Cần tập trung vào phòng thủ chứ không nên “săn lỗi phần mềm”

04/11/2015 08:13
Theo dõi ICTVietnam trên

Các nhà nghiên cứu bảo mật không nên tập trung chú ý vào việc săn các lỗ hổng và cần phải bắt đầu suy nghĩ về những cách gây khó khăn cho việc tạo ra các khai thác, theo một chuyên gia an ninh từ Adobe.

Mọi người tập trung quá nhiều vào các lỗ hổng và khiếm khuyết trong phần mềm, Brad Arkin, giám đốc sản phẩm bảo mật của Adobe, cho biết trong bài phát biểu của mình tại Hội nghị thượng đỉnh phân tích bảo mật của Kaspersky Lab ngày 2/2. Thay vì tập trung vào các lỗ hổng, các nhà nghiên cứu bảo mật cần phải suy nghĩ về những cách gây khó khăn cho việc nhắm mục tiêu vào các ứng dụng này, Arkin nói.

Các nhà nghiên cứu bảo mật thường quá tập trung vào nghiên cứu "tấn công", và thường xuyên cung cấp đủ thông tin tạo điều kiện dễ dàng hơn cho những kẻ tấn công quan tâm đến việc phát triển mã khai thác lỗi, Arkin nói. Sau khi nghiên cứu được công bố hoặc được trình bày tại một hội nghị, thông tin luôn sẵn và những kẻ tấn công không cần phải mất công nghiên cứu lại từ đầu.

Để chứng minh quan điểm của mình, Arkin đã thảo luận về các lỗ hổng zero-day mới đây được tiết lộ và vá trong Adobe Reader. Các cuộc tấn công khai thác lỗ hổng đó hoàn toàn tập trung vào các công ty quốc phòng. Dưới 20 máy móc đã lây lan qua một số công ty quốc phòng bị nhắm mục tiêu trong các cuộc tấn công, theo Arkin.

Bất chấp tính chất tinh vi của cuộc tấn công, những kẻ tấn công đã sử dụng một phím tắt để tạo ra khai thác. Lỗ hổng zero-day đã được khai thác bằng cách sử dụng một mã chứng minh khái niệm (proof-of-concept) ba năm được viết bởi một nhà nghiên cứu bảo mật, theo Arkin. Khai thác đã được công bố công khai nên họ không phải mất công tìm ra cách để sử dụng lỗ hổng.

Arkin đã không nói với các nhà nghiên cứu bảo mật tham gia hội nghị rằng họ không nên thảo luận về những khám phá của họ. Tuy nhiên, ông cảm thấy họ nên ngừng suy nghĩ rằng những kẻ tội phạm mạng xử lý các khai thác được tiết lộ công khai như là R&D miễn phí cho mục đích của họ.

"Các nhà nghiên cứu cần phải xem xét hậu quả có thể sẽ xảy ra một khi một kỹ thuật hoặc một khai thác được tiết lộ", Arkin nói.

Theo Arkin, thay vì tìm kiếm các kỹ thuật tấn công mới, sẽ hữu ích hơn nếu tìm ra những cách gây khó khăn cho việc tấn công các lỗ hổng.

Ví dụ, Arkin đã lưu ý rằng khai thác nhằm vào các công ty quốc phòng trong cuộc tấn công gần đây đã bị chặn trong Acrobat và Reader X. Adobe đã vội vã tung ra một bản vá lỗi của Adobe Reader và Acrobat 9.x dành cho Windows vì đó là phiên bản không có công nghệ bảo vệ. Lỗ hổng trong Reader và Acrobat X cho Windows đã được vá như là một phần của bản cập nhật của Adobe vào tháng Giêng.

Mục tiêu của Adobe không phải là cố gắng giải quyết tất cả các lỗ hổng được phát hiện trong phần mềm, mà là gây khó khăn để làm tăng chi phí của việc viết các khai thác bằng cách đầu tư vào các công nghệ giảm lỗi (mitigation technology). Chỉ có khoảng hai chục lỗ hổng trong các sản phẩm Adobe được xác định trong hai năm qua là thực sự phù hợp với mã khai thác, Arkin nói.

Việc tìm lỗi là "khá đơn giản", việc viết mã khai thác thì "khó khăn hơn", và việc viết một khai thác đáng tin cậy có thể hoạt động mọi lúc thì "thậm chí còn khó khăn hơn", Arkin nói.

Minh Phượng

Nổi bật Tạp chí Thông tin & Truyền thông
  • Tập đoàn VNPT tăng trưởng 7% năm 2024
    Năm 2024, mặc dù thị trường viễn thông - công nghệ thông tin gặp khá nhiều khó khăn, song với nhiều nỗ lực và quyết tâm cao, Tập đoàn VNPT vẫn giữ vững thị phần với các dịch vụ trọng điểm, tối ưu chi phí, để doanh thu, lợi nhuận toàn Tập đoàn được duy trì và tăng trưởng so với cùng kỳ.
  • Hướng tới vinh danh các "Sản phẩm công nghệ số Make in Viet Nam” 2024
    Giải thưởng "Sản phẩm công nghệ số Make in Viet Nam" là giải thưởng vinh danh những sản phẩm, giải pháp, nền tảng xuất sắc, tiêu biểu, thể hiện năng lực của doanh nghiệp Việt và người Việt trong việc làm chủ về công nghệ, chủ động thiết kế, chế tạo các sản phẩm công nghệ số.
  • 5,5 tỷ người trên thế giới sử dụng Internet
    Theo báo cáo mang tên “Thực tế và Con số 2024” của Liên minh Viễn thông Quốc tế (ITU), năm 2024 đã có thêm 227 triệu người được tiếp cận Internet, nâng tổng số người sử dụng Internet lên 5,5 tỷ người, chiếm 68% dân số toàn cầu.
  • Bưu điện hợp tác với công ty hàng đầu Hàn Quốc về công nghệ, sàn giao dịch dữ liệu
    Tổng công ty Bưu điện Việt Nam (Vietnam Post) và Công ty DataStreams Corp (DataStreams) hợp tác trong lĩnh vực công nghệ dữ liệu nhằm khai thác sức mạnh dữ liệu để nâng cao hiệu quả hoạt động, tăng cường năng lực cạnh tranh và mang lại giá trị gia tăng cho khách hàng.
  • Chấn chỉnh, đảm bảo hoạt động bán hàng đa cấp diễn ra trong khuôn khổ pháp luật
    Các hoạt động bán hàng đa cấp ngày càng biến tướng ti vi dưới nhiều hình thức. Đây là lĩnh vực kinh doanh nhạy cảm, dễ bị biến tướng thành các hoạt động lừa đảo, huy động tài chính bất hợp pháp, gây hệ lụy xấu trên quy mô lớn cho xã hội.
Đừng bỏ lỡ
Cần tập trung vào phòng thủ chứ không nên “săn lỗi phần mềm”
POWERED BY ONECMS - A PRODUCT OF NEKO