Người dùng không nên đặt trọn niềm tin vào các phần mềm bảo mật bởi đơn giản chúng không thể bảo vệ họ trước các cuộc tấn công diễn ra trong đời thực. Đó là khẳng định được Hãng bảo mật Secunia đưa ra sau khi tiến hành thử nghiệm đối với 12 gói sản phẩm bảo mật toàn diện phổ biến.
Trong số 12 sản phẩm được thử nghiệm có Norton Internet Security 2009 của Symantec, Microsoft Windows Live OneCare, Internet Security 8.0 của AVG Technologies hay Internet Security Suite 2009 của McAfee.
Người ta đã dùng khoảng 300 mã tấn công để thử nghiệm những phần mềm trên. Trong đó bao gồm cả những mã khai thác dùng để chứng minh lỗi có thực (proof-of-concept), virus, trojan, sâu máy tính và mã “payload” – dạng mã độc hại một khi lây nhiễm sẽ kéo theo nhiều mã độc khác xâm nhập vào PC người dùng.
Những mã tấn công này được gửi tới PC thử nghiệm bằng nhiều con đường khác nhau như tệp tin Office, hình ảnh và website độc hại tấn công PC qua lỗi ActiveX. Hệ thống được thử nghiệm sử dụng hệ điều hành Windows XP Service Pack 2.
Nổi tiếng nhất là Norton Internet Security 2009, nhưng phần mềm này cũng chỉ có thể phát hiện có tổng cộng 64/300 mã tấn công – tức khoảng 21%. Song con số này vẫn còn khả quan hơn rất nhiều so với Trend Micro Internet Security 2008. Gói ứng dụng bảo mật này chỉ có thể phát hiện được 2,3% tổng số mã độc tham gia thử nghiệm. McAfee Internet Security Suite 2009 dừng lại ở con số 2% và Windows Live OneCare xếp cuối cùng với chỉ 1,8%.
“Các gói phần mềm bảo mật thường được quảng cáo như là một giải pháp bảo mật toàn diện trong việc bảo vệ an toàn cho người dùng. Nhưng đáng tiếc chúng lại không được như thế”- Thomas Kristensen, giám đốc công nghệ của Secunia, khẳng định.
Sở dĩ xảy ra tình trạng này – ông Kristensen cho biết – là bởi các hãng phát triển gói ứng dụng bảo mật toàn diện thường có xu hướng sử dụng biện pháp áp dấu hiệu nhận biết (signature) cho các dòng mã độc đã xuất hiện trên mạng cho các sản phẩm của họ. Hay nói cách khác mã độc xuất hiện rồi thì phần mềm của các hãng mới có khả năng nhận diện và diệt.
“Tin tặc là kẻ phát triển mã độc nên chúng bao giờ cũng đi trước các hãng phát triển phần mềm bảo mật một bước. Rõ ràng tin tặc hoàn toàn có thể phát triển được loại mã độc đủ khả năng vượt qua các cơ chế quét diệt và nhận dạng dựa trên dấu hiệu (signature)”.
Cụ thể, để có thể gán “signature” cho một dòng mã độc nào đó thì trước hết hãng phát triển phải “bắt” được mã độc đó, tiến hành phân tích và xây dựng dấu hiệu nhận dạng. “Signature” sau đó sẽ được cập nhật tới phần mềm của người dùng. Tiến trình này thường phải mất ít nhất vài giờ nhưng bằng đó cũng đủ để mã độc tấn công không ít người dùng.
Ông Kristensen khẳng định nếu hãng phát triển quay sang chú trọng đến phát hiện mã khai thác lỗi bảo mật, thì chỉ bằng một “signature” cũng có thể phát hiện được rất nhiều mã độc khác nhau. Rõ ràng đây là giải pháp bảo vệ an toàn và hiệu quả hơn rất nhiều.
“Phần mềm bảo mật là vẫn chưa đủ. Người dùng PC cần phải cài đặt đầy đủ các bản sửa lỗi phần mềm đang sử dụng trên hệ thống”, ông Kristensen khẳng định.
Bình luận (0)