Công việc hàng ngày của họ là t́m cách tấn công vào hệ điều hành Windows, khai thác các lỗ hổng có thể có, và báo cáo lại chúng để Microsoft có thể nghiên cứu và đưa ra những bản vá kịp thời.
Rất nhiều tập đoàn công nghệ lớn sở hữu cho ḿnh một hoặc một vài "đội đỏ" (Red Team, thuật ngữ chỉ những nhóm hacker mũ trắng đảm nhận công việc tấn công để t́m kiếm những lỗ hổng bảo mật và giúp tập đoàn vá lỗi, trước khi chúng trở thành mục tiêu của kẻ gian). Và đối với một nền tảng lớn và phổ biến như Windows, chiếm tới 90% thị phần hệ điều hành Laptop và máy tính để bàn trên toàn thế giới, việc bảo vệ an toàn lại càng được đặt lên hàng đầu, bởi 1 khi Windows sụp đổ th́ cả thế giới sẽ phải chịu hậu quả vô cùng nặng nề.
Tập hợp
4 năm trước, khái niệm "đội đỏ" của Windows vẫn chưa hề tồn tại ở Microsoft. Tuy nhiên, David Weston, người hiện đang đảm nhiệm vị trí quản lư nhóm bảo mật tại Windows, khi ấy đă bắt đầu đề đạt lên Microsoft về việc thay đổi cách mà hăng này xử lư vấn đề bảo mật cho các sản phẩm của ḿnh, đặc biệt là Windows.
"Cách mà Microsoft bảo vệ hệ điều hành Windows ở thời kỳ trước như thế này: Hoặc chờ đợi một cuộc tấn công quy mô lớn xảy ra, hoặc chờ ai đó tiết lộ cho ḿnh về một kỹ thuật tấn công mới và dành thời gian ra để sửa chữa nó. Đương nhiên, phương án cũ này rất nguy hiểm, nguy cơ bị đánh sập tới mức không thể cứu văn được rất cao." - Weston chia sẻ.
Weston muốn thoát khỏi lối ṃn cũ khi chỉ treo thưởng việc t́m ra lỗi cũng như dựa vào cộng đồng để bảo vệ hệ điều hành. Ông chán việc phải bị động phản ứng với những vấn đề và lỗ hổng sau khi chúng được t́m ra, mà muốn chủ động tự t́m ra những lỗi có thể có của Windows.
Dựa vào kinh nghiệm có sẵn với các hacker mũ trắng tại một số sự kiện như Pwn2Own, Weston bắt đầu t́m kiếm nhân tài và lập ra một đội ngũ mới, những người sẽ cùng nhau hàng ngày tấn công vào Windows để t́m lỗ hổng và khắc phục chúng.
Jordan Rabet là một thành viên của "đội đỏ", được David chú ư đến sau khi tung ra một đoạn Video bẻ khóa Nintendo 3DS trên YouTube vào năm 2014. Chuyên môn của Rabet là bảo mật tŕnh duyệt (và việc bẻ khóa 3DS cũng được thực hiện thông qua lỗ hổng trên tŕnh duyệt của chiếc máy chơi game này), tuy nhiên trong vụ lỗ hổng Spectre diễn ra trước đây, cậu cũng đóng góp công sức rất lớn giúp cho Microsoft có thể nhanh chóng tung ra bản vá lỗi tạm thời.
Một thành viên khác là Viktor Brange, sống tại Thụy Điển, đă hỗ trợ Microsoft trong việc phản ứng lại công cụ hack Eternal Blue bằng việc phân tích mă nguồn gốc của hệ điều hành, từ đó đánh giá độ nghiêm trọng của các lỗ hổng. Hay như Adam Zabrocki cũng là một thành viên quan trọng của đội đỏ khi sở hữu rất nhiều kinh nghiệm với hệ điều hành Linux. C̣n có Jasika Bawa, người biến những phát hiện của đội đỏ thành những cải tiến thực tế giúp cho Windows trở nên an toàn hơn. Đội đỏ của Microsoft c̣n có hai thành viên khác nữa, nhưng họ quyết định sẽ ẩn danh v́ công việc có phần nhạy cảm hơn chút.
Tập hợp lại, các thành viên đội đỏ dành thời gian làm việc hàng ngày để tấn công hệ điều hành Windows. Năm nào cũng vậy, họ sẽ phát triển một lỗ hổng Zero-day để thử thách khả năng pḥng thủ của đội xanh - đội ngũ bảo vệ hệ điều hành của Microsoft. Đội đỏ là thanh kiếm, đội xanh là chiếc khiên, họ cứ hàng ngày, hàng tháng, hàng năm mài dũa cho nhau như vậy. Và khi có những sự kiện khẩn cấp như Spectre hay Eternal Blue diễn ra, họ sẽ là những người đầu tiên được gọi tới.
Mă đỏ
Trên thực tế như chúng tôi đă nói ở trên, việc thành lập đội đỏ không phải là điều ǵ đó quá mới mẻ, hầu hết các công ty và tập đoàn công nghệ lớn đều có một hoặc một vài đội như vậy của riêng ḿnh. Nếu có điểm ǵ bất ngờ, th́ đó nằm ở việc mặc dù Microsoft cũng có một vài đội đỏ khác, nhưng ông lớn này lại không dùng phương án bảo mật này cho hệ điều hành Windows, cho đến khi David Weston đề nghị.
"Windows vẫn là mảnh đất tập trung rất nhiều mă độc và lỗ hổng. Điều này cũng phải thôi, bởi phần lớn công việc kinh doanh ở mọi nơi trên thế giới được thực hiện trên hệ điều hành này. Do đó, tấn công vào Windows cũng sẽ mang lại lợi ích lớn nhất cho các tin tặc" - Aaron Lint, trưởng bộ phận nghiên cứu tại Arxan cho biết.
Việc thành lập đội đỏ để tự tấn công vào Windows đă đem lại rất nhiều lợi ích cho Microsoft. Bên cạnh việc giúp khắc phục vấn đề mà Spectre và EternalBlue gây ra, đội quân của Weston c̣n phát hiện nhiều điều nữa về bảo mật, đem lại lợi ích không chỉ cho Microsoft mà c̣n cho cả ngành công nghiệp máy tính.
Một trong những chiến công của Weston và đồng đội là ngăn chặn một chuỗi tấn công lừa đảo được thực hiện bởi nhóm tin tặc Nga mang tên Fancy Bear. Khi ấy, tin tặc sử dụng phương thức tấn công mang tên Strontium, nhắm vào Win32k - một driver kernel của Windows thường xuyên bị tin tặc lợi dụng.
"Đối với các dạng thức tấn công qua tŕnh duyệt, tin tặc sẽ cần phải chiếm lấy sandbox của tŕnh duyệt, rồi từ đó triển khai các hoạt động tấn công khác. Và nền tảng kernel này của Windows chính là nơi vô cùng lư tưởng để thực hiện các dạng thức tấn công như vậy." - Weston chia sẻ.
Nhờ việc đặt bản thân vào vị trí của những kẻ tấn công, đội đỏ đă t́m ra nhiều kỹ thuật tấn công mới vào lỗ hổng này. Nhờ vậy, Microsoft đă có thể kịp thời đưa ra bản cập nhật ngăn chặn tất cả những kỹ thuật tấn công nói trên cho phiên bản Windows 10 Anniversary Edition vào mùa xuân năm 2016. Bản cập nhật Creators Update được tung ra vào 6 tháng sau đó, tiếp tục "gia cố" hệ điều hành khỏi việc bị tấn công thông qua các phương thức lợi dụng kernel.
Thành công này là vô cùng quan trọng, và chắc chắn sẽ không thể đến nhanh như vậy nếu như Microsoft vẫn làm việc theo phương pháp bảo mật truyền thống. Nói theo lời của Aaron Lint, "Quét lỗi th́ chỉ có thể t́m thấy những lỗi đă được t́m ra từ trước đây, c̣n phương thức của đội đỏ sẽ t́m ra những lỗi chưa từng xuất hiện."
Thời gian
Các thành viên đội đỏ thường không có chỉ tiêu công việc cố định, thay vào đó họ ưu tiên công việc của ḿnh dựa theo xu hướng của giới hacker, cũng như hướng tới những tính năng mới được thử nghiệm hoặc dễ trở thành mục tiêu khai thác.
"Chúng tôi muốn mô phỏng lối suy nghĩ của các hacker bên ngoài khi nhắm vào Microsoft, họ có mục đích ǵ, sẽ làm như thế nào. Rồi chúng tôi thực hiện điều đó trước, từ đó t́m ra phương pháp đối phó và khắc phục lỗ hổng." - Jordan Rabet cho biết.
Tuy nhiên, đội đỏ cũng cần phải tiến hành công việc của ḿnh một cách có chọn lọc, bởi lẽ "Lỗi vẫn sẽ luôn tồn tại". Theo như Zabrocki, họ không đặt mục tiêu có thể sửa hết tất cả mọi lỗi - đặc biệt là với một sản phẩm vừa phức tạp vừa tiến hóa liên tục như Windows.
Bên cạnh đó, mỗi lần đội đỏ của Windows tiến hành làm việc, họ lại bắt đầu bấm thời gian.
"Mục đích của việc bấm giờ là cho chúng tôi một cái nh́n tương đối về thời gian cần thiết để hack một thứ ǵ đó." - Weston chia sẻ. Việc tấn công càng tốn nhiều thời gian và tiền của, th́ những tên tin tặc sẽ càng không tỏ ra có hứng thú.
Tuy nhiên, công việc của đội đỏ chủ yếu là "tấn công", chứ không phải vá lỗi, vậy nên có nhiều lúc họ cũng không hài ḷng với Microsoft, nhất là khi những lỗ hổng nghiêm trọng không được công ty này vá lỗi kịp thời. "Điều này phụ thuộc rất nhiều vào cơ chế bên trong công ty. Đối với một công ty lớn như Microsoft th́ mọi thứ lại càng phức tạp hơn. Cũng không ít lần những người khác muốn đứng ngoài chỉ đạo rằng chúng tôi phải làm thế này thế kia" - một thành viên giấu tên cho biết. Người này cũng phàn nàn về việc nhiều lúc Microsoft mất cả tháng trời để khắc phục những lỗ hổng nghiêm trọng cần phản ứng nhanh.
Windows sẽ măi luôn là một mục tiêu được các tin tặc ưu tiên hàng đầu, và đội đỏ của Weston chỉ là một mảnh ghép cho nỗ lực bảo đảm an ninh hệ điều hành cho Microsoft. Thế nhưng, khi xét đến việc có rất nhiều nhóm tin tặc chuyên nghiệp, thậm chí được tài trợ bởi các tổ chức tội phảm ngầm, có lẽ chúng ta nên cảm thấy may mắn khi biết rằng ít nhất có một đội quân ở Redmond vẫn đang thường xuyên bảo vệ hệ điều hành mà chúng ta vẫn hay dùng khỏi bàn tay kẻ xấu - thậm chí, c̣n vượt trên chúng hẳn một bước.
Genk (Tham khảo Wired)
Bookmarks