Vào cuối tháng Ba vừa qua, Andres Freund, một lập trình viên 38 tuổi hiện đang sống tại San Francisco và làm việc cho Microsoft đã phát hiện một cửa hậu (backdoor) ẩn trong một phần mềm thuộc hệ điều hành Linux có thể dẫn lối cho hacker truy cập vào hàng trăm triệu máy tính trên toàn thế giới. May mắn là sự cố đáng tiếc đã không diễn ra.
Hệ điều hành Linux được cho là phần mềm mã nguồn mở quan trọng nhất thế giới. Phần lớn các server trên thế giới - bao gồm những server thuộc ngân hàng, bệnh viện, chính phủ… đều đang chạy trên Linux, nên lỗ hổng bảo mật của Linux sẽ có nguy cơ ảnh hưởng toàn cầu.
Lỗ hổng nguy hiểm này được phát hiện khi Freund bảo trì định kỳ một phần của PostgreSQL - phần mềm mã nguồn mở dùng trong xử lý cơ sở dữ liệu.
Trong khi tra soát một loạt những bài thử tự động, anh nhận ra một ứng dụng có tên SSH - vốn được sử dụng để truy cập máy tính từ xa - đang dùng nhiều tài nguyên hơn bình thường. Tiếp tục lần theo dấu vết, anh thấy một công cụ nén dữ liệu có tên xz Utils khiến anh nhớ tới thông báo lỗi cách đây không lâu.
Sau khi ‘đào sâu’ vào mã nguồn của xz Utils, Freund thấy dấu vết chỉnh sửa của một ai đó hay một tổ chức nào đó. Cụ thể, mã độc đã được cài cắm vào phiên bản mới nhất của xz Utils. Cửa hậu này sẽ cho phép kẻ cài mã độc tận dụng kết nối SSH và bí mật chạy phần mềm từ xa.
Anh đã thu thập được nhiều bằng chứng khi ‘đào sâu’ hơn. Cuối tháng Ba vừa qua, anh Freund gửi chứng cứ thu thập được tới một nhóm các nhà phát triển phần mềm mã nguồn mở và khiến cộng đồng dậy sóng. Chỉ trong vòng vài tiếng, lỗi nghiêm trọng này đã được vá.
Một số lập trình viên khẳng định nếu Freund không phát hiện ra, một cuộc tấn công mạng để lại vết nhơ trong sử sách đã có thể xảy ra.
Alex Stamos, giám đốc cấp cao tại SentinelOne, một công ty nghiên cứu bảo mật mạng cho hay, cửa hậu do Freund phát hiện đã có thể là cửa hậu lan rộng nhất, hiệu quả nhất từng được cài cắm vào bất cứ phần mềm nào, có thể “trao cho kẻ tạo ra nó chìa khóa tổng để truy cập hàng trăm triệu máy tính sử dụng SSH trên toàn cầu”. Khi đó, kẻ gian đã có thể đánh cắp được thông tin nhạy cảm, cài cắm malware, gây ra nhiễu loạn cơ sở hạ tầng toàn cầu … mà không hề bị bắt.
Freund cho biết, kẻ đứng sau sự việc này đủ khôn khéo và tinh ranh để xóa dấu vết, khiến mã độc khó tìm ra hơn.
Sau khi phát hiện ra lỗ hổng bảo mật, Freund vẫn đang giúp nhóm các lập trình viên phân tích và tìm ra kẻ chủ mưu. Cùng với đó, Freund cũng đang tự phát triển và hoàn thiện một phiên bản của PostgreSQL, dự kiến sẽ ra mắt cuối năm nay.