Nhóm dự án Project Zero của Google mới đây đã công bố số liệu cho thấy 95,8% tổng số lỗ hổng bảo mật được nhóm này phát hiện trong các phần mềm và báo cáo lại cho các công ty phát triển đều đã được vá trước thời hạn. Project Zero đặt ra thời hạn 90 ngày kể từ khi báo cáo để các nhà phát triển sửa lỗi, nếu quá thời hạn trên nhóm sẽ công bố công khai thông tin về các lỗ hổng này.
Đây là một số liệu thống kê khá bất ngờ và đáng ngạc nhiên, nhất là khi xét đến quy mô của Project Zero, một trong những dự án an ninh mạng nổi tiếng và có quy mô lớn nhất trên thế giới.
Theo số liệu được công bố hôm thứ 4 vừa qua, nhóm bảo mật tinh nhuệ của Google cho biết trong suốt lịch sử 5 năm dự án này hoạt động (từ ngày 17/7/2014 – ngày thành lập dự án, cho tới 30/7/2019), các nhà nghiên cứu đã tìm kiếm và báo cáo tổng cộng 1.585 lỗ hổng, xuất hiện trong rất nhiều sản phẩm phần cứng và phần mềm của các hãng khác nhau.
Trong số đó, Google cho biết chỉ có 66 trường hợp các nhà phát triển không phát hành được bản vá chính thức cho các lỗ hổng được nhóm công bố trước thời hạn. Do đó, các nhà nghiên cứu buộc phải công bố công khai các chi tiết kĩ thuật có liên quan đến lỗ hổng trước khi người dùng được cập nhật bản vá để sửa lỗi.
Bug tracking with magnifier on LCD screen.
Google đã từng 1 lần điều chỉnh “hạn chót” vào năm 2015
Trong một vài tháng đầu dự án Project Zero hoạt động, “thời hạn chót” tiêu chuẩn được quy định rất chặt chẽ: đúng 90 ngày. Tuy nhiên, kể từ ngày 13/2/2015, Google đã quyết định mở rộng thời hạn thêm 14 ngày đối với một số trường hợp cụ thể.
Google cho biết việc kéo dài “hạn chót” giúp cải thiện công việc phát hiện lỗi của nhóm. Các công ty có thêm thời gian để nghiên cứu và phát triển bản vá, đồng thời, việc kéo dài hạn chót cũng nhằm hỗ trợ các nhà phát triển; bởi lẽ một số công ty dù đã làm xong bản vá nhưng vẫn phải chờ đến lịch phát hành bản cập nhật định kỳ của hãng thì mới có thể tung ra cho người dùng.
Hơn nữa, việc điều chỉnh hạn chót cũng giúp “cải thiện” số liệu thống kê của dự án.
“Nếu chỉ tính trong khoảng thời gian chúng tôi áp dụng chính sách thời hạn kéo dài (từ 13/2/2015 đến 30/7/2019) thì chúng tôi chỉ phát hiện được 1.434 lỗ hổng. Trong số đó, 1.224 lỗ hổng được vá trong thời hạn 90 ngày, và có 174 lỗ hổng được vá trong khoảng thời hạn 14 ngày bổ sung. Khi đó, chỉ có 36 lỗ hổng bị tiết lộ mà không có bản vá tương ứng, và tỉ lệ số lỗ hổng được vá trước thời hạn sẽ đạt 97,5%,” nhóm nghiên cứu của Project Zero cho hay.
Google: Việc đặt ra thời hạn tiết lộ lỗ hổng đem lại nhiều lợi ích cho các nhà phát triển hơn là hacker
Chương trình Project Zero, vừa kỉ niệm sinh nhật lần thứ 5 của mình, được thành lập nhằm phục vụ công tác kiểm thử các phần mềm và phần cứng được sử dụng nội bộ tại Google, và sau đó báo cáo thông tin về lỗ hổng tới các nhà sản xuất nếu có.
Bất kỳ lỗ hổng nào được các nhà nghiên cứu của Google tìm thấy đều được mô tả chi tiết trên hệ thống theo dõi lỗi của dự án và sau đó báo cáo tới các nhà phát triển.
Thông tin về các báo cáo lỗ hổng này, đôi khi có kèm các chi tiết kĩ thuật và các đoạn mã dùng để khai thác các lỗ hổng này để làm bằng chứng, sẽ được công bố công khai sau khi nhà phát triển phần mềm đã phát hành được bản vá, hoặc khi thời hạn chót trôi qua.
Trong một vài năm qua, các nhà nghiên cứu tại Project Zero đã phải hứng chịu rất nhiều chỉ trích vì tiết lộ những thông tin nhạy cảm trên cho công chúng, ngay cả khi nhà phát triển đã vá được lỗi. Nhiều chuyên gia bảo mật cho biết động thái cua Google có thể giúp những kẻ tấn công tạo ra các phần mềm khai thác lỗ hổng và tấn công người dùng
Tuy nhiên, trên trang “Những câu hỏi thường gặp” về dự án mới được công bố tuần này, nhóm nghiên cứu Project Zero đã phản bác các ý kiến trên và cho rằng, những báo cáo về lỗ hổng của họ thực chất đem lại nhiều lợi ích cho các công ty phần mềm hơn là những kẻ tấn công.
“Những kẻ tấn công đều có khả năng phân tích các bản vá bảo mật để tìm hiểu về các lỗ hổng (cả thông qua xem xét mã nguồn và kỹ thuật đảo ngược nhị phân), và chúng sẽ nhanh chóng tìm ra các chi tiết đầy đủ về lỗ hổng ngay cả khi nhà cung cấp và nhà nghiên cứu cố gắng bảo mật các thông tin kỹ thuật của lỗ hổng,” các nhà nghiên cứu thuộc Project Zero cho biết.
“Do các lợi ích mà nhà phát triển và các kẻ tấn công có thể thu được từ những thông tin này là rất khác nhau, nên chúng tôi cũng không kì vọng rằng mọi nhà phát triển đều có đủ nguồn lực để điều tra, nghiên cứu về lỗ hổng ở mức độ bằng hoặc cao hơn so với những kẻ tấn công tiềm năng ngoài kia,” các nhà nghiên cứu cho biết thêm. “Và các nhà phát triển đã phản hồi với chúng tôi rằng họ muốn được cung cấp thêm các thông tin cụ thể hơn về mối đe doạ mà họ và những người dùng sản phẩm của họ phải đối mặt.”
Như vậy, theo quan điểm của Google, việc công bố các thông tin này sẽ không đem lại lợi ích gì mấy cho các hacker, bởi đa số các thông tin chỉ bao gồm nhật trình cải tiến phần mềm và các mã nhị phân của ứng dụng. Song những thông tin này lại rất quan trọng đối với các công ty và các nhà quản trị hệ thống, những người đang phải “chạy đua” với thời gian để tìm ra phương án ngăn ngừa và giảm thiểu tối đa thiệt hại.
Project Zero không công bố toàn bộ mã nguồn dùng để khai thác lỗ hổng
Hơn nữa, nhóm Project Zero cũng làm rõ việc các đoạn mã “dùng làm bằng chứng” mà họ công bố công khai không phải là toàn bộ những gì mà hacker có thể sử dụng để tiến hành ngay một cuộc tấn công khai thác lỗ hổng đó.
Thay vào đó, Google chỉ công bố “một phần của đoạn mã” và những kẻ tấn công “cần phải thực hiện rất nhiều nghiên cứu và thử nghiệm khác thì mới có thể tiến hành khai thác lỗ hổng và tiến hành cuộc tấn công quy mô lớn.”
“Bất kỳ kẻ tấn công nào có đầy đủ nguồn lực và kĩ năng kĩ thuật để biến báo cáo của chúng tôi thành tư liệu để tiến hành một cuộc tấn công hoàn chỉnh thì đều có thể tự làm tất cả những điều đó mà không cần đến thông tin từ chúng tôi,” nhóm Project Zero khẳng định.
Google tin rằng những hạn chót là cần thiết
Nhóm Project Zero cũng nhân dịp này đưa ra khuyến cáo tới các nhà nghiên cứu bảo mật khác rằng họ nên làm theo mô hình của Google, đó là đưa ra một thời hạn cụ thể cho các nhà phát triển vá lỗi, nếu không sẽ công khai thông tin về lỗ hổng cho công chúng.
“Chúng tôi tin rằng các quy chuẩn của ngành công nghiệp sẽ dần được cải tiến, khi có nhiều nhà nghiên cứu khác cũng đưa ra các hạn chót trong các báo cáo lỗ hổng của mình.”
“Có nhiều lý do chính đáng khiến các nhà nghiên cứu bảo mật có thể chọn không áp dụng chính sách thời hạn công bố thông tin về các báo cáo lỗi của họ, nhưng nhìn chung chúng tôi đã nhận thấy có nhiều kết quả tích cực từ việc áp dụng thời hạn công bố và chúng tôi chắc chắn muốn khuyến cáo các nhà nghiên cứu bảo mật khác cũng làm tương tự.”
Dưới đây là một số thông tin thú vị về dự án Google Project Zero để bạn đọc tham khảo:
– Khi các nhà nghiên cứu của Project Zero báo cáo về một lỗ hổng đang được các hacker khai thác để tấn công người dùng, thì hạn chót sẽ được rút ngắn từ 90 ngày xuống chỉ còn… 7 ngày.
– Project Zero đã từng hai lần kéo dài hạn chót 90 ngày đối với những lỗ hổng nghiêm trọng: lỗ hổng task_t iOS (145 ngày) và các lỗ hổng Meltdown và Spectre (216 ngày).
– Các đoạn mã làm bằng chứng được Project Zero công bố không phải là một kịch bản tấn công hoàn chỉnh.
– Việc tiết lộ chi tiết về lỗ hổng không đem lại lợi ích cho các hacker về lâu dài.
– Các nhà phát triển phần mềm là những người thu được nhiều lợi ích nhất từ các bản báo cáo lỗi của Google.
– Google hy vọng các báo cáo của họ có thể giúp cải thiện tình trạng bảo mật chung của ngành công nghiệp, thông qua việc các công ty phải đầu tư nhiều hơn vào việc khắc phục các vấn đề bảo mật trên hệ thống của mình, tạo ra các kịch bản phòng ngừa, cải thiện “hộp cát” cô lập các mối nguy hiểm khỏi hệ thống (sandbox)…
– Project Zero cũng có thể giúp các công ty phát triển bản vá lỗi, nếu được yêu cầu.
– Project Zero cũng tìm và báo cáo các lỗi tồn tại trong chính các sản phẩm của Google.
– Các nhân viên Google không tham gia dự án Project Zero cũng có quyền truy cập vào các báo cáo lỗi (theo Google: “chỉ có một số lượng nhỏ các kĩ sư bảo mật đang tham gia vào khoảng “20% số dự án” tại Google có quyền truy cập vào các báo cáo bảo mật của Proẹct Zero”).
