀN THÔNG TIN

I. TỔNG QUAN VỀ AN TOÀN THÔNG TIN

      1. Một số khái niệm

      An toàn thông tin là sự bảo vệ thông tin và hệ thống thông tin tránh bị truy nhập, sử dụng, tiết lộ, gián đoạn, sửa đổi hoặc phá hoại trái phép nhằm bảo đảm tính nguyên vẹn, tính bảo mật và tính khả dụng của thông tin.

      Hệ thống thông tin là tập hợp thiết bị phần cứng, phần mềm và cơ sở dữ liệu được thiết lập phục vụ mục đích tạo lập, cung cấp, truyền đưa, thu thập, xử lý, lưu trữ và trao đổi thông tin.


Xâm phạm an toàn thông tin là hành vi truy nhập, sử dụng, tiết lộ, làm gián đoạn, sửa đổi, làm sai lệch chức năng, phá hoại trái phép thông tin và hệ thống thông tin.

Sự cố an toàn thông tin là việc thông tin, hệ thống thông tin bị gây nguy hại, ảnh hưởng tới tính bảo mật, tính nguyên vẹn hoặc tính khả dụng.

Rủi ro an toàn thông tin là những nhân tố chủ quan hoặc khách quan có khả năng ảnh hưởng tới trạng thái an toàn thông tin.

Đánh giá rủi ro an toàn thông tin là việc phát hiện, phân tích, ước lượng mức độ tổn hại, mối đe dọa đối với thông tin và hệ thống thông tin.

Quản lý rủi ro an toàn thông tin là đưa ra các hệ thống biện pháp nhằm giảm thiểu rủi ro an toàn thông tin.

Xung đột thông tin là việc cá nhân, tổ chức trong và ngoài nước sử dụng giải pháp công nghệ, kỹ thuật thông tin nhằm làm tổn hại hệ thống thông tin, chương trình và nguồn thông tin.

Sản phẩm an toàn thông tin là thiết bị phần cứng, phần mềm có chức năng bảo vệ thông tin và hệ thống thông tin.

Dịch vụ an toàn thông tin là dịch vụ bảo vệ thông tin và hệ thống thông tin cho tổ chức, cá nhân.

2. Bảo đảm an toàn thông tin

Bảo đảm ATTT bao gồm các hoạt động nhằm bảo vệ ba đặc tính cơ bản của thông tin: tính bảo mật, tính toàn vẹn, tính sẵn sàng.

Tính bảo mật: đảm bảo thông tin chỉ được truy cập bởi người nào có quyền, được phép truy cập.

Tính toàn vẹn: thông tin được trao đổi, thông tin qua nhau hoàn toàn chính xác, đảm bảo.

Tính sẵn sàng: đảm bảo người dùng có thể truy cập được thông tin ngay khi cần thiết.

II. CÁC BIỆN PHÁP TĂNG CƯỜNG BẢO ĐẢM AN TOÀN THÔNG TIN

1. Tiêu chuẩn ATTT (ISO 27001:2005)

a) Giới thiệu

- BS7799 (British Standard): là tập hợp các hướng dẫn, các cách kiểm soát được đúc kết, ghi nhận lại bởi các tổ chức có kinh nghiệm tốt trong việc xây dựng hệ thống bảo đảm ATTT.

- ISO 27001:2005

+ Chuẩn ISO 27001 là chuẩn quốc tế cung cấp mô hình để xây dựng, vận hành, quản lý, duy trì và cải tiến hệ thống ATTT.

+ Chuẩn này cung cấp các phương pháp kiểm soát nhằm giảm rủi ro cho tài sản của cơ quan, đơn vị tới mức thấp nhất có thể.

b) Các bước thực hiện

- Liệt kê, lập danh sách tài sản: tài sản gồm 6 loại

+ Thông tin số

+ Tài liệu giấy

+ Phần mềm

+ Phần cứng/vật lý

+ Con người

+ Các dịch vụ

- Định giá tài sản:

+ Căn cứ độ mật; giá trị tài chính;

+ Sắp xếp theo thứ tự quan trọng cần ưu tiên tập trung bảo vệ trước

- Xác định các mối đe dọa (threat): Liệt kê các mối đe dọa đối với tài sản đã được liệt kê ở trên;

- Tính toán các nguy cơ (risk):

+ Liệt kê mỗi mối đe dọa với mỗi tài sản trong danh sách tài sản.

+ Đánh giá khả năng xảy ra trên thực tế bao nhiêu lần trong tháng, trong năm đối với với mỗi cắp (mối đe dọa; tài sản).

- Tính toán thiệt hại:

+ Căn cứ giá trị tài sản và khả năng thất thoát để xác định thiệt hại theo tài chính, uy tín, độ mật.

+ VD: Thiệt hại = Xác suất xảy ra sự cố + hậu quả của sự cố + giá trị tài sản bị mất. Trong đó: các thành phần của công thức được lượng hóa về con số: cao/vừa/thấp = 3/2/1.

- Biện pháp giảm thiểu nguy cơ:

+ Chấp nhận nguy cơ:

+ Giảm thiểu nguy cơ: triển khai các biện pháp nhằm giảm thiểu nguy cơ;

+ Chuyển tiếp nguy cơ: tìm cách chia sẻ nguy cơ với với các cơ quan, đơn vị khác;

- Giải pháp để giảm thiểu nguy cơ.

- Đánh giá chi phí cho giải pháp và đưa ra quyết định.

- Triển khai hệ thống quản lý ATTT.

- Đánh giá và cấp chứng chỉ ISO 27001.



2. Xây dựng hệ thống chính sách

a) Một số văn bản pháp lý liên quan đến ATTT

- Quyết định số 63/QĐ-TTg ngày 13/01/2010 của Thủ tướng Chính phủ về Phê duyệt Kế hoạch phát triển an toàn thông tin số quốc gia đến năm 2020.

- Chỉ thị số 897/CT-TTg ngày 10/6/2011 của Thủ tướng Chính phủ về việc tăng cường triển khai các hoạt động đảm bảo an toàn thông tin số.

- Chỉ thị của Ban Bí thư Trung ương Đảng về tăng cường bảo đảm ATTT mạng.

- Chỉ thị 03/CT-BQP ngày 23/01/2014 của Bộ trưởng BQP về tăng cường bảo đảm ATTT và một số vấn đề về tác chiến không gian mạng.

- Dự thảo Luật An toàn thông tin.

- Quyết định số 06/2003/QĐ-BQP ngày 17/01/2003 của Bộ Quốc phòng về việc ban hành “Quy chế quản lý, cung cấp và sử dụng dịch vụ Internet trong Quân đội nhân dân Việt Nam”.

- Công văn số 1403/TM-CNTT ngày 30/8/2012 của Tổng Tham mưu trưởng QĐNDVN về việc tăng cường bảo đảm an toàn thông tin trong truy cập, sử dụng mạng Internet.

b) Quán triệt nhiệm vụ các cơ quan, đơn vị tại Chỉ thị 03

- Làm tốt công tác quán triệt, tuyên truyền, giáo dục nhằm nâng cao nhận thức về vị trí, vai trò, tầm quan trọng của công tác bảo đảm an toàn thông tin quân sự - quốc phòng, bảo vệ cơ sở hạ tầng mạng trọng yếu quốc gia và bảo vệ chủ quyền quốc gia trên không gian mạng; nâng cao tinh thần cảnh giác, chủ động phòng ngừa, khắc phục các lỗ hổng bảo mật, không để các thế lực thù địch xâm nhập vào hệ thống thông tin, lấy cắp bí mật của Đảng, Nhà nước, Quân đội và phá hoại cơ sở hạ tầng mạng; coi đây vừa là nhiệm vụ cấp bách, vừa là nhiệm vụ thường xuyên, lâu dài góp phần bảo vệ Đảng, Nhà nước; kiên quyết xử lý nghiêm mọi hành vi làm mất an toàn thông tin.

- Tập trung đầu tư cơ sở vật chất kỹ thuật và triển khai hạ tầng mạng công nghệ thông tin an toàn phục vụ nhiệm vụ quân sự - quốc phòng; đồng thời từng bước nâng cao trình độ của cán bộ quản lý, khai thác trang thiết bị công nghệ thông tin; việc đẩy mạnh ứng dụng, phát triển công nghệ thông tin phải gắn liền với bảo đảm an toàn thông tin; tất cả vũ khí, trang thiết bị công nghệ thông tin phải được kiểm tra an ninh, an toàn thông tin trước khi đưa vào sử dụng; chú trọng, ưu tiên công tác nghiên cứu, tự sản xuất nhằm thay thế các thiết bị công nghệ thông tin, viễn thông có nguy cơ mất an toàn thông tin.

- Nghiêm cấm: Trao đổi thông tin có nội dung thuộc bí mật quân sự qua mạng Internet và mạng viễn thông không được bảo mật theo quy định của pháp luật về cơ yếu; sử dụng máy tính kết nối mạng Internet, thiết bị di động thông minh để soạn thảo, lưu trữ, xử lý thông tin quân sự hoặc kết nối máy tính thuộc mạng máy tính quân sự vào mạng Internet; sử dụng chung thiết bị nhớ di động (USB, thẻ nhớ, ổ cứng di động...) giữa máy tính kết nối Internet và máy tính quân sự; sử dụng thiết bị di động thông minh trong cơ quan trọng yếu cơ mật, trong các cuộc giao ban, hội họp quan trọng của cơ quan, đơn vị; sử dụng các trang mạng xã hội, trang thông tin điện tử, trang cá nhân... để đăng tải thông tin liên quan đến hoạt động quân sự. Việc sử dụng các thiết bị cá nhân để ghi hình, ghi âm trong các hội nghị, buổi làm việc phải được sự đồng ý của lãnh đạo, chỉ huy các cơ quan đơn vị chủ trì tổ chức; sử dụng các mạng không dây (Wifi, Wireless, DCOM-3G, Bluetooth, hồng ngoại,…) để kết nối Internet trong doanh trại quân đội phải được phép của người chỉ huy đơn vị.

- Chủ động bố trí cán bộ chuyên trách, kiêm nhiệm công nghệ thông tin phù hợp, đáp ứng yêu cầu nhiệm vụ; huy động kinh phí từ các nguồn bảo đảm cho nhiệm vụ ứng dụng, phát triển công nghệ thông tin gắn với bảo đảm an toàn thông tin.



3. Giải pháp kỹ thuật

a) Hạ tầng mạng và ứng dụng trên Internet

- Hạ tầng mạng Internet:

+ Chuyển về nhà cung cấp dịch vụ Viettel;

+ Mạng Internet tách rời về mặt vật lý (màu dây mạng) với mạng nội bộ và được phân biệt bằng màu sắc;

+ Thiết lập IP tĩnh theo địa chỉ MAC.

+ Không kết nối WiFi, Bluetooth, 3G… trong đơn vị;

+ Có quyết định sử dụng internet đối với máy tính.

+ Nên bố trí phòng Internet tập trung.

- Ứng dụng trên Internet

+ Chuyển website, hòm thư điện tử về nhà cung cấp dịch vụ Viettel

+ Phải được TCCT cấp phép trước khi đưa vào sử dụng.

b) Hạ tầng mạng quân sự và ứng dụng trên nền mạng quân sự

- Hạ tầng mạng:

+ Cài đặt Antivirus CMC phiên bản dành cho các máy tính quân sự.

+ Thiết lập IP tĩnh theo địa chỉ MAC.

+ Chỉ cài đặt phần mềm đã được kiểm tra ATTT;

+ Các máy tính phải được kiểm tra ATTT trước khi đưa vào sử dụng

c) Thiết bị lưu trữ, viễn thông và thanh xử lý

- Thiết bị lưu trữ: Nghiêm cấm sử dụng USB chung giữa máy tính Internet và máy tính quân sự.

- Thiết bị viễn thông: Nghiêm cấm sử dụng điện thoại di động thông minh trong các cuộc hội họp quan trọng;

- Thanh xử lý: Các thiết bị lưu trữ (ổ cứng, USB, thẻ nhớ) không còn sử dụng cần được xóa sạch dữ liệu sau đó lưu vào kho lưu trữ an toàn.

d) Ứng dụng, phát triển và BĐKT CNTT gắn với BĐ ATTT

- Ứng dụng, phát triển CNTT gắn với ATTT:

+ Xây dựng, triển khai hạ tầng mạng phải có giải pháp tổ chức mạng, thiết lập chính sách bảo đảm ATTT;

+ Phát triển phần mềm phải có giải pháp bảo mật dữ liệu, phân cấp, xác thực người dùng và phải được kiểm tra ATTT trước khi đưa vào sử dụng;

+ Thường xuyên kiểm tra vá lỗ hổng bảo mật.

- Bảo đảm kỹ thuật CNTT gắn với Bảo đảm ATTT: Trang thiết bị phải được kiểm tra ATTT trước và sau khi làm công tác bảo đảm kỹ thuật CNTT;



4. Giải pháp về con người

- Chỉ huy trưởng chịu trách nhiệm về ATTT

+ Công tác Bảo đảm ATTT thuộc về cấp ủy, chỷ huy

- Tăng cường công tác tuyên truyền, quán triệt

+ Tổ chức tuyên truyền nâng cao ý thức, trách nhiệm

+ Quán triệt các văn bản QPPL, chỉ thị, quy định của đơn vị

- Đào tạo nghiệm vụ bảo đảm ATTT

+ Tổ chức tập huấn nghiện vụ ATTT

+ Từng bước nâng cao trình độ của cán bộ quản lý, khai thác trang thiết bị CNTT

- Quản lý tốt trang bị CNTT: Quản lý tốt các trang bị CNTT tránh lộ lọt thông tin./.


Chương 2

QUY TRÌNH THU THẬP MÃ ĐỘC

      1. Khái niệm mã độc


Mã độc là một phần mềm hoặc chương trình, đoạn mã được thiết kế để thực hiện hành vi: tấn công hệ thống, đánh cắp thông tin và xâm nhập vào hệ thống. Mã độc mang ý nghĩa rộng hơn virus.

Dựa trên tính năng của từng loại mã độc có thể phân ra thành các loại sau: Virus máy tính, sâu máy tính (Worm), Trojan Horse, Rootkit, Botnet, Dostool, Exploit kit, Spyware, adware.



Định nghĩa một số loại mã độc phổ biến:

- Trojan horse, tiếng Anh dịch ra là Ngựa Trojan, là một loại phần mềm ác tính. Không giống như virus, nó không có chức năng tự sao chép nhưng lại có chức năng hủy hoại tương tự virus. Một trong những thứ giăng bẫy của Ngựa Troia là nó tự nhận là giúp cho máy của thân chủ chống lại các virus nhưng thay vì làm vậy nó quay ra đem virus vào máy. Trojan horse thường là các tệp khả thi trên Windows và do đó sẽ có các đuôi như là.exe,.com,.scr,.bat, hay.pif. Trong nhiều ứng dụng của Windows đã có cấu hình mặc định không cho phép hiển thị các đuôi này. Do đó, nếu một Trojan horse có tên chẳng hạn là "Readme.txt.exe" thì tệp này sẽ hiển thị một cách mặc định thành "Readme.txt" và nó sẽ đánh lừa người dùng rằng đây chỉ là một loại hồ sơ văn bản không thể gây hại.

- Sâu máy tính là một chương trình máy tính có khả năng tự nhân bản giống như virus máy tính. Trong khi virus máy tính bám vào và trở thành một phần của mã máy tính để có thể thi hành thì sâu máy tính là một chương trình độc lập không nhất thiết phải là một phần của một chương trình máy tính khác để có thể lây nhiễm. Sâu máy tính thường được thiết kế để khai thác khả năng truyền thông tin có trên những máy tính có các đặc điểm chung - cùng hệ điều hành hoặc cùng chạy một phần mềm mạng - và được nối mạng với nhau.

- Rootkit: Rootkit là một dạng phần mềm độc hại (malware) được xây dựng với mục tiêu chủ yếu là để ẩn giấu các đoạn mã độc có khả năng gây nguy hiểm đến máy tính của chúng ta. Một khi đã được cài đặt, rootkit sẽ "ngụy trang" bản thân sao cho các phần mềm diệt virus thông thường khi quét qua chỉ thấy nó một là một ứng dụng vô hại.

- Botnet: Viết tắt của Robot Internet, là từ chỉ một tập hợp các rô bôt phần mềm hoặc các con bot hoạt động một cách tự chủ. Từ này còn được dùng để chỉ một mạng các máy tính sử dụng phần mềm tính toán phân tán. Có nhiều loại Botnet như DdoS hay IRC.

- Spyware: là loại phần mềm gián điệp đúng như chữ “spy” trong tên của nó, phần mềm này chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy. Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc). Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả mật khẩu cá nhân cũng như là số thẻ tín dụng.

- Adware: Chữ “Ad” trong từ Advertisment nghĩa là quảng cáo. Hiểu đơn giản là một dạng phần mềm quảng cáo lén lút cài đặt vào máy tính người dùng hoặc cài đặt thông qua một phần mềm miễn phí, được người dùng cho phép (nhưng không ý thức được mục đích của chúng). Tuy nhiên, chúng không dừng lại ở tính đơn giản là quảng cáo khi kết hợp với những loại virus khác nhằm tăng "hiệu quả” phá hoại. 

      2. Cách thức lây nhiễm


Mã độc có thể lây qua các con đường sau: File đính kèm trong email, liên kết trong email hoặc website, đoạn mã độc nhúng trong nội dung web, lỗ hổng của hệ điều hành hoặc ứng dụng, thiết bị lưu trữ, chia sẻ file. Chúng ta đi tìm hiểu một số trường hợp cụ thể sau:

a) Lây lan qua USB

Virus thường tạo ra một tệp autorun.inf trong thư mục gốc của USB. Khi phát hiện có thiết bị lưu trữ mới được cắm vào (USB, CD, Floppy Disk... ), Window mặc nhiên sẽ kiểm tra tệp autorun.inf nằm trong đó, nếu có nó sẽ tự động thực hiện các dòng lệnh theo cấu trúc được sắp xếp trước.

Tệp autorun.inf thông thường sẽ có nội dung:

[autorun]
open=virus.exe
icon=diskicon.ico

Câu lệnh trên sẽ tự động thực thi một tệp có tên là virus.exe (tệp virus) và thiết lập icon của ổ đĩa là diskicon.ico. Những tệp này đều nằm ở thư mục gốc của thiết bị lưu trữ. Giả sử ổ USB của bạn là ổ G thì tệp đó sẽ nẳm ở G:\virus.exe. Khi cắm usb vào, máy tính sẽ mặc nhiên chạy tệp G:\virus.exe nếu chưa được config đúng cách.

Cách ngăn chặn:

Để disable chế độ tự động autorun, bạn vào Start - Run, gõ regedit và ấn Ok, bên tay trái, bạn truy cập vào khóa:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer

Bên tay phải bạn kích đúp vào biến NoDriveTypeAutoRun và chỉnh lại thành FF để vô hiệu hóa autorun của tất cả các ổ đĩa. Nhấp OK và restart lại máy để có hiệu lực.

Tuy nhiên, cũng chỉ hạn chế được tính năng tự động của tệp autorun. Nếu trong USB có tệp autorun mà bạn kích đúp vào ổ thì window vẫn mặc nhiên chạy nó. Vì vậy, bạn nên dung các phương thức khác để truy cập vào USB mà không cần kích đúp, cũng như nên sửa thói quen truy cập gây hại này và thay vào đó là chuột phải, chọn Open:
b) Lây lan qua Yahoo!Messenger

Những loại virus kiểu này có một thời rất được thịnh hành ở Việt Nam vì khả năng lây lan với tốc độ cao của nó. Thỉnh thoảng bạn gặp một vài tin nhắn rất hấp dẫn của bạn bè gửi cho và sau đó là đường link đến một trang web lạ nào đó. Đại loại như: ... click vào đây đi, hay lắm http://[web link]...

Và nếu ai không cảnh giác sẽ vô tình click vào, đột nhiên cửa sổ IE của bạn bị đơ cứng lại trong vài giây. Virus đã được tự động down về máy và kích hoạt, chỉ vài giây sau bạn sẽ gửi đi những tin nhắn vô tình gây hại cho người khác giống như bạn bè của bạn.

Cách ngăn chặn:

Virus dạng này sử dụng một đoạn VBScript gắn trên link web được gửi có tác dụng tự động download file exe về máy và kích hoạt. Hiện nay, phần lớn các trình duyệt đều không hỗ trợ VbScript, chỉ có Internet Explorer (trình duyệt mặc định của Window) từ bản 6 trở xuống là vẫn hỗ trợ loại mã này. Nên tốt nhất bạn nên tải bản IE 6 trở lên hoặc sử dụng các trình duyệt khác có tính bảo mật hơn như FireFox, Opera...

Ngoài ra trước mỗi link lạ, bạn có thể xem qua source của nó để khẳng định nó không có gì nguy hiểm, bạn có thể sử dụng các trang xem trước mã html (www.viewhtml. com). Nên chú ý các từ khóa đặc biệt như: vbscript, exe... Tuy nhiên, phương pháp này tỏ ra không hiệu quả vì trong trang web đó có thể gắn vào thêm một số url khác, và sau một loạt các url gắn thêm mới đến link của trang web chứa script.

c) Lây lan qua trình duyệt truy cập web

Giống như cách lây lan qua Yahoo Messenger, khi bạn truy cập vào đường link (một trang web) nào đó, bạn sẽ vô tình vào phải các trang web bị nhiễm mã độc (dạng VBScript). Cách giải quyết giống như trên, sử dụng các trình duyệt có tính bảo mật tốt không hỗ trợ vbscript để truy cập web.

d) Lây lan qua Email, Outlook Express

Tiện ích email thì chắc không ai còn lạ gì rồi, nhất là nếu bạn hay check mail, công việc khiến bạn phải tiếp xúc với email nhiều. Bạn rất khó phân biệt được email nào có nội dung tốt, xấu hay chỉ là spam. Hacker đã lợi dụng email để "giả dạng" một e mail với môt địa chỉ bất kì nào mà họ muốn, với nội dung là một tấm thiệp, một file attach hay đường link nào đó. Đó đều là những file malware gây nguy hiểm cho máy tính. Vậy làm sao để nhận dạng?

Cách ngăn chặn:

Phần này chủ yếu dựa trên kinh nghiệm hiểu biết của bạn. Bạn nên cảnh giác với những bức mail có nội dung chung chung. Giả sử như ở phần đầu của bức mail không có phần Gửi/Chào... Hoặc không ghi rõ tên: Gửi bạn/Chào bạn... những bức mail dạng này mà kèm theo attach file hay đường link nào đó thì bạn đừng nên down về, hoặc bạn nên quét virus cẩn thận trước khi chắc chắn mở nó ra.

e) Lây lan vào các tệp tin thực thi

Một ngày chủ nhật nào đó, bạn lướt web và tìm kiếm các phần mềm tiện ích để download về. Những trang web bạn truy cập đều là các trang web sạch (không chứa mã độc, không có virus và có thể là các trang web có uy tín). Nhưng dù vậy, bạn vẫn có nguy cơ bị dính virus mà không biết mình đã bị khi nào.

Vì một lý do nào đó, chương trình ứng dụng gốc sau khi được chuyển dịch từ server này lên server khác... đã bị "đính" thêm một con virus vào (đánh tráo thành một tệp bị nhiễm virus). Bạn không hề biết nó có nguy hiểm hay không mà chỉ mẩy may bật vào, ngay lập tức, virus đã được extra và thực thi trên máy bạn từ file cài đặt của ứng dụng.

Cách ngăn chặn:

Hacker sau khi download một ứng dụng nguyên bản từ trên mạng về, sẽ sử dụng một phần mềm "exe joiner" nào đó để có thể đính 2 tệp exe vào với nhau. Rồi tiếp tục đem lên các trang web khác phát tán ứng dụng đã được đính virus. Nguyên lý của việc đính exe này có thể hiểu đơn giản như sau:

- Virus sẽ được quẳng vào cuối file của ứng dụng (hoặc một nơi nào đó không làm ảnh hưởng tới tiến trình).

- Sau khi chạy ứng dụng, virus sẽ được tự động extra ra thư mục temp (thư mục tạm của window) rồi tự động chạy tệp exe vừa được extra ra.

Cách ngăn chặn việc này rất khó, vì hacker có trăm phương nghìn kế để che mắt chúng ta. Ta chỉ có thể "xem qua" tính an toàn của ứng dụng.


      3. Tác hại của mã độc


Các virus thời kỳ đầu được viết ra với mục tiêu chủ yếu là để thể hiện tài năng, tuy nhiên càng ngày virus càng mang tính phá hoại, trục lợi rõ ràng. Tác hại đầu tiên có thể thấy ngay khi một máy bị nhiễm virus đó là:

- Tiêu tốn tài nguyên hệ thống: CPU, bộ nhớ, dung lượng đĩa cứng và băng thông mạng. Các máy bị nhiễm virus thường có triệu chứng như: Chạy rất chậm, đèn mạng báo liên tục. Trong nhiều trường hợp thậm chí virus chiếm hết băng thông khiến người dùng không thể kết nối mạng.

- Phá hủy dữ liệu: Có rất nhiều loại virus xóa file. Các tài liệu thường bị tấn công nhiều nhất là các file .doc (Word), .xls (Excel) thường là các tệp chứa dữ liệu quan trọng của người dùng. Một số virus còn nguy hiểm hơn khi chỉ xóa dữ liệu trong một thời điểm nhất định khiến người dùng không kịp trở tay. Chuyện gì sẽ xảy ra nếu một sáng mai bạn thức dậy và phát hiện ra toàn bộ ổ cứng của mình đã bị format sạch trơn.

- Đánh cắp dữ liệu: Có rất nhiều loại virus, spyware, keylogger sử dụng các thông tin quan trọng đánh cắp được trên máy tính người dùng để trục lợi. Ngày nay mọi người lưu trữ hầu hết các thông tin quan trọng trên máy tính, từ: sổ sách, chứng từ, thẻ tín dụng ... Do đó để đánh cắp, thay vì phải chui vào nhà, hacker đang sử dụng virus như là một công cụ để tấn công máy tính người dùng.

- Mã hóa dữ liệu tống tiền: Đây là một hiện tượng mới xuất hiện trong một vài năm gần đây. Khi virus xâm nhập vào máy nạn nhân sẽ mã hóa tất cả các dữ liệu quan trọng của người dùng và yêu cầu họ phải trả tiền để có thể khôi phục lại hệ thống.

- Phá hủy hệ thống: Một số virus cố tình phá hủy hệ thống (Các virus phá hủy BIOS, làm giảm tuổi thọ của ổ cứng)... Một số khác khi được code thì người viết nó không cố ý đưa các đoạn mạ làm hỏng hệ thống, tuy nhiên quá trình hoạt động virus trong thực tế chạy đôi lúc ngoài dự kiến của họ, những “chú” virus bất đầu hoạt động bất ổn thậm chí sinh ra những lỗi tê liệt hệ thống. Điển hình là gần đây virus Kavo gây ra lỗi xung đột hệ thống dẫn đến màn hình BSD (Blue Screen Death), gây ra lỗi logout khỏi yahoo.


      - Gây các khó chịu khác cho người dùng : Thiết lập các chế độ ẩn cho tập tin, thư mục, chặn registry, Task Manager... Thay đổi cấu trúc hoạt động của các phần mềm như trình duyệt, office, thậm chí thay đổi hệ điều hành!

      4. Sự cần thiết của thu thập mã độc


Lấy mẫu virus là một quá trình rất quan trọng. Thông qua quá trình lấy mẫu, sẽ kịp thời cung cung cấp cho các đơn vị ứng cứu khẩn cấp, hãng phần mềm anti-virus, đơn vị phát triển công cụ bảo mật, đơn vị cung cấp dịch vụ bảo mật, cơ quan nhà nước nghiên cứu và phân tích mã độc của mẫu virus đó để biết được hành vi cũng như có những giải pháp tiêu diệt chúng. Công cụ cần có:

  • USB dung lượng trên 1Gb, định dạng FAT32.

  • Đĩa CD chứa các công cụ cơ bản như sau:

- Process Explorer (Hiển thị thông tin về các tiến trình);

- Autoruns (Xác định những tiến trình tự chạy khi khởi động HĐH và đường dẫn tới các chương trình thực thi);

- PowerTool (Xem toàn bộ thông tin về hệ thống, đánh giá sơ lược về hệ thống, xem các tiến trình bao gồm cả tiến trình ẩn, xem các file bao gồm cả file ẩn...);

- WinRar (nén và thu thập mẫu).


      5. Quy trình thu thập mã độc


Bước 1:

- Format USB sạch.

- Cắm USB vào máy tính kiểm tra ATTT.

Bước 2:

Từ Start Menu của Windows chạy Run và gõ msconfig -> Startup để bước đầu xem các tiến trình được khởi tạo chạy cùng HĐH.



Ở đây ta thấy có 2 tiến trình lạ đang chạy và ở cột Command có thể thấy rõ đường dẫn của những file thực thi.



Bước 3:

Trên thanh công cụ của HĐH nhấp chuột phải và chọn Task Manager để xem các tiến trình đang chạy trên hệ thống:

Chúng ta chỉ xét các tiến trình chạy dưới user người dùng, ở đây là Administrator. Bằng kinh nghiệm và hiểu biết cơ bản về các ứng dụng trên máy tính mà chúng ta có thể phát hiện ra các tiến trình lạ. Hình dưới chúng ta có thể dễ dàng phát hiện thấy có 2 tiến trình lạ đang chạy là fortinet.exe và spoolv.exe.

Trong nhiều trường hợp virus có thể ngăn chặn không cho người dùng sử dụng chức năng msconfig và Task Manager thì chúng ta sẽ qua các bước tiếp theo là sử dụng công cụ nêu ở trên để tiến hành xem các file và tiến trình của Windows.



Bước 4: Dùng Process Explorer để xem có tiến trình lạ nào chạy trên máy hay không.

Dựa vào kinh nghiệm và các chương trình ta đang chạy có thể xác định được có hay không virus đang chạy trong hệ thống. Cụ thể ở đây ta có thể dễ dàng thấy 2 tiến trình lạ (phần explorer.exe trở xuống) mà chúng ta nghi ngờ do virus sinh ra. Chúng ta cũng lưu ý tại cột Description sẽ cho ta một số thông tin bổ sung về tiến trình đó, cột Company Name cho ta biết tên của công ty xây dựng ứng dụng (thường các phần mềm mã độc sẽ không có tên công ty như hình trên), cột Path sẽ cho ta đường dẫn tới các file mã độc.

Trên thanh công cụ chọn View->Select Columns. Chọn Process Image->Verified Signed.

- Chụp ảnh toàn bộ các tiến trình, dịch vụ không được xác thực, lưu vào USB.

- Lấy mẫu:

+ Sử dụng công cụ XueTr hoặc PowerTools để lấy các mẫu không được xác thực theo đường dẫn.

+ Nén file nghi ngờ là mã độc với tên là tên file nghi ngờ và mật khẩu là 1, chuẩn nén .rar, không thực hiện xóa các file nghi ngờ mã độc. Sao chép mẫu nghi ngờ mã độc vào USB.

Bước 5:

Dùng phần mềm Autoruns để xác định xem có chương trình nào nghi ngờ được khởi chạy cùng Windows hay không:



- Chọn Options-> Verify Code Siganatures

- Chọn Options-> Hide Microsoft and Windows Entries.

- Chụp ảnh Properties các thành phần không được xác thực bởi Microsoft.

- Lấy mẫu:

Sau khi xác định chính xác đường dẫn rồi chúng ta sử dụng PowerTool để vào các thư mục chứa các phần mềm trên để xem ngoài virus đó ra còn có loại nào khác không. Trong một số trường hợp virus sẽ tự sao chép ra và nằm trong cùng một thư mục, nếu không để ý rất dễ bị bỏ sót.

+ Thực hiện các bước lấy các mẫu không được xác thực như ở bước 4.




Bước 6:

Ghi toàn bộ các tập tin nghi ngờ là mã độc vào danh sách được cung cấp kèm theo. Chi tiết danh sách trong phụ lục.


Chương 3

QUY TRÌNH LÀM SẠCH MÁY TÍNH BỊ NHIỄM MÃ ĐỘC

      1. Các công cụ hỗ trợ làm sạch virus (Tool)


Tool là những công cụ nhỏ được viết ra nhằm mục đích hỗ trợ them có việc việc xử lý virus và tối ưu hóa Hệ thống, được chia làm các loại sau:

- Công cụ làm sạch: Cleaner.bat, Temp file cleaner.exe: Làm nhiệm vụ xóa những file rác, file tạm thời để Hệ thống nhẹ hơn và ngăn ngừa nguy cơ đây là ổ chứa virus.

- Công cụ xử lý trực tiếp virus: Để xử lý những con virus đặc biệt và nguy hiểm, nếu biết chính xác một máy bị nhiễm một trong các dòng virus được liệt kê bên dưới, việc dùng công cụ tương ứng sẽ xử lý nhanh và hiệu quả:


Công cụ

Mục đích

Conflicker removal

Diệt virus Conflicker

Sality removal

Diệt virus Sality

Virtob removal

Diệt virus Virtob

Win32 Fujack removal

Xem có Rootkit hook vào hệ thống không để loại bỏ

XueTr, Autorun

Xem các tiến trình trong Starup và loại bỏ

Process Explorer

Xem các tiến trình đang chạy và loại bỏ

Công cụ tiện ích: Là những công cụ cung cấp một vài tiện ích và chức năng hỗ trợ thêm cho việc xử lý virus, gồm:

- All in one: Gọi và phục hồi những chức năng của Windows như file ẩn, Taskmanager.

- Msconfig: Gọi msconfig.

- Registry Workshop: Gọi và duyệt registry của Hệ thống, chỉnh sửa xóa registry.


      2. Quy trình làm sạch máy


Trước khi làm sạch máy tính ta lưu ý rằng đối với những máy tình trạng nhiễm virus quá nghiêm trọng ta nên cài lại máy. Sau khi cài lại máy, ổ đĩa Hệ điều hành coi như đã sạch, ta kiểm tra các ổ còn lại. Việc làm sạch máy tính theo phương pháp thủ công ở đây chủ yếu phải thực hiện theo hướng dẫn xử lý mã độc của bộ phận phân tích hoặc cán bộ có thẩm quyền. Các bước làm sạch máy tính cụ thể như sau:

Bước 1:

Chạy tool Cleaner.bat để xóa các file temp và các file rác trong máy.



Bước 2:

Bật tool Process explorer.exe xem có tiến trình lạ nào đang chạy trong máy không, nếu có thì kill ngay (nhấn chuột phải và chọn Kill Process), tốt nhất là hạn chế tối đa các tiến trình chạy cùng Windows. Thực hiện việc kill các tiến trình theo hướng dẫn





Bước 3:

Bật msconfig, xem có tiến trình nào lạ khởi chạy cùng Windows hay không, nếu chức năng msconfig bị disable thì nên dung tool Msconfig để bật.




Bước 4:

Bật phần mềm Autoruns lên và thực hiện việc tìm kiếm, xóa các khóa khởi động của mã độc theo hướng dẫn.



Bước 5:

Bật tool XueTr xem có tiến trình lạ nào trong Startup hay không, chú ý các đường dẫn sau:

- Document and Setting\ Accout\ Start menu\ Programs\ Startup (Windows XP).

- Document and Setting\ Accout\ Local Settings\ Temp (Windows XP).

- Users\ Accout\ AppData\ Roaming\ Microsoft\ Windows\ Start Menu\ Programs\ Startup (Windows 7).

- Users\ Accout\ AppData\Temp (Windows 7).




Tìm kiếm các thư mục và các tập tin mã độc theo hướng dẫn và xóa chúng. Nếu có thể thì xóa folder Recycler và System Volume Information.

Lưu ý: Không được xóa các tập tin hay các thư mục hệ thống vì sẽ làm ảnh hưởng đến hoạt động của hệ thống hoặc làm cho hệ thống không thể hoạt động được.

Bước 6: Khởi động lại hệ thống để kiểm tra khả năng hoạt động của hệ thống sau khi xử lý mã độc.

Nếu hệ thống hoạt động bình thường, mã độc theo các đường dẫn trên không còn, ta chuyển sang bước 6.



Nếu mã độc vẫn còn, ta thực hiện quy trình kiểm tra và thu thập mã độc.

Bước 7:

Cài đặt và cập nhật phần mềm diệt vi rút của các hãng bảo mật uy tín sau đó quét toàn bộ hệ thống.
Каталог: uploads -> files -> Anh -> Tai Lieu -> Attt
files -> LỜi cam đoan tôi xin cam đoan đây là công trình nghiên cứu khoa học của riêng tôi. Các số liệu, kết quả nghiên cứu nêu trong luận án này là trung thực, khách quan và chưa được ai bảo vệ ở bất kỳ học vị nào
Tai Lieu -> THÔng tư Quy định tiêu chuẩn, định lượng, mức tiền ăn cơ bản bộ binh; mức tiền ăn quân binh chủng, bệnh nhân điều trị, học viên Lào, Campuchia; ăn thêm ngày lễ
Tai Lieu -> BÀI 01: VẠch dấu mục tiêu của bài
Tai Lieu -> BỘ quốc phòng cục tài chíNH
Attt -> BỘ quốc phòng số: 217/2013/tt-bqp cộng hoà XÃ HỘi chủ nghĩa việt nam
Tai Lieu -> CỤc chính trị CỘng hòa xã HỘi chủ nghĩa việt nam
Tai Lieu -> LIÊn cục tài chính nhà trưỜng cộng hòa xã HỘi chủ nghĩa việt nam
Tai Lieu -> ĐẢng ủy quân sự trung ưƠng đẢng cộng sản việt nam
Tai Lieu -> Mục lục 1 Chương 1 2 VẬt liệu dẫN ĐIỆN 2 Hợp kim có điện dẫn suất thấp. (Điện trở cao) 11 5 Các kim loại khác 13

tải về 104.94 Kb.

Chia sẻ với bạn bè của bạn:




Cơ sở dữ liệu được bảo vệ bởi bản quyền ©hocday.com 2024
được sử dụng cho việc quản lý

    Quê hương