Tại sao các công ty antivirus lại thất bại trước Flame và Stuxnet?


Tại sao các công ty antivirus lại thất bại trước Flame và Stuxnet

Mikko Hypponen, CRO của F-Secure, nói rằng hệ thống tự động tiếp nhận malware của họ đã nhận được mẫu Flame trong khoảng thời gian 2010 – 2011 nhưng lại không đánh dấu (flag) nó là chương trình cần được xem xét kỹ lưỡng. Điều tương tự này xảy ra sớm hơn (trước 2010) với các công ty antivirus khác. Khi Stuxnet được phát hiện thì người ta vỡ ra rằng một zero-day exploit trong Stuxnet cũng được sử dụng bởi một malware khác đã được phát hiện trước đó. Cả Stuxnet và Duqu chỉ bị tóm sau hơn 1 năm tung hoành. Đây là một dấu ấn tệ hại của ngành công nghiệp chống virus nói chung.

Lý giải cho việc 3 malware này qua mặt được cơ chế phát hiện của các antivirus, Mikko cho rằng rất có thể chúng được phát triển bởi các tổ chức tình báo của Mỹ và phương Tây, được đầu tư bài bản và chuyên sâu mà các sản phẩm antivirus dành cho người dùng thông thường không chống lại được. Ví dụ, với Stuxnet và Duqu thì chúng có các thành phần được ký số để chúng tồn tại trên hệ thống mục tiêu như là các ứng dụng tin cậy. Còn với Flame, thay vì cố gắng bảo vệ code bằng các custom packer và obfuscation engine – là những cơ chế có thể khiến chúng bị nghi ngờ thì attacker sử dụng SSH, SQLite, SSL và LUA library để làm cho Flame trông giống như hệ thống cơ sở dữ liệu, ứng dụng doanh nghiệp.

Một luận điểm khác trong bài là trước khi lan truyền các siêu malware tới thì attacker đã kiểm tra chúng một cách kỹ lưỡng để chắc rằng các chương trình antivirus hiện có trên thị trường không thể phát hiện ra được. Nhận định này không thực sự thỏa đáng bởi vì không riêng gì các cơ quan tình báo hay chính phủ mà những tội phạm công nghệ cao khác cũng thực hiện việc kiểm tra này trước khi phát tán malware.

Trước ý kiến là vì Stuxnet, Flame, Duqu và các targeted malware khác được tạo ra cho mục đích chính trị, quân sự và được hậu thuẫn bởi các tổ chức mang tầm quốc gia nên có thể các hãng antivirus không chú trọng mảng này, Mikko phản bác rằng bất kể nguồn gốc hay mục đích của malware thì các công ty đều nỗ lực để bảo vệ máy tính của người dùng, ngay cả khi khác hàng của họ không nằm trong tầm ngắm của các targeted malware. Lấy ví dụ với Stuxnet, trước khi lan truyền tới được đích đến hệ thống vận hành nhà máy làm giàu Uranium của Iran thì thông qua chức năng USB worm, nó đã nhiễm vào hơn 10 ngàn máy tính khác mà không phải mục tiêu thực sự của nó.

Cuối cùng, các hệ thống antivirus cần cân bằng  giữa việc cố gắng phát hiện tất cả các malware với khả năng cảnh báo sai là thấp nhất. Và một điều luôn nhớ là không có giải pháp nào mang lại hiệu quả 100%. Để bảo vệ trước các cuộc tấn công có chủ đích và phức tạp thì cần tới cách tiếp cận phòng thủ nhiều lớp (defense-in-depth) với sự bổ sung của hệ thống phòng chống xâm nhập, cản lọc các ứng dụng độc hại đã biết, giám sát các lưu lượng mạng vào ra để kịp thời phát hiện các dấu hiệu bất thường.

–manthang.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s