Việc phân loại lỗ hổng bảo mật, tìm ra và khắc phục kịp thời là vô cùng quan trong và cần thiết. Các loại lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu gây ra các cuộc tấn công mạng nhắm vào tổ chức, doanh nghiệp và gây ra thiệt hại lên tới hàng ngàn tỉ USD trên toàn cầu.
Khi nói đến bảo mật, có rất nhiều khía cạnh ta cần lưu tâm. Trong đó tìm kiếm và cài đặt một phần mềm antivirus tốt. Mới chỉ là một mặt của vấn đề.
Hẳn trong các bài viết về bảo mật. Bạn đã nghe phát chán những chuyện như tránh website khả nghi. Chỉ download phần mềm từ các nguồn chính thức. Để ý giao thức mã hóa SSL khi đăng nhập. Sử dụng mật khẩu ở đâu đó. Nhớ đăng xuất khi dùng máy công cộng… Chúng ta sẽ cùng tìm hiểu thêm một chút về việc phân loại lỗ hổng bảo mật.
Phân loại lỗ hổng bảo mật – Lỗi phần mềm
Trong phần lớn trường hợp, nếu một phần mềm được sản xuất một cách chuyên nghiệp. Các lỗi này không thể có tác động gì quá lớn. Nhất là đến các khía cạnh về bảo mật. Cùng lắm ta sẽ thấy một vài chức năng không hoạt động. Đôi lúc phần mềm “treo” khi đang làm việc hoặc làm việc chậm chạp…
Nhưng nói vậy không có nghĩa là. Những lỗi nghiêm trọng liên quan đến bảo mật không thể xảy ra. Nói cụ thể hơn một chút. Đó là những lỗi phần mềm mà người ngoài có thể khai thác. Để tác động thay đổi cách phần mềm vận hành. Đưa thêm vào các đoạn mã tự viết, xem các dữ liệu mà phần mềm quản lí…
Ngoài các nguyên nhân chủ quan như sự bất cẩn khi sử dụng của người dùng. Click vào đường link lạ, download các phần mềm độc hại. Các lỗi này là một trong những khe hở chính. Mà tin tặc thường tập trung khai thác. Để xâm nhập vào các hệ thống máy móc. Từ các máy chủ đến các máy cá nhân của người dùng cuối.
Nếu lỗ hổng này thuộc về một phần mềm không phổ biến. Chỉ phục vụ vài tác vụ đơn giản. Và không có vai trò quan trọng trong hệ thống. Hiển nhiên hiểm họa về bảo mật vẫn có nhưng không nghiêm trọng.
Nhưng hệ thống phần mềm càng phức tạp, đồ sộ. Thì hiển nhiên việc kiểm soát sự xuất hiện của những lỗi này càng khó. Bất kể các kĩ sư thiết kế có trình độ cao đến đâu. Và chính những phần mềm này lại thường chiếm vai trò chủ chốt. Cũng như tác động đến nhiều ngóc ngách của hệ thống.
Nhờ len lỏi qua kẽ hở tạo ra bởi lỗi của những phần mềm này. Kẻ xấu có thể thực hiện những thay đổi nhất định lên máy móc của người dùng. Hay nắm được quyền điều khiển, truy cập các thông tin nhạy cảm.
Zero-Day Exploits – Đòn tấn công âm thầm
Thực tế, các lỗ hổng có thể bị khai thác. Sử dụng cho mục đích xấu tồn tại trên bất cứ phần mềm nào. Thậm chí có những phần của thiết kế khó có thể bị cho là lỗi. Cho đến khi xuất hiện những công nghệ. Cho phép người ngoài khai thác nó. Khiến cho tác giả phải thiết kế lại cách sản phẩm của mình vận hành.
Khi cập nhật phần mềm mới. Ngoài việc đôi lúc thấy xuất hiện các chức năng mới. Hay hiệu năng hoạt động được cải thiện. Chắc hẳn không ít lần bạn thấy changelog (danh sách các thay đổi). Xuất hiện một loạt các sửa chửa lỗi gần đây nhất. Những người tạo ra một sản phẩm.
Dĩ nhiên phải là người hiểu rõ đứa con cưng của mình nhất. Và sẽ cố hết sức để sửa chữa lỗi mỗi khi phát hiện ra. Ít nhất thì phần lớn trường hợp là như vậy. Với sản phẩm phổ biến trên thị trường. Được phát hành bởi các công ty- tổ chức hoạt động một cách chuyên nghiệp. Điều này càng đúng hơn.
Nhưng không có gì là tuyệt đối. Sẽ có những lúc mà tác giả phát hiện lỗi sau người ngoài. Hoặc thậm chí là không đủ khả năng phát hiện ra. Không phải bỗng nhiên mà các hãng lớn thường tổ chức những cuộc thi. Về khai thác lỗ hổng trên sản phẩm của mình. Đồng thời tuyển mộ nhân lực từ các cuộc thi đó. Cũng như tuyển mộ các tin tặc hoàn lương.
Thực tế vẫn luôn như vậy. Có người có tài, có người không. Thậm chí sẽ có những lúc hãng sản xuất phát hiện lỗi. Nhưng thời gian để hoàn thành việc sửa chữa. Lại lâu hơn thời gian tin tặc cần để viết ra công cụ khai thác. Đồng thời hoàn thành công việc phá hoại, gián điệp hay trộm cắp bằng công cụ đó.
Đó cũng là một trong những lí do khiến ta thấy. Các bài viết về lỗ hổng bảo mật thường chỉ xuất hiện nhiều tháng. Sau khi lỗi đã được sửa.
Các hacker mũ trắng quá hiểu rằng. Việc sửa lỗi đôi lúc khó khăn và phức tạp hơn nhiều lần. So với việc lợi dụng lỗi cho mục đích xấu. Vì vậy họ thường cho hãng sản xuất hàng tháng trời. Để sửa chữa sai lầm của mình. Trước khi công bố chi tiết về lỗ hổng. Mà mình phát hiện ra ngoài để phục vụ mục đích nghiên cứu.
Còn kịch bản xấu nhất? Kẻ xấu phát hiện ra lỗi… Và dĩ nhiên là không công bố cho ai biết. Âm thầm đóng cửa tu luyện. Để hoàn thành công cụ khai thác lỗi. Và âm thầm phát tán. Thường thấy nhất là dưới dạng virus, worm,trojan…
Thậm chí giới tội phạm có thể đem những thông tin này ra giao dịch, trao đổi ngầm với nhau. Hay bán kèm trong những bộ kit được viết ra. Chuyên để phục vụ việc tìm hiểu, khai thác lỗ hổng.
Hãng sản xuất hoàn toàn không biết sự tồn tại của lỗ hổng đó. Chứ đừng nói đến việc tìm cách sửa. Chỉ đến khi hậu quả đã sờ sờ ra trước mắt. Họ mới có thể tá hỏa lên tìm cách khắc phục. Đền bù cho người dùng. Như vụ việc của Sony ngày trước.
Cũng chính vì đòn tấn công được thực hiện. Khi hãng sản xuất hoàn toàn chưa biết đến sự tồn tại của các lổ hổng này. Có “0 ngày” để tìm cách vá lỗi. Mà cái tên “zero-day” ra đời.
Tóm lại, việc một lỗi phần mềm tồn tại vốn không phải việc gì quá kì lạ. Hiểm họa chỉ xuất hiện. Khi hãng sản xuất thua trong cả 2 cuộc đua: phát hiện lỗi và sửa lỗi.