2012/06/05

Tại sao công ty chống-virút như chúng tôi không tìm bắt được Flame và Stuxnet

Wired.com
Mikko Hypponen
Quang Tường chuyển dịch
2012/06/02


Ban Biện Tập No Firewall: Flame và Stuxent là hai loại mã độc mà giới theo dõi thời cuộc cho là sản phẩm của hai cơ quan tình báo Hoa Kỳ và Do Thái hợp tác để nhằm theo dõi các nỗ lực chế tạo vũ khí hạt nhân của Iran và tìm cách phá hoại chương trình này. Các mã độc này lưu hành trong khoảng 2 năm nay mà chẳng hề bị các công ty chống virút phát hiện. Bài nói chuyện sau đây của nhân viên hãng F-Secure, một công ty phần mềm chống virút nói lên sự thất bại này.
 
Ông Mikko Hypponen là nghiên cứu gia đầu đàn của công ty F-Secure. Ông làm việc trong lãnh vực an ninh vi tinh hơn 20 năm và đã từng vật lột với những đợt tấn công virus lớn nhất trên mạng, như Loveletter, Blaster, Conficker và Stuxnet. Bài nói chuyện về an ninh vi tính trong chương trình TED đã được hơn một triệu người đón nhận và chuyển ngữ sang 35 thứ tiếng.
Cách đây vài hôm tôi nhận một email từ Iran. Email đến từ một nhân viên của Nhóm  Chống Đỡ Nguy Khẩn Vi Tính của Iran báo cho tôi biết là họ tìm thấy mã độc đang lây lan một số máy móc tại Iran.  Thì ra nó chính là Flame: mã độc đang là đầu đề của các tin nóng khắp nơi trên thế giới.

Khi chúng tôi lục lọi lại chồng hồ sơ cũ của các mẫu mã độc thì ngạc nhiên thay chúng tôi tìm thấy mẫu của Flame từ hồi năm 2010 và 2011 mà chúng tôi không hề biết. Các mẫu này đến từ hệ thống báo cáo tự động từ các nơi gửi về nhưng hệ thống báo động không thấy gì nguy hiểm để mà báo động cho chúng tôi biết và xem xét kỹ lưởng hơn. Các công ty chống virút khác cũng tìm thấy chứng cớ là họ cũng có các mẫu mã độc này trong khoảng thời gian đó và sớm hơn, cho thấy là mã độc này có trước năm 2010.

Điều này có nghĩa là tất cả chúng tôi không dò tìm ra được con mã độc này trong 2 năm nay hay hơn. Đây là một thất bại cực kỳ to tát cho công ty chúng tôi nói riêng và cho kỹ nghệ chống virút nói chung.

Đây không phải là lần đầu tiên xảy ra việc này. Con trùng Stuxnet đi rong hơn cả năm trời mà không bị ai khám phá ra cho đến khi một công ty chống virút của Belarus được gọi đến Iran để xem xét các máy có vấn đề. Khi các nhà nghiên cứu truy tìm lại trong hồ sơ cũ xem coi có cái gì tương tự như Stuxnet, thì họ tìm được một lổ hổng an ninh mà không ai biết (zero-day exploit) được dùng bởi Stuxnet và một loại mã độc khác nhưng chẳng có ai để ý. Một mã độc liên hệ gọi là DuQu cũng không bị các công ty chống virút phát giác hơn một năm trời.

Dĩ nhiên Sutxnet, DuQu, Flame không phải là loại mã độc tầm thường. Bộ ba này nhiều phần là do một cơ quan tình báo Tây Phương chế tạo ra cho các công tác tình báo kín đáo không muốn ai biết. Sự kiện là các mã độc này lẫn tránh không bị phát hiện cho thấy những người soạn thảo công phu như thế nào. Trong trường hợp của Stuxnet và DuQu, họ dùng những bộ phận được ký tên (digitally signed) để làm cho mã độc có dáng vẻ của những ứng dụng đáng tin cậy. Và thay vì tìm cách che dấu mã nguồn bằng những cách nén/rối - mà có thể làm người khác nghi ngờ - thì chúng tỉnh bơ để nguyên dạng. Trong trường hợp của Flame, nhóm soạn thảo dùng SQLite, SSL và LUA để ra vẻ như đây là những ứng dụng kinh doanh đàng hoàng chứ không phải mã độc.

Có người sẽ lý luận là chúng tôi không phát hiện được các mã độc này là điều tốt. Hầu hết các vụ nhiễm và lây lan xảy ra ở những vùng tình hình chính trị rối ren như Iran, Syria và Sudan. Mặc dầu không ai biết đích xác là mã độc Flame  dùng để làm gì, nhưng nếu trong trường hợp chúng tôi phát hiện và ngăn chận các mã độc này thì có thể chúng tôi hóa ra gián tiếp góp tay với các chế độ áp bức này bẻ gãy nỗ lực theo dõi của các cơ quan tình báo nước ngoài.

Nhưng đó không phải là điểm để bàn nơi đây. Chúng tôi muốn phát hiện mã độc, bất kể xuất xứ của nó từ đâu. Chính trị không nằm trong sự thảo luận này và cũng không  nên. Bất cứ mã độc nào, ngay cả có đích nhắm, có thể lan tràn không ngờ được và gây ra những thiệt hại phụ trội cho nạn nhân không nhắm tới. Thí dụ như Stuxnet lan ra khắp nơi trên thế giới qua chức năng của USB là làm nhiễm hơn 100,000 máy tính trong lúc nó đang mày mò đi tìm đích nhắm thực sự là các máy tính của nhà máy sản xuất uranium ở Natanz, Iran. Ngắn gọn mà nói, nhiệm vụ của chúng tôi trong ngành này là bảo vệ máy tính chống lại mã độc. Chỉ có vậy thôi.

Vậy mà chúng tôi thất bại trong việc phát hiện Stuxnet và DuQu và Flame. Điều này làm cho khách hàng của chúng tôi lo ngại.

Thật tình mà nói thì các sản phẩm thương mãi chống virút không thể chống đỡ nỗi các mã độc được chế tạo ra bởi các cơ quan nhà nước với tiền bạc rủng rỉnh để nhắm tấn công ai đó. Các loại phần mềm chống virút này chỉ đủ để giúp bạn bảo vệ chống đỡ các loại mã độc thông thường. Còn đã nhắm tấn công ai rồi thì các thứ mã độc này đủ khôn khéo để né tránh các phần mềm chống virút.  Và những lổ hổng an ninh mà họ sử dụng thì các công ty chống virút không hề biết đến. Theo chúng tôi biết, thì trước khi tung ra các mã độc này, họ đem ra thử với tất cả các loại phần mềm chống virút trên thị trường để bảo đảm là mã độc đi trót lọt và không bị phát hiện.  Họ có đủ thì giờ để chuẩn bị cho cuộc tấn công. Trận chiến này không cân bằng chút nào khi phía tấn công biết hết các đòn phép của bên chống đỡ.

Các hệ thống phòng chống virút cần phải chọn vị trí quân bằng giữa việc phát hiện hết tất cả những lối tấn công mà không bị báo động "sảng". Và tuy là chúng tôi luôn tìm cách cải thiện, sẽ không bao giờ có giải pháp thoả đáng 100%. Cách phòng thủ tốt nhất chống lại lối tấn công có đích nhắm cần phải có nhiều tầng lớp, với hệ thống phát hiện xâm nhập mạng, danh sách trắng/đen chống lại mã độc và tích cực theo dõi các luồng dữ kiện ra/vào mạng.

Câu chuyện này không dừng ở đây với mã độc Flame. Rất có thể đã có những cuộc tấn công khác đã và đang diễn ra mà chúng ta chưa phát hiện được. Một cách ngắn gọn, tấn công mạng kiểu này có hiệu quả.

Mã độc Flame là một sự thất bại cho kỹ nghệ chống virút. Chúng tôi lẻ ra phải làm tốt hơn. Nhưng đã không làm được.  Trong trò chơi này chúng tôi bị qua mặt.

Nguồn: arstechnica

No comments:

Post a Comment