“Siêu hacker” dạy Apple, Microsoft cách tìm lỗ hổng

Charlie Miller người đã 3 năm liên tiếp chiến thắng trong cuộc thi
hack Pwn2Own cho biết, ông sẽ chỉ cách để Apple và Microsoft tự tìm ra
lỗ hổng trên sản phẩm của họ.

Mặc dù hiện đang nắm trong tay 20 lỗ
hổng của các phần mềm như hệ điều hành Mac OS, Office hay Adobe Reader
nhưng Charlie Miller – người được đặt biệt danh “siêu hacker” tại cuộc
thi Pwn2Own tuyên bố ông sẽ phá vỡ thỏa thuận với ban tổ chức cuộc thi
năm nay, không chuyển giao các lỗ hổng này cho nhà sản xuất một cách dễ
dàng như trước mà thay vào đó là sẽ chỉ dẫn cách thức để những hãng này
tự tìm ra lỗ hổng cũng như cách vá lỗ hổng đó.

Chuyên gia nghiên cứu bảo mật tự do Charlie Miller. “Chúng tôi tìm ra lỗ
hổng, chỉ cho họ rồi họ vá lại. Đến khi chúng tôi tìm ra lỗ hổng khác,
chỉ cho họ và họ lại tiếp tục vá… Mọi việc cứ thế trôi đi trong khi khả
năng bảo mật của các phần mềm không hề được cải thiện thêm chút nào sau
từng ấy năm”, Charlie Miller nói và cho biết ông đã cảm thấy rất “mệt
mỏi” vì sự trì trệ của ngành công nghiệp bảo mật phần mềm.

Hôm 25/3, Miller đã tiếp tục “đút túi” thêm 10.000 USD sau khi khai
thác thành công lỗ hổng của trình duyệt Safari trên một chiếc MacBook
Pro đang sử dụng hệ điều hành Snow Leopard mà Apple mới công bố hồi cuối
năm ngoái.

Chỉ cần sử dụng vài dòng lệnh Miller đã tạo ra được
một công cụ kiểm tra lỗ hổng phần mềm bằng cách tự động chèn dữ liệu vào
và kiểm tra chương trình đó hoạt động bất thường ở đâu. Thực ra, thủ
thuật này rất phổ biến không chỉ trong giới nghiên cứu bảo mật tự do như
Miller mà các chuyên gia phát triển phần mềm của các hãng cũng thường
sử dụng. Ví dụ, tại Microsoft, thủ thuật này là một phần trong chương
trình Security Development Lifecycle (SDL) chuyên dùng để kiểm tra sản
phẩm trước khi xuất xưởng.

Tuy vậy, chương trình kiểm tra lỗi của
Miller đã nhanh chóng phát hiện ra tới 20 lỗ hổng trong một loạt các
chương trình, phần mềm phổ biến như hệ điều hành Mac OS X 10.6 (có tên
là Snow Leopard), trình duyệt Safari, chương trình soạn thảo Microsoft
PowerPoint, phần mềm đọc file PDF Adobes Reader hay thậm chí là bộ phần
mềm nguồn mở OpenOffice.

Theo kế hoạch, ngày hôm nay Miller sẽ
công bố cách thức phát hiện ra lỗ hổng tại hãng bảo mật CanSecWest – đơn
vị tổ chức cuộc thi Pwn2Own tại (Vancouver, Canada). Ông hy vọng các
đại diện của Apple, Microsoft, Adobe và các hãng sản xuất phần mềm khác
sẽ tham dự.

"Có thể mọi người sẽ chỉ trích tôi vì không chuyển
giao trực tiếp các lỗ hổng đó cho nhà sản xuất nhưng tôi nghĩ tốt hơn
hết là không nên dễ dãi với họ nữa”, Miller nêu quan điểm.

Nhưng
“siêu hacker” cho biết, điều khiến ông thất vọng nhất chính là việc tìm
ra các lỗ hổng đó quá dễ dàng. “Một số người sẽ cho rằng tôi đang cố
tình khoe khoang khả năng của mình trong việc tìm ra lỗi nhưng thực tế
là tôi chẳng được giỏi như họ nghĩ đâu. Tôi chỉ cần làm vài thao tác
bình thường là đã tìm ra bug rồi. Nếu đó chỉ là 1-2 lỗ hổng thì còn đỡ,
đằng này tôi đã tìm ra quá nhiều lỗi. Thật ngạc nhiên và cũng đáng thất
vọng”, Miller tâm sự và cho biết đó cũng chính là lý do ông buộc các nhà
sản xuất phần mềm phải đến trực tiếp nghe ông giải thích và trình diễn
lại cách thức phát hiện ra lỗ hổng và nhận thấy việc đó dễ dàng như thế
nào.

“Tôi chỉ là một người nghiên cứu về bảo mật tự do với 3 chiếc
máy tính nên sẽ thật là nực cười nếu ai đó cho rằng tôi có thể đánh bại
nỗ lực của cả một đội ngũ phát triển phần mềm cũng như bảo mật trong
các hãng. Tôi cũng không nói họ đã không tìm lỗi mà chỉ là do họ làm
chưa tốt mà thôi”, “siêu hacker” thanh minh.

Theo thông lệ hàng
năm của cuộc thi Pwn2Own, người chiến thắng trong các phần thi hack và
thách thức của ban tổ chức, sẽ được nhận một khoản tiền thưởng từ 10.000
USD cho đến 100.000 USD đồng thời được tặng luôn sản phẩm mà họ đã hack
thành công. Lỗ hổng đã bị khai thác để hack thành công sau đó sẽ được
giữ bí mật và người chiến thắng sẽ phải chuyển giao toàn bộ chi tiết cho
nhà sản xuất để họ tìm cách vá. Nhưng trong cuộc thi năm nay, Miller đã
quyết định phá vỡ nguyên tắc để gây sức ép với Microsoft hay Apple.

Cùng
với chiến thắng trong cuộc thi năm nay, Miller cũng đã “độc diễn” trong
các cuộc thi năm 2008 và 2009 với các lỗ hổng của hệ điều hành Mac OS
và trình duyệt Safari.

ICTNews

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s