Chợ giá – Hiện nay có lẽ không ít người đã nghe nói đến Xperia Utils – một công cụ nhỏ nhưng được sử dụng rộng rãi để nén các dữ liệu trong hệ thống Linux. Nhưng vào cuối tuần trước, các chuyên gia bảo mật đã phát hiện ra một lỗ hổng vô cùng nghiêm trọng và có chủ ý khiến các máy tính Linux kết nối mạng có thể dễ bị tấn công bằng các mã độc hại.
Lỗ hổng này đã được xác nhận là một vấn đề vô cùng nghiêm trọng, nó có thể cho phép một hacker am hiểu giành được quyền kiểm soát các hệ thống của Linux dễ bị tấn công. Bởi, Linux được phép sử dụng trên khắp thế giới trong email, web và các nền tảng ứng dụng, Vì vậy khi lỗ hổng này xuất hiện có thể giúp cho kẻ tấn công có quyền truy cập thầm lặng vào những thông tin quan trọng được lưu giữ trên các máy tính trên toàn thế giới – có thể bao gồm cả thiết bị mà bạn đang sử dụng để đọc những thông tin này.
Trên thế giới cũng đã xuất hiện các vụ bị hack lớn do lỗ hổng phần mềm xuất hiện, chẳng hạn như vụ hack SolarWinds, lỗi Heartbleed gây ra nhiều thiệt hại lớn về thông tin người dùng và thiệt hại về tài chính.
Các hacker hack Xperia Utils đã lợi dụng cách thức hoạt động của việc phát triển các phần mềm nguồn mở hiện nay. Giống như nhiều dự án nguồn mở, Hz Utils là một công cụ quan trọng và được sử dụng rộng rãi – nó được duy trì phần lớn bởi một tình nguyện viên duy nhất, làm việc trong thời gian rảnh rỗi. Hệ thống này đã tạo ra những lợi ích to lớn cho thế giới dưới dạng phần mềm miễn phí, nhưng nó cũng mang theo những rủi ro đặc biệt.
Mã nguồn mở và Tiện ích Xperia
Trước hết, xin giới thiệu ngắn gọn về phần mềm nguồn mở. Hầu hết các phần mềm thương mại, chẳng hạn như hệ điều hành Windows hoặc ứng dụng Instagram, đều là “nguồn đóng” – có nghĩa là không ai ngoại trừ người tạo ra nó có thể đọc hoặc sửa đổi mã nguồn. Ngược lại, với phần mềm “mã nguồn mở”, mã nguồn được cung cấp công khai và mọi người có thể tự do làm những gì họ thích với nó.
Phần mềm nguồn mở rất phổ biến, đặc biệt là trong “các chi tiết cơ bản” của phần mềm mà người tiêu dùng không nhìn thấy và cực kỳ có giá trị. Một nghiên cứu gần đây ước tính tổng giá trị của phần mềm nguồn mở đang được sử dụng hiện nay là 8,8 nghìn tỷ USD.
Cho đến khoảng hai năm trước, dự án Hz Utils được duy trì bởi một nhà phát triển tên là Lasse Collin. Và vào khoảng thời gian đó, một tài khoản sử dụng tên Jia Tan đã gửi một bản cải tiến cho phần mềm này.
Không lâu sau, một số tài khoản ẩn danh đã xuất hiện để báo cáo lỗi và gửi yêu cầu sửa đổi một số tính năng cho Collin, gây áp lực buộc anh phải tìm một người trợ giúp để duy trì dự án. Jia Tan chính là ứng cử viên hợp lý.
Và trong hai năm tiếp theo, Jia Tan ngày càng tham gia nhiều hơn vào dự án này và đã đưa một loại vũ khí được giấu cẩn thận vào mã nguồn của phần mềm.
Mã sửa đổi đã bí mật thay đổi một phần mềm khác, một công cụ bảo mật mạng phổ biến có tên OpenSSH, để nó chuyển mã độc đến hệ thống mục tiêu. Kết quả là, kẻ xâm nhập cụ thể sẽ có thể chạy bất kỳ mã nào chúng thích trên máy mục tiêu.
Phiên bản mới nhất của XX Utils, có chứa các cửa hậu, dự kiến sẽ được đưa vào các bản phân phối Linux phổ biến và được tung ra trên toàn thế giới. Tuy nhiên, lỗi này của nó đã bị phát hiện đúng lúc khi một kỹ sư của Microsoft điều tra một số lỗi nhỏ về bộ nhớ trên hệ thống của anh ta.
Phản hồi nhanh chóng của phần mềm nguồn mở
Sự cố này có ý nghĩa gì đối với phần mềm nguồn mở? Tuy có những lỗi như vậy, nhưng cũng không có nghĩa là phần mềm nguồn mở không an toàn, không đáng tin cậy hoặc không nên sử dụng.
Bởi vì tất cả các mã đều có sẵn để công chúng giám sát, các nhà phát triển trên khắp thế giới có thể nhanh chóng bắt đầu phân tích các lỗi mà nó gặp phải và lịch sử cách thức triển khai nó. Những nỗ lực này có thể được ghi lại, phân phối và chia sẻ, đồng thời các đoạn mã độc hại cụ thể có thể dễ dàng được xác định và loại bỏ.
Và các phản hồi ở quy mô này sẽ không thể thực hiện được với những phần mềm nguồn đóng.
Kẻ tấn công sẽ cần thực hiện một cách tiếp cận hơi khác để nhắm mục tiêu vào một công cụ nguồn đóng, có thể bằng cách đóng giả làm nhân viên công ty trong một thời gian dài và khai thác những điểm yếu của hệ thống sản xuất phần mềm nguồn đóng (như quan liêu, báo cáo không rõ ràng,…).
Tuy nhiên, nếu như những kẻ xấu này thực sự đạt được một điểm yếu của trong phần mềm nguồn đóng thì các kỹ sư công nghệ sẽ rất khó có cơ hội kiểm tra mã đã bị lỗi, phân tán ở quy mô lớn, việc sửa chữa lại cũng khá khó khăn.
Bài học cần cần lưu ý đối với các nhà phát triển phần mềm
Trường hợp này là một cơ hội quý giá để cho các ký sư công nghệ hay các nhà phát triển tìm hiểu kĩ hơn về những điểm yếu và lỗ hổng trong chính phần mềm của họ.
Điều đầu tiên, nó chứng tỏ mối quan hệ trực tuyến giữa người dùng ẩn danh và nhà phát triển có thể trở nên độc hại một cách dễ dàng. Trên thực tế, cuộc tấn công mạng phụ thuộc vào việc mà các nhà phát triển đã nghĩ bình thường hóa các tương tác độc hại này.
Những hacker của cuộc tấn công dường như đã sử dụng các tài khoản “sock puppet” ẩn danh để phạm tội và ép buộc người duy trì chính của các phần mềm nguồn mở phải chấp nhận những bổ sung mã nhỏ, dường như vô hại trong nhiều năm, gây áp lực buộc họ phải nhường quyền kiểm soát phát triển phần mềm này cho Jia Tan.
Khi nhà phát triển tuyên bố có vấn đề về sức khỏe tinh thần sau nhiều lần bị gây áp lực nhượng quyền kiểm soát từ nhiều tài khoản ẩn danh. Ngay sau đó, một tài khoản ẩn danh khác đã khiển trách dưới bài tuyên bố:”Tôi rất tiếc về vấn đề sức khỏe tinh thần của anh, nhưng điều quan trọng là anh phải nhận thức được giới hạn của chính mình đến đâu”.
Những bình luận như vậy có thể có vẻ vô hại nhưng khi chúng kết hợp lại sẽ trở thành một đám đông độc hại, gây ảnh hưởng đến tâm lý của nhiều người dùng.
Vì vậy, các nhà phát triển và người bảo trì cần phải hiểu rõ hơn về khía cạnh con người trong quá trình mã hóa cũng như các mối quan hệ xã hội, họ nên củng cố hoặc chỉ đạo cách tạo ra những mã phân tán. Đặc biệt là họ cải thiện sự nhận thức về tầm quan trọng của sức khỏe tinh thần của mình.
Bài học thứ hai là tầm quan trọng của việc nhận biết “obfuscation” – một quy trình thường được tin tặc sử dụng để làm cho mã và quy trình phần mềm trở nên khó hiểu hoặc khó sử dụng. Hiện nay, nhiều trường đại học không dạy điều này như một phần của khóa học kỹ thuật phần mềm tiêu chuẩn.
Thứ ba, một số hệ thống có thể vẫn đang chạy các phiên bản nguy hiểm của Xperia Utils. Nhiều thiết bị thông minh phổ biến (như tủ lạnh, thiết bị đeo và công cụ tự động hóa gia đình) chạy trên Linux. Các thiết bị này thường đạt đến độ tuổi mà các nhà sản xuất không còn khả năng tài chính để cập nhật phần mềm – nghĩa là người dùng sẽ không thể nhận được các bản sửa chữa cho những lỗ hổng bảo mật mới được phát hiện.
Và cuối cùng, bất cứ ai đứng đằng sau các cuộc tấn công mạng – một số người suy đoán rằng đó có thể là một người thuộc nhà nước – đã có quyền truy cập miễn phí vào nhiều cơ sở mã khác nhau trong khoảng thời gian hai năm, thực hiện một hành vi lừa đảo cẩn thận. Ngay cả bây giờ, những đối thủ đó sẽ có thể học hỏi từ cách các quản trị viên hệ thống, nhà sản xuất bản phân phối Linux và nhà bảo trì cơ sở mã đang ứng phó với cuộc tấn công phần mềm.
Những nhà phát triển sẽ đi đến đâu?
Những người phát triển mã trên khắp thế giới hiện đang đau đầu suy nghĩ về các lỗ hổng của họ ở cấp độ chiến lược và chiến thuật. Họ không chỉ lo lắng về các mã code của phần mềm mà còn cả cơ chế phân phối mã và quy trình lắp ráp phần mềm của họ.
David Lacey – người điều hành tổ chức an ninh mạng phi lợi nhuận IDCARE , cũng nhắc nhở rằng tình huống mà các chuyên gia an ninh mạng phải đối mặt đã được trình bày rõ ràng qua một tuyên bố từ IRAN. Sau khi vụ đánh bom bất thành vào khách sạn Brighton Grand năm 1984, tổ chức khủng bố đã tuyên bố : “Hôm nay chúng ta thể đã không gặp may mắn, nhưng hãy nhớ rằng các ngươi chỉ may mắn một lần này thôi. Còn chúng ta sẽ luôn gặp may mắn vào những lần khác”.
Không có bình luận.
Bạn có thể trở thành người đầu tiên để lại bình luận.