Đầu tuần này, Google tuyên bố rằng họ đã vá thành công một lỗ hổng bảo mật nguy hiểm xuất hiện trên Chrome - trình duyệt được sử dụng phổ biến nhất trên thế giới, và triển khai bản vá dưới dạng một bản cập nhật nhỏ. Không chỉ vậy, gã khổng lồ tìm kiếm cũng xác nhận rằng tin tặc đã tích cực khai thác lỗi này, song song với một lỗi khác được tìm thấy trong Windows, gây ra một vài thiệt hại đáng tiếc cho người dùng.
Ngay sau đó đã xuất hiện một làn sóng các thông báo kêu gọi mọi người cập nhật Chrome lên phiên bản mới ngay lập tức. Tuy cấp thiết và quan trọng là vậy, nhưng không phải ai cũng có thể tiếp cận được với thông báo này, dẫn đến việc nhiều người vẫn có nguy cơ trở thành nạn nhân của tin tặc chỉ vì không nắm được thông tin về bản vá bảo mật mới được triển khai. Tuy nhiên, rất may là những kịch bản xấu nhất đã không xảy ra nhờ có sự hoạt động hiệu quả của tính năng tự động cập nhật của Chrome, giúp cho đa số người dùng trình duyệt này đã kịp thời được tiếp cận với bản vá bảo mật mới trước khi các sự cố đáng tiếc xảy ra.
Qua tình huống trên, phần nào chúng ta đã hiểu được sự cần thiết của việc cập nhật phần mềm. Tuy nhiên, mọi chuyện trên thực tế lại không đơn giản như vậy. Cập nhật phần mềm là một vấn đề “đau đầu”. Nói đau đầu thì có vẻ hơi quá nhưng thực sự việc cập nhật phần mềm đem lại cho chúng ra không ít phiền toái trong nhiều tình huống. Chắc hẳn người dùng MacOS không còn xa lạ với kiểu spam lời nhắc cập nhật phần mềm mọi lúc mọi nơi của hệ điều hành này. Hay đối với Windows 10 thì còn tệ hơn khi nó thường bắt bạn phải cập nhật và khởi động lại hệ thống vào những lúc “không ngờ tới” nhất, đó là còn chưa kể đến việc các bản cập nhật mới của Windows 10 thường chứa cả tá lỗi, khiến Microsoft phải hồi rồi lại tái phát hành đến vài lần mới khắc phục được vấn đề.
Tuy nhiên, tạm thời đặt những phiền toái đó qua một bên, chắc hẳn chúng ta đều biết rằng việc giữ cho hệ thống của mình luôn được cập nhật lên các phiên bản mới là phương thức đơn giản nhất để bảo vệ bạn khỏi tin tặc, và đồng thời kích hoạt tính năng tự động cập nhật cũng là cách tốt nhất để đảm bảo rằng bạn không bỏ sót bất cứ bản vá nào. Jérôme Segura, người đứng đầu bộ phận tình báo an ninh mạng tại công ty bảo mật Malwarebytes cho rằng: “Với tư cách là một chuyên viên bảo mật, tôi ủng hộ mạnh mẽ cho việc các bản cập nhật nên được triển khai và cài đặt một cách tự động, đặc biệt là đối với người dùng phổ phông bởi không phải lúc nào những người này cũng nắm được tình hình về các mối đe dọa bảo mật hiện hành cũng như thông tin về các bản vá”.
Đơn cử như trường hợp của lỗ hổng zero-day xuất hiện gần đây trên Chrome (vừa mới được vá), thay vì đưa ra thông báo theo kiểu buộc hiển thị một tab trên trình duyệt để nhắc nhở về việc cài đặt phiên bản mới - điều mà có thể khiến không ít người cảm thấy khó chịu và bấm bỏ qua như một thói quen, đội ngũ của Google đã có cách tiếp cận “ít phô trương” hơn rất nhiều, đó là âm thầm để cho bản cập nhật được cài đặt hoàn toàn tự động. Chà, có vẻ nhưng biện pháp này mang lại hiệu quả khá tích cực. Tuy rằng trong trường hợp này, người dùng vẫn phải khởi động lại trình duyệt để áp dụng các thay đổi của phiên bản mới bởi đây là một lỗ hổng nhắm vào mã Chrome chứ không phải là kiểu plug-in như Flash, thế nhưng phương pháp cập nhật phần mềm theo kiểu âm thầm và tự động thế này rõ ràng là đã mang lại hiệu quả rõ rệt hơn, bằng chứng là đã số người dùng Chrome đều đã được cập nhật lên phiên bản mới.
“Ấn tượng của tôi khi nói về việc cập nhật phần mềm là hầu hết mọi người đều không quan tâm quá nhiều đến vấn đề bảo mật, thay vào đó họ thường chỉ để ý xem có tính năng gì mới hay ho không, nếu không thì chưa vội cập nhật làm gì. Tuy nhiên, thói quen này là hoàn toàn sai lầm. Thực tế mà nói thì bảo mật là một trong những yếu tố quan trọng hàng đầu chứa đựng trong một bản cập nhật”, Josiah Dykstra, giám đốc kỹ thuật tại Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) chia sẻ.
Tất nhiên là cũng có một số trường hợp ngoại lệ rõ ràng ở đây. Những bản cập nhật trong các hệ thống y tế hay công nghiệp không thể được áp dụng một cách mù quáng, bởi đơn giản bất kỳ lỗi vô ý nào cũng có thể dẫn đến thảm họa với thiệt hại cực lớn. Bên cạnh đó là trường hợp của những người tin tưởng vào phần mềm của họ, các nhà nghiên cứu bảo mật, v.v. Đó là những tình huống mà việc cập nhật phiên bản mới một cách tự động thường không phải là ý tưởng đáng hoan nghênh.
Nhưng đối với những chủ thể, hệ thống nhỏ hơn như điện thoại thông minh hay máy tính xách tay thì sao? Trong trường hợp này thì có thể mạnh dạn khẳng định rằng việc cập nhật tự động sẽ mang lại nhiều lợi ích hơn là tác hại. Thế nhưng nói như vậy không có nghĩa là bạn phải hoàn toàn chấp nhận mọi rủi ro có thể gây ra bởi cập nhật tự động.
“Các nhà phát hành cần phải làm tốt hơn, hiệu quả hơn trong khâu kiểm tra cũng như rà soát các bản vá trước khi tung ra. Và đồng thời cũng phải cung cấp ngay lập tức một tùy chọn rollback cho người dùng cuối khi có vấn đề xảy ra”. Đó là chia sẻ của Gene Spafford, một nhà khoa học máy tính tại Đại học Purdue kiêm nhà nghiên cứu an ninh mạng nổi tiếng, trong bài luận được viết vào năm ngoái về cái gọi là an ninh mạng đang dần biến mất (disappearing cybersecurity). Một cơ chế như Gene Spafford nêu ra có thể sẽ giúp hoàn tác nhanh chóng một bản cập nhật tự động trong những tình huống xấu nhất, thay vì việc bạn phải chờ nhà phát hành khắc phục rồi lại gửi tiếp bản vá bổ sung như hiện nay.
Ở thời điểm hiện tại, Windows 10 đã được trang bị tính năng tự động cập nhật theo mặc định. Apple cũng đã cung cấp tùy chọn này lần đầu tiên trong iOS 12, nhưng bạn phải xác nhận trước khi muốn tham gia. Để làm như vậy, hãy điều hướng tới Settings > General > Software Update > Automatic Updates và kích hoạt tính năng này. Đối với Android, và đồng thời với tất cả mọi ứng dụng trên Android, tính năng tự động cập nhật phần mềm sẽ phụ thuộc vào thiết bị mà bạn đang dùng, nhưng nói chung, bạn sẽ vẫn phải đợi cho đến khi nhận được thông báo rằng bản cập nhật đã sẵn sàng để cài đặt.
Và đối với internet of things - “miền Tây hoang dã” của thế giới công nghệ, thì nhiều thiết bị IoT không chỉ chưa được trang bị tính năng cập nhật tự động, mà thậm chí việc cập nhật phần mềm theo cách thủ công cũng đang gặp khá nhiều vấn đề. Đây thực sự là một thực tế đáng buồn, bởi vì không có loại thiết bị nào được hưởng lợi nhiều từ việc cải tiến, cập nhật liên tục hơn các thiết bị IoT. Đây là một vấn đề rất đáng quan tâm. Nếu các thiết bị IoT không được vá lỗ hổng bảo mật kịp thời thì thiệt hại sẽ có thể rất nghiêm trọng, trên quy mô lớn do bản chất của chúng là kết nối xuyên suốt và đồng bộ với nhau.
Tin tốt là ngành công nghiệp công nghệ tiêu dùng rộng lớn của chúng ta có vẻ như đang bắt đầu quan tâm nhiều hơn đến việc triển khai các bản cập nhật tự động, mặc dù như đã nói, lợi ích về bảo mật là một điều rất khó để các nhà phát hành có thể phô ra cho người tiêu dùng thấy:
“Nếu người dùng thực sự nhìn thấy giá trị trong các bản cập nhật tự động, họ thường có xu hướng chỉ thấy giá trị trong sự ổn định của sản phẩm đối với các tính năng, hơn là về vấn đề bảo mật”.
Đây sẽ vẫn còn là một chặng đường dài, đòi hỏi sự cố gắng và thay đổi từ cả phía nhà phát hành lẫn người dùng.