Chuyện của người ‘săn virus’ - Phần I

Giữa những tin tức liên tiếp về virus, hacker và các vụ tấn công trực tuyến, có một cộng đồng rất quan trọng nhưng ít khi được nhắc tới: các chuyên gia diệt virus. Một trong số những tên tuổi lớn của làng bảo mật thế giới là Mikko Hypponen.

13 năm làm việc trong lĩnh vực an ninh máy tính, Hypponen hiện là Giám đốc nghiên cứu virus của hãng phần mềm an ninh hàng đầu thế giới F-Secure (Phần Lan). Trang web riêng (weblog) của anh nằm trên website chính của F-Secure là một trong những kênh thông tin rất thu hút những người quan tâm về virus và an ninh Internet. Dưới đây là cuộc trả lời phỏng vấn của Hypponen với tạp chí E-Commerce
Times (ECT).

- Lần đầu tiên anh quan tâm tới lĩnh vực an ninh mạng và bảo mật máy tính là khi nào?

- Khoảng 1991. Lúc đó, tôi mới chỉ là một lập trình viên cấp thấp với kỹ năng liên kết ngôn ngữ lập trình. Trên thực tế, vấn đề lớn nhất hiện nay trong việc tuyển dụng các chuyên viên bảo mật mới cũng chính là việc rất ít người có khả năng liên kết đó. Hầu hết các trường đại học đều đã ngừng dạy môn này từ mấy năm trước.

- Tại sao?

- Bởi môn này rất khó và không mấy ai cần đến kỹ năng cấp thấp đó. Bây giờ người ta chủ yếu dùng C và C++.

- Các trường đại học nói chung có nên tăng cường dạy sinh viên năng lực phát hiện virus để góp phần giảm thiểu nguy cơ bảo mật?

- Khoa tin của nhiều trường đại học đang có những nỗ lực đào tạo kỹ năng mã hóa nhưng lại ít chú trọng vào công tác nghiên cứu mã tấn công và phương pháp phân tích nó. Tôi tin rằng điều này sẽ sớm thay đổi.

- Tại sao anh lại quyết định theo nghề chống virus?

- Sau khi chế ra và tự phân tích virus đầu tiên của mình (có tên là Omega), tôi cảm thấy bị cuốn hút với ý tưởng phá mã và xử lý những chương trình tấn công do người khác viết, đồng thời giúp đỡ người sử dụng đầu cuối. Do đó, tôi theo đuổi công việc này.

- Anh đã đến với F-Secure như thế nào?

- Tình cờ thôi. Tôi được thuê viết chương trình cho một dự án, chuyên vào nhiệm vụ bảo mật dữ liệu, một công việc mà vào thời điểm đó F-Secure cũng đang xúc tiến. Đó cũng là những gì hiện nay chúng tôi đang làm.

- Hãy nói về môi trường làm việc ở F-Secure. Có bao nhiêu người trong nhóm của anh?

- F-Secure có 12 văn phòng trên thế giới với 300 nhân viên. Có tất cả 10 kỹ sư phân tích và phá mã virus, đều làm việc ở bộ phận của tôi, tức là ở trụ sở tại Helsinki. Chúng tôi không làm việc gì khác ngoài phá mã virus. Đội ngũ này được tuyển chọn từ nhiều nơi trên thế giới, có cả người Phần Lan, Hungary, Tây Ban Nha, Bulgaria và Nga. Mỗi người chuyên vào một mảng riêng, chẳng hạn như chuyên phân tích mã Windows, mã script hay macro, rồi các loại mã Linux, điện thoại di động, PDA….

- Đâu là những biến đổi lớn nhất về an ninh máy tính mà anh đã chứng kiến từ khi làm trong ngành bảo mật?

- Tất nhiên thay đổi chủ yếu diễn ra trong lĩnh vực virus. Các loại virus khởi động thống trị từ năm 1986 đến 1995. Tiếp đó là thời kỳ của virus macro, từ 1995 đến 1999. Sâu e-mail xuất hiện và hoành hành từ năm 1999 đến nay. Tôi cho rằng từ năm tới trở đi virus mạng sẽ là tiêu điểm của an ninh máy tính. Ngoài ra, những kẻ viết virus cũng đã thay đổi nhiều. Chúng ta trước đây quen chống lại những chú nhóc, viết virus chỉ để thể hiện bản thân. Giờ đây, hoạt động này đã trở nên chuyên nghiệp, trong đó virus được sử dụng làm công cụ kiếm tiền bằng cách ăn cắp dữ liệu hoặc phát tán thông điệp quảng cáo mà ta thường gọi là spam. Có những trường hợp virus cài hẳn một trang web giả mạo của một cửa hàng vào máy tính nạn nhân và rồi bắt đầu phát đi hàng đống thư quảng cáo về cửa hàng đó, rồi lợi dụng giao dịch để ăn trộm số thẻ tín dụng của những người nhẹ dạ.

- Đúng là những đối tượng thiết kế virus gần đây đã thay đổi. Nhưng vẫn có những loại virus được viết ra không vì mục đích lợi nhuận như trên mà chỉ đơn giản để đấu với virus khác. Phải chăng đó vẫn là tác phẩm của các cậu bé hiếu thắng mà chúng ta chưa thể hết lo?

- Đại bộ phận virus mới vẫn là do thanh thiếu niên và những kẻ thích “lọ mọ” làm ra. Có thể kể ra những ví dụ tiêu biểu như Slammer, Blaster hay Netsky. Tuy nhiên, chúng tôi tin rằng phần nhiều các vụ bùng phát virus là do các nhóm có tổ chức thực hiện. Ví dụ như Sobig, Mimail, Mydoom hay Bagle.

- Virus nào là loại “cứng đầu” nhất mà anh từng phải đối phó?

- Xét theo khía cạnh kỹ thuật thì có lẽ là virus SMEG hay Zmist, đều xuất hiện lâu rồi. SMEG và Zmist không gây ra sự bùng phát lớn nhưng chúng có thể tự chỉnh sửa trên đường phát tán và “đẻ” ra hàng tỷ phiên bản khác nhau. Tạo ra được phần mềm có khả năng phát hiện 100% số đó quả là một việc vô cùng khó khăn. Tuy nhiên, thường thì những virus phức tạp ít thành công trên thực tế. Nếu xét về mức độ bùng phát thì thách thức lớn nhất tôi từng gặp là Slammer, Blaster.A, Sobig.F và Mydoom.A. Còn nếu nói về công sức theo đuổi và đối phó thì các loại biến thể của Bagle, Mydoom, NetSky, xuất hiện liên tục từ tháng 2 năm nay, làm chúng tôi mệt nhất. Đến nay chúng tôi đã ghi nhận 60 phiên bản các loại của mấy nhóm này và chúng vẫn không ngừng xuất hiện, cả ngày lẫn đêm. Điều đó thực sự làm chúng tôi khá “oải”.

- Sự khác biệt cơ bản của một kẻ thiết kế virus và một người viết phần mềm diệt virus là gì?

- Đen và trắng. Tốt và xấu. Các nhà nghiên cứu virus có đủ khả năng cần thiết để viết ra virus nhưng họ không làm, còn tin tặc không có những kỹ năng thiết kế một chương trình chống virus cũng như bảo trì nó.

- Theo anh, những tin tặc đã “giác ngộ” hoặc “rửa tay gác kiếm” có đáng tin cậy không?

- Biết nói thế nào nhỉ. Ở đây chúng tôi không thuê tội phạm làm việc, mà những kẻ viết virus thì thuộc loại này. Cũng có một số hãng phần mềm bảo mật tuyển dụng cựu hacker mũ đen nhưng họ vẫn luôn phân biệt rạch ròi.

- Điều gì thay đổi những kẻ đó?

- Có thể họ đã chín chắn hơn hoặc đã tìm được một cô bạn gái tuyệt vời.