Thứ Sáu, tháng 11 17, 2006

Hãy bảo vệ máy tính của bạn!

Tôi viết bài này nhằm mục đích: cung cấp cho mọi người một số thông tin cơ bản về cách thức hoạt động của malware (phần mềm phá hoại - tên gọi chung của virus, spyware, adware, keylogger,v.v.), và những phương pháp mà nếu áp dụng thì trong 95% trường hợp sẽ giữ cho máy của bạn luôn sạch bóng vết nhơ. Tôi đã áp dụng những biện pháp này, và từ hồi mua máy đến giờ tôi chưa bị dính virus một lần (adware thì có, nhưng tôi sẽ nói về việc này sau), hoặc giả là có và tôi không phát hiện ra được, thì con virus đó cũng chưa làm gì để phá hoại hệ thống của tôi, và những người mà tôi trao đổi dữ liệu qua máy tính cả.

Xin lưu ý rằng: việc bảo vệ một máy tính cá nhân không khó như nhiều người tưởng, thậm chí là dễ hơn rất nhiều (bảo vệ một mạng máy tính lại là một chuyện hoàn toàn khác, tất nhiên), nhưng không dễ đến mức nhắm mắt cũng làm được (như nhiều người hay cởi trần tắm mưa vẫn tưởng).

Yêu cầu máy tính: cần ít nhất 256 MB RAM, đủ để chạy firewall, đây là yêu cầu tối thiểu của một hệ thống bảo mật, đừng tiếc tiền, và đừng nói với tôi là bạn đủ tiền trả dịch vụ internet mỗi tháng, mà lại không đủ để trang bị một thanh RAM nhé.

Còn bây giờ là phần chính của bài viết:

1. Những thông tin (rất) cơ bản về malware

- Virus: loại malware phổ biến nhất, gây nhiều thiệt hại về dữ liệu nhất, có thể chiếm quyền máy của nạn nhân, biến nó thành máy zombie chịu lệnh của hacker.

- Spyware: chương trình gián điệp, thu thập các thông tin của nạn nhân và gửi cho hacker, các thông tin này có thể là hệ điều hành, phần mềm cài đặt tới thông tin cá nhân, địa chỉ, nơi làm việc, số điện thoại, bạn bè, v.v.



Hình minh hoạ spyware (tại wikipedia.org )


- Logger: một biến thể của Spyware, rất nguy hiểm (lưu ý in đậm), lưu lại tất cả những hoạt động của bàn phím và chuột, hay hiểu đơn giản là tất cả những thứ từ mật khẩu tài khoản admin, thông tin về tài khoản ở diễn đàn, hay tài khoản ngân hàng, trường hợp điển hình nhất ở nước ta là các vụ lừa đảo tài khoản trò chơi Võ lâm truyền kỳ mà báo chí có đưa nhiều lần. Đặc biệt là không có cách đơn giản nào để phát hiện key logger cả, nghĩa là trong phần lớn các trường hợp, trình diệt virus hoặc phát hiện spyware của bạn sẽ vô dụng đối với loại malware này (thường được tự viết, ít phổ biến), cách phòng vệ key logger sẽ được tôi nhắc đến ở phần sau.

- Adware: loại malware khó chịu nhất, nhưng lại vô hại (tương đối) nhất, tác hại của nó là thường xuyên làm hiện ra quảng cáo trên máy, bắt bạn phải mua mới thôi, tốc độ lây nhiễm của adware rất nhanh, nếu bạn thường xuyên làm việc trong môi trường internet thì mỗi ngày bạn bị dính nó ít nhất là một lần (thường là loại vô hại, chỉ thăm dò về thói quen lướt web của người dùng mà thôi).



2. Cách phòng chống

- Một số cách mà hacker có thể cấy malware vào máy của bạn:

Xâm nhập vào máy cấy trực tiếp, cách này có thể chống dễ dàng bằng một chương trình firewall.

Lợi dụng lỗi bảo mật của phần mềm (Internet Explorer chẳng hạn), lừa nạn nhân tới một trang web có kèm đoạn mã khai thác lỗi đó, thế là xong đời, cách chống duy nhất là chăm cập nhật bản sửa lỗi phần mềm, dùng phần mềm khác ít lỗi hơn (trong trường hợp này là Firefox), hạn chế bớt quyền của các website đi (không cho những website kém tin tưởng chạy mã javascript hoặc lưu cookie hoặc chạy flash), cách này rất phổ biến ở nước ta vì nhiều người không có thói quen cập nhật bản sửa lỗi của phần mềm (mà nếu có thì cũng không thể, vì phần mềm không có bản quyền).

Cách thứ 3, và cũng phổ biến nhất, là lừa lấy lòng tin của nạn nhân (hay theo cách gọi của giới chuyên môn là "social engineering" - tạm dịch lừa đảo xã hội) rồi qua đó tuồn malware vào máy của họ, cách chống duy nhất: nếu được người lạ cho kẹo, thì đừng lấy. Nếu bạn thạo về máy tính thì có thể nhận dạng một số loại kẹo an toàn và kẹo "không an toàn", ví dụ nếu họ gửi file cho bạn thì những định dạng tài liệu sau là an toàn: *.txt, *.doc (định dạng *.jpg cũng có thể dùng để chứa virus, nhưng có thể tặc lưỡi cho qua), còn những định dạng sau là đặc biệt nguy hiểm: *.exe, *.com, *.bat, đối với những loại tài liệu kiểu này thì chỉ nên nhận nếu bạn thật sự tin tưởng người gửi, và nên quét virus file đó ngay sau khi lấy về và trước khi mở ra.

- Nếu máy của bạn không chia sẻ dữ liệu với máy khác, hãy tắt ngay chức năng "files and printers sharing" ( Control Panel > Network Connection > Local Area Connection > properties ) của nó, lỗ hổng bảo mật cố ý của bác Bill đấy.

- Đừng nên sử dụng tài khoản Admin của mình để làm những việc bình thường (như đọc thư, lướt web, chat chit, chơi điện tử, v.v.), hãy tạo cho bạn một tài khoản giới hạn (vào Control Panel > User), như vậy thì kể cả khi bị nhiễm virus thì nó cũng không đủ quyền để làm tổn hại tới hệ thống của bạn.

- Nên nhớ rằng không phải sự cố máy tính nào cũng do virus gây ra, nếu bạn thấy máy có vấn đề gì đó, quét virus không ra thì nên đọc bài "cách khắc phục các sự cố máy tính" của tạp chí PC World.

- Về các chương trình bảo mật: bạn cần 1 firewall, cho chạy ngày đêm, đây là yêu cầu tối thiểu của hệ thống bảo mật; các chương trình cần thiết khác là: ít nhất 1 diệt virus, 1 chương trình diệt spyware/adware, 1 quản lý hệ thống (Task Manager - để chống key logger và diệt virus khi bị nhiễm). Cách sử dụng của các chương trình này sẽ được đề cập đến ở phần sau:

3. Giới thiệu một số chương trình bảo mật nổi tiếng, và hiệu quả (sắp xếp theo nhận xét của tôi, từ cao xuống thấp)

a) Firewall: những phần mềm này có tác dụng làm rào cản giữa máy của bạn với mạng internet, nghĩa là mỗi khi có một kết nối nào từ trong máy của bạn ra ngoài, hoặc ngược lại thì nó phải qua firewall này, và bạn có thể kiểm tra xem kết nối đó có hại hay không (nếu bạn không biết kết nối đó làm gì, thì nghĩa là nó có hại), và quyết định xem có cho phép nó đi qua hay không. Là chương trình bảo mật quan trọng số 1 của bạn, nên cho chạy tất cả những lúc bạn sử dụng máy tính. Lưu ý: chỉ nên sử dụng 1 firewall thôi, nếu không có thể máy bạn sẽ bị xung đột phần mềm.

- Zone Labs' ZoneAlarm: hãng phát triển phần mềm tường lửa lớn nhất hiện nay, với 3 lựa chọn: firewall miễn phí ZoneAlarm Free, cao cấp ZoneAlarm Pro và trọn gói ZoneAlarm Security Suite. Chúng ta chỉ cần quan tâm tới 2 bản đầu, bản Security Suite thêm chức năng diệt virus (không thể so sánh với chương trình diệt virus chính hiệu được) và quản lý con trẻ (có nhiều phần mềm miễn phí khác làm việc này rồi, và cũng không thuộc chủ đề chúng ta đang bàn).

Bản ZoneAlarm miễn phí chỉ có một số chức năng tường lửa cơ bản, nhưng cũng đủ để thoả mãn nhu cầu của bạn, mỗi lần nâng cấp ZoneAlarm bạn sẽ được dùng thử bản Pro của nó trong vòng 15 ngày, hết hạn ZoneAlarm Pro sẽ tự động tháo cài đặt và trả bạn về bản miễn phí.

Các chức năng mà bản ZA Pro có so với ZA Free: tính năng tường lửa cao cấp (như đặt ra các quy định và cách thức hoạt động của tường lửa), diệt spyware, chặn các trang web khả nghi, quét virus trong hòm thư, bảo vệ thông tin riêng tư, tự động thông báo hoạt động của hacker cho ISP của chúng. Có thể nói là vài phần mềm trong một, nhưng chỉ có chức năng đầu tiên và cuối cùng là đáng lưu ý, còn lại thì bạn có thể dùng phần mềm khác thay thế, hiệu quả hơn và tiết kiệm được tiền. Phần mềm ZoneAlarm Pro được bán với giá 39.55$, hiện tại họ không có đại diện ở Việt Nam.

Bạn có thể vào trang web của Zone Labs để download chương trình miễn phí của họ.

- BitDefender Internet Security: tích hợp cả chức năng tường lửa và diệt virus cực mạnh, nhưng giá cả của nó cũng rất cao (63$ theo Trần Anh), sản phẩm này ngốn rất nhiều bộ nhớ, nhưng nếu bạn có thể chịu được điều đó thì đây là một sản phẩm rất đáng đồng tiền bát gạo.

- Windows Firewall: firewall tích hợp sẵn trong Windows, chất lượng tạm ổn, có chức năng chặn các cuộc xâm nhập từ bên ngoài vào (không hiệu quả lắm), nhưng không thể chặn các kết nối từ trong đi ra ngoài (nghĩa là chương trình này vô dụng khi chống lại spyware và key logger). Lưu ý: nếu bạn dùng tường lửa của hãng khác thì nên tắt ngay Windows Firewall đi (vào Control Panel > Network Connection > Local Area Connection > properties > Advanced, bỏ lựa chọn Windows Firewall/Internet Connection Sharing).

b) Trình diệt virus: những chương trình này sẽ quét tất cả những files mà bạn có trong máy, và xác định xem nó có chứa đoạn mã nào gây nguy hiểm đối với hệ thống không, sau đó thông báo để bạn đưa ra hướng giải quyết: cố hồi phục lại file đó, xoá nó đi, hoặc cách ly nó với các file khác để tránh lây nhiễm, hoặc bỏ qua không xử lý đến (đừng dùng lựa chọn này trừ khi bạn biết mình đang làm gì).

Bạn nên bật chế độ tự bảo vệ máy của chương trình nếu có đủ bộ nhớ, nếu không thì mỗi ngày bạn nên quét máy ít nhất là 1 lần để bảo đảm máy vẫn sạch sẽ. Khi bị nhiễm virus mà diệt bao nhiêu lần cũng không hết, thì bạn nên tắt chức năng System Restore của Windows đi (vào properties của My Computer > System Restore), rồi khởi động lại máy vào safe mode (khi khởi động lại máy giữ F8 cho tới khi được lựa chọn môi trường làm việc, chọn Safe Mode), ở môi trường này thì tất cả các chương trình thừa thãi của hệ thống đều bị loại bỏ hết, nên virus sẽ không có thời gian để ăn vào file hệ thống, làm cho chương trình diệt không diệt được nó, và nếu bạn bỏ chức năng System Restore ở trên, thì virus cũng không thể lưu lại trên máy (ẩn trong các thư mục lưu trữ) nữa --> máy bạn sẽ sạch ngay. Nhớ là phải bật lại System Restore sau khi đã diệt xong.

Có rất nhiều lựa chọn cho phần mềm diệt virus, trong danh sách sau tôi sẽ xếp chúng theo thứ tự chất lượng và giá tiền, từ cao xuống thấp:

- avast! Antivirus: một phần mềm hiệu quả, miễn phí, có đầy đủ tất cả các chức năng cần thiết như quét&diệt virus (ơ), tự động bảo vệ máy, bảo vệ email, chặn script có hại, v.v. Bản cao cấp có thêm chức năng cập nhật thông minh, khởi động chương trình bằng lệnh command, và bổ sung một vài kiểu giao diện đẹp mắt, giá 39.95$/năm/giấy phép.

- BitDefender & Kaspersky: 2 chương trình diệt virus tốt nhất hiện nay, chất lượng có thể nói là ngang nhau, Kaspersky tốt hơn, cập nhật hàng giờ, nhưng giá đắt hơn (K bản thường giá 40$, trong khi BD giá 30$, còn bản cao cấp thì cả 2 đều ~60$). Đặc điểm của 2 chương trình này là đều quét rất chậm (như ở máy của tôi 200GB quét 10 tiếng mới xong), nhưng kỹ lưỡng, chứ không như nhiều chương trình khác quét 30 phút là xong :D .

Còn nữa, BitDefender có bản miễn phí, bản này chỉ có chức năng diệt virus bình thường thôi (không có chế độ tự bảo vệ), nhưng chất lượng quét vẫn không khác gì so với bản cao cấp cả.

- Một số chương trình diệt virus đáng chú ý khác: McAfee Antivirus (40$/năm bản thường, 50$ đủ bộ), AVG Antivirus (bản thường miễn phí, bản cao cấp 39$/2 năm/giấy phép, bản tích hợp tường lửa 49$/2 năm/giấy phép).

- Bách Khoa Antivirus, một chương trình diệt virus không có gì là đặc sắc nếu so với các chương trình trên, lại dễ xung đột với các phần mềm bảo mật khác (nếu bạn cài BKAV mà bị lỗi khi tắt máy tự động khởi động lại thì đây chính là nguyên nhân), nhưng rất hữu ích nếu dùng để diệt virus có nguồn gốc Việt Nam.

- D32, cũng một chương trình diệt virus khác của Việt Nam, chất lượng không có gì đặc biệt, nhưng người viết ra nó (Trương Minh Nhật Quang, tác giả duy nhất) thì lại rất đáng khâm phục.

- Ngoài ra, bạn cũng có thể sử dụng dịch vụ quét virus trực tuyến, một số trang web uy tín là Trend Micro, McAfee, Panda Software, BitDefender. Bạn sẽ phải download một chương trình client của họ về, chương trình đó sẽ tự khởi động sau khi download và quét virus trong máy của bạn. Ưu điểm của dịch vụ này là bạn có thể sử dụng miễn phí chương trình diệt virus của họ, và không phải quản lý quá nhiều chương trình trong máy.

c) Spyware & Adware: rất khó diệt tận gốc vì các chương trình miễn phí hiện nay đều chưa đủ mạnh để lọc hết bọn này, bạn nên trang bị thêm một chương trình thương mại để cho chắc chắn (còn bằng cách nào thì... :D ).

- Spybots Search & DestroyLavasoft Ad-aware: cả 2 đều miễn phí và hiệu quả, bạn không cần quan tâm đến bản thương mại của Ad-aware làm gì, vì giá của nó rất đắt (40$/năm/giấy phép), và chỉ thêm một số chức năng đơn giản (tự bảo vệ).

- Spyware Doctor (30$) và Spy Sweeper (cũng 30$): 2 chương trình diệt spyware tốt nhất hiện nay, bạn chỉ cần dùng một trong hai chương trình là đủ rồi.

d) Quản lý hệ thống: có thể nói là một loại phần mềm bảo mật "cao cấp", vì bạn cần phải có một chút kiến thức nhất định về máy tính thì mới có thể sử dụng chúng hiệu quả được, chúng ta sẽ mở đầu với:

- Windows Task Manager: bạn có thể khởi động chương trình này bằng cách nhấn Ctrl + Alt + Del ở Windows XP, bạn có thể vào thử các mục để làm quen dần với nó, ví dụ như mục Applications biểu thị những chương trình đang chạy trên màn hình, Processes chỉ những chương trình mà máy tính đang chạy và bộ nhớ mà chúng sử dụng, Performance là các thông số của máy tính như hiệu suất hoạt động, bộ nhớ đang sử dụng, bộ nhớ đệm, v.v. Trong đó mục Processes là mục mà chúng ta cần quan tâm. Bạn nên thường xuyên vào mục này theo dõi, nếu thấy một chương trình nào "lạ" thì nên thử tắt nó đi, bạn cứ yên tâm, hầu hết các chương trình liên quan đến hệ thống đều được bảo vệ rồi, bạn không thể đóng chúng được, một số chương trình không được bảo vệ mà cũng rất quan trọng là "explorer.exe", "svchost.exe" (đừng nhầm với scvhost.exe nhé, virus đấy), nếu bạn tắt nó đi thì nhiều khả năng là sẽ phải khởi động lại máy.

Nhược điểm của chương trình này là hacker có thể thêm một vài thay đổi vào file hệ thống làm cho những chương trình của hắn không bị liệt kê trong mục Processes.

- Process Explorer: chương trình này có chức năng giống Windows Task Manager, nhưng tốt hơn nhiều, ngoài những thông tin cơ bản mà WTM cung cấp ra (tên chương trình, bộ nhớ sử dụng), Process Explorer còn bổ sung thêm nhiều thông tin thú vị khác, như đường dẫn tới chương trình đó (nếu file hệ thống không nằm trong thư mục hệ thống, thì nó không phải là file hệ thống), mô tả chức năng, nhà sản xuất, và có thể dùng Google để tìm nguồn gốc chương trình đó.

- HiJackThis!: một chương trình giúp phát hiện những trường hợp "HiJack" trong máy của bạn (Hi Jack là tiếng lóng của việc cướp quyền điều khiển của một cái gì đó, như máy bay, xe cộ, trong trường hợp này là cướp quyền điều khiển trang chủ của máy tính), qua đó bạn có thể khắc phục sự cố.

4. Kết

Hi vọng là những lời khuyên của tôi ở trên có thể giúp ích cho bạn trong việc bảo vệ máy tính của mình khỏi việc bị hacker xâm hại. Bài viết này tôi viết trong lúc vội vã nên có thể còn mắc một số sai lầm cơ bản, nếu phát hiện được mong các bạn thông báo cho tôi ngay để tôi còn sửa lại.

Một lần nữa, xin lưu ý với các bạn rằng bảo mật máy tính cá nhân không phải là một việc gì khó cả đâu, tất cả mọi thứ đều tuỳ thuộc vào người dùng cả thôi, nếu người dùng cẩn thận thì không việc gì phải lo lắng về những việc như thế này cả, còn nếu họ không cẩn thận thì kể cả có lắp tất cả các chương trình ở trên cũng chưa chắc đã có hiệu quả.

Tất nhiên, câu nói ở trên có được phóng đại một chút.

PS: về vấn đề bảo mật ở Linux, bạn có thể tham khảo bài viết này.

2 nhận xét:

  1. Nặc danh23/3/13 3:02 CH

    Nhận xét này đã bị quản trị viên blog xóa.

    Trả lờiXóa
  2. Nặc danh23/3/13 4:27 CH

    Nhận xét này đã bị quản trị viên blog xóa.

    Trả lờiXóa