Bài liên quan
Google vừa đưa ra tối hậu thư cho các chiến hữu công nghệ: hãy vá những lỗ hổng phần mềm của anh trong vòng 90 ngày hoặc không tôi sẽ công khai chúng.
Theo hãng tin Bloomberg, một nhóm hacker và lập trình viên ưu tú của Google chuyên phát hiện các lỗ hổng bảo mật của Google và các đối thủ vừa đưa ra hạn chót cho Apple và Microsoft phát hành bản vá các lỗ hổng mà Google phát hiện. Google cho hay họ muốn các nhà sản xuất phần mềm này phải hành động thật nhanh bởi tội phạm mạng khi phát hiện lỗ hổng sẽ ra tay với tốc độ ánh sáng.
Đây là một chủ đề khá nhạy cảm – các đối thủ của Google là Microsoft và Apple từ chối thảo luận về chiến thuật này, còn các hãng khác trong ngành bảo mật nói việc thông báo lỗ hổng cho nhà sản xuất không phải lúc nào cũng được hoan nghênh, vì bị cho là làm thay nhiệm vụ của chính phủ và có thể gây nguy hiểm cho an ninh.
"Tôi không rõ ai cho Google quyền trọng tài chính thức trên thị trường về thông báo lỗ hổng", John Dickson, một chuyên gia chính thuộc hãng phần mềm bảo mật Denim Group ở San Antonio (Mỹ) nói. Ông cho rằng gây sức ép lên các công ty để vá lỗ hổng là một ý tưởng tốt nhưng "động cơ tử tế của họ [Google] có thể bị đặt nghi vấn rằng họ cơ bản "bới" ra lỗ hổng cho hai đối thủ lớn nhất của mình".
Google thiết lập nhóm hacker hồi tháng Bảy năm ngoái, gọi là Project Zero sau khi các lỗ hổng bảo mật đáng sợ "zero day" bị khai thác trước khi các nhà phát triển phát hiện ra. Hãng cho biết đang cố gắng giúp mọi người cũng như bảo vệ sản phẩm của mình chạy trên các thiết bị và phần mềm của người khác.
Đó là một hoạt động mà một số chuyên gia bảo mật nói là phù hợp hơn so với một cơ quan chính phủ. Vai trò của khu vực công và tư trong lĩnh vực này đã được đặt lên nghị trình tại hội nghị an ninh mạng cấp cao diễn ra tại Palo Alto (California) ngày mai (13/02). Dự kiến, Tổng thống Mỹ Barack Obama sẽ kêu gọi các nhà lãnh đạo công nghệ cải thiện mối quan hệ hợp tác với chính phủ và chia sẻ thông tin nhiều hơn.
Vấn đề chia rẽ
Tuy nhiên, một số nhà nghiên cứu đang băn khoăn là có thể kỳ vọng hợp tác đến mức độ nào nếu như các công ty Internet lớn nhất không thể chơi đẹp với nhau?
"Chúng tôi ủng hộ bằng nhiều nỗ lực khác nhau, gồm cả Project Zero và chương trình săn lỗ hổng lĩnh thưởng Security Reward Programs, để phát hiện và xử lý các mối đe dọa trên mạng", Aaron Stein, người phát ngôn Google trả lời trong một email.
Apple từ chối bình luận trong khi Microsoft chỉ nhắc lại một thông cáo trước đó, trong đó có nói các chiến thuật của Google gây cảm giác giống như trò chơi gotcha, ngụ ý vấn đề này gây chia rẽ, khác biệt thế nào.
"Nếu những hãng này không thể thuận hòa với nhau thì đó là điều tồi tệ cho vấn đề bảo mật của toàn bộ hệ sinh thái", ông Jake Kouns, Giám đốc an ninh thông tin của hãng Risk Based Security nói.
Lỗ hổng Heartbleed
Những người phản đối tập quán của Google nói vấn đề an ninh mạng sẽ gặp rủi ro do việc tiết lộ trước khi chúng có thể được xử lý.
Các tin tặc ngày nay hành động rất nhanh để khai thác các lỗ hổng trước khi chúng được các chuyên gia, nhà phát triển phát hiện. Những kẻ tấn công được Trung Quốc chống lưng đã khai thác một lỗ hổng bảo mật nổi tiếng là Heartbleed, còn gọi là Trái tim rỉ máu, hồi năm ngoái để tấn công hãng Community Health Systems Inc. hơn một tuần sau khi lỗ hổng được công khai.
Hồi tháng Một vừa qua, Apple đã kêu gọi Google chờ khoảng một tuần trước khi công khai lỗ hổng để họ có thể khắc phục ba lỗ hổng trong hệ điều hành Mac OS X, theo một nguồn tin cho biết. Google biết bản vá sẽ sớm có và sở hữu phần mềm cập nhật bởi họ phục vụ như là một nhà phát triển cho Apple. Song bất kể thế nào, Google đều phủ nhận việc này và công bố thông tin chi tiết của các lỗ hổng.
Trong khi đó, Microsoft, đã đề nghị có thêm hai ngày để xử lý lỗ hổng trong Windows. Google đã từ chối và công khai lỗ hổng này.
Mọi người đều thiệt
"Quyết định có cảm tính hơn là nguyên tắc, thiên về giống "gotcha" với các khách hàng cuối cùng là người có thể chịu ảnh hưởng nhiều nhất", ông Chris Betz, một giám đốc cao cấp của Trung tâm ứng cứu khẩn cấp máy tính của Microsoft viết trên một bài blog đăng hôm 11/01 vừa qua. "Điều Google nghĩ là đúng không phải là luôn luôn đúng với khách hàng". Bài blog này là ý kiến công khai duy nhất của hãng về vấn đề này cho đến nay.
Microsoft đã đề nghị các nhà nghiên cứu tiết lộ lỗ hổng một cách riêng tư với các nhà cung cấp phần mềm, làm việc với họ cho đến khi một bản vá sẵn sàng, ông Betz nói. "Các chính sách và cách tiếp cận mà giới hạn hoặc lờ đi rằng mối quan hệ đối tác không có lợi cho nhà nghiên cứu, nhà cung cấp phần mềm hoặc các khách hàng của chúng tôi. Đó là một trò chơi tính toán zero mà tất cả các bên đều đi đến kết cục chung là chịu thiệt hại".
Những người ủng hộ Google nói cách tiếp cận thẳng thắn có thể thay đổi về cơ bản các tập quán của ngành phần mềm mà ở đó các công ty có thể mất hằng tháng hoặc thậm chí hằng năm để vá lỗ hổng.
Theo một nhà phân tích, Project Zero đã xác định được 39 lỗ hổng trong các sản phẩm của Apple và 20 lỗ hổng trong các sản phẩm của Microsoft. Nhóm này cũng đã phát hiện ra 37 lỗ hổng trong phần mềm của Adobe và 22 lỗ hổng trong phần mềm FreeType.
Chính sách khắt khe
Project Zero đã công khai thông tin trước khi một bản vá lỗ hổng được tung ra đối với Apple là 16 lần, Microsoft ba lần và một lần đối với Adobe.
Theo ông Tom Gurup, một nhà quản lý thuộc hãng Rook Security, chính sách khắt khe của Google là tốt cho ngành công nghiệp và hãng nên được biểu dương bởi họ đã "có sẵn khẩu súng trong tay". "Một anh bạn trên đường phố không có cái tát mạnh như Google được. Nếu chúng ta có những công ty khổng lồ như Microsoft, Apple và Google săm soi nhau và thúc đẩy vì sự an ninh tốt hơn thì đó là cuộc chơi cùng thắng".
Google tạo Project Zero sau khi các tiết lộ về lỗ hổng Heartbleed và gián điệp của Cơ quan An ninh quốc gia Mỹ và các cơ quan khác của chính phủ Mỹ.
"Bạn nên có quyền sử dụng Internet mà không cần phải lo sợ một kẻ tội phạm mạng hoặc những con rối do nhà nước tài trợ đang khai thác các lỗ hổng phần mềm để lây nhiễm máy tính của bạn, đánh cắp các bí mật hoặc giám sát mọi giao tiếp của bạn qua máy tính", theo một bài đăng trên blog của Project Zero. "Mục đích của chúng tôi là giảm đáng kể số người bị ảnh hưởng bởi các cuộc tấn công có mục đích".
Thị trường vá lỗi
Google cũng đang giúp thúc đẩy thị trường về phần mềm quản lý và vá lỗ hổng - một thị trường được dự báo có quy mô sẽ tăng đến 1 tỷ USD vào năm 2018 so với 600 triệu USD hồi năm 2014, ông Christopher Kissel, một nhà phân tích bảo mật mạng thuộc hãng nghiên cứu thị trường Frost & Sullivan nhận xét. Các hãng cung cấp các dịch vụ quản lý lỗ hổng như Hewlett-Packard, Tenable Network Security và Qualys được hưởng lợi từ việc chi phí cho hoạt động này gia tăng.
Số lỗ hổng Internet được phát hiện đã tăng mạnh từ 7.903 trong năm 2014 so với 5.174 hồi năm 2013, ông nói. Cũng trong năm ngoái, các công ty mất trung bình khoảng 205 ngày để biết rằng các hacker đã thâm nhập vào hệ thống của họ, theo hãng bảo mật FireEye.
Thanh Xuân
Lược dịch từ Bloomberg
Post a Comment