Cuộc chiến không cân sức: Malware đang vượt mặt các phần mềm chống virus

By Stuart Fox, TechNewsDaily Staff Writer
Người dịch: Huynh Anh
Viruses Are Winning': Malware Threat Outpaces Antivirus Software

Trong suốt 20 năm qua, tin tặc và các nhà lập trình vần mềm antivirus vẫn mãi mê với trò mèo đuổi chuột trên sân chơi an ninh máy tính. Bất cứ khi nào một bên có “sáng kiến” mới thì bên kia cũng sẽ phải bắt kịp. Và hầu hết khoảng thời gian đó, xung đột này vẫn là cuộc tranh tài ôn hòa giữa những tên phá hoại hiểu biết công nghệ đang tìm kẻ hở của đối phương và các lập trình viên chuyên nghiệp được đào tạo để chống lại chúng.

Nhưng khoảng giữa cuối năm 2005 đầu 2006, việc tạo malware chuyển đổi từ thói quen xấu của những người đam mê máy tính thành nguồn “kiếm cơm” của các đối tượng tội phạm có tổ chức. Được bọn cướp chi trả để lấy trộm thông tin tín dụng hoặc phát tán các trò lừa đảo trên Internet, các chuyên gia viết virus bắt đầu đầu đẩy malware lên một tốc độ mới với tính phức tạp và sức mạnh vượt qua khả năng đối phó của các phần mềm chống virus.

Gần đây, các công ty cung cấp phần mềm antivirus đã phát triển các công nghệ mới nhằm đối phó với mối đe dọa ngày một lớn này nhưng một số chuyên gia tin rằng điều đó vẫn là “hạt cát giữa sa mạc” và đã quá trễ.

“Virus đang thắng thế vì các phần mềm bảo vệ hoạt động không tốt cho lắm,” Golden Richard III, giáo sư khoa học máy tính tại Đại học New Orleans khẳng định. “Phòng thủ quả là điều khó khăn hơn rất nhiều. Trong khi lực lượng tấn công thực sự rất tinh ranh, chúng có rất nhiều tiềm lực. Đó quả là một tình huống rất ảm đạm.”

Ánh sáng mờ dần và bóng đen bao phủ

Malware là bất kỳ một chương trình mã độc nào: từ virus máy tính gây lỗi crash đến lực lượng Trojan đánh cắp thông tin thẻ tín dụng.

Cho đến khoảng thời gia cách đây vài năm, các hacker đã viết malware để giành được sự tôn kính trong cộng đồng của chúng với các chương trình được thiết kế để thực hiện cách nhiệm vụ mà các nhà lập trình máy tính khác dễ dàng chú ý tới. Cuối cùng, một tên tin tặc sẽ khó giành được tý danh tánh nào nếu chẳng ai biết virus họ tạo ra.

Sự rõ ràng cố ý này cũng giúp các phần mềm antivirus dễ dàng tìm và diệt lây nhiễm hơn. Tuy nhiên, một khi mục đích đó được chuyển từ thói quên xấu thành lợi ích tội phạm thì đối tượng viết malware bắt đầu bổ sung các tính năng “ngụy trang” cho chương trình của mình. Theo cách đó, malware có thể tiếp tục hoạt động phi pháp của mình lâu đến mức có thể mà không bị phần mềm kháng virus “rờ gáy”.

Malware hiện đại sử dụng vô vàn các mánh lới để che đậy chính bản thân nó. Kết quả là thậm chí đến phần mềm chống virus đẳng cấp nhất cũng chỉ phát hiện được chừng 40 đến 70% lượng lây nhiễm trên máy, Danny Quist, nhà sáng lập và là chuyên gia về malware của tập đoàn Offensive Computing, LLC cho biết.

Một số dạng malware hóa thân thành những dòng code trông có vẻ vô thưởng vô phạt mà chương trình antivirus chỉ nhận ra là mã độc khi nó bắt đầu chạy và lúc đó đã quá trễ.

Có malware khác thì xáo trộn code, hủy bỏ các các dấu hiệu nhận biết mà phần mềm chống virus đang tìm kiếm.

Lại có những malware thậm chí không hề chứa code nguy hiểm nhưng có khả năng tự động download phần mềm nguy hiểm từ một website khi đã vượt qua hàng rào “quét” virus. Nhiều loại malware đang làm tất cả những việc đó và làm được nhiều điều hơn thế nữa, Quist nói.

“Có một cuộc thi tại Hội nghị an ninh máy tính Defcon nơi các thí sinh được cung cấp 1 mã code malware cũ và được yêu cầu làm cho code đó không thể bị phần mềm chống virus phát hiện nhưng vẫn chạy được. Sau khoảng 4 tiếng đồng hồ, họ đã có các file sản phẩm. Một số phần mềm antivirus đã nhanh chóng chịu “bó tay”. Việc sử đổi một file là công việc quá ư dễ dàng, do vậy phần mềm chống virus không thể dò ra,” Quist nói.

Không chỉ ngụy trang tốt hơn, malware còn đa dạng vể số lượng và chủng loại đến mức bất kiểm soát, Sean-Paul Correll, một nhà nghiên cứu mối nguy tại công ty phần mềm chống virus Panda Security cho biết.

“Vào năm 2006, chúng tôi đã bắt đầu nhận thấy độ phát triển này ở các mẫu malware,” Correll cho biết thêm. “Các mẫu đó nhân đôi sau mỗi năm. Đến năm 2009, chúng tôi đã nhận được 25 triệu giòng malware mới. Con số đó lớn hơn 20 năm trước đó cộng lại. Đến tháng 7-2010, chúng tôi đã có 46,6 triệu mẫu malware trong cơ sở dữ liệu.

Các công ty phần mềm antivirus “phản đòn”

Để chiến đấu với số lượng bao la của các chương trình mã độc đang nhăm nhe tấn công vào các máy tính cá nhân và thương mại, các công ty phần mềm antivirus đang chuyển sang các mạng máy chủ mạnh để phân tích và ngăn chặn malware mới xuất hiện.

Trong khi các chương trình kháng virus cũ chỉ sử dụng các tài nguyên trên một máy tính đơn để tự phân tích thì phương pháp tập trung được gọi là cloud computing cho phép phần mềm antivirus đi xa hơn việc kiểm tra mã malware so với các chương trình đã được quan sát trước đó, Toralv Dirro nhà chiến lược an ninh tại công ty McAfee cho biết.

Thuận lợi đầu tiên của cloud computing là tăng cường bộ nhớ. Các server cloud có thể giữ lại một danh sách khổng lồ của các chương trình đã được xác định trước đó. Nếu người dùng download 1 chương trình không có trên danh mục đó – một chương trình chưa được báo cáo bởi bất kỳ người nào trên thế giới – server cloud sẽ đánh dấu đó là malware có khả năng xáo trộn code để tránh bị phát hiện.

Đối với dạng malware ngụy trang dưới dạng các gói vô hại, cloud có thể download và chạy thử chương trình trong một môi trường độc lập an toàn. Nếu sau gỡ gói và chạy, chương trình hoạt động giống mã độc thì cloud sẽ đánh dấu đó là malware, Sean Sullivan, chuyên gia cố vấn an ninh tại công ty phần mềm antivirus F-Secure Labs cho biết.

“Ngày nay, chúng ta có từ 40.000 đến 50.000 mẫu xuất hiện mỗi ngày, do vậy chúng ta phải thiết lập nhiều cơ chế tự động,” ông nói. “Trong khi cách đây 5 năm, chúng ta chỉ có mấy chục mẫu, do vậy ngày nay chúng ta phải nhờ các server và cơ chế tự động đó làm thay công việc. Hiện giờ, người tham gia nghiên cứu lại đang thiết kế máy tính thực hiện nhiệm vụ nghiên cứu.”

Tuy nhiên, không phải ai cũng bị thuyết phục rằng cloud computing có thể đủ mạnh để đối phó với mối đe dọa từ malware hiện đại. Chưa có một nghiên cứu độc lập nào chỉ ra rằng “điện toán đám mây” có thể làm tăng hiệu lực cho các phần mềm antivirus, Paul Royal, một nhà khoa học nghiên cứu tại trung tâm an ninh CNTT Georgia khẳng định.

Thậm chí các công ty phần mềm antivirus cũng thừa nhận rằng ở một cấp độ nào đó, họ đang bị đánh bại.

“Tôi đã so sánh phần mềm antivirus với một ổ khóa trên cửa,” Sullivan nói. “Mọi người đều có khóa cửa để ngăn chặn người ngoài đột nhập vào nhà nhưng chỉ với một chiếc khóa để chống lại một cuộc tấn công xâm nhập chuyên nghiệp thì chừng đó e là chưa đủ.”

Lướt web có trách nhiệm

Tại thời điểm này, an ninh máy tính không thể trở về cái thời trước năm 2006, khi mà chỉ việc chạy phần mềm chống virus đã có thể giúp máy tính chống lại hầu hết các mối đe dọa. Để bảo vệ hoàn toàn máy tính khỏi malware, người dùng cũng phải làm việc cật lực như phần mền antiviurus bằng cách thực hiện duyệt Internet an toàn.

“Bản thân phần mềm kháng virus là chưa đủ mạnh. Bạn cần kết hợp nó với tri thức thông thường của con người,” Dirro từ McAfee nói. “Bạn có túi khí trong xe hơi nhưng đừng nên húc thẳng xe vào tường bê tông với tốc độ “tẹt ga”. Nếu nghĩ bất kỳ một email nào đó đáng ngờ, tốt nhất đừng mở nó ra.”

Duyệt web có trách nhiệm có nghĩa là tránh xa các website chứa các tài liệu bất hợp pháp, tránh các trang người lớn không có cấp độ an ninh phù hợp và tất nhiên phải cài đặt phần mềm chống virus mới nhất vì rốt cuộc bảo vệ được 40% vẫn còn hơn là không có gì, Correll nói.

Tuy thế, thậm chí thói quen duyệt web an toàn vẫn chưa đủ.

Năm ngoái, hacker đã chèn một mã độc vào phần quảng cáo xuất hiện trên trang USA Today, Royal nói. Các máy tính đã bị nhiễm malware bất kể người dùng có click vào quảng cáo hay không; đơn giản chỉ đọc trang báo có kèm quảng cáo đó là có thể bị lây nhiễm. Và vì quảng cáo đó có thể luân chuyển nên bất kỳ ai tìm kiếm tin tức đều có nguy cơ lây nhiễm.

“Hiện giờ mọi thứ có thể đang bị cuốn theo dòng xoáy nhưng sẽ không tệ hơn được nữa vì hiện tại chúng ta đang đứng trong hoàn cảnh tồi hệ nhất rồi,” Quist khẳng định.