Why
antivirus companies like mine failed to catch Flame and Stuxnet
F-Secure's Chief Research
Officer: A/V outfits were out of their league.
by Mikko Hypponen, wired.com -
June 2 2012, 12:30pm EDT
Quang Tường chuyển dịch
07:47
- 06/06/2012
Flame và Stuxent là hai loại mã độc mà
giới theo dõi thời cuộc cho là sản phẩm của hai cơ quan tình báo Hoa Kỳ và Do
Thái hợp tác để nhằm theo dõi các nỗ lực chế tạo vũ khí hạt nhân của Iran và
tìm cách phá hoại chương trình này. Các mã độc này lưu hành trong khoảng 2 năm
nay mà chẳng hề bị các công ty chống virút phát hiện.
Bài nói chuyện sau đây của nhân viên
hãng F-Secure, một công ty phần mềm chống virút nói lên sự thất bại này.
Một số lưu ý cho độc giả được tô màu
đỏ.
--------------------------------------
Tại sao công ty chống-virút như chúng
tôi không tìm bắt được Flame và Stuxnet
Mikko Hypponen viết cho
Wired.com, 2 tháng 6, 2012
Ông Mikko Hypponen là nghiên cứu gia
đầu đàn của công ty F-Secure. Ông làm việc trong lãnh vực an ninh vi tinh hơn
20 năm và đã từng vật lột với những đợt tấn công virus lớn nhất trên mạng, như
Loveletter, Blaster, Conficker và Stuxnet. Bài nói chuyện về an ninh vi tính
trong chương trình TED đã được hơn một triệu người đón nhận và chuyển ngữ sang
35 thứ tiếng.
--------
Cách đây vài hôm tôi nhận một email từ
Iran. Email đến từ một nhân viên của Nhóm Chống Đỡ Nguy Khẩn Vi Tính của Iran
báo cho tôi biết là họ tìm thấy mã độc đang lây lan một số máy móc tại Iran.
Thì ra nó chính là Flame: mã độc đang là đầu đề của các tin nóng khắp nơi trên
thế giới.
Khi chúng tôi lục lọi lại chồng hồ sơ
cũ của các mẫu mã độc thì ngạc nhiên thay chúng tôi tìm thấy mẫu của Flame từ
hồi năm 2010 và 2011 mà chúng tôi không hề biết. Các mẫu này đến từ hệ thống
báo cáo tự động từ các nơi gửi về nhưng hệ thống báo động không thấy gì nguy
hiểm để mà báo động cho chúng tôi biết và xem xét kỹ lưởng hơn. Các công ty
chống virút khác cũng tìm thấy chứng cớ là họ cũng có các mẫu mã độc này trong
khoảng thời gian đó và sớm hơn, cho thấy là mã độc này có trước năm 2010.
Điều này có nghĩa là tất cả chúng tôi không dò tìm ra được con
mã độc này trong 2 năm nay hay hơn. Đây là một thất bại cực kỳ to tát cho công
ty chúng tôi nói riêng và cho kỹ nghệ chống virút nói chung.
Đây không phải là lần đầu tiên xảy ra
việc này. Con trùng Stuxnet đi rong hơn cả năm trời mà không bị ai khám phá ra
cho đến khi một công ty chống virút của Belarus được gọi đến Iran để xem xét
các máy có vấn đề. Khi các nhà nghiên cứu truy tìm lại trong hồ sơ cũ xem coi
có cái gì tương tự như Stuxnet, thì họ tìm được một lổ hổng an ninh mà không ai
biết (zero-day exploit) được dùng bởi Stuxnet và một loại mã độc khác nhưng
chẳng có ai để ý. Một mã độc liên hệ gọi là DuQu cũng không bị các công ty
chống virút phát giác hơn một năm trời.
Dĩ nhiên Sutxnet, DuQu, Flame không
phải là loại mã độc tầm thường. Bộ ba này nhiều phần là do một cơ quan tình báo
Tây Phương chế tạo ra cho các công tác tình báo kín đáo không muốn ai biết. Sự
kiện là các mã độc này lẫn tránh không bị phát hiện cho thấy những người soạn
thảo công phu như thế nào. Trong trường hợp của Stuxnet và DuQu, họ dùng những
bộ phận được ký tên (digitally signed) để làm cho mã độc có dáng vẻ của những
ứng dụng đáng tin cậy. Và thay vì tìm cách che giấu mã nguồn bằng những cách
nén/rối - mà có thể làm người khác nghi ngờ - thì chúng tỉnh bơ để nguyên dạng.
Trong trường hợp của Flame, nhóm soạn thảo dùng SQLite, SSL và LUA để ra vẻ như
đây là những ứng dụng kinh doanh đàng hoàng chứ không phải mã độc.
Có người sẽ lý luận là chúng tôi không
phát hiện được các mã độc này là điều tốt. Hầu hết các vụ nhiễm và lây lan xảy
ra ở những vùng tình hình chính trị rối ren như Iran, Syria và Sudan. Mặc dầu
không ai biết đích xác là mã độc Flame dùng để làm gì, nhưng nếu trong trường
hợp chúng tôi phát hiện và ngăn chận các mã độc này thì có thể chúng tôi hóa ra
gián tiếp góp tay với các chế độ áp bức này bẻ gãy nỗ lực theo dõi của các cơ
quan tình báo nước ngoài.
Nhưng đó không phải là điểm để bàn nơi
đây. Chúng tôi muốn phát hiện mã độc, bất kể xuất xứ của nó từ đâu. Chính trị
không nằm trong sự thảo luận này và cũng không nên. Bất cứ mã độc nào, ngay cả
có đích nhắm, có thể lan tràn không ngờ được và gây ra những thiệt hại phụ trội
cho nạn nhân không nhắm tới. Thí dụ như Stuxnet lan ra khắp nơi trên thế giới
qua chức năng của USB là làm nhiễm hơn 100,000 máy tính trong lúc nó đang mày
mò đi tìm đích nhắm thực sự là các máy tính của nhà máy sản xuất uranium ở Natanz,
Iran. Ngắn gọn mà nói, nhiệm vụ của chúng tôi trong ngành này là bảo vệ máy
tính chống lại mã độc. Chỉ có vậy thôi.
Vậy mà chúng tôi thất bại trong việc
phát hiện Stuxnet và DuQu và Flame. Điều này làm cho khách hàng của chúng tôi
lo ngại.
Thật tình mà nói thì các sản phẩm thương mãi chống virút không
thể chống đỡ nỗi các mã độc được chế tạo ra bởi các cơ quan nhà nước với tiền
bạc rủng rỉnh để nhắm tấn công ai đó. Các
loại phần mềm chống virút này chỉ đủ để giúp bạn bảo vệ chống đỡ các loại mã
độc thông thường. Còn đã nhắm tấn công ai rồi thì các thứ mã độc này đủ khôn
khéo để né tránh các phần mềm chống virút. Và những lổ hổng an ninh mà họ sử dụng
thì các công ty chống virút không hề biết đến. Theo chúng tôi biết, thì trước khi tung
ra các mã độc này, họ đem ra thử với tất cả các loại phần mềm chống virút trên
thị trường để bảo đảm là mã độc đi trót lọt và không bị phát hiện. Họ có đủ thì giờ để chuẩn bị cho cuộc tấn công. Trận chiến
này không cân bằng chút nào khi phía tấn công biết hết các đòn phép của bên
chống đỡ.
Các hệ thống phòng chống virút cần phải
chọn vị trí quân bằng giữa việc phát hiện hết tất cả những lối tấn công mà
không bị báo động "sảng". Và tuy là chúng tôi luôn tìm cách cải
thiện, sẽ không bao giờ có giải pháp thoả đáng 100%. Cách phòng thủ tốt nhất
chống lại lối tấn công có đích nhắm cần phải có nhiều tầng lớp, với hệ thống
phát hiện xâm nhập mạng, danh sách trắng/đen chống lại mã độc và tích cực theo
dõi các luồng dữ kiện ra/vào mạng.
Câu chuyện này không dừng ở đây với mã
độc Flame. Rất có thể đã có những cuộc tấn công khác đã và đang diễn ra mà
chúng ta chưa phát hiện được. Một cách ngắn gọn, tấn công mạng kiểu này có hiệu
quả.
Mã độc Flame là một sự thất bại cho kỹ nghệ chống virút.
Chúng tôi lẻ ra phải làm tốt hơn. Nhưng đã không làm được. Trong trò chơi này
chúng tôi bị qua mặt.
Quang Tường chuyển dịch
------------------------------------------------------
By Adam Segal
June
7, 2012
After
last week, policymakers and analysts of cyberspace are hoping to catch their
breath. On Monday, Russia-based antivirus firm Kaspersky Lab announced that it
had discovered Flame, a sophisticated
piece of spyware most likely designed by a state actor, which targeted
computers in Iran and throughout the Middle East. A few days later, The Washington Post
reported on the Defense Advanced Research Project Agency’s Plan X, which
includes research programs to map cyberspace and others to develop operating
systems that will allow for defense and counter attacks. And then to close an
already eventful week, The New York Times
reported that President Barack Obama ordered joint U.S.-Israeli cyberattacks –
code-named Olympic Games, but popularly known as Stuxnet – on Iran’s nuclear
program.
Much
remains uncertain. As is often the case after these types of announcements,
there has been push back over how sophisticated or new Flame really is. Some
have suggested that Kaspersky Lab, working with the ITU, has hyped the threat
in order to push a cyber arms control treaty and to promote a more
state-centric vision of Internet governance, one more aligned with Moscow’s
(and Beijing’s) desire to shift management of cyberspace to the United Nations.
The
political and strategic implications of Stuxnet’s public reveal are also
unknown. Many have noted the potential for blowback. As the most vulnerable
economy, the United States has the most to lose. Moreover, now that the genie
is out of the bottle, other states can use the attacks on Iran to justify their
own cyber operations. Or as RT put it: “Pioneering such
operations would give other countries and power groups a justification to
target America.”
The
risk of blowback, at least from state actors, is overstated. Long before Stuxnet,
Chinese and Russian military analysts considered the vulnerability of and
efficacy of computer network attacks on U.S. critical infrastructure. The
United States is no more vulnerable now then it was before The New York
Times article, and the Russian and Chinese political and strategic calculus
of the risks and rewards of an attack are similarly unchanged.
No
doubt U.S. diplomats are going to have to grit their teeth for a while as they
listen to lectures from their Chinese and Russian counterparts about the hypocrisy of calling for
international norms of responsible behavior in cyberspace while unleashing the
first documented case of cyberattack. But these same diplomats assumed they
have been suspicious of that endeavor from the beginning. Last year, a Chinese
official told me that the United States was promoting norms, instead of
treaties, so as to maintain its freedom of maneuver and limit Beijing’s.
The
fall-out is going to be much worse with India, Brazil, and South Africa. These
democracies are uncomfortable with China’s model of Internet censorship but
also suspicious of the U.S. preference for a multistakeholder model of Internet
governance. After Stuxnet, the United States will have to work harder to
convince these emerging Internet powers that their interests are served by the
status quo.
While
the risks of leaking the Stuxnet story have so far been overplayed, there’s
still little positive that comes from the article. There is a great risk in the
lack of transparency surrounding cyber weapons – what are legitimate targets,
who is responsible for an attack, when does an attack constitute a use of
force? The article could create a public discussion of Stuxnet and force
policymakers to address some of these questions. That discussion,
unfortunately, appears unlikely to happen. The motivations for the leak seem
less to bring clarity to an emerging area of conflict and more about domestic
politics and the president’s stand on Iran.
Adam
Segal is the Ira A. Lipman Senior Fellow for Counterterrorism and National
Security Studies at the Council on Foreign Relations. He blogs at Asia Unbound, where this piece originally
appeared. Follow him on Twitter @adschina.
No comments:
Post a Comment