Đây là người ngăn chặn cuộc tấn công mạng trên hàng trăm triệu PC
Nhờ phát hiện lỗ hổng nguy hiểm, các tên tuổi hàng đầu giới công nghệ ca ngợi Andres Freund như một anh hùng, gọi anh là 'trùm cuối của giới Internet'.
Andres Freund là kỹ sư phần mềm ở Microsoft. Ảnh: LWN.
Với những người làm việc lâu năm trong ngành, Internet không phải là một cỗ máy luôn vận hành trơn tru, không lỗi lầm. Trên thực tế, nó chỉ là một bản chắp vá lộn xộn được duy trì suốt nhiều thập kỷ và được gắn kết bằng những mạng lưới lỏng lẻo.
Phần lớn trong số đó là các phần mềm nguồn mở, duy trì nhờ các kỹ sư lập trình. Họ chịu trách nhiệm sửa lỗi, vá các lỗ hổng và đảm bảo toàn bộ thiết bị ọp ẹp - chịu trách nhiệm cho hàng nghìn tỷ USD GDP toàn cầu - liên tục hoạt động.
Tuần trước, một trong những lập trình viên đó đã cứu cả hệ sinh thái Internet khỏi những rắc rối lớn. Là kỹ sư phần mềm sống ở San Francisco và làm việc tại Microsoft, Andres Freund giữ vai trò phát triển phần mềm cơ sở dữ liệu nguồn mở PostgreSQL.
Gần đây, trong lúc bảo trì định kỳ hệ thống, Freund vô tình tìm thấy một cửa hậu (backdoor) ẩn trong một phần mềm trên hệ điều hành Linux. Backdoor là phần mềm giúp các hacker bỏ qua quy trình xác thực thông tin, để trực tiếp thâm nhập vào bên trong hệ thống. Nó có thể là cơ sở phát sinh các cuộc tấn công mạng lớn, gây thiệt hại khổng lồ.
Nhờ phát hiện lỗ hổng nguy hiểm, các tên tuổi hàng đầu giới công nghệ và nhà nghiên cứu an ninh mạng ca ngợi Freund như một anh hùng. CEO Satya Nadella của Microsoft, tán thưởng "tính tò mò và khéo léo" của ông. Tài khoản X @vx-underground còn ngưỡng mộ gọi anh là “trùm cuối của giới Internet”.
Song, trả lời phỏng vấn New York Times, Freund lại cho rằng biệt danh anh hùng trên Internet đang dần mất phương hướng. "Tôi thấy nó rất kỳ quặc. Tôi là một người khá kín tiếng, chỉ ngồi trước máy tính và gõ mã”, anh nói.
Trực giác nhạy bén của một người kỹ sư lâu năm
Câu chuyện bắt đầu vào đầu năm 2024, khi Freund trên chuyến bay trở về sau khi thăm bố mẹ ở Đức. Trong lúc xem lại lịch sử kiểm thử tự động, anh nhận thấy một vài thông báo lỗi mình không nhận ra. Nhưng vì trễ máy bay và chúng có vẻ cũng không khẩn cấp, nên anh đã quẳng nó ra sau đầu.
Nhưng vài tuần sau, trong khi chạy thêm một số kiểm thử ở nhà, anh nhận thấy một ứng dụng SSH - vốn dùng để đăng nhập vào máy tính từ xa - đang sử dụng nhiều sức mạnh xử lý hơn bình thường. Anh đã truy tìm nguyên nhân trong bộ công cụ nén dữ liệu xz Utils và tự hỏi liệu nó có liên quan đến các lỗi mình đã thấy trước đó hay không.
Backdoor cho phép hacker tấn công truy cập, kiểm soát hoặc thực hiện thao tác độc hại trên hệ thống mà không cần có thông tin và mật khẩu để đăng nhập. Ảnh: Imperva.
Giống như các phần mềm mã nguồn mở phổ biến khác, Linux được cập nhật mọi lúc. Hầu hết lỗi là kết quả của những sai lầm vô tình xảy ra. Nhưng khi Freund xem kỹ mã nguồn của xz Utils, anh cho rằng dữ liệu đã bị làm giả một cách có chủ đích.
Đặc biệt, chàng lập trình viên phát hiện ra rằng ai đó đã cài mã độc trong các phiên bản mới nhất của xz Utils. Đoạn mã này - được gọi là backdoor - cho phép người tạo ra nó chiếm quyền điều khiển kết nối SSH của người dùng và bí mật chạy đoạn mã của riêng họ trên máy của người bị tấn công. Còn SSH (Secure Shell) là giao thức cho phép người dùng điều khiển từ xa, kiểm soát và chỉnh sửa máy chủ thông qua Internet.
Trong thế giới an ninh mạng, một kỹ sư cơ vô tình tìm thấy cửa hậu trong một tính năng cốt lõi của Linux, giống như một nhân viên làm bánh ngửi thấy mùi bánh mì mới nướng. Anh ta sẽ ngay lập tức cảm thấy có gì đó không ổn và phát hiện ai đó đã làm giả nguyên liệu làm bánh, hay trong trường hợp này là làm giả dữ liệu. Đó là loại trực giác tôi luyện qua nhiều năm kinh nghiệm và sự chú ý đến từng chi tiết, New York Times nhận định.
Ngăn chặn thành công vụ hack có quy mô toàn cầu
Ban đầu, Freund đã hoài nghi về những phát hiện của chính mình. Mình có thực sự phát hiện ra một cửa hậu bên trong một trong những chương trình mã nguồn mở kín kẽ nhất thế giới hay không, anh tự hỏi.
Nhưng việc đào bới tiếp tục đưa ra cho anh nhiều bằng chứng mới. Đến tuần trước, Freund đã gửi những phát hiện của mình cho một nhóm các nhà phát triển phần mềm nguồn mở. Tin tức này đã khiến giới công nghệ bùng nổ. Trong vòng vài giờ, một bản sửa lỗi ngay lập được phát triển. Trong khi đó, các nhà nghiên cứu khẳng định nam lập trình viên đã ngăn chặn một cuộc tấn công mạng mang tính lịch sử.
"Đây có thể là backdoor phổ biến và hiệu quả nhất từng được cài đặt trong bất kỳ phần mềm nào", Alex Stamos, giám đốc tạ công ty nghiên cứu an ninh SentinelOne, nói. Nếu không bị phát hiện, backdoor sẽ "cung cấp cho hacker một chìa khóa vạn năng, xâm nhập vào bất kỳ máy tính nào trong số hàng trăm triệu máy tính trên khắp thế giới chạy SSH".
Chìa khóa này còn cho phép họ đánh cắp thông tin cá nhân, cài đặt phần mềm độc hại làm tê liệt hoặc gây ra tình trạng gián đoạn lớn cho các cơ sở hạ tầng, mà không bị bắt thóp, Stamos cho biết.
Nếu lỗ hổng này không bị pháp hiện, hàng trăm triệu máy tính trên thế giới sẽ lọt vào tầm ngắm của hacker. Ảnh: PUPUWEB Blog.
Không ai biết ai là ngừng đứng sau lỗ hổng này. Nhưng âm mưu phức tạp đến mức một số nhà nghiên cứu Mỹ cho rằng chỉ có thể là Nga hoặc Trung Quốc mới có thể làm điều này. Theo một số nhà nghiên cứu, kẻ tấn công đã sử dụng biệt danh "Jia Tan", để đề xuất thay đổi mã nguồn trong xz Utils từ năm 2022.
Kẻ tấn công đã mất vài năm để dần có được sự tin tưởng của các nhà phát triển xz Utils và giành được nhiều quyền kiểm soát hơn trong dự án. Người này cuối cùng trở thành người bảo trì hệ thống và đã chèn mã backdoor ẩn vào đầu năm 2024. “Nó rất bí ẩn. Rõ ràng người này đã rất nỗ lực để che giấu những gì họ đang làm”, Freund nói.
Kỹ sư Freund cho biết kể từ khi phát hiện được công khai, anh đã giúp đỡ các đội ngũ lập trình viên đảo ngược cuộc tấn công và xác định thủ phạm. Nhưng anh quá bận để có thể ngủ quên trên chiến thắng của mình. Phiên bản tiếp theo của PostgreSQL - phần mềm cơ sở dữ liệu mà anh đang phát triển - sẽ ra mắt vào cuối năm nay. “Tôi còn chẳng thời gian để ăn mừng”, anh nói.
