Thanks to Google’s all-star team for stopping zero-day attacks on the Internet


Một post hôm nay trên Google Online Security blog thông báo về một khởi đầu mới mang tên Project Zero nằm trong các nỗ lực gần đây của Google để hướng tới mục tiêu cuối cùng là giúp cho môi trường Internet trở nên an toàn hơn với mọi người.

Theo một bài báo trên Wired thì ba hacker đầu tiên trong đội hình toàn sao này hiện đều thuộc biên chế của Google. Bên cạnh đó còn có một thực tập sinh 24 tuổi, người đã từng bẻ khóa được AT&T iPhone, Sony Playstation 3, Google Chrome. Project leader nói họ vẫn đang cần người và hy vọng sẽ sớm quy tụ được ít nhất là 10 full-time security reseacher. Do được trả lương rất cao cho một công việc đầy thử thách nên đây sẽ là cơ hội tốt để các hacker say mê khỏi phải tìm tới con đường bán mã khai thác ở thị trường chợ đen với lý do chính là vì kinh tế.

Ý tưởng đằng sau Project Zero là nếu chỉ tập trung nguồn lực để tìm và khắc phục các lỗi trong bản thân hệ thống của Google không thôi thì chưa đủ, bởi vì sự an toàn chung của một số chương trình do Google cung cấp còn phụ thuộc vào các third-party code cũng như môi trường thực thi của nó.

Ví dụ cho điều này là các lỗi liên quan tới các plug-in của Chrome như Oracle Java, Adode Flash hay hệ điều hành như Windows. Tuy chúng không phá vỡ Chrome hay làm gián đoạn Gmail nhưng lại trực tiếp ảnh hưởng tới người dùng Internet và qua đó gián tiếp làm giảm lợi ích của Google, bởi vì người ta sẽ phải mất thời gian để sửa chữa máy tính thay vì lúc đó thì dùng các dịch vụ của Google.

Tác động xấu hơn nữa cho Google là tâm lý nghi ngại của nhiều người muốn sử dụng các dịch vụ Internet trước các tổ chức tội phạm mạng hoạt động tinh vi hay khi đọc các tài liệu được công bố gần đây cho thấy mức độ can thiệp thô bạo của chính phủ các nước vào thông tin riêng tư của người dân. Điển hình là Snowden đã tiết lộ về khả năng NSA do thám được thông tin truyền qua kênh nối giữa các data center của Google, Yahoo.

Tất cả những điều trên đủ để thúc đẩy Google bắt tay làm dự án như Zero nhằm tập hợp các hacker giỏi nhất giúp nhanh chóng tìm, khai thác và nếu có thể thì đưa ra khuyến nghị, bản vá cần thiết cho những lỗi zero-day nguy hiểm tồn tại trong các phần mềm của Google lẫn các công ty khác trước khi các tổ chức tình báo hay giới tội phạm làm được chuyện đó. Do vậy, Internet sẽ an toàn hơn, người dùng sẽ thoải mái vào Internet hơn, và kéo theo đó là các dịch vụ của Google sẽ được người dùng truy cập thường xuyên hơn. Một thành quả “win-win” cho cả đôi bên.

Việc Google để cho nhân lực của mình làm công việc bán thời gian là dò tìm và công bố lỗ hổng trong phần mềm của các hãng khác không phải là điều mới mà đã được thực hiện thường xuyên từ trước giờ. Điểm khác biệt ở đây là một người săn lỗ hổng cho Project Zero thì anh ấy sẽ có toàn bộ thời gian và công sức dồn vào nhiệm vụ khai phá các lỗi zero-day mà thôi.

Một câu hỏi được đặt ra là giữa hàng ngàn sa số các ứng dụng phức tạp và quan trọng như hiện nay thì đâu sẽ là mục tiêu chính và liệu có thể tìm thấy hết được các lỗi zero-day không? Rõ ràng khả năng tìm ra mọi zero-day là rất khó vì đòi hỏi rất nhiều nguồn lực và thời gian. Còn trước vấn đề đặt trọng tâm vào đâu thì như Zero hacker Ben Hawkes trong bài này có nói rằng nhóm của anh sẽ đi theo chiến lược “bug collision”, tức là cố gắng tìm các lỗi mà rất có thể lỗi đó cũng đã, đang hoặc sẽ được khai thác bởi các hacker khác một cách bí mật.

Ngoài ra Hawkes còn nói thêm rằng có một thực tế là các hacker ngày nay thường xâu chuỗi một loạt các lỗi để phá vỡ lớp phòng thủ của hệ thống mục tiêu. Vì vậy, chỉ cần tiêu trừ được một (vài) lỗi trong chuỗi đó thì sẽ có thể làm thất bại toàn bộ mã khai thác. Ví dụ như vá được một vài lỗi nhỏ trong cơ chế sandbox của hệ điều hành thì sẽ hạn chế được phạm vi truy cập của ứng dụng lên phần còn lại của máy tính. Nói tóm lại, mỗi một phát hiện lỗi là đã có thể ngăn cản được một công cụ xâm nhập của hacker.

Cuối cùng, Project Zero còn là một “công cụ tuyển dụng” giúp Google thu hút thêm tài năng mà sau khi đã tham gia vào dự án này thì có thể hứng thú sang làm ở các nhóm khác, dự án khác ở Google.

-mt.