Phần mềm gián điệp

(Đổi hướng từ Mã độc gián điệp)

Phần mềm gián điệp, còn được dùng nguyên dạng Anh ngữspyware, là loại phần mềm chuyên thu thập các thông tin từ các máy chủ (thông thường vì mục đích thương mại) qua mạng Internet mà không có sự nhận biết và cho phép của chủ máy. Một cách điển hình, spyware được cài đặt một cách bí mật như là một bộ phận kèm theo của các phần mềm miễn phí (freeware) và phần mềm chia sẻ (shareware) mà người ta có thể tải về từ Internet. Một khi đã cài đặt, spyware điều phối các hoạt động của máy chủ trên Internet và lặng lẽ chuyển các dữ liệu thông tin đến một máy khác (thường là của những hãng chuyên bán quảng cáo hoặc của các tin tặc). Phần mềm gián điệp cũng thu thập tin tức về địa chỉ thư điện tử và ngay cả mật khẩu cũng như là số thẻ tín dụng.

Spyware "được" cài đặt một cách vô tội vạ khi mà người chủ máy chỉ muốn cài đặt phần mềm có chức năng hoàn toàn khác.

Spyware là một trong các "biến thể" của phần mềm quảng cáo (adware). Spyware là chữ viết tắt của spy (gián diệp) và software (phần mềm máy tính) trong tiếng Anh; tương tự, adware là từ advertisement (quảng cáo) và software mà thành.

Tác hại

sửa

Ngoài các vấn đề nghiêm trọng về đạo đức và tự do cá nhân bị xâm phạm, spyware còn sử dụng (đánh cắp) từ máy chủ các tài nguyên của bộ nhớ (memory resource) ăn chặn băng thông khi nó gửi thông tin trở về chủ của các spyware qua các liên kết Internet. Vì spyware dùng tài nguyên của bộ nhớ và của hệ thống, các ứng dụng chạy trong nền (background) có thể dẫn tới hư máy hay máy không ổn định.

Bởi vì là một chương trình độc lập nên spyware có khả năng điều khiển các tổ hợp phím bấm (keystroke), đọc các tập tin trên ổ cứng, kiểm soát các ứng dụng khác như là chương trình trò chuyện trực tuyến hay chương trình soạn thảo văn bản, cài đặt các spyware mới, đọc các cookie, thay đổi trang chủ mặc định trên các trình duyệt web, cung cấp liên tục các thông tin trở về chủ của spyware, người mà có thể dùng các tin tức này cho quảng cáo/tiếp thị hay bán tin tức cho các chỗ khác. Và tệ hại nhất là nó có khả năng ăn cắp mật khẩu truy nhập (login password) cũng như ăn cắp các tin tức riêng tư của người chủ máy (như là số tài khoản ở ngân hàng, ngày sinh và các con số quan trọng khác...) nhằm vào các mưu đồ xấu.

Dấu hiệu máy bị xâm nhập

sửa

Bất kì một trong các dấu hiệu sau đây xảy ra cũng có thể là máy của bạn đã bị tấn công:

  1. Bạn tìm thấy một thiết bị nhỏ cỡ ngón tay nối giữa dây cáp của bàn phím và đầu cắm ở sau máy. Hay là người nào đó đề nghị tặng (bán rẻ) cho bạn một bàn phím tốt hơn!
  2. Giấy biên nhận trả tiền điện thoại có thêm số thuê bao (phải trả phụ phí) mà bạn chẳng bao giờ gọi tới số đó (tại Hoa Kỳ thì số này bắt đầu bằng 900).
  3. Khi bạn gõ tìm một địa chỉ trên "Internet Explorer" và nhấn nút "Enter" để bắt tìm kiếm thì trang "search" thường dùng bị thay bởi một trang search lạ.
  4. Các chương trình chống spyware không hoạt động được. Nó có thể báo lỗi mất những tệp tin cần thiết, ngay cả sau khi cài đặt trở lại thì vẫn không hoạt động. Nguyên do là các phần mềm gián điệp đã ngăn chặn không cho cài các chương trình chống gián điệp hoạt động hữu hiệu.
  5. Bạn tìm thấy những tên địa chỉ lạ trong danh sách "Favorites" mặc dù bạn chưa hề đặt nó vào trong mục này.
  6. Máy tự nhiên chạy chậm hơn thường nhật. Nếu là là WinXP hãy thử chạy "Task Manager" và nhấn mục "Processes" (tiến trình) thì thấy những tiến trình không quen biết dùng gần như 100% thời lượng của CPU.
  7. Ở thời điểm mà bạn không hề làm gì với mạng mà vẫn thấy đèn gửi/nhận chớp sáng trên "dial-up" hay "board band modem" giống như là khi đang tải một phần mềm về máy hay là các biểu tượng "network/modem" nhấp nháy nhanh khi mà bạn không hề nối máy vào mạng.
  8. Một "search toolbar" hay "browser toolbar" xuất hiện mặc dù bạn không hề ra lệnh để cài đặt nó và không thể xoá chúng, hay là chúng xuất hiện trở lại sau khi xoá.
  9. Bạn nhận một cửa sổ quảng cáo khi trình duyệt chưa hề chạy và ngay cả khi máy chưa nối kết với Internet hay là bạn nhận được các quảng cáo có đề tên bạn trong đó.
  10. Trang chủ của bạn bị đổi một cách kì cục. Bạn đổi nó lại bằng tay nhưng nó lại bị sửa...
  11. Gõ vào các địa chỉ quen biết mà chỉ nhận được trang trống không hay bị báo lỗi "404 Page cannot be Found".
  12. Dấu hiệu cuối cùng: Mọi thứ hình như trở về bình thường. Những spyware mạnh thường không để dấu tích gì cả. Nhưng hãy kiểm lại máy của mình ngay cả trong trường hợp này.

Các cách thức phòng chống

sửa

Cách hay nhất để phòng chống phần mềm gián điệp là sử dụng một hệ điều hành không phải là Windows (như OS X, Linux, v.v.) vì có rất ít phần mềm gián điệp được viết cho những hệ điều hành này. Hơn nữa, rất nhiều phần mềm gián điệp được cài đặt dùng ActiveX trong Internet Explorer (IE), cho nên nếu một người dùng một trình duyệt khác như Firefox, Opera, thì họ sẽ bị ít phần mềm gián điệp hơn.

Sau đây là một số cách phòng chống cho Windows (hệ điều hành phổ biến nhất hiện nay):

  • Sử dụng bản Windows gốc: Một khi xài bản gốc, người dùng không phải lo lắng về những lỗ hổng được tạo ra một cách vô tình hay cố ý của những cracker.
  • Nên bật chức năng auto update của hệ điều hành Windows để hệ điều hành có thể tự cập nhật các bản sửa lỗi.
  • Phân quyền sử dụng khác nhau với những công việc cụ thể khác nhau. Người dùng nên tạo một account windows với quyền vừa đủ để xài các ứng dụng thông thường (đặc biệt không có quyền cài đặt các phần mềm) và account đó có thể được bảo vệ bởi mật mã hoặc để mở (cho người thân xài chung máy chẳng hạn). Một account khác có nhiều quyền hạn hơn (administrative account) được tạo bởi chính người chủ của máy và chỉ dùng cho các công việc liên quan đến cài đặt phần mềm mới, bảo trì hay nâng cấp máy. Account này phải được bảo vệ bằng mật mã (nên đặt mật mã dài trên 8 ký tự, gồm những chữ và số và không có những ký tự bất hợp lệ nào).
  • Nếu có sự cố nghiêm trọng mà các chương trình diệt virus không thể sửa được, người dùng nên khởi động máy trong chế độ "safe mode" (bấm F8 trước khi windows kịp load, chọn "safe mode") và dùng chức năng "System Restore" để đưa máy bạn trở lại thời điểm trước khi xảy ra "tai nạn".
 
Nâng mức an toàn của IE để chống phần mềm gián điệp
  • Trong các bản giao kèo về quyền sử dụng (License Agreement) của các công ty cho tải phần mềm đôi khi có nói rõ rằng họ sẽ cài spyware chung với phần mềm nhưng các bản giao kèo này thường ít được chúng ta đọc hoàn tất kĩ lưỡng và cũng bởi vì các lưu ý về cài đặt spyware thường nằm trong những đoạn khó thấy (như chữ nhỏ). Do đó, trước khi tải về máy bất kì một phần mềm nào hãy đọc kỹ các giao ước này.
  • Tránh xa các trang web khiêu dâm, nơi luôn cung cấp các tập tin ảnh hay phim ngắn miễn phí. Nếu bạn tải các hình ảnh hay đoạn phim này, spyware sẽ theo đó để xâm nhập vào máy của bạn.
  • Hãy dùng phần mềm chống spyware. Quét thường xuyên để loại bỏ spyware. Khởi động lại máy và chạy kiểm tra lại lần nữa sau mỗi lần lại bị nhiễm spyware mới để chống sự tái nhiễm (tickler). Phần mềm chống spyware nổi tiếng trên thị trường là Spy Sweeper.

Một số chương trình chống spyware rất hữu hiệu và bổ sung cho nhau có thể tải miễn phí về máy, đó là:

Hãng Microsoft có xuất bản vài công cụ tăng cường an ninh cho hệ windows là 'Microsoft Antispyware' (mua lại của Giant Anti Spyware), Microsoft Defense, Security Analyser...

Các phần mềm trên có tải về miễn phí bằng cách vào www.download.com và gõ đúng tên các phần mềm chống gián điệp mà bạn muốn tải về.

Dẫu sao, không có một phần mềm chống gián điệp nào là tuyệt đối hiệu nghiệm cả.

  • Phải có chương trình chống virus và tường lửa cho máy (chương trình tường lửa miễn phí ở www.sygate.com Lưu trữ 2008-12-27 tại Wayback Machine hay là ở www.zonelabs.com Lưu trữ 2007-02-28 tại Wayback Machine).
  • Khi sử dụng các nhà cung cấp dịch vụ Internet (ISP: Internet Service Provider) cũng có thể họ đã cung cấp cho chúng ta các công cụ miễn phí để bảo vệ máy (chẳng hạn như Yahoo, AOL và ngay cả hộp thư thử nghiệm của Google) từ những việc nhỏ như chương trình ngăn chận cửa sổ nảy (Popup Blocker) ngăn chặn các màn hình quảng cáo tự ý hiển thị cho đến các phần mềm cài đặt bảo vệ như tường lửa, chống virus, chống spyware và lọc thư nhũng lạm (spam mail). Hãy dùng chúng nếu bạn không có cái tốt hơn và luôn luôn nhớ cho rằng các phần mềm này chỉ giúp bạn hạn chế chứ khó lòng mà tuyệt diệt được các loại spyware mới.
  • Phải luôn nhớ cập nhật các tệp dữ liệu (data files) cho các phần mềm bảo vệ máy của bạn ít nhất là hàng tuần.
  • Coi chừng các dịch vụ peer-to-peer chia sẻ chung các tập tin (peer-to-peer files sharing service). Hầu hết các ứng dụng thông dụng sẽ có spyware trong các thủ tục cài đặt. Tránh tải về các tệp mệnh lệnh ngoại trừ chúng được cung cấp từ các nhà sản xuất lớn hay các trang "tốt".
  • Coi chừng các cookie: các dữ liệu thu thập bởi các cookie có thể trùng lặp với các thông tin ở một nơi nào đó để cung cấp những thông tin của bạn một cách đáng ngạc nhiên. Bạn có thể tải chương trình Cookie Cop 2 để kiểm soát các cookie. www.pcmag.com/utilities
  • Hãy nâng mức an toàn của IE cao lên ít nhất là mức trung (medium). Hãy để mức không cho phép cài đặt tất cả các "ActiveX control" mà bạn chưa yêu cầu.
  • Spyware có thể đến từ các nguồn thư điện tử dạng HTML. Hãy xoá thẳng tay những điện thư mà bạn không biết rõ xuất xứ và không hề có liên lạc. Nếu dùng Outlook 2003, dùng Tools → Options → tab Security → chọn "Change Automatic Download Settings". Kiểm tra chắc chắn rằng bạn đã chọn chức năng "Don't download pictures or other content automatically in HTML e-mail".
  • Có thêm hiểu biết về spyware mới sẽ giúp ban tránh được chúng hiệu quả hơn. Hãy vào trang www.pestpatrol.com/pestinfo Lưu trữ 2004-11-21 tại Wayback Machine để xem thêm tin về các spyware mới.

Lịch sử và nguyên do ra đời

sửa

Giống như virus, người ta chưa hoàn toàn thống nhất ý kiến với nhau về lịch sử của spyware và cũng có ít tài liệu trình bày rõ ràng đầy đủ về đề tài này.

Các nguyên do đầu tiên nảy sinh ra phần mềm gián điệp là do việc các cá nhân chế tạo phần mềm miễn phí (và một số các phần mềm chia sẻ) muốn có thêm khoản tài chính để phát triển phần mềm của họ trong khi số tiền chính thức mà họ nhận được từ những người tải về thì lại quá ít.

Do đó, một cách để kiếm thêm thu nhập là thu thập thông tin từ người đã tải về các phần mềm này (như là tên tuổi, địa chỉ và các thị hiếu) rồi đem bán thông tin này cho các hãng chuyên làm quảng cáo. Cách thu thập ban đầu chỉ là dựa vào sự điền vào các mẫu đăng ký (register). Nhưng sau đó, để chủ động hơn, cách thức đọc thông tin được chuyển sang dạng cài lén phần mềm phụ để tự nó đọc thông tin của chủ và gửi thẳng về cho nơi mà phần mềm gián điệp này được chỉ thị.

Sau này khi đã có các luật lệ cấm tự ý thu thập các thông tin riêng của máy chủ thì các loại phần mềm gián điệp này chuyển hẳn sang hai hướng:

  • Tiếp tục cài đặt phần mềm quảng cáo chung với các phần mềm chính qua thủ đoạn hợp pháp hóa, bằng cách chỉ cần thay đổi nội dung của mẫu đăng ký phần mềm (registration form) thành mẫu "thỏa thuận của người tiêu dùng" (User Agreement hay License Agreement) trong đó có ghi một khoản rất nhỏ là người tiêu dùng sẽ đồng ý cho phép cài đặt phần mềm quảng cáo và các loại phần mềm này đã phát triển tới mức nó có thể tự mở một cửa sổ nảy (pop-up windows) mà không cần người chủ máy ra lệnh.
  • Hướng phát triển thứ hai là các phần mềm này chuyển sang dạng có ác tính: nó có thể, bằng một cách phi pháp, tìm cách đọc tất cả những thông tin bí mật của máy chủ từ mật mã truy cập, các số thẻ tín dụng cho đến ngay cả việc giành luôn quyền điều khiển bàn phím.

Từ "spyware" xuất hiện đầu tiên trên USENET vào năm 1995. Cho đến đầu năm 2000 thì các phần mềm chống gián điệp (antispyware) cũng ra đời.

Một số Spyware nổi tiếng

sửa
  • WildTangent: phần mềm này được cài đặt thông qua American Online Instant Messenger (AIM). Theo AOL (American Online) thì nó cần dùng để tạo nối kết giữa các thành viên trong các trò chơi trên Internet. Một khi được cài đặt, nó sẽ lấy các thông tin về tên họ, số điện thoại, địa chỉ thư điện tử cũng như là tốc độ của CPU, các tham số của video card và DirectX. Các thông tin này có thể bị chia sẻ cho các nơi khác chiếm dụng. Nếu bạn không chơi game thì loại bỏ nó bằng cách nhấn nút:
    1. Start -> Run -> gõ chữ regedit -> vào nhánh HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Run
    2. Kiếm giá trị "wcmdmgr" trong bảng bên phải rồi xoá nó.
    3. Sau đó đóng chương trình này lại và tái khởi động máy.
    4. Sau đó xoá luôn thư mục con WT nằm trong thư mục Windows hay WINNT.
  • Xupiter: chương trình này sẽ tự nảy các bảng quảng cáo. Nó thêm các chỗ đánh dấu (bookmark) lên trên menu của chương trình duyệt và, nguy hại hơn, nó thay đổi cài đặt của trang chủ. Xupiter còn chuyển các thói quen xài Internet (surfing) về xupiter.com và do đó làm chậm máy. Ngoài ra nó còn đọc cả địa chỉ IP và các tin tức khác.
  • DoubleClick: dùng một tệp nhỏ gọi là cookies theo dõi hoạt động trực tuyến của bạn.
  • WinWhatWhere: thông báo cho người khác biết về các tổ hợp phím (keystroke) mà bạn gõ.
  • GatoreWallet: ăn cắp tên, quốc gia, mã vùng bưu điện và nhiều thứ khác.

Xem thêm

sửa

Tham khảo

sửa