Đầu tháng 9, Trung tâm An ninh mạng BKIS phát hiện các lỗ hổng bảo mật trong sản phẩm của các "đại gia" Microsoft và Google. Các "chuyên gia" tìm ra lỗ hổng này vẫn đang là sinh viên.
Lỗ hổng đã được vá
Những ngày đầu tháng 9, một loạt các tạp chí chuyên ngành, hãng tin quốc tế đều đưa tin về sự kiện trình duyệt Chrome mới được Google cho trình làng dính hàng loạt lỗi bảo mật và phải đưa ra bản vá.
Trong số bốn lỗ hổng được các chuyên gia an ninh mạng toàn cầu phát hiện thì lỗ hổng do BKIS phát hiện được chính Google thừa nhận là nghiêm trọng nhất vì có thể khiến người sử dụng bị mất quyền điều khiển máy tính khi bị hacker khai thác.
3 lỗ hổng còn lại chỉ làm cho trình duyệt Chrome bị "treo" hoặc tự động tải file vào thư mục mặc định, nên có mức độ nguy hiểm thấp hơn.
Ông Nguyễn Minh Đức, Trưởng phòng An ninh ứng dụng của BKIS, cho biết đây là lỗ hổng tràn bộ đệm (buffer overflow) trong tính năng SaveAs của Chrome phiên bản 0.2.149.27. Người dùng Chrome khi truy nhập vào các website chứa mã khai thác, sẽ bị hacker thực thi mã độc từ xa và chiếm quyền điều khiển máy tính của họ.
Xuất phát từ mục tiêu VN phải làm chủ các công nghệ an ninh mạng, góp phần đảm bảo an ninh quốc gia, cũng như từng bước đặt chân vào thị trường toàn cầu, từ 2004, BKIS đã tiến hành các công tác chuẩn bị từ đào tạo đội ngũ chuyên gia, xây dựng phòng thí nghiệm an ninh mạng, cho đến việc hoàn thiện các quy trình nghiên cứu, phân tích lỗ hổng phần mềm. Có một điều thú vị là 100% các chuyên gia của BKIS đều là những người được đào tạo trong nước.
Gần như cùng thời điểm Google đưa ra bản vá cho Chrome (9.9) thì một tin vui nữa lại đến với BKIS khi Microsoft đã chính thức xác nhận và đưa ra bản vá cho lỗ hổng của phần mềm Windows Media Encoder do hai chuyên gia Nguyễn Minh Đức và Lê Mạnh Tùng của BKIS phát hiện.
Lỗ hổng này được Microsoft đánh giá có mức độ nguy hiểm cao nhất vì cũng giống như lỗ hổng của Chrome, hacker có thể lợi dụng để thực thi mã độc từ xa, chiếm toàn quyền kiểm soát máy tính của nạn nhân.
Ông Nguyễn Tử Quảng, Giám đốc BKIS, cho biết cảnh báo này đã được BKIS gửi cho Microsoft từ tháng 3/2008. Nhưng do những phức tạp, có liên quan đến các hệ điều hành, trình duyệt khác nhau nên phải mất hơn 5 tháng phối hợp, trao đổi giữa các chuyên gia của Microsoft và BKIS, đến ngày 10/9, bản vá chính thức mới được Microsoft phát hành.
Bất ngờ với các "chuyên gia"
Lê Đức Anh, chuyên gia đầu tiên phát hiện ra lỗ hổng của Chrome, hóa ra còn khá trẻ (21 tuổi), Đức Anh hiện đang là sinh viên năm 3 ngành CNTT của ĐH Bách khoa Hà Nội. Tuy nhiên từ hơn một năm nay, sau khi lọt qua nhiều vòng kiểm tra gắt gao, Đức Anh đã được nhận vào làm việc tại BKIS trong lĩnh vực nghiên cứu lỗ hổng an ninh.
"Trình duyệt Chrome được Google đưa ra hôm 1/9 thì ngày 3/9 các chuyên gia của BKIS, dưới sự chỉ đạo của nhóm trưởng Nguyễn Minh Đức đã bắt tay vào nghiên cứu, phân tích ngay.
Sở dĩ Chrome được chọn để mổ xẻ vì trước khi cho ra mắt Google đã quảng bá khá nhiều về các tính năng của trình duyệt này, trong đó có tính năng bảo mật. Mặt khác, các sản phẩm của Google luôn được cộng đồng mạng đặc biệt quan tâm và có nhiều người sử dụng. Nếu các sản phẩm này có kẽ hở an ninh nào đó bị lợi dụng thì sẽ rất nguy hiểm cho cộng đồng", Đức Anh kể lại.
Các chuyên gia bảo mật của BKIS được chia thành nhiều nhóm, nghiên cứu theo nhiều hướng khác nhau và đến 11 giờ ngày 4/9, Lê Đức Anh đã phát hiện ra lỗ hổng tràn bộ đệm trong tính năng SaveAs của Chrome.
Sau phát hiện này cả nhóm đã tập trung thử nghiệm trên các môi trường, kiểm tra trên các phiên bản, hệ điều hành, các máy khác nhau... Sau khi xác minh được mức độ nguy hiểm, các chuyên gia của BKIS đã ngay lập tức gửi cảnh báo đến Google hôm 5/9 và chỉ 4 ngày sau Google đã phản hồi bằng bản vá với sự ghi nhận những đóng góp từ các chuyên gia Việt Nam.
Lê Mạnh Tùng (22 tuổi), thành viên của BKIS, một trong những người được Microsoft cảm ơn vì đã góp phần phát hiện lỗ hổng của phần mềm Windows Media Encoder hiện cũng đang là sinh viên năm cuối nhưng đã có 3 năm hoạt động trong lĩnh vực bảo mật.
Bắt đầu từ việc tìm hiểu những lỗ hổng được các chuyên gia trên thế giới công bố để học hỏi đến việc tích lũy dần các kiến thức qua quá trình làm việc, Tùng đã được giao trách nhiệm phân tích các phần mềm của Microsoft.
Tháng 3/2008, Tùng "tình cờ" phát hiện thấy các đầu hàm của Windows Media Encoder có những hiện tượng giống như các lỗ hổng mẫu từng được phân tích, sau đó Tùng đã cùng các đồng nghiệp phân tích và cuối cùng tìm ra được một lỗ hổng khá nghiêm trọng có thể bị hacker lợi dụng chiếm quyền điều khiển máy tính.
Cả Đức Anh và Mạnh Tùng đều khiêm tốn nhận là tình cờ và may mắn khi phát hiện ra những lỗ hổng này. Thế nhưng, thực tế nếu không có sự chuẩn bị kỹ càng về chuyên môn, kiến thức thì chắc chắn sẽ chẳng bao giờ có sự "tình cờ, may mắn" ấy. Còn phần thưởng lớn nhất với họ, như Đức Anh tâm sự, chính là niềm tự hào khi đóng góp phần lao động trí tuệ của mình cho cộng đồng mạng thế giới.