Phần mềm theo dõi virus 'vẽ đường' cho hacker

Các chương trình theo dõi và ghi nhận những hiện tượng bất thường trên Internet do các hãng bảo mật thiết lập bí mật đang bị tin tặc phát hiện và lợi dụng vào những hoạt động tấn công của chúng

Giống như những chiếc camera giám sát, các chương trình gọi là sensor này thường được ẩn đi để tránh bị hacker phát hiện và đối phó. Dựa vào chương trình này, các trung tâm quản lý Internet có thể đưa ra thông báo về những thay đổi trong hoạt động mạng, nhằm hỗ trợ các nhà phân tích theo dõi và tìm kiếm giải pháp xử lý.

Tuy nhiên, trong báo cáo "Kết hợp phần mềm theo dõi Internet với tấn công thăm dò phản ứng" tại Hội nghị chuyên đề bảo mật Usenix diễn ra ngày 4/7 tại Mỹ, nhóm nghiên cứu thuộc trường đại học Wisconsin khuyến cáo rằng hacker vẫn có thể định vị các sensor để thực hiện những hành vi bất chính mà không sợ bị phát hiện. John Bethencourt, một trong những tác giả của nhóm nghiên cứu, cho biết chính những thông báo của các trung tâm quản lý mạng lại gợi ý cho kẻ tấn công viết thuật toán xác định chương trình. Tất cả những gì tin tặc phải làm là tung các gói thông tin lên địa chỉ IP và sau đó kiểm tra xem liệu hành động này có xuất hiện trong thông báo không. Nếu không, "có thể kết luận một cách an toàn rằng địa chỉ đó không nằm trong tầm kiểm soát", Bethencourt nói.

Sau khi mở cuộc tấn công giả vào các địa chỉ IP ngẫu nhiên trên mạng SANS (Mỹ), nhóm Bethencourt không cần đến một tuần để khám phá và nhận dạng chương trình do thám trong mạng này cũng như nhiều mạng tương tự khác.

Một số nhà nghiên cứu Nhật cũng đưa ra kết luận tương tự trong báo cáo "Lỗ hổng Internet đe doạ chương trình kiểm soát". Họ khẳng định có thể tạo ra một số thuật toán phần mềm do thám trong khoảng thời gian tương đối ngắn.

"Chúng tôi tin rằng đã phát hiện ra mối đe doạ Internet hoàn toàn mới", nhóm nghiên cứu tuyên bố. "Đây không phải nguy cơ với hệ thống máy chủ, mà là mối đe doạ ở cấp độ cao hơn - hệ thống được xây dựng để bảo vệ sự an toàn của máy chủ".

Dù vậy, cả hai nhóm đều khẳng định mức độ nguy hiểm sẽ được xoá bỏ nếu SANS và các trung tâm quản lý khác không báo cáo quá chi tiết về sơ đồ hoạt động mạng. Hơn nữa, sự mở rộng IPv6, thế hệ Internet mới, cũng có thể ngăn chặn các cuộc tấn công nhờ địa chỉ IP dài hơn.