Người dùng có đáng phải chịu những hậu quả của lỗ hổng bảo mật?

VietTimes -- Ngay tuần đầu năm 2018, giới công nghệ đã rung chuyển bởi hai lỗ hổng bảo mật nghiêm trọng, Spectre và Meltdown, ảnh hưởng đến điện thoại thông minh, máy tính và các dịch vụ lưu trữ đám mây. Việc phát hiện và xử lý các lỗ hổng bảo mật hiện nay như thế nào? Và người dùng có đáng phải chịu những hậu quả nghiêm trọng mà các lỗ hổng bảo mật gây ra?
Hai lỗ hổng bảo mật Spectre và Meltdown mới được phát hiện trên các chip Intel, AMD và ARM (Ảnh Google)
Hai lỗ hổng bảo mật Spectre và Meltdown mới được phát hiện trên các chip Intel, AMD và ARM (Ảnh Google)

Trong tuần đầu tiên của năm 2018 chúng ta đã chứng kiến câu chuyện công nghệ tai tiếng nhất của năm. Các nhà nghiên cứu đã phát hiện ra một lỗ hổng bảo mật trong các bộ xử lý máy tính do ba hãng sản xuất chip công nghệ lớn nhất thế giới gây ra, Intel, AMD và ARM, và đây là lỗ hổng thứ hai trong những con chip của Intel. Những lỗ hổng này đồng nghĩa với việc hầu hết tất cả các smartphone, tablet, laptop và máy tính thương mại trên thế giới đều rất dễ bị mất các dữ liệu nhạy cảm, bao gồm cả các mật khẩu. Các máy chủ đám mây lưu trữ các trang web và các dữ liệu internet khác cũng luôn nằm trong vòng nguy hiểm.

Đây là một trong những yếu điểm bảo mật lớn nhất mà chúng ta từng biết trên khía cạnh tác động tiềm ẩn đối với các hệ thống máy tính cá nhân, doanh nghiệp và hệ thống máy tính cơ sở hạ tầng. Hơn nữa, lỗ hổng này xuất hiện trong một trong những bộ phận quan trọng nhất của máy tính, do đó, chúng ta không thể biết được chiếc máy tính này có phải là mục tiêu tấn công hay không và những dữ liệu nào đã bị truy cập trái phép vào.

Cả hai lỗ hổng chính (Spectre) và lỗ hổng chỉ xuất hiện trên chip Intel (Meltdown) do một kỹ thuật thiết kế gây nên mà kỹ thuật này được phát triển nhằm thúc đẩy nâng cao hiệu quả xử lý của con chip được gọi là kỹ thuật “thực hiện suy đoán”. Vấn đề này đồng nghĩa với việc những tên tin tặc có thể truy cập vào nhiều phần trên bộ nhớ máy tính một cách trái phép. Những thông tin nhạy cảm như là mật khẩu, email, các tài liệu và hình ảnh cá nhân đều rất dễ bị đánh cắp.

Hầu hết các cuộc tấn công mạng đều liên quan đến việc tìm kiếm lỗ hổng trong phần mềm máy tính cho phép tin tặc truy cập vào bộ nhớ hoặc hệ điều hành của máy. Điển hình như cuộc tấn công mạng năm 2017 có tên “WannaCry” đã khai thác một lỗ hổng trong các phiên bản cũ của Windows. Cuộc tấn công này đã gây ảnh hưởng đến 300.000 máy tính ở 150 quốc gia và gây nên hậu quả nghiêm trọng đến các ngành kinh doanh và nhiều tổ chức trong đó có cả Cơ quan Chăm sóc Y tế công của vương quốc Anh (NHS).

Nhưng lỗ hổng Spectre và Meltdown có thể cho phép những tên tin tặc vượt qua được tất cả các lớp bảo vệ của phần mềm để tấn công vào trung tâm máy tính, đó là con chip xử lý điều khiển các cơ cấu hoạt động cơ bản của một bộ máy tính. Do các thiết bị điện tử tương tự cũng được tất cả các nhà sản xuất chip lớn sử dụng, nên hầu hết máy tính trên thế giới đều bị ảnh hưởng, từ iPhone của Apple và các điện thoại chạy Android cho đến MacBook, PC để bàn lớn và các máy chủ internet.

Quá trình tấn công này cơ bản đến mức nó không tạo ra bất cứ bản ghi nhật ký hoạt động nào, đồng nghĩa với việc không có một bản ghi chi tiết xem một con chip cụ thể nào đã bị hack hay chưa. Điều này gây khó khăn cho việc xác định các cuộc tấn công mạng ở giai đoạn đầu nhằm ngăn chặn chúng lặp lại, hay điều tra xem dữ liệu nào đã bị truy cập hay đã bị ăn cắp.

Điều may mắn là, các tập đoàn công nghệ đã bắt đầu đưa ra các bản vá lỗi phần mềm như họ nói là sẽ giải quyết các vấn đề này mà không gây ảnh hưởng nhiều đến hoạt động của máy. Nhưng một số người cho rằng bất cứ bản vá lỗi nào cũng làm chậm tốc độ xử lý của máy. Chúng ta sẽ phải đợi xem ảnh hưởng về lâu dài như thế nào.

Công bố một cách có trách nhiệm

Câu chuyện này dấy lên một vấn đề quan trọng đó là việc công bố một cách có trách nhiệm về các lỗ hổng bảo mật này. Nhiều bài viết cho rằng các tập đoàn này đã biết rõ các lỗ hổng đó từ nhiều tháng trước, nhưng cho đến lúc đó họ chỉ mới công bố các chi tiết hết sức hạn chế. Nhiều người cho rằng khách hàng có quyền được biết các lỗ hổng đó ngay sau khi lỗ hổng được phát hiện để họ có thể bảo vệ dữ liệu của mình. Tất nhiên, vấn đề lúc đó là nếu công bố thì nó có thể dẫn đến việc “vẽ đường” cho những tên tin tặc thực hiện các cuộc tấn công mạng khi chúng đã biết được lỗ hổng.

Trước đây, cuộc tranh cãi này đã buộc các tập đoàn công nghệ phải sử dụng đến luật pháp để ngăn các nhà nghiên cứu phơi bày các lỗ hổng bảo mật. Điển hình như các nhà khoa học của đại học Birmingham, Anh đã bị yêu cầu mang tính pháp lý từ Volkswagen buộc họ không được công bố các chi tiết lỗ hổng trong hệ thống khóa điều khiển từ xa của nhà sản xuất xe hơi này.

Hướng giải quyết đang được ưu tiên đó là “công bố có trách nhiệm”. Khi các nhà nghiên cứu phát hiện ra một lỗ hổng, họ chỉ nói với một số ít những người có liên quan , những người này sau đó sẽ nỗ lực tìm kiếm một giải pháp vá lỗ hổng. Nhà sản xuất chỉ công bố lỗ hổng với công chúng khi giải pháp đã có, nhằm giảm đến mức thấp nhất khả năng bị tấn công tin tặc và hạ thấp giá trị cổ phiếu của tập đoàn họ.

Trong trường hợp này, một nhà nghiên cứu ở Google, người đã phát hiện ra các lỗ hổng đã cảnh báo Intel hồi tháng 06/2017, và hai tập đoàn này đã lên kế hoạch công bố một giải pháp vá lỗ hổng. Nhưng chi tiết về lỗ hổng này đã bị trang web công nghệ The Register công bố, buộc hai tập đoàn này phải tiết lộ những gì họ đã biết sớm hơn kế hoạch, và điều này tác động xấu đến giá cổ phiếu của Intel. Mặc dù kiểu tiết lộ như vậy được cho là đã làm giảm giá trị của việc công bố một cách có trách nhiệm, nhưng những ý kiến trái chiều cho rằng điều này buộc các nhà sản xuất phải khắc phục vấn đề nhanh hơn.