Phải chăng phần mềm AV đã chết
Kết nối Internet 24/24 sẽ khiến máy tính của bạn lọt vào tầm ngắm của Malware. Chúng ta sẽ xem liệu các phần mềm chống Virus ( AV ) ngày nay có còn làm tròn nhiệm vụ của nó hay không, hay đã thuộc về quá khứ.
Liệu tương lai mà chúng ta đang đối mặt có thể thiếu đi phần mềm chống Virus ( AV ) ? Có thể, nhưng chắc chắn tương lai này còn xa.
Trong vài năm gần đây, người dùng cá nhân lại trở thành đối tượng tấn công, và các vụ tấn công ngày càng thông minh hơn và tập trung hơn. Đáp lại, chúng ta cần phải thay đổi nền tảng làm việc cũng như cách tự bảo vệ mình.
Tất nhiên AntiVirus (AV) không thể biến mất. Nó chỉ thay đổi trạng thái để phù hợp với thời cuộc. Hay tốt hơn là nó nên thay đổi bởi các lựa chọn khác rất ít ỏi và khó thực hiện.
Lịch sử ngành an ninh máy tính
![\"\"](\"http://tvth.tuvantinhoc1088.com/my_documents/my_pictures/Trung%20tam%20xu%20ly%20su%20co%20may%20tinh.GIF")
Thay đổi lớn nhất trong hệ thống bảo vệ chính là việc giới hạn quyền người dùng và đặc quyền của chương trình. Theo đó, trên mặc định, một chương trình không thể tự ý thay đổi bất kỳ thành phần nào trong hệ thống mà không được Admin thông qua.
Linux, OS X, và các bản Windows nền tảng NT (NT, 2000, XP và sau đó) đều có kiểu phân quyền này. Tuy nhiên Windows lại khiến cho người dùng thường bỏ qua tính năng này: hầu hết người dùng đều chỉ đăng nhập rồi dùng quyền Admin bởi nếu không sẽ rất phiền phức. Nhiều chương trình vẫn được lập với giả định sẽ được quyền thay đổi mọi thứ. Nhưng kể từ khi
Khi chạy mặc định ở chế độ không phải quyền Admin, bạn sẽ ngay lập tức nhận ra một số điều. Đầu tiên, hầu hết các cuộc tấn công “vô hình” do phần mềm độc thực hiện sẽ bị chặn đứng. Thứ hai, rất khó thực hiện thay đổi những thiết lập trên toàn hệ thống. Và thứ ba, sẽ không còn chuyện các vấn đề an ninh chất chồng rồi đột nhiên bùng phát mà không cảnh báo. Như vậy không phải là người dùng không bị lừa chạy phần mềm độc, mà là việc chạy phần mềm độc sẽ trở nên khó hơn.
Vậy phải chăng UAC và các công nghệ tương tự sẽ cho phép bạn thoải mái dùng máy tính mà không cần phần mềm AV? Câu trả lời là “Có, nhưng không phải không đi kèm rủi ro.”
Những cuộc tấn công zero-day
![\"\"](\"http://tvth.tuvantinhoc1088.com/my_documents/my_pictures/1900.58.58.38.GIF")
Quyền sử dụng hạn chế ( Limit ) có hiệu quả ra sao trong các cuộc tấn công này? Theo Didier Stevens, nhà nghiên cứu đã điều tra về lỗ hổng .PDF thì điều này “còn tùy thuộc vào dạng tấn công. Gần như tất cả các Malware đều chỉ kích hoạt khi có quyền Admin. Nhưng nếu đây là kiểu tấn công nhằm vào đối tượng nhất định, và bọn tội phạm biết bạn đang chạy
Điểm này giải thích cho sự tồn tại của kiểu tấn công này. Chúng không đơn giản chỉ để phá hủy hệ thống hiện tại, mà còn đánh cắp thông tin từ người dùng. Do đó nhiều kiểu tấn công gây hại nhất (theo dõi bàn phím, đánh cắp thông tin, tội phạm kinh tế…) có thể không cần quyền Admin mà vẫn tiến hành được. Việc chiếm quyền điều khiển hệ thống chỉ là một phần thưởng thêm mà thôi. Do đó việc chặn Malware bằng các mức ưu tiên trong quyền hệ thống vẫn là chưa đủ.
Nhưng dù vậy, làm thế nào để duy trì một mức độ an ninh nhất định mà không cần theo dõi mọi hoạt động trên máy?
Whitelisting – Danh sách trắng
Đây là một cách tiếp cận khác với tên gọi Trust Modeling , có thể thực hiện kết hợp với Whitelisting. Người dùng có thể sử dụng lai lịch của một file để tạo ra một mẫu về tính đáng tin cậy của nó – nguồn gốc download, cách download…
Ví dụ như AV Norton 360 hiện tại đang sử dụng phương pháp này kết hợp với kiểu quét truyền thống – tất nhiên Trust Modeling không thể thay thế hoàn toàn phương pháp quét hệ thống. Theo blogger Dr. Luke O’Connor thì “nếu giảm số lượng quét, khả năng bị nhiễm Malware sẽ tăng lên và các nhân tố rủi ro sẽ không tương quan trực tiếp với sự hiện diện của Malware.”
Nói ngắn gọn thì Trust Modeling đạt hiệu quả cao nhất khi được sử dụng cùng với nhiều cách bảo vệ khác, chứ không phải là hoạt động độc lập. Nó có thể bổ sung thêm cho phương pháp hiện tại, nhưng không thể hoàn toàn thay thế chúng.
Bảo vệ hệ thống trước khi bị lỗi
Lĩnh vực mà rất nhiều công nghệ mới có thể được kiểm định thực tế không phải là Windows hay Linux, mà là Macintosh. Hệ thống chống Malware của OS X khá khiêm tốn, nhưng Mac lại có thị phần quá ít nên gần như bị Malware loại ra khỏi tầm ngắm. Nhưng nếu sau này Mac trở thành mục tiêu lớn hơn, nó sẽ phải được bảo vệ tốt hơn Windows.
Nhưng như đã miêu tả ở trên, giải pháp này mới chỉ tiến triển đến thế. Nếu Mac đủ nổi tiếng để trở thành một mục tiêu của Malware, nó cũng sẽ bị tấn công tới tấp như Windows. Khi đó Aple sẽ phải thêm các tính năng nền tảng khác, hoặc thêm các chương trình AV vào. Đây cũng là điểm yếu của Mac: khả năng bảo vệ lỏng lẻo và mức độ an ninh kém. Còn hiện tại, Mac vẫn là một nơi an toàn.
Với Linux cũng vậy. Thị phần desktop của Linux kém xa Windows hay Mac, nhưng như vậy không có nghĩa là nó được miễn dịch khỏi Malware. Việc các quy trình không cơ bản không được phép chạy nếu thiếu quyền admin không thể giải quyết được mọi thứ. Ở đây xuất hiện một nghịch lý: nếu ít người dùng Linux, nó vẫn ít bị Malware tấn công, và cũng ít được kiểm định trong thế giới thực, nơi mà các cuộc tấn công như vậy đã trở thành một phần của cuộc sống.
Giải pháp lý tưởng nhất để chống Malware ở đây là dùng một nền tảng an toàn, trong đó loại trừ hoàn toàn Malware khỏi hệ thống. Nhưng không may là thế giới phần mềm rất phức tạp, và việc tạo ra một nền tảng an toàn thực tế là không thể đảm bảo được.
Vì thế giải pháp dài hạn lý tưởng nhất là dựa vào nền tảng. Những nền tảng này không cần và cũng không thể hoàn hảo, nhưng có thể tiếp cận một góc độ an ninh lớn hơn nhờ vào những lần nâng cấp chuyên sâu (cả bên trong và bên ngoài). Tuy nhiên hiện tại thì các giải pháp tạm thời hữu ích nhất lại nằm ở các hãng thứ ba.
Antivirus chưa thể chết. Nhưng nó phải tiến hóa thành một thành phần đích thực trong chiếc máy tính mà chúng ta vẫn sử dụng.
