Cuộc chiến giữa ISP và máy tính ma

Các ISP (Internet Service Providers) ở Mỹ trong vài tháng tới sẽ bắt đầu nhận thông báo cập nhật từ Ủy ban thương mại Liên bang Mỹ (FTC) về tình trạng máy tính ma vốn đang làm tắc nghẽn đường truyền và làm tràn hộp thư. Hiện tượng hoành hành này của zombie đã khiến FTC phải phát động chiến dịch ngăn chặn với sự hợp tác của 25 quốc gia từ ngày 24/5. Hiện tượng “máy ma” đang trở nên rất nghiêm trọng nên các ISP cần phải xử lý triệt để, theo FTC.

Các nhà phân tích cho biết, nếu các nhà cung cấp dịch vụ Internet không thực thi nhiệm vụ này và lơ là trong công tác dọn sạch và tư vấn cho khách hàng cách thức bảo vệ PC thì chắc chắn người dùng sẽ mất lòng tin, dẫn đến hậu quả nghiêm trọng.

Đối với nguy cơ tấn công ty máy tính zombie, có nguy cơ tiềm ẩn đe dọa người dùng Internet, như nạn lừa đảo trực tuyến phishing đã khiến các ISP không thể làm ngơ với trách nhiệm giúp người dùng PC bảo vệ hệ thống. Trách nhiệm bảo vệ đường truyền Internet còn có nghĩa là cần kiểm soát gắt gao hơn những hoạt động trên mạng trực tuyến. Nhờ đó, tính bảo mật của người dùng và uy tín của các ISP được nâng cao.

FTC yêu cầu các nhà cung cấp dịch vụ Internet trên thế giới đảm bảo hệ thống máy tính của khách hàng không bị những kẻ gửi thư rác tấn công, phát hiện nhanh chóng những máy tính đã bị “đột kích” và giúp khách hàng dọn sạch máy.

Hoạt động của Zombie

Zombie tìm cách thả thư rác và gửi tin nhắn giả danh nhằm thực hiện âm mưu lừa đảo, ăn cắp thông tin nhạy cảm của cá nhân. Máy ma bị tin tặc điều khiển để phát tán những website giả mạo hoặc thực hiện các cuộc tấn công từ chối dịch vụ (DoS) đối với các công ty kinh doanh trực tuyến để “moi” tiền. Ngoài ra, Zoombie cũng được dùng để khai thác thêm nhiều PC khác nhằm thành lập một mạng máy tính bị khống chế, còn được gọi là “botnet”.

Theo báo cáo gần đây của công ty bảo mật McAfee, chỉ từ tháng 4 đến tháng 6, phần mềm ký sinh (bot) đã thực hiện hơn 13.000 vụ tấn công. Con số này lớn gấp bốn lần so với số liệu thống kê của công ty trong 3 tháng trước đó.

…Và ISP ra tay

ISP không hề bỏ qua bất cứ một động thái nào của zoombie. Các nhà cung cấp dịch vụ Internet đã hướng dẫn khác hàng cách tự bảo vệ máy tính và cài đặt nhiều chương trình lọc thư rác. Phần mềm ký sinh thường ẩn trong Trojan gửi kèm cùng thư rác hoặc phát tán qua e-mail, sâu tin nhắn IM.

Một số công ty, như America Online, EarthLink và Cox đã phát hành các gói phần mềm bảo mật, như chương trình diệt phần mềm gián điệp spyware, diệt virus, tường lửa… nhằm chống lại sự “bành trướng” của những kẻ phá hoại.

Trong khi đó, nhiều ISP cũng tăng cường ngăn chặn zombie trong mạng không được gửi thư rác. Kỹ thuật "port 25 blocking" (khóa cổng 25 TPC - giao thức quản lý đường truyền) giúp ISP biết chắc chắn rằng máy tính thành viên gửi e-mail từ chính máy chủ của họ chứ không xuất phát từ server của những kẻ gửi thư rác. Ngoài ra, hầu hết các nhà cung cấp dịch vụ Internet còn sử dụng các kỹ thuật, như hạn chế mức độ nhằm kiểm soát số e-mail mà một máy tính thành viên có thể gửi đi.

Tuy nhiên, theo các chuyên gia, những biện pháp này hoàn toàn không “ăn nhằm gì” so với sự ma quái của tin tặc. Để truy quét zombie, ISP cần phải kiểm soát đường truyền của họ chặt chẽ hơn nữa, Dmitri Alperovitch, kỹ sư nghiên cứu của công ty bảo mật CipherTrust, cho biết.

Ngoài ra, ISP cần phải nâng cao nhận thức của người dùng về tính bảo mật và yêu cầu khách hàng thường xuyên “quét” những lỗ hổng trong máy trước khi truy cập Internet, Alperovitch nói. Nhờ đó, người dùng sẽ không còn vô tình kích hoạt đường link đính kèm, tạo điều kiện cho một phần mềm ký sinh cài đặt vào máy tính.

Bước đầu, các ISP cần tham gia tích cực vào các tổ chức an ninh và sử dụng dữ liệu về zombie do các công ty bảo mật thứ ba thu thập được.

Nhà cung cấp dịch vụ Internet Cox (Mỹ), có 2,7 triệu người dùng kết nối băng thông rộng, đã nhận được khoảng 30.000 đơn phàn nàn của khách hàng, trong đó có 1/3 người dùng phản ánh về zombie. Với mục tiêu hỗ trợ khách hàng, Cox đã kiểm soát chặt chẽ hơn tất cả các hoạt động nguy hiểm có tiềm năng. Nhà cung cấp Mỹ đã “tiêu diệt” máy tính ma bằng cách cắt các kênh điều khiển từ xa. Zombie thưc hiện theo hướng dẫn của các chuyên gia qua kênh hội thoại trực tuyến (Internet Relay Chat – IRC), ngăn chặn đường truyền của máy chủ IRC mà zombie sử dụng.

Khi phát hiện ra máy ma, Cox sẽ không cho phép PC đó truy cập mạng. Thay vào đó, người dùng của máy bị lợi dụng sẽ được hướng dẫn truy cập website đặc biệt cung cấp thông tin về bảo mật.

Tuy nhiên, các cuộc tấn công ngày càng phức tạp và là “cuộc chạy đua vũ trang”. Do đó, ISP sẽ phải triển khai nhiều kỹ thuật “tiên phong” để chống đỡ với tin tặc.

Trong tương lai, khách hàng sẽ đòi hỏi dịch vụ Internet an toàn. Do đó, nếu một ISP nào đó không nâng cấp hệ thống an ninh của mình thì người dùng sẽ sẵn sàng “chia tay” để sử dụng dịch vụ của đối thủ khác.

Stamp - nhà phân tích của công ty Forrester- nhận định: “Khách hàng yêu cầu có một đường truyền lành mạng, không lây nhiễm”. Mặc dù hiện nay có rất nhiều công nghệ cho phép ISP phát hiện zombie và botnet nhưng vấn đề là ở chỗ các công ty có thể theo kịp với công nghệ vốn đang phát triển nhanh chóng. Nếu một mạng của ISP “tràn gập” zombie thì các nhà cung cấp dịch vụ Internet khác sẽ không cho phép khách hàng của ISP đó kết nối với hệ thống của họ.

Sông Hương (theo ZDNet)