PCPro đã có cuộc trò chuyện với ông về hiểm họa lớn nhất trong lịch sử IT hiện tại. .

Hỏi: Conficker thực sự sáng tạo ở điểm gì?

Đáp: Thực ra không có cái gọi là “kỹ thuật mới” trong Conficker, nhưng chắc chắn những kẻ viết nên chúng đã sử dụng một số phương pháp phức tạp, trong đó có thuật toán mã hóa vừa bị Ron Rivest của RSA công bố. Bằng cách kết hợp nhiều kỹ thuật cũ khác nhau, cộng thêm các chương trình Auto-Run để lây nhiễm qua USB, loại sâu này đã phát tán thành công mà không cần sự điều khiển của tác giả, khiến tốc độ lan tràn càng tăng. Nhiều công ty liên tục quét PC nhưng vẫn bị lây nhiễm lại. Đây là một trong những loại sâu dai dẳng nhất mà tôi từng gặp.   

Đáp: Tại thời điểm này ta có thể chắc rằng mục đích của Conficker không phải để gây hại tức thời, mà để tạo ra một Botnet và một nền tảng để thực hiện các kiểu tấn công khác. Mục tiêu có lẽ là để tạo ra một Botnet cho các nhóm tội phạm hoặc thậm chí là các nhóm khủng bố “thuê” lại và phục vụ cho vô số lý do. 

Tuy nhiên, có thể tác giả của chúng cũng phải ngạc nhiên trước sự thành công của Conficker. Sự chú ý của dư luận cũng như có quan luật pháp có thể khiến Conficker khó sử dụng, bởi bất kỳ hành vi nào cũng sẽ bị theo dõi bởi các cơ quan luật pháp và tác giả của chúng cũng không muốn bị bắt chút nào. Có thể điều này sẽ khiến Conficker tạm trở nên vô dụng, và khiến các tổ chức tội phạm hoài nghi về việc tạo ra một “mega-bot.” 

Đây là một thành công ngoài sức tưởng tượng về mặt kỹ thuật, nhưng là một thất bại về mặt kinh tế tính cho đến hiện tại. 

Đáp: Như tôi đã nói, tác giả của Conficker cũng không chuẩn bị cho mức quan tâm quá mức mà Conficker nhận được. Hầu hết người dùng bình thường không để ý lắm đến Botnet, nhưng Conficker lại trở nên quá quen thuộc với tất cả, và bất kỳ ai ngoài ngành cũng biết về loại Malware này. Báo chí cũng thúc giục các nhà làm luật toàn cầu tập trung vào việc truy tìm kẻ chủ mưu, khiến cho bất kỳ hành động nào từ phía chúng cũng trở nên nguy hiểm.  

Hỏi: Liệu Conficker có phải là "mega-bot" cuối cùng do mức độ chú ý quá lớn của nó không?   

Đáp: Botnet và các kỹ thuật hack đáng ra phải càng ít bị chú ý càng tốt. Những tội ác thành công nhất luôn là những tội ác mập mờ và tồn tại được một thời gian dài mà không bị phát hiện, chỉ lặng lẽ lấy đi tài khoản ngân hàng, thông tin cá nhân… của nạn nhân. Sự nổi tiếng của Conficker đã chứng minh rằng Botnet càng lớn thì càng kém hiệu quả. Quá nhiều sự chú ý sẽ dẫn đến quá ít hành động.  

Hỏi: Tại sao Conficker lại giúp đẩy mạnh sự hơp tác giữa các hãng an ninh – một điều đã đang tồn tại? Ít nhất đó là điều mà ngành an ninh vẫn nói trong vòng 10 năm qua. 

Đáp: Conficker cho thấy cộng đồng an ninh rất mạnh và phản ứng rất nhanh. Các hãng chống Virus hàng đầu đã hợp tác với nhau gây lập tức, và Conficker Working Group được tạo ra nhanh chóng như một phương tiện để chia sẻ những gì chúng tôi học được.   

Mặc dù trong tương lai có thể chúng ta sẽ không gặp lại một hiểm họa lớn thế  này nữa, nhưng tôi thực sự hy vọng sự hợp tác này sẽ tiếp diễn. 

Hỏi: Liệu Conficker có dạy chúng ta điều gì về lỗ hổng an ninh không? 

Đáp: Conficker đã cho thấy một vấn đề lớn tồn tại trong ngành an ninh; đó là quá ít người thường xuyên cập nhật bản vá. Tuy tháng 10 năm 2008 Microsoft đã phát hành bản vá trước khi Conficker xuất hiện, nhưng số lượng lây nhiễm vẫn tăng chóng mặt và đang tiếp tục tăng.   

Hỏi: Liệu câu chuyện về Conficker có hé lộ điều gì mới hoặc sự tiến hóa của Hacker và những kẻ viết virus không? 

Đáp: Conficker cho thấy Hacker biết rằng việc vá lỗ hổng chính là điểm yếu của các công ty. Sẽ ngày càng nhiều loại virus mới xuất hiện nhằm vào các lỗ hổng đã vá bởi chúng biết rằng nạn nhân vẫn chưa cập nhật bản vá. 

Hỏi: Xét về thực tế thì Conficker Working Group đã đạt được thành tựu gì trong việc ngăn chặn sự phát tán của loại sâu này?   

Đáp: Trong một năm qua, hàng tuần các thành viên của Conficker Working Group vẫng gặp nhau qua điện thoại để bàn về các bước phát triển mới nhất của Conficker (biến thể mới, chiến thuật mới…) và chia sẻ với những người còn lại những thành tựu mình đạt được. CWG cũng trợ giúp các nhà luật pháp với những thông tin họ thu lượm được trong quá trình truy tìm tác giả của loại sâu này. Bằng cách dọn dẹp thật nhiều PC, quảng bá cho việc vá hệ thống, và tuyên truyền về tầm nguy hại của Conficker, có vẻ họ đang làm chủ được tình thế. 

Hỏi: Vậy phải chăng Conficker đã chết? Trong vòng một năm tới chúng ta có nên lo ngại nữa không? 

Đáp: Conficker chắc chắn vẫn là một hiểm họa, kể cả sau 1 năm nữa. Nó vẫn chưa bị sử dụng với quy mô lớn để thực hiện nhiều vụ tấn công, nhưng với khả năng đặc biệt là tự phát tán qua nhiều phương tiện, rất khó để kiểm soát được loại sâu này. Các công ty nên tiếp tục cập nhật bản vá lỗi, còn người dùng thì nên cảnh giác để không sử dụng những Flash USB bị nhiễm hoặc download malware từ các đường liên kết hoặc từ những trang Web độc.