Mỏ vàng từ lỗ hổng 'zero-day'

Chiến dịch tấn công nhằm vào Google mới đây đã cho thấy mối nguy hiểm ngày càng lớn từ những lỗ hổng bảo mật zero-day, khi chúng đang được mua bán nhộn nhịp, công khai trên chợ đen của Internet.

Zero-day, nói cách khác là những lỗ hổng chưa được công bố và tất nhiên chưa được các hãng phần mềm vá lại, đặc biệt nguy hiểm vì một khi chúng đã bị hacker lợi dụng, nạn nhân hầu như không có cơ hội chống đỡ hoặc thoát nạn. Họ không nhận được bất cứ sự hỗ trợ nào từ phía doanh nghiệp phần mềm, trong khi bọn tội phạm mạng thoả sức tác oai tác quái. Nếu tóm được một lỗ hổng zero-day thì cơ hội thành công của vụ tấn công gần như là tuyệt đối.

Nguồn: AP

Trong trường hợp của Google, những kẻ tấn công đã đường hoàng bước vào máy tính nạn nhân theo cách một tên trộm có chìa khoá mở cửa sau vậy, bằng cách khai thác một lỗ hổng zero-day bên trong trình duyệt IE của Microsoft. Ngay sau khi nhận được thông báo, Microsoft đã phải vắt chân lên cổ phát hành miếng vá, song những hậu quả mà nó để lại thì không thể khắc phục chỉ trong ngày một ngày hai.

Câu hỏi đặt ra là bằng cách nào, những kẻ xâm nhập biết được sự tồn tại của lỗ hổng trên, khi mà nó đã âm thầm trú ẩn bên trong trình duyệt IE tới cả chục năm trời? Nhiều khả năng, thông tin về lỗ hổng đã được rao bán trên chợ đen của giới hacker, nơi một lỗ hổng "đủ rộng để cả một chiếc xe tải cũng chui lọt" có thể đổi được cả trăm nghìn USD, Giám đốc công nghệ Ken Silva của hãng bảo mật VeriSign cho biết.

Vũ khí an toàn nhất của hacker

Tất nhiên, những lỗ hổng này cần nhiều tháng đào bới, săn lùng mới có thể tìm được. Nhưng "zero-day là vũ khí an toàn nhất của hacker, bởi chúng rất khó bị phát hiện. Nếu không phải thế, lỗ hổng đó đã chẳng có tí giá trị nào".

Lỗ hổng IE được hacker sử dụng trong vụ Google đòi hỏi người dùng phải bị lừa ghé thăm một Website độc, để rồi phần mềm phá hoại sẽ lén lút chui vào máy tính nạn nhân, tự động cài đặt và thực hiện các mệnh lệnh khác của chủ nhân.

Kết quả là hacker đã đột nhập thành công vào tài khoản Gmail của nhiều người dùng tại Trung Quốc, làm dấy lên một cuộc tranh cãi nổ lửa giữa gã khổng lồ tìm kiếm và Chính phủ Mỹ với chính phủ Trung Quốc.

Ông Pedram Amini, phụ trách Nhóm Zero Day tại hãng bảo mật TippingPoint ước tính lỗ hổng IE có thể được bán với giá 40.000 USD. Những lỗ hổng có giá cao hơn có thể lây nhiễm malware vào máy tính mà không cần bất cứ sự can thiệp nào từ phía người dùng.

Nguồn: SecurityLabs

Thông thường, một lỗ hổng zero day xuất hiện do lỗi lập trình và chưa được khắc phục bởi hãng phần mềm không biết đến sự tồn tại của nó. Lần này, Microsoft đã biết về lỗ hổng từ tháng 9/2009, song lại không định phát hành miếng vá trước tháng 2. Lý lẽ của Microsoft là muốn dành sự ưu tiên cho những lỗ hổng khác mà theo họ là nghiêm trọng hơn.

Microsoft có thói quen vá nhiều lỗ hổng cùng lúc vì thử nghiệm từng miếng vá một rất tốn thời gian cũng như tốn kém. Nhưng bọn tội phạm đều nắm rõ chu trình phát hành bản vá hàng tháng của hãng, thế nên ngay khi nhận ra lỗ hổng zero-day sắp "cũ", chúng đã ra tay luôn trong tháng 12, trước khi Microsoft kịp bắt tay vào sửa lỗi.

Không hề khó kiếm

Bạn có thể cho rằng nếu như Microsoft bịt lỗ hổng trên sớm hơn, vụ việc Google đã không xảy ra. Song giới phân tích tin rằng hacker có thể dễ dàng tìm thấy một lỗ hổng khác để khai thác. "Lỗ hổng zero-day chẳng khó kiếm chút nào", ông Steve Santorelli, cựu chuyên gia bảo mật của Microsoft cho biết. "Chẳng cần có bằng Tiến sĩ về máy tính bạn cũng có thể tìm được lỗ hổng zero-day".

Dạo một vòng qua các khu chợ đen của giới tội phạm mạng, bạn có thể dễ dàng nhận thấy đủ loại lỗ hổng đang được rao bán với rất nhiều mức giá khác nhau, từ cao tới thấp.

Phòng thí nghiệm iDefense của VeriSign và TippingPoint đang chạy những chương trình chuyên mua lỗ hổng zero-day từ các hacker mũ trắng. Mục đích của họ là để cảnh báo các hãng phần mềm chứ không công bố công khai lỗ hổng. Mặt khác, họ cũng sử dụng thông tin này để vượt lên đối thủ khi xây dựng cơ chế bảo mật cho các sản phẩm.

Theo AP, nhiều cơ quan Chính phủ của Mỹ cũng bỏ tiền ra mua lỗ hổng để có thể cải thiện năng lực quân sự và phản gián của mình. Chuyên gia Amini của TippingPoint nghe nói có những chính phủ đã trả giá tới 1 triệu USD cho một lỗ hổng. Tất nhiên, do đặc thù, hiếm khi Chính phủ ra mặt mà thường giao dịch thông qua nhà thầu.

Khoản tiền hàng chục, hàng trăm nghìn USD quả thật là hấp dẫn với bất cứ ai, và nó đủ để khiến cho lương tâm giới bảo mật lung lay. "Bạn phải lựa chọn giữa việc bảo vệ người khác với sửa lại căn bếp đang hỏng. Tôi đã chọn phương án thứ hai, dù rất khó khăn. 50.000 USD quá lớn để có thể lắc đầu", một hacker mũ trắng có tên Miller tâm sự.

Các hãng phần mềm hiếm khi trả tiền cho các chuyên gia bên ngoài đối với những lỗ hổng mà họ tìm thấy. Nhưng sau vụ việc tại Trung Quốc, Google vừa thông báo sẽ trả tối thiểu 500 USD cho những ai phát hiện được một số loại lỗi bên trong trình duyệt Chrome. Trước đó, Mozilla cũng đã treo thưởng tương tự cho những lỗ hổng nghiêm trọng của Firefox.