Cần tập trung vào phòng thủ chứ không nên “săn lỗi phần mềm”

Mọi người tập trung quá nhiều vào các lỗ hổng và khiếm khuyết trong phần mềm, Brad Arkin, giám đốc sản phẩm bảo mật của Adobe, cho biết trong bài phát biểu của mình tại Hội nghị thượng đỉnh phân tích bảo mật của Kaspersky Lab ngày 2/2. Thay vì tập trung vào các lỗ hổng, các nhà nghiên cứu bảo mật cần phải suy nghĩ về những cách gây khó khăn cho việc nhắm mục tiêu vào các ứng dụng này, Arkin nói.

Các nhà nghiên cứu bảo mật thường quá tập trung vào nghiên cứu "tấn công", và thường xuyên cung cấp đủ thông tin tạo điều kiện dễ dàng hơn cho những kẻ tấn công quan tâm đến việc phát triển mã khai thác lỗi, Arkin nói. Sau khi nghiên cứu được công bố hoặc được trình bày tại một hội nghị, thông tin luôn sẵn và những kẻ tấn công không cần phải mất công nghiên cứu lại từ đầu.

Để chứng minh quan điểm của mình, Arkin đã thảo luận về các lỗ hổng zero-day mới đây được tiết lộ và vá trong Adobe Reader. Các cuộc tấn công khai thác lỗ hổng đó hoàn toàn tập trung vào các công ty quốc phòng. Dưới 20 máy móc đã lây lan qua một số công ty quốc phòng bị nhắm mục tiêu trong các cuộc tấn công, theo Arkin.

Bất chấp tính chất tinh vi của cuộc tấn công, những kẻ tấn công đã sử dụng một phím tắt để tạo ra khai thác. Lỗ hổng zero-day đã được khai thác bằng cách sử dụng một mã chứng minh khái niệm (proof-of-concept) ba năm được viết bởi một nhà nghiên cứu bảo mật, theo Arkin. Khai thác đã được công bố công khai nên họ không phải mất công tìm ra cách để sử dụng lỗ hổng.

Arkin đã không nói với các nhà nghiên cứu bảo mật tham gia hội nghị rằng họ không nên thảo luận về những khám phá của họ. Tuy nhiên, ông cảm thấy họ nên ngừng suy nghĩ rằng những kẻ tội phạm mạng xử lý các khai thác được tiết lộ công khai như là R&D miễn phí cho mục đích của họ.

"Các nhà nghiên cứu cần phải xem xét hậu quả có thể sẽ xảy ra một khi một kỹ thuật hoặc một khai thác được tiết lộ", Arkin nói.

Theo Arkin, thay vì tìm kiếm các kỹ thuật tấn công mới, sẽ hữu ích hơn nếu tìm ra những cách gây khó khăn cho việc tấn công các lỗ hổng.

Ví dụ, Arkin đã lưu ý rằng khai thác nhằm vào các công ty quốc phòng trong cuộc tấn công gần đây đã bị chặn trong Acrobat và Reader X. Adobe đã vội vã tung ra một bản vá lỗi của Adobe Reader và Acrobat 9.x dành cho Windows vì đó là phiên bản không có công nghệ bảo vệ. Lỗ hổng trong Reader và Acrobat X cho Windows đã được vá như là một phần của bản cập nhật của Adobe vào tháng Giêng.

Mục tiêu của Adobe không phải là cố gắng giải quyết tất cả các lỗ hổng được phát hiện trong phần mềm, mà là gây khó khăn để làm tăng chi phí của việc viết các khai thác bằng cách đầu tư vào các công nghệ giảm lỗi (mitigation technology). Chỉ có khoảng hai chục lỗ hổng trong các sản phẩm Adobe được xác định trong hai năm qua là thực sự phù hợp với mã khai thác, Arkin nói.

Việc tìm lỗi là "khá đơn giản", việc viết mã khai thác thì "khó khăn hơn", và việc viết một khai thác đáng tin cậy có thể hoạt động mọi lúc thì "thậm chí còn khó khăn hơn", Arkin nói.

Minh Phượng