Mikko Hypponen, Giám đốc nghiên cứu của hãng F-Secure (Phần Lan), là cái tên luôn được nhắc đến trong số các chuyên gia quốc tế hàng đầu của lĩnh vực bảo mật. Bình luận về tình hình virus và những đợt bùng phát gần đây, chuyên gia này tỏ ra khá bi quan. 

- Ông có nhận xét gì về biến thể Mydoom.M trong đợt phát tán ồ ạt trở lại đây của một dòng virus từng lắng đi sau những tháng đầu năm?

- Đó là một kỹ thuật rất đáng chú ý nếu chúng ta còn nhớ bản Mydoom.A đã phát tán mạnh như thế nào hồi tháng Giêng. Có thể coi Mydoom là dòng virus e-mail lớn nhất trong lịch sử ngành bảo mật. Nó càng thu hút sự chú ý hơn nữa vì tấn công website của những cái tên nổi tiếng như SCO và Microsoft. Và mới đây là các đại gia tìm kiếm, trong đó có Google và Yahoo. Mydoom.M khai thác các dịch vụ này để thu thập địa chỉ e-mail phục vụ cho việc phát tán.

Tuy nhiên, điểm đáng nói nhất là Mydoom.M có khả năng mở một cổng hậu. Chúng ta từng thấy điều này ở phiên bản đầu tiên. Mydoom.A cũng để lại một backdoor và vài ngày sau các tác giả của nó bắt đầu lùng quét các địa chỉ công cộng để tìm những máy tính nạn nhân và cài một Trojan proxy phát tán spam có tên Mitglieder. Ở biến thể M, thay vì thả một Trojan spam, hacker lại thả một client có tính năng tấn công từ chối dịch vụ, nhằm gây quá tải trên trang chủ Microsoft.com, mặc dù chưa hẳn thành công lắm.

- Ông nghĩ đối tượng nào đứng đằng sau vụ phát tán lần này?

- Tôi cho rằng thủ phạm vẫn là tác giả của những biến thể trước và cũng là cha đẻ của virus Bagle, thậm chí là cả Sobig và một số virus khác. Tôi không có bằng chứng chắc chắn những tên này đang tiến hành hoạt động từ khu vực nào, nhưng có những dấu hiệu cho thấy căn cứ của bọn họ có thể là Nga và Trung Âu. Tôi cũng tin rằng thủ phạm không chỉ có 1 người và bọn họ hoạt động có tổ chức.

- Khả năng tóm cổ bọn chúng như thế nào?

- Năm nay là một năm thực sự sôi động của các đợt bắt giữ tin tặc. Song, tất cả những kẻ bị tóm đều là thiếu niên chứ không có tên nào có vẻ là hacker chuyên nghiệp. Những thủ phạm đã bị bắt không thực sự là những đối tượng nguy hiểm nhất mà chính những tên tiến hành các hoạt động phá hoại vì tiền mới là mối đe dọa khủng khiếp nhất.

- Như vậy tất cả những hoạt động này đều vì mục tiêu kiếm tiền?

- Với Mydoom.M thì có vẻ như không phải. Nhưng nếu nhìn vào những phiên bản trước và hoạt động của dòng virus Bagle thì có thể thấy mục tiêu của chúng là tạo ra một mạng lưới thật lớn những máy tính có liên kết. Sau đó, tin tặc sẽ hoặc là biến những cỗ máy này thành proxy spam hoặc là những server hosting miễn phí. Computer nạn nhân bị khai thác vào việc ăn cắp thông tin thẻ tín dụng, password, user account… Đến nay, lợi ích lớn nhất mà tin tặc khai thác vẫn là phát tán thư rác. Phần lớn số spam hiện nay được gửi đi từ những kênh DSL hoặc máy tính gia đình kết nối qua cáp.

Thế giới tin tặc có rất nhiều lớp. Không chỉ có những kẻ ngồi viết virus và dùng máy tính để gửi spam mà là nhiều nhóm cùng tiến hành những hoạt động tương tự. Khi tạo được ra một danh mục các địa chỉ IP, chúng sẽ bán lại cho những bản tin hoặc diễn đàn của thế giới ngầm, rất nhiều trong số này hoạt động từ Nga và Trung Quốc. Giá thông thường là 500 USD cho 10.000 địa chỉ IP. Số này sau đó có thể được mua đi bán lại vài lần trước khi đến tay một kẻ phát tán spam và đưa vào sử dụng. Rất khó truy ngược lại nguồn gốc qua con đường nói trên.

- Ông bình luận gì về việc Microsoft và một số hãng khác treo thưởng để bắt tin tặc?

- Rất hay. Điều quan trọng nhất của biện pháp đó là gây áp lực lên những kẻ chế tác virus khi chúng phải nơm nớp lo sợ bị chính đồng bọn tố giác vì tiền. Rõ ràng là Microsoft thừa sức trả ngay những khoản tiền như vậy nhưng theo như tôi biết thì đến nay họ thực sự chưa phải bỏ ra một xu nào.

- Ai sẽ thắng trong cuộc chiến phát tán và tiêu diệt virus này?

- Không có câu trả lời đơn giản cho vấn đề này. Tin tặc luôn là kẻ ở thế chủ động bởi chúng có khả năng truy cập và download các sản phẩm an ninh giống như mọi người sử dụng khác. Vì thế, chả có lý gì chúng lại đi phát tán một virus mà phần mềm của McAfee hay Symantec có thể phát hiện ngay.

Tất nhiên, nếu bạn muốn bảo vệ máy tính thì nên tuân thủ 3 nguyên tắc cơ bản: sử dụng phần mềm quét virus, đặt tường lửa và thường xuyên cập nhật, nâng cấp. Cũng có thể theo một cách khác: giã từ Windows và chuyển sang Linux để đỡ phải lo.

- Trách nhiệm trước hết của các nhà cung cấp dịch vụ Internet (ISP) trong việc bảo vệ người sử dụng gia đình?

- Việc bán dịch vụ kết nối Internet mà không nói rõ những nguy cơ cho khách hàng là một hành động thiếu trách nhiệm. Nếu bạn ra ngoài mua một hộp ADSL về kết nối với máy tính nhưng không dùng tường lửa, bạn sẽ bị tấn công bởi virus lây qua mạng. Trong khi đó, đại bộ phận khách hàng chạy Windows không vá lỗi mà không mấy ai nhắc nhở họ sự cần thiết của việc này. Với tất cả những yếu tố đó thì việc bán dịch vụ cho khách hàng là thiếu trách nhiệm. Tuy nhiên, hiện nay nhiều ISP đã đưa các tính năng theo dõi và bảo vệ vào trong dịch vụ của họ.

- Theo những thông báo gần đây của nhiều công ty bảo mật, có vẻ như virus trên thiết bị di động sẽ là thế hệ tiếp theo của các nguy cơ trực tuyến. Mối đe dọa đó lớn tới mức nào?

- Những chương trình tấn công như vậy chỉ thực sự lộ diện vào mùa hè năm nay với sự ra đời của sâu Cabir, khái niệm đầu tiên về virus tấn công điện thoại Bluetooth chạy hệ điều hành Symbian. Vấn đề này rất đáng quan tâm bởi đó là virus đầu tiên phát tán dựa trên vùng sóng cự ly gần. Chỉ cần bạn ở gần những thiết bị Bluetooth khác là có thể phát tán virus. Hãy tưởng tượng một ai đó mang chiếc điện thoại có virus bước vào một đám đông trên tàu điện ngầm và có thể phát tán mã tấn công vào hàng trăm thiết bị khác.

Mới đây, chúng ta lại xác định thêm virus Bardor tấn công máy tính bỏ túi mà nhóm tác giả từng phát hiện Cabir công bố. PocketPC là một nền rất mở. Các nhà phát triển cũng dễ tiếp cận mã và chuyển bất cứ phần mềm desktop Windows nào sang PocketPC. Cái đáng lo chính là những virus như vậy cuối cùng sẽ có thể bị lợi dụng để gọi điện, gửi thông điệp text hoặc thậm chí xóa số điện thoại. Hiện nay chưa có loại nào bị phát tán lung tung nhưng chúng đã xuất hiện. Khả năng một chú nhóc nào đó tải về, chế ra một phiên bản nguy hiểm và tung ra có thể xảy ra bất cứ lúc nào.

- Đánh giá chung của ông về tình hình bảo mật và virus hiện nay?

- Sẽ chỉ có thể ngày một xấu hơn. Tôi bước vào lĩnh vực này năm 1991 khi mà mọi thứ đều còn rất đơn giản. Hồi đó có vài virus khởi động mà chỉ có thể lây lan nếu người ta dùng đĩa mềm ở các máy khác nhau. Những loại mã tấn công đó phải mất cả năm may ra mới có thể lan ra nhiều nơi trên thế giới. Giờ đây, với những cái tên như Slammer, Sasser, Blaster… virus tấn công máy tính và mạng khắp nơi trên toàn cầu chỉ trong vài phút. Chúng ta không thể đối phó được. Trong số 100.000 virus ghi nhận suốt 18 năm qua, chúng tôi đã crack mã của từng đối tượng một. Nhưng rất có thể một ngày nào đó sẽ xuất hiện những virus mà chúng ta bất lực không thể phá mã để phân tích.