Hacking Team bị hack làm lộ nhiều điểm yếu bảo mật

Những kẻ tội phạm không gian mạng tuần vừa qua đã đánh cắp 400GB dữ liệu của hãng Hacking Team và đưa nó lên WikiLeaks bao gồm các thư điện tử cả nhân và mã nguồn của phần mềm được dùng cho giám sát điện thoại và máy tính của các đối tượng bị theo dõi.

Thư điện tử bị tiết lộ cho thấy có rất nhiều cơ quan thực thi pháp luật của nhiều nước sử dụng sản phẩm của Hacking Team và đến từ nhiều nước như Mỹ, Ý, Úc, Ai Cập hay Sudan.

Hãng Hacking Team khuyến cáo khách hàng của họ dừng sử dụng những phần mềm này cho đến khi hãng nâng cấp được phiên bản đã bị xâm phạm nhưng cũng cảnh báo rằng các hệ thống máy tính có thể bị nguy hiểm.

Người phát ngôn của Hacking Team cho biết việc mã nguồn bị phát tán khiến bất kỳ ai cũng có thể sử dụng để chống lại bất kỳ mục tiêu nào mà họ muốn. Hơn nữa, các tổ chức khủng bố hay cực đoan cũng có thể dùng công nghệ này để sử dụng cho mục đích xấu.

Theo các chuyên gia an ninh mạng thì khối lượng dữ liệu khổng lồ bị đánh cắp từ Hacking Team được xem như là món quà đối với tội phạm không gian mạng. Các nhà nghiên cứu thông qua dữ liệu của Hacking Team cũng đã phát hiện ra những điểm yếu bảo mật chưa từng biết đến trong phần mềm Flash Player.

Chỉ trong vòng chưa đến hai ngày, các nhà nghiên cứu đã tìm ra hai lỗi chưa từng biết đến trong phần mềm Flash Player. Lỗi chưa từng biết đến trong một phần mềm, còn được gọi là “zero-day exploit”, là lỗi mà chưa được hãng sản xuất phần mềm phát hiện và chưa được vá lỗi.

Các lỗi này ngay lập tức bị lợi dụng và được tích hợp vào các bộ công cụ dùng cho tội phạm không gian mạng cho đến khi Adobe phát hành bản vá lỗi. Đối với lỗi thứ nhất, hãng Adobe đã phát hành bản vá lỗi vào hôm thứ Tư nhưng họ lại bị phát hiện ra lỗi thứ hai.

Hãng Adobe cho biết họ sẽ phát hành bản vá lỗi mới phát hiện vào tuần này.

Theo các nhà nghiên cứu của Trend Micro thì lỗi mới của Flash Player ảnh hưởng đến các hệ điều hành như Windows, Mac và Linux khiến tội phạm không gian mạng dễ dàng thực thi một đoạn mã độc hại như là một chương trình phần mềm.

Những tiết lộ về những lỗi bảo mật chưa từng được biết đến hay lỗi “zero-day exploit” dường như đang dấy lên một cuộc tranh luận về đạo đức của các cơ quan thực thi pháp luật khi khuyến khích các công ty tư nhân phát hiện các lỗi bảo mật và lợi dụng nó thay vì báo cho các hãng sản xuất phần mềm vá các sai sót trong phần mềm.

Trong tháng Năm năm nay, Mỹ cũng đã đề xuất sửa đổi điều khoản về quy định kiểm soát phổ biến vũ khí (hay còn gọi là Hiệp ước Wassenaar) để kiểm soát và ngăn chặn việc xuất khẩu hoặc buôn bán lỗi phần mềm. Đề xuất mới đang trong giai đoạn lấy ý kiến góp ý.