Tháng trước, Andres Freund, kỹ sư phần mềm Microsoft, 38 tuổi sống ở San Francisco, nhận ra bản mới nhất của chương trình mã nguồn mở xz Utils bị một nhà phát triển nào đó cố tình tạo backdoor (cửa hậu), có thể ảnh hưởng đến hàng triệu máy chủ Internet.
Freund thường làm việc trên PostgreSQL - phần mềm cơ sở dữ liệu nguồn mở. Trong khi chạy một số tính năng, anh nhận thấy ứng dụng đăng nhập máy tính từ xa SSH (Secure Shell) ngốn nhiều sức mạnh xử lý hơn bình thường. Freund đã truy tìm nguyên nhân trong bộ công cụ nén dữ liệu xz Utils và phát hiện dữ liệu bị làm giả một cách có chủ đích. Ai đó đã cài mã độc trong các phiên bản mới nhất của xz Utils. Đoạn code nhỏ cho phép người tạo ra nó chiếm quyền điều khiển kết nối SSH của người dùng và bí mật chạy đoạn mã của riêng họ trên máy của người bị tấn công.
Phát hiện của Freund ngay lập tức gây chấn động cả ngành công nghệ vì backdoor này có thể chỉ là khúc dạo đầu của cuộc tấn công mạng với quy mô hàng trăm triệu thiết bị toàn cầu. Các chuyên gia tin rằng nếu thành công, vụ hack có thể gây ra thiệt hại vô cùng lớn.
New York Times dẫn lời Alex Stamos, giám đốc công ty nghiên cứu an ninh SentinelOne: "Đây là backdoor phổ biến và hiệu quả nhất từng được cài cắm trong bất kỳ phần mềm nào từng được tìm thấy. Nếu không được phát hiện kịp thời, backdoor này sẽ cung cấp cho hacker 'chìa khóa vạn năng' để xâm nhập bất kỳ máy tính nào trong số hàng trăm triệu máy tính khắp thế giới đang chạy SSH". Chìa khóa này còn cho phép tin tặc đánh cắp thông tin cá nhân, cài đặt phần mềm độc hại làm tê liệt hệ thống, gây ra tình trạng gián đoạn nghiêm trọng cho các cơ sở hạ tầng trọng yếu mà không bị phát hiện.
Trong khi đó, Satnam Narang, nhà nghiên cứu bảo mật của công ty an ninh mạng Tenable, nói với Reuters: "Chúng ta thực sự đã tránh được một viên đạn. Đó là một trong những khoảnh khắc mọi người phải lau mồ hôi trán và nói với nhau: Chúng ta thực sự quá may mắn".
Việc cài cắm lỗ hổng, chuẩn bị cho một cuộc tấn công bất thành khiến giới công nghệ phải đánh giá lại quy trình, sự an toàn của phần mềm mã nguồn mở. Tính minh bạch và linh hoạt của quy trình này là nền tảng cho nền kinh tế Internet nhưng lại phụ thuộc vào đội ngũ tình nguyện viên.
Lasse Collin, một tình nguyện viên của hệ thống mã nguồn mở, cho biết người tạo backdooor là Jia Tan - đã giả danh tình nguyện viên, tham gia vào quá trình phát triển XZ Utils từ tháng 6/2022. Reuters cho biết họ không thể xác định danh tính của Tan nhưng nhiều người đã kiểm tra thông tin và xác nhận đây là một hacker, thậm chí tổ chức tội phạm mạng chuyên nghiệp.
Trên X, CEO Microsoft Satya Nadella gửi lời cảm ơn đến Freund. Ông nói đây là phát hiện đáng kinh ngạc và sự tò mò, khéo léo của kỹ sư đã giúp mọi người tránh được một mối nguy lớn.
Arasaratnam cho biết, những tình nguyện viên duy trì phần mềm nền tảng cho Internet như Andres Freund thường được trả lương thấp, thậm chí làm những việc không ai biết đến. Nhưng phát hiện mới cho thấy nhiều tin tặc, điệp viên có thể giả danh, trà trộn vào hệ thống và cài cắm những mã nguồn độc hại. Điều này cũng gióng lên hồi chuông cảnh báo chính phủ các nước cần cân nhắc về những rủi ro có thể xảy ra và có những thay đổi cần thiết về việc bảo vệ hệ thống phần mềm mã nguồn mở.
Anjana Rajan, trợ lý Giám đốc Mạng Quốc gia Mỹ, nói với Politico: "Chúng tôi đang tiến hành nhiều cuộc thảo luận về những gì cần làm tiếp theo để bảo vệ mã nguồn mở, sau phát hiện chấn động trên".
Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) cho biết họ đã dựa vào các công ty Mỹ, dùng phần mềm mã nguồn mở để phục vụ cộng đồng xây dựng và duy trì phần mềm đó. Cố vấn CISA Jack Cable nói với Reuters rằng gánh nặng đặt lên vai các công ty công nghệ không chỉ là kiểm tra phần mềm mà còn phải "đóng góp trở lại và giúp xây dựng hệ sinh thái nguồn mở bền vững". Chính CISA đang nhận được rất nhiều giá trị từ cộng đồng này.
Khương Nha