Microsoft sở hữu một nhóm hacker tinh nhuệ nhằm giúp Windows luôn an toàn

Một người trong số họ từng bẻ khoá các máy chơi game Nintendo. Một người khác được đặt tên cho vài lỗ hổng zero-day. Người thứ ba gia nhập nhóm ngay trước khi diễn ra vụ rò rỉ Shadow Brokers từng gây hậu quả nghiệm trọng.

Đó chỉ là một số ít người trong Red Team của Windows - một nhóm các hacker làm việc cho Microsoft, dành toàn bộ thời gian trong ngày để tìm kiếm các lỗ hổng trong hệ điều hành phổ biến nhất thế giới này. Không có họ, bạn có lẽ đang rất vất vả chống lại những vụ tấn công mạng nguy hiểm không lường trước.

Theo Wired, nhiều công ty có một hoặc nhiều nhóm "đỏ", và họ thường có cùng một mục đích: đóng vai trò một kẻ tấn công, tìm cách thăm dò và lợi dụng các lỗ hổng, hi vọng phát hiện lỗi trước khi những kẻ xấu tìm ra. Một vài trong số họ tập trung vào một mục tiêu cực kỳ phổ biến: Windows - một hệ điều hành chiếm gần 90% thị phần của laptop và desktop trên toàn cầu. Bởi khi Windows gặp sự cố, cả thế giới sẽ rúng động.

Thành lập nhóm

Bốn năm trước, nhóm "đỏ" của Windows chưa hề tồn tại. Đó là thời điểm David Weston - người hiện là quản lý chính của nhóm bảo mật Windows - đã trình bày một bài diễn thuyết khiến Microsoft phải suy nghĩ lại về cách hãng xử lý vấn đề bảo mật trong các sản phẩm chủ đạo của mình.

"Quy trình bảo vệ Windows của chúng tôi là: đợi một vụ tấn công lớn xảy ra, hoặc đợi xem ai đó cho biết về một kỹ thuật mới, và sau đó dành thời gian để khắc phục lỗi", Weston nói. "Rõ ràng đó không phải là ý tưởng hay khi những mối đe doạ đang lên rất cao".

Weston muốn đi xa hơn truyền thống của Microsoft - tận dụng các chương trình săn lỗi nhận tiền thưởng và các mối quan hệ cộng đồng để hình thành hệ thống phòng thủ cho Windows. Anh quá mệt mỏi với thế thụ động, phản hồi lại các vấn đề đã biết thay vì tự phát hiện ra các vấn đề mới. Anh muốn thử tấn công xem sao.

Lấy cảm hứng từ trải nghiệm của mình với các hacker mũ trắng tại các sự kiện như Pwn20wn, và quá mệt mỏi khi phải chờ cho đến khi cuộc thi chấm dứt mới thu thập được những thông tin về các lỗ hổng Windows - Weston bắt đầu lập ra một nhóm với công việc chính là... tổ chức một cuộc thi hack Windows mỗi ngày trong năm.

Hiện nay, thành viên của nhóm này bao gồm Jordan Rabet - người được David để ý sau khi biểu diễn màn bẻ khoá Nintendo 3DS ấn tượng trong một video YouTube vào năm 2014. Rabet hiện tập trung vào mảng bảo mật trình duyệt, nhưng cũng đóng vai trò quan trọng trong nỗ lực của Microsoft nhằm giải quyết lỗ hổng bảo mật Spectre vốn khuấy động cả ngành công nghiệp máy tính chưa đầy một năm trước.

Viktor Brange, sống ở Thuỵ Điển, tham gia ngăn chặn vụ rò rỉ công cụ hack Windows của NSA, bằng cách sàng lọc nền tảng code của Microsoft, xác định mức độ nghiêm trọng của nhiều vấn đề khác nhau để sửa chữa. Kinh nghiệm Linux sâu rộng của Adam Zabrocki thì giúp giải quyết các vấn đề về nhân hệ thống và ảo hoá. Jasika Bawa giúp biến các phát hiện của nhóm thành các cải tiến sản phẩm thực sự. Và hai thành viên khác của nhóm thực hiện những công việc nhạy cảm đến mức họ yêu cầu được ẩn danh.

Cùng nhau, thành viên Red Team đã dành ra nhiều ngày để tấn công WIndows. Mỗi năm, họ phát triển một lỗ hổng zero-day để thử nghiệm các sản phẩm phòng thủ hệ thống của nhóm "xanh". Và khi các vụ việc khẩn cấp như Spectre hay EternalBlue xảy ra, họ là những người đầu tiên nhận được thông báo.

Mã đỏ

Một lần nữa, các Red Team không phải là sản phẩm của trí tưởng tượng; các công ty thường có xu hướng sử dụng họ nếu có đủ khả năng chi trả và e ngại mình có thể là mục tiêu nhắm đến. Thật ngạc nhiên là Microsoft chưa hề tập hợp một nhóm như vậy cho WIndows cho đến gần đây. Microsoft đã có nhiều nhóm "đỏ" đang hoạt động vào thời điểm Weston lập một nhóm mới cho Windows, nhưng các nhóm kia lại tập trung nhiều hơn vào các vấn đề trong quá trình hoạt động, như các máy tính chưa được vá lỗi chẳng hạn.

"Windows vẫn là nơi chứa các malware và các lỗ hổng. Có quá nhiều hoạt động kinh doanh trên thế giới được thực hiện trên Windows. Tư tưởng của kẻ tấn công là đoạt được khoản hoàn vốn đầu tư lớn nhất trong những thứ bạn phát triển được về mặt code và lỗ hổng", Aaron Lint, người thường xuyên làm việc với các nhóm "đỏ" tại công ty cung cấp dịch vụ bảo vệ ứng dụng Arxan, nói. "Hiển nhiên Windows là mục tiêu tấn công".

Việc huấn luyện hệ tư tưởng đó trong nội bộ Windows đã mang lại những kết quả đáng chú ý. Bên cạnh việc giúp giảm thiểu tác động của Spectre và Eternal Blue, Red Team còn đạt được những thắng lợi quan trọng không chỉ giúp Microsoft mà là cả ngành công nghiệp công nghệ. Nổi bật nhất là việc họ đánh sập một đợt tấn công phishing của nhóm hacker Nga Fancy Bear, mà Microsoft gọi là Strontium, bằng cách gia cố Win32k - một driver cho nhân Windows thường bị các hacker xem là bịch bông để luyện tay nghề.

"Trong hầu hết các vụ tấn công trình duyệt, đầu tiên bạn cần phải can thiệp vào sandbox của trình duyệt, và cần một lối ra khỏi sandbox đó để thực hiện bất kỳ thứ gì kẻ tấn công muốn, bao gồm cả ăn cắp thông tin hay chiếm quyền truy cập đến thiết bị", Weston nói. "Hoá ra, bề mặt nhân Win32k rất cũ và lớn lại là nơi lý tưởng để làm điều đó".

Bằng cách tấn công bề mặt này, nhóm đã phát hiện ra những kỹ thuật vốn được giấu kín trước đó nhằm ứng dụng nó vào một cuộc tấn công. Có nghĩa là, nhờ phát hiện này, Microsoft đã có thể tung ra một bản cập nhật ngăn chặn các nỗ lực tương tự của hacker trong phiên bản Windows 10 Anniversary hồi mùa thu năm 2016. Bản cập nhật Windows 10 Creators, được tung ra 6 tháng sau đó, thậm chí còn đi xa hơn trong việc phát hiện các lỗ hổng trong nhân hệ thống.

Đó là một chiến thắng quan trọng, và nó có lẽ không đến nhanh như vậy nếu Microsoft dựa và các phương thức phát hiện lỗ hổng truyền thống.

"Chúng tôi có xu hướng tìm các vấn đề có tính chất vượt quá rào cản về mặt lỗ hổng bảo mật, những vấn đề mà sẽ không lập tức hiện diện hay trực tiếp tìm ra được từ các kỹ thuật quét lỗ hổng", Lint cho biết. Sau tất cả, bạn chỉ có thể quét các vấn đề mình đã biết. Còn Red Team, họ tìm ra những thứ bạn không hề biết.

Thời gian là vàng bạc

Các thành viên của nhóm "đỏ" không có một hạn ngạch nhất định; họ sẽ ưu tiên các mục tiêu quan trọng giống như khi hacker lợi dụng trong các vụ tấn công, hay các tính năng chưa được thử nghiệm có tính chất nhạy cảm.

"Chúng tôi muốn giả lập nhưng thứ chúng tôi thấy ngoài kia, và đưa nó lên đẳng cấp cao hơn", Rabet nói. "Mọi người làm những thứ này nhiều năm trước rồi; tiếp theo họ sẽ đi đâu? Và chúng tôi sẽ đi theo hướng đó".

Cùng lúc đó, nhóm cần phải chọn lọc. "Lỗi sẽ luôn ở đó", Zabrocki nói. "Chúng tôi không thể vá mọi lỗi trên thế giới", đặc biệt là trong một sản phẩm lớn, phức tạp và luôn tiến hoá như Windows. Tốt hơn là tập trung vào các giải pháp rộng hơn như phát hiện điểm dị thường trong nhân, những điểm có thể giúp ngăn ngừa hàng loạt vấn đề đau đầu khác.

Và giải quyết vấn đề một cách toàn diện đôi lúc cũng chẳng phải là một mục tiêu hướng đến. Mỗi khi Red Team khởi động một dự án, họ cũng khởi động đồng hồ.

"Mục đích của đồng hồ là cho phép chúng tôi phân tích được thời gian cần để hack thứ gì đó", Weston nói. "Chúng tôi có thể tăng dần chi phí trung bình từ đầu đến cuối để tấn công một thứ gì đó". Một vụ tấn công cần càng nhiều thời gian và tiền bạc để thực hiện, kẻ tấn công càng ít khả năng theo đuổi nó.;

Nhóm "đỏ" không tung ra các bản vá, việc đó đôi lúc khiến họ bực bội nếu tìm ra một vấn đề có tính chất nguy hiểm nhưng rồi không được vá kịp thời. "Nó phụ thuộc nhiều vào cơ chế nội bộ bên trong công ty. Microsoft là một công ty lớn. Nhiều người muốn góp ý vào việc chúng tôi làm mọi thứ như thế nào", một thành viên cho biết. Anh này phàn nàn rằng đôi lúc Microsoft mất hàng tháng để vá các vấn đề nghiêm trọng được phát hiện bởi các nhà nghiên cứu bảo mật cả trong nội bộ lẫn bên ngoài.

"Hoạt động của nhóm được xem như một bản sao của các kế hoạch tấn công tinh vi mà bạn có thể thấy bên ngoài Microsoft", Bawa, người quyết định độ ưu tiên của các lỗ hổng mà nhóm "đỏ" phát hiện ra, cho biết.

Windows sẽ luôn là một mục tiêu phổ biến của các hacker, và nhóm của Weston chỉ là một mảnh ghép trong nỗ lực của Microsoft nhằm bảo vệ nó. Nhưng xét việc các hacker ngày một tinh vi, dù là của các chính phủ hay các tổ chức tội phạm, ít ra chúng ta cũng tạm yên tâm khi biết có một nhóm ở Redmond đang bắt kịp với những kẻ xấu, và thậm chí đi trước chúng một bước.

Minh.T.T