Andres Freund, nhà phát triển phần mềm người Đức của Microsoft, thực hiện một số bài kiểm tra hiệu suất chi tiết vào tháng trước thì nhận thấy hành vi kỳ lạ trong phần mềm nguồn mở XZ Utils.
Những gì Andres Freund tìm thấy khi điều tra đã gây chấn động thế giới phần mềm và thu hút sự chú ý từ các giám đốc điều hành công nghệ cũng như các quan chức chính phủ.
Hiện làm việc cho Microsoft, Andres Freund đã phát hiện ra rằng phiên bản mới nhất phần mềm nguồn mở XZ Utils đã bị một nhà phát triển của nó cố tình phá hoại, động thái có thể gây ra hậu quả nghiêm trọng vì tạo ra một lỗ hổng bảo mật cho hàng triệu máy chủ trên internet.
Các chuyên gia bảo mật cho rằng, nhờ Andres Freund phát hiện ra sự thay đổi trước khi phiên bản mới nhất XZ Utils được triển khai rộng rãi nên thế giới tránh phải đối mặt cuộc khủng hoảng an ninh kỹ thuật số.
Satnam Narang, nhà nghiên cứu bảo mật của hãng Tenable đang theo dõi hậu quả xảy ra nếu không có phát hiện này, nói: “Chúng ta thực sự đã may mắn thoát nạn. Đó là một trong những khoảnh khắc mà chúng ta phải lau trán và nói: Chúng ta thực sự may mắn vì điều này".
Vấn đề suýt xảy ra khiến thế giới tập trung sự chú ý vào sự an toàn của phần mềm nguồn mở. Đó là các chương trình miễn phí, thường được duy trì bởi tình nguyện viên, có tính minh bạch và linh hoạt, đóng vai trò là nền tảng cho nền kinh tế internet.
Nhiều dự án như vậy phụ thuộc vào một nhóm nhỏ các tình nguyện viên không được trả lương nhưng đối mặt với lượng lớn các yêu cầu về việc sửa chữa và cải tiến phần mềm.
XZ Utils, bộ công cụ nén file nằm trong các bản phân phối của hệ điều hành Linux, từ lâu được duy trì bởi một tác giả duy nhất là Lasse Collin. Trong những năm gần đây, anh có vẻ bị căng thẳng.
Vào tháng 6.2022, Lasse Collin cho biết đang giải quyết "các vấn đề sức khỏe tâm thần lâu dài", ám chỉ đang làm việc riêng với một nhà phát triển mới có tên Jia Tan và rằng “có lẽ anh ấy sẽ có vai trò lớn hơn trong tương lai".
Nhật ký cập nhật có sẵn thông qua trang phần mềm nguồn mở Github cho thấy vai trò của Jia Tan nhanh chóng được mở rộng. Đến năm 2023, nhật ký cho thấy Jia Tan đang hợp nhất mã của mình vào XZ Utils, dấu hiệu cho thấy anh đã giành được một vai trò đáng tin cậy trong dự án.
Thế nhưng, các chuyên gia an ninh mạng đã nghiên cứu các nhật ký và nói rằng Jia Tan đang giả dạng một tình nguyện viên hữu ích. Họ nói rằng trong vài tháng tiếp theo, Jia Tan đã đưa một backdoor gần như vô hình vào XZ Utils.
Backdoor là một phần mềm độc hại cho phép kẻ tấn công truy cập trái phép vào hệ thống máy tính mà không cần thông qua các biện pháp bảo mật thông thường. Nó hoạt động như một "cửa hậu" bí mật cho phép kẻ tấn công thực hiện các hành động như đánh cắp thông tin nhạy cảm như mật khẩu, dữ liệu tài chính, thông tin cá nhân, kiểm soát và điều khiển hệ thống từ xa, cài đặt phần mềm độc hại, thực hiện các lệnh, tấn công từ chối dịch vụ (DDoS) hoặc phá hoại hệ thống, gây ra sự gián đoạn và mất mát dữ liệu.
Backdoor có thể được cài đặt vào hệ thống theo nhiều cách, gồm:
- Phần mềm độc hại: Backdoor thường được nhúng trong các phần mềm độc hại, chẳng hạn Trojan horse, vi rút, ransomware...
- Lỗ hổng bảo mật: Kẻ tấn công có thể khai thác các lỗ hổng bảo mật trong hệ thống để cài đặt backdoor.
- Kỹ thuật lừa đảo: Kẻ tấn công có thể sử dụng kỹ thuật lừa đảo để dụ người dùng cài đặt backdoor, chẳng hạn như bằng cách gửi email lừa đảo hoặc file đính kèm độc hại.
Backdoor là mối đe dọa nghiêm trọng với an ninh mạng. Do đó, điều quan trọng là phải thực hiện các biện pháp phòng ngừa để bảo vệ hệ thống khỏi backdoor như cài đặt phần mềm chống vi rút và phần mềm bảo mật; cập nhật phần mềm thường xuyên; nhận thức về các mối đe dọa lừa đảo.
Lasse Collin cho biết trên trang web của mình rằng sẽ không trả lời các phóng viên đến khi hiểu rõ tình hình để làm như vậy.
Jia Tan không trả lời nội dung gửi tới tài khoản Gmail của mình. Reuters không thể xác định Jia Tan là ai, ở đâu hoặc làm việc cho ai, song nhiều người kiểm tra thông tin cập nhật của Jia Tan tin rằng đây là biệt danh của một hacker chuyên nghiệp hoặc nhóm hacker, có thể là nhóm đang làm việc trên thay mặt cho một cơ quan tình báo hùng mạnh.
Omkhar Arasaratnam, Tổng giám đốc của Tổ chức An ninh Nguồn Mở (hoạt động để bảo vệ các dự án như XZ Utils), cho biết: “Đây không phải là chuyện ở trường mẫu giáo. Việc này cực kỳ phức tạp”.
"Chúng ta đã gặp may mắn không thể lý giải được ở đây"
Jia Tan có thể dễ dàng thoát tội nếu Andres Freund không sự tò mò khi nhận thấy phiên bản mới nhất XZ Utils thỉnh thoảng sử dụng một lượng sức mạnh xử lý lớn bất ngờ trên hệ thống mà anh đang thử nghiệm.
Microsoft từ chối cho Andres Freund tham gia cuộc phỏng vấn. Song trong các email và bài đăng công khai trên mạng xã hội, Andres Freund cho biết một loạt manh mối dễ bỏ sót đã thúc đẩy anh phát hiện ra backdoor.
Andres Freund cho biết trên mạng xã hội Mastodon rằng phát hiện này “thực sự đòi hỏi rất nhiều sự trùng hợp ngẫu nhiên”.
Satya Nadella, Giám đốc điều hành Microsoft, đã chúc mừng Andres Freund, viết trong một bài đăng trên mạng xã hội X rằng ông rất thích nhìn thấy nhà phát triển “với sự tò mò và kỹ năng thủ công của mình có thể giúp đỡ tất cả chúng ta”.
Trong cộng đồng nguồn mở, khám phá này thật đáng kinh ngạc. Omkhar Arasaratnam nói những tình nguyện viên duy trì phần mềm làm nền tảng cho internet không xa lạ gì với việc được trả lương thấp hoặc ít được công nhận, nhưng việc nhận ra rằng họ đang bị săn lùng bởi những điệp viên có nguồn lực mạnh mẽ giả vờ là người tốt bụng là “cực kỳ đáng sợ”.
Các quan chức chính phủ cũng đang cân nhắc những tác động của tình huống suýt xảy ra, điều này đã nhấn mạnh những lo ngại về cách bảo vệ phần mềm nguồn mở. Anajana Rajan, Phó giám đốc điều hành An ninh mạng Quốc gia Mỹ, nói với trang Politico rằng “có rất nhiều cuộc thảo luận mà chúng ta cần có về những gì làm tiếp theo để bảo vệ mã nguồn mở”.
Cơ quan An ninh mạng và cơ sở hạ tầng (CISA) cho biết đã dựa vào các công ty Mỹ sử dụng phần mềm nguồn mở để đưa nguồn lực trở lại cộng đồng xây dựng và duy trì phần mềm đó. Jack Cable, cố vấn CISA, nói với Reuters rằng gánh nặng đặt lên vai các hãng công nghệ không chỉ là kiểm tra phần mềm mở mà còn phải “đóng góp trở lại và giúp xây dựng hệ sinh thái nguồn mở bền vững mà chúng ta nhận được rất nhiều giá trị từ đó”.
Không rõ liệu các công ty phần mềm có được khuyến khích hợp lý để làm như vậy hay không. Thời gian qua, tràn ngập những lời phàn nàn việc những gã khổng lồ công nghệ yêu cầu tình nguyện viên khắc phục sự cố với phần mềm nguồn mở mà các công ty đó sử dụng để kiếm hàng tỉ USD.
Dù giải pháp là gì, hầu hết mọi người đều đồng ý rằng sự cố với XZ Utils cho thấy mọi thứ cần phải thay đổi.
Andres Freund viết trong một bài đăng khác của Mastodon: “Chúng ta đã gặp may mắn không thể lý giải được ở đây. Chúng ta không thể chỉ dựa vào điều đó trong tương lai”.