Điện toán của Microsoft có còn tin cậy?

Hơn 2 năm sau khi triển khai chương trình có cái tên ấn tượng “Trustworthy Computing”, hãng phần mềm vẫn thấy sản phẩm của họ là mục tiêu “ngon lành” của các cuộc tấn công ngày một leo thang. Giới chuyên gia an ninh thậm chí còn cảnh báo trình duyệt Internet Explorer (IE) không đủ an toàn để sử dụng.

Mặc dù Microsoft đã rất cố gắng khắc phục những vấn đề này và khẳng định đây chỉ là một tác dụng phụ của việc thống trị thị trường và họ đã làm hết mình để bảo vệ uy tín, dường như người sử dụng vẫn phải tiếp tục tìm kiếm một sự tái bảo đảm rằng Chương trình điện toán tin cậy (Trustworthy Computing) sẽ sớm thực sự có tác dụng như tuyên bố của Chủ tịch Bill Gates.

Công bằng mà nói, Microsoft đã có nhiều nỗ lực trong việc củng cố quy trình nâng cấp phần mềm bằng cách phát hành những bản vá lỗi tổng hợp mỗi khi có thể và cung cấp các sản phẩm này theo lịch trình định kỳ hàng tháng. Họ cũng triển khai cả dịch vụ vá lỗi miễn phí và một địa chỉ tập trung để khách hàng dễ tìm được những chương trình này.

Bên cạnh việc cải thiện hệ thống nâng cấp, Microsoft đang có những động thái nhằm bổ trợ thêm sức mạnh an ninh cho phần mềm desktop thông qua việc tắt bớt những cổng (port) có nguy cơ bị tấn công cao và bổ sung thêm những tính năng bảo mật như tường lửa theo cơ chế mặc định, nhằm giúp người sử dụng bảo vệ PC của họ.

Windows XP vá víu chằng chịt

Nhiều cải tiến về an ninh sẽ được phát hành cùng với Windows XP Service Pack 2 (SP2), một phiên bản đang rất được mong chờ mà Microsoft vừa tuyên bố sẽ sớm cho ra mắt. Đây là bản cập nhật cho hệ điều hành XP vốn đã mang nhiều tai tiếng vì có quá nhiều bản vá lỗi mà dung lượng cài đặt thậm chí lớn bằng việc cài nguyên cả một hệ điều hành.

Các quan chức của Microsoft hứa hẹn sẽ cung cấp SP2 vào “cuối mùa hè này” mặc dù Detlef Eckert, Giám đốc phụ trách Chương trình điện toán tin cậy của họ ở khu vực châu Âu, Trung Đông và châu Phi (EMEA) lại tuyên bố cụ thể là tháng 9. Ông này phát biểu: “Giờ đây chúng tôi đã nhận ra rằng tình hình an ninh đã thay đổi nhiều và đó là lý do tại sao Microsoft lại bỏ rất nhiều công sức vào SP2. Hầu hết những tính năng mới đều nhằm mục tiêu phong tỏa khả năng tấn công tương tự như những vụ đã xảy ra gần đây”.

Microsoft đã rút được rất nhiều kinh nghiệm sau những sự cố như Sasser đầu năm nay khi virus này khoét sâu một lỗ hổng Windows. Thế nhưng, trong khi hãng phần mềm cố gắng khắc phục những mối lo an ninh cho khách hàng, họ vẫn tiếp tục phải hững chịu những đòn tấn công mới của hacker. Rõ ràng là bàn tay của thế giới ngầm không bao giờ thiếu thủ đoạn mới trong cuộc đấu với Microsoft. Ví dụ tiêu biểu nhất là vụ khai thác hàng loạt website chạy phần mềm Internet Information Server (IIS) để phát tán mã tấn công vào máy tính của người truy cập những địa chỉ này. Sự cố đã khiến Microsoft phải phát hành ngay những phần mềm nâng cấp cho Windows 2000, XP và Windows Server 2003 để giúp người sử dụng đối phó.

Mong chờ một trình duyệt an toàn hơn

Công ty có trụ sở ở Redmond, Washington (Mỹ) đang có kế hoạch tung ra một số bản nâng cấp để lấp đầy những lỗ thủng của Internet Explorer. Chiếm tới 95% thị phần browser toàn cầu, trình duyệt của họ là mục tiêu số 1 của giới tin tặc. Ở một trong những vụ khai thác gần đây nhất, hacker đã lợi dụng những khiếm khuyết trong chức năng mở rộng của IE để ăn cắp thông tin từ các địa chỉ ngân hàng.

Số lượng lỗi quá nhiều ở IE đã khiến giới chuyên gia an ninh khuyến cáo người lướt web chuyển sang dùng những trình duyệt khác hoặc dùng nhiều công cụ duyệt khác nhau. Đây cũng chính là cơ hội tốt cho những sản phẩm như Opera, Netscape và Mozilla mở rộng thị phần.

“Hoàn toàn có thể nói rằng IE không an toàn khi sử dụng”, Mikko Hyppönen, Giám đốc nghiên cứu của hãng phần mềm bảo mật F-Secure, phát biểu. “Tôi cũng chả dùng trình duyệt này và được biết một số doanh nghiệp thậm chí đã cấm nhân viên sử dụng Internet Explorer”. Mặc dù vậy, chuyên gia người Phần Lan cũng cảnh báo rằng chỉ đơn giản chuyển sang dùng một browser khác không phải là câu trả lời cho vấn đề.

“Có hai cơn ác mộng mà một quản trị viên hệ thống có thể gặp”, Hyppönen phân tích. “Một là bị những khiếm khuyết an ninh và hai là phải hỗ trợ khách hàng dùng với đủ loại ứng dụng khác nhau”. Bên cạnh đó, nhiều ứng dụng Net gắn chặt với IE vì thế việc đổi sang dùng một browser khác không phải là một lựa chọn có tính thực tế cao đối với nhiều đối tượng.

Tuy nhiên, trong khi không phải tất cả người dùng phần mềm đều tự do thay đổi nền ứng dụng khi nguy cơ an ninh tăng cao thì một số đối tượng lại có thể thực hiện điều này một cách đơn giản. Thế nhưng hình như Microsoft không quá quan ngại về một cuộc “đại sơ tán” khỏi các sản phẩm của họ. Hãng phần mềm từng tuyên bố nếu có nhiều người lướt web “di cư” sang một nhãn hiệu browser khác thì đến khi nó trở nên phổ biến, tất yếu cũng trở thành con mồi tấn công. “Các trình duyệt khác cũng có vấn đề. IE bị lôi ra làm mục tiêu thường xuyên đơn giản vì nó là số 1”, Giám đốc Chương trình điện toán tin cậy Eckert nói.

Với những vụ tấn công vào ứng dụng Microsoft đã và sẽ tiếp tục xảy ra, có vẻ những khách hàng đang dựa vào công nghệ của hãng phần mềm số 1 thế giới sẽ nhất định phải bám vào các tiến bộ về an ninh như trong SP2 hay một số bản vá lỗi cấp cứu cho những khiếm khuyết mới. Không biết có phải đấy chính là dấu hiệu khẳng định Chương trình điện toán tin cậy đã khẳng định hiệu quả của nó?

Dẫu sao, giới chuyên gia an ninh cũng đồng tình khi nhấn mạnh rằng nếu có bất cứ hãng nào quan tâm đến việc đảm bảo sự an toàn cho người sử dụng như một sứ mệnh bất tận thì đó chính là Microsoft. “Họ đâu có theo đuổi một cuộc chiến mà nghĩ rằng mình sẽ thua”, chuyên gia Hyppönen bình luận. “Tôi thích cái thực tế là họ đang chiến đấu hết mình”.

Phan Khương (theo PC World)