Ẩn bên dưới mạng Internet mà chúng ta đang biết là một mớ rối rắm của công nghệ cũ kỹ vẫn còn vận hành tốt, và đó đây vẫn có những con người mẫn cán đang nhận trách nhiệm bảo dưỡng định kỳ. Phần lớn nền móng này là phần mềm mã nguồn mở, đang được một “binh đoàn” những lập trình viên nhiều trình độ sửa lỗi, vá lỗ hổng nhằm đảm bảo luồng dữ liệu khổng lồ chảy thông suốt.
Vào cuối tháng Ba vừa qua, một người lính trong binh đoàn này đã cứu một bàn thua trông thấy. Theo The New York Times (NYT) đưa tin, tên anh là Andres Freund, một lập trình viên 38 tuổi hiện đang sống tại San Francisco và làm việc cho Microsoft.
Công việc của Freund là phát triển một phần của PostgreSQL - phần mềm mã nguồn mở dùng trong xử lý cơ sở dữ liệu. Trong lúc bảo trì định kỳ, anh Freund đã phát hiện ra một cửa hậu (backdoor) ẩn trong một phần mềm thuộc hệ điều hành Linux. Khả năng cao, cửa hậu này có thể dẫn đường cho một cuộc tấn công mạng với quy mô vô cùng lớn. May mắn thay sự cố đáng tiếc đã không diễn ra.
NYT đã liên hệ phỏng vấn với lập trình viên Andres Freund, tuy nhiên anh từ chối chụp ảnh, nói rằng trải nghiệm trở thành “người anh hùng của cư dân mạng” khiến anh bối rối.
Dù anh Freund có ngại ngùng trước danh hiệu không chính thức, thành tựu của anh làm nức lòng giới công nghệ những người có tiếng nói trong giới công nghệ và bảo mật.
Satya Nadella tôn vinh “tính tò mò và kỹ năng thành thạo” của anh Freund, trong khi đó giới lập trình viên chia sẻ cho nhau mẩu truyện tranh hài hước do Randall Munroe vẽ nên, tại đó tác giả người Mỹ bông đùa rằng nền móng cơ sở hạ tầng kỹ thuật số hiện đại được xây bằng “một dự án duy trì từ năm 2003 bởi một nhân vật ngẫu nhiên nào đó đang sống tại Nebraska”.
Trong bối cảnh câu chuyện này, “nhân vật ngẫu nhiên” được nhắc tới chính là lập trình viên Andres Freund. “Tôi thấy mọi thứ lạ lùng lắm”, anh nói với NYT, “tôi là một người kín tiếng, chỉ ngồi trước máy tính và mày mò code”.
Câu chuyện của anh Freund bắt đầu từ tháng 1/2024, khi anh mới trở lại Mỹ sau khi về thăm quê hương Đức. Trong khi tra soát một loạt những bài thử tự động, anh nhận ra một số lỗi mà anh vốn không nhận ra. Nhưng vì mệt mỏi sau chuyến bay dài, đồng thời cảm thấy dòng thông báo lỗi không mấy nghiêm trọng, anh tạm gác lại ký ức này vào một góc trí nhớ.
Nhưng vài tuần sau, khi tiếp tục thử nghiệm tại nhà, anh nhận ra một ứng dụng có tên SSH - vốn được sử dụng để truy cập máy tính từ xa - đang dùng nhiều tài nguyên hơn bình thường. Lần theo dấu vết, anh thấy vấn đề nằm tại một công cụ nén dữ liệu có tên xz Utils, và rồi nghi ngờ mối tương quan giữa sự cố này và thông báo lỗi cách đây không lâu.
Một chú chú giải của phóng viên NYT: bạn đọc không cần hiểu quá sâu về tất cả những tên riêng được nhắc tới, chỉ cần biết nó là một số phần nhỏ của hệ điều hành Linux, thứ vẫn được cho là phần mềm mã nguồn mở quan trọng nhất thế giới. Phần lớn các server trên thế giới - bao gồm những server thuộc ngân hàng, bệnh viện, chính phủ, v.v… - đều đang chạy trên Linux, vì vậy lỗ hổng bảo mật của Linux sẽ có nguy cơ ảnh hưởng toàn cầu.
Giống với khác phần mềm mã nguồn mở khác, Linux liên tục được cập nhật, và phần lớn lỗi đều phát sinh từ những sai sót không đi kèm ác ý. Nhưng khi anh Freund đào sâu vào mã nguồn của xz Utils, anh thấy dấu vết chỉnh sửa của một ai đó hay một tổ chức nào đó.
Cụ thể, anh thấy đã có bàn tay cài cắm mã độc vào phiên bản mới nhất của xz Utils. Cửa hậu này sẽ cho phép kẻ cài mã độc tận dụng kết nối SSH và bí mật chạy phần mềm từ xa.
Phóng viên Kevin Roose của NYT so sánh việc lập trình viên mảng dữ liệu tìm thấy mã độc trong hệ thống Linux giống như một chủ xưởng bánh mì ngửi thấy mùi lạ trong mẻ bánh mới, và nhận ra vấn đề nằm tại chuỗi cung ứng men nở. Phát hiện dạng này yêu cầu nhiều năm kinh nghiệm, khả năng chú ý tới tiểu tiết dù là nhỏ nhất, và rất nhiều may mắn.
“Một cảm giác siêu thực”, anh Freund kể lại thời khắc mình phát hiện ra cửa hậu cài trong hệ điều hành Linux. “Có lúc tôi cảm thấy đây là hậu quả của một đêm thiếu ngủ, hay là một giấc mơ sinh ra từ cơn sốt mê man”.
Càng đào sâu, anh càng tìm thấy thêm bằng chứng. Cuối tháng Ba vừa qua, anh Freund gửi chứng cứ thu thập được tới một nhóm các nhà phát triển phần mềm mã nguồn mở. Tin dữ lập tức làm cộng đồng dậy sóng, và lỗi được vá chỉ trong vòng vài tiếng. Một số lập trình viên khẳng định nếu vắng bóng anh Freund, một cuộc tấn công mạng để lại vết nhơ trong sử sách đã có thể xảy ra.
“Nó đã có thể là cửa hậu lan rộng nhất, hiệu quả nhất từng được cài cắm vào bất cứ phần mềm nào”, Alex Stamos, giám đốc cấp cao tại SentinelOne, một công ty nghiên cứu bảo mật mạng, cho hay. Theo ông Stamos, lỗ hổng này đã có thể “trao cho kẻ tạo ra nó chìa khóa tổng để truy cập hàng trăm triệu máy tính sử dụng SSH trên toàn cầu”. Kẻ gian đã có thể đánh cắp được thông tin nhạy cảm, cài cắm malware, gây ra nhiễu loạn cơ sở hạ tầng toàn cầu … mà không hề bị bắt.
Anh Freund từ chối bình luận về bất cứ ai hay tổ chức nào có thể đã cài mã độc vào hệ thống. Tuy nhiên, anh cho rằng kẻ đứng sau sự việc này đủ khôn khéo và tinh ranh để xóa dấu vết, thậm chí thực hiện nhiều thủ thuật khiến mã độc khó tìm ra hơn.
Kể từ khi phát hiện ra lỗ hổng bảo mật, anh Freund vẫn đang giúp nhóm các lập trình viên sử dụng kỹ nghệ đảo ngược hòng phân tích và tìm ra kẻ chủ mưu. Anh cũng đang tự phát triển và hoàn thiện một phiên bản của PostgreSQL, dự kiến sẽ ra mắt cuối năm nay.
“Tôi thực sự không có thời gian đi nâng ly ăn mừng”, anh chàng coder gốc Đức cho hay.