Project Zero: đội đặc nhiệm an ninh mạng của Google

Project Zero của Google có thể coi như những người lính mạnh mẽ và tinh nhuệ trong cuộc chiến chống lại các mối đe dọa an ninh mạng đang gia tăng trên toàn cầu. Họ đang bảo vệ Internet theo cách riêng của mình. Liệu đây có phải là vấn đề gây tranh cãi?
Minh họa: Francesco Francavilla
Minh họa: Francesco Francavilla

Vào một chiều thứ Sáu của tháng Hai, Tavis Ormandy, một chuyên gia an ninh tài năng có mái tóc nâu gọn gàng và nụ cười ưu tư, như thường lệ đang ngồi "fuzzing" tại bàn làm việc trong trụ sở Google, Mountain View, California. Fuzzing là một kỹ thuật kiểm tra mã phổ biến thông qua các dữ liệu ngẫu nhiên để tấn công phần mềm và tìm ra lỗi. Mọi thứ diễn ra như mong đợi cho đến khi Ormandy phát hiện có điều gì đó không hợp lý trong bộ dữ liệu. Thật kỳ lạ, Ormandy nghĩ. Đây không phải là lỗi dữ liệu điển hình. Thay vì kết quả như dự kiến, Ormandy nhìn thấy những dị thường về cấu hình – các khối bộ nhớ lạ nằm rải rác. Ormandy quyết định tìm hiểu sâu hơn.

Sau khi tập hợp đủ thông tin, Ormandy đã họp với các đồng nghiệp, những chuyên gia an ninh mạng, để chia sẻ phát hiện của mình. Nhóm Project Zero của Google nhanh chóng nhận ra vấn đề: một luồng dữ liệu lớn bị rò rỉ từ một công ty ở San Francisco có tên Cloudflare. Bình thường, mạng phân phối nội dung CDN của Cloudflare xử lý khoảng 1/10 lưu lượng truy cập Internet trên thế giới mà không gặp vấn đề gì. Nhưng Ormandy phát hiện các máy chủ của công ty đã làm rò rỉ dữ liệu cá nhân của người dùng. Thông tin đã bị rò rỉ trong nhiều tháng.

Ormandy không biết ai ở Cloudflare và do dự khi gọi số hỗ trợ chung vào một buổi tối muộn gần ngày nghỉ cuối tuần. Vì vậy, Ormandy đã làm điều mà theo anh ta là tốt nhất: đăng bài trên Twitter để kêu gọi sự giúp đỡ từ hàng chục ngàn người đang theo dõi mình.

Có ai ở bộ phận an ninh của Cloudflare, hãy liên hệ gấp với tôi

Thời gian là 5:11 chiều theo múi giờ Thái Bình Dương.

Ormandy cũng không ngần ngại cảnh báo tài khoản Twitter của Cloudflare bằng cách gắn thẻ tên qua ký hiệu "@". Đáng lẽ anh đã không cần phải làm như vậy. Nhờ danh tiếng của mình trong cộng đồng thông tin rất nhiệt tình - các chuyên gia an ninh thông tin - 15 phút sau khi Ormandy ấn nút "Gửi", tất cả mọi người trên thế giới cần biết - và rất nhiều người không cần phải biết - sẽ thấy bài đăng trên.

Vào 1:26 sáng theo giờ địa phương, tiếng chuông từ chiếc điện thoại đang được sạc pin bên cạnh giường ngủ của John Graham-Cumming ở London vang lên đánh thức ông. Giám đốc kỹ thuật của Cloudflare dụi mắt và vươn lấy chiếc điện thoại đang đổ chuông ầm ĩ. Một cuộc gọi nhỡ. Một đồng nghiệp, một trong số ít những người được đưa vào danh sách white-list cho phép nhận các cuộc gọi sau nửa đêm - đã gọi. Ông gửi một tin nhắn hỏi xem có chuyện gì.

Đồng nghiệp của ông trả lời ngay lập tức.

Vấn đề an ninh mạng rất nghiêm trọng

Graham-Cumming ngồi dậy, lo lắng và trả lời.

Tôi online đây

Vị giám đốc kỹ thuật rời khỏi giường, xuống tầng dưới, chộp lấy túi xách gồm sạc, tai nghe, pin dự phòng vốn đã được chuẩn bị sẵn cho những dịp như thế này. Ông khởi động laptop và nhanh chóng đăng nhập vào ứng dụng Google Hangout với các đồng nghiệp tại trụ sở của Cloudflare ở California.

Đội ngũ an ninh tóm tắt sự việc cho Graham-­Cumming. Nhóm Project Zero của Google đã tìm thấy một lỗi nghiêm trọng trong cơ sở hạ tầng của Cloudflare. Các máy chủ hỗ trợ dịch vụ cho các website có hơn 6 triệu khách hàng, bao gồm các trang của FBI, Nasdaq và Reddit đã bị rò rỉ dữ liệu. Bất kỳ ai cũng có thể truy cập vào các trang được Cloudflare hỗ trợ trung gian và lấy thông tin cá nhân trong một số trường hợp nhất định như token xác thực, cookies, tin nhắn riêng tư của người dùng một site khác trong mạng, bao gồm Uber, 1Password, OKCupid và Fitbit.

Graham-Cumming và Ormandy

Những thông tin được ‘che đậy' kiểu nửa vời. Tệ hơn, các công cụ tìm kiếm và thu thập dữ liệu web đã lưu trữ dữ liệu bị rò rỉ trong bộ nhớ cache suốt nhiều tháng. "Vá" lỗ rò rỉ không hoàn toàn giải quyết được vấn đề.

Graham-Cumming cho biết: "Vụ rò rỉ giống như sự cố tràn dầu. Xử lý một lỗ hổng ở mạn tàu không khó, nhưng còn có những vùng biển rộng lớn bạn phải dọn sạch sau sự cố".

Các kỹ sư của Cloudflare bắt tay vào làm việc. Phụ trách bộ phận an ninh thông tin Marc Rogers, đồng thời là chuyên gia tư vấn cho Mr. Robot (seri phim về hacker của Mỹ), là người chỉ đạo công việc khắc phục. Chưa đầy một giờ, nhóm đã đưa ra một bản cập nhật vá lỗ hổng trên toàn thế giới để giảm nhẹ thiệt hại. Nhiều giờ sau đó các kỹ thuật viên đã khôi phục thành công các chức năng gây ra lỗi này. Gần 7 giờ sau khi Ormandy đăng tin trên Twitter, các kỹ sư của Cloudflare, thông qua các công cụ tìm kiếm chính như Google, Microsoft, Yahoo, đã xóa được các thông tin riêng tư lưu trong bộ nhớ cache của lịch sử duyệt web.

Tuy nhiên đây chỉ là khởi đầu của những ngày cuối tuần dài đằng đẵng. Các kỹ sư của Cloudflare dành phần lớn thời gian còn lại để đánh giá số lượng và phân loại dữ liệu bị rò rỉ, cũng như mức độ ảnh hưởng mà sự cố này gây ra.

Nhóm Project Zero của Google ban đầu rất ấn tượng với phản ứng nhanh chóng của Cloudflare, hãng nổi tiếng về sự minh bạch đối với các vấn đề an ninh. Nhưng mối quan hệ tốt đẹp bắt đầu rạn nứt khi hai bên thỏa thuận thời điểm tiết lộ sự cố. Ban đầu hai hãng tạm thời thống nhất đưa thông báo vào thứ ba, ngày 21/2. Nhưng gần đến ngày ấn định, Cloudflare quyết định công ty này cần thêm thời gian để xử lý. Thứ Ba đã trở thành thứ Tư. Thứ Tư đã trở thành thứ Năm. Điều này khiến Google đưa ra quyết định: chiều thứ Năm sẽ là ngày công bố chi tiết về lỗi rò rỉ "Cloudbleed" (được đặt tên bởi Ormandy) dù Cloudflare có hoàn thành việc đánh giá và đảm bảo rằng dữ liệu bị rò rỉ đã được xóa khỏi các bộ nhớ cache trực tuyến hay chưa.

Cuối cùng cả hai hãng đã công bố lỗ hổng trên vào thứ năm ngày 23/2/2017. Sự kiện khiến cộng đồng mạng hỗn loạn suốt 1 tuần sau đó.

Bạn không cần phải là một thành viên của nhóm Project Zero của Google mới thấy được các cuộc khủng hoảng an ninh đang gia tăng trên toàn cầu. Mỗi công ty đều trở thành một công ty công nghệ và các hacker xuất hiện ngày càng nhiều, rút sạch tiền trong tài khoản ngân hàng của các tập đoàn, theo dõi các cá nhân và can thiệp vào các cuộc bầu cử. Các tít báo đưa tin nghiêm trọng: Hơn 1 tỷ tài khoản Yahoo bị xâm nhập. Hàng chục triệu đô la bị đánh cắp thông qua mạng lưới tài chính SWIFT. Vô số email cá nhân của Ủy ban Quốc gia Đảng Dân chủ bị lộ trước cuộc bầu cử tổng thống năm 2016 của Hoa Kỳ.

Theo Trung tâm Identity Theft Resource Center (một tổ chức phi lợi nhuận hỗ trợ các nạn nhân bị lấy cắp danh tính), số lượng các công ty và cơ quan chính phủ Mỹ bị xâm nhập vào năm 2016 cao hơn 40% so với năm 2015. Tuy nhiên, đây chỉ là con số ước tính thấp hơn thực tế. Đồng thời, theo kết quả nghiên cứu được IBM tài trợ của Viện nghiên cứu Ponemon, trung bình một vụ xâm nhập dữ liệu hiện nay khiến các tổ chức thiệt hại 3,6 triệu USD.

Cho dù sự cố trên do lỗi lập trình hay do các tin tặc làm việc cho chính phủ khai thác, rò rỉ dữ liệu đang là xu hướng mới. Vì vậy, các giám đốc kỹ thuật dần phải chấp nhận một quan điểm là có thể tiết kiệm hơn khi giải quyết các vấn đề về code từ trong "trứng nước", trước khi nó gây ra hậu quả lớn hơn và rắc rối hơn trong tương lai.

Nhưng mọi việc không đơn giản như vậy. Có quá nhiều tổ chức không xem trọng an ninh mạng hoặc xem nó là một trở ngại với việc đáp ứng yêu cầu phát triển và thời hạn giao sản phẩm. Theo Veracode, một công ty an ninh ứng dụng, có tới 83% trong 500 nhân viên quản lý CNTT được khảo sát thừa nhận họ đã triển khai code trước khi kiểm tra lỗi hoặc xử lý các vấn đề an ninh. Đồng thời, ngành an ninh mạng đang phải đối mặt với sự thiếu hụt nhân sự. Tập đoàn Cisco ước tính đang thiếu khoảng 1 triệu các công việc liên quan an ninh mạng trên toàn thế giới. Theo dự đoán của Symantec con số trên sẽ tăng lên 1,5 triệu vào năm 2019 và một số khác ước tính sẽ là 3,5 triệu đến năm 2021.

Ngay cả khi một công ty có tài chính, sáng kiến và năng lực để hỗ trợ đội ngũ an ninh thực sự, vẫn không thể tránh khỏi có sai sót trong code. Các chương trình đảm bảo chất lượng và các nguyên lý phát triển phần mềm tốt nhất cũng không thể phát hiện được mọi lỗi.

Vì vậy, nhiều công ty, bao gồm Microsoft và Apple, có các đội nghiên cứu an ninh nội bộ để phát hiện lỗi trong phần mềm của họ. Nhưng có rất ít nhóm tập trung vào phần mềm do các công ty khác tạo ra. Điều này khiến Google trở nên khác biệt. Đối với Ormandy và hàng chục hacker nổi tiếng tham gia Dự án Project Zero của Google, phạm vi của họ không chịu sự giới hạn nào - bất cứ điều gì liên quan đến Internet đều là trò chơi công bằng. Cảnh sát không gian mạng không chỉ tốt cho nhân loại. Họ còn mang lại lợi ích trong kinh doanh.

Google chính thức thành lập Dự án Project Zero vào năm 2014, nhưng nguồn gốc của nhóm đã manh nha từ 5 năm trước. Phần lớn các công ty chỉ nhận ra tầm quan trọng của an ninh mạng khi có trường hợp khẩn cấp xảy ra. Đối với Google, thời điểm đó là hàng loạt vụ tấn công có tên Chiến dịch Aurora.

Năm 2009, một nhóm gián điệp liên quan đến chính phủ Trung Quốc đã tấn công Google và một số hãng khổng lồ công nghệ khác, xâm nhập máy chủ, ăn cắp sở hữu trí tuệ và theo dõi người dùng. Hành vi "cướp bóc" này khiến các lãnh đạo cao cấp của Google phẫn nộ đến mức cuối cùng hãng đã rút khỏi Trung Quốc, thị trường lớn nhất thế giới sau sự cố này.

Sự kiện trên đặc biệt khiến người đồng sáng lập Google Sergey Brin lo lắng. Các công ty điều tra tội phạm máy tính xác định công ty không bị tấn công bởi bất kỳ lỗi nào trong phần mềm của chính Google, tuy nhiên một lỗ hổng chưa được cập nhật bản vá trong Microsoft Internet Explorer 6 đã bị khai thác. Sergey Brin tự hỏi tại sao an ninh của Google lại phụ thuộc vào sản phẩm của các công ty khác?

Những tháng tiếp theo, Google bắt đầu có động thái mạnh mẽ hơn trong việc yêu cầu các đối thủ khắc phục lỗi trong code phần mềm của họ. Cuộc chiến giữa Google và các đối thủ sớm được nhiều người biết tới. Và trung tâm của rất nhiều cuộc tranh cãi đó không ai khác chính là "thợ săn" lỗi Tavis Ormandy, người nổi tiếng bởi cách tiếp cận quyết liệt để các lỗi được vá.

Ví dụ, không lâu sau khi chiến dịch Aurora được công khai, Ormandy đã tiết lộ một lỗ hổng được mình tìm thấy trong hệ điều hành Windows của Microsoft từ vài tháng trước, có thể cho phép kẻ tấn công chiếm quyền kiểm soát máy tính cá nhân. Sau khi chờ 7 tháng để Microsoft có thể phát hành bản vá, Ormandy quyết định tự mình sẽ ‘xử lý'. Vào tháng 1/2010, Ormandy đã gửi các chi tiết của lỗ hổng vào nhóm email "full disclosure" (tạm dịch: tiết lộ đầy đủ), nơi các nhà nghiên cứu an ninh thông báo tới bạn bè những lỗ hổng mới và các phương pháp tấn công. Trong suy nghĩ của Ormandy, nếu Microsoft không giải quyết vấn đề kịp thời thì ít nhất mọi người nên biết về sự cố này để họ có thể tìm ra giải pháp cho mình. Một vài tháng sau, Ormandy cũng hành động tương tự với một lỗi ảnh hưởng đến phần mềm Java của Oracle và một lỗ hổng nghiêm trọng trong Windows, năm ngày sau khi thông báo cho hãng này.

Giới phê bình chỉ trích hành động của Ormandy và cho rằng nó gây nguy hiểm đến an ninh mạng của mọi người (Apple, Microsoft và Oracle không bình luận về vụ việc này). Trong một bài đăng blog của công ty, hai chuyên gia về bảo mật của Verizon gọi các nhà nghiên cứu chọn con đường tiết lộ đầy đủ là "những kẻ tự sướng phá hoại". Ormandy không quan tâm tới những chỉ trích mạnh mẽ nhắm vào mình. Năm 2013, Ormandy tiếp tục công khai một lỗi của Windows trước khi Microsoft phát triển bản vá lỗi. Nếu không có sự đe doạ công khai từ một nhà nghiên cứu, Ormandy lập luận, các công ty không phải chịu nhiều áp lực sửa lỗi kịp thời. Họ có thể để mặc các lỗi vô thời hạn, khiến nhiều người gặp nguy cơ bị tấn công.

Google bắt đầu chính thức hóa dự án Project Zero trong âm thầm vào năm 2014. (Tên nhóm ám chỉ đến các lỗ hổng "zero-day", một thuật ngữ chuyên ngành an ninh mạng mô tả các lỗ hổng an ninh chưa được biết đến trước đó, những lỗ hổng mà các công ty không có thời gian, hoặc 0 ngày để khắc phục). Công ty thành lập một đội và cho phép Chris Evans (không phải diễn viên phim Captain America), từng phụ trách mảng an ninh của Google Chrome, đảm nhiệm vị trí lãnh đạo. Evans lần lượt tuyển dụng các nhân viên của Google và những người khác vào nhóm của mình.

Chris Evans đã ký hợp đồng với Ian Beer, một chuyên gia an ninh người Thuỵ Sĩ gốc Anh, người đã tìm ra phương thức phát hiện lỗi code của Apple. Ông cũng mời Ormandy, một kỹ sư người Anh nổi tiếng vì những lần ‘đụng độ' với Microsoft và thuyết phục Ben Hawkes, một chuyên gia người New Zealand được nhiều người biết đến vì đã phát hiện lỗi Adobe Flash và Microsoft Office gia nhập. George Hotz, một thanh niên thiên tài, giành được 150.000 đô la sau khi tấn công vào trình duyệt Google Chrome trong một cuộc thi tấn công mạng diễn ra vào đầu năm 2004 cũng được đề nghị trở thành thực tập sinh của đội.

Dấu hiệu đầu tiên cho thấy sự xuất hiện của nhóm Project Zero là vào tháng 4/2014 khi Apple tuyên dương một nhà nghiên cứu của Google trong một đoạn thông báo ngắn vì đã phát hiện một lỗ hổng cho phép hacker kiểm soát phần mềm chạy trình duyệt web Safari của Apple. Lời cám ơn tới "Ian Beer từ Project Zero của Google".

Trên Twitter, cộng đồng an ninh thông tin rất hiếu kỳ về nhóm bí mật này. "Project Zero của Google là gì?", Dan Guido, đồng sáng lập một công ty tư vấn về an ninh mạng tại New York, đã đưa ra câu hỏi trên trong một tweet được đăng vào ngày 24/4/2014. Chris Soghoian, chuyên gia hàng đầu về công nghệ của Liên đoàn Tự do Dân sự Mỹ đã viết lời cảm ơn tới "nhân viên của Google Project Zero bí ẩn" trong bản cập nhật an ninh của Apple.

Những lời cảm ơn tiếp theo sớm xuất hiện sau đó. Vào tháng 5, Apple đã ghi nhận việc phát hiện rất nhiều lỗi trong hệ điều hành OS X tới Beer. Một tháng sau, Microsoft vá một lỗi có thể bị khai thác để vượt tính năng bảo vệ trước phần mềm độc hại, với sự trợ giúp của "Tavis Ormandy của Google Project Zero" trong một khuyến cáo chính thức.

Đến lúc đó, nhóm đã tạo được nhiều tiếng vang trong cộng đồng quan tâm các vấn đề an ninh mạng. Evans cuối cùng đã xuất hiện chính thức trong một bài blog trên trang web của công ty: "Bạn có thể sử dụng web mà không phải lo sợ tội phạm mạng tấn công hoặc các hacker do nhà nước bảo trợ khai thác lỗ hổng phần mềm để lây nhiễm máy tính của mình, trộm cắp bí mật hoặc theo dõi các trao đổi của bạn". Ông cũng trích dẫn những ví dụ gần đây về gián điệp mạng nhắm vào các doanh nghiệp và các nhà hoạt động nhân quyền và xem đây là những hành vi sai trái. "Điều này cần phải dừng lại".

Một năm sau Evans rời nhóm để gia nhập Tesla và hiện đang làm cố vấn cho công ty startup HackerOne. (Hawkes hiện tại là người lãnh đạo dự án Project Zero). Đến hôm nay Evans vẫn thận trọng khi nói về nguồn gốc của nhóm. Ông cho biết: "Cơ sở của dự án Project Zero được đưa ra sau nhiều năm trao đổi kỹ lưỡng vào giờ ăn trưa và nhiều năm quan sát sự phát triển của các vụ tấn công. Chúng tôi muốn tạo ra những công việc chỉ tập trung vào nghiên cứu các vụ tấn công hàng đầu, để thu hút những người giỏi nhất trên thế giới đến một không gian nghiên cứu vì cộng đồng".

Thách thức này chông gai hơn so với dự tính. Đầu tư tiền để lôi kéo nhiều hacker tốt nhất thế giới, thuyết phục họ làm việc đằng sau những cánh cửa đóng kín, nơi mà các chính phủ và các tổ chức khác, thông qua các công ty môi giới, sẽ trả giá cao nhất cho những phát hiện của họ. Khi chưa có công việc nghiên cứu này, Evans nói, người dùng chỉ biết chấp nhận và chịu đựng những nguy cơ.

Trong ba năm từ khi Project Zero của Google chính thức hoạt động, nhóm hacker hàng đầu này đã thành công trong việc xây dựng danh tiếng là một trong những "kẻ hủy diệt" lỗ hổng máy tính hiệu quả nhất trên toàn thế giới. Mặc dù một người tiêu dùng bình thường khó có thể nhận ra bất kỳ ai trong số họ - James Forshaw, Natalie Silvanovich, Gal Beniamini – nhưng thế giới đang nợ họ lời cảm ơn vì họ đang bảo vệ các thiết bị và dịch vụ vận hành cuộc sống số của chúng ta. Nhóm cũng chịu trách nhiệm cho hàng loạt cải tiến các sản phẩm của các công ty khác, bao gồm việc tìm kiếm và hỗ trợ vá hơn một nghìn lỗ hổng an ninh trong hệ điều hành, phần mềm chống virus, quản lý mật khẩu, thư viện mã nguồn mở và các phần mềm khác. Cho đến nay Project Zero đã công bố hơn 70 bài viết trên blog về công việc của nhóm, một số bài nghiên cứu về an ninh tốt nhất vẫn còn trên web đến ngày hôm nay.

Công việc của nhóm gián tiếp mang lai lợi nhuận cho hoạt động kinh doanh chính của Google: quảng cáo trực tuyến. Bảo vệ người dùng Internet trước các mối đe dọa cũng đồng nghĩa bảo vệ khả năng đưa quảng cáo tiếp cận người dùng. Nỗ lực của Project Zero cũng đặt áp lực lên các hãng công nghệ và buộc các hãng này phải sửa lỗi gây ra sự cố cho các sản phẩm của Google.

"Giải thưởng" mà các hãng treo cho các nhà nghiên cứu khi phát hiện lỗ hổng có thể đến 200.000 USD

Dave Aitel, một cựu hacker của NSA, đang điều hành Immunity, một công ty chuyên về tấn công mạng, lấy điện thoại ra để chụp ảnh. Hãy để ý Tavis Ormandy: khi online là một người kiên nhẫn chịu đựng chỉ trích từ những kẻ ngu ngốc; khi offline là một người tốt bụng luôn hành động ồn ào và ‘ngu ngốc'.

Khi trao đổi về những tranh cãi mà Ormandy phải hứng chịu khi thúc giục các hãng công nghệ sửa code, Aitel nói: "Tavis, mọi người chỉ nói những điều chết tiệt với anh. Anh biết đấy, anh không cần phải bận tâm". Với một nụ cười tinh quái, Aitel cố gắng thuyết phục Ormandy tham gia vào "mặt tối" của các hacker – những người phát hiện lỗi và bán chúng lấy tiền thay vì báo cho các công ty bị ảnh hưởng, giúp các lỗi bị vô hiệu hóa.

Ormandy nhún vai trước lời đề nghị Aitel, cười, rồi đặt kính lên bàn. Ormandy có thể là một kẻ gây rối, nhưng mục đích của anh ta là trong sáng.

Mặc dù nổi tiếng vì sự cứng rắn, Project Zero phải trở nên linh hoạt hơn vì lý tưởng tốt đẹp của nhóm xung đột với sự phức tạp của thế giới thực. Nhóm ban đầu tuân thủ nghiêm ngặt thời hạn công bố 90 ngày, hoặc chỉ 7 ngày với các lỗi "đã bị khai thác", nhưng trong nhiều trường hợp nhóm tiết lộ ngay trước khi các công ty dự kiến phát hành bản cập nhật. Như trường hợp Microsoft và các bản vá định kỳ Patch Tuesday (được tung ra vào ngày thứ ba của tuần thứ 2 trong tháng), nhóm đã vấp phải chỉ trích dữ dội. (Kể từ đó nhóm đã thêm 14 ngày vào thời hạn 90 ngày khi các hãng đang chuẩn bị vá lỗ hổng).

Nhóm Project Zero có một số chính sách tiết lộ minh bạch nhất trong ngành công nghệ, theo Katie Moussouris, người tham gia xây dựng chính sách bảo mật tại Microsoft, hiện đang điều hành một công ty tư vấn các lỗi an ninh để săn tiền thưởng có tên Luta Security. Theo bà chính sách của nhóm là đúng đắn. Nhiều công ty thất bại khi thiết lập các hướng dẫn về phương thức báo lỗi hoặc thiếu chính sách về cách thức hoặc thời gian một nhà nghiên cứu nên công khai lỗi. Một số tổ chức thậm chí còn đưa ra thời gian ngắn hơn cho các công ty để sửa phần mềm. Cert CC, một nhóm từ Đại học Carnegie Mellon, đưa ra chính sách 45 ngày - chỉ bằng 1 nửa so với nhóm Project Zero, mặc dù nhóm này cho phép linh động nhiều thời gian hơn tùy từng trường hợp.

Katie Moussouris - chuyên gia phát hiện lỗi và Giám đốc điều hành của Luta Security - giải thích về cơ chế kinh tế trong khai thác lỗi:

Lỗ hổng máy tính có 2 thị trường: tấn công và phòng thủ. Tấn công đến từ các nhóm tội phạm có tổ chức hoặc các hacker được chính phủ chống lưng và các hacker còn lại. Phòng thủ bao gồm các chương trình trao thưởng cho các cá nhân, tổ chức vì đã phát hiện lỗ hổng và các công ty bán sản phẩm an ninh mạng. Thị trường tấn công trả giá cao hơn và không có mức trần. Những người đến từ thị trường này không chỉ mua một lỗ hổng hoặc một điểm yếu mà còn mua khả năng khai thác nó mà không bị phát hiện. Giao dịch được tiến hành trong âm thầm. Thị trường phòng thủ không thể trả nhiều như vậy. Các hãng bán sản phẩm công nghệ sẽ không trả cho các nhà phát triển sản phẩm giỏi nhất với mức giá một triệu đô la. Mặc dù chất lượng code của các công ty lớn đang được cải thiện nhưng sự phức tạp của nó cũng không ngừng tăng lên. Điều này dẫn đến nhiều lỗi xuất hiện hơn. Hành động của các nhà nghiên cứu an ninh với một lỗi cụ thể có thể phụ thuộc vào nhu cầu tài chính, thái độ của họ về một phần mềm hoặc với một hãng công nghệ và rủi ro cá nhân của chính họ. Nó không chỉ đơn thuần là sự khác biệt giữa hacker mũ đen bán lỗ hổng với các hacker mũ trắng.

Project Zero: đội đặc nhiệm an ninh mạng của Google ảnh 5

Katie Moussouis- Giám đốc điều hành của Luta Security

Tuy Project Zero chỉ trích các phản ứng chậm chạp nhưng nhóm cũng kịp thời khen ngợi hành động sửa lỗi của các công ty. Đầu năm 2017, Ormandy đã đăng lên twitter thông báo mình và đồng nghiệp Natalie Silvanovich đã "phát hiện lỗi nghiêm trọng nhất trên Windows có khả năng thực thi mã từ xa trong bộ nhớ tạm", hay nói cách khác có thể kiểm soát từ xa một hệ thống dựa trên nền tảng Windows. Ormandy khẳng định đây là điều rất tệ hại và cả hai đã hợp tác với Microsoft để vá lỗi. Sau đó Ormandy cập nhật tình hình trên Twitter: "Vẫn thấy choáng ngợp trước tốc độ phản hồi nhanh chóng của @msftsecurity để bảo vệ người dùng, không thể diễn tả hết bằng lời sự khen ngợi dành cho họ. Tuyệt vời". Rõ ràng, không bao giờ là quá muộn để cải thiện.

Các công ty công nghệ có thể e ngại trước sự táo bạo của Project Zero, nhưng nên cảm thấy thoải mái khi các hacker của nhóm sẵn sàng đi ngược lại những ham muốn thúc đẩy rao bán các phát hiện của mình. Từ khi tấn công mạng trở nên chuyên nghiệp hóa, trên thị trường xuất hiện thêm các lỗi được Project Zero tiết lộ. Các chính phủ, các cơ quan tình báo, giới tội phạm - tất cả đều muốn có được chúng cho riêng mình và sẵn sàng trả giá cao nhất. Việc áp dụng rộng rãi các chương trình treo thưởng cho việc săn lỗi tại các công ty phần mềm không tác động nhiều tới tình hình hiện nay theo một hướng khác, khi thưởng một khoản tiền cho các chuyên gia đã dành thời gian, nỗ lực và tài năng của họ. Tuy nhiên, khoản tiền trên sẽ không bao giờ bằng số tiền mà những người phát hiện lỗ hổng có thể nhận được từ thị trường "phi pháp".

Bruce Schneier, một bậc thầy bảo mật nổi tiếng và là giám đốc của IBM cho biết: "Dù phần thưởng của Google là gì, chính phủ Trung Quốc sẽ trả nhiều hơn".

Trở lại thành phố Fontainebleau, khi trao đổi với phóng viên của tạp chí Fortune, Dullien cho biết ông rất ngạc nhiên về khả năng săn lùng của các hacker. Từ một sở thích từng được thực hiện trong tầng hầm tối hiện tại đã trở thành một nghề trong trụ sở chính phủ.

Ông cho biết: "Điều này giống trào lưu văn hóa thập niên 90, tương tự nhảy hip-hop hay nhảy breakdance, trượt ván hay vẽ tranh tường graffiti. Thật ngạc nhiên khi quân đội thấy nó hữu dụng".

Theo Matthew Prince, Giám đốc điều hành kiêm đồng sáng lập của Cloudflare, vụ rò rỉ được công bố bởi các thợ săn lỗi hàng đầu của Google đã khiến công ty của ông thiệt hại khoảng một tháng tăng trưởng.

Nếu có tức giận về sự cố này đi chăng nữa, Prince cũng không thể hiện điều đó. Prince hiểu cảm giác khi trở thành mục tiêu của tin tặc thực sự. Một vài năm trước, một nhóm tin tặc tên là "UGNazi" đã đột nhập vào tài khoản cá nhân của ông, sử dụng nó để kiểm soát tài khoản email của công ty và chiếm quyền điều khiển cơ sở hạ tầng của Cloudflare. Những kẻ phá hoại này có thể đã gây ra thiệt hại đáng kể. Tuy nhiên, thay vào đó, chúng quyết định chuyển hướng diễn đàn 4chan.org, một nơi thường được các hacker lui tới, tới trang Twitter của nhóm để thu hút sự chú ý.

Prince vẫn hối tiếc vì đã không thông báo cho khách hàng của mình về toàn bộ vấn đề Cloudbleed trước khi Google và Cloudflare công bố những phát hiện ban đầu của họ. Ông mong muốn công ty của mình cảnh báo tới khách hàng trước khi họ đọc được vụ rò rỉ trong các bản tin. Mặc dù vậy, khi nhìn lại Prince vẫn tin tưởng rằng Project Zero đã tiết lộ đúng thời điểm. Theo ông, không có bất kỳ thiệt hại đáng kể nào liên quan đến vụ rò rỉ được phát hiện kể từ đó. Không mật khẩu, không số thẻ tín dụng, hoặc hồ sơ sức khoẻ bị lộ, dù ban đầu họ lo sợ chúng sẽ bị rò rỉ.

Prince cho hay Cloudflare đã đưa ra các biện pháp kiểm soát mới để ngăn chặn một sự cố tương tự như vậy có thể xảy ra. Công ty bắt đầu kiểm tra tất cả code của hãng đồng thời thuê người bên ngoài kiểm tra. Hãng cũng thiết lập một hệ thống phức tạp hơn để xác định sự cố phần mềm phổ biến, thường cho thấy sự tồn tại của lỗ hổng.

Khi nói về việc phát hiện và hậu quả của sự rò rỉ, Prince cho biết tóc ông có nhiều sợi xám hơn và có thể sẽ tổn thọ một năm vì 14 ngày đó. "Cảm ơn Chúa, Tavis và nhóm tìm ra nó không phải là một tin tặc điên rồ nào đó".

Tất nhiên, Prince sẽ không bao giờ có thể loại trừ khả năng một người hoặc tổ chức khác có bản sao dữ liệu bị rò rỉ. Và đó chính vai trò quan trọng mà Project Zero thực hiện. Với mỗi thành viên trong nhóm, bên ngoài là vô số người đang tìm kiếm các lỗ hổng với mục tiêu không tốt đẹp.

Theo Tạp chí Diễn đàn đầu tư
http://vnreview.vn/tin-tuc-an-ninh-mang/-/view_content/content/2205387/project-zero-doi-dac-nhiem-an-ninh-mang-cua-google