Dù chưa đi hết chặng đường song 2006 vẫn đi vào lịch sử như là năm kỷ lục của những lỗ hổng bảo mật. Niềm an ủi duy nhất: Chỉ có một phần nhỏ trong số đó là thực sự nguy hiểm.
Năm ngoái, các chuyên gia của Internet Security Systems đã nhận dạng được 5195 lỗ hổng phần mềm. Ấy vậy mà mới tính đến thứ 3 vừa qua, số lỗ hổng phát hiện được trong năm nay đã vọt đến 5450. Theo dự đoán, tổng số lỗ hổng phần mềm của năm 2006 sẽ không dưới cột mốc 7500.
“Mới qua được ba phần tư năm nhưng số lượng lỗ hổng đã nhảy vọt khủng khiếp”, ông Gunter Ollmann, giám đốc X-Force cho biết. Sự gia tăng chóng mặt này một phần là vì các hãng phần mềm và các chuyên gia săn lỗ hổng ngày càng thành thạo hơn trong việc định vị khiếm khuyết. Bên cạnh đó, việc các phần mềm ngày càng trở nên phức tạp cũng dắt dây thêm nhiều đoạn mã có khả năng mắc lỗi.
Nhiều lỗi nhưng ít lỗi nặng
Hãng bảo mật ISS dự đoán rằng các lỗ hổng bảo mật được xác nhận trong năm 2006 sẽ tăng hơn 41% so với năm ngoái, mà bản thân năm 2005 đã tăng tới 37% so với năm 2004.
Mặc dù vậy, không phải tất cả đều là tin xấu: tuy số lượng lỗ hổng nhảy vọt là thế, nhưng những lỗ hổng bị đánh giá là nghiêm trọng cho đến cực kỳ nghiêm trọng lại ít đi.
Năm ngoái, những lỗ hổng nguy cấp kiểu này chiếm tới 28,4% tổng số lỗ hổng bảo mật. Nhưng tính đến hết thứ 3 vừa qua, chúng chỉ còn lại 17% mà thôi. Các chuyên gia dự đoán tỷ lệ này sẽ vẫn được giữ nguyên cho đến hết năm.
“Đây có lẽ là tin tức tích cực nhất. Trong những năm trước, lúc nào tỷ lệ lỗ hổng nghiêm trọng cũng song hành cùng số lượng lỗ hổng được phát hiện”, ông Ollmann cho biết.
Tương tự như ISS, các hãng bảo mật như iDefense và eEye Digital Security đều nhận định năm 2006 là năm “bản lề” của lỗ hổng bảo mật. Một minh chứng khác cho xu hướng này là số lượng bản tin bảo mật của Microsoft. Gã khổng lồ phần mềm đã phải phát hành tới 55 bản tin riêng trong 9 tháng đầu năm 2006, so với tổng số 45 bản tin của cả năm 2005.
Chưa hết, Báo cáo Nguy cơ bảo mật Internet của Symantec cũng cho biết hãng này ghi nhận được 2249 lỗ hổng mới trong nửa đầu năm 2006, tăng 18% so với 6 tháng cuối năm 2005. Đây là con số kỷ lục, Symantec khẳng định. 8% trong số này dễ dàng bị hacker lợi dụng, khai thác.
Lẽ dĩ nhiên, số lượng lỗ hổng tăng lên thì cơ hội tấn công đào mỏ của những kẻ bất lương càng cao và người dùng càng đau đầu hơn trong việc bảo vệ thông tin cá nhân.
Chỉ là nhất thời
Lỗ hổng nghiêm trọng cho phép sâu tự phát tán, hoặc cho phép hacker giành quyền điều khiển máy tính từ xa mà chẳng cần bất cứ sự can thiệp nào từ phía người dùng. So với năm ngoái, số lượng lỗ hổng kiểu này đã giảm gần 200, một phần là nhờ phần mềm ngày càng hoàn thiện hơn.
“Phần mềm hiện nay được bảo mật tốt hơn”, Ollmann nói. Ngoài ra, nhiều chuyên gia săn lỗ hổng cũng đã bắt đầu sử dụng một công cụ tự động gọi là “fuzzers”( thám tử), có khả năng lôi các lỗ hổng ẩn sâu ra ánh sáng.
Lấy thí dụ, fuzzer có thể được dùng để kiểm tra xem một ứng dụng sẽ xử lý một định dạng file cụ thể (ví như JPEG và GIF) như thế nào. Nếu ứng dụng đó (giả sử là một trình duyệt Web) xử lý bị lỗi, người ta sẽ ngầm hiểu rằng ứng dụng đó đang chứa chấp một lỗ hổng có thể bị hacker lợi dụng tấn công.
Một thực tế đáng ghi nhận khác là số lượng lỗi nghiêm trọng bên trong các hệ điều hành đã giảm đáng kể, trong khi số lỗi ở các dạng phần mềm khác như trình duyệt, Office lại tăng lên.
Tuy nhiên, Ollmann cho rằng đây chỉ là xu hướng nhất thời mà thôi. Một khi một phần mềm mới, quan trọng như Vista xuất xưởng, số lượng lỗi nghiêm trọng sẽ tăng vọt ngay. “Tôi nghĩ là chắc chắn trong quý I/2007, tỷ lệ % lỗ hổng nghiêm trọng sẽ khác xa bây giờ”.
Tuy nhiên, lỗ hổng nghiêm trọng không phải là thứ duy nhất đáng lo, ông Ken Dunham, giám đốc trung tâm phản ứng nhanh của iDefense khuyến cáo. “Năm nay, số vụ tấn công zero-day nhiều chưa từng có (hacker khai thác những lỗ hổng mà bản thân hãng phát hành phần mềm còn chưa hay biết, hoặc chưa kịp phát hành miếng vá). Ngay cả các lỗ hổng ở mức nguy hiểm trung bình cũng đã bị sử dụng trong nhiều vụ tấn công”.
Thường thì lỗ hổng trung bình được sử dụng cho hai dạng tấn công chính: Hacker tung ra một website độc, cố gắng dụ người dùng truy cập rồi lén lút cài spyware hoặc phần mềm theo dõi bàn phím lên máy tính nạn nhân. Hình thức thứ hai là tấn công trực tiếp các doanh nghiệp bằng quy mô nhỏ, thường là đính kèm email một tài liệu Office “độc”.