Thinh Huynh (Huynh Cong Thinh) - Blog

Microsoft MVP, Data Scientist & Cloud Architect

“Danh sách loại bỏ” của Microsoft hỗ trợ tin tặc?

Hôm nay, một công ty bảo mật nhận định về đề xuất của Microsoft, nên loại bỏ một số định dạng file và thư mục ra khỏi tiến trình quét virus, rằng người dùng có thể gặp phải nguy hiểm khi thực hiện theo đề xuất này.

Trong một tài liệu được đăng trên trang hỗ trợ, Microsoft khuyên người dùng không nên quét malware (phần mềm độc) trên một số định dạng file và thư mục để có thể cải thiện khả năng thực thi cho tất cả các hệ điều hành Windows đang được sử dụng hiện nay, gồm: Windows 2000, Windows XP, Vista, Windows 7, Server 2003, Server 2008 và Server 2008 R2. Trong tài liệu này Microsoft đã nhấn mạnh rằng “Những định dạng file này sẽ không bị lây nhiễm. Nếu bạn quét chúng, một số vấn đề về thực thi khá nghiêm trọng có thể xảy ra do cơ chế File Locking.” (File Locking là một cơ chế chặn truy cập tới một file của máy tính bằng cách chỉ cho phép một người dùng hay một tiến trình truy cập tại một thời điểm cụ thể).

Trong số những file và thư mục mà Microsoft khuyên người dùng loại bỏ là những file liên quan tới Windows Update và Group Policy, và những file có phần mở rộng là .edb, .sdb và .chk nằm trong thư mục %windir%\security.

Trend Micro không chỉ lên tiếng phản đối sự ra đời của danh sách này (Whitelist) mà còn không đồng tình với việc Microsoft công khai bản danh sách. Trong một bài viết đăng trên Blog của Trend Micro, ông David Sancho, nhà nghiên cứu phần mềm độc, nói rằng “Mặc dù, chúng ta không nên quét những file liên quan tới Group Policy và Windows Update nếu muốn tăng tốc hệ thống, tuy nhiên, việc danh sách này được phát hành công khai có thể gây ra những mối quan ngại.”

Sancho cho rằng danh sách này có thể là một mối lợi với tin tặc. “Việc thực hiện theo những đề xuất này không gây ra một mối đe dọa đáng kể vào thời điểm này, tuy nhiên, rất có thể sẽ có một mối đe dọa mới mà người dùng sẽ sớm gặp phải. Tin tặc có thể thực hiện thả hay tải một file độc vào một trong những thư mục được đề xuất loại bỏ khỏi tiến trình quét phần mềm độc, hay sử dụng một định dạng file nằm trong danh sách nên loại bỏ”, Sancho tranh luận.

Sancho cho rằng chỉ những người dùng có kinh nghiệm đã biết rõ điểm yếu của các file được nhắc đến trong danh sách loại bỏ nên cân nhắc loại bỏ những file và thư mục này ra khỏi tiến trình kiểm tra bảo mật. “Việc loại một số định dạng file hay thư mục nhất định khỏi tiến trình quét virus không phải là biện pháp mà người dùng chưa có kinh nghiệm nên thực hiện. Vì làm như vậy có thể đẩy hệ thống vào những mối đe dọa mà hậu quả để lại còn nặng nề hơn rất nhiều so với một hệ thống vận hành chậm chạp”, Sancho lưu ý.

Ông Andrew Storms, giám đốc điều hành bảo mật của nCircle Network Security, đồng tình với phát biểu của Sancho. Trong một cuộc phỏng vấn qua email , Storms nói “Tôi đồng tình với Trend rằng việc áp dụng bất kì phần danh sách nào với phần mềm bảo mật không dành cho những người dùng chưa có kinh nghiệm hay những người không thích mạo hiểm.”

Tuy nhiên, Storms cũng không cho rằng việc Microsoft công khai những đề xuất này sẽ gây ra mối đe dọa lớn về bảo mật. Ông nói “Tin tặc sẽ nhận ra điều này và lập tức thay đổi vị trí để cài phần mềm độc? Có thể là không. Xác định vị trí phần mềm độc tồn tại trên hệ thống file không phải là việc quá khó khăn với phần mềm diệt virus. Từ trước đến nay phần mềm diệt virus hoàn thành khá tốt công việc, và danh sách những virus nguy hiểm (blacklist) cũng chỉ là một biện pháp bảo mật. Nó giúp cung cấp một lớp bảo mật khác, tuy nhiên nó có bao gồm được mọi thứ không? Không đời nào!”

Trend luôn là hãng phản đối trước những quyết định của Microsoft. Như những nhà cung cấp giải pháp bảo mật nhóm ba khác, Trend đã gạt bỏ những can thiệp của Microsoft vào thị trường diệt virus, gần đây nhất, vào đầu năm nay, Redmond và Wash cũng đã có những phản ứng khi Microsoft phát hành phần mềm bảo mật miễn phí Security Essentials. Và vào tháng 4 năm ngoái, các nhà nghiên cứu của Trend đã phản biện lại tuyên bố của Microsoft rằng phiên bản mới của công cụ Malicious Software Removal Tool (MSRT) đã xóa sổ botnet Storm.

Theo QTM/Computerworld

Post a comment