Hy vọng mới trong cuộc chiến chống virus

Khi CNTT phát triển cùng với sự bùng nổ của mạng Internet, thế giới “ngầm” của những tay hacker cũng phát triển với tốc độ nhanh không kém.

Cuộc chiến giữa các hãng bảo mật và mã độc vì thế cũng trở nên căng thẳng và tưởng chừng như không bao giờ kết thúc.

Chạy đua vũ trang

Nhiều người đã gọi cuộc chiến giữa thế giới ngầm và các hãng bảo mật là một cuộc “chạy đua vũ trang”. Mỗi khi thế giới IT có thêm một chủng mã độc mới, ngay sau đó các hãng bảo mật cũng có cách “điều trị” kịp thời nhưng ngược lại, khi chủng mã độc cũ đã bị vô hiệu hóa, những tay hacker cũng nhanh không kém cho ra đời một chủng mã độc mới. Số lượng những chủng mã độc mới xuất hiện trong những năm gần đây là một câu chuyện minh chứng rõ nét nhất cho cuộc “chạy đua vũ trang” này. 

Theo ghi nhận của Symantec, lượng mã độc mới xuất hiện trong 1 năm bằng tổng lượng mã độc của 20 năm trước cộng lại.

Năm 1988, cả thế giới có khoảng 1.738 mẫu mã độc (theo số liệu của các hãng bảo mật) nhưng chỉ 10 năm sau, năm 1998, con số này đã là 177.500 và đến năm 2008, thế giới IT của chúng ta bị buộc phải chung sống với hơn 6 triệu mẫu mã độc.

"Riêng trong năm 2007 chúng tôi nhận thấy số lượng mã độc gia tăng bằng tổng số mã độc của 20 năm trước cộng lại”, Tom Parsons, phát ngôn viên của hãng bảo mật Symantec cho biết, " trong vòng 18 tháng qua, số mã độc mới ra đời đã nhiều hơn tổng số mã độc của tất cả những năm trước cộng lại". Nhưng đáng kể là rất nhiều những mẫu mới ra đời chỉ là biến thể của những dòng mã độc cũ. "Chúng (những kẻ chuyên viết mã độc) chỉ cần chỉnh sửa một chút là đã có một mẫu mã độc hoàn toàn mới”, Roger Thompson, Giám đốc bộ phận nghiên cứu của hãng bảo mật AVG nói.

Cũng theo ông Thompson, các chuyên gia bảo mật của AVG ghi nhận khoảng 150.000 mẫu mã độc mới ra đời mỗi ngày. Trong số đó chỉ có khoảng 30.000 mẫu hoàn toàn mới và các chuyên gia bảo mật chưa hề gặp bao giờ.

Vỏ quýt dày có móng tay nhọn

Theo quy trình thông thường, các hãng bảo mật sẽ thu thập các mẫu virus mới, phân tích và nghiên cứu chúng, tạo ra một “mẫu nhận diện” và cách thức tiêu diệt, thử nghiệm và sau đó là phát hành đến người dùng thông qua các bản cập nhật của chương trình diệt virus. Quá trình này thường diễn ra một cách khá chậm chạp và đó là một lỗ hổng giúp cho những virus có điều kiện hoành hành và trở thành nỗi khiếp sợ của người dùng trên toàn thế giới.

Khi danh sách những mẫu mã độc còn chưa dài, công việc của các hãng bảo mật tỏ ra khá hiệu quả nhưng khi “trận đại hồng thủy” virus đổ vào phòng nghiên cứu của các hãng bảo mật với hàng ngàn chủng loại mới mỗi phút, mọi người bắt đầu tỏ ra nghi ngờ khả năng bảo vệ người dùng của họ.

Theo ông Rik Ferguson, Giám đốc hãng bảo mật Trend Micro, đó là một hình mẫu đã tồn tại hơn 20 năm qua và giờ đây nó đang tỏ ra quá chậm chạp, không thể theo kịp tốc độ phát triển của thế giới mã độc.

Điều duy nhất khiến các hãng bảo mật còn yên lòng là dù những chiếc máy tính trên thế giới nhiễm những chủng mã độc khác nhau nhưng cuối cùng chúng cũng có chung một nguyên tắc hoạt động: can thiệp vào các hoạt động của máy và phá hoại. Theo chuyên gia Thompson của AVG chính điều này khiến các hãng bảo mật có thể dựa theo những hành động phát sinh trong máy tính để nhận dạng các chương trình độc hại mà không cần phải biết chúng là chủng nào, có nguồn gốc từ đâu. Hiện nay, hầu hết các phần mềm bảo mật đã được trang bị thêm cơ chế “phân tích hành vi” để nhanh chóng phát hiện ra các chương trình hoặc các hoạt động có hại cho hệ thống. Một số hãng khác như Trend Micro còn tận dụng cả môi trường web để bảo vệ máy tính cho khách hàng.

Nguyên tắc của họ thực ra khá đơn giản. Bất kỳ một mẫu mã độc nào hiện nay, sau khi lây nhiễm vào máy tính thường tìm cách kết nối đến các địa chỉ bên ngoài để tự động cập nhật, đưa thêm những đoạn mã độc khác về hoặc nhận mệnh lệnh để làm gì tiếp theo. Đây chính là “gót chân Asin” của mã độc. Chỉ cần kiểm tra tính “trong sạch” của địa chỉ trang web và chiếc máy tính đang gửi lệnh liên lạc, các chuyên gia bảo mật có thể nhận ra ngay đó là quá trình lướt web thông thường hay một con virus nào đó đang âm thầm hoạt động. Nếu được kết hợp thêm các kết quả kiểm tra khác như địa chỉ IP, sự tương ứng giữa tên miền và vị trí địa lý... hầu như tất cả những con mã độc đều sẽ bị lộ mặt.

Cơ chế bảo mật mới này chính là niềm hy vọng tương lai của cuộc chiến bảo vệ thế giới công nghệ và của ngành công nghiệp bảo mật nói chung.

Theo dự đoán của Trend Micro, đến năm 2015, 26.500 mẫu mã độc mới sẽ xuất hiện mỗi giờ nhưng bằng cơ chế “phản ứng nhanh dựa trên phân tích hành vi”, “bầu trời sẽ vẫn xanh trong con mắt các hãng bảo mật và ngành CNTT thế giới”.
26/05/2009 16:30:00
Nguồn:quantrimang.com