Microsoft Word Security TiengViet

Tài liệu Security Tiếng Việt

( Vnexperts Network Academy )

Hà Nội-12/06/2009

http;//vnexperts.net 2

MỤC LỤC Phần 1. An ninh mạng. ........................................................................................................................................4

I. Những khái niệm cơ bản về Security ....................................................................................................4

A. Giới thiệu về Bảo mật thông tin ........................................................................................................4

B. Các khái niệm cơ bản trong bảo mật..............................................................................................4

1. Mục đích bảo mật...............................................................................................................................4

2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing) ...............4

Access Control. ....................................................................................................................................4

Authentication......................................................................................................................................4

Auditing ..................................................................................................................................................4

2.Truy cập điều khiển(Access Control). ..........................................................................................5

a. MAC. ...................................................................................................................................................5

b. DAC .....................................................................................................................................................5

c. RBAC...................................................................................................................................................6

II. Bảo mật quá trình truyền dữ liệu. ........................................................................................................7

1.Quá trình truyền thông tin. ..................................................................................................................7

2. Access control.( Điều khiển truy cập) ...........................................................................................10

3. Authentication.(Xác thực người dùng) ..........................................................................................10

a.Mã hóa dữ liệu. ...................................................................................................................................10

Phương thức xác thực Kerberos. .................................................................................................11

Phương thức Xác thực CHAP ( Challenge Handshake Authentication Protocol ). .....12

Hình 3.3 Các bước xác thực CHAP. ............................................................................................13

Phương thức xác thực Chứng chỉ số (Certificates). .............................................................13

Phương thức xác thực Username, Password. .........................................................................13

Phương thức xác thực Token ........................................................................................................14

Phương thức xác thực Multi-Factor ............................................................................................14

Phuơng thức xác thực Biosmetrics .............................................................................................14

4. Auditing (Giám sát).........................................................................................................................15

III. Mã hóa. ............................................................................................................................................................16

1. Khái niệm mã hóa. ....................................................................................................................................16

a. Mã hoá DES, Triple DES (Data Encryption Standard) ...................................................16

b.Mã hoá RSA.....................................................................................................................................17

c.Thuật toán HASHING và mã hoá MDx...................................................................................18

2.Các yếu tố quyết định chất lượng của việc mã hoá. ............................................................20

3. Các yếu tố đánh giá một phương thức mã hóa.........................................................................20

Tính toàn vẹn ..........................................................................................................................................20

Tinh sẵn sàng ..........................................................................................................................................20

Tính an toàn.............................................................................................................................................20

IV. Bảo mật hạ tầng thông tin........................................................................................................................20

1. Bảo mật hệ thống phần cứng. .........................................................................................................20

2. Bảo mật hạ tầng phần mềm .............................................................................................................21

3. Bảo mật trên con người. ....................................................................................................................23

V. Bảo mật và an toàn dữ liệu trong hoạt động hàng ngày ................................................................23

Phần 2. Virus. ........................................................................................................................................................25

1. Khái niệm chung về Virus. .....................................................................................................................25

a.Khái niệm...................................................................................................................................................25

b. Quá trình phát triển của Virus..........................................................................................................25

c.Các loại Virus phân biệt theo chức năng. ......................................................................................28

2. Các triệu chứng của máy tính bị nhiễm Virus. ...............................................................................29

3. Chu kỳ sống và hoạt động của Virus. ................................................................................................29

4. Cách lây nhiễm và các phương tiện lây nhiễm của Virus ...........................................................30

Virus lây nhiễm qua thư điện tử ...........................................................................................................30

Virus lây nhiễm qua mạng Internet ....................................................................................................31

5.Biến thể...........................................................................................................................................................31

Virus có khả năng vô hiệu hoá phần mềm diệt virus ........................................................................31

6.Cách phòng chống virus và ngăn chặn tác hại của nó..................................................................31

Sử dụng phần mềm diệt virus ...............................................................................................................32

Sử dụng tường lửa .....................................................................................................................................32


Cập nhật các bản sửa lỗi của hệ điều hành......................................................................................32

Vận dụng kinh nghiệm sử dụng máy tính .........................................................................................32

Bảo vệ dữ liệu máy tính...........................................................................................................................33

7. Giải pháp triển khai phần mềm diệt virus theo mô hình client- server ................................33


Phần 1. An ninh mạng.

I. Những khái niệm cơ bản về Security

A. Giới thiệu về Bảo mật thông tin

- Như chúng ta đã biết từ thời xưa con người đã biết sử dụng chữ viết và ngôn ngữ để giao tiếp với nhau. Và trong các cuộc chiến thì con người đã biến những ngôn ngữ thông thường được sử dụng để làm ngôn ngữ truyền thông tin để khỏi bị kẻ địch phát hiện. Những ngôn ngữ này được mã hóa sao cho chỉ có hai bên giao tiếp có thể hiểu được mà bên thứ 3 hay kẻ địch không hiểu được.

- Ngày nay với công nghệ tiên tiến con người đã có thể mã hóa ngôn ngữ thông thường thành các tín hiệu điện, điện từ,... dưới sự giúp đỡ của các máy tính, các thiết bị chuyên dụng. Nhưng trên thực tế các hệ thống này luôn có nguy cơ tiềm ẩn về lỗ hổng thông tin. Chính vì vậy để 2 máy tính hay thiết bị nào có thể giao tiếp với nhau một cách an toàn cần đến các chính sách bảo mật.

- Đặc biệt trong ngành công nghệ thông tin hiện nay thì vấn đề an toàn mạng càng trở nên cần thiết vì su thế công nghệ thông tin ngày càng phổ biến và đây là nhu cầu thiết yếu cho sự phát triển. Và để đảm bảo được an toàn trong giao tiếp thì chúng ta cần một cơ chế bảo mật phù hợp và không quá phiến phức tới người sử dụng.

B. Các khái niệm cơ bản trong bảo mật.

1. Mục đích bảo mật.

Tam giác bảo mật thông tin CIA

CIA là viết tắt của Confidently,Intergrity,Avaibility

Confidention nghĩa là sự tin cậy.

Intergrity nghĩa là tính toàn vẹn

Avaibility nghĩa là tính sẵn sàng

2.Confidentiabilyty Khái niêm AAA (Access control, Authentication, Auditing)

Access Control.

Là một sự truy cập vào hệ thống có thể là một kết nối hay một sự can thiệp vào hệ thống gây ảnh hưởng tới hệ thống.

Authentication.

Là một sự xác thực từ hệ thống đối với người dùng truy cập vào hệ thống. Bất cứ người dùng nào truy cập vào hệ thống đều phải trả lời các câu hỏi mà hệ thống đưa ra nếu đúng hệ thống sẽ cho truy cập nếu sai hệ thống sẽ cấm truy cập. Authentication sử dụng các phương pháp mã hóa để đảm bảo thông tin không bị tiết lộ như Kerberos, CHAP, ….

Auditing

Sự giám sát người dùng. Khi đã truy cập vào hệ thống người dùng có thể không những truy cập vào quyền hạn của họ và họ có thể sẽ truy cập trái phép vào các quyền hạn khác vậy


phải cần đến một chính sách giám sát công việc của họ và cũng để đảm bảo quyền hạn cho họ.

2.Truy cập điều khiển(Access Control).

• MAC (Mandatory Access Control) đây là mô hình thường được sử dụng trên các máy tính hiện nay. Đây là mô hình được xây đựng dựa trên quyền tối cao của người chủ (giống như bạn là chủ nhà và bạn có toàn quyền trong căn nhà của mình bất cứ ai muốn sử dụng đều phải hỏi qua bạn) nếu bạn là chủ của một hệ thống thì các quyền hạn người dùng đều do bạn quyết định. Mô hình này thường được xây dưng trong nhà nước đặc biệt nhà nước thời phong kiến là dõ nhất.

• DAC (Descriptionary Access Control) đây là mô hình tùy thuộc vào người sử dụng mà phan quyền hạn cho họ. Mô hình này sử dụng truy cập theo danh sách để quản lý (Access Control List). Mỗi người sử dụng đều có một quyền hạn nhất định và họ có thể làm bất cứ những gi trong quyền hạn mà họ được cấp.

• RBAC( Rule Base Access Control) Mô hình này dựa vào vai trò của mỗi người dùng người dùng có vai trò gì trong hệ thống thì sẽ cấp quyền hạn tương ứng sao cho phù hợp và ơhats huy hết khả năng của họ. Mô hình này thường được sử dụng trong nhà nước và một số công ty đa quốc gia.

a. MAC.

Là một mô hình được xây dựng dựa trên nền tảng và ứng dụng trong Hệ điều hành hay nói cách khác nó cũng được xây dựng trên nền tảng của sự độc tài.

Hệ điều hành điều khiển mọi thứ trong nó kể cả phần cứng hay phần mềm mà nó có thể kiểm soát giống như một ông vua có thể làm mọi thứ mà ông ta muốn.

Mô hình này là một mô hình được xây dựng theo cấu trúc phân tầng, lớp.

Mỗi một tầng, lớp có một quyền xác định mà tất cả các quyền hạn này đều được tập trung tại hệ điều hành bởi vậy Hệ điều hành bị lỗi là hệ thống bị sụp đổ nên mô hình MAC đã phân ra những Level khác nhau để quản lý.

Các Level của MAC thường gồm có: bảo mật tối cao, bảo mật, bình thường, và quảng bá, nhạy cảm.

MAC phân quyền theo một cơ chế chỉ có chủ của dữ liệu hoặc người quản trị tối cao mới có toàn quyền với dữ liệu còn những người dùng khác không có quyền gì với dữ liệu và thông tin đó.

Về tình bảo mật đối với MAC là rất cao nhưng khả năng phục hổi sau tấn công là rất thấp bởi vậy MAC chỉ có thể áp dụng với những thông tin, dữ liệu tuyệt mật mà bất kì ai cũng không thể biết trừ người lắm quyền và dữ liệu đó.

b. DAC

DAC là mô hình quản lý truy cập dựa trên tính phụ thuộc vào người tạo ra dữ liệu . Mô hình này do nó có tính tùy chọn nên sẽ tạo ra sự thoải mái cho người dùng nhưng vấn đề phân quyền cho người dùng cũng là một vấn đề mà người quản trị phải quan tâm chặt chẽ.

DAC xây dựng trên cơ sở thực tiến nên được ứng dụng nhiều vào thực tế giả dụ như ta có một trang Web và trang Web này bắt buộc phải Public trên Internet và người


dùng chỉ có thể đọc thông tin trên nó chứ không thể chỉnh sửa bất cứ thông tin gì trên nó nếu không được cho phép.

Phân quyền trong DAC sử dụng Access Control List (ACL) một mô hình quản trị trong Windows hỗ trợ rất rõ:

Hình 2.b. Access Control List trên Windows Server 2008.

Như ta thấy Windows hỗ trợ việc cấu hình các quyền hạn cho từng người dụng, nhóm người dùng khác nhau.

c. RBAC.

RBAC là mô hình xây dựng trên vai trò của người dùng nó tương tụ như DAC nhưng mức độ phức tạp sẽ khó hơn DAC vì nó dựa vào những vai trò và tác vụ của người dùng.

RBAC thường được sử dụng trong việc quản lý các doanh nghiêp lớn hoặc vừa và ở cấp độ phòng ban hay chi nhánh.

Một công ty lớn thường quản tri theo mô hình này với lí do là dẽ quản lý và dễ phân trách nhiệm cho một người quản trị chính vì như vậy mà hệ thống thông tin cũng được phân cấp theo vai trò của người dùng trong công ty.

Mô hình này có thể thay thế MAC trong một số trường hợp và nó có thể khôi phục lại sau khi bị tấn công dễ dàng hơn MAC.


RBAC thường được áp dụng cho một nhóm có chức năng giống nhau và ở đây người dùng trong cùng một nhóm đều có các quyền giống nhau.

Trong Windows, Linux,Unix đều hỗ trợ việc cấu hình quyền hạn của nhóm (hay chính là RBAC)

II. Bảo mật quá trình truyền dữ liệu.

1.Quá trình truyền thông tin.

Quá trình truyền thông tin trong đời sống và trong ngành công nghệ thông tin có nét tương đồng. Bởi vì công nghệ thông tin được xây dựng nên từ chính thực tế.

Quá trình truyền dữ liệu thường được thực hiên theo 3 bước cơ bản

+, Bên gửi xây dựng thông tin, đóng gói và kiểm tra tính an toàn sau đó giao thông tin cho người vận chuyển.

+, Người vận chuyển chịu trách nhiệm đưa hàng tới địa chỉ của người nhận chức năng này có thể gọi là người đưa thư. Người đưa thu có trách nhiệm kiểm tra thông tin người nhận (Xác thực người nhận).

+, Bên nhận mở thông tin đã được đóng gói sau đó đọc và giải mã gói tin. Nhưng trước khi nhận hàng thì bên nhận phải làm một số thủ tục với người đưa thư nhằm xác định đúng người nhận thông tin và đúng thông tin người gửi.

Trong công nghệ thông tin việc truyền dữ liệu được hiểu như là một kết nối giữa hai máy tính (thiết bị truyền tin) thông qua mạng. Chính bởi vậy hai máy tính(thiết bị truyền tin) được coi như bên nhận và bên gửi còn mạng (có thể là Internet có thể là mạng Di động..) là người vận chuyển

Mô hình của quá trình vận chuyển

Hình 1.1 Mô hình truyền dữ liệu

Trên thực tế mô hình truyền dữ liệu trong mạng bao gồm các giao thức khác nhau qua các tầng khác nhau của mô hinh OSI hoặc TCP/IP


Tầng

# Tên

Các thí dụ khác nhau

Bộ TCP/IP SS7 Bộ AppleTalk

Bộ OSI Bộ IPX SNA UMTS

AFPFTAM, X.400, X.500, DAPAPPC

7 Ứng dụng

HL7, Modbus, SIP

6HTTP, SMTP, SMPP, SNMP, FTP, Telnet, NFS, NTPISUP, INAP, MAP, TUP, TCAP

Trình diễn

TDI, ASCII, EBCDIC, MIDI, MPEG

XDR, SSL, TLS AFP ISO 8823, X.226

5 Phiên làm việc

Named Pipes, NetBIOS, SAP, SDP

Session establishment for TCP

ASP, ADSP, ZIP, PAP

ISO 8327, X.225

NWLink DLC?

4 Giao vận

NetBEUI TCP, UDP, RTP, SCTP

ATP, NBP, AEP, RTMP

TP0, TP1, TP2, TP3, TP4, OSPF

SPX, RIP

3 Mạng NetBEUI, Q.931

IP, ICMP, IPsec, ARP, RIP, BGP

MTP-3, SCCP

DDP X.25 (PLP), CLNP

IPX

RRC (Radio Resource Control)

2

Liên kết dữ liệu

Ethernet, 802.11 (WiFi), Token Ring, FDDI, PPP, HDLC, Q.921, Frame Relay, ATM, Fibre Channel

MTP-2

LocalTalk, TokenTalk, EtherTalk, AppleTalk Remote Access, PPP

X.25 (LAPB), Token Bus

IEEE 802.3 framing, Ethernet II framing

SDLC

MAC (Media Access Control)

1 Vật lý

RS-232, V.35, V.34, Q.911, T1, E1, 10BASE-T, 100BASE-TX, ISDN, POTS, SONET, DSL, 802.11b, 802.11g

MTP-1

Localtalk on shielded, Localtalk on unshielded (PhoneNet)

X.25 (X.21bis, EIA/TIA-232, EIA/TIA-449, EIA-530, G.703)

Twinax PHY (Physical Layer)


Hình 1.2 Mô hình OSI


Hình 1.2 Mô hình TCP/IP trong hệ thống mạng

2. Access control.( Điều khiển truy cập)

• Trong vấn đề điều khiển truy cập người gửi sẽ định hướng cho công việc vận chuyển tới đâu và người nhận là ai. Vấn đề này trên thực tế thì chính là ciệc mà bạn điền địa chỉ trên phong bì thư còn trong công nghệ thông tin thì đó là hệ thống mạng và địa chỉ IP (Internet Protocol) đây là một giao thức xác định máy tính khác trên một hệ thống mạng.

• Vấn đề truyền tin trong một hệ thống mạng không đơn giản chỉ để xác nhận thông tin về địa chỉ mà còn phải trải qua nhiều công đoạn, nhiều giao thức khác nhau. Ví dụ như bạn gửi thông tin qua các giao thức nào SMTP (Simple Mail Server Protocol), POP3 (Post Office Protocol) Http (Hyper Text Transfer Protocol).v.v..

• Những vấn đề truyền tin theo các giao thức này rất quan trọng vì thức chất các giao thức này đều có những phương thức mã hòa dữ liệu riêng.

• Trong việc bảo mật riêng ta cũng có thể lựa chọn nhiều phương thức để xác nhập người nhận như IP Sec (IP security), VPN (Virtual Private Network), OpenVPN,.v.v..

• Việc truy cập không chỉ được điều khiển bởi bên gửi mà còn phụ thuộc vào bên nhận. Bên nhận có nhận hay không? Và bên nhận xác nhận có đúng thông tin hay không đó lại là một vấn đề của bên nhận. Bên nhận có sử dụng đúng giao thức nhận, có giải mã đúng theo mã hóa đã thỏa thuận hay không.

• Như vậy điều khiển truy cập sẽ xác nhận thông tin từ hai phía sau đó nếu đúng thì bên nhận sẽ nhận được thông tin mà bên gửi gửi. Do đó công việc của một Hacker sẽ là việc mà lắm bắt được thông tin đóvà gói tin mà người gửi gửi.

3. Authentication.(Xác thực người dùng)

a.Mã hóa dữ liệu.


• quá trình truyền thông tin trong thực tế và trong côn nghệ thông tin cũng đề bắt buộc cả bên nhận và bên gửi phải mã hóa thông tin tránh việc mất thông tin và lộ thông tin.

• Trong côn nghệ thông tin thì yêu cầu mã hóa là một trong những yếu tố lòng cốt quyết định tới sự đảm bảo và tín an toàn của thông tin. Chính bởi vậy mà trong nghành công nghệ thông tin luôn luôn phải tiếp xúc với những đoạn mã của các thuật toán mã hóa.

• Mã hóa bao gồm 2 bước chính là: Mã hóa ( Encrypt ) và giải mã (Deencrypt) thông tin.

• Trong khi mã hóa người gửi sẽ phải tạo ra một từ khóa để mã hóa dữ liệu. Giả sử phương pháp mã hóa cổ điển như sau: Với các chữ cái A,B,C,D,E,F,G,H,... → 12,23,34,45,56,67,78,89,.... sau đó với mã hóa như vậy ta sẽ cho ra một chuỗi mã hóa từ ABC → 122334

• Với việc giải mã thì người giải mã phải có khóa (key) tương ứng để giải mã ngược lại thành ABC. Với ví dụ trên ta sẽ giải mã như sau. Mỗi chữ cái được mã hóa bởi 2 ký tự nên khi giải mã ta sẽ phải tổ hợp 2 kí tự liền nhau và theo một quy ước là A=12 B=23 C=34. Như vậy kết quả sẽ là ABC=122334.

Phương thức xác thực Kerberos.

• Kerberos là một phương thức mã hóa được sử dụng nhiều trong hệ thống mạng vứa và lớn. Kerberos là một phương thức mã hóa sử dụng một hệ thống xác thực trung tâm. Hệ thống này có nhiệm vụ xác thực người dùng và các dịch vụ yêu cầu.

Hình 3.1 Các thành phần của Kerberos.

Như ta thấy Kerberos gồm có 3 thành phần chính KDC, Client, ReSource Server.

KDC là một hệ thống trung tâm sử lý các yêu cầu xác thực từ Client tới Server. Nếu Client thỏa mãn yêu cầu thì KDC sẽ cho kết nối tới Resource Server.


Hình 3.2 Mô hình xác thực của Kerberos.

Các bước của phương thức xác thực Kerberos.

B1. Client giửi một gói tin yêu cầu bao gồm Username, Password và có thể cả thời gian yêu cầu.

B2. KDC gửi một vé xác thực (Ticket authentication ).

B3. Client gửi lại vé đã được cấp nhằm xác nhận Client đã sẵn sàng hay gọi tắt là TGT ( Ticket Gain Ticket) .

B4. KDC yêu cầu một phiên kết nối tới Server gọi tắt là ST (Session Ticket ).

B5. KDC được sự chấp nhận của Server sẽ gửi lại ST cho Client.

B6. Client sẽ gửi tới Server Session Ticket yêu cầu kết nối.

B7. Bắt đầu kết nối giữa Client với Server.

Phương thức Xác thực CHAP ( Challenge Handshake Authentication Protocol ).

CHAP thường được cấu hình cùng với PPP (Point to Point Protocol) một giao thức điểm điểm và nó có đặc điểm là bảo đảm kết nối giữa hai máy được đảm bảo hơn SLIP nhưng nó bắt buộc hai bên phải đặ địa chỉ IP tĩnh.

Các bước xác thực bằng CHAP.

B1. Client gửi yêu cầu tới Server (hoặc địa chỉ cần kết nối).

B2,3. Client thương lượng với Server để tìm khoá (Key)

B4. Client nhận được Key mã hoá và gửi Key+Username, Password đã được mã hoá bởi Key.

B 5,6. Server sẽ kiểm tra Username, Password từ client bằng cách giải mã theo Key đã đưọc thương lượng.

B7. Kết nối nếu thoả mãn và báo lỗi nêu không thoả mãn.


Mô hình như hình sau.

Hình 3.3 Các bước xác thực CHAP.

Phương thức xác thực Chứng chỉ số (Certificates).

• Certificates là do một hệ thống xây dựng, phân bổ và lưu chữ. Nó được xây dựng trên các mã hoá điện toán, mã code, mã từ.v.v..

• Certificates thường được sử dụng với các máy tính có mục đích xác minh người dùng nó giống như vân tay con người và thông tin người dùng được lưu chữ trong bộ nhớ của máy xác nhận.

• Mỗi chứng chỉ bao gồm thông tin người dùng, mã vạch hoặc mã điện toán,.v.v.,Ceritificates thường đi kèm với xác thực Username Password hai phương thức xác thực này thường bôt trợ cho nhau về tính an toàn và bảo mật.

• Trong network Certificates thường được sử dụng trong IPSec. IPSec là một phương pháp định địa chỉ IP có tính bảo mật cao thường đi kèm với các chứng chỉ số nhằm mục đích tránh sự giả mạo địa chỉ IP.

• Lưu ý nếu như ta để mất Certificates có thể sẽ mất toàn quyền đối với dữ liệu của ta. Vì phương thức xác thực này sử dụng Public key và Private key (Certificates User)

Phương thức xác thực Username, Password.

• Username, Password là phương thức xác thực thường được sử dụng nhiều nhất trong đời sống và trong công nghệ thông tin.

• Username, Password là phương thức nhằm xác định tên người dùng, tài khoản, mật khẩu. Nó giống như tên, họ của bạn và giấy tờ tuỳ thân của bạn.

• Lưu ý đối với người dùng Internet hay máy tính nói chung nên đặt mật khẩu dài hơn 8 ký tự và Password bao gồm cả ký tự hoa,thường, chữ số, và ký tự đặc biệt.


• Phương thức xác thực này được coi là yếu nhất trong các phương thức xác thực nhưng giá thành lại dẻ nhất và dễ sử dụng đối với người dùng. Nó giống như là bạn chỉ cần khai tên họ khi vào ra công ty hay cơ quan làm việc.

Phương thức xác thực Token

• Kĩ thuật xác thực bằng Token là một sự kết hợp giữa một số phương thức xác thực có thể sử dụng trên mạng và hu một số phương thức xác thực người dùng.

• Kĩ thuật này được xây dựng trên cơ sở phần cứng và phần mềm và được xem như một phương thức xác thực nhiều thành phần.

• Phương thức này thường được sử dụng trong việc thanh toán và ghi giá thành sản phẩm lên bao bì nó bao gồm những đoạn mã vạch, mã từ để xác nhận thông tin thêm vào đó ta sẽ thấy nhãn hiệu hoặc tên người dùng trên thẻ hoặc bao bì của sản phẩm. Đây là sự kết hợp của hai phương thức xac thự trên là Username và Certificates.

• Phương thức xác thực Token có hai bước cơ bản như sau:

Xác thực Username, Password

Xác thực bằng mã PIN được cấp cho trong quá trình là thẻ.

Phương thức xác thực Multi-Factor

• Multi -Factor là một phương thức xác thực đa tiến trình, đa xác thực đây là một sự kết hợp và bù đắp lỗ hổng của hệ thống, thông thường phương thức này chỉ được sử dụng cho các hệ thống lớn cấp nhà nước vì lí do là nó rất tốn kém.

• Multi-Factor là phương thức mà phụ thuộc vào nhiều yêu tố để xác thực do vậy cũng rất gây phiền phức cho người dùng.

• Một xác thực của Multi-Factor bao gồm hầu hết tất cả các tiến trình xác thực có thể có và nó sẽ được kết hợp một cách chặt chẽ để xác thực người dùng.

Ví dụ: Xác thực qua nhiều phương thức khác nhau.

Xác thực Username, Password

Xác thực theo thời gian

Xác thực mã thẻ.

Xác thực Sinh học.

Xác thực Thẻ ra vào hệ thống.

Phương thức xác thực Mutual Authentication

• Mutual Authentication là một phương thức xác thực lẫn nhau trong nội bộ hệ thống của chúng ta nó giống như con người xác thực con người.

• Một người có thể xác thực không đúng nhưng nhiêu người xác thực một người thì rất chính xác. Và cúng có thể ngược lại. Nhưng cùng với chính sách xác thực này cũng cần thêm một giới hạn về quyền hạn và trách nhiệm cho người xác thực như vậy sẽ đảm bảo tính an toàn tuyệt đối cho bản thân bạn và mọi người.

Phuơng thức xác thực Biosmetrics


• Biosmetrics là phương thức xác thực sinh học sử dụng những khác biệt về mặt sinh học trên cơ thể con người để xác thực họ.

• Một số phương thức xác thực Sinh học như xác thực Vân tay, Mắt, Mặt, Giọng nói, DNA...

• Những phương thức xác thực này sẽ rất tốn kém vì thiết bị giám sát những tính chất sinh học đòi hỏi phải chính xác đến từng chi tiết bởi vậy thiết bị của xác thực Sinh học rất đắt.

Phương thức xác thực RSA

Phương thức xác thực RSA là phương thức được coi là đắt tiền nhất hiện nay và tính bảo mật cũng là cao nhất. nó thường được sử dụng trong tài chính ngân hàng, chứng khoán,....

Xác thực theo RSA là xác thực theo Multi-Factor nó kết hợp giữa việc sinh key và thời gian thay đổi key. Khi mà một người mất Username, Password thì việc có key sẽ khôi phục lại cho họ Username, Password và tài khoản của họ sẽ không mất chỉ có điều nếu như họ mất Private key thì đồng nghĩa với họ sẽ mất tài khoản.

Sử dụng công nghệ Pubic và Private key RSA là một trong những công nghệ tiên tiến hiện nay và nó sử dụng thuật toán HASH để mã hóa do đó độ an toàn rất cao và đồng thời đó cũng là một phương thức dễ sử dụng đối với người dùng.

4. Auditing (Giám sát).

• Giám sát là quản lý việc truy cập vào hệ thống ra sao và việc truy cập diễn ra như thế nào.

• Quản lý giám sát sẽ giúp người quản trị xác định được lỗi do ai ai và là lỗi gì người quản trị hoàn toàn có thể biết được việc cần thiết để khôi phục lỗi một cách nhanh nhất.

• Ngoài ra nhờ giám sát mà người quản trị sẽ phát hiện ra kẻ thâm nhập bất hợp pháp vào hệ thống , ngăn chặn các cuộc tấn công.

• Việc bạn truy cập vào và làm gì cũng cần quản lý bởi vì trên thực tế thì 60% các cuộc tấn công là bên trong hệ thống 40% là ngoài Internet. Việc ngăn ngừa những tân công từ trong mạng rất khó vì họ hiểu được hệ thống và cơ chế bảo mật của hệ thống.

• Người quản trị sẽ giám sát những thuộc tính truy cập, xác thực từ đó phát hiện ra các tấn công và mối đe doạ của hệ thống.

• Việc trình diễn các kết nối cũng rất quan trọng, thông qua các kết nối bạn có thể nhạn dạng kẻ tấn công từ đâu và kẻ đó định làm gì.

Giám sát truy cập và xác thực dựa trên những thành tố chính sau để phát hiện lỗ hổng và tấn công:

Truy cập lỗi nhiều lần, kết nối theo một giao thức khác không có trong hệ thống, đăng nhập sai mật khẩu nhiều lần,phát hiện Scan mạng.v.v..

Quy trình giám:

Giám sát hệ thống: giám sát tất cả các tiến trình Logon, tiến trình truy cập điều khiển, tiến trình của các chương trình chạy trong hệ thống.

Giám sát truy cập mạng, giám sát các giao thức, các kết nối, mail và một số tính năng truy cập khác.


Giám sát tính năng backup sao lưu

Giám sát tính khả dụng, tính sẵn sàng, tính ổn định thông tin Public.

III. Mã hóa.

1. Khái niệm mã hóa.

• Mã hoá theo thuật ngữ thông thường là một biện pháp che dấu các thuộc tính đặc tính của vật thể, sự việc, sự vật sao cho nhìn về khía cạnh bề ngoài không thể biết được đặc tính này.

• Trong công nghệ truyền thông và thông tin thì mã hoá được hiểu như là một tính năng che dấu dữ liệu che dấu tín hiệu truyền thông. Chính bởi vậy mã hoá bao gồm thuật toán và đối tượng mã hoá, thuật toán giải mã.

• Việc mã hoá và giải mã thường được diễn ra theo các bước sau.

Mã hoá (Encrypt): Sử dụng một thuật toán đã được thoả thuận trước giữa hai bên sau đó chuyển đối tượng cần mã hoá thành dạng đã được mã hoá. Mỗi thuật toán đều được tạo ra để chuyển từng phần, chi tiết của đối tượng thành một dạng đối tượng khác hẳn so với vật thể cần mã hoá.

Truyền thông tin (Tranfer ): Truyền thông tin đi, hoặc hiển thị vật thể dưới dạng mà người xem khác không thể phát hiện ra đó là vật thể, thông tin gì. Tức là che dấu dữ liệu bên trong, việc che dấu này rất quan trọng vì nếu như ta để họ biết được thuật toán mã hoá thì coi như việc mã hoá của ta là vô ích.

Giải mã ( Deencrypt ): Giải mã dữ liệu dựa vào thuật toán đã mã hoá thông thường thì bên nhận và bên gửi thường thương lượng với nhau để có một thuật toán mã hoá và giải mã giống nhau thống nhất và việc giải mã được tiến hành ngược lại so với việc mã hoá.

Các thuật toán mã hoá trong thông tin truyền thông.

a. Mã hoá DES, Triple DES (Data Encryption Standard)

• Mã hoá DES được xây dựng theo thuật toán Lucifer. DES sử dụng 64 bit nhị phân đơn giản để mã hoá bao gồm 8 bit mã hoá nhận dạng dữ liệu mã hoá và chứa thuật toán mã hoá, 56 bit là dữ liệu mã hoá.

• Trong 56 bit còn lại của dữ liệu thì lại chia thành 8 bit mã hoá con nếu có còn lại 48 bit dành cho dữ liệu khí đó nó tạo ra một vòng lặp đưọc gọi là Feistel cycles.

• Hình 1.a.1 dưới đây là mô tả của thuật toán DES.


Hình 1.a.1 Mô hình Mã hoá DES

• Như ta thấy đầu vào của dữ liệu là 56 bit dữ liệu đầu vào và 8 bit quy đinh thuật toán mã hoá hay được gọi là Parity thành một mã hoá gồm có 64 bit. Từ 64 bit này được lặp lại thuật toán XOR và mô dul F tao thành một vòng lặp cho đến khi dữ liệu được mã hoá hết. Đầu ra có 56 bit được giải mã cũng chính bởi thuật toán trên.

• Triple DES là phương thức mã hoá được cải tiến từ mã hoá DES hay còn gọi là 3-DES. Trong 3-DES có từ 2-3 key con 56 bit và ghép nối từ 112 bit hoặc 168 bit 3-DES. Sử dụng càng nhiều key con mã hoá thì tính bảo mật càng cao và việc giải mã cũng sẽ phức tạp hơn.

• Trong bảo mật việc sử dụng mã hoá càng nhiều số các bit mã hoá thì cơ chế bảo mật sẽ tăng lên rất nhiều nhưng theo đó bạn sẽ nhận thấy là nó sẽ sử lý chậm hơn việc mã hoá bởi ít bit mã hoá.

b.Mã hoá RSA.

RSA xuất hiện sau khi thuật toán Diffie-Hellman, Ron Rivest, Adi Shamir và Leonard Adleman đưa ra thuật toán Key Public Encrypt System.

RSA là một mã hoá được Public trên mạng và ai có khoá của RSA thì người đó mới có thể giải mã dữ liệu. Chính bởi dữ liệu được Public nên sẽ rất dễ bị lấy cắp nhưng vấn đề giải mã


sẽ rất kho vì RSA không quy định chính xác thuật toán mã hoá nên rất khó tìm được key để giải mã.

RSA cũng là một thuật toán rất mạnh trong việc xác thực trong kết nối VPN, Remote,.v.v.. Nó không những hỗ trợ nền Web mà còn hỗ trợ xác thực trên Hệ điều hành. RSA được xây dựng tại một hệ thống sinh key, mã hoá và public nó trên mạng và xác thực nó bằng key.

Hiện nay RSA vẫn còn được sử dụng rộng dai do tính bảo mật của nó khá cao trong việc xác thực người dùng.

c.Thuật toán HASHING và mã hoá MDx

HASH là một kỹ thuật chia nhỏ một gói tin ra và mã hoá chúng thành những gói tin có kích thước nhỏ hơn. Nó sử dụng các bit để kết nối dữ liệu với nhau theo một thuật toán nhất định.

Ứng dụng của HASH là việc áp dụng vào mã hoá MDx (Message-Digest algorithm x) version mới nhất của mã hoá Mdx là MD5 một thuật toán được sử dụng rộng dãi hiện nay với tính an toàn được coi là tuyệt đối hiện nay.

Hình 1.c.1. HASH

MD5 sử dụng HASH như một thuật toán con để sinh key và sử dụng các thuật toán con khác để mã hoá dữ liệu.

Một số thuật toán MD5.


Hình 1.c.2. Mã hóa MD5

MD5 là một quá trình chia nhỏ dữ liệu để mã hoá và mỗi một đoạn dữ liệu được mã hoá thì đều có 128 bit. Mỗi đoạn mã hoá này sẽ được đưa vào một khối 512 bit.

là các ký hiệu tương ứng của các toán tử XOR , AND , OR and NOT .

HASH còn được sử dụng trong thuật toán mã hoá SHA mã hoá này sử dụng 160 bit để mã hoá.

Dưới đây là một số hệ thống mã hóa sử dụng thuật toán HASH

Algorithm

(Thuật toán)

Output size

(Số bit sử dụng) (bits)

Internal state size

Block size

Length size

Word size

Collision attacks (complexity)

Preimage attacks (complexity)

HAVAL 256/224/192/160/128 256 1024 64 32 Yes

MD2 128 384 128 No 8 Almost

MD4 128 128 512 64 32 Yes (2^8)[10]

With flaws (2^102)[11]

MD5 128 128 512 64 32 Yes (2^5) No

PANAMA 256 8736 256 No 32 Yes

RadioGatún Arbitrarily long 58 words

3 words

No 1-64 Yes

RIPEMD 128 128 512 64 32 Yes

RIPEMD- 128/256 128/256 512 64 32 No


128/256

RIPEMD-160/320

160/320 160/320 512 64 32 No

SHA-0 160 160 512 64 32 Yes (2^39)[12]

SHA-1 160 160 512 64 32 With flaws (2^63)[13]

No

SHA-256/224 256/224 256 512 64 32 No No

SHA-512/384 512/384 512 1024 128 64 No No

Tiger(2)-192/160/128

192/160/128 192 512 64 64 No

WHIRLPOOL 512 512 512 256 8 No

2.Các yếu tố quyết định chất lượng của việc mã hoá.

• Một phương thức mã hóa cần phải có các yếu tố quyết định tới yêu cầu bảo mật và tính toàn vẹn của dữ liệu được mã hoá.

• Trong một phương thức mã hoá bao gồm 5 thành phần cơ bản là :

không gian chứa dữ liệu nguyên bản, không gian bảng mã, không gian chứa khoá. Không gian chứa bảng mã thường đi kèm với không gian giải mã, không gian chứa khóa cũng có một không gian mở khóa đi kèm. Riêng không gian chứa dữ liệu thì luôn luôn có tính ổn định và không có một không gian khác đi kèm.

3. Các yếu tố đánh giá một phương thức mã hóa.

Tính toàn vẹn

Một thuật toán sẽ không được sử dụng nếu chúng làm thiếu đi những thành phần của dữ liệu. Mã hóa yêu cầu phải có tính toàn vẹn cho dữ liệu.

Tinh sẵn sàng

Mọi thuật toán đều phải có tính sẵn sàng sử lý để chuyển từ dạng nguyên bản sang mã hóa và ngược lại. Không thể có thuật toán chỉ để mã hóa mà không có thuật toán để giải.

Tính an toàn

Các thuật toán mã hóa đều hướng tới một sự đảm bảo về tính an toàn của dữ liệu. Một thuật toán nếu càng khó giải mã thì càng có tính bảo mật cao.

IV. Bảo mật hạ tầng thông tin.

Một hệ thống thông tin bao gồm hạ tầng mạng và các công cụ để quản trị hạ tầng này. Hạ tầng mạng không chỉ là những thiết bị mà còn có con người, phần mềm,.v.v..

Trong những yếu tố trên thì con người đóng vai trò then chốt trong hạ tầng mạng. Sự bảo mật của hệ thống phụ thuộc vào tầm hiểu biết của con người và lương tâm con người.

Như vậy bảo mật hạ tầng thông tin bao gồm những yếu tố bảo mật sau.

1. Bảo mật hệ thống phần cứng.


Phần cứng là một phần không thể thiếu trong một hệ thống mạng nó bao gồm các thiết bị điện tử, dây mạng hay thiết bị truyền tin.

Vấn đề bảo mật phần cứng bao gồm những yếu tố như tính ổn định, tính an toàn trong truyền tin, hỏng hóc điện tử, khả năng tương thích phần mềm, phần cứng và khả năng khôi phục hoạt động khi bị tấn công.

Ngày nay phần cứng không chỉ là nhhững thiết bị truyền tin mà hiện nay các thiết bị phần cứng còn có khả năng tích hợp những tính năng mà phần mềm có thể làm. Nó giống như một nhười kiểm soát hệ thống mạng, cho phép hay cắt bỏ kết nối nếu cần thiết, phát hiện tấn công và ngăn chặn tấn công, phát hiện những doạn mã có nguy cơ gây hại đến hệ thống,.v.v...

Những thiết bị này được gọi là những thiết bị thông minh và có một cơ chế bảo mật riêng. Tuy vậy hầu hết các phần cứng hiện nay đều phải cấu hình nó để cho nó hoạt động có hiệu quả nhất. Chính vì vậy ma đòi hỏi người quản trị phải có kiến thức về nó và kiến thức về hạ tầng mạng.

Các thiết bị thường được sử dụng trong hạ tầng mạng như Switch, Router, IPS, IDS Firewall,.v.v.. Đây là những thiết bị mà mọi hệ thống mạng cần có.

Hình 5.1. Mô hình hệt thống mạng đầy đủ.

Mô hình trên là một mô hình có đầy đủ các thiết bị phần cứng đã kể trên nhưng ta luôn có thể thay thế bất cứ thiết bị nào bởi một thiết bị phần mềm. Phần mềm có thể thay thế toàn bộ phần cứng nhưng sự hỗ trợ và tính ổn định của phần mềm không được như phần cứng.

Nhưng vì phần cứng hiện nay dâ phần là rất đắt nên phần mềm hay được sử dụng hơn trong các công ty tổ chức vừa và nhỏ.

2. Bảo mật hạ tầng phần mềm

Như ta đã thấy lợi thế của phần mềm so với phần cứng là giá thành và tính mềm dẻo của nó. Vấn đề bảo mật phần mềm tuy có khó khăn hơn phần cứng nhưng bù lại phần mềm có sự linh động trong viêc phân bổ công việc và quyền hạn cho người dùng và các ứng dụng chạy trên nó.


Hệ tống pần mềm bao gồm các ứng dụng và hệ điều hành. Hệ điều hành là một trong những yếu tố quan trọng nhất trong hệ thống truyền thông nó vận hành toàn bộ hệ thống cả ơhần cứng, phần mềm và các dịch vụ kèm theo.

Phần mềm chính là các dịch vụ mà người dùng cần ngay cả phần cứng cũng chỉ nhằm mục đích cung cấp các dịch vụ này. Các dịch vụ này luôn phụ thuộc vào hệ điều hành và nhà cung cấp dịch vụ.

Tính bảo mật của hệ thống thông tin luôn được đánh giá bằng khả năng cung cấp các dịch vụ, thông tin,.v.v.. Chính bởi vậy mà hệ điều hành cũng như phần mềm luôn là yếu tố quyết định tính bảo mật hệ thống. Vì là một yếu tố quan trọng nên vấn đề bảo mật của hệ điều hành cũng rất khó và quan trọng. Một số hệ điều hành có tính năng bảo mật rất tốt như Windows Vista, Windows Server 2003,2008, Ubuntu, Red Hat, Unix,.v.v..

Về phần mềm thì có các phần mềm Anti-Virus và các ohần mềm hỗ trợ quản lí mạng như: Kapersky( NTS ), BKAV( BKIS ), Mcafee( Misoft), Snort ( Tool for Linux ),.v.v..

Hình 2.1. Phần mềm Anti-virus Kapersky

Hầu hết các phần mềm này đều hỗ trợ các tính năng về bảo mật hệ thống một số phần mềm Anti-Virus khá mạnh như Kapersky, Mcafee, BKAV là những phần mềm diệt virus rất mạnh và thông dụng hiện nay.

Điều tốt nhất mà bạn cần làm khi sử dụng phần mềm là việc cấu hình nó sao cho mọi hoạt động đều phù hợp với nhu cầu của hệ thống, loại bỏ những tính năng hay giao thức không phù hợp.


Khả năng cung cấp dịch vụ của phần mềm là rất mạnh nhưng tính ổn định cũng như tính bảo mật của nó không được cao so với phần cứng. Tuy phần cứng có những thứ hơi cứng nhắc nhưng nó lại là một trong những yếu tố giúp ngăn chặn các cuộc tấn công vào hệ thống mạng mạnh nhất. Cụ thể như IPS cứng Sourcefire được xây dựng trên cơ sở của phần mềm Snort nó có được tính năng IPS tốt như là Snort đồng thời cũng có những tính năng khác biệt như ghi log và tính ổn định của phần cứng.

3. Bảo mật trên con người.

Con người là một yếu tố quan trọng và cũng là dễ bị tác động của tấn công nhất. Hầu hết các cuộc tấn công đều có mục đích là lấy trộm các thông tin quan trọng do đó khả năng khai thác thông tin trên mạng có hạn và không đầy đủ do vậy mà các Hacker luôn có phương án là tấn công trên yếu tố con người.

Con người là một điểm yếu nhất theo quan điểm của ngành bảo mật. Theo bảo mật thì con người cũng được xếp vào một Layer ( Tầng ) trong mô hình OSI. Như vậy mô hình OSI của bảo mật có thêm một tầng nữa là con người (Tầng 8).

Để bảo mật trên Layer này không những phải dựa vào các thiết bị phần cứng, phần mềm mà còn nhiều yếu tố về sinh lý, tình cảm, đạo đức và sự hiểu biết của con người.

Layer 8 là một Layer không có thiết bị phần cứng hay phần mềm nào bảo vệ nên Layer này là một yếu điểm của hệ thống.

Một kẻ tấn công có thể lợi dụng vào tính cách, sở thích, đạo đức,sự hiểu biết,.v.v.. để có thể tấn công vào hệ thống. Mục đích là khai thác thông tin về hệ thống.

Để bảo mật Layer này không còn cách nào khác là phải nâng cao sự hiểu biết của con người về bảo mật thông tin, đặt ra những quy định đối với con người, nâng cao đạo đức của con người.

V. Bảo mật và an toàn dữ liệu trong hoạt động hàng ngày

Trong bảo mật thông tin hàng ngày chúng ta cùng chung sống với nhau giữa con người với con người tất nhiên là có kẻ xấu, người tốt, kẻ này, người nọ. Do vậy trong cuộc sống vấn đề bảo mật rất khó nắm bắt và khó phòng cũng như chống.

Thông tin rất dễ bị lộ khi giao tiếp trong cuộc sống bình thường tùy vào khả năng khai thác của kẻ tấn công. Giả sử tôi có một bí mật thông thường tôi sẽ không kể với ai và điều này là của riêng tôi nhưng tôi lại có tật sấu là cứ khi say là bộc bạch ra hết, kẻ muốn lấy thông tin này từ tôi sẽ mời tôi một bữa nhậu hoặc làm cách nào đó là cho tôi say và gạn hỏi vậy thì thông tin của tôi chắc chắn sẽ bị lộ.

Cách phòng chống duy nhất mà tôi có thể sử dụng đó là hạn chế nhậu nhẹt và uống ít rượu bia trong những trường hợp không thật cần thiết.

Ngoài ra kẻ tấn công còn lợi dụng vào một số điểm yếu khác của con người như lòng tham, tính hiếu kì, tình dục, khả năng trí tuệ và một số yếu tố khác của con người để tấn công.

Đó là trong cuộc sống thường ngày còn trong khi sử dụng Email, thư tín, di động,.v.v.. chúng ta cần cẩn thận hơn với những kỹ thuật lấy thông tin với công nghệ cao, Tránh tình trạng bị đánh lừa, giả mạo thông tin và dẫn đến mất thông tin.

Không nên truy cập vào các trang Web không có uy tín ngay cả các trang tốt cũng có thể bị Hacker lợi dụng để phát tán Virus. Khi truy cập vào trang Web mà bất ngờ bật ra một cảnh bảo hay một câu hỏi nào chúng ta nên đọc kỹ trước khi trả lời cảnh báo đó. Đối với những


cảnh báo không rõ ràng chúng ta không nên trả lời chúng ngay cả khi nó gây phiền phức cho chúng ta lúc đó.

Dữ liệu khi truyền trên mạng hay thông tin di động nếu cần thiết phải mã hóa. Thông tin nhạy cảm phải trao đổi trực tiếp. Các chính sách phải chặt chẽ và trùng khớp.

Nói tóm lại khả năng bảo mật trong cuộc sống hàng ngày là sự cẩn thận của người dùng thông tin của người dùng bị lộ cũng có nghĩa là người dùng này nên suy xét lại việc làm của chính mình để tìm ra thủ phạm. Mọi thông tin đều có thể bị Hacker lấy cắp nếu yếu tố con người không tốt.


Phần 2. Virus.

1. Khái niệm chung về Virus.

a.Khái niệm

Virus trong cuộc sống thường ngày là những virus sinh học ns có hình thể xác định và là một thực thể sống. Còn trong công nghệ thông tin thì Virus được hiểu như một đoạn mã, đoạn chương trình có thể gây ra một số ảnh hưởng tới hệ thống và đánh cắp thông tin hệ thống.

b. Quá trình phát triển của Virus

Quá trình phát triển của Virus máy tính tải qua những giai đoạn như sau.

Năm 1949: John Von Neuman phát triển nền tảng lý thuyết tự nhân bản của một chương trình cho máy tính.

Những năm 60 và 70 đã xuất hiện trên các máy Univax 1108 một chương trình được gọi là “Pervading Animal” đây là loại chương trình có thể tự nhân bản và nối vào phần sau của các chương trình.

Năm 1981: Những Viru đầu tiên xuất hiện trên các máy Apple II.

Năm 1983: Tại trường đại học miền nam California Hoa Kỳ, Fred Cohen lần đầu tiên đưa ra khái niệm về Computer Virus.

Năm 1986: Virus cho máy tính ca nhân lần đầu tiên được xuất hiện với cái tên The Brain được viết bởi 2 người Pakistan là Basit và Amjad. Loại Virus này năm phần khởi động của một đĩa mềm hay còn gọi là Boot sector nó có thể lây nhiễm ra tất cả các đĩa mềm còn lại.

Năm 1987: xuất hiên loại Virus tấn công vào file Command.com có tên Lehig

Năm 1988: Virus Jerusalem tấn công hàng loạt vào các trường đại học và các công ty trên toàn thế giới vào thứ 6 ngày 13 đây là loại Virus được đặt thời gian để tấn công nó giống như một quả bom nổ chậm.

Cuối tháng 11 năm 1988 Worm chính thức được phát tán bởi Robert Morris 22 tuổi nó chiếm cứ các máy tính trong ARPANET. Nó đã làm khoảng hơn 6000 máy tính bị tê liệt.

Năm 1990: Chương trình diệt Virus đầu tiên ra đời và nó đóng vai trò là một bức tường ngăn cản việc Virus tấn công đây là chương trình diệt Virus được coi là khởi công cho cuộc chạy đua giữa công nghệ Virus và công nghệ phòng chống Virus. Phần mềm này có tên là Norton.

Năm 1991: Một loại Virus đa hình đã xuất hiện và thường được gọi với cái tên là Polymorphic Virus với cái tên Tequila loại Virus này có khả năng tự thay đổi hình dạng, cơ chế tấn công và lây lan làm cho các chương trình diệt Virus khó mà phát hiện ra chúng.

Năm 1994: Xuất hiện lần đầu tiên loại Virus lây qua Email do sự thiếu hiểu biết và chủ quan của người dùng hay được gọi là Hoax Virus.

Năm 1995: Virus văn bản xuất hiện, đây chính là những đoạn Macro thực thi bằng các dòng lệnh Visual Basic trong Văn bản Word, Excell,....


Năm 1996: xuất hiện 2 Virus dưới dạng Macro mang tính chất nguy hiểm cao là Virus Baza và Virus Laroux.

Năm 2000: Virus Love Bug hay còn gọi là Iloveyou đánh lứa tính hiếu kì của mọi người. Điểm đặc biệt của nó là loại Virus này ở dạng Macro nhưng định dạng file là ILOVEYOU.txt.exe. Ngoài ra thì nó còn có đặc tính của Spyware. Người viết ra con Virus này là một thanh niên philippines viết ra nhưng người này được tha bổng vì lúc đó Philippines chưa có bộ luật về công nghệ thông tin.

Năm 2002: Melisa một loại Virus có thể gọi là đỉnh cao của Virus do David L Smith viết đã hoành hành thế giới với cơ chế lây lan cực nhanh nó khai thác lỗ hổng trên Windows sau đó tự lây nhiễm trên những máy nào có lỗi đó.

Năm 2003: Slammer một cái tên khá nổi danh trong công nghệ viết Virus xuất hiện với khả năng lây nhiễm cực nhanh 75 ngàn máy tính trong vòng 10 phút. Với cơ chế lây nhiễm ngày nay vẫn còn sử dụng.

Năm 2004: Đây là năm đánh dấu một bước phát triển mới của Virus là Worm Sasser với loại Virus này thì các bức thư là một mối hiểm họa chứ không phải nội dung của nó. Chỉ cần bạn mở bức thư ra vậy là bạn đã có một con Worm hoặc Virus ở trong máy tính của bạn. Nó không như các thế hệ Worm đàn anh của nó là bắt buộc phải Click và nó. Khả năng này rất nguy hiểm với những bức thư lạc danh.

Từ năm 2005 trở lại đây Virus còn phát triển một cách biến thái nhanh hơn và có phần khó khống chế hơn một số loại còn có khả năng tạo ra các lỗ hổng trên hệ thống máy tính để xâm nhập, một số có khả năng tự động khai thác và chiếm quyền điều khiển hệ thống

Ngày nay có một loại Virus có khả năng lây nhiễm nhanh và tấn công vào lỗ hổng MS08 của Microsoft Windows. Nó có thể tự Update cơ sở dữ liệu bằng cách lấy những dữ liệu đã lấy được bởi những cuộc tấn công trước và Scan 500 máy cùng một lúc để tấn công.

Dưới đây là các bản Update của loại Virus này.

Biến thể Ngày phát hiện

Mục tiêu lây nhiễm

Truyền cập nhật Tự bảo vệ Hoạt động

Conficker A 21/11/2008 NetBIOS

Khai thác lỗ hổng MS08-067 trong dịch vụ Server

Kéo HTTP

Tải về từ trafficconverter.biz

Tải về hàng ngày từ một trong 250 tên miền ngẫu nhiên ảo qua hơn 5 đuôi tên miền

Không Tự cập nhật conficker B, lên C hoặc D

Conficker B 29/12/2008 NetBIOS


Tấn công từ điển vào thư mục chia sẻ

Kéo HTTP


Đẩy NetBIOS

Sửa lỗi MS08-067

Khóa tra cứu DNS

Tắt AutoUpdate

Tự cập nhật lên Conficker C hoặc D


ADMIN$

Thiết bị tháo lắp được

Tạo ra trojan AutoRun DLL trên các thiết bị tháo lắp được

để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server

Conficker C 20/02/2009 NetBIOS


Tấn công từ điển vào thư mục chia sẻ ADMIN$

Thiết bị tháo lắp được

Tạo ra trojan AutoRun DLL trên các thiết bị tháo lắp được

Kéo HTTP


Đẩy NetBIOS

Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server

Tạo ra ống tên để nhận URL từ máy chủ từ xa, sau đó tải nó về từ URL

Khóa tra cứu DNS

Tắt AutoUpdate

Tự cập nhật lên Conficker D

Conficker D 04/03/09 Không

Kéo HTTP

Tải về hàng ngày từ 500 trong 50000 tên miền ngẫu nhiên ảo qua hơn 110 đuôi tên miền cite_ref-symantec-2_22-3cite_ref-symantec-2_22-3[23]

Kéo/đẩy P2P

Sử dụng giao thức điều chỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua UDP, rồi chuyển nó sang TCP cite_ref-symantec-3_26-0cite_ref-symantec-3_26-


0[27]

Conficker E 07/04/09 NetBIOS


Đẩy NetBIOS Sửa lỗi MS08-067 để mở ra cửa hậu tái lây nhiễm trong dịch vụ Server Đẩy/kéo P2P Sử dụng giao thức điều chỉnh để quét các mạng ngang hàng đã bị nhiễm thông qua UDP, rồi chuyển nó sang TCP

Tắt AutoUpdate

Tiêu diệt phần mềm chống phần mềm độc hại Quét và tắt các tiến trình có tên của phần mềm chống độc hại, bản vá hoặc tiện ích phân tích chỉ trong một giây

Tải về rồi cài đặt Waledac spambot

Tải về rồi cài đặt SpyProtect 2009 scareware

Tự xóa bỏ vào ngày 3 tháng 5 năm 2009

c.Các loại Virus phân biệt theo chức năng.

Worm ( Sâu máy tính ): Là các chương trình có khả năng tự nhân bản tự tìm cách lây lan thông qua hệ thống mạng nó không cần có sự tác động trực tiếp đến nó mà nó có thể thử scan hệ thống mạng và sau đó tấn công các lỗ hổng mà chúng có thể khai thác. Mục đích của chúng là đánh cắp thông tin và làm đổ vỡ hệ thống mạng. Nổi tiếng nhất trong những sâu đó là Robert Morris (1988) Nhưng để nói tồn tại lâu nhất đó là happy99. Ngày nay happy99 được gọi là Trojan do những cải tiến về sau của nó.

MalWare( Phần mềm ác tính ): Chỉ có tác hại như Virus, Trojan hay Worm nhưng không có cơ chế tự lây nhiễm.

Trojan Hourse: Đây là loại chương trình có tác dụng như Virus nhưng không có cơ chế tự lây lan và tác dụng chủ yếu của chúng là lấy cắp các thông tin và thông thường nó ẩn dưới các chương trinh tiện ích.Người dùng nếu có thể nhìn thấy có thể xóa nó đi là diệt được Trojan. Nhiều loại Trojan có khả năng phá hủy ổ cứng hay các thiết bị lưu trữ. Trojan thực sự rất nguy hiểm vì nó có thể đi kèm với Virus, một cuộc tấn công lại hệ thống và phá hủy hệ thống.

SpyWare( gián điệp ): Đây là loại Virus có khả năng tấn công trực tiếp vào Hệ điều hành máy tính mà không để lại dấu vết. Yếu điểm của Spyware là sự tấn công của nó theo từng đợt dịch nên thường không gây tác hại trên diện rộng. Một số chương trình diệt Virus đã tích hợp khả năng diệt SpyWare nhưng còn rất kém.

Adware ( Chương trình quảng cáo): Đây cũng được coi là một loại Virus nhưng những loại này chỉ nhằm mục đích quảng cáo chứ không gây hại cho hệ thống.

Botnet: Là một tập hợp các máy tính đã bị khống chế bằng 1 phần mềm có chức năng điều khiển máy tính nạn nhân. Mục đích của việc tạo ra Botnet là Hacker sử dụng các máy nạn nhân để tấn công DDOS tới một đích nào đó, vấn đề tấn công DDOS rất nguy hiểm và rất khó phòng chống đối với các hệ thống nhỏ không đủ đáp ứng băng thông và tài nguyên hệ thống, nó làm cho người dùng khác không thể truy cập được vào các trang Web gây mất uy tín của trang Web.

Keyloger: Đây là loại phần mềm cho phép ghi lại các thao tác trên màn hình, bàn phím, chuột hay các thiết bị nhập liệu. Mục đích của Keyloger là lấy đi thông tin đăng nhập và các thông tin bí mật mà người dùng nhập vào máy tính. Ngoài mục đính này thì Keyloger cũng là một tool để quản lý nhân sự, quản lý các máy Client và một số tác vụ điều tra.


Phishing: Là một dạng lừa đảo với mục đích lấy cắp các thông tin cần thiết. Kỹ thuật Phishing lợi dụng lòng tham, sự hiếu kì,trách nhiệm..... của con người để lây nhiễm ( hay nói cách khác là để tấn công hệ thống). Kỹ thuật này là một kỹ thuật đòi hỏi hacker phải có sự khôn ngoan nhất định.

Rootkit: Là một đoạn chương trình được che dấu trong một chương trình khác để lây nhiễm. Nó có tác hại như Virus nhưng các chương trình diệt Virus khó có thể diệt được chúng.

2. Các triệu chứng của máy tính bị nhiễm Virus.

Triệu chứng khi bị nhiễm Virus trong máy tính rất nhiều nhưng điển hình là một trong những triệu chứng sau:

• Máy chạy chậm hơn bình thường: Triệu chứng này thì hâu hết các loại Virus đều gây ra nó vì lý do là các Virus đều chiếm dụng tài nguyên của máy tính.

• Máy khởi động thất thường: Đây là những triệu chứng do Virus đã tấn công vào nhân hệ điều hành làm chậm các tiến trình khởi động. Một số loại Virus còn tấn công vào MBR (Master boot Record) trên ổ đĩa cứng ( Điển hình Virus Boot Image).

• Vào trình duyệt hiện ngay ra các trang không mong muốn: Loại Virus này tấn công vào trình duyệt Web nó có thể lấy thông tin hay cũng có thể tự động Download những chương trình khác về và tự động cài đặt chúng.

• Khi click vào 1 file mà không thấy nó chạy thì bạn cũng biết đó là một loại Virus hay cụ thể hơn đó là Rootkit hoặc Trojan. Vì hai loại này thường được đính kèm một file chạy nó chỉ có thể lây nhiễm kèm theo một chương trình chạy khác.

• Một số tiện ích không hoạt động: Đây là loại Virus tấn công vào các tiện ích trên máy tính một số có chức năng xóa file sau đó thay thế bằng 1 file của nó. Khi bạn chạy tiện ích là bạn chạy nó chứ không phải tiện ích của bạn.

• Ngoài ra còn nhiều biểu hiện bất thường khác cũng có thể biết được là máy tính của bạn đã bị nhiễm virus.

3. Chu kỳ sống và hoạt động của Virus.

Chu ký sống của Virus được phân ra lam nhiều giai đoạn nhưng thường được chia ra những giai đoạn chính sau:

• Create Virus ( viết mã nguồn của Virus ): Giai đoạn này Virus được người lập trình viết các đoạn mã để thực thi tiến trình của Virus.

• Distributed ( phát tán Virus ) đây là bước đầu tiên mà Virus cần tới một người phát tán nó và thông thường đó chính là chủ nhân của nó.

• Infection ( Lây nhiễm): Sự lây nhiễm của Virus phụ thuộc vào các tính năng nhân bản mà người viết code sáng tạo ra cho nó nhưng nếu 1 loại Virus có khả năng tiens hóa thì việc nhân bản của nó rất nhanh các phương thưc nhan bản ngày nay thường chúng có tốc độ lây nhiễm khá nhanh khó mà có phần mềm diệt Virus nào có thể bắt kịp.

• Destroy ( Tiêu diệt ): Sau thời kì lây nhiễm mọi Virus đều bị tiêu diệt hoặc ngăn chặn sự phát tán của chúng.

Vòng đời của Virus thường rất ngắn nếu không có bản Update thường xuyên vì rằng các phần mềm diệt virus hiện nay cũng đã phát triển khá mạnh mẽ và có phần tiến trước công nghệ viết virus.

Các công ty phần mềm diệt virus đều là nơi thử nghiệm những loại Virus mới và đồng thời họ cũng tạo ra các tool để khống chế chúng.


Một lời khuyên cho bạn là nếu bạn dùng một phần mềm diệt virus bất kỳ thì bạn nên Update phần mềm này thường xuyên vì sẽ có những bản vá lỗi đi kèm và bạn nên có license ( Bản quyền ). Nếu bạn dùng bản Crack trước hết bạn sẽ phải sống chung với Virus sau đó mới là sử dụng phần mềm vì bản chất Crack là sử dụng Virus.

Các loại virus giả mạo còn có thêm một giai đoạn là gắn vào vật chủ hay chính là các file có thể lây nhiễm. Trước tiên nó sẽ tạo ra nhưng đoạn mã gắn vào các file sau đó chúng sẽ phát tán và có thể đính vào các file khác.

Một số loại Virus giả mạo khác đó chính là con người, thư điện tử, các tang web, các kênh đây đều là các hình thức giả mạo để lọt qua các khả năng xác thực và nó sẽ hoạt động khi đã xâm nhập vào hệ thống.

4. Cách lây nhiễm và các phương tiện lây nhiễm của Virus

Virus có thể lây nhiễm thông qua nhiều côn đường khác nhau và công thức lây nhiễm của mỗi loại lại có một điểm khác biệt.

Cách thức lây nhiễm cổ điển: Cách cổ điển nhất của sự lây nhiễm, bành trướng của các loai virus máy tính là thông qua các thiết bị lưu trữ di động: Trước đây đĩa mềm và đĩa CD chứa chương trình thường là phương tiện bị lợi dụng nhiều nhất để phát tán. Ngày nay khi đĩa mềm rất ít được sử dụng thì phương thức lây nhiễm này chuyển qua các ổ USB, các đĩa cứng di động hoặc các thiết bị giải trí kỹ thuật số. Cách thức lây nhiễm này ngày nay vẫn con được sử dụng nhiều kết hợp các kĩ thuật lây nhiễm mới của Virus.

Virus lây nhiễm qua thư điện tử

Khi mà thư điện tử (e-mail) được sử dụng rộng rãi trên thế giới thì virus chuyển hướng sang lây nhiễm thông qua thư điện tử thay cho các cách lây nhiễm truyền thống.

Khi đã lây nhiễm vào máy nạn nhân, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và nó tự động gửi đi hàng loạt (mass mail) cho những địa chỉ tìm thấy. Nếu các chủ nhân của các máy nhận được thư bị nhiễm virus mà không bị phát hiện, tiếp tục để lây nhiễm vào máy, virus lại tiếp tục tìm đến các địa chỉ và gửi tiếp theo. Chính vì vậy số lượng phát tán có thể tăng theo cấp số nhân khiến cho trong một thời gian ngắn hàng hàng triệu máy tính bị lây nhiễm, có thể làm tê liệt nhiều cơ quan trên toàn thế giới trong một thời gian rất ngắn.

Khi mà các phần mềm quản lý thư điện tử kết hợp với các phần mềm diệt virus có thể khắc phục hành động tự gửi nhân bản hàng loạt để phát tán đến các địa chỉ khác trong danh bạ của máy nạn nhân thì chủ nhân phát tán virus chuyển qua hình thức tự gửi thư phát tán virus bằng nguồn địa chỉ sưu tập được trước đó.

Phương thực lây nhiễm qua thư điển tử bao gồm:

Lây nhiễm vào các file đính kèm theo thư điện tử (attached mail). Khi đó ngưòi dùng sẽ không bị nhiễm virus cho tới khi file đính kèm bị nhiễm virus được kích hoạt (do đặc diểm này các virus thường được "trá hình" bởi các tiêu đề hấp dẫn như sex, thể thao hay quảng cáo bán phần mềm với giá vô cùng rẻ.) Lây nhiễm do mở một liên kết trong thư điện tử Các liên kết trong thư điện tử có thể dẫn đến một trang web được cài sẵn virus, cách này thường khai thác các lỗ hổng của trình duyệt và hệ điều hành. Một cách khác, liên kết dẫn tới việc thực thi một đoạn mã, và máy tính bị có thể bị lây nhiễm virus. Lây nhiễm ngay khi mở để xem thư điện tử: Cách này vô cùng nguy hiểm bởi chưa cần kích hoạt các file hoặc mở các liên kết, máy tính đã có thể bị lây nhiễm virus. Cách này cũng thường khai thác các lỗi của hệ điều hành.


Virus lây nhiễm qua mạng Internet

Theo sự phát triển rộng rãi của Internet trên thế giới mà hiện nay các hình thức lây nhiễm virus qua Internet trở thành các phương thức chính của virus ngày nay.

Có các hình thức lây nhiễm virus và phần mềm độc hại thông qua Internet như sau:

• Lây nhiễm thông qua các file tài liệu, phần mềm: Là cách lây nhiễm cổ điển, nhưng thay thế các hình thức truyền file theo cách cổ điển (đĩa mềm, đĩa USB...) bằng cách tải từ Internet, trao đổi, thông qua các phần mềm...

• Lây nhiễm khi đang truy cập các trang web được cài đặt virus (theo cách vô tình hoặc cố ý): Các trang web có thể có chứa các mã hiểm độc gây lây nhiễm virus và phần mềm độc hại vào máy tính của người sử dụng khi truy cập vào các trang web đó.

• Lây nhiễm virus hoặc chiếm quyền điều khiển máy tính thông qua các lỗi bảo mật hệ điều hành, ứng dụng sẵn có trên hệ điều hành hoặc phần mềm của hãng thứ 3: Điều này có thể khó tin đối với một số người sử dụng, tuy nhiên tin tặc có thể lợi dụng các lỗi bảo mật của hệ điều hành, phần mềm sẵn có trên hệ điều hành (ví dụ Winidow Media Player) hoặc lỗi bảo mật của các phần mềm của hãng thứ ba (ví dụ Acrobat Reader) để lây nhiễm virus hoặc chiếm quyền kiểm soát máy tính nạn nhân khi mở các file liên kết với các phần mềm này.

5.Biến thể

Một hình thức trong cơ chế hoạt động của virus là tạo ra các biến thể của chúng. Biến thể của virus là sự thay đổi mã nguồn nhằm các mục đích tránh sự phát hiện của phần mềm diệt virus hoặc làm thay đổi hành động của nó.

Một số loại virus có thể tự tạo ra các biến thể khác nhau gây khó khăn cho quá trình phát hiện và tiêu diệt chúng. Một số biến thể khác xuất hiện do sau khi virus bị nhận dạng của các phần mềm diệt virus, chính tác giả hoặc các tin tặc khác (biết được mã của chúng) đã viết lại, nâng cấp hoặc cải tiến chúng để tiếp tục phát tán.

Virus có khả năng vô hiệu hoá phần mềm diệt virus

Một số virus có khả năng vô hiệu hoá hoặc can thiệp vào hệ điều hành làm tê liệt (một số) phần mềm diệt virus. Sau hành động này chúng mới tiến hành lây nhiễm và tiếp tục phát tán. Một số khác lây nhiễm chính vào phần mềm diệt virus (tuy khó khăn hơn) hoặc ngăn cản sự cập nhật của các phần mềm diệt virus.

Các cách thức này không quá khó nếu như chúng nắm rõ được cơ chế hoạt động của các phần mềm diệt virus và được lây nhiễm hoặc phát tác trước khi hệ thống khởi động các phần mềm này. Chúng cũng có thể sửa đổi file hots của hệ điều hành Windows để người sử dụng không thể truy cập vào các website và phần mềm diệt virus không thể liên lạc với server của mình để cập nhật.

6.Cách phòng chống virus và ngăn chặn tác hại của nó

Có một câu nói vui rằng Để không bị lây nhiễm virus thì ngắt kết nối khỏi mạng, không sử dụng ổ mềm, ổ USB hoặc copy bất kỳ file nào vào máy tính. Nhưng nghiêm túc ra thì điều này có vẻ đúng khi mà hiện nay sự tăng trưởng số lượng virus hàng năm trên thế giới rất lớn.

Không thể khẳng định chắc chắn bảo vệ an toàn 100% cho máy tính trước hiểm hoạ virus và các phần mềm hiểm độc, nhưng chúng ta có thể hạn chế đến tối đa có thể và có các biện pháp bảo vệ dữ liệu của mình.


Sử dụng phần mềm diệt virus

Bảo vệ bằng cách trang bị thêm một phần mềm diệt virus có khả năng nhận biết nhiều loại virus máy tính và liên tục cập nhật dữ liệu để phần mềm đó luôn nhận biết được các virus mới.

Trên thị trường hiện có rất nhiều phần mềm diệt virus. Một số hãng nổi tiếng viết các phần mềm virus được nhiều người sử dụng có thể kể đến là: Norton, Kaspersky, McAfee, BKAV, AVG,…..

Sử dụng tường lửa

FireWall (Tường lửa)hải một cái gì đó quá xa vời hoặc chỉ dành cho các nhà cung cấp dịc vụ (ISP) mà mỗi máy tính cá nhân cũng cần phải sử dụng Tường lửa để bảo vệ trước virus và các phần mềm dộc hại. Khi sử dụng tường lửa, các thông tin vào và ra đối với máy tính được kiểm soát một cách vô thức hoặc có chủ ý. Nếu một phần mềm độc hại đã được cài vào máy tính có hành động kết nối ra Internet thì tường lửa có thể cảnh báo giúp người sử dụng loại bỏ hoặc vô hiệu hoá chúng. Tường lửa giúp ngăn chặn các kết nối đến không mong muốn để giảm nguy cơ bị kiểm soát máy tính ngoài ý muốn hoặc cài đặt vào các chương trình độc hại hay virus máy tính.

Sử dụng tường lửa bằng phần cứng nếu người sử dụng kết nối với mạng Internet thông qua một modem có chức năng này. Thông thường ở chế độ mặc định của nhà sản xuất thì chức năng "tường lửa" bị tắt, người sử dụng có thể truy cập vào modem để cho phép hiệu lực (bật). Sử dụng tường lửa bằng phần cứng không phải tuyệt đối an toàn bởi chúng thường chỉ ngăn chặn kết nối đến trái phép, do đó kết hợp sử dụng tường lửa bằng các phần mềm. Sử dụng tường lửa bằng phần mềm: Ngay các hệ điều hành họ Windows ngày nay đã được tích hợp sẵn tính năng tường lửa bằng phần mềm, tuy nhiên thông thường các phần mềm của hãng thứ ba có thể làm việc tốt hơn và tích hợp nhiều công cụ hơn so với tường lửa phần mềm sẵn có của Windows. Ví dụ bộ phần mềm ZoneAlarm Security Suite của hãng ZoneLab là một bộ công cụ bảo vệ hữu hiệu trước virus, các phần mềm độc hại, chống spam, và tường lửa.

Cập nhật các bản sửa lỗi của hệ điều hành

Hệ điều hành Windows (chiếm đa số) luôn luôn bị phát hiện các lỗi bảo mật chính bởi sự thông dụng của nó, tin tặc có thể lợi dụng các lỗi bảo mật để chiếm quyền điều khiển hoặc phát tán virus và các phần mềm độc hại. Người sử dụng luôn cần cập nhật các bản vá lỗi của Windows thông qua trang web Microsoft Update (cho việc nâng cấp tất cả các phần mềm của hãng Microsoft) hoặc Windows Update (chỉ cập nhật riêng cho Windows). Cách tốt nhất hãy đặt chế độ nâng cấp (sửa chữa) tự động (Automatic Updates) của Windows. Tính năng này chỉ hỗ trợ đối với các bản Windows mà Microsoft nhận thấy rằng chúng hợp pháp.

Vận dụng kinh nghiệm sử dụng máy tính

Cho dù sử dụng tất cả các phần mềm và phương thức trên nhưng máy tính vẫn có khả năng bị lây nhiễm virus và các phần mềm độc hại bởi mẫu virus mới chưa được cập nhật kịp thời đối với phần mềm diệt virus. Người sử dụng máy tính cần sử dụng triệt để các chức năng, ứng dụng sẵn có trong hệ điều hành và các kinh nghiệm khác để bảo vệ cho hệ điều hành và dữ liệu của mình. Một số kinh nghiệm tham khảo như sau:

• Phát hiện sự hoạt động khác thường của máy tính: Đa phần người sử dụng máy tính không có thói quen cài đặt, gỡ bỏ phần mềm hoặc thường xuyên làm hệ điều hành thay đổi - có nghĩa là một sự sử dụng ổn định - sẽ nhận biết được sự thay đổi khác thường của máy tính. Ví dụ đơn giản: Nhận thấy sự hoạt động chậm chạp của máy tính, nhận thấy các kết nối ra ngoài khác thường thông qua tường lửa của hệ điều hành hoặc của hãng thứ ba (thông qua các thông báo hỏi sự cho phép truy


cập ra ngoài hoặc sự hoạt động khác của tường lửa). Mọi sự hoạt động khác thường này nếu không phải do phần cứng gây ra thì cần nghi ngờ sự xuất hiện của virus. Ngay khi có nghi ngờ, cần kiểm tra bằng cách cập nhật dữ liệu mới nhất cho phần mềm diệt virus hoặc thử sử dụng một phần mềm diệt virus khác để quét toàn hệ thống.

• Kiểm soát các ứng dụng đang hoạt động: Kiểm soát sự hoạt động của các phần mềm trong hệ thống thông qua Task Manager hoặc các phần mềm của hãng thứ ba (chẳng hạn: ProcessViewer) để biết một phiên làm việc bình thường hệ thống thường nạp các ứng dụng nào, chúng chiếm lượng bộ nhớ bao nhiêu, chiếm CPU bao nhiêu, tên file hoạt động là gì...ngay khi có điều bất thường của hệ thống (dù chưa có biểu hiện của sự nhiễm virus) cũng có thể có sự nghi ngờ và có hành động phòng ngừa hợp lý. Tuy nhiên cách này đòi hỏi một sự am hiểu nhất định của người sử dụng.

• Loại bỏ một số tính năng của hệ điều hành có thể tạo điều kiện cho sự lây nhiễm virus: Theo mặc định Windows thường cho phép các tính năng autorun giúp người sử dụng thuận tiện cho việc tự động cài đặt phần mềm khi đưa đĩa CD hoặc đĩa USB vào hệ thống. Chính các tính năng này được một số loại virus lợi dụng để lây nhiễm ngay khi vừa cắm ổ USB hoặc đưa đĩa CD phần mềm vào hệ thống (một vài loại virus lan truyền rất nhanh trong thời gian gần đây thông qua các ổ USB bằng cách tạo các file autorun.ini trên ổ USB để tự chạy các virus ngay khi cắm ổ USB vào máy tính). Cần loại bỏ tính năng này bằng các phần mềm của hãng thứ ba như TWEAKUI hoặc sửa đổi trong Registry.

• Sử dụng thêm các trang web cho phép phát hiện virus trực tuyến như: Kaspersky.com, Bkav.com.vn, v.v.

Bảo vệ dữ liệu máy tính

Nếu như không chắc chắn 100% rằng có thể không bị lây nhiễm virus máy tính và các phần mềm hiểm độc khác thì bạn nên tự bảo vệ sự toàn vẹn của dữ liệu của mình trước khi dữ liệu bị hư hỏng do virus (hoặc ngay cả các nguy cơ tiềm tàng khác như sự hư hỏng của các thiết bị lưu trữ dữ liệu của máy tính). Trong phạm vi về bài viết về virus máy tính, bạn có thể tham khảo các ý tưởng chính như sau:

Sao lưu dữ liệu theo chu kỳ là biện pháp đúng đắn nhất hiện nay để bảo vệ dữ liệu. Bạn có thể thường xuyên sao lưu dữ liệu theo chu kỳ đến một nơi an toàn như: các thiết bị nhớ mở rộng (ổ USB, ổ cứng di động, ghi ra đĩa quang...), hình thức này có thể thực hiện theo chu kỳ hàng tuần hoặc khác hơn tuỳ theo mức độ cập nhật, thay đổi của dữ liệu của bạn. Tạo các dữ liệu phục hồi cho toàn hệ thống không dừng lại các tiện ích sẵn có của hệ điều hành (ví dụ System Restore của Windows Me, XP...) mà có thể cần đến các phần mềm của hãng thứ ba, ví dụ bạn có thể tạo các bản sao lưu hệ thống bằng các phần mềm ghost, các phần mềm tạo ảnh ổ đĩa hoặc phân vùng khác.

Thực chất các hành động trên không chắc chắn là các dữ liệu được sao lưu không bị lây nhiễm virus, nhưng nếu có virus thì các phiên bản cập nhật mới hơn của phần mềm diệt virus trong tương lai có thể loại bỏ được chúng.

7. Giải pháp triển khai phần mềm diệt virus theo mô hình client- server

Trong phần này tôi sẽ giới thiệu với các bạn phần mềm Anti-Virus Kaspersky. Đây là một phần mềm có thể nói là khá mạnh hiện nay nó bao gồm tường lửa,phần mềm diệt Virus, Spyware,..... có chức năng IPS,IDS và đặc biệt khả năng ghi log của nó rất tôt.

Dưới đây là mô hình Client-Server của hệ thống Kaspersky


Hình 7.1. Mô hình Client-Server của Kaspersky

Tài liệu tham khảo:

Tiếng anh:

CEH v6 for Ecouncil: http://www.ecouncil.com

CEH v5 for Ecouncil: http://www.ecouncil.com

Security + for ComTIA +

Tiếng việt:

Các thể loại Sách viết về mã hóa và công nghệ thông tin.

Các trang công nghệ thông tin.

Http://www.vnexperts.net, http://www.hvaonline.net, .v.v..

Và nhiều Forum cũng như trang Web khác.

Documents

Microsoft Word Security TiengViet