Mikko Hypponen - Quang Tường chuyển dịch
Flame và Stuxent là hai loại mã độc mà giới theo dõi thời cuộc cho là sản
phẩm của hai cơ quan tình báo Hoa Kỳ và Do Thái hợp tác để nhằm theo dõi các nỗ
lực chế tạo vũ khí hạt nhân của Iran và tìm cách phá hoại chương trình này. Các
mã độc này lưu hành trong khoảng 2 năm nay mà chẳng hề bị các công ty chống
virút phát hiện.
Bài nói chuyện sau đây của nhân viên hãng F-Secure, một công
ty phần mềm chống virút nói lên sự thất bại này.
Một số lưu ý cho độc giả được tô màu đỏ.
--------------------------------------
Tại sao công ty chống-virút như chúng tôi không tìm bắt được
Flame và Stuxnet
Ông Mikko Hypponen là nghiên cứu gia đầu đàn của công ty
F-Secure. Ông làm việc trong lãnh vực an ninh vi tinh hơn 20 năm và đã từng vật
lột với những đợt tấn công virus lớn nhất trên mạng, như Loveletter, Blaster,
Conficker và Stuxnet. Bài nói chuyện về an ninh vi tính trong chương trình TED
đã được hơn một triệu người đón nhận và chuyển ngữ sang 35 thứ tiếng.
--------
Cách đây vài hôm tôi nhận một email từ Iran. Email đến từ một
nhân viên của Nhóm Chống Đỡ Nguy Khẩn Vi
Tính của Iran báo cho tôi biết là họ tìm thấy mã độc đang lây lan một số máy
móc tại Iran. Thì ra nó chính là Flame:
mã độc đang là đầu đề của các tin nóng khắp nơi trên thế giới.
Khi chúng tôi lục lọi lại chồng hồ sơ cũ của các mẫu mã độc
thì ngạc nhiên thay chúng tôi tìm thấy mẫu của Flame từ hồi năm 2010 và 2011 mà
chúng tôi không hề biết. Các mẫu này đến từ hệ thống báo cáo tự động từ các nơi
gửi về nhưng hệ thống báo động không thấy gì nguy hiểm để mà báo động cho chúng
tôi biết và xem xét kỹ lưởng hơn. Các công ty chống virút khác cũng tìm thấy chứng
cớ là họ cũng có các mẫu mã độc này trong khoảng thời gian đó và sớm hơn, cho
thấy là mã độc này có trước năm 2010.
Điều này có nghĩa là tất cả chúng tôi không dò tìm ra được
con mã độc này trong 2 năm nay hay hơn. Đây là một thất bại cực kỳ to tát cho
công ty chúng tôi nói riêng và cho kỹ nghệ chống virút nói chung.
Đây không phải là lần đầu tiên xảy ra việc này. Con trùng
Stuxnet đi rong hơn cả năm trời mà không bị ai khám phá ra cho đến khi một công
ty chống virút của Belarus được gọi đến Iran để xem xét các máy có vấn đề. Khi
các nhà nghiên cứu truy tìm lại trong hồ sơ cũ xem coi có cái gì tương tự như Stuxnet,
thì họ tìm được một lổ hổng an ninh mà không ai biết (zero-day exploit) được
dùng bởi Stuxnet và một loại mã độc khác nhưng chẳng có ai để ý. Một mã độc
liên hệ gọi là DuQu cũng không bị các công ty chống virút phát giác hơn một năm
trời.
Dĩ nhiên Sutxnet, DuQu, Flame không phải là loại mã độc tầm
thường. Bộ ba này nhiều phần là do một cơ quan tình báo Tây Phương chế tạo ra
cho các công tác tình báo kín đáo không muốn ai biết. Sự kiện là các mã độc này
lẫn tránh không bị phát hiện cho thấy những người soạn thảo công phu như thế
nào. Trong trường hợp của Stuxnet và DuQu, họ dùng những bộ phận được ký tên
(digitally signed) để làm cho mã độc có dáng vẻ của những ứng dụng đáng tin cậy.
Và thay vì tìm cách che dấu mã nguồn bằng những cách nén/rối - mà có thể làm
người khác nghi ngờ - thì chúng tỉnh bơ để nguyên dạng. Trong trường hợp của
Flame, nhóm soạn thảo dùng SQLite, SSL và LUA để ra vẻ như đây là những ứng dụng
kinh doanh đàng hoàng chứ không phải mã độc.
Có người sẽ lý luận là chúng tôi không phát hiện được các mã
độc này là điều tốt. Hầu hết các vụ nhiễm và lây lan xảy ra ở những vùng tình
hình chính trị rối ren như Iran, Syria và Sudan. Mặc dầu không ai biết đích xác
là mã độc Flame dùng để làm gì, nhưng nếu
trong trường hợp chúng tôi phát hiện và ngăn chận các mã độc này thì có thể
chúng tôi hóa ra gián tiếp góp tay với các chế độ áp bức này bẻ gãy nỗ lực theo
dõi của các cơ quan tình báo nước ngoài.
Nhưng đó không phải là điểm để bàn nơi đây. Chúng tôi muốn
phát hiện mã độc, bất kể xuất xứ của nó từ đâu. Chính trị không nằm trong sự thảo
luận này và cũng không nên. Bất cứ mã độc
nào, ngay cả có đích nhắm, có thể lan tràn không ngờ được và gây ra những thiệt
hại phụ trội cho nạn nhân không nhắm tới. Thí dụ như Stuxnet lan ra khắp nơi
trên thế giới qua chức năng của USB là làm nhiễm hơn 100,000 máy tính trong lúc
nó đang mày mò đi tìm đích nhắm thực sự là các máy tính của nhà máy sản xuất
uranium ở Natanz, Iran. Ngắn gọn mà nói, nhiệm vụ của chúng tôi trong ngành này
là bảo vệ máy tính chống lại mã độc. Chỉ có vậy thôi.
Vậy mà chúng tôi thất bại trong việc phát hiện Stuxnet và
DuQu và Flame. Điều này làm cho khách hàng của chúng tôi lo ngại.
Thật tình mà nói thì các sản phẩm thương mãi chống virút
không thể chống đỡ nỗi các mã độc được chế tạo ra bởi các cơ quan nhà nước với
tiền bạc rủng rỉnh để nhắm tấn công ai đó. Các loại phần mềm chống virút này chỉ
đủ để giúp bạn bảo vệ chống đỡ các loại mã độc thông thường. Còn đã nhắm tấn
công ai rồi thì các thứ mã độc này đủ khôn khéo để né tránh các phần mềm chống
virút. Và những lổ hổng an ninh mà họ sử
dụng thì các công ty chống virút không hề biết đến. Theo chúng tôi biết, thì
trước khi tung ra các mã độc này, họ đem ra thử với tất cả các loại phần mềm chống
virút trên thị trường để bảo đảm là mã độc đi trót lọt và không bị phát hiện. Họ có đủ thì giờ để chuẩn bị cho cuộc tấn
công. Trận chiến này không cân bằng chút nào khi phía tấn công biết hết các đòn
phép của bên chống đỡ.
Các hệ thống phòng chống virút cần phải chọn vị trí quân bằng
giữa việc phát hiện hết tất cả những lối tấn công mà không bị báo động "sảng".
Và tuy là chúng tôi luôn tìm cách cải thiện, sẽ không bao giờ có giải pháp thoả
đáng 100%. Cách phòng thủ tốt nhất chống lại lối tấn công có đích nhắm cần phải
có nhiều tầng lớp, với hệ thống phát hiện xâm nhập mạng, danh sách trắng/đen chống
lại mã độc và tích cực theo dõi các luồng dữ kiện ra/vào mạng.
Câu chuyện này không dừng ở đây với mã độc Flame. Rất có thể
đã có những cuộc tấn công khác đã và đang diễn ra mà chúng ta chưa phát hiện được.
Một cách ngắn gọn, tấn công mạng kiểu này có hiệu quả.
Mã độc Flame là một sự thất bại cho kỹ nghệ chống virút.
Chúng tôi lẻ ra phải làm tốt hơn. Nhưng đã không làm được. Trong trò chơi này chúng tôi bị qua mặt.
Quang Tường chuyển dịch
Nguồn:
http://arstechnica.com/security/2012/06/why-antivirus-companies-like-mine-failed-to-catch-flame-and-stuxnet/
0 comments:
Đăng nhận xét