Sau nhiều ngày điều tra, người ta phát hiện ra rằng hậu quả của vụ tấn công hồi đầu năm vào hệ thống máy chủ Google không đơn thuần là chỉ mất mát một số tài sản trí tuệ, mà hacker Trung Quốc còn xâm nhập được cả vào hệ thống cấp mật khẩu vốn được coi là “kho báu” quý giá của hãng này.
Trong tuyên bố hồi tháng giêng, Google chỉ nói rằng tin tặc đã đánh cắp thông tin và xâm nhập vào tài khoản e-mail của một số nhà hoạt động nhân quyền tại Trung Quốc. Tuy nhiên, một chuyên gia tham gia vào cuộc điều tra này cho biết hacker đã thực sự tiếp cận được hệ thống cấp mật khẩu hiện đang quản lý hàng triệu người dùng trên thế giới truy cập vào các dịch vụ Web của Google, bao gồm e-mail và các ứng dụng doanh nghiệp.
Kho báu bị đánh cắp
Theo chuyên gia trên, hệ thống cấp mật khẩu trên có tên mã là “Gaia” bị tấn công và xâm nhập chỉ trong 2 ngày vào cuối tháng 12/2009. Google đã có lần trình diễn hệ thống này tại một hội nghị kỹ thuật cách đây 4 năm, vốn cho phép người dùng và nhân viên của hãng có thể đăng ký một số dịch vụ trên web.
Các phân tích cho thấy, có thể kẻ xâm nhập chưa kịp đánh cắp mật khẩu tài khoản Gmail của người dùng, bởi ngay sau đó một thời gian ngắn, Google đã tăng cường khả năng an ninh cho dịch vụ e-mail. Tuy nhiên, nguy hiểm ở chỗ có thể kẻ tấn công đã tìm thấy điểm yếu mà Google không biết.
Thông tin trên làm thổi bùng lo ngại về mức độ an toàn của các hệ thống máy tính lớn, chẳng hạn như của Google, nơi chứa đựng thông tin cá nhân của hàng triệu người dùng và doanh nghiệp trên toàn thế giới. Do xu hướng chủ đạo trong thời gian tới là “đám mây” – dữ liệu được lưu trữ một chỗ, nên chỉ cần một vụ xâm nhập thành công thì tổn thất sẽ là rất lớn và cực kỳ nghiêm trọng.
Theo một chuyên gia “quen biết” với Google (đề nghị giấu tên), vụ đánh cắp thông tin trên bắt đầu bằng tin nhắn của kẻ tấn công gửi cho một nhân viên Google tại Trung Quốc. Người này đang sử dụng chương trình Messenger của Microsoft. Trong tin nhắn đó có một đường link kết nối với trang web độc hại, và khi nhân viên Google kích vào đó, máy tính của anh ta lập tức bị chiếm đoạt. Thông qua chiếc máy tính này, kẻ tấn công đã dần xâm nhập vào máy tính của một nhóm các nhà phát triển phần mềm quan trọng tại trụ sở Google ở Mountain View, California. Và kết quả cuối cùng là kẻ tấn công chiếm quyền kiểm soát kho phần mềm của nhóm chuyên gia này.
Trong suốt 3 tháng qua, các chi tiết liên quan tới vụ đánh cắp phần mềm trên luôn được Google giữ kín. Trong thông báo chính thức của Google ra ngoài công luận hôm 12/1 chỉ nói rằng công ty sẽ thay đổi chính sách tại Trung Quốc do lại ngại tình trạng đánh cắp “tài sản trí tuệ”, và sự xâm nhập trái phép vào tài khoản e-mail của một số nhà hoạt động nhân quyền tại Trung Quốc.
Tuyên bố của Google ngay lập tức gây ra những sóng gió trong quan hệ Mỹ - Trung, khiến cho Ngoại trưởng Mỹ Hillary Clinton lên tiếng yêu cầu Trung Quốc phải nghiêm túc điều tra vụ tấn công trên. Tháng 3/2010, sau nhiều phiên thỏa luận cam go với chính quyền Bắc Kinh, Google tuyên bố sẽ chuyển website tìm kiếm từ Trung Quốc đại lục sang Hồng Kông, nơi không bị áp đặt các quy định kiểm duyệt của Bắc Kinh.
Hiện đại diện Google vẫn từ chối bình luận về thông tin trên, và chỉ nói rằng hãng đang khắc phục các vấn đề an ninh còn sót lại từ vụ tấn công hồi tháng giêng. Google vẫn một mực nói rằng hãng chỉ thiệt hại một số tài khoản trí tuệ. Đại diện hãng này cũng khẳng định rằng họ luôn tỏ ra minh bạch trong vụ việc này. Trong khi đó, đợt tấn công tháng giêng không chỉ Google mới là nạn nhân mà còn có hàng chục công ty lớn khác. Hiện tại, các công ty này vẫn chưa cung cấp bất cứ thông tin nào về hậu quả của vụ tấn công.
Nguy cơ tiềm ẩn
Hiện tại, Google vẫn tiếp tục sử dụng hệ thống Gaia (còn có tên là “Single Sign-On”). Nhiều giờ sau vụ đột nhập xảy ra, Google cho biết sẽ kích hoạt lớp bảo mật mới cho Gmail. Hãng này cũng đồng thời thắt chặt an ninh cho các trung tâm dữ liệu, và tăng cường bảo mật cho các đường link kết nối giữa dịch vụ và máy tính người dùng. Cụ thể, Google đã triển khai mặc định phương thức đăng nhập bảo mật SSL cho Gmail.
Một số chuyên gia kỹ thuật nói rằng do Google đã phát hiện quá nhanh vụ đánh cắp phần mềm mà hậu quả của vụ việc này chưa ai được biết rõ. Một trong những khả năng nguy hiểm nhất là có khi kẻ tấn công đã cài đặt Trojan vào chương trình Gaia, và cài đặt phần mềm nghe lén này trên hàng chục trung tâm dữ liệu toàn cầu của Google để thiết lập ngõ truy xuất vào bên trong. Tuy nhiên, các chuyên gia bảo mật độc lập thì nhấn mạnh rằng một cuộc tấn công kiểu như vậy rất khó có thể thực hiện được, nhất là đối với một hãng công nghệ lớn như Google. Trước đó ít lâu, các chuyên gia bảo mật của Google cũng được cảnh báo về khả năng này nên sự đề phòng có thể đã được tính tới.
Tuy vậy, nếu kẻ tấn công đã tiếp cận được mã nguồn của Gaia thì rất có thể những sai sót trong hệ thống này đã được phơi bày trước con mắt dò xét của rất nhiều hacker chuyên nghiệp. “Nếu tiếp cận được kho phần mềm, hacker sẽ phát hiện ra rất nhiều yếu điểm trong hệ thống Google, và đây chính là nguy cơ đáng lo ngại nhất”, nhận định của George Kurtz, giám đốc công nghệ McAfee, một trong những hãng phân tích công cụ được sử dụng để tấn công Google và một loạt các công ty khác.
“Đó là nguy cơ thực sự một khi bạn đã hiểu tường tận được cơ chế hoạt động của hệ thống”, Rodney Joffe, phó chủ tịch Neustar, công ty chuyên phát triển các dịch vụ hạ tầng Internet, nhận xét. Nếu hiểu được thuật toán sử dụng cho phần mềm thì hacker sẽ thu lợi được rất lớn, bởi thuật toán đó được sử dụng cho rất nhiều ứng dụng khác nhau, và nó cũng được coi là mấu chốt để tìm ra điểm yếu trong hệ thống.
Khi Google lần đầu công bố về vụ đánh cắp trên, hãng này nói rằng đã có bằng chứng cho thấy vụ đột nhập có nguồn gốc từ Trung Quốc, mà cụ thể là từ hai trường dạy nghề tại nước này. Tuy nhiên, các nhà điều tra cho rằng nguồn gốc thực sự của cuộc tấn công có khi đã che giấu.
Một số chuyên gia điều tra vụ việc trên nói rằng đa phần các cuộc tấn công (vào Google và một loạt các công ty khác) là giống nhau, nhưng cũng có một số khác biệt đáng kể, chẳng hạn như sử dụng loại phần mềm đột nhập khác nhau. Khi điều tra tại một công ty lớn tại Silicon Valley, người ta phát hiện ra các bằng chứng cho thấy việc đột nhập đã bắt đầu từ trước đó… 2 năm.
Trong trường hợp của Google, kẻ đột nhập tỏ ra hiểu cặn kẽ về đội ngũ phát triển hệ thống Gaia, bởi máy tính cá nhân của những người này bị đột nhập đầu tiên, rồi sau đó kẻ tấn công mới lần ra kho phần mềm trung tâm nơi lưu trữ mã nguồn của Gaia. Sau đó, kẻ tấn công đã chuyển phần mềm đánh cắp tới hệ thống máy tính của Rackspace, một công ty có trụ sở tại Texas, Mỹ. Bản thân hãng cung cấp dịch vụ web-hosting này lại không biết về vụ đột nhập. Hiện các nhà điều tra vẫn chưa rõ sau đó phần mềm bị đánh cắp được chuyển đi đâu.