Sự thiếu an toàn của Internet – Phần 3

Sự thiếu an toàn của Internet - Phần 3

Phần 3: Hiểm họa được báo trước – và bị làm ngơ

 

Tháng 5/1998, một nhóm hacker bao gồm 7 người ngồi trước Quốc hội Mỹ để cảnh báo về sự thiếu an toàn của Internet. Những người này không phải là những chuyên gia phân tích hay các học giả bác học đến từ những viện nghiên cứu nổi tiếng, họ chỉ là những hacker xuất hiện từ hư vô để mang đến một thông điệp vô cùng đáng sợ.

7 Hacker L0pht

Các hacker đó bao gồm Brian Oblivion, Tan, Kingpin, Mudge, Weld Pond, Space Rogue, Stefan von Neumann, tất cả đều là nickname chứ không phải tên thật. Bọn họ đã cùng nhau hoạt động trong một nhóm gọi là L0pht.

Họ nói với các nghị sĩ Mỹ rằng chiếc máy tính của các ông bà không an toàn. Không phải vì phần mềm, không phải vì phần cứng, cũng không phải là ở mạng đang nối chúng với nhau. Các công ty làm ra những thứ này không quan tâm, và họ không có lý do gì để quan tâm bởi nếu hệ thống bị sập thì họ chẳng mất gì. Nghiêm trọng hơn, chính quyền liên bang không làm gì, cũng không có đủ kĩ năng để làm gì. “Nếu các ông muốn an toàn thông tin, Internet không phải là nơi các ông muốn tìm tới”, Mudge – lúc đó đang 27 tuổi – nói thêm: “Bản thân Internet có thể bị đánh sập bởi bất kì người nào trong số 7 cá nhân đang ngồi trước mặt các ông bà”.

Các nghị sĩ nói rõ rằng họ hoàn toàn hiểu tính nghiêm trọng của vấn đề. “Chúng ta phải làm gì đó về chuyện này”, nghị sĩ Fred D. Thompson phát biểu. Nhưng đáng tiếc thay, cơ hội đã bị bỏ qua, và 17 năm sau, thế giới vẫn đang phải đối mặt với sự mong manh của Internet.

Đây là Mudge - tên thật là Peiter Zatko

Đây là Mudge – tên thật là Peiter Zatko. Anh là người đã phá được cơ chế password của Windows​

Ngoài L0pht, nhiều cảnh báo cũng đã được đưa ra trong những năm 1990 về sự thiếu an toàn của Internet, cũng như những hiểm họa có thể xảy ra khi Internet đang trở thành một phần của nền kinh tế thế giới. Mọi thứ càng trở nên nghiêm trọng hơn khi World Wide Web ra đời, mở ra một vũ trụ rộng lớn có thể khiến mọi thứ, từ chiếc máy tính cá nhân cho đến các hệ thống dùng trong nhà máy điện, nhà máy nước, bị kiểm soát từ xa và dùng cho mục đích xấu.

Các công ty công nghệ thì thường chỉ khắc phục vấn đề bảo mật sau khi các hacker hay viện nghiên cứu công bố rộng rãi về lỗ hổng bảo mật. Ít có công ty nào chịu chấp nhận chi phí làm mới cần thiết để giúp hệ thống của họ trở nên an toàn hơn. Lý do đơn giản: lợi nhuận của họ phụ thuộc vào nhiều yếu tố khác, ví dụ như các tính năng mới hay các chức năng đẹp mắt, chứ không phải việc ngăn chặn các tin tặc với ý đồ xấu.

Kết quả của cách làm việc này đó là văn hóa “vá và cầu nguyện” (patch and pray) đã được sản sinh ra. Các công ty cứ tiếp tục xây dựng sản phẩm công nghệ của mình, cứ bán chúng thoải mái đến người tiêu dùng, khi nào cần thì vá lỗi sau. Nếu một hệ thống bị sập khiến dữ liệu bị mất hay bị đánh cắp thì gánh nặng khi đó đè lên vai người tiêu dùng và khách hàng, các công ty lớn không chịu trách nhiệm.

Quay trở lại với L0pht, nhóm cho biết họ rất thường thấy thái độ này trong khi làm công việc chính thống của mình. Khi họ phát hiện ra những lỗi phần mềm và báo cáo cho các nhà phát triển, thường câu đầu tiên họ được hỏi là: Còn ai khác biết về chuyện này nữa không?

 

Thiên đường của những gã mê công nghệ

Các hacker trong nhóm L0pht gặp nhau trên mạng, chủ yếu thông qua các diễn đàn để trao đổi về kinh nghiệm cũng như thủ thuật sử dụng máy tính. Họ đã từng thử nghiệm việc làm tràn bộ đệm của ô nhập password trên Windows khiến hệ thống bị sập, mở đường cho những can thiệp sâu hơn. Chris Wysopal, người có nickname Weld Pond, cho biết: “Sự khác biệt giữa các cách mà nó được thiết ra để chạy và thực tế nó chạy như thế nào chính là nơi các mối nguy hiểm tiềm ẩn”.

Nơi gặp gỡ đầu tiên của L0pht là một cái gác xép (loft) nằm trên một cửa hàng bán đồ gỗ ở Boston. Bên ngoài thì nhìn căn nhà này cũng bình thường, nhưng bên trong nó chứa rất nhiều máy tính, một cái TV, một băng ghế sô pha, có cả bia lạnh và một khu vực chơi game nữa. Joe Grand, một người thích trượt ván và cũng thành viên trẻ nhất trong L0pht, nhớ lại: “Lúc bước vào đó thật đáng sợ, nhưng khi đã vào trong thì Ahhhhh. Đó giống như một cái trại tị nạn theo nhiều cách khác nhau. Nó thật sự đã định hình cuộc đời tôi”.

Các thành viên của L0pht thường có thói quen tái chế phần cứng để bán tại các khu chợ trời

Hầu hết những thứ mà L0pht nghịch ngợm được thu thập từ các bãi phế thải của Boston. Các thành viên của L0pht thường có thói quen tái chế phần cứng để bán tại các khu chợ trời, còn tiền đó thì họ cùng góp chung để trả tiền thuê căn gác như hóa đơn điện nước. Một số món đồ khác thì được giữ lại để phục vụ cho sở thích nghịch đồ công nghệ của cả nhóm. Và tất nhiên, không thể không kể đến những lúc nhóm cố gắng phá hỏng một phần mềm nào đó để tìm ra lỗ hổng bảo mật mà nhà sản xuất không (thèm) phát hiện ra.

Nếu L0pht không bận bịu với việc của mình, họ thường giúp những người khác tìm ra lỗi trong hệ thống của họ. Bọn họ thường hay tụ tập ở một quán bar nơi mà người nào tìm ra một lỗ hổng bảo mật thì sẽ được tặng một ly bia miễn phí. Song song đó, L0pht còn có một trang tin Hacker News Network (được điều hành bởi Space Rogue) nhằm cung cấp cho thế giới biết về các tin tức bảo mật và những phát hiện mới của mình.

Dần dần, Hacker News Network được nhiều người quan tâm nên nó bắt đầu thu hút quảng cáo. Nhóm không muốn sử dụng website chính của mình – L0pht.com – để đặt quảng cáo, thế nên họ quyết định sẽ lấy tiền từ Hacker News Network. Một trong những mẩu quảng cáo trả tiền đầu tiên trên web này là về các cô dâu người Nga.

Lý do mà nhóm sử dụng nickname là vì họ lo sợ bị đuổi việc nếu nhà tuyển dụng của họ phát hiện ra những hoạt động của họ. Đồng thời, L0pht cũng hạn chế phơi bày danh tính của mình để tránh bị các công ty thưa kiện, một nỗi lo đến giờ vẫn còn đối với những ai làm nghề bảo mật tự do.

 

Phơi bày lỗ hổng bảo mật cho mọi người xem

L0pht thường tự mô tả mình như là các “hacker mũ xám”, nằm ở giữa những “hacker mũ trắng” chuyên làm việc tốt với các “hacker mũ đen” chuyên đi phá hoại. Nhóm thường lấy các lỗ hổng bảo mật ra để trêu những công ty lớn, ví dụ như Microsoft, vì họ đã bán các sản phẩm thiếu an toàn đến người dùng của mình. L0pht cũng từng phát hiện khá nhiều lỗi nghiêm trọng trong các phần mềm được sử dụng phổ biến trên thế giới, cả các phần mềm tiêu dùng lẫn phần mềm dành cho doanh nghiệp.

Nhóm hacker này cũng là một trong những nhóm đi đầu quy tắc “tiết lộ có trách nhiệm” và nó vẫn còn được dùng rất nhiều ngay cả ở thời điểm hiện tại. Theo quy tắc này, các nhóm nghiên cứu nếu phát hiện ra lỗi bảo mật thì phải thông báo trước cho hãng làm phần cứng hoặc phần mềm, cho hãng một thời gian để khắc phục lỗi rồi sau đó mới công bố thông tin lên các phương tiện thông tin đại chúng. Giờ thì thậm chí các công ty còn thưởng tiền và đồ vật cho những ai tìm ra lỗi hệ thống.

Năm 1995, Bill Gates đề ra chiến lược “Internet hóa” Windows. Hãng bắt đầu làm trình duyệt Internet Explorer nổi tiếng, sau đó đến các plugin ActiveX, rồi tiếp theo là sự phổ biến của Adobe Flash cũng như các ứng dụng dùng Java chạy trên web. Tất cả những thứ này đã góp phần giúp World Wide Web trở nên phong phú, đa dạng hơn, nhưng cũng vô tình mở ra cánh cửa để các hacker thoải mái can thiệp vào hệ thống của người dùng.

Paul Nash, nickname Silicosis (trái), và Chris Wysopal

Paul Nash, nickname Silicosis (trái), và Chris Wysopal, nickname Weld Pond (phải). Họ là hai trong số các thành viên của L0pht nghỉ việc làm chính thức của mình để tham gia vào @Stake, một công ty bảo mật được xây dựng dựa trên danh tiếng của L0pht. @Stake trải qua nhiều giai đoạn thăng trầm và cuối cùng bị Symantec mua lại năm 2004​

Và đáng buồn thay, cũng không nhiều người quan tâm đến bảo mật vào thời điểm đó. Ở Microsoft, người ta tập trung vào việc làm cho tính năng đó chạy được hơn là việc làm cho chúng trở nên an toàn hơn. Cũng đúng thôi khi mà lợi nhuận của công ty phụ thuộc vào những tính năng mới hơn là vào tính bảo mật. Lời cảnh báo của L0pht lại một lần nữa trở nên đúng đắn, nhưng nó lại bị bỏ qua và dẫn đến những hậu quả vô cùng nghiêm trọng, ví dụ như vụ Y2K nổi tiếng hay con sâu máy tính ILOVEYOU khiến 10% PC trên thế giới bị lây nhiễm và tốn đến gần 20 tỉ USD để dọn hậu quả.

Riêng về Microsoft, “kẻ thù” của L0pht, cuối cùng họ cũng dành nhiều sự quan tâm hơn cho việc bảo mật. Nhiều khách hàng lớn nói với Gates rằng nếu ông ấy không làm cho phần mềm của mình an toàn hơn thì họ sẽ chuyển sang dùng những giải pháp khác. Trong một bức thư gửi cho toàn công ty vào tháng 1/2002, Gates có nói rằng bảo mật là thứ nhận được “sự ưu tiên cao nhất trong số những gì mà chúng ta đang làm”. Kết quả là công ty đưa cả nghìn kĩ sư ra khỏi việc phát triển sản phẩm và chuyển họ sang mảng bảo mật. Gates cũng cho một nhóm các quan chức của mình đến một căn nhà gỗ cách khoảng 15 phút lái xe tính từ trụ sở chính của công ty và họ buộc phải tìm ra giải pháp cho vấn đề bảo mật, bằng không thì đừng quay lại công ty.

Dù gì đi nữa thì các lỗ hổng bảo mật sẽ không bao giờ được vá một cách hoàn chỉnh. Nếu bạn vá chỗ này các hacker lại tìm ra chỗ khác để mà luồn lách, giống như cách mà một dòng nước tự tìm ra các lỗ nhỏ để liên tục chảy vậy. Với sự góp sức của L0pht và những nhóm hacker tốt khác, họ có thể giúp hạn chế được rủi ro bảo mật, nhưng sẽ không bao giờ có thể loại bỏ hoàn toàn những hiểm họa đối với thế giới Internet cũng như môi trường máy tính hiện nay.

 

Kết

Nói tóm lại, những vấn đề rắc rối liên quan đến tính bảo mật của Internet không phải mới xuất hiện. Chúng đã tồn tại từ những ngày đầu hệ thống mạng này ra đời, có điều người ta không quan tâm đến chúng vì có những ưu tiên khác quan trọng hơn. Những nỗ lực để tăng tính an toàn, ví dụ như việc đưa bảo mật vào TCI/IP hay thay đổi BGP, thì đã bị bỏ rơi do các giới hạn công nghệ và kĩ thuật cũng như chi phí kinh doanh thời đó. Những vấn đề nói trên có thể sẽ không bao giờ được khắc phục chừng nào Internet còn đang vận hành và còn ảnh hưởng đến cuộc sống cũng như việc kinh doanh của rất nhiều cá nhân, tổ chức trên toàn thế giới. Hay nói cách khác, phóng lao thì phải theo lao, và chúng ta buộc phải chấp nhận một sự thật rằng ở cốt lõi Internet rất dễ bị tổn thương và sẽ không có giải pháp dễ dàng nào có thể sớm xuất hiện.

 

Tham khảo: Tinhte, Washingtonpost

Leave a Reply

Be the First to Comment!

Notify of
avatar
wpDiscuz