Kaspersky Antivirus đã bị biến thành công cụ gián điệp như thế nào?

Theo New York Times, những phần mềm can thiệp sâu vào hệ thống như Kaspersky đều có thể trở thành một công cụ gián điệp hữu hiệu. Đó là một bí mật, nổi tiếng từ lâu với các cơ quan tình báo, nhưng lại rất ít người dùng ngờ tới.

Phần mềm bảo mật và một số phần mềm hệ thống khác thường có đặc quyền truy cập vào hầu hết mọi chương trình, ứng dụng, trình duyệt web, email và các file trong máy tính. Có lý do chính đáng cho việc này: các sản phẩm bảo mật được thiết kế để xem xét mọi thứ trong máy tính của bạn, nhằm tìm kiếm bất cứ gì độc hại, thậm chí những thứ đang nghi ngờ.

Khi tải phần mềm bảo mật, người dùng cũng gánh luôn rủi ro từ các nhà sản xuất phần mềm diệt virus không đáng tin cậy – hoặc là hacker hay gián điệp sẽ đặt một chân vào hệ thống – có thể lợi dụng khả năng truy cập sâu vào máy tính để theo dõi mọi động thái của người dùng trên máy.

"Trong cuộc chiến chống mã độc, các sản phẩm bảo mật là nhân tố chủ chốt", Patrick Wardle, Giám đốc nghiên cứu của Digita Security, một công ty bảo mật, nói. "Nhưng mỉa mai là, các sản phẩm đó lại có nhiều đặc tính chung với các chương trình tình báo".

Là một cựu hacker của NSA, Wardle gần đây đã biến thành công phần mềm diệt virus của Kaspersky Lab thành một công cụ tìm kiếm tài liệu mật hữu hiệu.

Tính tò mò của Wardle bắt nguồn từ những thông tin gần đây cho thấy gián điệp Nga đã dùng các sản phẩm diệt virus Kaspersky để dò tìm các tài liệu phân cấp mật, và có thể đóng vai trò quan trọng trong bộ máy tình báo của Nga. "Tôi muốn xem liệu có thể tấn công hay không", Wardle nói. "Từ góc nhìn kỹ thuật, nếu một nhà sản xuất phần mềm diệt virus muốn, hay bị ép, hay bị tấn công hay bị lật đổ bằng một cách nào đó, có thể tạo ra ký hiệu để đánh dấu riêng các tài liệu phân cấp?"

Câu hỏi trên rất quan trọng trong 3 tháng qua, khi các quan chức Mỹ cáo buộc phần mềm diệt virus Kaspersky được tình báo Nga dùng để thu thập thông tin, một cáo buộc mà Kaspersky kịch liệt phản đối.

Tháng trước, Kaspersky Lab đã kiện chính quyền Trump sau khi Bộ An ninh Nội địa Mỹ ra lệnh cấm phần mềm của hãng trên toàn mạng lưới máy tính liên bang. Kaspersky tuyên bố trong một bức thư công khai rằng: "Bộ An ninh Nội địa đã làm hỏng danh tiếng của Kaspersky Lab và các hoạt động thương mại của công ty mà không hề có bằng chứng nào".

Trong nhiều năm liền, các cơ quan tình báo đã nghi ngờ sản phẩm của Kaspersky Lab cung cấp cửa hậu cho tình báo Nga. Một dự thảo của báo cáo mật do Edward J. Snowden rò rỉ đã miêu tả năm 2008 NSA cố sức kết luận rằng phần mềm của Kaspersky thu thập thông tin nhạy cảm trên máy khách hàng.

Các tài liệu cho thấy Kaspersky không phải là mục tiêu duy nhất của NSA. NSA còn nhắm tới gần hai chục nhà sản xuất phần mềm diệt virus nước ngoài khác, trong đó có Checkpoint ở Israel và Avast ở Cộng hòa Czech.

Tại NSA, các nhà phân tích bị cấm dùng phần mềm chống virus của Kaspersky vì nguy cơ "cửa hậu" để Kremlin truy cập vào máy móc và dữ liệu của họ. Nhưng tại trụ sở của NSA ở Fort Meade, Kaspersky vẫn đang cố duy trì hợp đồng với gần hai chục cơ quan chính phủ Mỹ trong vài năm gần đây.

Tháng 9 năm ngoái, Bộ An ninh Nội địa đã ra lệnh cho tất cả các cơ quan liên bang ngừng sử dụng các sản phẩm Kaspersky vì mối đe dọa sản phẩm của Kaspersky có thể "cung cấp truy cập vào các tệp tin".

Một tháng sau, New York Times báo cáo rằng chỉ thị của Bộ An ninh Quốc gia phần lớn dựa trên thông tin tình báo của các quan chức tình báo Israel, các quan chức này đã tấn công thành công Kaspersky Lab vào năm 2014. Họ đã nghiên cứu nhiều tháng việc các hacker của chính phủ Nga quét máy tính khách hàng của Kaspersky trên khắp thế giới để dò tim các chương trình tối mật hàng đầu của chính phủ Mỹ.

Quan chức Mỹ tuyên bố viên chức tình báo Nga đã sử dụng phần mềm của Kaspersky để tiếp cận các tài liệu mật trên máy tính ở nhà của Nghia H. Pho, một nhà phát triển NSA, người đã cài đặt phần mềm chống virus của Kaspersky. Hồi năm ngoái, ông Pho đã nhận tội đưa các tài liệu, hồ sơ về nhà.

Ban đầu, Kaspersky Lab phủ nhận mọi dính líu về vụ trộm tài liệu. Công ty liên tục phủ nhận việc họ biết về việc các chương trình mật của Mỹ bị quét, hay việc các sản phẩm bảo mật của hãng bị tình báo Nga lợi dụng. Eugene Kaspersky, giám đốc điều hành của công ty, cho biết ông cho phép chính phủ Mỹ kiểm tra mã nguồn của Kaspersky để giảm sự nghi ngờ về các sản phẩm chống virus và an ninh mạng.

Tuy nhiên, Wardle phát hiện ra chỉ xem xét mã nguồn đơn giản sẽ không thể chứng minh các sản phẩm không bị lợi dụng làm công cụ thu thập thông tin của Nga. Theo phát hiện của Wardle, "phần mềm diệt virus Kaspersky có thể trở thành công cụ gián điệp tối cao trên không gian mạng".

Wardle nói rằng khá dễ dàng lợi dụng một lỗ hổng trong phần mềm Windows của Microsoft để điều khiển các phần mềm Kaspersky. Vì mọi người thường xuyên phân loại các tài liệu mật, đánh dấu là "TS/SCI" ((Top Secret/Sensitive Compartmented Information), vì thế ông đã bổ sung một quy tắc trog chương trình diệt virus của Kaspersky để đánh dấu mọi tài liệu có chứa ký hiệu "TS/SCI".

Để thử nghiệm quy tắc mới này, nhà nghiên cứu đã chỉnh sửa một tài liệu trên máy tính về series sách trẻ em Winnie the Pooh và thêm dấu "TS/SCI". Ngay khi tài liệu Winnie the Pooh được lưu vào máy, phần mềm diệt virus Kaspersky đã đánh dấu và cách ly tài liệu.

"Thực ra, không có gì phải ngạc nhiên vì điều này", Wardler nói. "Nhưng vẫn cần khẳng định rằng một sản phẩm chống virus có thể được sử dụng để dò tìm các tài liệu mật".

Câu hỏi tiếp theo là: Điều gì xảy ra với những tệp tin này sau khi chúng bị phát hiện và đánh dấu? Wardle đã dừng tấn công vào máy chủ đám mây của Kaspersky, nơi các tập tin đáng nghi ngờ thường được tải lên.

Kaspersky Lab nói rằng nghiên cứu của Wardler không phản ánh cách phần mềm của công ty hoạt động. "Phần mềm Kaspersky Lab không thể đưa ra một ký hiệu đặc biệt hoặc cập nhật cho chỉ một người dùng một cách bí mật, vì tất cả ký hiệu luôn có sẵn với tất cả người dùng; và các cập nhật được tiến hành kỹ thuật số, nên không thể làm giả cập nhật", Kaspersky nói trong một thông cáo.

Kaspersky cũng nói thêm rằng hãng đã áp dụng các tiêu chuẩn bảo mật và duy trì các mức độ truy cập giống với các phần mềm bảo mật khác, và nhấn mạnh Kaspersky sẵn sàng công bố mã nguồn, quy định phát hiện mối đe dọa và các cập nhật phần mềm để các chuyên gia độc lập kiểm toán.

Tuy nhiên, đúng như nghiên cứu của Wardler cho thấy, một nhà cung cấp phần mềm bảo mật không đáng tin cậy, hay một hacker, gián điệp, có thể lợi dụng khả năng truy cập sâu vào máy tính để biến phần mềm diệt virus như Kaspersky thành công cụ tìm kiếm đắc lực, quét toàn bộ tài liệu chứa các từ khóa nhất định, trên máy tính khách hàng.

"Và không ai biết", Wardle nói. "Bởi đó là một hành vi tội phạm hoàn hảo".

Hoàng Lan

Cập nhật tin tức công nghệ mới nhất tại fanpage Công nghệ & Cuộc sống