Đôi Điều Về Red Team Của Microsoft

20 Tháng Sáu 20181:42 SA(Xem: 23500)
Đôi Điều Về Red Team Của Microsoft
Đôi Điều Về Red Team Của Microsoft

Rất nhiều tập đoàn công nghệ lớn sở hữu một hoặc một số “đội đỏ” Red Team, thuật ngữ chỉ những nhóm hacker mũ trắng, đảm nhận công việc tấn công để tìm kiếm những lỗ hổng bảo mật và giúp tập đoàn vá lỗi, trước khi chúng trở thành mục tiêu của kẻ gian thật sự. Và đối với một nền tảng lớn và phổ biến như Windows, chiếm tới 90% thị phần hệ điều hành Laptop và máy tính để bàn trên toàn thế giới, việc bảo vệ an toàn càng phải được ưu tiên hàng đầu, vì một khi Windows sụp đổ, cả thế giới sẽ phải chịu hậu quả vô cùng nặng nề.

 

Tập hợp

 

Năm 2014, khái niệm "đội đỏ" Red Team của Windows vẫn chưa hề tồn tại ở Microsoft. Tuy nhiên, David Weston, người hiện đang đảm nhiệm vị trí quản lý nhóm bảo mật tại Windows, đã bắt đầu đề xuất ý kiến lên Microsoft về việc thay đổi cách mà hãng xử lý vấn đề bảo mật cho các sản phẩm của mình, đặc biệt là Windows. Weston chia sẻ: “Cách mà Microsoft bảo vệ hệ điều hành Windows ở thời kỳ trước như thế này: Hoặc chờ đợi một cuộc tấn công quy mô lớn xảy ra, hoặc chờ ai đó tiết lộ cho mình về một kỹ thuật tấn công mới và dành thời gian ra để sửa chữa nó. Đương nhiên, phương án cũ rất nguy hiểm, nguy cơ bị đánh sập tới mức không thể cứu vãn được là rất cao”.

 

David Weston muốn thoát khỏi lối mòn cũ khi chỉ treo thưởng việc tìm ra lỗi và dựa vào cộng đồng để bảo vệ hệ điều hành. Ông chán tình trạng bị động phản ứng với những vấn đề và lỗ hổng sau khi chúng được tìm ra, mà muốn chủ động tự tìm ra những lỗi có thể có của Windows.

 

Dựa vào kinh nghiệm có sẵn với các hacker mũ trắng tại một số sự kiện như Pwn2Own, Weston bắt đầu tìm kiếm nhân tài và lập ra một đội ngũ mới, những người hàng ngày sẽ cùng nhau tấn công vào Windows để tìm lỗ hổng và khắc phục chúng.

 

Jordan Rabet là một thành viên của Red Team, được David chú ý đến sau khi tung ra một đoạn Video bẻ khóa Nintendo 3DS trên YouTube vào năm 2014. Chuyên môn của Rabet là bảo mật trình duyệt, và việc bẻ khóa 3DS cũng được thực hiện thông qua lỗ hổng trên trình duyệt của chiếc máy chơi game, tuy nhiên trong vụ lỗ hổng Spectre diễn ra trước đây, cậu cũng đóng góp công sức rất lớn giúp cho Microsoft có thể nhanh chóng đưa ra bản vá lỗi tạm thời.

 

Một thành viên khác là Viktor Brange, sống tại Thụy Điển, đã hỗ trợ Microsoft trong việc phản ứng lại công cụ hack Eternal Blue bằng việc phân tích mã nguồn gốc của hệ điều hành, từ đó đánh giá độ nghiêm trọng của các lỗ hổng. Hoặc như Adam Zabrocki, cũng là một thành viên quan trọng của Red Team khi sở hữu rất nhiều kinh nghiệm với hệ điều hành Linux. Ngoài ra còn có Jasika Bawa, người biến những phát hiện của Red Team thành những cải tiến thực tế giúp cho Windows trở nên an toàn hơn. Đội đỏ Red Team của Microsoft còn có hai thành viên khác, nhưng họ quyết định sẽ ẩn danh vì công việc có phần nhạy cảm.

 

Khi tập hợp lại, các thành viên Red Team dành thời gian làm việc hàng ngày để tấn công hệ điều hành Windows. Năm nào cũng vậy, họ sẽ phát triển một lỗ hổng Zero-day để thử thách khả năng phòng thủ của đội xanh - đội ngũ bảo vệ hệ điều hành của Microsoft. Có thể hình dung rằng, Đội đỏ là thanh kiếm, còn Đội xanh là chiếc khiên, hai bên cứ hàng ngày, hàng tháng, hàng năm mài dũa cho nhau. Và khi có những sự kiện khẩn cấp như Spectre hay Eternal Blue diễn ra, họ sẽ là những người đầu tiên được gọi tới.

 

Mã đỏ

 

Thực tế, việc thành lập Red Team không phải là điều gì đó quá mới mẻ, hầu hết các công ty và tập đoàn công nghệ lớn đều có một hoặc một số đội tương tự của riêng mình. Nếu có điểm gì bất ngờ, đó là ở việc mặc dù Microsoft cũng có một số đội đỏ khác, nhưng công ty lại không dùng phương án bảo mật cho hệ điều hành Windows, cho đến khi David Weston đề nghị.

 

Aaron Lint, trưởng bộ phận nghiên cứu tại Arxan cho biết: “Windows vẫn là mảnh đất tập trung rất nhiều mã độc và lỗ hổng. Điều này cũng đúng, vì phần lớn công việc kinh doanh ở mọi nơi trên thế giới được thực hiện trên hệ điều hành Windows. Do đó, tấn công vào Windows cũng sẽ mang lại lợi ích lớn nhất cho các tin tặc”

 

Việc thành lập đội đỏ Red Team để tự tấn công vào Windows đã mang lại rất nhiều lợi ích cho Microsoft. Ngoài việc giúp khắc phục vấn đề mà Spectre và EternalBlue gây ra, Red Team của Weston còn phát hiện nhiều điều nữa về bảo mật, đem lại lợi ích không chỉ cho Microsoft mà còn cho cả ngành công nghiệp máy tính.

 

Một trong những chiến công của Weston và đồng đội là ngăn chặn một chuỗi tấn công lừa đảo được thực hiện bởi nhóm tin tặc Nga, có tên là Fancy Bear. Khi đó, tin tặc sử dụng phương thức tấn công Strontium, nhắm vào Win32k - một driver kernel của Windows thường xuyên bị tin tặc lợi dụng. Weston chia sẻ: “Đối với các dạng thức tấn công qua trình duyệt, tin tặc sẽ cần phải chiếm lấy sandbox của trình duyệt, rồi từ đó triển khai các hoạt động tấn công khác. Và nền tảng kernel của Windows chính là nơi vô cùng lý tưởng để thực hiện các dạng thức tấn công tương tự”

 

Nhờ việc đặt bản thân vào vị trí của những kẻ tấn công, đội đỏ Red Team đã tìm ra nhiều kỹ thuật tấn công mới vào lỗ hổng. Nhờ vậy, Microsoft có thể kịp thời đưa ra bản cập nhật ngăn chặn tất cả những kỹ thuật tấn công cho phiên bản Windows 10 Anniversary Edition vào mùa xuân năm 2016. Bản cập nhật Creators Update được phát hành vào 6 tháng sau đó, tiếp tục củng cố hệ điều hành khỏi việc bị tấn công thông qua các phương thức lợi dụng kernel.

 

Thành công là vô cùng quan trọng, và chắc chắn sẽ không thể đến nhanh chóng nếu Microsoft vẫn làm việc theo phương pháp bảo mật truyền thống. Aaron Lint cho biết: “Quét lỗi chỉ có thể tìm thấy những lỗi đã được tìm ra từ trước đây, còn phương thức của đội Red Team sẽ tìm ra những lỗi chưa từng xuất hiện”

 

Thời gian

 

Các thành viên đội đỏ Red Team thường không có chỉ tiêu công việc cố định, thay vào đó họ ưu tiên công việc của mình dựa theo xu hướng của giới hacker, và hướng tới những tính năng mới được thử nghiệm hoặc dễ trở thành mục tiêu khai thác. Jordan Rabet cho biết: “Chúng tôi muốn mô phỏng lối suy nghĩ của các hacker bên ngoài khi nhắm vào Microsoft, họ có mục đích gì, sẽ làm như thế nào. Rồi chúng tôi thực hiện điều đó trước, từ đó tìm ra phương pháp đối phó và khắc phục lỗ hổng”

 

Tuy nhiên, đội đỏ Red Team cũng cần phải tiến hành công việc của mình một cách có chọn lọc, vì lỗi vẫn sẽ luôn tồn tại. Theo Zabrocki, họ không đặt mục tiêu có thể sửa hết tất cả mọi lỗi - đặc biệt là với một sản phẩm vừa phức tạp vừa tiến hóa liên tục như Windows. Bên cạnh đó, mỗi lần đội đỏ Red Team của Windows tiến hành làm việc, họ sẽ bắt đầu bấm thời gian. Mục đích của việc bấm giờ là mang đến một cái nhìn tương đối về thời gian cần thiết để hack một thứ gì đó. Việc tấn công càng tốn nhiều thời gian và tiền bạc, tin tặc sẽ càng không tỏ ra có hứng thú.

 

Tuy nhiên, công việc của đội đỏ chủ yếu là tấn công, chứ không phải vá lỗi, nên có nhiều lúc họ cũng không hài lòng với Microsoft, đặc biệt là khi những lỗ hổng nghiêm trọng không được công ty vá lỗi kịp thời. Một thành viên giấu tên chia sẻ: “Điều này phụ thuộc rất nhiều vào cơ chế bên trong công ty. Đối với một công ty lớn như Microsoft, mọi thứ lại càng phức tạp hơn. Cũng không ít lần những người khác muốn đứng ngoài chỉ đạo rằng chúng tôi phải làm thế này thế kia”. Người này cũng phàn nàn về việc nhiều lúc Microsoft mất cả tháng trời để khắc phục những lỗ hổng nghiêm trọng cần phản ứng nhanh.

 

Hệ điều hành Windows sẽ luôn là một mục tiêu được các tin tặc ưu tiên hàng đầu, và đội đỏ Red Team của Weston chỉ là một mảnh ghép cho nỗ lực bảo đảm an ninh hệ điều hành cho Microsoft. Nhưng khi xét đến việc có rất nhiều nhóm tin tặc chuyên nghiệp, thậm chí được tài trợ bởi các tổ chức tội phảm ngầm, nhiều người sẽ cảm thấy may mắn khi biết rằng ít nhất có một đội quân ở Redmond đang liên tục bảo vệ hệ điều hành mọi người vẫn đang thường sử dụng khỏi bàn tay kẻ xấu, hay thậm chí, còn vượt trên chúng một bước.

537Vote
42Vote
34Vote
211Vote
13Vote
457
Gửi ý kiến của bạn
Tắt
Telex
VNI
Tên của bạn
Email của bạn
Tạo bài viết
07 Tháng Năm 2019
Trong dark web, có hai chợ đen lớn nhất nơi những tên tội phạm ghé để mua ma túy, giấy tờ giả và công cụ hack thiết bị của người khác. Lớn nhất là Dream Market, đã bị triệt phá vào ngày 30/04/2019. Chỉ 4 ngày sau, chợ đen lớn thứ hai, Wall Street Market cũng đã bị Europol, cảnh sát Mỹ và Đức phối hợp đóng cửa. Các nhà chức trách đã tịch thu máy chủ cùng hơn 615,000 USD tiền mặt, và lượng tiền ảo Bitcoin và Monero có giá trị “6 chữ số”. Ba người Đức cũng đã bị bắt giữ.
07 Tháng Năm 2019
Khoảng đầu tháng 05/2019, Apple đã lên tiếng cảnh báo người dùng sử dụng iPhone không nhận những cuộc gọi có số điện thoại “của nhân viên Apple” trừ phi trước đó đã gửi yêu cầu hãng trợ giúp thông qua trang Apple online support. Điều đáng lo ngại là những cuộc gọi như vậy hiển thị được cả logo Apple, địa chỉ và đúng số điện thoại hỗ trợ khách hàng của họ. Thực tế, đây là một cách vô cùng kỳ công để đánh cắp tài khoản iCloud của người dùng iPhone.
06 Tháng Năm 2019
Cửa hàng Apple mới mở ở thư viện Carnegie, thủ đô Washington, Mỹ là dự án tham vọng nhất của Apple trong việc phục hồi các di tích lịch sử. Dự kiến cửa hàng Apple Store mới sẽ mở vào ngày 11/05/2019, tiêu tốn của Apple hơn 30 triệu USD. Tuy nhiên, CEO Tim Cook cho rằng mục tiêu của dự án không phải là giúp Apple bán được nhiều thiết bị hơn, ông thậm chí còn không muốn gọi nó là Apple Store: “Chúng tôi có lẽ sẽ nghĩ ra một cái tên khác để gọi những cửa hàng như vậy, vì nó giống như một địa điểm dành cho cộng đồng hơn là cửa hàng đơn thuần”.
06 Tháng Năm 2019
Hồi năm 2013, Apple đã đầu tư một khoản tiền lớn tới 578 triệu USD cho công nghệ màn hình sapphire. Số tiền sẽ được chi trả thành 4 lần cho công ty GT Advanced Technologies, thời điểm đó đang là đối tác cung cấp các miếng sapphire dành cho phím Home và camera của iPhone. Kế hoạch hướng tới mục đích sản xuất trên quy mô lớn loại vật liệu siêu cứng mới để cho màn hình iPhone, nhằm thay thế kính Gorilla Glass.
06 Tháng Năm 2019
Xu thế hiện tại của các nhà sản xuất smartphone và người dùng là một chiếc điện thoại có màn hình chiếm toàn bộ mặt trước. Bên cạnh thiết kế trượt (pop-up), “tai thỏ” (notch) hay “nốt ruồi” (Infinity-O), Samsung đang tìm giải pháp để ẩn hoàn toàn ẩn phần camera selfie này bên dưới màn hình, kiểu tương tự như cảm biến vân tay.
06 Tháng Năm 2019
Sự việc diễn ra vào ngày 04/05/2019, khi Lực lượng Quốc phòng Israel (IDF) tiến hành cuộc không kích vào một tòa nhà tại Dải Gaza. Trước đó, IDF đã tiến hành điều tra và phát hiện tòa nhà chính là trụ sở của nhóm hacker thuộc tổ chức Hamas, những kẻ đã tấn công vào không gian mạng của Chính phủ Israel. Tướng Brigadier cho biết: “Chúng tôi luôn đi trước chúng một bước. Thời điểm chúng cố gắng thực hiện điều gì đó, chúng tôi luôn kịp thời ngăn chặn”.