Các điệp viên, tin tặc và các công ty an ninh mạng đang cạnh tranh trong cuộc chiến “tận dụng những điểm yếu của phần mềm để phá án”. Được trả tiền cho công việc này nhưng cũng có khi họ biến phát hiện của mình thành vũ khí “tấn công” và bán lấy tiền. Người mua “lỗ hổng phần mềm”, ngay có, gian có, trong một hệ sinh thái rất phức tạp của an ninh và chống an ninh trên không gian điều khiển.
Trường hợp của John Bambenek
Dù mục tiêu là gì, xấu hay tốt, những “bậc thầy” tham gia cuộc đưa phát hiện điểm yếu phần mềm đều kiếm được khá tiền. Nhu cầu mua các lỗ hổng phần mềm và mua phần mềm gián điệp, phần mềm ác tính đã giúp tạo ra một thị trường lớn trị giá hơn $100 triệu mỗi năm và đang tăng sau khi có những đợt tấn công mới vào những hệ thống cơ sở hạ tầng công ích và phân phối như thực phẩm ở Mỹ.
Vào ban ngày, John Bambenek, 39 tuổi là một chuyên viên an ninh mạng thành công và có cuộc sống bình thường như bao người khác. Người cha của bốn đứa con này bỏ ra phần lớn thời gian trong ngày để cố gắng bảo vệ nhiều công ty khách hàng khỏi bị tấn công bởi bọn tin tặc ranh ma. Anh phân tích những đe dọa kỹ thuật số cho công ty an ninh mạng Fidelis Cybersecurity ở Bethesda, tiểu bang Maryland và điều hành một công ty cố vấn an ninh riêng từ ngôi nhà gia đình ở khu ngoại ô Champaign, tiểu bang Illinois.
Anh có tài khoản nhiều người theo trên LinkedIn, Twitter và từng ra tranh cử thượng viện tiểu bang Illinois dưới danh nghĩa đảng Cộng Hoà. Nhưng Bambenek cũng là một “tên vô lại kỹ thuật số”. Có chân trong nhóm chuyên viên mật mã tài năng của FBI, anh lặng lẽ chơi trò “hai mặt”: Vừa phòng thủ vừa tấn công! Nếu các nhà điều tra liên bang cần trợ giúp kỹ thuật để truy đuổi một mục tiêu đáng ngờ, Bambenek sẽ xâm nhập vào mạng lưới của chúng, hack trang web của chúng và lần theo những “dấu vân tay kỹ thuật số” mà chúng để lại.
Anh bỏ ra hàng giờ săn tìm những “điểm yếu” trong một phần mềm thông dụng để biến chúng thành công cụ do thám, đánh cắp các dữ liệu và gây tổn hại cho đối phương. Bambenek đã giúp FBI triệt phá được hai băng đảng tội phạm bằng cách viết hai công cụ phần mềm, tận dụng cái gọi là “zero-days” trong các sản phẩm kỹ thuật số mà nhà chế tạo ra chúng chưa phát hiện được và chưa sửa lỗi. Bambenek hãnh diện nói: “FBI đang dùng một công cụ giám sát của tôi để theo dõi dấu vết kỹ thuật số của 39 hoạt động tội phạm”.
Có lần, Bambenek phát hiện ra một lỗ hổng trên trang web mà một tập đoàn tội phạm phần mềm châu Âu dùng để bán công nghệ giám sát cho các chính phủ xấu và các hacker bất chính. Trong vòng vài phút, anh xâm nhập và lấy cắp được danh sách các khách hàng của trang web, các khoản chi trả và các sản phẩm độc hại. Tất cả đều được trao lại cho FBI.
Tuy nhiên, việc sử dụng những điểm yếu để hack mạng máy tính, cho dù là mạng của các tổ chức tội phạm, cũng nêu lên một câu hỏi nghiêm trọng về vấn đề pháp lý. “Rõ ràng, hoạt động cung cấp phần mềm gián điệp là một khu vực xám, tốt xấu lẫn lộn. Tôi làm việc cho một cơ quan an ninh nhưng không có ai dám tuyên bố có thể bảo vệ được khách hàng 100%. Tôi cũng thế. Bạn vừa hóa giải xong một hành vi phạm tội, trói tay được một công cụ ăn cắp thì lập tức xuất hiện một công cụ khác còn nguy hiểm hơn. Hầu như chúng ta luôn đi sau bọn tội phạm một bước trong trò chơi “mèo vờn chuột” này. Mọi biện pháp tự vệ đều có hiệu quả giới hạn. Không có tường chắn nào là an toàn vĩnh viễn. Chúng ta chỉ biết hy vọng” – Bambenek nhận định.
Bi kịch của thời đại công nghệ thông tin
Bambenek không sợ thiếu việc làm và cơ hội làm ăn của anh là vô tận trong thế giới hiện nay, khi rất nhiều hoạt động của con người đều lệ thuộc vào công nghệ thông tin, từ làm ăn đến giải trí và giao tiếp. Chúng ta vào thường xuyên các trang web, chúng ta cài và sử dụng rất nhiều ứng dụng (phần mềm) trên smartphone, máy tính bảng, máy tính để bàn (nhưng lại hiểu rất ít về những gì ẩn giấu bên trong chúng!). Rồi những hệ thống máy tính vận hành, điều khiển các nhà máy, cơ sở hạ tầng công ích như điện nước.
Tất cả đều có thể chứa những lỗ hổng và điểm yếu để tin tặc và các điệp viên đối phương khai thác và xâm nhập. “Nhìn đâu cũng thấy nguy cơ, nhìn đâu cũng thấy bọn tội phạm kỹ thuật số. Virus, “bọ”, phần mềm gián điệp ở khắp nơi. Những lỗ hổng để chúng xâm nhập cũng rất nhiều. Đó là bi kịch của thời đại công nghệ thông tin khi các hệ thống máy tính và thiết bị cơ động giúp ích rất nhiều cho con người nhưng cũng đẩy họ vào thế nguy hiểm” – một chuyên viên công nghệ thông tin nhận định. Đối với các cơ quan thực thi luật pháp, một lỗ hổng của phần mềm trên điện thoại di động có thể giúp họ nghe lén và xem trộm nhất cử nhất động của bọn tội phạm. Nhưng đối với những chế độ áp bức hay thích theo dõi công dân mình thì những lỗ hổng và điểm yếu đã tạo điều kiện để họ hack tài khoản email hoặc ghi lại những cuộc gọi trên ứng dụng Skype của công dân.
Mỹ và một số nước phương Tây đang đau đầu với các xì căng đan nghe lén này. Sống trong thời đại mà bọn hacker và các cơ quan tình báo đều có thể gây nguy hiểm cho “nền dân chủ mạng” như việc đột nhập vào hộp thư điện tử của đảng Dân Chủ Mỹ hoặc các trường hợp theo dõi công dân của CIA thì ranh giới giữa các hoạt động hợp pháp và phi pháp trên không gian mạng là rất mong manh.
Khi hacker và chính phủ đều là tội phạm
Những lỗ hổng và điểm yếu ẩn giấu trong các phần mềm thông dụng là ‘tài sản giá trị’ đối với cả hacker lẫn những cơ quan thực thi pháp luật. Cả hai đều cần chúng để đạt được mục tiêu.
Báo cáo mới công bố của công ty tư vấn New America ở Washington cảnh báo: “An ninh trên không gian điều khiển đã dẫn đến cuộc chạy đua giữa các nhà phát triển phần mềm và những hacker: Một bên cố phát hiện và vá những lỗ hổng trên phần mềm họ sản xuất, một bên cố phát hiện để tận dụng chúng như cánh cửa gây án. Nói chung, hiện có rất nhiều thành phần lao vào cuộc đua khám phá lỗ hổng và điểm yếu trong phần mềm để vá chúng hoặc dùng chúng để tấn công mục tiêu. Những phát hiện này đều có thể bán lại lấy tiền”.
Tiến sĩ Trey Herr, đồng tác giả của báo cáo hiện cộng tác với dự án Cyber Security Project của Trung tâm Belfer Center tại Trường Harvard Kennedy, bổ sung: “Nhu cầu mua các lỗ hổng phần mềm và mua phần mềm gián điệp, phần mềm gây hại đã giúp tạo ra một thị trường lớn trị giá hơn $100 triệu mỗi năm và đang tăng sau khi có những đợt tấn công mới vào những hệ thống cơ sở hạ tầng công ích và phân phối như thực phẩm”.
Dù một số hacker sau khi tìm ra những lỗ hổng và điểm yếu đã bán lại chúng cho các công ty công nghệ trong chương trình gọi là “tiền chuộc lỗ hổng” nhưng có không ít người kiếm tiền bằng cách bán chúng trong thế giới ngầm cho bọn tội phạm với giá cao hơn nhiều lần. “Những giao dịch có lời nhất và bát nháo nhất tiếp tục xảy ra tại những góc tối nhất của thị trường. Hậu quả là khó lường nếu các lỗ hổng này được khai thác bởi bọn tội phạm” – Herr nói.
“Giá trị của một lỗ hổng tùy vào ‘sức công phá’ mà người mua có thể trang bị cho nó để thực hiện mục tiêu của mình và ‘giá trị của mục tiêu’. Lỗ hổng giúp bẻ khóa một iPhone mà nạn nhân không hay biết sẽ có giá cao hơn nếu bán cho bọn tội phạm hay FBI hơn là bán cho Apple – Jared DeMott, cựu chuyên viên phân tích tại Cơ quan Anh ninh Quốc gia Mỹ (NSA), trưởng bộ phận công nghệ thông tin tại công ty quốc phòng Binary Defense Systems nói, và thòng thêm câu bông đùa – “Nếu bạn muốn kiếm cả tấn tiền, bạn hãy tìm cách bẻ khoá iPhone!”.
Apple đang tiến hành “chương trình tiền chuộc” và hứa trả $200,000 cho một lỗ hổng giúp hack sản phẩm của họ. Nhưng giá của lỗ hổng này cao hơn nhiều trên thị trường chợ đen. Ví dụ, công ty Zerodium, nơi chuyên bán các lỗ hổng phần mềm vừa ra giá $1,5 triệu cho ai hack được iOS dành cho công cụ di động của Apple.
Tham khảo: Wired, Tháng Tám, 2021
