Rất nhiều tập đoàn công nghệ lớn sở hữu cho mình một hoặc một vài “đội đỏ” – Red Team, thuật ngữ chỉ những nhóm hacker mũ trắng đảm nhận công việc tấn công nhằm thăm dò và vá các lỗ hổng bảo mật, trước khi kẻ xấu lợi dụng những lỗ hổng này. Đương nhiên, Microsoft cũng không phải là ngoại lệ, nhất là với những trọng điểm như hệ điều hành Windows…

Một số tin tặc luôn nhắm tới việc tấn công những nền tảng lớn và phổ biến như Windows – một hệ điều hành chiếm tới 90% thị phần hệ điều hành Laptop và máy tính để bàn trên toàn thế giới. Vì thế, một khi Windows sụp đổ thì cả thế giới sẽ phải chịu hậu quả vô cùng nặng nề. Đó là lý do việc đảm bảo an ninh cho nền tảng này là hết sức quan trọng.

Tập hợp

4 năm trước, khi khái niệm “đội đỏ” của Windows vẫn chưa tồn tại ở Microsoft, David Weston – người hiện đang đảm nhiệm vị trí quản lý nhóm bảo mật tại Windows, khi ấy đã đề xuất với Microsoft về việc thay đổi cách xử lý bảo mật cho các sản phẩm, đặc biệt là sản phẩm hàng đầu của công ty.

“Cách mà Microsoft bảo vệ hệ điều hành Windows ở thời kỳ trước là: Chờ đợi một cuộc tấn công quy mô lớn xảy ra, hoặc chờ ai đó tiết lộ về một kỹ thuật tấn công mới và dành thời gian ra để sửa chữa nó. Đương nhiên, phương án cũ này không hề lý tưởng khi rủi ro bị đánh sập tới mức không thể cứu vãn được rất cao.” – Weston chia sẻ.

Weston muốn thoát khỏi lối mòn khi chỉ treo thưởng cho việc tìm ra lỗi và dựa vào cộng đồng để bảo vệ hệ điều hành. Ông chán việc tránh né, phản ứng thụ động, thay vì chủ động khám phá ra những lỗ hổng mới ở vị thế của người tấn công.

Dựa vào kinh nghiệm có sẵn với các hacker mũ trắng tại một số sự kiện như Pwn2Own và sự mệt mỏi khi phải chờ đợi đến khi các cuộc thi kết thúc để thu thập thông tin chi tiết và giá trị về các lỗ hổng bảo mật của Windows, Weston bắt đầu tập hợp một nhóm mới, nhóm này về cơ bản sẽ tập trung tấn công Windows mỗi ngày để tìm ra nhiều lỗ hổng bảo mật nhất.

Hiện tại, trong số các thành viên của đội có Jordan Rabet – người được David chú ý đến sau khi tung ra một đoạn Video bẻ khóa Nintendo 3DS trên YouTube vào năm 2014. Rabet hiện đang tập trung vào lĩnh vực bảo mật trình duyệt nhưng cũng đóng một vai trò quan trọng trong phản ứng của Microsoft đối với lỗ hổng Spectre đã làm rung chuyển ngành công nghiệp máy tính cách đây chưa đầy một năm. Nhờ đóng góp của Rabet, Microsoft có thể nhanh chóng tung ra bản vá lỗi tạm thời.

Một thành viên khác là Viktor Brange, sống tại Thụy Điển, đã hỗ trợ Microsoft trong việc phản ứng lại công cụ hack Eternal Blue bằng việc phân tích mã nguồn gốc của hệ điều hành, từ đó đánh giá độ nghiêm trọng của các lỗ hổng. Hay như Adam Zabrocki cũng là một thành viên quan trọng khi những kinh nghiệm sâu rộng của anh với hệ điều hành Linux giúp giải quyết các vấn đề về hạt nhân và ảo hóa.

Jasika Bawa là người biến những phát hiện của đội thành các cải tiến sản phẩm thực tế giúp Windows trở nên an toàn hơn. Ngoài ra, đội đỏ của Microsoft còn có hai thành viên khác nữa, nhưng họ quyết định sẽ ẩn danh vì công việc có phần nhạy cảm hơn.

Các thành viên đội đỏ đã cùng nhau tấn công hệ điều hành Windows mỗi ngày. Năm nào cũng vậy, họ sẽ phát triển một lỗ hổng Zero-day để thử thách khả năng phòng thủ của đội xanh – đội ngũ bảo vệ hệ điều hành của Microsoft. Đội đỏ là thanh kiếm, đội xanh là chiếc khiên, họ cứ hàng ngày, hàng tháng, hàng năm mài dũa cho nhau như vậy. Và khi có những sự kiện khẩn cấp như Spectre hay Eternal Blue xảy ra, họ sẽ là những người đầu tiên được gọi tới.

Mã đỏ

Trên thực tế việc thành lập các “đội đỏ” không phải là điều gì đó quá mới mẻ, hầu hết các công ty và tập đoàn công nghệ lớn đều có một hoặc một vài đội như vậy của riêng mình. Nếu có điểm bất ngờ, thì điều đó nằm ở việc mãi tới gần dây Microsoft mới có một “đội đỏ” dành riêng cho hệ điều hành Windows.

“Windows vẫn là nơi tập trung rất nhiều mã độc và lỗ hổng. Bởi trên thực tế, có rất nhiều công việc kinh doanh được thực hiện ở khắp mọi nơi trên thế giới được thực hiện trên hệ điều hành này. Do đó, việc tấn công vào Windows cũng sẽ mang lại lợi ích lớn nhất cho các tin tặc” – Aaron Lint, người thường xuyên làm việc với “đội đỏ” với vai trò là nhà khoa học chính của nhà cung cấp ứng dụng bảo vệ Arxan cho biết.

Việc thành lập đội đỏ để tự tấn công vào Windows đã đem lại rất nhiều lợi ích cho Microsoft. Bên cạnh việc giúp khắc phục vấn đề mà Spectre và EternalBlue gây ra, đội quân của Weston còn phát hiện nhiều điều nữa về bảo mật, đem lại lợi ích không chỉ cho Microsoft mà còn cho toàn bộ ngành công nghiệp máy tính.

Một trong những chiến công lớn nhất của Weston và đồng đội là ngăn chặn một chuỗi tấn công lừa đảo được thực hiện bởi nhóm tin tặc Nga mang tên Fancy Bear, được Microsoft gọi là Strontium, nhắm vào Win32k – một driver kernel của Windows thường xuyên bị tin tặc lợi dụng.

“Trong hầu hết các cuộc tấn công qua trình duyệt, tin tặc sẽ cần phải chiếm lấy sandbox của trình duyệt, rồi từ đó triển khai các hoạt động tấn công khác. Và nền tảng kernel này của Windows chính là nơi vô cùng lý tưởng để thực hiện các dạng thức tấn công như vậy.” – Weston chia sẻ.

Bằng việc đặt bản thân vào vị trí của những kẻ tấn công, đội đỏ đã phát hiện ra nhiều kỹ thuật tấn công mà họ chưa từng biết tới trước đây. Nhờ vậy, Microsoft đã có thể kịp thời đưa ra bản cập nhật ngăn chặn tất cả những kỹ thuật tấn công nói trên cho phiên bản Windows 10 Anniversary Edition vào mùa xuân năm 2016. Bản cập nhật Creators Update được tung ra vào 6 tháng sau đó, tiếp tục “gia cố” hệ điều hành khỏi việc bị tấn công thông qua các phương thức lợi dụng kernel.

Thành công này là vô cùng quan trọng, và chắc chắn sẽ không thể đến nhanh như vậy nếu như Microsoft dựa theo những phương pháp truyền thống về bảo mật. Nói theo lời của Aaron Lint, “Quét lỗi thì chỉ có thể tìm thấy những lỗi đã được tìm ra từ trước đây, còn phương thức của đội đỏ sẽ tìm ra những lỗi chưa từng xuất hiện.”

Lệch khỏi việc đo đếm thời gian thông thường

Các thành viên đội đỏ thường không có chỉ tiêu công việc cố định, thay vào đó họ ưu tiên công việc của mình dựa theo những gì họ thấy về xu hướng của giới hacker, cũng như hướng tới những tính năng mới được thử nghiệm hoặc nhạy cảm, dễ trở thành mục tiêu khai thác.

Tuy nhiên, đội đỏ cũng cần phải tiến hành công việc của mình một cách có chọn lọc, bởi lẽ “Lỗi vẫn sẽ luôn tồn tại”. Theo như Zabrocki, họ không đặt mục tiêu có thể sửa hết tất cả mọi lỗi – đặc biệt là với một sản phẩm vừa phức tạp vừa tiến hóa liên tục như Windows. Tốt hơn hết, họ tập trung vào các giải pháp rộng hơn như phát hiện sự khác thường của các kernel, có thể giúp ngăn chặn toàn bộ các sự cố.

Giải quyết hoàn toàn một vấn đề đôi khi thậm chí không phải là mục tiêu của đội đỏ. Mỗi lần đội đỏ của Windows tiến hành làm việc, họ lại bắt đầu bấm thời gian.

“Mục đích của việc đo đếm thời gian là cho chúng tôi một cái nhìn tương đối về thời gian cần thiết để hack một thứ gì đó.” – Weston chia sẻ. Việc tấn công càng tốn nhiều thời gian và tiền của, thì những tên tin tặc sẽ càng không tỏ ra có hứng thú.

Tất nhiên, đội đỏ sẽ không phát hành bản vá lỗi, vì vậy, điều này có thể dẫn đến một số thất vọng của đội, nhất là khi họ tìm thấy những lỗ hổng nghiêm trọng nhưng không được công ty này vá lỗi kịp thời. “Điều này phụ thuộc rất nhiều vào cơ chế bên trong công ty. Đối với một công ty lớn như Microsoft thì mọi thứ lại càng phức tạp hơn. Cũng không ít lần những người khác muốn đứng ngoài chỉ đạo rằng chúng tôi phải làm thế này thế kia” – một thành viên giấu tên cho biết. Người này cũng phàn nàn về việc nhiều lúc Microsoft mất cả tháng trời để khắc phục những lỗ hổng nghiêm trọng trong khi đang cần phản ứng nhanh.

Windows sẽ luôn là một mục tiêu được các tin tặc ưu tiên hàng đầu, và đội đỏ của Weston chỉ là một trong những nỗ lực của Microsoft để bảo vệ hệ điều hành này.

Theo Wired

Tin liên quan: