TIN HỌC ĐẠI CƯƠNG AN TOÀN BẢO TRÌ

Chương 7 AN TOÀN THÔNG TIN VÀ BẢO TRÌ MÁY TÍNH Chương này giới thiệu cho sinh viên 3 nội dung chính: - An toàn thông tin: Khái niệm an toàn thông tin; các nguy cơ và dấu hiệu của mất an

Chương 7

AN TOÀN THÔNG TIN VÀ BẢO TRÌ MÁY TÍNH

Chương này giới thiệu cho sinh viên 3 nội dung chính:

- An toàn thông tin: Khái niệm an toàn thông tin; các nguy cơ và dấu hiệu của mất an toàn thông tin; và một số giải pháp nhằm đảm bảo an toàn, an ninh cho thông tin

- Virus máy tính: Khái niệm; Sơ lược về lịch sử hình thành; Phân loại virus; Dấu hiệu nhận biết máy tính bị nhiễm virus; và biện pháp phòng chống, diệt virus máy tính

- Bảo trì máy tính: Khái niệm; Bảo trì phần cứng, phần mềm; và cách kiểm tra xác định, khắc phục một số sự cố thường gặp của máy tính điện tử

7.1 AN TOÀN THÔNG TIN

7.1.1 Khái niệm

An toàn thông tin là sự bảo vệ thông tin và hệ thống thông tin trước việc truy cập, sử dụng trái phép, tiết lộ bí mật, làm gián đoạn tiến trình, làm thay đổi nội dung, ghi âm hoặc tiêu hủy thông tin,…

Các tổ chức kinh tế, chính trị, xã hội,… luôn lưu trữ rất nhiều thông tin cần phải giữ bí mật về kế hoạch, về chiến lược, về nhân viên, về khách hàng, về các sản phẩm mới, các nghiên cứu phát minh, về tình trạng tài chính và nhiều lĩnh vực khác Phần lớn các thông tin này được thu thập, xử lý và lưu trữ trên các máy tính điện tử và được truyền qua mạng đến các máy tính khác trong quá trình làm việc

Nếu các thông tin bí mật trên rơi vào tay những “kẻ xấu” thì điều này có thể dẫn đến một hậu quả khó lường trước: mất ổn định về kinh tế, xã hội ở tầm vĩ mô; đối với doanh nghiệp thì thiệt hại về kinh tế, kinh doanh thua lỗ, thậm chí có thể dẫn đến phá sản cả doanh nghiệp; đối với cá nhân, an toàn thông tin có

ảnh hưởng lớn đến sự riêng tư, mức độ ảnh hưởng của việc bị lộ thông tin cá nhân có thể sẽ khác nhau trong các nền văn hóa khác nhau, tuy nhiên đó là điều không ai mong muốn

Theo tài liệu ISO 17799 của tổ chức tiêu chuẩn quốc tế, an toàn

thông tin là khả năng bảo vệ đối với thông tin, đảm bảo việc hình thành, phát triển và sử dụng thông tin vì lợi ích của mọi công dân, mọi tổ chức và của quốc gia Thông qua các chính sách về an toàn thông tin, lãnh đạo tổ chức thể hiện ý chí và năng lực của mình trong việc quản lý hệ thống thông tin

An toàn thông tin được xây dựng trên nền tảng một hệ thống các chính sách, quy tắc, quy trình và các giải pháp kỹ thuật nhằm mục đích đảm bảo an toàn tài nguyên thông tin mà tổ chức đó sở hữu cũng như các tài nguyên thông tin của các đối tác, các khách hàng

7.1.2 Dấu hiệu và một số nguy cơ gây mất an toàn thông tin

Hệ thống thông tin nếu có một trong các dấu hiệu dưới đây sẽ được coi là không an toàn về mặt thông tin:

- Dữ liệu trong hệ thống bị truy nhập để lấy cắp và sử dụng trái phép dẫn đến lộ bí mật của hệ thống

- Các dữ liệu trong hệ thống bị thay thế hoặc sửa đổi làm sai lệch nội dung, mất tính toàn vẹn, dẫn đến thông tin được cung cấp bởi hệ thống không còn độ tin cậy

- Dữ liệu, thông tin được cung cấp bởi hệ thống không đảm bảo được tính thời gian thực, hệ thống thường xuyên bị sự cố hoặc truy cập, khai thác khó khăn dẫn đến tính sẵn sàng của hệ thống bị giảm sút

Về khả năng, nguy cơ có thể gây ra mất an toàn thông tin, có thể nêu ra như sau:

- Nguy cơ từ việc xác thực, phân quyền người sử dụng Trong các hệ thống thông tin, người sử dụng đều cần được phân quyền phù hợp với chức năng, nhiệm vụ cụ thể của họ Nếu việc phân quyền không đúng sẽ dẫn đến

khả năng một vài người sẽ được phân dư thừa quyền trong hệ thống, có thể có cả quyền quản trị hệ thống Đây

là một nguy cơ hiện hữu vì theo số liệu thống kê, có tới gần một nửa các vi phạm ảnh hưởng đến an toàn thông tin xuất phát từ phía người sử dụng nội bộ, trong số đó

có nhiều người được phân “đặc quyền” trong hệ thống và

họ đã vô tình hoặc cố ý lạm dụng các đặc quyền đó để khai thác thông tin trái phép

- Nguy cơ xuất phát từ tội phạm máy tính: theo số liệu của Verizon (US secret service), trong năm 2010, có tới 40% các vụ việc mất an toàn thông tin do các tin tặc gây ra Nguy cơ này ngày càng cao do tội phạm máy tính ngày càng gia tăng nhanh cả về số lượng, thủ đoạn, mức độ chuyên nghiệp và trình độ kỹ thuật

- Nguy cơ xuất phát từ lừa đảo thông qua các kỹ năng xã hội (Social Engineering) của các tổ chức tội phạm thông tin chuyên nghiệp Cũng theo số liệu của Verizon, trong năm 2010, tỷ lệ phạm tội của hình thức này chiếm tới 28% số vụ việc

- Nguy cơ từ virus máy tính và các phần mềm độc hại Đây là một trong những nguy cơ nguy hiểm nhất, virus máy tính và các phần mềm độc hại luôn được tạo mới hàng ngày với số lượng gia tăng rất nhanh, mức độ phá hoại đối với máy tính và dữ liệu ngày càng nghiêm trọng

- Nguy cơ từ các lỗ hổng của hệ thống: theo đánh giá của các chuyên gia, các lỗ hổng bảo mật của các hệ thống thông tin ngày càng được phát hiện với số lượng lớn Các lỗ hổng bảo mật chủ yếu được tìm thấy trong các hệ

điều hành máy tính (cả hệ điều hành mạng và hệ điều

hành cho máy trạm), các trang web, các cổng thông tin

điện tử

- Nguy cơ từ sai hỏng thiết bị phần cứng, đặc biệt là đĩa cứng hỏng đột ngột do chất lượng kém hoặc đã dùng đã

lâu, hết khấu hao mà không được thay thế, trong khi đó lại không có các biện pháp sao lưu dữ liệu dự phòng Đây là nguy cơ thường gặp trong các tổ chức không đầu

tư thỏa đáng cho việc trang bị các thiết bị phần cứng mới thay thế và không có chính sách phù hợp để quy định việc sao lưu dữ liệu dự phòng, đặc biệt là các dữ liệu quan trọng

7.1.3 Một số giải pháp nhằm đảm bảo an toàn thông tin

Nhằm đảm bảo an toàn thông tin cho hệ thống, các nhà quản lý

và vận hành hệ thống cần tiếp cận theo hai hướng:

kỹ thuật tương ứng

- Nâng cao chất lượng cán bộ quản lý và người dùng nội bộ: lựa chọn kỹ càng những nhân sự làm công tác quản trị và vận hành hệ thống; thường xuyên tổ chức các khóa đào tạo và nâng cao trình độ, ý thức cho người sử dụng nội bộ

- Xây dựng các chính sách, quy định, quy chế nhằm đảm bảo an toàn cho hệ thống thông tin nói chung và dữ liệu nói riêng khi khai thác và vận hành hệ thống

- Đầu tư ngân sách thỏa đáng cho các hoạt động nhằm đảm bảo an toàn thông tin

hiện các phần mềm cài cắm để lấy cắp hoặc phá hủy dữ liệu,…

- Bảo mật, xác thực các dữ liệu tại chỗ cũng như trong quá trình giao dịch, trao đổi Cụ thể: sử dụng các kỹ thuật mã hóa, xác thực mạnh có độ tin cậy cao

- Sử dụng các hệ thống kỹ thuật để bảo vệ dữ liệu: sử dụng

hệ thống phát hiện và chống xâm nhập, chống lấy cắp hoặc phá hoại dữ liệu,

- Sử dụng các thiết bị, phần mềm chất lượng cao, ổn định; Trang bị đầy đủ các hệ thống dự phòng, hệ thống chống sét, chống sốc điện, thiên tai, thảm họa,

- Sử dụng giải pháp “máy xén giấy” cho các thiết bị lưu

dữ liệu đã qua sử dụng khi thanh lý hoặc bị hư hỏng Theo đó, tất cả các thiết bị đã sử dụng để lưu trữ dữ liệu quan trọng đều cần phải được hủy đúng cách và đúng quy trình, tránh nguy cơ dữ liệu trên các thiết bị đó sẽ được khôi phục nhằm sử dụng cho các ý đồ xấu

c Thực tế tại Việt Nam

Ngày 23/2/2007, Bộ Bưu chính Viễn thông đã ra chỉ thị số 03/2007CT-BBCVT về việc Tăng cường đảm bảo an ninh thông tin trên mạng Internet Chỉ thị đã nêu rõ một số biện pháp nhằm đảm bảo an toàn thông tin trong điều kiện Việt Nam:

- Rà soát, kiểm tra, đánh giá các hệ thống thiết bị phục

vụ việc lưu trữ, cung cấp và truyền tải thông tin; đánh giá hiện trạng các hệ thống bảo vệ và các biện pháp đảm bảo an ninh thông tin Ưu tiên sử dụng các kết nối trong nước, tên miền “.vn” để đảm bảo an toàn cho trang thông tin điện tử Xây dựng quy trình và quy chế đảm bảo an ninh thông tin cho các hệ thống thông tin, tham khảo các chuẩn quản lý an toàn TCVN 7562, ISO 27001 Đảm bảo khả năng truy vết và khôi phục thông tin trong trường hợp có sự cố

- Thường xuyên phối hợp với cơ quan hữu quan và các

tổ chức cung cấp dịch vụ an toàn mạng cập nhật các biện pháp đảm bảo an ninh thông tin mới nhất

- Các doanh nghiệp viễn thông và internet tăng cường kiểm tra, giám sát chặt chẽ các trang thiết bị thuộc quyền quản lý; không được lợi dụng hoặc để người khác lợi dụng gây mất trật tự an toàn xã hội; các hệ thống thiết bị, các phần mềm đưa vào sử dụng trên mạng Internet tuân thủ theo quy định Các doanh nghiệp cung cấp dịch vụ giá trị gia tăng trên Internet (hosting, mail, FTP,…) phải

có các biện pháp đảm bảo an ninh thông tin Các tổ chức, doanh nghiệp tham gia hoạt động trên mạng Internet hoặc cung cấp dịch vụ an toàn an ninh mạng phải nghiêm túc thực hiện sự điều phối của Trung tâm VNCERT trong hoạt động ứng cứu sự cố mạng Internet

ở Việt Nam, hợp tác với Trung tâm VNCERT trong việc kiểm tra đánh giá năng lực đảm bảo an toàn mạng trong đơn vị mình khi có dấu hiệu hay nguy cơ mất an toàn mạng

- Các đơn vị trực thuộc Bộ Bộ Bưu chính Viễn thông theo chức năng và nhiệm vụ có trách nhiệm cử cán bộ có năng lực phối hợp với VNCERT trong việc đấu tranh phòng chống tấn công trên mạng; tiến hành huấn luyện nghiệp vụ, đào tạo cập nhật về an ninh thông tin cho các

cơ quan, tổ chức và cá nhân có nhu cầu Các Sở Bưu chính Viễn thông tăng cường công tác quản lý nhà nước

về đảm bảo an ninh thông tin trong hoạt động Internet theo thẩm quyền được giao; hướng dẫn các doanh nghiệp viễn thông và internet, các đại lý internet trên địa bàn thực hiện nghiêm chỉnh các quy định của pháp luật về Bưu chính Viễn thông và internet; đẩy mạnh công tác thanh tra, kiểm tra và xử lý kịp thời, kiên quyết các vi phạm về an ninh thông tin; kiện toàn tổ chức, nâng cao năng lực cán bộ đáp ứng yêu cầu thực hiện

- Trung tâm VNCERT nhanh chóng triển khai hệ thống thu thập thông tin và tư vấn qua mạng Internet; chủ trì phối hợp với các cơ quan liên quan xây dựng và triển khai kế hoạch đào tạo bồi dưỡng nghiệp vụ an toàn thông tin đáp ứng nhu cầu thực tiễn của các cơ quan, tổ chức và doanh nghiệp; tăng cường công tác tuyên truyền nâng cao nhận thức của cộng đồng về trách nhiệm đảm bảo an ninh thông tin trong các hoạt động viễn thông và Internet Trung tâm Internet Việt Nam (VNNIC) có trách nhiệm tăng cường quản lý tên miền quốc gia “.vn”, địa chỉ IP theo quy định; tăng cường bảo đảm an toàn an ninh cho hệ thống máy chủ tên miền quốc gia; phối hợp với các đơn vị chức năng cung cấp các thông tin về tên miền địa chỉ theo yêu cầu

Gần đây nhất, trước tình hình mất an toàn thông tin số ở Việt Nam diễn biến phức tạp, xuất hiện nhiều nguy cơ đe dọa nghiêm trọng đến việc ứng dụng công nghệ thông tin phục

vụ phát triển kinh tế - xã hội và đảm bảo quốc phòng, an ninh Các số liệu thống kê cho thấy, số vụ tấn công trên mạng Internet và các vụ xâm nhập bất hợp pháp vào hệ thống công nghệ thông tin nhằm do thám, trục lợi, phá hoại

dữ liệu, ăn cắp tài sản, cạnh tranh không lành mạnh và một

số vụ việc mất an toàn thông tin số khác đang gia tăng ở mức báo động về số lượng, đa dạng về hình thức, tinh vi về công nghệ Kết quả nghiên cứu, khảo sát cũng cho thấy nhiều hệ thống công nghệ thông tin của các cơ quan nhà nước và doanh nghiệp, đặc biệt là các cổng, trang thông tin điện tử có nhiều điểm yếu về an toàn thông tin, chưa được áp dụng các giải pháp đảm bảo an toàn và bảo mật thông tin phù hợp Để tăng cường khả năng phòng, chống các nguy cơ tấn công, xâm nhập hệ thống công nghệ thông tin và ngăn chặn, khắc phục kịp thời các sự cố an toàn thông tin trên mạng máy tính, ngày 10/6/2011, Thủ tướng Chính phủ đã

ban hành Chỉ thị số 897/CT-TTg về việc Tăng cường triển khai các hoạt động nhằm đảm bảo an toàn thông tin số Chỉ thị đã nêu rõ:

- Triển khai áp dụng các giải pháp đảm bảo an toàn thông tin, chống virus và mã độc hại cho các hệ thống thông tin

và các máy tính cá nhân có kết nối mạng Internet Đối với các hệ thống thông tin quan trọng, các cổng, trang thông tin điện tử quan trọng, nhất thiết phải áp dụng chính sách ghi lưu tập trung biên bản hoạt động (log file) cần thiết để phục vụ công tác điều tra và khắc phục sự cố mạng với thời hạn lưu giữ theo hướng dẫn của Bộ Thông tin và Truyền thông, nhưng tối thiểu không ít hơn 3 tháng

- Bố trí cán bộ quản lý, cán bộ kỹ thuật phù hợp chịu trách nhiệm đảm bảo an toàn cho các hệ thống thông tin số Lập kế hoạch đào tạo bồi dưỡng nghiệp vụ cho đội ngũ cán bộ an toàn thông tin số, đào tạo, phổ biến kiến thức,

kỹ năng cho người dùng máy tính về phòng, chống các nguy cơ mất an toàn thông tin số khi sử dụng mạng Internet

- Bố trí kinh phí từ ngân sách nhà nước và các nguồn kinh phí hợp pháp khác để triển khai các hoạt động đảm bảo

an toàn thông tin số Đảm bảo kinh phí đầu tư và vận hành thường xuyên các hệ thống đảm bảo an toàn thông tin số

- Xây dựng, triển khai kế hoạch đảm bảo an toàn thông tin

số định kỳ hàng năm và 5 năm nhằm thực hiện các mục tiêu của Quy hoạch phát triển an toàn thông tin số quốc gia đến năm 2020

- Các thông tin thuộc bí mật Nhà nước lưu trữ và truyền trên môi trường mạng phải được mã hóa và quản lý theo quy định của pháp luật về cơ yếu

Đối với Bộ Thông tin Truyền thông, Thủ tướng yêu cầu thực hiện các công việc và giải pháp rất cụ thể:

- Nhanh chóng triển khai hệ thống giám sát an toàn thông tin trên mạng Internet Việt Nam nhằm sớm phát hiện các nguy cơ, dấu hiệu và nguồn gốc các cuộc tấn công mạng

- Ban hành và chủ trì triển khai thực hiện cơ chế điều phối

và phối hợp giữa các đơn vị nhằm đảm bảo an toàn thông tin trên mạng Internet Xây dựng và tổ chức diễn tập các phương án hợp tác ứng cứu sự cố mạng máy tính Ban hành các quy định hướng dẫn yêu cầu kỹ thuật đảm bảo

an toàn thông tin cho các hệ thống thông tin số Hướng dẫn đào tạo, bồi dưỡng nghiệp vụ cho đội ngũ cán bộ kỹ thuật phụ trách an toàn thông tin cho các cổng, trang thông tin điện tử của các đơn vị, cơ quan nhà nước

- Chỉ đạo các cơ quan báo chí, phát thanh, truyền hình đẩy mạnh tuyên truyền, nâng cao nhận thức an toàn thông tin

số, quảng bá các hoạt động, sự kiện về an toàn thông tin

số trong nước và quốc tế

- Tăng cường công tác thanh tra, kiểm tra và xử lý các tổ chức, cá nhân vi phạm quy định về đảm bảo an toàn thông tin Phối hợp với Bộ Công an trong hoạt động phòng, chống tội phạm trong lĩnh vực công nghệ thông tin

- Kịp thời đề xuất các chính sách và biện pháp quản lý nhà nước phù hợp nhằm đảm bảo an toàn thông tin số

7.2 VIRUS MÁY TÍNH

7.2.1 Khái niệm và lịch sử hình thành

Virus máy tính là những chương trình hay đoạn mã lệnh do con người tạo ra, được gắn vào các tệp tin để lây nhiễm Chúng được thiết kế để có khả năng tự nhân bản và lây nhiễm trong máy tính

và giữa các máy tính, chúng cũng được thiết kế để có khả năng

ẩn mình nhằm tránh sự phát hiện của người sử dụng cũng như

các chương trình quét kiểm tra virus Virus máy tính luôn tự động làm những việc mà chủ của nó lập trình sẵn, không cần đợi

sự cho phép hay ra lệnh của người sử dụng Các công việc của virus làm thường nhằm mục đích phá hoại sự hoạt động bình thường của máy tính, làm hỏng hoặc ăn cắp dữ liệu trên máy, hoặc đơn giản chỉ là những thông báo bất thường làm phiền người sử dụng,…

Trước đây, virus máy tính (gọi tắt là virus) thường được viết bởi một số người rất am hiểu về lập trình, muốn chứng tỏ khả năng lập trình tài giỏi của mình nên virus do họ tạo ra thường có các hành động như: cho một chương trình đã bị lây nhiễm không hoạt động đúng theo thiết kế, xóa dữ liệu, làm hỏng ổ đĩa cứng, phá hủy bảng mạch chủ, hoặc đơn giản chỉ là những thông báo trên màn hình gây ra những trò đùa rất khó chịu cho người sử dụng

Giờ đây, những virus mới được viết không còn thực hiện các trò đùa hay sự phá hoại đối với máy tính của nạn nhân bị lây nhiễm nữa, mà đa phần chúng có mục tiêu hướng đến việc lấy cắp các thông tin cá nhân nhạy cảm như các thông tin thẻ tín dụng, mở cửa sau cho tin tặc đột nhập chiếm quyền điều khiển hoặc các hành động khác nhằm có lợi cho người phát tán virus Thiệt hại

về kinh tế do các hoạt động của tội phạm máy tính gây ra đã tăng rất nhanh theo các năm Theo thông báo của Symantec, tập đoàn bảo mật hàng đầu thế giới, tin tặc đã gây thiệt hại về kinh

tế trong 12 tháng, từ tháng 9/2010 đến 8/2011, với số tiền khổng

lồ, 114 tỉ đô la Mỹ Hơn 431 triệu người trên toàn thế giới trở thành nạn nhân của tin tặc Hãng này cũng đã tiến hành khảo sát

20 ngàn người ở 24 quốc gia khác nhau về các vấn đề liên quan đến tội phạm máy tính, kết quả cho thấy trong 12 tháng, số nạn nhân của tội phạm máy tính nhiều gấp 3 lần số nạn nhân của các tội phạm thông thường khác Các chuyên gia của hãng bảo mật này cũng cảnh báo về xu hướng tin tặc sẽ tập trung tấn công những người sử dụng mạng Internet bằng điện thoại di động

Về lịch sử hình thành virus máy tính, có một vài quan điểm khác nhau, dưới đây sẽ nêu tóm tắt và khái quát những điểm chung nhất nhằm làm rõ quá trình hình thành của virus máy tính:

- Năm 1949: John von Neumann (1903-1957) - một nhà

toán học người Mỹ, gốc Hungary, đồng thời cũng là cha

đẻ của kiến trúc máy tính số hiện đại - đã phát triển nền

tảng lý thuyết tự nhân bản của chương trình máy tính Ông đã trình bày các bài giảng tại Đại học Illinois về "Lý thuyết và tổ chức automat phức tạp” Ông cho rằng chương trình máy tính có thể được tự động tái tạo Đây chính là một trong những nền tảng lý thuyết mà sau này virus máy tính đã lợi dụng để phát tán và lây nhiễm

- Cuối những năm 60, đầu thập niên 70, một chương trình máy tính với tên gọi là "Pervading Animal" đã xuất hiện trên các máy Univax 1108 với khả năng: tự nó có thể nối

vào phần sau của các tập tin khả thi (lúc này vẫn chưa

hình thành khái niệm virus máy tính)

- Năm 1972, Veith Risak cho xuất bản bài báo “Tái tạo tự động với trao đổi thông tin tối thiểu” Bài báo mô tả về

một loại chương trình máy tính (với đầy đủ chức năng

của virus như hiện nay) được viết bằng ngôn ngữ máy

cho hệ thống máy tính SIEMENS 4004/35

- Vào năm 1981: một vài chương trình máy tính (có chức

năng như virus ngày nay) đầu tiên đã xuất hiện trong hệ

điều hành của máy tính Apple II

- Vào năm 1984: tại Đại học Nam California - Mỹ, Fred Cohen lần đầu tiên đưa ra khái niệm virus máy tính

(computer virus) như ngày nay Ông đã viết bài báo

"Virus máy tính - lý thuyết và thực tế" Đây là bài báo đầu tiên mô tả một cách rõ ràng về một chương trình tự tái tạo một "virus máy tính"

- Tới năm 1986: Virus "the Brain", là virus đầu tiên có khả năng ảnh hưởng tới máy tính cá nhân được tạo ra tại

Pakistan bởi Basit và Amjad Đoạn mã độc hại này được thiết kế ẩn trong phần khởi động (boot sector) của một đĩa mềm 360KB và nó có khả lây nhiễm tới tất cả các ổ đĩa mềm Đây là loại "stealth virus" đầu tiên trên thế giới Tháng 12/1986, virus phá hoại máy tính chạy hệ điều hành DOS được phát hiện là virus "VirDem" Loại virus này có khả năng tự chép mã của mình vào các tệp khả thi (executable file) và phá hoại các loại máy tính VAX/VMS

- Năm 1987: Virus đầu tiên tấn công vào tệp hệ thống command.com là virus có tên là "Lehigh" Virus này được phát hiện tại Đại học Lehigh, chúng tấn công các máy tính theo chuẩn IBM và tương thích chuẩn IBM Nó lây nhiễm vào tệp hệ thống của hệ điều hành máy tính và sao chép chính nó vào đĩa mềm được đưa vào các máy

Nó được lập trình để sau khi lây nhiễm cho bốn đĩa mềm

sẽ phá hủy hệ thống tệp tin của máy tính Các báo cáo cho thấy có hàng trăm máy tính đã bị lây nhiễm virus này, nhiều máy tính trong số đó đã bị phá hủy toàn bộ dữ liệu

- Năm 1988: Virus Jerusalem tấn công đồng loạt vào máy tính của các trường đại học và các công ty thuộc nhiều quốc gia vào Thứ Sáu ngày 13 Đây là loại virus hoạt động theo đồng hồ của máy tính, giống như bom nổ chậm và được kích hoạt hàng loạt vào cùng một thời điểm Tháng 11/1988, Robert Morris, 22 tuổi, chế ra worm chiếm cứ các máy tính của ARPANET (Internet), làm tê liệt khoảng 6.000 máy tính Morris sau đó đã bị phạt tù 3 năm và số tiền 10.000 dola

- Vào 3/1988, lần đầu tiên phần mềm phát hiện và chống virus được thiết kế để phát hiện và loại bỏ các virus Brain Phần mềm này cũng chủng ngừa cho các đĩa mềm

để chúng có thể an toàn trước virus Brain Trong thời gian này, virus Cascade xuất hiện tại Đức Virus Cascade

là virus đầu tiên được mã hóa do đó không thể thay đổi howacj gỡ bỏ đoạn mã này

- Năm 1990: Chương trình tìm kiếm và diệt virus thương mại đầu tiên được giới thiệu bởi hãng Norton Sau đó các hãng IBM, McAfee cũng lần lượt giới thiệu các phần mềm diệt virus ra thị trường

- Năm 1991: Virus đa hình (polymorphic virus) xuất hiện Đầu tiên là virus có tên gọi "Tequilla" Loại virus này có khả năng tự thay đổi hình thức của nó, gây khó khăn cho các chương trình chống virus khi tìm diệt

- Năm 1994: Một số người sử dụng do chưa có kinh nghiệm, và cũng vì lòng tốt nên đã chuyển tiếp cho nhau một thư điện tử cảnh báo tất cả mọi người không mở bất

kỳ một thư điện tử nào có cụm từ "Good Times" trong dòng tiêu đề của thư Thực chất đây là một loại virus giả (hoax virus) đầu tiên xuất hiện trên các thư điện tử và lợi dụng vào "tinh thần trách nhiệm" của những người nhận được thư điện tử này để tạo ra sự lây lan

- Năm 1995: Virus văn bản (macro virus) đầu tiên xuất hiện trong các đoạn mã macro của các tệp tin văn bản của phần mềm soạn thảo Microsoft Word và đã lan truyền nhanh qua rất nhiều máy tính Loại virus này có thể làm hỏng hệ điều hành máy bị nhiễm, phá hủy các tệp văn bản,… Macro virus là loại virus được viết ra bằng ngôn ngữ Visual Basic cho các ứng dụng (VBA) và tùy theo khả năng, có thể lan nhiễm trong các ứng dụng văn phòng của Microsoft như Word, Excel, PowerPoint, OutLook, Trong số các macro virus này, nổi tiếng nhất

là virus Baza và virus Laroux, xuất hiện vào năm 1996,

có thể nằm trong cả các tệp tin vwan bản Word hay tệp bảng tính Excel Sau này, vào năm 1997, virus Melissa

đã tấn công hơn 1 triệu máy tính, lan truyền bởi một tệp văn bản Word đính kèm bằng cách đọc và gửi đến các địa chỉ của Outlook trong các máy đã bị nhiễm virus Tác

giả của virus này là David L Smith, vào năm 2002 đã bị

xử 20 tháng tù

- Năm 1999, xuất hiện virus Tristate, có thể tấn công vào các tệp văn bản Word, các tệp bảng tính Excel và các tệp trình chiếu PowerPoint

- Năm 2000: Virus Love Bug, còn có tên gọi khác là ILOVEYOU đã đánh vào tính hiếu kì của mọi người Đây là một loại macro virus Đặc điểm là nó dùng đuôi tập tin dạng "ILOVEYOU.txt.exe" Lợi dụng điểm yếu của Outlook thời bấy giờ: theo mặc định sẵn, đuôi dạng exe sẽ tự động bị dấu đi Ngoài ra, virus này còn có một đặc tính mới của spyware: nó tìm cách lấy cắp tên và mật khẩu truy nhập của máy chủ đã bị nhiễm và gửi về cho chủ virus Khi truy cứu ra thì đó là một sinh viên người Philippines Người này sau đó đã không bị truy cứu vì Philippines lúc đó chưa có điều luật nào qui định việc trừng trị những người tạo ra virus máy tính

- Năm 2003: Virus SQL Slammer, lan truyền với tốc độ kỉ lục, nó đã lây nhiễm vào khoảng 75 ngàn máy tính chỉ trong khoảng thời gian 10 phút Loại virus này đã lợi dụng lỗ hổng của hệ điều hành Windows để vượt qua các

cơ chế bảo mật của hệ thống và tấn công người dùng Internet

- Năm 2004 là năm đánh dấu một thế hệ mới của virus Đó

là virus worm Sasser Loại virus có khả năng lây lan rất mạnh mẽ vì nó có thể tự động phát tán tới bất cứ máy tính nào kết nối mạng Internet mà không cần phải mở tệp đính kèm của thư điện tử, chỉ cần mở nội dung thư là nó

đã có thể xâm nhập vào máy tính Rất may là Sasser không hoàn toàn hủy hoại máy mà chỉ làm cho máy chủ làm việc chậm hơn và làm cho máy tự khởi động trở lại Tác giả của worm này là Sven Jaschan, người Đức, chỉ mới 18 tuổi

- Ngày nay, virus máy tính có thể xâm nhập hệ thống bằng cách chọc thủng các lớp bảo mật của hệ điều hành máy tính hoặc lợi dụng các lỗ hổng bảo mật của các phần mềm, nhất là các phần mềm thư điện tử, rồi từ đó lây lan rất nhanh theo các nối kết mạng Internet Việc truy tìm ra nguồn gốc phát tán virus sẽ ngày càng khó khăn hơn rất nhiều Microsoft, một hãng lớn chuyên sản xuất các phần mềm, cũng là một nạn nhân Họ đã phải nghiên cứu, sửa chữa và phát hành rất nhiều các bản vá lỗi nhằm sửa các khuyết tật của phần mềm cũng như phát hành các thế hệ của gói dịch vụ (service pack) nhằm giảm hay vô hiệu hóa các tấn công của virus Trong tương lai không xa, virus có thể sẽ tiến thêm các bước khác như chúng sẽ được trang bị các điểm mạnh sẵn có (như polymorphic, sasser hay tấn công bằng nhiều cách thức, nhiều kiểu) và còn kết hợp với các thủ đoạn khác của phần mềm gián điệp (spyware) Đồng thời nó có thể tấn công vào nhiều

hệ điều hành khác nhau chứ không nhất thiết nhắm vào một hệ điều hành độc nhất như Windows hiện giờ

7.2.2 Phân loại Virus máy tính

Virus máy tính thường được phân loại theo bản chất và hình thức của việc lây nhiễm Thông thường, virus máy tính được phân loại như sau:

- Virus khởi động (Boot Virus – B Virus): loại virus này tấn công vào khu vực khởi động của ổ đĩa cứng - Master Boot Record (MBR) Master Boot Record chứa bảng phân vùng chính của ổ đĩa và có vai trò hướng dẫn máy tính khởi động Nếu máy tính bị nhiễm virus loại này, khi bật máy, virus này sẽ phát tác ngay lập tức và chúng được nạp vào bộ nhớ, chiếm quyền điều khiển máy tính

- Virus tệp (File virus – F Virus): loại này lây nhiễm vào các file chương trình và chúng có khả năng lây lan rất

nhanh vào tất cả các file khả thi có trong ổ đĩa cứng Có một số virus loại này được thiết kế để xóa các tập tin quan trọng trên đĩa cứng, đó là một phần của hệ điều hành hoặc các tập tin dữ liệu

- Virus Mailer: virus loại này tìm kiếm trong các chương trình e-mail (như MS outlook), lấy ra danh sách địa chỉ e-mail được lưu trữ trong đó và nhân bản e-mail rồi gửi vào danh sách này

- Virus văn bản (Macro Virus): tác giả của loại virus này

đã sử dụng một ngôn ngữ lập trình macro đơn giản hoá, thường là VBA để sản xuất ra các virus này Loại này thường tấn công vào các ứng dụng trong bộ Microsoft Office, phổ biến Word và Excel Các macro là các dãy thao tác được thực hiện tự động và thường được lưu trữ như là một phần của tài liệu hoặc bảng tính và có thể được chuyển đến các máy tính khác khi những tập tin này được sao chép Nếu bị nhiễm virus macro, các thao tác này sẽ hoạt động sai lệch và làm hỏng hoặc thay đổi nội dung của tệp văn bản

- Virus đa hình (Polymorphic Virus): sau khi phát tán đến một máy tính khác, loại virus này có khả năng thay đổi

mã chương trình để tránh sự phát hiện của các chương trình chống virus, do đó nó còn được gọi là virus đột biến

- Virus bọc thép (Armored virus): loại virus này được thiết

kế để gây khó khăn cho việc phát hiện hay phân tích nó, chúng có khả năng tự bảo vệ mình trước các chương trình chống virus nên rất khó để có thể tiêu diệt được nó

- Stealth virus: loại virus này có khả năng tự che dấu rất tốt trước các phần mềm chống virus bằng cách thay đổi kích thước của tệp tin kích hoặc thay đổi cấu trúc thư mục Loại virus này có khả năng phá hoại hoặc thay đổi chức năng trong BIOS của máy tính

- Retrovirus: là một loại virus luôn tìm cách tấn công nhằm vô hiệu hóa các phần mềm chống virus chạy trên máy tính Retrovirus có thể được coi là virus chống lại phần mềm chống virus bằng cách tấn công và phá hủy cơ

sở dữ liệu nhận diện virus

- Virus nhiều đặc điểm (Multiple Characteristic Viruses): loại virus này có những đặc trưng khác nhau của nhiều loại virus và chúng cũng có nhiều khả năng gây hại khác nhau đối với máy tính và dữ liệu

7.2.3 Cách thức phát tán, lây nhiễm

Virus máy tính có thể lan truyền theo nhiều cách thức khác nhau nhằm đạt được mục đích phát tán nhanh và rộng Sau đây là một vài cách thức mà virus máy tính thường sử dụng để làm lây nhiễm sang các máy tính khác:

a Virus lây nhiễm theo cách cổ điển

Theo cách này, virus máy tính phát tán thông qua các thiết bị lưu trữ di động Trước đây là đĩa mềm và đĩa CD chứa các chương trình và dữ liệu, ngày nay khi đĩa mềm không còn được sử dụng thì các ổ đĩa USB, các đĩa cứng di động hoặc các thiết bị giải trí

kỹ thuật số (máy nghe nhạc, máy ảnh, điện thoại di động,…) sẽ

là vật trung gian cho sự lây nhiễm

b Virus lây nhiễm qua thư điện tử

Khi thư điện tử ngày càng được sử dụng rộng rãi thì virus chuyển hướng phát tán thông qua thư điện tử thay cho các cách lây nhiễm truyền thống

Khi đã lây nhiễm vào một máy tính, virus có thể tự tìm ra danh sách các địa chỉ thư điện tử sẵn có trong máy và tự động gửi đi hàng loạt các thư điện tử (mass mail) tới những địa chỉ được tìm thấy Nếu người nhận được thư bị nhiễm virus không biết mà

mở thư ra đọc, virus sẽ tiếp tục lây nhiễm vào máy của người này, virus lại tiếp tục tìm danh sách các địa chỉ và tiếp tục gửi